Algorithmische Kryptographie Kapitel 18 Zusammenfassung

(1)

Algorithmische Kryptographie Kapitel 18

Zusammenfassung

Walter Unger

Lehrstuhl f¨ur Informatik 1

30. Januar 2009

(2)

Symmetrische Verfahren

Wie ist ein symmetrisches Verfahren definiert Was zeichnet ein symmetrisches Verfahren aus Was ist der Nachteil eines symmetrisches Verfahren Was zeichnet den One-Time-Pad aus

Welche symmetrischen Verfahren gibt es Wie arbeitet C-36

Was ist eine Idee vieler symmetrischer Verfahren Wie arbeitet DES

Welche Vorteile, Nachteile hat DES? Wie kann man DES sicherer machen Wie mache ich aus DES einen Streamcipher

Wie arbeitet IDEA

Wie arbeitet IDEA im Detail Wie arbeitet AES

Wie arbeitet AES Public-Key Systeme, RSA

Welche Vorteile/Nachteile haben Public-Key Systeme Muss man einen Schl¨usselaustausch machen

Welche Probleme kann man zum Aufbau eines Public-Key Systems nutzen Was ist eine One-Way Funktion? Welche One-Way Funktionen gibt es Wie geht das Public-Key System mit SAT

Wie arbeitet die Verschl¨usselung nach dem Rucksackverfahren Warum ist die Verschl¨usselung nach dem Rucksackverfahren korrekt

(3)

Wie erfolgt der Angriff auf das Rucksackverfahren Wie erfolgt der Angriff auf das Rucksackverfahren Wie erfolgt der Angriff auf das Rucksackverfahren Wie funktioniert RSA

Warum ist die Entschl¨usselung eindeutig Wie beweist man Bit-Sicherheit f¨ur<n/2

Wie ist die Idee zum Beweise der Bit-Sicherheit des LSB Wie ist die Idee zum Beweise der Bit-Sicherheit des LSB Was ergibt sich, wenn jemandϕ(n) ausnundebestimmen kann Was ergibt sich, wenn jemandd ausnundebestimmen kann Wie sicher ist RSA

Rabin, ElGamal, ECC, Hashf.

Wie ist das System von Rabin aufgebaut Wie sicher ist das System von Rabin

Wie funktioniert eine Unterschrift nach Rabin Was ist die Idee des Verfahrens nach ElGamal Wie funktioniert ElGamal

Wie funktioniert ElGamal

Wie funktionert eine Unterschrift nach ElGamal

Was ist der Unterschied zwischen der Verschl¨usselung mit Elliptischen Kurven und ElGamal

Was ist eine Elliptische Kurve

(4)

Wie funktioniert ECC

Wie wird die Eingabe beim ECC auf den Körper abgebildet Wie wird die Eingabe beim ECC auf den Körper abgebildet Wie sieht ECC im Überblick aus

Wie arbeitet das OAEP Verfahren

Wie konstruiert man eine Kompressionsfunktion Wie konstruiert man eine Hashfunktion

Wie ist die Beweisidee bei Merkles Meta Methode Welche Eigenschaften werden zum Primzahltest verwendet Welche Fallen gibt es bei Quittungen

(5)

Symmetrische Verfahren Public-Key Systeme, RSA Rabin, ElGamal, ECC, Hashf.

Wie ist ein symmetrisches Verfahren definiert (18:1) Walter Unger Z

Frage 1:

Wie ist ein symmetrisches Verfahren definiert?

Definition

Ein Verschl¨usselungsverfahren heißtklassischbzw.symmetrisch, falls man aus E [D] (und Schl¨usselk) direkt aufD [E] schließen kann.

(6)

Was zeichnet ein symmetrisches Verfahren aus (18:2) Walter Unger Z

Frage 2:

Was zeichnet ein symmetrisches Verfahren aus?

I Schnell I Bitschaufelei

(7)

Was ist der Nachteil eines symmetrisches Verfahren (18:3) Walter Unger Z

Frage 3:

Was ist der Nachteil eines symmetrisches Verfahren?

I Bei einem klassischen Verfahren muss der Schl¨ussel vor der Benutzung sicher ausgetauscht werden.

I Schl¨usselverwaltung I Wahl der Schl¨ussel I Keine Unterschriften

(8)

Was zeichnet den One-Time-Pad aus (18:4) Walter Unger Z

Frage 4:

Was zeichnet den One-Time-Pad aus?

I EOne−Time−Pad Z

Z^r₂ : ZZ^r2→ZZ^r2. I DOne−Time−Pad

Z

Z^r₂ : ZZ^r2→ZZ^r2. I EOne−Time−Pad

k₁,k₂,...kr (a1,a2, . . .ar) =a1⊕k1,a2⊕k2, . . .ar⊕kr. I DOne−Time−Pad

k₁,k₂,...k_r (c1,c2, . . .cr) =c1⊕k1,c2⊕k2, . . .cr⊕kr. I Zu jedem ¨ubertragenen Bit ist ein Schl¨usselbit notwendig.

I Verfahren ist beweisbar sicher.

I Zu jedem Paar von Crypttext und Plaintext gibt es einen passenden Schl¨ussel.

I Verfahren ist kommutativ.

(9)

Welche symmetrischen Verfahren gibt es (18:5) Walter Unger Z

Frage 5:

Welche symmetrischen Verfahren gibt es?

Caesar, Affines System, Keyword Caesar, Vigenere, GIB, Hill, Playfair, Autoclave, Jefferson Wheel, C-36 (M-209) DES, AES, IDEA, ...

(10)

Wie arbeitet C-36 (18:6) Walter Unger Z

Frage 6:

Wie arbeitet C-36?

0010101111100100000101011110010000010101111001000 1001010001101101010100101000101101010100101000101101010 1001010010101010101001001010010010101010010010100100101010100 001000100100010101010000010001001001010101000

0000101100010101010100100000010110010101010100100 000001010000000100011001000000010100000010001100100

v₁₀= (111000) v₂₂= (010010) v₄₃= (000010)

(011001)× 0 B B B B B

@

100000000000100000000000000 011011011001001001100100000 000000001100001100010110001 100100100010100010001001010 010010000100010011000000100 000001000001000001000010000

1 C C C C C A

Ergebnis ist 011012012102002002110220001 Hit-number von (011001) ist 15.

c_i= (#_>1(v_iM)−a_i) mod 27

a_i= (#_>1(v_iM)−c_i) mod 27

(11)

Was ist eine Idee vieler symmetrischer Verfahren (18:7) Walter Unger Z

Frage 7:

Was ist eine Idee vieler symmetrischer Verfahren?

Eingabe

6

Ausgabe?

S₁ ⁺- ^S2 ^⊕- ^S3 ⁺- ^S4 ^⊕- ^S5 ⁺- ^S6^⊕- ^S7 ⁺- ^S8⊕ K₁ -

?

2 K₂ -

?

1 K₃ -

?

2 K₄ -

?

1 K₅ -

?

2 K₆ -

?

1 K₇ -

?

2 K₈

?

2 Sch¨ussel

?

K_i≡ shift (imod 2) + 1

S_i≡

 ⊕ falls 0≡i (mod 2) + sonst

000011

001100 011000 100001 000011 001100 011000 100001 000011

000101

010001 001001 101010 101001 110101 101101 001110

001101

(12)

Wie arbeitet DES (18:8) Walter Unger Z

Frage 8:

Wie arbeitet DES?

P(64)

??

Eing.

?

32 32 -32 32 -32 32 -32 32- . . . 32 32 -32 32 P(64)

6

Aus.

- - ?

?

⊕ - ?

?

⊕ - ?

?

⊕ - ?

?

. . . ⊕

6

?

F

6

?

F

6

?

F

6

?

F . . .

. . .

. . . . . . 56B48?

?

56B48

?

56B48

?

56B48

. . .

- Shift -Shift - Shift . . . -Shift

P(56)

Par.

Schl.

6 6 32B48

48B32

⊕

6

?

? - ³²B48

48B32

⊕

6

?

? - ³²B48

48B32

⊕

6

?

- ³²B48

48B32

⊕

6

?

? -

. . . . . .

(13)

Welche Vorteile, Nachteile hat DES? Wie kann man DES sicherer machen (18:9) Walter Unger Z

Frage 9:

Welche Vorteile, Nachteile hat DES? Wie kann man DES sicherer machen?

I Vorteile:

I schnell

I erster Standard

I Probleme bei Analyse sind von NP-schwer.

I Nachteile:

I Schl¨ussell¨ange ist konstant

I Sinn der S-Boxen teilweise unklar

I Verdacht einer Hintert¨ur

I mit Spezialhardware vollständige Schlüsselsuche möglich (Preis 1984: ca. US$ 1.000.000)

I Heute in ca. 24 Stunden mit verteiltem Rechnen

I Verbesserungen: Triple-DES, Multi-DES, DESX

(14)

Wie mache ich aus DES einen Streamcipher (18:10) Walter Unger Z

Frage 10:

Wie mache ich aus DES einen Streamcipher?

I ecb: Electronic Codebook Mode.

I cbc: Cipher-Block Chaining Mode.

I cfb: Cipher Feedback Mode.

I ofb: Output Feedback Mode.

(15)

Wie arbeitet IDEA (18:11) Walter Unger Z

Frage 11:

Wie arbeitet IDEA?

Y?₁ Y?₂ Y?₃ Y?₄

Schl¨ussel vonZ₁⁽⁹⁾bisZ₄⁽⁹⁾

extra Runde ? ? ? ?

Schl¨ussel vonZ₁⁽⁸⁾bisZ₆⁽⁸⁾

achte Runde ? ? ? ?

Schl¨ussel vonZ₁⁽⁷⁾bisZ₆⁽⁷⁾

siebente Runde ? ? ? ?

Schl¨ussel vonZ₁⁽⁶⁾bisZ₆⁽⁶⁾

sechste Runde ? ? ? ?

Schl¨ussel vonZ₁⁽⁵⁾bisZ₆⁽⁵⁾

f¨unfte Runde ? ? ? ?

Schl¨ussel vonZ₁⁽⁴⁾bisZ₆⁽⁴⁾

vierte Runde ? ? ? ?

Schl¨ussel vonZ₁⁽³⁾bisZ₆⁽³⁾

dritte Runde ? ? ? ?

Schl¨ussel vonZ₁⁽²⁾bisZ₆⁽²⁾

zweite Runde ? ? ? ?

Schl¨ussel vonZ₁⁽¹⁾bisZ₆⁽¹⁾

erste Runde ? ? ? ?

X₁ X₂ X₃ X₄

(16)

Wie arbeitet IDEA im Detail (18:12) Walter Unger Z

Frage 12:

Wie arbeitet IDEA im Detail?

Verschl¨usselung Z₁⁽⁸⁾-fp

?

? -

?_Z(8)

2-

?

? -

? _Z(8)

3-

?

?_Z(8) 4-fp

?

f

HH

f f

Z₅⁽⁸⁾-fp-

?

?fpZ₆⁽⁸⁾

f

? f

?

-

?

-

Z₁⁽⁹⁾-fp?

Z₂⁽⁹⁾-?

Z₃⁽⁹⁾-?

Z₄⁽⁹⁾-fp?

HH

t t t t

F

A B C D

A⁰ B⁰ C⁰ D⁰

A⁰=A⊕Fr(A⊕C,B⊕D) A=A⁰⊕ −F_r(A⊕C,B⊕D)

A⊕ −A⁰=C⊕ −C⁰bzw.

A⊕ −C=A⁰⊕ −C⁰

Entschl¨usselung Z₁⁽⁹⁾-⁻¹fp

?

? -

?_−Z(9)

-2

?

? -

? _−Z(9)

-3

?

?Z₄⁽⁹⁾-⁻¹fp

?

f

HH

f f

Z₅⁽⁸⁾-fp-

?

?fpZ₆⁽⁸⁾

f

? f

?

-

?

-

t t t t

F

A B C D

A⁰ B⁰ C⁰ D⁰

A⊕A⁰=C⊕C⁰ A=A⁰⊕F_r(A⁰⊕C⁰,B⁰⊕D⁰)

(17)

Wie arbeitet AES (18:13) Walter Unger Z

Frage 13:

Wie arbeitet AES?

I Rijndael(State,CipherKey)

I KeyExpansion(CipherKey,ExpandedKey);

I AddRoundKey(State,ExpandedKey[0]);

I for (i := 1;i<Nr; i+ + ) Round(State,ExpandedKey[i]);

I FinalRound(State,ExpandedKey[Nr]);

I Round(State,ExpandedKey[i])

I SubBytes(State);

I ShiftRows(State);

I MixColumns(State);

I AddRoundKey(State,ExpandedKey[i]);

I Round(State,ExpandedKey[Nr])

I SubBytes(State);

I ShiftRows(State);

I AddRoundKey(State,ExpandedKey[Nr]);

(18)

Wie arbeitet AES (18:14) Walter Unger Z

Frage 14:

Wie arbeitet AES?

I Rijndael:

I Bitschaufellei auf 8-Bit Bl¨ocken.

I 8-Bit Bl¨ocke zu gr¨oßeren Gruppen zusammengefasst.

I Intern:

I Status

I Schl¨ussel

(19)

Welche Vorteile/Nachteile haben Public-Key Systeme (18:15) Walter Unger Z

Frage 15:

Welche Vorteile/Nachteile haben Public-Key Systeme?

I Typischerweise beliebige Schl¨ussell¨angen.

I Typischerweise langsamer als klassische Verfahren.

I Mehr Einsatzgebiete.

I Unterschriften.

I Einsatz in Protokollen.

I Einfachere Schl¨usselverwaltung.

I Veröffentlichen öffentlichen Schlüssel.

(20)

Muss man einen Schl¨usselaustausch machen (18:16) Walter Unger Z

Frage 16:

Muss man einen Schl¨usselaustausch machen?

A:Ek_A,Dk_A,w B:Ek_B,Dk_B

Bestimmtc1=Ek_A(w) c1

c2-

^Bestimmt^c²⁼^E^kB(c1) Bestimmtc3=Dk_A(c2) c3

-

Bestimmtw⁰=Dk_B(c3) w⁰=Dk_B(Dk_A(c2)) w⁰=Dk_B(Dk_A(Ek_B(c1))) w⁰=Dk_B(Dk_A(Ek_B(Ek_A(w))))

(21)

Welche Probleme kann man zum Aufbau eines Public-Key Systems nutzen (18:17) Walter Unger Z

Frage 17:

Welche Probleme kann man zum Aufbau eines Public-Key Systems nutzen?

I Systeme ¨uber NP-schwere Probleme (z.B. SAT, Rucksack) I Systeme ¨uber Faktorisierung

I Systeme ¨uber den diskreten Logarithmus I Systeme ¨uber elliptische Kurven

I Systeme ¨uber Polynomringe I Systeme ¨uber fehlertolerante Codes

I Systeme ¨uber Homomorphismen (Aufbau noch unklar) I Systeme ¨uber endlichen Automaten (vor allem in China)

(22)

Was ist eine One-Way Funktion? Welche One-Way Funktionen gibt es (18:18) Walter Unger Z

Frage 18:

Was ist eine One-Way Funktion? Welche One-Way Funktionen gibt es?

(23)

Wie geht das Public-Key System mit SAT (18:19) Walter Unger Z

Frage 19:

Wie geht das Public-Key System mit SAT?

I Fi :{0,1}²ⁿ→ {0,1}f¨uri∈ {0,1}mit:

I ∃e1, . . . ,en∈ {0,1}ⁿmit:

∀e₁⁰, . . . ,e_n⁰ ∈ {0,1}ⁿ,i∈ {0,1}:Fi(e1, . . . ,en,e⁰₁, . . . ,e_n⁰) =i I Der geheime Schl¨ussel wird nune1, . . . ,en.

I Der ¨offentliche Schl¨ussel sind die beiden FormelnF0,F1.

I Um ein Bitm∈ {0,1}zu schicken wird die FormelFmumgeformt:

I Es wird eine Belegunge₁⁰, . . . ,en⁰ der Variableny1, . . . ,yn zuf¨allig gew¨ahlt.

I Damit wird nun eine neue FormelFm⁰ aufgebaut:

Fm⁰ : {0,1}ⁿ→ {0,1}

F_m⁰(x1, . . . ,xn) =Fm(x1, . . . ,xn,e₁⁰, . . . ,e_n⁰)

I Nun wird die FormelFm⁰ durch Umformung zur FormelFm⁰⁰verfremdet.

I Dabei gilt∀x1, . . . ,xn:F_m⁰⁰(x1, . . . ,xn) =F_m⁰(x1, . . . ,xn).

I Diese neue FormelFm⁰⁰wird ver¨offentlicht.

I Das Verfahren zeigt gleichzeitig, dass aus jedem NP-vollst¨andigen Problem ein Public-Key-Verfahren aufgebaut werden kann. Dies ergibt sich aus den bekannten Reduktionen vom SAT-Problem.

(24)

Wie arbeitet die Verschl¨usselung nach dem Rucksackverfahren (18:20) Walter Unger Z

Frage 20:

Wie arbeitet die Verschl¨usselung nach dem Rucksackverfahren?

Definition

Ein VektorR= (r1,r2, . . . ,rk) heißtstark steigend :⇐⇒ ∀j: 1<j<k:rj> X

16i<j

ri.

I W¨ahle stark steigenden VektorA= (a1, . . . ,ak) I W¨ahlem>Pk

i=1ai

I BestimmetmitggT(t,m) = 1

I BestimmeB= (b1, . . . ,bk) mitbi=t·ai modm I Ver¨offentlicheB

I Die Verschl¨usselungsfunktion lautet nunE_B^KS2: ZZ^n·k2 →ZZⁿ. I Und die Entschl¨usselungsfunktionD_A,t,m^KS2 : ZZⁿ→ZZ^n·k₂ .

(25)

Warum ist die Verschl¨usselung nach dem Rucksackverfahren korrekt (18:21) Walter Unger Z

Frage 21:

Warum ist die Verschl¨usselung nach dem Rucksackverfahren korrekt?

Lemma

Sei A= (a₁, . . . ,a_k)ein stark steigender Vektor. B entsteht aus A durch starke modulare Multiplikation mittels m,t. Sei weiter u≡t⁻¹modm (d.h. umodm=t⁻¹). Seiβbeliebig undα=uβmodm. Dann folgt:

1. Das Rucksackproblem(A, α)ist eindeutig lösbar in Linearzeit (d.h. keine oder eine Lösung, falls Parameter frei wählbar).

2. Das Rucksackproblem(B, β)hat keine oder genau eine L¨osung.

3. Wenn(B, β)eine Lösung hat, dann ist der Lösungsvektor gleich der eindeutigen Lösung von(A, α).

Beweis.

Sei dabeiDL¨osung von (B, β),β=BD

α≡uβ=uBD≡u(tA)D≡AD(modm) Beachte: AD<mundα <mwegen starker modularer Multiplikation

⇒α=AD

(26)

Wie erfolgt der Angriff auf das Rucksackverfahren (18:22) Walter Unger Z

Frage 22:

Wie erfolgt der Angriff auf das Rucksackverfahren?

- 6

u/m 1

a₁/m

a₂/m

a₃/m

(27)

Frage 23:

I Im Folgenden werden nun diese Lösungsbereiche für _mû bestimmt und jeder Lösungsbereich betrachtet.

I Weiterhin werden Bedingungen an _m^u formuliert, die notwendig sind, damitAstark steigend wird.

I Falls ein Bereich gefunden wird, in dem _mû eine mögliche Lösung ist, reduziert sich das Problem auf das SuchenDiophantischer Zahlen innerhalb dieses Bereichs.

I Es sind nun zwei Schritte notwendig:

1. Die Bestimmung der H¨aufungspunkte

2. Teste jeden Häufungspunkt auf mögliche Lösung

(28)

Frage 24:

I Teile das betrachtete Intervall in Teilintervalle ohne Spr¨unge.

I Diese Intervalle seien nun (xj,xj+1) mit 16j6y. I Auf diesem Intervall haben die Kurven die Gestaltbi−c_i^j. I D.h.c_i^j sind Konstanten, die voni undj abh¨angen.

I Teste diese Kurven auf starke Steigung und starke modulare

Multiplikation, d.h. untersuche f¨ur Variablev ( ˆ=u/m) mitxj<v<xj+1: Pk

i=1(biv−cij

)<1 starke modulare Multiplikation Pi−1

l=1(blv−clj)<biv−cij, 26i 6k I Falls eine L¨osung vorhanden ist, bestimmex ∈I∩QI.

(29)

Wie funktioniert RSA (18:25) Walter Unger Z

Frage 25:

Wie funktioniert RSA?

1. w¨ahlep,q große Primzahlen

2. setzen:=p·q,ϕ(n) = (p−1)(q−1)

ϕ(n) = |{a:ggT(a,n) = 1,06a6n}|

ϕ(1) = 1

ϕ(p^b) = p^b−p^b−1

ϕ(m,n) = ϕ(m)·ϕ(n)

3. w¨ahle großesd>1 mitggT(d, ϕ(n)) = 1 und bestimmee mite·d≡1

modϕ(n) (Inverses zud)

(30)

Warum ist die Entschl¨usselung eindeutig (18:26) Walter Unger Z

Frage 26:

Warum ist die Entschl¨usselung eindeutig?

Wederpnochqteiltw

⇒ w^ϕ(n)≡1(modn) (nach Euler−Theorem)

⇒ w^jϕ(n)≡1(modn)

⇒ w^ed−1≡1(modn)

⇒ w^ed≡w(modn)

⇒ c^d≡w(modn)

(31)

Wie beweist man Bit-Sicherheit f¨ur<n/2 (18:27) Walter Unger Z

Frage 27:

Wie beweist man Bit-Sicherheit f¨ur<n/2?

I Angenommen, es gibt OrakelH mitH(e,n,x^e modn) = 1⇐⇒x <ⁿ₂. I Idee:Halbierungssuche unter Verwendung vonH.

I Verwende Werte:

xê modn = xê modn 2êxêmodn = (2x)êmodn 4êxêmodn = (4x)êmodn 8êxêmodn = (8x)êmodn 16êxêmodn = (16x)êmodn

I Damit wird dann durch Bin¨arsuche das Intervall, in demx liegt immer weiter eingeschr¨ankt.

(32)

Wie ist die Idee zum Beweise der Bit-Sicherheit des LSB (18:28) Walter Unger Z

Frage 28:

Wie ist die Idee zum Beweise der Bit-Sicherheit des LSB?

I Idee:Versuchex bitweise zu bestimmen.

I Fallsx gerade ist, teile trickreich durch 2.

I Fallsx ungerade ist, teilex−1 durch 2.

I Fallsx ungerade ist, teilen−x durch 2.

I Es taucht das Problem auf, wiex durch 2 geteilt werden kann.

I Sei dazukdas Inverse von 2^e,

d.h.khat die Formh^e≡kmodnmit 2^ek≡1 modn.

I Dann kannx wie folgt ,,halbiert” werden (x gerade):

kxê ≡hê·xê≡(h·x)ê modn

(33)

Wie ist die Idee zum Beweise der Bit-Sicherheit des LSB (18:29) Walter Unger Z

Frage 29:

Wie ist die Idee zum Beweise der Bit-Sicherheit des LSB?

I r(1) =x^e modn(Krypttext).

I ans(1) = Antwort des Orakels aufr(1).

I Fallsr(i−1) undans(i−1) gegeben sind:

r(i) =

 r(i−1)kmodn fallsans(i−1) = 0 (n−r(i−1))kmodn fallsans(i−1) = 1

I Es gilt f¨ur 16i6N:ans(i) ist Antwort des Orakels auf Anfrager(i).

I t(N) =ans(N)

I Fallst(i) gegeben ist, dann ergibt sicht(i−1) nach

t(i−1) = 8

<

:

t(i)0 ;ans(i−1) = 0

Last(bin(n)−t(i)0) ;ans(i−1) = 1∧int(t(i)0)<n Last(t(i)0−bin(n)) ;ans(i−1) = 1∧int(t(i)0)>n

(34)

Was ergibt sich, wenn jemandϕ(n) ausnundebestimmen kann (18:30) Walter Unger Z

Frage 30:

Was ergibt sich, wenn jemandϕ(n) ausnundebestimmen kann?

Lemma

Fallsϕ(n)berechnet werden kann, dann gibt es ein Verfahren, das p,q bestimmt.

Beweis.

I ϕ(n) = (p−1)(q−1)⇒p+q=n−ϕ(n) + 1

I p

(p+q)²−4n=p

2n+p²+q²−4n

I =p

p²+q²−2n

I =p

(p−q)²

I =p−q

I ^n−ϕ(n)+1+

√

(n−ϕ(n)+1)²−4n

2 =p

(35)

Was ergibt sich, wenn jemanddausnundebestimmen kann (18:31) Walter Unger Z

Frage 31:

Was ergibt sich, wenn jemandd ausnunde bestimmen kann?

Lemma

Falls d berechnet werden kann, gibt es ein probabilistisches Verfahren, das p,q bestimmt.

Vorgehen

I Bekannt iste,d,n. Das Ziel ist die Bestimmung vonpundq.

I W¨ahle einw mit 16w 6n I Versuche,nmitw zu faktorisieren.

I Dies wird mit einer Wahrscheinlichkeit>0,5 gelingen.

I Dann ist die Wahrscheinlichkeit, nachk Tests kein passendesw gefunden zu haben = 1−2^−k.

I Das Verfahren kann deterministisch gemacht werden.

(36)

Wie sicher ist RSA (18:32) Walter Unger Z

Frage 32:

Wie sicher ist RSA?

I p,qsollten nicht nahe beieinander liegen (z.B. keine Primzahlzwillinge) I p,qsollten zufällig gewählt werden, d.h. nicht aus Tabellen bekannt sein I Wählep,qso, daßggT(p−1,q−1) klein ist.

I W¨ahle sichere Primzahlen, d.h. auch ^p−1₂ und ^q−1₂ sind Primzahlen.

I e undd sollten gross sein.

I Man sollte ein OAEP Verfahren (optimal asymmetric encription padding) verwenden.

(37)

Wie ist das System von Rabin aufgebaut (18:33) Walter Unger Z

Frage 33:

Wie ist das System von Rabin aufgebaut?

I Bei dem System von Rabin wird als Einwegfunktion verwendet: ZZn→ZZn

mitm7→m²modn.

I Aufbau:

I Man bestimmt zwei große Primzahlenp,q mitp,q≡3 (mod 4).

I Dazu testet man Zahlen der Form 4k+ 3 auf die Primzahleigenschaft.

I Dann setzt mann=p·q.

I Die Verschl¨usselungsfunktion istEn^Rabin: ZZn→ZZnmit En^Rabin(m)7→m²modn.

I Die Entschl¨usselungsfunktion istD_n^Rabin: ZZn→ZZn.

I Zur Entschl¨usselung wird der Chinesische Restklassensatz verwendet.

(38)

Wie sicher ist das System von Rabin (18:34) Walter Unger Z

Frage 34:

Wie sicher ist das System von Rabin?

I Das System von Rabin ist so sicher, wie die Faktorisierung schwer ist.

I Falls man auf den AlgorithmusDp,q^Rabinzugreifen kann, so kann mann faktorisieren.

I Dazu gehe man wie folgt vor.

I W¨ahlemmit 0<m<n.

I Setzec:=m²modn.

I Setzey :=D_p,q^Rabin(c).

I Fallsm6≡ ±y (modn) kannnfaktorisiert werden.

(39)

Wie funktioniert eine Unterschrift nach Rabin (18:35) Walter Unger Z

Frage 35:

Wie funktioniert eine Unterschrift nach Rabin?

I Um eine Unterschrift mit dem System von Rabin zu erzeugen, verwendet man eine Hashfunktionh:M× {0,1}^k→ZZnmit (m,x)7→h(m,x).

I Dazu w¨ahlt man zuf¨alligx bish(m,x) ein Quadrat in ZZn ist.

I Danach bestimmt man die Wurzely vonh(m,x).

I Die Unterschrift ist dann (m,x,y).

I Diese Unterschrift wird durchh(m,x)≡y² (modn) getestet.

(40)

Was ist die Idee des Verfahrens nach ElGamal (18:36) Walter Unger Z

Frage 36:

Was ist die Idee des Verfahrens nach ElGamal?

Gebe beim Verschl¨usseln Zusatzinformation zur Entschl¨usselung.

(41)

Wie funktioniert ElGamal (18:37) Walter Unger Z

Frage 37:

Wie funktioniert ElGamal?

A:x,y,g B:m,y,g

WählepPrimzahl mitp−1 hat großen Primfaktor Wähle Generatorg ∈ZZ^∗_p Wählex∈ {1, . . . ,p−2}

y:=g^x modp

y,g -

W¨ahlek mit ggT(k,p−1) = 1 a≡g^kmodp

b≡my^k≡mg^xk modp a,b

m=b/a^xmodp

(42)

Wie funktioniert ElGamal (18:38) Walter Unger Z

Frage 38:

Wie funktioniert ElGamal?

I W¨ahle zuf¨alligx∈ {1, . . . ,p−2}.

I Bestimmey:=g^xmodp.

I Der geheime Schl¨ussel ist dann (p,g,x).

I Der ¨offentliche Schl¨ussel ist dann (p,g,y).

I Die Verschl¨usselungsfunktion ist dannE_p,g,y^ElGamal: ZZ^∗_p →ZZ^∗_p×ZZ^∗_p.

I W¨ahlekzuf¨allig mit ggT(k,p−1) = 1.

a≡g^kmodp b≡my^k≡mg^xkmodp

I E_p,g,y^ElGamal(m)7→(a,b).

I Die Entschl¨usselungsfunktion ist dannE_p,g,y^ElGamal: ZZ^∗_p×ZZ^∗_p→ZZ^∗_p.

I Wenn (a,b) = (g^k,my^k) = (g^k,mg^xk) emfangen worden ist, dann bestimme:

I h:=a^x modp. Beachte dabei:a^x ≡g^kx (modp).

I m:=b·h⁻¹modp. Beachte hierbei:

b/a^x ≡y^km/a^x ≡g^kxm/a^x ≡m·g^kx/g^kx≡m (modp).

I Damit gilt:E_p,g,y^ElGamal(a,b)7→b/a^xmodp.

(43)

Wie funktionert eine Unterschrift nach ElGamal (18:39) Walter Unger Z

Frage 39:

Wie funktionert eine Unterschrift nach ElGamal?

A:m,y,g B:m,x,y,g

W¨ahlep Primzahl mitp−1 hat großen Primfaktor W¨ahle Generatorg∈ZZ^∗p

W¨ahlex ∈ {1, . . . ,p−2}

y,g

^y^:=^g

x modp

W¨ahlek mit ggT(k,p−1) = 1 r≡g^kmodp

r,s,m

^s^:=^k

−1(m−rx) modp−1 Teste, ob gilt 16r6p−1

Bestimmev :=g^mmodp Bestimmew :=y^rr^smodp Teste, ob giltv=^? w

(44)

Was ist der Unterschied zwischen der Verschl¨usselung mit Elliptischen Kurven und ElGamal (18:40) Walter Unger Z

Frage 40:

Was ist der Unterschied zwischen der Verschl¨usselung mit Elliptischen Kurven und ElGamal?

Anderer K¨orper!

(45)

Was ist eine Elliptische Kurve (18:41) Walter Unger Z

Frage 41:

Was ist eine Elliptische Kurve?

Definition

Elliptisch Kurve Eine elliptische Kurve ist der GraphE (bzw.Ea,b) der Gleichungy²=x³+a·x+b, mitx,y,a,b∈R(bzw.Q,Z,Nm). Weiterhin geh¨ort zuE der Punkt∞.

I Obige Form heißt die Weierstrass Form.

I Der Punkt∞wird das neutrale Element.

(46)

Wie funktioniert ECC (18:42) Walter Unger Z

Frage 42:

Wie funktioniert ECC?

I Ziel: Gruppenoperationen auf Graphen vonf(x,y) = 0.

I Operation: zu zwei Punkten auff(x,y) = 0 bestimme dritten Punkt auff(x,y) = 0.

I Ansatz: Nutze Gerade zur Bestimmung des dritten Punktes.

I Ansatz: Gerade durch zwei PunkteP,Qbestimmt dritten Punkt.

I Ansatz: w¨ahlef(x,y) = 0 vom Grad 3.

I Gerade:g(x,y) =a·x+b·y+c= 0 mitb6= 0.

I L¨osung:f(x,(−a·x−c)/b) = 0 ist kubische Gleichung inx.

I Hat 3 L¨osungen, zwei sind bekannt.

I Dritte ergibt den neuen Punkt (x-Koordinate)

I Uber die Geradengleichung ergeben sich die Punkte.^¨

I OperationP⊕Q=R.

I SeiP= (x,y) ein Punkt vony²=x³+a·x+b.

I Dann ist−P= (x,−y)

I FallP= (x,y) undQ= (x,−y) dann setzeP+Q=∞

I Andernfalls istP+Q=−RmitR=P⊕Q.

I P+∞=∞+P=P.

I ∞+∞=∞+∞=∞ und P+Pwird wie folgt definiert:

I Bestimmt TangenteTim PunktPanE.

I Falls Tangente vertikal ist:P+P=∞

I SeiRweiterer Schnittpunkt vonT, setze:P+P=−R

(47)

Wie wird die Eingabe beim ECC auf den K¨orper abgebildet (18:43) Walter Unger Z

Frage 43:

Wie wird die Eingabe beim ECC auf den K¨orper abgebildet?

I SeiE,p,Nwie oben.

I SeiM der Nachrichtenblock mit 0<M<p/2^k. I W¨ahle als x-Koordinatex = 2^k·M+i

I f¨ur eini mit 06i<2^k

I so das es einen Punkt der Form (x,y)∈E gibt.

I Alogithmus:

I F¨ur allei mit 06i <2^k mache

I x= 2^k·M+i

I Falls (^x³^+a·x+b_p ) = +1 gebei aus.

I Gebe Fehler aus.

I Fehlerwahrscheinlichkeit ist: 1/2²^k.

(48)

Wie wird die Eingabe beim ECC auf den K¨orper abgebildet (18:44) Walter Unger Z

Frage 44:

Wie wird die Eingabe beim ECC auf den K¨orper abgebildet?

I W¨ahlepmitp≡3 (mod 4).

I Dann ist−1 ein quadratischer Nichtrest, d.h.(⁻¹_p ) =−1.

I Setzeb= 0.

I Dann istE gegeben durchy²=x³+a·x (modp).

I SeiM zu verschl¨usseln mit 0<M<p/2.

I Wir “verlieren” ein Bit.

I Bestimmtt=M³+aM (modp).

I t oder−t ist quadratischer Rest.

I Falls (_p^t) = 1, dann setzex =M.

I Falls (^−t_p ) = 1, dann setzex=p−M.

I Damit gilt (^x³^+a·x_p ) = 1 undy kann bestimmt werden.

I Zur Entschl¨usselung mache:M= min(x,p−x).

(49)

Wie sieht ECC im ¨Uberblick aus (18:45) Walter Unger Z

Frage 45:

Wie sieht ECC im ¨Uberblick aus?

A:aA,PA,P0,E B:m,PA,P0,E

W¨ahlepPrimzahl

W¨ahle ell. KurveE (modp) W¨ahleP0∈E

W¨ahleaA∈ {1. . .p−1}

PA:=aAP0

P0,E,PA

-

erzeugeP∈E ausm W¨ahlek∈ {1. . .p−1}

T1=kP0

T2=kPA+P T1,T2

T⁰=T2−aAT1

T⁰=kPA+P−(aAk)P0

T⁰= (aAk)P0+P−(aAk)P0

BestimmemausT⁰

(50)

Wie arbeitet das OAEP Verfahren (18:46) Walter Unger Z

Frage 46:

Wie arbeitet das OAEP Verfahren?

I Die folgenden Funktion werden benutzt:

Verschl¨usselungsfunktion f :D→DmitD⊂ {0,1}ⁿ Pseudo-Zufallsgenerator G:{0,1}^k→ {0,1}^l Hashfunktion h:{0,1}^l → {0,1}^k mitn=k+l I Seimdie zu verschl¨usselnde Nachricht.

1. W¨ahle eine Zufallszahlr ∈ {0,1}^k. 2. Setzex = (m⊕G(r))◦(r⊕h(m⊕G(r)).

3. Fallsx 6∈D wiederhole das Verfahren.

4. Verschl¨ussele mitc:=f(x).

I Seic die zu entschl¨usselnde Nachricht.

1. Setzex⁰:=f⁻¹(c).

2. Bestimme a,bmitx=a◦bund |a|=l sowie|b|=k.

3. Bestimme r =h(a)⊕b.

4. Bestimme m=a⊕G(r).

(51)

Wie konstruiert man eine Kompressionsfunktion (18:47) Walter Unger Z

Frage 47:

Wie konstruiert man eine Kompressionsfunktion?

I Ansatz: nutze symmetrische Verfahren.

I SeiEk(m) symmetrisches Verfahren mitk∈ {0,1}^r undm∈ {0,1}ⁿ. I Dann setze:f :{0,1}^n+r → {0,1}ⁿmit:f(x◦y)7→Ey(x).

I Sei weiterg:{0,1}ⁿ→ {0,1}^r.

I Dann setze:f :{0,1}²ⁿ→ {0,1}ⁿ mit:f(x◦y)7→Eg(y)(x)⊕y.

(52)

Wie konstruiert man eine Hashfunktion (18:48) Walter Unger Z

Frage 48:

Wie konstruiert man eine Hashfunktion?

Nutze schrittweise Kompressionsfunktion.

(53)

Wie ist die Beweisidee bei Merkles Meta Methode (18:49) Walter Unger Z

Frage 49:

Wie ist die Beweisidee bei Merkles Meta Methode?

x1

|x₁|=r

x2

|x₂|=r

x3

|x₃|=r

xk+1

|x_k+1|=r

h0

|h₀|=n

h1

|h₁|=n

@ ?

@ R ^f

h2

|h₂|=n

@ ?

@ R ^f

h3

|h₃|=n

@ ?

@ R ^f

hk+1

|h_k+1|=n

@ ?

@ R ^f

(54)

Welche Eigenschaften werden zum Primzahltest verwendet (18:50) Walter Unger Z

Frage 50:

Welche Eigenschaften werden zum Primzahltest verwendet?

I Falls ggT(w,m) = 1 undw^m−1≡1 (modm), dann heißtw Zeuge daf¨ur, dassmPrimzahl ist.

I Fallsw^(m−1)² 6≡`_w

m

´ (modm) istmkeine Primzahl.

I Falls ggT(w,m)6= 1 oderw^r 6≡1 (modm) undw²^s

0

6≡ −1 (f¨ur ein 06s⁰<s) dann istmkeine Primzahl.

(55)

Welche Fallen gibt es bei Quittungen (18:51) Walter Unger Z

Frage 51:

Welche Fallen gibt es bei Quittungen?

A:Da,EA,EC C:c⁰=EA(EA(w)B)

c=EA(c⁰C) =EA(EA(w),C) (c,A)

c⁰C =DA(c)

w =DA(c⁰)

(EC(EC(w)A),C) -

entschl¨usselt (EC(EC(w)A),C) Beachte:w=EA(w)B (EA(EA(w)C),A)

f¨uhrt Protokoll aus

(EC(EC(w)A),C) -

C kennt nunw