Diskreter Logarithmus und Primkörper

Transkript

1 Diskreter Logarithmus und Primkörper Neben dem RSA-Verfahren ist die ElGamal-Verschlüsselung 8 ein weiteres klassische Public-Key-Verfahren, welches von Taher ElGamal auf der Konferenz CRYPTO 84 vorgestellt wurde. Grundlage dieses Verfahren ist das Diskrete-Logarithmus-Problem (DLP) in der (multiplikativen) Einheitengruppe eines Primkörpers. Definition 4. Eine nichtleere Menge F bildet genau dann einen Körper (engl. field), wenn F eine additive kommutative Gruppe, F\{0} eine multiplikative kommutative Gruppe bildet, sowie das Distributivgesetz a(b + c) =ab + ac erfüllt ist für alle a, b, c œ F. 8 T. ElGamal. A Public Key Cryptosystem and a Signature Scheme Based on Discrete Logarithms. IEEE Transactions on Information Theory, 31: , springer.com/chapter/ / _2 Theorem 4. Der Restklassenring Z p = {0, 1..., p 1} bildet genau dann einen Körper mit Addition + p und Multiplikation p, wenn p eine Primzahl ist. Beispiel 1. Wir betrachten p = 3, d.h. die Menge Z 3 = {0, 1, 2} mit den folgenden Verknüpfungstafeln: und Die Menge Z ú p der Einheiten in Z p erfüllt Z ú p = {a œ Z p \{0} 1 œ gcd(a, p)} = {1,..., p 1} und es gilt (p) = Z ú p = p 1. Folglich ist jedes von Null verschiedene Körperelement invertierbar bzgl. der modularen Multiplikation, d.h. für jedes Element a œ Z ú p gibt es ein b œ Z ú p mit a p b = 1. Das zu a œ Z ú p multiplikative Inverse wird auch mit a 1 bezeichnet.

2 28 michael braun Im folgenden verwenden wir die Notation k :=... k-mal mod p für die k-fache modulare Multiplikation von œ Z ú p mit sich selbst. Die Menge Z ú p bildet eine zyklische multiplikative Gruppe, d.h. es gibt ein Element œ Z ú p, so dass Z ú p = È Í = { 0, 1,..., p 2 } gilt. Ein solches Element heißt ein primitives Element in Z ú p. Beispiel 2. Wir betrachten p = 7. Das Element = 3 ist ein primitives Element in Z ú 7. Es gilt: 0 = 1, 1 = 3, 2 = 2, 3 = 6, 4 = 4, 5 = 5. Jedes zur Ordnung p 1 von Z ú p teilerfremde Element œ Z ú p ist ein primitives Element in Z ú p. Die Anzahl der zu p 1 teilerfremden Werte 1 Æ Æ p 1 berechnet sich mittels (p 1). Diskrete-Logarithmus-Kryptosysteme (DL-Systeme) basieren auf Berechnungen in der zyklischen Gruppe Z ú p. Dabei wird in einer zyklischen Untergruppe G von Z ú p gerechnet, deren Ordnung G = q eine Primzahl ist. Aus der Gruppentheorie (Satz von Lagrange) wissen wir, dass die Ordnung G einer Untergruppe einer endlichen Gruppe H, G Æ H, die Ordnung von H teilt. Des weiteren wissen wir, dass falls H zyklisch ist, H = È Í, eine Untergruppe G der Ordnung q mittels = H /q erzeugt wird, d.h. G = È Í. Übertragen auf H = Z ú p = È Í erhalten wir, dass die Ordnung q einer Untergruppe G die Ordnung p 1 von Z ú p teilt, sowie G = È Í gilt mit = (p 1)/q. Insgesamt wird ein DL-System durch die drei Systemparameter (p, q, ) bestimmt. Beispiel 3. Wir konstruieren eine Untergruppe G von Z ú 7 mit Ordnung 3. EinprimitivesElementinZ ú 7 ist = 3. Somit ist das Element = (7 1)/3 = 2 = 2 ein Erzeuger von G. Es gilt: G = È Í = { 0 = 1, 1 = 2, 2 = 4}.

3 public-key-algorithmen 29 Um die Systemparameter (p, q, ) zu erzeugen, kann nach folgendem Algorithmus vorgegangen werden: Algorithmus 8. DL-Systemparameter Input: Sicherheitsparameter und t Output: (p, q, ) 1 choose t-bit prime q and -bit prime p such that q divides p 1 2 pick random œ Z ú p and compute := (p 1)/q 3 if = 1 then goto step 2 4 return (p, q, ) dazu dient einen gemeinsamen geheimen symmetrischen Schlüssel Ÿ zwischen zwei Teilnehmern auszuhandeln. Für diesen Fall nehmen wir an, dass beide Kommunikationspartner A und B dieselben DL-Systemparameter (p, q, ) kennen. Das Protokoll sieht folgende Schritte vor: Es gilt o ensichtlich Ÿ = r =( d ) r =( r ) d = d = Ÿ Õ. Durch Modifikation des DH-Protokolls erhält man ein Protokoll zur Public-Key-Verschlüsselung, welches als ElGamal- Das mathematische Problem auf dem DL-Systeme basieren, ist bereits dem Namen zu entnehmen. Die Bestimmung des Exponenten d für ein œ G = È Í ÆZ ú p, so dass = d ist, wird als das Diskrete-Logarithmus-Problem (DLP) bezeichnet. Im Allgemeinen ist derzeit kein e zienter Algorithmus zur Berechnung von d bekannt. Die Umkehrung, d.h. die Berechnung von = d aus und d, ist hingegen e zient in O(log d) Multiplikationsschritten durchführbar, z.b. mittels Square-and-Multiply-Algorithmen. Es bleibt zu klären, warum nicht direkt in der ganzen zyklischen Gruppe Z ú p gerechnet wird, sondern in einer Untergruppe G Æ Z ú p.daz ú p eine gerade Ordnung p 1 besitzt, kann es passieren, dass man mit Elementen in eine sehr kleine Untergruppe gerät, so dass hier das DLP leichter lösbar ist. Gibt man jedoch direkt eine Gruppe G mit primer Ordnung q vor, so enthält G keine echten Untergruppen, sondern nur die triviale, die ausschließlich die Eins enthält. Somit wird verhindert, dass man Elemente aus kleinen Untergruppen erhält, so dass das DLP leicht berechenbar ist. Das erste DL-Verfahren, das wir nun vorstellen, ist das Di e- Hellman-Schlüsselvereinbarungsprotokoll (DH-Protokoll 9 ), welches 9 W. Di e and M. E. Hellman. New Directions in Cryptography. IEEE Transactions on Information Theory, 22: ,1976

4 30 michael braun A pick random r œ [1, q 1] pick random d œ [1, q 1] := r := d Ω æ Ÿ := r Ÿ Õ := d B Abbildung 9: Di e- Hellman-Protokoll Verschlüsselung 10 bekannt ist. Ein privater Schlüssel eines DL-Systems mit Parameter (p, q, ) ist eine zufällige gewählte Zahl 1 Æ d Æ q 1 und der dazugehörige ö entlichen Schlüssel ist = d œ G = È Í ÆZ ú p. Algorithmus 9. DL-Schlüssel Input: DL-Systemparameter (p, q, ) Output: Privater Schlüssel d und ö entlicher Schlüssel = d 1 choose random d œ [1, q 1] 2 compute := d 3 return (, d) Sei also (, d) der ö entliche und der private Schlüssel des Teilnehmers B. Das folgende Protokoll realisiert die Verschlüsselung einer Nachricht von A für B und die anschließende Entschlüsselung. 10 T. ElGamal. A Public Key Cryptosystem and a Signature Scheme Based on Discrete Logarithms. IEEE Transactions on Information Theory, 31: , springer.com/chapter/ / _2 A pick random r œ [1, q 1] := r Ÿ := r choose message m c := m p Ÿ Ω,c æ B Schlüssel: (, d) mit = d Ÿ := d m := c p Ÿ 1 Abbildung 10: ElGamal- Verschlüsselung Die Ver- bzw. Entschlüsselung funktioniert, da wie folgt in Z ú p

5 public-key-algorithmen 31 gerechnet wird: c p Ÿ 1 =(m p Ÿ) p Ÿ 1 = m p (Ÿ p Ÿ 1 )=m p 1 = m. Um das Inverse Ÿ 1 zu berechnen, können wir entweder den erweiterten euklidischen Algorithmus oder eine modulare Exponentiation verwenden: Da Ÿ œ Z ú p = {1,..., p 1} und p prim ist, gilt 1 œ gcd(ÿ, p). Folglich können wir mit dem erweiterten euklidischen Algorithmus (EEA) ganze Zahlen g, h œ Z bestimmen, so dass Ÿg + ph = 1 œ gcd(ÿ, p) gilt. Betrachten wir diese Gleichung modulo p, so gilt Ÿ p g = 1. Folglich ist Ÿ 1 = g mod p das modulare Inverse zu Ÿ. Allgemein gilt in einer endlichen Gruppe H mit Ordnung n die Gleichung 1 = Ÿ n = ŸŸ n 1 für alle Ÿ œ H, d.h.ÿ n 1 ist das multiplikative Inverse zu Ÿ. InH = Z ú p mit n = p 1 gilt demnach Ÿ 1 = Ÿ n 1 = Ÿ p 2 für alle Ÿ œ Z ú p.