Schnorr-Identifikation

Die Schnorr-Identifikation ist ein 1989/91 von Claus-Peter Schnorr entworfenes kryptographisches Identifikations-Schema, das auf der Schwierigkeit beruht, den diskreten Logarithmus zu berechnen. Aus der Schnorr-Identifikation leitet sich die Schnorr-Signatur ab. Diese digitale Signatur erfordert eine kryptographische Hashfunktion, eine mehrstufige Interaktion wie bei der Fiat-Shamir-Identifikation ist dagegen nicht erforderlich. Schnorr-Identifikation und Schnorr-Signatur wurden patentiert^[1][2] und exklusiv an RSA sowie nicht-exklusiv an Siemens lizenziert; das Patent ist am 23. Februar 2010 abgelaufen.

Alle Benutzer können diese Parameter gemeinsam nutzen:

• Eine Gruppe ${\displaystyle G}$ primer Ordnung ${\displaystyle q=|G|}$. Diese ist zyklisch, ${\displaystyle g}$ sei ein Generator.

Schnorr schlägt vor, eine Untergruppe ${\displaystyle G}$ von ${\displaystyle Z_p^{*}}$ für eine Primzahl ${\displaystyle p}$ zu wählen. Er argumentiert, dass Schlüssel- und Signaturlängen sich auf ${\displaystyle |G|}$ beziehen, das Sicherheitsniveau sich hingegen am größeren ${\displaystyle |Z_p^{*}|}$ orientiert.

Der nur dem Prover P bekannte private Schlüssel besteht aus einer zufällig gewählten Zahl:

• ${\displaystyle x}$ mit ${\displaystyle 0<x<q}$

Der öffentliche Schlüssel ist das ${\displaystyle x}$ entsprechende Gruppenelement ${\displaystyle y}$:

• ${\displaystyle y=g^x}$

Der Prover P identifiziert sich gegenüber dem Verifier V durch ein Protokoll bestehend aus 3 Schritten:

1. Hinterlegung (Commitment): P wählt ${\displaystyle k}$ zufällig mit ${\displaystyle 0<k<q}$ und sendet ${\displaystyle r:=g^{k}modq}$ an V.
2. Frage (Challenge): V wählt ${\displaystyle e}$ zufällig mit ${\displaystyle 0<e<q}$ und sendet ${\displaystyle e}$ an P.
3. Antwort (Response): P sendet ${\displaystyle s:=(k+xe)modq}$ an V.

V akzeptiert die Antwort genau dann, wenn ${\displaystyle g^s=r{y}^e}$

Die Sicherheit der Schnorr-Identifikation ist auf die Komplexität des diskreten Logarithmus beweisbar zu reduzieren, d. h. wer das Schema bricht, kann auch effizient den diskreten Logarithmus berechnen. Von diesem Problem nimmt man allerdings nach Jahrzehnten intensiver Forschung an, dass es effizient nicht zu lösen ist. Diese beweisbare Reduktion auf bekannte, als schwierige eingestufte Probleme ist typisch für Public-Key-Verfahren.

Angenommen, es gäbe einen erfolgreichen Betrüger – einen Betrüger also, der also aus dem öffentlichen Schlüssel effizient ${\displaystyle y=g^x}$ den geheimen Schlüssel ${\displaystyle x}$ bestimmen kann –, so müsste dieser Betrüger dazu in der Lage sein, effizient den diskreten Logarithmus ${\displaystyle x}$ von ${\displaystyle y}$ zu berechnen – im Widerspruch zur Annahme, der diskrete Logarithmus sei schwierig.

1. Simuliere den Algorithmus zur Identifikation, speichere den Zustand vor dem Senden der Frage ${\displaystyle e_1}$ an den Betrüger.
2. Wiederhole die Simulation an gespeicherten Zustand, wähle ein zufälliges ${\displaystyle e_2}$ als Frage (mit großer Wahrscheinlichkeit ${\displaystyle 1/q}$ ist dies ungleich ${\displaystyle e_1}$).

1. Seien ${\displaystyle s_1}$ und ${\displaystyle s_2}$ die beiden (verschiedenen) Antworten zum gleichen Zufallswert ${\displaystyle k}$ bzw. ${\displaystyle r}$
2. Es gilt ${\displaystyle s_1-s_2=(k+x{e}_1)-(k+x{e}_2)=x(e_1-e_2)modq}$, also ${\displaystyle x=(s_1-s_2)/(e_1-e_2)modq}$. Die Division durch ${\displaystyle e_1-e_2}$ ist möglich, da die Differenz modulo q ungleich 0 ist da ${\displaystyle q}$ prim ist, auch ein Inverses modulo q existiert.