Lösungsblatt zur Vorlesung. Kryptanalyse WS 2009/2010. Blatt 5 / 9. Dezember 2009 / Abgabe bis spätestens 23. Dezember 2009, 10 Uhr (vor der Übung)

Transkript

1 Ruhr-Universität Bochum Lehrstuhl für Kryptologie und IT-Sicherheit Prof. Dr. Alexander May Mathias Herrmann, Alexander Meurer Lösungsblatt zur Vorlesung Kryptanalyse WS 2009/2010 Blatt 5 / 9. Dezember 2009 / Abgabe bis spätestens 23. Dezember 2009, 10 Uhr (vor der Übung) AUFGABE 1 (6 Punkte): Sei N = pq ein RSA-Modul und b = a 2 mod N. (a) Konstruieren Sie einen Algorithmus, der bei Eingabe b, N in Zeit Õ(N 1 2 ) und Platz Õ(1) eine Quadratwurzel von b berechnet. Verwenden Sie dazu den Satz von Coppersmith (Satz 60). Zunächst lässt sich das Lösen der Gleichung a 2 = b mod N für gegebenes b, N leicht umformulieren zur Berechnung der Nullstellen des univariaten Polynoms f(x) = x 2 b mod N Die Grundidee ist, für eine Approximation A von a der Güte auf das modifizierte univariate Polynom a A N 1 2 f(x) := (x + A) 2 b mod N die Coppersmith-Methode anzuwenden. Diese findet dann wegen grad(f) = 2 alle Nullstellen x 0 mit x 0 N 1 2 und somit für geeignete Wahl von A die Nullstelle x 0 = a A. Jede (ganzzahlige) Nullstelle erfüllt dann (x 0 + A) 2 b mod N und wir können a = x 0 + A wählen, um die gewünschte Lösung zu erhalten. Da wir die Approximation A nicht kennen, testen wir verschiedene Approximationen A := i N 1 2 (für i = 1, 2,...), so dass mit der Coppersmith-Methode alle Nullstellen im gesamten

2 Suchraum Z N = {0,..., N 1} gefunden werden (falls diese existieren). Für i = 1 finden wir bspw. die gesuchte Nullstelle a, falls a N 1 2 N 1 2 d.h. wir decken den Bereich a {0,..., 2 N 1 2 } ab. Für i = 2 finden wir a, falls a 2 N 1 2 N 1 2 d.h. wir bearbeiten a { N 1 2,..., 3 N 1 2 }. Insgesamt überdecken wir also ganz Z N auf diese Art. Das führt zu folgendem Algorithmus: Algorithm 1 Quadratwurzeln mod N Eingabe: N = pq, b Z N Ausgabe: a Z N mit a 2 b mod N i := 1 A := i N 1 2 ; while A N do f(x) := (x + A) 2 b mod N Finde Nullstellen x 0 von f(x) mit der Coppersmith-Methode if Nullstelle x 0 gefunden then breche die WHILE-Schleife ab und gib a := x 0 + A aus end if i := i + 1 und A := i N 1 2 end while Dass der Algorithmus korrekt arbeitet, haben wir bereits zuvor erläutert (wobei man gefundene Nullstellen evt. noch auf Ganzzahligkeit testen muss). Die Coppersmith- Methode hat Laufzeit O(poly(log N)). Es bleibt zu untersuchen, wie oft die Schleife durchlaufen wird. Der Abbruch erfolgt spätestens bei A > N, d.h. wir müssen i mit i N 1 2 > N bestimmen. Dies gilt für i > N N 1 2 N N 1 2 = N 1 2 d.h. die Schleife wird maximal N 1 2 -mal durchlaufen und wir erhalten eine Gesamtlaufzeit von ) O (N 1 2 poly(log N) = Õ(N 1 2 ) Zur Speicherung reicht offensichtlich konstanter Platz Õ(1). Bemerkung. Man kann die Laufzeit noch verkürzen, indem man bei der Approximation A größere Schritte wählt, so dass die oben erläuterten Intervalle leeren Schnitt haben und wir keine Bereiche doppelt absuchen.

3 (b) Für Polynome vom Grad 2 liefert der Satz von Coppersmith die Schranke x 0 N 1 2. Angenommen man könnte die Schranke auf x 0 N verbessern. Zeigen Sie, dass man dann N in Polynomialzeit faktorisieren kann. Gilt die verbesserte Schranke, so können wir alle Nullstellen des Polynoms f(x) = x 2 1 mod N bestimmen. Offensichtlich hat x 2 1 in Z p bzw. Z q jeweils zwei Nullstellen ±1, welche sich mit dem CRT zu 4 verschiedenen Nullstellen in Z N zusammensetzen. Wir finden also insbesondere mindestens eine nicht-triviale Nullstelle x 0 ±1. Wegen x mod N gilt N x also auch N (x 0 + 1)(x 0 1) aber weil x 0 nicht-triviale Nullstelle ist, gilt N (x 0 + 1) und N (x 0 1). N teilt also das Produkt (x 0 + 1)(x 0 1) aber keinen der beiden Faktoren. Dann muss N aber mit x einen nichttrivialen gemeinsamen Teiler k haben (und entsprechend einen nichttrivialen gemeinsamen Teiler N mit x k 0 1) 1. Somit liefert die Berechnung von ggt(n, x 0 + 1) bzw. ggt(n, x 0 1) je einen der gesuchten Faktoren p oder q. Alle Berechnungen (ggt und Coppersmith) wären unter der Annahme für die verbesserte Schranke effizient durchführbar. AUFGABE 2 (4 Punkte): Beweisen Sie den Satz von Howgrave-Graham für bivariate Polynome, d.h. zeigen Sie: Sei g(x, y) = i,j b i,jx i y i Z[x, y] ein Polynom mit n Monomen. Es sei ferner (1) g(x 0, y 0 ) = 0 mod M m für x 0 X, y 0 Y und (2) g(xx, yy ) < M m n. Dann gilt g(x 0, y 0 ) = 0 über den ganzen Zahlen. Hinweis: Wie bei univariate Polynomen ist die Norm von g(x, y) als die Euklidische Norm des Koeffizientenvektors definiert. Man kann den Beweis aus der Vorlesung analog für bivariate Polynome nachahmen, denn es gilt g(x 0, y 0 ) = i,j b i,j x i 0y j 0 i,j i,j b i,j X i ( x 0 X )i }{{} 1 Y j ( y 0 Y )j }{{} 1 b i,j X i Y j n g(xx, yy ) < M m 1 Das kann man sich bspw. sehr schnell mittels Primfaktorzerlegung überlegen

4 Hierbei haben wir im vorletzten Schritt einerseits die Normdefinition bivariater Polynome benutzt, denn g(xx, yy ) hat gerade die Koeffizienten b i,j X i Y j und somit gilt g(xx, yy ) = (b i,j X i Y j ) 2 woraus die gewünschte Abschätzung zusammen mit der Normäquivalenz x 1 n x 2 in endlichdimensionalen Vektorräumen folgt. Die Ungleichung g(x 0, y 0 ) < M m bedeutet aber zusammen mit der ersten Bedingung g(x 0, y 0 ) = 0 mod M m, dass die Nullstelle auch in Z existiert, also g(x 0, y 0 ) = 0 über Z i,j AUFGABE 3 (10 Punkte): Bestimmen Sie mit einem Angriff nach Wiener den geheimen Schlüssel zu folgendem öffentlichen Schlüssel: N = e = Es liefert z.b. der folgende Code für die Mathematik Umgebung SAGE die gesuchte Lösung d = from sage.libs.fplll.fplll import FP_LLL N= e= ## We build a lattice basis ## for the linearized polynomial ## ex_1 + x_2 = 0 mod N X1= ceil(rr( 1/3 * N^(1/4) ) ) X2= ceil(rr( N^(3/4) ) ) Y1=ceil( N/X1 ) Y2=ceil( N/X2 ) B=matrix(2,2); B[0,0]=Y1 B[0,1]=e * Y2 B[1,0]=0;

5 B[1,1]=N * Y2 F = FP_LLL(B) F.wrapper() red=f._sage_() xprime = red[0]; d = xprime[0]/y1 #### Check if +-d is correct testmessage=mod( ,n); testcipher=(testmessage**e); if testcipher**d == testmessage : print "Found d = ", d; elif testcipher**-d == testmessage : print "Found d = ", -d; else : print "Something went wrong, d is not correct"; Können Sie ebenfalls die Faktorisierung von N bestimmen? (Kapitel 9.1.3) p = q = from sage.libs.fplll.fplll import FP_LLL N= e= d= def fillbasis(b2,g,row,x): coeffs=g.coeffs(); for pos in range(len(coeffs)): B2[row,pos]=coeffs[pos]; return; def getpol(v,x): thepol=0; for p in range(len(v)): thepol = thepol + (v[p]/(x^p))*(x^p) return thepol; P,x=PolynomialRing(IntegerRing(),x).objgen() M=e*d-1; X=ceil(RR(1/2*N^(1/2))) for j in range(6): approx=n-ceil(rr(j/2*n^(1/2)))

6 f=approx-x b=1/2 m=2; dim=1/b*m B2=matrix(dim,dim); thepositions=[]; #index ist position in der Basismatrix, denn wir fügen der Reihe nach hinzu counter=0; for i in range(m+1): pol=m^(m-i)*f^i; pol=pol.subs(x=x*x); thepositions=fillbasis(b2,pol,counter,x); counter=counter+1; for i in range(m+1,1/b*m): pol=x^(i-m)*f^m; pol=pol.subs(x=x*x); thepositions=fillbasis(b2,pol,counter,x); counter=counter+1; F2 = FP_LLL(B2) F2.wrapper() red2=f2._sage_() theroot=getpol(red2[0],x).roots()[0][0] thephi=approx-theroot if (e*d)%thephi == 1 : print "Correct phi = ", thephi break; p=var( p ) sol=solve([(thephi-n-1)*p+p^2+n==0],p) if sol[0].rhs()*sol[1].rhs()==n: print "\nfound factorization:\n\t p = ",sol[0].rhs(),"\n\t q = ", sol[1].rhs() Abgabe von lauffähigen Programmen oder Skripten an mathias.herrmann@rub.de. Hinweis: Viele Computeralgebraprogramme verfügen über eine LLL Implementierung (z.b. pari/gp). Alternativ kann eine Implementierung in C/C++ verfügbare Bibliotheken (z.b. NTL) einbinden.