Das Quadratische Reste Problem

Transkript

1 Das Quadratische Reste Problem Definition Pseudoquadrate Sei N = q mit, q rim. Eine Zahl a heißt Pseudoquadrat bezüglich N, falls ( a ) = 1 und a / QR N. N Wir definieren die Srache QUADRAT:= {a Z N ( ) a N = 1 und a QRN }. ( ) ( ) Für alle Pseudoquadrate a gilt: a = a q = ( 1). D.h. die Srache QUADRAT kann effizient entschieden werden, falls, q bekannt sind. Im Allgemeinen ist nur N bekannt. Quadratische Reduositätsannahme (QR-Annahme) Es gibt keinen olynomiellen Algorithmus, der QUADRAT entscheidet. DiMA II - Vorlesung BBS Zufallsgenerator, GM Krytosytem, GM Commitment, BG Krytosytem 239 / 253

2 Quadratwurzeln in Z N Lemma Sei N = q mit, q rim und = q = 3 mod 4 (sogenannte Blum-Zahl). Dann besitzt jedes a = x 2 QR N genau eine Quadratwurzel in QR N, die sogenannte Hautwurzel. Die Lösungen des Gleichungssystems y = ±x mod y = ±x mod q mittels Chinesischem Restsatz 4 Lösungen in Z N. Eine Lösung ist in QR N gdw sie in QR QR q ist. Betrachten Lösung modulo (analog mod q): ( ) ( ) ( ) ( ) x ( 1)( x) 1 x = =. ( ) Für = 3 mod 4 gilt 1 = ( 1) 1 2 = ( 1). ( ) ( ) D.h. x = x und entweder x oder x ist in QR. Damit ist genau eine der 4 Lösungen in QR N. liefern DiMA II - Vorlesung BBS Zufallsgenerator, GM Krytosytem, GM Commitment, BG Krytosytem 240 / 253

3 Der Blum-Blum-Shub (BBS) Pseudozufallsgenerator Korollar Die Abb. f : QR N QR N, x x 2 mod N ist eine Bijektion auf QR N. (k, l) Pseudozufallsgeneratoren generieren aus k Zufallsbits eine Sequenz von l > k Zufallsbits. Der (k, l) BBS Generator verwendet obige Bijektion. Algorithmus BBS Pseudozufallsgenerator (1986) EINGABE: N = q Blumzahl der Bitlänge N = k, 1 l mit l N und l > k 1 Wähle a R Z N und setze s 0 = a 2 mod N. 2 For i = 1 to l 1 Setze s i s 2 i 1 mod N. Gib z i = s i mod 2 aus. AUSGABE: (z 1,..., z l ) {0, 1} l. Laufzeit: O(l log 2 N), d.h. olynomiell in der Eingabelänge. DiMA II - Vorlesung BBS Zufallsgenerator, GM Krytosytem, GM Commitment, BG Krytosytem 241 / 253

4 Die Sicherheit des BBS Generators Sicherheit: Man kann die Verteilung der (z 1,..., z l ) nicht von der uniformen Verteilung auf {0, 1} l unterscheiden. Man kann folgendes zeigen: Sei A ein olynomieller Unterscheider für (z 1,..., z l ). Dann gibt es einen olyn. Algorithmus B, der s 0 mod 2 berechnet. Satz Sicherheit des BBS Generators Die Ausgabe des BBS Generators ist von der Gleichverteilung in olynomieller Zeit ununterscheidbar unter der QR-Annahme. Annahme: olyn. Unterscheider A für den BBS Generator. Sei B ein Algorithmus, der s 0 mod 2 berechnet. Zeigen, dass dann ein olyn. Algorithmus für QUADRAT existiert. (Widersruch zur Quadratischen Residuositätsannahme) DiMA II - Vorlesung BBS Zufallsgenerator, GM Krytosytem, GM Commitment, BG Krytosytem 242 / 253

5 Entscheiden der Srache QUADRAT Algorithmus für QUADRAT EINGABE: a Z N mit ( a N ) = 1 1 Setze s 0 a mod N. 2 Berechne (z 1,..., z l ) mittels BBS Generator. 3 Berechne z 0 B(z 1,..., z l ). 4 Falls z 0 = (a mod 2), Ausgabe "x QR N ". Sonst Ausgabe "x QR N ". Laufzeit: O(l log 2 N + T (B)) Korrektheit: Wegen ( ) a N = 1 ist entweder a oder ( a) = N a in QRN. D.h. a oder ( a) ist eine Hautwurzel von s 1 = a 2 mod N. Genau eine der beiden Zahlen a, ( a) ist gerade. z 0 ist das unterste Bit der Hautwurzel von s 1 = a 2 mod N. D.h. a ist eine Hautwurzel gdw z 0 und a mod 2 übereinstimmen. DiMA II - Vorlesung BBS Zufallsgenerator, GM Krytosytem, GM Commitment, BG Krytosytem 243 / 253

6 Probabilistische Verschlüsselung Parameter des Goldwasser-Micali Krytosystems (1984): Sei N = q eine Blumzahl, d.h. = q = 3 mod 4. Sei a Z N ein Pseudoquadrat. Verschlüsselt werden Bits m {0, 1}. Goldwasser-Micali Krytosystem 1 Verschlüsselung von m unter Verwendung von N, a. Wähle r R Z N. Berechne e(m, r) = a m r 2 mod N. 2 Entschlüsselung von c = e(m, r) unter Verwendung von, q. ( ) c Berechne = c 1 2 mod. ( ) c 0 falls c QR N, d.h. falls = 1. Setze m = d(c) = ( ) 1 falls c QR N, d.h. falls = ( 1). c DiMA II - Vorlesung BBS Zufallsgenerator, GM Krytosytem, GM Commitment, BG Krytosytem 244 / 253

7 Sicherheit des Goldwasser-Micali Krytosystems Korrektheit Falls m = 0 ist c = r 2 ein zufälliger quadratischer Rest in Z N. Falls m = 1 ist c = x r 2 ein zufälliges Pseudoquadrat. Es gilt ( ) ( ) c N = a m r 2 N = ( ) ( ) a m N r 2 n = 1. ( ) ( ) ( ) ( ) D.h. entweder c = c q = 1 oder c q = c q = ( 1). Im ersten Fall ist c QR N, im zweiten Fall gilt c QR N. Laufzeit: Verschlüsselung: O(log 2 N) Entschlüsselung: O(log 3 N) (verbessert: O(log 2 N)) Satz Sicherheit des Goldwasser-Micali Krytosystems Das GM Krytosystem ist sicher unter der QR-Annahme. Unterscheiden von Verschlüsselungen von 0 und 1 ist äquivalent zum Entscheiden der Srache QUADRAT. DiMA II - Vorlesung BBS Zufallsgenerator, GM Krytosytem, GM Commitment, BG Krytosytem 245 / 253

8 Bit Commitments Szenario informal: 1 Commitment-Phase: Alice latziert ein Bit b {0, 1} in einem Safe, der in Bob s Zimmer steht. Bob besitzt keinen Safeschlüssel. Bob kann den Safe nicht einsehen, lernt also nichts über b. (Conceiling Eigenschaft) 2 Revealing-Phase: Alice öffnet den Safe und zeigt Bob das Bit b. Alice kann ihr Bit dabei nicht ändern. (Binding Eigenschaft) Mathematische Modellierung Commitment mittels f : {0, 1} X Y für endliche Mengen X, Y. Commitment (sog. Blob): Wähle x X und sende f (b, x) an Bob. Öffnen des Commitments: Sende b und x an Bob. DiMA II - Vorlesung BBS Zufallsgenerator, GM Krytosytem, GM Commitment, BG Krytosytem 246 / 253

9 Bit Commitment via Goldwasser-Micali Krytosystem Öffentliche Parameter: Blumzahl N, Pseudoquadrat a Z N X = Y = Z N Algorithmus Goldwasser-Micali Bit Commitment 1 Commitment-Phase Wähle x R Z N. Sende Blob f (b, x) = a b x 2 mod N an Bob. 2 Revealing-Phase Sende b, x an Bob. Bob überrüft die Korrektheit von f (b, x) = a b x 2 mod N. Conceiling Eigenschaft: Unter der QR-Annahme lernt Bob nichts über das Bit b {0, 1}. DiMA II - Vorlesung BBS Zufallsgenerator, GM Krytosytem, GM Commitment, BG Krytosytem 247 / 253

10 Binding Eigenschaft Satz Goldwasser-Micali Commitments besitzen die Binding Eigenschaft. Annahme: Alice kann Blob f (b, x) für b = 0 und b = 1 öffnen. D.h. Alice kann x 1, x 2 Z N berechnen mit f (b, x) = a 0 x 2 1 = a1 x 2 2 mod N. Daraus folgt a = ( x1 x 2 ) 2 mod N, d.h. x 1 x 2 ist Quadratwurzel von a. (Widersruch: a ist ein Pseudoquadrat in Z N.) DiMA II - Vorlesung BBS Zufallsgenerator, GM Krytosytem, GM Commitment, BG Krytosytem 248 / 253

11 Münzwurf über das Telefon Bit Commitments haben zahlreiche Anwendungen in krytograhischen Protokollen. Exemlarisch hier ein Protokoll für einen fairen Münzwurf. Algorithmus Münzwurf via Internet 1 Alice sendet Bob Commitment für Bit b {0, 1}. 2 Bob rät ein Bit b {0, 1}. 3 Alice öffnet ihr Bit. Bob gewinnt gdw b = b. Conceiling-Eigenschaft verhindert, dass Bob etwas über b lernt. Binding-Eigenschaft verhindert, dass Alice b in 1 b ändert. DiMA II - Vorlesung BBS Zufallsgenerator, GM Krytosytem, GM Commitment, BG Krytosytem 249 / 253

12 Berechnen von Quadratwurzeln modulo Satz Quadratwurzeln mod Sei rim, = 3 mod 4 und a QR. Dann sind die beiden Quadratwurzeln von a von der Form x = ±a +1 4 mod, wobei a +1 4 QR. Es gilt x 2 = a +1 2 = a 1 2 a = ( ) a a = a mod. Ferner gilt a +1 4 mod QR wegen (a +1 4 ) = ( ) +1 a 4 = 1. D.h. Quadratwurzeln können in Zeit O(log 3 ) berechnet werden. DiMA II - Vorlesung BBS Zufallsgenerator, GM Krytosytem, GM Commitment, BG Krytosytem 250 / 253

13 Das Blum-Goldwasser Krytosystem Öffentlicher Parameter: Blumzahl N = q Klartextraum: {0, 1} l für ein beliebiges l Chiffretextraum: {0, 1} l Z N Blum-Goldwasser Krytosystem (1985) 1 Verschlüsselung von m = (m 1,..., m l ) {0, 1} l mittels N Wähle r R Z N. (z 1,..., z l ) BBS Generator auf s 0 = r 2 mod N. For i = 1 to l: Berechne c i = m i + z i mod 2. Berechne s l+1 = s0 2l+1 mod N. AUSGABE: Chiffretext c = (c 1,..., c l, s l+1 ) {0, 1} l Z N. 2 Enschlüsselung von c mittels, q. Berechne s 0 Z N als Lösung von s 0 = s ( +1 4 ) l+1 l+1 mod s 0 = s ( +1 4 ) l+1 l+1 mod q (z 1,..., z l ) BBS Generator auf s 0 = r 2 mod N. For i = 1 to l: Berechne m i = c i + z i mod N.. DiMA II - Vorlesung BBS Zufallsgenerator, GM Krytosytem, GM Commitment, BG Krytosytem 251 / 253

14 Laufzeit und Korrektheit Korrektheit: (z 1,..., z l ) wird als One-Time Pad für m verwendet. Entschlüsselung berechnet l + 1-malig die Hautwurzel von s l+1. Dies rekonstruiert die Saat s 0 des BBS Generators. Laufzeit: Verschlüsselung: O(l log 2 N) Entschlüsselung: O(log 3 N + l log 2 N). Fakt Sicherheit des BG-Krytosystems Das Blum Goldwasser Krytosystem ist sicher unter der Annahme, dass Blumzahlen N = q schwer zu faktorisieren sind. DiMA II - Vorlesung BBS Zufallsgenerator, GM Krytosytem, GM Commitment, BG Krytosytem 252 / 253

15 Da war noch was... See you in August. Viel Erfolg bei der Klausur! DiMA II - Vorlesung BBS Zufallsgenerator, GM Krytosytem, GM Commitment, BG Krytosytem 253 / 253