Elementare Zahlentheorie und Kryptographie

Weitere Magazine

Empfehlungen

Info

c) Man nimmt an, daß es keine Möglichkeit gibt, zu vorgegebenen Nachrichten m eine gültige Unterschrift von X zu erzeugen, ohne diskrete Logarithmen zu lösen. d) Gibt es ein Verfahren, um ein Paar (m, S) zu erzeugen, wobei S eine gültige Unterschrift zu m ist? (Wir verlangen nicht, daß m dabei beeinflußt werden kann.) Mit anderen Worten: Kann man irgendeinen “Zufallstext” (Kauderwelsch) m und eine gültige Unterschrift von X zu m finden 13 ? Wir nehmen die Antwort vorweg: Es wäre möglich, wenn die Hashfunktion unsicher wäre. Oskar wählt u, v mit [v] ∈ (Z/l) × . Er setzt γ := g u EX v , s := −[v] −1 h ′ (γ), S := (γ, s) und fragt sich, zu welchen Kontrollwerten h(m) diese Signatur passen würde. Es gilt γ s E h′ (γ) X = g [u][v]−1 h ′ (γ) . Sei m ′ = [u][v] −1 h ′ (γ). Wenn es gelingt ein m ∈ {0, 1} ∗ zu finden mit h(m) = m ′ (aber das ist bei sicheren Hashfunktionen praktisch nicht möglich), dann ist S eine gültige Unterschrift von X zu m. e) Nimm an, X hat beim Unterschreiben zweier Nachrichten m 1 ≠ m 2 den selben Zufallswert k ≥ 2 verwendet, obwohl das ausdrücklich verboten ist. Die Unterschriften sind dann von der Form S X (m 2 ) = (γ, s 1 ) und S X (m 2 ) = (γ, s 2 ) mit γ = g k und s i = [k] −1 ([h(m i )] − [d X h ′ (γ)]). Entscheidend ist, daß γ nun nicht von i abhängt. Dann gilt s 1 − s 2 = [k] −1 [h(m 1 ) − h(m 2 )] und daraus folgt 14 [k] = (s 1 − s 2 ) −1 [h(m 1 ) − h(m 2 )]. In Kenntnis von m, γ, s 1 , s 2 kann Oskar also [k] finden. (Er kennt dann alle Größen, die auf der rechten Seite vorkommen.) Wenn er [k] einmal hat, dann kann er den geheimen Exponenten [d X ] von X mit der Methode aus b) berechnen. Wer d X hat, der kann zu beliebigen Nachrichten m Unterschriften von X erzeugen. f) Natürlich bietet sich auch hier die Möglichkeit eines Man-in-the-Middle- Angriffs. Wenn es Oskar gelingt, Alice davon zu überzeugen, sein öffentlicher Schlüssel E O wäre der öffentliche Schlüssel von Xaver. Dann kann Oskar Signaturen zu beliebigen Nachrichten erzeugen, die für Alice so aussehen, als kämen sie von Bob. Abwehr von Man-in-the-Middle-Angriffen durch Trustcenter: Um die Man-in-the-Middle-Angriffe in den Abschnitten 5.2.-5.5. (MIM-Angriff auf ElGamal-Verschlüsselung, ElGamal-Signatur oder auf Diffie-Hellman) abzuwehern, muß jeder User X den öffentlichen Schlüssel von jedem anderen User auf Echtheit überprüfen können. Hierzu werden Trustcenter verwendet. 13 Es fragt sich natürlich, ob das schlimm wäre; ein Angreifer wird in aller Regel Unterschriften zu von ihm gewählten Nachrichten erzeugen wollen 14 In aller Regel wird s 1 ≠ s 2 gelten. 81
Sei T (Trustcenter) ein User, dessen Integrität außer Frage steht. Es wird verlangt, daß sich jeder User anfangs bei dem Trustcenter persönlich anmeldet. User X erzeugt seine Schlüssel d X , E X = g d X und legt bei der Anmeldung den öffentlichen Teil E X (oder wenigstens einen Fingerprint von E X ) dem Trustcenter vor. Den privaten Teil d X sollte User X geheim halten, d.h. nicht einmal das Trustcenter sollte d X erfahren 15 . Er bekommt bei der Anmeldung den öffentlichen Schlüssel E T des Trustcenters. Nun hat T Gewißheit über die Echtheit der öffentlichen Schlüssel aller User und jeder User hat wenigstens Gewißheit über den öffentlichen Schlüssel des Trustcenters. Jeder User X kann nun den öffentlichen Schlüssel E Y von einem anderen User Y anfragen. Das Trustcenter schickt dann E Y unterschrieben 16 an X. Das Trustcenter kann weitere Benutzer T 1 , · · · , T s (vielleicht Filialen in verschiedenen Ländern, oder Benutzer, die schon lange dabei sind und sich immer integer und kryptologisch klug verhalten haben) authorisieren, Neuanmeldungen durchzuführen. Ein neuer User N kann sich dann bei T i anmelden, T i schickt E N unterschrieben an T und T nimmt den Eintrag in der Schlüsseldatei vor. In einem solchen Fall wird von einem Web of Trust gesprochen. Gängige Trustcenter sind VeriTrust 17 , QuoVadis, Cybertrust ect. 15 Manche Trustcenter verlangen/empfehlen die Hinterlegung der geheimen Schlüsselteile, für den Fall, daß ein User sein d X aus Versehen löscht. Man sollte wissen, daß ein solches Trustcenter alles mitlesen kann und auch die Unterschrift von jedem seiner User fälschen kann... 16 Die Unterschrift von T kann X bereits verifizieren, weil X seit der Anmeldung Gewißheit über E T hat. 17 VeriTrust ist der Marktführer. Der Wert dieser Firma wird auf über eine Mrd. US-Dollar geschätzt. 82
Seite 1 und 2:
Elementare Zahlentheorie und Krypto
Seite 3 und 4:
ithmische Zahlentheorie” abgedeck
Seite 5 und 6:
3.2 Der Miller-Rabin-Primzahltest .
Seite 7 und 8:
Beispiele: Das klassische Beispiel
Seite 9 und 10:
X = x 1 · · · x N der Länge N w
Seite 11 und 12:
Bevor wir zur Kryptoanalyse der Vig
Seite 13 und 14:
1.4 Permutationen und monoalphabeti
Seite 15 und 16:
War II” genannt, weil er bei der
Seite 17 und 18:
hat auf beiden Seiten 26 Anschlüss
Seite 19 und 20:
Schlüsselbucheinträge für die En
Seite 21 und 22:
Mit insgesamt 77 Bit ist der Schlü
Seite 23 und 24:
1.6 Kryptoanalyse der Enigma Wie ge
Seite 25 und 26:
Aus dem Übergangsgraphen lassen si
Seite 27 und 28:
Elementen 0, 1 ∈ R derart, dass f
Seite 29 und 30:
von a und b genannt, wenn g ein gr
Seite 31 und 32: Satz 2.2.2 (Z, | |) ist ein euklidi
Seite 33 und 34: Beispiel: Wir wollen ggT(51, 33), a
Seite 35 und 36: p die einzigen nicht-negativen Teil
Seite 37 und 38: Arbeiten mit Kongruenzen ist es rec
Seite 39 und 40: Sei wieder (G, +) eine abelsche Gru
Seite 41 und 42: 1. Genau dann ist [x] eine Einheit
Seite 43 und 44: ist die Menge der Nicht-Einheiten v
Seite 45 und 46: nach 2.6.1, Teil 1. Algorithmus 2.6
Seite 47 und 48: Beweis: Weil a zu N teilerfremd ist
Seite 49 und 50: werden. Dann benutzt man die Formel
Seite 51 und 52: [a m20 ] ≠ [1] muß t ≥ 1 gelte
Seite 53 und 54: von der Länge ca. 1024 Bit (d.h. c
Seite 55 und 56: Es wird vermutet, daß es keinen Po
Seite 57 und 58: Beweis. Sei wieder x := 1 2 (p + q)
Seite 59 und 60: Kapitel 4 Diskreter Logarithmus 4.1
Seite 61 und 62: Beweis: Sei n := ord(x). Offenbar g
Seite 63 und 64: für alle x, y ∈ G. Man beachte:
Seite 65 und 66: Bemerkung 4.1.8 Sei G eine endliche
Seite 67 und 68: d.h. mit x j = f j (x 0 ), wobei f
Seite 69 und 70: ereitgestellt. Dies ist wesentlich
Seite 71 und 72: Kapitel 5 Public-Key-Verfahren, die
Seite 73 und 74: Satz 5.1.2 (Primzahlen in arithmeti
Seite 75 und 76: Der Nachrichtenraum des Verfahrens
Seite 77 und 78: Beispiel: Betrachten wir die Usergr
Seite 79 und 80: a) Ein Angreifer Oskar möchte auch
Seite 81: Erzeugung der ElGamal-Signatur: Um
Seite 85 und 86: ( Für zwei Zahlen a, b ∈ Z mit a
Seite 87 und 88: 3. Für b, c ∈ N ungerade und u
Seite 89 und 90: ) /* Ende while if(a=0, s:=0); Ausg
Seite 91 und 92: Algorithmus 6.2.6 (Algorithmus für
Seite 93 und 94: Wir erinnern an die Hauptergebnisse
Seite 95 und 96: Daraus 2 folgt, daß (∗) keine L
Seite 97 und 98: schickt. Oskar überlegt sich, was
Alle anzeigen

Elementare Zahlentheorie und Kryptographie

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?