2.¨Ubungsblatt zur Vorlesung ” Grundlagen und

Werbung
Prof. Dr. M. Dietzfelbinger
Prof. Dr. D. Kuske
M.Sc. M. Huschenbett
Institut für Theoretische Informatik, TU Ilmenau
2. Übungsblatt zur Vorlesung
Grundlagen und Methoden der Kryptographie“
”
Besprechung am 7. November 2013
Aufgabe 1?
Es sei p ≥ 3 eine Primzahl, so dass 2p+1 ebenfalls eine Primzahl ist.1 Entwerfen Sie ein möglichst
effizientes Verfahren, mithilfe dessen man für jedes x ∈ Z∗2p+1 entscheiden kann, ob x ein Erzeuger der zyklischen Gruppe (Z∗2p+1 , ·2p+1 ) ist. Dabei sollen maximal O(log p) arithmetische
Operationen vorgenommen werden.
Hinweis: Finden Sie zunächst ein nur von x und p abhängiges Kriterium dafür, dass x einer der
gewünschten Erzeuger ist. Dazu benötigen Sie die Aufgaben 3 und 4 vom 1. Übungsblatt.
Aufgabe 2
Es seien (n, e) und (n, f ) zwei öffentliche Schlüssel des RSA-Kryptosystems mit ggt(e, f ) = 1.
Weiter sei m ∈ Zm ein beliebiger Klartext. Zeigen Sie, dass man aus den Chiffretexten
ce = me mod n
und
cf = mf mod n
von m bzgl. (n, e) bzw. (n, f ) ohne Kenntnis der Geheimschlüssel oder der Faktorisierung von n
den Klartext m berechnen kann.
Hinweis: Benutzen Sie die Voraussetzung ggt(e, f ) = 1.
Fakt (nicht beweisen!): Verallgemeinerter Chinesischer Restsatz
Seien n1 , . . . , nr ∈ N \ {0} paarweise teilerfremd und n = n1 · · · nr . Dann ist die Abbildung
Φ : Zn → Zn1 × · · · × Znr , x 7→ Φ(x) := (x mod n1 , . . . , x mod nr )
bijektiv. Weiterhin: Wenn Φ(x) = (x1 , . . . , xr ) und Φ(y) = (y1 , . . . , yr ), dann gilt
(a) Φ(x +n y) = (x1 +n1 y1 , . . . , xr +nr yr );
(b) Φ(x ·n y) = (x1 ·n1 y1 , . . . , xr ·nr yr );
(c) Φ(1) = (1, . . . , 1).
Aus einem gegebenen Tupel (x1 , . . . , xr ) ∈ Zn1 × · · · × Znr kann man mit O (log n)2 Ziffernoperationen ein x ∈ Zn mit Φ(x) = (x1 , . . . , xr ) bestimmen.
1
Derartige Primzahlen p nennt man Sophie-Germain-Primzahlen.
1/2
2. Übungsblatt zur Vorlesung Grundlagen und Methoden der Kryptographie“
”
Aufgabe 3
Diese Aufgabe beschäftigt mit der Low-Exponent-Attacke auf RSA. Stellen Sie sich dazu folgendes Szenario vor:
Ein Sender schickt an r verschiedene Empfänger dieselbe Nachricht m, die er vorher mit dem
RSA-Kryptosystem und den paarweise verschiedenen öffentlichen Schlüsseln (n1 , e1 ), . . . , (nr , er )
verschlüsselt. Insbesondere gilt also m < ni für alle i. Gehen Sie in Anbetracht von Aufgabe 2
davon aus, dass die ni paarweise verschieden sind. Sie fangen nun alle Chiffretexte c1 , . . . , cr ab,
wobei ci = mei mod ni , und können diese ihrem jeweiligen öffentlichen Schlüssel zuordnen.
(a) Zeigen Sie, dass Sie mindestens zwei der ni effizient faktorisieren und somit effizient m
berechnen können, sobald die ni nicht paarweise teilerfremd sind.
Gehen Sie nun davon aus, dass dem Sender die Problematik aus (a) bekannt ist und die ni
paarweise teilerfremd sind. Nehmen Sie stattdessen an, dass unter den ei ein Wert ê sehr häufig
vorkommt, nämlich mindestens ê-mal.2 M.a.W., es gibt ein ê ∈ N mit
|{ i | ei = ê }| ≥ ê .
Nehmen Sie o.B.d.A. weiter an, dass e1 = e2 = · · · = eê = ê.
(b) Zeigen Sie mithilfe des verallgemeinerten Chinesischen Restsatzes, dass Sie aus c1 , . . . , cê
effizient mê und somit auch m berechnen können.
Aufgabe 4
Ziel dieser Aufgabe ist es, nachzuweisen, dass das Brechen des Rabin-Kryptosystems nicht leichter ist, als den öffentlichen Schlüssel n zu faktorisieren. Dazu seien p und q zwei verschiedene
Primzahlen mit p ≡ q ≡ 3 (mod 4) und n = pq. Nehmen Sie an, Eve hätte ein effizientes Verfahren, mit dem sie alle Chiffretexte bzgl. des öffentlichen Schlüssels n entschlüsseln kann. M.a.W.,
Eve kann effizient eine Funktion B : C → Zn mit y = B(y)2 mod n für alle y ∈ C berechnen,
wobei
C = { x2 mod n | x ∈ Zn }
die Menge aller Chiffretexte bzgl. n ist.
(a) Zeigen Sie, dass für alle x ∈ Zn \ (Z∗n ∪ {0}) entweder ggt(x, n) = p oder ggt(x, n) = q gilt.
(b) Seien nun x ∈ Z∗n und z1 , z2 , z3 , z4 ∈ Zn die vier verschiedenen, eindeutig bestimmten Zahlen
mit x2 ≡ zi2 (mod n). Zeigen Sie, dass es i, j mit ggt(x − zi , n) = p und ggt(x − zj , n) = q
gibt.
(c) Entwerfen Sie ein effizientes, randomisiertes Verfahren, das mit einer Wahrscheinlichkeit von
mindestens 1/2 die Faktorisierung von n liefert. Verwenden Sie dabei die Annahme, dass es
ein effizientes Verfahren zur Berechnung von B gibt.
2
Wegen ê ≤ r kann ê nicht allzu groß sein. Daher der Name Low-Exponent-Attacke
2/2
Herunterladen