Rabin Verschlüsselung 1979

Rabin Verschlüsselung 1979

Idee: Rabin Verschlüsselung

Beobachtung: Berechnen von Wurzeln inZpist effizient möglich.

Ziehen von Quadratwurzeln inZNist äquivalent zum Faktorisieren.

Vorteil: CPA-Sicherheit beruht nur auf Faktorisierungsannahme.

Für unsere bisherigen Verfahren verwendeten wir stärkere Annahmen.

RSA: Berechnen von e-ten Wurzeln inZn.

Goldwasser-Micali: Unterscheiden von QR_N und QNR_N⁺¹.

Berechnen von Quadratwurzeln in Z

Satz Ziehen von Wurzeln inZp

Sei p prim mit p =3mod4 und a∈QR_p. Dann gilt für b²=amodp, dass b =±a^p+14 modp. Ferner ist a^p+14 ∈QR_pund−a^p+14 ∈QNR_p Beweis:

Es gilt

±a^p+14 2

=a^p+12 =a^p−21 ·a=

a p

·a=amodp.

Wir schreiben p=4k +3. Dann gilt

−a^p+14 p

=₋

1 p

·

a^p+14 p

= (−1)^p−12 ·

a p

^p+14

= (−1)^2k+1= (−1).

Damit folgt−a^p+14 ∈QNRpund a^p+14 ∈QRp.

Quadratwurzel bei bekannter Faktorisierung

Definition Blum-Zahl

Sei N =pq ein RSA-Modul. N heißt Blum-Zahl falls p=q =3mod4.

Satz Quadratwurzeln inZN

Sei N =pq eine Blum-Zahl mit bekannten p,q. Dann können die vier Quadratwurzeln von a∈QR_N in ZeitO(log³N)berechnet werden.

Beweis:

Algorithmus QUADRATWURZEL EINGABE: N,p,q,a∈QR_N

1 Berechne x_p←a^p+14 modp, x_q ←a^q+14 modq.

2 Berechne mittels Chinesischem Restsatz die Lösungen von

b1=xpmodp b₁=xq modq

,

b2=−xp modp b₂= xq modq

,

b3= xp modp b₃=−xq modq

,

b4=−xpmodp b₄=−xq modq

AUSGABE: b₁, . . . ,b₄mit b_i²=amodN

Hauptwurzeln

Satz Existenz einer Hauptwurzel

Sei N =pq eine Blumzahl. Dann besitzt jedes a∈QR_N genau ein b∈QR_Nmit b²=amodN. Wir bezeichnen b als Hauptwurzel.

Beweis:

Algorithmus QUADRATWURZEL liefert

b₁≃(x_p,x_q)∈QR_p×QR_q. Damit ist b₁∈QR_N eine Hauptwurzel.

Alle anderen Wurzel b₂,b₃,b₄sind keine Hauptwurzeln.

Z.B. gilt b₂= (−xp,x_q)∈QNR_p×QR_qund damit b₂∈QNR_N.

Quadratwurzeln ohne Faktorisierung

Spiel Wurzelziehen SQRA,GenModulus(n)

1 (N,p,q)←GenModulus(1ⁿ)

2 Wähle z ∈_RQR_N.

3 y ← A(1ⁿ,N,z)

4 SQRA,GenModulus(n) =

(1 fallsy²=zmodN

0 sonst .

Definition Quadratwurzelannahme

Das Berechnen von Quadratwurzeln ist hart bezüglich GenModulus, falls für alle pptAgiltWs[SRQA,GenModulus(n) =1]≤negl(n).

Quadratwurzelannahme: Berechnen von Quadratwurzeln ist hart.

Spiel Wurzelziehen

SQRA,GenModulus(n)

(N, p, q)←GenModulus(1ⁿ) (1ⁿ, N, z) W¨ahlez∈RQRN

Ausgabe:

(1 fallsy²=z modN 0 sonst

A

Berechney y

Nicht-triviale Quadratwurzeln

Satz Faktorisieren mit Wurzeln

Sei N =pq ein RSA-Modul. Seien x,y ∈Z^∗_N mit x²=y²modN und x 6=±y modN. Dann können p,q in ZeitO(log²N)berechnet werden.

Beweis:

Mittels CRT erhalten wir x ≃(xp,x_q)∈Z^∗p×Z^∗q. Es gilt y ≃(xp,−xq)oder y ≃(−xp,xq).

Wir betrachten den Fall y ≃(xp,−xq). Der zweite Fall ist analog.

Es gilt x +y ≃(2xp,0)bzw. x −y ≃(0,2x_q).

Damit folgtggT(N,x +y) =q bzw.ggT(N,x−y) =p wegen 2xp ∈Z^∗pund 2xq ∈Z^∗q.

Die ggT-Berechnung benötigt LaufzeitO(log²N).

Quadratwurzeln implizieren Faktorisierung

Satz Quadratwurzeln implizieren Faktorisierung

Quadratwurzel- und Faktorisierungsannahme sind äquivalent.

Beweis:

Bereits gezeigt: Faktorisierung impliziert Quadratwurzeln.

SeiAAngreifer im Spiel SQRA,GenModulus(n)mit Erfolgswsǫ(n).

Konstruieren einen AngreiferA^′ im Spiel FactorA′,GenModulus(n).

AlgorithmusA^′ EINGABE: N

1 Wähle x ∈Z^∗_N und berechne z←x²modN.

2 y ← A(1ⁿ,N,z)

3 Falls x =±y modN oder x²6=y²modN, Abbruch.

AUSGABE: p,q={ggT(N,x +y),ggT(N,x−y)}

Faktorisieren mit Quadratwurzeln

Unter der Faktorisierungsannahme gilt negl(n) ≥ Ws[FactorA′,GenModulus(n) =1]

= Ws[x 6=±y modN∧x²=y²modN]

= Ws[x 6=±y modN|x²=y²modN]·Ws[x²=y²modN]

= Ws[x 6=±y modN|x²=y²modN]·ǫ(n)

= 1

2·ǫ(n)

Die letzte Gleichung folgt, da x²exakt vier Wurzeln inZ^∗_Nbesitzt.

Einwegfunktion unter Quadratwurzelannahme

Definition Einwegfunktion Q^UADRAT

Definieren Einwegfunktionsfamilie QUADRAT= (Gen,Samp,f)als

1 Gen(1ⁿ) :(N,p,q)←GenModulus(1ⁿ), Ausgabe I =N.

Definiert f :Z^∗_N →QR_N.

2 Samp(I) :Wähle x ∈_R Z^∗_Nzufällig.

3 fI(x) : Berechne f(x) :=x²modN.

Anmerkungen:

QUADRATist Einwegfunktion unter der Quadratwurzelannahme.

D.h. QUADRATist Einwegfunktion unter Faktorisierungsannahme.

Ziel: Konstruktion einer Trapdoor-Einwegpermutation.

R

Trapdoor-Einwegpermutation

Definition RABIN Trapdoor-Einwegpermutation

Trapdoor-Einwegpermutationsfamilie RABIN= (Gen,Samp,f)mit

1 Gen(1ⁿ) :(N,p,q)←GenModulus(1ⁿ)mit Blumzahl N.

Ausgabe I=N, td = (p,q). Definiert f :QR_N→QR_N.

2 Samp(I) :Wähle r ∈RZ^∗_N zufällig. Berechne x ←r²modN.

3 f_I(x) : Berechne y =f(x) :=x²modN.

4 Inv_td(y): Bestimme Hauptwurzel x ∈QR_N von y =x². Anmerkungen:

RABINist einweg unter der Faktorisierungsannahme. Wir wissen:

Trapdoor-Einwegpermutation + Hardcore-Prädikat

= CPA-sichere Verschlüsselung.

Benötigen ein Hardcore-Prädikat hc :QR_N → {0,1}für f .

Berechnen des niederwertigsten Bits

Satz Hardcore-Prädikat lsb(x)

Sei f die RABINTrapdoor-Einwegpermutation und N eine Blumzahl.

Für x ∈QR_N bezeichne lsb(x)das niederwertigste Bit von x . Dann ist hc(x) :=lsb(x)ein Hardcore-Prädikat für f .

ohne Beweis (nicht-trivial)

Für alle pptAgilt damitWs[A(1ⁿ,N,x²) =lsb(x)]≤ ¹₂+negl(n).

R

Kryptosystem (1979)

Algorithmus R^ABIN Verschlüsselung

1 Gen:(N,p,q)←GenModulus(1ⁿ), wobei N eine Blumzahl ist.

Ausgabe pk =N, sk = (p,q).

2 Enc: Für m∈ {0,1}wähle r ∈Z^∗_N, berechne x ←r²modN und c ←(x²modN,lsb(x)⊕m).

3 Dec: Für c = (c₁,c₂)berechne Hauptwurzel x von c₁und m:=lsb(x)⊕c₂.

Satz CPA-Sicherheit von RABIN

RABINVerschlüsselung ist CPA-sicher unter der Faktorisierungsannahme.

Beweis:

Folgt aus dem Satz zur CPA-Sicherheit von VERSCHLÜSSELUNG_Π.

Diskussion RSA versus R

Vergleich: RSA und RABIN

Quadrieren und Exponentieren mit e erscheinen ähnlich.

Aber: RABINist kein Spezialfall von RSA, da e=2∈/Z^∗_φ(N). RABIN-Einwegpermutation beruht auf Faktorisierungsannahme.

Die Faktorisierungsannahme ist möglicherweise schwächer als die RSA-Annahme. Offen: Invertieren von RSA⇒Faktorisierung?

RABINist nicht ineffizienter als RSA.

Historische Variante: Textbook RABINmit c :=m²modN.

Es existiert ein CCA-Angriff auf Textbook RABIN, der p,q liefert.

(Wie?)