ElGamal Verschl ¨ usselung

ElGamal Verschl ¨ usselung

Die Abbildungx7→g^xist keine Einwegfunktion mit Fallt ¨ur. Dies ist im Verfahren auch nicht erforderlich.

F ¨urGkann man allgemeiner eine Untergruppe der multiplikativen Gruppe von endlichen K ¨orpernF^×q verwenden.

Das ElGamal Verfahren ist randomisiert. Chiffretexte zu zuf ¨alligen Nachrichten sind wie zuf ¨allige Elemente ausG×G.

Man maskiert eine Nachrichtmmit einem zuf ¨alligen Werty^r. Durch die Angabe vong^rversetzt man den Empf ¨anger in die Lage,y^r= (g^r)^x auszurechnen und somwiederzuerhalten.

3 14. Dezember 2006

ElGamal Sicherheit

Das Diffie-Hellman Problem ist, zug,g^a,g^bden Wertg^ab auszurechnen.

Thm: Das ElGamal Verfahren ist OW-CPA sicher, wenn das Diffie-Hellman Problem schwierig ist.

Bew: Zug,g^a,g^bw ¨ahlen wir zuf ¨alligs,r∈Zmoduloℓundz∈Gund wenden einen Angreifer aufg, den ¨offentlichen Schl ¨ussely = g^asund den Ciffretext(g^br,z)an. Wir erhaltenm = zg^−bras, darausz/m = g^absr und schließlichg^ab= (g^absr)^1/(sr).

Bemerkung: Istgcd{r, ℓ}= 1, gibt esλ,µ∈Zmit1 =λr + µℓ. Damit istg^λ die eindeutig bestimmter-te Wurzel vong.

4 14. Dezember 2006

Gruppenbasierte Kryptographie

Das RSA und Rabin Verfahren basieren auf dem Restklassenring Z/nZund der Einheitengruppe darin.

Wir betrachten nun Kryptosysteme, welche auf beliebigen abelschen Gruppen basieren. Wir nehmen im folgenden an, daßGeine

zyklische Gruppe der Ordnungℓist (ℓ= cℓ0mitcklein undℓ0prim).

SeiGerzeugt vong. F ¨ur jedes Elementb∈Ggibt es ein eindeutig bestimmtesx∈Zmit0≤x≤ℓ−1undb = g^x. Wir nennenxden diskreten Logarithmus vonbzur Basisg.

Die Berechnung diskreter Logarithmen in geeigneten Gruppen ist (vermutlich) ein schwieriges Problem ( ¨ahnlich wie das Faktorisieren vonn). Die Abbildungx7→g^xist dann eine Einwegfunktion.

Beispiel:(Z/pZ,+)leicht,(Z/pZ)^×(normalerweise) schwer.

1 14. Dezember 2006

ElGamal Verschl ¨ usselung

Schl ¨usselerzeugung:

•W ¨ahlex∈Zmit0≤x≤ℓ−1zuf ¨allig.

•Berechney = g^x.

•Der geheime Schl ¨ussel istx, der ¨offentliche Schl ¨ussel isty.

Verschl ¨usselung vonm∈G:

•W ¨ahler∈Zzuf ¨allig.

•Berechneu = g^rundv = my^r.

•Der Chiffretext ist(u,v).

Entschl ¨usselung von(u,v)∈G×G:

•Berechnem = vu^−x.

•Der Klartext istm.

2 14. Dezember 2006

ElGamal Sicherheit

Das Diffie-Hellman Entscheidungsproblem ist, zug,g^a,g^b,hzu entscheiden, obh = g^aboder nicht.

Thm: Das ElGamal Verfahren ist IND-CPA sicher, wenn das Diffie-Hellman Entscheidungsproblem schwierig ist.

Bew: SeiAein polynomieller Angreifer gegen IND.Aliefert also nach Eingabe zweier Klartextem₁,m₂und eines Chiffretextcvonm₁oder m2in einer Zeit polynomiell inlog₂(#G)einen Klartextmizur ¨uck, welcher mit Wahrscheinlichkeit>2/3der zucgeh ¨orige Klartext ist.

Wir nehmen zuerst zus ¨atzlich an, daßAeinen Fehler ausgibt, wennc weder zum1noch zum2 geh ¨ort.

5 14. Dezember 2006

ElGamal Sicherheit

Bew (ctd.):

Dann gehen wir wie folgt vor: Zug,g^a,g^b,hw ¨ahlen wir zwei zuf ¨allige m₁,m₂∈Gund wendenAbez ¨uglich des Basiswertsgund des

¨offentlichen Schl ¨usselsg^aaufm₁,m₂und den

”Chiffretext“ c = (g^b,m₁h) an. Gilth = g^ab, so ist der Chiffretext eine Verschl ¨usselung vonm₁, ansonsten nicht. Die Wahrscheinlichkeit, daßcein Chiffretext zum2

ist, ist vernachl ¨assigbar. GibtAalsom1aus, so geben wir

”h = g^ab“ aus. GibtAeinen Fehler aus, so geben wir

”h6= g^ab“. Dies liefert einen polynomiellen Algorithmus, welcher das DDH mit Wahrscheinlichkeit

>2/3korrekt l ¨ost.

Probleme entstehen, wenn das Verhalten vonAundefiniert ist, fallsc weder zum1noch zum2 geh ¨ort. Da die Diskussion hier etwas technisch wird, lassen wir sie aus.

6 14. Dezember 2006