Diskrete Logarithmen

Transkript

1 Westfälische Wilhelms-Universität Münster Ausarbeitung Diskrete Logarithmen im Rahmen des Seminars Multimedia und Graphen Oliver Liebsch Themensteller: Prof. Dr. Herbert Kuchen Betreuer: Dipl.-Wirt.Inform. Michael Poldner Institut für Wirtschaftsinformatik Praktische Informatik in der Wirtschaft

2 Inhaltsverzeichnis 1 Informationssicherheit durch zahlentheoretische Probleme Restklassenringe und prime Restklassengruppen Halbgruppen und Gruppen Definitionen Untergruppen Ringe und Körper Definitionen Restklassen Restklassengruppen Restklassenringe Restklassenkörper Der kleine Satz von Fermat Beispiel Diskrete Logarithmen Allgemeine Definition Der diskrete Logarithmus in / Fortführung des Beispiels aus Anwendungsbeispiel: Diffie-Hellman-Schlüsselaustausch Algorithmen für das diskrete Logarithmus-Problem Kategorisierung der Algorithmen Enumerationsverfahren Pollard- -Algorithmus Pohlig-Hellman-Algorithmus Index-Calculus-Algorithmus Fazit Literaturverzeichnis II

3 Kapitel 1: Informationssicherheit durch zahlentheoretische Probleme 1 Informationssicherheit durch zahlentheoretische Probleme Insbesondere in einer Zeit, in der die digitale Vernetzung sowie das Kommunikationsaufkommen stetig zunehmen, ist es von immenser Bedeutung, sich intensiv mit der Informationssicherheit auf diesen Gebieten zu beschäftigen. Hier spielt das wissenschaftliche Forschungsgebiet der Kryptografie, das neben der Kryptoanalyse ein Teilgebiet der Kryptologie ist, eine besondere Rolle. Kryptografische Methoden sind zentral für die Gewährleistung der Informationssicherheit. Dabei ist es sowohl für die Anwender als auch für die Experten v. a. in kritischen und sensiblen Bereichen wichtig, die Effizienz und Zuverlässigkeit der jeweiligen Verfahren einschätzen zu können. In diesem Zusammenhang bedarf es fundierter Kenntnisse einerseits der Verfahren selbst, andererseits der Verfahren, die die Sicherheit der kryptografischen Verfahren zu umgehen versuchen. Der in dieser Arbeit thematisierte diskrete Logarithmus ist u. a. neben Faktorisierungsproblemen für natürliche Zahlen ein zahlentheoretisches Problem, das eine besondere Bedeutung für die Sicherheit verschiedener kryptografischer Verfahren hat. Ziel dieser Arbeit ist es, den diskreten Logarithmus zu definieren, eine Anwendungsmöglichkeit aufzuzeigen und vier Verfahren zur Berechnung vorzustellen. Es werden jeweils die zentralen Aspekte herausgearbeitet und durch einige Beispiele und Abbildungen ergänzt. In Kapitel 2 werden zunächst die notwendigen mathematischen Grundlagen und Definitionen für die Thematik erläutert. Im Mittelpunkt stehen v. a. Restklassenringe und prime Restklassengruppen. In Kapitel 3 wird der diskrete Logarithmus allgemein und in der Gruppe der primen Restklassen einer Primzahl definiert. Mit dem Diffie-Hellman-Schlüsselaustausch wird kurz eine Anwendungsmöglichkeit für diskrete Logarithmen aufgezeigt. Des Weiteren werden vier Verfahren zur Berechnung des diskreten Logarithmus vorgestellt: das Enumerationsverfahren, der Pollard- -Algorithmus, der Pohlig-Hellman-Algorithmus sowie der Index-Calculus-Algorithmus. Die Ausführungen werden durch Beispiele ergänzt. Die Arbeit schließt in Kapitel 4 mit einem kurzen Fazit. 3

4 Kapitel 2: Restklassenringe und prime Restklassengruppen 2 Restklassenringe und prime Restklassengruppen Zum besseren Verständnis der Thematik des diskreten Logarithmus und der darauf aufbauenden kryptografischen und kryptoanalytischen Verfahren werden im Folgenden einige der zentralen mathematischen Sachverhalte kurz dargestellt und an einem ausführlichen Beispiel veranschaulicht. 2.1 Halbgruppen und Gruppen Definitionen Ein Paar, aus einer nicht leeren Menge M und einer Verknüpfung heißt Halbgruppe, wenn folgende Axiome erfüllt sind: 1. :, d. h. die Verknüpfung zweier Elemente der Menge liegt wiederum in der Menge (Abgeschlossenheit, innere Verknüpfung) 2.,, : (Assoziativgesetz) Wenn zusätzlich gilt, dass 3., : (Kommutativgesetz), liegt eine kommutative (abelsche) Halbgruppe vor. Existiere n k önnen des Weiteren: 4. ein neutrales Element: : (bei additiver Verknüpfung Nullelement: 0, bei multiplikativer Verknüpfung Einselement: 1). 5. ein inverses Element: :, heißt dann invertierbar in der Halbgruppe (bei additiver Verknüpfung:, bei multiplikativer Verknüpfung: ). Hat eine Halbgruppe ein neutrales Element und ist jedes Element von invertierbar, liegt eine Gruppe vor. Ist die Halbgruppe kommutativ, so heißt auch die Gruppe kommutativ. Mit wird die Ordnung einer Halbgruppe oder Gruppe bezeichnet. Sie ist definiert als die Anzahl ihrer Elemente, also. 4

5 Kapitel 2: Restklassenringe und prime Restklassengruppen Untergruppen Als Untergruppe einer Gruppe wird eine Teilmenge von bezeichnet, die mit der Verknüpfung von wieder eine Gruppe ist. Ist eine multiplikative Gruppe, so ist die Menge für jedes eine Untergruppe von, wobei 0; 1; 2; ist. heißt erzeugendes Element oder Erzeuger, die von erzeugte Untergruppe. Kann jedes Element aus als Potenz mit und geschrieben werden, ist eine zyklische Gruppe (siehe auch Beispiel 2.3). 2.2 Ringe und Körper Definitionen Ein Tripel,, ist ein Ring, wenn gilt: 1., ist eine kommutative Gruppe mit Nullelement 2., ist eine Halbgruppe 3.,, : (Distributivgesetz) Wenn, zusätzlich kommutativ ist, heißt kommutativer Ring. Das neutrale Element der Halbgruppe, wird Einselement genannt. Ein Ring mit Einselement heißt auch unitärer Ring. Ein Element in einem unitären Ring heißt invertierbar oder Einheit, wenn es in, invertierbar ist. Die Menge der invertierbaren Elemente eines kommutativen Rings mit Einselement bilden die sogenannte Einheitengruppe. Ein kommutativer Ring mit Einselement, in dem es für alle \ 0 ein multiplikatives Inverses gibt, heißt Körper. Im Kontext diskreter Logarithmen spielen die sogenannten Restklassenringe und -körper eine besondere Rolle. Diese werden im Folgenden näher erläutert Restklassen Die Restklasse einer Zahl mit 1; 2; 3; ist die Menge aller ganzen Zahlen, die sich aus durch Addition von ganzzahligen Vielfachen von ergeben:,. 5

6 Kapitel 2: Restklassenringe und prime Restklassengruppen Die Menge aller Restklassen mit m ist /,. Da bei der Division durch alle ganzzahligen Reste von 0 bis 1 auftreten, besitzt genau Elemente Restklassengruppen Eine besondere Rolle in der Kryptografie spielt die Menge aller primen Restklassen. Es handelt sich um eine endliche kommutative Gruppe bezüglich der Multiplikation, die als prime Restklassengruppe bezeichnet und durch / symbolisiert wird. Mithilfe der Eulerschen φ-funktion :, wird die Ordnung von / berechnet. ist die Anzahl der Zahlen 1; 2; ; mit, 1 und 1 1. Insbesondere ist 1, wenn eine Primzahl ist. Tabelle 1 stellt für 1; 2; ; 15 alle Werte der Eulerschen φ-funktion dar. m Tabelle 1: Werte der Eulerschen -Funktion Sei eine multiplikativ geschriebene Gruppe mit neutralem Element 1 und. Die kleinste natürliche Zahl, für die 1 gilt, heißt Ordnung von in. Diese wird mit bezeichnet. Existiert keine solche Zahl, ist die Ordnung von in unendlich. Liegt mit eine endliche und zyklische Gruppe vor, berechnet sich die Anzahl der Erzeuger von zu. Nach [Bu04, S. 36, Theorem ] hat jeder Erzeuger von die Ordnung (siehe auch Beispiel 2.3) Restklassenringe Auf der Menge / aller Restklassen spielen zwei innere Verknüpfungen eine besondere Rolle: 1. : / / / mit (additive Verknüpfung) 6

7 Kapitel 2: Restklassenringe und prime Restklassengruppen 2. : / / / mit (multiplikative Verknüpfung) Das Tripel /,, bildet einen kommutativen Ring mit Einselement 1 (vgl ), dieser heißt Restklassenring. Vereinfachend wird häufig nur / geschrieben. Ist der größte gemeinsame Teiler, 1, folgt nach [Bu04, S. 31, Theorem 3.6.2], dass die Restklasse in / invertierbar ist. Diese wird als prime Restklasse bezeichnet Restklassenkörper Besonders relevant ist die Einheitengruppe eines Körpers, da diese immer zyklisch ist. Falls ein endlicher Körper mit Elementen ist, gilt nach [Bu04, S. 55, Korollar ], dass zyklisch von der Ordnung 1 ist und genau 1 Erzeuger hat. Gemäß [Bu04, S. 32, Theorem 3.6.4] ist der Restklassenring / genau dann ein Körper, wenn eine Primzahl ist. / heißt Restklassenkör per; er findet in der Kryptografie vielfach Verwendung. Eine Zahl heißt Primitivwurzel, wenn die Restklasse die prime Restklassengruppe / erzeugt (vgl. [Bu04, S. 55] und Beispiel 2.3) Der kleine Satz von Fermat Ist, 1, dann folgt 1. Mithilfe dieser Kongruenz können prime Restklassengruppen einfach invertiert werden, denn ist die inverse Restklasse von. Insbesondere gilt für eine Primzahl : 1. Dann ist die inverse Restklasse von. Tatsächlich gilt: 2.3 Beispiel 1. In diesem Beispiel werden insbesondere die Begriffe Ring, Körper, Untergruppe, Erzeuger, Primitivwurzel und Ordnung behandelt. 7

8 Es seien /13 und K /13.,, ist nicht nur ein kommutativer Ring 13, sondern sogar ein Körper (vgl ). Dabei gilt lt : 13,, ; 1 13 ; 2 13 ; ; Zunächst ist, eine kommutative Gruppe mit dem Nullelement 13. Da 13 eine Primzahl ist, ist lt auch, eine kommutative Gruppe mit dem Einselement 1 13 und der Ordnung (vg l. Tabel le 1), d. h. enthält 12 Elemente. Insbesondere besitzt jedes Element 13 aus nach dem kleinen Satz von Fermat (vgl ) ein Inverses 13. So gilt z. B. für 5 13 mit tatsächlich: Die Teilmenge ist eine Untergruppe von für jedes. Insbesondere gilt: 2 13, d. h ist ein Erzeuger von, die Gruppe ist also zyklisch (vgl ). Es gibt 12 4 derartige Erzeuger, nämlich 2 13, 6 13, 7 13 und 11 13, und damit die vier Primitivwu rzeln 2, 6, 7 und 11. Es gilt also: :, 13, 2; 6; 7; 11 bzw. für mit 1; 2; ; 12 : Es gilt sogar 0; 1; ; 11 (vgl. 3.2). Da zyklisch und endlich ist, hat jeder Erzeuger die Ordnung (vgl ). So gilt z. B. für 2 13 : D. h. ist die kleinste natürliche Zah l, für die gil t: Diskrete Logarithmen Dem diskreten Logarithmus kommt in der Kryptografie eine große Bedeutung zu, da die Sicherheit von vielen kryptografischen Verfahren auf dem mit ihm verbundenen soge- 8

9 nannten diskreten Logarithmus-Problem beruht. Verfahren, die sich dieses Problem zu Nutze machen, sind u. a. das Diffie-Hellmann- (vgl. 3.4) und ElGamal-Verfahren. 3.1 Allgemeine Definition Sei eine endliche, zyklische (also multiplikative) Gruppe mit der bekannten Ordnung, ein Erzeuger von und beliebig. Der diskrete Logarithmus von zur Basis ist dann die kleinste nicht negative Zahl 0; ; 1, für die gilt:. Für den diskreten Logarithmus wird geschrieben. 3.2 Der diskrete Logarithmus in / Für jede Primzahl ist, mit / lt eine endliche zyklische Gruppe mit der Ordnung 1. Dabei besitzt 1 ; ; 1 das Einselement 1. Sei nun ein Erzeuger von mit der Primitivwurzel (vgl ). Dann gil t:, d. h. 1; ; 1, mit,d.h.. Wie unter 3.1 gilt auch hier:. Für die gilt sogar die für die Eigenschaften der DL-Funktion wichtige Einschränkung 0; ; 2, wie die folgende Überlegung zeigt. Nach [Bu04, S. 5, Theorem 2.2.4] gilt für ein beliebiges zunächst wegen 1 und 1 0:, (eindeutig bestimmt) mit 0 1 bzw. 0 2, so dass 1. Daraus folgt für die (sieh e oben) :... 9

10 1 1 D. h. der Exponent kann als ein gewählt werden mit 0 2. Die Abbildung : 1; ; 1 0; ; 2 ist bijektiv und besitzt eine ebenfalls bijektive Umkehrfun ktion : 0; ; 2 1; ; 1, die diskrete Exponentialfunktion. Für die DL-Funktion sind insbesondere die folgenden beiden Rechengesetzte von Interesse (vgl. [MOV97, S. 103]): 1. mit,, 1; ; 1 und. 2. mit, 1; ; 1 und. Während die Exponentialfunktion mithilfe entsprechender Verfahren sehr effizient berechnet werden kann, ist die Berechnung diskreter Logarithmen bei geeigneter Wahl der relevanten Größen ein schwer zu lösendes Problem (diskretes Logarithmus-Problem (DLP)), für das bis heute keine effizienten Algorithmen bekannt sind. Aufgrund dieser Asymmetrie findet der diskrete Logarithmus in der Kryptografie vielfach Verwendung. 3.3 Fortführung des Beispiels aus 2.3 Für 13 hat die prime Restklassengruppe /13 die Ordnung Einer der vier Erzeuger dieser Gruppe ist das Element 2 13 mit der Primitivwurzel 2. Für z. B gilt nun: , d.h.4 3. Tabelle 2 und Abbildung 1 geben für 2 und 13 einen vollständigen Überblick über alle diskreten Logarithmen. a Tabelle 2: Diskrete Logarithmen für 2 und 13 10

11 DL 2 (a) log 2 (a) log 2 (a) a Abbildung 1: diskreter und stetiger Logarithmus Es fällt auf, dass der diskrete Logarithmus nur für bestimmte Argumente mit dem gewöhnlichen Logarithmus übereinstimmt (vgl. Abbildung 1). So gilt z. B , aber 3 1, Anwendungsbeispiel: Diffie-Hellman-Schlüsselaustausch Das von Diffie und Hellman vorgestellte Verfahren stellt eine sehr anschauliche Anwendungsmöglichkeit des DLP dar. Es handelt sich dabei um ein Verfahren zum Austausch eines geheimen Schlüssels über eine unsichere öffentliche Leitung. Das DLP wird dazu verwendet, den sicheren Austausch des geheimen Schlüssels durchzuführen. Zu Beginn der Kommunikation einigen sich die beteiligten Parteien, hier die Personen Alice und Bob, öffentlich auf eine Primzahl und eine Primitivwurzel (vgl ) mit 2 2. Anschließend wählt Alice zufällig eine natürliche Zahl 0, 1,, 2 als diskreten Logarithmus und berechnet (vgl. 3.2). Bob wählt analog zufällig eine natürliche Zahl 0, 1,, 2 mit und berechnet. Die Ergebnisse und werden an den jeweils anderen Kommunikationspartner geschickt. Alice und Bob können nun den geheimen Schlüssel berechnen. Dazu führt Alice die Berechnung durch, während Bo b mit der Berechnung 11

12 zum gleichen Ergebnis kommt. Damit ist der geheime Schlüssel bestimmt (vgl. Abbildung 2). Alice öffentliche Leitung Bob p = 17, g = 3 p = 17, g = 3 p = 17, g = 3 wählt: x 1 = 7 a = g x1 mod p = 11 b = 13 a = 11 b = 13 a = 11 wählt: x 2 = 4 b = g x2 mod p = 13 K = b x1 mod p = 4 K = a x2 mod p = 4 Abbildung 2: Beispiel des Diffie-Hellman-Schlüsselaustausches Beim Schlüsselaustausch werden die Zahlen,, und über den öffentlichen Kanal übertragen und können folglich von einer dritten Person abgehört werden. Unbekannt bleiben dieser aber die diskreten Logarithmen und (Diffie-Hellman-Problem). Mindestens einer dieser diskreten Logarithmen ist aber bei Kenntnis der anderen Größen zur Berechnung des geheimen Schlüssels erforderlich. Die Sicherheit des Verfahrens beruht auf der Schwierigkeit, derartige Logarithmen bei geeigneter Wahl der Zahlenwerte zu berechnen (DLP, vgl. 3.2). Ist ein Angreifer in der Lage, das DLP zu lösen, kann er den geheimen Schlüssel berechnen. Bisher ist die Lösung des DLP die einzige bekannte, allgemein anwendbare Methode, um das Diffie-Hellman-Problem in vertretbarer Zeit zu lösen und damit den geheimen Schlüssel zu erfahren. 3.5 Algorithmen für das diskrete Logarithmus-Problem Kategorisierung der Algorithmen Die bekannten Algorithmen zur Lösung des DLP können nach [MOV97, S. 104] in drei Kategorien eingeteilt werden: 1. Algorithmen, die in beliebigen Gruppen arbeiten, z. B. das Enumerationsverfahren (vgl ), der Shanks Babystep-Giantstep-Algorithmus oder der Pollard-ρ-Algorithmus (vgl ). 12

13 2. Algorithmen, die in beliebigen Gruppen arbeiten, aber v. a. bei kleinen Primfaktoren sehr effizient arbeiten, z. B. der Pohlig-Hellman-Algorithmus (vgl ). 3. Der Index-Calculus-Algorithmus, der nur in ganz bestimmten Gruppen effizient arbeitet (vgl ) Enumerationsverfahren Das Enumerationsverfahren ist das intuitivste und einfachste Verfahren zur Bestimmung des diskreten Logarithmus in einer endlichen zyklischen Gruppe (vgl. 3.1). Das Verfahren besteht darin, alle Möglichkeiten für 0; ; 1 sukzessive auszuprobieren, bis für ein konkretes die chung bzw. (vgl. 3.1) erfüllt ist. Erfüllt diese Gleichung, ist der gesuchte diskrete Logarithmus. Für 13 aus /13 mit 6 und Erzeuger 13 mit Primitivwurzel 2 ergibt sich der gesuchte diskrete Logarithmus 6 5 aus der folgenden Tabelle: x Tabelle 3: Bestimmung des diskreten Logarithmus für 6, 13und 2 Das Verfahren erfordert im Allgemeinen 1 Multiplikationen, Vergleiche in sowie Speicherplatz für die drei Gruppenelemente, und. Da in kryptografischen Verfahren 2 gewählt wird, ist das Enumerationsverfahren in der Praxis aufgrund des hohen Aufwands es wären mindestens 2 1 Gruppenoperationen notwendig nicht zur Bestimmung des diskreten Logarithmus geeignet. Zur Bestimmung des diskreten Logarithmus von 13 aus /2017 mit 3 (2017 ist Primzahl), dem Erzeuger 2017 und der Primitivwurzel 5 benötigt das Enumerationsverfahren beispielsweise Multiplikationen 2017 und 1030 Vergleiche Pollard- -Algorithmus Der Pollard- -Algorithmus ist ein weiteres Verfahren zur Bestimmung des diskreten Logarithmus (vgl. 3.1), das insgesamt weniger Gruppenoperationen, dafür aber mehr Speicherplatz als das Enumerationsverfahren benötigt. Es seien 13

14 , und paarweise disjunkte Teilmengen von mit sowie 1; ; eine Zufallszahl. Des Weiteren sei eine Folge aus Gruppenelementen definiert durch und ü, ü, ü. Die Folge lässt sich wiederum darstellen durch die beiden Folgen und mit 0 als. Dabei ist die Folge definiert durch die bereits bekannte Zufallszahl (Startwert) und 1 ü, x 2 ü, ü sowie die Folge durch den Startwert 0 und ü, y 2 ü, 1 ü. Da die Gruppe endlich ist, muss die Folge zwei gleiche Gruppenelemente, ein sogenanntes Match, mit 0 und 1 enthalten. Dass immer ein solches Match gefunden wird, liegt daran, dass die Folge periodisch wird. Sei, das erste Match; dann ist 0 und. Aufgrund der Konstruktion der Folge gilt ebenfalls für alle 0. Die Folge ist also periodisch mit Vorperiode s und der Periode k. Grafisch dargestellt ergibt sich ein Bild, das dem griechischen Buchstaben ähnelt (vgl. Abbildung 3), daher hat dieser Algorithmus auch seinen Namen. ß i = ß i+k ß s = ß s+k Periode ß s-1 Vorperiode ß s+k-1 ß 0 Abbildung 3: Darstellung des Pollard- -Algorithmus 14

15 Für ein Match, gilt: lt. X3.2 Um den diskreten Logarithmus zu bestimmen, muss die letzte Kongruenz gelöst werden. Diese Kongruenz besitzt nach [Bu04, S. 31, Theorem 3.6.2] genau dann eine eindeutige Lösung 1; ; 1, wenn der, 1 ist. Ist das Ergebnis nicht eindeutig, kann die Lösung entweder durch Ausprobieren oder ist dies nicht effizient genug möglich durch wiederholte Durchführung des Verfahrens mit einem anderen Startwert ermittelt werden. Beispiel Für 13 aus /13 mit 6 und Erzeuger 13 mit Primitivwurzel 2, 1; ; 4, 5; ; 8, 9; ; 12, 3 und 0 stellt Tabelle 4 einen Ausschnitt der Folgen für 0 ; ; 8 dar. i Tabelle 4: Folgen des Pollard- -Algorithmus Ab 4 wiederholen sich die Elemente der Folge mit einer Periode von 4. Folglich ist bei ein Match erreicht. Zu lösen ist die Kongruenz 15

16 Da der 3, ist, gibt es keine eindeutige Lösung. Nach [Bu04, S. 11, Korollar 2.7.6] existiert jedoch eine Lösung, die eindeutig ist, weil der 3,12 3 ein Teiler von 3 ist. D. h wird zu mit 4 bzw. 4 und führt zu der Lösung 5. Der gesuchte diskrete Logarithmus ist ein er der Werte 5 4, 0 3. k Tabelle 5: Suche nach dem diskreten Loga rithmus Für 0 ist die Bedingung für den diskreten Logarithmus (vgl. 3.1) erfüllt. Damit ist 5 der gesuchte diskrete Logarithmus. Aufwandsabschätzung Nach [Bu04, S. 181] ist die Summe aus Vorperiode und Periode Ο. Ist 2 und 2, dann liegt das gespeicherte Element in der Periode und die Folge,,,,,, ist mindestens so lang wie die Periode. Folglich stimmt eines ihrer Elemente mit überein. Beim Vergleich aller Elemente der Folge mit wird nach Berechnung von Ο Folgengliedern immer ein Match gefunden. Bisher wird lt. [Bu04, S. 179] Speicherplatz Ο benötigt, da alle Tripel,, gespeichert werden. Dies kann optimiert werden, indem beginnend mit,, immer nur ein Tripel gespeichert wird. Ein neu berechnetes Tripel,, für 1, 2, wird gespeichert, wenn 2 gilt. Es werden also nur die Tripel,, mit 2 gespeichert. Die Berechnung der Folgen ist beendet, wenn ein Match gefunden wird. Der Pollard- -Algorithmus benötigt insgesamt also Ο Gruppenoperationen und muss Ο 1 Tripel speichern. Effizienzsteigerung Werden bei der Durchführung des Algorithmus nicht ein, sondern acht Tripel gespeichert, kann lt. [Bu04, S. 181] die Effizienz gesteigert werden. Laufzeit und Speicherbe- 16

17 darf bleiben unverändert. Alle Tripel werden mit,, initialisiert. Beginnend mit 1 hat das zuletzt gespeicherte Tripel den Index. Für 1, 2, wird,, berechnet. Liegt ein Match zwischen und einem gespeicherten Gruppenelement vor, wird versucht, den diskreten Logarithmus zu bestimmen. Ist 3, wird das erste gespeicherte Tripel gelöscht und,, an die gespeicherten Tripel angehängt Pohlig-Hellman-Algorithmus Der Pohlig-Hellman-Algorithmus erreicht eine Laufzeitverbesserung zur Bestimmung des diskreten Logarithmus (vgl. 3.1), indem dieser nicht direkt berechnet, sondern auf einfachere Probleme zurückgeführt wird: 1. DLP in auf Problem in Gruppen von Primzahlpotenzordnung reduzieren 2. weitere Reduktion auf Problem in Gruppen von Primzahlordnung Voraussetzung ist die Kenntnis der Primfaktorzerlegung der Gruppenordnung : Reduktion auf Primzahlpotenzordnung. Für das DLP jedes Primfakto rs von gilt:,,, mit diskretem Logarithmus. erzeugt eine Gruppe von Primzahlpotenzordnung, die eine zyklische Untergruppe von bildet; ist Element dieser Gruppe. Gilt, so lö st dieses alle DLP der Primfaktoren von :. Umgekehrt kann bei Kenntnis aller aus diesen der diskrete Logarithmus über die simultane Kongruenz für alle Primteiler von berechnet werden, da für diese gilt: 17

18 1 lt. Bu04, S. 35, Theorem Ebenfalls teilt den größten gemeinsamen Teiler aller. Da dieser 1 ist, folgt: Es gilt also tatsächlich: 1. :. Um die diskreten Logarithmen zu berechnen, kann z. B. der lard- -Algorithmus (vgl ) verwendet werden. Die simultane Kongruenz und der diskrete Logarithmus können mit Hilfe des chinesischen Restsatzes gelöst werden (Details zum chinesischen Restsatz finden sich u. a. bei [Bu04, S. 43 ff.]). Reduktion auf Primzahlordnungen Die Lösung des DLP wird weiter vereinfacht, indem die diskreten Logarithmen nicht direkt berechnet werden, sondern auf diskrete Logarithmen in Gruppen von Primzahlordnung mit für eine Primzahl zurückgeführt werden. Zu bestimmen ist der diskrete Logarithmus mit 0. kann in die p-adische Darstellung (vgl. [Bu04, S. 5 f.]) gebracht werden:, 0,. Aus und lässt sich jedes als Lösung eines DLP in einer Gruppe der Ordnung bestimmen:

19 Der Koeffizient ist die Lösung eines DLP in einer Gruppe der Ordnung p, weil die Ordnung hat. Die anderen lassen sich sukzessive beginnend mit berech- nen. Sei mit und. Dann gilt: Sind alle,,, bekannt, kann aus diesen berechnet werden. Mit gilt: : Um letztendlich zu bestimmen, müssen also zunächst DLP in Gruppen der Ordnung zur Berechnung der gelöst werden. Wird zur Lösung der diskreten Logarithmen der Pollard- -Algorithmus verwendet, ergibt sich lt. [Bu04, S. 185, Theorem ] die Laufzeit: log log. Dabei ist die Anzahl der p-adischen Stellen der, log der Aufwand des Potenzierens, der Aufwand für das Lösen durch den Pollard- -Algorithmus und log der Aufwand des Lösens der simultanen Kongruenzen. Beispi el nach [Bu04, S. 182 ff.] Für 2017 aus /2017 mit 3 und Erzeuger 2017 mit Primitivwurzel 5 wird der diskrete Logarithmus 3, der die Kongruenz löst. Die Gruppenordnung ist Zu berechnen ist 2 2 in einer Untergruppe der Ordnung 2 32 aus der Kongruenz 19

20 Es ergibt sich , , , Anschließend wird in einer Untergruppe der Ordnung 3 9 berechnet: , Zuletzt wird 7 7 in einer Untergruppe der Ordnung 7 bestimmt: Aus der simultanen Kongruenz , 4 9, 1 7 ergibt sich der gesuchte diskrete Logarithmus mittels des chinesischen Restsatzes Index-Calculus-Algorithmus Die bisher beschriebenen Verfahren arbeiten in beliebigen zyklischen Gruppen. Die Index-Calculus-Algorithmen sind hingegen effizienter in /, wobei eine Primzahl ist (vgl ), und allgemein in der multiplikativen Gruppe eines endlichen Körpers. Im Folgenden wird der einfachste Index-Calculus-Algorithmus vorgestellt. Gesucht ist der diskrete Logarithmus mit mit der Primitivwurzel (vgl ) und Elementen 1; ; 1. Es wird eine Schranke festgelegt und die sogenannte Faktorbasis, aufgestellt. Eine Zahl heißt B-glatt, wenn alle Primfaktoren von in liegen. Die Methode besteht aus zwei Schritten: 20

21 1. Berechnung der diskreten Logarithmen aller Faktorbasiselemente zur Basis 2. Berechnung des gesuchten diskreten Logarithmus Diskrete Logarithmen der Faktorbasiselemente Gesucht ist der diskrete Logarithmus, der für alle löst. Dazu werden zufällige 1; ; 1 mit B-blatt gewählt und die Faktorisierung, mit den Relationen, berechnet. Nach [Bu04, S. 190] ist das Auffinden von Relationen in / möglich, da die Gruppenelemente in den Ring der ganzen Zahlen abgebildet werden können. Hier existiert eine eindeutige Primfaktorzerlegung. Nach Bestimmung von Relationen wird ein lineares Kongruenzensystem aufgestellt:,,,, 1,.3.2. Die Lösungen dieses Gleichungssystems über / 1 sind die, die mittels des Gaußalgorithmus jeder Primfaktorpotenz, die 1 teilt, bestimmt werden können. Anschließend können die mithilfe des chinesischen Restsatzes berechnet werden. Beis piel nach [ Bu04, S. 187 f.] Sei 2027, 2 und 11 2; 3; 5; 7; 11. Es ergeben sich die Relationen: Aus diesen und für 2, 3, 5, 7, 11 ergibt sich das Kongruenzsystem

22 Da die Primfaktorzerlegung von ist, muss das Kongruenzensystem 2 und 1013 gelöst werden: Wegen 2 gilt 2 1. Es folgt: und Das Kongruenzensystem führt zu Zur Bestimmung von 5 muss invertiert werden: Dies führt zu Aus der zweiten Kongruenz ergibt sich Aus der ersten Kongruenz folgt Letztendlich führt dies zu 2 1, 3 282, , , Berechnung von Auf der Grundlage der errechneten wird ein Exponent 1; 2; ; 1 gewählt, so dass B-blatt ist: 0, 22

23 Kapitel 4: Fazit 1. ist dann der gesuchte diskrete Logarithmus. Beispiel nach [Bu04, S. 188] Um die Kongruenz zu lösen, werden zunächst solange Zufallszahlen 1; 2; ; 2026 gewählt, bis ausschließlich Primfaktoren aus 11 enthält. Es ergibt sich Unter Zuhilfenah me der Ergebnisse aus dem vorangegangenen Beispiel folgt Die Laufzeit des Index-Calculus-Algorithmus ist nach [Bu04, S. 188] subexponentiell mit 1/2, 1. Lt. [MOV97, S. 109] ist er damit der zurzeit effizienteste bekannte Algorithmus zur Lösung von diskreten Logarithmen in /. Interessant ist, dass der größte Aufwand in der Berechnung der diskreten Logarithmen aller Faktorbasiselemente steckt. Ist diese Berechnung abgeschlossen, können Logarithmen zur gleichen Basis einfach bestimmt werden, da nur noch der zweite Schritt durchzuführen ist. 4 Fazit In dieser Arbeit wurde der diskrete Logarithmus definiert, es wurde mit dem Diffie-Hellman-Schlüsselaustauschverfahren eine Anwendungsmöglichkeit aufgezeigt. Es wurden mit dem Enumerationsverfahren, dem Pollard- -Algorithmus, dem Pohlig-Hellman-Algorithmus sowie dem Index-Calculus-Algorithmus vier Verfahren zur Berechnung des diskreten Logarithmus vorgestellt. Es wurde deutlich, dass der diskrete Logarithmus aufgrund des mit ihm verbundenen diskreten Logarithmus-Problems geeignet ist, als Grundlage für die Sicherheit in kryptografischen Algorithmen eingesetzt zu werden. Dem diskreten Logarithmus kommt folglich in der Kryptografie eine große Bedeutung zu. Letztendlich beruht damit auch die Sicherheit der mit den entsprechenden Verfahren verschlüsselten Informationen auf dem diskreten Logarithmus-Problem. Die Arbeit hat herausgestellt, dass die Asymmetrie zwischen leichter Berechnung der diskreten Exponentialfunktion und der nur schwer 23

24 Kapitel 4: Fazit berechenbaren diskreten Logarithmusfunktion zentral für die Sicherheit und praktische Verwendbarkeit des diskreten Logarithmus ist. Bis heute ist kein Verfahren bekannt, das allgemein in der Lage ist, den diskreten Logarithmus effizient zu berechnen. Das heißt allerdings nicht, dass solche Verfahren nicht schon existieren und diese nur nicht öffentlich bekannt sind. Gerade Geheimdienste haben in der Vergangenheit die Entdeckung solcher Verfahren lange Zeit geheim gehalten. In anderen Arbeiten konnte theoretisch bewiesen werden, dass das diskrete Logarithmus-Problem auf einem Quantencomputer leicht lösbar wäre. Bisher sind jedoch alle Versuche, einen Quantencomputer zu bauen, gescheitert. Schon diese Unwägbarkeiten zeigen, dass beim Einsatz von kryptografischen Algorithmen auf Basis des diskreten Logarithmus-Problems, sowie generell beim Einsatz kryptografischer Verfahren, sehr genau auf die möglichen Risiken geachtet werden muss. Dazu bedarf es fundierter Kenntnisse aller Aspekte entsprechender Verfahren. Diese Arbeit bietet entsprechende Grundlagen für den diskreten Logarithmus. 24

25 5 Literaturverzeichnis [Bu04] Johannes Buchmann: Einführung in die Kryptographie, 3., erweiterte Auflage, Springer, [MOV97] Alfred J. Menezes, Paul C. Van Oorschot, Scott A. Vanstone: Handbook of applied cryptography. In: The CRC Press series on discrete mathematics and its applications Computer sciences applied mathematics engineering, CRC Press, 1997.