Kryptographische Protokolle Eiführede Beispiele Claudia Herklotz, 04.05.2004
Protokolle Regel Gebräuche Formalitäte 2
Kryptographische Protokolle Kommuikatio zwische verschiedee Parteie Teile vo Geheimisse Überzeuge der Gegeseite vom Besitz eier Iformatio 3
Vergesslicher Trasfer (OT) Alice schickt eie achricht a Bob Bob erhält die achricht mit Wahrscheilichkeit Bob weiß, ob die Übertragug erfolgreich war Alice weiß icht, ob die Übertragug erfolgreich war 2 4
RSA Klartexte ud Chiffretexte aus Z Schlüssel: (, p, q, e, d) = pq e, d Z ed = mod Φ() öffetlich: e, * Verschlüsselug: y = m e mod Etschlüsselug: x = y d mod 5
Vergesslicher Trasfer Alice Bob y = m e mod Berechet alle 4 Quadratwurzel s, s 2, s 3, s 4 vo c Wählt ei s i zufällig y, c s i Wählt zufällig Berechet c s i ±a We, da ka Bob m bereche * a Z 2 = a mod 6
Existez der 4 Quadratwurzel x 2 = a 2 mod, = pq liefert x = a mod p x = a mod q x = a mod p x = -a mod q x = -a mod p x = a mod q x = -a mod p x = -a mod q Lösuge: a -z ±a z ±a -a Jedes der Systeme hat eie eideutige Lösug mod (Chiesischer Restsatz) 7
Faktorisiere We x ±a, da ka Bob faktorisiere: x 2 = a 2 mod (x 2 -a 2 ) = (x a) (x + a) Faktorisierug ergibt sich aus: ggt(x ± a, ) Faktorisiere i 50% der Fälle möglich 8
aus 2 vergesslicher Trasfer Alice ket zwei Geheimisse Bob möchte geau ei Geheimis erfahre ud ka bestimme, welches er erfährt. Alice weiß icht, welches er erfährt 9
aus 2 vergesslicher Trasfer Alice Bob (e 0, d 0, 0 ) (e, d, ) wobei 0 (e 0, 0 ), (e, ) y Wählt zufälliges Ud ei i {0,} Berechet y r e i = mod i r Z 0 x x d 0 = y mod 0 d = y mod 0 = x0 s0 = x s u + u + Wobei s i die achrichte sid u, u 0 erhält s = u r i i 0
Sicherheit ( aus 2) Alice ket r icht ka e i icht bereche Bob ka icht beide Zahle herausbekomme Bob hat die achricht s 0 erhalte möchte die adere achricht s = u x herausbekomme dazu braucht er x : d ist geheim x = d e d y = 0 r mod Bob ka x ud d icht bereche s bleibt geheim
Zeitgleich Verträge uterschreibe Zwei Parteie wolle gemeisam eie Vertrag uterschreibe Bedigug: der jeweils adere uterschreibt auch 2
3 Wer hat was? AR AL AR AL, k k, k k BR BL BR BL,k k,k k A A A A,R L,R L Je Schlüsselpaare B B B B,R L,R L ) (R ),k (L k ) (R ),k (L k A AR A AL A AR A AL ) (R ),k (L k ) (R ),k (L k B BR B BL B BR B BL Je achrichtepaare Je 2 Verschlüsseluge Alice Bob
Trasfer Trasfer der verschlüsselte achrichte Trasfer der Schlüsselpaare mit OT aus 2 für jedes Paar Prüfe der Schlüssel durch Etschlüssel der achrichtehälfte Trasfer aller Schlüssel Bit für Bit Städiger Vergleich mit scho vorhadee Schlüsselhälfte 4
Betrugsmöglichkeite Alice schickt zufällige Strigs statt achrichte ud Schlüssel Bob merkt es, we er versucht, die Hälfte zu etschlüssel Alice köte eie Hälfte der achricht richtig sigiere, die zweite falsch Wahrscheilichkeit, dass geau die Hälfte der achrichte richtig sigiert ist, die Bob beim OT aus 2 gewählt hat, beträgt 2 5
Betrugsmöglichkeite Alice köte das Protokoll frühzeitig abbreche, we gerade die Schlüssel vollstädig ausgetauscht werde Bob hat aber geauso viele Bits ud die gleiche Recheleistug 6
Commitmet Alice soll sich auf eie Wert festlege Bob soll diese Wert erst später erfahre Alice darf de Wert aber icht mehr veräder Lösug: Safe, zu dem ur Alice eie Schlüssel hat Eiwegfuktio Bedigug: Alice ka keie zweite passede Schlüssel erzeuge 7
Quadratische Reste a quadratischer Rest mod b : a Q Mege der quadratische Reste = b 2 mod Legedre-Symbol: Prüfe, ob eie Zahl a ei quadratischer Rest modulo eier Primzahl p ist a p = 0, we p a, we a Q, we a Q p p 8
9 Quadratische Reste Jacobi-Symbol Erweiterug des Legedre-Symbols Modulus ist ugerade, atürliche Zahl > 3 Für = p q ud p, q prim ud ugerade gilt: = q a p a a = b a ab
Quadratische Reste Jacobi-Symbol zeigt icht a, ob a quadratischer Rest modulo Zwar gilt: a a Q = Umkehrug gilt aber icht Es gibt quadratische Pseudoreste, für die gilt Es gilt a wobei Q ~ Mege der quadratische Pseudoreste mod = ~ Q = Q ud a Q für =pq ud p, q > 3 ud prim, 20
Bit Commitmet achricht: Bit ur 4 Abbilduge auf {0,} keie Eiwegfuktioe auf {0,} Erweiterug der achricht um hireiched große Zufallszahl 2
Bit Commitmet Alice Bob Weiß icht, ob f(b, r) Ket Q f(b,r), y Legt fest: = pq Bit b Zufallszahl r ~ festes y Q f(b,r) = y b r 2 mod Bob öffet das Commitmet, idem er Alice r mitteilt f(b,r) kollisiosfrei bezüglich b 22
23 Bit Commitmet b=0: mod r y f(0,r) 2 0 = r r y 2 2 0 = = ( ) ( ) r q y p y r y r y 2 2 2 = = = = b=: mod r y f(,r) 2 =
Werfe eier Müze Verschiedee Möglichkeite:. Eier wirft die Müze Problem: Er ka beliebige Wert ee 2. Beide werfe ud wede eie Fuktio a Problem: Zweiter ka de Wert etspreched maipuliere 24
Werfe eier Müze 3. Möglichkeit: Bit Commitmet Alice schickt Bob ei Bit verschlüsselt durch Bit Commitmet Bob muss das Bit errate Hat er richtig gerate, hat er gewoe, sost Alice 25
Abschließede Bemerkuge Spezielle Protokolle für spezielle Szearios Szearios auch mit Hilfe eier Vertrauesperso realisierbar (schwierig) weitere Protokolle 26
Literatur S. Goldwasser ad M. Bellare, Lecture otes o Cryptography, Abschitt., 200. www.cs.ucsd.edu/users/mihir/papers/gb.html Beutelspacher, Schwek, Wolfestetter, Modere Verfahre der Kryptographie, Vieweg 200 Prof. Dr. Jürge Sader, Skript zur Vorlesug Eiführug i die Zahletheorie a der TU-Clausthal WS 200/2002 27