Full paper (pdf) - CDC

Weitere Magazine

Empfehlungen

Info

gemeinsam s = m d (mod N) zu berechnen, bestimmt jeder Teilnehmer i ∈ Λ seinen Anteil si = m diλi,Λ (mod N) mit und es ergibt sich λi,Λ = � l∈Λ\{i} l l − i s = � si = m d i∈Λ (mod (p − 1)(q − 1)) (mod N). Diese Vorgehensweise scheitert allerdings an der Berechnung der Interpolationskoeffizienten λi,Λ, da hierzu Invertierungen von l − i modulo (p − 1)(q − 1) notwendig sind, die Primzahlen p und q jedoch niemandem bekannt sein dürfen, da darauf die Sicherheit des RSA-Schlüssels beruht (des weiteren sind auch nicht alle l−i invertierbar, beispielsweise sind es sämtliche geraden Differenzen nicht). Schlüsselerzeugung Das Problem läßt sich jedoch durch geeignete Modifikationen des Polynoms beheben [FGPY97, MSY00]. Durch die Hinzunahme von hinreichend großen Faktoren können die Berechnungen der Koeffizienten durch normale Ganzzahldivisionen geleistet werden, so daß Invertierungen in der Exponentengruppe unbekannter Ordnung nicht notwendig sind. Der Faktor, durch den anschließend alle Teilexponenten ohne Rest dividierbar sein müssen, hängt von der Anzahl n der Teilnehmer ab: Sei L = (n − 1)!. Wenn die di Vielfache von L sind, dann können die Berechnungen diλi,Λ = di � l∈Λ\{i} l l − i über den ganzen Zahlen erfolgen (in der ursprünglichen Arbeit [FGPY97] wurde der Faktor L = n! gewählt, es genügt aber auch das kleinere L = (n − 1)! [MSY00]). Um dies zu erreichen, müssen alle Koeffizienten des Polynoms Vielfache von L sein, inklusive des geheim zu haltenden Achsenabschnittes a0, der folglich nicht direkt dem Exponenten d entsprechen kann (da dieser nicht unbedingt ein Vielfaches von L sein muß). Daher bestimmen wir ein modifiziertes Geheimis a0, aus dem sich der Exponent d zurückgewinnen läßt. Sei zunächst H = ggT(e, L 2 ). Weil e invertierbar ist modulo (p−1)(q −1), ist auch H invertierbar. Außerdem ist H ein Teiler von L2 und es existieren keine gemeinsamen Teiler von e und L2 H . Mithilfe des erweiterten Euklidschen Algorithmus können wir Faktoren P und s berechnen, für die gilt eP + L2 s = 1. H 23
Auf diese Weise ergibt sich eine Zahl k mit d = P +L 2 k (mod (p−1)(q−1)) und k = dsH −1 mit deren Hilfe wir nun einen modifizierten Exponenten d ′ = L 2 k (mod (p−1)(q−1)), definieren, welcher durch L teilbar ist (weil wir nicht modulo (p − 1)(q − 1) reduzieren) und aus dem sich der ursprüngliche Exponent d zurückrechnen läßt (zumindest innerhalb der Exponentenrestklasse): d = P + d ′ (mod (p − 1)(q − 1)). Dieser modifizierte RSA-Exponent d ′ wird nun durch das Polynom f(x) = d ′ + a1x + . . . + at−1x t−1 mit ai ∈R {0, L, . . . , 2L 3 n 2+ɛ t} und Interpolationsstellen di = f(i) auf die Teilnehmer verteilt. Wir erkennen, daß dieses Polynom über den ganzen Zahlen (und nicht in einer Restklasse) ausgewertet wird, und alle Interpolationsstellen di Vielfache von L sind. Schlüsselverwendung Um gemeinsam s = m d (mod N) zu berechnen, bestimmt jeder Teilnehmer i ∈ Λ seinen Anteil mit si = m diλi,Λ (mod N) λi,Λ = � l∈Λ\{i} l l − i . Aufgrund der Konstruktion der di sind hierfür keine Invertierungen notwendig. Es ergibt sich � P s = m i∈Λ P +� si = m i diλi,Λ P +d = m ′ = m d (mod N). Für den letzten Schritt, in dem die partiellen Berechnungsergebnisse kombinert werden, ist eine weitere Exponentiation m P notwendig. Hierzu schlagen die Autoren des Verfahrens vor, daß einer der Teilnehmer m P berechnet und (zusammen mit seiner Teilberechnung m di ) an den Kombinierer übermittelt [MSY00]. Eine Alternative hierzu besteht darin, daß einer der Teilnehmer (zum Beispiel derjenige mit der kleinsten Teilnehmernummer) anstelle von m di direkt m P +di ermittelt und weitergibt. Dann kann der Kombinierer wie im Verfahren aus Abschnitt 3.4 einfach die Anteile zusammenmultiplizieren. In jedem Fall sind weder m noch P geheime Informationen und folglich könnte der Kombinierer den Korrekturfaktor m P auch selbst berechnen. 24
Seite 1 und 2: Konzepte für eine sichere Schlüss
Seite 3 und 4: Vorwort Die vorliegende Arbeit ist
Seite 5 und 6: C UML-Klassendiagramme 81 D Benutze
Seite 7 und 8: öffentlichen Schlüssel eindeutig
Seite 9 und 10: 2.1 Einfaches Secret-Sharing Eine s
Seite 11 und 12: � � t n -Secret-Sharing Die mei
Seite 13 und 14: Logarithmus log g h bezüglich des
Seite 15 und 16: • Ein Secret-Sharing-Verfahren he
Seite 17 und 18: Kapitel 3 Key-Sharing Die Sicherhei
Seite 19 und 20: (dies muß nicht unbedingt für die
Seite 21 und 22: Primzahlen, die aber nicht bekannt
Seite 23: Den Teilnehmern übermittelt er die
Seite 27 und 28: Verfahrens (ein beweisbar sicheres
Seite 29 und 30: Schlüsselverwendung Es stellt sich
Seite 31 und 32: Schlüsselerzeugung Um ein ElGamal-
Seite 33 und 34: Die geheimen Teilexponenten ai für
Seite 35 und 36: SSL-Webserver [WMB99] und das COCA-
Seite 37 und 38: verwenden kann. Andererseits ergibt
Seite 39 und 40: mit Key-Recovery beauftragten Insti
Seite 41 und 42: SETUP Eine (reguäre) SETUP ist ein
Seite 43 und 44: heimgehalten werden, da die Chiffre
Seite 45 und 46: Kapitel 5 Implementierung Der Worte
Seite 47 und 48: KeyStore der KeyStore eignet sich z
Seite 49 und 50: entsprechende Schnittstelle für Di
Seite 51 und 52: ialisieren lassen und die Methode z
Seite 53 und 54: Abbildung 5.2: Key-Sharing-Basiskla
Seite 55 und 56: ShoupRSAPrivateKeyShare diese Klass
Seite 57 und 58: Provider dieser JCA-Provider meldet
Seite 59 und 60: Abbildung 5.4: Klassen aus dem Pake
Seite 61 und 62: Abbildung 5.6: Dialog zum Einlesen
Seite 63 und 64: UndecryptableKeyException diese Aus
Seite 65 und 66: ei der Fehlervermeidung, -suche und
Seite 67 und 68: (SecretShare[] shares, String integ
Seite 69 und 70: Keystore laden Der ShamirStore setz
Seite 71 und 72: Keystore speichern Der KeySharer sp
Seite 73 und 74: wird die Datei filename in shares D
Seite 75 und 76:
Dateien verschlüsseln Der KeyShare
Seite 77 und 78:
Kapitel 6 Ausblick Wir haben mit di
Seite 79 und 80:
X.509 ITU Empfehlung X.509, auch IS
Seite 81 und 82:
ElGamal a privater Exponent, wird z
Seite 88 und 89:
Anhang D Benutzerhandbuch Kommandoz
Seite 90 und 91:
Anhang E Benutzerhandbuch Programmi
Seite 92 und 93:
E.4 Der KeySharer-KeyStore Konfigur
Seite 94 und 95:
PKI, 77 Polynominterpolation, 10 Pr
Seite 96:
[FGPY97] Y. Frankel, P. Gemmell, P.
Alle anzeigen

Full paper (pdf) - CDC

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?