Camenisch-Lysyanskaya-Signaturverfahren

Das Camenisch-Lysyanskaya-Signaturverfahren, oft auch als CL-Signaturverfahren bezeichnet, ist ein kryptographisches Verfahren zum Erstellen digitaler Signaturen. Es wurde von den Kryptographen Jan Camenisch und Anna Lysyanskaya entwickelt und im Jahr 2002 publiziert.^[1]

Im Folgenden wird das Signaturverfahren im Detail beschrieben. Die Beschreibung weicht in Details von der Originaldarstellung ab und folgt der Darstellung von Camenisch und Groß.^[2]

Zuerst werden folgende Parameter festgelegt:

• ${\displaystyle {\ell }_n}$: Länge des verwendeten RSA-Moduls; typische Werte sind 1536 oder 2048.
• ${\displaystyle {\ell }_m}$: Maximale Länge der zu signierenden Nachrichten.
• ${\displaystyle L}$: Anzahl der mit einer Signatur signierbaren Nachrichten.
• ${\displaystyle {\ell }_e}$: Sicherheitsparameter; muss ${\displaystyle >{\ell }_m+2}$ sein.
• ${\displaystyle {\ell }_v}$: Sicherheitsparameter; typische Werte sind 80 oder 128.

Die Schlüsselerzeugung werden nun folgende Schritte durchlaufen:

• Man wählt zwei große Primzahlen ${\displaystyle p,q}$ gleicher Bitlänge ${\displaystyle {\ell }_n/2}$, für welche ${\displaystyle \frac{p-1}{2},\frac{q-1}{2}}$ ebenfalls prim sind. Man definiert ${\displaystyle n=pq}$. (Siehe hierzu Sophie-Germain-Primzahl.)
• Man wählt zufällige ${\displaystyle S,Z,R_1,\dots ,R_L\in Q{R}_n}$, wobei ${\displaystyle Q{R}_n}$ die quadratischen Reste modulo ${\displaystyle n}$ beschreibt.

Der private Signaturschlüssel ist ${\displaystyle (p,q)}$, der öffentliche Verifikationsschlüssel besteht aus ${\displaystyle (n,S,Z,R_1,\dots ,R_L)}$.

Ein Tupel von Nachrichten ${\displaystyle (m_1,\dots ,m_L)\in (-2^{{\ell }_m},2^{{\ell }_m}{)}^L}$ wird folgendermaßen signiert:

• Man wählt eine zufällige Primzahl ${\displaystyle e}$ mit Länge ${\displaystyle {\ell }_e>{\ell }_m+2}$, und ${\displaystyle v\in [0,2^{{\ell }_n+{\ell }_m+{\ell }_v})}$.
• Man berechnet ${\displaystyle A={\left(\frac{Z}{S^v{\displaystyle \prod _{i=1}^L}{R}_i^{m_i}}\right)}^{1/e}modn}$.

Die Signatur besteht dann aus ${\displaystyle (e,A,v)}$.

Eine Signatur ${\displaystyle (e,A,v)}$ für ein Tupel ${\displaystyle (m_1,\dots ,m_L)}$ ist gültig falls:

• ${\displaystyle m_i\in (-2^{{\ell }_m},2^{{\ell }_m})}$ für alle ${\displaystyle i=1,\dots ,L}$,
• ${\displaystyle 2^{{\ell }_e-1}<e<2^{{\ell }_e}}$, sowie
• ${\displaystyle Z=A^e{S}^v{\displaystyle \prod _{i=1}^L}{R}_i^{m_i}modn}$.

Das Verfahren ist unter der starken RSA-Annahme sicher. Diese besagt, dass für einen zufälligen Modul ${\displaystyle n}$ der oben beschriebenen Form, und einem zufälligen ${\displaystyle y\in {\mathbb{Z}}_n^{*}}$ es nicht möglich ist, effizient ein ${\displaystyle x\in {\mathbb{Z}}_n^{*}}$ sowie ein ${\displaystyle 1<e\in \mathbb{N}}$ zu finden, sodass ${\displaystyle y=x^{e}modn}$ gilt.

CL-Signaturen werden aufgrund ihrer Eigenschaften häufig als Bausteine für anonyme Authentifizierungsprotokolle verwendet, wie zum Beispiel für Idemix oder Direct Anonymous Attestation.