k,tk,Fk,Sk,Pk
Dazu kommen die Signaturen des vom Submitter Sk zweimal mit verschiedenen Funktionen signierten Dokuments (Sig1Sk(Pk) und Sig2Sk(Pk)) und die mit zwei verschiedenen Einweg-Hashfunktionen erzeugten Verkettungswerte H1(PEk-1) und H2(PEk-1):
Wk = H1(PEk-1),H2(PEk-1),k,tk,Fk,Sk,Pk,Sig1Sk(Pk),Sig2Sk(Pk)
Diese Werte Wk werden vom Protokollführer mit zwei verschiedenen Signaturfunktionen unterzeichnet und bilden so einen einzelnen Protokolleintrag PEk in der Form:
PEk = Wk,Sig1Fk(Wk),Sig2Fk(Wk)
| Sig1Fk | Sig2Fk | ||||||||||||
| k | tk | Fk | Sk | Sig1Sk | Sig2Sk | H1 | H2 | ||||||
| Pk | PEk-1 | ||||||||||||
Eine weitere Möglichkeit, die Sicherheit des Protokolls zu verstärken
besteht darin, mehr als nur einen Verkettungswert zu benutzen. Läßt
es das Verfahren und die Rechenleistung zu, sollten nicht Hashwerte über
einzelne Protokolleinträge, sondern ein Hashwert über das gesamte
bisherige Protokoll gebildet werden. Damit sinken die Aussichten, eine
Schwäche der Hashfunktion zur Kollisionsbildung auszunutzen, denn
jeder folgende Protokolleintrag müßte zur Hashwertbildung ebenfalls
eine Kollision erzeugen. Einem Angreifer bliebe es nicht erspart, alle,
dem manipulierten Protokolleintrag folgenden Protokolleinträge, neu
zu berechnen.
Wenn der Aufwand dieser Methode der Bildung von Verkettungswerten zu
groß ist, kann ein Angriff auf die Hashfunktion durch geschicktes
Wählen einzelner Verkettungswerte erschwert werden. Wie gezeigt wurde,
sind Chancen für eine Kollisionsfindung nur dann groß genug,
wenn auch Pk,SigSk(Pk)
vom Angreifer verändert werden kann. Werden
die Protokolleinträge zur Bildung der Verkettungswerte aus
Pk,SigSk(Pk)
berechnet, muß ein Angreifer zusätzlich die jeweils unterschiedlichen
Hashwerte bei einer Kollisionssuche berücksichtigen.
| weiter | Inhaltsverzeichnis |