Algorithmische Kryptographie (WS2013/14) Kapitel 4 Weitere Systeme Walter Unger

(1)

Algorithmische Kryptographie (WS2013/14)

Kapitel 4 Weitere Systeme

Walter Unger

Lehrstuhl für Informatik 1

10:42 Uhr, den 26. November 2013

(2)

ElGamal Elliptische Kurven Quantenkryptographie

(4:2) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zx

Inhalt I

1 ElGamal Einleitung Aufbau

Verschlüsseln und Entschlüsseln Sicherheitsaspekte

Unterschriften mit ElGamal Sicherheitsaspekte

2 Elliptische Kurven

Mathematischer Hintergrund Aufbau des Systems Das Verfahren

3 Quantenkryptographie Grundlagen aus der Physik Idee der Datenübertragung Realisierung der Protokolle

(3)

Einleitung (4:1) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zg

ElGamal (1985 Tahir al-Dschamal(*1955))

Schweres Problem: diskreter Logarithmus.

D.h. es wird als schwer angenommen, für gegebene Zahlen a,b,p, eine Zahlx zu bestimmen mit (a^x modp) =b.

Bei der Verschlüsselung wird eine Hintertür nicht durch das System vorgegeben.

Stattdessen wird vom Verschlüsseler eine zusätzliche Information angegeben, mit deren Hilfe der Emfänger entschlüsseln kann. Erinnerung:

A:x,y,n B:m,y,n Wählex,y

n=x·y y,n

Wählez c=n·z+m d=z·y c,d

m=c−x·d

a·bwird zua^b (modp) a+bwird zua·b (modp)

PkS RSA ElGamal

Rabin KS DES IDEA AES

1985

1970 1980 1990 2000

(4)

Einleitung (4:2) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zg

Erinnerung

G ist zyklische Gruppe∃g:G ={g^m|m∈N}.

Z^∗n ist zyklisch, gdw.n∈ {1,2,4,p^k,2·p^k}.

Der Generator einer zyklischen Gruppe wird primitive Wurzel genannt.

FallspPrimzahl, dann istZ^∗p zyklisch mitϕ(p−1) Generatoren.

x ∈Z^∗p ist Generator gdw.x^(p−1)/q6= 1 für alle Primzahlenq, diep−1 teilen.

Da ord(x) dasp−1 teilt, gilt:

x^(p−1)/q= 1 modp−1 oder ord(x) =p−1.

(5)

Aufbau (4:3) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zw

Aufbau von ElGamal

xist Generator:x^(p−1)/q6= 1

Bestimme große Primzahlp, so dassp−1 einen großen Primfaktor hat.

Zum Bestimmen solcher Primzahlenpwählt man zuerst eine große Primzahlqund testet dann als Kandidaten fürpZahlen der Form 2kq+ 1.

Bestimme weiter einen Generatorg∈Z^∗p.

Um zu testen, obgein Generator ist, müssen die Werte vonk faktorisierbar sein, d.h.q wird groß gewählt undk relativ klein.

Für einen Generatorgmuss für alle Teilerq⁰vonp−1 gelten g^(p−1)/q⁰ 6≡1 (modp).

Damit kann man einfach testen, obg ein Generator ist.

Aufbau von ElGamal

Wähle zufälligx ∈ {2, . . . ,p−2}.

Bestimmey:=g^x modp.

Der geheime Schlüssel ist dann (p,g,x).

Der öffentliche Schlüssel ist dann (p,g,y).

(6)

ElGamal Elliptische Kurven Quantenkryptographie Verschlüsseln und Entschlüsseln (4:4) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zw

Verschlüsselung:

x∈ {2, . . . ,p−2}

y=g^xmodp

Bisher:

A:x,y,g B:m,y,g WählepPrimzahl mit

p−1 hat großen Primfaktor Wähle Generatorg∈Z^∗_p Wählex∈ {2, . . . ,p−2}

y:=g^xmodp y,g

Die Verschlüsselungsfunktion ist dannE_p,g,y^ElGamal:Z^∗p→Z^∗p×Z^∗p. Wählekzufällig mit ggT(k,p−1) = 1.

a=g^kmodp b=m·y^kmodp E_p,g,y^ElGamal(m)7→(a,b).

Damit hat der Kryptotext die doppelte Größe im Vergleich zum Plaintext.

(7)

ElGamal Elliptische Kurven Quantenkryptographie Verschlüsseln und Entschlüsseln (4:5) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zw

Entschlüsselung:

a=g^kmodp b≡my^k≡mg^xk (modp)

Zur Entschlüsselung bedient man sich der Eigenschaftm=b/a^x modp.

Die Entschlüsselungsfunktion ist dannDp,g,x^ElGamal :Z^∗p×Z^∗p →Z^∗p. Wenn (a,b) = (g^k,my^k) = (g^k,mg^xk) emfangen worden ist, dann bestimme:

h:=a^xmodp. Beachte dabei:a^x ≡g^kx (modp).

m:=b·h⁻¹modp. Beachte hierbei:

b/a^x≡y^km/a^x ≡g^kxm/a^x ≡m·g^kx/g^kx ≡m (modp).

Damit gilt:D^ElGamalp,g,x (a,b)7→b/a^x modp.

A:x,y,g B:m,y,g WählepPrimzahl mit

p−1 hat großen Primfaktor Wähle Generatorg∈Z^∗_p Wählex∈ {2, . . . ,p−2}

Bestimmey=g^xmodp y,g

Wählekmit ggT(k,p−1) = 1 Bestimmea=g^kmodp Bestimmeb=my^kmodp a,b

m=b/a^xmodp

(8)

ElGamal Elliptische Kurven Quantenkryptographie Sicherheitsaspekte (4:6) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zi

Sicherheitsaspekte:

Sowohl bzgl. der Sicherheit als auch bzgl. der Geschwindigkeit ist das ELGamal System voll mit RSA vergleichbar.

Bei der Sicherheit von ElGamal geht man davon aus, dass das folgende Problem schwer ist:

Fallsg^x undg^k gegeben sind, so ist es schwer einen der folgenden Werte zu bestimmen:g^xk oderg^−xk odermwie oben gegeben. Dieses

zugrundeliegende Problem ist als Diffie-Hellman-Problem bekannt.

Es ist bekannt, dass, falls man das Problem des diskreten Logarithmus lösen kann, dann kann man auch das Diffie-Hellman-Problem lösen. Die Rückrichtung ist offen.

Frage: Was wäre wenng kein Generator wäre?

(9)

ElGamal Elliptische Kurven Quantenkryptographie Unterschriften mit ElGamal (4:7) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zi

Unterschrift

x∈ {2, . . . ,p−2} y=g^xmodp

Erinnerung: keiner kann dividieren

A:w,y,n B:w,x,y,n

Erzeugtx,yundn=y·x y,n

Erzeugtzund bestimmtd=x·z Bestimmtc=w−n·z c,d,z

Testetw=^?y·d+c Testetn·z=^?y·d

Der Systemaufbau erfolgt genau wie schon oben angegeben.

Um eine Nachrichtmzu unterschreiben, führe man die folgenden Schritte durch:

1 Wählekzufällig mit 16k6p−2 mit ggT(k,p−1) = 1.

2 Bestimmer:=g^kmodpunds:=k⁻¹(m−rx) modp−1.

3 Die Unterschrift ist dann (m,r,s).

Um die Unterschrift zu testen, werden die folgenden Schritte gemacht:

1 Teste, ob gilt 16r6p−1.

2 Bestimmev:=g^mmodp undw :=y^rr^smodp.

3 Teste, ob giltv =^? w.

(10)

ElGamal Elliptische Kurven Quantenkryptographie Unterschriften mit ElGamal (4:8) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zi

Unterschrift

r:=g^kmodp s:=k⁻¹(m−rx) modp−1 (m,r,s) g^mmodp=^?y^rr^smodp g^p−1≡1 (modp) A:m,y,g B:m,x,y,g

WählepPrimzahl mit p−1 hat großen Primfaktor Wähle Generatorg∈Z^∗_p Wähle:x∈ {2, . . . ,p−2}

Bestimme:y=g^xmodp y,g

Wähle:kmit ggT(k,p−1) = 1 Bestimme:r=g^kmodpund s=k⁻¹(m−rx) modp−1 r,s,m

Teste, ob gilt: 16r6p−1 (g^mmodp)= (y^? ^rr^smodp)

Lemma

Bei korrekter Unterschrift gilt: g^mmodp=y^rr^smodp.

Beweis:y^rr^s≡(g^x)^r(g^k)^s≡g^rxg^kk⁻¹^(m−rx)≡g^m (modp)

(11)

Sicherheitsaspekte

r:=g^kmodp s:=k⁻¹(m−rx) modp−1 (g^mmodp)= (y^? ^rr^smodp)

Bei den Unterschriften nach ElGamal sind die folgenden Sicherheitsaspekte zu beachten:

Wenn jemand den diskreten Logarithmus effizient berechnen kann, dann kann er auch das Unterschriftensystem nach ElGamal brechen.

Zu gegebenenmundr eins zu bestimmen mitg^m=y^rr^s, ist äquivalent dazu, den diskreten Logarithmus zu berechnen.

Es ist offen, wie schwer das Fälschen einer Unterschrift ist, d.h. zu gegebemmdie Werter unds zu bestimmen mitg^m=y^rr^s.

(12)

Sicherheitsaspekte

Falls jemand das gewähltekzu einer Nachrichtmbestimmen kann, dann kann er auch den geheimen Schlüsselx bestimmen.

Dazu wirdrx≡(m−sk) (modp−1) bestimmt.

Da mit hoher Wahrscheinlichkeit ggT(r,p−1) = 1 ist, kann nunx bestimmt werden.

Daher ist es wichtig, gute Zufallsgeneratoren zu verwenden.

Es ist immer eine neue Zahlkzu wählen.

Denn wenn eink für zwei verschiedene Nachrichtenm1undm2

gewählt wird, dann kann mank (und damitx) bestimmen.

Dazu beachtet mans1−s2≡(m1−m2)k⁻¹ (modp−1) und bestimmtk= (s1−s2)⁻¹(m1−m2) modp−1.

(13)

Sicherheitsaspekte

Wenn man keine Hashfunktionen verwendet, dann kann man ElGamal Unterschriften fälschen.

Dabei kann aber nicht die Nachrichtmfrei gewählt werden.

Dazu wählt man folgende Vorgehensweise:

1 Wähleb,cmit ggT(c,p−1) = 1.

2 Setzer:=g^by^c modp.

3 Setzes:=−rc⁻¹modp−1.

4 Setzem:=−rbc⁻¹modp−1.

Die Unterschrift erfüllt danng^m≡y^rr^s (modp).

Denn:

y^rr^s ≡ y^g^b^y^c(g^by^c)^−rc⁻¹ (modp)

≡ y^g^b^y^cg^−rbc⁻¹y^−rcc⁻¹ (modp)

≡ y^g^b^y^cg^−rbc⁻¹y^−(g^b^y^c^)cc⁻¹ (modp)

≡ g^−rbc⁻¹ (modp)

≡ g^m (modp)

(14)

ElGamal Elliptische Kurven Quantenkryptographie Mathematischer Hintergrund (4:12) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zg

Beispiele und Notationen

f(x) =a·x+c y =a·x+c a·x−y+c= 0 a·x−b·y+c= 0 a·x−b·y+c= 0 a·x²+b·y³+c= 0

a1·x²a2·x∗3 +b1·y³b2·y+c= 0 Gleichungen überRoder

Q,Z,F, ...

Das sind elliptische Kurven.

Seif(x,y) ein Polynom über zwei Variablen.

c·x^m·yⁿ ein Term vonf(x,y) mitc6= 0 konstant und dem Gradn+m.

Der größte Grad der Terme ist dann der Grad vonf(x,y).

(15)

ElGamal Elliptische Kurven Quantenkryptographie Mathematischer Hintergrund (4:13) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zs

Definition

Definition (Elliptisch Kurve)

Eine elliptische Kurve ist der GraphE (bzw.Ea,b) der Gleichung

y²=x³+a·x+b, mitx,y,a,b∈R (bzw.Q,Z,N^m). Weiterhin gehört zu E der Punkt∞.

Obige Form heißt die Weierstrass Form.

Der Punkt∞wird das neutrale Element.

x y

y²=x³−3x+ 2

(16)

Beobachtung

Seif(x,y) ein Polynom vom Gradd. Seig(x,y) eine Gerade.

Alsoa·x+b·y+c= 0

Dann schneidet die Gerade den Graph vonf(x,y) = 0 in höchstensd Punkten.

“Beweis:”

Lösea·x+b·y+c = 0 nachx auf.

Setze das dann inf(x,y) ein.

Damit gibt es füry höchstendNullstellen.

(17)

Aufbau einer Gruppe

Ziel: Gruppenoperationen auf Graphen vonf(x,y) = 0.

Operation: zu zwei Punkten auff(x,y) = 0 bestimme dritten Punkt auf f(x,y) = 0.

Ansatz: Nutze Gerade zur Bestimmung des dritten Punktes.

Ansatz: Gerade durch zwei PunkteP,Q bestimmt dritten Punkt.

Ansatz: wählef(x,y) vom Grad 3, lege Gradeg(x,y) durchP,Qund bestimme dritten Schnittpunkt.

Gerade:g(x,y) = 0 mita·x+b·y+c= 0 undb6= 0.

Lösung:f(x,(−a·x−c)/b) = 0 ist kubische Gleichung inx. Hat drei Lösungen, zwei sind bekannt.

Dritte Lösung ergibt den neuen PunktR (x-Koordinate) Über die Geradengleichung ergeben sich diey-Koordinate.

OperationP⊕Q=R.

Sonderfälle folgen noch.

(18)

Beispiel

Wähle elliptische Kurve der Form y²=x³+a·x+b= 0.

Wähle PunktP.

Wähle PunktQ.

Lege Geradea⁰·x+b⁰·y+c⁰= 0 durchPundQ.

Bestimme dritten SchnittpunktR. x

y

y²=x³−3x+ 2

(19)

Definition der Gruppe

SeiP= (x,y) ein Punkt vony²=x³+a·x+b.

Dann ist−P= (x,−y)

FallP= (x,y) undQ= (x,−y) dann setzeP+Q=∞

Andernfalls istP+Q=−R mitR=P⊕Q.

P+∞=∞+P=P.

∞+∞=∞+∞=∞.

P+P wird wie folgt definiert:

Bestimmt TangenteT im PunktPanE.

Falls Tangente vertikal ist:P+P=∞

SeiRweiterer Schnittpunkt vonT, setze:P+P=−R

(20)

Aussagen

Theorem

Die oben definierte Operation auf y²=x³+a·x+b ist eine Gruppe.

Theorem

Die Gruppe auf y²=x³+a·x+b (modp)hat N=p+ 1 +Pp−1

r=0(^x³^+a·x+b_p ) Elemente.

Theorem (Hasse)

Die Gruppe auf y²=x³+a·x+b (modp)hat N Elemente, mit p+ 1−2·√

p<N<p+ 1 + 2·√ p.

Bemerkung:

Der diskrete Logarithmus auf diesen Gruppen ist schwer.

(21)

ElGamal Elliptische Kurven Quantenkryptographie Aufbau des Systems (4:19) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zs

Idee

Gehe analog zu ElGamal vor.

Generatorg wird ein PunktP0aufE.

Potenzierungg^x wird zur RechnungxP0oderxP.

Problem, wie werden die Nachrichten auf die Elemente der Gruppe abgebildet.

Dazu zwei Verfahren:

Ein probabilistisches Verfahren, welcheskBits “verschwendet”.

Ein deterministisches Verfahren, welches 1 Bit “verschwendet”.

Das deterministische Verfahren braucht spezielle Gruppen.

(22)

Probabilistisches Verfahren

SeiE,p,Nwie oben.

SeiM der Nachrichtenblock mit 0<M<p/2^k. Wähle als x-Koordinatex= 2^k·M+i

für eini mit 06i<2^k

so das es einen Punkt der Form (x,y)∈E gibt.

Algorithmus:

Für allei mit 06i <2^k mache x= 2^k·M+i

Falls (^x³^+a·x_p ^+b) = +1 gebei aus.

Gebe Fehler aus.

Fehlerwahrscheinlichkeit ist: 1/2²^k.

(23)

Deterministisches Verfahren

Wählepmitp≡3 (mod 4).

Dann ist−1 ein quadratischer Nichtrest, d.h.(⁻¹_p ) =−1.

Setzeb= 0.

Dann istE gegeben durchy²=x³+a·x (modp).

SeiM zu verschlüsseln mit 0<M<p/2.

Wir “verlieren” ein Bit.

Bestimmtt=M³+aM (modp).

t oder−tist quadratischer Rest.

Falls (_p^t) = 1, dann setzex =M. Falls (^−t_p ) = 1, dann setzex=p−M.

Damit gilt (^x³^+a·x_p ) = 1 undy kann bestimmt werden.

Zur Entschlüsselung mache:M= min(x,p−x).

(24)

Das Verfahren (4:22) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zw

Aufbau, Ver- und Entschlüsselung

Allgemein:

Bestimme Primzahlp.

Bestimme elliptische KurveE modulop BestimmeP0aufE mit großer Ordnung.

NutzerA:

Bestimmt ZahlaA. BestimmtPA=aAP0. VeröffentlichtPA

Beachte:

P0= Generatorˆ aA=ˆ privater Schlüssel PA= öffentlicherˆ Schlüssel

B sendet anA:

Bestimmt PunktPaus NachrichtM.

Bestimmt Zahlk mit 0<k<p.

Sendet an A: (kP0,kPA+P).

Entschlüsselung:

kPA+P−aa(kP0)

= (kaA)P0+P−(kaA)P0

=P.

Falls diskreter Logarithmus aufE lösbar:

bestimmekauskP0. bestimmekPA.

bestimme (kPA+P)−kPA.

(25)

Das Verfahren (4:23) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zw

Zusammenfasung

Überblick

A:a_A,P_A,P₀,E B:m,P_A,P₀,E WählepPrimzahl

Wähle ell. KurveE (modp) WähleP₀∈E Wählea_A∈ {2. . .p−1}

P_A:=a_AP₀ P₀,E,P_A

erzeugeP∈Eausm Wählek∈ {1. . .p−1}

T₁=kP₀ T₂=kP_A+P T₁,T₂

T⁰=T₂−a_AT₁ T⁰=kP_A+P−(a_Ak)P₀ T⁰= (a_Ak)P₀+P−(a_Ak)P₀ BestimmemausT⁰

Analoger Ansatz wie ElGamal.

Aber kompliziertere Gruppe als Basis.

Mindestens analoge Sicherheit

(26)

ElGamal Elliptische Kurven Quantenkryptographie Grundlagen aus der Physik (4:24) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zn

Kenntnisse aus der Physik:

Die kleinste Einheit des Lichts ist ein Photon.

Ein Photon kann gemessen werde, danach ist es aber nicht mehr als solches vorhanden.

Photon ist in einer Richtung ausgerichtet.

Genauer, die Lichtwelle ist in genau einer Richtung ausgerichtet.

Um die Ausrichtung eines Photons zu messen, testet man, ob das Photon einen Polarisationsfilter passiert.

Man kann nur jeweils auf eine Ausrichtung testen.

Photonen erzeugbar in jeder Ausrichtung (es gibt beliebig viele Ausrichtungen)

(27)

ElGamal Elliptische Kurven Quantenkryptographie Grundlagen aus der Physik (4:25) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zn

Kenntnisse aus der Physik:

Winkel: 0 Winkel: 0 Winkel: 0 Winkel: 5 Winkel: 0 Winkel: 10 Winkel: 0 Winkel: 15 Winkel: 0 Winkel: 20 Winkel: 0 Winkel: 25 Winkel: 0 Winkel: 30 Winkel: 0 Winkel: 35 Winkel: 0 Winkel: 40 Winkel: 0 Winkel: 45 Winkel: 0 Winkel: 50 Winkel: 0 Winkel: 55 Winkel: 0 Winkel: 60 Winkel: 0 Winkel: 65 Winkel: 0 Winkel: 70 Winkel: 0 Winkel: 75 Winkel: 0 Winkel: 80 Winkel: 0 Winkel: 85 Winkel: 0 Winkel: 90 Winkel: 5 Winkel: 90 Winkel: 10 Winkel: 90 Winkel: 15 Winkel: 90 Winkel: 20 Winkel: 90 Winkel: 25 Winkel: 90 Winkel: 30 Winkel: 90 Winkel: 35 Winkel: 90 Winkel: 40 Winkel: 90 Winkel: 45 Winkel: 90 Winkel: 50 Winkel: 90 Winkel: 55 Winkel: 90 Winkel: 60 Winkel: 90 Winkel: 65 Winkel: 90 Winkel: 70 Winkel: 90 Winkel: 75 Winkel: 90 Winkel: 80 Winkel: 90 Winkel: 85 Winkel: 90 Winkel: 90 Winkel: 90

Filter Licht

(28)

ElGamal Elliptische Kurven Quantenkryptographie Idee der Datenübertragung (4:26) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zn

Datenübertragung (Idee)

Darstellung 1:

Bit “1” entspricht: Senden eines Photons.

Bit “0” entspricht: Nicht-Senden eines Photons.

Darstellung 2:

Bit “1” entspricht: Senden eines Photons in einer Ausrichtung.

Bit “0” entspricht: Senden eines Photons in orthogonaler Ausrichtung.

In beiden Darstellungen ist ein Lauschen möglich.

Wir brauchen bessere Darstellung.

Ziel: Stelle fest, ob ein Lauscher auf der Leitung ist.

Daher wählen wir zwei verschiedene Darstellungen.

(29)

Zwei Darstellungen:

Sende: 1 Sende: 0 Sende: 1 Sende: 0 Sende: 1 Sende: 0 Sende: 1 Sende: 0

(30)

Zwei Darstellungen:

1^⊕in erster Darstellung.

0^⊕in erster Darstellung.

1^⊗in zweiter Darstellung.

0^⊗in zweiter Darstellung.

f^⊕Filter für erster Darstellung.

f^⊗Filter für zweiter Darstellung.

Problem: zur fehlerfreien Übertragung muss Darstellung bekannt sein.

Dann kann aber auch ein Lauscher ungestört lauschen.

Also betrachten wir den Fall, die Darstellung ist nicht bekannt.

1^⊕:

0^⊕:

1^⊗:

0^⊗:

f^⊕: f^⊗:

(31)

Zwei Darstellungen:

(32)

Übertragung ohne Lauscher:

Bei der Hälfte der Übertragungen können Fehler auftreten.

Die Hälfte der Übertragungen ist korrekt.

(33)

Übertragung mit Lauscher:

Sende: 1 Sende: 1 Sende: 0 Sende: 0 Sende: 1 Sende: 1 Sende: 0 Sende: 0 Sende: 1 Sende: 1 Sende: 0 Sende: 0 Sende: 1 Sende: 1 Sende: 0 Sende: 0

Bei drei Viertel der Übertragungen können Fehler auftreten.

Nur ein Viertel der Übertragungen ist korrekt.

(34)

Datenübertragung

A:m_i∈ {0,1},16i6k B:k

füri∈ {1,2, ...,4k}wähle zufälligr_i∈ {⊕,⊗}

füri∈ {1,2, ...,4k}wähle zufälligs_i∈ {⊕,⊗}

undz_i∈ {0,1} (z₁^r¹,z₂^r², ...,z^r^4k 4k)

Empfängt: (z₁⁰,z⁰₂, ...,z⁰_4k) WähltI⊂ {1,2, ...,4k}

mit|I|= 2k I,{z_i⁰|i∈I}

Öffentlich Testet:z_i=^?z_i⁰füri∈I

Abbruch, bei Fehler WähltJ⊂ {1,2, ...,4k} \I mit|J|=k SeiJ={a₁,a₂, ...,a_k}

Setze:c_i=m_i⊕z_ai J,c1,c2, ...,c_k

Bestimmt:m⁰_i=c_i⊕z_ai⁰

(35)

ElGamal Elliptische Kurven Quantenkryptographie Realisierung der Protokolle (4:33) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zn

Probleme

Technische Probleme, die bei der Realisierung auftreten:

Bisher sehr langsam.

Technik ist teuer.

Es können Photonen verloren gehen.

Es kann manchmal mehr als ein Photon gesandt werden, d.h.

Doppelmessung kommen vor.

Es können Fehlmessungen auftreten.

Was passiert bei verschränkten Photonen?

Was passiert bei gespeicherten Photonen?

(36)

ElGamal Elliptische Kurven Quantenkryptographie Realisierung der Protokolle (4:34) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zx

Fragen

Was ist die Idee des Verfahrens von ElGamal?

Wie sicher ist des Verfahrens nach ElGamal?

Wie macht man eine Unterschrift nach ElGamal?

Was ist der Unterschied zwischen der Verschlüsselung mit Elliptischen Kurven und ElGamal?

Wie ist die Idee bei der Verschlüsselung mit Elliptischen Kurven?

Was ist die Idee bei der Quantenkryptographie?

(37)

ElGamal Elliptische Kurven Quantenkryptographie Realisierung der Protokolle (4:35) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zx

Legende

n

Nicht relevant

g Grundlagen, die implizit genutzt werden i Idee des Beweises oder des Vorgehens s Struktur des Beweises oder des Vorgehens w Vollständiges Wissen