Elementare Zahlentheorie und Kryptographie

Weitere Magazine

Empfehlungen

Info

c) Für jeden anderen muß es praktisch unmöglich sein, zu einer gegebenen Nachrischt eine gültige Unterschrift von X zu erzeugen. d) Jedermann (nicht nur der Empfänger) soll in der Lage sein, für ein Paar (m, S) zu entscheiden, ob S eine zu m passende Signatur von X ist oder nicht. Der Empfänger soll nach dem Dialog jedem (z.B. einem Gericht) beweisen können, daß X die Nachricht m unterschrieben an ihn geschickt hat. Insbesondere soll das elektronische Unterschreiben von Verträgen ermöglicht werden. Sei (G, g) eine Einweggruppe, l = ord(g) und b = floor(log 2 (l)) die (ungefähre) Bitlänge von l. Ein üblicher Wert könnte (b = 160 oder b = 300 sein.) In der Praxis wird üblicherweise ein Hash-Wert der Nachricht unterschrieben. Das führt dazu, daß die Unterschrift immer die selbe (vielleicht ein paar hundert Bit) Länge hat, selbst wenn die Nachricht sehr groß ist. Sei h : {0, 1} ∗ → {0, · · · , 2 b } eine Hash-Funktion. h ordnet also jedem (evtl. sehr langen) Bitvektor einen Kontrollwert (man sagt auch “Hash” oder “Fingerprint”) h(x) zu, dessen Bitlänge b ist. Wir verlangen, daß h die folgenden Eigenschaften hat. a) h(x) ist aus x schnell berechenbar. b) h ist eine Einweg-Funktion: Es ist praktisch unmöglich zu y ∈ {0, · · · , 2 b } ein x mit h(x) = y zu finden. c) h ist kollisionsresistent: Es ist praktisch unmöglich, zwei Bitvektoren x 1 ≠ x 2 mit h(x 1 ) = h(x 2 ) zu finden. Gängige Hashfunktionen sind MD4, MD5, SHA1, WHIRLPOOL, RIPE-MD. Die Konstruktion von Hashfunktionen ist ein interessantes Thema; wir können aus Zeitgründen nicht näher darauf eingehen. Sei bv : G → {0, 1} ∗ eine leicht berechenbare Injektion. Eine solche Abbildung wird ohnehin gegeben sein, wenn man G auf dem Rechner realisiert: Die Elemente von G werden dann ohnehin intern als Bitvektor gespeichert. Für γ ∈ G sei h ′ (γ) = h(bv(γ)). Wir fassen zusammen: Für einen Bitvektor m ∈ {0, 1} ∗ ist h(x) ein b-Bit-Hash. Für ein Element γ ∈ G der Einweggruppe ist h ′ (x) ein b-Bit-Hash. Die Daten (G, g), l = ord(g), b, h und h ′ sind öffentlich bekannt. Wir gehen wieder von einer Gruppe von Usern aus. Wie in den beiden vorigen Abschnitte wählt jeder User X zufällig ein d X ∈ {2, · · · , ord(g)−1} (nicht zu klein) und berechnet E X := g d X ∈ G. d X bleibt geheim (nur User X kennt d X ) und E X wird öffentlich gemacht. Vgl. das erste Beispiel in Abschnitt 5.3 79
Erzeugung der ElGamal-Signatur: Um die Signatur zu m ∈ {0, 1} ∗ zu erzeugen wählt User X zufällig ein k ≥ 2 und berechnet S X (m) = ( g k , [k] −1 [h(m) − d }{{} X h ′ (g k )]). } {{ } =:γ∈G =:s∈Z/l [x] steht für die Restklasse von x in Z/l. Dabei ist unbedingt für jede Nachricht ein neues k zu verwenden. User X könnte die bereits verwendeten k’s wie Tan-Nummern abstreichen. Satz 5.5.1 Es gilt γ s E h′ (γ) X = g h(m) . Beweis: γ s = g [k][k]−1 ([h(m)]−[d X h ′ (g k ))]) = g h(m) g −d X h ′ (γ) = g h(m) E −h′ (γ) X . □ Man beachte: In die Formel für S X (m) geht der geheime Exponent d X ein. Dies führt dazu, daß nur Xaver S X (m) aus m berechnen kann. Ganz im Gegensatz dazu kann jeder, der γ und s vorgelegt bekommt, die beiden in obigem Satz vorkommenden Werte γ s E h′ (γ) X und g h(m) berechnen. Dazu braucht man nur den öffentlichen Schlüssel E X von User X und die öffentlichen Hashfunktionen h und h ′ zu benutzen. Verifizieren einer ElGamal-Signatur: Der Verifizierer V bekommt (m, S) vorgelegt, wobei S = (γ, s) ∈ G × Z/l. Er soll prüfen, ob S eine gültige Unterschrift von X zu der Nachricht m ist. V berechnet γ s E h′ (γ) X . V berechnet g h(m) Nur wenn diese beiden Werte übereinstimmen akzeptiert V die Unterschrift. Zur Sicherheit: a) Natürlich gilt d X = Log g (E X ). Dieser Logarithmus ist praktisch nicht berechenbar. Wenn es einem Angreifer dennoch gelingt ihn zu berechnen, so kommt er in den Besitz von d X . Wer d X hat, der kann zu beliebigen Nachrichten m Unterschriften von X erzeugen. b) Sei m eine Nachricht und S X (m) = (γ, s) eine Unterschrift von X zu m. Viele Leute können in den Besitz von (m, S X (m)) = (m, γ, s) kommen; zumindest der Empfänger und die potentiellen Verifizierer. Nimm an, Oskar kennt eine gültige, signierte Nachricht (m, γ, s) von X und es gelingt ihm, k = Log g (γ) zu berechnen. Es gilt [k]s = [h(m)]−[d X h ′ (γ)] und somit [d X ] = [h ′ (γ)] −1 ([h(m)] − [k]s). Mit dieser Gleichung kann Oskar [d X ] berechnen. (Er kennt alle Größen der rechten Seite dieser Gleichung.) In Kenntnis von [d X ] kann er nach Belieben Unterschriften von X zu beliebigen Nachrichten erzeugen. Dieser Angriff scheitert üblicherweise, da der diskrete Logarithmus k = Log g (γ) praktisch nicht berechnet werden kann. 80
Seite 1 und 2:
Elementare Zahlentheorie und Krypto
Seite 3 und 4:
ithmische Zahlentheorie” abgedeck
Seite 5 und 6:
3.2 Der Miller-Rabin-Primzahltest .
Seite 7 und 8:
Beispiele: Das klassische Beispiel
Seite 9 und 10:
X = x 1 · · · x N der Länge N w
Seite 11 und 12:
Bevor wir zur Kryptoanalyse der Vig
Seite 13 und 14:
1.4 Permutationen und monoalphabeti
Seite 15 und 16:
War II” genannt, weil er bei der
Seite 17 und 18:
hat auf beiden Seiten 26 Anschlüss
Seite 19 und 20:
Schlüsselbucheinträge für die En
Seite 21 und 22:
Mit insgesamt 77 Bit ist der Schlü
Seite 23 und 24:
1.6 Kryptoanalyse der Enigma Wie ge
Seite 25 und 26:
Aus dem Übergangsgraphen lassen si
Seite 27 und 28:
Elementen 0, 1 ∈ R derart, dass f
Seite 29 und 30: von a und b genannt, wenn g ein gr
Seite 31 und 32: Satz 2.2.2 (Z, | |) ist ein euklidi
Seite 33 und 34: Beispiel: Wir wollen ggT(51, 33), a
Seite 35 und 36: p die einzigen nicht-negativen Teil
Seite 37 und 38: Arbeiten mit Kongruenzen ist es rec
Seite 39 und 40: Sei wieder (G, +) eine abelsche Gru
Seite 41 und 42: 1. Genau dann ist [x] eine Einheit
Seite 43 und 44: ist die Menge der Nicht-Einheiten v
Seite 45 und 46: nach 2.6.1, Teil 1. Algorithmus 2.6
Seite 47 und 48: Beweis: Weil a zu N teilerfremd ist
Seite 49 und 50: werden. Dann benutzt man die Formel
Seite 51 und 52: [a m20 ] ≠ [1] muß t ≥ 1 gelte
Seite 53 und 54: von der Länge ca. 1024 Bit (d.h. c
Seite 55 und 56: Es wird vermutet, daß es keinen Po
Seite 57 und 58: Beweis. Sei wieder x := 1 2 (p + q)
Seite 59 und 60: Kapitel 4 Diskreter Logarithmus 4.1
Seite 61 und 62: Beweis: Sei n := ord(x). Offenbar g
Seite 63 und 64: für alle x, y ∈ G. Man beachte:
Seite 65 und 66: Bemerkung 4.1.8 Sei G eine endliche
Seite 67 und 68: d.h. mit x j = f j (x 0 ), wobei f
Seite 69 und 70: ereitgestellt. Dies ist wesentlich
Seite 71 und 72: Kapitel 5 Public-Key-Verfahren, die
Seite 73 und 74: Satz 5.1.2 (Primzahlen in arithmeti
Seite 75 und 76: Der Nachrichtenraum des Verfahrens
Seite 77 und 78: Beispiel: Betrachten wir die Usergr
Seite 79: a) Ein Angreifer Oskar möchte auch
Seite 83 und 84: Sei T (Trustcenter) ein User, desse
Seite 85 und 86: ( Für zwei Zahlen a, b ∈ Z mit a
Seite 87 und 88: 3. Für b, c ∈ N ungerade und u
Seite 89 und 90: ) /* Ende while if(a=0, s:=0); Ausg
Seite 91 und 92: Algorithmus 6.2.6 (Algorithmus für
Seite 93 und 94: Wir erinnern an die Hauptergebnisse
Seite 95 und 96: Daraus 2 folgt, daß (∗) keine L
Seite 97 und 98: schickt. Oskar überlegt sich, was
Alle anzeigen

Elementare Zahlentheorie und Kryptographie

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?