Algorithmische Kryptographie (WS2015/16) Kapitel 3 Sicherheitsaspekte und Hilfsfunktionen Walter Unger

(1)

Algorithmische Kryptographie (WS2015/16)

Kapitel 3

Sicherheitsaspekte und Hilfsfunktionen

Walter Unger

Lehrstuhl für Informatik 1

16:06 Uhr, den 12. Dezember 2015

(2)

3 Inhaltsverzeichnis Walter Unger 12.12.2015 16:06 WS2015/16 Z

Inhalt I

1 Einleitung Einfache Angriffe

2 Hilfsfunktionen OAEP-Verfahren Hashfunktionen Definitionen Merkles-Meta-Methode

3 Weitere Angriffe Abstand der Faktoren Sicherheitsaspekte von RSA

Kann man d bestimmen?

4 Bit-Sicherheit

Sind Teilinformationen sicher?

Sicherheit des LSB Überblick und Beweisidee Beweis

5 Bestimmung von Primzahlen Einleitung

Einfacher Test Soloway-Strassen

(3)

Sicherheitsaspekte und

Hilfsfunktionen

(4)

3:2 Einfache Angriffe Walter Unger 12.12.2015 16:06 WS2015/16 Z

Die Geschichte

Einfache Angriffe über die Gruppenstruktur sind möglich.

PkS RSA ElGamal

Rabin KS DES IDEA AES

1975

1970 1980 1990 2000

(5)

3:3 Merkles-Meta-Methode Walter Unger 12.12.2015 16:06 WS2015/16 Z

Hashfunktionen

Eine Hashfunktionhheisst Zweitnachricht sicher, falls man nicht zumeine zweite Nachrichtm⁰effizient erzeugen kann, mith(m) =h(m⁰).

Eine Hashfunktionhheisst kollisionssicher, falls man nicht zwei Nachrichtenmundm⁰ effizient erzeugen kann, mith(m) =h(m⁰).

Es reicht aus, Hashfunktionen zu bestimmen, die kollisionssicher sind.

ElGamal

Rabin IDEA AES

1980 1990 2000

(6)

3:4 Merkles-Meta-Methode Walter Unger 12.12.2015 16:06 WS2015/16 Z

Hashfunktionen

Eine Hashfunktionhheisst kollisionssicher, falls man nicht zwei Nachrichtenmundm⁰ effizient erzeugen kann, mith(m) =h(m⁰).

Es reicht aus, Hashfunktionen zu bestimmen, die kollisionssicher sind.

Kompressionsfunktionf :{0,1}^m→ {0,1}ⁿ. Hashfunktionh:{0,1}^∗→ {0,1}ⁿ.

x =x1x2. . .xk |xi|=r füri∈ {1, . . . ,k}(m=r+n).

Kodiere inxk+1|xk+1|=r die Länge vonx.

Setzeh0:=0ⁿund bestimme rekursiv:hi :=f(hi−1◦xi) 16i 6k+1.

h:{0,1}^∗→ {0,1}^kmitx 7→hk+1.

PkS RSA ElGamal

1975

1970 1980 1990 2000

(7)

Angriffe auf RSA

Um die zu verhindern reicht es aus, OAEP oder kollisionssichere Hashfunktionen zu benutzen.

ElGamal

Rabin IDEA AES

1980 1990 2000

(8)

3:6 Abstand der Faktoren Walter Unger 12.12.2015 16:06 WS2015/16 Z

Angriffe auf RSA

p,qsollten nicht nahe beieinander liegen.

PkS RSA ElGamal

1975

1970 1980 1990 2000

(9)

Angriffe auf RSA

Wählep,qso, daß ggT(p−1,q−1)klein ist.

ElGamal

Rabin IDEA AES

1980 1990 2000

(10)

Angriffe auf RSA

ϕ(n)sollte nicht nur kleine Primfaktoren haben.

PkS RSA ElGamal

1975

1970 1980 1990 2000

(11)

3:9 Sicherheitsaspekte von RSA Walter Unger 12.12.2015 16:06 WS2015/16 Z

Angriffe auf RSA

Fallsϕ(n)bekannt, dann kannp,q bestimmt werden. ^ElGamal

Rabin IDEA AES

1980 1990 2000

(12)

3:10 Kann man d bestimmen? Walter Unger 12.12.2015 16:06 WS2015/16 Z

Angriffe auf RSA

Fallsϕ(n)bekannt, dann kannp,q bestimmt werden.

Fallsd bekannt, dann kannp,qbestimmt werden.

Falls ggT(w,n)>1, dann faktorisierenmit dem Algorithmus von Euklid.

Fallsw6≡ ±1 (modn)undw²≡1 (modn), dann gilt:

(w+1)·(w−1) wird vonngeteilt und (w+1),(w−1) werden nicht vonngeteilt

=⇒ggT(w+1,n)liefertp oderq.

Falls die oben genannten Schritte erfolglos, führe folgende Schritte aus.

(13)

Falls ggT(w,n)>1, dann faktorisieren.

Fallsw6≡ ±1 (modn)undw²≡1 (modn), dann gilt:

(w+1)·(w−1) wird vonngeteilt und (w+1),(w−1) werden nicht vonngeteilt

=⇒ggT(w+1,n)liefertp oderq.

Anderenfalls, führe folgende Schritte aus.

ed−1=2^sr mits>1 undr ungerade.

Daed−1 ein Vielfaches vonϕ(n)ist, gilt:w²^s^r ≡1 (modn).

Bestimme kleinstess⁰(06s⁰6s)mitw²^s

0

r ≡1 (modn).

Falls nun ⁰ 0 und ²^{s0 −1}^r 6≡ −1 (modn), so gehe analog

(14)

Angriffe auf RSA

PkS RSA ElGamal

1975

1970 1980 1990 2000

(15)

3:13 Sind Teilinformationen sicher? Walter Unger 12.12.2015 16:06 WS2015/16 Z

Angriffe auf RSA

Angenommen, es gibt OrakelH mit H(e,n,x^emodn) =1⇐⇒x <ⁿ₂.

Idee: Halbierungssuche unter Verwendung vonH.

Verwende Werte:

xê modn = xêmodn 2êxêmodn = (2x)êmodn 4êxêmodn = (4x)êmodn 8êxêmodn = (8x)êmodn

ElGamal

Rabin IDEA AES

1980 1990 2000

(16)

3:14 Sicherheit des LSB Walter Unger 12.12.2015 16:06 WS2015/16 Z

Angriffe auf RSA

Angenommen, es gibt OrakelH mit

H(e,n,x^emodn) =1⇐⇒x <ⁿ₂, dann istx bestimmbar.

H(e,n,x^emodn) =1⇐⇒x mod 2=1, dann istx bestimmbar.

PkS RSA ElGamal

1975

1970 1980 1990 2000

(17)

Angriffe auf RSA

H(e,n,x^emodn) =1⇐⇒x <ⁿ₂, dann istx bestimmbar.

bin(x)ist die Binärdarstellung vonx mit führender 1.

ElGamal

Rabin IDEA AES

1980 1990 2000

(18)

Angriffe auf RSA

bin(x)ist die Binärdarstellung vonx mit führender 1.

int(w)ist die Zahl mit der Binärdarstellungw. Fallsint(t)>int(u), dann sind

Last(t−u)die letzten|u|Bits von bin(int(t)−int(u)).

r(i) :Folge vonw^0emodn(Anfragen) ans(i) :Antwort des Orakels aufr(i).

t(i) :Folge vonw⁰, diew =x ergeben.

Diese Zielfolge konvergiert gegen die Lösung.

r(i)wird ausr(i−1)bestimmt.

t(i−1)wird aust(i)undans(i−1)bestimmt.

PkS RSA ElGamal

1975

1970 1980 1990 2000

(19)

3:17 Einleitung Walter Unger 12.12.2015 16:06 WS2015/16 Z

Primzahltest

Allgemeines Vorgehen dabei:

1 Wähle zufällig eine große ungerade Zahlx.

2 Teste, obx eine Primzahl ist.

3 Fallsx keine Primzahl ist, dann wiederhole Verfahren.

Verbleibendes Problem: Teste, ob gegebene Zahlx Primzahl ist.

(20)

3:18 Einleitung Walter Unger 12.12.2015 16:06 WS2015/16 Z

Primzahltest

FallsmPrimzahl und ggT(w,m) =1:w^m−1≡1 (modm).

(21)

3:19 Soloway-Strassen Walter Unger 12.12.2015 16:06 WS2015/16 Z

Primzahltest

Seimungerade Primzahl, dann gilt für allew:w^(m−1)/2≡ _m^w (modm).

(22)

3:20 Soloway-Strassen Walter Unger 12.12.2015 16:06 WS2015/16 Z

Primzahltest

Seimungerade Primzahl, dann gilt für allew:w^(m−1)/2≡ _m^w (modm).

Bestimmes,r mit:m−1=2^sr:

Fallsw^r6≡1 (modm)undw²^s

0

6≡ −1 (für ein 06s⁰<s), dann ist mkeine Primzahl.