Algorithmische Kryptographie (WS2013/14)
Kapitel 4 Weitere Systeme
Walter Unger
Lehrstuhl für Informatik 1
10:42 Uhr, den 26. November 2013
ElGamal Elliptische Kurven Quantenkryptographie
(4:2) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zx
Inhalt I
1 ElGamal Einleitung Aufbau
Verschlüsseln und Entschlüsseln Sicherheitsaspekte
Unterschriften mit ElGamal Sicherheitsaspekte
2 Elliptische Kurven
Mathematischer Hintergrund Aufbau des Systems Das Verfahren
3 Quantenkryptographie Grundlagen aus der Physik Idee der Datenübertragung Realisierung der Protokolle
ElGamal Elliptische Kurven Quantenkryptographie
Einleitung (4:1) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zg
ElGamal (1985 Tahir al-Dschamal(*1955))
Schweres Problem: diskreter Logarithmus.
D.h. es wird als schwer angenommen, für gegebene Zahlen a,b,p, eine Zahlx zu bestimmen mit (ax modp) =b.
Bei der Verschlüsselung wird eine Hintertür nicht durch das System vorgegeben.
Stattdessen wird vom Verschlüsseler eine zusätzliche Information angegeben, mit deren Hilfe der Emfänger entschlüsseln kann. Erinnerung:
A:x,y,n B:m,y,n Wählex,y
n=x·y y,n
Wählez c=n·z+m d=z·y c,d
m=c−x·d
a·bwird zuab (modp) a+bwird zua·b (modp)
PkS RSA ElGamal
Rabin KS DES IDEA AES
1985
1970 1980 1990 2000
ElGamal Elliptische Kurven Quantenkryptographie
Einleitung (4:2) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zg
Erinnerung
G ist zyklische Gruppe∃g:G ={gm|m∈N}.
Z∗n ist zyklisch, gdw.n∈ {1,2,4,pk,2·pk}.
Der Generator einer zyklischen Gruppe wird primitive Wurzel genannt.
FallspPrimzahl, dann istZ∗p zyklisch mitϕ(p−1) Generatoren.
x ∈Z∗p ist Generator gdw.x(p−1)/q6= 1 für alle Primzahlenq, diep−1 teilen.
Da ord(x) dasp−1 teilt, gilt:
x(p−1)/q= 1 modp−1 oder ord(x) =p−1.
ElGamal Elliptische Kurven Quantenkryptographie
Aufbau (4:3) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zw
Aufbau von ElGamal
xist Generator:x(p−1)/q6= 1
Bestimme große Primzahlp, so dassp−1 einen großen Primfaktor hat.
Zum Bestimmen solcher Primzahlenpwählt man zuerst eine große Primzahlqund testet dann als Kandidaten fürpZahlen der Form 2kq+ 1.
Bestimme weiter einen Generatorg∈Z∗p.
Um zu testen, obgein Generator ist, müssen die Werte vonk faktorisierbar sein, d.h.q wird groß gewählt undk relativ klein.
Für einen Generatorgmuss für alle Teilerq0vonp−1 gelten g(p−1)/q0 6≡1 (modp).
Damit kann man einfach testen, obg ein Generator ist.
Aufbau von ElGamal
Wähle zufälligx ∈ {2, . . . ,p−2}.
Bestimmey:=gx modp.
Der geheime Schlüssel ist dann (p,g,x).
Der öffentliche Schlüssel ist dann (p,g,y).
ElGamal Elliptische Kurven Quantenkryptographie Verschlüsseln und Entschlüsseln (4:4) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zw
Verschlüsselung:
x∈ {2, . . . ,p−2}
y=gxmodp
Bisher:
A:x,y,g B:m,y,g WählepPrimzahl mit
p−1 hat großen Primfaktor Wähle Generatorg∈Z∗p Wählex∈ {2, . . . ,p−2}
y:=gxmodp y,g
Die Verschlüsselungsfunktion ist dannEp,g,yElGamal:Z∗p→Z∗p×Z∗p. Wählekzufällig mit ggT(k,p−1) = 1.
a=gkmodp b=m·ykmodp Ep,g,yElGamal(m)7→(a,b).
Damit hat der Kryptotext die doppelte Größe im Vergleich zum Plaintext.
ElGamal Elliptische Kurven Quantenkryptographie Verschlüsseln und Entschlüsseln (4:5) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zw
Entschlüsselung:
a=gkmodp b≡myk≡mgxk (modp)
Zur Entschlüsselung bedient man sich der Eigenschaftm=b/ax modp.
Die Entschlüsselungsfunktion ist dannDp,g,xElGamal :Z∗p×Z∗p →Z∗p. Wenn (a,b) = (gk,myk) = (gk,mgxk) emfangen worden ist, dann bestimme:
h:=axmodp. Beachte dabei:ax ≡gkx (modp).
m:=b·h−1modp. Beachte hierbei:
b/ax≡ykm/ax ≡gkxm/ax ≡m·gkx/gkx ≡m (modp).
Damit gilt:DElGamalp,g,x (a,b)7→b/ax modp.
A:x,y,g B:m,y,g WählepPrimzahl mit
p−1 hat großen Primfaktor Wähle Generatorg∈Z∗p Wählex∈ {2, . . . ,p−2}
Bestimmey=gxmodp y,g
Wählekmit ggT(k,p−1) = 1 Bestimmea=gkmodp Bestimmeb=mykmodp a,b
m=b/axmodp
ElGamal Elliptische Kurven Quantenkryptographie Sicherheitsaspekte (4:6) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zi
Sicherheitsaspekte:
Sowohl bzgl. der Sicherheit als auch bzgl. der Geschwindigkeit ist das ELGamal System voll mit RSA vergleichbar.
Bei der Sicherheit von ElGamal geht man davon aus, dass das folgende Problem schwer ist:
Fallsgx undgk gegeben sind, so ist es schwer einen der folgenden Werte zu bestimmen:gxk oderg−xk odermwie oben gegeben. Dieses
zugrundeliegende Problem ist als Diffie-Hellman-Problem bekannt.
Es ist bekannt, dass, falls man das Problem des diskreten Logarithmus lösen kann, dann kann man auch das Diffie-Hellman-Problem lösen. Die Rückrichtung ist offen.
Frage: Was wäre wenng kein Generator wäre?
ElGamal Elliptische Kurven Quantenkryptographie Unterschriften mit ElGamal (4:7) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zi
Unterschrift
x∈ {2, . . . ,p−2} y=gxmodp
Erinnerung: keiner kann dividieren
A:w,y,n B:w,x,y,n
Erzeugtx,yundn=y·x y,n
Erzeugtzund bestimmtd=x·z Bestimmtc=w−n·z c,d,z
Testetw=?y·d+c Testetn·z=?y·d
Der Systemaufbau erfolgt genau wie schon oben angegeben.
Um eine Nachrichtmzu unterschreiben, führe man die folgenden Schritte durch:
1 Wählekzufällig mit 16k6p−2 mit ggT(k,p−1) = 1.
2 Bestimmer:=gkmodpunds:=k−1(m−rx) modp−1.
3 Die Unterschrift ist dann (m,r,s).
Um die Unterschrift zu testen, werden die folgenden Schritte gemacht:
1 Teste, ob gilt 16r6p−1.
2 Bestimmev:=gmmodp undw :=yrrsmodp.
3 Teste, ob giltv =? w.
ElGamal Elliptische Kurven Quantenkryptographie Unterschriften mit ElGamal (4:8) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zi
Unterschrift
r:=gkmodp s:=k−1(m−rx) modp−1 (m,r,s) gmmodp=?yrrsmodp gp−1≡1 (modp) A:m,y,g B:m,x,y,g
WählepPrimzahl mit p−1 hat großen Primfaktor Wähle Generatorg∈Z∗p Wähle:x∈ {2, . . . ,p−2}
Bestimme:y=gxmodp y,g
Wähle:kmit ggT(k,p−1) = 1 Bestimme:r=gkmodpund s=k−1(m−rx) modp−1 r,s,m
Teste, ob gilt: 16r6p−1 (gmmodp)= (y? rrsmodp)
Lemma
Bei korrekter Unterschrift gilt: gmmodp=yrrsmodp.
Beweis:yrrs≡(gx)r(gk)s≡grxgkk−1(m−rx)≡gm (modp)
ElGamal Elliptische Kurven Quantenkryptographie Sicherheitsaspekte (4:9) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zi
Sicherheitsaspekte
r:=gkmodp s:=k−1(m−rx) modp−1 (gmmodp)= (y? rrsmodp)
Bei den Unterschriften nach ElGamal sind die folgenden Sicherheitsaspekte zu beachten:
Wenn jemand den diskreten Logarithmus effizient berechnen kann, dann kann er auch das Unterschriftensystem nach ElGamal brechen.
Zu gegebenenmundr eins zu bestimmen mitgm=yrrs, ist äquivalent dazu, den diskreten Logarithmus zu berechnen.
Es ist offen, wie schwer das Fälschen einer Unterschrift ist, d.h. zu gegebemmdie Werter unds zu bestimmen mitgm=yrrs.
ElGamal Elliptische Kurven Quantenkryptographie Sicherheitsaspekte (4:10) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zi
Sicherheitsaspekte
r:=gkmodp s:=k−1(m−rx) modp−1 (gmmodp)= (y? rrsmodp)
Falls jemand das gewähltekzu einer Nachrichtmbestimmen kann, dann kann er auch den geheimen Schlüsselx bestimmen.
Dazu wirdrx≡(m−sk) (modp−1) bestimmt.
Da mit hoher Wahrscheinlichkeit ggT(r,p−1) = 1 ist, kann nunx bestimmt werden.
Daher ist es wichtig, gute Zufallsgeneratoren zu verwenden.
Es ist immer eine neue Zahlkzu wählen.
Denn wenn eink für zwei verschiedene Nachrichtenm1undm2
gewählt wird, dann kann mank (und damitx) bestimmen.
Dazu beachtet mans1−s2≡(m1−m2)k−1 (modp−1) und bestimmtk= (s1−s2)−1(m1−m2) modp−1.
ElGamal Elliptische Kurven Quantenkryptographie Sicherheitsaspekte (4:11) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zi
Sicherheitsaspekte
r:=gkmodp s:=k−1(m−rx) modp−1 (gmmodp)= (y? rrsmodp)
Wenn man keine Hashfunktionen verwendet, dann kann man ElGamal Unterschriften fälschen.
Dabei kann aber nicht die Nachrichtmfrei gewählt werden.
Dazu wählt man folgende Vorgehensweise:
1 Wähleb,cmit ggT(c,p−1) = 1.
2 Setzer:=gbyc modp.
3 Setzes:=−rc−1modp−1.
4 Setzem:=−rbc−1modp−1.
Die Unterschrift erfüllt danngm≡yrrs (modp).
Denn:
yrrs ≡ ygbyc(gbyc)−rc−1 (modp)
≡ ygbycg−rbc−1y−rcc−1 (modp)
≡ ygbycg−rbc−1y−(gbyc)cc−1 (modp)
≡ g−rbc−1 (modp)
≡ gm (modp)
ElGamal Elliptische Kurven Quantenkryptographie Mathematischer Hintergrund (4:12) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zg
Beispiele und Notationen
f(x) =a·x+c y =a·x+c a·x−y+c= 0 a·x−b·y+c= 0 a·x−b·y+c= 0 a·x2+b·y3+c= 0
a1·x2a2·x∗3 +b1·y3b2·y+c= 0 Gleichungen überRoder
Q,Z,F, ...
Das sind elliptische Kurven.
Seif(x,y) ein Polynom über zwei Variablen.
c·xm·yn ein Term vonf(x,y) mitc6= 0 konstant und dem Gradn+m.
Der größte Grad der Terme ist dann der Grad vonf(x,y).
ElGamal Elliptische Kurven Quantenkryptographie Mathematischer Hintergrund (4:13) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zs
Definition
Definition (Elliptisch Kurve)
Eine elliptische Kurve ist der GraphE (bzw.Ea,b) der Gleichung
y2=x3+a·x+b, mitx,y,a,b∈R (bzw.Q,Z,Nm). Weiterhin gehört zu E der Punkt∞.
Obige Form heißt die Weierstrass Form.
Der Punkt∞wird das neutrale Element.
x y
y2=x3−3x+ 2
ElGamal Elliptische Kurven Quantenkryptographie Mathematischer Hintergrund (4:14) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zs
Beobachtung
Seif(x,y) ein Polynom vom Gradd. Seig(x,y) eine Gerade.
Alsoa·x+b·y+c= 0
Dann schneidet die Gerade den Graph vonf(x,y) = 0 in höchstensd Punkten.
“Beweis:”
Lösea·x+b·y+c = 0 nachx auf.
Setze das dann inf(x,y) ein.
Damit gibt es füry höchstendNullstellen.
ElGamal Elliptische Kurven Quantenkryptographie Mathematischer Hintergrund (4:15) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zs
Aufbau einer Gruppe
Ziel: Gruppenoperationen auf Graphen vonf(x,y) = 0.
Operation: zu zwei Punkten auff(x,y) = 0 bestimme dritten Punkt auf f(x,y) = 0.
Ansatz: Nutze Gerade zur Bestimmung des dritten Punktes.
Ansatz: Gerade durch zwei PunkteP,Q bestimmt dritten Punkt.
Ansatz: wählef(x,y) vom Grad 3, lege Gradeg(x,y) durchP,Qund bestimme dritten Schnittpunkt.
Gerade:g(x,y) = 0 mita·x+b·y+c= 0 undb6= 0.
Lösung:f(x,(−a·x−c)/b) = 0 ist kubische Gleichung inx. Hat drei Lösungen, zwei sind bekannt.
Dritte Lösung ergibt den neuen PunktR (x-Koordinate) Über die Geradengleichung ergeben sich diey-Koordinate.
OperationP⊕Q=R.
Sonderfälle folgen noch.
ElGamal Elliptische Kurven Quantenkryptographie Mathematischer Hintergrund (4:16) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zs
Beispiel
Wähle elliptische Kurve der Form y2=x3+a·x+b= 0.
Wähle PunktP.
Wähle PunktQ.
Lege Geradea0·x+b0·y+c0= 0 durchPundQ.
Bestimme dritten SchnittpunktR. x
y
y2=x3−3x+ 2
ElGamal Elliptische Kurven Quantenkryptographie Mathematischer Hintergrund (4:17) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zs
Definition der Gruppe
SeiP= (x,y) ein Punkt vony2=x3+a·x+b.
Dann ist−P= (x,−y)
FallP= (x,y) undQ= (x,−y) dann setzeP+Q=∞
Andernfalls istP+Q=−R mitR=P⊕Q.
P+∞=∞+P=P.
∞+∞=∞+∞=∞.
P+P wird wie folgt definiert:
Bestimmt TangenteT im PunktPanE.
Falls Tangente vertikal ist:P+P=∞
SeiRweiterer Schnittpunkt vonT, setze:P+P=−R
ElGamal Elliptische Kurven Quantenkryptographie Mathematischer Hintergrund (4:18) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zs
Aussagen
Theorem
Die oben definierte Operation auf y2=x3+a·x+b ist eine Gruppe.
Theorem
Die Gruppe auf y2=x3+a·x+b (modp)hat N=p+ 1 +Pp−1
r=0(x3+a·x+bp ) Elemente.
Theorem (Hasse)
Die Gruppe auf y2=x3+a·x+b (modp)hat N Elemente, mit p+ 1−2·√
p<N<p+ 1 + 2·√ p.
Bemerkung:
Der diskrete Logarithmus auf diesen Gruppen ist schwer.
ElGamal Elliptische Kurven Quantenkryptographie Aufbau des Systems (4:19) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zs
Idee
Gehe analog zu ElGamal vor.
Generatorg wird ein PunktP0aufE.
Potenzierunggx wird zur RechnungxP0oderxP.
Problem, wie werden die Nachrichten auf die Elemente der Gruppe abgebildet.
Dazu zwei Verfahren:
Ein probabilistisches Verfahren, welcheskBits “verschwendet”.
Ein deterministisches Verfahren, welches 1 Bit “verschwendet”.
Das deterministische Verfahren braucht spezielle Gruppen.
ElGamal Elliptische Kurven Quantenkryptographie Aufbau des Systems (4:20) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zs
Probabilistisches Verfahren
SeiE,p,Nwie oben.
SeiM der Nachrichtenblock mit 0<M<p/2k. Wähle als x-Koordinatex= 2k·M+i
für eini mit 06i<2k
so das es einen Punkt der Form (x,y)∈E gibt.
Algorithmus:
Für allei mit 06i <2k mache x= 2k·M+i
Falls (x3+a·xp +b) = +1 gebei aus.
Gebe Fehler aus.
Fehlerwahrscheinlichkeit ist: 1/22k.
ElGamal Elliptische Kurven Quantenkryptographie Aufbau des Systems (4:21) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zs
Deterministisches Verfahren
Wählepmitp≡3 (mod 4).
Dann ist−1 ein quadratischer Nichtrest, d.h.(−1p ) =−1.
Setzeb= 0.
Dann istE gegeben durchy2=x3+a·x (modp).
SeiM zu verschlüsseln mit 0<M<p/2.
Wir “verlieren” ein Bit.
Bestimmtt=M3+aM (modp).
t oder−tist quadratischer Rest.
Falls (pt) = 1, dann setzex =M. Falls (−tp ) = 1, dann setzex=p−M.
Damit gilt (x3+a·xp ) = 1 undy kann bestimmt werden.
Zur Entschlüsselung mache:M= min(x,p−x).
ElGamal Elliptische Kurven Quantenkryptographie
Das Verfahren (4:22) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zw
Aufbau, Ver- und Entschlüsselung
Allgemein:
Bestimme Primzahlp.
Bestimme elliptische KurveE modulop BestimmeP0aufE mit großer Ordnung.
NutzerA:
Bestimmt ZahlaA. BestimmtPA=aAP0. VeröffentlichtPA
Beachte:
P0= Generatorˆ aA=ˆ privater Schlüssel PA= öffentlicherˆ Schlüssel
B sendet anA:
Bestimmt PunktPaus NachrichtM.
Bestimmt Zahlk mit 0<k<p.
Sendet an A: (kP0,kPA+P).
Entschlüsselung:
kPA+P−aa(kP0)
= (kaA)P0+P−(kaA)P0
=P.
Falls diskreter Logarithmus aufE lösbar:
bestimmekauskP0. bestimmekPA.
bestimme (kPA+P)−kPA.
ElGamal Elliptische Kurven Quantenkryptographie
Das Verfahren (4:23) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zw
Zusammenfasung
Überblick
A:aA,PA,P0,E B:m,PA,P0,E WählepPrimzahl
Wähle ell. KurveE (modp) WähleP0∈E WähleaA∈ {2. . .p−1}
PA:=aAP0 P0,E,PA
erzeugeP∈Eausm Wählek∈ {1. . .p−1}
T1=kP0 T2=kPA+P T1,T2
T0=T2−aAT1 T0=kPA+P−(aAk)P0 T0= (aAk)P0+P−(aAk)P0 BestimmemausT0
Analoger Ansatz wie ElGamal.
Aber kompliziertere Gruppe als Basis.
Mindestens analoge Sicherheit
ElGamal Elliptische Kurven Quantenkryptographie Grundlagen aus der Physik (4:24) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zn
Kenntnisse aus der Physik:
Die kleinste Einheit des Lichts ist ein Photon.
Ein Photon kann gemessen werde, danach ist es aber nicht mehr als solches vorhanden.
Photon ist in einer Richtung ausgerichtet.
Genauer, die Lichtwelle ist in genau einer Richtung ausgerichtet.
Um die Ausrichtung eines Photons zu messen, testet man, ob das Photon einen Polarisationsfilter passiert.
Man kann nur jeweils auf eine Ausrichtung testen.
Photonen erzeugbar in jeder Ausrichtung (es gibt beliebig viele Ausrichtungen)
ElGamal Elliptische Kurven Quantenkryptographie Grundlagen aus der Physik (4:25) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zn
Kenntnisse aus der Physik:
Winkel: 0 Winkel: 0 Winkel: 0 Winkel: 5 Winkel: 0 Winkel: 10 Winkel: 0 Winkel: 15 Winkel: 0 Winkel: 20 Winkel: 0 Winkel: 25 Winkel: 0 Winkel: 30 Winkel: 0 Winkel: 35 Winkel: 0 Winkel: 40 Winkel: 0 Winkel: 45 Winkel: 0 Winkel: 50 Winkel: 0 Winkel: 55 Winkel: 0 Winkel: 60 Winkel: 0 Winkel: 65 Winkel: 0 Winkel: 70 Winkel: 0 Winkel: 75 Winkel: 0 Winkel: 80 Winkel: 0 Winkel: 85 Winkel: 0 Winkel: 90 Winkel: 5 Winkel: 90 Winkel: 10 Winkel: 90 Winkel: 15 Winkel: 90 Winkel: 20 Winkel: 90 Winkel: 25 Winkel: 90 Winkel: 30 Winkel: 90 Winkel: 35 Winkel: 90 Winkel: 40 Winkel: 90 Winkel: 45 Winkel: 90 Winkel: 50 Winkel: 90 Winkel: 55 Winkel: 90 Winkel: 60 Winkel: 90 Winkel: 65 Winkel: 90 Winkel: 70 Winkel: 90 Winkel: 75 Winkel: 90 Winkel: 80 Winkel: 90 Winkel: 85 Winkel: 90 Winkel: 90 Winkel: 90
Filter Licht
ElGamal Elliptische Kurven Quantenkryptographie Idee der Datenübertragung (4:26) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zn
Datenübertragung (Idee)
Darstellung 1:
Bit “1” entspricht: Senden eines Photons.
Bit “0” entspricht: Nicht-Senden eines Photons.
Darstellung 2:
Bit “1” entspricht: Senden eines Photons in einer Ausrichtung.
Bit “0” entspricht: Senden eines Photons in orthogonaler Ausrichtung.
In beiden Darstellungen ist ein Lauschen möglich.
Wir brauchen bessere Darstellung.
Ziel: Stelle fest, ob ein Lauscher auf der Leitung ist.
Daher wählen wir zwei verschiedene Darstellungen.
ElGamal Elliptische Kurven Quantenkryptographie Idee der Datenübertragung (4:27) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zn
Zwei Darstellungen:
Sende: 1 Sende: 0 Sende: 1 Sende: 0 Sende: 1 Sende: 0 Sende: 1 Sende: 0
ElGamal Elliptische Kurven Quantenkryptographie Idee der Datenübertragung (4:28) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zn
Zwei Darstellungen:
1⊕in erster Darstellung.
0⊕in erster Darstellung.
1⊗in zweiter Darstellung.
0⊗in zweiter Darstellung.
f⊕Filter für erster Darstellung.
f⊗Filter für zweiter Darstellung.
Problem: zur fehlerfreien Übertragung muss Darstellung bekannt sein.
Dann kann aber auch ein Lauscher ungestört lauschen.
Also betrachten wir den Fall, die Darstellung ist nicht bekannt.
1⊕:
0⊕:
1⊗:
0⊗:
f⊕: f⊗:
ElGamal Elliptische Kurven Quantenkryptographie Idee der Datenübertragung (4:29) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zn
Zwei Darstellungen:
Sende: 1 Sende: 0 Sende: 1 Sende: 0 Sende: 1 Sende: 0 Sende: 1 Sende: 0
ElGamal Elliptische Kurven Quantenkryptographie Idee der Datenübertragung (4:30) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zn
Übertragung ohne Lauscher:
Sende: 1 Sende: 0 Sende: 1 Sende: 0 Sende: 1 Sende: 0 Sende: 1 Sende: 0
Bei der Hälfte der Übertragungen können Fehler auftreten.
Die Hälfte der Übertragungen ist korrekt.
ElGamal Elliptische Kurven Quantenkryptographie Idee der Datenübertragung (4:31) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zn
Übertragung mit Lauscher:
Sende: 1 Sende: 1 Sende: 0 Sende: 0 Sende: 1 Sende: 1 Sende: 0 Sende: 0 Sende: 1 Sende: 1 Sende: 0 Sende: 0 Sende: 1 Sende: 1 Sende: 0 Sende: 0
Bei drei Viertel der Übertragungen können Fehler auftreten.
Nur ein Viertel der Übertragungen ist korrekt.
ElGamal Elliptische Kurven Quantenkryptographie Idee der Datenübertragung (4:32) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zn
Datenübertragung
A:mi∈ {0,1},16i6k B:k
füri∈ {1,2, ...,4k}wähle zufälligri∈ {⊕,⊗}
füri∈ {1,2, ...,4k}wähle zufälligsi∈ {⊕,⊗}
undzi∈ {0,1} (z1r1,z2r2, ...,zr4k 4k)
Empfängt: (z10,z02, ...,z04k) WähltI⊂ {1,2, ...,4k}
mit|I|= 2k I,{zi0|i∈I}
Öffentlich Testet:zi=?zi0füri∈I
Abbruch, bei Fehler WähltJ⊂ {1,2, ...,4k} \I mit|J|=k SeiJ={a1,a2, ...,ak}
Setze:ci=mi⊕zai J,c1,c2, ...,ck
Bestimmt:m0i=ci⊕zai0
ElGamal Elliptische Kurven Quantenkryptographie Realisierung der Protokolle (4:33) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zn
Probleme
Technische Probleme, die bei der Realisierung auftreten:
Bisher sehr langsam.
Technik ist teuer.
Es können Photonen verloren gehen.
Es kann manchmal mehr als ein Photon gesandt werden, d.h.
Doppelmessung kommen vor.
Es können Fehlmessungen auftreten.
Was passiert bei verschränkten Photonen?
Was passiert bei gespeicherten Photonen?
ElGamal Elliptische Kurven Quantenkryptographie Realisierung der Protokolle (4:34) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zx
Fragen
Was ist die Idee des Verfahrens von ElGamal?
Wie sicher ist des Verfahrens nach ElGamal?
Wie macht man eine Unterschrift nach ElGamal?
Was ist der Unterschied zwischen der Verschlüsselung mit Elliptischen Kurven und ElGamal?
Wie ist die Idee bei der Verschlüsselung mit Elliptischen Kurven?
Was ist die Idee bei der Quantenkryptographie?
ElGamal Elliptische Kurven Quantenkryptographie Realisierung der Protokolle (4:35) <> Walter Unger 26.11.2013 10:42 WS2013/14 Zx
Legende
n
Nicht relevantg Grundlagen, die implizit genutzt werden i Idee des Beweises oder des Vorgehens s Struktur des Beweises oder des Vorgehens w Vollständiges Wissen