Pseudo-Zufallsgeneratoren basierend auf dem DLP

Transkript

1 Seminar Codes und Kryptografie SS 2004

2 Struktur des Vortrags Struktur des Vortrags Ziel Motivation 1 Einleitung Ziel Motivation 2 Grundlegende Definitionen Zufallsgeneratoren 3 Generator Sicherheit 4 Generator Sicherheit Effizienz

3 Ziel Einleitung Struktur des Vortrags Ziel Motivation Ziel Konstruktion eines effizienten Pseudo-Zufallsbitgenerator basierend auf dem diskreten Logarithmus modulo einer n-bit Primzahl mit kleinem c-bit Exponenten Ausgabe: n c 1 Bits pro modulare Exponentiation Ausgabe für n = 1024 und c = 160: 863 Bits

4 Motivation Einleitung Struktur des Vortrags Ziel Motivation Frage Was sind Pseudo-zufällige Zahlen?

5 Motivation Einleitung Struktur des Vortrags Ziel Motivation Frage Was sind Pseudo-zufällige Zahlen? Antwort Computer können nur determinitisch rechnen, d.h.: Zufallszahlen werden berechnet sehen nur zufällig aus reicht für die meisten kryptographischen Anwendungen

6 Motivation Einleitung Struktur des Vortrags Ziel Motivation Frage Wozu braucht man Pseudo-zufällige Zahlen?

7 Motivation Einleitung Struktur des Vortrags Ziel Motivation Frage Wozu braucht man Pseudo-zufällige Zahlen? Antwort ElGamal DSA (Digital Signature Algorithm) Identifikationsprotokolle (als Challenge)

8 Grundlegende Definitionen Grundlegende Definitionen Zufallsgeneratoren über {0, 1} n Zufallsgeneratoren über beliebigen Mengen Bezeichnungen Wenn x {0, 1} n, wird x geschrieben als x = x n x n 1... x 1, wobei x i {0, 1} für alle i {1,..., n} Wenn x als ganze Zahl betrachtet wird, so ist x = n x i 2 i 1, wobei x n das so genannte höchstwertigste Bit ist. i=1 Mit R n wird die Gleichverteilung über {0, 1} n bezeichnet.

9 Grundlegende Definitionen Grundlegende Definitionen Zufallsgeneratoren über {0, 1} n Zufallsgeneratoren über beliebigen Mengen Definition Seien X n und Y n zwei Wahrscheinlichkeitsverteilungen über {0, 1} n. Zu gegebenen Algorithmus A definiere: δ A,Xn := Pr ( x X n ; A(x) = 1 ) δ A,Yn := Pr ( y Y n ; A(y) = 1 ) X n und Y n heißen polynomiell nicht unterscheidbar, wenn für jeden probabilistischen polynomiellen Algorithmus A, für jedes positive Polynom P und für genügend großes n gilt: δ A,Xn δ A,Yn 1 P(n)

10 Zufallsgeneratoren über {0, 1} n Grundlegende Definitionen Zufallsgeneratoren über {0, 1} n Zufallsgeneratoren über beliebigen Mengen Definition Sei G n : {0, 1} kn {0, 1} n eine Funktion mit k n < n. G n induziert eine Wahrscheinlichkeitsverteilung G n über {0, 1} n, wie folgt: Pr Gn (y) := Pr ( y = G n (s); s zufällig, gleichverteilt in {0, 1} kn)

11 Zufallsgeneratoren über {0, 1} n Grundlegende Definitionen Zufallsgeneratoren über {0, 1} n Zufallsgeneratoren über beliebigen Mengen Definition G n heißt ein kryptographisch starker Pseudo-Zufallsbitgenerator, wenn die Funktion G n in polynomieller Zeit berechnet werden kann und die zwei Wahrscheinlichkeitsverteilungen R n und G n polynomiell nicht unterscheidbar sind.

12 Grundlegende Definitionen Zufallsgeneratoren über {0, 1} n Zufallsgeneratoren über beliebigen Mengen Zufallsgeneratoren über beliebigen Mengen Definition Sei A n eine beliebige Menge mit 2 n 1 A n < 2 n. Sei AG n : {0, 1} kn A n eine Funktion mit k n < n. AG n induziert eine Wahrscheinlichkeitsverteilung AG n über A n, wie folgt: Pr AGn (y) := Pr ( y = AG n (s); s zufällig, gleichverteilt in {0, 1} kn)

13 Grundlegende Definitionen Zufallsgeneratoren über {0, 1} n Zufallsgeneratoren über beliebigen Mengen Zufallsgeneratoren über beliebigen Mengen Definition AG n heißt ein kryptographisch starker Pseudo-Zufallsgenerator, wenn die Funktion AG n in polynomieller Zeit berechnet werden kann und die zwei Wahrscheinlichkeitsverteilungen U n und AG n polynomiell nicht unterscheidbar sind, wobei U n die Gleichverteilung über A n ist.

14 Grundlegende Definitionen Zufallsgeneratoren über {0, 1} n Zufallsgeneratoren über beliebigen Mengen Definition Sei p {0, 1} n eine Primzahl. Z p ist zyklisch. Sei g ein Generator von Z p. Dann ist die Funktion f : Z p 1 Z p mit f (x) = g x mod p eine Permutation. Das Inverse dieser Funktion wird diskreter Logarithmus genannt.

15 Grundlegende Definitionen Zufallsgeneratoren über {0, 1} n Zufallsgeneratoren über beliebigen Mengen Berechnung des diskreten Logarithmus Vermutung: Einwegfunktion

16 Grundlegende Definitionen Zufallsgeneratoren über {0, 1} n Zufallsgeneratoren über beliebigen Mengen Berechnung des diskreten Logarithmus Vermutung: Einwegfunktion Index - Calculus - Methode läuft subexponentiell in n

17 Grundlegende Definitionen Zufallsgeneratoren über {0, 1} n Zufallsgeneratoren über beliebigen Mengen Berechnung des diskreten Logarithmus Vermutung: Einwegfunktion Index - Calculus - Methode läuft subexponentiell in n BabyStep-GiantStep - Algorithmus von Shanks läuft in O(2 c 2 )

18 Grundlegende Definitionen Zufallsgeneratoren über {0, 1} n Zufallsgeneratoren über beliebigen Mengen c-dlse - Annahme c-dlse: Discrete Logarithm with Short c-bit Exponents Sei c = ω ( log(n) ). Für jeden probabilistischen, polynomiellen Algorithmus A, für jedes positive Polynom P und für genügend großes n wird angenommen: Pr p P mit p = n; x {0, 1} c zufällig, gleichverteilt A(p, g, g x, c) = x 1 P(n)

19 Boolsche Prädikate Einleitung Boolsche Prädikate Theorem von Patel und Sundaram Das niedrigstwertige Bit Satz Es existieren O ( log(log(p)) ) Boolsche Prädikate Π i : Z p 1 {0, 1} für i = 1,..., O(log(log(p))), so dass für jedes j mit 1 j O ( log(log(p)) ) gilt: Wenn ein probabilistischer, polynomieller Algorithmus A und ein positives Polynom P existiert, so dass ( Pr x Z p 1 ; A ( g x, Π 1 (x),..., Π j 1 (x) ) ) = Π j (x) P(n), dann gibt es einen probabilistischen, polynomiellen Algorithmus A, der bei Eingabe g x mit einer nichtzuvernachlässigenden Wahrscheinlichkeit x berechnet.

20 Theorem von Patel und Sundaram Boolsche Prädikate Theorem von Patel und Sundaram Das niedrigstwertige Bit Theorem Sei p eine n-bit Primzahl mit p 3 mod 4 und gelte die c-dlse - Annahme, dann gilt für jedes j mit 2 j n c, für jeden polynomiellen Algorithmus A, für jedes positive Polynom P und für genügend großes n: Pr( x Z p 1 ; A(g x ) 1, x 2,..., x j 1 ) = x j 2 1 P(n)

21 Boolsche Prädikate Theorem von Patel und Sundaram Das niedrigstwertige Bit Algorithmus Sei p eine n-bit Primzahl mit p 3 mod 4 und c = ω ( log(n) ). PSG n,c : Z p 1 Z p {0, 1} n c 1 mit PSG n,c (x) = ( g x mod p, x 2,..., x n c ) 1 Starte mit x (0) Z p 1 zufällig, gleichverteilt 2 Setze x (i) := g x(i 1) 3 Setze r (i) := x (i) 2, x (i) 3,..., x (i) n c 4 Ausgabe: r (0), r (1),..., r (k) wobei k die Anzahl der Iterationen ist.

22 Boolsche Prädikate Theorem von Patel und Sundaram Das niedrigstwertige Bit Warum wird das Bit x 1 nicht verwendet? Kriterium von Euler Sei p eine ungerade Primzahl. Dann gilt: a ist quadratisches Residuum modulo p a p mod p

23 Boolsche Prädikate Theorem von Patel und Sundaram Das niedrigstwertige Bit Warum wird das Bit x 1 nicht verwendet? Kriterium von Euler Sei p eine ungerade Primzahl. Dann gilt: a ist quadratisches Residuum modulo p a p mod p Wie sieht x 1 nun aus? x 1 = 0 g x ist quadratisches Residuum x 1 = 1 g x ist kein quadratisches Residuum Dies kann in polynomieller Laufzeit entschieden werden.

24 Einleitung Konstruktion Sicherheit Effizienz Effizienzsteigerung Konstruktion Sei p eine n-bit Primzahl mit p 3 mod 4 und c = ω ( log(n) ). Sei g ein Generator von Z p. Setze ĝ := g 2n c. Betrachte folgende Funktion: RG n,c : Z p 1 Z p mit RG n,c (x) = ĝ x div 2n c g x 1 mod p Die Funktion RG n,c induziert eine Wahrscheinlichkeitsverteilung RG n,c über Z p wie folgt: Pr RGn,c (y) := Pr ( y = RG n,c (s); s Z p 1 zufällig, gleichverteilt )

25 Einleitung Konstruktion Sicherheit Effizienz Effizienzsteigerung Lemma Sei p eine n-bit Primzahl mit p 3 mod 4. Es gelte die c-dlse - Annahme. Sei U n die Gleichverteilung über Z p. Dann gilt: Die zwei Verteilungen U n und RG n,c sind polynomiell nicht unterscheidbar.

26 Einleitung Konstruktion Sicherheit Effizienz Effizienzsteigerung Algorithmus Sei p eine n-bit Primzahl mit p 3 mod 4 und c = ω ( log(n) ). RG n,c : Z p 1 Z p mit RG n,c (x) = ĝ x div 2n c g x 1 mod p 1 Starte mit x (0) Z p 1 zufällig, gleichverteilt 2 Setze x (i) := RG n,c ( x (i 1) ) 3 Setze r (i) := x (i) 2, x (i) 3,..., x (i) n c 4 Ausgabe: r (0), r (1),..., r (k) wobei k die Anzahl der Iterationen ist.

27 Sicherheit Einleitung Konstruktion Sicherheit Effizienz Effizienzsteigerung Theorem Wenn die c-dlse Annahme gilt, so ist der iterierte RG n,c ein sicherer Pseudo-Zufallsbitgenerator.

28 Effizienz Einleitung Konstruktion Sicherheit Effizienz Effizienzsteigerung Effizienzvergleich mit n = 1024 und c = 160 Pseudo-Zufallsbits: Exponent: Exponentiationen: Multiplikationen: pro Multiplikation: Patel-Sundaram: n c 1 = 863 n-bit ˆ= 1024-bit 1 1, 5n = , 5 Bits Gennaro: n c 1 = 863 c-bit ˆ= 160-bit 1 1, 5c = 240 3, 5 Bits

29 Effizienzsteigerung Einleitung Konstruktion Sicherheit Effizienz Effizienzsteigerung Verbesserung von Effizienz Exponentiation zu einer festen Basis ĝ Benutzung von vorberechneten Tabellen 12 KByte - Tabelle bringt 21 Bits pro Multiplikation 300 KByte - Tabelle bringt 43 Bits pro Multiplikation

30 Konstruktion Sicherheit Effizienz Effizienzsteigerung Noch Fragen???

31 Konstruktion Sicherheit Effizienz Effizienzsteigerung Noch Fragen??? Vielen Dank für Ihre Aufmerksamkeit!!!

32 Quadrieren - Multiplizieren Konstruktion Sicherheit Effizienz Effizienzsteigerung Algorithmus Eingabe: g Z p und x = n x i 2 i 1 Ausgabe: g x mod p 1 y:=1 z:=g 2 Für i = 0, 1,..., n 1 Falls x i = 1 y := y z mod p z := z 2 mod p 3 Ausgabe: y i=1