Untere Schranken f ¨ ur das DDH

Untere Schranken f ¨ ur das DDH

Der Satz gilt analog f ¨ur das DLP, Erfolgswahrscheinlichkeit≤m²/ℓ.

Um konstante Erfolgswahrscheinlichkeit zu haben, ben ¨otigt man also m =Omega(√

ℓ)viele Orakelanfragen. Die Laufzeit ist demnach exponentiell inlog(ℓ).

Mit den Pollard Methoden ergibt sich, daßO(√

ℓ)auch eine obere Schranke f ¨ur die ben ¨otigte Zeit ist, folglich ist Theta(√

ℓ)die genaue Komplexit ¨at f ¨ur generische Algorithmen bzw. Black-box Gruppen.

3 10. Januar 2008

Shanks Baby Step Giant Step

Ist Anwendung von Meet-in-the-Middle Prinzip. L ¨ost DLP deterministisch in ZeitO(√

ℓ)und SpeicherO(√ ℓ).

Schreibexmit0≤x< ℓeindeutig alsx = jm + imit0≤i<mund 0≤ j≤ℓ/m. Schreibex7→g^xals(i,j)7→g^jm+i.

Seieng,bgegeben undxmitb = g^xgesucht.

Trenneiund j: F ¨urx = jm + igiltb/gⁱ= g^jm.

Daher linke Seite f ¨ur alleiausrechnen und speichern, dann alle jf ¨ur Kollision durchprobieren.

Zeit-optimiert f ¨urm≈√ ℓ.

4 10. Januar 2008

Untere Schranken f ¨ ur das DDH

F ¨ur konkret gegebene Gruppen gibt es keine (sinnvollen) unteren Schranken f ¨ur die Laufzeit, ein DLP zu l ¨osen. F ¨ur

”allgemeine“

Gruppen gibt es dies aber.

Eine Numeration ist eine Injektionσ: (Z/ℓZ)⁺→ {0,1}ⁿ.

Ein generischer Algorithmus erwartet als Eingabe eine Liste von GruppenelementeL = (σ(x1), . . . ,σ(xk))und hat Zugang zu einem Orakel, welches die Werteσ(xi±xj)berechnet. Solche neu berechneten Werte werden zuLhinzugef ¨ugt.

Alternativ kann man sich vorstellen, die Gruppe sei durch eine Klasse gegeben, und der generische Algorithmus kann nur die Methoden +,−,=, <aufrufen (sonst nichts).

1 10. Januar 2008

Untere Schranken f ¨ ur das DDH

Thm: Seiℓprim. Das DDH kann durch einen generischen

AlgorithmusAbei zuf ¨alliger Numerationσund≤mOrakelanfragen an σmit von1/2um maximalm²/ℓabweichender Wahrscheinlichkeit gel ¨ost werden.

Bew:Aerh ¨altσ(1),σ(a),σ(b),ws,w1−smitw0=σ(ab),w1=σ(c),s∈ {0,1} unda,b,c∈Z/ℓZzuf ¨allig. Die durchAberechneten Elemente sind von der Formσ(Fj(a,b,c))f ¨urF_j(t₁,t₂,t₃) =λj,1t₁+λj,2t₂+λj,3t₃+λj,4t₁t₂+λj,5

undλj,i∈Z/ℓZ.Akann nur dann Information erhalten, wenn σ(Fi(a,b,c)) =σ(Fj(a,b,c))f ¨uri,jmitF_i6= F_j. Tritt dies nicht ein, hatA Erfolgswahrscheinlichkeit1/2. Wir suchen also nach der

Wahrscheinlichkeit, daß einG_i,j= F_i−F_jeine Nullstelle(a,b,c)hat. Da immer nach einemt_iaufgel ¨ost werden kann, nachdem Werte f ¨ur die anderentjeingesetzt wurden, istG_i,jf ¨ur zuf ¨allige Wahl vontimit Wahrscheinlichkeit1/ℓNull. Es gibtm(m−1)/2PolynomeG_i,j, somit eine Wahrscheinlichkeit≤m(m−1)/(2ℓ)≤m²/ℓ.

2 10. Januar 2008

Pohlig-Hellman

Idee 2 (

”Hensel Lifting“):

•Annahme#G =ℓ^e,ℓprim undg^ℓe= 1miteminimal.

•Dannb = g^xmitx = x0+ x1ℓ+. . .xe−1ℓ^e−1und0≤xi< ℓ.

•L ¨ose induktiv DLPsb^ℓe−1−j/g^{ℓe−1−j(x0+x1ℓ+...xj−1ℓj−1)}= g^{ℓe−1−jxjℓj}inx_jf ¨ur j = 0, . . . ,e−1. Sind definiert in Gruppehg^ℓe−1ider Ordnungℓ.

Daher betrachten wir nur zyklische Gruppen mit

”m ¨oglichst“ primer Ordnung.

Die Verwendung nicht zyklischer Gruppen macht ebenfalls keinen Sinn, da wir nur in der vongerzeugten Untergruppe arbeiten.

7 10. Januar 2008

Generische Methoden f ¨ ur das DLP

Gruppenordnungℓ= cℓ0,ℓ0gr ¨oßter Primfaktor vonℓ.

•Shanks: deterministisch, LaufzeitO(√

ℓ), SpeicherO(√ ℓ).

•Pollard rho: probabilistisch, LaufzeitO(√

ℓ), SpeicherO(1).

•Pohlig-Hellman: deterministische Reduktion auf Shanks oder Pollard rho, LaufzeitO (√

ℓ0), SpeicherO(√

ℓ0)oderO(1).

Name”rho“ wegen des Aussehens des Zufallswegs ...

Die Methoden von Shanks, Pollard und Pohlig-Hellman funktionieren in jeder Gruppe gleichermaßen (also f ¨ur Black-Box Gruppen), wobei f ¨ur Pohlig-Hellman noch die Faktorisierung der Gruppenordnung bekannt sein muß.

Laufzeit exponentiell in Bitl ¨angelog₂(ℓ0).

8 10. Januar 2008

Pollard rho

Analog wie beim Kollisionsfinden f ¨ur Hashfunktionen. L ¨ost DLP probabilistisch in erwarteter ZeitO(√

ℓ)und SpeicherO(1)(im RO).

Idee: Wir brauchen einen Zufallsweg (random walk) inGvon der Formb^uig^vimit bekanntenui,vi, welche nur vonb^ui−1g^vi−1abh ¨angen.

Eine Kollisionb^uig^vi= b^ujg^vjliefert dannb^ui−uj= g^vj−viund folglich x = (ui−uj)/(vj−vi) modℓ, wenn(vj−vi)6= 0 modℓ.

Definition vonu_i,v_i(u₀= 0,v₀= 0):

•durchu_i= H(b^ui−1g^vi−1||0)undv_i= H(b^ui−1g^vi−1||1)f ¨ur eine HashfunktionH.

•oder wie folgt: ZerlegeGin disjunkte TeilmengenS₁,S₂,S₃und definiere(u_i,v_i) =







(u_i−1,v_i−1+ 1) f ¨urb^ui−1g^vi−1∈S₁ (u_i−1+ 1,v_i−1) f ¨urb^ui−1g^vi−1∈S₂ (2ui−1,2vi−1) f ¨urb^ui−1g^vi−1∈S3

.

5 10. Januar 2008

Pohlig-Hellman

Beruht auf dem Struktursatz f ¨ur endlich erzeugte, abelsche Gruppen.

L ¨ost DLP f ¨urGbeliebig zyklisch,ℓ0gr ¨oßter Primfaktor von#G, durch Shanks oder Pollard Methoden in LaufzeitO^∼(√

ℓ0)und Speicher O(√

ℓ0)oderO(1).

Idee 1 (chinesischer Restsatz):

•Sei#G =∏^ri=0ℓ^e_iⁱ,ni= 1 modℓ^e_iⁱundni= 0 modℓ^e_j^jf ¨ur alle j6= i, φi: G→Gmitφ(z) = zⁿⁱ. Wegengcd{n0, . . . ,nr}= 1gilt∩ⁱker(φi) = 1.

•Die Ordnung vonG_i=φi(G)istℓ^e_iⁱ.

•DLP in jedemGil ¨osen (falls l ¨osbar) und mit chinesischem Restsatz zusammensetzen: Findeximitφi(b) =φi(g)^xi. Dann ist x =∑ixinider DL.

6 10. Januar 2008

Methoden f ¨ ur das DDH

Die besten Algorithmen f ¨ur das DDH in Black-Box Gruppen mit Primordnung sind die Algorithmen f ¨ur das DLP (vgl. den Satz ¨uber die Schwierigkeit des DDH).

Besitzt die Gruppenordnung kleine Primfaktoren, ist das DDH im allgemeinen nicht schwer, es gibt einen Algorithmus, der die richtige Entscheidung mit Wahrscheinlichkeit signifikant>1/2f ¨allt.

Daher immer mit einer Untergruppe von großer, primer Ordnung arbeiten.

9 10. Januar 2008