ΠΟΛΥΩΝΥΜΙΚΗ ΠΑΡΕΜΒΟΛΗ ΚΡΥΠΤΟΓΡΑΦΙΚΩΝ ΣΥΝΑΡΤΗΣΕΩΝ. Γ. Κ. Μελετίου

Transcript

1 ΠΟΛΥΩΝΥΜΙΚΗ ΠΑΡΕΜΒΟΛΗ ΚΡΥΠΤΟΓΡΑΦΙΚΩΝ ΣΥΝΑΡΤΗΣΕΩΝ Γ. Κ. Μελετίου

2 Δομή παρουσίασης (1) (A) Κρυπτογραφικές συναρτήσεις και πολυωνυμική παρεμβολή Οι συναρτήσεις του Διακριτού Λογαρίθμου και Diffie Hellman και οι εφαρμογές τους στην Κρυπτογραφία. Χρήση παρεμβολής κατά Lagrange για τον υπολογισμό τους. 2

3 Δομή παρουσίασης (2) (B) Παρεμβολή με ακριβείς (exact) τύπους. Εύρεση πολυωνύμων που αναπαριστούν τις κρυπτογραφικές συναρτήσεις πάνω σε όλο το πεπερασμένο σώμα (στο πεδίο ορισμού). Προσδιορισμός ακριβών τύπων (exact formula). Χρήση πινάκων. Χρήση διακριτών μετασχηματισμών Fourier. (C) Παρεμβολή σε υποσύνολα (sets of given data)- προσδιορισμός κατωτέρων φραγμάτων (Lower Bounds). 3

4 Δομή παρουσίασης (3) (D) Η συνάρτηση του ιπλού ιακριτού Λογαρίθμου. Η συνάρτηση του Διπλού Διακριτού Λογαρίθμου και οι εφαρμογές της. Εύρεση κατωτέρων ορίων. r Η περίπτωση F,q= p. q Η περίπτωση ομάδων που προέρχονται από ελλειπτικές καμπύλες. (E) Η συνάρτηση της ρίζας του ιακριτού Λογαρίθμου. Η συνάρτηση της ρίζας του Διακριτού Λογαρίθμου και οι εφαρμογές της. Χρήση παρεμβολής για τον υπολογισμό και εύρεση κατωτέρων ορίων. 4

5 (Α) Κρυπτογραφικές συναρτήσεις και πολυωνυμική παρεμβολή. Η συνάρτηση του ιακριτού Λογαρίθμου (1) Έστω G κυκλική ομάδα τάξης t, g = G = t, Y G στοιχείο της ομάδας G. Ο Διακριτός Λογάριθμος του Y ως προς τη βάση g είναι ο μικρότερος θετικός ακέραιος x:0 x< t που ικανοποιεί τη σχέση Y = g x. Το πρόβλημα έγκειται στην εύρεση ενός εφικτού αλγορίθμου για τον υπολογισμό του x. 5

6 (Α) Κρυπτογραφικές συναρτήσεις και πολυωνυμική παρεμβολή Η συνάρτηση του ιακριτού Λογαρίθμου (2) Έστω N,a,b, ακέραιοι 0< a,b< N. Να υπολογισθεί k (αν υπάρχει): k a b(modn) 6

7 (Α) Κρυπτογραφικές συναρτήσεις και πολυωνυμική παρεμβολή Η συνάρτηση του ιακριτού Λογαρίθμου (3) Pohlig Hellman (Συμετρικό) Χώρος Μηνυμάτων: {M: 0<M<p-1} Χώρος Κρυπτογραφημάτων: {C: 0<C<p-1} Χώρος Κλειδιών: {k: 0<k<p-2} k M a C M mod p (Κρυπτογράφηση) d C a M C mod p (Αποκρυπτογράφηση) Σχέση k και d (Κλειδιών Κρυπτογράφησης και Αποκρυπτογράφησης): k d 1 mod(p-1) 7

8 (Α) Κρυπτογραφικές συναρτήσεις και πολυωνυμική παρεμβολή Η συνάρτηση του ιακριτού Λογαρίθμου (4) Κρυπτοσύστημα El Gamal (Δημόσιου Κλειδιού-Μη συμμετρικό) a a, 1<a p-2, ιδιωτικό κλειδί, A g mod p δημόσιο κλειδί M, μήνυμα. Κρυπτογράφηση: E(M)=(X,Y), όπου: k k ak a X g mod p, Y M A M g M X mod p Αποκρυπτογράφηση: ( ) a 1 DXY (, ) = M X Ymod p 8

9 (Α) Κρυπτογραφικές συναρτήσεις και πολυωνυμική παρεμβολή Tο πρόβλημα του κλειδιού των Diffie Hellman (The Diffie Hellman key Problem) Δίνονται: G κυκλική ομάδα τάξης t, g = G = t, X, Y G στοιχείa της ομάδας G. Έστω X g x =, Y = g y Το πρόβλημα έγκειται στην εύρεση ενός εφικτού xy αλγορίθμου για τον υπολογισμό του W = g από τα X και Y. 9

10 (Α) Κρυπτογραφικές συναρτήσεις και πολυωνυμική παρεμβολή Tο πρόβλημα της απεικόνισης των Diffie Hellman. (The Diffie Hellman mapping Problem ) Δίνονται: G κυκλική ομάδα τάξης t, g = G = t, X G στοιχείa της ομάδας G. Έστω X g x =. Το πρόβλημα έγκειται στην εύρεση ενός εφικτού 2 x αλγορίθμου για τον υπολογισμό του W = g από τo X. Πρόκειται για ειδική περίπτωση για X = Y, η απεικόνιση 2 x x έχει τη μορφή: g a g 10

11 (Α) Κρυπτογραφικές συναρτήσεις και πολυωνυμική παρεμβολή Ανταλλαγή κλειδιών κατά Diffie Hellman Οι Α,Β επιλέγουν p, g, 1<b,a p-2 a Ο Α υπολογίζει g b Ο Β υπολογίζει g a g Ο Α στέλνει στον Β b g Ο Β στέλνει στον Α Ο Α υπολογίζει ( b) a ab g = g ) b Ο B υπολογίζει ( a ab g = g ab Το g αποτελεί κλειδί για συμμετρικό κρυπτοσύστημα ανάμεσα στον Α και Β 11

12 Εικασία ab a b Ο Υπολογισμός του g από τα g και g είναι υπολογιστικά ισοδύναμος με το Πρόβλημα του Διακριτού Λογαρίθμου; 12

13 (A) Κρυπτογραφικές συναρτήσεις και πολυωνυμική παρεμβολή Χρήση παρεμβολής κατά Lagrange - Προβληματισμοί: Για κάθε συνάρτηση f Fq F q, όπου F q είναι το πεπερασμένο σώμα με q στοιχεία, υπάρχει ένα μοναδικό πολυώνυμο Px, ( ) deg ( Px ( )) q 1 με Px ( ) = f ( x) για όλα τα x F. q Είναι δυνατή η παρεμβολή ή η προσέγγιση των κρυπτογραφικών συναρτήσεων με πολυώνυμα μικρού βαθμού ή μικρού αριθμού μη μηδενικών συντελεστών (sparcity) ; Δηλ. με πολυώνυμα που υπολογίζονται εύκολα. 13

14 (Α) Κρυπτογραφικές συναρτήσεις και πολυωνυμική παρεμβολή Χρήση παρεμβολής κατά Lagrange- Επιλογές: I. Προσδιορισμός του πολυωνύμου που αναπαριστά την κρυπτογραφική συνάρτηση πάνω σε ολόκληρο το πεπερασμένο σώμα (exact polynomial form). II. Παρεμβολή της κρυπτογραφικής συνάρτησης πάνω σε ένα υποσύνολο του πεπερασμένου σώματος (a set of given data). 14

15 (Β) Παρεμβολή με ακριβείς τύπους Ο ιακριτός Λογάριθμος ως πολυώνυμο. Η περίπτωση του Z. p Έστω ότι p πρώτος, ομάδας του Z p, δηλαδή Τότε το πολυώνυμο: x g p 2 i i= 1 1 i g Z p, g γεννήτορας της πολλαπλασιαστικής g = Z p. Αναπαριστά τον διακριτό λογάριθμο του x ως προς βάση, για όλα τα. Πρέπει να σημειωθεί ότι οι συναρτήσεις των x Z p συντελεστών είναι πολύ απλές συναρτήσει [Wells, A. L., (1984)]. g 15

16 (Β) Παρεμβολή με ακριβείς τύπους Χρήση διακριτού μετασχηματισμού Fourier. Ισοδύναμα: x 2 ij x log g ( x) = ( 1,2,..., p 1 )( g ) M p 1 x Με ( g ij ) παριστάνουμε τον ( p 1 p 1) πίνακα, 1 i, j p 1. [Meletiou, G.C. (1993)], 16

17 (Β) Παρεμβολή με ακριβείς τύπους Ο ιακριτός Λογάριθμος ως πολυώνυμο πάνω στο Fq = F n = GF( p, n). p Έστω g F, g γεννήτορας της πολλαπλασιαστικής ομάδας του n p σώματος, δηλαδή g = F, n p g z n = x F n, 1 z p 1 p. Το z γράφεται στο σύστημα αρίθμησης με βάση το p ως: d s z = n 1 s = dp s, s m s= 0 p n 2 s, i= 1 1 x i ( i g ) 0 d. Τότε: p [Meletiou, G.C. (1993)], [Meletiou, G.C., Mullen, G.L.,(1992)], [Mullen, G.L., White, D., (1986], [Niederreiter, H., (1990] 17

18 (Β) Παρεμβολή με ακριβείς τύπους Χρήση μετασχηματισμού Fourier. Ισοδύναμα: x ( 1,2,..., 1 ) s x n ijp ds = p ( g ) M x s Με ( g ijp ) n 1 i, j p 1. 2 p n n ( p 1 1 n παριστάνουμε τον p 1) πίνακα, [Meletiou, G.C. (1993)], [Meletiou, G.C., Mullen, G.L.,(1992)] 18

19 (Β) Παρεμβολή με ακριβείς τύπους Ο ιακριτός Λογάριθμος στο Z στην περίπτωση που η g βάση δεν είναι υποχρεωτικά γεννήτορας της Έστω ότι p πρώτος, Θεωρούμε την συνάρτηση f : Zp Zp 1 z m, f ( x ) = 0 για x g Τότε c i f ( x) p 1 i = cx i, όπου: 1 i p g Z p, g = m, το m διαιρεί το p 1. f g z με ( z ) m( 1 g ) 1, ο m δεν διαιρεί τον i = 1 mm ( + 1), ο mδιαιρεί τον i 2 =, Z p 19

20 Εναλλακτικά m 1 m p 1 m + 1 i 1 i f ( x) = 1 ( x 1) + (1 g ) x = X< g> ( x) f ( x) 2 1 X < > η χαρακτηριστική συνάρτηση στο g, g f ο περιορισμός της f στο g. Ισοδύναμα με χρήση μετασχηματισμού Fourier: x 2 1 ij x f ( x) = m ( 1,2,..., m) ( g ) M m x Με ( g ij ) παριστάνουμε τον m m) [Meletiou, G.C., Mullen, G.L.,(1992)] ( πίνακα, 1 i, j m. 20

21 (Β) Παρεμβολή με ακριβείς τύπους Ο ιακριτός Λογάριθμος ως πολυώνυμο στο με g τυχαία βάση. n Έστω ότι g F, g = m, το m διαιρεί το p 1, 1 z m, z n p n 1 s = dp s, 0 ds p 1 s= 0 F p n z g = x g, (σύστημα αρίθμησης με βάση το p). Για x g θέτουμε d ( x) = d, για x g θέτουμε d ( x ) = 0. s s s 21

22 Τότε c i n p 1 1 i d ( x) = cx, όπου: s i ( s 1 ) ip m g 1, ο m δεν διαιρεί τον i = 1 mm ( + 1), ο mδιαιρεί τον i 2 Εναλλακτικά m 1 n 1 1 s m p m + i p 1 i ds ( x) = 1 ( x 1) + (1 g ) x = X< g> ( x) ds( x) 2 1 X < > η χαρακτηριστική συνάρτηση στο g, g d s ο περιορισμός της s d στο g. [Meletiou, G.C., Mullen, G.L.,(1992)] 22

23 Ισοδύναμα με χρήση μετασχηματισμού Fourier: x 2 s 1 ij p x ds ( x) = m ( 1,2,..., m) ( g ) M m x Με ( g ij ) παριστάνουμε τον ( m m) πίνακα, 1 i, j m. [Meletiou, G.C., Mullen, G.L.,(1992)] 23

24 (Β) Παρεμβολή με ακριβείς τύπους Η συνάρτηση κλειδιού των Diffie-Hellman ως πολυώνυμο. n Έστω ότι g F, g = m, το m διαιρεί το p 1, 1, το πολυώνυμο: m 1 ij i j f (x,y) m g x y p n = i,j= 1 f g,g = g Έχει την ιδιότητα ( ) a b ab [Meidl, W., Winterhof, A., (2002)] ab m. Τότε 24

25 Ισοδύναμα με χρήση μετασχηματισμού Fourier: x x = x 1 2 m ij f(x,y) m (y,y,..,y ) (g ) 2 m ij Με ( ) g παριστάνουμε τον (m m) πίνακα, 1 i, j m. 25

26 (C) Παρεμβολή σε υποσύνολα - προσδιορισμός κατωτέρων φραγμάτων Ο ιακριτός Λογάριθμος σε υποσύνολο του Έστω p πρώτος, S { 1,2,..., p 1} ( ) [ ], 1 F X Z X g Z p. Θεωρούμε το υποσύνολο S = p s. Έστω ότι το πολυώνυμο p ικανοποιεί τη σχέση ( x F g ) Z p = x για όλα τα x S. Τότε ισχύει: ( ) deg F p 2 2s (κάτω φράγμα-lower bound). [Coppersmith, D., Shparlinski, I., (2000)], [Shparlinski, I.E., (2003)] 26

27 (C) Παρεμβολή σε υποσύνολα - προσδιορισμός κατωτέρων φραγμάτων Η περίπτωση του F = F. q p r r l Έστω p πρώτος, q = p, g F q, g = F q. Έστω ξ F q, g =ξ, 0 l q 2 (Το l είναι ο διακριτός λογάριθμος του ξ για βάση g ). 2 r 1 Έστω η πολυωνυμική βάση 1, αα,,..., α του F πάνω στο Z. Το l γράφεται P g ( ) ξ = r 1 i= 0 d i α i l { } r 1 i = di p. Ορίζουμε: i= 0 q p Το r 1 i diα αντιπροσωπεύει τον ακέραιο l και εξαρτάται από το ξ. i= 0 27

28 (C) Παρεμβολή σε υποσύνολα - προσδιορισμός κατωτέρων φραγμάτων Ο ιακριτός Λογάριθμος σε υποσύνολο του F. Έστω p πρώτος, q r = p, g F q, g = F q. Θεωρούμε το υποσύνολο F X F X S Fq, S = q 1 s. Έστω ότι το πολυώνυμο ( ) [ ] q ικανοποιεί τη σχέση ( ξ ) = ( ξ ) για όλα τα ξ S. F P g r p Τότε ισχύει: q deg( F) q 1 2s p, spr ( F ) q 1 2s + q p 1 (κάτω φράγμα-lower bound). [Winterhof, A., (2002)] 28

29 (C) Παρεμβολή σε υποσύνολα - προσδιορισμός κατωτέρων φραγμάτων Το κλειδί των Diffie-Hellman σε υποσύνολο του πεδίου ορισμού. Έστω q δύναμη πρώτου, g F = q g. Θεωρούμε το υποσύνολο 85 A [ N + 1, N + h] [ N + 1, N + h] με 2 h q 1, και A 10h. F U, V F X, Y ικανοποιεί τη σχέση Έστω ότι το πολυώνυμο ( ) [ ] (, ) x y xy F g g = g για όλα τα ( x, y) A. q Τότε ισχύει: deg ( F ) 2 A (κάτω φράγμα-lower bound) h 29

30 (C) Παρεμβολή σε υποσύνολα - προσδιορισμός κατωτέρων φραγμάτων Το πρόβλημα απόφασης των Diffie-Hellman σε υποσύνολο του πεδίου ορισμού. q Έστω δύναμη πρώτου, g F q = g. Θεωρούμε το υποσύνολο A [ N + 1, N + h] [ N + 1, N + h] με 2 h q 1. Έστω ότι το τριών F U V T F X Y Z ικανοποιεί τη μεταβλητών πολυώνυμο (,, ) [,, ] σχέση ( x, y, xy ) 0 F g g g = για όλα τα ( x, y) q A. Τότε ισχύει: A deg( F ) 85 3h (κάτω φράγμα-lower bound). [El Mahassni, E., Shparlinski, I.E., (2001)] 30

31 (C) Παρεμβολή σε υποσύνολα - προσδιορισμός κατωτέρων φραγμάτων Το κλειδί των Diffie-Hellman σε υποσύνολο του πεδίου ορισμού. Έστω q δύναμη πρώτου, g F, g = d q 1. Θεωρούμε τα υποσύνολα A {0,1,..., d 1}, B [ N + 1, N + h] με B = h s, 1 h d F U, V F X, Y ικανοποιεί <. Έστω ότι το πολυώνυμο ( ) [ ] x y xy F g, g = g ( xy, ) A B. τη σχέση ( ) για όλα τα q q Τότε ισχύει: h s deg( F) min A, s + 1 [Winterhof, A., (2001)] (κάτω φράγμα-lower bound). 31

32 (C) Παρεμβολή σε υποσύνολα - προσδιορισμός κατωτέρων φραγμάτων Αναπαράσταση άλλων κρυπτογραφικών συναρτήσεων. 1) Αναπαράσταση συναρτήσεων που έχουν σχέση με το πρόβλημα της παραγοντοποίησης και το κρυπτοσύστημα RSA. [Adelmann, C., Winterhof, A., (2006)] 2) Αναπαράσταση του Λογαρίθμου του Lucas. [Aly, H., Winterhof, A., (2006)] 32

33 (D) Η συνάρτηση του ιπλού ιακριτού Λογαρίθμου. Ορισμός του ιπλού ιακριτού Λογαρίθμου (Double Discrete Logarithm) Έστω G κυκλική ομάδα τάξης t, g = G = t, Έστω h Z t στοιχείο τάξης h = m. Διπλός Διακριτός Λογάριθμος ενός στοιχείου z x h = g G ως προς τις βάσεις g και h είναι ο μοναδικός ακέραιος x:0 x< m. [G. C. Meletiou, A. Winterhof, (2008)] 33

34 (D) Η συνάρτηση του ιπλού ιακριτού Λογαρίθμου. ύο περιπτώσεις κυκλικών ομάδων: Υποομάδες της πολλαπλασιαστικής ομάδας ενός πεπερασμένου σώματος F με q στοιχεία. q Ομάδες που προέρχονται από ελλειπτικές καμπύλες πάνω σε ένα πεπερασμένο σώμα F q. 34

35 (D) Η συνάρτηση του ιπλού ιακριτού Λογαρίθμου. Εφαρμογές ιπλού ιακριτού Λογαρίθμου group signature schemes publicly verifiable secret sharing schemes [Camenisch, J., Stadler, M., (1997)], [Lysyanskaya, A., Ramzan, Z., (1998], [Camenisch J L, ( 1998)], [Stadler, M., (1996)] 35

36 (D) Η συνάρτηση του ιπλού ιακριτού Λογαρίθμου. Εφαρμογές ιπλού ιακριτού Λογαρίθμου Group Signatures: Είδος Ψηφιακής υπογραφής για μια ομάδα χρηστών όπου: 1) Μόνο τα μέλη της ομάδας μπορούν να υπογράφουν 2) Η υπογραφή μπορεί να επαληθευθεί χωρίς να γίνει γνωστό ποιο μέλος της ομάδας υπέγραψε 3) Σε περίπτωση ανάγκης είναι δυνατό να εντοπισθεί το μέλος της ομάδας που υπέγραψε 36

37 Ένα group signature scheme αποτελείται από: Μία ομάδα χρηστών (τα μέλη) Έναν membership manager Έναν revocation manager Κάθε μέλος μπορεί να υπογράφει (ψηφιακά) για λογαριασμό ολόκληρης της ομάδας, χωρίς να αποκαλύψει την ταυτότητά του. Η υπογραφή του επαληθεύεται με το δημόσιο κλειδί της ομάδας χωρίς να αποκαλυφθεί η ταυτότητα του υπογράφοντος Ο membership manager είναι υπεύθυνος για την εγκατάσταση του συστήματος και την πρόσθεση νέων μελών. Ο revocation manager είναι σε θέση (αν χρειασθεί) να αποκαλύψει την ταυτότητα του υπογράφοντος 37

38 (D) Η συνάρτηση του ιπλού ιακριτού Λογαρίθμου. Εφαρμογές ιπλού ιακριτού Λογαρίθμου Secret sharing schemes Ένα μυστικό (secret) διασπάται σε μερίδες (shares) που με της σειρά τους μοιράζονται στους συμμετέχοντες (participants). Υπάρχουν κάποιες ομάδες συμμετεχόντων που μπορούν να ανακτήσουν το μυστικό χρησιμοποιώντας τις μερίδες τους. Μία ομάδα που δεν ανήκει στις παραπάνω ομάδες δεν είναι σε θέση να ανακτήσει το μυστικό. Επίσης δεν είναι σε θέση να αποκτήσει καμία πληροφορία σχετική με το μυστικό. 38

39 (D) Η συνάρτηση του ιπλού ιακριτού Λογαρίθμου. Εφαρμογές ιπλού ιακριτού Λογαρίθμου Secret sharing schemes Ένα μυστικό (secret) διασπάται σε N μερίδες (shares) που με της σειρά τους μοιράζονται στους N συμμετέχοντες (participants). Μία ομάδα k συμμετεχόντων, 2 k < N μπορούν να ανακτήσουν το μυστικό χρησιμοποιώντας τις μερίδες τους. Μία ομάδα m συμμετεχόντων, m< k δεν είναι σε θέση να ανακτήσει το μυστικό. Επίσης δεν είναι σε θέση να αποκτήσει καμία πληροφορία σχετική με το μυστικό. 39

40 (D) Η συνάρτηση του ιπλού ιακριτού Λογαρίθμου. Εφαρμογές ιπλού ιακριτού Λογαρίθμου Verifiable secret sharing schemes Ένα Secret sharing scheme. Υπάρχει κάποια διαδικασία (δημόσιος αλγόριθμος) που δίνει τη δυνατότητα σε κάθε συμμετέχοντα να επιβεβαιώσει ότι η μερίδα του είναι «αληθινή», δηλαδή μπορεί να χρησιμεύσει στην ανάκτηση του μυστικού. 40

41 (D) Η συνάρτηση του ιπλού ιακριτού Λογαρίθμου. Εφαρμογές ιπλού ιακριτού Λογαρίθμου Public verifiable secret sharing schemes Ένα Verifiable Secret sharing scheme. Ο οποιοσδήποτε χρήστης μπορεί να αποδείξει δημόσια ότι η διανομή των μερίδων έγινε με έντιμο τρόπο. 41

42 (D) Η συνάρτηση του ιπλού ιακριτού Λογαρίθμου. Παράδειγμα: Επαληθεύσιμη (Verifiable) κρυπτογράφηση διακριτών λογαρίθμων [Stadler, M., (1996)] Έστω ότι g = G = p, p πρώτος, p= 2q+ 1, h Z p, h = q, q πρώτος. Ένα ιδιωτικό κλειδί y z h (modp) z Z επιλέγεται τυχαία και το δημόσιο κλειδί q ανακοινώνεται. α Ένα μήνυμα v κρυπτογραφείται με τη μορφή (A,B), A h (modp) και 1 B v α y (modp) (ElGamal's public key cryptosystem). w = g Το στοιχείο δημοσιοποιείται. v (A,B) Επαληθεύοντας ότι το ζεύγος είναι το κρυπτογράφημα του v διακριτού λογαρίθμου του δημοσιοποιημένου στοιχείου w = g της ομάδας G είναι ισοδύναμο με το να επαληθεύσουμε ότι ο διακριτός λογάριθμος του B A ως προς βάση h ταυτίζεται με τον διπλό διακριτό λογάριθμο του w ως προς τις βάσεις g και y. 42

43 (D) Η συνάρτηση του ιπλού ιακριτού Λογαρίθμου. Υποομάδες πολλαπλασιαστικών ομάδων πεπερασμένων σωμάτων. Z p Θεώρημα. [G. C. Meletiou, A. Winterhof, (2008)] Έστω t 3 ακέραιος, p πρώτος, p 1(mod t) στοιχείο τάξης, στοιχείο τάξης, g Z p t h Zt S { 0,1,...,m 1} σύνολο S = m s, f(x) Z [x] πολυώνυμο: ( n h f g ) p = n για όλα τα n S, m 2 m 2s Τότε: deg(f ) (κατώτερο φράγμα-lower bound) 2v Όπου v είναι ο μικρότερος ακέραιος από το σύνολο: n h(modt):1 n m { } 43

44 (D) Η συνάρτηση του ιπλού ιακριτού Λογαρίθμου. Ανω φράγματα για τo v t m Αν ο είναι πρώτος και ο είναι αρκετά μεγάλος, τότε m = (t 1)/ d d, μικρός και d v 2. Στην περίπτωση που d 2 κατάλοιπο (quadratic residue), ανάλογα με το t. v = o(m) Εν γένει. =, v είναι το μικρότερο τετραγωνικό (mod m) 1 v άρα v {2,3,4} t m 1/2 Αν ο είναι πρώτος και τότε t 34 / 37+ε v O(t ) =. 44

45 (D) Η συνάρτηση του ιπλού ιακριτού Λογαρίθμου. Γενίκευση στο, q Ορισμός: F q Έστω p πρώτος, r ακέραιος, r = p. r q= p, n ακέραιος β, β,..., β βάση του F πάνω στο Z. Έστω { } Ορίζουμε: 1 2 r ξ F με n q n 1 1 r r 2 r r 1 2 r n i q ξ : = n β n β, n n + n p+ n p n p (modq) και 0 n,n,...,n < p, δηλαδή τα είναι ψηφία στο σύστημα αρίθμησης με βάση το p. Στην περίπτωση που 0 n< q το ξ n F q αντιπροσωπεύει το n. p 45

46 (D) Η συνάρτηση του ιπλού ιακριτού Λογαρίθμου. Υποομάδες πολλαπλασιαστικών ομάδων πεπερασμένων σωμάτων r. F p Θεώρημα. [G. C. Meletiou, A. Winterhof, (2008)] Έστω t 3 ακέραιος, p πρώτος, r ακέραιος τέτοιος ώστε r q p 1(modt), στοιχείο τάξης = g F q στοιχείο τάξης t, h Z t S 0,1,...,m 1, S = m s f(x) F [x] πολυώνυμο: m 2, { } ( n h ) f g = ξ για όλα τα n S Τότε: n, m 2s m 4s deg(f ) max, l 2v 2h v n h(modt):1 n m και l= log p(m), q (κάτω φράγμα-lower bound) Όπου είναι ο μικρότερος ακέραιος στο σύνολο: { } 46

47 (D) Η συνάρτηση του ιπλού ιακριτού Λογαρίθμου. Παρατηρήσεις Το φράγμα: deg(f ) m 2s έχει έννοια μόνο για μεγάλα p και l 2v δεν σημαίνει τίποτα στην περίπτωση που p= 2. Στην περίπτωση που p= 2 μόνο το φράγμα: deg(f ) m 4s 2h εφαρμόζεται. 47

48 (D) Η συνάρτηση του ιπλού ιακριτού Λογαρίθμου. Ελλειπτικές Καμπύλες πάνω σε σώματα με τάξη πρώτο αριθμό Θεώρημα. [G. C. Meletiou, A. Winterhof, (2008)] Έστω p 3 πρώτος, E ελλειπτική καμπύλη πάνω στο Z p, P σημείο της E τάξης t, t πρώτος x k η πρώτη συντεταγμένη της kp, 1 k t 1 h Z t στοιχείο τάξης m 2, S { 0,1,...,min(m,p) 1}, S = m s, f(x) Z [x] πολυώνυμο: ( ) n f x h Τότε: bound). p = n για όλα τα n S, 1 deg(f ) (min(m, p) 2s) 2(t 1)/m 4 2 (κάτω φράγμα-lower 48

49 (D) Η συνάρτηση του ιπλού ιακριτού Λογαρίθμου. Η περίπτωση m > p Σύμφωνα με το θεώρημα Hasse-Weil: 1/2 m< t p+ 1+ 2p Άρα m= t 1> t p, αφού το είναι πρώτος. 1/2 O(m ) Όμως, ακόμα και σ αυτή την περίπτωση το πολύ τιμές της συνάρτησης του διπλού διακριτού λογαρίθμου δεν αναφέρονται στο θεώρημα. 49

50 (D) Η συνάρτηση του ιπλού ιακριτού Λογαρίθμου. Ελλειπτικές καμπύλες πάνω σε πεπερασμένα σώματα χαρακτηριστικής 2 Ορισμός. Έστω r, n ακέραιοι. β β β βάση του πάνω στο F. Έστω {,,..., } Ορίζουμε: 1 2 r F r 2 ξ F r με n 1 1 r r 2 ξ : = n β n β, n 2 2 r 1 r r 1 r n i r, n r 2 n n + n 2+ n n 2 (mod2 ) και n,...,n {0,1}, δηλαδή τα είναι bits. Στην περίπτωση 0 n < 2 ξ F αντιπροσωπεύει το n. 50

51 (D) Η συνάρτηση του ιπλού ιακριτού Λογαρίθμου. Ελλειπτικές καμπύλες πάνω σε πεπερασμένα σώματα χαρακτηριστικής 2 Θεώρημα. [G. C. Meletiou, A. Winterhof, (2008)] Έστω E μία μη υπεριδιάζουσα ελλειπτική καμπύλη πάνω στο F 2 r, P σημείο της E τάξης t, x k η πρώτη συντεταγμένη του kp, 1 k t 1 h Z t στοιχείο τάξης m 2, S { 0,1,...,m 1}, S = m s, f(x) F [x] πολυώνυμο: 2 h n n r f(x )= ξ για όλα τα n S, m 4s Τότε: deg(f ) (κάτω φράγμα-lower bound). 2 2h 51

52 (E) Η συνάρτηση της ρίζας του ιακριτού Λογαρίθμου. Ορισμός της k-ης ρίζας του ιακριτού Λογαρίθμου Έστω G κυκλική ομάδα τάξης t, g = G = t, Y G στοιχείο της ομάδας G. Ως k-η ρίζα του Διακριτού Λογαρίθμου του Y ως προς βάση g ορίζεται ένας ακέραιος x:0 x< t που ικανοποιεί τη σχέση Y g k x = με την προϋπόθεση ότι τέτοιος ακέραιος x υπάρχει. [G. C. Meletiou, (2009)]. 52

53 (E) Η συνάρτηση της ρίζας του ιακριτού Λογαρίθμου. Παρατηρήσεις 1. Δεν είναι δεδομένη η ύπαρξη και η μοναδικότητα της k-ης ρίζας του διακριτού λογαρίθμου. Στην γενική περίπτωση { x } ρίζας του διακριτού λογαρίθμου. k x: g = Y 2 ορίζονται κλάδοι της k-ης g t 2. Η ομάδα G και οι παράμετροι, μπορούν να επιλεγούν έτσι ώστε ο υπολογισμός διακριτών λογαρίθμων με βάση να είναι ανέφικτος. Επίσης το t μπορεί να επιλεγεί κατά τέτοιο τρόπο, ώστε η εξαγωγή της k-ης ρίζας modulo t να είναι δύσκολη. g 53

54 (E) Η συνάρτηση της ρίζας του ιακριτού Λογαρίθμου. ιάφορες εφαρμογές της k-ης ρίζα του ιακριτού Λογαρίθμου: Group signature schemes Publicly verifiable secret sharing schemes Electronic cash History-based signatures [Camenisch, J., Stadler, M., (1997)], [Lysyanskaya, A., Ramzan, Z., (1998], [Camenisch J L, ( 1998)], [Bussard L., R. Molva, and Y. Roudier, ( 2004)], [Bresson E. and J. Stern, (2001)] 54

55 (E) Η συνάρτηση της ρίζας του ιακριτού Λογαρίθμου. ιάφορες εφαρμογές της k-ης ρίζα του ιακριτού Λογαρίθμου. History-based signatures Γενίκευση των group signatures Κάθε ένας που υπογράφει διατηρεί την ανωνυμία του και δίνει την δυνατότητα να επαληθευθούν κάποιες ιδιότητές του όπως π.χ. οι τίτλοι σπουδών του, η ηλικία του, η προϋπηρεσία του, το γεγονός ότι έχει την συγκατάθεση κάποιου άλλου, το γεγονός ότι βρισκόταν στο Νεπάλ τον Οκτώβριο. 55

56 (E) Η συνάρτηση της ρίζας του ιακριτού Λογαρίθμου. Ρίζες περιττής τάξης Θεώρημα. [G. C. Meletiou, (2009)] Έστω p πρώτος, ( k t ) g Z p, g = t και k 1 ακέραιος τέτοιος ώστε gcd, φ ( ) = 1. Έστω S Z t, S = φ() t s. Υποθέτουμε ότι υπάρχει ένα πολυώνυμο F( X) Z [ X] τα x S. p που ικανοποιεί: ( k F g x ) = x για όλα Τότε ισχύει deg( F ) ( t) 2 ϕ s (κάτω φράγμα - lower bound). 2 56

57 (E) Η συνάρτηση της ρίζας του ιακριτού Λογαρίθμου. Παρατηρήσεις 1. Ο εκθέτης k είναι περιττός και σχετικά πρώτος με τον φ (t). Κατά συνέπεια η συνάρτηση της k-ης ρίζας γίνεται Στην περίπτωση του RSA το k είναι ο εκθέτης κρυπτογράφησης e. 57

58 (E) Η συνάρτηση της ρίζας του ιακριτού Λογαρίθμου. Τετραγωνικές ρίζες. Θεώρημα. [G. C. Meletiou, (2009)] Έστω p πρώτος, g Zp, g Z p, g = t, t πρώτος, S Z t, t 1 t 1 S = s. Το πολυώνυμο F( X) Z [ ] p X ικανοποιεί τη 2 2 x 2 F g = x για όλα τα x S. σχέση ( ) Τότε ισχύει: deg ( F ) t 1 4s (κάτω φράγμα-lower bound)

59 (E) Η συνάρτηση της ρίζας του ιακριτού Λογαρίθμου. Παρατηρήσεις QR t 1) Με παριστάνουμε το σύνολο όλων των τετραγωνικών κατάλοιπων modulo t. Το είναι υποομάδα του Z. QR 2) Υποθέτουμε ότι t 3( mod4) t. Συμπεραίνουμε ότι για όλα τα x Z t το x θα είναι τετραγωνικό κατάλοιπο εάν και μόνο εάν το x δεν θα είναι τετραγωνικό κατάλοιπο. Κάθε στοιχείο στο QR t θα έχει ακριβώς δύο τετραγωνικές ρίζες. Μία στο QR t και μία στο QNR t. 3)Με τις παραπάνω προϋποθέσεις η τετραγωνική ρίζα γίνεται απεικόνιση 1-1 και επί από το στο. QR t QR t t 59

60 (E) Η συνάρτηση της ρίζας του ιακριτού Λογαρίθμου. Τετραγωνικές ρίζες Τετραγωνικά κατάλοιπα. Θεώρημα. [G. C. Meletiou, (2009)] Έστω p πρώτος, g Zp, g Zp, g = t, t πρώτος, t 3mod4 ( ). t 1 t 1 Έστω το υποσύνολο S QRt Zt, S = s, τα στοιχεία 2 2 του S είναι τετραγωνικά κατάλοιπα. Έστω ότι το πολυώνυμο ( ) [ ] p ικανοποιεί τη σχέση ( 2 F g x ) F X Z X = x για όλα τα x S. Τότε έχουμε: t 1 4s t 1 4s deg( F ) max, v (κάτω φράγμα-lower bound), είναι το μικρότερο τετραγωνικό κατάλοιπο, v. v modt { 2,3,4} 60

61 (E) Η συνάρτηση της ρίζας του ιακριτού Λογαρίθμου. Η περίπτωση του RSA modulus. Υποθέτουμε: 1) t = N = p q, p και q είναι μεγάλοι πρώτοι. 2) p q 3mod4. ( ) Η δεύτερη συνθήκη εξασφαλίζει ότι κάθε τετραγωνικό κατάλοιπο Z N στο έχει ακριβώς τέσσερις τετραγωνικές ρίζες και ότι μία και μόνο μία από αυτές είναι τετραγωνικό κατάλοιπο (mod N). Η συνάρτηση της τετραγωνικής ρίζας γίνεται 1-1 και επί. Γενικεύουμε το προηγούμενο θεώρημα. 61

62 (E) Η συνάρτηση της ρίζας του ιακριτού Λογαρίθμου. Τετραγωνικές ρίζες. Θεώρημα. [G. C. Meletiou, (2009)] Έστω πρώτος, g Z r, g = N,. p q 3mod4. N r = pq ένα RSA modulus. Επίσης ( ) φ ( N) φ ( N) S QRN ZN S = s, τα 4 4 S Έστω το υποσύνολο:, στοιχεία του είναι τετραγωνικά κατάλοιπα. Έστω ότι το πολυώνυμο F( X) Z [ ] r X ικανοποιεί τη σχέση ( 2 F g x ) τα x S. = x για όλα Τότε έχουμε: φ ( N) 8s deg( F ) (κάτω φράγμα-lower bound), 3 4v v είναι το μικρότερο τετραγωνικό κατάλοιπο, v 2,3,4. mod N { } 62

63 Αναφορές: Wells, A. L., Jr., A polynomial form for logarithms modulo a prime. IEEE Trans. Inform. Theory, IT-30, (1984). Mullen, G.L., White, D.: A polynomial representation for logarithms in GF(q). Acta Arith. 47(3), (1986). Niederreiter, H.: A short proof for explicit formulas for discrete logarithms in finite fields. Appl. Algebra Engrg. Comm. Comput. 1(1), (1990). Meletiou, G.C., Mullen, G.L.: A note on discrete logarithms in finite fields. Appl. Algebra Engrg. Comm. Comput. 3(1), (1992). G. Meletiou, A polynomial representation for exponents in Zp. Bull. Greek Math. Soc., 34:59 63, 1992 Meletiou, G.C.: Explicit form for the discrete logarithm over the field GF(p, k). Arch. Math. (Brno) 29, (1993). Stadler, M.: Publicly verifiable secret sharing. In: Maurer, U.M. (ed.) EUROCRYPT LNCS, vol. 1070, pp Springer, Heidelberg (1996). Camenisch, J., Stadler, M.: Efficient group signature schemes for large groups. In: Kaliski Jr., B.S. (ed.) CRYPTO LNCS, vol. 1294, pp Springer, Heidelberg (1997). Camenisch J L, Group Signature Schemes and Payment Systems Based on the Discrete Logarithm Problem, Doctoral Dissertation, ZURICH,

64 Lysyanskaya, A., Ramzan, Z.: Group blind digital signatures: A scalable solution to electronic cash. In: Hirschfeld, R. (ed.) FC LNCS, vol. 1465, pp Springer, Heidelberg (1998). Ateniese, G., Tsudik, G.: Some open issues and new directions in group signatures. In: Franklin, M. (ed.) FCT LNCS, vol. 1684, pp Springer,Heidelberg (1999). Jacques Traore, Group Signatures and Their Relevance to Privacy-Protecting Offline Electronic Cash Systems, ACISP 99, LNCS 1587, pp , 1999, Springer-Verlag Berlin Heidelberg Coppersmith, D., Shparlinski, I.: On polynomial approximation of the discrete logarithm and the Diffie-Hellman mapping. J. Cryptology 13(3), , (2000). Jeong I. R. and D. H. Lee : Anonymity Control in Multi-bank E-Cash System, INDOCRYPT 2000, LNCS 1977, pp , 2000, Springer-Verlag Berlin Heidelberg Bresson E. and J. Stern, Efficient Revocation in Group Signatures, PKC 2001, LNCS 1992, pp , 2001, Springer- Verlag Berlin Heidelberg El Mahassni, E., Shparlinski, I.E.: Polynomial representations of the Diffie-Hellman mapping. Bull. Austral. Math. Soc. 63, (2001). Pavlovski C. and Colin Boyd, Attacks Based on Small Factors in Various Group Structures, ACISP 2001, LNCS 2119, pp , 2001, Springer-Verlag Berlin Heidelberg Winterhof, A.: A note on the interpolation of the Diffie-Hellman mapping. Bull. Austral. Math. Soc. 64, (2001). 64

65 Meidl, W., Winterhof, A.: A polynomial representation of the Diffie-Hellman mapping. Appl. Algebra Engrg. Comm. Comput. 13, (2002). Niederreiter, H., Winterhof, A.: Incomplete character sums and polynomial interpolation of the discrete logarithm. Finite Fields Appl. 8(2), (2002). Winterhof, A.: Polynomial interpolation of the discrete logarithm. Des. Codes Cryptogr. 25, (2002). Ateniese, G., Song, D., Tsudik, G.: Quasi efficient revocation group signatures. In: Blaze, M. (ed.) FC LNCS, vol. 2357, pp Springer, Heidelberg (2003). Shparlinski, I.E.: Cryptographic Applications of Analytic Number Theory. Complexity Lower Bounds and Pseudorandomness. Progress in Computer Science and Applied Logic, vol. 22. Birkhauser Verlag, Basel (2003). Bussard, L., Roudier, Y., Molva, R.: Untraceable secret credentials: trust establishment with privacy. Pervasive Computing and Communications Workshops, In: Proceedings of the Second IEEE Annual Conference, March 14-17, 2004, pp (2004). Bussard L., R. Molva, and Y. Roudier, History-Based Signature or How to Trust Anonymous Documents, itrust 2004, LNCS 2995, pp , 2004, Springer-Verlag Berlin Heidelberg Tso, R., Okamoto, T., Okamoto, E.: Practical strong designated verifer signature schemes based on double discrete logarithms. In: Feng, D., Lin, D., Yung, M. (eds.), CISC LNCS, vol. 3822, pp Springer, Heidelberg (2005). Wang, G., Qing, S.: Security flaws in several group signatures proposed by Popescu. In: Gervasi, O., Gavrilova, M.L., Kumar, V., Lagan a, A., Lee, H.P., Mun, Y., Taniar, D., Tan, C.J.K. (eds.) ICCSA LNCS, vol. 3482, pp Springer, Heidelberg (2005) 65

66 Adelmann, C., Winterhof, A.: Interpolation of functions related to the integer factoring problem. In: WCC LNCS, vol. 3969, pp Springer, Heidelberg (2006). Aly, H., Winterhof, A.: Polynomial representations of the Lucas logarithm. Finite Fields Appl. 12(3), (2006). G. C. Meletiou and A. Winterhof, (2008), Interpolation of the Double Discrete Logarithm, WAIFI 2008, L.N.C.S. 5130, pp. 1 10, 2008, Springer-Verlag. G. C. Meletiou, (2009), Polynomial Interpolation of the k-th Root of the Discrete Logarithm, CAI 2009, LNCS 5725, pp , 2009, Springer-Verlag. Lev Glebsky, Igor E. Shparlinski, Short Cycles in Repeated Exponentiation Modulo a Prime, Designs, Codes and Cryptography, Oct. 2009, Springer-Verlag 66

67 Σας ευχαριστώ για την προσοχή σας 67