Mαθηµατικές Θεµελιώσεις Kρυπτογραφίας

Transcript

1 Νικόλαος Ατρέας Mαθηµατικές Θεµελιώσεις Kρυπτογραφίας ΑΠΘ Τµήµα Πληροφορικής Θεσσαλονίκη 008

2 Περιεχόµενα Κεφάλαιο 0: Βασικές έννοιες σελ 4 Κεφάλαιο : Χρήσιµες µαθηµατικές έννοιες σελ 7 Βασικές έννοιες διαιρετότητας Το σύνολο των κλάσεων υπολοίπων mod * 3 Η πολλαπλαστική οµάδα 4 Ανάγωγα Πολυώνυµα 5 Ο συµβολισµός Ladau 6 Πολυπλοκότητα αλγορίθµων Ασκήσεις Κεφάλαιο : Συµµετρική κρυπτογραφία σελ 8 Κρυπτοσύστηµα µετατόπισης Οµοπαραλληλικό κρυπτοσύστηµα 3 Κρυπτοσύστηµα Hll 4 Κρυπτοσύστηµα µεταθέσεων 5 Κρυπτογραφία και θεωρία πλαισίων 6 Κρυπτοσύστηµα Vgeere 7 Τέλεια ασφάλεια Κρυπτοσύστηµα Veram Ασκήσεις Κεφάλαιο 3: Ασσύµετρη κρυπτογραφία σελ 38 3 Τα κρυπτοσυστήµατα RSA και Rab 3 To κρυπτοσύστηµα El-Gamal Aσκήσεις Κεφάλαιο 4: Ψηφιακά κρυπτοσυστήµατα σελ 55 4 Βασικές έννοιες 4 Μη γραµµικότητα 4 Εισαγωγή στη γραµµική κρυπτανάλυση Ασκήσεις

3 Κεφάλαιο 5: Ψηφιακές υπογραφές σελ 69 5 Γενικά 5 Το πρωτόκολλο Dffe-Hellma 53 Yπογραφή RSA 54 Αλγόριθµος ψηφιακής υπογραφής Ασκήσεις 3

4 ΚΕΦΑΛΑΙΟ 0 ΒΑΣΙΚΕΣ ΕΝΝΟΙΕΣ Έστω ότι δύο άτοµα Α και Β επικοινωνούν µεταξύ τους µέσω ενός διαύλου επικοινωνίας Θα λέµε ότι η επικοινωνία µεταξύ τους είναι ασφαλής, εάν ικανοποιεί τις ακόλουθες ιδιότητες: Εµπιστευτικότητα: Κανείς άλλος δεν µπορεί να λάβει γνώση οποιουδήποτε µέρους της πληροφορίας που ανταλλάσσεται µεταξύ τους Ακεραιότητα: Κανείς άλλος δεν µπορεί να τροποποιήσει τα µηνύµατα τους Αυθεντικότητα: Καθένας από τους Α και Β πρέπει να είναι σίγουρος για την ταυτότητα του µηνύµατος που λαµβάνει από τον άλλον Αδυναµία αποκήρυξης: Κανείς από τους δύο να µην µπορεί να αρνηθεί την πατρότητα προηγούµενων µηνυµάτων του Κρυπτογραφία είναι η µελέτη των µαθηµατικών µεθόδων που εξασφαλίζουν την ασφαλή µετάδοση της πληροφορίας διά µέσου µη ασφαλών διαύλων επικοινωνίας Καλούµε κρυπτοσύστηµα µία πεντάδα (P, C, K, E, D), όπου: P είναι ένα πεπερασµένο σύνολο που καλείται χώρος των καθαρών µηνυµάτων (platext), C είναι ένα πεπερασµένο σύνολο που καλείται χώρος των κρυπτογραφηµένων µηνυµάτων (cphertext) Κ είναι ένα πεπερασµένο σύνολο που καλείται χώρος των κλειδιών (key) Ε είναι µία οικογένεια συναρτήσεων της µορφής { :, } E = f P C k K D είναι µία οικογένεια συναρτήσεων της µορφής k 4

5 D = { g : C P, k K} k Οι συναρτήσεις fk, g k καλούνται συναρτήσεις κρυπτογράφησης και αποκρυπτογράφησης αντιστοίχως που αντιστοιχούν στο κλειδί k Επιπλέον: e K, d K: p P ( ) g f p = g f p = p (), ( )( ) ( ) d e d e Κάθε ζεύγος (e,d) που ικανοποιεί την () καλείται ζεύγος κλειδιών κρυπτογράφησης και αποκρυπτογράφησης Ένα κρυπτοσύστηµα καλείται συµµετρικό, εάν το κλειδί κρυπτογράφησης είναι ίδιο µε το κλειδί αποκρυπτογράφησης, ή γενικότερα εάν το κλειδί αποκρυπτογράφησης µπορεί πολύ εύκολα να υπολογιστεί από το κλειδί κρυπτογράφησης Σε συµµετρικά κρυπτοσυστήµατα, οι χρήστες θα πρέπει να ανταλλάξουν µεταξύ τους κλειδί πριν αρχίσει η επικοινωνία Tα συµµετρικά κρυπτοσυστήµατα κατηγοριοποιούνται σε κρυπτοσυστήµατα: έσµης (Block Cphers), όπου το µήνυµα χωρίζεται σε κοµµάτια και κρυπτογραφείται καθένα από τα κοµµάτια αυτά χωριστά Ροής (Stream Cphers), όπου το µήνυµα κρυπτογραφείται bt by bt Ένα κρυπτοσύστηµα καλείται ασύµµετρο, εάν το κλειδί αποκρυπτογράφησης είναι πρακτικά αδύνατο να υπολογισθεί από το κλειδί κρυπτογράφησης Σε ένα τέτοιο σύστηµα το κλειδί κρυπτογράφησης µπορεί να δηµοσιοποιηθεί, οπότε καταχωρείται σ ένα δηµόσιο κατάλογο, όπου τα κλειδιά είναι κατάλληλα προστατευµένα ώστε να παραµένουν ανέπαφα Tο κλειδί αποκρυπτογράφησης παραµένει πάντα µυστικό Τα ασύµµετρα κρυπτοσυστήµατα καλούνται συνήθως κρυπτοσύστηµατα δηµοσίου κλειδιού Κρυπτανάλυση είναι η µελέτη των µαθηµατικών µεθόδων που επιχειρούν την αναίρεση της ασφαλούς µετάδοσης της πληροφορίας Προϋπόθεση βέβαια είναι ο κρυπταναλυτής να κατέχει ικανό πλήθος κρυπτογραφηµένων µηνυµάτων που κρυπτογραφήθηκαν µε τον ίδιο τρόπο 5

6 Τα σύγχρονα κρυπτοσυστήµατα βασίζονται στην εξής αρχή: Kerchkoff: Η ασφάλεια ενός κρυπτοσυστήµατος δεν πρέπει να εξαρτάται από τη µυστική διαφύλαξη της µεθόδου κρυπτογράφησης, αλλά µόνον από την µυστική διαφύλαξη του κλειδιού Οι συνηθέστεροι τρόποι προσβολής είναι: Επίθεση γνωστού κρυπτογραφηµένου κειµένου: Ο κρυπταναλυτής έχει πρόσβαση για κάποιο χρονικό διάστηµα στο µηχάνηµα κρυπτογράφησης και µπορεί να αποκρυπτογραφεί επιλεγµένα κρυπτογραφηµένα µηνύµατα Σκοπός του η εύρεση του κλειδιού Επίθεση γνωστού καθαρού κειµένου Ο κρυπταναλυτής έχει πρόσβαση για κάποιο χρονικό διάστηµα στο µηχάνηµα κρυπτογράφησης και µπορεί να κρυπτογραφεί επιλεγµένα καθαρά µηνύµατα Επίθεση επιλεγµένου κλειδιού Αυτό το είδος επίθεσης σηµαίνει ότι ο κρυπταναλυτής ενδέχεται να έχει κάποια γνώση όσον αφορά ιδιότητες των κλειδιών Μια συνάρτηση f : X Y καλείται µονόδροµη, εάν x X η τιµή f ( x ) υπολογίζεται εύκολα, ενώ για τυχαίο y Y είναι υπολογιστικά αδύνατο να βρεθεί x έτσι ώστε f ( x) = y «Εύκολο» εννοούµε κάτι για τον υπολογισµό του οποίου απαιτείται πολυωνυµικός χρόνος, ενώ υπολογιστικά αδύνατο εάν απαιτείται εκθετικός χρόνος Για παράδειγµα η συνάρτηση x f ( x) = a mod p, p πρώτος είναι µονόδροµη συνάρτηση Υπάρχουν µονόδροµες συναρτήσεις για τις οποίες είναι εφικτό να βρεθεί για οποιοδήποτε y Y κάποιο x X έτσι ώστε y= f( x) Προϋπόθεση για να συµβεί αυτό είναι να δοθεί κάποια επιπλέον πληροφορία Τέτοιες συναρτήσεις καλούνται µονόδροµες συναρτήσεις µε καταπακτή Για παράδειγµα, η συνάρτηση 3 f ( x) x mod =, = p q, p, q-πρώτοι είναι µια µονόδροµη συνάρτηση µε καταπακτή 6

7 KΕΦΑΛΑΙΟ ΧΡΗΣΙΜΕΣ ΜΑΘΗΜΑΤΙΚΕΣ ΕΝΝΟΙΕΣ Βασικές έννοιες διαιρετότητας Θα συµβολίζουµε µε, τα σύνολα των φυσικών αριθµών και των ακεραίων αντιστοίχως: {,,3,,, } { 0,,,,, } = = ± ± ± Ορισµός Ένας φυσικός αριθµός p > καλείται πρώτος, εάν οι µόνοι διαιρέτες του είναι οι ακέραιοι αριθµοί ± και ± p Σε αντίθετη περίπτωση ο p καλείται σύνθετος Ορισµός ύο ακέραιοι αριθµοί, m καλούνται πρώτοι µεταξύ τους, εάν ο µέγιστος κοινός διαιρέτης τους ισούται µε, δηλαδή gcd(, m)=, ή ποιο απλά (, m) = Θεµελιώδες Θεώρηµα Θεωρίας Αριθµών: Κάθε φυσικός αριθµός > αναλύεται κατά µοναδικό τρόπο σε γινόµενο πρώτων παραγόντων (εάν παραβλέψουµε τη τάξη των παραγόντων στο γινόµενο), δηλαδή: = p p p a p πρώτοι a a a k :, k Θεώρηµα Εστω, a Εάν a, είναι πρώτοι µεταξύ τους, τότε υπάρχουν ακέραιοι αριθµοί r, s : ra + s = Ορισµός 3 Έστω, η συνάρτηση { { } ( ) } ϕ:, ϕ( ) = # k,,, : gcd k, =, όπου ο συµβολισµός #A υποδηλώνει το πλήθος των στοιχείων του συνόλου Α, καλείται συνάρτηση ϕ του Euler H τιµή ϕ ( ) παριστάνει το πλήθος των φυσικών αριθµών στο διάστηµα [, ] που είναι πρώτοι προς τον 7

8 Θεώρηµα () Εάν o p είναι πρώτος αριθµός, τότε ϕ ( p) = p () Εάν m, είναι πρώτοι µεταξύ τους, τότε ϕ( m) = ϕ( ) ϕ( m) a a a k () Εάν = p p p k, τότε: ϕ( ) = p p pk Ορισµός 4 Ένα ζεύγος ( G, ) όπου G είναι ένα µη κενό σύνολο και είναι µια πράξη στο G, δηλαδή: : G G G, ( x, y) x y καλείται αβελιανή οµάδα, εάν η πράξη είναι: αντιµεταθετική, δηλ x y= y x x, y G, x y * z = x* y* z x, y, z G, προσεταιριστική, δηλ ( ) ( ) µοναδικό στοιχείο e G: x e= e x= x, x G, µοναδικό στοιχείο x G : x * x x * x e, x G = = Ορισµός 5 Αντιµεταθετικός δακτύλιος καλείται µια τριάδα ( G, +, ) που αποτελείται από ένα µη κενό σύνολο G, και δυο πράξεις: (α) την πρόσθεση, ως προς την οποία το σύνολο το Α αποτελεί αβελιανή οµάδα, (β) τον πολλαπλασιασµό ως προς τον οποίο ισχύουν οι ιδιότητες: αντιµεταθετική, δηλ xy= yx x, y G, προσεταιριστική, δηλ ( xy) z = x( yz) x, y, z G, µοναδικό µοναδιαίο στοιχείο G: x = x = x, x G, επιµεριστική, δηλ: x( y + z) = xy + xz x, y, z G 8

9 Oρισµός 6 Ένας αντιµεταθετικός δακτύλιος G καλείται σώµα, εάν κάθε µη µηδενικό στοιχείο του G είναι αντιστρέψιµο, δηλ µοναδικό στοιχείο x G: xx x x x G = = Το σύνολο των κλάσεων υπολοίπων mod Ορισµός 7 Έστω Ένας ακέραιος αριθµός a καλείται ισότιµος µε τον ακέραιο αριθµό b mod, συµβολικά: a bmod, εάν ( a b), ή ισοδύναµα εάν a = b + k για κάποιον ακέραιο k Ορισµός 8 Eστω a, στο εξής θα συµβολίζουµε µε a το σύνολο { : mod } ={ x : x= a+ λ, λ } a= x x a το οποίο καλείται κλάση υπολοίπων του a mod, Ορισµός 9 Eστω a και a είναι η κλάση υπολοίπων του a modm Ορίζουµε το σύνολο Το σύνολο { } = a: a, αυτό περιέχει ακριβώς διαφορετικά στοιχεία, τα εξής: { } = 0,,,, και καλείται σύνολο των κλάσεων υπολοίπων mod Το σύνολο αποτελεί αντιµεταθετικό δακτύλιο εάν το εφοδιάσουµε µε τις πράξεις: a+ b= a+ b ab = a b 9

10 Όλες οι πράξεις στο γίνονται mod Ο ποιο απλός τρόπος, είναι να βρούµε το αποτέλεσµα στο και στη συνέχεια να κάνουµε αναγωγή στο Υπάρχει προφανώς µια - αντιστοιχία: {0,,, } Παράδειγµα: Έστω a = 8, b = Υπολογίστε στο 8 τις τιµές a+ b, a b, ab Απάντηση: a+ b= 8+ = 9 mod8 a+ b= a b= 8 = 3 5mod8 a b= 5 ab = 8 = 88 6mod8 ab = 6 Πως θα ορίσουµε την έννοια του αντιστρόφου στοιχείου στο ; Ορισµός 0 Ενα στοιχείο a λέµε ότι είναι αντιστρέψιµο, εάν υπάρχει στοιχείο x τέτοιο ώστε: ax mod Το x καλείται αντίστροφος του a στο και συµβολίζεται µε x = a Από τον παραπάνω ορισµό είναι φανερό ότι όλα τα στοιχεία του έχουν αντίστροφο στοιχείο Πράγµατι: δεν ( ) ( ) ax mod / ax ax = k ax k = gcd a, = άρα: k βλ Θ Θεώρηµα 3 a αντιστρέφεται (a,) πρώτοι µεταξύ τους Αµεση συνέπεια είναι το ακόλουθο: Πόρισµα είναι σώµα είναι πρώτος αριθµός Παράδειγµα Έστω a = 7, b = 3 Υπολογίστε στο 3 την τιµή b/ a 0

11 Απάντηση: O µέγιστος κοινός διαιρέτης gcd(a,) δύο αριθµών υπολογίζεται από τον αλγόριθµο του Ευκλείδη που παρατίθεται ευθύς αµέσως για α = 7, = 3: 3 = (διαιρώ / a) 7 = 3 + (διαιρώ π / υ, όπου π, υ είναι το πηλίκο, υπόλοιπο της παραπάνω διαίρεσης κλπ Όταν βρω υπόλοιπο στην τελευταία διαίρεση, οι αριθµοί (a,) είναι πρώτοι µεταξύ τους) Προφανώς από την παραπάνω διαδικασία συνάγουµε ότι gcd(7,3)=, άρα από την ισχύ του Θεωρήµατος 3 το στοιχείο a αντιστρέφεται To αντίστροφο στοιχείο a υπολογίζεται από την αντίστροφη διαδικασία του αλγορίθµου του Ευκλείδη, δηλαδή: άρα = 7-3 = 7-3 (3-3 7) = = a a οπότε a 0 Τελικά λοιπόν: b/ a= ab = 3 0= 7 3 Η πολλαπλασιαστική οµάδα Ορισµός Η πολλαπλασιαστική οµάδα { a :gcd( a, ) } = =, ορίζεται ως εξής: είναι δηλαδή η οµάδα που αποτελείται µόνον από τα αντιστρέψιµα στοιχεία του Προφανώς η τάξη της οµάδας (δηλαδή το πλήθος των στοιχείων της οµάδας ), ισούται µε την τιµή ϕ ( ) της συνάρτησης του Euler Θεώρηµα 4 (Euler) Εάν a, τότε a ϕ ( ) mod Πόρισµα (Fermat) Εάν ( ap, ) είναι πρώτοι µεταξύ τους, τότε:

12 p a mod p Ορισµός Έστω και a : gcd(a,) = O ελάχιστος φυσικός αριθµός r µε την ιδιότητα r a mod καλείται τάξη (order) του στοιχείου amod Από τα παραπάνω γίνεται σαφές ότι η τάξη στοιχείου a ορίζεται µόνον για αντιστρέψιµα στοιχεία του Το Θεώρηµα 4 υπονοεί ότι η τάξη οποιουδήποτε στοιχείου του ισούται µε την τιµή ϕ ( ), είτε διαιρεί την τιµή ϕ ( ) είτε Oρισµός 3 Αν η τάξη ενός στοιχείου a ισούται µε ϕ ( ), τότε το στοιχείο a καλείται γεννήτορας του, ή αρχική ρίζα, ή πρωταρχική ρίζα του Οι αρχικές ρίζες υπολογίζονται από το ακόλουθο: Θεώρηµα 5 Έστω και a έτσι ώστε gcd(a,)= Εάν p, p,, p s είναι όλοι οι διαφορετικοί πρώτοι παράγοντες της συνάρτησης του Euler ϕ ( ), τότε: ϕ ( ) p a αρχική ρίζα a mod,, a ϕ ( ) p s mod Θεώρηµα 6 Εάν ο p> είναι πρώτος αριθµός, τότε υπάρχουν πάντοτε ϕ p αρχικές ρίζες mod, το δε πλήθος τους είναι ( ) Προφανώς, εάν a είναι µία αρχική ρίζα mod, τότε η πολλαπλασιαστική οµάδα γράφεται ως εξής: { mod : 0,, ϕ( ) } = a = Tότε µπορούµε να ορίσουµε την έννοια του διακριτού λογάριθµου ως εξής:

13 Oρισµός 4 Eστω είναι φυσικός αριθµός για τον οποίο υπάρχει µία αρχική ρίζα mod, έστω η w Tότε: { ϕ } a, µοναδικος φυσικος r 0,, ( ) : a w r mod O µοναδικός φυσικός αριθµός r καλείται διακριτός λογάριθµος του a ως προς τη βάση w και συµβολίζεται ως r = log w a ηλαδή: r r = log a a w mod w Oρισµός 5 Έστω η ισοτιµία x amod, όπου φυσικός αριθµός και a ακέραιος αριθµός πρώτος προς τον, τότε ο a καλείται τετραγωνικό υπόλοιπο modulo Θεώρηµα Υπολοίπου του Κινέζου Εάν οι φυσικοί αριθµοί,,, k είναι πρώτοι µεταξύ τους ανά δύο, τότε το σύστηµα ισοτιµιών x a mod, έχει µοναδική λύση ( ) mod k k Παράδειγµα Εάν x 3mod5 και x 5mod7, ποια είναι η µοναδική λύση mod35 αυτών των ισοτιµιών; Απάντηση: Η γενική λύση δίνεται από τη σχέση: k k x an M (mod35), όπου N = = και M + M = Θεωρούµε = 5, = 7, άρα: N = 7, N = 5 Eπίσης, από τον αλγόριθµο του Ευκλείδη έχουµε: 7= 5+, 5= +, άρα: = 5 = 5 (7 5) = , συνεπώς: δηλαδή: M =, M = 3, άρα: =, 3

14 x (3 7 ( ) ) mod35 ( ) mod35 33mod35 ηλαδή εάν για κάποιο x ισχύει x 3mod5και x 5mod7, τότε οι πιθανές τιµές του x είναι 33, 68, 03, κλπ 4 Πολυώνυµα Έστω f ( x) = a0 + ax+ + ax ένα πολυώνυµο Εάν όλοι οι συντελεστές του πολυωνύµου ανήκουν σε ένα σώµα, ή δακτύλιο, ή οµάδα G, τότε θα γράφουµε: f ( x) G[ x] Oρισµός 6 Πολυώνυµα τα οποία µπορούν να γραφούν σαν γινόµενο δυο άλλων πολυωνύµων µε µικρότερο βαθµό καλούνται αναγώγιµα, αλλιώς ονοµάζονται ανάγωγα Ένα ανάγωγο πολυώνυµο f ( x) G[ x] προφανώς δεν έχει ρίζες στο G 5 Ο συµβολισµός Ο Ορισµός 7 Έστω συναρτήσεις f, g :, ορίζουµε το σύνολο Ο(g) ως εξής: f Og ( ) c> 0, : f( ) g ( ) 0 0 Συνήθως αντί να γράφουµε f Og ( ) γράφουµε f = Og ( ) Παραδείγµατα: = όταν a b a b O( ) αν f O( g) και g O( h) f O( h) = = = αν f = O( g) και h= O( g) f + h= O( g) d d αν f ( ) ad ++ a a0, ad 0, τοτε: f = O( ) = + d Ισχύει = O( e ), d 4

15 Επίσης: = O( e ε ), ε > 0 Πρακτικό ενδιαφέρον όταν 0 < ε < Αν για µία συνάρτηση f : υπάρχει πολυώνυµο p : τέτοιο ώστε f = O( p), τότε θα λέµε ότι η f είναι πολυωνυµικά φραγµένη 6 Πολυπλοκότητα αλγορίθµου Έστω αλγόριθµος που έχει είσοδο µήκους Υπενθυµίζουµε ότι µήκος ενός φυσικού αριθµού καλείται το πλήθος των ψηφίων της δυαδικής του k αναπαράστασης Εάν δηλαδή = a + a + + a, a 0, τότε: 0 k k ( ) ( ) k k k k < log < = log + Είναι εύκολο να δει κανείς ότι: µήκος ( aa a ) sk s ( a, a,, a s έχουν µήκος k ), µήκος ( a+ a + + a ) k +µήκος (s), µήκος ( m!) = Ο(m log(m)) s Oρισµός 8 Καλούµε χρόνο εκτέλεσης µιας διαδικασίας το πλήθος των δυαδικών πράξεων που απαιτούνται για την εκτέλεση της Είναι εύκολο να δει κανείς ότι: ( ) χρόνος a± b= O max{ log a, log b} χρόνος ab = O( log a log b ) χρόνος a/ b O( log a log b) = Ο χρόνος εκτέλεσης καλείται και ως πολυπλοκότητα εκτέλεσης Παράδειγµα Έστω, τότε ο χρόνος που απαιτείται για την πρόσθεση και τον πολ/σµό δύο στοιχείων του είναι Ο(µήκους ()) και Ο(µήκους ( )) αντιστοίχως 5

16 Απάντηση: Πράγµατι, έστω η κλάση υπολοίπων (mod) Έστω ab,, τότε υπολογίζουµε το άθροισµα c = a + b σε Ο(max(loga,log b)) = O(log) χρόνο Προφανώς, είτε ισχύει 0 c, είτε ισχύει c<, άρα 0 < - + c < πάλι σε Ο(log()) χρόνο Άρα το άθροισµα υπολογίζεται σε Ο(log()) χρόνο Για τον πολ/σµό, πρώτα γίνεται η πράξη c = ab σε Ο(log(a) log(b)) = O ( log ) χρόνο Στη συνέχεια γίνεται η διαίρεση c/ σε Ο(log() ( ) ( log ) log()) = O ( ) χρόνο Παράδειγµα Έστω, a, a, πρώτοι µεταξύ τους, τότε η ισοτιµία επιλύεται σε χρόνο Ο(log(a) log(b)) ax mod Απάντηση: H λύση της ισοτιµίας ανάγεται στην εύρεση k, λ : k a+λ =, ή γενικότερα στην εύρεση του µέγιστου κοινού διαιρέτη των a και H εύρεση όµως µέγιστου κοινού διαιρέτη αποδεικνύεται ότι γίνεται σε O log( a)log( ) χρόνο ( ) ΑΣΚΗΣΗ Το Θεώρηµα Υπολοίπων του Κινέζου υπολογίζεται σε (( log ) ) O χρόνο ΑΣΚΗΣΕΙΣ Να γίνουν οι πράξεις: a+ b, a b, ab, a/ b όταν: a = 4, b = 9 στην οµάδα 6 a = 3, b = 7 στην οµάδα Εάν =, να υπολογίσετε µία αρχική ρίζα της πολ/κής οµάδας Γράψτε τα στοιχεία της οµάδας * * 6

17 3 Εάν x 3mod7 και x 8mod, ποια είναι η µοναδική λύση mod77 αυτών των ισοτιµιών; 4 ίνεται η πολ/κή οµάδας * 9 Υπολογίστε την τάξη του στοιχείου Είναι η κυκλική οµάδα; Αν ναι, βρείτε έναν γεννήτορά της * 9 5 Να επιλυθεί στο η ισοτιµία x 3mod 7

18 KΕΦΑΛΑΙΟ ΣΥΜΜΕΤΡΙΚΗ ΚΡΥΠΤΟΓΡΑΦΙΑ Κρυπτοσύστηµα µετατόπισης Στο συγκεκριµένο κρυπτοσύστηµα, οι χώροι P, C, K είναι ο δακτύλιος Για κάθε κλειδί k, ορίζουµε τη συνάρτηση κρυπτογράφησης: f : : x x+ k, k και η συνάρτηση αποκρυπτογράφησης oρίζεται ως εξής: g : : x x k k Προφανώς, για κάθε x ισχύει: ( g f )( x) = g ( x+ k) = x+ k k = x k k k Παράδειγµα: Θεωρούµε την - αντιστοιχία: { AB,,, Ω} : A 0, B,, Ω 3, 4 να κρυπτογραφηθεί και να αποκρυπτογραφηθεί το κείµενο ΕΠΙΘΕΣΗ µε το κρυπτοσύστηµα µετατόπισης χρησιµοποιώντας το κλειδί k = 8 Απάντηση: Προφανώς: Eστω k = 8, τότε: ΕΠΙΘΕΣΗ {4, 5, 8, 7, 4, 7,6} f (4) =, f (5) = 3, f (8) = 6, f (7) = f (4) =, f (7) = 5 mod 4, f (6) = 4, συνεπώς ο παραλήπτης θα λάβει το µήνυµα: {, 3, 6, 4,,, 3} ΝΩΡΟΝΒΞ 8

19 Για την αποκρυπτογράφηση θα ακολουθηθεί η αντίστροφη πορεία Μειονέκτηµα: Τo βασικό µειονέκτηµα του συγκεκριµένου κρυπτοσυστήµατος είναι ότι υπάρχουν δυνατότητες για το κλειδί τις οποίες µπορούµε να υπολογίσουµε δοκιµάζοντας όλες τις περιπτώσεις Οµοπαραλληλικό Κρυπτοσύστηµα Αποτελεί γενίκευση του κρυπτοσυστήµατος µετάθεσης Οι χώροι P, C είναι ο δακτύλιος, ενώ ο χώρος των κλειδιών είναι το καρτεσιανό γινόµενο, συνεπώς το πλήθος των στοιχείων του χώρου Κ είναι ϕ ( ) Για κάθε κλειδί e= ( a, b) K, ορίζουµε τη συνάρτηση κρυπτογράφησης ως εξής: f :, x ax+ b e ενώ η αντίστοιχη συνάρτηση αποκρυπτογράφησης είναι η εξής: :,, gd x a x a b όπου d = ( a, a b) K Προφανώς, για κάθε x ισχύει: ( )( ) ( ) ( ) g f x = g ax+ b = a ax+ b a b= x d e d Παράδειγµα: Θεωρούµε την - αντιστοιχία: { AB,,, Ω,κενο,;} : A 0, B,, Ω 3, κενο 4, ; 5 6 να κρυπτογραφηθεί και να αποκρυπτογραφηθεί το κείµενο ΘΑ ΕΡΘΕΙΣ; µε το oµοπαραλληλικό κρυπτοσύστηµα χρησιµοποιώντας το κλειδί e = (7,4) Απάντηση: Προφανώς: ΘΑ ΕΡΘΕΙΣ; {7, 0, 4, 4, 6, 7, 4, 8, 7, 5} Eστω e = (7,4), τότε χρησιµοποιώντας τη συνάρτηση κρυπτογράφησης 7 x + 4 9

20 παίρνουµε: {, 4, 6, 6,,, 6, 8, 9, 3} ΒΕΡΗΝΒΕΙΥΩ Για να υπολογίσουµε τη συνάρτηση αποκρυπτογράφησης πρέπει να υπολογίσουµε το 7 Έχουµε λοιπόν από τον αλγόριθµο του Ευκλείδη: συνεπώς: 7 = 5mod6, δηλαδή 6 = = = +, άρα: = 5 = 5 (7-5) = = (6-3 7) = 3 6-7, 7 = 5, οπότε: g ( x) = g ( x) = g ( x) = 5x 8 d (5,60) (5,8) Mειονέκτηµα: Eπειδή είναι κρυπταλγόριθµος ροής, είναι ευάλωτος στη συχνότητα εµφάνισης των γραµµάτων κάθε γλώσσας Ο κρυπταναλυτής θεωρεί τις αντιστοιχίσεις των γραµµάτων µε την µεγαλύτερη συχνότητα εµφάνισης προς τα πραγµατικά γράµµατα συνήθως φωνήεντα και λύνει το σύστηµα a x+ b= c, ώσπου να βρει ένα αποδεκτό κείµενο 3 Κρυπτοσύστηµα του Hll Έστω Α είναι ένας m m πίνακας µε στοιχεία από την οµάδα Εάν ο πίνακας Α είναι αντιστρέψιµος, τότε υπάρχει πίνακας Β µε στοιχεία από το έτσι ώστε να ισχύει A B= I Ισχύει το ακόλουθο: Α αντιστρέψιµος m det Aαντιστρέψιµο στοιχείο στο Στο κρυπτοσύστηµα Hll, οι χώροι P, C είναι ο χώρος {( x,, x ) : x } =, m m 0

21 ενώ ο χώρος των κλειδιών Κ είναι το σύνολο όλων των m m πινάκων µε στοιχεία από την οµάδα οι οποίοι είναι αντιστρέψιµοι Για κάθε πίνακα κλειδί A K, ορίζουµε τη συνάρτηση κρυπτογράφησης: m m f : : x x A A ενώ η συνάρτηση αποκρυπτογράφησης είναι η: m m - g : : x x A A Προφανώς, για κάθε m x ισχύει: ( A) g f x g xa xaa xi x A ( ) = ( ) = = m = A 3 Παράδειγµα: Έστω A=, να κρυπτογραφηθεί και να 7 8 αποκρυπτογραφηθεί το κείµενο ΕΠΙΘΕΣΗ µε το κρυπτοσύστηµα Ηll χρησιµοποιώντας την αντιστοιχία: { AB,,, Ω} : A 0, B,, Ω 3 4 Aπάντηση: Eίναι εύκολο να υπολογίσουµε την ορίζουσα του πίνακα Α: det A = = 5 9mod 4, και εφόσον ( 9,4) =, ισχύει ότι det A = 9 είναι αντιστρέψιµο στοιχείο του 4, άρα ο πίνακας Α είναι αντιστρέψιµος και ο αντίστροφός του δίνεται από τη σχέση: A =(deta) = 9 = 9 =, διότι: = = 5 9mod4, άρα: συνέχεια κρυπτογραφούµε το µήνυµα 9 = 9 Στη ανά δυάδες, δηλαδή: ΕΠΙΘΕΣΗ {4, 5, 8, 7, 4, 7,6}

22 3 (4,5) A = (4,5) = ( , ) = (7,), (8,7) A = (8,7) = ( , ) = (7,8), (4,7) A = (4,7) = ( , ) = (7,4) 7 8 Για να δηµιουργηθεί η τελευταία δυάδα, βάζουµε ένα σύµβολο τυχαίο πχ το Β και υπολογίζουµε: 3 (6,) A = (6,) = (6 + 7, ) = (9,) 7 8 οπότε παίρνουµε: {7,, 7, 8, 7, 4, 9, } ΣΝΣΙΘΕΥΓ Για την αποκρυπτογράφηση χωρίζουµε πάλι το παραπάνω κρυπτογράφη- µα ανά δυάδες και χρησιµοποιούµε για την αποκρυπτογράφηση τον αντίστροφο πίνακα του Α Μειονέκτηµα: To κρυπτοσύστηµα Hll είναι ευάλωτο σε επίθεση γνωστού καθαρού κειµένου Πράγµατι, εάν υποθέσουµε ότι ο κρυπταναλυτής έχει στη διάθεση του την τιµή του m (διάσταση του Α) και διαθέτει m-ζεύγη (p, c) P C, τότε εάν A m m είναι το κλειδί που αναζητά, το κλειδί προκύπτει από τη λύση του συστήµατος: C = P A m m m m m m c c m p p m a a m = c c p p a a m mm m mm m mm Αν ο πίνακας P είναι αντιστρέψιµος, τότε:

23 A = P C Eάν ο P δεν είναι αντιστρέψιµος, τότε προσπαθούµε να βρούµε άλλα ζεύγη (p, c) ώστε ο πίνακας P m mνα γίνει αντιστρέψιµος 4 Κρυπτοσύστηµα µεταθέσεων m Οι χώροι P, C είναι ο χώρος Ο χώρος των κλειδιών, είναι το σύνολο όλων των µεταθέσεων του συνόλου {,,, m} Μετάθεση συνόλου I = {,, m} καλείται κάθε - απεικόνιση m σ : I I Αφού η απεικόνιση σ είναι -, ορίζεται η αντίστροφη απεικόνιση και ισχύει σ σ = σ σ = I, όπου I είναι η ταυτοτική απεικόνιση Το πλήθος των µεταθέσεων του συνόλου {,,, m} είναι m! Παράδειγµα: Eστω Ι 7 = {,,,7}, τότε οι συναρτήσεις: σ : I I, {,,3,4,5,6,7} {3,4,,,7,5,6} 7 7 σ : I I, {,,3,4,5,6,7} {,,4,6,5,7,3} 7 7 σ είναι µεταθέσεις του συνόλου Ι 7 Οι αντίστροφες µεταθέσεις των παραπάνω είναι οι: σ = {4,3,,,6,7,5} σ = {,,7,3,5,4,6} Για κάθε µετάθεση σ K η συνάρτηση κρυπτογράφησης ορίζεται ως εξής: f : : ( x,, x ) ( x,, x ), m m σ m σ() σ( m) και η συνάρτηση αποκρυπτογράφησης ορίζεται ως g : : ( x,, x ) ( x,, x ) m m σ m σ () σ ( m) 3

24 Προφανώς, για κάθε ( ) m x ισχύει: g f ( x ) = g ( x,, x ) = ( x,, x ) = ( x,, x ) = x σ σ() σ( m) σ σ σ ( σ()) σ ( σ( m)) To συγκεκριµένο κρυπτοσύστηµα είναι ειδική περίπτωση του κρυπτογραφήµατος του Hll, διότι σε κάθε µετάθεση σ αντιστοιχεί m m πίνακας A :, = σ ( j) A =,, j =,, m 0, σ ( j) Για τον οποίο ισχύει πάντοτε ότι det( A ) = ±, οπότε ο πίνακας είναι πάντα αντιστρέψιµος Στα παραπάνω παραδείγµατα, έχουµε: m σ Α σ = σ Α σ = Κρυπτοσύστηµα αντικατάστασης Eίναι παρόµοιο µε το παραπάνω Οι χώροι P, C είναι το σύνολο Ι = {0,,, -} και ο χώρος των κλειδιών K είναι το σύνολο των µεταθέσεων του συνόλου Ι = {0,,, -} πλήθους! Για κάθε µετάθεση σ K, η συνάρτηση κρυπτογράφησης ορίζεται ως εξής: f : I I : x σ ( x), σ ενώ η συνάρτηση αποκρυπτογράφησης ορίζεται ως εξής: g I I x x σ : : σ ( ) 4

25 Προφανώς, για κάθε x I ισχύει: ( σ ) g f ( x) = g ( ( x)) = ( ( x)) = x σ σ σ σ σ Eάν γνωρίζουµε τουλάχιστον ζεύγη (P, C), το κρυπτοσύστηµα µπορεί να αποκρυπτογραφηθεί 5 Κρυπτογραφία και Θεωρία πλαισίων Θεωρούµε τον ευκλείδιο χώρο: R N {( x,, x ) : N x R } = ως προς το σύνηθες εσωτερικό γινόµενο του N R : N N, : R R R, uv, ukvk ( ) ( ) = k = N Η νόρµα ενός διανύσµατος u R N είναι: u = u, u = u + u + + u N υό διανύσµατα u και v του χώρου R είναι µεταξύ τους κάθετα εάν το εσωτερικό τους γινόµενο είναι µηδέν, εάν δηλαδή uv, = 0 Ένα σύνολο διανυσµάτων { a,, a s} καλείται ορθογώνιο σύνολο, εάν ισχύει a a j, (, j =,, s) j Ένα σύνολο διανυσµάτων { a,, a s} καλείται ορθοκανονικό σύνολο, εάν ισχύει () a a j, (, j =,, s), j () a = =,, s Eνα ορθοκανονικό σύνολο Ν διανυσµάτων του χώρου N ορθοκανονική βάση του χώρου R N R καλείται Έστω ένας πίνακας Α διάστασης m : 5

26 A a a a a a a a a a = m m m Οι γραµµές του παραπάνω πίνακα είναι διανύσµατα της µορφής: (,,, ) a = a a a ενώ οι στήλες του πίνακα Α είναι διανύσµατα της µορφής: a T a a am = Τετραγωνικός είναι ο πίνακας που έχει τον ίδιο αριθµό γραµµών και στηλών Μόνον τετραγωνικοί πίνακες µπορούν να: T είναι συµµετρικοί ( A = A, ο πίνακας Α ισούται µε τον ανάστροφο του), είναι αντιστρέψιµοι ( AA = I, ο πίνακας Α επί τον αντίστροφό του ισούται µε το µοναδιαίο πίνακα), Ενας τετραγωνικός πραγµατικός πίνακας A = a j καλείται ορθογώνιος (ορθοκανονικός), εάν είναι συµµετρικός και αντιστρέψιµος (µε ορίζουσα ) Τότε, οι γραµµές (ή οι στήλες) του πίνακα Α σχηµατίζουν ένα ορθογώνιο (ορθοκανονικό) σύνολο διανυσµάτων T Έστω Α ορθοκανονικός πίνακας και A ο ανάστροφός του, τότε: A = T A, δηλαδή, ο αντίστροφος πίνακας του Α ισούται µε τον ανάστροφό του Η κλάση των τετραγωνικών και ορθογώνιων πινάκων µε στοιχεία ± καλείται κλάση των πινάκων Hadamard 6

27 N Πλαίσιο είναι ένα σύνολο διανυσµάτων του χώρου R τα οποία είναι N ικανά να παράγουν τον R, αλλά ενδεχοµένως είναι αρκετά ώστε να είναι µεταξύ τους γραµµικώς ανεξάρτητα Έτσι, οποιαδήποτε 3 µη παράλληλα ανά δύο διανύσµατα του R, µπορούν να θεωρηθούν πλαίσιο του R Ο αυστηρός ορισµός της έννοιας του πλαισίου δίνεται παρακάτω Υπό µορφή πίνακα, ένα πλαίσιο του χώρου κάθε πίνακας Α διάστασης m N, m N είτε κάθε πίνακας Α διάστασης N m, m N N R µπορεί να θεωρηθεί: Στην η περίπτωση οι m-γραµµές του πίνακα Α και στη η περίπτωση οι N m-στήλες του πίνακα Α αποτελούν ένα πλαίσιο του χώρου R Όταν τα a,, a στην η περίπτωση (ή της µορφής Ν διανύσµατα της µορφής {, m, } {,,, m} a a στη δεύτερη περίπτωση) είναι αµοιβαία ορθογώνια (ορθοκανονικά), τότε το πλαίσιο ονοµάζεται ορθογώνιο (ορθοκανονικό) N Ορισµός 7 Θεωρούµε τον ευκλείδιο διανυσµατικό χώρο R Μία ακολουθία διανυσµάτων {,, N x xm } ( M N) του R καλείται πλαίσιο N (frame) του χώρου R, εάν υπάρχουν θετικές σταθερές 0< A B <+, N έτσι ώστε για κάθε στοιχείο u R να ισχύει: M, = () A u u x B u Η σταθερά Α ονοµάζεται κατώτατο όριο του πλαισίου, ενώ η σταθερά Β καλείται ανώτατο όριο του πλαισίου Αφού το πλαίσιο είναι ακολουθία διανυσµάτων µπορεί να παρασταθεί υπό τη µορφή πίνακα Ν στηλών και Μ γραµµών, δηλαδή έναν M N πίνακα Έστω { x x } ( M N),, M είναι ένα πλαίσιο του χώρου τον ακόλουθο τελεστή: N R, ορίζουµε N N S: R R, u u, x x, M k = ο οποίος αποδεικνύεται ότι είναι αντιστρέψιµος, δηλαδή: 7

28 όπου η ακολουθία { x : k =,, M} δηλαδή: M u = u, x x = u, x x, k k= k k k= k k M καλείται δυϊκή της ακολουθίας x,, = k x, x k = 0, k Ορισµός 8 Εάν ισχύει A = B = στη σχέση (), τότε: M = ux, = u και το πλαίσιο ονοµάζεται Parseval ή αλλιώς σφιχτό (tght) Εάν X είναι ο πίνακας διάστασης M N που αντιστοιχεί στο πλαίσιο (): X x x x N =, xm xm x MN τότε Parseval είναι εκείνο το πλαίσιο του οποίου οι στήλες είναι κάθετες και το µέτρο τους είναι ίσο µε τη µονάδα Προφανώς, εάν ο παραπάνω πίνακας Χ αντιστοιχεί σε ορθοκανονικό N πλαίσιο, υπάρχει πάντα ένας ευκλείδειος χώρος K R, διάστασης Μ- Ν µε ορθοκανονική βάση της µορφής { y,, ym N} τέτοιος έτσι ώστε ο πίνακας X διάστασης M M που σχηµατίζεται ως εξής: X X Y = M N M ( M N) να είναι ορθοκανονικός πίνακας, όπου ο πίνακας Υ ορίζεται ως εξής: Y y y y,( M N) = ym ym y M,( M N) 8

29 ύο πλαίσια { x : =,, M} και { y :,, M} = του χώρου καλούνται ορθογώνια, αν και µόνο αν οι αντίστοιχοι πίνακές τους Χ και Υ ικανοποιούν την: X Y M N N M M M N R = O (3) Η κρυπτογραφία µε χρήση της Θεωρίας πλαισίων συγκαταλέγεται στη συµµετρική κρυπτογραφία Ο χώρος των καθαρών µηνυµάτων είναι ο N χώρος R και ο χώρος των κρυπτογραφηµένων µηνυµάτων είναι ο N χώρος R Ο χώρος των κλειδιών είναι ο χώρος των πινάκων διάστασης N N Η λογική του συγκεκριµένου κρυπτογραφικού αλγορίθµου έχει να κάνει, όσον αφορά τη δηµιουργία του κλειδιού, µε την κατασκευή ενός ζεύγους ορθογωνίων πλαισίων (βλέπε (3)), όπου Μ = Ν,, N m= m m N R που αντιπροσωπεύει το καθαρό µήνυµα που θέλει ο ποµπός να µεταδώσει στον δέκτη, «αναµειγνύουµε» µία δεύτερη ακολουθία {,, N g = g g N } R που δηµιουργείται από µια ψευδο-τυχαία συνάρτηση και αντιπροσωπεύει το θόρυβο, αλλοιώνοντας/κάνοντας πιο περίπλοκο το αποσταλµένο µήνυµα Εναλλακτικά, ο θόρυβος αναφέρεται και σαν «σκουπίδια» (garbage) λόγω της µη ουσιαστικής χρησιµότητας και της παρασιτικής του παρουσίας κατά την αποκωδικοποίηση του µηνύµατος Η γενική λογική συνοψίζεται στα εξής: Το µήνυµα µεταδίδεται µαζί µε το θόρυβο από τη µεριά του ποµπού και υπεισέρχεται από τη µεριά του δέκτη ο διαχωρισµός τους και η εξαγωγή της πληροφορίας Στην ακολουθία { } Αρχικά, έστω { x :,,N} χώρου N R µε πίνακα: = ένα ορθοκανονικό πλαίσιο (Parseval) του X x x x, N = x N, x N, x N,N Σχηµατίζουµε έναν N N πίνακα Χ που αποτελείται από τις πρώτες Ν στήλες του Χ και έναν N N πίνακα Χ που αποτελείται από τις στήλες Ν+,,Ν του πίνακα Χ Αρα: 9

30 Aν m { m m N } { } ( ) X = X X,, N = R αντιπροσωπεύει το καθαρό µήνυµα και,, N g = g g N R το θόρυβο, το κρυπτογράφηµα δηµιουργείται ως εξής: R R : N N f X, c= Xm+ Xg Επειδή ο πίνακας Χ είναι ορθοκανονικός, ο αντίστροφός του ταυτίζεται µε τον ανάστροφό του Έτσι, αν Χ Τ είναι ο ανάστροφος πίνακας του Χ, θα έχουµε: X X X T X X T = T = = οπότε η συνάρτηση αποκρυπτογράφησης ορίζεται ως εξής: X g R R y X x X T N N T :, = Tότε παίρνουµε: ( g T f )( m X ) = g T ( X m + X g ) X X ( ) = X X m+ X g = X X m+ X X g = m T T T T Αρα το κλειδί αποκρυπτογράφησης είναι ο πίνακας X Σ αυτό το σηµείο µπορούµε να κάνουµε τις εξής παρατηρήσεις: Το πλαίσιο µπορεί να µην είναι υποχρεωτικά ορθοκανονικό Parseval αλλά όχι υποχρεωτικά, απλά µε τα ορθοκανονικά πλαίσια δεν χρειάζεται να υπολογίσουµε τον αντίστροφο πίνακα Το µειονέκτηµα είναι ότι τα ορθοκανονικά πλαίσια αποτελούν ένα υποσύνολο όλων των πλαισίων και άρα αυτό περιορίζει την επιλογή των κλειδιών κρυπτογράφησης Γενικά, η επιλογή µη ορθοκανονικών πλαισίων δεν αυξάνει σε ασφάλεια την επιτυχία της µετάδοσης 30

31 ιαδοχική κρυπτογράφηση για το ίδιο µήνυµα, έχει ως αποτέλεσµα δύο διαφορετικά κρυπτογραφήµατα λόγω του θορύβου Εφόσον το καθαρό µήνυµα µπορεί να ανακτηθεί εφαρµόζοντας έναν γραµµικό µετασχηµατισµό, ο αλγόριθµος κρυπτογράφησης µε χρήση πλαισίων είναι ευάλωτος σε επιθέσεις γνωστού αρχικού κειµένου ηλαδή όταν ο επιτιθέµενος γνωρίζει ένα µόνον καθαρό µήνυµα και έχει πρόσβαση στο µηχάνηµα κρυπτογράφησης, µε διαδοχικές κρυπτογραφήσεις µπορεί να υπολογίσει τον πίνακα κλειδί 6 Κρυπτοσύστηµα Vgeere Έστω m Οι χώροι P, C, K των καθαρών µηνυµάτων, των m κρυπτογραφηµένων κειµένων και των κλειδιών είναι ο χώρος Για κάθε κλειδί k K, η συνάρτηση κρυπτογράφησης ορίζεται ως εξής: f : : ( x,, x ) ( x + k,, x + k ) m m k m m m και η συνάρτηση αποκρυπτογράφησης ορίζεται ως εξής: g : : ( x,, x ) ( x k,, x k ) m m k m m m Είναι κρυπταλγόριθµος τµήµατος, δηλαδή χωρίζει κείµενο µήκους σε κοµµάτια µήκους m, καθένα από τα οποία κρυπτογραφείται µε την παραπάνω συνάρτηση f k Για παράδειγµα, έστω το αλφάβητο αγγλικό όπου A 0,, Z 6, κενό 7 οπότε = 7 Έστω m = 4 και k = (4,3,0,5) Έστω ότι θέλουµε να στείλουµε το µήνυµα STRIKEATEVENING που περιέχει 5 χαρακτήρες Προσθέτουµε το κενό και χωρίζουµε το µήνυµα σε 4 τετράδες και θεωρούµε τις αντίστοιχες κλάσεις 7 Η κρυπτανάλυση ενός τέτοιου κρυπτογραφηµένου µυνήµατος βασίζεται: 3

32 στο κριτήριο Kassk: ίδια κοµµάτια µηνύµατος που απέχουν d θέσεις d 0modm δίνουν ίδια κοµµάτια κρυπτογραφηµένου µηνύµατος Έτσι, αναζητούµε ίδια κοµµάτια µήκους 3 και καταγράφουµε την απόσταση των θέσεων εµφάνισης του πρώτου γράµµατος τους Αν d,, d r τέτοιες αποστάσεις, τότε ΜΚ ( d,, d r )/m στο κριτήριο Fredma Αν f0,, f 5 είναι οι συχνότητες εµφάνισης των γραµµάτων Α,,Ζ, τότε 007N m, ( N ) I ( y) 0038N c I ( y) c 5 f( f ) N( N ) = 0 7 Τέλεια ασφάλεια - Κρυπτοσύστηµα Veram Έστω P είναι o χώρος των καθαρών µηνυµάτων, C ο χώρος των κρυπτογραφηµένων µηνυµάτων, Κ ο χώρος των κλειδιών και fk : P C k K είναι η συνάρτηση κρυπτογράφησης Θεωρούµε µία κατανοµή πιθανότητας επί του P: P( p), p P και µία κατανοµή πιθανότητας επί του Κ: P( k ), k K και ορίζουµε µία κατανοµή πιθανότητας επί του P Kως εξής: P( p, k) = P( p) P( k) οθέντος ζεύγους ( pk,) P K ορίζουµε το σύνολο {( λ ) λ k } K ( pk, ) = p, P K: f ( p) = f( p) και στη συνέχεια ορίζουµε µία νέα κατανοµή πιθανότητας επί του P K ως εξής: P( p, k) P ( p, k) = P( p, λ) ( p, λ ) K ( p, k) Αν υποθέσουµε ότι fk ( p) = c C, τότε η P ( p, k) δηλώνει την πιθανότητα εµφάνισης του κρυπτογραφήµατος c µε χρήση κλειδιού k, σε σχέση µε το σύνολο των εµφανίσεων του c µε χρήση όλων των κλειδιών λ για τα οποία ισχύει fλ ( p) = c 3

33 Ορισµός (Shao): To κρυπτογράφηµα έχει τέλεια ασφάλεια, εάν ( p, c) P C ισχύει: P( p) = P ( p, k) k K ( p, k) δηλαδή η παρατήρηση ενός κρυπτογραφηµένου µηνύµατος να µη δίνει στον κρυπταναλυτή καµιά πληροφορία σχετικά µε το κείµενο από το οποίο προέκυψε Θεώρηµα Έστω P = C = K και P( p ) > 0 p P Ένα κρυπτοσύστηµα έχει τέλεια ασφάλεια, αν και µόνο αν Pk ( ) = K k K και για κάθε ( p, c) P C υπάρχει ένα µόνον k K τέτοιο ώστε fk() p = c Παράδειγµα Έστω P= {0,}, C = { a, b} Υποθέτουµε ότι K = { AB, } και P(0) = /4, P() = 3/4, P( A) = /4, P( B) = 3/4 Τότε: P(0, A) = P(0) P( A) = /6, P(, A) = P() P( A) = 3/6, P(0, B) P(0) P( B) 3/6 P(, B) = P() P( B) = 9 /6 = =, Έστω ότι f (0) = a, f () = b και f (0) = b, f () = a, τότε: A A B P(0, A) /6 P (0, A) = = = /0 P(0, A) + P(, B) /6+ 9/6, P(, A) 3/6 P (, A) = = = / P(, A) + P(0, B) 3/6+ 3/6, P(0, B) 3/6 P (0, B) = = = / P(0, B) + P(, A) 3/6+ 3/6, P(, B) 9 /6 P (, B) = = = 9 /0 P(, B) + P(0, A) 9/6+ /6 B 33

34 Επειδή P (0, A ) = /0 /4, P (0, B ) = / / 4 κλπ δεν έχουµε τέλεια ασφάλεια Εφαρµογή: (Κρυπτοσύστηµα Veram) m Έστω P = C = K είναι ο χώρος των κλάσεων υπολοίπων, ορίζουµε τη συνάρτηση κρυπτογράφησης ως εξής: f :, ( x, x,, x ) ( x + k, x + k,, x + k ) m m k m m m Τότε, η συνάρτηση αποκρυπτογράφησης συµπίπτει µε αυτή της κρυπτογράφησης Πράγµατι ( p, c) P C έχουµε: p + k = c p= c k ( c+ k)mod άρα υπάρχει µοναδικό k K: fk ( p) = c Το παραπάνω καλείται κρυπτοσύστηµα του Veram Εάν η πιθανότητα εµφάνισης k K είναι / m, τότε θεωρητικά το παραπάνω κρυπτοσύστηµα έχει τέλεια ασφάλεια Μειονέκτηµα: Αν γνωρίζουµε ένα µόνον ζεύγος (p, c) µπορούµε άµεσα να υπολογίσουµε το κλειδί k Για να αναιρέσουµε το παραπάνω µειονέκτηµα, για κάθε µήνυµα επιλέγεται καινούργιο κλειδί, αλλά αυτό δεν είναι πρακτικό, διότι κάθε φορά πριν την επικοινωνία θα πρέπει να ανταλλάσσεται το κλειδί Μια λύση του παραπάνω προβλήµατος είναι η χρήση κλειδιών που προέρχονται από ακολουθίες στοιχείων του που ορίζονται από λίγες παραµέτρους Έτσι χρειάζεται να σταλούν µόνον οι παράµετροι, αλλά τότε δεν έχουµε τέλεια ασφάλεια Το ερώτηµα είναι: πως δηµιουργούµε τέτοιες ακολουθίες; Η απάντηση δίνεται µε τα λεγόµενα γραµµικά συστήµατα καταγραφής µετατόπισης µε ανάδραση Ένα τέτοιο σύστηµα αποτελείται από καταγραφείς R0, R,, R µε Έστω X () t είναι το περιεχόµενο του καταγραφέα τιµές { 0, } και έστω R 34

35 ( ) x( t) = X ( t), X ( t),, X ( t) 0 η κατάσταση του συστήµατος τη χρονική στιγµή t Αρχικά δίνεται η κατάσταση: ( ) x(0) = X (0), X (0),, X (0) 0 όπου όλα τα X (0) δεν είναι µηδέν Το σύστηµα καθορίζεται από τις εξισώσεις: X( t+ ) = X+ ( t), 0 X() t = c0x0() t + cx() t + + c X () t όπου c Προφανώς το σύστηµα αυτό καθορίζεται πλήρως από την κατάσταση x(0) και τους συντελεστές c0, c,, c Αν θεωρήσουµε την ακολουθία εξόδου ως s = X0 ( ), = 0,,,, τότε: s = X ( + ) = X ( + ) = = X ( + ) + 0 = cx() + cx() + + c X () 0 0 oπότε: s = cs+ cs + + c s Αποδεικνύεται ότι µια τέτοια ακολουθία είναι περιοδική µε περίοδο και τέτοιες ακολουθίες χαρακτηρίζονται πλήρως από το χαρακτηριστικό τους πολυώνυµο: P( T) = T + ct + + c T + αφού αποδεικνύεται ότι: { : 0,, } T s = ακολουθία ανάδρασης P( T ) ανάγωγο και δεν διαιρεί το d +, d < 35

36 Έστω λοιπόν s ακολουθία που παράγεται από -καταγραφείς και σταθερές c0, c,, c Έστω µήνυµα x = ( x0, x,, xk ) που κρυπτογραφείται µε το σύστηµα Veram µε την χρήση των k πρώτων διαδοχικών όρων s0, s,, sk, τότε: y = x + s, = 0,,, k () Έστω k και τα x, y είναι γνωστά Τότε υπολογίζουµε τους k πρώτους όρους της ακολουθίας s από τη () και στη συνέχεια θεωρούµε το σύστηµα s0 s s s s s ( s, s,, s ) ( c0, c,, c ) + = s s s Αποδεικνύεται ότι ο πίνακας του παραπάνω συστήµατος είναι αντιστρέψιµος οπότε λύνοντας το παραπάνω υπολογίζουµε τους άγνωστους συντελεστές ( c0, c,, c ) Συνεπώς, το κρυπτοσύστηµα Veram είναι ευάλωτο στην προσβολή καθαρού κειµένου, έστω και µε τη χρήση γραµµικού συστήµατος καταγραφής µε ανάδραση Θεωρούµε την - αντιστοιχία: AΣΚΗΣΕΙΣ { AB,,, Ω} : A 0, B,, Ω 3, 4 να κρυπτογραφηθεί και να αποκρυπτογραφηθεί το κείµενο ΠΑΩΤΩΡΑ µε το κρυπτοσύστηµα µετατόπισης χρησιµοποιώντας το κλειδί k = 4 Θεωρούµε την - αντιστοιχία: { AB,,, Ω,_ } : A 0, B,, Ω 3, _ 4, 5 να κρυπτογραφηθεί και να αποκρυπτογραφηθεί το κείµενο ΧΤΥΠΑ _ΤΩΡΑ µε το oµοπαραλληλικό κρυπτοσύστηµα χρησιµοποιώντας το κλειδί e = (9,3) 36

37 4 3 Έστω A=, να κρυπτογραφηθεί και να αποκρυπτογραφηθεί το 5 3 κείµενο ΦΥΓΕ_ΤΩΡΑ µε το κρυπτοσύστηµα Ηll χρησιµοποιώντας την αντιστοιχία: { AB,,, Ω,_ } : A 0, B,, Ω 3, _

38 KΕΦΑΛΑΙΟ 3 ΑΣΥΜΜΕΤΡΗ ΚΡΥΠΤΟΓΡΑΦΙΑ Το Κρυπτοσύστηµα RSA Η ιδέα της κρυπτογραφίας δηµοσίου κλειδιού παρουσιάσθηκε για πρώτη φορά το 976 από τους Dffe και Hellma Ένα χρόνο αργότερα, οι R L Rvest, A Shamr και L Adlema εφηύραν το κρυπτοσύστηµα δηµοσίου κλειδιού RSA, το οποίο βασίζεται στη δυσκολία παραγοντοποίησης µεγάλων ακεραίων Έστω p, q > είναι δύο διαφορετικοί πρώτοι αριθµοί και = p q Ο χώρος Ρ των καθαρών µηνυµάτων και ο χώρος C των κρυπτογραφηµένων µηνυµάτων είναι ο χώρος Ο χώρος Κ των κλειδιών είναι η πολ/κή οµάδα K = * φ ( ) Το σύνολο των συναρτήσεων κρυπτογράφησης είναι της µορφής: f :, x x e, e K, e και το σύνολο των συναρτήσεων αποκρυπτογράφησης είναι της µορφής: d g :, x x, d όπου ed mod φ( ) Προφανώς: Eστω ( ) d de mod φ( ) + kφ( ) ( e( )) g f x = x = x = x = + kφ ( x ) mod x, =, 0< x<, τότε από το Θεώρηµα του Euler έχουµε: x φ ( ) mod, άρα: kφ( ) kφ( ) k ( ) x j x x x xj x + φ xmod = + = + 38

39 Eστω ( x, ), 0 x Αν x = lp, τότε θα πρέπει ( ) < <, εφόσον = pq θα πρέπει x = lp ή x = lq xq, =, διότι αλλιώς θα πρέπει x = jq, δηλαδή x = mpq, m > (άτοπο διότι εξ υποθέσεως 0< x < = pq) Αρα: (, ) φ xq = ( ) ( p ) φ( q) φ( q) φ( ) x modq x mod q x mod q = + = + = + = + φ( ) φ( ) ( ) x kq x x x xkq x lkpq x + φ x lk +φ ( ) x xmod ( ) Tελικά: d e( ) k g f x = xmod mod = xmod = x Το ζεύγος (, e) καλείται δηµόσιο κλειδί του κρυπτοσυστήµατος και δηµοσιοποιείται, ενώ ο φυσικός d καλείται ιδιωτικό κλειδί και κρατείται µυστικός Η σχέση µεταξύ τους είναι ed mod( ϕ( )) Παράδειγµα : Έστω ότι ο Α διαλέγει τους πρώτους αριθµούς p = και q = 3 Τότε, = 3=53 και ϕ( ) = 53 3 =0 Εστω e = 3, τότε, χρησιµοποιώντας τον Ευκλείδειο αλγόριθµο, υπολογίζουµε το ιδιωτικό κλειδί αποκρυπτογράφησης: 0 = = , άρα: d = 73 = 47 mod 0 d = 47 Ας υποθέσουµε ότι ο Β θέλει να στείλει το µήνυµα x = 63 (mod53), τότε χρησιµοποιεί τη συνάρτηση κρυπτογράφησης x x x e 3 3 = = 63 = mod(53), άρα c = 83 Τότε ο Α αποκρυπτογραφεί κάνοντας τον υπολογισµό: 39

40 d 47 c = 83 63mod 53 Παρατήρηση: O υπολογισµός µεγάλων δυνάµεων όπως πχ η παραπάνω 47 ποσότητα 83 mod 53 γίνεται µε κανόνες της modular εκθετοποίησης 47 Θα περιγράψουµε τον υπολογισµό του 83 mod 53: Aρχικά υπολογίζουµε τη δυαδική αναπαράσταση του αριθµού 47: 47 = ( 0000) Στη συνέχεια υπολογίζουµε δυνάµεις του 83 της µορφής r, r N, όπου Ν είναι το πλήθος των δυαδικών ψηφίων του 47: 83 mod 53 = 83, 83 mod 53 = 58, 4 83 mod mod mod ( ) ( ) = = =, mod mod mod ( ) = = =, mod mod mod 53 9 ( ) = = =, mod mod 53 9 mod ( ) = = =, mod mod mod ( ) = = =, mod mod mod 53 4 Τέλος υπολογίζουµε: = = = mod 53 = mod 53 = mod 53 = 63 Παράδειγµα : Έστω p = 8, q = 67, τότε = 8 67 = 4697 και εργαζόµενοι όπως προηγουµένως υπολογίζουµε ότι ϕ ( ) = Έστω e =, τότε µε χρήση του Ευκλείδιου αλγορίθµου υπολογίζουµε ότι d = 40

41 845 Έστω ότι ο Β επιθυµεί να στείλει το µήνυµα ΣΗΜΕΡΑ µε τη συνήθη αντιστοιχία A 0,,Ω 3 Εφόσον = 4697 και το µήκος του αλφαβήτου είναι N = 4, υπολογίζoυµε την ποσότητα k [ ] [ ] [ ] = log = log 4697 = = 3 N 4 Στη συνέχεια χωρίζουµε το µήνυµα σε k-άδες δηλαδή στην προκειµένη περίπτωση σε 3-άδες τις ακόλουθες: ΣΗΜ και ΕΡΑ Στη συνέχεια µετατρέπουµε κάθε τριάδα σε αριθµητική ακολουθία µε τη συνήθη αντιστοιχία: " ΣΗΜ" {7,6,} " ΕΡΑ " {4,6,0} Κάθε µία από τις δύο ακολουθίες που προκύπτουν τις µετατρέπουµε σε έναν αριθµό στο Ν-αδικό (στην προκειµένη περίπτωση στο 4-αδικό) σύστηµα αρίθµησης ως εξής: + + = a = + + = b = 0 {7,6,} {4,6,0} Στην συνέχεια κωδικοποιούµε τους α και b ως εξής: a mod = A = 898mod 4697 b mod = B = 5833mod 4697 Στη συνέχεια γράφουµε τους A και B στο 4αδικό σύστηµα αρίθµησης και προκύπτει { } { } 898 0,3,,7 " A ΓΘ" 5833,0,0,9 " ΒΦΦΚ" οπότε το κρυπτογραφηµένο µήνυµα είναι το c = Α ΓΘΒΦΦΚ Ο δέκτης χωρίζει το µήνυµα ανά 4-άδες, κωδικοποιεί µε 4αδική γραφή και αποκωδικοποιεί µε χρήση του d 4

42 Παρατηρήσεις: Εφόσον ed = + l( p )( q ), o υπολογισµός του ιδιωτικού κλειδιού d, από το ζεύγος (, e) ισοδυναµεί µε την εύρεση των πρώτων παραγόντων p, q Με τη σειρά της, η εύρεση της παραγοντοποίησης του ισοδυναµεί µε την εύρεση της τιµής φ() Εάν γνωρίζουµε την τιµή φ(), τότε ϕ ( ) = ( p )( q ), άρα: = pq και p + q = + - φ(), οπότε τα p, q είναι λύσεις της εξίσωσης: x ϕ x ( + ( )) + = 0 Αντιστρόφως, εάν γνωρίζουµε το ιδιωτικό κλειδί d, τότε µπορούµε να υπολογίσουµε τους πρώτους παράγοντες p, q του ως εξής: και Αποδεικνύεται ότι : θέτουµε s = max{ : /( ed )} ed k = () s Θεώρηµα Για κάθε ζεύγος πρώτων µεταξύ τους φυσικών αριθµών a, k k τέτοιων ώστε ord p( a ) ordq( a ), ( = pq), όπου το k δίνεται στη σχέση () ισχύει r k gcd(, ) a = q ή p, όταν r < s Eπιπλέον υπάρχουν τουλάχιστον ( p )( q )/ τέτοιοι φυσικοί αριθµοί α στο διάστηµα [, ] Συνεπώς, η πιθανότητα να επιλέξουµε έναν τέτοιο αριθµό µετά από r επαναλήψεις είναι τουλάχιστον r Αλγόριθµος παραγοντοποίησης του δοθέντος ιδιωτικού κλειδιού d: Επιλέγουµε τυχαίο a [, ] 4

43 ορίζουµε k όπως στην () Υπολογίζουµε: gcd( r k a, ) για r < s Αν gcd( r k a, ) = r < s, επιλέγουµε άλλο α, αλλιώς αν :gcd( r k r a, ) >, τότε gcd( r k a, ) = p 0 Εφόσον η ασφάλεια του RSA βασίζεται στη δυσκολία παραγοντοποίησης του, ο ακέραιος και κατά συνεπεία οι παράγοντες του p και q θα πρέπει να πληρούν µερικούς περιορισµούς ώστε η παραγοντοποίηση του να είναι πολύ δύσκολη Πρέπει να διαλέγουµε πρώτους αριθµούς µε το ίδιο µήκος περίπου, το οποίο να είναι µεγαλύτερο από το 5 και να µην είναι κάποιας ειδικής µορφής Ένας τρόπος κατασκευής τέτοιων πρώτων είναι µε χρήση αλγορίθµων που παράγουν ακολουθίες δυαδικών ψηφίων ώστε οι πιθανότητες εµφάνισης του 0 και σε κάθε θέση να είναι περίπου ίδιες Αυτοί οι αλγόριθµοι καλούνται γεννήτορες ψευδοτυχαίων αριθµών Ένα τέτοιο παράδειγµα είναι τα γραµµικά συστήµατα καταγραφής µετατόπισης µε ανάδραση Για να βρούµε έναν τυχαίο πρώτο µήκους k, θεωρούµε έναν γεννήτορα ψευδοτυχαίων αριθµών και παράγουµε µια ακολουθία k στοιχείων a,, ak {0,} Ο ακέραιος k a = + a + + a + k k είναι περιττός και το µήκος του ισούται µε k Κατόπιν εφαρµόζουµε κάποιο κριτήριο πιστοποίησης πρώτου για να διαπιστώσουµε αν ο a είναι πρώτος Αν όχι θεωρούµε µια άλλη ακολουθία ψηφίων κλπ µέχρι να βρούµε έναν πρώτο Κάθε δυο µέλη µιας οµάδας χρηστών του RSA πρέπει να έχουν διαφορετικό ακέραιο στα δηµόσια κλειδιά τους Πράγµατι αν ( A, ea), ( B, e B) είναι τα δηµόσια κλειδιά τους και αν A = B =, τότε ο καθένας τους µπορεί µε χρήση του ιδιωτικού κλειδιού του, να παραγοντοποιήσει το και συνεπώς να υπολογίσει το ιδιωτικό κλειδί του άλλου Αν επιπλέον υποθέσουµε ( e, e ) =, τότε x, y : A B xe A + ye =, B οπότε εάν κάποιος τρίτος χρήστης στέλνει το ίδιο µήνυµα στους Α, Β υπάρχουν ακέραιοι 0 c, c < ώστε: A B 43

44 ea ca = m mod e, B c = m mod B άρα: x y xea+ yeb c c m mod mmod, A B άρα οποιοσδήποτε έχει στην κατοχή του τα κρυπτογραφηµένα κείµενα c, c µπορεί να βρει το m A B 3 Είναι ασφαλέστερο να αποφεύγεται η χρήση µικρών κλειδιών κρυπτογράφησης Για παράδειγµα, αν υποθέσουµε ότι ένα µήνυµα m κρυπτογραφείται e-φορές µε την χρήση δηµοσιών κλειδιών (, e ) και c είναι τα αντίστοιχα κρυπτογραφήµατα τότε έχουµε: e c m mod( ) Αν (, j) =, j τότε από το Θεώρηµα Υπολοίπων του Κινέζου / e υπάρχει µοναδική λύση mod( e), άρα: m= c 4 Θεωρείται ασφαλέστερο ένα κλειδί αποκρυπτογράφησης που η τιµή του είναι µεγαλύτερη της 4 /3 5 Έστω (, e) δηµόσιο κλειδί RSA Εφόσον (e, φ()) =, έχουµε: άρα: k k : e mod ϕ( ), k η τάξη του e, k e e e c m mod ϕ( ) c m mmod, k εποµένως εάν κάποιος γνωρίζει το c χωρίς να ξέρει το κλειδί αποκρυπτογράφησης, υπολογίζει τις ποσότητες e e c mod, c mod, u e e µέχρι να βρεθεί u ώστε c cmod Τότε m c mod Πρακτικά αυτό χρησιµοποιείται µόνον στην περίπτωση που ο u είναι µικρός u 44

45 Το Κρυπτοσύστηµα Rab Προτάθηκε το 979 από τον MO Rab και η ασφάλεια του έγκειται επίσης στη δυσκοίλια παραγοντοποίησης µεγάλων ακεραίων Έστω p, q > διαφορετικοί πρώτοι και = p q Ορίζουµε: Το σύνολο x y x = y mod, x, y P = { x: x y; y, x }, είναι το σύνολο των καθαρών µηνυµάτων και το σύνολο C x x P = { / }, είναι το σύνολο των κρυπτογραφηµένων µηνυµάτων Η συνάρτηση f : P C, x x, είναι η συνάρτηση κρυπτογράφησης και η συνάρτηση g: C P, x x είναι η συνάρτηση αποκρυπτογράφησης Ο ακέραιος αριθµός είναι το δηµόσιο κλειδί και το ζεύγος (p, q) είναι το ιδιωτικό κλειδί Έστω το µήνυµα m, τότε δηµιουργείται το κρυπτογράφηµα c m = Για την αποκρυπτογράφηση πρέπει να υπολογίσουµε τις τετραγωνικές ρίζες του mod c Πρώτα υπολογίζουµε τις ρίζες του cmod p, cmod q Για σχετικά µικρό p, q (p, q πρώτοι) υπολογίζουµε εύκολα το σύνολο C = { x : x }, από όπου προκύπτει ότι x ± m mod p, x ± m mod q p q 45

46 Στη συνέχεια από τον Ευκλείδειο αλγόριθµο, λ, µ : λ p + µ q = Θέτουµε: x λ p m µ q m w= λ p m µ q m, = q + p και q p οπότε: και και οι λύσεις της x m mod p και x m mod q, p w m mod p και w m mod q, p x cmod είναι οι ± x, ± wmod q q ΠΑΡΑ ΕΙΓΜΑ: Έστω = 77 Αν m = 7 να κρυπτογραφηθεί και να αποκρυπτογραφηθεί µε την µέθοδο Rab το m Απάντηση: Eχουµε: = 77 = 7 p = 7, q = Σχηµατίζουµε τους πίνακες x mod px, mod q: x Z x x Z x άρα: C = {,,4}, C = {,3,4,5,9} 7 Έχουµε λοιπόν: m άρα c = 58 Επειδή: m από τον ο πίνακα παίρνουµε = 7 = 89mod 77 = 58mod 77, c mod7= 58mod7= mod7, 46

47 x mod7 3mod7 3mod7 x=± m p ± Οµοίως: c mod = 58 mod = 3mod, και και από τον ο πίνακα παίρνουµε: x x m q 3mod 5mod ± 5mod Aπό τον αλγόριθµο του Ευκλείδη έχουµε: δηλαδή: = = = 3 +, = 4 3 = 4 (7 4) = = 7 + ( 7) = 3 7 oπότε: 37 = Θέτουµε: οπότε οι λύσεις είναι: x =± 39mod 77, x = = 39, w = = 7 ± 7mod77 = ± 39mod 77, ± 7 mod 77 Το γεγονός ότι βρίσκουµε εν γένει 4 λύσεις είναι ένα µειονέκτηµα το οποίο ξεπερνιέται συνήθως µε την παράθεση στην αρχή ή στο τέλος όµοιων συµβόλων ΠΑΡΑΤΗΡΗΣΗ: Γενικά, για τον υπολογισµό των τετραγωνικών υπολοίπων modp χρησιµοποιούµε τον αλγόριθµο Shaks: ή p πρώτος p = S t, t περιττός ακέραιος t Έστω a µη τετραγωνικό υπόλοιπο και z = a t ( t+ )/ Θέτουµε ( b0, x0, y0, r0) = ( c, c, z, s ), όπου c είναι το κρυπτογράφηµα Για κάθε = 0,,, s θέτουµε: b+ x + y + r+ = b x y r εάν b (,,, ) (,,, ) r (mod p), 47

48 b+ x + y + r+ = b y x y y r εάν (,,, ) (,,, ) b r (mod p) Οι τετραγωνικές ρίζες του c(modp) δίνονται από τους ακεραίους ± xs Για την αποκρυπτογράφηση ενός κρυπτοσυστήµατος Rab πρέπει να υπολογίσουµε τις τετραγωνικές ρίζες του cmod Αν γνωρίζουµε το ιδιωτικό κλειδί, αυτό είναι σχετικά εύκολο Αν όµως δεν γνωρίζουµε την παραγοντοποίηση του, τότε το πρόβληµα της εύρεσης µιας τετραγωνικής ρίζας του cmod είναι τόσο δύσκολο όσο η παραγοντοποίηση του Πιστοποίηση πρώτου Στα κρυπτοσυστήµατα RSA και Rab χρησιµοποιούνται µεγάλοι πρώτοι που επιλέγονται τυχαία Αυτό γίνεται κατασκευάζοντας περιττούς θετικούς, οι οποίοι ελέγχονται στην συνέχεια για να διαπιστωθεί εάν είναι πρώτοι Η πιο απλή αλλά και χρονοβόρα µέθοδος βασίζεται στην ακόλουθη: Πρόταση : Αν ο είναι σύνθετος ακέραιος, τότε έχει έναν τουλάχιστο πρώτο διαιρέτη p µε p ηλαδή, για να διαπιστώσουµε εάν ο είναι πρώτος, δοκιµάζουµε αν διαιρείται µε όλους τους πρώτους p Αυτή η µέθοδος καλείται µέθοδος διαδοχικών διαιρέσεων Λαµβάνοντας υπόψη ότι οι πρώτοι που 75 χρησιµοποιούνται στο RSA είναι > 0 για την µέθοδο αυτήν χρειαζό- O διαιρέσεις, άρα ο χρόνος είναι ( l( )) µαστε ( /l( )) O και 75 συνεπώς για > 0 είναι εκθετικός Το 00 οι Agrawal, Kayal και Saxea δηµοσιοποίησαν έναν αλγόριθµο πιστοποίησης πρώτου σε πολυωνυµικό χρόνο Πρόταση (Lucas) Έστω > είναι περιττός θετικός, τότε ο είναι πρώτος αν και µόνον αν υπάρχει a:( a, ) = τέτοιος ώστε: a = mod και a ( )/ p mod για κάθε πρώτο διαιρέτη p του - Παράδειγµα Έστω 3 = Θεωρούµε a =, τότε: 48

49 =, mod =,, ( )/ mod, ( ) /0 mod άρα ο είναι πρώτος Ο χρόνος για τον υπολογισµό του a 3 mod O log( ) O(log( )) όσο το πλήθος των πρώτων p, άρα o συνολικός χρόνος 4 υπολογισµού είναι O(log( ) ) Κριτήριο Fermat: Εφόσον a, εάν βρεθεί a τέτοιος ώστε: p είναι ( ) p = mod όταν p είναι πρώτος (a, p) = a mod τότε ο είναι σύνθετος Εάν συµβεί a = mod, δεν µπορούµε να αποφανθούµε εάν ο είναι πρώτος ή σύνθετος Παραγοντοποίηση ακεραίων Η παλαιότερη µέθοδος για την παραγοντοποίηση ακεραίου είναι η µέθοδος των διαδοχικών διαιρέσεων Αν ο είναι θετικός ακέραιος, βρίσκουµε (εάν υπάρχει) έναν πρώτο παράγοντα αυτού p, οπότε p = p Στη συνέχεια βρίσκουµε έναν πρώτο παράγοντα p του κλπ Εάν όµως ο είναι πολύ µεγάλος, η µέθοδος δεν είναι αποτελεσµατική Θα αναφέρουµε ενδεικτικά έναν αλγόριθµο παραγοντοποίησης, γνωστό µε την ονοµασία µέθοδος Mote Carlo Έστω σύνθετος περιττός που θέλουµε να παραγοντοποιήσουµε Επιλέγουµε x0 {0,,, }, f( X) [ X] και ορίζουµε ακολουθία ακεραίων x {0,,, }, = 0,,: x f( x )mod Υπολογίζουµε τους µέγιστους κοινούς διαιρέτες d = ( x x, ), = 0,, 49

50 µέχρι να βρούµε δείκτη k : < dk < Ο d k είναι ένας µη τετριµµένος παράγοντας του Εάν τέτοιος δείκτης δεν είναι δυνατόν να προσδιορισθεί επαναλαµβάνουµε τη διαδικασία παίρνοντας άλλη τιµή για το x0 ή άλλο πολυώνυµο f ( x ) Παρατήρηση: Eστω p είναι ένας πρώτος διαιρέτης του Υπό την προϋπόθεση ότι η ακολουθία { d, d, } έχει τυχαία συµπεριφορά, τότε εάν ο αλγόριθµος Μοte Carlo επαναληφθεί log k φορές, τότε η πιθανότητα να ευρεθεί ένας πρώτος διαιρέτης p του αριθµού είναι µεγαλύτερη του 05 Κρυπτοσύστηµα ElGamal Η δυσκολία του κρυπτοσυστήµατος αυτού βασίζεται στο πρόβληµα εύρεσης διακριτού λογαρίθµου Η εύρεση του διακριτού λογαρίθµου θεωρείται δύσκολο πρόβληµα και δεν υπάρχει αλγόριθµος πολυωνυµικού χρόνου επίλυσης του Η πιο απλή µέθοδος υπολογισµού του είναι η µέθοδος απαρίθµησης, δηλαδή ο υπολογισµός όλων των δυνάµεων x 030 gg,,,: a = g, πχ 3 5 mod(07) log5 3 = 030, άρα χρειαζό- µαστε 09 πολ/σµους mod(07) Έστω p πρώτος και G είναι το σύνολο των αρχικών ριζών gmodp Ο * χώρος των καθαρών µηνυµάτων είναι η πολ/κη οµάδα p και ο χώρος * * των κρυπτογραφηµένων κειµένων είναι η οµάδα p p Ο χώρος των κλειδιών Κ είναι το σύνολο G Σ Σ όπου Σ = {,,, p } Για κάθε κλειδί k = (g, y, z) η συνάρτηση κρυπτογράφησης είναι: z z E : P C, m ( g, y m) και η συνάρτηση αποκρυπτογράφησης είναι η: k p d Dl : C P, ( u, v) u v, 50

51 όπου l = (g, d, z), και d = log g y Τότε: z z z p d z ( ) d p = = ( ) =( ) D ( f ) D( g, y m) g g m l k l z g m mmod p Η τριάδα (p, g, y) είναι το δηµόσιο κλειδί του κρυπτοσυστήµατος και δηµοσιοποιείται, ενώ ο διακριτός λογάριθµος d του y ως προς την βάση g είναι το ιδιωτικό κλειδί και κρατείται µυστικό Παρατήρηση: Oλα τα κλειδιά της µορφής l = (g, d, ), l = (g, d, ),, l = (g, d, p-) αποκρυπτογραφούν το ίδιο κρυπτογράφηµα c ηλαδή, η µεταβλητή z στο κλειδί είναι µία παράµετρος, η αλλαγή της οποίας προκαλεί διαφορετικό κρυπτογράφηµα για το ίδιο µήνυµα m Aυτό είναι ένα πλεονέκτηµα του κρυπτοσυστήµατος ElGamal Από την άλλη µεριά το κρυπτογράφηµα έχει µήκος διπλάσιο του αρχικού, το οποίο είναι ένα µειονέκτηµα της µεθόδου αυτής Παράδειγµα: Έστω ο Α επιλέγει τον πρώτο p = και την αρχική ρίζα 7 g = αυτού Επιλέγει d = 7 και υπολογίζει y = = 8 7 mod, άρα το δηµόσιο κλειδί είναι το (,,7) Έστω ότι ο Α στέλνει το µήνυµα m = 0, τότε για z = 3 τυχαίο g y m = άρα c = (8, 9) z z 3 3 (, ) (,7 0) (8,3430) 9mod Για την αποκρυπτογράφηση έχουµε: p d mod = = Για τον υπολογισµό του διακριτού λογαρίθµου υπάρχουν αλγόριθµοι εκθετικού και υποεκθετικού χρόνου Αναφέρουµε ενδεικτικά: (a) αλγόριθµος Shaks: Έστω g αρχική ρίζα οµάδας G τάξης οθέντος y G θέλουµε να x υπολογίσουµε x G: y = g Έστω < q < φυσικός Τότε x = q + j, 0 j < q, άρα: x q+ j j q y= g = g yg = g Η εξίσωση αυτή, δεδοµένου του γεγονότος ότι (, j) µοναδικό ζεύγος υποδεικνύει τον αλγόριθµο: 5