Elementare Zahlentheorie und Kryptographie

Weitere Magazine

Empfehlungen

Info

von Phase a) einklinken und c ′ 2 := c e O 1 an Alice schicken, bevor Bob antwortet. Wenn Alice davon überzeugt ist, daß die Nachricht c ′ 2 von Bob kommt, dann wird sie c ′ 3 := (c ′ 2) d A = m e Ae O d A = m e O an Bob senden. Oskar hört das ab und berechnet die Nachricht (c ′ 3) d O = m. Man sollte das Massey-Omura-Verfahren also immer mit einem guten Signierungsverfahren kombinieren. 5.3 ElGamal-Verschlüsselung Sei (G, g) eine Einweggruppe 8 . Sei U eine Menge von Usern (evtl. nur zwei). Die Einweggruppe (G, g) sei öffentlich bekannt. Jeder User X wählt zufällig ein d X ∈ {2, · · · , ord(g) − 1} (nicht zu klein) und berechnet E X := g d X ∈ G. d X bleibt geheim (nur User X kennt d X ) und E X wird öffentlich gemacht. Dann gilt d X = Log g (E X ), aber es ist technisch unmöglich den Logarithmus zu ziehen. Somit läßt sich der geheime Schlüssel d X nicht aus dem öffentlichen Schlüssel E X errechnen. Beispiel: Die Gruppe (G, g) und die öffentlichen Schlüssel könnten auf einer gemeinsamen Homepage der Usergroup eingestellt werden. Wir geben ein Beispiel mit (zu) kleinen Zahlen: X E X ALICE [49] BOB [67] OSKAR [12] · · · · · · Der Nachrichtenraum bei dem ElGamal-Verfahren ist G. Durch das folgende Protokoll kann eine Nachricht m ∈ G abhöhrsicher von Alice zu Bob geschickt werden: . □ a) A wählt (gleichverteilt) eine Zufallszahl k ∈ {2, · · · , ord(g) − 1}. Sie berechnet (c 1 , c 2 ) = (g k , mE k B ). b) B erhält (c 1 , c 2 ) und berechnet c −d B 1 c 2 . Dadurch erhält der die Nachricht m zurück, denn c −d B 1 c 2 = g −kd B mE k B = g −kd B mg d Bk = m. 8 Eine solche Gruppe kann mit 5.1.1 erzeugt werden. 75
Beispiel: Betrachten wir die Usergroup in obigem Beispiel. Wenn ich die Nachricht m = [100] an Alice senden möchte, dann entnehme ich g = [5] und E A = [49] der Homepage. Ich wähle k zufällig, z.B. k = 19. Dann berechne ich (c 1 , c 2 ) = (g k , mE k A) = ([5] 19 , [100][49] 19 ) = ([86], [83]) und sende das Paar ([86], [83]) an Alice. Beispiel: Ich möchte obiger Usergroup beitreten. Dazu wähle ich vielleicht d S = 77, berechne E S = g d S = [5] 77 = [43] und trage E S ein: X E X ALICE [49] BOB [67] . OSKAR [12] SEBAST IAN [43] · · · · · · Die Zahl d S = 77 muß ich geheim halten. Nehmen wir an, die erste Nachricht, die bei mir eingeht, ist (c 1 , c 2 ) = ([17], [99]). Dann wollte mir jemand den Klartext m = c −d S 1 c 2 = [17] −77 [99] = [78] mitteilen. □ Wir diskutieren die Sicherheit von ElGamal. a) Nimm an, Oskar hat den Dialog zwischen Alice und Bob mitgehört. Er kennt dann c 1 = g k , c 2 = mE k A = gd Ak und auch E A = g d A . Nimm an, es gelingt Oskar auf irgendeine Art und Weise m zu bestimmen. Dann kommt es leicht auch in den Besitz von g d Ak . Das Brechen von ElGamal ist also genauso schwer wie das Lösen des folgenden Diffie-Hellman-Problems. Diffie-Hellman-Problem: Sei (G, g) eine Einweggruppe. Gegeben A = g a , B = g b (a und b unbekannt) berechne 9 g ab . Offenbar gilt g ab = A Log g (B) = B Log g (A) (*). Das Berechnen der diskreten Logarithmen gilt aber als technisch unmöglich. Es wird vermutet, daß es keinen schnelleren Algorithmus für die Berechnung von g ab gibt, als Log g (B) zu berechnen und die Formel (∗) zu benutzen. Ueli Maurer hat Ergebnisse in Richtung dieser Vermutung bewiesen. b) ElGamal ist nicht sicher gegen einen Man-in-the-Middle-Angriff. Nimm an Oskar kann die Homepage der Usergroup verändern oder einem einzelnen User (sagen wir B) eine Fälschung dieser Homepage unterschieben. Dann wird es Oskar gelingen dem User B vorzutäuschen, sein öffentlicher Schlüssel E O = g d O sei der Schlüssel von A. Bob wird dann Nachrichten an A so verschlüsseln, dass Oskar (aber nicht A) sie entschlüsseln kann. Wenn Oskar alles abhört was Bob schreibt, so kommt er in den Besitz der Nachrichten, die eigentlich für A bestimmt waren. Elektronische Unterschriften und Trustcenter können verhindern, daß einem User ein Fake-Schlüssel untergeschoben wird. 9 g a+b = AB ist leicht zu berechnen, aber das hilft nichts für die Berechnung von g ab . 76
Seite 1 und 2:
Elementare Zahlentheorie und Krypto
Seite 3 und 4:
ithmische Zahlentheorie” abgedeck
Seite 5 und 6:
3.2 Der Miller-Rabin-Primzahltest .
Seite 7 und 8:
Beispiele: Das klassische Beispiel
Seite 9 und 10:
X = x 1 · · · x N der Länge N w
Seite 11 und 12:
Bevor wir zur Kryptoanalyse der Vig
Seite 13 und 14:
1.4 Permutationen und monoalphabeti
Seite 15 und 16:
War II” genannt, weil er bei der
Seite 17 und 18:
hat auf beiden Seiten 26 Anschlüss
Seite 19 und 20:
Schlüsselbucheinträge für die En
Seite 21 und 22:
Mit insgesamt 77 Bit ist der Schlü
Seite 23 und 24:
1.6 Kryptoanalyse der Enigma Wie ge
Seite 25 und 26: Aus dem Übergangsgraphen lassen si
Seite 27 und 28: Elementen 0, 1 ∈ R derart, dass f
Seite 29 und 30: von a und b genannt, wenn g ein gr
Seite 31 und 32: Satz 2.2.2 (Z, | |) ist ein euklidi
Seite 33 und 34: Beispiel: Wir wollen ggT(51, 33), a
Seite 35 und 36: p die einzigen nicht-negativen Teil
Seite 37 und 38: Arbeiten mit Kongruenzen ist es rec
Seite 39 und 40: Sei wieder (G, +) eine abelsche Gru
Seite 41 und 42: 1. Genau dann ist [x] eine Einheit
Seite 43 und 44: ist die Menge der Nicht-Einheiten v
Seite 45 und 46: nach 2.6.1, Teil 1. Algorithmus 2.6
Seite 47 und 48: Beweis: Weil a zu N teilerfremd ist
Seite 49 und 50: werden. Dann benutzt man die Formel
Seite 51 und 52: [a m20 ] ≠ [1] muß t ≥ 1 gelte
Seite 53 und 54: von der Länge ca. 1024 Bit (d.h. c
Seite 55 und 56: Es wird vermutet, daß es keinen Po
Seite 57 und 58: Beweis. Sei wieder x := 1 2 (p + q)
Seite 59 und 60: Kapitel 4 Diskreter Logarithmus 4.1
Seite 61 und 62: Beweis: Sei n := ord(x). Offenbar g
Seite 63 und 64: für alle x, y ∈ G. Man beachte:
Seite 65 und 66: Bemerkung 4.1.8 Sei G eine endliche
Seite 67 und 68: d.h. mit x j = f j (x 0 ), wobei f
Seite 69 und 70: ereitgestellt. Dies ist wesentlich
Seite 71 und 72: Kapitel 5 Public-Key-Verfahren, die
Seite 73 und 74: Satz 5.1.2 (Primzahlen in arithmeti
Seite 75: Der Nachrichtenraum des Verfahrens
Seite 79 und 80: a) Ein Angreifer Oskar möchte auch
Seite 81 und 82: Erzeugung der ElGamal-Signatur: Um
Seite 83 und 84: Sei T (Trustcenter) ein User, desse
Seite 85 und 86: ( Für zwei Zahlen a, b ∈ Z mit a
Seite 87 und 88: 3. Für b, c ∈ N ungerade und u
Seite 89 und 90: ) /* Ende while if(a=0, s:=0); Ausg
Seite 91 und 92: Algorithmus 6.2.6 (Algorithmus für
Seite 93 und 94: Wir erinnern an die Hauptergebnisse
Seite 95 und 96: Daraus 2 folgt, daß (∗) keine L
Seite 97 und 98: schickt. Oskar überlegt sich, was
Alle anzeigen

Elementare Zahlentheorie und Kryptographie

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?