Full paper (pdf) - CDC
Full paper (pdf) - CDC
Full paper (pdf) - CDC
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Logarithmus von vi zur Basis v (also di). Natürlich darf dabei keine zusätzliche<br />
Information über di entstehen (die Beziehung vi = v di ist ja bereits bekannt).<br />
Sei H eine Hashfunktion mit einer Ausgabe von L1 Bits. Der Teilnehmer i wählt<br />
eine zufällige Zahl r ∈R {0 . . . 2 L(N)+3L1 − 1} (da er die Gruppenordnung p ′ q ′<br />
nicht kennt, muß er mit hinreichend großen Zahlen arbeiten) und berechnet den<br />
Korrektheitsbeweis (z, c) als<br />
c = H(v, m 4L , vi, s 2 i , v r , m 4Lr ) und z = dic + r.<br />
Damit kann die korrekte Berechnung von s 2 i<br />
c = H(v, m 4L , vi, s 2 i , v z v −c<br />
i , m 4Lz s −2c<br />
i<br />
überprüft werden, denn es muß<br />
gelten (daß mit s 2 i anstatt si gerechnet wird, wird für den Sicherheitsbeweis<br />
benötigt).<br />
3.7 Das ElGamal-Verfahren<br />
Neben dem RSA-Verfahren ist das auf der Schwierigkeit der Berechnung diskreter<br />
Logarithmen beruhende ElGamal-Verfahren [ElG85] die bekannteste Basis<br />
für Public-Key-Kryptosysteme. Es wurde 1985 von Taher ElGamal vorgeschlagen<br />
und ähnelt dem Diffie-Hellman-Schlüsselaustausch-Protokoll.<br />
Das Diffie-Hellman-Problem Die Sicherheit des ElGamal-Verfahrens beruht<br />
auf der Annahme, daß es keinen effizienten Algorithmus gibt, um das<br />
sogenannte Diffie-Hellman-Problem zu lösen.<br />
Das Diffie-Hellman-Problem besteht darin, für eine gegebene prime Restklassengruppe<br />
(Z/pZ) ∗ mit einem bekannten erzeugenden Element (Generator)<br />
g ∈ (Z/pZ) ∗ für zwei Elemente A = g a und B = g b das Element C = g ab zu<br />
berechnen, obwohl a und b unbekannt sind.<br />
Eine Möglichkeit, das Element C zu bestimmen, besteht darin die Exponenten<br />
a oder b zu berechnen. Dann ergibt sich C = A b = B a . Man bezeichnet<br />
a und b als diskrete Logarithmen von A beziehungsweise B zur Basis g<br />
in der Gruppe (Z/pZ) ∗ . Für dieses Diskrete-Logarithmus-Problem sind allerdings<br />
keine effizienten Algorithmen bekannt. Das Diffie-Hellman-Problem und<br />
das Diskrete-Logarithmus-Problem stehen dabei in einer ähnlichen Beziehung<br />
zueinander wie das RSA-Problem und das Faktorisierungs-Problem: es ist nicht<br />
bekannt, ob sie äquivalent sind.<br />
Da das Diffie-Hellman-Problem in keiner bekannten Beziehung zum RSA-<br />
Problem steht, bietet das ElGamal-Verfahren eine echte Alternative zum RSA-<br />
Verfahren: selbst wenn eines der Verfahren aufgrund neuer Erkenntnisse unsicher<br />
werden sollte, muß das andere davon nicht betroffen sein. Darüberhinaus<br />
läßt sich das ElGamal-Verfahren leicht auf andere Gruppen als (Z/pZ) ∗ übertragen,<br />
in denen das Diffie-Hellman- und das Diskrete-Logarithmus-Problem<br />
andere Lösungsansätze erfordern. Am bekanntesten sind hierbei die Elliptischen<br />
Kurven, deren Struktur kürzere Schlüssellängen (im Vergleich zu ElGamal über<br />
(Z/pZ) ∗ ) zulassen.<br />
29<br />
)