Das Generalized Birthday Problem

Transkript

1 Das Generalized Birthday Problem Problem Birthday Gegeben: L 1, L 2 Listen mit Elementen aus {0, 1} n Gesucht: x 1 L 1 und x 2 L 2 mit x 1 x 2 = 0. Anwendungen: Meet-in-the-Middle Angriffe (z.b. für RSA, ElGamal) Kollisionen für Hashfunktionen h : {0, 1} {0, 1} n Problem Generalized Birthday Gegeben: L 1,..., L k Listen mit Elementen aus {0, 1} n, unabhängig und gleichverteilt gezogen Gesucht: x 1 L 1,..., x k L k mit x 1... x k = 0 Listen können auf beliebige Länge erweitert werden. Wir erwarten die Existenz einer Lösung sobald L 1... L k > 2 n. Kryptanalyse II - V Generalized Birthday, 4-Listen Algorithmus, k-listen Algorithmus 33 / 56

2 Zusammenfügen zweier Listen Definition Join-Operator Wir bezeichnen mit low l (x) die l niederwertigsten Bits von x. Wir definieren für zwei Listen L 1, L 2 den Join-Operator L 1 l L 2 = {(x 1, x 2, x 1 x 2 ) L 1 L 2 {0, 1} n low l (x 1 ) = low l (x 2 )}. Eigenschaften: Es gilt low l (x 1 x 2 ) = 0 gdw low l (x 1 ) = low l (x 2 ). Bei Eingabe L 1, L 2 kann L 1 L 2 leicht berechnet werden. Falls x 1 x 2 = x 3 x 4, dann gilt x 1 x 2 x 3 x 4 = 0. Falls low l (x 1 x 2 ) = 0 und low l (x 3 x 3 ) = 0, dann gilt low l (x 1 x 2 x 3 x 4 ) = 0 und Ws[x 1 x 2 x 3 x 4 = 0] = 1 2 n l. Kryptanalyse II - V Generalized Birthday, 4-Listen Algorithmus, k-listen Algorithmus 34 / 56

3 Algorithmus für das 4-Listen Problem Algorithmus 4-Listen Problem EINGABE: L 1, L 2, L 3, L 4 der Länge L i = 2 n 3 mit Elementen aus {0, 1} n 1 Setze l := n 3. 2 Berechne L 12 = L 1 l L 2 und L 34 = L 3 l L 4. 3 Berechne L 1234 = L 12 n L 34. AUSGABE: Elemente von L 1234 Kryptanalyse II - V Generalized Birthday, 4-Listen Algorithmus, k-listen Algorithmus 35 / 56

4 Korrektheit des 4-Listen Problem Algorithmus Korrektheit: Elemente von L 12, L 34 erfüllen low n (x 1 x 3 2 ) = low n (x 3 x 3 4 ) = 0. Wir erwarten Listenlänge E[ L 12 ] = (x 1,x 2 ) L 1 L 2 Ws[low n (x 1 x 3 2 ) = 0] = L 1 L 2 = 2 n 2 n 3. 3 Analog gilt E[ L 34 ] = 2 n 3. Elemente von L 1234 erfüllen x 1 x 2 x 3 x 4 = 0. Die erwartete Listenlänge E[ L 1234 ] von L 1234 ist (x 1,...,x 4 ) L 12 L 34 Ws[x 1... x 4 = 0 low n 3 (x 1 x 2 ) = low n 3 (x 3 x 4 )] = E( L 12 ) E( L 34 ) 2 2n 3 = 1. D.h. wir erwarten, dass L 1234 mindestens eine Lösung enthält. Kryptanalyse II - V Generalized Birthday, 4-Listen Algorithmus, k-listen Algorithmus 36 / 56

5 Laufzeitanalyse des 4-Listen Problem Algorithmus Laufzeit und Speicherplatz: Die Listen L 1,..., L 4, L 12, L 34 benötigen jeweils Platz Õ(2 n 3 ). Die Konstruktion von L 12, L 34 geht in Laufzeit Õ(2 n 3 ). Konstruktion von L 1234 benötigt ebenfalls Laufzeit Õ(2 n 3 ). Gesamt: Zeit und Platz Õ(2 n 3 ) Übungen: Modifizieren Sie den Algorithmus, so dass low l (x 1 x 2 ) = low l (x 3 x 4 ) = c für ein c {0, 1} l. wir x 1 x 2 x 3 x 4 = c für ein c {0, 1} n lösen können. wir jede Instanz mit k 4 in Zeit und Platz Õ(2 n 3 ) lösen können. Kryptanalyse II - V Generalized Birthday, 4-Listen Algorithmus, k-listen Algorithmus 37 / 56

6 4-Listen Problem in Z 2 n Ziel: Verwende Gruppe (Z 2 n, +) statt ({0, 1} n, ) = (F 2 n, +). Sei L = { x Z 2 n x L}. Algorithmus 4-Listen Problem EINGABE: L 1, L 2, L 3, L 4 mit Elementen aus {0, 1} n der Länge L i = 2 n 3 1 Setze l := n 3. 2 Berechne L 12 = L 1 l L 2 und L 34 = L 3 l L 4. 3 Berechne L 1234 = L 12 n L 34. AUSGABE: Elemente von L 1234 Korrektheit: Wir erhalten (x 1, x 2, x 1 + x 2 ) L 12 mit x 1 + x 2 = 0 mod 2 l. Man beachte: Für x 1 + x 2 = 0 mod 2 l und x 3 + x 4 = 0 mod 2 l gilt x 1 + x 2 + x 3 + x 4 = 0 mod 2 l. Kryptanalyse II - V Generalized Birthday, 4-Listen Algorithmus, k-listen Algorithmus 38 / 56

7 Algorithmus k-listen Problem, k = 2 m Algorithmus k-listen Problem EINGABE: L 1,..., L 2 m mit Elementen aus {0, 1} n, Länge L i = 2 n m+1 1 Setze l := n m+1. 2 For i := 1 to m 1 1 FOR j := 1 to 2 m step 2 i /* Join aller benachbarten Listen auf Level i des Baumes */ 2 Berechne L j...j+2 i 1 = L j...j+2 i 1 1 l L j+2 i 1...j+2 i 1. 3 Berechne L m = L m 1 n L 2 m m. AUSGABE: Elemente von L m Beispiel für k = 2 3 : Join für i = 1: L 12 = L 1 l L 2, L 34 = L 3 l L 4,..., L 78 = L 7 l L 8. Join für i = 2: L 1234 = L 12 l L 34, L 5678 = L 56 l L 78. Join in Schritt 3: L = L n L Kryptanalyse II - V Generalized Birthday, 4-Listen Algorithmus, k-listen Algorithmus 39 / 56

8 Analyse des k-listen Algorithmus Korrektheit: Alle Startlisten besitzen Länge 2 l. D.h. durch das Join auf unterster Ebene entstehen Listen mit erwarteter Länge 2l 2 l 2 l = 2 l. Damit entstehen in Schritt 2 stets Listen mit erwarteter Länge 2 l. In Schritt 3 entsteht eine Liste L 1...k mit erwarteter Länge (x 1,...,x k ) Ws[x 1... x k = 0 low (m 1)l (x 1... x k2 ) = low (m 1)l (x k2 +1 x k )] = 2 2l = 1. 2n (m 1)l Kryptanalyse II - V Generalized Birthday, 4-Listen Algorithmus, k-listen Algorithmus 40 / 56

9 Analyse des k-listen Algorithmus Laufzeit und Platz: Die Listen L 1,..., L k besitzen benötigen jeweils Platz Õ(2 l ). In Schritt 2 berechnen wir k 2 Listen mit erwarteter Länge Õ(2 l ). Damit erhalten wir Speicherplatzbedarf Õ(k2 l ) = Õ(k2 Die Laufzeit für alle k 1 Join-Operationen beträgt Õ(2 l ). Damit ist die Gesamtlaufzeit ebenfalls Õ(k2 l ) = Õ(k2 n ). n ) Für k = 2 n erhalten wir Zeit und Speicherplatz Komplexität Õ(2 n 2 n n+1 ) = Õ(2 2 n ) Dies ist eine subexponentielle Funktion in n. Übung: Konstruieren Sie einen Algorithmus für k = 2 m + j, 0 < j < 2 m mit Komplexität Õ(k2 n ). Offenes Problem: Geht es für k = 2 m + j besser? Für k = 3 besser als Õ(2 n 2 )? Kryptanalyse II - V Generalized Birthday, 4-Listen Algorithmus, k-listen Algorithmus 41 / 56

10 Urbild Angriff auf Inkrementelle Hashfunktionen AdHash Konstruktion: (Bellare, Micciancio 1997) Hashe Nachricht x = (x 1,..., x k ) als H(x) = k i=1 h(i, x i) mod M. Inkrementell: Block x i kann leicht durch x i ersetzt werden. NASD Instantiierung: M = Algorithmus: Urbild Angriff auf AdHash EINGABE: Modul M = 2 256, Hashwert c 1 Generiere Listen L 1,..., L k mit L i = 2 n. 2 Liste L i enthält y (i) j = h(i, x j ) für zufällig gewählte x j. 3 k-listen Algorithmus liefert y (1) j 1,..., y (k) j k mit y (1) j y (k) j k = c mod und y (i) j i = h(i, x ji ). AUSGABE: x = (x j1,..., x jk ) mit H(x) = c mod M Kryptanalyse II - V Generalized Birthday Angriffe auf Hashfunktionen, Ringsignaturen, Stromchiffren 42 / 56

11 Urbild Angriff auf Inkrementelle Hashfunktionen Komplexität: Naive Urbildberechnung benötigt erwartet H-Auswertungen. Für unseren Angriff ist der k-listen Algorithmus laufzeitbestimmend. n Auswerten von k 2 für k = 128 liefert = Allgemein: Erhalten einen Angriff mit Komplexität Õ(2 2 log M ). D.h. für 80-Bit Sicherheit muss M > gewählt werden. Kryptanalyse II - V Generalized Birthday Angriffe auf Hashfunktionen, Ringsignaturen, Stromchiffren 43 / 56

12 Fälschen von einfachen Ringsignaturen Idee: Ringsignatur Sei U = {u 1,..., u k } eine Menge von Usern. Ein User u i möchte eine Unterschrift im Namen von U leisten. Eine Ringsignatur schützt die Anonymität von u i in U. Ringsignatur von Back (1997) Sei H eine Hashfunktion. 1 Gen: Generiere RSA Schlüssel (N i, e i, d i ) für alle User u i. 2 Sign: User u i wählt m j R Z Nj, j i, Nachricht m, und berechnet ( m i = H(m) di j i (me j j mod N j ))) mod N i. Ausgabe von (m, σ) mit der Signatur σ = (m 1,..., m k ). 3 Vrfy: Prüfe für (m, σ) die Identität k i=1 (me i i mod N i )? = H(m). Kryptanalyse II - V Generalized Birthday Angriffe auf Hashfunktionen, Ringsignaturen, Stromchiffren 44 / 56

13 Fälschen von Ringsignaturen Algorithmus Universelles Fälschen von Ringsignaturen EINGABE: Nachricht m, (N i, e i ) für i = 1,..., k 1 Berechne Listen L i für i = 1,..., k mit Elementen x (i) j = m e i j mod N i für m j R Z Ni. 2 k-listen Algorithmus liefert x (1) j 1,..., x (n) j n mit x (1) j 1... x (n) j n = H(m). AUSGABE: (m, σ) mit σ = (m j1,..., m jn ). Komplexität: Sei N = max i {N i }. Wir erhalten Komplexität O(k 2 log N ). D.h. für k = θ(log N) erhalten wir einen polynomiellen Angriff. Kryptanalyse II - V Generalized Birthday Angriffe auf Hashfunktionen, Ringsignaturen, Stromchiffren 45 / 56

14 Polynomielle Vielfache mit kleinem Gewicht Definition Gewicht eines Polynoms Sei p(x) = n i=0 p ix i F 2 [x]. Das Gewicht w(p) von p(x) ist definiert als das Hamminggewicht des Koeffizientenvektors von p(x), d.h. w(p) = w((p 0,..., p n )). Betrachten Korrelationsattacken auf Stromchiffren. Diese benötigen Polynomvielfache sehr kleinen Gewichts. Problem Polynomvielfache mit kleinem Gewicht Gegeben: p(x) F 2 [x] irreduzibel vom Grad n, Gradschranke d > n, Gewicht k Gesucht: m(x) F 2 [x] mit p(x) m(x), Grad d und w(m) k. Kryptanalyse II - V Generalized Birthday Angriffe auf Hashfunktionen, Ringsignaturen, Stromchiffren 46 / 56

15 Konstruktion von Polynomvielfachen Wir identifizieren Polynome in F 2 [x] mit ihren Koeffizientenvektoren. Algorithmus Polynomvielfache EINGABE: p(x) F 2 [x], Gewicht k 1 Setze die Gradschranke d := 2 n 2 Generiere Listen L i, i = 1,..., k mit Elementen der Form y (i) j = x a j mod p(x) für zufällig gewählte a j d. 3 k-listen Algorithmus liefert y (1) j 1,..., y (k) j k mit y (1) j 1 AUSGABE: m(x) = x a j x a j k... y (k) j k = 0. Kryptanalyse II - V Generalized Birthday Angriffe auf Hashfunktionen, Ringsignaturen, Stromchiffren 47 / 56

16 Konstruktion von Polynomvielfachen Korrektheit: Wir definieren F 2 n = F 2 [x]/p(x). Addition zweier Polynome in F 2 n entspricht dem XOR ihrer Koeffizientenvektoren. Damit gilt m(x) = x a j x a j k Wegen a j d besitzt m(x) Grad höchstens d. = 0 in F 2 n, d.h. p(x) teilt m(x). Ferner besteht m(x) aus k Monomen, d.h. besitzt Gewicht k. Für die Listengröße im k-listen Alg. benötigen wir d = 2 n. D.h. unser Algorithmus funktioniert nur für hinreichend großes d. Komplexität: Der k-listen Algorithmus liefert Komplexität Õ(k 2 n ). Bsp.: grad(p) = 120 und wir suchen Vielfaches mit Gewicht k = 4. Wir wählen d = 2 n = = 2 40 erhalten k 2 n = Kryptanalyse II - V Generalized Birthday Angriffe auf Hashfunktionen, Ringsignaturen, Stromchiffren 48 / 56

17 k-listen Problem über F 2 n für k n Problem Generalized Birthday für k n Gegeben: L 1,..., L k mit Elementen aus {0, 1} n, L i 2, k n. Gesucht: x 1 L 1,..., x k L k mit x 1... x k = 0 Idee: (Algorithmus von Bellare, Micciancio 1997) ObdA L i = {x i,0, x i,1 } für alle i, sonst entferne Elemente aus L i. { 0 falls x i,0 in L i ausgewählt wird. Definiere b i = 1 falls x i,1 in L i ausgewählt wird. D.h. wird müssen b = (b 1,..., b n ) {0, 1} n finden mit b 1 x 1,1 + (1 b 1 )x 1, b n x n,1 + (1 b n )x n,0 = 0 b 1 (x 1,1 x 1,0 ) b n (x n,1 x n,0 ) = (x x n ) Dies ist ein lineares Gleichungssystem in den b i. Falls die Matrix definiert durch die Vektoren x i,1 x i,0 vollen Rang besitzt, so können wir das System in Zeit O(n 3 + kn) lösen. Kryptanalyse II - V Generalized Birthday Angriffe auf Hashfunktionen, Ringsignaturen, Stromchiffren 49 / 56