Seminar Kryptographie



Ähnliche Dokumente
Elliptische Kurven in der Kryptographie. Prusoth Vijayakumar / 16

Primzahlen und RSA-Verschlüsselung

11. Das RSA Verfahren und andere Verfahren

Das RSA-Verschlüsselungsverfahren 1 Christian Vollmer

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Elliptische Kurven in der Kryptographie

Erste Vorlesung Kryptographie

Digitale Signaturen. Sven Tabbert

Lenstras Algorithmus für Faktorisierung

10. Kryptographie. Was ist Kryptographie?

Verschlüsselung. Kirchstraße 18 Steinfelderstraße Birkweiler Bad Bergzabern Fabian Simon Bfit09

Einfache kryptographische Verfahren

Das RSA-Verfahren. Armin Litzel. Proseminar Kryptographische Protokolle SS 2009

6.2 Perfekte Sicherheit

Lineare Gleichungssysteme

1 Mathematische Grundlagen

Diffie-Hellman, ElGamal und DSS. Vortrag von David Gümbel am

Über das Hüten von Geheimnissen

Zahlen und das Hüten von Geheimnissen (G. Wiese, 23. April 2009)

Kryptographie mit elliptischen Kurven

Rekursionen. Georg Anegg 25. November Methoden und Techniken an Beispielen erklärt

Der Zwei-Quadrate-Satz von Fermat

Professionelle Seminare im Bereich MS-Office

Authentikation und digitale Signatur

Was meinen die Leute eigentlich mit: Grexit?

Anleitung Thunderbird Verschlu sselung

27. Algorithmus der Woche Public-Key-Kryptographie Verschlüsseln mit öffentlichen Schlüsseln

Zeichen bei Zahlen entschlüsseln

Informationsblatt Induktionsbeweis

Aufgaben zur Flächenberechnung mit der Integralrechung

Inhalt. Seminar: Codes und Kryptographie

Einführung in die Algebra

1 topologisches Sortieren

10. Public-Key Kryptographie

Kryptographische Verfahren auf Basis des Diskreten Logarithmus

Kap. 8: Speziell gewählte Kurven

Asymmetrische. Verschlüsselungsverfahren. erarbeitet von: Emilia Winkler Christian-Weise-Gymnasium Zittau

Computeralgebra in der Lehre am Beispiel Kryptografie

Leichte-Sprache-Bilder

Outlook. sysplus.ch outlook - mail-grundlagen Seite 1/8. Mail-Grundlagen. Posteingang

Das Leitbild vom Verein WIR

Modul Diskrete Mathematik WiSe 2011/12

Zur Sicherheit von RSA

Beispiel Zusammengesetzte Zufallsvariablen

1. Man schreibe die folgenden Aussagen jeweils in einen normalen Satz um. Zum Beispiel kann man die Aussage:

Alle gehören dazu. Vorwort

Linux User Group Tübingen

Verschlüsselung. Chiffrat. Eve

5. Übung zum G8-Vorkurs Mathematik (WiSe 2011/12)

RSA Verfahren. Kapitel 7 p. 103

Widerrufsbelehrung der Free-Linked GmbH. Stand: Juni 2014

Austausch- bzw. Übergangsprozesse und Gleichgewichtsverteilungen

Erstellen einer digitalen Signatur für Adobe-Formulare

Grundlagen der Theoretischen Informatik, SoSe 2008

Die Post hat eine Umfrage gemacht

50. Mathematik-Olympiade 2. Stufe (Regionalrunde) Klasse Lösung 10 Punkte

a n auf Konvergenz. Berechnen der ersten paar Folgenglieder liefert:

Wie löst man Mathematikaufgaben?

10.1 Auflösung, Drucken und Scannen

Das Persönliche Budget in verständlicher Sprache

Würfelt man dabei je genau 10 - mal eine 1, 2, 3, 4, 5 und 6, so beträgt die Anzahl. der verschiedenen Reihenfolgen, in denen man dies tun kann, 60!.

Informatik für Ökonomen II HS 09

Anleitung zur Daten zur Datensicherung und Datenrücksicherung. Datensicherung

Persönliche Zukunftsplanung mit Menschen, denen nicht zugetraut wird, dass sie für sich selbst sprechen können Von Susanne Göbel und Josef Ströbl

! " # $ " % & Nicki Wruck worldwidewruck

IT-Sicherheit: Kryptographie. Asymmetrische Kryptographie

Mathematische Grundlagen der Kryptographie. 1. Ganze Zahlen 2. Kongruenzen und Restklassenringe. Stefan Brandstädter Jennifer Karstens

Basis und Dimension. Als nächstes wollen wir die wichtigen Begriffe Erzeugendensystem und Basis eines Vektorraums definieren.

Handbuch zur Anlage von Turnieren auf der NÖEV-Homepage

8. Quadratische Reste. Reziprozitätsgesetz

Lösungsvorschlag für die Probeklausuren und Klausuren zu Algebra für Informations- und Kommunikationstechniker bei Prof. Dr.

Bedienungsanleitung: Onlineverifizierung von qualifiziert signierten PDF-Dateien

Guide DynDNS und Portforwarding

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

10.6 Authentizität. Geheimhaltung: nur der Empfänger kann die Nachricht lesen

Lernmaterial für die Fernuni Hagen effizient und prüfungsnah

Anleitung über den Umgang mit Schildern

4. AUSSAGENLOGIK: SYNTAX. Der Unterschied zwischen Objektsprache und Metasprache lässt sich folgendermaßen charakterisieren:

Urlaubsregel in David

Erstellen von x-y-diagrammen in OpenOffice.calc

Wichtige Forderungen für ein Bundes-Teilhabe-Gesetz

Abituraufgabe zur Stochastik, Hessen 2009, Grundkurs (TR)

L10N-Manager 3. Netzwerktreffen der Hochschulübersetzer/i nnen Mannheim 10. Mai 2016

Stellen Sie bitte den Cursor in die Spalte B2 und rufen die Funktion Sverweis auf. Es öffnet sich folgendes Dialogfenster

40-Tage-Wunder- Kurs. Umarme, was Du nicht ändern kannst.

Statuten in leichter Sprache

Gutes Leben was ist das?

7 Rechnen mit Polynomen

Algorithmische Kryptographie

Vorlesung Sicherheit

Wie oft soll ich essen?

ALEMÃO. Text 1. Lernen, lernen, lernen

Anwendungsbeispiele Buchhaltung

Internet online Update (Internet Explorer)

Digitale Unterschriften Grundlagen der digitalen Unterschriften Hash-Then-Sign Unterschriften Public-Key Infrastrukturen (PKI) Digitale Signaturen

ARCO Software - Anleitung zur Umstellung der MWSt

Das große ElterngeldPlus 1x1. Alles über das ElterngeldPlus. Wer kann ElterngeldPlus beantragen? ElterngeldPlus verstehen ein paar einleitende Fakten

Dokumentation für das Spiel Pong

Was ist Leichte Sprache?

Mathematik und Logik

Transkript:

Seminar Kryptographie Elliptische Kurven in der Kryptographie Prusoth Vijayakumar Sommersemester 2011

Inhaltsverzeichnis 1 Motivation 3 2 Verfahren 5 2.1 Diffie-Hellman-Schlüsselaustausch....................... 5 2.2 Massey-Omura-Schema............................. 5 2.3 Elgamal Verschlüsselung............................ 6 2.4 Digitale Signaturen mit ElGamal....................... 7 2.5 DS: Digital Signature lgorithm...................... 8 2.6 Koyama-Maurer-Okamoto-Vanstone..................... 9 2

1 Motivation In diesem Vortrag werden wir uns verschiedene Kryptosysteme anschauen, die auf den Elliptischen Kurven basieren. Einige Verfahren, die wir uns anschauen werden, werden uns bekannt vorkommen als klassische Systeme aus der Kryptographie. lso stellt sich die Frage warum auf den Elliptischen Kurven? Zunächst einmal sind die Verfahren auf Elliptischen Kurven, die meist asymmetrisch sind, genauso sicher wie die klassischen Systeme, da die Methoden ebenfalls auf der Schwierigkeit mathematischer Probleme beruhen wie zum Beispiel dem Diskreten Logarithmus Problem oder das Faktorisierungsproblem. Der Vorteil dabei ist, dass die Verfahren auf Elliptischen Kurven wesentlich schneller sind, da sie mit kürzeren Schlüssellängen auskommen. Beispiel: Schlüssellänge RS ohne Elliptische Kurven: 4096 bits Schlüssellänge RS mit Elliptische Kurven: 313 bits Das heißt in der Praxis, dass die Implementierung einfacher wird, kleinere Chipgrößen benötigt werden und der ufwand insgesamt geringer wird. 3

Bezeichnungen Wir verwenden wie in der Kryptographie üblich die Personen lice als Nachrichtenempfängerin Bob als Nachrichtenempfänger Eve als Unbefugte, die Nachrichten abfangen/manipulieren will 4

2 Verfahren 2.1 Diffie-Hellman-Schlüsselaustausch Das erste Verfahren beschäftigt sich mit einem Schlüsselaustausch, das heißt lice und Bob einigen sich hierüber auf einen gemeinsamen Schlüssel mittels dem sie ihre Daten austauschen wollen. lgorithmus: Vereinbarung einer elliptischen Kurve E über einen endlichen Körper F q, sodass das Problem des diskreten Logarithmus schwer lösbar ist in E(F q ) Wahl eines gemeinsamen Punktes P auf E, sodass dessen Ordnung r sehr groß und prim ist lice wählt eine geheime Zahl a, berechnet ap und sendet diese an Bob Bob wählt eine geheime Zahl b, berechnet bp und sendet diese an lice lice und Bob berechnen nun bap = abp den gemeinsamen Schlüssel Die Sicherheit dieses Verfahrens beruht auf dem Diffie-Hellman Problem: Gegeben seien die Punkte P, ap, bp auf E(F q ). Bestimme daraus abp. bzw dem zugehörigen Entscheidungsproblem: Gegeben seien die Punkte P, ap, bp auf E(F q ) sowie ein Punkt Q auf E(F q ). Finde heraus ob Q = abp. Das heißt dieses Verfahren kann nur geknackt werden, wenn man das Diskrete Logarithmus Problem hierin löst. 2.2 Massey-Omura-Schema Bei diesem Verfahren haben wir nun folgende Situation gegeben: lice will eine Nachricht an Bob versenden, allerdings ist noch kein Schlüssel vereinbart. 5

lgorithmus Vereinbarung einer elliptischen Kurve E über F q, sodass der diskrete Logarithmus schwer lösbar ist. Sei N=#E(F q ) lice stellt ihre Nachricht als Punkt M auf E dar lice wählt eine geheime Zahl m mit ggt(m,n)=1 und berechnet M 1 = m M und sendet M 1 an Bob Bob wählt m B mit ggt(m B,N)=1, bestimmt M 2 =m B M 1 und sendet M 2 an lice lice bildet m 1 Bob berechnet M 4 =m 1 B Bleibt zu zeigen, dass M 4 = m 1 B in Z n und berechnet M 3 =m 1 M 3= M m 1 m B m = M gilt. M 2 und sendet M 3 an Bob Dazu müssen wir zunächst zeigen, dass m 1, welches eine ganze Zahl und die Inverse zu m mod N ist, und m sich aufheben. Wir betrachten m 1 m 1 mod N, also m 1 m =1+kN für ein k Z. Die Gruppe E(F q ) hat Ordnung N, dann impliziert Lagranges Theorem, dass NR= R E(F q ). Daher ergibt sich m 1 m R=(1+kN)R=R+kNR=R+k =R. Setzen für R=m B M : M 3 =m 1 m B m M=m B M. nalog gilt dies für m 1 B und m B : M 4 = m 1 B M 3=m 1 B m BM=M. Veranschaulicht kann man sich das so vorstellen, dass lice ihre Nachricht in eine Box schließt und ihr Schloss daran hängt. Sobald die Box zu Bob gelangt, hängt dieser wiederum sein Schloss daran und sendet diese zurück. lice entfernt danach ihr Schloss und sendet letztendlich die Box an Bob. Dieser kann nun sein Schloss entfernen und die Nachricht entnehmen. Eve kennt E, m M, m B M und m B m M. Mit a=m 1, b=m 1 B und P=m m B M gibt uns das Diffie-Hellman Problem wieder die Sicherheit für das Verfahren. 2.3 Elgamal Verschlüsselung ls nächstes schauen wir uns ein asymmetrisches Verschlüsselungsverfahren an, dessen Idee wir aus der klassischen Methode kennen. lgorithmus : 6

Bob wählt eine elliptische Kurve E über F q mit schwierigem DLP, einen Punkt P auf E, sowie eine geheime Zahl s. Damit bestimmt er B=sP und veröffentlicht E, P, B und F q lice drückt ihre Nachricht als einen Punkt M auf E aus. Mit einer geheimen Zahl k bestimmt sie M 1 =kp und M 2 =M+kB Sie sendet M 1 und M 2 an Bob Bob entschlüsselt M=M 2 -sm 1 Hier gilt es zu überprüfen, dass M 2 -sm 1 die urspüngliche Nachricht M ist. M 2 -sm 1 =(M+kB)-s(kp)=M+k(sP)-skp=M. uch hier gibt uns das DLP die Sicherheit, denn Eve muss s berechnen mittels P und B, damit sie M 2 -sm 1 bestimmen kann oder sie muss k berechnen mittels P und M 2, damit sie M 2 -kb bestimmen kann. Beachten muss man hierbei, dass lice für jede weitere Nachricht jeweils ein anderes k nehmen muss. Denn sei M M, dann gilt M 1 =M 1. Daraus ergibt sich M 2 -M 2 =M -M. Sobald also Eve irgendwann eine Nachricht M kennt, kennt sie auch M durch M =M- M 2 +M 2. 2.4 Digitale Signaturen mit ElGamal Nun haben wir folgende Situation gegeben: lice will ein elektronisches Dokument unterzeichnen, sodass ihre digitale Unterschrift nicht kopiert und von Eve für andere Dokumente wiederverwendet werden kann. Die Unterschrift muss also als gültig verifiziert werden können und eindeutig sein. Dazu verwendet man unter anderem folgendes Signaturverfahren: lgorithmus : lice wählt eine elliptische Kurve E über F q, einen Punkt auf E mit großer Ordnung N,eine beliebige Funktion f:e(f q ) Z, sowie ein α und berechnet B=α lice veröffentlicht E, q, f, und B Sie stellt das Dokument als ganze Zahl m dar und wählt ein beliebiges k mit ggt(k,n)=1 und bestimmt R=k Sie berechnet s=k 1 (m- α f(r)) mod N 7

Sie signiert die Nachricht mit (m, R, s) Bob überprüft die Signatur folgendermaßen : Bob berechnet V 1 =f(r)b+sr Bob berechnet V 2 =m Falls V 1 =V 2 gilt die Signatur als gültig Zu zeigen ist hier dass, V 1 =V 2 gilt. Dazu betrachten wir zunächst s k 1 (m-αf(r)) mod N, also sk=m-α f(r)+zn für ein z Z. Daher gilt: sk=(m-α f(r))+zn= (m-αf(r))+z =(m-α f(r)). Somit ergibt sich für V 1 =f(r)b+sr=f(r)α+sk=f(r)α+(m-αf(r)) = m = V 2 Die Sicherheit gibt uns wieder das DLP. Eve müsste α berechnen mittels und B oder k berechnen mittels und R um mit s,f(r) und m das α zu erhalten. uch hier muss lice verschiedene k für jeweils verschiedene Signaturen verwenden. ngenommen lice unterschreibt zwei Dokumente m und m mit demselben k als (m,r,s) und (m,r,s ), dann bemerkt Eve, dass bei beiden Dokumenten dasselbe k benutzt wurde durch das gleiche R in der Signatur. Mit den beiden Gleichungen sk m-αf(r) mod N und s k m -αf(r) mod N erhalten wir durch Subtraktion k(s-s ) m-m mod N. Sei d=ggt(s-s,n). Dann gibt es genau d verschiedene Möglichkeiten für k. Eve probiert dann diese d Möglichkeiten aus bis sie ein k findet, das R=k erfüllt. 2.5 DS: Digital Signature lgorithm Hier wird ein weiteres Signaturverfahren vorgestellt. lgorithmus : lice wählt m, E,F q so, dass #E(F q )=fr, wobei r eine große Primzahl und f eine kleine ganze Zahl sein soll Sie wählt einen Punkt G auf E der Ordnung r aus, sowie eine geheime Zahl α und berechnet Q=αG 8

Sie veröffentlicht q, E, r, G und Q Sie wählt ein k<r und bestimmt R=kG=(x,y) Sie bestimmt s=k 1 (m+αx) mod r und signiert mit (m,r,s) Verifizierung: Bob berechnet u 1 =s 1 m mod r und u 2 =s 1 x mod r Er bestimmt V= u 1 G+u 2 Q Falls V=R ist die Signatur gültig Zu überprüfen gilt es ob V=R. V=u 1 G+u 2 Q=s 1 mg+s 1 xq=s 1 (mg+xαg) = kg = R Der wesentliche Unterschied zur vorherigen Methode liegt im Verifizierungsprozess. Während im Elgamal System 3 Berechnungen angestellt werden müssen, nämlich f(r)*b,s*r und m*, müssen hier im Verifizierungsteil nur 2 Berechnungen, nämlich u 1 *G und u 2 *Q durchgeführt werden. Da dieser Teil der aufwändigste Teil des lgorithmus ist und da oft mehrere Verifikationen durchgeführt werden müssen, erweist sich dieses Signaturverfahren als effizienter. 2.6 Koyama-Maurer-Okamoto-Vanstone Im nschluss an alle Verfahren, die auf dem DLP beruhen wollen wir uns zu guter Letzt ein Verfahren anschauen das auf dem Faktorisierungsproblem basiert und die Grundidee des RS-Verfahrens verwendet. lgorithmus : Bob wählt zwei große Primzahlen p, q mit p q 2 mod 3 und berechnet n=pq Er wählt e und d mit ed 1 mod kgv(p+1,q+1) Er veröffentlicht n und e lice stellt ihr Nachricht als Punkt M=(m 1,m 2 ) der Kurve E:y 2 = x 3 +b (mod n) dar (b ist frei wählbar) Sie berechnet C=eM Bob berechnet M=dC 9

Um hier zu zeigen, dass dc die ursprüngliche Nachricht M ist müssen wir etwas Vorarbeit leisten. Definition: Eine Elliptische Kurve E über F q der Charakteristik p heißt supersingulär, wenn p t, wobei t=q+1- #E(F q ). Propositon(ohne Beweis): Sei E eine Elliptische Kurve über F q, wobei q eine Potenzzahl von der Primzahl p ist. Weiterhin sei a=q+1-#e(f q ). Dann ist E supersingulär a 0 mod p #E(F q ) 1 mod p. Korollar: Sei p 5 eine Primzahl und E eine Elliptische Kurve über F q. Dann ist E supersingulär #E(F q )=p+1. Beweis: Wenn a=0, dann ergibt die vorherige Proposition, dass E supersingulär ist. Umgekehrt nehmen wir an, dass E supersingulär und a 0. Dann impliziert a 0 mod p, dass a p. Nach Hasses Theorem gilt a 2 p, also folgt p 2 p. Das bedeutet p 4. Proposition: Sei q ungerade und q 2 mod 3 und B F x q. Dann ist die Elliptische Kurve E: y 2 =x 3 + b supersingulär. Beweis: Sei ψ:f x q F x q ein Homomorphismus definiert durch ψ(x)=x 3. Da q-1 kein Vielfaches von 3 ist gibt es keine Elemente der Ordnung 3 in F x q. lso ist der Kern von ψ trivial. Deswegen (ψ injektiv) muss ψ surjektiv sein, da es eine bbildung von einer endlichen Gruppe auf sich selbst ist. Insbesondere hat jedes Element aus F q eine Kubikwurzel in F q. Das heißt für jedes y F q existiert genau ein x F q, sodass (x,y) auf der Kurve liegt. lso ist x die eindeutige Kubikwurzel von y 2 -b. Da es q Werte von y gibt erhalten wir auch q Punkte. Mit dem Unendlich-Punkt folgt also #E(F q )=q+1. Somit ist E supersingulär. us dem chinesichen Restsatz folgt, dass eine Zahl mod n, als ein Paar ganzer Zahlen angesehen werden kann. Das heißt jeder Punkt auf E in Z n kann dargestellt werden als ganze Zahlen in E mop p und E mod q. lso haben wir E(Z n ) = E(F p ) E(F q ). Weiterhin wissen wir ord E(Z n ) =# E(F p )*#E(F q ). Durch das Korollar wissen wir # E(F p )=p+1 bzw #E(F q )=q+1. Daraus folgt (p+1)m mod p bzw (q+1)m mod p. Wir haben nun alles zusammen um zu zeigen dass dc die ursprüngliche Nachricht ist. de = 1+k(p+1) dc=dem=(1+k(p+1))m=m+k(p+1)m=m+ =M 10

Bemerkung: Das KMOV-Verfahren ist unabhängig von b. ngenommen Bob wählt eine zufällige Kurve über Z. Dann muss lice die Gruppenordnung bestimmen, zum Beispiel indem sie mit mod p oder mod q arbeitet. Falls p und q groß genug sind, ist dies schwer machbar. Wenn Bob eine Kurve fixiert, dann hat lice es schwer Punkte auf der Kurve zu finden. Zum Beispiel könnte sie erst die x-koordinate festlegen und dann y bestimmen. Dazu müsste sie aber die Quadratwurzel mod n berechnen, wovon wir wissen, dass das so hart wie das Faktorisierungsproblem ist. Wenn Bob a fixiert (in dem Fall a=0), erlaubt er lice b zu wählen, sodass ihr Punkt auf der Kurve liegt. Dies erfordert, dass Bobs Wahl von e und d unabhängig von der Gruppenordnung von b ist, welches hier der Fall ist. 11

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback