Vorlesungen „Kryptographie I und II” Bei Prof. Dr ... - Schnorr, C.P.

Weitere Magazine

Empfehlungen

Info

48 3. FAKTORISIERUNGSPROBLEM, PROTOKOLLE Der obige Faktorisierungsalg. benötigt für kleine m eine große Erfolgsws ε ≥ 2 −mt+2 von ˜P. Für m = 1 gibt [Shoup1999] einen Faktorisierungsalg. �FA an, für den eine Erfolgsws. ε ≥ 2 −kt+1 von ˜P ausreicht. Aktive Angreifer auf (P,V ) OS . A fordert l-mal (P, ˜V A ) OS und erzeugt dann ( ˜P A ,V ) OS . Die Laufzeit von enthält | ˜P A |, | ˜V A | und die offene Schrittzahl von A. Es sei N = p · q mit p − 1 = 2 m mod 2 m+1 . PROPOSITION 3.1.5. Es gibt einen prob. Alg. FA : (A,N) ↦→ {p,q} mit Ew|FA| = O(l|A|/ε), sofern A für zufällige v ∈R (�∗2k N )t Erfolgsw. ε ≥ 2−tk+1 für m ≥ k und ε ≥ 2−mt+2 für m < k hat. BEWEIS. FAm wählt s ∈R (�∗ N )t , bildet v := (s2k 1 ,...,s2k t ) und simuliert (P, ˜V A ) OS mittels s. Dann extrahiert er {p,q} mittels ˜P A – analog zu FA. Dabei werden A, ˜P A , ˜V A als black box benutzt. Die Koalition [P,A] zerlegt also N. � Nach Satz 3.1.5 ist N sicher gegen aktive Angreifer A, es sei denn N ist einfach zu zerlegen. Zerlegungsalgorithmus �FA für m < k. �FA zerlegt mittels ˜P RSA-Moduln N = p · q mit p − 1 = 2 m mod 2 m+1 , 2 m+1 ∤ q − 1. Es bezeichne RSAm die Menge dieser RSA- Moduln. REMARK 3.1.6. Beachte: (1) Jeder RSA-Modul N ist in genau einer Menge RSAm – gegebenenfalls nach Vertauschung von p und q. (2) RSA 1 besteht aus den RSA-Moduln N = p · q mit p ≡ 3 mod 4, q ≡ 3 mod 4. Diese N heissen Blum-Zahlen. LEMMA 3.1.7. Für die N ∈ RSAm gilt a) � ∗2m N = �∗2m+1 N , b) −1 �∈ � ∗2m N , c) x ↦→ x 2 permutiert Z ∗2m N . �FA arbeitet mit einem verfälschten geheimen Schlüssel ˜s. Für N ∈ RSAm wird die Zuordnung s ↦→ v abgeändert zu 2 ¯m 2 ¯m v := ( ˜s 1 ,..., ˜s t ) fuer ein ¯m, m ≤ ¯m ≤ k. Für zufällige ˜s ∈ (� ∗ N )t ist v nach Lemma 3.1.7 zufällig in (� ∗2m N )t = (�∗2k N )t und ist somit korrekt verteilt. Den Wert ¯m wählt man so, dass k + m ≥ ¯m + l + 1, diese Ungleichung gilt stets für m = ¯m.
Der Zerlegungsalgorithmus �FA für N ∈ RSAm. (1) Wähle ˜s ∈R (�∗ N )t , v := ( ˜s 2 ¯m ¯m 1 ,..., ˜s2 t ). (2) Wende Alg. AL von Satz 3.1.1 an auf v. Setze Y := Y /Y ′ , X := ∏ t i=1 ˜s(e i−e′ i )/2l . 3.1. ONG-SCHNORR IDENTIFIKATION 49 i Dann gilt Y 2k = X 2 ¯m+l und X ist linear in einem ˜s ν. 2k+ ¯m−l+m−1 (3) Z := Y /X 2m−1. Es gilt Z2 ¯m+l−m+1 = 1. Wegen k + m ≥ ¯m + l + 1 ist Z einfach zu berechnen. Ausserdem nimmt Z( ˜s) mod p in Abhängigkeit von ˜s ν zwei Werte zufällig an. Die restlichen Schritte in �FA sind wie bei FA. Für die kleinste Zahl i mit Z2i = 1 tritt einer der drei Fälle auf: (1) i ≤ 1, Z 2 = 1. Dann gilt mit Ws ˜s ≥ 1 2 (2) i ≥ 2, Z2i−1 �= −1. Dann gilt ggT(Z ± 1,N) = {p,q}. ggT(Z 2i−1 ± 1,N) = {p,q}. (3) i ≥ 2, Z2i−1 = −1. Nach Lemma 3.1.7 gilt i ≥ m. Wiederhole die Schritte 1-3 mit unabhängigen ˜s ∈R (�∗ N )t . Tritt ein Wert i, 2 ≤ i ≤ m, doppelt auf, so gilt für die zugehörigen Werte Z,Z ′ : Z 2i−1 = −1, Z ′2i−1 = −1, (ZZ ′ ) 2i = 1. �FA ersetzt in der Liste der Paare (Z,i) zu Fall 3 das Paar (Z ′ ,i) durch (ZZ ′ ,i ′ ) mit dem kleinsten i ′ < i, so dass (ZZ ′ ) 2i′ = 1. Die Ersetzung wird fortgesetzt, wenn es schon ein (Z ′′ ,i ′ ) gibt, usw. Fakt: Jeder Durchlauf der Schritte 1-3 liefert – nach sukzessiver Erniedrigung von i – ein neues i in der Liste der Paare (Z,i) von Fall 3. Nach ≤ m Durchläufen von Fall 3 wird i = 1 und damit Fall 1 erreicht. Somit wird N nach ≤ m Durchläufen der Schritte 1-3 mit Ws ≥ 1 2 zerlegt. Die Ws. bezieht sich auf die zufälligen ˜s, welche in das Z mit Z2 = 1 eingehen. Somit ist Folgendes gezeigt: PROPOSITION 3.1.8. Der Algorithmus �FA zerlegt N ∈ RSAm mittels ˜P in mittlerer Laufzeit O(m| ˜P|/ε), sofern ˜P für zufällige v ∈ R (� ∗2m N )t Erfolgsw. ε ≥ 2 −kt+1 hat. Der Algorithmus �FA lehnt sich an den Beweis von [Shoup1999] an. Von dort ist die Idee des verfälschten Schlüssels ˜s. Shoup betrachtet nur Blum-Zahlen, d.h. den Fall m = 1. In diesem Fall ist Alg. �FA besonders einfach. Wegen i ≤ m = 1 treten die Fälle 2 und 3 nicht auf. Shoup beweist Satz 3.1.8 für aktive Angreifer anstelle des passiven ˜P. Hierzu muss �FA das Protokoll (P, ˜V A ) OS mittels ˜s in zeroknowledge simulieren. In dieser Simulation errät �FA von der Frage e des Prüfers ˜V A den Anteil e mod 2 k− ¯m . Dies ist notwendig, weil �FA nur den approximativen Schlüssel ˜s an. Wird e mod 2 k− ¯m falsch geraten, so wird die Runde mit reset wiederholt. Dies führt zu einem Verzögerungsfaktor 2 (k− ¯m)t .
Seite 1 und 2: Vorlesungen „Kryptographie I und
Seite 3 und 4: Inhaltsverzeichnis Teil 1. Kryptogr
Seite 5: Teil 1 Kryptographie I
Seite 8 und 9: 8 1. DISKRETER LOGARITHMUS UND PROT
Seite 10 und 11: 10 1. DISKRETER LOGARITHMUS UND PRO
Seite 22 und 23: 22 2. DISKRETE LOGARITHMUS IDENTIFI
Seite 43 und 44: KAPITEL 3 Faktorisierungsproblem, P
Seite 45 und 46: 3.1. ONG-SCHNORR IDENTIFIKATION 45
Seite 47: 3.1. ONG-SCHNORR IDENTIFIKATION 47
Seite 51 und 52: KAPITEL 4 Sicherheit im Generischen
Seite 53 und 54: 4.2. DEFINITION GENERISCHER ALGORIT
Seite 55 und 56: 4.3. DAS DL-PROBLEM 55 Triviale Kol
Seite 57 und 58: 4.6. SEMANTISCHE SICHERHEIT DER ELG
Seite 59 und 60: 4.7. SICHERHEIT DER DL-IDENTIFIKATI
Seite 61 und 62: 4.9. SIGNIERTE ELGAMAL VERSCHLÜSSE
Seite 63 und 64: 4.9. SIGNIERTE ELGAMAL VERSCHLÜSSE
Seite 65: 4.10. ALLGEMEINE ELGAMAL VERSCHLÜS
Seite 69 und 70: KAPITEL 5 Identifikation, On-the-fl
Seite 71 und 72: 1 A 0 � ˜y − y� 1 � BS/A 0
Seite 73 und 74: 5.5. GPS-SIGNATUREN, ON-THE-FLY-SIG
Seite 75: 5.5. GPS-SIGNATUREN, ON-THE-FLY-SIG
Seite 78 und 79: 78 6. FAIRER SCHLÜSSELTAUSCH Versc
Seite 80 und 81: 80 6. FAIRER SCHLÜSSELTAUSCH Für
Seite 82 und 83: 82 6. FAIRER SCHLÜSSELTAUSCH Setze
Seite 84 und 85: 84 6. FAIRER SCHLÜSSELTAUSCH BEWEI
Seite 87 und 88: KAPITEL 7 Bit-Hinterlegung und perf
Seite 89 und 90: Es gilt 7.2. BIT HINTERLEGUNG (BIT
Seite 91 und 92: 7.4. DER x 2 mod N-GENERATOR UND QU
Seite 93 und 94: 7.4. DER x 2 mod N-GENERATOR UND QU
Seite 95 und 96: Es gilt 7.4. DER x 2 mod N-GENERATO
Seite 97 und 98: 7.5. VERIFIABLE SECRET SHARING NACH
Seite 99 und 100:
7.6. RECHNEN MIT VERTEILTEN DATEN 9
Seite 101 und 102:
7.8. ALLGMEINES VERTEILTES RECHNEN
Seite 103 und 104:
7.8. ALLGMEINES VERTEILTES RECHNEN
Seite 105 und 106:
mit 7.9. PSEUDO RANDOM FUNKTIONEN N
Seite 107:
KAPITEL 8 Pseudozufallsgeneratoren
Seite 111 und 112:
(2 s ,2 t )-schwer, 11 (k,n) Thresh
Seite 113 und 114:
Literaturverzeichnis [Beutelspacher
Alle anzeigen

Vorlesungen „Kryptographie I und II” Bei Prof. Dr ... - Schnorr, C.P.

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?