Vorlesungen „Kryptographie I und II” Bei Prof. Dr ... - Schnorr, C.P.

Weitere Magazine

Empfehlungen

Info

10 1. DISKRETER LOGARITHMUS UND PROTOKOLLE 1.2. Laufzeit von DL-Algorithmen zu G ⊂ � ∗ p Quadratisches Sieb: e (1+o(1))(ln plnln p)1/2 Zahlkörpersieb: e (1+o(1))(ln p)1/3 (lnln p) 2/3 Für generische Algorithmen ergibt sich folgende Komplexitätsschranke: PROPOSITION 1.2.1. Jeder generische DL-Alg. zu G mit |G| = q prim benötigt √ 2q Gruppenoperationen. BEWEIS. Terminiert � der Algorithmus mit Wahrscheinlichkeit √ 1, dann gilt nach Satz 1.1.7 auf /q ≥ 1 und somit t2 ≥ 2q und t ≥ 2q. � der vorherigen Seite � t 2 REMARK 1.2.2. Für kryptographische Anwendungen wählt man Gruppen, für die der schnellste bekannte DL-Algorithmus generisch ist. Kryptographisch starke Gruppen sind z.B. zyklische Gruppen G mit |G| = q prim. Z.B. p prim und q | p − 1: p−1 ∗ q G = � ⊂ �∗ p, p für zufällige Primzahlen q und zufällige p−1 2q der Größe lgq ≥ 160, lg p ≥ 768. Ebenso zufällige elliptische Kurven E (Fp), E � � F2t mit lg p ≥ 160, t ≥ 160 und p prim. 1.2.1. Der DL nach Pohlig-Hellman. PROPOSITION 1.2.3. Sei |G| = q, q = ∏i p ei i Primfaktorzerlegung. Dann geht h ↦→ logg h mit ∑ t i=1 e � i 4lg pi + 2 √ � pi Mult. in G durch Anwendung des Pohlig-Hellman Algorithmus. BEWEIS. Algorithmus 2 von Pohlig und Hellman kann auch bei jeder zyklischen Gruppe G angewandt werden. Dazu benötigt er allerdings eine vollständige Primfaktorzerlegung von |G|. Die Idee ist, den log g a modulo der Primzahlpotenzen von |G| zu berechnen, um dann den diskreten Logarithmus mit Hilfe des CRT bestimmen zu können. � Korrektheit: G q/p i ist eine Gruppe der Ordnung p i . h ↦→ h q/p i ist Gruppenhomo. G → G q/p i. Es gilt: log g h ≡ log g q/p i h q/p i mod p i , denn h = q a ⇒ h q/p i = g aq/p i. Um log g h mod p i zu berechnen, bildet man h q/p i und berechnet in G q/p i das Element g q/p i und berechnet in G q/p i log g q/p i h q/p i mod p i nach der Baby step-Giant step Methode. Laufzeit: Für die Binäre Methode werden 4lgq und für die Baby-Giant-Methode 2 √ p i Multiplikationen in G benötigt. Das macht 4lgq + 2 √ p i Multiplikationen in G. Die CRT Zusammensetzung � a mod p e1 1 ,...,a mod pe � t t ↦→ a mod q erfordert keine Multiplikationen in G. 1.2.2. Forderungen an die Berechenbarkeit.
Algorithm 2 Pohlig-Hellman 1.2. LAUFZEIT VON DL-ALGORITHMEN ZU G ⊂ � ∗ p Eingabe: g ∈ G mit 〈g〉 = G, |G| = ∏ k i=1 pei i mit pi prim und a ∈ G. Ausgabe: logg a. (1) for i = 1,...,k do (a) for l = 1,..., pi − 1 do (i) Berechne ril = gl|G|/pi. (2) for i = 1,...,k do (a) Setze b := a. (b) for j = 0,...,e i − 1 do |G|/p j+1 (i) Berechne c = b i . (ii) Bestimme i,l mit ril := c. (iii) Setze ci j := l. (iv) Setze b := bg −ci j p j i . (3) for i = 1,...,k do (a) Setze di := ∑ ei−1 j=0 ci j p j i . (4) Bestimme mit CRT eine Lösung x des Systems x ≡ di mod p ei mit i = 1,...,k i (→Gauss). (5) return(x) Kryptographische Forderungen an log g ,exp g . (1) exp g muss in einem Bruchteil einer Sekunde gehen, z.B. in 2 20 ≈ 10 6 Maschinen- Zykeln. (2) log g h muss für fast alle h etwa 2 80 arithmetische Schritte erfordern. Etwa 2 50 Schritte sind technisch durchführbar. DEFINITION 1.2.4. f ist eine Einweg-Funktion, wenn f „schnell” berechenbar aber „schwer” invertierbar ist. Wir betrachten probabilistische Algorithmen AL für f −1 mit Laufzeit |AL| und interne Zufallsbits w. Sei h ∈ R G zufällige Eingabe zu AL. DEFINITION 1.2.5. f −1 ist (2 s ,2 t )-schwer, wenn AL mit � k,w |AL| ≤ 2 s : Ws h,w [ f (AL(x)) = x] ≤ 2 −t . Damit ergeben sich folgende Bezeichnungen: � 2 80 ,2 0 � -schwer ∼ worst-case schwer � 2 80 ,2 1 � -schwer ∼ im Mittel schwer � 2 80 ,2 30 � -schwer ∼ fast überall schwer 11
Seite 1 und 2: Vorlesungen „Kryptographie I und
Seite 3 und 4: Inhaltsverzeichnis Teil 1. Kryptogr
Seite 5: Teil 1 Kryptographie I
Seite 8 und 9: 8 1. DISKRETER LOGARITHMUS UND PROT
Seite 12 und 13: 12 1. DISKRETER LOGARITHMUS UND PRO
Seite 22 und 23: 22 2. DISKRETE LOGARITHMUS IDENTIFI
Seite 43 und 44: KAPITEL 3 Faktorisierungsproblem, P
Seite 45 und 46: 3.1. ONG-SCHNORR IDENTIFIKATION 45
Seite 47 und 48: 3.1. ONG-SCHNORR IDENTIFIKATION 47
Seite 49 und 50: Der Zerlegungsalgorithmus �FA fü
Seite 51 und 52: KAPITEL 4 Sicherheit im Generischen
Seite 53 und 54: 4.2. DEFINITION GENERISCHER ALGORIT
Seite 55 und 56: 4.3. DAS DL-PROBLEM 55 Triviale Kol
Seite 57 und 58: 4.6. SEMANTISCHE SICHERHEIT DER ELG
Seite 59 und 60: 4.7. SICHERHEIT DER DL-IDENTIFIKATI
Seite 61 und 62:
4.9. SIGNIERTE ELGAMAL VERSCHLÜSSE
Seite 63 und 64:
4.9. SIGNIERTE ELGAMAL VERSCHLÜSSE
Seite 65:
4.10. ALLGEMEINE ELGAMAL VERSCHLÜS
Seite 69 und 70:
KAPITEL 5 Identifikation, On-the-fl
Seite 71 und 72:
1 A 0 � ˜y − y� 1 � BS/A 0
Seite 73 und 74:
5.5. GPS-SIGNATUREN, ON-THE-FLY-SIG
Seite 75:
5.5. GPS-SIGNATUREN, ON-THE-FLY-SIG
Seite 78 und 79:
78 6. FAIRER SCHLÜSSELTAUSCH Versc
Seite 80 und 81:
80 6. FAIRER SCHLÜSSELTAUSCH Für
Seite 82 und 83:
82 6. FAIRER SCHLÜSSELTAUSCH Setze
Seite 84 und 85:
84 6. FAIRER SCHLÜSSELTAUSCH BEWEI
Seite 87 und 88:
KAPITEL 7 Bit-Hinterlegung und perf
Seite 89 und 90:
Es gilt 7.2. BIT HINTERLEGUNG (BIT
Seite 91 und 92:
7.4. DER x 2 mod N-GENERATOR UND QU
Seite 93 und 94:
7.4. DER x 2 mod N-GENERATOR UND QU
Seite 95 und 96:
Es gilt 7.4. DER x 2 mod N-GENERATO
Seite 97 und 98:
7.5. VERIFIABLE SECRET SHARING NACH
Seite 99 und 100:
7.6. RECHNEN MIT VERTEILTEN DATEN 9
Seite 101 und 102:
7.8. ALLGMEINES VERTEILTES RECHNEN
Seite 103 und 104:
7.8. ALLGMEINES VERTEILTES RECHNEN
Seite 105 und 106:
mit 7.9. PSEUDO RANDOM FUNKTIONEN N
Seite 107:
KAPITEL 8 Pseudozufallsgeneratoren
Seite 111 und 112:
(2 s ,2 t )-schwer, 11 (k,n) Thresh
Seite 113 und 114:
Literaturverzeichnis [Beutelspacher
Alle anzeigen

Vorlesungen „Kryptographie I und II” Bei Prof. Dr ... - Schnorr, C.P.

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?