Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

68 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 67 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 3.4.2 Anforderungen an Pseudozufallsbitfolgengeneratoren Das Folgende steht ausführlicher in [BlBS_86]. Was ist ein Pseudozufallsbitfolgengenerator (PBG)? Ein Pseudozufallsbitfolgengenerator (PBG) tut folgendes: kannte. Dies liegt anschaulich daran, daß W nicht weiß, welche Wurzel außerhalb bekannt ist. Genauer: Das Ergebnis w' von W hängt nur von den Eingaben zu W ab, d.h. (n, x), und evtl. internen Zufallsentscheidungen von W. Heißen also die vier Wurzeln von x etwa ±w' und ±w", so hätte W als Ausgabe w' gehabt, ganz egal ob außen w = ±w' oder w = ±w" gewählt wurde, denn das sieht man x nicht an. Da außen zufällig gewählt wird, treten alle 4 Werte gleichwahrscheinlich als w auf. Mit Wahrscheinlichkeit 1/2 ist also w ≠ ±w', was noch zu zeigen war. 62 Er erzeugt aus einem echt zufällig gewählten kurzen Startwert (seed) eine lange Pseudozufallsbitfolge. Also (siehe Bild 3-17): • Man nimmt an, daß es auch schwer ist, zu testen, ob x ∈ ZZ * n ein Quadrat ist, aber dies konnte man bisher nicht beweisen. Man macht daher eine Quadratische-Reste-Annahme („quadratic residuosity assumption“, ähnlich der Faktorisierungsannahme). Man muß dabei zwei Einschränkungen machen: 1. Es gibt einen schnellen Algorithmus zur Berechnung von Jacobi-Symbolen, auch wenn p und • Es gehört dazu ein Schlüssel- und Startwertgenerieralgorithmus. Er bilde aus dem Sicherheitsparameter l einen Schlüssel n und einen Startwert s der Länge l. (An dieser Stelle würde ein Schlüssel oder ein Startwert genügen. Aber bei späterer Verwendung in asymmetrischen Systemen ist es interessant, daß der Schlüssel n öffentlich sein darf, während der Startwert s immer geheim bleiben muß.) • Der eigentliche Bitfolgengenerieralgorithmus PBG ist ein Algorithmus, der mit dem Schlüssel n aus dem kurzen Startwert s eine (beliebig lange) Bitfolge b0 b1 b2 … erzeugt. Allerdings darf nur ein polynomial (in l) langes Anfangsstück dieser Folge verwendet werden. • PBG ist deterministisch, d.h. aus dem gleichen Startwert und Schlüssel wird jedesmal dieselbe Bitfolge. q nicht bekannt sind (mit dem sog. quadratischen Reziprozitätsgesetz). Dieser wird im folgenden nicht gebraucht. Es bedeutet aber, daß jemand, dem man x mit ( x ) = –1 vorlegt, n sehr wohl bestimmen kann, daß x ∉ QRn. Man beschränkt die Annahme daher auf die x mit ( x ) = +1. n 2. Man kann für zufälliges x mit ( x ) = +1 natürlich schon durch rein zufälliges Raten mit n Wahrscheinlichkeit 1/2 richtig raten, ob x ∈ QRn. Man verlangt daher nur, daß kein polynomialer (Rate-) Algorithmus R es wesentlich besser kann. Sei noch qr das Prädikat, ob etwas ein quadratischer Rest ist, d.h. • PBG ist effizient, also in polynomialer Zeit berechenbar. qr(n, x) := true, falls x ∈ QR n , und qr(n, x) := false sonst. Die Annahme lautet damit • PBG ist sicher, d.h. die Ergebnisse sind durch keinen polynomialen Test von echten Zufallsfolgen unterscheidbar. (Genauer siehe unten.) Annahme: Für jeden (probabilistischen) polynomialen Algorithmus R und jedes Polynom Q gilt: Es existiert ein L, so daß für alle l ≥ L gilt: Wenn p, q als zufällige Primzahlen der Länge l gewählt werden, n := p•q, und x zufällig unter den Restklassen mit Jacobi-Symbol +1, so gilt: echte Zufallszahl l Sicherheitsparameter 1 + Q(l) . W(R (n, x) = qr(n, x)) ≤ 1 2 SchlüsselundStartwertgenerierung • Wählen eines zufälligen Quadrats ist leicht: Man wählt einfach ein beliebiges w ∈ ZZ * n und quadriert es. Da jedes x gleich viele (für Spezialisten: genau 4) Wurzeln hat, wird jedes Quadrat gleichwahrscheinlich gewählt. s n, Schlüssel und Startwert lange Bitfolge b b b ... 0 1 2 PBG Geheimer Bereich Bild 3-17: Pseudozufallsbitfolgengenerator Verwendung als Pseudo-one-time-pad Eine wichtige Anwendung ist, die Pseudozufallsbits statt einem one-time-pad (siehe §3.2) als symmetrisches Konzelationssystem zu verwenden (siehe Bild 3-18): Statt einer echten Zufallsfolge wird eine Pseudozufallsfolge bitweise modulo 2 zum Klartext addiert. Diese Idee stammt von de Vigenère (1523-1596), dem zu Ehren das Pseudo-one-time-pad manchmal Vigenère-Chiffre genannt wird. 62 Ganz formal: Die Annahme, W sei ein „guter“ Wurzelziehalgorithmus, ist gerade der Gegensatz zur Fußnote zu "Wurzelziehen mod n schwer". Es existiert also doch ein Polynom Q, so daß doch für unendlich viele l gilt: Wenn p, q als zufällige Primzahlen der Länge l gewählt werden, n := p•q, und x zufällig aus QRn , so gilt W(W (n, x) ist Wurzel aus x) > 1 . (1) Q(l) Zeigen müssen wir, daß F der Faktorisierungsannahme widerspricht, d.h. daß es ein Polynom R gibt, so daß für unendlich viele l gilt: Wenn p, q als zufällige Primzahlen der Länge l gewählt werden und n := p•q, so gilt W(F (n) = (p; q)) > 1 . (2) R(l) Dies wird für R := 2Q und dieselben l's wie in (1) gezeigt: Sei ein solches l gegeben. Man entnimmt der Beschreibung von F , daß dort x zufällig aus QRn gewählt wird (denn jedes dieser x'e hat genau 4 Wurzeln, kommt also bei 4 der gleichwahrscheinlichen w's vor). Beim Aufruf von W liegen also alle Voraussetzungen von (1) vor, so daß (1) gilt. Nun folgt wie oben im Haupttext, daß in der Hälfte der Fälle w ≡| ± w' und somit F erfolgreich ist. Insgesamt gilt dies also mit Wahrscheinlichkeit 1/(2•Q(l)), wie behauptet. Damit haben wir ganz formal gezeigt: „Wurzelziehen leicht ⇒ Faktorisieren leicht“.
70 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 69 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr • βl,m der durchschnittliche Wert, den T einer von PBG generierten m-Bit-Folge zuordnet, wenn der Sicherheitsparameter l ist (wobei der Durchschnitt über die Schlüssel und Startwerte gebildet wird, die beim Sicherheitsparameter l erzeugt werden). echte Zufallszahl Sicherheitsparameter ll Damit gilt formaler, d.h. bei Umstellung des formalen Parameters m auf beliebiges Polynom Q(l): Schlüsselgen. = Schlüssel- u. Startwertgen. n, s Ein PBG besteht T gdw. Für alle Polynome Q und alle t > 0 gilt: Für alle genügend großen l liegt βl,Q(l) im Intervall αQ(l) ± 1/lt . n,s geheimer Schlüssel = Schlüssel u. Startwert Zu dieser „stärksten“ Forderung sind die folgenden 3 äquivalent (aber leichter beweisbar): Für jede erzeugte endliche Anfangs-Bitfolge, bei der ein beliebiges (das rechte, linke) Bit fehlt, kann jeder polynomial zeitbeschränkte Algorithmus P (Prädiktor) das fehlende Bit „nur raten“ (d.h. nicht besser voraussagen als mit Wahrscheinlichkeit 1/2± 1/lt .). Klartext x Entschlüsselung: Erzeuge b b b ..., 0 1 2 addiere Klartext Verschlüsse- Schlüsseltext lung: Erzeuge x k(x) b b b ..., = x x x ... 0 1 2 0 1 2 addiere = x 0 ⊕ b 0 , x 1 ⊕ b 1 , … Beweisideen (indirekte Beweise): Geheimer Bereich 1. (Einfacher Teil) Jeder Prädiktor ist auch als Test zu verwenden: Man nimmt von der zu testenden Folge alle Bits bis auf eines, gibt sie als Eingabe in den Prädiktor und vergleicht das Ergebnis mit dem richtigen Bit aus der Folge. Das Testergebnis ist 1, wenn der Prädiktor richtig geschätzt hat, und 0 sonst. Der Wert αm ist 1/2, denn bei echten Zufallsfolgen kann jeder Prädiktor nur mit Wahrscheinlichkeit 1/2 richtig schätzen. Wenn der Prädiktor also auf PBG-Folgen wesentlich anders (besser) schätzt, hat der PBG diesen Test nicht bestanden. Bild 3-18: Pseudo-one-time-pad Dabei muß statt des langen one-time-pads nur noch der kurze Schlüssel und Startwert des PBG ausgetauscht werden. Forderung an Pseudo-one-time-pad: Für jeden polynomial beschränkten Angreifer soll das Pseudo-one-time-pad bis auf einen verschwindenden Anteil der Fälle so sicher wie one-time-pad sein. 2. (Schwierigerer Teil) Zu zeigen: Aus jeder der 3 schwächeren Forderungen folgt die „stärkste“. Wir nehmen also an, es gebe irgendeinen Test T, den PBG nicht besteht, und zeigen, daß es dann auch einen Prädiktor gibt, der ein Bit von PBG zu gut voraussagt. Hier wird das für das linke Bit gezeigt. Für ein t > 0, ein Polynom Q und unendlich viele l liegt βl,Q(l) außerhalb, z.B. oberhalb, des Intervalls αQ(l) ± 1/lt . Man wirft nun T eine Bitfolge aus 2 Teilen vor, mit den Längen j + k = Q(l), und zwar ist der linke Teil echt zufällig und der rechte von PBG generiert. Man vergleicht immer zwei benachbarte Typen von Folgen. Die Idee dazu ist, daß wenn kein polynomialer Test (also auch kein polynomialer Angreifer) die Pseudo-one-time-pads und die echten one-time-pads unterscheiden kann, es dann bzgl. polynomialer Angreifer auch keinen Unterschied machen kann, ob man mit einem Pseudo-one-time-pad oder einem echten one-time-pad verschlüsselt. echt zufällig____ Aj+1 = {r1 ... rj rj +1 b1 ... bk } ergibt Testergebnisse näher bei αQ(l) Aj = {r1 ... rj b0 b1 ... bk } ergibt Testergebnisse weiter weg, z.B. höher. von PBG generiert Obiges muß mindestens für ein j gelten, da A0 die PBG-Folgen sind und AQ(l) die echten Zufallsfolgen Daraus konstruiert man einen Prädiktor für die Bitfolge b1 ... bk folgendermaßen: Man wählt sich eine echte Zufallsfolge r1 ... rj dazu und wendet zweimal den Test T an, nämlich T auf {r1 ... rj 0 b1 ... bk }: Nenne das Ergebnis α0 T auf {r1 ... rj 1 b1 ... bk }: Nenne das Ergebnis α1 Rate b0 = 0 mit Wahrscheinlichkeit 1/2 + 1/2 (α0 - α1 ). (Genauer: [BlBS_86 Seite 375f]) 3.4.3 Der s 2 -mod-n-Generator Forderungen an PBG „Stärkste“ Forderung: PBG besteht jeden probabilistischen Test T polynomialer Laufzeit. Dabei heißt „besteht“: Der Test kann Folgen, die der PBG erzeugt, nicht mit signifikanter Wahrscheinlichkeit von echten Zufallsbitfolgen unterscheiden. Ein probabilistischer Test T polynomialer Laufzeit ist ein probabilistischer, polynomial zeitbeschränkter Algorithmus, der jeder Eingabe aus {0, 1} * (also einer endlichen Folge, die er testen soll) eine reelle Zahl aus [0, 1] zuordnet. (Der Wert hängt im allgemeinen von den Zufallsentscheidungen in T ab.) Die Grundidee ist nun, daß nicht jede einzelne Folge betrachtet wird (denn jede einzelne endliche Folge kann ja mit gleicher Wahrscheinlichkeit von einem echten Zufallsgenerator erzeugt werden, d.h. von der Zufälligkeit einer einzelnen Folge zu sprechen, ist für die Kryptographie sinnlos). Statt dessen vergleicht man den Durchschnittswert des Tests für die PBG-Folgen mit dem Durchschnittswert für echte Folgen. Wenn im Mittel bei beiden Sorten von Folgen dasselbe herauskommt, kann der Test nicht helfen, die PBG-Folgen von den echten Zufallsfolgen zu unterscheiden. Sei dazu • αm der durchschnittliche Wert, den T einer echt zufälligen m-Bit-Folge zuordnet (d.h. der Erwartungswert bei Gleichverteilung über alle m-Bit-Folgen überhaupt), und Der s2-mod-n-Generator ist ein bestimmter Pseudozufallsbitfolgengenerator, der mit Quadraten (und der Schwierigkeit des Wurzelziehens bzw. des Entscheidens, ob etwas ein Quadrat ist) arbeitet.
Seite 1 und 2: A. Pfitzmann: Datensicherheit und K
Seite 3 und 4: VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6: X A. Pfitzmann: Datensicherheit und
Seite 7 und 8: 2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10: 6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12: 10 A. Pfitzmann: Datensicherheit un
Seite 39: 66 A. Pfitzmann: Datensicherheit un
Seite 57 und 58: 102 A. Pfitzmann: Datensicherheit u
Seite 91 und 92:
170 A. Pfitzmann: Datensicherheit u
Seite 93 und 94:
Seite 95 und 96:
Seite 97 und 98:
Seite 99 und 100:
Seite 101 und 102:
Seite 103 und 104:
Seite 105 und 106:
Seite 107 und 108:
Seite 109 und 110:
Seite 111 und 112:
Seite 113 und 114:
Seite 115 und 116:
Seite 117 und 118:
Seite 119 und 120:
Seite 121 und 122:
Seite 123 und 124:
Seite 125 und 126:
Seite 127 und 128:
Seite 129 und 130:
Seite 131 und 132:
Seite 133 und 134:
Seite 135 und 136:
Seite 137 und 138:
Seite 139 und 140:
Seite 141 und 142:
Seite 143 und 144:
Seite 145 und 146:
Seite 147 und 148:
Seite 149 und 150:
Seite 151 und 152:
Seite 153 und 154:
Seite 155 und 156:
Seite 157 und 158:
Seite 159 und 160:
Seite 161 und 162:
Seite 163 und 164:
Seite 165 und 166:
Seite 167 und 168:
Seite 169 und 170:
Seite 171 und 172:
Seite 173 und 174:
Seite 175 und 176:
Seite 177 und 178:
Seite 179 und 180:
Seite 181 und 182:
Seite 183 und 184:
Seite 185 und 186:
Seite 187 und 188:
Seite 189 und 190:
Seite 191 und 192:
Seite 193 und 194:
Seite 195 und 196:
Seite 197 und 198:
Seite 199 und 200:
Seite 201 und 202:
Seite 203 und 204:
Seite 205 und 206:
Seite 207 und 208:
Seite 209 und 210:
Seite 211 und 212:
Seite 213 und 214:
Seite 215 und 216:
Seite 217 und 218:
Seite 219 und 220:
Seite 221 und 222:
Seite 223 und 224:
Seite 225 und 226:
Seite 227 und 228:
Seite 229 und 230:
Seite 231 und 232:
A. Pfitzmann: Datensicherheit und K
Seite 233 und 234:
Seite 235 und 236:
Seite 237 und 238:
Seite 239 und 240:
Seite 241 und 242:
Seite 243 und 244:
Seite 245 und 246:
Seite 247 und 248:
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?