Hi,

in der Vorlesung heute meinte Posegga, dass es nicht sonderlich klug wäre, bei einer PKI für Verschlüsselung (der Nachricht) und die Signatur den gleichen Schlüssel zu verwenden. Kann mir einer erklären warum?!!

Das einzige, was mir dazu einfällt, ist, dass man bei der Signatur jedes Mal einen "known plaintext" hat, aber das kann ja nicht das Problem sein…

Doch, ich vermute, genau das wird er gemeint haben. Signieren tut man ja nicht einmal, sondern relativ haeufig.

Das geht schon in die richtige Richtung. Es handelt sich allerdings nicht um einen "known plaintext"-Angriff, sondern um einen "chosen ciphertext"-Angriff.

Vereinfachtes Beispiel für RSA (T=plaintext, Sö=öffentlicher Schlüssel, Sp=privater Schlüssel, Cö, Cp = Chiffre-Texte): Verschlüsselung: T^Sö = Cö
Signatur: T^Sp = Cp
Entschlüsselung: Cö^Sp = T
Signaturüberprüfung: Cp^Sö = T

Wenn es sich aber um dasselbe Schlüsselpaar Cp/Cö handelt ist auch folgende Signatur-Operation möglich:
Cö^Sp = T^(Sö*Sp) = T
Da es sich bei der Signatur im Prinzip um eine Entschlüsselung handelt, kann einem als zu signierender plaintext auch ein vorheriges Chiffrat Cö untergeschoben werden. Dies ist der "chosen ciphertext" (muss dabei nicht als solcher erkennbar sein). Der Angreifer erhält somit den plaintext T ohne den privaten SChlüssel Sp zu kennen . Die Gefahr liegt abgesehen von der Verwendung nur eines Schlüsselpaars also darin, (unbemerkt) fremde Texte zu signieren.

Bekommt jemand denselben Text mit jedem Schlüssel des Schlüsselpaars "behandelt" in die Hände, ist sogar eine Kompromittierung des privaten Schlüssels möglich:
Cö XOR Cp = (T^Sö) XOR (T^Sp) = Sö XOR Sp
(Das die beiden Schlüssel noch XOR verknüpft sind, ist ein eher geringes Hindernis, da der öffentliche SChlüssel Sö nicht geheim ist).

Ah.. Alles klar! Danke für die ausführliche Erklärung [img]http://www.fb18.de/gfx/14.gif[/img]