Schnorrův podpis

Schnorrův podpis je v kryptografii označení schématu digitálního podpisu navrženého v letech 1989–1991 německým matematikem Clausem Schnorrem. Podobně jako algoritmus DSA ze stejné doby je toto schéma založeno na obtížnosti hledání diskrétního logaritmu v obecných grupách.

• Uživatelé určí grupu ${\displaystyle G}$ řádu ${\displaystyle q}$ a její generátor ${\displaystyle g}$.
• Uživatelé určí kryptografickou hašovací funkci ${\displaystyle H:\{0,1{\}}^{*}\to {\mathbb{Z}}_q}$.

• Uživatel si náhodně zvolí svůj nenulový soukromý klíč ${\displaystyle x\in {\mathbb{Z}}_q}$.
• Veřejným klíčem uživatele je pak hodnota ${\displaystyle y=g^x}$.

Pro danou zprávu ${\displaystyle M}$:

• je náhodně zvoleno nenulové ${\displaystyle k\in {\mathbb{Z}}_q}$
• je spočítáno ${\displaystyle r=g^k}$
• je spočítáno ${\displaystyle e=H(r\parallel M)}$, kde ${\displaystyle \parallel }$ značí sřetězení, a ${\displaystyle r}$ a ${\displaystyle M}$ jsou brány jako bitové řetězce
• je spočítáno ${\displaystyle s=k-xe}$

Podpisem je pak pár ${\displaystyle (s,e)}$, kde ${\displaystyle s,e\in {\mathbb{Z}}_q}$.

• Je spočítáno ${\displaystyle r_v=g^s{y}^e}$
• Je spočítáno ${\displaystyle e_v=H(r_v\parallel M)}$

Pokud ${\displaystyle e_v=e}$, pak je podpis správný.

Podobně jako u principiálně příbuzných schémat DSA, ECDSA a ElGamal je důležité nepoužívat opakovaně stejnou hodnotu ${\displaystyle k}$, jinak může útočník zjistit hodnotu soukromého klíče. V případě Schnorrova podpisu mu k tomu poslouží rovnost

${\displaystyle s^{\prime }-s=(k^{\prime }-k)-x(e^{\prime }-e)}$,

pomocí které lze při ${\displaystyle k^{\prime }=k}$ a ${\displaystyle e\ne e^{\prime }}$ hodnotu ${\displaystyle x}$ získat velice snadno. Kromě toho existují podobně fungující útoky i pro případy, kdy ${\displaystyle k}$ sice nejsou stejná, ovšem nejsou ani zcela náhodná a je nasbírán dostatečný počet ${\displaystyle k}$, která jsou určitým způsobem podobná.

Šablona:Překlad

Šablona:Autoritní data