Vorlesungen „Kryptographie I und II” Bei Prof. Dr ... - Schnorr, C.P.

Weitere Magazine

Empfehlungen

Info

16 1. DISKRETER LOGARITHMUS UND PROTOKOLLE 1.5. Schlüsseltransport mit Rücklauf (Shamir’s „No Key Protocol”) Zwei Teilnehmer möchten sich eine vertrauliche Nachricht zukommen lassen, besitzen jedoch keinen gemeinsamen Schlüssel. Shamir schlägt vor, dass A die Nachricht mit seinem Schlüssel verschlüsselt und an B schickt. Dieser verschlüsselt die Nachricht wieder mit seinem Schlüssel und schickt sie an A zurück. A entschlüsselt die Nachricht mit seinem Schlüssel und schickt sie wieder an B. Dieser kann die Nachricht jetzt mit seinem Schlüssel entschlüsseln und lesen. Eine mathematische Realisierung basiert auf der diskreten Exponentialfunktion, die die wesentliche Eigenschaft � fa fb (x) � = fb ( fa (x)) besitzt. Beide Teilnehmer einigen sich auf eine große Primzahl p. A erzeugt ein Paar (a,a ′ ) mit a · a ′ ≡ 1 mod (p − 1) und B erzeugt genauso (b,b ′ ). Soll eine Nachricht m an B übertragen werden, so wird wie folgt vorgegangen: A B 1. Berechnet x ≡ ma mod p x → 2. ← y Berechnet y ≡ xb mod p 3. Berechnet z ≡ ya′ mod p z → Berechnet zb′ ≡ maba′ b ′ ≡ m mod p Vorteil. Kein öffentliches Verzeichnis erforderlich, Authentikation gesichert. Nachteil. Eignet sich weniger zum Versenden verschlüsselter Nachrichten, weil die Nachricht in g kodiert werden muss. Angriff. C schickt in Schritt 2. m ac und erhält von A m c zurück, womit die Nachricht entschlüsselt werden kann. Damit Authentikation (Ursprungsnachweis) gesichert ist, muss der Übertragungskanal gegen aktive Störer geschützt weden, z.B. durch eine digitale Unterschrift. In diesem Fall wird in Schritt 1. und 3. zusätzlich noch sig A (x) bzw. sig A (z) und in Schritt 2. sig B (y) mit übertragen. Wieder ist das Verfahren so sicher wie das DL-Problem: Gibt es eine Lösung für das DL- Problem, so kann ein Angreifer aus x = m a und y = m ab = � m b� a den Schlüssel a berechnen und dann ganz einfach a ′ erhalten. 1.6. ElGamal Signaturen Öffentlich: g, G = 〈g〉, |G| = q, H (). Secret-Key: x ∈ R �q. Public-Key: h = g x . Signatur: (r,s) ∈ G × �q mit r ≡ g k und s ≡ k −1 (H (m) − x · r) mit k ∈ R � ∗ q−1 (geheim). Test: g H(m) ? ≡ h H(r) · r s .
1.6. ELGAMAL SIGNATUREN 17 Der Absender sucht sich eine kollisionsresistente Hashfunktion H : {0,1} ∗ → {1,2,...,q − 1} und errechnet den Hashwert H (m) der Nachricht m ∈ {0,1} ∗ und den öffentlichen Schlüssel h ≡ g x mod q. Jetzt wählt er eine Zufallszahl k ∈ R � ∗ q und berechnet r :≡ g k mod q, s :≡ k −1 (H (m) − xH (r)) mod (q − 1). Die digitale Unterschrift besteht nun aus dem Paar (r,s) ∈ G ×�q. Das Prüfen der Unterschrift geschieht durch ein Vergleichen von g H(m) mit h H(r) ·r s mod q. Bei Gleichheit ist die Nachricht korrekt, da nach Fermat gilt: h H(r) · r s ≡ (g x ) H(r) · g ks ≡ g xH(r)+ks ≡ g H(m) mod q, da ks ≡ H (m) − xH (r) mod (q − 1) ist. Sicherheit. Um Unterschriften fälschen zu können muss die Gleichung g H(m) = h H(r) r s oder der log g h gelöst werden. Es muss allerdings darauf geachtet werden, dass keine zwei Nachrichten mit der gleichen Zufallszahl k signiert werden. In diesem Fall kann ein Angreifer den geheimen Schlüssel finden: r := g k mod q h H(r) · r s 1 ≡ g H(m 1 ) mod q h H(r) · r s 2 ≡ g H(m 2 ) mod q ⇒ g H(m 1 )−H(m 2 ) ≡ r s 1 −s 2 mod q ⇔ g H(m 1 )−H(m 2 ) ≡ g k(s 1 −s 2 ) mod q ⇒ H(m 1 ) − H(m 2 ) ≡ k(s 1 − s 2 ) mod (q − 1) Sei d := ggT(s 1 − s 2 ,q − 1) ⇒ H(m ′ ) = H(m 1 ) − H(m 2 ) d s ′ q ′ := s1 − s2 d := q − 1 d ⇒ H(m ′ ) = k · s1 − s2 d mod q ′ ggT(s ′ ,q ′ )=1 ⇒ ε ≡ (s ′ ) −1 mod q ′ Für eines der i gilt dann h ≡ g x i mod q. x ≡ H(m ′ )ε mod q ′ ⇒ x i ≡ H(m ′ )ε + iq ′ mod q i = 0,...,d − 1 Nachteil. Fälschen ist nicht äquivalent zum DL-Problem. Siehe dazu auch [PointchevalStern1996].
Seite 1 und 2: Vorlesungen „Kryptographie I und
Seite 3 und 4: Inhaltsverzeichnis Teil 1. Kryptogr
Seite 5: Teil 1 Kryptographie I
Seite 8 und 9: 8 1. DISKRETER LOGARITHMUS UND PROT
Seite 10 und 11: 10 1. DISKRETER LOGARITHMUS UND PRO
Seite 22 und 23: 22 2. DISKRETE LOGARITHMUS IDENTIFI
Seite 43 und 44: KAPITEL 3 Faktorisierungsproblem, P
Seite 45 und 46: 3.1. ONG-SCHNORR IDENTIFIKATION 45
Seite 47 und 48: 3.1. ONG-SCHNORR IDENTIFIKATION 47
Seite 49 und 50: Der Zerlegungsalgorithmus �FA fü
Seite 51 und 52: KAPITEL 4 Sicherheit im Generischen
Seite 53 und 54: 4.2. DEFINITION GENERISCHER ALGORIT
Seite 55 und 56: 4.3. DAS DL-PROBLEM 55 Triviale Kol
Seite 57 und 58: 4.6. SEMANTISCHE SICHERHEIT DER ELG
Seite 59 und 60: 4.7. SICHERHEIT DER DL-IDENTIFIKATI
Seite 61 und 62: 4.9. SIGNIERTE ELGAMAL VERSCHLÜSSE
Seite 63 und 64: 4.9. SIGNIERTE ELGAMAL VERSCHLÜSSE
Seite 65: 4.10. ALLGEMEINE ELGAMAL VERSCHLÜS
Seite 69 und 70:
KAPITEL 5 Identifikation, On-the-fl
Seite 71 und 72:
1 A 0 � ˜y − y� 1 � BS/A 0
Seite 73 und 74:
5.5. GPS-SIGNATUREN, ON-THE-FLY-SIG
Seite 75:
5.5. GPS-SIGNATUREN, ON-THE-FLY-SIG
Seite 78 und 79:
78 6. FAIRER SCHLÜSSELTAUSCH Versc
Seite 80 und 81:
80 6. FAIRER SCHLÜSSELTAUSCH Für
Seite 82 und 83:
82 6. FAIRER SCHLÜSSELTAUSCH Setze
Seite 84 und 85:
84 6. FAIRER SCHLÜSSELTAUSCH BEWEI
Seite 87 und 88:
KAPITEL 7 Bit-Hinterlegung und perf
Seite 89 und 90:
Es gilt 7.2. BIT HINTERLEGUNG (BIT
Seite 91 und 92:
7.4. DER x 2 mod N-GENERATOR UND QU
Seite 93 und 94:
7.4. DER x 2 mod N-GENERATOR UND QU
Seite 95 und 96:
Es gilt 7.4. DER x 2 mod N-GENERATO
Seite 97 und 98:
7.5. VERIFIABLE SECRET SHARING NACH
Seite 99 und 100:
7.6. RECHNEN MIT VERTEILTEN DATEN 9
Seite 101 und 102:
7.8. ALLGMEINES VERTEILTES RECHNEN
Seite 103 und 104:
7.8. ALLGMEINES VERTEILTES RECHNEN
Seite 105 und 106:
mit 7.9. PSEUDO RANDOM FUNKTIONEN N
Seite 107:
KAPITEL 8 Pseudozufallsgeneratoren
Seite 111 und 112:
(2 s ,2 t )-schwer, 11 (k,n) Thresh
Seite 113 und 114:
Literaturverzeichnis [Beutelspacher
Alle anzeigen

Vorlesungen „Kryptographie I und II” Bei Prof. Dr ... - Schnorr, C.P.

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?