RSA-Threshold-Decryption - Institut für Theoretische Informatik

Seminar Kryptologie 

RSA-Threshold-Decryption 

Inaam Raouafi 

8. Dezember 2003 

Zusammenfassung 

Die Arbeit gliedert sich in drei Teile. Der erste Abschnitt ist eine Einführung über Shamir– 

Schema und Rivest-Shamir-Adleman-Schema [3] (RSA-Schema). Im Abschnitt 2 geht es um 

das RSA-Threshold-Verfahren [2] mit Dealer und Abschnitt 3 handelt es sich um das RSA- 

Threshold-Verfahren ohne Dealer. 

I. Einführung 

RSA wurde 1977 von Ron Rivest, Adi Shamir und Leonard Adleman entwickelt. 

Das RSA-Algorithmus ermöglicht die Ver-und Entschlüsselung von Daten mit einem Paar 

zusammengehöriger Schlüssel, von denen der eine geheim gehalten (privater Schlüssel) und 

der andere der Öffentlichkeit zugänglich gemacht wird (öffentlicher Schlüssel). 

Das Schamir-Schema wurde 1979 von Schamir entwickelt, es ist ein (t, n) Schema [2]d.h der 

Dealer (Dealer) verteilt die Shares (Teile) des Geheimnis auf t Shareholder (active 

Teilnehmer) von insgesamt n Teilnehmer, danach der combiner berechnet mit der Anzahl von 

Shares das Geheimnis. 

II. RSA-Threshold-Decryption 

„Desmedt” und „Frankel“[1] zeigten, wie das RSA-Kryptosystem mit dem Shamir- Schema 

kombiniert werden kann. 

1. Anforderung 

Alle Berechnungen in RSA werden modulo N gemacht. N = p.q, wobei p und q starke 

Primzahlen sind, d.h. p = 2p’ + 1 und q = 2q’ + 1 und p’,q’ sind auch Primzahlen. Für des 

weiteren wird die Funktion λ(N) als das kleinste gemeinsamer Teiler von (p-1) und (q-1) , 

also: λ(N) = k.g.v (p-1, q-1) = 2 p´q´. 

1

Sei (t, n) ein Shamir-Threshold-Schema [3]. Dieses Schema kann durch eine polynomiale 

Funktion ƒ(x) von Grad (t-1) höchstens. ƒ(x) kann durch jede Teilmenge B von „t- 

Teilnehmern“ mit der Lagrange Interpolations-Formel wieder rekonstruiert werden: 

( ) ( ) 

( x x j 

x x − ) 

ƒ ƒ mod λ( N ) 

= ∑ ∏ 

i i 

( x x ) 

j j , j i i − 

P ∈Β P ∈P\ Β ≠ j 

(1.1) 

Berechnungen modulo λ(N) können durch Anwendung des Chinesischen-Reste-Satzes 

erfolgen, da λ(N) = 2.p’.q’. 

Multiplikative Inversen von (x 

i 

- x 

j) existieren nur dann, wenn diese teilfremd zu{2, p´, q´} 

sind. Diese Bedingung kann für mehr als zwei Teilenehmer nicht erfüllt werden. 

Beispielsweise, es ist unmöglich, dass man drei verschiedene Koordinaten 

(x 

1, x 

2, x 

3) gleichzeitig wählen kann, die eine ungerade Zahl als Differenz haben. Ausweg 

aus diesem Problem ist, sowohl die Funktion ƒ( x 

i 

) [wobei, i =1,....., n] als auch alle 

Differenzen als gerade Zahlen (x i 

- x j 

) [wobei, i ≠ j ] darzustellen. Somit können alle 

Berechnungen mit ganzen Zahlen erfolgen, die als Vektoren dargestellt werden können, wie 

folgt: 

a = (0 mod 2, a mod p´, a mod q´) 

Daraus folgt, dass alle [wobei, i = 1,…, n] ungerade sein müssen. Aus diesem Grund muss das 

Geheimnis als ƒ(-1) statt des üblichen Wertes 

Wir betrachten den Nenner für (1.1) 

∏ 

1 

( xi 

−x 

j ) 

∏ 

= ∏ 

Pj∈P\ 

Β, 

j ≠i 

( xi 

−x 

j ) 

Pj∈Β, j≠i P j∈ P , j ≠i 

( x 

i 

−x 

j 

) 

Wir setzen 

α 

i 

j∈ 

, j≠i( xi −x 

j ) 

= ∏ P P und sehen, dass es nicht von der momentan aktive 

Menge der Teilnehmer abhängt und es vom Dealer im Moment der Verteilung berechnet 

werden kann. 

So kann (1.1) als: 

dargestellt werden. 

ƒ( x ) 

ƒ ( x ) = ( − ) ( − ) mod λ( N ) 

∑ 

∏ 

i 

i x 

j , j i j , j i 

j 

i 

i x j x x 

α P ∈P\ Β ≠ P ∈Β ≠ j 

P ∈Β 

∏ 

2

2. Verfahren der (t, n) Threshold Decryption 

(1) Dealer Don besitzt RSA-System mit öffentlichem Schlüssel (e, N) und private 

Schlüssel d. 

(2) Don wählt (t, n) Shamir-Threshold- Schema [2] mit (x) aus. 

(3) Don wählt außerdem ungerade Zahlen x 

i 

als öffentliche Koordinaten und Geheimnis 

ƒ (-1) = d – 1. 

(4) Don berechnet die Teilung der Geheimnisse 

si 

= 

ƒ( x i ) 

αi 

und verteilt es zwischen verschiedene Teilnehmer von P. 

(5) Sei m eine Nachricht m ∈ Ζ N . Der Absender berechnet 

c = 

e 

m (mod N ) 

und teilt diesen der Gruppe mit. 

(6) Jeder Teilnehmer in B (aktive Teilenehmer) berechnet dann 

c 

i 

= 

c 

s i 

(mod N ) 

und schickt c an den Combiner Clara. 

(7)Clara sammelt alle ci 

und berechnet 

ĉ 

i 

= 

c 

i 

∏ 

∏ 

Pj∈P\ Β, j≠i ( x i − x j ) Pj∈P, 

j≠i( −1 − x j ) 

mod N 

(8)Clara kann schließlich 

berechnen. 

ƒ( − 1) + 1 

∏ cc ˆ = c = c ≡ 

P j∈Β 

i 

d 

m (mod N ) 

Beweis : 

Wir müssen zeigen, dass 

ƒ(−1) 

C mod N = ∏ c ˆi 

mod N 

P j∈Β gilt. Wegen 

3

cˆ 

i 

= 

c 

∏ 

i 

ist die erste Gleichung äquivalent zu 

, ∏ , 

Pj∈P\ Β j ≠i ( xi −x j ) Pj∈P 

j ≠i 

( −1 −x 

j ) 

mod N 

ƒ(−1) 

, ( ) , ( 1 ) 

mod 

j 

x x j 

x 

C N c ∈ Β j i i − j ∈ j i − − 

∏ 

P P\ ≠ 

P P ≠ j 

i 

mod N 

P j∈Β 

= 

∏ ∏ 

Da 

ci 

c 

i 

s i 

= gilt, ist die zu beweisende Gleichung äquivalent zu 

ƒ(−1) 

s 

, ( ) , ( 1 ) 

mod 

i j j i xi x j j j i x 

C N c ∈ Β − 

∈ − − 

∏ 

P P\ ≠ 

P P ≠ j 

i 

mod N 

P j∈Β 

= 

∏ ∏ 

In den Exponenten wird modulo gerechnet, folglich müssen wir die Gültigkeit von 

(*) 

ƒ − λ( = ∑ s ∏ − ∏ 

λ( 

( 1) mod N ) ( x x ) ( −1 

− x ) mod N ) 

Pj∈Β i Pj∈P\ Β, j≠i i j Pj∈P 

, j≠i 

j 

beweisen. 

Laut Definition ist 

1 

α − ) ( x − x ) ( −1 − x ) 

i 

j 

Pj∈P\ Β, j≠i i 

Pj∈P, 

j≠i 

j 

= ∑ ( ∏ ∏ 

ƒ( x ) ƒ( x ) mod λ( N ) 

P j∈Β 

Unter Beachtung von 

s 

i 

1 

i 

x 

i 

α − 

i 

die zu beweisende Gleichung (*). 

3. Beispiel: 

=( ƒ( ) ) mod λ( N ) erhalten wir durch Einsetzen von gerade 

Dieses Schema wird auf ein einfaches Beispiel angewendet: 

Der Händler wählt 2 Primzahlen p = 11 und q =23. Modulo N = p*q = 253 und λ(N) = 110. 

Der Händler erstellt ein Instanz des Shamir-Schema für vier Teilnehmer P = {P 1 , P 2 ,P 3 ,P 4 }, 

mit der gewählten Schwelle t = 3. Ein zufällig gewähltes Polynom mit dem höchsten Grad 

von 2 über Ζ λ(N) : ƒ 

(x 

i) = 6 + 15 x + 81 x 2 

Die öffentliche Koordinaten sind: x 

1 

= 1, x 

2 

= 3, x 

3 

= 5, und x 

4 

= 7. Der öffentliche 

Schlüssel ist e = 107. 

Die öffentlichen Parameter sind e, N und die Koordinaten sind xfür 

i 

P i ∈P. Don berechnet 

die Parameter α i wie folgt: 

4

α = (x - x ) (x - x ) (x - x ) 62 (mod 110), 

α 

1 1 2 1 3 1 4 

= (x - x ) (x - x ) (x - x ) 16 (mod 110), 

2 2 1 2 3 2 4 

α = (x - x ) (x - x ) (x - x ) 94 (mod 110), 

3 3 1 3 2 3 4 

α4 = (x 

4 

- x 

1 

) (x4- x 

2) 

4 3 

(x - x ) 48 (mod 110) 

α i haben kein Inverses modulo 110, da sie gerade sind und durch 2 teilbar. 

Eine Vektordarstellung vonα 1 

sieht folgendermaßen aus: 

α 

1= (0 mod 2, 2 mod 5, 7 mod 11). 

Jetzt können die Inversen 

β 

i 

von αi 

berechnet werden. 

β 

1 

= (0 mod 2, 2 -1 mod 5, 7 -1 mod 11) = (0,3,8) =8 , 

β 

2 

= (0 mod 2, 1 mod 5, 9mod 11) = 86 , 

β 

3 

= (0 mod 2, 4 mod 5, 2mod 11) = 24 , 

β 

4 

= (0 mod 2, 2 mod 5, 3mod 11) = 102 

Don erstellt die Anteile der Teilnehmer: 

S = (x ) β 46 (mod 110), 

1 1 1 

S = (x ) β 90 (mod 110), 

2 2 2 

S = (x ) β 54 (mod 110), 

3 3 3 

S = (x ) β 30 (mod 110). 

4 4 4 

Diese Teile des Geheimnis werden den entsprechenden Teilnehmern über geheime Kanäle 

(channels) geschickt. 

Die Absenderin Sue wählt eine Nachricht m = 67, und mit Hilfe der öffentlichen Elemente, 

berechnet das folgende Kryptogramm: c = m e = 67 107 ≡ 89 mod 253. Dieses 

Kryptogramm sendet sie zu allen Teilnehmern. 

Sei B = {P 1 , P 3 , P 4 }. Jeder Teilnehmer von B berechnet sein Teilkryptogramm: 

s 

c 1 

1 

= c 78 (mod 253), 

s 

c 3 

3 

= c 100 (mod 253), 

s 

c 4 

4 

= c 144 (mod 253). 

Die Teilkryptogramme werden zum combiner geschickt. Clara überprüft die Kryptogramme: 

5

ĉ 

ĉ 

ĉ 

c 

1 1 

(x1- x 2) (-1- x 3) (-1- x 4) 

= 177 (mod 253), 

c 

(x3- x 2) (-1- x 1) (-1- x 4) 

3 

= 

3 

210 (mod 253), 

c 

(x4- x 2) (-1- x 1) (-1- x 3) 

4 

= 

4 

100 (mod 253). 

Wonach sie die folgende Nachricht zurückgewinnt: 

m = ∏ cˆ 

. c = cˆcˆ cˆ 

c ≡ ( 

P j∈Β 

i 

1 3 4 

67 mod 253). 

III. RSA Threshold Decryption ohne Dealer 

Es kann sein ,dass die Teilnehmer nicht wissen, wer ein vertrauenswürdiger Dealer sein 

könnte. Der Ausweg ist, dass der Absender selber die Empfängergruppe auswählt. 

Der Absender kann mit Hilfe des ausgewählten threshold- Parameter t seine Diskretion 

bewahren. 

1. Anwendung des Verfahrens: 

Am Anfang haben alle Teilnehmer ihr eigenes RSA- Public-Schlüssel-System und sind im 

Telefonbuch eingetragen. Die Registrierung im Telefonbuch liefert die authentischen 

öffentliche Parameter aller eingetragenen RSA-Systeme. 

2. Thershold Verfahren ohne Dealer 

(1) Absenderin Sue wählt eine Gruppe P = {P 1 … P n }, und schaut im Telefonbuch nach 

ihrem öffentlichen Schlüsseln (e 

i, N 

i), wobei N 

i 

< N 

i 

+1. 

(2) Sue wählt f(x) über GF(p), wobei p < N1 

und berechnet die Teile des Geheimnisse 

S = ƒ (x ) für die Koordinaten und das Geheimnis d = ƒ (0). 

i 

i 

(3) Sue “versteckt” die Teile der Geheimnis mittels der RSA-Verschlüsselung: 

e 

c = S i mod N 

i i 

i. 

(4) Erste Teilkryptogramm c ist die Lösung der Teile mit dem Chinesischen-Reste-Satz: 

1 

c 

1 

c c 

= ( 1 

mod N 1 ,..., n mod N n ). 

6

t 

(5) Für eine Nachricht m ( m ≤ ∏ N 

i), 

berechnet der Sue m 

i 

= m mod Niund 

i 

d 

m mod N , danach berechnet der Absender: 

i 

c 

i=1 

d d 

= ( m 1 

mod N 1 

,..., m n mod N n ). 

2 

c 

c c 

Folgender Kryptogramm: ( P , p, t , , ) wird an alle Teilnehmer gesendet. 

1 2 

(6) Jeder Teilnehmer P i ∈ P führt die folgenden Operationen durch: 

d 

(6.1) Zuerst wird ci 

≡ c mod N 

1 i 

und m 

i 

≡c mod N 2 i 

berechnet. 

(6.2)Danach wendet man den geheimen Schlüssel di 

an, und gewinnt 

S 

c 

d i 

i 

≡ 

i 

mod Ni 

zurück. S 

i 

wird dann an alle Teilnehmer gesendet. 

(6.3) Nach dem (t-1)Anteile empfangen wurden, kann jeder Teilnehmer der Gruppe 

d d -1 

i 

den Geheimnis d ∈ GF(p) erstellen, zudem können sie m ≡ (m ) 

berechnen. 

Anmerkungen: 

i 

mod N 

i 

- Auch wenn d öffentlich ist, kann nur der Teilnehmer P i die Inverse d -1 bilden, da er die 

Primfaktorisierung von 

Ni 

kennt , womit er 

-1 

d.d ≡1 mod λ(N ) berechnen kann. 

- Sobald die t-Teilnehmer ihre Teilnachrichten m 

i 

gesendet haben, kann der combiner 

den Nachricht m mit dem Chinesischen-Rest-Satz wiederherstellen. 

- Der Dechiffrierungs-Prozess unterteilt sich in zwei Etappen: 

1. die Zurückgewinnung des Geheimnisses d 

2. die Wiederherstellung der Nachricht. 

- Wenn mindestens t -Teilnehmer an jeder Etappe zusammengearbeitet haben, wird die 

Nachricht m wiederhergestellt. 

- Falls weniger als t-1 -Teilnehmer ihre Si 

Anteile in der ersten Etappe senden, dann ist 

der Exponent d unbekannt, womit die Nachricht nicht zurückgewonnen wird. 

- Falls die verlangte Anzahl von t-1 -Teilnehmern ihre Anteile gesendet haben, jedoch 

weniger als t –Teilnehmer ihre Teilnachricht an den combiner gesendet haben. 

- In diesem Fall ist die Wiederherstellung von m auf die Wiederherstellung einer 

Teilnachricht 

mt 

reduziert worden. 

i 

7

Literatur 

[1] Y.Desmedt, und Y . Frankel: Shared of Authenticators and Signatures. In:Advances 

in Cryptology – CRYPTO `91, Nummer 576 in Lecture Notes in Computer Sience, 

Seiten 457-469. Springer, 1992. Extended abstract. 

[2] J. Pieprzyk, T Hardjone, J. Seberry. Fundamental of Computer Security. 

Springer,2003. 

[3] D. Wätjen.,Kryptologie, Vorlesungsskript, Institut für Theoretische Informatik, 

Teschnische Universität Braunschweig, Oktober 2002. 

8

RSA-Threshold-Decryption - Institut für Theoretische Informatik

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?