Sicherheit von ElGamal Intuitiv: Eve soll c 2 = m g ab nicht von c 2 R G unterscheiden können.
|
|
- Edmund Holtzer
- vor 5 Jahren
- Abrufe
Transkript
1 Sicherheit von ElGamal Intuitiv: Eve soll c 2 m g ab nicht von c 2 R G unterscheiden können. Protokoll Unterscheider EINGABE: q, g, g x 1 Eve wählt m G und schickt m an Alice. 2 Alice wählt b R {0, 1}, y R Z q : Falls b 0: Sende Enc(m (g y, m g xy an Eve zurück. Falls b 1: Sende (g y, c 2 R Z Z an Eve zurück. Eves AUSGABE: b {0, 1} Eve gewinnt das Siel gdw b b. D.h. Eve muss eine gültige Verschlüsselung c 2 von einem zufälligen Gruenelement c 2 unterscheiden. Definition Srache ElGamal ELGAMAL : {(q, g, g x, g y, m, c 2 c 2 m g xy }. DiMa II - Vorlesung Sicherheit ElGamal, Quadratische Reste, Rezirozitätsgesetz 89 / 253
2 Sicherheitsbeweis er Reduktion Satz Sicherheit von ElGamal unter DDH Das ElGamal Krytosystem ist sicher gegen olynomielle Angreifer (mit Erfolgsws 1 unter der Annahme, dass DDH nicht effizient entscheidbar ist. Logik des Beweises: Zeigen: DDH ELGAMAL D.h. jeder olynomielle Algorithmus für ELGAMAL liefert einen olynomiellen Algorithmus für DDH. (P-Reduktionssatz Ann.: Es existiert ein olyn. Angreifer A, der Verschlüsselungen von zufälligen Gruenelementen unterscheidet. Dann gibt es einen Algorithmus, der in olyn. Zeit DH-Schlüssel g ab von zufälligen Gruenelementen unterscheidet. Widersruch: Nach Annahme gibt es keinen effizienten Algorithmus zum Entscheiden von DH-Schlüsseln g ab. Daher kann es auch keinen olynomiellen Angreifer A geben. DiMa II - Vorlesung Sicherheit ElGamal, Quadratische Reste, Rezirozitätsgesetz 90 / 253
3 Reduktion f Algorithmus M f EINGABE: q, g, g a, g b, g z 1 Setze g x : g a und g y : g b. 2 Wähle m R G. 3 Berechne c 2 m g z. AUSGABE: q, g, g x, g y, m, c 2 Laufzeit: Eingabelänge: Ω(log q Gesamtlaufzeit: O(log 2 (q DiMa II - Vorlesung Sicherheit ElGamal, Quadratische Reste, Rezirozitätsgesetz 91 / 253
4 Korrektheit Reduktion: w DDH f(w ELGAMAL Sei (q, g, g a, g b, g z DDH. Dann gilt g z g ab g xy. Damit ist c 2 m g z m g xy korrekte Verschlüsselung von m. D.h. (q, g, g x, g y, m,δ ELGAMAL Sei f(q, g, g a, g b, g z (q, g, g x, g y, m, c 2 ELGAMAL. Dann ist c 2 m g z eine korrekte Verschlüsselung von m. D.h. Dec(c m gz g ab m und damit g z g xy g ab. Dann ist (q, g, g a, g b, g z DDH. DiMa II - Vorlesung Sicherheit ElGamal, Quadratische Reste, Rezirozitätsgesetz 92 / 253
5 Brechen von ElGamal ist nicht schwerer als DDH Satz ELGAMAL DDH Beweis: Wir definieren die folgende Reduktion f. Algorithmus M f EINGABE: q, g, g x, g y, m, c 2 1 Setze g a : g x und g b : g y. 2 Berechne g z c 2 m. AUSGABE: q, g, g a, g b, g z Laufzeit: Eingabelänge: Ω(log q Laufzeit: O(log 2 q DiMa II - Vorlesung Sicherheit ElGamal, Quadratische Reste, Rezirozitätsgesetz 93 / 253
6 Korrektheit von f : w ELGAMAL f(w DDH Sei (q, g, g x, g y, m, c 2 ELGAMAL. Dann ist c 2 m g xy korrekte Verschlüsselung von m. Damit gilt c 2 m gxy g ab g z. D.h. (q, g, g a, g a, g z DDH. Sei f(q, g, g x, g y, m, c 2 (q, g, g a, g b, g z DDH. Dann gilt g z g ab g xy. Damit folgt c 2 m g z m g xy ist Verschlüsselung von m. D.h. (q, g, g x, g y, m, c 2 ELGAMAL. DiMa II - Vorlesung Sicherheit ElGamal, Quadratische Reste, Rezirozitätsgesetz 94 / 253
7 Quadratische Reste Definition Quadratischer Rest Sei n N. Ein Element a Z n heißt quadratischer Rest in Z n, falls es ein b Z n gibt mit b 2 a mod n. Wir definieren QR n {a Z n a ist ein quadratischer Rest } und QNR n Z n \ QR. Lemma Anzahl quadratischer Reste in rimen Restklassen Sei > 2 rim. Dann gilt QR Z Sei a QR. Dann gilt a b 2 ( b 2. D.h. jeder quadratische Rest a besitzt 2 Quadratwurzeln. Da F ein Körer ist, besitzt das Polynom (x x 2 a höchstens zwei Nullstellen in F. D.h. a hat 2 Quadratwurzeln. Damit bildet f : Z QR, x x 2 mod jeweils genau zwei Elemente ±b auf einen quadratischen Rest a QR ab. D.h. genau die Hälfte der Elemente in Z ist in QR. DiMa II - Vorlesung Sicherheit ElGamal, Quadratische Reste, Rezirozitätsgesetz 95 / 253
8 Das Legendre Symbol Definition Legendre Symbol Sei > 2 rim und a N. Das Legendre Symbol ist definiert als ( a 0 falls a 1 falls (a mod QR 1 falls (a mod QNR. DiMa II - Vorlesung Sicherheit ElGamal, Quadratische Reste, Rezirozitätsgesetz 96 / 253
9 Berechnung des Legendre Symbols Satz ( a a 1 2 mod. Für a sind beide Seiten Null. Gelte also a. Da a 1 1 mod, folgt a 1 2 ±1. Sei g Generator von Z und a gj für ein j Z 1. Es gilt für die linke Seite a QR gdw. j gerade ist. Für die rechte Seite gilt a 1 2 g j( gdw 1 teilt j( 1 2. Damit ist die rechte Seite ebenfalls 1 gdw j gerade ist. Das Legendresymbol lässt sich in Zeit O(log a log 2 berechnen. DiMa II - Vorlesung Sicherheit ElGamal, Quadratische Reste, Rezirozitätsgesetz 97 / 253
10 Eigenschaften des Legendre Symbols Lemma Eigenschaften Quadratischer Reste ( ( 1 Multilikativität: ab a b ( 2 (QR, ist eine multilikative Grue. ( { 3 2 ( für ±1 mod für ±3 mod 8. 1 ( ab (ab 1 2 mod (a 1 2 mod (b 1 2 mod 2 Übungsaufgabe 3 ohne Beweis (nicht-trivial ( a ( b. DiMa II - Vorlesung Sicherheit ElGamal, Quadratische Reste, Rezirozitätsgesetz 98 / 253
11 Das Quadratische Rezirozitätsgesetz Satz Quadratisches Rezirozitätsgesetz (Gauß Seien, q > 2 rim. Dann gilt ( q ( 1 ( 1(q 1 4 ohne Beweis (nicht-trivial ( q ( ( q q für q 3 mod 4 sonst. Liefert alternativen Algorithmus zur Berechnung des Legendre Symbols. ( ( ( ( Bs: ( ( 2 3 ( 1 ( 1 ( 1 ( 1. D.h. 6 ist quadratischer Nichtrest in Z 11. Benötigen Primfaktorzerlegung, um das QR-Gesetz anzuwenden. DiMa II - Vorlesung Sicherheit ElGamal, Quadratische Reste, Rezirozitätsgesetz 99 / 253
12 Das Jacobi Symbol Definition Jacobi Symbol Sei n e e k k N ungerade und a N. Dann ist das Jacobi Symbol definiert als ( ( a a n 1 ei ( a ek.... k Warnung: ( a n 1 imliziert nicht, dass a QRn ist. Bs: ( 2 15 ( 2 3 ( 2 5 ( 1( 1 1. D.h. 2 QNR 3 und 2 QNR 5. Damit besitzt x 2 2 weder Lösungen modulo 3 noch modulo 5. Nach CRT besitzt x 2 2 mod 15 ebenfalls keine Lösung. DiMa II - Vorlesung Sicherheit ElGamal, Quadratische Reste, Rezirozitätsgesetz 100 / 253
13 Verallgemeinerungen für das Jacobi Symbol Satz Für alle ungeraden m, n gilt ( 1 2 n n ( ( m n ( 1 (m 1(n 1 4 { ( ( n n m ( m für m n 3 mod 4 n. m sonst. Wir beweisen hier nur das Analog des Rezirozitätsgesetzes. Falls ggt(m, n > 1, sind beide Seiten 0. Sei also ggt(m, n 1. Schreiben Primfaktorzerlegung m 1... r und n q 1...q s. ( i s und q j s können dabei jeweils mehrmals auftreten i,j ( i Wandeln ( m n zu ( n m Anwendung des Rezirozitätsgesetzes. q j i,j ( qj i durch rs-malige Anzahl ( 1 entsricht Anzahl Paare (i, j mit i q j 3 mod 4. D.h. ( ( m n n m gdw. ungerade viele i, g j kongruent 3 mod 4. Es gibt ungerade viele i, g j 3 mod 4 gdw. m n 3 mod 4 ist. DiMa II - Vorlesung Sicherheit ElGamal, Quadratische Reste, Rezirozitätsgesetz 101 / 253
14 Rekursive Berechnung des Jacobi Symbols Idee: Für ungerades n gilt ( m ( n 2 k n ( m n Algorithmus Jacobi-Symbol EINGABE: m, n 1 Falls ggt(m, n > 1, Ausgabe 0. 2 Falls m 1, Ausgabe 1. 3 Sei m 2 k m mit m ungerade. ( 2 k ( (m 1(n 1 n ( 1 4 n mod m m. 4 Ausgabe ( 1 k(n2 1 8 ( 1 (m 1(n 1 4 Jacobi-Symbol(n mod m, m AUSGABE: ( m n ( 2 Bs: ( ( 1 ( 15 mod 7 7 ( ( 15 Laufzeit: Analog zum Euklidischen Algorithmus: O(log max{m, n} rekursive Aufrufe. Jeder Aufruf kostet O(log 2 max{m, n}. DiMa II - Vorlesung Sicherheit ElGamal, Quadratische Reste, Rezirozitätsgesetz 102 / 253
8. Woche Quadratische Reste und Anwendungen. 8. Woche: Quadratische Reste und Anwendungen 163/ 238
8 Woche Quadratische Reste und Anwendungen 8 Woche: Quadratische Reste und Anwendungen 163/ 238 Quadratische Reste Ḋefinition Quadratischer Rest Sei n N Ein Element a Z n heißt quadratischer Rest in Z
Mehr13. Woche: NP-Vollständigkeit Satz von Cook-Levin Anwendungen in der Kryptographie
13 Woche: NP-Vollständigkeit Satz von Cook-Levin Anwendungen in der Kryptographie 13 Woche: NP-Vollständigkeit, Satz von Cook-Levin, Anwendungen 276/ 333 N P-Vollständigkeit Ḋefinition NP-vollständig Sei
MehrDas Quadratische Reste Problem
Das Quadratische Reste Problem Definition Pseudoquadrate Sei N = q mit, q rim. Eine Zahl a heißt Pseudoquadrat bezüglich N, falls ( a ) = 1 und a / QR N. N Wir definieren die Srache QUADRAT:= {a Z N (
Mehr= 1. Falls ( a n. ) r i. i=1 ( b p i
Das Jacobi-Symbol Definition Jacobi-Symbol Sei n N ungerade mit Primfaktorzerlegung n = s definieren das Jacobi-Symbol ( a ( ) ri n) := s a i=1 p i. i=1 pr i i. Wir Anmerkungen: Falls a quadratischer Rest
MehrLegendre-Symbol von 2
Legendre-Symbol von Lemma Legendre-Symbol von Sei P\{}. Dann gilt ( ) = { +1 falls ±1 mod 8 1 falls ±3 mod 8. Beweis: Nach Euler-Identität wissen wir, dass ( ) 1 mod. In Z[i] gilt = ( i) i = ( i)(1+i).
MehrDas Rucksackproblem. Definition Sprache Rucksack. Satz
Das Rucksackproblem Definition Sprache Rucksack Gegeben sind n Gegenstände mit Gewichten W = {w 1,...,w n } N und Profiten P = {p 1,...,p n } N. Seien ferner b, k N. RUCKSACK:= {(W, P, b, k) I [n] : i
MehrAlgorithmische Kryptographie
Algorithmische Kryptographie Walter Unger Lehrstuhl für Informatik I 16. Februar 2007 Public-Key-Systeme: Rabin 1 Das System nach Rabin 2 Grundlagen Körper Endliche Körper F(q) Definitionen Quadratwurzel
MehrBsp: Die kleinsten Carmichael-Zahlen sind 561, 1105, 1729, Es gibt unendlich viele Carmichael-Zahlen (Beweis 1994).
Primzahltest Wir wollen testen, ob eine gegebene Zahl n eine Primzahl ist Effizienter Algorithmus zum Faktorisieren ist unbekannt Kontraposition des Kleinen Satzes von Fermat liefert: Falls a n 1 1 mod
MehrUnunterscheidbarkeit von Chiffretexten
Ununterscheidbarkeit von Chiffretexten Spiel Ununterscheidbarkeit von Chiffretexten PrivK eav A,Π (n) Sei Π ein Verschlüsselungsverfahren und A ein Angreifer. 1 (m 0, m 1 ) A. 2 k Gen(1 n ). 3 Wähle b
MehrUnunterscheidbarkeit von Chiffretexten
Ununterscheidbarkeit von Chiffretexten Spiel Ununterscheidbarkeit von Chiffretexten PrivK eav A,Π (n) Sei Π ein Verschlüsselungsverfahren und A ein Angreifer. (m 0, m ) A. 2 k Gen( n ). 3 Wähle b R {0,
MehrUnunterscheidbarkeit von Chiffretexten
Ununterscheidbarkeit von Chiffretexten Spiel Ununterscheidbarkeit von Chiffretexten PrivK eav A,Π (n) Sei Π ein Verschlüsselungsverfahren und A ein Angreifer. 1 (m 0, m 1 ) A. 2 k Gen(1 n ). 3 Wähle b
MehrRabin Verschlüsselung 1979
Rabin Verschlüsselung 1979 Idee: Rabin Verschlüsselung Beobachtung: Berechnen von Wurzeln in Z p ist effizient möglich. Ziehen von Quadratwurzeln in Z N ist äquivalent zum Faktorisieren. Vorteil: CPA-Sicherheit
MehrRSA Parameter öffentlich: N = pq mit p, q prim und e Z RSA Parameter geheim: d Z φ(n)
RSA Parameter { öffentlich: N = pq mit p, q prim und e Z RSA Parameter φ(n) geheim: d Z φ(n) mit ed = 1 mod φ(n). Satz RSA Parameter Generierung RSA-Parameter (N, e, d) können in Zeit O(log 4 N) generiert
Mehr2 Das Quadratische Reziprozitätsgesetz
Das Quadratische Rezirozitätsgesetz Anna Sökeland, Natalie Graßmuck 6.0.007 1 Vorbemerkungen 3 mod 13, d.h. modulo 13 ist 3 ein Quadrat. Definition : Sei eine Primzahl. x F y F mit ist Quadrat modulo,
MehrCPA-Sicherheit ist ungenügend
CPA-Sicherheit ist ungenügend Definition CCA CCA (=Chosen Ciphertext Attack) ist ein Angriff, bei dem der Angreifer sich Chiffretext seiner Wahl entschlüsseln lassen kann. Beispiele in denen CPA nicht
MehrKapitel 6: Das quadratische Reziprozitätsgesetz
Kapitel 6: Das quadratische Reziprozitätsgesetz Ziel dieses Kapitels: die Untersuchung der Lösbarkeit der Kongruenzgleichung X also die Frage, ob die ganze Zahl Z eine Quadratwurzel modulo P besitzt. Im
MehrWann sind Codes eindeutig entschlüsselbar?
Wann sind Codes eindeutig entschlüsselbar? Definition Suffix Sei C ein Code. Ein Folge s {0, 1} heißt Suffix in C falls 1 c i, c j C : c i = c j s oder 2 c C und einen Suffix s in C: s = cs oder 3 c C
MehrSicherheit von ElGamal
Sicherheit von ElGamal Satz CPA-Sicherheit ElGamal ElGamal Π ist CPA-sicher unter der DDH-Annahme. Beweis: Sei A ein Angreifer auf ElGamal Π mit Erfolgsws ɛ(n) := Ws[PubK cpa A,Π (n) = 1]. Wir konstruieren
MehrAnzahl der Generatoren
Anzahl der Generatoren Satz Anzahl Generatoren eines Körpers Sei K ein Körper mit q Elementen. Dann besitzt K genau φ(q 1) viele Generatoren. Beweis: K ist zyklisch, d.h. K besitzt einen Generator a mit
MehrPrimzahltest für Mersenne-Primzahlen
Primzahltest für Mersenne-Primzahlen Satz Lucas-Lehmer Test Sei n = 2 p 1 N für p P\{2}. Wir definieren die Folge S k durch S 1 = 4 und S k = S 2 k 1 2. Falls n S p 1, dann ist n prim. Beweis: Seien ω
MehrZahlentheorie. Alexander May. Fakultät für Mathematik Ruhr-Universität Bochum. Sommersemester 2015
Zahlentheorie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Sommersemester 2015 Zahlentheorie - V01 Primzahlen, Landau-Notation, Fermat Primzahl, Mersenne Primzahl 1 / 230 Organisatorisches
Mehr6 Zahlentheoretische Grundlagen
6 Zahlentheoretische Grundlagen 89 6 Zahlentheoretische Grundlagen In diesem Abschnitt stellen wir die Hilfsmittel aus der Zahlentheorie bereit, die wir zum Verständnis der Public-Key Verfahren, die im
MehrDer Körper F 2 p. Lemma. Sei D R, aber D kein Quadrat in R. Dann gilt R[ D] = R R.
Der Körper F 2 p Lemma Sei D R, aber D kein Quadrat in R. Dann gilt R[ D] = R R. Wir definieren den Isomorphismus φ : R[ D] R R mit x + y D (x + yd, x yd). Die Bijektivität von φ folgt mit der Umkehrabbildung
MehrProbabilistische Primzahltests
23.01.2006 Motivation und Überblick Grundsätzliches Vorgehen Motivation und Überblick Als Primzahltest bezeichnet man ein mathematisches Verfahren, mit dem ermittelt wird, ob eine gegebene Zahl eine Primzahl
Mehr1 Kryptographie - alt und neu
1 Krytograhie - alt und neu 1.1 Krytograhie - alt [H] S. 9-14 und S. 18:.3.1. (Idee) - olyalhabetische Verschlüsselung, Vigenère (1550) 1. Primzahlen [RS] S. 89-93, wohl im wesenlichen ohne Beweise. Ausnahme
MehrVI.4 Elgamal. - vorgestellt 1985 von Taher Elgamal. - nach RSA das wichtigste Public-Key Verfahren
VI.4 Elgamal - vorgestellt 1985 von Taher Elgamal - nach RSA das wichtigste Public-Key Verfahren - besitzt viele unterschiedliche Varianten, abhängig von zugrunde liegender zyklischer Gruppe - Elgamal
MehrRelationen und DAGs, starker Zusammenhang
Relationen und DAGs, starker Zusammenhang Anmerkung: Sei D = (V, E). Dann ist A V V eine Relation auf V. Sei andererseits R S S eine Relation auf S. Dann definiert D = (S, R) einen DAG. D.h. DAGs sind
MehrErweiterter Euklidischer Algorithmus
Erweiterter Euklidischer Algorithmus Algorithmus ERWEITERTER EUKLIDISCHER ALG. (EEA) EINGABE: a, b N 1 If (b = 0) then return (a, 1, 0); 2 (d, x, y) EEA(b, a mod b); 3 (d, x, y) (d, y, x a b y); AUSGABE:
MehrElGamal Verschlüsselungsverfahren (1984)
ElGamal Verschlüsselungsverfahren (1984) Definition ElGamal Verschlüsselungsverfahren Sei n ein Sicherheitsparameter. 1 Gen : (q, g) G(1 n ), wobei g eine Gruppe G der Ordnung q generiert. Wähle x R Z
MehrÄltere Aufgaben (bis 1998)
Ältere Aufgaben (bis 1998) Es waren in den 4 Stunden jeweils nur 2 Aufgaben zu bearbeiten, die einzelnen Aufgaben waren umfangreicher. September 1998, Aufgabe 1 Sei p eine ungerade Primzahl. a) Beweise:
MehrHomomorphe Verschlüsselung
Homomorphe Verschlüsselung Definition Homomorphe Verschlüsselung Sei Π ein Verschlüsselungsverfahren mit Enc : G G für Gruppen G, G. Π heißt homomorph, falls Enc(m 1 ) G Enc(m 2 ) eine gültige Verschlüsselung
MehrKlausurtermin. Klausur Diskrete Mathematik I Do stündig
Klausurtermin Klausur Diskrete Mathematik I Do. 28.02.2008 3-stündig 07.12.2007 1 Wiederholung Komplexität modularer Arithmetik Addition: O(n) Multiplikation: O(n 2 ) bzw. O(n log 2 3 ) Exponentiation:
MehrSatz von Euler. Satz von Euler. Korollar 1. Korollar 2 Kleiner Fermat. Sei (G, ) eine endl. abelsche Gruppe. Dann gilt a G = 1 für alle a G.
Satz von Euler Satz von Euler Sei (G, ) eine endl. abelsche Gruppe. Dann gilt a G = 1 für alle a G. Beweis: Sei G = {g 1,..., g n } und a G. Betrachte die Abbildung f : G G, g ag. Da a G, besitzt a ein
MehrSatz von Euler. Satz von Euler. Korollar 1. Korollar 2 Kleiner Fermat. Sei (G, ) eine endl. abelsche Gruppe. Dann gilt a G = 1 für alle a G.
Satz von Euler Satz von Euler Sei (G, ) eine endl. abelsche Gruppe. Dann gilt a G = 1 für alle a G. Beweis: Sei G = {g 1,..., g n } und a G. Betrachte die Abbildung f : G G, g ag. Da a G, besitzt a ein
MehrLiften von Lösungen modulo 2
Liften von Lösungen modulo 2 Übung: An welcher Stelle im vorigen Beweis benötigen wir p 2? Geben Sie ein Gegenbeispiel für voriges Lemma für p = 2, r = 3. Modifizieren Sie den Beweis, um das folgende Lemma
MehrLiften von Lösungen modulo 2
Liften von Lösungen modulo 2 Übung: An welcher Stelle im vorigen Beweis benötigen wir p 2? Geben Sie ein Gegenbeispiel für voriges Lemma für p = 2, r = 3. Modifizieren Sie den Beweis, um das folgende Lemma
MehrLösungsvorschläge zu den Aufgaben auf Übungsblatt 07. x Dy y x
Lösungsvorschläge zu den Aufgaben auf Übungsblatt 07 Aufgabe 1. Es seien R ein kommutativer Ring mit 1 und D R. Wir schreiben { ) x Dy QR, D) = x, y R}. y x Dann ist QR, D) abgeschlossen bezüglich der
MehrIsomorphismus. Definition Gruppen-Isomorphismus. Seien (G, +) und (G, ) Gruppen. Die Abbildung f : G G heißt Gruppen-Isomorphismus, falls gilt
Isomorphismus Definition Gruppen-Isomorphismus Seien (G, +) und (G, ) Gruppen. Die Abbildung f : G G heißt Gruppen-Isomorphismus, falls gilt 1 f ist bijektiv f (u + v) = f (u) f (v) für alle u, v G, die
MehrQuadratische Reste. Michael Partheil. 19. Mai Hintergrund 2. 2 Quadratische Reste 4. 3 Gauß sche Summen 7
Quadratische Reste Michael Partheil 19. Mai 008 Inhaltsverzeichnis 1 Hintergrund Quadratische Reste 4 3 Gauß sche Summen 7 4 Quadratisches Rezirozitätsgesetz 10 5 Literaturverzeichnis 1 1 1 Hintergrund
Mehr3. Quadratische Zahlkörper
Ein quadratischer Zahlkörer K ist ein algebraischer Zahlkörer vom Grad. Ein solcher Körer lässt sich stets schreiben als K = Q( d, wobei d Z {0, 1} eine quadratfreie ganze Zahl ist. Der Zahlkörer Q( d
MehrSicherheit von Merkle Signaturen
Sicherheit von Merkle Signaturen Algorithmus Angreifer A für die Einwegsignatur EINGABE: pk, Zugriff auf eine Anfrage an Orakel Sign sk ( ) 1 Berechne (pk (i), sk (i) ) Gen(1 n ) für i = 1,...,l. Wähle
MehrDas Quadratische Reziprozitätsgesetz. Stefanie Beule Sebastian Schrage
Das Quadratische Rezirozitätsgesetz Stefanie Beule Sebastian Schrage 06. November 007 Inhaltsverzeichnis 3 Das Quadratische Rezirozitätsgesetz Notation.............................................. A Das
Mehr4.2 Das quadratische Reziprozitätsgesetz
4. Das quadratische Rezirozitätsgesetz Die Grundlage zur Berechnung des Legendre- (und Jacobi-) -Symbols sind die folgenden beiden Sätze; zunächst aber ein Hilfssatz, mit dem sich zusammengesetzte Moduln
MehrDie Größe A(n, d) und optimale Codes
Die Größe A(n, d) und optimale Codes Definition Optimaler Code Wir definieren A(n, d) = max{m binärer (n, M, d) Code} Ein (n, M, d)-code heißt optimal, falls M = A(n, d). Bestimmung von A(n, d) ist offenes
Mehrdurch Einfügen von Knoten konstruiert werden kann.
Satz von Kuratowski Definition Unterteilung eines Graphen Sei G = (V, E) und e = {u, v} E. 1 Das Einfügen eines neuen Knoten w in die Kante e führt zum Graphen G = (V {w}, E \ e {{u, w}, {w, v}}). 2 Der
MehrDie inverse Diskrete Fourier Transformation
Die inverse Diskrete Fourier Transformation Konvertierung von der Point-value Form in Koeffizientenform. Dazu stellen wir die DFT als Matrix-Vektor Produkt dar 1 1 1... 1 1 ω n ωn 2... ωn n 1 a 0 y 0 1
MehrCharaktere. 1 Die Charaktergruppe
Vortrag zum Seminar zur Funktionentheorie, 28.01.2008 Elisabeth Peternell Zu den wichtigsten Dirichletschen Reihen gehören die L-Reihen, welche insbesondere gewöhnliche Dirichletsche Reihen darstellen,
Mehr2. Woche Eindeutige Entschlüsselbarleit, Sätze von Kraft und McMillan, Huffmancodierung
2 Woche Eindeutige Entschlüsselbarleit, Sätze von Kraft und McMillan, Huffmancodierung 2 Woche: Eindeutige Entschlüsselbarleit, Sätze von Kraft und McMillan, Huffmancodierung 24/ 44 Zwei Beispiele a 0
MehrLaufzeit einer DTM, Klasse DTIME
Laufzeit einer DTM, Klasse DTIME Definition Laufzeit einer DTM Sei M eine DTM mit Eingabealphabet Σ, die bei jeder Eingabe hält. Sei T M (w) die Anzahl der Rechenschritte d.h. Bewegungen des Lesekopfes
Mehr7. Kongruenzrechnung Definition: Proposition: Korollar: Beispiel: b ( a kongruent b modulo n ) auf Z, definiert durch:
7. Kongruenzrechnung 7. 1. Definition: Für n N sei die Relation: n a n b ( a kongruent b modulo n ) auf Z, definiert durch: a n b : n ( a b) a b ( mod n) Dies ist eine Äquivalenzrelation auf Z. Die Menge
MehrDivision mit Schulmethode
Division mit Schulmethode Satz Division mit Rest von Polynomen Seien a(x), b(x) Q[x] mit b(x) 0. Dann gibt es eindeutige q(x), r(x) Q[x] mit a(x) = q(x) b(x) + r(x) und grad(r) < grad(b). Beweis: Sei grad(a)
MehrWiederholung. Divide & Conquer Strategie
Wiederholung Divide & Conquer Strategie Binäre Suche O(log n) Rekursives Suchen im linken oder rechten Teilintervall Insertion-Sort O(n 2 ) Rekursives Sortieren von a[1..n-1], a[n] Einfügen von a[n] in
Mehrχ a : N + {0, 1, 1} {( a χ a (n) = χ a (n ). ψ(mn) < ψ(m)ψ(n).
September 007, Zahlentheorie 1 a) Formulieren Sie das quadratische Reziprozitätsgesetz einschließlich der Definitionen der Legendre- und Jacobi-Symbole. b) Für a Z \ {0} definieren wir durch χ a (n) =
MehrPerfekte Codes. Definition Perfekter Code. Sei C {0, 1} n ein (n, M, d)-code. C heißt perfekt, falls
Perfekte Codes Definition Perfekter Code Sei C {0, 1} n ein (n, M, d)-code. C heißt perfekt, falls ( ) d 1 M V n = 2 n. 2 D.h. die maximalen disjunkten Hammingkugeln um die Codeworte partitionieren {0,
MehrHybride Verschlüsselungsverfahren
Hybride Verschlüsselungsverfahren Ziel: Flexibilität von asym. Verfahren und Effizienz von sym. Verfahren. Szenario: Sei Π = (Gen, Enc, Dec) ein PK-Verschlüsselungsverfahren und Π = (Gen, Enc, Dec ) ein
MehrPrinzip 2 Präzisierung der Annahmen
Prinzip 2 Präzisierung der Annahmen Prinzip 2 Komplexitätsannahme Es muss spezifiziert werden, unter welchen Annahmen das System als sicher gilt. Eigenschaften: Angriffstyp COA, KPA, CPA oder CCA muss
MehrLösungen der Aufgaben
Lösungen der Aufgaben Aufgabe 1.3.1 Es gibt 42 mögliche Verschlüsselungen. Aufgabe 2.3.4 Ergebnisse sind 0, 4 und 4 1 = 4. Aufgabe 2.3.6 Da in Z 9 10 = 1 ist, erhalten wir x = c 0 + + c m = c 0 + + c m.
MehrZiel: Zertifiziere Pfad von Wurzel zu m mittels Signaturen. Signieren Public-Keys auf Pfad inklusive der Nachbarknoten.
Merkle-Baum Idee: Konstruktion von Merkle-Bäumen Ersetze Signaturkette durch Baum (sogenannter Merkle-Baum). Verwenden Baum der Tiefe n für Nachrichten der Länge n. Die Wurzel erhält Label ɛ. Die Kinder
MehrDas Generalized Birthday Problem
Das Generalized Birthday Problem Problem Birthday Gegeben: L 1, L 2 Listen mit Elementen aus {0, 1} n Gesucht: x 1 L 1 und x 2 L 2 mit x 1 x 2 = 0. Anwendungen: Meet-in-the-Middle Angriffe (z.b. für RSA,
MehrPrinzipien der modernen Kryptographie Sicherheit
Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsziel Die Sicherheitsziele müssen präzise definiert werden. Beispiele für ungenügende Definitionen von Sicherheit Kein Angreifer kann
MehrForm der Äquivalenzklassen
Form der Äquivalenzklassen Anmerkung: Es gilt a = a ± m = a ± 2m =... = a + km mod m für alle k Z. Wir schreiben auch {x Z x = a + mk, k Z} = a + mz. Es gibt m verschiedene Äquivalenzklassen modulo m:
MehrBsp. Euklidischer Algorithmus
Bsp. Euklidischer Algorithmus Bsp: Berechne ggt(93, 42) mittels EUKLID. 93 2 42 = 9 42 4 9 = 6 9 1 6 = 3 6 2 3 = 0 D.h. ggt(93, 42) = 3. Durch Rücksubstitution erhalten wir die Bézout-Koeffizienten x,
MehrVI.3 RSA. - RSA benannt nach seinen Erfindern R. Rivest, A. Shamir und L. Adleman. - vorgestellt erstes Public-Key Verschlüsselungsverfahren
VI.3 RSA - RSA benannt nach seinen Erfindern R. Rivest, A. Shamir und L. Adleman - vorgestellt 1977 - erstes Public-Key Verschlüsselungsverfahren - auch heute noch das wichtigste Public-Key Verfahren 1
MehrÜbungsblatt 1. Lorenz Leutgeb. 30. März 2015
Übungsblatt Lorenz Leutgeb 30. März 205 Aufgabe. Annahmen ohne Einschränkungen: P Σ und P Γ. Per Definitionem der Reduktion: P P 2 f : Σ Γ wobei f total und berechenbar, genau so, dass: w Σ : w P f(w)
MehrPrinzipien der modernen Kryptographie Sicherheit
Prinzipien der modernen Kryptographie Sicherheit Prinzip 1 Sicherheitsziel Die Sicherheitsziele müssen präzise definiert werden. Beispiele für ungenügende Definitionen von Sicherheit: Kein Angreifer kann
MehrDiskrete Strukturen. Vorlesung 15: Arithmetik. 5. Februar 2019
1 Diskrete Strukturen Vorlesung 15: Arithmetik 5. Februar 2019 Nächste Termine Modul Diskrete Strukturen Hörsaalübung (Mo. 9:15) Vorlesung (Di. 17:15) 4.2. Tutorium (Klausurvorbereitung) 11.2. 12.2. 5.2.
MehrÜbungen zu Zahlentheorie, SS 2017
Übungen zu Zahlentheorie, SS 017 Christoph Baxa 1) Finde alle positiven Teiler von a) 1799 b) 997. ) Zeige (a b) (a n b n ) für alle a, b Z und alle n N. 3) Zeige: Wenn m n dann (a m b m ) (a n b n ) (mit
MehrWiederholung. Gruppen. Untergruppen. Gruppenisomorphismen. Ordnung: Gruppe, Element Satz von Euler: a ord(g) = 1 Elementordung teilt Gruppenordnung
Wiederholung Gruppen Ordnung: Gruppe, Element Satz von Euler: a ord(g) = 1 Elementordung teilt Gruppenordnung Untergruppen Satz von Lagrange Untergruppenordnung teilt Gruppenordnung Nebenklassen von Untergruppen
Mehrggt mit Euklid Satz: Um ggt(k, l) mit dem Euklidischen Algorithmus zu berechnen, braucht man höchstens log Φ k < 3 2 log 2 k rekursive Aufrufe.
ggt mit Euklid Satz: Um ggt(k, l) mit dem Euklidischen Algorithmus zu berechnen, braucht man höchstens log Φ k < 3 2 log 2 k rekursive Aufrufe. Das heißt, um den ggt von zwei 1000-Bit-Zahlen zu ermitteln,
MehrHashfunktionen und Kollisionen
Hashfunktionen und Kollisionen Definition Hashfunktion Eine Hashfunktion ist ein Paar (Gen, H) von pt Algorithmen mit 1 Gen: s Gen(1 n ). Gen ist probabilistisch. 2 H: H s berechnet Funktion {0, 1} {0,
MehrLösung zur Klausur zu Krypographie Sommersemester 2005
Lösung zur Klausur zu Krypographie Sommersemester 2005 1. Bestimmen Sie die zwei letzten Ziffern der Dezimaldarstellung von 12 34 Es gilt: 12 34 = 12 32+2 = 12 32 12 2 = 12 (25) 12 2 = ((((12 2 ) 2 ) 2
MehrDefinition Message Authentication Code (MAC) Ein Message Authentication Code (MAC) bzgl. des Nachrichtenraumen M besteht aus den ppt Alg.
Message Authentication Code (MAC) Szenario: Integrität und Authentizität mittels MACs. Alice und Bob besitzen gemeinsamen Schlüssel k. Alice berechnet für m einen MAC-Tag t als Funktion von m und k. Alice
Mehr6: Public-Key Kryptographie (Grundidee)
6: Public-Key Kryptographie (Grundidee) Ein Teil des Schlüssels ist nur dem Empfänger bekannt. Der auch dem Sender bekannte Teil kann sogar veröffentlicht werden. Man spricht dann von einem Schlüsselpaar.
MehrBeispiel: Primelemente in den Gaußschen Zahlen
Beispiel: Primelemente in den Gaußschen Zahlen Satz Primelemente in Z[i] Für die Primelemente π Z[i] gilt bis auf Assoziiertheit 1 N(π) = p für ein p P oder 2 π = p für ein p P mit p x 2 + y 2 für (x,
MehrBeispiel: Primelemente in den Gaußschen Zahlen
Beispiel: Primelemente in den Gaußschen Zahlen Satz Primelemente in Z[i] Für die Primelemente π Z[i] gilt bis auf Assoziiertheit 1 N(π) = p für ein p P oder 2 π = p für ein p P mit p x 2 + y 2 für (x,
MehrKryptographische Protokolle
Kryptographische Protokolle Lerneinheit 2: Generierung von Primzahlen Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Wintersemester 2018/2019 15.11.2018 Einleitung Einleitung Diese Lerneinheit
Mehr2: Restklassen 2.1: Modulare Arithmetik
2: Restklassen 2.1: Modulare Arithmetik Uhr: Stunden mod 24, Minuten mod 60, Sekunden mod 60,... Rechnerarithmetik: mod 2 w, w {8, 16, 32, 64} Prüfziffern mod 10 oder mod 11... 71 S. Lucks Diskr Strukt.
MehrBeispiel für simultane Kongruenz
Beispiel für simultane Kongruenz Jetzt wollen wir das Lemma der letzten Einheit anwenden. Wenn man eine Zahl sucht, die kongruent zu y modulo m und kongruent zu z modulo n ist, so nehme man zam + ybn wobei
MehrMathematisches Kaleidoskop 2014 Materialien Teil 2. Dr. Hermann Dürkop
Mathematisches Kaleidoskop 2014 Materialien Teil 2 Dr. Hermann Dürkop 1 1.6 Quadratische Reste und das Legendre-Symbol Im folgenden seien die Moduln p immer Primzahlen. Wir haben bisher gesehen, ob und
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 4.4 Semantische Sicherheit 1. Sicherheit partieller Informationen 2. Das Verfahren von Rabin 3. Sicherheit durch Randomisierung Semantische Sicherheit Mehr als nur
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 5 Kryptosysteme auf der Basis diskreter Logarithmen 1. Diffie Hellman Schlüsselaustausch 2. El Gamal Systeme 3. Angriffe auf Diskrete Logarithmen 4. Elliptische Kurven
MehrLösungsblatt zur Vorlesung. Kryptanalyse WS 2009/2010. Blatt 5 / 9. Dezember 2009 / Abgabe bis spätestens 23. Dezember 2009, 10 Uhr (vor der Übung)
Ruhr-Universität Bochum Lehrstuhl für Kryptologie und IT-Sicherheit Prof. Dr. Alexander May Mathias Herrmann, Alexander Meurer Lösungsblatt zur Vorlesung Kryptanalyse WS 2009/2010 Blatt 5 / 9. Dezember
MehrInduktionsbeweis. Satz Primfaktorzerlegung. Jede natürliche Zahl n 2 lässt sich als Produkt von Primzahlen darstellen.
Induktionsbeweis Satz Primfaktorzerlegung Jede natürliche Zahl n 2 lässt sich als Produkt von Primzahlen darstellen. Beweis: Induktion über n (IV) Induktionsverankerung: n=2 prim. (IA) Induktionsannahme:
MehrExistenz von Einwegfunktionen
Existenz von Einwegfunktionen Satz Einweg-Eigenschaft von f FO Unter der Faktorisierungsannahme ist f FO eine Einwegfunktion. Beweis: f FO ist mittels FACTOR-ONEWAY effizient berechenbar. z.z.: Invertierer
MehrBeispiel Gröbnerbasen-Berechnung
Beispiel Gröbnerbasen-Berechnung Bsp: Seien f 1 = x 2 y + xy, f 2 = xy 2 + 1 R[x, y] in grlex-ordnung. S(f 1, f 2 ) = yf 1 xf 2 = xy 2 x. Division liefert S(f 1, f 2 ) = 1 f 2 x 1. Wir fügen f 3 = x 1
MehrMinimalpolynome und Implikanten
Kapitel 3 Minimalpolynome und Implikanten Wir haben bisher gezeigt, daß jede Boolesche Funktion durch einfache Grundfunktionen dargestellt werden kann. Dabei können jedoch sehr lange Ausdrücke enstehen,
MehrKongruenz ist Äquivalenzrelation
Kongruenz ist Äquivalenzrelation Lemma Kongruenz ist Äquivalenzrelation Die Kongruenz modulo n ist eine Äquivalenzrelation auf Z. D.h. für alle a, b, c Z gilt 1 Reflexivität: a a mod n 2 Symmetrie: a b
MehrAufgabe der Kryptografie
Aufgabe der Kryptografie Eve möchte die Unterhaltung mithören und/oder ausgetauschte Informationen ändern. Alice & Bob kommunzieren über einen unsicheren Kanal. Alice & Bob nutzen Verschlüsselung und digitale
MehrEuklidischer Algorithmus
Euklidischer Algorithmus Ermitteln des größten gemeinsamen Teilers mit Euklid: function ggt (m, n) Hierbei ist m begin 0undn 0vorausgesetzt. if m = 0 then return n else return ggt (n mod m, m) fi end Man
Mehr7. Musterlösung zu Mathematik für Informatiker I, WS 2003/04
7. Musterlösung zu Mathematik für Informatiker I, WS 2003/04 KATHRIN TOFALL Aufgabe 7. (Symmetrischer EEA). (9 Punkte) Ziel dieser Aufgabe ist es zu zeigen, was man gewinnt, wenn man bei der Division mit
MehrSeminarvortrag aus Reiner Mathematik Existenz von Primitivwurzeln
Seminarvortrag aus Reiner Mathematik Existenz von Primitivwurzeln Michael Kniely November 2009 1 Vorbemerkungen Definition. Sei n N +, ϕ(n) := {d [0, n 1] ggt (d, n) = 1}. Die Abbildung ϕ : N + N + heißt
Mehr12. Woche: Verifizierer, nicht-deterministische Turingmaschine, Klasse NP
12 Woche: Verifizierer, nicht-deterministische Turingmaschine, Klasse NP 12 Woche: Verifizierer, nicht-deterministische Turingmaschine, NP 254/ 333 Polynomielle Verifizierer und NP Ḋefinition Polynomieller
MehrEntscheidungsbäume. Definition Entscheidungsbaum. Frage: Gibt es einen Sortieralgorithmus mit o(n log n) Vergleichen?
Entscheidungsbäume Frage: Gibt es einen Sortieralgorithmus mit o(n log n) Vergleichen? Definition Entscheidungsbaum Sei T ein Binärbaum und A = {a 1,..., a n } eine zu sortierenden Menge. T ist ein Entscheidungsbaum
Mehr2. Algorithmische Methoden 2.1 Rekursion. 18. April 2017
2. Algorithmische Methoden 2.1 Rekursion 18. April 2017 Rekursiver Algorithmus Ein rekursiver Algorithmus löst ein Problem, indem er eine oder mehrere kleinere Instanzen des gleichen Problems löst. Beispiel
MehrQuadratische Erweiterung
Quadratische Erweiterung Ziel: F 2 p besitzt Ordnung F 2 p = p 2 1 = (p+1)(p 1). Wir konstruieren eine Untergruppe von F 2 p mit Ordnung p+1. Unsere Hoffnung ist, dass p + 1 in kleine Primfaktoren zerfällt.
MehrÜbung zur Vorlesung Berechenbarkeit und Komplexität
RWTH Aachen Lehrgebiet Theoretische Informatik Reidl Ries Rossmanith Sanchez Tönnis WS 2012/13 Übungsblatt 7 26.11.2012 Übung zur Vorlesung Berechenbarkeit und Komplexität Aufgabe T15 Entwickeln Sie ein
Mehr6.2. Ringe und Körper
62 RINGE UND K ÖRPER 62 Ringe und Körper Wir betrachten nun Mengen (endlich oder unendlich) mit zwei Operationen Diese werden meist als Addition und Multiplikation geschrieben Meist ist dabei die additiv
Mehr