• Keine Ergebnisse gefunden

Algorithmische Kryptographie (WS2015/16) Kapitel 3 Sicherheitsaspekte und Hilfsfunktionen Walter Unger

N/A
N/A
Info
Herunterladen
Protected

Academic year: 2022

Aktie "Algorithmische Kryptographie (WS2015/16) Kapitel 3 Sicherheitsaspekte und Hilfsfunktionen Walter Unger"

Copied!
524
0
0

Wird geladen.... (Jetzt Volltext ansehen)

Jetzt herunterladen ( 524 Seite )

Volltext

(1)

Algorithmische Kryptographie (WS2015/16)

Kapitel 3

Sicherheitsaspekte und Hilfsfunktionen

Walter Unger

Lehrstuhl für Informatik 1

15:32 Uhr, den 12. Dezember 2015

(2)

Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen

3 Inhaltsverzeichnis Walter Unger 12.12.2015 15:32 WS2015/16 Z

Inhalt I

1 Einleitung Einfache Angriffe

2 Hilfsfunktionen OAEP-Verfahren Hashfunktionen Definitionen Merkles-Meta-Methode

3 Weitere Angriffe Abstand der Faktoren Sicherheitsaspekte von RSA Kann man d bestimmen?

4 Bit-Sicherheit

Sind Teilinformationen sicher?

Sicherheit des LSB Überblick und Beweisidee Beweis

5 Bestimmung von Primzahlen Einleitung

Einfacher Test Soloway-Strassen Miller-Rabin

Agrawal, Kayal und Saxena

(3)

Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen

3:1 Einfache Angriffe 1/14 Walter Unger 12.12.2015 15:32 WS2015/16 Z

Angriff eins gegen RSA

AverwendeEeRSA1,n,B verwendeEeRSA2,n und es sei ggT(e1,e2) =1.

C:m,e1,e2,n A:e1,d1,n B:e2,d2,n mverteilen me1modn

me2modn

FallsC beiden die gleiche Nachricht sendet, dann ist ein Angriff möglich.

Da ggT(e1,e2) =1 gibt esr,s mitre1+se2=1. Sei o.E.d.A.r<0.

C hat die Nachrichtmversendet,

d.h. bestimmt:c1:=EeRSA1,n(m)undc2:=EeRSA2,n(m).

Falls nunc16∈Zn, so kannndurch das Bestimmen von ggT(c1,n) faktorisiert werden.

Falls aberc1∈Zn, so kannc1−1bestimmt werden.

Es ergibt sich:

(c1−1)−rc2s= (me1)r·(me2)s=mre1+se2≡m (modn)

(4)

Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen

3:1 Einfache Angriffe 2/14 Walter Unger 12.12.2015 15:32 WS2015/16 Z

Angriff eins gegen RSA

AverwendeEeRSA1,n,B verwendeEeRSA2,n und es sei ggT(e1,e2) =1.

C:m,e1,e2,n A:e1,d1,n B:e2,d2,n mverteilen me1modn

me2modn

FallsC beiden die gleiche Nachricht sendet, dann ist ein Angriff möglich.

Da ggT(e1,e2) =1 gibt esr,s mitre1+se2=1. Sei o.E.d.A.r<0.

C hat die Nachrichtmversendet,

d.h. bestimmt:c1:=EeRSA1,n(m)undc2:=EeRSA2,n(m).

Falls nunc16∈Zn, so kannndurch das Bestimmen von ggT(c1,n) faktorisiert werden.

Falls aberc1∈Zn, so kannc1−1bestimmt werden.

Es ergibt sich:

(c1−1)−rc2s= (me1)r·(me2)s=mre1+se2≡m (modn)

(5)

Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen

3:1 Einfache Angriffe 3/14 Walter Unger 12.12.2015 15:32 WS2015/16 Z

Angriff eins gegen RSA

AverwendeEeRSA1,n,B verwendeEeRSA2,n und es sei ggT(e1,e2) =1.

C:m,e1,e2,n A:e1,d1,n B:e2,d2,n mverteilen me1modn

me2modn

FallsC beiden die gleiche Nachricht sendet, dann ist ein Angriff möglich.

Da ggT(e1,e2) =1 gibt esr,s mitre1+se2=1. Sei o.E.d.A.r<0.

C hat die Nachrichtmversendet,

d.h. bestimmt:c1:=EeRSA1,n(m)undc2:=EeRSA2,n(m).

Falls nunc16∈Zn, so kannndurch das Bestimmen von ggT(c1,n) faktorisiert werden.

Falls aberc1∈Zn, so kannc1−1bestimmt werden.

Es ergibt sich:

(c1−1)−rc2s= (me1)r·(me2)s=mre1+se2≡m (modn)

(6)

Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen

3:1 Einfache Angriffe 4/14 Walter Unger 12.12.2015 15:32 WS2015/16 Z

Angriff eins gegen RSA

AverwendeEeRSA1,n,B verwendeEeRSA2,n und es sei ggT(e1,e2) =1.

C:m,e1,e2,n A:e1,d1,n B:e2,d2,n mverteilen me1modn

me2modn

FallsC beiden die gleiche Nachricht sendet, dann ist ein Angriff möglich.

Da ggT(e1,e2) =1 gibt esr,s mitre1+se2=1. Sei o.E.d.A.r<0.

C hat die Nachrichtmversendet,

d.h. bestimmt:c1:=EeRSA1,n(m)undc2:=EeRSA2,n(m).

Falls nunc16∈Zn, so kannndurch das Bestimmen von ggT(c1,n) faktorisiert werden.

Falls aberc1∈Zn, so kannc1−1bestimmt werden.

Es ergibt sich:

(c1−1)−rc2s= (me1)r·(me2)s=mre1+se2≡m (modn)

(7)

Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen

3:1 Einfache Angriffe 5/14 Walter Unger 12.12.2015 15:32 WS2015/16 Z

Angriff eins gegen RSA

AverwendeEeRSA1,n,B verwendeEeRSA2,n und es sei ggT(e1,e2) =1.

C:m,e1,e2,n A:e1,d1,n B:e2,d2,n mverteilen me1modn

me2modn

FallsC beiden die gleiche Nachricht sendet, dann ist ein Angriff möglich.

Da ggT(e1,e2) =1 gibt esr,s mitre1+se2=1. Sei o.E.d.A.r<0.

C hat die Nachrichtmversendet,

d.h. bestimmt:c1:=EeRSA1,n(m)undc2:=EeRSA2,n(m).

Falls nunc16∈Zn, so kannndurch das Bestimmen von ggT(c1,n) faktorisiert werden.

Falls aberc1∈Zn, so kannc1−1bestimmt werden.

Es ergibt sich:

(c1−1)−rc2s= (me1)r·(me2)s=mre1+se2≡m (modn)

(8)

Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen

3:1 Einfache Angriffe 6/14 Walter Unger 12.12.2015 15:32 WS2015/16 Z

Angriff eins gegen RSA

AverwendeEeRSA1,n,B verwendeEeRSA2,n und es sei ggT(e1,e2) =1.

C:m,e1,e2,n A:e1,d1,n B:e2,d2,n mverteilen me1modn

me2modn

FallsC beiden die gleiche Nachricht sendet, dann ist ein Angriff möglich.

Da ggT(e1,e2) =1 gibt esr,s mitre1+se2=1. Sei o.E.d.A.r<0.

C hat die Nachrichtmversendet,

d.h. bestimmt:c1:=EeRSA1,n(m)undc2:=EeRSA2,n(m).

Falls nunc16∈Zn, so kannndurch das Bestimmen von ggT(c1,n) faktorisiert werden.

Falls aberc1∈Zn, so kannc1−1bestimmt werden.

Es ergibt sich:

(c1−1)−rc2s= (me1)r·(me2)s=mre1+se2≡m (modn)

(9)

Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen

3:1 Einfache Angriffe 7/14 Walter Unger 12.12.2015 15:32 WS2015/16 Z

Angriff eins gegen RSA

AverwendeEeRSA1,n,B verwendeEeRSA2,n und es sei ggT(e1,e2) =1.

C:m,e1,e2,n A:e1,d1,n B:e2,d2,n mverteilen me1modn

me2modn

FallsC beiden die gleiche Nachricht sendet, dann ist ein Angriff möglich.

Da ggT(e1,e2) =1 gibt esr,s mitre1+se2=1. Sei o.E.d.A.r<0.

C hat die Nachrichtmversendet,

d.h. bestimmt:c1:=EeRSA1,n(m)undc2:=EeRSA2,n(m).

Falls nunc16∈Zn, so kannndurch das Bestimmen von ggT(c1,n) faktorisiert werden.

Falls aberc1∈Zn, so kannc1−1bestimmt werden.

Es ergibt sich:

(c1−1)−rc2s= (me1)r·(me2)s=mre1+se2≡m (modn)

(10)

Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen

3:1 Einfache Angriffe 8/14 Walter Unger 12.12.2015 15:32 WS2015/16 Z

Angriff eins gegen RSA

AverwendeEeRSA1,n,B verwendeEeRSA2,n und es sei ggT(e1,e2) =1.

C:m,e1,e2,n A:e1,d1,n B:e2,d2,n mverteilen me1modn

me2modn

FallsC beiden die gleiche Nachricht sendet, dann ist ein Angriff möglich.

Da ggT(e1,e2) =1 gibt esr,s mitre1+se2=1. Sei o.E.d.A.r<0.

C hat die Nachrichtmversendet,

d.h. bestimmt:c1:=EeRSA1,n(m)undc2:=EeRSA2,n(m).

Falls nunc16∈Zn, so kannndurch das Bestimmen von ggT(c1,n) faktorisiert werden.

Falls aberc1∈Zn, so kannc1−1bestimmt werden.

Es ergibt sich:

(c1−1)−rc2s= (me1)r·(me2)s=mre1+se2≡m (modn)

(11)

Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen

3:1 Einfache Angriffe 9/14 Walter Unger 12.12.2015 15:32 WS2015/16 Z

Angriff eins gegen RSA

AverwendeEeRSA1,n,B verwendeEeRSA2,n und es sei ggT(e1,e2) =1.

C:m,e1,e2,n A:e1,d1,n B:e2,d2,n mverteilen me1modn

me2modn

FallsC beiden die gleiche Nachricht sendet, dann ist ein Angriff möglich.

Da ggT(e1,e2) =1 gibt esr,s mitre1+se2=1. Sei o.E.d.A.r<0.

C hat die Nachrichtmversendet,

d.h. bestimmt:c1:=EeRSA1,n(m)undc2:=EeRSA2,n(m).

Falls nunc16∈Zn, so kannndurch das Bestimmen von ggT(c1,n) faktorisiert werden.

Falls aberc1∈Zn, so kannc1−1bestimmt werden.

Es ergibt sich:

(c1−1)−rc2s= (me1)r·(me2)s=mre1+se2≡m (modn)

(12)

Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen

3:1 Einfache Angriffe 10/14 Walter Unger 12.12.2015 15:32 WS2015/16 Z

Angriff eins gegen RSA

AverwendeEeRSA1,n,B verwendeEeRSA2,n und es sei ggT(e1,e2) =1.

C:m,e1,e2,n A:e1,d1,n B:e2,d2,n mverteilen me1modn

me2modn

FallsC beiden die gleiche Nachricht sendet, dann ist ein Angriff möglich.

Da ggT(e1,e2) =1 gibt esr,s mitre1+se2=1. Sei o.E.d.A.r<0.

C hat die Nachrichtmversendet,

d.h. bestimmt:c1:=EeRSA1,n(m)undc2:=EeRSA2,n(m).

Falls nunc16∈Zn, so kannndurch das Bestimmen von ggT(c1,n) faktorisiert werden.

Falls aberc1∈Zn, so kannc1−1bestimmt werden.

Es ergibt sich:

(c1−1)−rc2s= (me1)r·(me2)s=mre1+se2≡m (modn)

(13)

Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen

3:1 Einfache Angriffe 11/14 Walter Unger 12.12.2015 15:32 WS2015/16 Z

Angriff eins gegen RSA

AverwendeEeRSA1,n,B verwendeEeRSA2,n und es sei ggT(e1,e2) =1.

C:m,e1,e2,n A:e1,d1,n B:e2,d2,n mverteilen me1modn

me2modn

FallsC beiden die gleiche Nachricht sendet, dann ist ein Angriff möglich.

Da ggT(e1,e2) =1 gibt esr,s mitre1+se2=1. Sei o.E.d.A.r<0.

C hat die Nachrichtmversendet,

d.h. bestimmt:c1:=EeRSA1,n(m)undc2:=EeRSA2,n(m).

Falls nunc16∈Zn, so kannndurch das Bestimmen von ggT(c1,n) faktorisiert werden.

Falls aberc1∈Zn, so kannc1−1bestimmt werden.

Es ergibt sich:

(c1−1)−rc2s= (me1)r·(me2)s=mre1+se2≡m (modn)

(14)

Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen

3:1 Einfache Angriffe 12/14 Walter Unger 12.12.2015 15:32 WS2015/16 Z

Angriff eins gegen RSA

AverwendeEeRSA1,n,B verwendeEeRSA2,n und es sei ggT(e1,e2) =1.

C:m,e1,e2,n A:e1,d1,n B:e2,d2,n mverteilen me1modn

me2modn

FallsC beiden die gleiche Nachricht sendet, dann ist ein Angriff möglich.

Da ggT(e1,e2) =1 gibt esr,s mitre1+se2=1. Sei o.E.d.A.r<0.

C hat die Nachrichtmversendet,

d.h. bestimmt:c1:=EeRSA1,n(m)undc2:=EeRSA2,n(m).

Falls nunc16∈Zn, so kannndurch das Bestimmen von ggT(c1,n) faktorisiert werden.

Falls aberc1∈Zn, so kannc1−1bestimmt werden.

Es ergibt sich:

(c1−1)−rc2s= (me1)r·(me2)s=mre1+se2≡m (modn)

(15)

Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen

3:1 Einfache Angriffe 13/14 Walter Unger 12.12.2015 15:32 WS2015/16 Z

Angriff eins gegen RSA

AverwendeEeRSA1,n,B verwendeEeRSA2,n und es sei ggT(e1,e2) =1.

C:m,e1,e2,n A:e1,d1,n B:e2,d2,n mverteilen me1modn

me2modn

FallsC beiden die gleiche Nachricht sendet, dann ist ein Angriff möglich.

Da ggT(e1,e2) =1 gibt esr,s mitre1+se2=1. Sei o.E.d.A.r<0.

C hat die Nachrichtmversendet,

d.h. bestimmt:c1:=EeRSA1,n(m)undc2:=EeRSA2,n(m).

Falls nunc16∈Zn, so kannndurch das Bestimmen von ggT(c1,n) faktorisiert werden.

Falls aberc1∈Zn, so kannc1−1bestimmt werden.

Es ergibt sich:

(c1−1)−rc2s= (me1)r·(me2)s=mre1+se2≡m (modn)

(16)

Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen

3:1 Einfache Angriffe 14/14 Walter Unger 12.12.2015 15:32 WS2015/16 Z

Angriff eins gegen RSA

AverwendeEeRSA1,n,B verwendeEeRSA2,n und es sei ggT(e1,e2) =1.

C:m,e1,e2,n A:e1,d1,n B:e2,d2,n mverteilen me1modn

me2modn

FallsC beiden die gleiche Nachricht sendet, dann ist ein Angriff möglich.

Da ggT(e1,e2) =1 gibt esr,s mitre1+se2=1. Sei o.E.d.A.r<0.

C hat die Nachrichtmversendet,

d.h. bestimmt:c1:=EeRSA1,n(m)undc2:=EeRSA2,n(m).

Falls nunc16∈Zn, so kannndurch das Bestimmen von ggT(c1,n) faktorisiert werden.

Falls aberc1∈Zn, so kannc1−1bestimmt werden.

Es ergibt sich:

(c1−1)−rc2s= (me1)r·(me2)s=mre1+se2≡m (modn)

(17)

Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen

3:2 Einfache Angriffe 1/10 Walter Unger 12.12.2015 15:32 WS2015/16 Z

Angriff zwei gegen RSA

Drei PartienAi (16i63)verwendenE3,nRSAi.

C:m,ei,ni(i∈ {1,2,3} A1:3,d1,n1 A2:3,d2,n2 A3:3,d3,n3 mverteilen m3modn1

m3modn2 m3modn3

Es kann wie im oberen Fall entschlüsselt werden, falls alle drei die gleiche Nachricht empfangen.

Seici =E3,nRSAi(m) =m3modni. Mit dem Chinesischen Restklassensatz

(ϕ:Zn1n2n3→Zn1×Zn2×Zn3 ) erhält man nunm3. Dam3<n1n2n3gilt, kannmeindeutig bestimmt werden.

(18)

Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen

3:2 Einfache Angriffe 2/10 Walter Unger 12.12.2015 15:32 WS2015/16 Z

Angriff zwei gegen RSA

Drei PartienAi (16i63)verwendenE3,nRSAi.

C:m,ei,ni(i∈ {1,2,3} A1:3,d1,n1 A2:3,d2,n2 A3:3,d3,n3 mverteilen m3modn1

m3modn2 m3modn3

Es kann wie im oberen Fall entschlüsselt werden, falls alle drei die gleiche Nachricht empfangen.

Seici =E3,nRSAi(m) =m3modni. Mit dem Chinesischen Restklassensatz

(ϕ:Zn1n2n3→Zn1×Zn2×Zn3 ) erhält man nunm3. Dam3<n1n2n3gilt, kannmeindeutig bestimmt werden.

(19)

Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen

3:2 Einfache Angriffe 3/10 Walter Unger 12.12.2015 15:32 WS2015/16 Z

Angriff zwei gegen RSA

Drei PartienAi (16i63)verwendenE3,nRSAi.

C:m,ei,ni(i∈ {1,2,3} A1:3,d1,n1 A2:3,d2,n2 A3:3,d3,n3 mverteilen m3modn1

m3modn2 m3modn3

Es kann wie im oberen Fall entschlüsselt werden, falls alle drei die gleiche Nachricht empfangen.

Seici =E3,nRSAi(m) =m3modni. Mit dem Chinesischen Restklassensatz

(ϕ:Zn1n2n3→Zn1×Zn2×Zn3 ) erhält man nunm3. Dam3<n1n2n3gilt, kannmeindeutig bestimmt werden.

(20)

Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen

3:2 Einfache Angriffe 4/10 Walter Unger 12.12.2015 15:32 WS2015/16 Z

Angriff zwei gegen RSA

Drei PartienAi (16i63)verwendenE3,nRSAi.

C:m,ei,ni(i∈ {1,2,3} A1:3,d1,n1 A2:3,d2,n2 A3:3,d3,n3 mverteilen m3modn1

m3modn2 m3modn3

Es kann wie im oberen Fall entschlüsselt werden, falls alle drei die gleiche Nachricht empfangen.

Seici =E3,nRSAi(m) =m3modni. Mit dem Chinesischen Restklassensatz

(ϕ:Zn1n2n3→Zn1×Zn2×Zn3 ) erhält man nunm3. Dam3<n1n2n3gilt, kannmeindeutig bestimmt werden.

(21)

Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen

3:2 Einfache Angriffe 5/10 Walter Unger 12.12.2015 15:32 WS2015/16 Z

Angriff zwei gegen RSA

Drei PartienAi (16i63)verwendenE3,nRSAi.

C:m,ei,ni(i∈ {1,2,3} A1:3,d1,n1 A2:3,d2,n2 A3:3,d3,n3 mverteilen m3modn1

m3modn2 m3modn3

Es kann wie im oberen Fall entschlüsselt werden, falls alle drei die gleiche Nachricht empfangen.

Seici =E3,nRSAi(m) =m3modni. Mit dem Chinesischen Restklassensatz

(ϕ:Zn1n2n3→Zn1×Zn2×Zn3 ) erhält man nunm3. Dam3<n1n2n3gilt, kannmeindeutig bestimmt werden.

(22)

Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen

3:2 Einfache Angriffe 6/10 Walter Unger 12.12.2015 15:32 WS2015/16 Z

Angriff zwei gegen RSA

Drei PartienAi (16i63)verwendenE3,nRSAi.

C:m,ei,ni(i∈ {1,2,3} A1:3,d1,n1 A2:3,d2,n2 A3:3,d3,n3 mverteilen m3modn1

m3modn2 m3modn3

Es kann wie im oberen Fall entschlüsselt werden, falls alle drei die gleiche Nachricht empfangen.

Seici =E3,nRSAi(m) =m3modni. Mit dem Chinesischen Restklassensatz

(ϕ:Zn1n2n3→Zn1×Zn2×Zn3 ) erhält man nunm3. Dam3<n1n2n3gilt, kannmeindeutig bestimmt werden.

(23)

Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen

3:2 Einfache Angriffe 7/10 Walter Unger 12.12.2015 15:32 WS2015/16 Z

Angriff zwei gegen RSA

Drei PartienAi (16i63)verwendenE3,nRSAi.

C:m,ei,ni(i∈ {1,2,3} A1:3,d1,n1 A2:3,d2,n2 A3:3,d3,n3 mverteilen m3modn1

m3modn2 m3modn3

Es kann wie im oberen Fall entschlüsselt werden, falls alle drei die gleiche Nachricht empfangen.

Seici =E3,nRSAi(m) =m3modni. Mit dem Chinesischen Restklassensatz

(ϕ:Zn1n2n3→Zn1×Zn2×Zn3 ) erhält man nunm3. Dam3<n1n2n3gilt, kannmeindeutig bestimmt werden.

(24)

Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen

3:2 Einfache Angriffe 8/10 Walter Unger 12.12.2015 15:32 WS2015/16 Z

Angriff zwei gegen RSA

Drei PartienAi (16i63)verwendenE3,nRSAi.

C:m,ei,ni(i∈ {1,2,3} A1:3,d1,n1 A2:3,d2,n2 A3:3,d3,n3 mverteilen m3modn1

m3modn2 m3modn3

Es kann wie im oberen Fall entschlüsselt werden, falls alle drei die gleiche Nachricht empfangen.

Seici =E3,nRSAi(m) =m3modni. Mit dem Chinesischen Restklassensatz

(ϕ:Zn1n2n3→Zn1×Zn2×Zn3 ) erhält man nunm3. Dam3<n1n2n3gilt, kannmeindeutig bestimmt werden.

(25)

Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen

3:2 Einfache Angriffe 9/10 Walter Unger 12.12.2015 15:32 WS2015/16 Z

Angriff zwei gegen RSA

Drei PartienAi (16i63)verwendenE3,nRSAi.

C:m,ei,ni(i∈ {1,2,3} A1:3,d1,n1 A2:3,d2,n2 A3:3,d3,n3 mverteilen m3modn1

m3modn2 m3modn3

Es kann wie im oberen Fall entschlüsselt werden, falls alle drei die gleiche Nachricht empfangen.

Seici =E3,nRSAi(m) =m3modni. Mit dem Chinesischen Restklassensatz

(ϕ:Zn1n2n3→Zn1×Zn2×Zn3 ) erhält man nunm3. Dam3<n1n2n3gilt, kannmeindeutig bestimmt werden.

(26)

Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen

3:2 Einfache Angriffe 10/10 Walter Unger 12.12.2015 15:32 WS2015/16 Z

Angriff zwei gegen RSA

Drei PartienAi (16i63)verwendenE3,nRSAi.

C:m,ei,ni(i∈ {1,2,3} A1:3,d1,n1 A2:3,d2,n2 A3:3,d3,n3 mverteilen m3modn1

m3modn2 m3modn3

Es kann wie im oberen Fall entschlüsselt werden, falls alle drei die gleiche Nachricht empfangen.

Seici =E3,nRSAi(m) =m3modni. Mit dem Chinesischen Restklassensatz

(ϕ:Zn1n2n3→Zn1×Zn2×Zn3 ) erhält man nunm3. Dam3<n1n2n3gilt, kannmeindeutig bestimmt werden.

(27)

Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen

3:3 Einfache Angriffe 1/19 Walter Unger 12.12.2015 15:32 WS2015/16 Z

Angriff drei gegen RSA

AverwendeEe,nRSA undDd,p,qRSA sowohl zum Verschlüsseln als auch zum Unterschreiben.

A:e,d,n B:e,n C:e,n

c=memodn

c Unterschreibe bittec

cdmodn

m

So wird dieses System unsicher,

selbst wennAalle gesendeten Nachrichten speichert.

Ein Angreifer, der eine verschlüsselte Nachrichtc=Dd,p,qRSA(m)kennt, geht dann wie folgt vor:

C wähltr∈Zn zufällig.

Bestimmtx :=c·re.

FragtAnach der Unterschrift zux. Dann kenntC:xd ≡Dd,p,qRSA(x) (modn).

C bestimmt:xd·r−1≡(c·re)d·r−1≡cd≡m (mod n).

Mit einem OAEP Verfahren (optimal asymmetric encription padding) können diese Angriffe verhindert werden.

(28)

Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen

3:3 Einfache Angriffe 2/19 Walter Unger 12.12.2015 15:32 WS2015/16 Z

Angriff drei gegen RSA

AverwendeEe,nRSA undDd,p,qRSA sowohl zum Verschlüsseln als auch zum Unterschreiben.

A:e,d,n B:e,n C:e,n

c=memodn

c Unterschreibe bittec

cdmodn

m

So wird dieses System unsicher,

selbst wennAalle gesendeten Nachrichten speichert.

Ein Angreifer, der eine verschlüsselte Nachrichtc=Dd,p,qRSA(m)kennt, geht dann wie folgt vor:

C wähltr∈Zn zufällig.

Bestimmtx :=c·re.

FragtAnach der Unterschrift zux. Dann kenntC:xd ≡Dd,p,qRSA(x) (modn).

C bestimmt:xd·r−1≡(c·re)d·r−1≡cd≡m (mod n).

Mit einem OAEP Verfahren (optimal asymmetric encription padding) können diese Angriffe verhindert werden.

(29)

Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen

3:3 Einfache Angriffe 3/19 Walter Unger 12.12.2015 15:32 WS2015/16 Z

Angriff drei gegen RSA

AverwendeEe,nRSA undDd,p,qRSA sowohl zum Verschlüsseln als auch zum Unterschreiben.

A:e,d,n B:e,n C:e,n

c=memodn

c Unterschreibe bittec

cdmodn

m

So wird dieses System unsicher,

selbst wennAalle gesendeten Nachrichten speichert.

Ein Angreifer, der eine verschlüsselte Nachrichtc=Dd,p,qRSA(m)kennt, geht dann wie folgt vor:

C wähltr∈Zn zufällig.

Bestimmtx :=c·re.

FragtAnach der Unterschrift zux. Dann kenntC:xd ≡Dd,p,qRSA(x) (modn).

C bestimmt:xd·r−1≡(c·re)d·r−1≡cd≡m (mod n).

Mit einem OAEP Verfahren (optimal asymmetric encription padding) können diese Angriffe verhindert werden.

(30)

Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen

3:3 Einfache Angriffe 4/19 Walter Unger 12.12.2015 15:32 WS2015/16 Z

Angriff drei gegen RSA

AverwendeEe,nRSA undDd,p,qRSA sowohl zum Verschlüsseln als auch zum Unterschreiben.

A:e,d,n B:e,n C:e,n

c=memodn

c Unterschreibe bittec

cdmodn

m

So wird dieses System unsicher,

selbst wennAalle gesendeten Nachrichten speichert.

Ein Angreifer, der eine verschlüsselte Nachrichtc=Dd,p,qRSA(m)kennt, geht dann wie folgt vor:

C wähltr∈Zn zufällig.

Bestimmtx :=c·re.

FragtAnach der Unterschrift zux. Dann kenntC:xd ≡Dd,p,qRSA(x) (modn).

C bestimmt:xd·r−1≡(c·re)d·r−1≡cd≡m (mod n).

Mit einem OAEP Verfahren (optimal asymmetric encription padding) können diese Angriffe verhindert werden.

(31)

Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen

3:3 Einfache Angriffe 5/19 Walter Unger 12.12.2015 15:32 WS2015/16 Z

Angriff drei gegen RSA

AverwendeEe,nRSA undDd,p,qRSA sowohl zum Verschlüsseln als auch zum Unterschreiben.

A:e,d,n B:e,n C:e,n

c=memodn

c Unterschreibe bittec

cdmodn

m

So wird dieses System unsicher,

selbst wennAalle gesendeten Nachrichten speichert.

Ein Angreifer, der eine verschlüsselte Nachrichtc=Dd,p,qRSA(m)kennt, geht dann wie folgt vor:

C wähltr∈Zn zufällig.

Bestimmtx :=c·re.

FragtAnach der Unterschrift zux. Dann kenntC:xd ≡Dd,p,qRSA(x) (modn).

C bestimmt:xd·r−1≡(c·re)d·r−1≡cd≡m (mod n).

Mit einem OAEP Verfahren (optimal asymmetric encription padding) können diese Angriffe verhindert werden.

(32)

Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen

3:3 Einfache Angriffe 6/19 Walter Unger 12.12.2015 15:32 WS2015/16 Z

Angriff drei gegen RSA

AverwendeEe,nRSA undDd,p,qRSA sowohl zum Verschlüsseln als auch zum Unterschreiben.

A:e,d,n B:e,n C:e,n

c=memodn

c Unterschreibe bittec

cdmodn

m

So wird dieses System unsicher,

selbst wennAalle gesendeten Nachrichten speichert.

Ein Angreifer, der eine verschlüsselte Nachrichtc=Dd,p,qRSA(m)kennt, geht dann wie folgt vor:

C wähltr∈Zn zufällig.

Bestimmtx :=c·re.

FragtAnach der Unterschrift zux. Dann kenntC:xd ≡Dd,p,qRSA(x) (modn).

C bestimmt:xd·r−1≡(c·re)d·r−1≡cd≡m (mod n).

Mit einem OAEP Verfahren (optimal asymmetric encription padding) können diese Angriffe verhindert werden.

(33)

Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen

3:3 Einfache Angriffe 7/19 Walter Unger 12.12.2015 15:32 WS2015/16 Z

Angriff drei gegen RSA

AverwendeEe,nRSA undDd,p,qRSA sowohl zum Verschlüsseln als auch zum Unterschreiben.

A:e,d,n B:e,n C:e,n

c=memodn

c Unterschreibe bittec

cdmodn

m

So wird dieses System unsicher,

selbst wennAalle gesendeten Nachrichten speichert.

Ein Angreifer, der eine verschlüsselte Nachrichtc=Dd,p,qRSA(m)kennt, geht dann wie folgt vor:

C wähltr∈Zn zufällig.

Bestimmtx :=c·re.

FragtAnach der Unterschrift zux. Dann kenntC:xd ≡Dd,p,qRSA(x) (modn).

C bestimmt:xd·r−1≡(c·re)d·r−1≡cd≡m (mod n).

Mit einem OAEP Verfahren (optimal asymmetric encription padding) können diese Angriffe verhindert werden.

Referenzen

Jetzt herunterladen ( PDF - 524 Seite - 2.96 MB )

Outline

Angriff drei gegen RSA Merkles-Meta-Methode ϕ(n) sollte nicht nur kleine Primfaktoren haben Kann man d bestimmen?

ÄHNLICHE DOKUMENTE

Algorithmische Kryptographie (WS2015/16) Kapitel 3 Sicherheitsaspekte und Hilfsfunktionen Walter Unger

Um die zu verhindern reicht es aus, OAEP oder kollisionssichere Hashfunktionen zu

Algorithmische Kryptographie (WS2015/16) Kapitel 4 Weitere Systeme Walter Unger

4:26 Idee der Datenübertragung Walter Unger 12.12.2015 16:03 WS2015/16 Z?.

Algorithmische Kryptographie (WS2015/16) Kapitel 5 Zero-Knowledge Walter Unger

Kompositionen III Satz Für jede Sprache aus N P gibt es ein Protokoll, welches Zero-Knowledge ist, und auch dessen Parallelausführung ist Zero-Knowledge.. Satz Für jede Sprache aus N

Algorithmische Kryptographie (WS2015/16) Kapitel 5 Zero-Knowledge Walter Unger

Viele weitere Beispiele Perfektes Matching Stabile Menge Graphenisomorphismus Kenntnis der Faktoren 3-Färbung eines Graphen 3-SAT Set-Partition-Problem.. Formales Idee zur

Algorithmische Kryptographie (WS2015/16) Kapitel 7 Elektronische Wahlen Walter Unger

Dieses Protokoll werden wir beim elektronischen Geld und dem letzten Wahlsystem noch sehen... Beweist, dass zwei diskrete Logarithmen

Algorithmische Kryptographie (WS2015/16) Kapitel 7 Elektronische Wahlen Walter Unger

7:19 Verfahren ohne möglichem Stimmenkauf Walter Unger 12.12.2015 15:55 WS2015/16

Algorithmische Kryptographie (WS2015/16) Kapitel 7 Elektronische Wahlen Walter Unger

7:7 Wählen durch gegenseitiges Mischen Walter Unger 12.12.2015 15:57 WS2015/16 Z.. Wählen durch gegenseitiges Mischen

Algorithmische Kryptographie (WS2015/16) Kapitel 8 Elektronisches Geld Walter Unger

erhält ein von der Bank unterschriebenes Public-Key-Verfahren für den Nutzer und den öffentlichen Schlüssel der Bank.. Damit können nun Quittungen und unterschriebene