Elementare Zahlentheorie und Kryptographie

Weitere Magazine

Empfehlungen

Info

Entschlüsselung: Alice empfängt c ∈ Z/N und berechnet die (bis zu) vier Wurzeln sqrt(c). Sie kann dazu den chinesischen Restsatz verwenden, weil sie p und q kennt. Die Nachricht muß eine dieser bis zu 3 vier Wurzeln sein. Beispiel: Alice hat als öffentlichen Schlüssel N = 77 gewählt 4 . Bob will die Nachricht m = [10] an Alice schicken. Die Verschlüsselung von m ist m 2 = [100] = [23]. Bob schickt also [23] an Alice. □ Beispiel: Alice kennt die Primfaktorzerlegung von 77 = pq; p = 7, q = 11. Sie erhält die Nachricht c = [23]. Um dies zu entschlüsseln muß sie sqrt([23] 77 ) berechnen. Sie kann von vorne herein davon ausgehen, daß X 2 = [23] 77 lösbar ist - das liegt hier in der Natur des Verfahrens. Eine Lösung von X 2 = [23] 7 (= [2] 7 ) über F 7 ist (beachte 7 = 3 mod 4) w 7 := [2] (7+1)/4 7 = [4] 7 . Eine Lösung von X 2 = [23] 11 (= [1] 11 ) über F 11 ist w 11 = [1] 11 (offensichtlich). Alice löst das System u = 4 mod 7 u = 1 mod 11 und findet die Lösung u = 67- Dann löst sie das System v = −4 mod 7 v = 1 mod 11 und findet die Lösung v = 45. Also gilt sqrt([23] 77 ) = {[67] 77 , [−67] 77 , [45] 77 , [−45] 77 } = {[10] 77 , [32] 77 , [45] 77 , [67] 77 }. Welcher dieser vier Werte der Klartext ist, kann sie nicht rekonstruieren. Wir werden unten erläutern, wie man diesen “Mißstand” beheben kann. □ Der entscheidende Vorteil des Rabin-Verfahrens ist, daß man wirklich beweisen kann, daß das Berechnen der Wurzeln aus einem Geheimtext c ∈ (Z/N) × genauso schwer ist, wie das Faktorisieren von N. In Anwendungen benötigt man geeignete Padding-Abbildungen pad : A ∗ → (Z/N) ∗ und repad : (Z/N) ∗ → A ∗ mit repad ◦ pad = Id, wobei A = {0, 1} oder A = ASCII gilt. pad verwandelt einen Bitvektor oder ASCII-Text in einen Vektor von Elementen in Z/N, der dann blockweise mit Rabin verschlüsselt und übertragen werden kann. Nach dem Entschlüsseln entsteht ein Vektor über Z/N, aus dem mit der Routine repad der ursprüngliche Bitvektor oder ASCII- Text gewonnen werden kann. Wer eine nicht randomisierte Padding-Abbildung verwendet, hat keinen Schutz gegen Wörterbuchangriffe der folgenden Form: Nimm an, Oskar kann alles abhören. Er will herausfinden, ob jemand den Text “Ich liebe Dich” an Alice 3 Höchstwahrscheinlich werden es genau vier Wurzeln sein. 4 Dies ist viel zu klein, um sicher zu sein. 95
schickt. Oskar überlegt sich, was er an Alice schicken würde, wenn er “Ich liebe Dich” an sie schreiben wollte. Er wendet pad an und verschlüsselt das mit dem öffentlichen Schlüssel N von A. Dabei kommt er vielleicht auf die Zahl [207892340789024839234893028032189] N . Sobald er unter den Nachrichten an Alice die Zahl [207892340789024839234893028032189] N sieht, weiß er Bescheid ... pad sollte also unbedingt eine randomisierte Abbildung sein, d.h. pad sollte in jeden Block ein paarhundert Zufallsbits einfügen, die dann von repad wieder entfernt werden. Ein offensichtlicher Nachteil des obigen Protokolls ist, daß die Nachricht beim Entschlüsseln nicht eindeutig rekonstruiert wird. Hier kann man sich so behelfen. Die Abbildung pad sorgt dafür, daß jeder Block in pad(T ) = (m 1 , m 2 , · · ·) (für jeden Text T ) eine besondere Struktur bekommt. Z.B. könnte es so eingerichtet werden, daß in der Dualdarstellung des kleinsten Repräsentanten von m i die letzten 32 Bit mit den vorletzten 32 Bit übereinstimmen. Dann kann man aus den (bis zu) vier Wurzeln von c i = m 2 i höchstwahrscheinlich m i leicht rekonstruieren. Es ist klar, daß auch das Rabin-Verfahern unsicher gegen Man-in-the-Middle- Angriffe ist, solange es nicht innerhalb eines Systems mit Signatur und Trustcenter betrieben wird. Kurz gesagt: Bob sollte auch hier eine Möglichkeit haben sich zu vergewissern, daß der Schlüssel N, den er irgendwo aus dem Netz gezogen hat, auch wirklich der öffentliche Schlüssel von Alice ist. 96
Seite 1 und 2:
Elementare Zahlentheorie und Krypto
Seite 3 und 4:
ithmische Zahlentheorie” abgedeck
Seite 5 und 6:
3.2 Der Miller-Rabin-Primzahltest .
Seite 7 und 8:
Beispiele: Das klassische Beispiel
Seite 9 und 10:
X = x 1 · · · x N der Länge N w
Seite 11 und 12:
Bevor wir zur Kryptoanalyse der Vig
Seite 13 und 14:
1.4 Permutationen und monoalphabeti
Seite 15 und 16:
War II” genannt, weil er bei der
Seite 17 und 18:
hat auf beiden Seiten 26 Anschlüss
Seite 19 und 20:
Schlüsselbucheinträge für die En
Seite 21 und 22:
Mit insgesamt 77 Bit ist der Schlü
Seite 23 und 24:
1.6 Kryptoanalyse der Enigma Wie ge
Seite 25 und 26:
Aus dem Übergangsgraphen lassen si
Seite 27 und 28:
Elementen 0, 1 ∈ R derart, dass f
Seite 29 und 30:
von a und b genannt, wenn g ein gr
Seite 31 und 32:
Satz 2.2.2 (Z, | |) ist ein euklidi
Seite 33 und 34:
Beispiel: Wir wollen ggT(51, 33), a
Seite 35 und 36:
p die einzigen nicht-negativen Teil
Seite 37 und 38:
Arbeiten mit Kongruenzen ist es rec
Seite 39 und 40:
Sei wieder (G, +) eine abelsche Gru
Seite 41 und 42:
1. Genau dann ist [x] eine Einheit
Seite 43 und 44:
ist die Menge der Nicht-Einheiten v
Seite 45 und 46: nach 2.6.1, Teil 1. Algorithmus 2.6
Seite 47 und 48: Beweis: Weil a zu N teilerfremd ist
Seite 49 und 50: werden. Dann benutzt man die Formel
Seite 51 und 52: [a m20 ] ≠ [1] muß t ≥ 1 gelte
Seite 53 und 54: von der Länge ca. 1024 Bit (d.h. c
Seite 55 und 56: Es wird vermutet, daß es keinen Po
Seite 57 und 58: Beweis. Sei wieder x := 1 2 (p + q)
Seite 59 und 60: Kapitel 4 Diskreter Logarithmus 4.1
Seite 61 und 62: Beweis: Sei n := ord(x). Offenbar g
Seite 63 und 64: für alle x, y ∈ G. Man beachte:
Seite 65 und 66: Bemerkung 4.1.8 Sei G eine endliche
Seite 67 und 68: d.h. mit x j = f j (x 0 ), wobei f
Seite 69 und 70: ereitgestellt. Dies ist wesentlich
Seite 71 und 72: Kapitel 5 Public-Key-Verfahren, die
Seite 73 und 74: Satz 5.1.2 (Primzahlen in arithmeti
Seite 75 und 76: Der Nachrichtenraum des Verfahrens
Seite 77 und 78: Beispiel: Betrachten wir die Usergr
Seite 79 und 80: a) Ein Angreifer Oskar möchte auch
Seite 81 und 82: Erzeugung der ElGamal-Signatur: Um
Seite 83 und 84: Sei T (Trustcenter) ein User, desse
Seite 85 und 86: ( Für zwei Zahlen a, b ∈ Z mit a
Seite 87 und 88: 3. Für b, c ∈ N ungerade und u
Seite 89 und 90: ) /* Ende while if(a=0, s:=0); Ausg
Seite 91 und 92: Algorithmus 6.2.6 (Algorithmus für
Seite 93 und 94: Wir erinnern an die Hauptergebnisse
Seite 95: Daraus 2 folgt, daß (∗) keine L
Alle anzeigen

Elementare Zahlentheorie und Kryptographie

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?