https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=Probabilistic_Signature_SchemeProbabilistic Signature Scheme - Versionsgeschichte2026-05-23T05:05:35ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=Probabilistic_Signature_Scheme&diff=2806590&oldid=previmported>PerfektesChaos: tk k2023-06-05T19:23:00Z<p>tk k</p>
<p><b>Neue Seite</b></p><div>'''Probabilistic Signature Scheme''' (PSS) oder '''probabilistisches Signaturverfahren''' ist ein von [[Mihir Bellare]] und [[Phillip Rogaway]] entwickeltes [[Kryptographie|kryptographisches]] [[Padding (Informatik)|Paddingverfahren]].<ref name="BR96" /> Im [[Zufallsorakel]]modell kann mit dem PSS aus einer [[Einwegfunktion#Einwegfunktionen mit Falltür (Trapdoor-Einwegfunktionen)|Falltürpermutation]] ein beweisbar sicheres [[Digitale Signatur|Signaturverfahren]] konstruiert werden.<br />
<br />
== Verfahren ==<br />
PSS wurde entwickelt, weil es für die damals existierenden Signaturverfahren keine Sicherheitsbeweise gab, die die Sicherheit des Signaturverfahrens in eine enge Beziehung zur Schwierigkeit des dem Verfahren zugrundeliegenden Problems setzten. Ein solcher Beweis konnte für PSS mit Hilfe von Zufallsorakeln, die ideale [[kryptologische Hashfunktion]]en modellieren, angegeben werden.<br />
<br />
=== Signieren ===<br />
[[Datei:RSASSA-PSS PSS-encode.png|mini|250px|Signatur bei RSA-PSS]]<br />
<br />
Das Verfahren benutzt eine Hashfunktion <math>H</math> und wird durch drei Werte parametrisiert:<br />
* <math>k</math>, die Bitlänge der Menge auf der die Permutation operiert<br />
* <math>k_0</math>, die Länge der Zufallszahl<br />
* <math>k_1</math>, die Ausgabelänge der Hashfunktion <math>H</math><br />
Zum Signieren wird die Nachricht <math>M</math> zusammen mit einer Zufallszahl <math>r</math> zu einem Wert <math>w = H(M|r)</math> gehasht. Da <math>r</math> zur Verifikation benötigt wird, wird sie mit <math>g_1(w)</math> maskiert. Eine weitere Funktion liefert <math>g_2(w)</math>, die <math>k-k_0-k_1-1</math> fehlenden Bits. Aus dem Bitstring <math>y = 0|w|r</math> [[Kontravalenz|<math>\oplus</math>]] <math>g_1(w)|g_2(w)</math> ist nun mittels der geheimen Umkehrung der Einwegpermutation die Signatur <math>s = P^{-1}(y)</math> berechnet.<br />
<br />
=== Verifizieren ===<br />
[[Datei:RSASSA-PSS verify.png|mini|250px|Verifikation bei RSA-PSS]]<br />
<br />
Um eine Signatur <math>s</math> einer Nachricht <math>M</math> zu verifizieren, wird zuerst <math>y = P(s)</math> berechnet und in <math>b|w|r'|s'</math> geparst. Dann wird die Zufallszahl <math>r = r' \oplus g_1(w)</math> wiedergewonnen und überprüft, dass <math>w = H(M|r)</math>,<br />
<math>s' = g_2(w)</math> und <math>b = 0</math> ist. Falls diese Bedingungen erfüllt sind, ist die Signatur gültig, andernfalls nicht.<br />
<br />
== Varianten RSA-PSS ==<br />
1996 beschrieben Bellare und Rogaway in ihrem Papier die Kombination von PSS mit RSA als Falltürpermutation. Im Zufallsorakelmodell ist RSA-PSS ''existentially unforgeable under chosen-message attacks'' ([[EUF-CMA]]) unter der RSA-Annahme.<ref name="BR96" /><br />
<br />
RSA-PSS ist in einer Variante im PKCS#1 ab Version 2.1 standardisiert. Insbesondere wird in diesem Standard die Nachricht zuerst gehasht; dies soll den Einsatz von Smartcards mit geringer Bandbreite als Signaturkarten ermöglichen.<ref name="PKCS21" /><br />
<br />
RSA-PSS ist Teil des großen Herstellerstandard [[Public-Key Cryptography Standards]] (PKCS), welcher schrittweise in [[Request for Comments]] (RFC) überführt wurde. Die Weiterentwicklung von RSAPSS erfolgt nur noch über RFC-Veröffentlichungen.<br />
<br />
== Normen und Standards ==<br />
* {{RFC-Internet |RFC=8017 |Titel=Public-Key Cryptography Standards (PKCS) #1: RSA Cryptography Specifications Version 2.2 |Datum=2016}}<br />
* {{RFC-Internet |RFC=4056 |Titel=Use of the RSASSA-PSS Signature Algorithm in Cryptographic Message Syntax (CMS) |Datum=2005}}<br />
* {{RFC-Internet |RFC=5756 |Titel=Updates for RSAES-OAEP and RSASSA-PSS Algorithm Parameters |Datum=2010 |Kommentar=Konvention für X.509 Zertifikate}}<br />
<br />
== Einzelnachweise ==<br />
<references><br />
<ref name="BR96"><br />
{{Literatur<br />
|Autor=Mihir Bellare, Phillip Rogaway<br />
|Titel=The exact security of digital signatures: How to sign with RSA and Rabin<br />
|Sammelwerk=Advances in Cryptology – EUROCRYPT 96<br />
|Reihe=Lecture Notes in Computer Science<br />
|Band=1070<br />
|Verlag=Springer<br />
|Datum=1996<br />
|Seiten=399-416<br />
|Online=https://www.cs.ucdavis.edu/~rogaway/papers/exact.html}}<br />
</ref><br />
<ref name="PKCS21"><br />
{{Literatur<br />
|Hrsg=RSA Laboratories<br />
|Titel=PKCS #1 v2.1: RSA Cryptography Standard<br />
|Datum=2002<br />
|Online=ftp://ftp.rsasecurity.com/pub/pkcs/pkcs-1/pkcs-1v2-1.pdf}}<br />
</ref><br />
</references><br />
<br />
[[Kategorie:Signaturverfahren]]</div>imported>PerfektesChaos