Die Schnorr-Identifikation ist ein 1989/91 von Claus-Peter Schnorr entworfenes kryptographisches Identifikations-Schema, das auf der Schwierigkeit beruht, den diskreten Logarithmus zu berechnen. Aus der Schnorr-Identifikation leitet sich die Schnorr-Signatur ab. Diese digitale Signatur erfordert eine kryptographische Hashfunktion, eine mehrstufige Interaktion wie bei der Fiat-Shamir-Identifikation ist dagegen nicht erforderlich. Schnorr-Identifikation und Schnorr-Signatur wurden patentiert und exklusiv an RSA sowie nicht-exklusiv an Siemens lizenziert; das Patent ist am 23. Februar 2010 abgelaufen.
Parameter
Systemweite Parameter
Alle Benutzer können diese Parameter gemeinsam nutzen:
- Eine Gruppe primer Ordnung . Diese ist zyklisch, sei ein Generator.
Schnorr schlägt vor, eine Untergruppe von für eine Primzahl zu wählen. Er argumentiert, dass Schlüssel- und Signaturlängen sich auf beziehen, das Sicherheitsniveau sich hingegen am größeren orientiert.
Privater Schlüssel
Der nur dem Prover P bekannte private Schlüssel besteht aus einer zufällig gewählten Zahl:
- mit
Öffentlicher Schlüssel
Der öffentliche Schlüssel ist das entsprechende Gruppenelement :
Drei-Schritt-Protokoll
Der Prover P identifiziert sich gegenüber dem Verifier V durch ein Protokoll bestehend aus 3 Schritten:
- Hinterlegung (Commitment): P wählt zufällig mit und sendet an V.
- Frage (Challenge): V wählt zufällig mit und sendet an P.
- Antwort (Response): P sendet an V.
V akzeptiert die Antwort genau dann, wenn
Sicherheitsdiskussion (informell)
Die Sicherheit der Schnorr-Identifikation ist auf die Komplexität des diskreten Logarithmus beweisbar zu reduzieren, d. h. wer das Schema bricht, kann auch effizient den diskreten Logarithmus berechnen. Von diesem Problem nimmt man allerdings nach Jahrzehnten intensiver Forschung an, dass es effizient nicht zu lösen ist. Diese beweisbare Reduktion auf bekannte, als schwierige eingestufte Probleme ist typisch für Public-Key-Verfahren.
Angenommen, es gäbe einen erfolgreichen Betrüger – einen Betrüger also, der also aus dem öffentlichen Schlüssel effizient den geheimen Schlüssel bestimmen kann –, so müsste dieser Betrüger dazu in der Lage sein, effizient den diskreten Logarithmus von zu berechnen – im Widerspruch zur Annahme, der diskrete Logarithmus sei schwierig.
- Simuliere den Algorithmus zur Identifikation, speichere den Zustand vor dem Senden der Frage an den Betrüger.
- Wiederhole die Simulation an gespeicherten Zustand, wähle ein zufälliges als Frage (mit großer Wahrscheinlichkeit ist dies ungleich ).
- Seien und die beiden (verschiedenen) Antworten zum gleichen Zufallswert bzw.
- Es gilt , also . Die Division durch ist möglich, da die Differenz modulo q ungleich 0 ist da prim ist, auch ein Inverses modulo q existiert.