ElGamal Verschl ¨ usselung
Die Abbildungx7→gxist keine Einwegfunktion mit Fallt ¨ur. Dies ist im Verfahren auch nicht erforderlich.
F ¨urGkann man allgemeiner eine Untergruppe der multiplikativen Gruppe von endlichen K ¨orpernF×q verwenden.
Das ElGamal Verfahren ist randomisiert. Chiffretexte zu zuf ¨alligen Nachrichten sind wie zuf ¨allige Elemente ausG×G.
Man maskiert eine Nachrichtmmit einem zuf ¨alligen Wertyr. Durch die Angabe vongrversetzt man den Empf ¨anger in die Lage,yr= (gr)x auszurechnen und somwiederzuerhalten.
3 14. Dezember 2006
ElGamal Sicherheit
Das Diffie-Hellman Problem ist, zug,ga,gbden Wertgab auszurechnen.
Thm: Das ElGamal Verfahren ist OW-CPA sicher, wenn das Diffie-Hellman Problem schwierig ist.
Bew: Zug,ga,gbw ¨ahlen wir zuf ¨alligs,r∈Zmoduloℓundz∈Gund wenden einen Angreifer aufg, den ¨offentlichen Schl ¨ussely = gasund den Ciffretext(gbr,z)an. Wir erhaltenm = zg−bras, darausz/m = gabsr und schließlichgab= (gabsr)1/(sr).
Bemerkung: Istgcd{r, ℓ}= 1, gibt esλ,µ∈Zmit1 =λr + µℓ. Damit istgλ die eindeutig bestimmter-te Wurzel vong.
4 14. Dezember 2006
Gruppenbasierte Kryptographie
Das RSA und Rabin Verfahren basieren auf dem Restklassenring Z/nZund der Einheitengruppe darin.
Wir betrachten nun Kryptosysteme, welche auf beliebigen abelschen Gruppen basieren. Wir nehmen im folgenden an, daßGeine
zyklische Gruppe der Ordnungℓist (ℓ= cℓ0mitcklein undℓ0prim).
SeiGerzeugt vong. F ¨ur jedes Elementb∈Ggibt es ein eindeutig bestimmtesx∈Zmit0≤x≤ℓ−1undb = gx. Wir nennenxden diskreten Logarithmus vonbzur Basisg.
Die Berechnung diskreter Logarithmen in geeigneten Gruppen ist (vermutlich) ein schwieriges Problem ( ¨ahnlich wie das Faktorisieren vonn). Die Abbildungx7→gxist dann eine Einwegfunktion.
Beispiel:(Z/pZ,+)leicht,(Z/pZ)×(normalerweise) schwer.
1 14. Dezember 2006
ElGamal Verschl ¨ usselung
Schl ¨usselerzeugung:
•W ¨ahlex∈Zmit0≤x≤ℓ−1zuf ¨allig.
•Berechney = gx.
•Der geheime Schl ¨ussel istx, der ¨offentliche Schl ¨ussel isty.
Verschl ¨usselung vonm∈G:
•W ¨ahler∈Zzuf ¨allig.
•Berechneu = grundv = myr.
•Der Chiffretext ist(u,v).
Entschl ¨usselung von(u,v)∈G×G:
•Berechnem = vu−x.
•Der Klartext istm.
2 14. Dezember 2006
ElGamal Sicherheit
Das Diffie-Hellman Entscheidungsproblem ist, zug,ga,gb,hzu entscheiden, obh = gaboder nicht.
Thm: Das ElGamal Verfahren ist IND-CPA sicher, wenn das Diffie-Hellman Entscheidungsproblem schwierig ist.
Bew: SeiAein polynomieller Angreifer gegen IND.Aliefert also nach Eingabe zweier Klartextem1,m2und eines Chiffretextcvonm1oder m2in einer Zeit polynomiell inlog2(#G)einen Klartextmizur ¨uck, welcher mit Wahrscheinlichkeit>2/3der zucgeh ¨orige Klartext ist.
Wir nehmen zuerst zus ¨atzlich an, daßAeinen Fehler ausgibt, wennc weder zum1noch zum2 geh ¨ort.
5 14. Dezember 2006
ElGamal Sicherheit
Bew (ctd.):
Dann gehen wir wie folgt vor: Zug,ga,gb,hw ¨ahlen wir zwei zuf ¨allige m1,m2∈Gund wendenAbez ¨uglich des Basiswertsgund des
¨offentlichen Schl ¨usselsgaaufm1,m2und den
”Chiffretext“ c = (gb,m1h) an. Gilth = gab, so ist der Chiffretext eine Verschl ¨usselung vonm1, ansonsten nicht. Die Wahrscheinlichkeit, daßcein Chiffretext zum2
ist, ist vernachl ¨assigbar. GibtAalsom1aus, so geben wir
”h = gab“ aus. GibtAeinen Fehler aus, so geben wir
”h6= gab“. Dies liefert einen polynomiellen Algorithmus, welcher das DDH mit Wahrscheinlichkeit
>2/3korrekt l ¨ost.
Probleme entstehen, wenn das Verhalten vonAundefiniert ist, fallsc weder zum1noch zum2 geh ¨ort. Da die Diskussion hier etwas technisch wird, lassen wir sie aus.
6 14. Dezember 2006