Sicherheit von ElGamal Intuitiv: Eve soll c 2 m g ab nicht von c 2 R G unterscheiden können. Protokoll Unterscheider EINGABE: q, g, g x 1 Eve wählt m G und schickt m an Alice. 2 Alice wählt b R {0, 1}, y R Z q : Falls b 0: Sende Enc(m (g y, m g xy an Eve zurück. Falls b 1: Sende (g y, c 2 R Z Z an Eve zurück. Eves AUSGABE: b {0, 1} Eve gewinnt das Siel gdw b b. D.h. Eve muss eine gültige Verschlüsselung c 2 von einem zufälligen Gruenelement c 2 unterscheiden. Definition Srache ElGamal ELGAMAL : {(q, g, g x, g y, m, c 2 c 2 m g xy }. DiMa II - Vorlesung 07-16.05.2011 Sicherheit ElGamal, Quadratische Reste, Rezirozitätsgesetz 89 / 253
Sicherheitsbeweis er Reduktion Satz Sicherheit von ElGamal unter DDH Das ElGamal Krytosystem ist sicher gegen olynomielle Angreifer (mit Erfolgsws 1 unter der Annahme, dass DDH nicht effizient entscheidbar ist. Logik des Beweises: Zeigen: DDH ELGAMAL D.h. jeder olynomielle Algorithmus für ELGAMAL liefert einen olynomiellen Algorithmus für DDH. (P-Reduktionssatz Ann.: Es existiert ein olyn. Angreifer A, der Verschlüsselungen von zufälligen Gruenelementen unterscheidet. Dann gibt es einen Algorithmus, der in olyn. Zeit DH-Schlüssel g ab von zufälligen Gruenelementen unterscheidet. Widersruch: Nach Annahme gibt es keinen effizienten Algorithmus zum Entscheiden von DH-Schlüsseln g ab. Daher kann es auch keinen olynomiellen Angreifer A geben. DiMa II - Vorlesung 07-16.05.2011 Sicherheit ElGamal, Quadratische Reste, Rezirozitätsgesetz 90 / 253
Reduktion f Algorithmus M f EINGABE: q, g, g a, g b, g z 1 Setze g x : g a und g y : g b. 2 Wähle m R G. 3 Berechne c 2 m g z. AUSGABE: q, g, g x, g y, m, c 2 Laufzeit: Eingabelänge: Ω(log q Gesamtlaufzeit: O(log 2 (q DiMa II - Vorlesung 07-16.05.2011 Sicherheit ElGamal, Quadratische Reste, Rezirozitätsgesetz 91 / 253
Korrektheit Reduktion: w DDH f(w ELGAMAL Sei (q, g, g a, g b, g z DDH. Dann gilt g z g ab g xy. Damit ist c 2 m g z m g xy korrekte Verschlüsselung von m. D.h. (q, g, g x, g y, m,δ ELGAMAL Sei f(q, g, g a, g b, g z (q, g, g x, g y, m, c 2 ELGAMAL. Dann ist c 2 m g z eine korrekte Verschlüsselung von m. D.h. Dec(c m gz g ab m und damit g z g xy g ab. Dann ist (q, g, g a, g b, g z DDH. DiMa II - Vorlesung 07-16.05.2011 Sicherheit ElGamal, Quadratische Reste, Rezirozitätsgesetz 92 / 253
Brechen von ElGamal ist nicht schwerer als DDH Satz ELGAMAL DDH Beweis: Wir definieren die folgende Reduktion f. Algorithmus M f EINGABE: q, g, g x, g y, m, c 2 1 Setze g a : g x und g b : g y. 2 Berechne g z c 2 m. AUSGABE: q, g, g a, g b, g z Laufzeit: Eingabelänge: Ω(log q Laufzeit: O(log 2 q DiMa II - Vorlesung 07-16.05.2011 Sicherheit ElGamal, Quadratische Reste, Rezirozitätsgesetz 93 / 253
Korrektheit von f : w ELGAMAL f(w DDH Sei (q, g, g x, g y, m, c 2 ELGAMAL. Dann ist c 2 m g xy korrekte Verschlüsselung von m. Damit gilt c 2 m gxy g ab g z. D.h. (q, g, g a, g a, g z DDH. Sei f(q, g, g x, g y, m, c 2 (q, g, g a, g b, g z DDH. Dann gilt g z g ab g xy. Damit folgt c 2 m g z m g xy ist Verschlüsselung von m. D.h. (q, g, g x, g y, m, c 2 ELGAMAL. DiMa II - Vorlesung 07-16.05.2011 Sicherheit ElGamal, Quadratische Reste, Rezirozitätsgesetz 94 / 253
Quadratische Reste Definition Quadratischer Rest Sei n N. Ein Element a Z n heißt quadratischer Rest in Z n, falls es ein b Z n gibt mit b 2 a mod n. Wir definieren QR n {a Z n a ist ein quadratischer Rest } und QNR n Z n \ QR. Lemma Anzahl quadratischer Reste in rimen Restklassen Sei > 2 rim. Dann gilt QR Z 2 1 2. Sei a QR. Dann gilt a b 2 ( b 2. D.h. jeder quadratische Rest a besitzt 2 Quadratwurzeln. Da F ein Körer ist, besitzt das Polynom (x x 2 a höchstens zwei Nullstellen in F. D.h. a hat 2 Quadratwurzeln. Damit bildet f : Z QR, x x 2 mod jeweils genau zwei Elemente ±b auf einen quadratischen Rest a QR ab. D.h. genau die Hälfte der Elemente in Z ist in QR. DiMa II - Vorlesung 07-16.05.2011 Sicherheit ElGamal, Quadratische Reste, Rezirozitätsgesetz 95 / 253
Das Legendre Symbol Definition Legendre Symbol Sei > 2 rim und a N. Das Legendre Symbol ist definiert als ( a 0 falls a 1 falls (a mod QR 1 falls (a mod QNR. DiMa II - Vorlesung 07-16.05.2011 Sicherheit ElGamal, Quadratische Reste, Rezirozitätsgesetz 96 / 253
Berechnung des Legendre Symbols Satz ( a a 1 2 mod. Für a sind beide Seiten Null. Gelte also a. Da a 1 1 mod, folgt a 1 2 ±1. Sei g Generator von Z und a gj für ein j Z 1. Es gilt für die linke Seite a QR gdw. j gerade ist. Für die rechte Seite gilt a 1 2 g j( 1 2 1 gdw 1 teilt j( 1 2. Damit ist die rechte Seite ebenfalls 1 gdw j gerade ist. Das Legendresymbol lässt sich in Zeit O(log a log 2 berechnen. DiMa II - Vorlesung 07-16.05.2011 Sicherheit ElGamal, Quadratische Reste, Rezirozitätsgesetz 97 / 253
Eigenschaften des Legendre Symbols Lemma Eigenschaften Quadratischer Reste ( ( 1 Multilikativität: ab a b ( 2 (QR, ist eine multilikative Grue. ( { 3 2 ( 1 2 1 1 für ±1 mod 8 8 1 für ±3 mod 8. 1 ( ab (ab 1 2 mod (a 1 2 mod (b 1 2 mod 2 Übungsaufgabe 3 ohne Beweis (nicht-trivial ( a ( b. DiMa II - Vorlesung 07-16.05.2011 Sicherheit ElGamal, Quadratische Reste, Rezirozitätsgesetz 98 / 253
Das Quadratische Rezirozitätsgesetz Satz Quadratisches Rezirozitätsgesetz (Gauß Seien, q > 2 rim. Dann gilt ( q ( 1 ( 1(q 1 4 ohne Beweis (nicht-trivial ( q ( ( q q für q 3 mod 4 sonst. Liefert alternativen Algorithmus zur Berechnung des Legendre Symbols. ( ( ( ( Bs: 6 3 2 11 ( 1 11 11 11 3 ( 2 3 ( 1 ( 1 ( 1 ( 1. D.h. 6 ist quadratischer Nichtrest in Z 11. Benötigen Primfaktorzerlegung, um das QR-Gesetz anzuwenden. DiMa II - Vorlesung 07-16.05.2011 Sicherheit ElGamal, Quadratische Reste, Rezirozitätsgesetz 99 / 253
Das Jacobi Symbol Definition Jacobi Symbol Sei n e 1 1... e k k N ungerade und a N. Dann ist das Jacobi Symbol definiert als ( ( a a n 1 ei ( a ek.... k Warnung: ( a n 1 imliziert nicht, dass a QRn ist. Bs: ( 2 15 ( 2 3 ( 2 5 ( 1( 1 1. D.h. 2 QNR 3 und 2 QNR 5. Damit besitzt x 2 2 weder Lösungen modulo 3 noch modulo 5. Nach CRT besitzt x 2 2 mod 15 ebenfalls keine Lösung. DiMa II - Vorlesung 07-16.05.2011 Sicherheit ElGamal, Quadratische Reste, Rezirozitätsgesetz 100 / 253
Verallgemeinerungen für das Jacobi Symbol Satz Für alle ungeraden m, n gilt ( 1 2 n n ( 1 2 1 8. 2 ( m n ( 1 (m 1(n 1 4 { ( ( n n m ( m für m n 3 mod 4 n. m sonst. Wir beweisen hier nur das Analog des Rezirozitätsgesetzes. Falls ggt(m, n > 1, sind beide Seiten 0. Sei also ggt(m, n 1. Schreiben Primfaktorzerlegung m 1... r und n q 1...q s. ( i s und q j s können dabei jeweils mehrmals auftreten i,j ( i Wandeln ( m n zu ( n m Anwendung des Rezirozitätsgesetzes. q j i,j ( qj i durch rs-malige Anzahl ( 1 entsricht Anzahl Paare (i, j mit i q j 3 mod 4. D.h. ( ( m n n m gdw. ungerade viele i, g j kongruent 3 mod 4. Es gibt ungerade viele i, g j 3 mod 4 gdw. m n 3 mod 4 ist. DiMa II - Vorlesung 07-16.05.2011 Sicherheit ElGamal, Quadratische Reste, Rezirozitätsgesetz 101 / 253
Rekursive Berechnung des Jacobi Symbols Idee: Für ungerades n gilt ( m ( n 2 k n ( m n Algorithmus Jacobi-Symbol EINGABE: m, n 1 Falls ggt(m, n > 1, Ausgabe 0. 2 Falls m 1, Ausgabe 1. 3 Sei m 2 k m mit m ungerade. ( 2 k ( (m 1(n 1 n ( 1 4 n mod m m. 4 Ausgabe ( 1 k(n2 1 8 ( 1 (m 1(n 1 4 Jacobi-Symbol(n mod m, m AUSGABE: ( m n ( 2 Bs: ( 14 15 ( 1 ( 15 mod 7 7 ( 1. 7 15 ( 15 Laufzeit: Analog zum Euklidischen Algorithmus: O(log max{m, n} rekursive Aufrufe. Jeder Aufruf kostet O(log 2 max{m, n}. DiMa II - Vorlesung 07-16.05.2011 Sicherheit ElGamal, Quadratische Reste, Rezirozitätsgesetz 102 / 253