Κρυπτογραφία Δημοσίου Κλειδιού

Transcript

1 Στοιχεία Θεωρίας Αριθμών και Εφαρμογές στην Κρυπτογραφία Κρυπτογραφία Δημοσίου Κλειδιού Άρης Παγουρτζής Στάθης Ζάχος Σχολή Ηλεκτρολόγων Μηχανικών - Μηχανικών Υπολογιστών Εθνικού Mετσόβιου Πολυτεχνείου

2

3 Κρυπτοσύστημα RSA (Rivest, Shamir, Adlemann, 1977) Ορισμός RSA Παραγωγή κλειδιών Σχολή ΗΜΜΥ ΕΜΠ 2 / 27

4 Κρυπτοσύστημα RSA (Rivest, Shamir, Adlemann, 1977) Ορισμός RSA Παραγωγή κλειδιών 1 Εύρεση πρώτων p, q μεγάλου μήκους (> 1000 ψηφία) χρήση ελέγχου πρώτων αριθμών (πχ Miller-Rabin) Σχολή ΗΜΜΥ ΕΜΠ 2 / 27

5 Κρυπτοσύστημα RSA (Rivest, Shamir, Adlemann, 1977) Ορισμός RSA Παραγωγή κλειδιών 1 Εύρεση πρώτων p, q μεγάλου μήκους (> 1000 ψηφία) χρήση ελέγχου πρώτων αριθμών (πχ Miller-Rabin) 2 Υπολογισμός n = p q και ϕ(n) = (p 1) (q 1) Σχολή ΗΜΜΥ ΕΜΠ 2 / 27

6 Κρυπτοσύστημα RSA (Rivest, Shamir, Adlemann, 1977) Ορισμός RSA Παραγωγή κλειδιών 1 Εύρεση πρώτων p, q μεγάλου μήκους (> 1000 ψηφία) χρήση ελέγχου πρώτων αριθμών (πχ Miller-Rabin) 2 Υπολογισμός n = p q και ϕ(n) = (p 1) (q 1) 3 Επιλογή e U(Z n ) : gcd(e, ϕ(n)) = 1 Σχολή ΗΜΜΥ ΕΜΠ 2 / 27

7 Κρυπτοσύστημα RSA (Rivest, Shamir, Adlemann, 1977) Ορισμός RSA Παραγωγή κλειδιών 1 Εύρεση πρώτων p, q μεγάλου μήκους (> 1000 ψηφία) χρήση ελέγχου πρώτων αριθμών (πχ Miller-Rabin) 2 Υπολογισμός n = p q και ϕ(n) = (p 1) (q 1) 3 Επιλογή e U(Z n ) : gcd(e, ϕ(n)) = 1 4 Υπολογισμός d : e d 1 (mod ϕ(n)) χρήση Επεκτεταμένου Ευκλείδειου αλγόριθμου Σχολή ΗΜΜΥ ΕΜΠ 2 / 27

8 Κρυπτοσύστημα RSA (Rivest, Shamir, Adlemann, 1977) Ορισμός RSA Παραγωγή κλειδιών 1 Εύρεση πρώτων p, q μεγάλου μήκους (> 1000 ψηφία) χρήση ελέγχου πρώτων αριθμών (πχ Miller-Rabin) 2 Υπολογισμός n = p q και ϕ(n) = (p 1) (q 1) 3 Επιλογή e U(Z n ) : gcd(e, ϕ(n)) = 1 4 Υπολογισμός d : e d 1 (mod ϕ(n)) χρήση Επεκτεταμένου Ευκλείδειου αλγόριθμου Δημόσιο κλειδί: e, n Σχολή ΗΜΜΥ ΕΜΠ 2 / 27

9 Κρυπτοσύστημα RSA (Rivest, Shamir, Adlemann, 1977) Ορισμός RSA Παραγωγή κλειδιών 1 Εύρεση πρώτων p, q μεγάλου μήκους (> 1000 ψηφία) χρήση ελέγχου πρώτων αριθμών (πχ Miller-Rabin) 2 Υπολογισμός n = p q και ϕ(n) = (p 1) (q 1) 3 Επιλογή e U(Z n ) : gcd(e, ϕ(n)) = 1 4 Υπολογισμός d : e d 1 (mod ϕ(n)) χρήση Επεκτεταμένου Ευκλείδειου αλγόριθμου Δημόσιο κλειδί: e, n Ιδιωτικό κλειδί: d Σχολή ΗΜΜΥ ΕΜΠ 2 / 27

10 Κρυπτοσύστημα RSA (Rivest, Shamir, Adlemann, 1977) Ορισμός RSA Παραγωγή κλειδιών 1 Εύρεση πρώτων p, q μεγάλου μήκους (> 1000 ψηφία) χρήση ελέγχου πρώτων αριθμών (πχ Miller-Rabin) 2 Υπολογισμός n = p q και ϕ(n) = (p 1) (q 1) 3 Επιλογή e U(Z n ) : gcd(e, ϕ(n)) = 1 4 Υπολογισμός d : e d 1 (mod ϕ(n)) χρήση Επεκτεταμένου Ευκλείδειου αλγόριθμου Δημόσιο κλειδί: e, n Ιδιωτικό κλειδί: d Κρυπτογράφηση enc(m) = m e mod n (m Z n ) Σχολή ΗΜΜΥ ΕΜΠ 2 / 27

11 Κρυπτοσύστημα RSA (Rivest, Shamir, Adlemann, 1977) Ορισμός RSA Παραγωγή κλειδιών 1 Εύρεση πρώτων p, q μεγάλου μήκους (> 1000 ψηφία) χρήση ελέγχου πρώτων αριθμών (πχ Miller-Rabin) 2 Υπολογισμός n = p q και ϕ(n) = (p 1) (q 1) 3 Επιλογή e U(Z n ) : gcd(e, ϕ(n)) = 1 4 Υπολογισμός d : e d 1 (mod ϕ(n)) χρήση Επεκτεταμένου Ευκλείδειου αλγόριθμου Δημόσιο κλειδί: e, n Ιδιωτικό κλειδί: d Κρυπτογράφηση enc(m) = m e mod n (m Z n ) Αποκρυπτογράφηση dec(c) = c d mod n Σχολή ΗΜΜΥ ΕΜΠ 2 / 27

12 Ιδιότητες του RSA Ορθότητα dec(m e mod n) (m e ) d m k ϕ(n)+1 m (mod n) Σχολή ΗΜΜΥ ΕΜΠ 3 / 27

13 Ιδιότητες του RSA Ορθότητα dec(m e mod n) (m e ) d m k ϕ(n)+1 m (mod n) Αποδεικνύεται εύκολα για m U(Z n ), αλλά ισχύει και για κάθε m Z n \ U(Z n ) (άσκηση) Σχολή ΗΜΜΥ ΕΜΠ 3 / 27

14 Ιδιότητες του RSA Ορθότητα dec(m e mod n) (m e ) d m k ϕ(n)+1 m (mod n) Αποδεικνύεται εύκολα για m U(Z n ), αλλά ισχύει και για κάθε m Z n \ U(Z n ) (άσκηση) Και οι τρεις διαδικασίες (παραγωγή κλειδιών, κρυπτογράφηση, αποκρυπτογράφηση) υλοποιούνται αποδοτικά Σχολή ΗΜΜΥ ΕΜΠ 3 / 27

15 RSA και παραγοντοποίηση Αν κάποιος μπορει να βρει τα p και q μπορεί εύκολα να υπολογίσει το ϕ(n) και επομένως και το d: RSA-decrypt(c, e, n) p FindSecrExp(e, n) p ϕ(n) Computation p Factoring(n) Σχολή ΗΜΜΥ ΕΜΠ 4 / 27

16 RSA και παραγοντοποίηση Αν κάποιος μπορει να βρει τα p και q μπορεί εύκολα να υπολογίσει το ϕ(n) και επομένως και το d: RSA-decrypt(c, e, n) p FindSecrExp(e, n) p ϕ(n) Computation p Factoring(n) Η εύρεση του ϕ(n) οδηγεί σε παραγοντοποίηση (άρα είναι παρόμοιας δυσκολίας) λύνοντας ως προς p, q: n = p q ϕ(n) = (p 1) (q 1) Σχολή ΗΜΜΥ ΕΜΠ 4 / 27

17 ϕ(n) Computation p Factoring(n) Σχολή ΗΜΜΥ ΕΜΠ 4 / 27 RSA και παραγοντοποίηση Αν κάποιος μπορει να βρει τα p και q μπορεί εύκολα να υπολογίσει το ϕ(n) και επομένως και το d: RSA-decrypt(c, e, n) p FindSecrExp(e, n) p ϕ(n) Computation p Factoring(n) Η εύρεση του ϕ(n) οδηγεί σε παραγοντοποίηση (άρα είναι παρόμοιας δυσκολίας) λύνοντας ως προς p, q: Επομένως: n = p q ϕ(n) = (p 1) (q 1) RSA-decrypt(c, e, n) p FindSecrExp(e, n) p

18 Εύρεση μυστικού εκθέτη d παραγοντοποίηση του n Πρόταση Η εύρεση του ιδιωτικού κλειδιού d (εκθέτη αποκρυπτογράφησης) του RSA, οδηγεί στην παραγοντοποίηση του n με πολύ μεγάλη πιθανότητα Απόδειξη Αν γνωρίζουμε το d μπορούμε να σχεδιάσουμε τον παρακάτω πιθανοτικό αλγόριθμο: Υπολογίζουμε u = ed 1 Ισχύει ϕ(n) ed 1 a U(Z n ) : a u 1 (mod n) Χρησιμοποιούμε την ίδια ιδέα που είδαμε στην απόδειξη του Miller-Rabin: Γράφουμε u = t 2 s και παίρνουμε sequences b t, b 2t,, b 2it, b 2st (mod n), για διάφορες τυχαία επιλεγμένες τιμές του b Όπως και στο Miller-Rabin, αποδεικνύεται ότι τουλάχιστον τα μισά b U(Z n ) δίνουν factoring sequences Σχολή ΗΜΜΥ ΕΜΠ 5 / 27

19 Η σχέση των προβλημάτων ως τώρα RSA-decrypt(c, e, n) p FindSecrExp(e, n) p ϕ(n) Computation p Factoring(n) rp FindSecrExp(e, n) Σχολή ΗΜΜΥ ΕΜΠ 6 / 27

20 Επίθεση Κοινού Γινομένου Σενάριο: μια Έμπιστη Αρχή (Trusted Third Party) διανέμει το ίδιο γινόμενο n και διαφορετικά ζεύγη (e 1, d 1 ) και (e 2, d 2 ) σε δύο χρήστες Οι πρώτοι αριθμοί p, q είναι γνωστοί μόνο στην Έμπιστη Αρχή Τι πρόβλημα υπάρχει; Σχολή ΗΜΜΥ ΕΜΠ 7 / 27

21 Επίθεση Κοινού Γινομένου Σενάριο: μια Έμπιστη Αρχή (Trusted Third Party) διανέμει το ίδιο γινόμενο n και διαφορετικά ζεύγη (e 1, d 1 ) και (e 2, d 2 ) σε δύο χρήστες Οι πρώτοι αριθμοί p, q είναι γνωστοί μόνο στην Έμπιστη Αρχή Τι πρόβλημα υπάρχει; (i) Ο χρήστης 1 μπορεί να υπολογίσει (e 1 d 1 1) και να παραγοντοποιήσει το n με τον πιθανοτικό αλγόριθμο Σχολή ΗΜΜΥ ΕΜΠ 7 / 27

22 Επίθεση Κοινού Γινομένου Σενάριο: μια Έμπιστη Αρχή (Trusted Third Party) διανέμει το ίδιο γινόμενο n και διαφορετικά ζεύγη (e 1, d 1 ) και (e 2, d 2 ) σε δύο χρήστες Οι πρώτοι αριθμοί p, q είναι γνωστοί μόνο στην Έμπιστη Αρχή Τι πρόβλημα υπάρχει; (i) Ο χρήστης 1 μπορεί να υπολογίσει (e 1 d 1 1) και να παραγοντοποιήσει το n με τον πιθανοτικό αλγόριθμο (ii) Μπορεί επίσης να υπολογίσει έναν εκθέτη αποκρυπτογράφησης χωρίς παραγοντοποίηση του n ως εξής: Σχολή ΗΜΜΥ ΕΜΠ 7 / 27

23 Επίθεση Κοινού Γινομένου Σενάριο: μια Έμπιστη Αρχή (Trusted Third Party) διανέμει το ίδιο γινόμενο n και διαφορετικά ζεύγη (e 1, d 1 ) και (e 2, d 2 ) σε δύο χρήστες Οι πρώτοι αριθμοί p, q είναι γνωστοί μόνο στην Έμπιστη Αρχή Τι πρόβλημα υπάρχει; (i) Ο χρήστης 1 μπορεί να υπολογίσει (e 1 d 1 1) και να παραγοντοποιήσει το n με τον πιθανοτικό αλγόριθμο (ii) Μπορεί επίσης να υπολογίσει έναν εκθέτη αποκρυπτογράφησης χωρίς παραγοντοποίηση του n ως εξής: Γνωρίζει ότι g 0 = e 1 d 1 1 = k ϕ(n), για κάποιο k N Σχολή ΗΜΜΥ ΕΜΠ 7 / 27

24 Επίθεση Κοινού Γινομένου Σενάριο: μια Έμπιστη Αρχή (Trusted Third Party) διανέμει το ίδιο γινόμενο n και διαφορετικά ζεύγη (e 1, d 1 ) και (e 2, d 2 ) σε δύο χρήστες Οι πρώτοι αριθμοί p, q είναι γνωστοί μόνο στην Έμπιστη Αρχή Τι πρόβλημα υπάρχει; (i) Ο χρήστης 1 μπορεί να υπολογίσει (e 1 d 1 1) και να παραγοντοποιήσει το n με τον πιθανοτικό αλγόριθμο (ii) Μπορεί επίσης να υπολογίσει έναν εκθέτη αποκρυπτογράφησης χωρίς παραγοντοποίηση του n ως εξής: Γνωρίζει ότι g 0 = e 1 d 1 1 = k ϕ(n), για κάποιο k N Από κατασκευή ισχύει gcd(e 2, ϕ(n)) = 1 Σχολή ΗΜΜΥ ΕΜΠ 7 / 27

25 Επίθεση Κοινού Γινομένου Σενάριο: μια Έμπιστη Αρχή (Trusted Third Party) διανέμει το ίδιο γινόμενο n και διαφορετικά ζεύγη (e 1, d 1 ) και (e 2, d 2 ) σε δύο χρήστες Οι πρώτοι αριθμοί p, q είναι γνωστοί μόνο στην Έμπιστη Αρχή Τι πρόβλημα υπάρχει; (i) Ο χρήστης 1 μπορεί να υπολογίσει (e 1 d 1 1) και να παραγοντοποιήσει το n με τον πιθανοτικό αλγόριθμο (ii) Μπορεί επίσης να υπολογίσει έναν εκθέτη αποκρυπτογράφησης χωρίς παραγοντοποίηση του n ως εξής: Γνωρίζει ότι g 0 = e 1 d 1 1 = k ϕ(n), για κάποιο k N Από κατασκευή ισχύει gcd(e 2, ϕ(n)) = 1 Επομένως, διαιρώντας διαδοχικά το g 0 με τους κοινούς παράγοντές του με το e 2 βρίσκουμε a = g i = k ϕ(n), gcd(e 2, a) = 1 Σχολή ΗΜΜΥ ΕΜΠ 7 / 27

26 Επίθεση Κοινού Γινομένου Σενάριο: μια Έμπιστη Αρχή (Trusted Third Party) διανέμει το ίδιο γινόμενο n και διαφορετικά ζεύγη (e 1, d 1 ) και (e 2, d 2 ) σε δύο χρήστες Οι πρώτοι αριθμοί p, q είναι γνωστοί μόνο στην Έμπιστη Αρχή Τι πρόβλημα υπάρχει; (i) Ο χρήστης 1 μπορεί να υπολογίσει (e 1 d 1 1) και να παραγοντοποιήσει το n με τον πιθανοτικό αλγόριθμο (ii) Μπορεί επίσης να υπολογίσει έναν εκθέτη αποκρυπτογράφησης χωρίς παραγοντοποίηση του n ως εξής: Γνωρίζει ότι g 0 = e 1 d 1 1 = k ϕ(n), για κάποιο k N Από κατασκευή ισχύει gcd(e 2, ϕ(n)) = 1 Επομένως, διαιρώντας διαδοχικά το g 0 με τους κοινούς παράγοντές του με το e 2 βρίσκουμε a = g i = k ϕ(n), gcd(e 2, a) = 1 Το d 2 = (e 2 ) 1 (mod a) μπορεί να χρησιμοποιηθεί ως εκθέτης αποκρυπτογράφησης (γιατί;) Σχολή ΗΜΜΥ ΕΜΠ 7 / 27

27 Μερική ανάκτηση πληροφοριών στο RSA Σχετική έννοια: Semantic Security, το υπολογιστικό ανάλογο της Perfect Secrecy Σχολή ΗΜΜΥ ΕΜΠ 8 / 27

28 Μερική ανάκτηση πληροφοριών στο RSA Σχετική έννοια: Semantic Security, το υπολογιστικό ανάλογο της Perfect Secrecy Ενδιαφέρει η ποσότητα πληροφορίας που μπορεί να διαρρεύσει σε εφικτό υπολογιστικό χρόνο Σχολή ΗΜΜΥ ΕΜΠ 8 / 27

29 Μερική ανάκτηση πληροφοριών στο RSA Σχετική έννοια: Semantic Security, το υπολογιστικό ανάλογο της Perfect Secrecy Ενδιαφέρει η ποσότητα πληροφορίας που μπορεί να διαρρεύσει σε εφικτό υπολογιστικό χρόνο Διαρροή της τιμής του συμβόλου Jacobi Έστω c = m e mod n Τότε: ( c n ) = ( me p ) ( me q ) = ( m p )e ( m q )e = ( m p ) ( m q ) = ( m n ) Σχολή ΗΜΜΥ ΕΜΠ 8 / 27

30 Μερική ανάκτηση πληροφοριών στο RSA Σχετική έννοια: Semantic Security, το υπολογιστικό ανάλογο της Perfect Secrecy Ενδιαφέρει η ποσότητα πληροφορίας που μπορεί να διαρρεύσει σε εφικτό υπολογιστικό χρόνο Διαρροή της τιμής του συμβόλου Jacobi Έστω c = m e mod n Τότε: ( c n ) = ( me p ) ( me q ) = ( m p )e ( m q )e = ( m p ) ( m q ) = ( m n ) Αυτή η διαρροή δεν θεωρείται απειλητική για την ασφάλεια του RSA Σχολή ΗΜΜΥ ΕΜΠ 8 / 27

31 Μερική ανάκτηση πληροφοριών στο RSA Έστω c = m e mod n Σχολή ΗΜΜΥ ΕΜΠ 9 / 27

32 Μερική ανάκτηση πληροφοριών στο RSA Έστω c = m e mod n Μπορούμε από τα (c, e, n) να μάθουμε το τελευταίο bit του m; Σχολή ΗΜΜΥ ΕΜΠ 9 / 27

33 Μερική ανάκτηση πληροφοριών στο RSA Έστω c = m e mod n Μπορούμε από τα (c, e, n) να μάθουμε το τελευταίο bit του m; Ή το bit που μας λέει αν m > n 2 ; Σχολή ΗΜΜΥ ΕΜΠ 9 / 27

34 Μερική ανάκτηση πληροφοριών στο RSA Έστω c = m e mod n Μπορούμε από τα (c, e, n) να μάθουμε το τελευταίο bit του m; Ή το bit που μας λέει αν m > n 2 ; Θα δούμε ότι κάθε μία από τις δύο αυτές πληροφορίες είναι ισοδύναμη με το σπάσιμο του κρυπτοσυστήματος Σχολή ΗΜΜΥ ΕΜΠ 9 / 27

35 Μερική ανάκτηση πληροφοριών στο RSA Έστω c = m e mod n Μπορούμε από τα (c, e, n) να μάθουμε το τελευταίο bit του m; Ή το bit που μας λέει αν m > n 2 ; Θα δούμε ότι κάθε μία από τις δύο αυτές πληροφορίες είναι ισοδύναμη με το σπάσιμο του κρυπτοσυστήματος parity n,e (c) = loc n,e (c) = { 0, αν m είναι άρτιος 1, αν m είναι περιττός { 0, αν m n 2 1, αν m > n 2 όπου m το μοναδικό m Z n : m e mod n = c Σχολή ΗΜΜΥ ΕΜΠ 9 / 27

36 Μερική ανάκτηση πληροφοριών στο RSA Πρόταση Αν μπορούμε να υπολογίσουμε οποιαδήποτε από τις συναρτήσεις loc ή parity (για όλες τις εισόδους) τότε μπορούμε να βρούμε το απλό κείμενο (σπάσιμο του RSA) Απόδειξη Στηρίζεται στην πολλαπλασιαστική ιδιότητα της κρυπτογράφησης RSA: enc n,e (m 1 ) enc n,e (m 2 ) = enc n,e (m 1 m 2 ) Σχολή ΗΜΜΥ ΕΜΠ 10 / 27

37 Μερική ανάκτηση πληροφοριών στο RSA Πρόταση Αν μπορούμε να υπολογίσουμε οποιαδήποτε από τις συναρτήσεις loc ή parity (για όλες τις εισόδους) τότε μπορούμε να βρούμε το απλό κείμενο (σπάσιμο του RSA) Απόδειξη Στηρίζεται στην πολλαπλασιαστική ιδιότητα της κρυπτογράφησης RSA: enc n,e (m 1 ) enc n,e (m 2 ) = enc n,e (m 1 m 2 ) Παρατηρήστε ότι: loc n,e (c) = parity n,e (enc n,e (2 m)) = parity n,e (c enc n,e (2)) Σχολή ΗΜΜΥ ΕΜΠ 10 / 27

38 Μερική ανάκτηση πληροφοριών στο RSA Πρόταση Αν μπορούμε να υπολογίσουμε οποιαδήποτε από τις συναρτήσεις loc ή parity (για όλες τις εισόδους) τότε μπορούμε να βρούμε το απλό κείμενο (σπάσιμο του RSA) Απόδειξη Στηρίζεται στην πολλαπλασιαστική ιδιότητα της κρυπτογράφησης RSA: enc n,e (m 1 ) enc n,e (m 2 ) = enc n,e (m 1 m 2 ) Παρατηρήστε ότι: loc n,e (c) = parity n,e (enc n,e (2 m)) = parity n,e (c enc n,e (2)) parity n,e (c) = loc n,e (enc n,e (m 2 1 (mod n))) = Σχολή ΗΜΜΥ ΕΜΠ 10 / 27

39 Μερική ανάκτηση πληροφοριών στο RSA Πρόταση Αν μπορούμε να υπολογίσουμε οποιαδήποτε από τις συναρτήσεις loc ή parity (για όλες τις εισόδους) τότε μπορούμε να βρούμε το απλό κείμενο (σπάσιμο του RSA) Απόδειξη Στηρίζεται στην πολλαπλασιαστική ιδιότητα της κρυπτογράφησης RSA: enc n,e (m 1 ) enc n,e (m 2 ) = enc n,e (m 1 m 2 ) Παρατηρήστε ότι: loc n,e (c) = parity n,e (enc n,e (2 m)) = parity n,e (c enc n,e (2)) parity n,e (c) = loc n,e (enc n,e (m 2 1 (mod n))) = loc n,e (c enc n,e ( n+1 2 )) Σχολή ΗΜΜΥ ΕΜΠ 10 / 27

40 Μερική ανάκτηση πληροφοριών στο RSA Πρόταση Αν μπορούμε να υπολογίσουμε οποιαδήποτε από τις συναρτήσεις loc ή parity (για όλες τις εισόδους) τότε μπορούμε να βρούμε το απλό κείμενο (σπάσιμο του RSA) Απόδειξη Στηρίζεται στην πολλαπλασιαστική ιδιότητα της κρυπτογράφησης RSA: enc n,e (m 1 ) enc n,e (m 2 ) = enc n,e (m 1 m 2 ) Παρατηρήστε ότι: loc n,e (c) = parity n,e (enc n,e (2 m)) = parity n,e (c enc n,e (2)) parity n,e (c) = loc n,e (enc n,e (m 2 1 (mod n))) = loc n,e (c enc n,e ( n+1 2 )) Επομένως οι δύο συναρτήσεις είναι ισοδύναμες υπολογιστικά (ως προς πολυωνυμικό χρόνο) Σχολή ΗΜΜΥ ΕΜΠ 10 / 27

41 Απόδειξη (συν) Μένει να εφαρμόσουμε δυαδική αναζήτηση, χρησιμοποιώντας την loc, για να βρούμε το m: loc n,e (enc(m)) = 0 x [0, n 2 ) loc n,e (enc(2m)) = 0 x [0, n 2 ) [ n 2, 3n 4 ) κοκ για log n βήματα Σχολή ΗΜΜΥ ΕΜΠ 11 / 27

42 Απόδειξη (συν) Μένει να εφαρμόσουμε δυαδική αναζήτηση, χρησιμοποιώντας την loc, για να βρούμε το m: loc n,e (enc(m)) = 0 x [0, n 2 ) loc n,e (enc(2m)) = 0 x [0, n 2 ) [ n 2, 3n 4 ) κοκ για log n βήματα Επομένως, αποδοτικός υπολογισμός της loc (ή της parity) οδηγεί σε αποκρυπτογράφηση Συμπέρασμα; Σχολή ΗΜΜΥ ΕΜΠ 11 / 27

43 Επίθεση μικρού εκθέτη Έστω τα δημόσια κλειδιά των Bob, Charlie και Diane p B = (n 1, 3), p C = (n 2, 3), p D = (n 3, 3), έχουν δηλαδή τον ίδιο μικρό εκθέτη Η Alice στέλνει σε όλους το ίδιο μήνυμα m Σχολή ΗΜΜΥ ΕΜΠ 12 / 27

44 Επίθεση μικρού εκθέτη Έστω τα δημόσια κλειδιά των Bob, Charlie και Diane p B = (n 1, 3), p C = (n 2, 3), p D = (n 3, 3), έχουν δηλαδή τον ίδιο μικρό εκθέτη Η Alice στέλνει σε όλους το ίδιο μήνυμα m Η Eve σχηματίζει το σύστημα c 1 = m 3 (mod n 1 ) c 2 = m 3 (mod n 2 ) c 3 = m 3 (mod n 3 ) Σχολή ΗΜΜΥ ΕΜΠ 12 / 27

45 Επίθεση μικρού εκθέτη Έστω τα δημόσια κλειδιά των Bob, Charlie και Diane p B = (n 1, 3), p C = (n 2, 3), p D = (n 3, 3), έχουν δηλαδή τον ίδιο μικρό εκθέτη Η Alice στέλνει σε όλους το ίδιο μήνυμα m Η Eve σχηματίζει το σύστημα c 1 = m 3 (mod n 1 ) c 2 = m 3 (mod n 2 ) c 3 = m 3 (mod n 3 ) Ερώτηση: τι δίνει το σύστημα αυτό με χρήση CRT; Σχολή ΗΜΜΥ ΕΜΠ 12 / 27

46 Επίθεση μικρού εκθέτη Έστω τα δημόσια κλειδιά των Bob, Charlie και Diane p B = (n 1, 3), p C = (n 2, 3), p D = (n 3, 3), έχουν δηλαδή τον ίδιο μικρό εκθέτη Η Alice στέλνει σε όλους το ίδιο μήνυμα m Η Eve σχηματίζει το σύστημα c 1 = m 3 (mod n 1 ) c 2 = m 3 (mod n 2 ) c 3 = m 3 (mod n 3 ) Ερώτηση: τι δίνει το σύστημα αυτό με χρήση CRT; Απάντηση: την τιμή του m 3 στο Zn 1 n 2 n 3, δηλαδή το m 3 (γιατί;) Σχολή ΗΜΜΥ ΕΜΠ 12 / 27

47 Συνιστώμενες παράμετροι του RSA n 2048 (μέχρι το 2030 περίπου, μετά n 3072) Σχολή ΗΜΜΥ ΕΜΠ 13 / 27

48 Συνιστώμενες παράμετροι του RSA n 2048 (μέχρι το 2030 περίπου, μετά n 3072) p, q περίπου ίδιου μήκους Σχολή ΗΜΜΥ ΕΜΠ 13 / 27

49 Συνιστώμενες παράμετροι του RSA n 2048 (μέχρι το 2030 περίπου, μετά n 3072) p, q περίπου ίδιου μήκους p q > 2 n Σχολή ΗΜΜΥ ΕΜΠ 13 / 27

50 Συνιστώμενες παράμετροι του RSA n 2048 (μέχρι το 2030 περίπου, μετά n 3072) p, q περίπου ίδιου μήκους p q > 2 n p 1, q 1 έχουν και μεγάλους πρώτους παράγοντες (αποφυγή κυκλικών επιθέσεων) Σχολή ΗΜΜΥ ΕΜΠ 13 / 27

51 Συνιστώμενες παράμετροι του RSA n 2048 (μέχρι το 2030 περίπου, μετά n 3072) p, q περίπου ίδιου μήκους p q > 2 n p 1, q 1 έχουν και μεγάλους πρώτους παράγοντες (αποφυγή κυκλικών επιθέσεων) < e Επιλέγεται πριν από τα p, q Σχολή ΗΜΜΥ ΕΜΠ 13 / 27

52 Συνιστώμενες παράμετροι του RSA n 2048 (μέχρι το 2030 περίπου, μετά n 3072) p, q περίπου ίδιου μήκους p q > 2 n p 1, q 1 έχουν και μεγάλους πρώτους παράγοντες (αποφυγή κυκλικών επιθέσεων) < e Επιλέγεται πριν από τα p, q ed 1 (mod λ(n) = lcm(p 1, q 1)) Σχολή ΗΜΜΥ ΕΜΠ 13 / 27

53 Συνιστώμενες παράμετροι του RSA n 2048 (μέχρι το 2030 περίπου, μετά n 3072) p, q περίπου ίδιου μήκους p q > 2 n p 1, q 1 έχουν και μεγάλους πρώτους παράγοντες (αποφυγή κυκλικών επιθέσεων) < e Επιλέγεται πριν από τα p, q ed 1 (mod λ(n) = lcm(p 1, q 1)) 2 n 2 < d < lcm(p 1, q 1) Σχολή ΗΜΜΥ ΕΜΠ 13 / 27

54 Συνιστώμενες παράμετροι του RSA n 2048 (μέχρι το 2030 περίπου, μετά n 3072) p, q περίπου ίδιου μήκους p q > 2 n p 1, q 1 έχουν και μεγάλους πρώτους παράγοντες (αποφυγή κυκλικών επιθέσεων) < e Επιλέγεται πριν από τα p, q ed 1 (mod λ(n) = lcm(p 1, q 1)) 2 n 2 < d < lcm(p 1, q 1) Περισσότερα: NIST Σχολή ΗΜΜΥ ΕΜΠ 13 / 27

55 Το κρυπτοσύστημα Rabin Ορισμός Δημόσιο κλειδί: n = pq, b < n Ιδιωτικό κλειδί: p, q Σχολή ΗΜΜΥ ΕΜΠ 14 / 27

56 Το κρυπτοσύστημα Rabin Ορισμός Δημόσιο κλειδί: n = pq, b < n Ιδιωτικό κλειδί: p, q enc(x) = (x (x + b)) mod n Σχολή ΗΜΜΥ ΕΜΠ 14 / 27

57 Το κρυπτοσύστημα Rabin Ορισμός Δημόσιο κλειδί: n = pq, b < n Ιδιωτικό κλειδί: p, q enc(x) = (x (x + b)) mod n dec(y) = x b 2 mod n, x 2 y + b2 4 (mod n) Σχολή ΗΜΜΥ ΕΜΠ 14 / 27

58 Το κρυπτοσύστημα Rabin Ορισμός Δημόσιο κλειδί: n = pq, b < n Ιδιωτικό κλειδί: p, q enc(x) = (x (x + b)) mod n dec(y) = x b 2 mod n, x 2 y + b2 4 (mod n) Η αποκρυπτογράφηση συνίσταται ουσιαστικά στην εύρεση τετραγωνικών ριζών (mod n) του y = y + b2 4 : Σχολή ΗΜΜΥ ΕΜΠ 14 / 27

59 Το κρυπτοσύστημα Rabin Ορισμός Δημόσιο κλειδί: n = pq, b < n Ιδιωτικό κλειδί: p, q enc(x) = (x (x + b)) mod n dec(y) = x b 2 mod n, x 2 y + b2 4 (mod n) Η αποκρυπτογράφηση συνίσταται ουσιαστικά στην εύρεση τετραγωνικών ριζών (mod n) του y = y + b2 4 : ±y (p+1)/4 (mod p), ±y (q+1)/4 (mod q), αν γνωρίζουμε p, q και p q 3 (mod 4) Σχολή ΗΜΜΥ ΕΜΠ 14 / 27

60 Το κρυπτοσύστημα Rabin Ορισμός Δημόσιο κλειδί: n = pq, b < n Ιδιωτικό κλειδί: p, q enc(x) = (x (x + b)) mod n dec(y) = x b 2 mod n, x 2 y + b2 4 (mod n) Η αποκρυπτογράφηση συνίσταται ουσιαστικά στην εύρεση τετραγωνικών ριζών (mod n) του y = y + b2 4 : ±y (p+1)/4 (mod p), ±y (q+1)/4 (mod q), αν γνωρίζουμε p, q και p q 3 (mod 4) Σημαντικό: η αποκρυπτογράφηση χωρίς γνώση των p, q είναι ισοδύναμη με παραγοντοποίηση του n Σχολή ΗΜΜΥ ΕΜΠ 14 / 27

61 Διακριτός Λογάριθμος Ορισμός Έστω G μία πεπερασμένη κυκλική ομάδα τάξης n, α ένας γεννήτορας της G και β G Ο διακριτός λογάριθμος (discrete logarithm) του β στη βάση α, που συμβολίζεται log α β, είναι ο μοναδικός ακέραιος x Z n τέτοιος ώστε β = α x Σχολή ΗΜΜΥ ΕΜΠ 15 / 27

62 Διακριτός Λογάριθμος Ορισμός Έστω G μία πεπερασμένη κυκλική ομάδα τάξης n, α ένας γεννήτορας της G και β G Ο διακριτός λογάριθμος (discrete logarithm) του β στη βάση α, που συμβολίζεται log α β, είναι ο μοναδικός ακέραιος x Z n τέτοιος ώστε β = α x Παράδειγμα Για p = 97, η Z 97 είναι κυκλική ομάδα τάξης n = 96 Ένας γεννήτορας της Z 97 είναι ο α = 5 Αφού (mod 97), έχουμε ότι log 5 35 = 32 στο Z 97 Σχολή ΗΜΜΥ ΕΜΠ 15 / 27

63 Το πρόβλημα του Διακριτού Λογαρίθμου στο Z p Discrete Logarithm Problem (DLP) Δίνονται: ένας πρώτος αριθμός p, ένας γεννήτορας α του Z p και ένα στοιχείο β Z p Ζητείται: Να βρεθεί ακέραιος x, 0 x p 2, τέτοιος ώστε α x β (mod p) (1) Σχολή ΗΜΜΥ ΕΜΠ 16 / 27

64 Το πρόβλημα του Διακριτού Λογαρίθμου στο Z p Discrete Logarithm Problem (DLP) Δίνονται: ένας πρώτος αριθμός p, ένας γεννήτορας α του Z p και ένα στοιχείο β Z p Ζητείται: Να βρεθεί ακέραιος x, 0 x p 2, τέτοιος ώστε α x β (mod p) (1) Το πρόβλημα DLP (στο Z p) θεωρείται υπολογιστικά δύσκολο (υπό κάποιες προϋποθέσεις) Δεν γνωρίζουμε πολυωνυμικό αλγόριθμο που να το επιλύει Σχολή ΗΜΜΥ ΕΜΠ 16 / 27

65 Δυσκολία του DLP: ανεξάρτητη του γεννήτορα Πρόταση Η δυσκολία του DLP είναι ανεξάρτητη από την επιλογή του γεννήτορα α του Z p Απόδειξη Έστω α και γ δύο γεννήτορες του Z p, και β Z p Έστω x = log α β, y = log γ β και z = log α γ Τότε α x β γ y (α z ) y (mod p), δηλαδή x zy (mod p 1) Αλλά τότε y xz 1 (mod p 1), δηλαδή: log γ β (log α β)(log α γ) 1 (mod p 1) Σχολή ΗΜΜΥ ΕΜΠ 17 / 27

66 Επομένως αν μπορούμε να υπολογίσουμε τον διακριτό λογάριθμο σε μία βάση α τότε μπορούμε να τον υπολογίσουμε σε οποιαδήποτε βάση γ, όπου α,γ γεννήτορες του Z p Σχολή ΗΜΜΥ ΕΜΠ 17 / 27 Δυσκολία του DLP: ανεξάρτητη του γεννήτορα Πρόταση Η δυσκολία του DLP είναι ανεξάρτητη από την επιλογή του γεννήτορα α του Z p Απόδειξη Έστω α και γ δύο γεννήτορες του Z p, και β Z p Έστω x = log α β, y = log γ β και z = log α γ Τότε α x β γ y (α z ) y (mod p), δηλαδή x zy (mod p 1) Αλλά τότε y xz 1 (mod p 1), δηλαδή: log γ β (log α β)(log α γ) 1 (mod p 1)

67 Αλγόριθμοι για το DLP Προφανής αλγόριθμος: Õ(p) Σχολή ΗΜΜΥ ΕΜΠ 18 / 27

68 Αλγόριθμοι για το DLP Προφανής αλγόριθμος: Õ(p) Αλγόριθμος με προεπεξεργασία: υπολογίζουμε όλα τα ζεύγη (x, α x ) και ταξινομούμε ως προς δεύτερη συντεταγμένη Χρόνος και χώρος προεπεξεργασίας Õ(p), χρόνος απάντησης ερωτήματος Õ(1) Σχολή ΗΜΜΥ ΕΜΠ 18 / 27

69 Αλγόριθμοι για το DLP Προφανής αλγόριθμος: Õ(p) Αλγόριθμος με προεπεξεργασία: υπολογίζουμε όλα τα ζεύγη (x, α x ) και ταξινομούμε ως προς δεύτερη συντεταγμένη Χρόνος και χώρος προεπεξεργασίας Õ(p), χρόνος απάντησης ερωτήματος Õ(1) Βελτιωμένη ιδέα: αλγόριθμος Shanks Σχολή ΗΜΜΥ ΕΜΠ 18 / 27

70 Αλγόριθμος Shanks Είσοδος: πρώτος p, α γεννήτορας του Z p, β Z p Έξοδος: x Z p : α x β (mod p) 1 m := p 1 2 Υπολόγισε α mj mod p, 0 j m 1 3 Ταξινόμησε τα m διατεταγμένα ζεύγη (j, α mj mod p) βάσει της δεύτερης συντεταγμένης (δηλαδή του α mj mod p), σε μια λίστα L 1 4 Υπολόγισε βα i mod p, 0 i m 1 5 Ταξινόμησε τα m διατεταγμένα ζεύγη (i, βα i mod p) βάσει της δεύτερης συντεταγμένης (δηλαδή του βα i mod p), σε μια λίστα L 2 6 Αναζήτησε ζεύγος (j, y) L 1 τέτοιο ώστε (i, y) L 2 7 Επίστρεψε mj + i mod (p 1) Σχολή ΗΜΜΥ ΕΜΠ 19 / 27

71 Ορθότητα αλγορίθμου Shanks: α mj y βα i (mod p) α mj+i βpmodp Σχολή ΗΜΜΥ ΕΜΠ 20 / 27

72 Ορθότητα αλγορίθμου Shanks: α mj y βα i (mod p) α mj+i βpmodp Πολυπλοκότητα: Õ( p) σε χρόνο και Õ( p) σε χώρο Σχολή ΗΜΜΥ ΕΜΠ 20 / 27

73 Ανταλλαγή Κλειδιού Diffie-Hellman Πρωτόκολλο ανταλλαγής κλειδιού Diffie-Hellman Σχολή ΗΜΜΥ ΕΜΠ 21 / 27

74 Ανταλλαγή Κλειδιού Diffie-Hellman Πρωτόκολλο ανταλλαγής κλειδιού Diffie-Hellman 1 Επιλογή κοινού πρώτου p, και γεννήτορα α του Z p Σχολή ΗΜΜΥ ΕΜΠ 21 / 27

75 Ανταλλαγή Κλειδιού Diffie-Hellman Πρωτόκολλο ανταλλαγής κλειδιού Diffie-Hellman 1 Επιλογή κοινού πρώτου p, και γεννήτορα α του Z p 2 Η Αλίκη επιλέγει έναν τυχαίο ακέραιο x που το γνωρίζει μόνο αυτή και στέλνει στον Βασίλη το μήνυμα: α x mod p Σχολή ΗΜΜΥ ΕΜΠ 21 / 27

76 Ανταλλαγή Κλειδιού Diffie-Hellman Πρωτόκολλο ανταλλαγής κλειδιού Diffie-Hellman 1 Επιλογή κοινού πρώτου p, και γεννήτορα α του Z p 2 Η Αλίκη επιλέγει έναν τυχαίο ακέραιο x που το γνωρίζει μόνο αυτή και στέλνει στον Βασίλη το μήνυμα: α x mod p 3 O Βασίλης επιλέγει έναν τυχαίο ακέραιο y που γνωρίζει μόνο αυτός και στέλνει στην Αλίκη το μήνυμα: α y mod p Σχολή ΗΜΜΥ ΕΜΠ 21 / 27

77 Ανταλλαγή Κλειδιού Diffie-Hellman Πρωτόκολλο ανταλλαγής κλειδιού Diffie-Hellman 1 Επιλογή κοινού πρώτου p, και γεννήτορα α του Z p 2 Η Αλίκη επιλέγει έναν τυχαίο ακέραιο x που το γνωρίζει μόνο αυτή και στέλνει στον Βασίλη το μήνυμα: α x mod p 3 O Βασίλης επιλέγει έναν τυχαίο ακέραιο y που γνωρίζει μόνο αυτός και στέλνει στην Αλίκη το μήνυμα: α y mod p 4 Βασίλης: k = (α x ) y mod p Σχολή ΗΜΜΥ ΕΜΠ 21 / 27

78 Ανταλλαγή Κλειδιού Diffie-Hellman Πρωτόκολλο ανταλλαγής κλειδιού Diffie-Hellman 1 Επιλογή κοινού πρώτου p, και γεννήτορα α του Z p 2 Η Αλίκη επιλέγει έναν τυχαίο ακέραιο x που το γνωρίζει μόνο αυτή και στέλνει στον Βασίλη το μήνυμα: α x mod p 3 O Βασίλης επιλέγει έναν τυχαίο ακέραιο y που γνωρίζει μόνο αυτός και στέλνει στην Αλίκη το μήνυμα: α y mod p 4 Βασίλης: k = (α x ) y mod p Αλίκη: k = (α y ) x mod p Σχολή ΗΜΜΥ ΕΜΠ 21 / 27

79 Ανταλλαγή Κλειδιού Diffie-Hellman Πρωτόκολλο ανταλλαγής κλειδιού Diffie-Hellman 1 Επιλογή κοινού πρώτου p, και γεννήτορα α του Z p 2 Η Αλίκη επιλέγει έναν τυχαίο ακέραιο x που το γνωρίζει μόνο αυτή και στέλνει στον Βασίλη το μήνυμα: α x mod p 3 O Βασίλης επιλέγει έναν τυχαίο ακέραιο y που γνωρίζει μόνο αυτός και στέλνει στην Αλίκη το μήνυμα: α y mod p 4 Βασίλης: k = (α x ) y mod p Αλίκη: k = (α y ) x mod p Η ασφάλεια του πρωτοκόλλου αυτού φαίνεται να βασίζεται στην δυσκολία του DLP Αυτό δεν είναι απόλυτα ακριβές Σχολή ΗΜΜΥ ΕΜΠ 21 / 27

80 Ανταλλαγή Κλειδιού Diffie-Hellman Πρωτόκολλο ανταλλαγής κλειδιού Diffie-Hellman 1 Επιλογή κοινού πρώτου p, και γεννήτορα α του Z p 2 Η Αλίκη επιλέγει έναν τυχαίο ακέραιο x που το γνωρίζει μόνο αυτή και στέλνει στον Βασίλη το μήνυμα: α x mod p 3 O Βασίλης επιλέγει έναν τυχαίο ακέραιο y που γνωρίζει μόνο αυτός και στέλνει στην Αλίκη το μήνυμα: α y mod p 4 Βασίλης: k = (α x ) y mod p Αλίκη: k = (α y ) x mod p Η ασφάλεια του πρωτοκόλλου αυτού φαίνεται να βασίζεται στην δυσκολία του DLP Αυτό δεν είναι απόλυτα ακριβές Στην πραγματικότητα, η ασφάλεια του πρωτοκόλλου Diffie-Hellman ταυτίζεται με την υπολογιστική δυσκολία του Προβλήματος Diffie-Hellman (DHP) Σχολή ΗΜΜΥ ΕΜΠ 21 / 27

81 Το Πρόβλημα Diffie-Hellman Diffie-Hellman Problem (DHP) Δίνονται: ένας πρώτος αριθμός p, ένας γεννήτορας α του Z p και τα στοιχεία α a mod p, α b mod p Z p Σχολή ΗΜΜΥ ΕΜΠ 22 / 27

82 Το Πρόβλημα Diffie-Hellman Diffie-Hellman Problem (DHP) Δίνονται: ένας πρώτος αριθμός p, ένας γεννήτορας α του Z p και τα στοιχεία α a mod p, α b mod p Z p Ζητείται: Να βρεθεί το α ab mod p Πρόταση Το DHP ανάγεται σε πολυωνυμικό χρόνο στο DLP: DHP p DLP Σχολή ΗΜΜΥ ΕΜΠ 22 / 27

83 Το Πρόβλημα Diffie-Hellman Diffie-Hellman Problem (DHP) Δίνονται: ένας πρώτος αριθμός p, ένας γεννήτορας α του Z p και τα στοιχεία α a mod p, α b mod p Z p Ζητείται: Να βρεθεί το α ab mod p Πρόταση Το DHP ανάγεται σε πολυωνυμικό χρόνο στο DLP: DHP p DLP Πράγματι, αν x = α a mod p και y = α b mod p, τότε a = log α x και b = log α y Επομένως, λύνοντας το DLP, μπορούμε να υπολογίσουμε τα a, b άρα και το α ab mod p Σχολή ΗΜΜΥ ΕΜΠ 22 / 27

84 Το Πρόβλημα Diffie-Hellman Diffie-Hellman Problem (DHP) Δίνονται: ένας πρώτος αριθμός p, ένας γεννήτορας α του Z p και τα στοιχεία α a mod p, α b mod p Z p Ζητείται: Να βρεθεί το α ab mod p Πρόταση Το DHP ανάγεται σε πολυωνυμικό χρόνο στο DLP: DHP p DLP Πράγματι, αν x = α a mod p και y = α b mod p, τότε a = log α x και b = log α y Επομένως, λύνοντας το DLP, μπορούμε να υπολογίσουμε τα a, b άρα και το α ab mod p Δεν γνωρίζουμε αν ισχύει και το αντίστροφο (DLP p DHP) Σχολή ΗΜΜΥ ΕΜΠ 22 / 27

85 Το Πρόβλημα Απόφασης Diffie-Hellman Decision Diffie-Hellman Problem (DDHP) Δίνονται: ένας πρώτος αριθμός p, ένας γεννήτορας α του Z p και δύο τριάδες α a, α b, α c, α a, α b, α ab (mod p) Σχολή ΗΜΜΥ ΕΜΠ 23 / 27

86 Το Πρόβλημα Απόφασης Diffie-Hellman Decision Diffie-Hellman Problem (DDHP) Δίνονται: ένας πρώτος αριθμός p, ένας γεννήτορας α του Z p και δύο τριάδες α a, α b, α c, α a, α b, α ab (mod p) Ζητείται: Να βρεθεί (με πιθανότητα αρκετά μεγαλύτερη από 1/2) ποιά είναι η σωστή τριάδα, δηλαδή η α a, α b, α ab Για αποφυγή σύγχυσης, το κλασικό πρόβλημα DHP αναφέρεται συχνά και ως Computational Diffie-Hellman Problem (CDHP) Σχολή ΗΜΜΥ ΕΜΠ 23 / 27

87 Η σχετική δυσκολία των DDHP, CDHP, DLP Προφανώς ισχύει: DDHP p CDHP p DLP Σχολή ΗΜΜΥ ΕΜΠ 24 / 27

88 Η σχετική δυσκολία των DDHP, CDHP, DLP Προφανώς ισχύει: DDHP p CDHP p DLP Cryptographic assumptions Για κάθε πρόβλημα ορίζεται και η αντίστοιχη υπόθεση υπολογιστικής δυσκολίας του: DDH, CDH, DL Σχολή ΗΜΜΥ ΕΜΠ 24 / 27

89 Η σχετική δυσκολία των DDHP, CDHP, DLP Προφανώς ισχύει: DDHP p CDHP p DLP Cryptographic assumptions Για κάθε πρόβλημα ορίζεται και η αντίστοιχη υπόθεση υπολογιστικής δυσκολίας του: DDH, CDH, DL Η σειρά ισχύος των υποθέσεων: DDH CDH DL Σχολή ΗΜΜΥ ΕΜΠ 24 / 27

90 Η σχετική δυσκολία των DDHP, CDHP, DLP Προφανώς ισχύει: DDHP p CDHP p DLP Cryptographic assumptions Για κάθε πρόβλημα ορίζεται και η αντίστοιχη υπόθεση υπολογιστικής δυσκολίας του: DDH, CDH, DL Η σειρά ισχύος των υποθέσεων: DDH CDH DL Σημαντική παρατήρηση: υπάρχουν κυκλικές ομάδες όπου το DDHP είναι εύκολο (υπό προϋποθέσεις), ενώ το CDHP θεωρείται δύσκολο Παράδειγμα: η ομάδα Z p (λόγω της δυνατότητας υπολογισμού του τελευταίου bit του διακριτού λογαρίθμου) Σχολή ΗΜΜΥ ΕΜΠ 24 / 27

91 Το κρυπτοσύστημα ElGamal (Taher ElGamal, Crypto 84) Παραγωγή κλειδιών Η Alice διαλέγει ένα πρώτο p, όπου ο p 1 έχει τουλάχιστον ένα μεγάλο παράγοντα, ένα γεννήτορα g της Z p, και τυχαίο a Z p Δημόσιο κλειδί της Alice: p, g, g a mod p Ιδιωτικό κλειδί της Alice: a Σχολή ΗΜΜΥ ΕΜΠ 25 / 27

92 Το κρυπτοσύστημα ElGamal (Taher ElGamal, Crypto 84) Παραγωγή κλειδιών Η Alice διαλέγει ένα πρώτο p, όπου ο p 1 έχει τουλάχιστον ένα μεγάλο παράγοντα, ένα γεννήτορα g της Z p, και τυχαίο a Z p Δημόσιο κλειδί της Alice: p, g, g a mod p Ιδιωτικό κλειδί της Alice: a Κρυπτογράφηση 1 Ο Bob επιλέγει τυχαίο k {2, 3,, p 2} Σχολή ΗΜΜΥ ΕΜΠ 25 / 27

93 Το κρυπτοσύστημα ElGamal (Taher ElGamal, Crypto 84) Παραγωγή κλειδιών Η Alice διαλέγει ένα πρώτο p, όπου ο p 1 έχει τουλάχιστον ένα μεγάλο παράγοντα, ένα γεννήτορα g της Z p, και τυχαίο a Z p Δημόσιο κλειδί της Alice: p, g, g a mod p Ιδιωτικό κλειδί της Alice: a Κρυπτογράφηση 1 Ο Bob επιλέγει τυχαίο k {2, 3,, p 2} 2 Ο Bob υπολογίζει γ = g k mod p και δ = m(g a ) k mod p και στέλνει το ζευγάρι (γ, δ) στην Alice (1-to-2 message expansion) Σχολή ΗΜΜΥ ΕΜΠ 25 / 27

94 Το κρυπτοσύστημα ElGamal (Taher ElGamal, Crypto 84) Παραγωγή κλειδιών Η Alice διαλέγει ένα πρώτο p, όπου ο p 1 έχει τουλάχιστον ένα μεγάλο παράγοντα, ένα γεννήτορα g της Z p, και τυχαίο a Z p Δημόσιο κλειδί της Alice: p, g, g a mod p Ιδιωτικό κλειδί της Alice: a Κρυπτογράφηση 1 Ο Bob επιλέγει τυχαίο k {2, 3,, p 2} 2 Ο Bob υπολογίζει γ = g k mod p και δ = m(g a ) k mod p και στέλνει το ζευγάρι (γ, δ) στην Alice (1-to-2 message expansion) Αποκρυπτογράφηση 1 Η Alice πρώτα υπολογίζει: γ a g ak (mod p) και μετά αντιστρέφει σε (g ak ) 1 Σχολή ΗΜΜΥ ΕΜΠ 25 / 27

95 Το κρυπτοσύστημα ElGamal (Taher ElGamal, Crypto 84) Παραγωγή κλειδιών Η Alice διαλέγει ένα πρώτο p, όπου ο p 1 έχει τουλάχιστον ένα μεγάλο παράγοντα, ένα γεννήτορα g της Z p, και τυχαίο a Z p Δημόσιο κλειδί της Alice: p, g, g a mod p Ιδιωτικό κλειδί της Alice: a Κρυπτογράφηση 1 Ο Bob επιλέγει τυχαίο k {2, 3,, p 2} 2 Ο Bob υπολογίζει γ = g k mod p και δ = m(g a ) k mod p και στέλνει το ζευγάρι (γ, δ) στην Alice (1-to-2 message expansion) Αποκρυπτογράφηση 1 Η Alice πρώτα υπολογίζει: γ a g ak (mod p) και μετά αντιστρέφει σε (g ak ) 1 2 Τέλος υπολογίζει: (g ak ) 1 δ mod p (g ak ) 1 (m(g a ) k ) (g ak ) 1 m g ak m Σχολή ΗΜΜΥ ΕΜΠ 25 / 27

96 Παρατηρήσεις στο ElGamal Επειδή το k είναι τυχαίο η κρυπτογράφηση είναι πιθανοτική Σχολή ΗΜΜΥ ΕΜΠ 26 / 27

97 Παρατηρήσεις στο ElGamal Επειδή το k είναι τυχαίο η κρυπτογράφηση είναι πιθανοτική Ερώτηση: σε ποιο πρόβλημα στηρίζεται η ασφάλεια του ElGamal; Σχολή ΗΜΜΥ ΕΜΠ 26 / 27

98 Παρατηρήσεις στο ElGamal Επειδή το k είναι τυχαίο η κρυπτογράφηση είναι πιθανοτική Ερώτηση: σε ποιο πρόβλημα στηρίζεται η ασφάλεια του ElGamal; Απάντηση: στο DHP (γιατί;) Σχολή ΗΜΜΥ ΕΜΠ 26 / 27

99 Παρατηρήσεις στο ElGamal Επειδή το k είναι τυχαίο η κρυπτογράφηση είναι πιθανοτική Ερώτηση: σε ποιο πρόβλημα στηρίζεται η ασφάλεια του ElGamal; Απάντηση: στο DHP (γιατί;) Και μάλιστα με ισοδυναμία!: CDHP p ElGamal-decrypt Σχολή ΗΜΜΥ ΕΜΠ 26 / 27

100 Επανάληψη του k επίθεση KPA Έστω m 1, m 2 δύο απλά κείμενα και (γ, δ 1 ), (γ, δ 2 ) τα αντίστοιχα κρυπτοκείμενα (με χρήση του ίδιου k) Η Eve γνωρίζoντας τα γ, δ 1, δ 2, και m 1 (KPA), υπολογίζει το m 2 ως εξής: Σχολή ΗΜΜΥ ΕΜΠ 27 / 27

101 Επανάληψη του k επίθεση KPA Έστω m 1, m 2 δύο απλά κείμενα και (γ, δ 1 ), (γ, δ 2 ) τα αντίστοιχα κρυπτοκείμενα (με χρήση του ίδιου k) Η Eve γνωρίζoντας τα γ, δ 1, δ 2, και m 1 (KPA), υπολογίζει το m 2 ως εξής: } { δ 1 m 1 g ak (mod p) δ 1 1 δ 2 m 2 g ak m 1 g ak (mod p) (mod p) δ 2 g ak m 2 (mod p) Σχολή ΗΜΜΥ ΕΜΠ 27 / 27

102 Επανάληψη του k επίθεση KPA Έστω m 1, m 2 δύο απλά κείμενα και (γ, δ 1 ), (γ, δ 2 ) τα αντίστοιχα κρυπτοκείμενα (με χρήση του ίδιου k) Η Eve γνωρίζoντας τα γ, δ 1, δ 2, και m 1 (KPA), υπολογίζει το m 2 ως εξής: } { δ 1 m 1 g ak (mod p) δ 1 1 δ 2 m 2 g ak m 1 g ak (mod p) (mod p) δ 2 g ak m 2 (mod p) Οπότε m 2 δ 2 δ 1 1 m 1 (mod p) Σχολή ΗΜΜΥ ΕΜΠ 27 / 27

103 Χρηματοδότηση Το παρόν εκπαιδευτικό υλικό έχει αναπτυχθεί στα πλαίσια του εκπαιδευτικού έργου του διδάσκοντα Το έργο «Ανοικτά Ακαδημαϊκά Μαθήματα» του ΕΜΠ έχει χρηματοδοτήσει μόνο την αναδιαμόρφωση του υλικού Το έργο υλοποιείται στο πλαίσιο του Επιχειρησιακού Προγράμματος «Εκπαίδευση και Δια Βίου Μάθηση» και συγχρηματοδοτείται από την Ευρωπαϊκή Ένωση (Ευρωπαϊκό Κοινωνικό Ταμείο) και από εθνικούς πόρους