Vorlesungen „Kryptographie I und II” Bei Prof. Dr ... - Schnorr, C.P.
Vorlesungen „Kryptographie I und II” Bei Prof. Dr ... - Schnorr, C.P.
Vorlesungen „Kryptographie I und II” Bei Prof. Dr ... - Schnorr, C.P.
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
48 3. FAKTORISIERUNGSPROBLEM, PROTOKOLLE<br />
Der obige Faktorisierungsalg. benötigt für kleine m eine große Erfolgsws ε ≥ 2 −mt+2 von<br />
˜P. Für m = 1 gibt [Shoup1999] einen Faktorisierungsalg. �FA an, für den eine Erfolgsws.<br />
ε ≥ 2 −kt+1 von ˜P ausreicht.<br />
Aktive Angreifer auf (P,V ) OS . A fordert l-mal (P, ˜V A ) OS <strong>und</strong> erzeugt dann ( ˜P A ,V ) OS .<br />
Die Laufzeit von enthält | ˜P A |, | ˜V A | <strong>und</strong> die offene Schrittzahl von A. Es sei N = p · q mit<br />
p − 1 = 2 m mod 2 m+1 .<br />
PROPOSITION 3.1.5. Es gibt einen prob. Alg. FA : (A,N) ↦→ {p,q} mit Ew|FA| = O(l|A|/ε),<br />
sofern A für zufällige v ∈R (�∗2k N )t Erfolgsw. ε ≥ 2−tk+1 für m ≥ k <strong>und</strong> ε ≥ 2−mt+2 für m < k<br />
hat.<br />
BEWEIS. FAm wählt s ∈R (�∗ N )t , bildet v := (s2k 1 ,...,s2k t ) <strong>und</strong> simuliert (P, ˜V A ) OS mittels<br />
s. Dann extrahiert er {p,q} mittels ˜P A – analog zu FA. Dabei werden A, ˜P A , ˜V A als black<br />
box benutzt. Die Koalition [P,A] zerlegt also N. �<br />
Nach Satz 3.1.5 ist N sicher gegen aktive Angreifer A, es sei denn N ist einfach zu zerlegen.<br />
Zerlegungsalgorithmus �FA für m < k. �FA zerlegt mittels ˜P RSA-Moduln N = p ·<br />
q mit p − 1 = 2 m mod 2 m+1 , 2 m+1 ∤ q − 1. Es bezeichne RSAm die Menge dieser RSA-<br />
Moduln.<br />
REMARK 3.1.6. Beachte:<br />
(1) Jeder RSA-Modul N ist in genau einer Menge RSAm – gegebenenfalls nach Vertauschung<br />
von p <strong>und</strong> q.<br />
(2) RSA 1 besteht aus den RSA-Moduln N = p · q mit p ≡ 3 mod 4, q ≡ 3 mod 4.<br />
Diese N heissen Blum-Zahlen.<br />
LEMMA 3.1.7. Für die N ∈ RSAm gilt<br />
a) � ∗2m<br />
N<br />
= �∗2m+1 N ,<br />
b) −1 �∈ � ∗2m<br />
N ,<br />
c) x ↦→ x 2 permutiert Z ∗2m<br />
N .<br />
�FA arbeitet mit einem verfälschten geheimen Schlüssel ˜s. Für N ∈ RSAm wird die Zuordnung<br />
s ↦→ v abgeändert zu<br />
2 ¯m 2 ¯m<br />
v := ( ˜s 1 ,..., ˜s t ) fuer ein ¯m, m ≤ ¯m ≤ k.<br />
Für zufällige ˜s ∈ (� ∗ N )t ist v nach Lemma 3.1.7 zufällig in (� ∗2m<br />
N )t = (�∗2k N )t <strong>und</strong> ist somit<br />
korrekt verteilt. Den Wert ¯m wählt man so, dass k + m ≥ ¯m + l + 1, diese Ungleichung gilt<br />
stets für m = ¯m.