RSA-Threshold-Decryption - Institut für Theoretische Informatik

Weitere Magazine

Empfehlungen

Info

Sei (t, n) ein Shamir-Threshold-Schema [3]. Dieses Schema kann durch eine polynomiale Funktion ƒ(x) von Grad (t-1) höchstens. ƒ(x) kann durch jede Teilmenge B von „t- Teilnehmern“ mit der Lagrange Interpolations-Formel wieder rekonstruiert werden: ( ) ( ) ( x x j x x − ) ƒ ƒ mod λ( N ) = ∑ ∏ i i ( x x ) j j , j i i − P ∈Β P ∈P\ Β ≠ j (1.1) Berechnungen modulo λ(N) können durch Anwendung des Chinesischen-Reste-Satzes erfolgen, da λ(N) = 2.p’.q’. Multiplikative Inversen von (x i - x j) existieren nur dann, wenn diese teilfremd zu{2, p´, q´} sind. Diese Bedingung kann für mehr als zwei Teilenehmer nicht erfüllt werden. Beispielsweise, es ist unmöglich, dass man drei verschiedene Koordinaten (x 1, x 2, x 3) gleichzeitig wählen kann, die eine ungerade Zahl als Differenz haben. Ausweg aus diesem Problem ist, sowohl die Funktion ƒ( x i ) [wobei, i =1,....., n] als auch alle Differenzen als gerade Zahlen (x i - x j ) [wobei, i ≠ j ] darzustellen. Somit können alle Berechnungen mit ganzen Zahlen erfolgen, die als Vektoren dargestellt werden können, wie folgt: a = (0 mod 2, a mod p´, a mod q´) Daraus folgt, dass alle [wobei, i = 1,…, n] ungerade sein müssen. Aus diesem Grund muss das Geheimnis als ƒ(-1) statt des üblichen Wertes Wir betrachten den Nenner für (1.1) ∏ 1 ( xi −x j ) ∏ = ∏ Pj∈P\ Β, j ≠i ( xi −x j ) Pj∈Β, j≠i P j∈ P , j ≠i ( x i −x j ) Wir setzen α i j∈ , j≠i( xi −x j ) = ∏ P P und sehen, dass es nicht von der momentan aktive Menge der Teilnehmer abhängt und es vom Dealer im Moment der Verteilung berechnet werden kann. So kann (1.1) als: dargestellt werden. ƒ( x ) ƒ ( x ) = ( − ) ( − ) mod λ( N ) ∑ ∏ i i x j , j i j , j i j i i x j x x α P ∈P\ Β ≠ P ∈Β ≠ j P ∈Β ∏ 2
2. Verfahren der (t, n) Threshold Decryption (1) Dealer Don besitzt RSA-System mit öffentlichem Schlüssel (e, N) und private Schlüssel d. (2) Don wählt (t, n) Shamir-Threshold- Schema [2] mit (x) aus. (3) Don wählt außerdem ungerade Zahlen x i als öffentliche Koordinaten und Geheimnis ƒ (-1) = d – 1. (4) Don berechnet die Teilung der Geheimnisse si = ƒ( x i ) αi und verteilt es zwischen verschiedene Teilnehmer von P. (5) Sei m eine Nachricht m ∈ Ζ N . Der Absender berechnet c = e m (mod N ) und teilt diesen der Gruppe mit. (6) Jeder Teilnehmer in B (aktive Teilenehmer) berechnet dann c i = c s i (mod N ) und schickt c an den Combiner Clara. (7)Clara sammelt alle ci und berechnet ĉ i = c i ∏ ∏ Pj∈P\ Β, j≠i ( x i − x j ) Pj∈P, j≠i( −1 − x j ) mod N (8)Clara kann schließlich berechnen. ƒ( − 1) + 1 ∏ cc ˆ = c = c ≡ P j∈Β i d m (mod N ) Beweis : Wir müssen zeigen, dass ƒ(−1) C mod N = ∏ c ˆi mod N P j∈Β gilt. Wegen 3
Seite 1: Seminar Kryptologie RSA-Threshold-D
Seite 5 und 6: α = (x - x ) (x - x ) (x - x ) 62
Seite 7 und 8: t (5) Für eine Nachricht m ( m ≤

RSA-Threshold-Decryption - Institut für Theoretische Informatik

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?