RSA: Kleines e

(1)

RSA: Kleines e

Partial Key Exposure Angriff.

Thm (Coppersmith): Seibdie Bitl ¨ange vonn. Mit Hilfe der⌈b/4⌉

unteren oder oberen Bits vonpkannneffizient faktorisiert werden.

Thm (Boneh, Durfee, Fraenkel): Es geltee<n^1/2. Mit Hilfe der⌈b/4⌉

unteren Bits vondkann ganzdin Zeit linear ine log₂(e)berechnet werden.

Bew: Es gibtkmited−k(n−p−q + 1) = 1. Ausd<φ(n)folgt0<k≤e.

Mitq = n/pfolgt(ed)p−k p(n−p + 1) + kn = p mod 2^b/4. Der Wert ed mod 2^b/4ist bekannt. Daher Gleichung inkund p. F ¨ur jedesknach p mod 2^b/4l ¨osen und mit Thm Coppersmith testen. Man kann zeigen:

Es gibt h ¨ochstense log₂(e)viele L ¨osungen p.

3 30. November 2006

RSA: Kleines e

Die H ¨alfte der oberen Bits vondist im wesentlichen ¨offentlich bekannt:

•Wiedered−k(n−p−q + 1) = 1mit0<k≤e.

•Seid^′=⌊(kn + 1)/e⌋.

• |d−d^′| ≤k(p + q)/e≤O(kn^1/2/e).

•Damit istd^′eine gute Approximation and.

Nicht jede Nachricht wird gut verschl ¨usselt:

•Kleinesm, so daßm^e<n.

•Dann keine Reduktion mod nundmdurche-te Wurzel inZ bestimmt.

4 30. November 2006

RSA: Kleines e

Franklin-Reiter Related Message Angriff.

•Annahme:m₂= f (m₁)f ¨ur ein f ∈(Z/nZ)[x].

•Seici= mê_i mod n. Dann istm1Nullstelle vong(x) = f (x)ê−c2 und h(x) = xê−c1modulon.

•In vielen F ¨allen ists(x) = gcd{g(x),h(x)}linear, so daß Absolutkoeffizientm₁ ergibt.

•Laufzeit quadratisch ine deg( f ).

Iste = 3und f (x) = ax + b∈Z/nZ[x]mita,b6= 0 mod n, so k ¨onnen wir entwedernfaktorisieren oder es giltdeg(s(x)) = 1.

( Wenn der eukl. Algo. fehlschl ¨agt, k ¨onnen wirnfaktorisieren.

Ansonsten erhalten wir ein normiertess∈(Z/nZ)[x]mits|g,s|hund deg(s)≤2. Modulopgilts = x−m1, dagnur eine Nullstelle mod phat.

Analog f ¨urhundq. Dasnormiert ist, folgt auch die Gleichheit modn. )

1 30. November 2006

RSA: Kleines e

Coppersmith Short Pad Angriff.

Thm: Seir =⌊log₂(n)/e²⌋undmeine Nachricht mit≤log₂(n)−rBits.

Seim_i= 2^rm + r_if üri∈ {1,2}, wobei0≤r_i<2^r. Aus denc_i= mê_i mod n l äßt sichmeffizient berechnen.

Bew: Seig1(x,y) = xê−c1undg2(x,y) = (x + y)ê−c2. F üry = r2−r1haben g1undg2die gemeinsame Nullstellem1. Also istr2−r1 Nullstelle der Resultanteh(y) =res_x(g1,g2)∈Z/nZ[y]. Es giltdeg(h)≤e². Außerdem

|r2−r₁|<2^r<n^1/e². Daher istr₂−r₁ eine kleine Nullstelle und kann mit dem Satz von Coppersmith ausgerechnet werden. Danach Franklin-Reiter mit f (x) = x + r2−r1anwenden.

Angriff m öglich f üre = 3(Padl änge<1/9der Nachrichtenl änge), nicht aber f üre = 2¹⁶+ 1bei den gegenw ärtigen Gr ößen vonn.

2 30. November 2006

(2)

RSA Partielle Information

Seic = m^emod n. Daeungerade ist, giltc n

= m

n e

= m

n

. Man kann also aus dem Chiffretext ein Bit Information ¨uber den Klartext erhalten.

Setze f (c) = 0f ¨ur0≤m<n/2und f (c) = 1f ¨urn/2<c≤n−1.

K ¨onnen wir f (c)effizient berechnen, so auchm:

•Berechneh_i= f (c(2ê)ⁱ)f ür0≤i≤log₂(n). Es gilth_i= f ((m2ⁱ)ê).

•Weiterh_i= 0⇔m2ⁱmod n∈[0,n/2)⇔m2ⁱ−jn∈[0,n/2)mit 0≤ j≤2ⁱ−1⇔m∈ ∪²_j=0ⁱ⁻¹[n j/2ⁱ,n( j + 1/2)/2ⁱ).

•#[n j/2ⁱ,n( j + 1/2)/2ⁱ)∩Z= 1f ¨uri =⌊log₂(n)⌋.

•h_i= 0linkes Intervall,h_i= 1rechtes Intervall. Danni←i + 1, rekursiv wiederholen mit halber Intervallbreite. Ist bin ¨are Suche, liefertm.

7 30. November 2006

RSA Partielle Information

Setzeg(c) = m mod 2(Parit ¨at vonm).

•Es gilt f (c) = g(c2^emod n), denn(2m mod n) mod 2 = 2m mod 2 = 0 f ¨urm<n/2, und(2m mod n) mod 2 = (2m−n) mod 2 = 1, dan ungerade.

•Es giltg(c) = f (c2^−emod n), nach der ersten Gleichung und da2 moduloninvertierbar ist.

Die Berechnungen von f undgsind daher polynomiell ¨aquivalent.

Folgerung: Unter der Annahme, daß das RSA Problem schwer ist, ist also auch die Berechnung von f undgschwer.

Man kann zeigen, daß jedes individuelle Bit sicher ist.

( Es k ¨onnte aber noch sein, daß es einen effizienten Algorithmus gibt, der f undgnur mit Wahrscheinlichkeit3/4korrekt berechnet ... )

8 30. November 2006

Jacobi Symbol

Seipungerade Primzahl unda,n∈Zmitn≥1ungerade. Dann a

p

=







0 wenna = 0 mod p.

1 wenn a ein Quadrat in(Z/pZ)^×ist.

−1 sonst.

a n

=∏pprim

a p

vp(n)

.Damit multiplikativ inaundn.

a n

=a +λn n

f ¨ur alleλ∈Z.

F ¨urgcd{a,n}>1ista n

= 0.

5 30. November 2006

Quadratisches Reziprozit ¨atsgesetz

Thm: Seienb,n∈Zmitb,n≥0beide ungerade.

b n

= (−1)(b−1)(n−1)/4n b

,2 n

= (−1)⁽ⁿ²^−1)/8,−1 n

= (−1)^(n−1)/2.

Der Satz erlaubt es, Jacobisymbole effizient zu berechnen:

1. Ersetzebdurchb mod n. Wennb = 0, dann Ergebnis0.

2.b = 2^v²^(b)b^′. Benutze Multiplikativit ¨at und zweite Formel.

3. Vertauscheb^′undnentsprechend der ersten Formel.

4. Wiederhole ab 1.

6 30. November 2006

(3)

RSA Zusammenfassung

Man sollte die Parameter nicht so w ählen, daßdeine besondere Gestalt bekommt (also Parameter zuf ällig w ählen).

Bei kleinemegibt es verschiedene Probleme, wenn:

•eine Nachricht mit vielen Schl ¨usseln verschl ¨usselt wird.

•korrellierte Nachrichten mit einem Schl ¨ussel verschl ¨usselt werden.

•spezielle Nachrichten verschl ¨usselt werden.

Mit den unterenb/4Bits derbBits vondkannnfaktorisiert werden.

Die oberenb/2Bits vondsind unwichtig.

Plain RSA Verschl üsselung gibt Information über die Nachrichten preis (Jacobi Symbol). Die Parit ät und das Intervall der Nachricht ([0,n/2),(n/2,n)) sind jedoch gesch ützt.

11 30. November 2006

Rabin Kryptosystem

Ist wie RSA aber mite = 2.

•Problem:gcd{e,φ(n)} 6= 1, daher gibt esdnicht!

•Wie also Quadratwurzel inZ/pZ×Z/qZziehen?

•Reduktion auf Quadratwurzeln in endlichen K ¨orpern ziehen ...

Jacobisymbol gibt an, ob ein Element ein Quadrat inZ/pZist, hilft aber nicht bei der Berechnung.

•Allgemeine L ¨osung ist,x²−cinZ/pZ[x]zu faktorisieren.

•Spezielle L ¨osung: p = 3 mod 4. Sinda,b∈Z/pZmita = b², so folgt (a^(p+1)/4)²= a^(p−1)/2a = b^p−1a = a, alsoa^(p+1)/4=±b.

Problem: In jeder Koordinate gibt es zwei Quadratwurzeln, also insgesamt vier! Welche ist der Klartext?

•Redundanz oder Regel hinzuf ¨ugen, so daß immer nur eine M ¨oglichkeit in Frage kommt (z.B. sollen selbst Quadrate sein).

12 30. November 2006

RSA Homomorphieeigenschaft

Sindc₁,c₂die Chiffretexte zu den Nachrichtenm₁,m₂, so istc₁c₂der Chiffretext zum₁m₂. Man kann also den Chiffretext vonm₁m₂ ausrechnen, ohnem₁m₂zu kennen.

Diese homomorphe Eigenschaft birgt Vor- und Nachteile in sich.

•Betrugsm öglichkeit (Abhilfe: Klartextraum einschr änken, so daß m1m2ung ültig ist).

•Hilfreich bei anonymem digitalen Geld.

•Benutzt bei manchen der vorstehenden Angriffe, und beim folgenden Angriff.

9 30. November 2006

RSA Meet-in-the-middle Angriff

Es geltem = m₁m₂inZmitm₁≤2^b¹undm₂≤2^b². Der Chiffretext sei c = mêmod n. Es folgtc/mê₁= mê₂mod n.

Dies liefert folgende Strategie:

•Liste von den Wertenm^e₂f ¨ur allem2≤2^b²machen.

•Die Wertec/mê₁ f ür allem₁≤2^b¹berechnen und nach Kollision mit mê₂suchen.

•Wenn Kollision, dann gilt f ¨urm = m₁m₂, daßm^e= c mod nist.

•Also istmder Klartext.

Aufwand≈2^b¹+ 2^b². Wahrscheinlichkeit, daß64Bitzahl in zwei gleichgroße Faktoren zerf ¨allt≈18%(Session keys).

Angriff nur f ¨ur kleinem, aber beliebigeerelevant.

10 30. November 2006

(4)

Goldwasser-Micali Kryptosystem

Schl ¨usselerzeugung:

•n = pq,y∈Z/nZkein Quadrat, aber mity n

= 1.

•Offentlicher Schl ¨ussel¨ (n,y).

•Privater Schl ¨ussel:(p,q).

Verschl ¨usseln:

•m = m₁. . .m_tmitm_i∈ {0,1}.

•x_i∈(Z/nZ)^×zuf ¨allig,c_i= yx²_i mod nf ¨urm_i= 1, sonstc_i= x²_i mod n.

•Chiffretext istc = c1. . .ct. Entschl ¨usseln:

•ei= ci

p

,mi= 1f ¨urei= 0, sonstmi= 0.

•Nachricht istm = m₁. . .mt.

15 30. November 2006

Goldwasser-Micali Sicherheit

Quadratisches Restproblem: Quadratische Reste von quadratischen Nichtresten mit Jacobisymbol eins unterscheiden.

Wenn man faktorisieren kann, dann kann man das quadratische Restproblem l ¨osen. Die Umkehrung wird vermutet.

Die Sicherheit des Goldwasser-Micali Kryptosystems h ¨angt vom quadratischen Restproblem ab.

Ist probabilistisch.

Keine praktische Bedeutung, da ineffizient.

16 30. November 2006

Rabin Sicherheit

Thm: Wenn man Quadratwurzeln ziehen kann, dann kann mann faktorisieren.

Bew: W ¨ahlex∈Z/nZzuf ¨allig, und lasse Quadratwurzelx^′vonx² ausrechnen. Dann istgcd{n,x^′−x}gleichpoderqmit

Wahrscheinlichkeit1/2. Denn inZ/pZ×Z/qZgiltx = (a,b)und x^′= (±a,±b). Wennx^′−xin genau einer Koordinate Null ist, ist der ggT gleich poderq.

Liefert gutes CPA Sicherheitsergebnis, aber unsicher unter CCA Angriff (bei RSA weder das eine, noch das andere).

Weitere Sicherheitsaspekte ¨ahnlich wie bei RSA.

13 30. November 2006

Blum-Goldwasser Kryptosystem

Ist ¨ahnlich wie ein Streamcipher.

•Parameter:n = pqmitp = q = 3 mod 4.h>0klein.

•Key streamxi= x²_i−1 mod n,x0zuf ¨alliges Quadrat inZ/nZ.

•Chiffretextec_i= m_i⊕(x_imod 2^h)f ¨ur0≤i≤t, zusammen mitx_t+1.

•Entschl ¨usseln ¨uberx_i= x^(p+1)/4_i+1 mod p,x_i= x^(q+1)/4_i+1 mod qund CRT.

Entschl ¨usseln klappt, da es genau eine Quadratwurzel vonxi+1gibt, die selbst ein Quadrat ist. Ausxi+1= x⁴_i−1folgt

x^(p+1)/4_i+1 = x_i−1^p+1= x²_i−1= ximod p, und f ¨urqanalog.

Ist probabilistisch. IND-CPA sicher, wenn Faktorisieren schwer ist.

Jedoch nicht sicher unter CCA. Kaum praktische Relevanz.

14 30. November 2006