SECURITY PROOFS IN NUMBER THEORETIC CRYPTOGRAPHY



Ähnliche Dokumente
11. Das RSA Verfahren und andere Verfahren

Algorithms & Datastructures Midterm Test 1

Primzahlen und RSA-Verschlüsselung

Erste Vorlesung Kryptographie

Zahlen und das Hüten von Geheimnissen (G. Wiese, 23. April 2009)

9 Schlüsseleinigung, Schlüsselaustausch

10. Kryptographie. Was ist Kryptographie?

On the List Update Problem

Informatik für Ökonomen II HS 09

Elliptische Kurven in der Kryptographie

Konzepte von Betriebssystemkomponenten: Schwerpunkt Sicherheit. Asymmetrische Verschlüsselung, Digitale Signatur

Lenstras Algorithmus für Faktorisierung

Einkommensaufbau mit FFI:

Digitale Signaturen. Sven Tabbert

U3L Ffm Verfahren zur Datenverschlüsselung

Der Zwei-Quadrate-Satz von Fermat

Integer Convex Minimization in Low Dimensions

Würfelt man dabei je genau 10 - mal eine 1, 2, 3, 4, 5 und 6, so beträgt die Anzahl. der verschiedenen Reihenfolgen, in denen man dies tun kann, 60!.

Division Für diesen Abschnitt setzen wir voraus, dass der Koeffizientenring ein Körper ist. Betrachte das Schema

Mathematische Grundlagen der Kryptographie. 1. Ganze Zahlen 2. Kongruenzen und Restklassenringe. Stefan Brandstädter Jennifer Karstens

Efficient Design Space Exploration for Embedded Systems

Das RSA-Verschlüsselungsverfahren 1 Christian Vollmer

Klausur BWL V Investition und Finanzierung (70172)

Voll homomorpe Verschlüsselung

Die Komplexitätsklassen P und NP

CarMedia. Bedienungsanleitung Instruction manual. AC-Services Albert-Schweitzer-Str Hockenheim

Das RSA-Verfahren. Armin Litzel. Proseminar Kryptographische Protokolle SS 2009

Classical and Quantum Secure Two-Party Computation

Diffie-Hellman, ElGamal und DSS. Vortrag von David Gümbel am

Beweisbar sichere Verschlüsselung

Statistische Untersuchungen zu endlichen Funktionsgraphen

Zeichen bei Zahlen entschlüsseln

Wenn Russland kein Gas mehr liefert

Handbuch. Artologik EZ-Equip. Plug-in für EZbooking version 3.2. Artisan Global Software

Computeralgebra in der Lehre am Beispiel Kryptografie

Unterrichtsmaterialien in digitaler und in gedruckter Form. Auszug aus: Übungsbuch für den Grundkurs mit Tipps und Lösungen: Analysis

Das neue Volume-Flag S (Scannen erforderlich)

Also kann nur A ist roter Südler und B ist grüner Nordler gelten.

a n auf Konvergenz. Berechnen der ersten paar Folgenglieder liefert:

RSA-Verschlüsselung. Verfahren zur Erzeugung der beiden Schlüssel:

Asymmetrische. Verschlüsselungsverfahren. erarbeitet von: Emilia Winkler Christian-Weise-Gymnasium Zittau

Multicast Security Group Key Management Architecture (MSEC GKMArch)

Algorithmische Kryptographie

Eine Praxis-orientierte Einführung in die Kryptographie

Netzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk

Theoretische Grundlagen der Informatik WS 09/10

10. Public-Key Kryptographie

5. Übung zum G8-Vorkurs Mathematik (WiSe 2011/12)

Einführung. Vorlesungen zur Komplexitätstheorie: Reduktion und Vollständigkeit (3) Vorlesungen zur Komplexitätstheorie. K-Vollständigkeit (1/5)

Verschlüsselung. Kirchstraße 18 Steinfelderstraße Birkweiler Bad Bergzabern Fabian Simon Bfit09

Verschlüsselung. Chiffrat. Eve

Group and Session Management for Collaborative Applications

Authentikation und digitale Signatur

Literatur. Dominating Set (DS) Dominating Sets in Sensornetzen. Problem Minimum Dominating Set (MDS)

Überblick. Lineares Suchen

Security Patterns. Benny Clauss. Sicherheit in der Softwareentwicklung WS 07/08

mit Musterlösungen Prof. Dr. Gerd Stumme, Dipl.-Inform. Christoph Schmitz 11. Juni 2007

Contents. Interaction Flow / Process Flow. Structure Maps. Reference Zone. Wireframes / Mock-Up

Daten haben wir reichlich! The unbelievable Machine Company 1

Data Mining: Einige Grundlagen aus der Stochastik

Willkommen zur Vorlesung Komplexitätstheorie

KONSTRUKTION VON ROT-SCHWARZ-BÄUMEN

Über das Hüten von Geheimnissen

Lösungsblatt zur Vorlesung. Kryptanalyse WS 2009/2010. Blatt 6 / 23. Dezember 2009 / Abgabe bis spätestens 20. Januar 2010, 10 Uhr (vor der Übung)

Der Begriff Cloud. Eine Spurensuche. Patric Hafner geops

All Motorola Europe, Middle East & Africa Approved Channel Partners

Erfahrungen mit Hartz IV- Empfängern

Numerische Verfahren und Grundlagen der Analysis

Einfache kryptographische Verfahren

ERGÄNZUNGEN ZUR ANALYSIS II MITTELWERTSATZ UND ANWENDUNGEN

3.3 Eigenwerte und Eigenräume, Diagonalisierung

Musterlösungen zur Linearen Algebra II Blatt 5

Im Jahr t = 0 hat eine Stadt Einwohner. Nach 15 Jahren hat sich die Einwohnerzahl verdoppelt. z(t) = at + b


Kapitel 3: Etwas Informationstheorie

4. Woche Decodierung; Maximale, Perfekte und Optimale Codes. 4. Woche: Decodierung; Maximale, Perfekte und Optimale Codes 69/ 140

Grundbegriffe der Informatik

Mail encryption Gateway

Statuten in leichter Sprache

Anhand des bereits hergeleiteten Models erstellen wir nun mit der Formel

Kurzanleitung um Transponder mit einem scemtec TT Reader und der Software UniDemo zu lesen

MARKET DATA CIRCULAR DATA AMENDMENT


Smartphone Benutzung. Sprache: Deutsch. Letzte Überarbeitung: 25. April

IT-Sicherheitsmanagement. Teil 12: Asymmetrische Verschlüsselung

Alle Informationen zu Windows Server 2003 Übersicht der Produkte

Lineare Gleichungssysteme

Schreiben auf Englisch

Lineare Codes. Dipl.-Inform. Wolfgang Globke. Institut für Algebra und Geometrie Arbeitsgruppe Differentialgeometrie Universität Karlsruhe 1 / 19

Melanie Kaspar, Prof. Dr. B. Grabowski 1

WAS IST DER KOMPARATIV: = The comparative

Datenbanksysteme 2 Frühjahr-/Sommersemester Mai 2014

1 Mathematische Grundlagen

6.2 Perfekte Sicherheit

11.3 Komplexe Potenzreihen und weitere komplexe Funktionen

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

Kryptographische Verfahren auf Basis des Diskreten Logarithmus

Aufgaben zur Flächenberechnung mit der Integralrechung

Installation mit Lizenz-Server verbinden

Welche Lagen können zwei Geraden (im Raum) zueinander haben? Welche Lagen kann eine Gerade bezüglich einer Ebene im Raum einnehmen?

Transkript:

DISS ETH NO. 20264 SECURITY PROOFS IN NUMBER THEORETIC CRYPTOGRAPHY A dissertation submitted to ETH ZURICH for the degree of Doctor of Sciences presented by DIVESH AGGARWAL M.Sc. ETH in Computer Science born on 29.04.1984 citizen of India accepted on the recommendation of Prof. Dr. Ueli Maurer Prof. Dr. David Basin Prof. Dr. Dennis Hofheinz 2012

Abstract Public-key cryptography, also known as asymmetric cryptography, allows two users to communicate securely over an authenticated channel. Unlike symmetric key encryption schemes, public-key encryption schemes do not require an initial exchange of secret keys between the sender and the receiver. Compared to symmetric cryptosystems, public-key encryption schemes are much harder to design and they rely on specific computational intractability assumptions. Most of these schemes have been based on the hardness of problems in broadly three categories: problems related to factoring integers, problems related to computing discrete logarithms, and more recently various problems in lattices. Since each has its own advantages and disadvantages, cryptosystems are designed based on each of these problems. The true computational complexity of any of these problems is not known. When complexity-theoretic (relative) lower bounds for certain cryptographic problems in a general model of computation seem to elude discovery, a common practice in cryptography is to give proofs of computational security in meaningful restricted models of computation. The thesis aims at making progress towards determinig the (relation between the) computational complexity of some of these problems. It comprises of the following results. We prove that the problem of factoring N which is a product of two primes can be efficiently reduced to solving the generalized RSA problem on Z N in the generic ring model of computation, where an algorithm can perform ring operations, inverse ring operations, and test equality. This provides evidence towards the soundness of the RSA encryption and digital signature scheme, in particular showing that under the factoring assumption, they are not vulnerable to certain kinds of cryptanalytic attacks. Further, we generalize the above result from RSA to the Strong RSA problem, i.e., we prove that for almost all possible distributions of N (which includes all N relevant in practice), the problem of factoring N can be efficiently reduced to solving the Strong RSA problem on Z N in the generic ring model of computation. We look at the result of [Sha93] that showed that we can design public-key cryptosystems that are based on multivariate polynomials modulo N. However, we discovered that there is an error in their proof. We point out the exact error in the proof, and identify the conjecture that one needs to resolve to prove the result (assuming it is correct). The oracle complexity of a computational search problem is the minimum number of (adaptive) binary queries required to an infinitely powerful oracle, so that the problem can be solved efficiently. Motivated by a comparison between two search problems that are closely related with respect to the algorithms for solving iii

these problems: factoring integers and discrete logarithms modulo p, we looked at a characerization of the oracle complexity of a problem. We showed that the oracle complexity is (almost) equal to the negative logarithm of the maximum possible success probability in solving the problem by a probabilistic polynomial-time (PPT) algorithm. This demonstrates, for the first time, the practical relevance of studying PPT algorithms even for problems believed to be hard, and even if the success probability is too small to be of practical interest. With this view, we give probabilistic polynomial time algorithms with the best possible success probability for the learning with errors and lattice problems. We improve the bound on the limit to inapproximability for the unique shortest vector problem in lattices. We show that if GapSVP γ co-np (or co-am) then usvp γ co-np (co-am respectively). This improves previously known results from usvp n 1/4 NP co-am to usvp (n/ log n) 1/4 NP co-am, and from usvp n 1/2 NP co-np to usvp n 1/4 NP co-np. iv

Zusammenfassung Public-Key-Kryptographie, auch bekannt als asymmetrische Kryptographie, ermöglich es zwei Parteien, sicher über einen authentifizierten Kanal zu kommunizieren. Im Gegensatz zu symmetrischen Verschlüsselungsverfahren benötigen Public-Key-Verschlüsselungsverfahren keinen vorausgehenden Austausch von geheimen Schlüsseln zwischen dem Sender und dem Empfänger. Im Vergleich zu symmetrischen Verfahren sind Public-Key-Verschlüsselungsverfahren deutlich schwieriger zu konstruieren und beruhen auf Annahmen der Art, dass bestimmte Probleme schwierig sind, das heisst nicht effizient gelöst werden können. Die Probleme, auf denen die meisten dieser Verfahren beruhen, kann man grob in drei Kategorien einteilen: Probleme aus dem Bereich des Faktorisierens von ganzen Zahlen, Probleme aus dem Bereich der Berechnung von diskreten Logarithmen und neuerdings auch verschiedene Probleme aus dem Bereich der Gitter (Lattices). Da jedes Problem spezifische Vor- und Nachteile hat, werden basierend auf jedem dieser Probleme kryptographische Verfahren konstruiert. Die genaue Berechnungskomplexität ist allerdings bei keinem dieser Probleme bekannt. Komplexitätstheoretische (relative) untere Schranken für bestimmte kryptographische Probleme in einem allgemeinen Berechnungsmodell scheinen zur Zeit unerreichbar zu sein, und es ist deshalb in der Kryptographie üblich, die berechenmässige Sicherheit in sinnvollen, eingeschränkten Berechnungsmodellen zu beweisen. Ziel dieser Doktorarbeit ist es, einen Fortschritt in die Richtung zu erzielen, die Berechnungskomplexität von einigen dieser Probleme und die Beziehung zwischen den Komplexitäten zu bestimmen. Sie umfasst die folgenden Resultate: Wir beweisen, dass das Problem, N zu faktorisieren (wobei N ein Produkt zweier Primzahlen ist), im generischen Berechnungsmodell für Ringe effizient auf das verallgemeinerte RSA-Problem in Z N reduziert werden kann. In diesem Berechnungsmodell kann ein Algorithmus Ring-Operationen, inverse Ring-Operationen, und Tests auf Gleichheit durchführen. Das gibt einen Hinweis auf die Sicherheit der RSA Verschlüsselung und digitaler Signaturverfahren. Insbesondere können diese Verfahren unter der Annahme, dass das Faktorisieren grosser Zahlen schwierig ist, durch bestimmte kryptoanalytische Attacken nicht gebrochen werden. Weiterhin verallgemeinern wir das obige Resultat vom RSA-Problem zum strong RSA-Problem, das heisst, wir beweisen, dass das Problem, N zu faktorisieren, für fast alle Verteilungen von N (was alle in der Praxis relevanten N einschliesst), im generischen Berechnungsmodell für Ringe effizient auf das Lösen des strong RSA-Problems in Z N reduziert werden kann. Das Resultat von [Sha93] hat gezeigt, dass man Public-Key-Verfahren basierend auf mehrdimensionalen Polynomen modulo N konstruieren kann. Dieser Beweis ist jedoch fehlerhaft. Wir geben v

eine präzise Beschreibung des Fehlers, und identifizieren eine hinreichende Vermutung, um das Resultat zu beweisen (angenommen, die Vermutung sei korrekt). Die Orakel-Komplexität eines Suchproblems ist die minimale Anzahl (adaptiver) binärer Anfragen an ein unendlich mächtiges Orakel, die benötigt werden, um das Problem effizient zu lösen. Motiviert durch den Vergleich zweier Suchproblemen, für die die bekannten Algorithmen eng verwandt sind, nämlich das Faktorisieren ganzer Zahlen und der diskrete Logarithmus modulo p, haben wir die Orakel-Komplexität von Problemen auf eine mögliche Charakterisierung untersucht. Wir haben bewiesen, dass die Orakel-Komplexität (fast) genau dem negativen Logarithmus der bestmöglichen Erfolgswahrscheinlichkeit entspricht, mit der ein probabilistischer Polynomialzeit-Algorithmus (PPT) das Problem lösen kann. Das beweist zum ersten Mal die praktische Relevanz der Untersuchung von PPT Algorithmen auch für Probleme, von denen angenommen wird, dass sie schwierig sind; selbst wenn die Erfolgswahrscheinlichkeit zu gering ist, um für die Praxis relevant zu sein. Vor diesem Hintergrund bechreiben wir PPT Algorithmen mit der bestmöglichen Erfolgswahrscheinlichkeit für Probleme im Bereich von Learning-with-errors und Gittern. Wir verbessern die Schranke an die Nicht-Approximierbarkeit des eindeutigen, kürzesten Vektors in einem Gitter. Wir zeigen, dass wenn GapSVP γ co-np (oder co-am) dann usvp γ co-np (beziehungsweise co-am). Dadurch verbessern wir bekannte Resultate von usvp n 1/4 NP co-am zu usvp (n/ log n) 1/4 NP co-am, und von usvp n 1/2 NP co-np zu usvp n 1/4 NP co-np. vi

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback