Sicherheit von ElGamal Intuitiv: Eve soll c 2 = m g ab nicht von c 2 R G unterscheiden können.

Ähnliche Dokumente
8. Woche Quadratische Reste und Anwendungen. 8. Woche: Quadratische Reste und Anwendungen 163/ 238

13. Woche: NP-Vollständigkeit Satz von Cook-Levin Anwendungen in der Kryptographie

Das Quadratische Reste Problem

= 1. Falls ( a n. ) r i. i=1 ( b p i

Legendre-Symbol von 2

Das Rucksackproblem. Definition Sprache Rucksack. Satz

Algorithmische Kryptographie

Bsp: Die kleinsten Carmichael-Zahlen sind 561, 1105, 1729, Es gibt unendlich viele Carmichael-Zahlen (Beweis 1994).

Ununterscheidbarkeit von Chiffretexten

Ununterscheidbarkeit von Chiffretexten

Ununterscheidbarkeit von Chiffretexten

Rabin Verschlüsselung 1979

RSA Parameter öffentlich: N = pq mit p, q prim und e Z RSA Parameter geheim: d Z φ(n)

2 Das Quadratische Reziprozitätsgesetz

CPA-Sicherheit ist ungenügend

Kapitel 6: Das quadratische Reziprozitätsgesetz

Wann sind Codes eindeutig entschlüsselbar?

Sicherheit von ElGamal

Anzahl der Generatoren

Primzahltest für Mersenne-Primzahlen

Zahlentheorie. Alexander May. Fakultät für Mathematik Ruhr-Universität Bochum. Sommersemester 2015

6 Zahlentheoretische Grundlagen

Der Körper F 2 p. Lemma. Sei D R, aber D kein Quadrat in R. Dann gilt R[ D] = R R.

Probabilistische Primzahltests

1 Kryptographie - alt und neu

VI.4 Elgamal. - vorgestellt 1985 von Taher Elgamal. - nach RSA das wichtigste Public-Key Verfahren

Relationen und DAGs, starker Zusammenhang

Erweiterter Euklidischer Algorithmus

ElGamal Verschlüsselungsverfahren (1984)

Ältere Aufgaben (bis 1998)

Homomorphe Verschlüsselung

Klausurtermin. Klausur Diskrete Mathematik I Do stündig

Satz von Euler. Satz von Euler. Korollar 1. Korollar 2 Kleiner Fermat. Sei (G, ) eine endl. abelsche Gruppe. Dann gilt a G = 1 für alle a G.

Satz von Euler. Satz von Euler. Korollar 1. Korollar 2 Kleiner Fermat. Sei (G, ) eine endl. abelsche Gruppe. Dann gilt a G = 1 für alle a G.

Liften von Lösungen modulo 2

Liften von Lösungen modulo 2

Lösungsvorschläge zu den Aufgaben auf Übungsblatt 07. x Dy y x

Isomorphismus. Definition Gruppen-Isomorphismus. Seien (G, +) und (G, ) Gruppen. Die Abbildung f : G G heißt Gruppen-Isomorphismus, falls gilt

Quadratische Reste. Michael Partheil. 19. Mai Hintergrund 2. 2 Quadratische Reste 4. 3 Gauß sche Summen 7

3. Quadratische Zahlkörper

Sicherheit von Merkle Signaturen

Das Quadratische Reziprozitätsgesetz. Stefanie Beule Sebastian Schrage

4.2 Das quadratische Reziprozitätsgesetz

Die Größe A(n, d) und optimale Codes

durch Einfügen von Knoten konstruiert werden kann.

Die inverse Diskrete Fourier Transformation

Charaktere. 1 Die Charaktergruppe

2. Woche Eindeutige Entschlüsselbarleit, Sätze von Kraft und McMillan, Huffmancodierung

Laufzeit einer DTM, Klasse DTIME

7. Kongruenzrechnung Definition: Proposition: Korollar: Beispiel: b ( a kongruent b modulo n ) auf Z, definiert durch:

Division mit Schulmethode

Wiederholung. Divide & Conquer Strategie

χ a : N + {0, 1, 1} {( a χ a (n) = χ a (n ). ψ(mn) < ψ(m)ψ(n).

Perfekte Codes. Definition Perfekter Code. Sei C {0, 1} n ein (n, M, d)-code. C heißt perfekt, falls

Hybride Verschlüsselungsverfahren

Prinzip 2 Präzisierung der Annahmen

Lösungen der Aufgaben

Ziel: Zertifiziere Pfad von Wurzel zu m mittels Signaturen. Signieren Public-Keys auf Pfad inklusive der Nachbarknoten.

Das Generalized Birthday Problem

Prinzipien der modernen Kryptographie Sicherheit

Form der Äquivalenzklassen

Bsp. Euklidischer Algorithmus

VI.3 RSA. - RSA benannt nach seinen Erfindern R. Rivest, A. Shamir und L. Adleman. - vorgestellt erstes Public-Key Verschlüsselungsverfahren

Übungsblatt 1. Lorenz Leutgeb. 30. März 2015

Prinzipien der modernen Kryptographie Sicherheit

Diskrete Strukturen. Vorlesung 15: Arithmetik. 5. Februar 2019

Übungen zu Zahlentheorie, SS 2017

Wiederholung. Gruppen. Untergruppen. Gruppenisomorphismen. Ordnung: Gruppe, Element Satz von Euler: a ord(g) = 1 Elementordung teilt Gruppenordnung

ggt mit Euklid Satz: Um ggt(k, l) mit dem Euklidischen Algorithmus zu berechnen, braucht man höchstens log Φ k < 3 2 log 2 k rekursive Aufrufe.

Hashfunktionen und Kollisionen

Lösung zur Klausur zu Krypographie Sommersemester 2005

Definition Message Authentication Code (MAC) Ein Message Authentication Code (MAC) bzgl. des Nachrichtenraumen M besteht aus den ppt Alg.

6: Public-Key Kryptographie (Grundidee)

Beispiel: Primelemente in den Gaußschen Zahlen

Beispiel: Primelemente in den Gaußschen Zahlen

Kryptographische Protokolle

2: Restklassen 2.1: Modulare Arithmetik

Beispiel für simultane Kongruenz

Mathematisches Kaleidoskop 2014 Materialien Teil 2. Dr. Hermann Dürkop

Kryptographie und Komplexität

Kryptographie und Komplexität

Lösungsblatt zur Vorlesung. Kryptanalyse WS 2009/2010. Blatt 5 / 9. Dezember 2009 / Abgabe bis spätestens 23. Dezember 2009, 10 Uhr (vor der Übung)

Induktionsbeweis. Satz Primfaktorzerlegung. Jede natürliche Zahl n 2 lässt sich als Produkt von Primzahlen darstellen.

Existenz von Einwegfunktionen

Beispiel Gröbnerbasen-Berechnung

Minimalpolynome und Implikanten

Kongruenz ist Äquivalenzrelation

Aufgabe der Kryptografie

Euklidischer Algorithmus

7. Musterlösung zu Mathematik für Informatiker I, WS 2003/04

Seminarvortrag aus Reiner Mathematik Existenz von Primitivwurzeln

12. Woche: Verifizierer, nicht-deterministische Turingmaschine, Klasse NP

Entscheidungsbäume. Definition Entscheidungsbaum. Frage: Gibt es einen Sortieralgorithmus mit o(n log n) Vergleichen?

2. Algorithmische Methoden 2.1 Rekursion. 18. April 2017

Quadratische Erweiterung

Übung zur Vorlesung Berechenbarkeit und Komplexität

6.2. Ringe und Körper

Transkript:

Sicherheit von ElGamal Intuitiv: Eve soll c 2 m g ab nicht von c 2 R G unterscheiden können. Protokoll Unterscheider EINGABE: q, g, g x 1 Eve wählt m G und schickt m an Alice. 2 Alice wählt b R {0, 1}, y R Z q : Falls b 0: Sende Enc(m (g y, m g xy an Eve zurück. Falls b 1: Sende (g y, c 2 R Z Z an Eve zurück. Eves AUSGABE: b {0, 1} Eve gewinnt das Siel gdw b b. D.h. Eve muss eine gültige Verschlüsselung c 2 von einem zufälligen Gruenelement c 2 unterscheiden. Definition Srache ElGamal ELGAMAL : {(q, g, g x, g y, m, c 2 c 2 m g xy }. DiMa II - Vorlesung 07-16.05.2011 Sicherheit ElGamal, Quadratische Reste, Rezirozitätsgesetz 89 / 253

Sicherheitsbeweis er Reduktion Satz Sicherheit von ElGamal unter DDH Das ElGamal Krytosystem ist sicher gegen olynomielle Angreifer (mit Erfolgsws 1 unter der Annahme, dass DDH nicht effizient entscheidbar ist. Logik des Beweises: Zeigen: DDH ELGAMAL D.h. jeder olynomielle Algorithmus für ELGAMAL liefert einen olynomiellen Algorithmus für DDH. (P-Reduktionssatz Ann.: Es existiert ein olyn. Angreifer A, der Verschlüsselungen von zufälligen Gruenelementen unterscheidet. Dann gibt es einen Algorithmus, der in olyn. Zeit DH-Schlüssel g ab von zufälligen Gruenelementen unterscheidet. Widersruch: Nach Annahme gibt es keinen effizienten Algorithmus zum Entscheiden von DH-Schlüsseln g ab. Daher kann es auch keinen olynomiellen Angreifer A geben. DiMa II - Vorlesung 07-16.05.2011 Sicherheit ElGamal, Quadratische Reste, Rezirozitätsgesetz 90 / 253

Reduktion f Algorithmus M f EINGABE: q, g, g a, g b, g z 1 Setze g x : g a und g y : g b. 2 Wähle m R G. 3 Berechne c 2 m g z. AUSGABE: q, g, g x, g y, m, c 2 Laufzeit: Eingabelänge: Ω(log q Gesamtlaufzeit: O(log 2 (q DiMa II - Vorlesung 07-16.05.2011 Sicherheit ElGamal, Quadratische Reste, Rezirozitätsgesetz 91 / 253

Korrektheit Reduktion: w DDH f(w ELGAMAL Sei (q, g, g a, g b, g z DDH. Dann gilt g z g ab g xy. Damit ist c 2 m g z m g xy korrekte Verschlüsselung von m. D.h. (q, g, g x, g y, m,δ ELGAMAL Sei f(q, g, g a, g b, g z (q, g, g x, g y, m, c 2 ELGAMAL. Dann ist c 2 m g z eine korrekte Verschlüsselung von m. D.h. Dec(c m gz g ab m und damit g z g xy g ab. Dann ist (q, g, g a, g b, g z DDH. DiMa II - Vorlesung 07-16.05.2011 Sicherheit ElGamal, Quadratische Reste, Rezirozitätsgesetz 92 / 253

Brechen von ElGamal ist nicht schwerer als DDH Satz ELGAMAL DDH Beweis: Wir definieren die folgende Reduktion f. Algorithmus M f EINGABE: q, g, g x, g y, m, c 2 1 Setze g a : g x und g b : g y. 2 Berechne g z c 2 m. AUSGABE: q, g, g a, g b, g z Laufzeit: Eingabelänge: Ω(log q Laufzeit: O(log 2 q DiMa II - Vorlesung 07-16.05.2011 Sicherheit ElGamal, Quadratische Reste, Rezirozitätsgesetz 93 / 253

Korrektheit von f : w ELGAMAL f(w DDH Sei (q, g, g x, g y, m, c 2 ELGAMAL. Dann ist c 2 m g xy korrekte Verschlüsselung von m. Damit gilt c 2 m gxy g ab g z. D.h. (q, g, g a, g a, g z DDH. Sei f(q, g, g x, g y, m, c 2 (q, g, g a, g b, g z DDH. Dann gilt g z g ab g xy. Damit folgt c 2 m g z m g xy ist Verschlüsselung von m. D.h. (q, g, g x, g y, m, c 2 ELGAMAL. DiMa II - Vorlesung 07-16.05.2011 Sicherheit ElGamal, Quadratische Reste, Rezirozitätsgesetz 94 / 253

Quadratische Reste Definition Quadratischer Rest Sei n N. Ein Element a Z n heißt quadratischer Rest in Z n, falls es ein b Z n gibt mit b 2 a mod n. Wir definieren QR n {a Z n a ist ein quadratischer Rest } und QNR n Z n \ QR. Lemma Anzahl quadratischer Reste in rimen Restklassen Sei > 2 rim. Dann gilt QR Z 2 1 2. Sei a QR. Dann gilt a b 2 ( b 2. D.h. jeder quadratische Rest a besitzt 2 Quadratwurzeln. Da F ein Körer ist, besitzt das Polynom (x x 2 a höchstens zwei Nullstellen in F. D.h. a hat 2 Quadratwurzeln. Damit bildet f : Z QR, x x 2 mod jeweils genau zwei Elemente ±b auf einen quadratischen Rest a QR ab. D.h. genau die Hälfte der Elemente in Z ist in QR. DiMa II - Vorlesung 07-16.05.2011 Sicherheit ElGamal, Quadratische Reste, Rezirozitätsgesetz 95 / 253

Das Legendre Symbol Definition Legendre Symbol Sei > 2 rim und a N. Das Legendre Symbol ist definiert als ( a 0 falls a 1 falls (a mod QR 1 falls (a mod QNR. DiMa II - Vorlesung 07-16.05.2011 Sicherheit ElGamal, Quadratische Reste, Rezirozitätsgesetz 96 / 253

Berechnung des Legendre Symbols Satz ( a a 1 2 mod. Für a sind beide Seiten Null. Gelte also a. Da a 1 1 mod, folgt a 1 2 ±1. Sei g Generator von Z und a gj für ein j Z 1. Es gilt für die linke Seite a QR gdw. j gerade ist. Für die rechte Seite gilt a 1 2 g j( 1 2 1 gdw 1 teilt j( 1 2. Damit ist die rechte Seite ebenfalls 1 gdw j gerade ist. Das Legendresymbol lässt sich in Zeit O(log a log 2 berechnen. DiMa II - Vorlesung 07-16.05.2011 Sicherheit ElGamal, Quadratische Reste, Rezirozitätsgesetz 97 / 253

Eigenschaften des Legendre Symbols Lemma Eigenschaften Quadratischer Reste ( ( 1 Multilikativität: ab a b ( 2 (QR, ist eine multilikative Grue. ( { 3 2 ( 1 2 1 1 für ±1 mod 8 8 1 für ±3 mod 8. 1 ( ab (ab 1 2 mod (a 1 2 mod (b 1 2 mod 2 Übungsaufgabe 3 ohne Beweis (nicht-trivial ( a ( b. DiMa II - Vorlesung 07-16.05.2011 Sicherheit ElGamal, Quadratische Reste, Rezirozitätsgesetz 98 / 253

Das Quadratische Rezirozitätsgesetz Satz Quadratisches Rezirozitätsgesetz (Gauß Seien, q > 2 rim. Dann gilt ( q ( 1 ( 1(q 1 4 ohne Beweis (nicht-trivial ( q ( ( q q für q 3 mod 4 sonst. Liefert alternativen Algorithmus zur Berechnung des Legendre Symbols. ( ( ( ( Bs: 6 3 2 11 ( 1 11 11 11 3 ( 2 3 ( 1 ( 1 ( 1 ( 1. D.h. 6 ist quadratischer Nichtrest in Z 11. Benötigen Primfaktorzerlegung, um das QR-Gesetz anzuwenden. DiMa II - Vorlesung 07-16.05.2011 Sicherheit ElGamal, Quadratische Reste, Rezirozitätsgesetz 99 / 253

Das Jacobi Symbol Definition Jacobi Symbol Sei n e 1 1... e k k N ungerade und a N. Dann ist das Jacobi Symbol definiert als ( ( a a n 1 ei ( a ek.... k Warnung: ( a n 1 imliziert nicht, dass a QRn ist. Bs: ( 2 15 ( 2 3 ( 2 5 ( 1( 1 1. D.h. 2 QNR 3 und 2 QNR 5. Damit besitzt x 2 2 weder Lösungen modulo 3 noch modulo 5. Nach CRT besitzt x 2 2 mod 15 ebenfalls keine Lösung. DiMa II - Vorlesung 07-16.05.2011 Sicherheit ElGamal, Quadratische Reste, Rezirozitätsgesetz 100 / 253

Verallgemeinerungen für das Jacobi Symbol Satz Für alle ungeraden m, n gilt ( 1 2 n n ( 1 2 1 8. 2 ( m n ( 1 (m 1(n 1 4 { ( ( n n m ( m für m n 3 mod 4 n. m sonst. Wir beweisen hier nur das Analog des Rezirozitätsgesetzes. Falls ggt(m, n > 1, sind beide Seiten 0. Sei also ggt(m, n 1. Schreiben Primfaktorzerlegung m 1... r und n q 1...q s. ( i s und q j s können dabei jeweils mehrmals auftreten i,j ( i Wandeln ( m n zu ( n m Anwendung des Rezirozitätsgesetzes. q j i,j ( qj i durch rs-malige Anzahl ( 1 entsricht Anzahl Paare (i, j mit i q j 3 mod 4. D.h. ( ( m n n m gdw. ungerade viele i, g j kongruent 3 mod 4. Es gibt ungerade viele i, g j 3 mod 4 gdw. m n 3 mod 4 ist. DiMa II - Vorlesung 07-16.05.2011 Sicherheit ElGamal, Quadratische Reste, Rezirozitätsgesetz 101 / 253

Rekursive Berechnung des Jacobi Symbols Idee: Für ungerades n gilt ( m ( n 2 k n ( m n Algorithmus Jacobi-Symbol EINGABE: m, n 1 Falls ggt(m, n > 1, Ausgabe 0. 2 Falls m 1, Ausgabe 1. 3 Sei m 2 k m mit m ungerade. ( 2 k ( (m 1(n 1 n ( 1 4 n mod m m. 4 Ausgabe ( 1 k(n2 1 8 ( 1 (m 1(n 1 4 Jacobi-Symbol(n mod m, m AUSGABE: ( m n ( 2 Bs: ( 14 15 ( 1 ( 15 mod 7 7 ( 1. 7 15 ( 15 Laufzeit: Analog zum Euklidischen Algorithmus: O(log max{m, n} rekursive Aufrufe. Jeder Aufruf kostet O(log 2 max{m, n}. DiMa II - Vorlesung 07-16.05.2011 Sicherheit ElGamal, Quadratische Reste, Rezirozitätsgesetz 102 / 253

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback