Elementare Zahlentheorie und Kryptographie
Elementare Zahlentheorie und Kryptographie
Elementare Zahlentheorie und Kryptographie
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
a) Ein Angreifer Oskar möchte auch in den Besitz von k X,Y kommen. Er<br />
kennt E X = g d X<br />
<strong>und</strong> E Y = g d Y<br />
; aber er kennt weder d X noch d Y . Das<br />
Berechnen von k X,Y ist also genauso schwer wie das im vorigen Abschnitt<br />
genannte Diffie-Hellman-Problem.<br />
Natürlich gilt k X,Y = E Log g (E Y )<br />
X<br />
= E Log g (E X )<br />
Y<br />
, aber Oskar kann von diesen<br />
Formeln nicht profitieren, weil die diskreten Logarithmen in der Einweggruppe<br />
(G, g) praktisch nicht berechenbar sind.<br />
b) Diffie-Hellman ist nicht sicher gegen Man-in-the-Middle-Angriffe. Nimm<br />
an, es gelingt Oskar Bob vorzutäuschen, sein öffentlicher Schlüssel E O =<br />
g d O<br />
O<br />
wäre der öffentliche Schlüssel von Alice. (Dies könnte Oskar vielleicht<br />
durch eine Fake-Homepage gelingen.) Sei k = g d B,d O<br />
. Bob wird nun denken,<br />
er würde das Geheimnis k mit Alice teilen. In der Tat teilt er das<br />
Geheimnis k aber mit Oskar. Nimm an, Oskar kann alles abhören. Wenn<br />
Bob nun z.B. aus k einen AES-Schlüssel k ′ ableitet <strong>und</strong> vertrauliche Daten<br />
mit k ′ verschlüsselt an Alice schickt, dann kann Oskar (aber nicht Alice)<br />
diese Daten entschlüsseln.<br />
Zur Abwehr braucht man elektronische Unterschriften <strong>und</strong> Trustcenter.<br />
Oft wird Diffie-Hellman in einer Situation angewendet, in der nur zwei User (A<br />
<strong>und</strong> B) vorhanden sind. Es könnte wie folgt vorgegangen werden.<br />
Man einigt sich (unverschlüsselt) auf eine Einweggruppe (G, g); vielleicht erzeugt<br />
einer der beiden User (G, g) mit 5.1.1 <strong>und</strong> schlägt diese Gruppe vor.<br />
A wählt d A ≥ 2 <strong>und</strong> schickt E A := g d A<br />
an B.<br />
B wählt d B ≥ 2 <strong>und</strong> schickt E B := g d B<br />
an A.<br />
Sie teilen dann das Geheimnis k = E d B<br />
A<br />
= E d A<br />
B<br />
.<br />
5.5 Signatur mit ElGamal<br />
Wir schildern ein Verfahren für elektronische Unterschriften, das auf Einweggruppen<br />
beruht. User X soll zu jeder Nachricht aus dem Nachrichtenraum 11<br />
P = {0, 1} ∗ (die Menge der Bitvektoren beliebiger, endlicher Länge) eine Unterschrift<br />
S X (m) erzeugen können, die als “Appendix” an die Nachricht angefügt<br />
wird.<br />
a) S X (m) muß von User X <strong>und</strong> von der Nachricht abhängen 12 . Sonst könnte<br />
jeder, der einmal ein von X unterschriebenes Dokument gesehen hat, die<br />
Unterschrift mit Copy-and-Paste auf jedes andere Dokument kopieren.<br />
b) User X muß S X (m) schnell aus m berechnen können.<br />
11 Man kann das Verfahren leicht so modifizieren, daß es auf Texte über ASCII angewendet<br />
werden kann.<br />
12 Eine Unterschrift von Hand hängt nur vom Signierer ab.<br />
78