Algorithmische Kryptographie (WS2015/16) Kapitel 3 Sicherheitsaspekte und Hilfsfunktionen Walter Unger

(1)

Algorithmische Kryptographie (WS2015/16)

Kapitel 3

Sicherheitsaspekte und Hilfsfunktionen

Walter Unger

Lehrstuhl für Informatik 1

16:58 Uhr, den 29. Oktober 2015

(2)

3 Inhaltsverzeichnis < > Walter Unger 29.10.2015 16:58 WS2015/16 Z

Inhalt I

1 Einleitung Einfache Angriffe

2 Hilfsfunktionen OAEP-Verfahren Hashfunktionen Definitionen Merkles-Meta-Methode

3 Weitere Angriffe Abstand der Faktoren Sicherheitsaspekte von RSA Kann man d bestimmen?

4 Bit-Sicherheit

Können Teilinformationen entschlüsselt werden?

Sicherheit des LSB Überblick und Beweisidee Beweis

5 Bestimmung von Primzahlen Einleitung

Einfacher Test Soloway-Strassen Miller-Rabin

Agrawal, Kayal und Saxena

(3)

3:1 Einfache Angriffe < > Walter Unger 29.10.2015 16:58 WS2015/16 Z

Angriff eins gegen RSA

AverwendeEe^RSA₁,n,B verwendeEe^RSA₂,n und es sei ggT(e1,e2)=1.

C:m,e1,e2,n A:e1,d1,n B:e2,d2,n mverteilen m^e1modn

m^e²modn

FallsC beiden die gleiche Nachricht sendet, dann ist ein Angriff möglich.

Da ggT(e₁,e₂)=1 gibt esr,s mitre₁+se₂=1. Sei o.E.d.A.r<0.

C hat die Nachrichtmversendet,

d.h. bestimmt:c1∶=E_e^RSA₁_,n(m)undc2∶=E_e^RSA₂_,n(m).

Falls nunc1∈/Z^∗n, so kannndurch das Bestimmen von ggT(c1,n) faktorisiert werden.

Falls aberc1∈Z^∗n, so kannc₁⁻¹ bestimmt werden.

Es ergibt sich:

(c1⁻¹)⁻^rc2^s=(m^e¹)^r⋅(m^e²)^s=m^re¹⁺^se²≡m (modn)

(4)

Angriff zwei gegen RSA

Drei PartienA_i (1⩽i⩽3)verwendenE_3,n^RSA_i.

C:m,e_i,n_i(i∈{1,2,3} A1:3,d1,n1 A2:3,d2,n2 A3:3,d3,n3 mverteilen m³modn₁

m³modn₂ m³modn₃

Es kann wie im oberen Fall entschlüsselt werden, falls alle drei die gleiche Nachricht empfangen.

Seici =E3,n^RSA_i(m)=m³modni. Mit dem Chinesischen Restklassensatz

(ϕ∶Zn₁n₂n₃→Zn₁×Zn₂×Zn₃ ) erhält man nunm³. Dam³<n1n2n3 gilt, kannmeindeutig bestimmt werden.

(5)

Angriff drei gegen RSA

AverwendeE_e,n^RSA undD_d,p,q^RSA sowohl zum Verschlüsseln als auch zum Unterschreiben.

A:e,d,n B:e,n C:e,n

c=m^emodn c

Unterschreibe bittec c^dmodn

m

So wird dieses System unsicher,

selbst wennAalle gesendeten Nachrichten speichert.

Ein Angreifer, der eine verschlüsselte Nachrichtc=D_d,p,q^RSA(m)kennt, geht dann wie folgt vor:

C wähltr∈Z^∗nzufällig.

Bestimmtx ∶=c⋅r^e.

FragtAnach der Unterschrift zux. Dann kenntC:x^d ≡D_d,p,q^RSA(x) (modn).

C bestimmt:x^d⋅r⁻¹≡(c⋅r^e)^d⋅r⁻¹≡c^d≡m (modn).

Mit einem OAEP Verfahren (optimal asymmetric encription padding) können diese Angriffe verhindert werden.

(6)

3:4 OAEP-Verfahren < > Walter Unger 29.10.2015 16:58 WS2015/16 Z

OAEP (optimal asymmetric encryption padding)

Ziel: verhindere Angriffe, die die Gruppenstruktur eines Verschlüsselungsverfahren nutzen.

Dieses Verfahren ist schnell, beinhaltet einen Zufallsanteil und es muss nicht viel zusätzliche Information übertragen werden.

Dazu werden die folgenden Funktionen mitn=k+l benutzt:

Verschlüsselungsfunktion f ∶D→D mitD⊂{0,1}ⁿ Pseudo-Zufallsgenerator G∶{0,1}^k→{0,1}^l Hashfunktion h∶{0,1}^l →{0,1}^k Seimdie zu verschlüsselnde Nachricht.

1 Wähle Zufallszahlr∈{0,1}^k.

2 Setze nun

x=(m⊕G(r))◦(r⊕h(m⊕G(r))).

3 Fallsx∈/D wiederhole.

4 Verschlüssele mitc∶=f(x).

Seic die zu entschlüsselnde Nachricht.

1 Setzex^′∶=f⁻¹(c).

2 Bestimmea,bmitx^′=a◦b und

∣a∣=l sowie∣b∣=k.

3 Bestimmer=h(a)⊕b.

4 Bestimmem=a⊕G(r).

(7)

3:5 Hashfunktionen < > Walter Unger 29.10.2015 16:58 WS2015/16 Z

Hashfunktionen

Eine Hashfunktion ist eine Funktionh∶{0,1}^∗→{0,1}^k mit:m↦h(m).

Diese Funktionen werden z.B. beim Unterschreiben von Texten, zur Fehlererkennung oder Datenverwaltung verwendet.

Bei den Unterschriften wird statt einer Nachrichtmdessen Hashwert h(m)unterschrieben.

Eine Kollision bei einer Hashfunktionhtritt auf bei einem Paar(m,m^′) fallsh(m)=h(m^′).

Daher sollten Angreifer nicht in der Lage sein:

1 Zu einer Nachrichtmeine zweite Nachrichtm^′ effizient erzeugen zu können, mith(m)=h(m^′).

2 Zwei Nachrichtenmundm^′ effizient erzeugen zu können, mit h(m)=h(m^′).

(8)

3:6 Definitionen < > Walter Unger 29.10.2015 16:58 WS2015/16 Z

Hashfunktionen

Definition

Eine Hashfunktionhheisst Zweitnachricht sicher, falls man nicht zum eine zweite Nachrichtm^′effizient erzeugen kann, mith(m)=h(m^′). Eine Hashfunktionhheisst kollisionssicher, falls man nicht zwei Nachrichtenmundm^′ effizient erzeugen kann, mith(m)=h(m^′).

Lemma

Fallshkollisionssicher ist, dann isthauch Zweitnachricht sicher.

Zeige: Wenn es effizienten Algorithmus⩀gibt, der eine Zweitnachricht erzeugt, dann gibt es⊎, der eine Kollision effizient bestimmt.

Der Algorithmus⊎wählt eine Nachrichtm, bestimmth(m)und ruft dann

⩀auf, um eine zweite Nachrichtm^′zu bestimmten mith(m)=h(m^′). Damit reicht es aus, Hashfunktionen zu bestimmen, die kollisionssicher sind.

(9)

3:7 Merkles-Meta-Methode < > Walter Unger 29.10.2015 16:58 WS2015/16 Z

Merkles-Meta-Methode

Im Folgenden werden wir zeigen, dass es ausreicht, kollisionssichere Kompressionsfunktionen zu entwickeln.

Eine Funktionf ∶{0,1}^m→{0,1}ⁿ mitm>nwird Kompressionsfunktionen genannt.

Aufbau einer kollisionssicheren Kompressionsfunktion:

Ansatz: nutze symmetrische Verfahren.

SeiE_k(m)symmetrisches Verfahren mitk∈{0,1}^r undm∈{0,1}ⁿ. Dann setze:f ∶{0,1}^n+r→{0,1}ⁿmit:f(x◦y)↦Ey(x).

Sei weiterg∶{0,1}ⁿ→{0,1}^r.

Dann setze:f ∶{0,1}²ⁿ→{0,1}ⁿ mit:f(x◦y)↦E_g(y₎(x)⊕y. Nun wird Merkles-Meta-Methode angegeben, die aus einer gegebenen Kompressionsfunktionenf ∶{0,1}^m→{0,1}ⁿ

eine Hashfunktionh∶{0,1}^∗→{0,1}ⁿ bestimmt.

(10)

Merkles-Meta-Methode

Gegeben eine Kompressionsfunktionf ∶{0,1}^m→{0,1}ⁿ. Seir=m−n.

Zu bestimmen ist eine Hashfunktionh∶{0,1}^∗→{0,1}ⁿ. Sei nunx∈{0,1}^∗ eine Eingabe fürhmit∣x∣=k⋅r.

Wir teilenx auf inx =x1x2. . .x_k ∣x_i∣=r füri ∈{1, . . . ,k}. Weiterhin kodieren inx_k+1∣x_k+1∣=r die Länge vonx.

Setzeh0∶=0ⁿ und bestimme rekursiv:

h_i ∶=f(h_i−1◦x_i)1⩽i ⩽k+1

Dann definieren wirh∶{0,1}^∗→{0,1}^k mitx↦hk+1

x1 x2 x3 x4 x5 x6 x7

h₀ h₀ h₀ h₀ h₀ h₀ h₀ h₀ h₀ h₀

h₀ hhhhhhhhhhh₁₁₁₁₁₁₁₁₁₁₁ hhhhhhhhhhh₂₂₂₂₂₂₂₂₂₂₂ hhhhhhhhhhh₃₃₃₃₃₃₃₃₃₃₃ hhhhhhhhhhh₄₄₄₄₄₄₄₄₄₄₄ hhhhhhhhhhh₅₅₅₅₅₅₅₅₅₅₅ hhhhhhhhhhh₆₆₆₆₆₆₆₆₆₆₆ hhhhhhhhhhh₇₇₇₇₇₇₇₇₇₇₇

(11)

Merkles-Meta-Methode

h₀∶=0ⁿ hi∶=f(hi−1◦xi)

Lemma

Fallsf kollisionssicher ist, dann ist die Hashfunktionh, die mit Merkles-Meta-Methode konstruiert wird, auch kollisionssicher.

x1 x2 x3 x4 x5 x6 x7

h₀ h₀ h₀ h₀ h₀ h₀ h₀ h₀ h₀ h₀

Wir geben einen Algorithmus an, der aus einer Kollision fürheine Kollision fürf bestimmt.

Seix,x^′ eine Kollision der Funktionhmit:

x = x1x2. . .xk+1 h1,h2, . . . ,hk+1

x^′ = x1^′x2^′. . .x_k^′′+1 h1^′,h^′2, . . . ,h^′_k′+1

Seienh_i undh^′_i die Werte, wie sie in der Konstruktion auftreten.

Damit ergibt sich folgendes Verfahren.

(12)

Beweis

x1 x2 x3 x4 x5 x6 x7

h₀ h₀ h₀ h₀ h₀ h₀ h₀ h₀ h₀ h₀

Falls∣x∣ /=∣x^′∣,

Betrachte(h_k◦x_k+1,h^′_k◦x_k^′′+1). Es giltx_k+1=/x_k^′′+1.

Und damithk◦xk+1=/h_k^′ ◦x_k^′′+1.

Und weiterf(h_k◦x_k+1)=h(x)=h(x^′)=f(h_k^′ ◦x_k^′′+1). Damit ist(hk◦xk+1,h^′_k◦x_k^′′+1)eine Kollision.

Damit gilt von nun an∣x∣=∣x^′∣undk=k^′.

(13)

Beweis

x1 x2 x3 x4 x5 x6 x7

h₀ h₀ h₀ h₀ h₀ h₀ h₀ h₀ h₀ h₀

Es gilt nun∣x∣=∣x^′∣undk=k^′. Füri∶=1 biskmache:

fallsh_i =/h^′_i undh_i+1=h_i^′₊₁, betrachte(hi◦xi+1,h^′_i◦x_i+1^′ ). Es gilt:h_i◦x_i+1=/h^′_i◦x_i+1^′ .

Und weiter:f(hi◦xi+1)=hi+1=h^′_i+1=f(h^′i◦x_i+^′ 1). Damit ist(hi◦xi+1,h^′_i◦x_i^′₊1)eine Kollision.

Damit gilt von nun anh_i =h^′_i für 1⩽i⩽k+1.

(14)

Beweis

x1 x2 x3 x4 x5 x6 x7

h₀ h₀ h₀ h₀ h₀ h₀ h₀ h₀ h₀ h₀

Es gilt nun∣x∣=∣x^′∣undk=k^′ undh_i =h^′_i für 1⩽i⩽k+1.

Füri∶=1 bisk−1 mache:

fallsxi+1=/x_i+^′ 1,

betrachte(h_i◦x_i+1,h^′_i◦x_i+1^′ ). Analog zum vorherigen Fall:

Es gilt:h_i◦x_i+1=/h^′_i◦x_i+1^′ .

Und weiter:f(hi◦xi+1)=hi+1=h^′_i+1=f(h^′i◦x_i+^′ 1). Damit ist(h_i◦x_i+1,h^′_i◦x_i^′₊₁)eine Kollision.

Beachte die Schleife findet eini mitxi+1/=x_i+1^′ dax /=x^′.

(15)

Bemerkung

Entscheidender Faktor ist die Wahl vonn.

Beachte das Geburtstagsparadoxon.

Die Wahrscheinlichkeit, dasskHashwerte aus dem Wertebereichm=2ⁿ keine Kollision haben:

p=p(m,k)= 1 m^k

k−1

∏

i=0

(m−i)=

k−1

∏

i=1

(1− 1 m). Wegen 1−x ⩽e^−x fürx∈Rgilt

p⩽

k−1

∏

i=1

e⁻¹^m =e⁻¹^m^∑

k−1 i=1i

=e^−k(k−1)^2m

Damit ist die Wahrscheinlichkeit einer Kollision 1−p.

Und 1−p⩾1/2 fallsk⩾1/2(√

1+8ln2⋅m+1). Damit istk≈1.18√

mund es sind 2^n/2Werte zu wählen und zu vergleichen, um eine Kollision mit Wahrscheinlichkeit>1/2 zu finden.

Heutzutage werden Hashfunktionen mit 128 bis 160 Bits empfohlen.

(16)

3:14 Abstand der Faktoren < > Walter Unger 29.10.2015 16:58 WS2015/16 Z

p, q sollten nicht nahe beieinander liegen

Angenommen, dies ist doch der Fall:

x= ^(p−q)

2 ist klein, mitp>q.

y =^(p+q)

2 >√

nund ^(p+q)

2 ist nur wenig größer als√

n.

Beachte weiter:

(^p⁺₂^q)²−(^p⁻₂^q)²

= ^(p+q)

2

4 −^(p−q)

2 4

= ^p

2+q²+2⋅p⋅q−(p²+q²−2⋅p⋅q) 4

= 2⋅p⋅q−(−2⋅p⋅q) 4

= p⋅q=n

(^p⁺₂^q)²−n=(^p⁻₂^q)², bzw.y²−n=x². Dies wird ein perfektes Quadrat genannt.

Führe folgenden Test durch:

Fürx ∶=⌈√n⌉bis⌈√n⌉+δ teste, obx²−n=y² gilt für einy ∈Z.

Beachte nunx= ^p

2+^q₂ und y =^p

2−^q₂.

Danach setze:p=x+y und q=x−y.

Der Bereich der durchzuprobierenden Schlüssel ist sehr klein.

Das Ziehen der Wurzel erfolgt nur für kleine Zahlen.

(17)

Wähle p, q so, daß ggT ( p − 1, q − 1 ) klein ist.

Beachte:(p−1)(q−1)ist durch 4 teilbar, denn es ist Produkt zweier gerader Zahlen.

Falls ggT(p−1,q−1)groß ist:

⇒das kleinste gemeinsame Vielfacheu vonp−1,q−1 ist klein.

⇒eins dere⁻¹ (modu)kann zur Entschlüsselung verwendet werden.

⇒Suche wird einfach.

⇒wählep,qso, daß ggT(p−1,q−1)klein ist.

(18)

ϕ ( n ) sollte nicht nur kleine Primfaktoren haben

⇒Test für alle Kandidatenv vonϕ(n)

⇒Test, falls ^(v+¹⁾

e eine ganze Zahl ist.

Teste dann, obc^v+1^e Sinn macht (v∶Kandidat fürϕ(n)) Theoretische Lösung für die beiden letzten Probleme:

Wähle eine sichere Primzahl, d.h. auch ^p−1

2 und ^q−1

2 sind Primzahlen.

Beispiele: 83,107,10¹⁰⁰−166517.

Sichere Primzahlen sind jedoch schwer zu generieren.

Es ist nicht einmal geklärt, ob es unendlich viele davon gibt.

(19)

3:17 Sicherheitsaspekte von RSA < > Walter Unger 29.10.2015 16:58 WS2015/16 Z

Sicherheitsaspekte

Wie sicher ist RSA?

1 Lässt sich beispielsweise RSA ohne Faktorisierung knacken?

2 Kann manϕ(n)bestimmen?

3 Kann mand bestimmen?

4 Kann man bestimmen, ob das letzte Bit vonw gleich 1 ist?

5 Kann man testen, obw<ⁿ

2 gilt?

(20)

3:18 Sicherheitsaspekte von RSA < > Walter Unger 29.10.2015 16:58 WS2015/16 Z

Kann man ϕ ( n ) bestimmen?

n∶=p⋅q ϕ(n)=(p−1)(q−1) c=w^emodn w=c^dmodn

Lemma

Fallsϕ(n)berechnet werden kann, dann kannp,q bestimmt werden.

Beweis.

ϕ(n)=(p−1)(q−1)⇒p+q=n−ϕ(n)+1

√(p+q)²−4n=√

2n+p²+q²−4n

=√

p²+q²−2n

=√ (p−q)²

=∣p−q∣

n−ϕ(n)+1+√

(n−ϕ(n)+1)²−4n

2 =p

(21)

3:19 Kann man d bestimmen? < > Walter Unger 29.10.2015 16:58 WS2015/16 Z

Kann man d bestimmen?

Lemma

Fallsd berechnet werden kann, gibt es ein probabilistisches Verfahren, dasp,q bestimmt.

Vorgehen

Bekannt iste,d,n. Das Ziel ist die Bestimmung vonpundq.

Wähle einw mit 1⩽w⩽n

Versuche,nmitw zu faktorisieren (Verfahren kommt später).

Dies wird mit einer Wahrscheinlichkeit>0,5 gelingen.

Dann ist die Wahrscheinlichkeit, nachk Tests ein passendesw gefunden zu haben: 1−2^−k.

Das Verfahren kann deterministisch gemacht werden.

(22)

Verfahren

Falls ggT(w,n)>1, dann faktorisierenmit dem Algorithmus von Euklid.

Fallsw /≡±1 (modn)undw²≡1(modn), dann gilt:

(w+1)⋅(w−1) wird vonngeteilt und (w+1),(w−1) werden nicht vonngeteilt

⟹ggT(w+1,n)liefertpoderq.

Falls die oben genannten Schritte erfolglos, führe folgende Schritte aus.

(23)

Verfahren

ed−1=2^sr mits⩾1 undr ungerade.

Daed−1 ein Vielfaches vonϕ(n)ist, gilt:w²^s^r ≡1 (modn). Bestimme kleinstess^′(0⩽s^′⩽s)mitw²

s′

r≡1 (modn). Falls nuns^′>0 undw²

s′−1

r ≡/−1 (modn), so gehe analog zum Fall 2. vor (Faktorisierung ist möglich).

Andernfalls giltw^r ≡1 (modn)oderw²

tr

≡−1 (modn)für ein t,0⩽t<s (d.h.t=s^′−1) und der Algorithmus verwirftw (Faktorisierung nicht möglich).

(24)

Fehlerwahrscheinlichkeit des Verfahrens

n∶=p⋅q ϕ(n)=(p−1)(q−1) w^r≡1(modn)∨w²^t^r≡−1(modn)

Wir bestimmen nun die Wahrscheinlichkeit dafür, dass einw verworfen wird.

Setze dazu:

p−1=2ⁱa,q−1=2^jbmita,bungerade undi ⩽j.

Da 2^sr ein Vielfaches vonϕ(n)ist, gilt, dassr ein Vielfaches vonabist.

Falls nunt⩾i, dann ist 2^trein Vielfaches vonp−1

⇒ w²

tr

≡1 (modp)

⇒ w²

tr

/

≡−1 (modp)

⇒ w²

tr

/

≡−1 (modn)

Damit tritt der Fallt⩾i hier nicht auf.

(25)

Fehlerwahrscheinlichkeit

ϕ(n)=(p−1)(q−1) p−1=2ⁱa,q−1=2^jb.i⩽j w^r≡1(modn)∨w²

tr

≡−1(modn)

Es ist nur noch folgende Situation zu betrachten:

w^r ≡1 (modn)oderw²

tr

≡−1 (modn)für eint,0⩽t<i Bestimme nun jeweils, für wievielew die Bedingungen erfüllt werden.

Betrachte:w^r ≡1 modn.

Seig ein Generator fürF^⋆(p)(d.h.g erzeugt 1, . . . ,p) und sei w ≡g^umodp.

Dann giltw^r≡1 modp ⟺ ur=0 modp−1.

Die Anzahl der Lösungen ist ggT(r,p−1)=a (analog ggT(r,q−1)=b).

Damit hatw^r≡1 modn a⋅bviele Lösungen.

(26)

Fehlerwahrscheinlichkeit

tr

≡−1(modn)

Es ist nur noch folgende Situation zu betrachten:

w^r ≡1 (modn)oderw²

tr

≡−1 (modn)für eint,0⩽t⩽i Bestimme nun jeweils, für wievielew die Bedingungen erfüllt werden.

w^r ≡1 modnhata⋅bLösungen.

Betrachte nun:w²

tr ≡/−1 modn.

Anzahl der Lösungen von w²

t+1r

≡1 (modp) ist ggT(2^t+1r,p−1)=2^t+1a w²

tr

≡1 (modp) ist ggT(2^tr,p−1)=2^ta Beachte:t+1⩽i w²

tr

≡−1 (modp) ist ⩽2^ta

Beachte:t+1⩽i⩽j w²

tr

≡−1 (modn) ist ⩽2^ta⋅2^tb=2^2tab

(27)

Fehlerwahrscheinlichkeit

tr

≡−1(modn)

Wir fassen zusammen:

ab+ab

i−1

∑

t=0

2^2t = ab(1+

i−1

∑

t=0

4^t)=ab(1+4ⁱ−1 3 )

= ab(2

32²ⁱ⁻¹+2 3)⩽ab(2

32^i+j−¹+2 3)

= ab(2ⁱ⁺^j⁻¹+ 1

3(2−2ⁱ⁺^j⁻¹))

⩽ ab2ⁱ^+j−¹=ϕ(n) 2

⟹50 Prozent allerw’s werden verworfen.

(28)

3:26 Können Teilinformationen entschlüsselt werden? < > Walter Unger 29.10.2015 16:58 WS2015/16 Z

Orakel für x <

ⁿ

2 n∶=p⋅q

ϕ(n)=(p−1)(q−1) c=w^emodn w=c^dmodn

Angenommen, es gibt OrakelH mitH(e,n,x^emodn)=1⟺x <ⁿ

2. Idee: Halbierungssuche unter Verwendung vonH.

Verwende Werte:

xê modn = xêmodn 2êxêmodn = (2x)êmodn 4êxêmodn = (4x)êmodn 8êxêmodn = (8x)êmodn 16êxêmodn = (16x)êmodn

Damit wird dann durch Binärsuche das Intervall, in demx liegt, immer weiter eingeschränkt.

(29)

Idee Orakel für x <

ⁿ

2 n∶=p⋅q

ϕ(n)=(p−1)(q−1) c=w^emodn w=c^dmodn Eingabe:x^emodn

1.Orakel:<n/2:

x^e↦(2x)^emodn:

2.Orakel<n/2:

x^e↦(2x)^emodn:

3.Orakel>n/2:

x^e↦(2x)^emodn:

4.Orakel<n/2:

x^e↦(2x)^emodn:

5.Orakel>n/2:

x^e↦(2x)^emodn:

6.Orakel<n/2:

x^e↦(2x)^emodn:

7.Orakel>n/2:

(30)

Orakel für x <

ⁿ

2 n∶=p⋅q

ϕ(n)=(p−1)(q−1) c=w^emodn w=c^dmodn

Verfahren:

1 Eingabe:e,nundcmitc=x^e modn

2 Setzea=0 undb=n−1.

3 Solangea<bgilt, mache

1 Falls Orakel(c) antwortetx⩽n/2 dannb=⌊^a+b₂ ⌋

sonsta=⌈^a+b₂ ⌉

2 Setzec=(2^e⋅c)modn.

Falls der letzte Test 2^yex^e modnist und

falls das Orakel als Ergebnis eine Folgea1a2. . .ay lieferte,

dann istx imi-ten Intervall der Größe 2⁻^y⁻¹n, miti =bin(a₁. . .a_y).

(31)

3:29 Sicherheit des LSB < > Walter Unger 29.10.2015 16:58 WS2015/16 Z

Orakel für x gerade

Idee: Versuchex bitweise zu bestimmen.

Fallsx gerade ist, teile trickreich durch 2.

Fallsx ungerade ist, teilex−1 durch 2.

Fallsx ungerade ist, teilen−x durch 2.

Es taucht das Problem auf, wiex durch 2 geteilt werden kann.

Sei dazukdas Inverse von 2^e,

d.h.khat die Formh^e≡kmodnmit 2^ek≡1 modn.

Dann kannx wie folgt „halbiert” werden (x gerade):

kxê ≡hê⋅xê≡(h⋅x)ê (modn)

(32)

Idee Orakel für x ist gerade

n∶=p⋅q ϕ(n)=(p−1)(q−1) c=w^emodn w=c^dmodn Eingabe:x^emodn

1.Orakel:xgerade:

x^e↦(x/2)^emodn:

2.Orakel:xgerade:

x^e↦(x/2)^emodn:

3.Orakel:xungerade:

x^e↦(n−x)^emodn:

x^e↦((n−x)/2)^emodn:

4.Orakel:xgerade:

x^e↦(n/2)^emodn:

5.Orakel:xungerade:

x^e↦(n−x)^emodn:

6.Orakel:xgerade:

7.Orakel:xgerade:

(33)

Notationen

nbestehe ausNBits.

bin(x)ist die Binärdarstellung vonx mit führender 1.

int(w)ist die Zahl mit der Binärdarstellungw.

∣w∣ist die Länge vonw (Anzahl der Bits).

Fallsint(t)⩾int(u), dann sind

Last(t−u)die letzten∣u∣Bits vonbin(int(t)−int(u)). Beispiel:

Last(1011011−1010111)=0000100 undLast(1011011−111)=100.

(34)

Notationen

Folgende Werte werden im Algorithmus verwendet:

r(i)∶Folge vonw^′^e modn(Anfragen) ans(i)∶Antwort des Orakels aufr(i). t(i)∶Folge vonw^′, diew=x ergeben.

Diese Zielfolge konvergiert gegen die Lösung.

r(i)wird ausr(i−1)bestimmt.

t(i−1)wird aust(i)undans(i−1)bestimmt.

(35)

Algorithmus

r(i)ˆ=w^′^emodnAnfragen ans(i)ˆ=Antworten des Orakels t(i)ˆ=Zielfolge

r(1)=x^e modn(Krypttext).

ans(1)=Antwort des Orakels aufr(1). Fallsr(i−1)undans(i−1)gegeben sind:

r(i)={ r(i−1)kmodn fallsans(i−1)=0 (n−r(i−1))kmodn fallsans(i−1)=1

Es gilt für 1⩽i ⩽N:ans(i)ist Antwort des Orakels auf Anfrager(i).

(36)

Beispiel

r(i)={ r(i−1)kmodn ;fallsans(i−1)=0 (n−r(i−1))kmodn fallsans(i−1)=1

n=55,e=7,N=6 undbin(n)=110111,k=52,x^e=49 Man erhält folgende Werte:

i r(i) ans(i)

1 49 0

2 49⋅52≡18 0

3 18⋅52≡1 1

4 (55−1)⋅52≡54⋅52≡3 1 5 (55−3)⋅52≡52⋅52≡9 0

6 9⋅52≡28 1