Kryptologie. Bernd Borchert. Univ. Tübingen SS Vorlesung. Teil 17. Quantencomputer, Postquantum Kryptographie

Transkript

1 Kryptologie Bernd Borchert Univ. Tübingen SS 2017 Vorlesung Teil 17 Quantencomputer, Postquantum Kryptographie

2 Shor's Algorithmus (klassischer Teil) Shor's Algorithmus zur Faktorisierung - Teilalgorithmus (der Teil ohne Physik) Sei n = pq gegeben (p,q Primzahl). Jedes des phi(n) Elemente a aus Z n * hat eine Ordnung ord(a), nämlich die Größe der Menge {a, a 2,..., a ord(a) = 1}. ord(a) muss phi(n) = (p-1)(q-1) teilen, weil es eine Untergruppe ist. Für 3/4 der a aus Z n * ist ord(a) gerade. Das kann man beweisen (Gruppentheorie) - man kann es sich plausibel machen dadurch, dass 2 ja schon zweimal als Teiler von phi(n) vorkommt und somit für viele Untergruppen ein Teiler ihrer Ordnung ist. Für max. ¼ der a aus Z n * gilt, dass a gerade Ordnung r hat und dabei a r/2 = -1 gilt. Insgesamt haben also mind 50% der Elemente a aus Z n * die Eigenschaft, dass die Ordnung von a gerade ist und a r/2!= -1 gilt. Wenn man zu so einem a die gerade Ordnung r = ord(a) bekommt, dann kann man n = pq faktorisieren (3. Binomische Formel) a r - 1 = (a r/2-1)(a r/2 + 1) ungleich 0 mod n wg. Def. von r: dann wäre ja schon bei r/2 ein Zyklus von a da auch ungleich 0 mod n, denn solche a hatten wir ausgeschlossen (nur ein ¼ aller a) n ist Teiler von a r 1 wegen a r = 1 mod n <--> a r - 1 = 0 mod n. Weil aber beide Faktoren oben rechts ungleich 0 mod n sind, müssen die Teiler p und q von n sich auf die beiden Faktoren oben rechts verteilen. Damit kann man mit ggt(n, a r/2 1) (oder auch ggt(n, a r/2 + 1)) einen der zwei Primfaktoren finden.

3 a a i mod 21 ord gerade a r/2!= -1=20 beides , 4, 8, 16, 11, , 16, , 4, 20, 16, 17, , , 12, 15, 13, 4, 19, , 16, 8, 4, 2, , , 4, , 16, 20, 4, 5, , 4, 13, 16, 10, , Beispiel 21 = 3*7 (2 3 1)(2 3 +1) = 7 * 9 (8 1 1)(8 1 +1) = 7 *9 (11 3 1)( ) = 7 * 9 (mod 21) (13 1)(13 +1) = 12 *14 (19 3 1)( ) = 12 *14 (mod 21)

4 Orakel Teilalgorithmus Mit einem Orakel, das einem zu einem Z n * und einem a die Ordnung ord(a) gäbe, wäre also der folgende probabilistische Algorithmus zur Faktorisierung von n erfolgreich, jedesmal mit 50%: Gegeben n= pq. 1. Rate ein a aus Z n ; 2. Prüfe ob a in Z n * via ggt(a,n). Falls ggt > 1 ist Teiler gefunden --> fertig. 3. Lass Dir vom Orakel r = ord(a) geben 4. Wenn ord(a) nicht gerade ist oder a r/2 = -1, dann gehe zu 1 zurück 5. Ansonsten wird ggt(n,a r/2-1) > 1 einen nicht-trivialen Teiler von n liefern. Physiker-Idee: Das Orakel könnte ein sog. Quanten-Computer sein. a n Qubits, Q Circuits, FourierTransform ord(a)

5 Quantenrechner a r Qubits, Q Circuits, FourierTransform ord(r) 1) Initialize the registers. This initial state is a superposition of Q states. 2) Construct f(r) as a quantum function and apply it to the above state This is still a superposition of Q states. 3) Apply the quantum Fourier transform to the input register. 4) Perform measurements, and output with high probablity

6 Post-Quantum Kryptographie Der Fortschritt bei den Quantencomputern ist bei genauer Betrachtung eher bescheiden (vor allem in der Extrapolation ernüchternd): 1996 stellt P. Shor den Quantencomputer-Faktorisierungsalgorithmus vor 2001 verkündet IBM, man habe die Zahl 15 mit einem Quantencomputer faktorisiert 2012 verkündet die Univ. Bristol, man habe die Zahl 21 mit einem Quantencomputer faktorisiert Deshalb/dennoch: Post-Quantum Kryptographie: Symmetric key Auch/vor allem aus dem Grund: Faktorisierung oder Diskr. Logarithmus könnte mathematisch gelöst werden ( indischer Doktorand mit einer neuen Formel für die ganzen Zahlen...) Code-based cryptography Lattice-based cryptography Multivariate cryptography und viele andere mehr Hash-based cryptography Basierend auf Schwierigkeit von math. Problemen, also so wie RSA, DH etc. Teilweise sind die math. Probleme NP-hart, was verdächtig ist, denn bislang haben sich alle auf NP-harten Problemen basierenden Verfahren als unbrauchbar erwiesen. Hoffnungsträger, weil nicht auf math. Annahmen basierend. Nachteile: 1. große Schlüssel mit dynamischer Verwaltung nötig. 2. nur Signieren und Authentisieren möglich, Verschlüsseln nicht. Forward secrecy (als Eigenschaft eine Verschlüsselungsverfahrens): Auch wenn das Verfahren gebrochen wird, können die verschlüsselten Nachrichten der Vergangenheit nicht entschlüsselt werden. Weak forward secrecy: Wenn das Verfahren gebrochen wird, können die verschlüsselten Nachrichten aus der Vergangenheit nur dann entschlüsselt werden, wenn beim Versenden der Nachricht schon aktiv/vorbereitend abgehört wurde.

7 Lamport One-Time PKI Schlüsselerzeugung. A erzeugt 2n zufällige Strings s 1,0,s 1,1, s 2,0,s 2,1,, s n,0, s n,1 gewissen Länge l. Diese geordnete Liste (s 1,0,s 1,1, s 2,0,s 2,1,, s n,0, s n,1 ) ist k priv. - alle von einer Mit einer Hash-Funktion h erzeugt A die 2n Hashwerte h 1,0 = h(s 1,0 ),h 1,1 = h(s 1,1 ),, h n,1 = h(s n,1 ), die alle Strings einer Länge m sind. Diese geordnete Liste (h 1,0,h 1,1, h 2,0,h 2,1,, h n,0, h n,1 ) ist k pub. Alice Bob K priv K pub B kann jetzt B einen Text a = a 1...a n der Länge n (die a i sind bits) an A schicken und sich von A signieren lassen. Das macht A, indem er den string c = c 1...c n der Länge n*m erzeugt, wobei der substring c i = s i,ai ist (d.h., c i ist entweder s i,0 oder s i,1, je nachdem,ob a i 0 oder 1 ist). B kann nachprüfen, ob die Signatur korrekt ist, denn er berechnet, ob für alle i gilt h(s i,ai ) = c i. Niemand anders als A kann aber die h-ur-werte der c i gewusst oder berechnet haben. Also hat A die Nachricht tatsächlich signiert. Die Signatur ist nicht abstreitbar. Nachteile: 1. Nur Signatur und Authentication, aber keine Verschlüsselung möglich. 2. Wie beim One- Time-Pad ist der Schlüssel nur einmal verwendbar viel Speicherplatz für k pub Vorteil: Dieses PKI baut nicht auf der Schwierigkeit eines mathematischen Problems auf (und wäre damit ein Kandidat für den Ersatz für RSA etc. im Ernstfall Postquantum Kryptographie ).

8 Merkle-Tree Signature Lamport One-time Signature k pub H1= h(p1) H2 = h(p2) H3 = h(p3) H4 = h(p4) k priv P1 P2 P3 P4 Merkle-Tree One-time Signature H1,2,3,4 = h(h1,2 H3,4) = k pub Vorteil gegenüber Lamport: öffentl. Schlüssel k pub ist klein. H1,2 = h(h1 H2) H3,4 = h(h3 H4) H1= h(p1) H2 = h(p2) H3 = h(p3) H4 = h(p4) P1 P2 P3 P4 = k priv

9 Merkle-Tree Verfikation H1,2,3,4 = h(h1,2 H3,4) H1,2 = h(h1 H2) H3,4 = h(h3 H4) von rechts von links H1= h(p1) H2 = h(p2) H3 = h(p3) H4 = h(p4) P1 P2 P3 P4 Das bit 1 wird mit dem ersten Blatt-Paar signiert. Weil das bit 1 ist, wird das rechte Blatt P2 genommen. Die Signatur ist: <P2, H1 links, H3,4 rechts> (links/rechts ist ein flag, damit der Verifizierer weiß, von welcher Seite dieser Hash-wert konkateniert werden muss) Der Verfizierer prüft: 1. berechne H2 = h(p2) 2. berechne H1,2 = h(h1 H2) 3. berechne H1,2,3,4 = h(h1,2 H3,4) 4. wenn H1,2,3,4 = k pub, dann ist die Signatur in Ordnung. Warum kann niemand anderes eine gültige Signatur schicken? - niemand kann andere Werte als H1,2 und H3,4 angeben, so dass k pub = H1,2,3,4 = h(h1,2 H3,4) - niemand kann andere Werte als H1 und H2 angeben, so dass H1,2 = h(h1 H2) - niemand anderes als der, der den privaten Schlüssel hat, kann ein P2 angeben, so dass h(p2) = H2 ist. könnte aber abgehört worden sein kann nicht abgehört worden sein hier zum ersten Mal veröffentlicht

10 Merkle-Tree mit pseudo-random Urwerten Verbesserung Merkle-Tree One-time Signature. H1,2,3,4 = h(h1,2 H3,4) = k pub H1,2 = h(h1 H2) H3,4 = h(h3 H4) H1= h(p1) H2 = h(p2) H3 = h(p3) H4 = h(p4) P1 P2 P3 P4 h h h h <s 0> <s 1> <s,2> <s,3> s = kurzes Geheimnis ( seed ) Vorteil: Auch der private Schlüssel reduziert sich praktisch auf ein kurzes Geheimnis s. Zwar muss am Anfang, d.h. zur Generierung des public key, der gesamte Baum aufgebaut und durchgerechnet werden, aber ab dann kann man durch entsprechende Baum-Verwaltung mit einem nur logarithmisch großen Teil des Baumes den Baum effektiv traversieren (nur ab zu und muss wieder gerechnet werden, in der Summe noch einmal der ganze Baum)