Elementare Zahlentheorie und Kryptographie

Weitere Magazine

Empfehlungen

Info

N := l + l · random(B − b). (Dann ist N eine ≈ B-Bit-Zufallszahl, die N = 1 mod l erfüllt.) p := stepnextprime(N, l). (Dann ist p eine ≈ B-Bit-Zufallszahl, die p = 1 mod l erfüllt.) repeat z := random, g := z p−1 l until g ≠ [1]. (Dann ist g ein Element der Ordnung l in F × p . Ausgabe: (p, l, g). 5.2 Das Massey-Omura-Verschlüsselungsverfahren Dieses Verschlüsselungsverfahren erinnert an das folgende Gedankenexperiment: 3 Man stelle sich ein Land vor, in dem keine vertrauenswürdigen Boten zur Verfügung stehen. Wie kann ich vertrauliche Informationen von einer Dienststelle A zu einer Dienststelle B bringen, ohne vorher Schlüssel für ein Private-Key-Verfahren 4 vereinbart zu haben? Dienststelle A packt die vertraulichen Unterlagen in eine einbruchsichere Kiste, schießt diese mit einem Vorhängeschloß ab und schickt diese zu B. Der Schlüssel verbleibt bei A. Dienststelle B kann die Kiste dann natürlich nicht öffnen. Sie verschließen die Kiste stattdessen mit einem zweiten Vorhängeschloß und schicken die doppelt verschlossene Kiste zurück zu A. Der Schlüssel für das zweite Schloß verbleibt bei B. Dienstelle A wird nun ihr Schloß entfernen und die nur noch einfach verschlossene Kiste ein drittes Mal zu B schicken. Dienstelle B kann die Kiste nun öffnen und die Unterlagen entnehmen. Der Bote hat aber nie die Kiste in unverschlossenem Zustand bei sich gehabt. Sei im folgenden (G, g) eine Einweggruppe 5 . Ein Paar (G, g) kann mit Algorithmus 5.1.1 erzeugt werden. Wir fordern aus Bequemlichkeit, daß G zyklisch sein soll. Die Gruppe G sei öffentlich bekannt. Sei U eine Menge von Usern (evtl. nur zwei). Jeder User X wählt nun eine Zahl e X ∈ {2, · · · , |G|−1}, die teilerfremd zu |G| ist. Er berechnet d X ∈ {2, · · · , |G|− 1} mit e X d X = 1 mod |G|. User X hält sowohl e X als auch d X geheim. Satz 5.2.1 Für m ∈ G gilt m e X d X = m. Beweis: Wegen e X d X = 1 mod |G| gibt es ein k mit e X d X = 1 + k|G|. Es folgt m e X d X = m 1+k|G| = m(m |G| ) k = m. Wir haben verwendet, daß m |G| = 1 nach dem Satz von Fermat gilt. □ 3 Die Geschichte soll auf Diffie zurückgehen. 4 etwa Vernam 5 Für diese spezielle Anwendung braucht das Element g nicht einmal explizit bekannt sein. 73
Der Nachrichtenraum des Verfahrens ist G. Durch das folgende Massey-Omura- Protokoll kann eine Nachricht m ∈ G von User Alice (A) zu User Bob (B) übertragen werden. a) A berechnet c 1 := m e A und schickt c 1 zu B. (Niemand kann in diesem Stadium aus c 1 alleine nennenswerte Rückschlüsse auf die Nachricht ziehen. In der Tat wird zumindest für jeden der ϕ(|G|) Erzeuger ˜m von G ein e mit ˜m e = c 1 existieren. Auch Bob kann aus c 1 die Nachricht nicht rekonstruieren.) b) B berechnet c 2 = c e B 1 und schickt c 2 zurück an A. (Dann wird c 2 = m e Ae B gelten.) c) A berechnet c 3 = c d A 2 und schickt c 3 zu Bob. (Dann gilt c 3 = m e Ae B d A = (m e Ad A ) e B = m e B nach dem obigen Satz.) d) B kann nun c d B 3 berechnen. Aber es gilt c d B 3 = m e Bd B = m nach obigem Satz. Bob kennt nun die Nachricht m. , Wir diskutieren die Sicherheit dieses Verfahrens 6 . Wir sagen es gleich hier: Das Verfahren von El Gamal, das im nächsten Abschnitt besprochen wird, scheint uns wesentlich besser zu sein als Massey-Omura. a) Ein Angreifer, der den ganzen Dialog abgehört hat, kennt c 1 = m e A , c 2 = m e Ae B = c e B 1 und c 2 = m e B . Es gilt die Formel e B = Log G,c1 (c 2 ). Wenn der Angreifer es schafft, diesen diskreten Logarithmus zu berechnen, d.h.. e B zu bestimmen, so wird er mühelos auch an d B und an die Nachricht m = c e B 3 kommen. Die Berechnung des diskreten Logarithmus wird aber aus Laufzeitgründen unmöglich sein. Eine Bemerkung scheint mir allerdings angebracht: Um das Massey-Omura- System zu brechen würde es genügen, einen Logarithmus zur Basis c 1 (und nicht zur Basis g) zu berechnen. Wenn ord(c 1 ) ein Produkt von kleinen Primfaktoren ist 7 , dann könnte der Algorithmus von Silver-Pohlig- Hellman einen Hebel zur Berechnung von e B = Log c1 (c 2 ) bieten. Wenn dafür gesorgt wurde, daß |G| einen großen Primteiler l hat (etwa l im 300-Bit-Bereich), dann ist die Wahrscheinlichkeit dafür, daß ord(c 1 ) nicht durch l teilbar ist, nur ≈ 1/l ≈ 2 −300 . Bei dem ElGamal-Verfahren, das im nächsten Abschnitt dargestellt wird, hängt die Sicherheit definitiv von einem Logarithmus Log g (−) zur Basis g ab, der schwer zu berechnen ist. Ich sehe das als einen Vorteil von ElGamal. b) Das Massey-Omura-Verfahren bietet keinerlei Sicherheit gegen Man-inthe-Middle-Angriffe: Nimm an, daß sich Oskar vor Alice als Bob ausgeben kann und alles abhören kann. Er könnte sich dann z.B. nach Ablauf 6 An dieser Stelle wurde die Darstellung der Vorlesung gegenüber ein wenig verbessert. 7 Das ist sehr selten der Fall! 74
Seite 1 und 2:
Elementare Zahlentheorie und Krypto
Seite 3 und 4:
ithmische Zahlentheorie” abgedeck
Seite 5 und 6:
3.2 Der Miller-Rabin-Primzahltest .
Seite 7 und 8:
Beispiele: Das klassische Beispiel
Seite 9 und 10:
X = x 1 · · · x N der Länge N w
Seite 11 und 12:
Bevor wir zur Kryptoanalyse der Vig
Seite 13 und 14:
1.4 Permutationen und monoalphabeti
Seite 15 und 16:
War II” genannt, weil er bei der
Seite 17 und 18:
hat auf beiden Seiten 26 Anschlüss
Seite 19 und 20:
Schlüsselbucheinträge für die En
Seite 21 und 22:
Mit insgesamt 77 Bit ist der Schlü
Seite 23 und 24: 1.6 Kryptoanalyse der Enigma Wie ge
Seite 25 und 26: Aus dem Übergangsgraphen lassen si
Seite 27 und 28: Elementen 0, 1 ∈ R derart, dass f
Seite 29 und 30: von a und b genannt, wenn g ein gr
Seite 31 und 32: Satz 2.2.2 (Z, | |) ist ein euklidi
Seite 33 und 34: Beispiel: Wir wollen ggT(51, 33), a
Seite 35 und 36: p die einzigen nicht-negativen Teil
Seite 37 und 38: Arbeiten mit Kongruenzen ist es rec
Seite 39 und 40: Sei wieder (G, +) eine abelsche Gru
Seite 41 und 42: 1. Genau dann ist [x] eine Einheit
Seite 43 und 44: ist die Menge der Nicht-Einheiten v
Seite 45 und 46: nach 2.6.1, Teil 1. Algorithmus 2.6
Seite 47 und 48: Beweis: Weil a zu N teilerfremd ist
Seite 49 und 50: werden. Dann benutzt man die Formel
Seite 51 und 52: [a m20 ] ≠ [1] muß t ≥ 1 gelte
Seite 53 und 54: von der Länge ca. 1024 Bit (d.h. c
Seite 55 und 56: Es wird vermutet, daß es keinen Po
Seite 57 und 58: Beweis. Sei wieder x := 1 2 (p + q)
Seite 59 und 60: Kapitel 4 Diskreter Logarithmus 4.1
Seite 61 und 62: Beweis: Sei n := ord(x). Offenbar g
Seite 63 und 64: für alle x, y ∈ G. Man beachte:
Seite 65 und 66: Bemerkung 4.1.8 Sei G eine endliche
Seite 67 und 68: d.h. mit x j = f j (x 0 ), wobei f
Seite 69 und 70: ereitgestellt. Dies ist wesentlich
Seite 71 und 72: Kapitel 5 Public-Key-Verfahren, die
Seite 73: Satz 5.1.2 (Primzahlen in arithmeti
Seite 77 und 78: Beispiel: Betrachten wir die Usergr
Seite 79 und 80: a) Ein Angreifer Oskar möchte auch
Seite 81 und 82: Erzeugung der ElGamal-Signatur: Um
Seite 83 und 84: Sei T (Trustcenter) ein User, desse
Seite 85 und 86: ( Für zwei Zahlen a, b ∈ Z mit a
Seite 87 und 88: 3. Für b, c ∈ N ungerade und u
Seite 89 und 90: ) /* Ende while if(a=0, s:=0); Ausg
Seite 91 und 92: Algorithmus 6.2.6 (Algorithmus für
Seite 93 und 94: Wir erinnern an die Hauptergebnisse
Seite 95 und 96: Daraus 2 folgt, daß (∗) keine L
Seite 97 und 98: schickt. Oskar überlegt sich, was
Alle anzeigen

Elementare Zahlentheorie und Kryptographie

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?