ElGamal auf elliptischen Kurven

E lG a m a l a u f
e llip t i s c h e n K u r v e n
Frank Nillies
frank@upb.de

Ü b e r s i c h t
Motivation
Definition ElGamal
ElGamal für elliptische Kurven [6]
Laufzeit und Sicherheit
MOV – Menezes Okamoto Vanstone [7]
Geeignete elliptische Kurven
2

M o t i v a t i o n
erstmalig im Jahre 1985 unabhängig von
Neil Koblitz [1] und Victor Miller [2]
Aufbauend auf den Ideen von Koblitz und Miller:
Erzeugung digitaler Signaturen
Sicherer Schlüsselaustausch
Verschlüsselung
ECDSA: Signaturverfahren [3, 4]
ECIES: Verschlüsselungsverfahren
EC-DH: als Schlüsselaustauschverfahren
3

E lG a m a l C r y p t o s y s t e m
Sei p prim, (G, ·) endliche, zyklische Gruppe
G mit Ordnung p.
K = {(p, G, m, α, β) : β = α m }
α ∈ G erzeugendes Element, β ∈ G
p, G, α, β öffentlich
m geheim, 0 < m < p-1
Klartextraum: P = G
Chiffretextraum: C = G × G
4

E lG a m a l V e r s c h lü s s e l u n g
C = enc(x, k) = (y 1
, y 2
) = (α k , xβ k )
k zufällig gleichverteilt, 0 < k < p-1
P = dec(y, m)
= (y 1m
) -1 y 2
= (α km ) -1 xα km
= x
∀ β ∃! m, 0 ≤ m ≤ p–1 : α m = β (Inj.)
Die Berechnung α m ist effizient.
Die Berechnung log α
β ist schwer.
5

E lG a m a l C r y p t o s y s t e m f ü r
E K
Sei p, q prim, G = (E(Z p
), ⊕) mit Ordnung q.
K = {(p, E, m, α, β) : β = mα mod p}
p, E, α, β öffentlich, α, β ∈ G
m geheim, 0 < m < q-1
Klartextraum: P = G
Chiffretextraum: C = G × G
6

V e r s c h l ü s s e lu n g s f u n k t i o n
wähle k: 0 < k < q-1 zufällig.
x sei Punkt der Kurve mit x = cf(N)
enc(x, k) = (y 1
,y 2
)
y 1
= kα
y 2
= x + kβ = x + kmα
7

E n t s c h lü s s e lu n g s f u n k t i o n
dec(y, m) = y 2
– my 1
= y 2
+ (my 1
) -1
= x + kβ – mkα
= x + mkα – mkα
= x
Invertierung der Codierung N = cf -1 (x)
liefert den entsprechenden Klartext.
8

B e i s p i e l
K = {(p, E, m, α, β) : β = mα mod p}
p, E, α, β öffentlich, m geheim
Klartextraum: P = Z q
*
Chiffretextraum: C = Z q
*
× Z q
*
enc(x, k) = (kα, x + kβ )
dec(y, m) = y 2
– my 1
= y 2 + (my 1 )-1
9

L a u f z e i t
2-mal Codierungsfunktion cf(x)
Laufzeit:
Verschlüsseln: (2x Multiplikation, 1x Addition)
O(log³ p) [5]
Entschlüsseln: (je 1x Addition u.
Multiplikation)
O(log³ p)
kβ und kα „auf Vorrat“ berechnen
10

I d e e f ü r C o d i e r u n g s f u n k t i o n
Kein deterministischer Algorithmus bekannt
Idee:
Teile Z p
in Blöcke der Größe #Klartexte
Teste, ob das erste Blockelement ∈ E(Z p
).
Wähle ggf. nächstes/neues Element.
http://www.certicom.com
11

S i c h e r h e i t v o n E lG a m a l a u f
E K s
ElGamal lässt sich auf Diffie – Hellmann
zurückführen.
Nicht „beweisbar sicher“
DL Problem gilt auf geeigneten Gruppen als
nicht lösbar.
(NP – vollständig aber nicht bewiesen)
Auf elliptischen Kurven nur generische
Algorithmen.
12

A lg o r i t h m u s n a c h M e n e z e s -
V a n s t o n e
Die Grundidee von Menezes und Vanstone:
Vereinfachung der Codierung:
beliebige Elemente aus Z p
*
statt E(Z p
)
Reduzierung des Chiffretextes
um den Faktor 2
13

A lg o r i t h m u s n a c h M e n e z e s -
V a n s t o n e
Sei p, q prim, G = (E(Z p
), ⊕) mit Ordnung q.
K = {(p, E, m, α, β) : β = mα mod p}
p, E, α, β öffentlich, α, β ∈ G
m geheim, 0 < m < q-1
Klartextraum: P = Z p
*
× Z p
*
Chiffretextraum: C = E(Z ) × Z * × Z *
14

V e r s c h lü s s e lu n g n a c h
M e n e z e s -V a n s t o n e
Bob stellt N als ein Element
N = (x 1
, x 2
) ∈ Z p
*
× Z p
*
dar.
Er wählt ein zufälliges k: 0 < k < q-1
(c 1
, c 2
) = kβ, c 1
, c 2
≠ 0
Er berechnet:
γ = kα
b 1
= c 1
x 1
mod p
b 2
= c 2
x 2
mod p.
C = enc(N) = (γ, b , b )
15

E n t s c h lü s s e lu n g n a c h
M e n e z e s -V a n s t o n e
Alice berechnet
mγ = (c 1
, c 2
).
Korrektheit: mγ = mkα = kβ = (c 1
, c 2
)
Alice erhält den Klartext N durch
dec(C) = N = (b 1
c 1
-1
mod p, b 2
c 2
-1
mod p).
Erinnerung: b 1
= c 1
x 1
mod p
b 2
= c 2
x 2
mod p
16

S i c h e r h e i t v o n M .V .
Angriffe mit bekanntem Nachrichtenteil
Angriffe bei konstantem k
Angriffe über Eindeutigkeit
der Chiffretexte [8]
Berechnen des ECDLP
17

K r i t e r i e n f ü r g e e i g n e t e
K u r v e n
Die Kurve muss nichtsingulär sein.
4a³ + 27b² ≠ 0 [5]
Die von der elliptische Kurve E(Z p
)
erzeugte Gruppe G
sollte möglichst groß sein.
Berechnung zufälliger Kurven möglich.
Sie werden von dem NIST oder IEEE
empfohlen.
18

Ü b e r s i c h t ü b e r
S c h lü s s e llä n g e n
Quelle: W. Rankl, W. Effing, Handbuch der Chipkarten, Hanser 1999
19

G e b r o c h e n e S c h lü s s e l E C C
Quelle: http://www.certicom.com
20

V i e le n D a n k f ü r I h r e
A u f m e r k s a m k e i t
[1] N. Koblitz, ACourse in Number Theory and Cryptography, NewYork 1987
[2] V.S. Miller, Use of Elliptic Curves in Cryptography, Advances in Cryptology:
Crypt `85, 1986
[3] D. Wätjen, Kryptographie Grundlagen, Algorithmen, Protokolle, Spectrum
2004
[4] D. R. Stinson, Cryptography, Theory and Practice, Chapman&Hall 2002
[5] A. Werner, Elliptische Kurven in der Kryptography, Springer 2002
[6] T. ElGamal, A Public Key Cryptosystem and a Signature Scheme Based on
Descrete Logarithms, IEEE Transactions on Information Theory, 1985
[7] A. Menesez, S.A.Vanstone, Elliptic Curve Cryptosystems and Their
Implementation, Journal of Cryptography, 1993
[8] K. Kiefer, A Weakness of the Menezes-Vanstone Cryptosystem, 5th international
workshop, Paris 1997
21

E lG a m a l b a s i e r t e s
S i g n a t u r v e r f a h r e n a u f
e llip t i s c h e n K u r v e n , d a s E C D S A
Sei p prim und für den Raum Z p
existiere eine
gültige elliptische Kurve E der Ordnung q.
K = {(p, q, E, m, α, β) : β = mα mod p}
p, q, E, α, β öffentlich, 0 ≤ m ≤ q – 1 geheim
Klartextraum: P = {0, 1} * , Nachricht n
Unterschrift: A = Z q
*
× Z q
*
22

E C D S A
sig(n, k) = (r, s), 0 ≤ k ≤ q – 1 :
kα = (u, v)
r = u mod q
s = k -1 (SHA-1(n) + mr) mod q
Es gilt: r, s ≠ 0 ∈ Z q
*
23

E C D S A
ver(x, (r, s) = true u mod q = r :
w = s -1 mod q
i = w SHA-1(n) mod q
j = wr mod q
(u, v) = iα + jβ
24

Ü b e r s i c h t ü b e r L a u f z e i t e n
E C D S A
25