ElGamal Verschl ¨usselung

ElGamal Sicherheit

Das Diffie-Hellman Problem (CDH) ist, f ¨urg,g^a,g^bden Wertg^ab auszurechnen.

Das Diffie-Hellman Entscheidungsproblem (DDH) ist, f ¨urg,g^a,g^b,hzu entscheiden, obh=g^aboder nicht.

Thm: Das ElGamal Verfahren ist OW-CPA sicher, wenn das Diffie-Hellman Problem schwierig ist.

Thm: Das ElGamal Verfahren ist IND-CPA sicher, wenn das Diffie-Hellman Entscheidungsproblem schwierig ist.

3 22. Juni 2004

Drei Probleme

Wir haben also drei algorithmische Probleme:

1. Diskretes Logarithmus Problem (DLP).

2. Diffie-Hellman Problem (CDH, computational DH).

3. Diffie-Hellman Entscheidungsproblem (DDH, decision DH).

Wir k ¨onnen das DDH l ¨osen, wenn wir das CDH l ¨osen k ¨onnen.

Wir k ¨onnen das CDH l ¨osen, wenn wir das DLP l ¨osen k ¨onnen.

4 22. Juni 2004

Gruppenbasierte Kryptographie

Benutzt zyklische Gruppen von (fast) Primzahlordnung:

G=hgiund#G=`=c`0mitcklein und`0prim.

∀b∈G:∃x∈Z:b=g^x. Das Elementxheißt diskreter Logarithmus von bzur Basisg, ist modulo`eindeutig bestimmt.

Diskretes Logarithmus Problem (DLP): Gegebeng,bfindex.

F ¨ur geeignete Gruppen ist das DLP (vermutlich) schwer, alsox7→g^x eine Einwegfunktion.

Mit zyklischen Gruppen kann man machen:

•ElGamal Verschl ¨usselung (ca. 1985)

•ElGamal, Schnorr, etc. Unterschriften (ca. 1985-1991)

•Diffie-Hellman Schl ¨usselaustausch (ca. 1976).

•vieles weitere ...

1 22. Juni 2004

ElGamal Verschl ¨usselung

Schl ¨usselerzeugung:

•W ¨ahlex∈Zmit0≤x< `−1zuf ¨allig.

•Berechney=g^x.

•Der geheime Schl ¨ussel istx, der ¨offentliche Schl ¨ussel isty.

Verschl ¨usselung vonm∈G:

•W ¨ahler∈Zzuf ¨allig.

•Berechneu=g^rundv=my^r.

•Der Chiffretext ist(u,v).

Entschl ¨usselung von(u,v)∈G×G:

•Berechnem=vu^−x.

•Der Klartext istm.

2 22. Juni 2004

DLP, CDH und DDH

Weitere Verh ¨altnisse zwischen DLP, CDH und DDH (grob angedeutet):

•Es gibt keinen Algorithmus, der das CDH in allgemeinen Gruppen l ¨osen kann, auch unter der Annahme, daß das DDH leicht ist.

•Es gibt Gruppen, in denen das DDH leicht, aber das CDH (vermutlich) schwer ist.

•Es gibt Gruppen, f ¨ur die das CDH ¨aquivalent zum DLP ist.

7 22. Juni 2004

Shanks Baby Step Giant Step

Ist Anwendung von Meet-in-the-Middle Prinzip. L ¨ost DLP deterministisch in ZeitO(√

`)und SpeicherO(√

`).

Schreibexmit0≤x< `eindeutig alsx= jm+imit0≤i<mund 0≤ j≤`/m. Schreibex7→g^xals(i,j)7→g^jm+i.

Seieng,bgegeben undxmitb=g^xgesucht.

Trenneiund j: F ¨urx= jm+igiltb/gⁱ=g^jm.

Daher linke Seite f ¨ur alleiausrechnen und speichern, dann alle jf ¨ur Kollision durchprobieren.

Zeit-optimiert f ¨urm≈√

`.

8 22. Juni 2004

ElGamal Sicherheit

Bereits betrachtet:

1. Plain ElGamal nicht NM-CPA oder OW-CCA2 sicher. Auch nicht PA. Daher Fujisaki-Okamoto Transformation verwenden. Macht aus IND-CPA sicherem Verschl ¨usselungsverfahren ein IND-CCA2 sicheres Verfahren (im Zufallsorakelmodell).

2. Vorsicht, daß wirklich IND-CPA sicher (Jacobi Symbol inFp...).

Nun:

3. Das DLP, CDH und DDH in allgemeinen Gruppen betrachten.

4. Konkrete Gruppen betrachten.

5 22. Juni 2004

DLP, CDH und DDH

Eine Numeration ist eine Injektionσ: (Z/`Z)⁺→ {0,1}ⁿ.

Ein generischer Algorithmus erwartet als Eingabe eine Liste von GruppenelementeL= (σ(x₁), . . . ,σ(x_k))und hat Zugang zu einem Orakel, welches die Werteσ(x_i±x_j)berechnet. Solche neu berechneten Werte werden zuLhinzugef ¨ugt.

Sei`prim.

Thm: Das DDH kann durch einen generischen AlgorithmusAbei zuf ¨alliger Numerationσund≤mOrakelanfragen anσmit von1/2um maximalm²/`abweichender Wahrscheinlichkeit gel ¨ost werden.

Laufzeit f ¨ur konstante Erfolgswahrscheinlichkeit daher mindestens exponentiell inlog(`).

6 22. Juni 2004

Pohlig-Hellman

Idee 2 (

”Hensel Lifting“):

•Annahme#G=`<sup>e</sup>,`prim undg^`e= 1miteminimal.

•Dannb=g^xmitx=x0+x1`+. . .xe−1`^e−1und0≤xi< `.

•L ¨ose induktiv DLPsb^{`e−1−j</sup>/g<sup>`e−1−j(x0+x1`+...xj−1`j−1)}=g^{`e−1−jxj`j}inxjf ¨ur j= 0, . . . ,e−1. Sind definiert in Gruppehg<sup>`e−1</sup>ider Ordnung`.

Daher betrachten wir nur zyklische Gruppen mit

”m ¨oglichst“ primer Ordnung.

Die Verwendung nicht zyklischer Gruppen macht ebenfalls keinen Sinn, da wir nur in der vongerzeugten Untergruppe arbeiten.

11 22. Juni 2004

Index Calculus

Die Methoden von Shanks, Pollard und Pohlig-Hellman funktionieren in jeder Gruppe gleichermaßen (also f ¨ur Black-Box Gruppen).

Die folgende Methode ben ¨otigt mehr Information ¨uber die verwendete Gruppe.

SeiG⊆F^×p der Primordnung`undg,b∈Gmitb=g^xundxgesucht.

•SeiS={p1, . . . ,ps}eine Menge von Primzahlen.

•Bestimme zuf ¨allige Werteb^uig^vi, lifte sie nach[0,p−1]∩Zund

”faktorisiere“ sie ¨uberS. Geht dies, erhalten wirb^uig^vi=∏^s_j=1p^e_j^i,j. Wiederhole dies mindestensi≥s+ 1mal.

•Durch Anwendung vonlog_gerhalten wir die linearen Relationen u_ix+v_i=∑^s_j=1e_i,jlog_g(p_j) mod`. Bei gen ¨ugend vielen Zeilen k ¨onnen wirz_inicht alle Null mit∑_iz_ie_i,j= 0f ¨ur alle jausrechnen.

12 22. Juni 2004

Pollard rho

Analog wie beim Kollisionsfinden f ¨ur Hashfunktionen. L ¨ost DLP probabilistisch in erwarteter ZeitO(√

`)und SpeicherO(1).

Idee: Wir brauchen einen Zufallsweg (random walk) inGvon der Formb^uig^vimit bekanntenui,vi, welche nur vonb^ui−1g^vi−1abh ¨angen.

Eine Kollisionb^uig^vi=b^ujg^vjliefert dannb^ui−uj=g^vj−viund folglich x= (u_i−u_j)/(vj−v_i) mod`, wenn(v<sub>j</sub>−v<sub>i</sub>)6= 0 mod`.

Definition vonu_i,v_i(u₀= 0,v₀= 0):

•durchui=H1(b^ui−1g^vi−1)undvi=H2(b^ui−1g^vi−1)f ¨ur zwei unabh ¨angige HashfunktionenH₁ undH₂.

•oder wie folgt: ZerlegeGin disjunkte TeilmengenS₁,S₂,S₃ und definiere(u_i,v_i) =







(u_i−1,v_i−1+ 1) f ¨urb^ui−1g^vi−1∈S₁ (ui−1+ 1,vi−1) f ¨urb^ui−1g^vi−1∈S2

(2u_i−1,2v_i−1) f ¨urb^ui−1g^vi−1∈S₃ .

9 22. Juni 2004

Pohlig-Hellman

Beruht auf dem Struktursatz f ¨ur endlich erzeugte, abelsche Gruppen.

L ¨ost DLP f ¨urGbeliebig zyklisch,`0gr ¨oßter Primfaktor von#G, durch Shanks oder Pollard Methoden in LaufzeitO^∼(√

`0)und Speicher O(√

`0)oderO(1).

Idee 1 (chinesischer Restsatz):

•Sei#G=∏^r_i=0`<sup>e</sup><sub>i</sub><sup>i</sup>,ni= 1 mod`^e_iⁱundni= 0 mod`^e_j^jf ¨ur alle j6=i, φ_i:G→Gmitφ(z) =zⁿⁱ. Wegengcd{n₀, . . . ,nr}= 1gilt∩iker(φ_i) = 1.

•Die Ordnung vonG_i=φ_i(G)ist`^e_iⁱ.

•DLP in jedemG_il ¨osen (falls l ¨osbar) und mit chinesischem Restsatz zusammensetzen: Findex_imitφ_i(b) =φ_i(g)^xi. Dann ist x=∑_ix_in_ider DL.

10 22. Juni 2004

Index Calculus

Dann gilt∑_iz_i(u_ix+v_i) = 0 mod`, folglichx=−(∑<sub>i</sub>z<sub>i</sub>v<sub>i</sub>)/(∑<sub>i</sub>z<sub>i</sub>u<sub>i</sub>) mod`.

Grobe Laufzeitanalyse f ¨urp→∞...

•S={p|pprim und p≤y},#S≈y/log(y).

•Pr_p,y= Pr(zmit1≤z<pfaktorisiert ¨uberS)≈u^−uf ¨ur

u= log(p)/log(y)undu≤log(p)^0.9(Glattheitswahrscheinlichkeit).

•Erwarteter Aufwand,(e_i,j)_i,jzu finden:≈(y/log(y))u^u,

•also≈exp((1 +o(1))) log(y) + (log(p)/log(y)) log(log(p)/log(y))).

•Wird minimiert f ¨urlog(y) = (µ+o(1))(log(p) log(log(p)))^1/2, nimmt WertLp(1/2,ν) = exp((ν+o(1)(log(p) log(log(p))))^1/2)an.

•Matrixschritt nochL_p(1/2,2), daher insgesamtL_p(1/2,λ). (µ,ν,λ geeignete Konstanten).

⇒Subexponentielle Laufzeit! Pollard nurL_p(1,1/2).

13 22. Juni 2004