Algorithmische Kryptographie Kapitel 18 Zusammenfassung

Transkript

1 Algorithmische Kryptographie Kapitel 18 Zusammenfassung Walter Unger Lehrstuhl für Informatik Januar 2009

2 Symmetrische Verfahren Wie ist ein symmetrisches Verfahren definiert Was zeichnet ein symmetrisches Verfahren aus Was ist der Nachteil eines symmetrisches Verfahren Was zeichnet den One-Time-Pad aus Welche symmetrischen Verfahren gibt es Wie arbeitet C-36 Was ist eine Idee vieler symmetrischer Verfahren Wie arbeitet DES Welche Vorteile, Nachteile hat DES? Wie kann man DES sicherer machen Wie mache ich aus DES einen Streamcipher Wie arbeitet IDEA Wie arbeitet IDEA im Detail Wie arbeitet AES Wie arbeitet AES Public-Key Systeme, RSA Welche Vorteile/Nachteile haben Public-Key Systeme Muss man einen Schlüsselaustausch machen Welche Probleme kann man zum Aufbau eines Public-Key Systems nutzen Was ist eine One-Way Funktion? Welche One-Way Funktionen gibt es Wie geht das Public-Key System mit SAT Wie arbeitet die Verschlüsselung nach dem Rucksackverfahren Warum ist die Verschlüsselung nach dem Rucksackverfahren korrekt

3 Wie erfolgt der Angriff auf das Rucksackverfahren Wie erfolgt der Angriff auf das Rucksackverfahren Wie erfolgt der Angriff auf das Rucksackverfahren Wie funktioniert RSA Warum ist die Entschlüsselung eindeutig Wie beweist man Bit-Sicherheit für < n/2 Wie ist die Idee zum Beweise der Bit-Sicherheit des LSB Wie ist die Idee zum Beweise der Bit-Sicherheit des LSB Was ergibt sich, wenn jemand ϕ(n) aus n und e bestimmen kann Was ergibt sich, wenn jemand d aus n und e bestimmen kann Wie sicher ist RSA Rabin, ElGamal, ECC, Hashf. Wie ist das System von Rabin aufgebaut Wie sicher ist das System von Rabin Wie funktioniert eine Unterschrift nach Rabin Was ist die Idee des Verfahrens nach ElGamal Wie funktioniert ElGamal Wie funktioniert ElGamal Wie funktionert eine Unterschrift nach ElGamal Was ist der Unterschied zwischen der Verschlüsselung mit Elliptischen Kurven und ElGamal Was ist eine Elliptische Kurve

4 Wie funktioniert ECC Wie wird die Eingabe beim ECC auf den Körper abgebildet Wie wird die Eingabe beim ECC auf den Körper abgebildet Wie sieht ECC im Überblick aus Wie arbeitet das OAEP Verfahren Wie konstruiert man eine Kompressionsfunktion Wie konstruiert man eine Hashfunktion Wie ist die Beweisidee bei Merkles Meta Methode Welche Eigenschaften werden zum Primzahltest verwendet Welche Fallen gibt es bei Quittungen

5 Wie ist ein symmetrisches Verfahren definiert (18:1) Walter Unger Z Frage 1: Wie ist ein symmetrisches Verfahren definiert? Definition Ein Verschlüsselungsverfahren heißt klassisch bzw. symmetrisch, falls man aus E [D] (und Schlüssel k) direkt auf D [E] schließen kann.

6 Was zeichnet ein symmetrisches Verfahren aus (18:2) Walter Unger Z Frage 2: Was zeichnet ein symmetrisches Verfahren aus? Schnell Bitschaufelei

7 Was ist der Nachteil eines symmetrisches Verfahren (18:3) Walter Unger Z Frage 3: Was ist der Nachteil eines symmetrisches Verfahren? Bei einem klassischen Verfahren muss der Schlüssel vor der Benutzung sicher ausgetauscht werden. Schlüsselverwaltung Wahl der Schlüssel Keine Unterschriften

8 Was zeichnet den One-Time-Pad aus (18:4) Walter Unger Z Frage 4: Was zeichnet den One-Time-Pad aus? E One Time Pad Z r 2 D One Time Pad Z r 2 : Z r 2 Z r 2. : Z r 2 Z r 2. E One Time Pad k 1,k 2,...k r (a 1, a 2,... a r ) = a 1 k 1, a 2 k 2,... a r k r. D One Time Pad k 1,k 2,...k r (c 1, c 2,... c r ) = c 1 k 1, c 2 k 2,... c r k r. Zu jedem übertragenen Bit ist ein Schlüsselbit notwendig. Verfahren ist beweisbar sicher. Zu jedem Paar von Crypttext und Plaintext gibt es einen passenden Schlüssel. Verfahren ist kommutativ.

9 Welche symmetrischen Verfahren gibt es (18:5) Walter Unger Z Frage 5: Welche symmetrischen Verfahren gibt es? Caesar, Affines System, Keyword Caesar, Vigenere, GIB, Hill, Playfair, Autoclave, Jefferson Wheel, C-36 (M-209) DES, AES, IDEA,...

10 Wie arbeitet C-36 (18:6) Walter Unger Z Frage 6: Wie arbeitet C-36? v 10 = (111000) v 22 = (010010) v 43 = (000010) (011001) B A Ergebnis ist Hit-number von (011001) ist 15. c i = (# 1 (v i M) a i ) mod 27 a i = (# 1 (v i M) c i ) mod 27

11 Was ist eine Idee vieler symmetrischer Verfahren (18:7) Walter Unger Z Frage 7: Was ist eine Idee vieler symmetrischer Verfahren? Schüssel K i shift (i mod 2) K 2 1 K 2 1 K 3 2 K 4 1 K 5 2 K 6 1 K 7 2 K 8 2 S + 1 S 2 S + 3 S 4 S + 5 S 6 S + 7 S 8 Eingabe j falls 0 i (mod 2) S i + sonst Ausgabe

12 Wie arbeitet DES (18:8) Walter Unger Z Frage 8: Wie arbeitet DES? P(56) Shift Shift Shift... Shift Par Schl F F F F Eing P(64) Aus.... P(64)

13 Welche Vorteile, Nachteile hat DES? Wie kann man DES sicherer machen (18:9) Walter Unger Z Frage 9: Welche Vorteile, Nachteile hat DES? Wie kann man DES sicherer machen? Vorteile: Nachteile: schnell erster Standard Probleme bei Analyse sind von NP-schwer. Schlüssellänge ist konstant Sinn der S-Boxen teilweise unklar Verdacht einer Hintertür mit Spezialhardware vollständige Schlüsselsuche möglich (Preis 1984: ca. US$ ) Heute in ca. 24 Stunden mit verteiltem Rechnen Verbesserungen: Triple-DES, Multi-DES, DESX

14 Wie mache ich aus DES einen Streamcipher (18:10) Walter Unger Z Frage 10: Wie mache ich aus DES einen Streamcipher? ecb: Electronic Codebook Mode. cbc: Cipher-Block Chaining Mode. cfb: Cipher Feedback Mode. ofb: Output Feedback Mode.

15 Wie arbeitet IDEA (18:11) Walter Unger Z Frage 11: Wie arbeitet IDEA? erste Runde zweite Runde dritte Runde vierte Runde fünfte Runde sechste Runde siebente Runde achte Runde extra Runde X 1 X 2 X 3 X 4 Schlüssel von Z (1) 1 bis Z (1) 6 Schlüssel von Z (2) 1 bis Z (2) 6 Schlüssel von Z (3) 1 bis Z (3) 6 Schlüssel von Z (4) 1 bis Z (4) 6 Schlüssel von Z (5) 1 bis Z (5) 6 Schlüssel von Z (6) 1 bis Z (6) 6 Schlüssel von Z (7) 1 bis Z (7) 6 Schlüssel von Z (8) 1 bis Z (8) 6 Schlüssel von Z (9) 1 bis Z (9) 4 Y 1 Y 2 Y 3 Y 4

16 Wie arbeitet IDEA im Detail (18:12) Walter Unger Z Frage 12: Wie arbeitet IDEA im Detail? Verschlüsselung (8) 1 Z 2 Z (8) (8) 3 Z 4 A B C D Z (8) 5 (8) F Z 6 A B C D Z (8) 1 Z (9) 2 Z (9) 3 Z (9) 4 Z (9) A = A F r (A C, B D) A = A F r (A C, B D) A A = C C bzw. A C = A C Entschlüsselung Z (9) 1 (9) 1 Z 2 Z (9) 3 Z (9) 1 4 A B C D Z (8) 5 (8) F Z 6 A B C D A A = C C A = A F r (A C, B D )

17 Wie arbeitet AES (18:13) Walter Unger Z Frage 13: Wie arbeitet AES? Rijndael(State,CipherKey) KeyExpansion(CipherKey,ExpandedKey); AddRoundKey(State,ExpandedKey[0]); for ( i := 1; i < N r ; i + + ) Round(State,ExpandedKey[i]); FinalRound(State,ExpandedKey[Nr ]); Round(State,ExpandedKey[i]) SubBytes(State); ShiftRows(State); MixColumns(State); AddRoundKey(State,ExpandedKey[i]); Round(State,ExpandedKey[N r ]) SubBytes(State); ShiftRows(State); AddRoundKey(State,ExpandedKey[N r ]);

18 Wie arbeitet AES (18:14) Walter Unger Z Frage 14: Wie arbeitet AES? Rijndael: Bitschaufellei auf 8-Bit Blöcken. 8-Bit Blöcke zu größeren Gruppen zusammengefasst. Intern: Status Schlüssel

19 Welche Vorteile/Nachteile haben Public-Key Systeme (18:15) Walter Unger Z Frage 15: Welche Vorteile/Nachteile haben Public-Key Systeme? Typischerweise beliebige Schlüssellängen. Typischerweise langsamer als klassische Verfahren. Mehr Einsatzgebiete. Unterschriften. Einsatz in Protokollen. Einfachere Schlüsselverwaltung. Veröffentlichen öffentlichen Schlüssel.

20 Muss man einen Schlüsselaustausch machen (18:16) Walter Unger Z Frage 16: Muss man einen Schlüsselaustausch machen? A: E ka, D ka, w B: E kb, D kb Bestimmt c 1 = E ka (w) c 1 c 2 Bestimmt c 2 = E kb (c 1) Bestimmt c 3 = D ka (c 2) c 3 Bestimmt w = D kb (c 3) w = D kb (D ka (c 2)) w = D kb (D ka (E kb (c 1))) w = D kb (D ka (E kb (E ka (w))))

21 Welche Probleme kann man zum Aufbau eines Public-Key Systems nutzen (18:17) Walter Unger Z Frage 17: Welche Probleme kann man zum Aufbau eines Public-Key Systems nutzen? Systeme über NP-schwere Probleme (z.b. SAT, Rucksack) Systeme über Faktorisierung Systeme über den diskreten Logarithmus Systeme über elliptische Kurven Systeme über Polynomringe Systeme über fehlertolerante Codes Systeme über Homomorphismen (Aufbau noch unklar) Systeme über endlichen Automaten (vor allem in China)

22 Was ist eine One-Way Funktion? Welche One-Way Funktionen gibt es (18:18) Walter Unger Z Frage 18: Was ist eine One-Way Funktion? Welche One-Way Funktionen gibt es?

23 Wie geht das Public-Key System mit SAT (18:19) Walter Unger Z Frage 19: Wie geht das Public-Key System mit SAT? F i : {0, 1} 2n {0, 1} für i {0, 1} mit: e 1,..., e n {0, 1} n mit: e 1,..., e n {0, 1} n, i {0, 1} : F i (e 1,..., e n, e 1,..., e n) = i Der geheime Schlüssel wird nun e 1,..., e n. Der öffentliche Schlüssel sind die beiden Formeln F 0, F 1. Um ein Bit m {0, 1} zu schicken wird die Formel F m umgeformt: Es wird eine Belegung e 1,..., e n der Variablen y 1,..., y n zufällig gewählt. Damit wird nun eine neue Formel F m aufgebaut: F m : {0, 1} n {0, 1} F m(x 1,..., x n) = F m(x 1,..., x n, e 1,..., e n) Nun wird die Formel F m durch Umformung zur Formel F m verfremdet. Dabei gilt x 1,..., x n : F m(x 1,..., x n) = F m(x 1,..., x n). Diese neue Formel F m wird veröffentlicht. Das Verfahren zeigt gleichzeitig, dass aus jedem NP-vollständigen Problem ein Public-Key-Verfahren aufgebaut werden kann. Dies ergibt sich aus den bekannten Reduktionen vom SAT-Problem.

24 Wie arbeitet die Verschlüsselung nach dem Rucksackverfahren (18:20) Walter Unger Z Frage 20: Wie arbeitet die Verschlüsselung nach dem Rucksackverfahren? Definition Ein Vektor R = (r 1, r 2,..., r k ) heißt stark steigend : j : 1 < j < k : r j > X r i. 1 i<j Wähle stark steigenden Vektor A = (a 1,..., a k ) Wähle m > P k i=1 a i Bestimme t mit ggt (t, m) = 1 Bestimme B = (b 1,..., b k ) mit b i = t a i mod m Veröffentliche B Die Verschlüsselungsfunktion lautet nun E KS2 B : Z n k 2 Z n. Und die Entschlüsselungsfunktion D KS2 A,t,m : Z n Z n k 2.

25 Warum ist die Verschlüsselung nach dem Rucksackverfahren korrekt (18:21) Walter Unger Z Frage 21: Warum ist die Verschlüsselung nach dem Rucksackverfahren korrekt? Lemma Sei A = (a 1,..., a k ) ein stark steigender Vektor. B entsteht aus A durch starke modulare Multiplikation mittels m, t. Sei weiter u t 1 mod m (d.h. u mod m = t 1 ). Sei β beliebig und α = uβ mod m. Dann folgt: 1. Das Rucksackproblem (A, α) ist eindeutig lösbar in Linearzeit (d.h. keine oder eine Lösung, falls Parameter frei wählbar). 2. Das Rucksackproblem (B, β) hat keine oder genau eine Lösung. 3. Wenn (B, β) eine Lösung hat, dann ist der Lösungsvektor gleich der eindeutigen Lösung von (A, α). Beweis. Sei dabei D Lösung von (B, β), β = BD α uβ = ubd u(ta)d AD(mod m) Beachte: AD < m und α < m wegen starker modularer Multiplikation α = AD

26 Wie erfolgt der Angriff auf das Rucksackverfahren (18:22) Walter Unger Z Frage 22: Wie erfolgt der Angriff auf das Rucksackverfahren? a 1 /m a 2 /m 1 a 3 /m u/m

27 Wie erfolgt der Angriff auf das Rucksackverfahren (18:23) Walter Unger Z Frage 23: Wie erfolgt der Angriff auf das Rucksackverfahren? Im Folgenden werden nun diese Lösungsbereiche für u bestimmt und m jeder Lösungsbereich betrachtet. Weiterhin werden Bedingungen an u formuliert, die notwendig sind, m damit A stark steigend wird. Falls ein Bereich gefunden wird, in dem u eine mögliche Lösung ist, m reduziert sich das Problem auf das Suchen Diophantischer Zahlen innerhalb dieses Bereichs. Es sind nun zwei Schritte notwendig: 1. Die Bestimmung der Häufungspunkte 2. Teste jeden Häufungspunkt auf mögliche Lösung

28 Wie erfolgt der Angriff auf das Rucksackverfahren (18:24) Walter Unger Z Frage 24: Wie erfolgt der Angriff auf das Rucksackverfahren? Teile das betrachtete Intervall in Teilintervalle ohne Sprünge. Diese Intervalle seien nun (x j, x j+1 ) mit 1 j y. Auf diesem Intervall haben die Kurven die Gestalt b i c j i. D.h. c j i sind Konstanten, die von i und j abhängen. Teste diese Kurven auf starke Steigung und starke modulare Multiplikation, d.h. untersuche für Variable v ( ˆ=u/m) mit x j < v < x j+1 : P k i=1 (b iv c j i ) < 1 starke modulare Multiplikation P i 1 l=1 (b lv c j l ) < b i v c j i, 2 i k Falls eine Lösung vorhanden ist, bestimme x I QI.

29 Wie funktioniert RSA (18:25) Walter Unger Z Frage 25: Wie funktioniert RSA? 1. wähle p, q große Primzahlen 2. setze n := p q, ϕ(n) = (p 1)(q 1) ϕ(n) = {a : ggt (a, n) = 1, 0 a n} ϕ(1) = 1 ϕ(p b ) = p b p b 1 ϕ(m, n) = ϕ(m) ϕ(n) 3. wähle großes d > 1 mit ggt (d, ϕ(n)) = 1 und bestimme e mit e d 1 mod ϕ(n) (Inverses zu d)

30 Warum ist die Entschlüsselung eindeutig (18:26) Walter Unger Z Frage 26: Warum ist die Entschlüsselung eindeutig? Weder p noch q teilt w w ϕ(n) 1(modn) (nach Euler Theorem) w jϕ(n) 1(modn) w ed 1 1(modn) w ed w(modn) c d w(modn)

31 Wie beweist man Bit-Sicherheit für < n/2 (18:27) Walter Unger Z Frage 27: Wie beweist man Bit-Sicherheit für < n/2? Angenommen, es gibt Orakel H mit H(e, n, x e mod n) = 1 x < n 2. Idee: Halbierungssuche unter Verwendung von H. Verwende Werte: x e mod n = x e mod n 2 e x e mod n = (2x) e mod n 4 e x e mod n = (4x) e mod n 8 e x e mod n = (8x) e mod n 16 e x e mod n = (16x) e mod n Damit wird dann durch Binärsuche das Intervall, in dem x liegt immer weiter eingeschränkt.

32 Wie ist die Idee zum Beweise der Bit-Sicherheit des LSB (18:28) Walter Unger Z Frage 28: Wie ist die Idee zum Beweise der Bit-Sicherheit des LSB? Idee: Versuche x bitweise zu bestimmen. Falls x gerade ist, teile trickreich durch 2. Falls x ungerade ist, teile x 1 durch 2. Falls x ungerade ist, teile n x durch 2. Es taucht das Problem auf, wie x durch 2 geteilt werden kann. Sei dazu k das Inverse von 2 e, d.h. k hat die Form h e k mod n mit 2 e k 1 mod n. Dann kann x wie folgt,,halbiert werden (x gerade): kx e h e x e (h x) e mod n

33 Wie ist die Idee zum Beweise der Bit-Sicherheit des LSB (18:29) Walter Unger Z Frage 29: Wie ist die Idee zum Beweise der Bit-Sicherheit des LSB? r(1) = x e mod n (Krypttext). ans(1) = Antwort des Orakels auf r(1). Falls r(i 1) und ans(i 1) gegeben sind: j r(i 1)k mod n falls ans(i 1) = 0 r(i) = (n r(i 1))k mod n falls ans(i 1) = 1 Es gilt für 1 i N: ans(i) ist Antwort des Orakels auf Anfrage r(i). t(n) = ans(n) Falls t(i) gegeben ist, dann ergibt sich t(i 1) nach 8 < t(i)0 ; ans(i 1) = 0 t(i 1) = Last(bin(n) t(i)0) ; ans(i 1) = 1 int(t(i)0) < n : Last(t(i)0 bin(n)) ; ans(i 1) = 1 int(t(i)0) > n

34 Was ergibt sich, wenn jemand ϕ(n) aus n und e bestimmen kann (18:30) Walter Unger Z Frage 30: Was ergibt sich, wenn jemand ϕ(n) aus n und e bestimmen kann? Lemma Falls ϕ(n) berechnet werden kann, dann gibt es ein Verfahren, das p, q bestimmt. Beweis. ϕ(n) = (p 1)(q 1) p + q = n ϕ(n) + 1 p (p + q) 2 4n = p 2n + p 2 + q 2 4n = p p 2 + q 2 2n = p (p q) 2 = p q n ϕ(n)+1+ (n ϕ(n)+1) 2 4n = p 2

35 Was ergibt sich, wenn jemand d aus n und e bestimmen kann (18:31) Walter Unger Z Frage 31: Was ergibt sich, wenn jemand d aus n und e bestimmen kann? Lemma Falls d berechnet werden kann, gibt es ein probabilistisches Verfahren, das p, q bestimmt. Vorgehen Bekannt ist e, d, n. Das Ziel ist die Bestimmung von p und q. Wähle ein w mit 1 w n Versuche, n mit w zu faktorisieren. Dies wird mit einer Wahrscheinlichkeit > 0, 5 gelingen. Dann ist die Wahrscheinlichkeit, nach k Tests kein passendes w gefunden zu haben = 1 2 k. Das Verfahren kann deterministisch gemacht werden.

36 Wie sicher ist RSA (18:32) Walter Unger Z Frage 32: Wie sicher ist RSA? p, q sollten nicht nahe beieinander liegen (z.b. keine Primzahlzwillinge) p, q sollten zufällig gewählt werden, d.h. nicht aus Tabellen bekannt sein Wähle p, q so, daß ggt (p 1, q 1) klein ist. Wähle sichere Primzahlen, d.h. auch p 1 2 und q 1 2 sind Primzahlen. e und d sollten gross sein. Man sollte ein OAEP Verfahren (optimal asymmetric encription padding) verwenden.

37 Wie ist das System von Rabin aufgebaut (18:33) Walter Unger Z Frage 33: Wie ist das System von Rabin aufgebaut? Bei dem System von Rabin wird als Einwegfunktion verwendet: Z n Z n mit m m 2 mod n. Aufbau: Man bestimmt zwei große Primzahlen p, q mit p, q 3 (mod 4). Dazu testet man Zahlen der Form 4k + 3 auf die Primzahleigenschaft. Dann setzt man n = p q. Die Verschlüsselungsfunktion ist En Rabin En Rabin (m) m 2 mod n. : Z n Z n mit Die Entschlüsselungsfunktion ist D Rabin n : Z n Z n. Zur Entschlüsselung wird der Chinesische Restklassensatz verwendet.

38 Wie sicher ist das System von Rabin (18:34) Walter Unger Z Frage 34: Wie sicher ist das System von Rabin? Das System von Rabin ist so sicher, wie die Faktorisierung schwer ist. Falls man auf den Algorithmus Dp,q Rabin faktorisieren. Dazu gehe man wie folgt vor. zugreifen kann, so kann man n Wähle m mit 0 < m < n. Setze c := m 2 mod n. Setze y := D Rabin p,q (c). Falls m ±y (mod n) kann n faktorisiert werden.

39 Wie funktioniert eine Unterschrift nach Rabin (18:35) Walter Unger Z Frage 35: Wie funktioniert eine Unterschrift nach Rabin? Um eine Unterschrift mit dem System von Rabin zu erzeugen, verwendet man eine Hashfunktion h : M {0, 1} k Z n mit (m, x) h(m, x). Dazu wählt man zufällig x bis h(m, x) ein Quadrat in Z n ist. Danach bestimmt man die Wurzel y von h(m, x). Die Unterschrift ist dann (m, x, y). Diese Unterschrift wird durch h(m, x) y 2 (mod n) getestet.

40 Was ist die Idee des Verfahrens nach ElGamal (18:36) Walter Unger Z Frage 36: Was ist die Idee des Verfahrens nach ElGamal? Gebe beim Verschlüsseln Zusatzinformation zur Entschlüsselung.

41 Wie funktioniert ElGamal (18:37) Walter Unger Z Frage 37: Wie funktioniert ElGamal? A: x, y, g B: m, y, g Wähle p Primzahl mit p 1 hat großen Primfaktor Wähle Generator g Z p Wähle x {1,..., p 2} y := g x mod p m = b/a x mod p y, g a, b Wähle k mit ggt(k, p 1) = 1 a g k mod p b my k mg xk mod p

42 Wie funktioniert ElGamal (18:38) Walter Unger Z Frage 38: Wie funktioniert ElGamal? Wähle zufällig x {1,..., p 2}. Bestimme y := g x mod p. Der geheime Schlüssel ist dann (p, g, x). Der öffentliche Schlüssel ist dann (p, g, y). Die Verschlüsselungsfunktion ist dann E ElGamal p,g,y : Z p Z p Z p. Wähle k zufällig mit ggt(k, p 1) = 1. a g k mod p b my k mg xk mod p E ElGamal p,g,y (m) (a, b). Die Entschlüsselungsfunktion ist dann E ElGamal p,g,y : Z p Z p Z p. Wenn (a, b) = (g k, my k ) = (g k, mg xk ) emfangen worden ist, dann bestimme: h := a x mod p. Beachte dabei: a x g kx (mod p). m := b h 1 mod p. Beachte hierbei: b/a x y k m/a x g kx m/a x m g kx /g kx m (mod p). Damit gilt: E ElGamal p,g,y (a, b) b/a x mod p.

43 Wie funktionert eine Unterschrift nach ElGamal (18:39) Walter Unger Z Frage 39: Wie funktionert eine Unterschrift nach ElGamal? A: m, y, g B: m, x, y, g Wähle p Primzahl mit p 1 hat großen Primfaktor Wähle Generator g Z p Wähle x {1,..., p 2} Teste, ob gilt 1 r p 1 Bestimme v := g m mod p Bestimme w := y r r s mod p Teste, ob gilt v? = w y, g y := g x mod p Wähle k mit ggt(k, p 1) = 1 r g k mod p r, s, m s := k 1 (m rx) mod p 1

44 Was ist der Unterschied zwischen der Verschlüsselung mit Elliptischen Kurven und ElGamal (18:40) Walter Unger Z Frage 40: Was ist der Unterschied zwischen der Verschlüsselung mit Elliptischen Kurven und ElGamal? Anderer Körper!

45 Was ist eine Elliptische Kurve (18:41) Walter Unger Z Frage 41: Was ist eine Elliptische Kurve? Definition Elliptisch Kurve Eine elliptische Kurve ist der Graph E (bzw. E a,b ) der Gleichung y 2 = x 3 + a x + b, mit x, y, a, b R (bzw. Q, Z, N m). Weiterhin gehört zu E der Punkt. Obige Form heißt die Weierstrass Form. Der Punkt wird das neutrale Element.

46 Wie funktioniert ECC (18:42) Walter Unger Z Frage 42: Wie funktioniert ECC? Ziel: Gruppenoperationen auf Graphen von f (x, y) = 0. Operation: zu zwei Punkten auf f (x, y) = 0 bestimme dritten Punkt auf f (x, y) = 0. Ansatz: Nutze Gerade zur Bestimmung des dritten Punktes. Ansatz: Gerade durch zwei Punkte P, Q bestimmt dritten Punkt. Ansatz: wähle f (x, y) = 0 vom Grad 3. Gerade: g(x, y) = a x + b y + c = 0 mit b 0. Lösung: f (x, ( a x c)/b) = 0 ist kubische Gleichung in x. Hat 3 Lösungen, zwei sind bekannt. Dritte ergibt den neuen Punkt (x-koordinate) Über die Geradengleichung ergeben sich die Punkte. Operation P Q = R. Sei P = (x, y) ein Punkt von y 2 = x 3 + a x + b. Dann ist P = (x, y) Fall P = (x, y) und Q = (x, y) dann setze P + Q = Andernfalls ist P + Q = R mit R = P Q. P + = + P = P. + = + = und P + P wird wie folgt definiert: Bestimmt Tangente T im Punkt P an E. Falls Tangente vertikal ist: P + P = Sei R weiterer Schnittpunkt von T, setze: P + P = R

47 Wie wird die Eingabe beim ECC auf den Körper abgebildet (18:43) Walter Unger Z Frage 43: Wie wird die Eingabe beim ECC auf den Körper abgebildet? Sei E, p, N wie oben. Sei M der Nachrichtenblock mit 0 < M < p/2 k. Wähle als x-koordinate x = 2 k M + i für ein i mit 0 i < 2 k so das es einen Punkt der Form (x, y) E gibt. Alogithmus: Für alle i mit 0 i < 2 k mache x = 2 k M + i Falls ( x 3 +a x+b p ) = +1 gebe i aus. Gebe Fehler aus. Fehlerwahrscheinlichkeit ist: 1/2 2k.

48 Wie wird die Eingabe beim ECC auf den Körper abgebildet (18:44) Walter Unger Z Frage 44: Wie wird die Eingabe beim ECC auf den Körper abgebildet? Wähle p mit p 3 (mod 4). Dann ist 1 ein quadratischer Nichtrest, d.h. ( 1 p ) = 1. Setze b = 0. Dann ist E gegeben durch y 2 = x 3 + a x Sei M zu verschlüsseln mit 0 < M < p/2. Wir verlieren ein Bit. Bestimmt t = M 3 + am (mod p). t oder t ist quadratischer Rest. Falls ( t ) = 1, dann setze x = M. p Falls ( t ) = 1, dann setze x = p M. p (mod p). Damit gilt ( x3 +a x p ) = 1 und y kann bestimmt werden. Zur Entschlüsselung mache: M = min(x, p x).

49 Wie sieht ECC im Überblick aus (18:45) Walter Unger Z Frage 45: Wie sieht ECC im Überblick aus? A: a A, P A, P 0, E B: m, P A, P 0, E Wähle p Primzahl Wähle ell. Kurve E (mod p) Wähle P 0 E Wähle a A {1... p 1} P A := a A P 0 T = T 2 a A T 1 T = kp A + P (a A k)p 0 T = (a A k)p 0 + P (a A k)p 0 Bestimme m aus T P 0, E, P A T 1, T 2 erzeuge P E aus m Wähle k {1... p 1} T 1 = kp 0 T 2 = kp A + P

50 Wie arbeitet das OAEP Verfahren (18:46) Walter Unger Z Frage 46: Wie arbeitet das OAEP Verfahren? Die folgenden Funktion werden benutzt: Verschlüsselungsfunktion Pseudo-Zufallsgenerator Hashfunktion f : D D mit D {0, 1} n G : {0, 1} k {0, 1} l h : {0, 1} l {0, 1} k mit n = k + l Sei m die zu verschlüsselnde Nachricht. 1. Wähle eine Zufallszahl r {0, 1} k. 2. Setze x = (m G(r)) (r h(m G(r)). 3. Falls x D wiederhole das Verfahren. 4. Verschlüssele mit c := f (x). Sei c die zu entschlüsselnde Nachricht. 1. Setze x := f 1 (c). 2. Bestimme a, b mit x = a b und a = l sowie b = k. 3. Bestimme r = h(a) b. 4. Bestimme m = a G(r).

51 Wie konstruiert man eine Kompressionsfunktion (18:47) Walter Unger Z Frage 47: Wie konstruiert man eine Kompressionsfunktion? Ansatz: nutze symmetrische Verfahren. Sei E k (m) symmetrisches Verfahren mit k {0, 1} r und m {0, 1} n. Dann setze: f : {0, 1} n+r {0, 1} n mit: f (x y) E y (x). Sei weiter g : {0, 1} n {0, 1} r. Dann setze: f : {0, 1} 2n {0, 1} n mit: f (x y) E g(y) (x) y.

52 Wie konstruiert man eine Hashfunktion (18:48) Walter Unger Z Frage 48: Wie konstruiert man eine Hashfunktion? Nutze schrittweise Kompressionsfunktion.

53 Wie ist die Beweisidee bei Merkles Meta Methode (18:49) Walter Unger Z Frage 49: Wie ist die Beweisidee bei Merkles Meta Methode? h 0 h 0 = n x 1 = r x 1 f h 1 h 1 = n x 2 = r x 2 f h 2 h 2 = n x 3 = r x k+1 = r x 3 x k+1 f h 3 h 3 = n f hh k+1 k+1 = n

54 Welche Eigenschaften werden zum Primzahltest verwendet (18:50) Walter Unger Z Frage 50: Welche Eigenschaften werden zum Primzahltest verwendet? Falls ggt(w, m) = 1 und w m 1 1 (mod m), dann heißt w Zeuge dafür, dass m Primzahl ist. Falls w (m 1) 2 ` w m (mod m) ist m keine Primzahl. Falls ggt(w, m) 1 oder w r 1 (mod m) und w 2s 1 (für ein 0 s < s) dann ist m keine Primzahl.

55 Welche Fallen gibt es bei Quittungen (18:51) Walter Unger Z Frage 51: Welche Fallen gibt es bei Quittungen? A: D a, E A, E C C: c = E A (E A (w)b) c C = D A (c) w = D A (c ) (c, A) (E C (E C (w)a), C) (E A (E A (w)c), A) c = E A (c C) = E A (E A (w), C) entschlüsselt (E C (E C (w)a), C) Beachte: w = E A (w)b führt Protokoll aus (EC (E C (w)a), C) C kennt nun w