Schnorr imzası

Kriptografide Schnorr imzası, Schnorr imza algoritması tarafından üretilen dijital imzalamadır. Güvenliği, ayrık logaritma problemlerinin çözülemezliğine dayanır. Kısa imzalar oluşturur ve verimlidir. Rastgele oracle modelde en basit güvenliği kanıtlanmış dijital imzalama modeli olarak düşünüldü. 2008'de geçerliliğini yitiren U.S. Patent 4,995,082 tarafından lisanslanmıştır.^[1]

Algoritma[değiştir | kaynağı değiştir]

Parametrelerin Seçimi[değiştir | kaynağı değiştir]

• İmza modelinin tüm kullanıcıları ayrık logaritmik problemin zor olduğu ${\displaystyle q}$ asal sıradaki ${\displaystyle g}$ üreticisiyle ${\displaystyle G}$ grubu üzerine anlaşırlar. Grup olarak genellikle Schnorr grubu kullanılır.
• Tüm kullanıcılar bir kriptografik hash fonksiyonu üzerinde anlaşırlar: ${\displaystyle H:\{0,1\}^{*}\rightarrow \mathbb {Z} _{q}}$.

Notasyon[değiştir | kaynağı değiştir]

Aşağıda,

• Üs, grup işleminin uygulanmasının tekrarlı yapılması anlamına gelir.
• Dizme, uyum sınıfları kümesi veya grup işleminin uygulaması (duruma göre) üzerinde çarpma işlemini simgeler.
• Çıkartma, denklik grupları üzerinde çıkartma işlemini nitelendirir.
• ${\displaystyle M\in \{0,1\}^{*}}$, sonlu bit kümeleridir
• ${\displaystyle s,e,e_{v}\in \mathbb {Z} _{q}}$, mod ${\displaystyle q}$ için uyum sınıflarıdır.
• ${\displaystyle x,k\in \mathbb {Z} _{q}^{\times }}$, mod ${\displaystyle q}$ için tam sayıların çarpımsal grubudur. (${\displaystyle q}$ asalı için, ${\displaystyle \mathbb {Z} _{q}^{\times }=\mathbb {Z} _{q}\setminus {\overline {0}}_{q}}$)
• ${\displaystyle y,r,r_{v}\in G}$.

Anahtar üretimi[değiştir | kaynağı değiştir]

• İzin verilen kümeden imzalama için ${\displaystyle x}$ gizli anahtarı seçilir.
• Doğrulama açık anahtarı ise ${\displaystyle y=g^{x}}$.

İmzalama[değiştir | kaynağı değiştir]

M mesajını imzalamak için:

• İzin verilen kümeden rastgele bir ${\displaystyle k}$ seçilir.
• ${\displaystyle r=g^{k}}$ bulunur.
• ${\displaystyle e=H(M||r)}$ bulunur.Buradaki || birleştirmeyi gösterir ve ${\displaystyle r}$ bit katarı olarak temsil edilir.
• ${\displaystyle s=(k-xe)}$ hesaplanır.

İmza çifti ${\displaystyle (s,e)}$'dir

${\displaystyle s,e\in \mathbb {Z} _{q}}$ olduğunu unutmayın; eğer ${\displaystyle q<2^{160}}$ ise imza gösterimi 40 byte'a sığabilir.

Doğrulama[değiştir | kaynağı değiştir]

• ${\displaystyle r_{v}=g^{s}y^{e}}$ bulunur.
• ${\displaystyle e_{v}=H(M||r_{v})}$ hesaplanır.

Eğer ${\displaystyle e_{v}=e}$ ise imza doğrulanmış demektir.

Doğruluğun ispatı[değiştir | kaynağı değiştir]

Eğer imzalanmış mesaj doğrulanmış mesaja eşitse ${\displaystyle e_{v}=e}$ olduğunu görmek nispeten kolaydır:

${\displaystyle r_{v}=g^{s}y^{e}=g^{k-xe}g^{xe}=g^{k}=r}$ ve böylece ${\displaystyle e_{v}=H(M||r_{v})=H(M||r)=e}$.

Açık elemanlar: ${\displaystyle G}$, ${\displaystyle g}$, ${\displaystyle q}$, ${\displaystyle y}$, ${\displaystyle s}$, ${\displaystyle e}$, ${\displaystyle r}$. Gizli elemanlar: ${\displaystyle k}$, ${\displaystyle x}$.

Güvenlik değişkeni[değiştir | kaynağı değiştir]

Schnorr imzalama metodu için bilinen kriptografik varsayım standartları altında güvenliğinin bir kanıtı yoktur.

İmzalama metodu, Schnorr'un kimlik protokolüne Fiat-Shamir Dönüşümü uygulanması ile oluşturulmuştur. Bu nedenle (her Fiat ve Shamir'in değişkenleri için), eğer ${\displaystyle H}$ rastgele oracle gibi modellenmiş ise bu yöntem güvenlidir.

Bu güvenlik de ${\displaystyle H}$'nin "rastgele-önek ters görüntü kümesi dayanıklılığı" ve "rastgele-önek ikinci- ters görüntü kümesi dayanıklılığı" altındaki genel grup modelinde iddia edilebilir. Özellikle ${\displaystyle H}$'nin çarpışma dayanıklılığına ihtiyacı yoktur.

Ayrıca bakınız[değiştir | kaynağı değiştir]

• Dijital İmza Algoritması
• ElGamal İmza Algoritması

Kaynakça[değiştir | kaynağı değiştir]

Dış bağlantılar[değiştir | kaynağı değiştir]

• RFC 823518 Mart 2020 tarihinde Wayback Machine sitesinde arşivlendi.