Vorlesungen „Kryptographie I und II” Bei Prof. Dr ... - Schnorr, C.P.

Weitere Magazine

Empfehlungen

Info

46 3. FAKTORISIERUNGSPROBLEM, PROTOKOLLE w ˜P ∈ {0,1}| ˜P| w e ∈ [0,2 t [ k e ERF(w ˜P ,e) ∈ {0,1} ABBILDUNG 3.1.1. Erfolgsmatrix von ˜P PROPOSITION 3.1.2. Für N mit 2 k | p − 1 gibt es einen prob. Alg. FA : ( ˜P,N) ↦→ {p,q} mit Ew|FA| = O(k| ˜P|/ε) sofern ˜P für zufällige v ∈ R (� ∗2k N )t Erfolgsws. ε ≥ 2 −kt+1 hat. BEWEIS. Faktorisierungsverfahren FA für 2 k | p − 1 (1) Wähle s ∈R (�∗ N )t . (2) AL : ( ˜P,s,N) ↦→ (X,Y,l) nach Satz 3.1.1. (3) Z := Y 2k−l−1/X 2k−1. Wegen Y 2k = X 2k+l gilt Z2l+1 = 1, Z mod p nimmt wegen 2k | p−1 zufällig zwei Werte an – statistisch unabh. von Z mod q. Beachte, dass X(s) linear in einem sν ist. (4) Berechne das kleinste i ≤ l + 1 mit Z2i = 1. Es sind i und l Funktionen in v und w ˜P . Sie sind bei festem v konstant in s. • Fall 1: i ≤ 1, Z2 = 1. Dann gilt mit Wss ≥ 1 2 , dass ggT(Z ± 1,N) = {p,q}. • Fall 2: i ≥ 2, Z2i−1 �= −1. Dann gilt • Fall 3: i ≥ 2, Z2i−1 = −1. ggT(Z 2i−1 ± 1,N) = {p,q}. Wiederhole die Schritte 1-3 mit unabhängigen s ∈ R (� ∗ N )t . Tritt der Fall Wert i, 2 ≤ i < k, im Fall 3 doppelt auf, so gilt für die beiden Werte Z,Z ′ : Z 2i−1 = −1, Z ′2i−1 = −1, (ZZ ′ ) 2i−1 = 1. FA führt eine Liste der Paare (Z,i) von Fall 3. In dieser Liste wird jetzt (Z ′ ,i) ersetzt durch (ZZ ′ ,i ′ ) mit dem kleinsten i ′ < i), so dass (ZZ ′ ) 2i′ = 1. Tritt i ′ bereits mit (Z ′′ ,i ′ ) in der Liste auf, so wird die Erniedrigung sukzessive fortgesetzt mit (Z,Z ′ ,Z ′′ ,i ′′ ). FACT 3.1.3. Jeder Durchlauf von Fall 3 liefert – nach sukzessiver Erniedrigung von i – ein neues i in der Liste der Paare (Z,i).
3.1. ONG-SCHNORR IDENTIFIKATION 47 Nach ≤ k Durchläufen von Fall 3 wird i ≤ 1 und damit Fall 1 erreicht. Damit wird N nach höchstens k Durchläufen der Schritte 1-3 mit Ws ≥ 1 2 zerlegt. Die Ws. bezieht sich auf die zufälligen s, welche in das Z mit Z2 = 1 eingehen. � Der Fall p − 1 = 2m mod 2m+1 , 1 ≤ m < k. Der Faktorisierungsalg. muss verändert werden, weil X 2k−1 3.1.1: mod p in s konstant ist. Wir verbessern hierzu die Aussage von Satz LEMMA 3.1.4. In Satz 3.1.1 gilt Wsw AL falls ˜P mit v eine Erfolgsw. ε hat. � � 1 l < t lg4ε−1 �� ≥ 1 4 , BEWEIS. Für w := � 1 t lg4ε −1� ist der Anteil der 1’en in der Erfolgsmatrix von ˜P ≥ 2 −wt+2 . Eine Zeile w ˜P mit mehr als 2(k−w)t+1 1’en heisse schwer. Mindestens die Hälfte der 1’en liegt in schweren Zeilen. Der Alg. AL von Satz 3.1.1 konstruiert mit Ws ≥ 1 2 zwei unabh. 1’en in einer schweren Zeile – ERF(w ˜P ,e) = ERF(w ˜P ,e′ ). Weil e,e ′ unabhängig in [0,2 k [ t gezogen werden, gilt Ws e ′[e = e ′ mod 2 w ] ≤ 1 2 . Zu festem e gibt es nämlich nur 2 (k−w)t -viele e ′ mit e = e ′ mod 2 w . Mit Ws ≥ 1 4 findet AL somit in einer schweren Zeile w ˜P 1’en in Spalten e,e′ mit e �= e ′ mod 2 w . Faktorisierungsverfahren zu p − 1 = 2 m mod 2 m+1 , 1 ≤ k < m Ang. ˜P hat für zufällige v ∈ (� ∗2k N )t eine Erfolgsws. ε ≥ 2 −mt+2 . Wir ändern den Alg. AL von Satz 3.1.1 so ab, dass AL : ( ˜P,v,N) ↦→ (X,Y,l) mit 0 ≤ l < m. Dies ist nach Lemma 3.1.4 ohne weiteres möglich. Man macht stat. unabh. Versuche AL( ˜P,v,N) mit dem ursprünglichen AL – im Mittel ≤ 4 Versuche – bis 0 ≤ l < m erfüllt ist. Ändere Schritt 3 des Alg. FAm zu m ≥ k ab zu: (3) (neu) Z := Y 2m−l−1/X 2m−1. Dann gilt Zl+1 = 1, wegen Y 2k = X 2k+l . Z mod p nimmt zufällig mit s zwei Werte an, denn X(s) ist linear in einem sν und s2m−1 ν mod p nimmt – bei konstantem s2m ν mod p – zwei Werte an. Außerdem gilt m − l − 1 ≥ 0 und damit ist Z einfach zu berechnen. Die übrigen Schritte des Faktorisierungsverfahrens und die Analyse sind wie im Fall 2 k | p − 1. Der Algorithmus läuft über einen der drei Fälle i ≤ 1, Z 2i−1 �= −1, Z 2i−1 = −1. Dabei ist i die kleinste Zahl ≤ l + 1 mit Z2i = 1. Wieder wird N nach höchstens k Durchläufen im Fall Z2i−1 = −1 mit Ws ≥ 1 2 zerlegt. �
Seite 1 und 2: Vorlesungen „Kryptographie I und
Seite 3 und 4: Inhaltsverzeichnis Teil 1. Kryptogr
Seite 5: Teil 1 Kryptographie I
Seite 8 und 9: 8 1. DISKRETER LOGARITHMUS UND PROT
Seite 10 und 11: 10 1. DISKRETER LOGARITHMUS UND PRO
Seite 22 und 23: 22 2. DISKRETE LOGARITHMUS IDENTIFI
Seite 43 und 44: KAPITEL 3 Faktorisierungsproblem, P
Seite 45: 3.1. ONG-SCHNORR IDENTIFIKATION 45
Seite 49 und 50: Der Zerlegungsalgorithmus �FA fü
Seite 51 und 52: KAPITEL 4 Sicherheit im Generischen
Seite 53 und 54: 4.2. DEFINITION GENERISCHER ALGORIT
Seite 55 und 56: 4.3. DAS DL-PROBLEM 55 Triviale Kol
Seite 57 und 58: 4.6. SEMANTISCHE SICHERHEIT DER ELG
Seite 59 und 60: 4.7. SICHERHEIT DER DL-IDENTIFIKATI
Seite 61 und 62: 4.9. SIGNIERTE ELGAMAL VERSCHLÜSSE
Seite 63 und 64: 4.9. SIGNIERTE ELGAMAL VERSCHLÜSSE
Seite 65: 4.10. ALLGEMEINE ELGAMAL VERSCHLÜS
Seite 69 und 70: KAPITEL 5 Identifikation, On-the-fl
Seite 71 und 72: 1 A 0 � ˜y − y� 1 � BS/A 0
Seite 73 und 74: 5.5. GPS-SIGNATUREN, ON-THE-FLY-SIG
Seite 75: 5.5. GPS-SIGNATUREN, ON-THE-FLY-SIG
Seite 78 und 79: 78 6. FAIRER SCHLÜSSELTAUSCH Versc
Seite 80 und 81: 80 6. FAIRER SCHLÜSSELTAUSCH Für
Seite 82 und 83: 82 6. FAIRER SCHLÜSSELTAUSCH Setze
Seite 84 und 85: 84 6. FAIRER SCHLÜSSELTAUSCH BEWEI
Seite 87 und 88: KAPITEL 7 Bit-Hinterlegung und perf
Seite 89 und 90: Es gilt 7.2. BIT HINTERLEGUNG (BIT
Seite 91 und 92: 7.4. DER x 2 mod N-GENERATOR UND QU
Seite 93 und 94: 7.4. DER x 2 mod N-GENERATOR UND QU
Seite 95 und 96: Es gilt 7.4. DER x 2 mod N-GENERATO
Seite 97 und 98:
7.5. VERIFIABLE SECRET SHARING NACH
Seite 99 und 100:
7.6. RECHNEN MIT VERTEILTEN DATEN 9
Seite 101 und 102:
7.8. ALLGMEINES VERTEILTES RECHNEN
Seite 103 und 104:
7.8. ALLGMEINES VERTEILTES RECHNEN
Seite 105 und 106:
mit 7.9. PSEUDO RANDOM FUNKTIONEN N
Seite 107:
KAPITEL 8 Pseudozufallsgeneratoren
Seite 111 und 112:
(2 s ,2 t )-schwer, 11 (k,n) Thresh
Seite 113 und 114:
Literaturverzeichnis [Beutelspacher
Alle anzeigen

Vorlesungen „Kryptographie I und II” Bei Prof. Dr ... - Schnorr, C.P.

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?