ElGamal-Signaturen

Schlüsselgenerierung Signatur erstellen Signatur prüfen Korrektheit Sicherheitsüberlegungen Beispiel

Das ElGamal-Signaturschema basiert ebenso wie das DSA-Signaturschema auf dem Problem der Berechnung von Logarithmen in $\text{[math]}$ . Es schreibt jedoch kein konkretes Hashverfahren vor, sondern stellt nur die Anforderung, dass dem Verwendeten eine Abbildung der Form $\text{[math]}$ für eine große Primzahl $\text{[math]}$ zugrunde liegt.

Schlüsselgenerierung

A erzeugt zufällig eine große Primzahl $\text{[math]}$ und bestimmt ein erzeugendes Element $\text{[math]}$ der multiplikativen Gruppe $\text{[math]}$ ; siehe hierzu Satz 37 (iv).
A wählt eine Zufallszahl $\text{[math]}$ mit $\text{[math]}$ .
A berechnet $\text{[math]}$ .

Der öffentliche Schlüssel von A ergibt sich als Tupel $\text{[math]}$ , während $\text{[math]}$ als geheimer Schlüssel aufbewahrt wird.

Signatur erstellen

Das Signieren einer Nachricht $\text{[math]}$ erreicht A wie folgt:

A erzeugt eine geheime Zufallszahl $\text{[math]}$ mit $\text{[math]}$ und $\text{[math]}$ (garantiert die Existenz des Inversen von $\text{[math]}$ in $\text{[math]}$ ).
A berechnet $\text{[math]}$ .
A bestimmt $\text{[math]}$ .
A ermittelt $\text{[math]}$ .

Nun hat A das Signaturpaar $\text{[math]}$ für die Nachricht $\text{[math]}$ erhalten.

Signatur prüfen

Möchte B zu einer empfangenen Nachricht $\text{[math]}$ die Signatur $\text{[math]}$ prüfen, dann muss er folgende Schritte durchführen:

B verwirft die Signatur, falls $\text{[math]}$ nicht erfüllt ist.
B berechnet $\text{[math]}$ .
B ermittelt $\text{[math]}$ .

Falls B nun das Ergebnis $\text{[math]}$ erhält, so kann er die Signatur (und damit auch die ursprüngliche Nachricht) als gültig ansehen.

Korrektheit

Wir nehmen an, $\text{[math]}$ sei eine gültige Signatur. Daraus folgt

\text{[math]}

und Bemerkung 42 liefert:

\text{[math]}

Damit ist gezeigt, dass $\text{[math]}$ gilt, falls $\text{[math]}$ eine korrekte Signatur für die Nachricht $\text{[math]}$ ist.

Sicherheitsüberlegungen

Wir schildern kurz, wie offensichtliche Angriffsversuche auf das ElGamal-Signaturschema scheitern.

Die erste Möglichkeit ist, dass ein Angreifer versuchen könnte, eine Zahl $\text{[math]}$ zu wählen und zu diesem $\text{[math]}$ ein passendes $\text{[math]}$ zu finden, um eine Nachricht $\text{[math]}$ zu signieren. Dazu müsste er ein $\text{[math]}$ finden, dass die Gleichung

\text{[math]}

löst. Dies entspricht aber der Berechnung eines diskreten Logarithmus, für die kein effizientes Verfahren bekannt ist.

Ein anderer Ansatz wäre, dass der Angreifer $\text{[math]}$ wählt und versucht, ein passendes $\text{[math]}$ zu finden, um eine Nachricht $\text{[math]}$ zu signieren. Dazu müsste er ein $\text{[math]}$ finden, dass die Gleichung

\text{[math]}

löst, wofür kein effizientes Verfahren bekannt ist.

Die letzte Möglichkeit, die wir diskutieren, ist die folgende. Der Angreifer wählt $\text{[math]}$ und $\text{[math]}$ und möchte eine passende Nachricht $\text{[math]}$ finden, die mit $\text{[math]}$ und $\text{[math]}$ korrekt signiert wäre. Dazu müsste er die Gleichung

\text{[math]}

lösen, was wiederum dem Berechnen des diskreten Logarithmus entspricht. Auch hier wird der Angreifer also scheitern.

Beispiel

Angenommen, es wird eine ElGamal-Signatur für den Text "Signaturen können von großer Bedeutung sein." benötigt. Wie üblich ist der erste Schritt die Ermittlung eines Hashwertes, welcher stellvertretend für die eigentliche Nachricht signiert wird. Für dieses Beispiel werden wir den MD5 Hashwert modulo einer auszuwählenden Primzahl verwenden. Dieser Hashwert beträgt 61 ED 8C 44 A3 67 A6 13 AE 7D C6 BD E5 B0 6C 71, umgewandelt in das Dezimalsystem also

\text{[math]}

Durch die Modulo-Operation dieser Zahl mit der zufällig bestimmten Primzahl $\text{[math]}$ erhalten wir als zu signierenden Wert $\text{[math]}$ .

Schlüsselgenerierung.
Die große Primzahl $\text{[math]}$ wurde schon gewählt, nun benötigen wir ein erzeugendes Element der Gruppe $\text{[math]}$ . Ein solches ist $\text{[math]}$ . Abschliessend wird noch eine Zufallszahl $\text{[math]}$ zwischen $\text{[math]}$ und $\text{[math]}$ generiert, also $\text{[math]}$ , und wir ermitteln

\text{[math]}

Der erzeugte Schlüssel besteht somit aus dem öffentlichen Teil ( $\text{[math]}$ ) und dem privaten Teil ( $\text{[math]}$ ).

Signatur erstellen.
Eine weitere zufällige Zahl $\text{[math]}$ mit $\text{[math]}$ , die teilerfremd zu $\text{[math]}$ ist, muss bestimmt werden, für dieses Beispiel sei $\text{[math]}$ . Nun ergibt sich die gesuchte Signatur $\text{[math]}$ als

\text{[math]}

Signatur prüfen.
Um die erzeugte Signatur zu prüfen, müssen wir $\text{[math]}$ und $\text{[math]}$ berechnen:

\text{[math]}

Da beide Berechnungen den gleichen Wert liefern, ist die Überprüfung erfolgreich und die Signatur kann akzeptiert werden.