Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Σχετικά έγγραφα
Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Υπολογιστική Θεωρία Αριθμών και Κρυπτογραφία

Επιθέσεις και Ασφάλεια Κρυπτοσυστημάτων

Υπολογιστική Θεωρία Αριθμών και Κρυπτογραφία

Κρυπτοσύστημα RSA (Rivest, Shamir, Adlemann, 1977) Υπολογιστική Θεωρία Αριθμών και Κρυπτογραφία

Κρυπτογραφία Δημοσίου Κλειδιού

Εφαρμοσμένη Κρυπτογραφία Ι

Ελλειπτικές καμπύλες. Παναγιώτης Γροντάς 11/12/2018. ΕΜΠ - Κρυπτογραφία ( ) Elliptic Curves - Pairings 1 / 65

Γενικά Μία μέθοδος κρυπτογραφίας δημοσίου κλειδιού Αντί για δακτύλιους της μορφής Z n χρησιμοποιεί ελλειπτικές καμπύλες ορισμένες σε πεπερασμένα σώματ

Το κρυπτοσύστημα RSA

El Gamal Αλγόριθμος. Κώστας Λιμνιώτης Κρυπτογραφία - Εργαστηριακό μάθημα 7 2

Μοντέλα και Αποδείξεις Ασφάλειας στην Κρυπτογραφία - Ανταλλαγή Κλειδιού Diffie Hellman

Αριθμοθεωρητικοί Αλγόριθμοι

Το κρυπτοσύστημα RSA

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ. Δ Εξάμηνο

Μοντέλα και Αποδείξεις Ασφάλειας στην Κρυπτογραφία - Ανταλλαγή Κλειδιού Diffie Hellman

Εφαρμοσμένη Κρυπτογραφία Ι

Στοιχεία Θεωρίας Αριθμών & Εφαρμογές στην Κρυπτογραφία

Υπολογιστική Θεωρία Αριθμών και Κρυπτογραφία

Κρυπτογραφία. Κεφάλαιο 4 Αλγόριθμοι Δημοσίου Κλειδιού (ή ασύμμετροι αλγόριθμοι)

Μοντέλα και Αποδείξεις Ασφάλειας στην Κρυπτογραφία

Μοντέλα και Αποδείξεις Ασφάλειας στην Κρυπτογραφία - Ανταλλαγή Κλειδιού Diffie Hellman

Ψηφιακές Υπογραφές. Παναγιώτης Γροντάς - Άρης Παγουρτζής. ΕΜΠ - Κρυπτογραφία - ( ) 28/11/2017. Digital Signatures 1 / 57

Στοιχεία Θεωρίας Αριθμών

W i. Subset Sum Μια παραλλαγή του προβλήματος knapsack είναι το πρόβλημα Subset Sum, το οποίο δεν λαμβάνει υπόψιν την αξία των αντικειμένων:

Ψηφιακές Υπογραφές. Παναγιώτης Γροντάς - Άρης Παγουρτζής 09/12/2016. ΕΜΠ - Κρυπτογραφία - ( )

Το κρυπτοσύστημα RSA. Παναγιώτης Γροντάς - Άρης Παγουρτζής 20/11/2018. ΕΜΠ - Κρυπτογραφία ( ) RSA 1 / 51

ΑΣΦΑΛΕΙΑ & ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ(Θ)

Κεφάλαιο 21. Κρυπτογραφία δημόσιου κλειδιού και πιστοποίηση ταυτότητας μηνυμάτων

Κρυπτογραφία. Έλεγχος πρώτων αριθών-παραγοντοποίηση. Διαφάνειες: Άρης Παγουρτζής Πέτρος Ποτίκας

Πανεπιστήμιο Πειραιά Τμήμα Ψηφιακών Συστημάτων. Κρυπτογραφία. Εισαγωγή. Χρήστος Ξενάκης

KΕΦΑΛΑΙΟ 5 ΨΗΦΙΑΚΕΣ ΥΠΟΓΡΑΦΕΣ

Παύλος Εφραιμίδης. Βασικές Έννοιες Κρυπτογραφίας. Ασφ Υπολ Συστ

Εφαρμοσμένη Κρυπτογραφία Ι

Κρυπτογραφικά Πρωτόκολλα

Cryptography and Network Security Chapter 9. Fifth Edition by William Stallings

ΥΠΟΛΟΓΙΣΤΙΚΗ ΚΡΥΠΤΟΓΡΑΦΙΑ

Στοιχεία Θεωρίας Αριθμών & Εφαρμογές στην Κρυπτογραφία

Υπολογιστική Θεωρία Αριθμών και Κρυπτογραφία

Threshold Cryptography Algorithms. Εργασία στα πλαίσια του μαθήματος Τεχνολογίες Υπολογιστικού Νέφους

Αποδείξεις Μηδενικής Γνώσης

Εισαγωγή στην επιστήμη της Πληροφορικής και των Τηλεπικοινωνιών. Aσφάλεια

Διακριτά Μαθηματικά ΙΙ Χρήστος Νομικός Τμήμα Μηχανικών Η/Υ και Πληροφορικής Πανεπιστήμιο Ιωαννίνων 2018 Χρήστος Νομικός ( Τμήμα Μηχανικών Η/Υ Διακριτά

Εφαρμοσμένη Κρυπτογραφία Ι

ΠΕΡΙΕΧΟΜΕΝΑ 1. Εισαγωγή 2. Θεωρία αριθμών Αλγεβρικές δομές 3. Οι κρυπταλγόριθμοι και οι ιδιότητές τους

Εφαρμοσμένη Κρυπτογραφία Ι

Στοιχεία Θεωρίας Αριθμών & Εφαρμογές στην Κρυπτογραφία

Οικονομικό Πανεπιστήμιο Αθηνών Τμήμα Πληροφορικής ΠΜΣ στα Πληροφοριακά Συστήματα Κρυπτογραφία και Εφαρμογές Διαλέξεις Ακ.

Κρυπτοσυστήματα Δημοσίου Κλειδιού

Αποδείξεις Μηδενικής Γνώσης

Βασικές Έννοιες Κρυπτογραφίας

Κρυπτογραφία Δημόσιου Κλειδιού II Αλγόριθμος RSA

Αλγεβρικές Δομές και Αριθμοθεωρία

Κρυπτογραφία. MAC - Γνησιότητα/Ακεραιότητα μηνύματος. Πέτρος Ποτίκας

Στοιχεία Θεωρίας Αριθμών & Εφαρμογές στην Κρυπτογραφία

Πανεπιστήμιο Πειραιά Τμήμα Ψηφιακών Συστημάτων. Κρυπτογραφία. Ασύμμετρη Κρυπτογραφία. Χρήστος Ξενάκης

ΑΣΥΜΜΕΤΡΗ ΚΡΥΠΤΟΓΡΑΦΙΑ Lab 3

Εισαγωγή στην Κρυπτολογία 3. Ασφάλεια Τηλεπικοινωνιακών Συστημάτων Κωδικός DIΤ114 Σταύρος ΝΙΚΟΛΟΠΟΥΛΟΣ

Κρυπτογραφία. MAC - Γνησιότητα/Ακεραιότητα μηνύματος. Πέτρος Ποτίκας

Εισαγωγή στην επιστήμη της Πληροφορικής και των. Aσφάλεια

Κρυπτογραφία. MAC - Γνησιότητα/Ακεραιότητα μηνύματος. Πέτρος Ποτίκας

Public Key Cryptography. Dimitris Mitropoulos

Εφαρμοσμένη Κρυπτογραφία Ι

* * * ( ) mod p = (a p 1. 2 ) mod p.

6 ΑΣΥΜΜΕΤΡΗ ΚΡΥΠΤΟΓΡΑΦΙΑ

Παύλος Εφραιμίδης. Βασικές Έννοιες Κρυπτογραφίας. Ασφ Υπολ Συστ

Κρυπτογραφία. MAC - Γνησιότητα/Ακεραιότητα μηνύματος. Πέτρος Ποτίκας

Εισαγωγή στην επιστήμη της Πληροφορικής και των Τηλεπικοινωνιών. Aσφάλεια

Οικονομικό Πανεπιστήμιο Αθηνών Τμήμα Πληροφορικής ΠΜΣ στα Πληροφοριακά Συστήματα Κρυπτογραφία και Εφαρμογές Διαλέξεις Ακ.

1 Diffie-Hellman Key Exchange Protocol

Εισαγωγή στην Κρυπτογραφία και τις Ψηφιακές Υπογραφές

Κεφάλαιο 2. Μαθηματικό Υπόβαθρο. 2.1 Θεωρία Αριθμών Διαιρετότητα

Αλγόριθµοι δηµόσιου κλειδιού

8.3.4 Τεχνικές Ασφάλειας Συμμετρική Κρυπτογράφηση Ασυμμετρική Κρυπτογράφηση Ψηφιακές Υπογραφές

Κεφάλαιο 12. Προηγμένα Θέματα Κβαντική Κρυπτογραφία Κβαντικοί Υπολογισμοί

Το Πρόβλημα του Διακριτού Λογαρίθμου

Οικονομικό Πανεπιστήμιο Αθηνών Τμήμα Πληροφορικής ΠΜΣ στα Πληροφοριακά Συστήματα Κρυπτογραφία και Εφαρμογές Διαλέξεις Ακ.

ΕΙΣΑΓΩΓΗ ΣΤΗΝ ΚΡΥΠΤΟΛΟΓΙΑ ΣΗΜΕΙΩΣΕΙΣ #6 ΘΕΟ ΟΥΛΟΣ ΓΑΡΕΦΑΛΑΚΗΣ

Αποδείξεις Μηδενικής Γνώσης

Ασφάλεια Πληροφοριακών Συστημάτων

ΤΜΗΜΑ ΕΦΑΡΜΟΣΜΕΝΗΣ ΠΛΗΡΟΦΟΡΙΚΗΣ ΜΕΤΑΠΤΥΧΙΑΚΟ ΣΤΗΝ ΕΦΑΡΜΟΣΜΕΝΗ ΠΛΗΡΟΦΟΡΙΚΗ

Πανεπιστήμιο Πειραιά Τμήμα Ψηφιακών Συστημάτων. Κρυπτογραφία. Θεωρία αριθμών Αλγεβρικές δομές. Χρήστος Ξενάκης

Κρυπτογραφία. Κρυπτοσυστήματα ροής. Πέτρος Ποτίκας. Εθνικό Μετσόβιο Πολυτεχνείο Σχολή Ηλεκτρολόγων Μηχανικών και Μηχανικών Υπολογιστών

ΕΠΛ 674: Εργαστήριο 1 Ασφάλεια Επικοινωνιακών Συστημάτων - Κρυπτογραφία

Πρόλογος 1. 1 Μαθηµατικό υπόβαθρο 9

Αυθεντικοποίηση μηνύματος και Κρυπτογραφία δημόσιου κλειδιού

Κρυπτογραφία. Κωνσταντίνου Ελισάβετ

Πρόβληµα 2 (12 µονάδες)

Blum Blum Shub Generator

KΕΦΑΛΑΙΟ 1 ΧΡΗΣΙΜΕΣ ΜΑΘΗΜΑΤΙΚΕΣ ΕΝΝΟΙΕΣ. { 1,2,3,..., n,...

ΑΛΓΟΡΙΘΜΟΙ ΚΑΙ ΠΟΛΥΠΛΟΚΟΤΗΤΑ 2 ΕΠΙΜΕΛΕΙΑ :ΣΤΟΥΚΑ ΑΙΚΑΤΕΡΙΝΗ-ΠΑΝΑΓΙΩΤΑ ΜΕΤΑΠΤΥΧΙΑΚΟ:ΜΠΛΑ

Κρυπτογραφία. Κωνσταντίνου Ελισάβετ

Κεφάλαιο 8. Συναρτήσεις Σύνοψης. 8.1 Εισαγωγή

Ασφάλεια Τηλεπικοινωνιακών Συστημάτων ΣΤΑΥΡΟΣ Ν ΝΙΚΟΛΟΠΟΥΛΟΣ 03 ΕΙΣΑΓΩΓΗ ΣΤΗΝ ΚΡΥΠΤΟΛΟΓΙΑ

ΤΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗΣ ΑΛΕΞΑΝΔΡΕΙΟ ΤΕΧΝΟΛΟΓΙΚΟ ΕΚΠΑΙΔΕΥΤΙΚΟ ΙΔΡΥΜΑ ΘΕΣΣΑΛΟΝΙΚΗΣ ΜΕΘΟΔΟΙ ΚΡΥΠΤΟΓΡΑΦΙΑΣ ΣΤΗΝ ΠΛΗΡΟΦΟΡΙΚΗ

Κρυπτογραφία. Κωνσταντίνου Ελισάβετ

κρυπτογραϕία Ψηφιακή ασφάλεια και ιδιωτικότητα Γεώργιος Σπαθούλας Msc Πληροφορική και υπολογιστική βιοιατρική Πανεπιστήμιο Θεσσαλίας

project RSA και Rabin-Williams

ΑΣΥΜΜΕΤΡΗ ΚΡΥΠΤΟΓΡΑΦΙΑ

Transcript:

Κρυπτοσυστήματα Διακριτού Λογαρίθμου Παναγιώτης Γροντάς - Άρης Παγουρτζής ΕΜΠ - Κρυπτογραφία (2017-2018) 21/11/2017 DLP 1 / 62 Περιεχόμενα Διακριτός Λογάριθμος: Προβλήματα και Αλγόριθμοι Το κρυπτοσύστημα ElGamal Το κρυπτοσύστημα Cramer Shoup Σχήματα Δέσμευσης με βάση το DLP Ελλειπτικές Καμπύλες DLP 2 / 62

Προβλήματα Διακριτού Λογαρίθμου I DLP - Το πρόβλημα του Διακριτού Λογαρίθμου Δίνεται μια κυκλική ομάδα G = g τάξης q και ένα τυχαίο στοιχείο y G Να υπολογιστεί x Z q ώστε g x = y δηλ. το log g y Z q CDHP - Το υπολογιστικό πρόβλημα Diffie Hellman Δίνεται μια κυκλική ομάδα G = g, δύο στοιχεία y 1 = g x 1, y 2 = g x 2 Να υπολογιστεί το g x 1 x 2 DLP DLP 3 / 62 Προβλήματα Διακριτού Λογαρίθμου II DDHP - Το πρόβλημα απόφασης Diffie Hellman Δίνεται μια κυκλική ομάδα G = g, δύο στοιχεία y 1 = g x 1, y 2 = g x 2 και κάποιο y G Να εξεταστεί αν y = g x 1 x 2 ή ισοδύναμα DDHP - Το πρόβλημα απόφασης Diffie Hellman Δίνεται μια κυκλική ομάδα G = g, δύο στοιχεία y 1 = g x 1, y 2 = g x 2 και κάποιο y G Μπορούμε να ξεχωρίσουμε τις τριάδες (g x 1, g x 2, g x 1x 2 ) και (g x 1, g x 2, y); DLP DLP 4 / 62

Σχέσεις Προβλημάτων CDHP DLP Αν μπορούμε να λύσουμε το DLP, τότε μπορούμε να υπολογίζουμε τα x 1, x 2 από τα y 1, y 2 και στην συνέχεια το g x 1 x 2 DDHP CDHP Αν μπορούμε να λύσουμε το CDHP, υπολογίζουμε το g x 1 x 2 ελέγχουμε ισότητα με το y Δηλαδή: DDHP CDHP DLP και DLP DLP 5 / 62 Επιλογή Ομάδας Καθορίζει τη δυσκολία του προβλήματος Δύο επιλογές: (Z p, ) με p πρώτο (σε υποομάδα) (E(F p ), +) Διαφορετική πράξη, παρά το όνομα Διαφορετική τιμή για παράμετρο ασφάλειας DLP DLP 6 / 62

Αλγόριθμοι DLP Brute Force Για ομάδα G = g τάξης q λ bits Δοκιμή όλων των x Z q μέχρι να βρεθεί τέτοιο ώστε g x = y Πολυπλοκότητα O(2 λ ) Γενικευμένη μέθοδος - δεν εξαρτάται απο χαρακτηριστικά ομάδας DLP DLP 7 / 62 Αλγόριθμος Baby step - Giant Step (Shanks) Αλγόριθμος Meet-In-The Middle Ισχύει x = ak + b, k Z, x Z Για να μην χρειαστεί εύρεση αντιστρόφου: x = ak b y = g ak g b yg b = g ak Θα υπολογίζουμε yg b και g ak μέχρι να συναντηθούν 1 Ξεκινάμε στη μέση : k = q 2 Giant steps - μέγεθος k: Υπολογίζουμε g ak, a {0,, q/k } και αποθηκεύουμε σε πίνακα 3 Baby steps - μέγεθος 1: Υπολογίζουμε yg b, b {0,, q } και αναζητούμε στον πίνακα του Βημ. 2 4 Όταν βρεθεί: x = ak b Πολυπλοκότητα χώρου και χρόνου: O(2 λ 2 ) Μείωση χώρου με αλγόριθμους Pollard (ρ, λ) DLP DLP 8 / 62

Παράδειγμα Baby step - Giant Step Θέλουμε το 2 x = 17 (mod 29) στο Z 29 = 2 29 = 5 a {0 5} 2 0 5 = 1 (mod 29) 2 1 5 = 3 (mod 29) 2 2 5 = 9 (mod 29) 2 3 5 = 27 (mod 29) 2 4 5 = 23 (mod 29) 2 5 5 = 11 (mod 29) b {0 5} 17 2 0 = 17 (mod 29) 17 2 1 = 5 (mod 29) 17 2 2 = 10 (mod 29) 17 2 3 = 20 (mod 29) 17 2 4 = 11 (mod 29) Άρα x = 5 5 4 = 21 Πράγματι: 2 21 = 17 (mod 29) DLP DLP 9 / 62 Αλγόριθμος Pohlig-Hellman - Ιδέα Παρατήρηση Η δυσκολία του DLP σε μια ομάδα G εξαρτάται από τη δυσκολία του στις διάφορες υποομάδες της. Συγκεκριμένα Παραγοντοποίηση της τάξης (πχ. στο Z p: p 1 = m πρώτο) Επίλυση σε κάθε υποομάδα και συνδυασμός με CRT i=1 pe i i με p i Smooth Number Μπορεί να παραγοντοποιηθεί σε μικρούς πρώτους - Αν ισχύει για την τάξη επιτυχύνει τον αλγόριθμο DLP DLP 10 / 62

Αλγόριθμος Pohlig-Hellman - Βήματα I Για κάθε p i γράφουμε με x = a 0 + a 1 p i + + a ei 1p e i 1 i a j {0,, p i 1} Πχ. αν παράγοντας του p 1 είναι το 4: x = a 0 + a 1 2 (mod 4) Με αντικατάσταση του x έχουμε: (mod p e i i ) y p 1 p i = g x p 1 p i = g (a 0+a 1 p i + +a ei 1p e i 1 i ) p 1 p i = g (a 0+Kp i ) p 1 p i = g a 0 p 1 p i (mod p) Υπολογισμός a 0 (με αλγόριθμο Shanks) DLP DLP 11 / 62 Αλγόριθμος Pohlig-Hellman - Βήματα II Για υπολογισμό a 1, δημιουργούμε ακολουθία y j με y 0 = y y j = y j 1 g (a 0+a 1 p i + +a j 1 p i j 1 ) Γενικεύοντας έχουμε : (mod p) y p 1 p j+1 i j = g a p 1 j p i υπολογίζουμε το a j με αλγόριθμο Shanks Υπολογισμός για κάθε p i : a 0, y 1, a 1, y 2, a ei 1 Συνδυασμός λύσεων με CRT DLP DLP 12 / 62

Παράδειγμα Pohlig-Hellman I Θέλουμε το 2 x = 17 (mod 29) στο Z 29 = 2 28 = 2 2 7 x 2 = a 0 + 2a 1 (mod 4) και x 7 = a 0 (mod 7) Υπολογισμός a 0 για το x 2 y p 1 2 = g a 0 p 1 2 17 14 = 2 14a 0 2 14a 0 = 28 = 1 (mod 29) Άρα a 0 = 1 Υπολογισμός y 1 για το x 2 y 1 = yg a 0 = 17 2 1 = 17 15 = 23 (mod 29) DLP DLP 13 / 62 Παράδειγμα Pohlig-Hellman II Υπολογισμός a 1 για το x 2 y p 1 4 1 = g a 1 p 1 2 23 7 = 2 14a 1 2 14a 1 = 1 (mod 29) Άρα a 1 = 0 Άρα x 2 = 1 + 0 (mod 4) Υπολογισμός a 0 για το x 7 y p 1 7 = g a 0 p 1 7 17 4 = 2 4a 0 2 4a 0 = 1 (mod 29) Άρα a 0 = 0 Άρα x 7 = 0 (mod 7) CRT: x = 21 DLP DLP 14 / 62

Δυσκολία DDHP I Θεώρημα To DDHP δεν είναι δύσκολο στην Z p Μπορεί να κατασκευαστεί αποδοτικός αλγόριθμος διαχωρισμού τριάδας DH g a, g b, g ab από μια τυχαία τριάδα g a, g b, g c. Πώς: Χρησιμοποιώντας το σύμβολο Legendre. To σύμβολο Legendre διαρρέει το DLP parity Από τον ορισμό: ( gx p ) = (gx ) p 1 2 Όμως: g p 1 = 1 (mod p) Άρα: g p 1 2 = 1 (mod p) Δηλαδή: ( gx p ) = ( 1)x Αν x μονός τότε ( gx p ) = 1 (gx QR) Αν x ζυγός τότε ( gx p ) = 1 (gx QR) DLP DLP 15 / 62 Δυσκολία DDHP II Για τυχαία τριάδα Prob[( gc p ) = 1] = 1 2 Για τριάδα DH: Prob[( gab p ) = 1] = 3 4 ga gb ανεξάρτητο από τα ( p ), ( p ) Ο αλγόριθμος Υπολόγισε ( ga p gb gc ), ( p ), ( p ) Αν ( gc ga p ) = 1 και (( p ) = 1 ή ( gb p Επιστροφή Diffie Hellman Αλλιώς Επιστροφή Τυχαία Πλεονέκτημα: 3 8 (γιατί;) ΜΗ ΑΜΕΛΗΤΕΟ ) = 1)) τότε DLP DLP 16 / 62

Επιλογή του G Συνέπειες Δουλεύουμε σε μεγάλη υποομάδα του Z p με τάξη πρώτο q Για παράδειγμα: Επιλογή safe prime: p = 2q + 1 με q πρώτο Δουλεύουμε στην υποομάδα τετραγωνικών υπολοίπων τάξης q Επιλογή schnorr primes p = k q + 1 με q πρώτο Παρ όλα αυτά: Yποεκθετικοί αλγόριθμοι (index calculus) Μεγέθη Symmetric Security p q 80 bits 1024 160 112 bits 2048 224 128 bits 3072 256 Εναλλακτικά: Ελλειπτικές καμπύλες DLP DLP 17 / 62 Ορισμός ElGamal Δημιουργία Κλειδιών: KeyGen(1 λ ) = (y = g x, x) Επιλογή δύο μεγάλων πρώτων p, q ώστε q (p 1) G υποομάδα τάξης q του Z p - γεννήτορας g Ιδιωτικό κλειδί: τυχαίο x Z q Δημόσιο κλειδί: y = g x mod p Επιστροφή (y, x) Κρυπτογράφηση Επιλογή τυχαίου r Z q Encrypt y (r, m) = (g r mod p, m y r mod p) Αποκρυπτογράφηση Decrypt x (a, b) = b a x Ορθότητα Decrypt x (Encrypt y (r, m)) = myr (g r ) x = m DLP Το κρυπτοσύστημα ElGamal 18 / 62

Πρακτικά Θέματα Πιθανοτική Κρυπτογράφηση: Ένα μήνυμα έχει πολλά πιθανά κρυπτοκείμενα Message expansion Κρυπτοκείμενο διπλάσιο του μηνύματος Επιτάχυνση Κρυπτογράφησης Κόστος: 2 υψώσεις σε δύναμη - 1 πολλαπλασιασμός Ύψωση σε δύναμη:δεν εξαρτάται από το μήνυμα (precomputation) DLP Το κρυπτοσύστημα ElGamal 19 / 62 Ασφάλεια Κρυπτογράφησης Μυστικότητα ElGamal CDHP Αντιστοιχία δημοσίων στοιχείων g x 1 g r g x 2 y = g x g x 1x 2 y r EG CDHP Υπολογισμός g x 1x 2 αποκρυπτογράφηση (με εύρεση αντιστρόφου) CDHP EG αποκρυπτογράφηση (g r, b) (χωρίς το κλειδί) υπολογισμός b m επίλυση CDFH DLP Το κρυπτοσύστημα ElGamal 20 / 62

Επανάληψη τυχαιότητας Επίθεση KPA KPA: Γνωρίζουμε ζεύγη μηνυμάτων - κρυπτοκειμένου για τα οποία έχει χρησιμοποιηθεί η ίδια τυχαιότητα Επίθεση (c r, c 1 ) = Encrypt y (r, m 1 ) = (g r mod p, m 1 y r mod p) (c r, c 2 ) = Encrypt y (r, m 2 ) = (g r mod p, m 2 y r mod p) Αν γνωρίζω το (m 1, c 1 ): c 1 = m 1 y r mod p y r = c 1 m 1 1 Μπορώ να υπολογίσω το m 2 ως: m 2 = c 2 y r = c 2 c 1 m 1 1 DLP Το κρυπτοσύστημα ElGamal 21 / 62 Ασφάλεια σε επιθέσεις CPA I Θεώρημα Αν το DDHP είναι δύσκολο, τότε το κρυπτοσύστημα El Gamal διαθέτει ασφάλεια IND-CPA. Απόδειξη: Έστω ότι το ElGamal δεν διαθέτει ασφάλεια IND-CPA. Άρα A, ο οποίος μπορεί να νικήσει στο παιχνίδι CPA με μη αμελητέα πιθανότητα. Κατασκευή B : Είσοδος: τριάδα στοιχείων Εσωτερικά: Προσομοίωση του C στο παιχνίδι CPA και χρήση A Αποτέλεσμα: Ξεχωρίζει DH τριάδα από τυχαία DLP Το κρυπτοσύστημα ElGamal 22 / 62

Ασφάλεια σε επιθέσεις CPA II Είσοδος: g α, g β, g c Στο CPA-GAME δημόσιο κλειδί y = g α Ο B απαντά στις κρυπτογραφήσεις του A Όταν ο A προκαλέσει με δύο μηνύματα o C διαλέγει τυχαίο bit {0, 1}, κρυπτογραφεί το M b με τυχαιότητα το g β και πολλαπλασιάζει με g c Τελικά στέλνει το: (g β, M b g c ) O A επιστρέφει την τιμή του bit Ο B εξάγει το bit DLP Το κρυπτοσύστημα ElGamal 23 / 62 Ασφάλεια σε επιθέσεις CPA III Ανάλυση Για τριάδα DH: g c = (g α ) β = y β ο A θα λάβει ένα έγκυρο κρυπτοκείμενο ElGamal. H πιθανότητα να μαντέψει σωστά είναι τουλάχιστον: 1/2 + non-negl(λ). Για τυχαία τριάδα: ο A θα πρέπει να μαντέψει τυχαία Πιθανότητα επιτυχίας: 1 2. Τελική πιθανότητα επιτυχίας για B τουλάχιστον non-negl(λ) Μπορεί να ξεχωρίσει μία DH τριάδα από μία τυχαία με μη αμελητέα πιθανότητα. DLP Το κρυπτοσύστημα ElGamal 24 / 62

Ασφάλεια σε επιθέσεις CPA IV DLP Το κρυπτοσύστημα ElGamal 25 / 62 Ομομορφικές Ιδιότητες I Πολλαπλασιαστικός Ομομορφισμός Encrypt y (r 1, m 1 ) Encrypt y (r 2, m 2 ) = (g r 1, m 1 y r 1 ) (g r 2, m 2 y r 2 ) = (g r 1+r 2, (m 1 m 2 ) y r 1+r 2 ) = Encrypt y (r 1 + r 2, m 1 m 2 ) DLP Το κρυπτοσύστημα ElGamal 26 / 62

Ομομορφικές Ιδιότητες II Reencryption Encrypt y (r 1, m) Encrypt y (r 2, 1) = (g r 1, my r 1 ) (g r 2, y r 1 ) = (g r 1+r 2, my r 1+r 2 ) = Encrypt y (r 1 + r 2, m) Αλλαγή της τυχαιότητας - Αλλαγή της μορφής του μηνύματος...χωρίς γνώση του ιδιωτικού κλειδιού Malleability DLP Το κρυπτοσύστημα ElGamal 27 / 62 Ομομορφικές Ιδιότητες III Προσθετικός Ομομορφισμός - Εκθετικό ElGamal Κρυπτογράφηση του g m Encrypt y (, r, m) = (g r, g m y r ) Encrypt y (r 1, m 1 ) Encrypt y (r 2, m 2 ) = (g r 1, g m 1 y r 1 ) (g r 2, g m 2 y r 2 ) = (g r 1+r 2, g m 1+m2 y r 1+r 2 ) = Encrypt y (r 1 + r 2, (m 1 + m 2 )) Αποκρυπτογράφηση: Λαμβάνουμε το g m Επίλυση εύκολου διακριτού λογαρίθμου. DLP Το κρυπτοσύστημα ElGamal 28 / 62

Ασφάλεια σε επιθέσεις CCA To παραδοσιακό ElGamal δεν διαθέτει CCA-security Έστω ότι ο A μπορεί να αποκρυπτογραφήσει μηνύματα επιλογής του, εκτός του c. Στόχος: Αποκρυπτογράφηση του c = (G, M) = (g r, m b y r ) Κατασκευή c = (G, M ) = (G g r, M ay r ) = (g r+r, a m b y r+r ), όπου a επιλέγεται από τον A H αποκρυπτογράφηση του M ( M G x ) δίνει το am b και κατά συνέπεια το m b Αν m b = m 0 επιστρέφει b = 0 αλλιώς επιστρέφει b = 1 DLP Το κρυπτοσύστημα ElGamal 29 / 62 ElGamal CCA2: Cramer-Shoup cryptosystem I Ronald Cramer, Victor Shoup, Crypto 1998 Επέκταση του ElGamal Χρηση συνάρτησης σύνοψης H με collision resistance (δεν είναι απαραίτητη) Αν ισχυει η υπόθεση DDH, τότε παρέχει IND-CCA2 DLP Cramer-Shoup cryptosystem 30 / 62

ElGamal CCA2: Cramer-Shoup cryptosystem II Δημιουργία Κλειδιών Επιλογή πρώτων p, q με p = 2q + 1 G ειναι η υποομάδα ταξης q στο Z p Επιλογή random generators g 1, g 2 Επιλογή τυχαίων στοιχείων x 1, x 2, y 1, y 2, z Z q Υπολογισμός c = g x 1 1 g x 2 2 d = g y 1 1 g y 2 2 h = g z 1 Δημόσιο Κλειδί: (c, d, h) Μυστικό Κλειδί: (x 1, x 2, y 1, y 2, z) DLP Cramer-Shoup cryptosystem 31 / 62 ElGamal CCA2: Cramer-Shoup cryptosystem III Κρυπτογράφηση Κωδικοποίηση μηνύματος m στο G Επιλογή τυχαίου r Z q Υπολογισμός u 1 = g r 1, u 2 = g r 2 e = mh r α = H (u 1 u 2 e) v = c r d rα Κρυπτογράφημα: (u 1, u 2, e, v) DLP Cramer-Shoup cryptosystem 32 / 62

ElGamal CCA2: Cramer-Shoup cryptosystem IV Αποκρυπτογράφηση Υπολογισμός α = H (u 1 u 2 e) Έλεγχος αν u x 1 1 ux 2 2 (uy 1 1 uy 2 2 )α = v. Σε περίπτωση αποτυχίας έξοδος χωρίς αποκρυπτογράφηση Σε περιπτωση επιτυχίας υπολογισμός m = e u z 1 DLP Cramer-Shoup cryptosystem 33 / 62 ElGamal CCA2: Cramer-Shoup cryptosystem V Ορθότητα e u z 1 = mhr u z 1 = m gzr 1 g rz = m 1 h, z αντιστοιχούν σε δημόσιο - ιδιωτικό κλειδί ElGamal u 1, e αντιστοιχούν στο κρυπτογράφημα του ElGamal Παρατηρήσεις u 2, v λειτουργούν ως έλεγχος ακεραιότητας, ώστε να μπορεί να αποφευχθεί το malleability Διπλάσια πολυπλοκότητα από ElGamal τόσο σε μέγεθος κρυπτοκειμένου, όσο και σε υπολογιστικές απαιτήσεις DLP Cramer-Shoup cryptosystem 34 / 62

DLP-based Commitment Schemes Coin Flipping over the telephone Η Alice και o Bob διαφωνούν (τηλεφωνικά) για το πού θα πάνε Αποφασίζουν να ρίξουν δύο νομίσματα (απομακρυσμένα) Ίδιο αποτέλεσμα: διαλέγει η Alice Διαφορετικό Αποτέλεσμα: διαλέγει ο Bob Προβλήματα; DLP DLP-based Commitment Schemes 35 / 62 DLP-based Commitment Schemes Λύση: Commitment Schemes Ιδιότητες Hiding - Προστατεύει αποστολέα - καθώς δεν μπορεί να διαρρεύσει η τιμή του Binding - Προστατεύει παραλήπτη - καθώς ο αποστολέας δεν μπορεί να αλλάξει την τιμή του εκ των υστέρων Χρήση randomisation για προστασία από brute-force επιθέσεις DLP DLP-based Commitment Schemes 36 / 62

Pedersen commitment Επιλογή ομάδας με δύσκολο DLP από TTP Επιλογή πρώτου q ώστε p = 2q + 1 πρώτος G = g υπομάδα τάξης q του Z p Επιλογή x Z q και h = g x Δημοσιοποίηση g, G, p, q, h Δέσμευση: c = commit(m, r) = g m h r mod p Αποκάλυψη: Αποστολή m, r Επαλήθευση: c =? g m h r DLP DLP-based Commitment Schemes 37 / 62 Ιδιότητες I Information Theoretically Hiding c = g m h r mod p = g m+xr mod p Ακόμα και ένας παντοδύναμος αντίπαλος να μπορεί να λύσει το DLP θα έχει μία εξίσωση της μορφής d = m + xr (mod q) (2 άγνωστοι m, r - 1 εξίσωση) DLP DLP-based Commitment Schemes 38 / 62

Ιδιότητες II Computationally Binding αν το DLP είναι δύσκολο Έστω c = commit(m, r) = commit(m, r ) με m m ΑΤΟΠΟ g m h r = g m h r g m+xr = g m +xr m + xr = m + xr (mod q) x = m m r r DLP DLP-based Commitment Schemes 39 / 62 Ελλειπτικές καμπύλες Γενικά Πλούσιο σε ιστορία μαθηματικό αντικείμενο (200 έτη) Κρυπτογραφία: 80s Βασίζονται στο πρόβλημα DLP Αντικατάσταση του Z p με σημεία τους Μόνο γενικευμένοι αλγόριθμοι DLP O(2 λ 2 ) - όχι υποεκθετικοί Ίδια επίπεδα ασφάλειας με μικρότερη παράμετρο ασφάλειας και καλύτερη απόδοση RSA EC 1024 160 2048 224 3072 256 DLP Ελλειπτικές καμπύλες 40 / 62

Γενική μορφή Έστω F ένα σώμα. Ορισμός E(F) Mια ελλειπτική καμπύλη E πάνω από το F είναι το σύνολο των σημείων (x, y) F, που ικανοποιούν την εξίσωση Weierstrass y 2 + a 1 xy + a 3 y = x 3 + a 2 x 2 + a 4 x + a 6 a 1, a 2, a 3, a 4, a 5, a 6 F και ένα στοιχείο O, - σημείο στο άπειρο Πρακτικά y 2 = x 3 + ax + b, a, b F DLP Ελλειπτικές καμπύλες 41 / 62 Ελλειπτικές καμπύλες στο R I y 2 = x 3 1 y 2 = x 3 + 1 y 2 = x 3 x + 1 2 y 2 = x 3 3 2 x DLP Ελλειπτικές καμπύλες 42 / 62

Ελλειπτικές καμπύλες στο R II Παρατηρήσεις: Συμμετρία ως προς άξονα x Συμπίεση σημείου (x, 0) ή (x, 1) για πάνω ή κάτω από τον άξονα των x Προς αποφυγή Singular καμπύλες: Πολλαπλές ρίζες, σημεία τομής Πρέπει 4a 3 + 27b 2 0 DLP Ελλειπτικές καμπύλες 43 / 62 Αντίθετο Σημείου P σημείο στην E(R). To αντίθετο σημείο P 1 Αν P = O, τότε P = O 2 Αλλιώς αν P = (x, y) τότε P = (x, y) (ανήκει στην E λόγω συμμετρίας) DLP Ελλειπτικές καμπύλες 44 / 62

(Γεωμετρική) Πρόσθεση Σημείων I Tο άθροισμα P + Q Αν P = O, τότε O + Q = Q Αν Q = P, τότε P + Q = O. Το σημείο O. υπάρχει σε κάθε κατακόρυφη DLP Ελλειπτικές καμπύλες 45 / 62 (Γεωμετρική) Πρόσθεση Σημείων II Αν P Q τότε: Θεωρούμε την PQ Βρίσκουμε το σημείο τομής R με την E. Βρίσκουμε το αντίθετο DLP Ελλειπτικές καμπύλες 46 / 62

(Γεωμετρική) Πρόσθεση Σημείων III Αν P = Q τότε: Θεωρούμε την εφαπτομένη στο P Βρίσκουμε το σημείο τομής R με την E. Βρίσκουμε το αντίθετο Αλγεβρική αναπαράσταση: Τριτοβάθμιες εξισώσεις με συντεταγμένες DLP Ελλειπτικές καμπύλες 47 / 62 Ομάδα Σημείων Ελλειπτικής καμπύλης Τα σημεία μιας ελλειπτικής καμπύλης αποτελούν αβελιανή ομάδα ως προς την πρόσθεση ουδέτερο στοιχείο O αντίθετο στοιχείο P πρόσθεση προσεταιριστική και αντιμεταθετική DLP Ελλειπτικές καμπύλες 48 / 62

Πολλαπλασιασμός σημείου με ακέραιο np = P + P + + P DLP Ελλειπτικές καμπύλες 49 / 62 Double and add Υπολογισμός np Απαιτούνται n 1 προσθέσεις Λύση: Square and multiply - Double and add 17P = P + 16P 2P = P + P 4P = 2P + 2P 8P = 4P + 4P 16P = 8P + 8P DLP Ελλειπτικές καμπύλες 50 / 62

Ελλειπτικές καμπύλες πάνω από το F p Ορισμός E(F p ) E = O {y 2 = x 3 + ax + b (x, y) F 2 p, (a, b) F 2 p : 4a 3 + 27b 2 0 (mod p), (mod p)} Παράδειγμα: y 2 = x 3 + 1 (mod 997) από Discrete Elliptic Curve Plotter DLP Ελλειπτικές καμπύλες 51 / 62 Η ομάδα των σημείων E(F p ) I Εύρεση τάξης ομάδας Εκθετικός αλγόριθμος Δοκιμές όλων των x {0,, p 1} Έλεγχος ποια ικανοποιούν την εξίσωση της καμπύλης Θ. Hasse p + 1 2 p E(F p ) p + 1 + 2 p Υπολογισμός: αλγόριθμος Schoof P με βελτιώσεις Elkiens, Atkin (SEA) DLP Ελλειπτικές καμπύλες 52 / 62

Η ομάδα των σημείων E(F p ) II Κυκλικές υποομάδες Κάθε σημείο μιας καμπύλης E(F p ) παράγει μια κυκλική υποομάδα Υπολογισμός τάξης υποομάδας E(F p ) Θεώρημα Lagrange:Η τάξη κάθε υποομάδας διαιρεί την τάξη της ομάδας Τάξη υποομάδας με σημείο βάσης (γεννήτορα) P Εύρεση τάξη ομάδας με αλγόριθμο Schoof Εύρεση των διαιρετών της τάξης, d Για σημείο βάσης P εύρεση min{d : dp = O} DLP Ελλειπτικές καμπύλες 53 / 62 Η ομάδα των σημείων E(F p ) III Εύρεση σημείων βάσης Θέλουμε γεννήτορες μεγάλων υποομάδων Ευρεση μεγάλου πρώτου q E Υπολογισμός h = E q Επιλογή τυχαίου σημείου P Υπολογισμός G = hp Αν G = O επανάληψη DLP Ελλειπτικές καμπύλες 54 / 62

Πρόβλημα ECDLP Δίνονται: Μία ελλειπτική καμπύλη E ορισμένη πάνω από το F p (p, a, b, #E) Μία μεγάλη υποομάδα της με τάξη q ένα σημείο βάσης G και ένα σημείο Y. Ζητείται: Να βρεθεί, αν υπάρχει, ακέραιος x τέτοιος ώστε xg = Y. Εικασία Το πρόβλημα ECDLP είναι υπολογιστικά απρόσιτο (όχι σε κάθε καμπύλη) DLP Ελλειπτικές καμπύλες 55 / 62 Ανταλλαγή Κλειδιού ECDH I Στόχοι Κατασκευή κοινού κλειδιού πάνω από δημόσιο κανάλι επικοινωνίας Σε EC: Το κοινό κλειδί είναι σημείο της καμπύλης Δημόσια επικοινωνία και συμφωνία σε σημείο P μιας ελλειπτικής καμπύλης E Δημόσια Διαθέσιμες Παράμετροι: (p, a, b, #E, q, G) DLP Ελλειπτικές καμπύλες 56 / 62

Ανταλλαγή Κλειδιού ECDH II Πρωτόκολλο H Alice επιλέγει έναν ακέραιο a {1,, q 1} Υπολογίζει το ag E και το δημοσιοποιεί. Ο Bob επιλέγει έναν ακέραιο b {1,, q 1} και δημοσιοποιεί το bg E Το δημόσιο κλειδί που θα χρησιμοποιούν στη συνέχεια είναι το P = a(bg) = b(ag) E DLP Ελλειπτικές καμπύλες 57 / 62 Κρυπτογραφία Δημοσίου Κλειδιού Παραλλαγή Κρυπτοσυστήματος ElGamal Δημιουργία κλειδιών Δημόσια Διαθέσιμες Παράμετροι: (p, a, b, #E, q, G) Ιδιωτικό κλειδί: Ένας τυχαίος ακέραιος x {1,, q 1} Δημόσιο κλειδί: Το σημείο Y = xg E Κρυπτογράφηση Κωδικοποίηση μηνύματος ως σημείο P m της E Επιλέγεται ένας τυχαίος ακέραιος k {1,, q 1} Κρυπτογράφημα: Encrypt(Y, P m ) = (kg, P m + ky) Αποκρυπτογράφηση Υπολογισμός P m + ky x(kg) = P m DLP Ελλειπτικές καμπύλες 58 / 62

Κωδικοποίηση μηνύματος σε σημείο Hashed Elgamal 1ος τρόπος Χρήση συνάρτησης H : E M Κρυπτογράφηση: Encrypt(Y, P m ) = (kg, m H(kY)) 2oς τρόπος Επιλογή τυχαίου α και αντικατάσταση των bits χαμηλής τάξης του με το m Επιλογή ενός από τα δύο πιθανά σημεία της καμπύλης DLP Πρακτικά Θέματα 59 / 62 Πρότυπες καμπύλες Πρότυπο NIST FIPS186-3 15 ελλειπτικές καμπύλες. Για παράδειγμα: NIST P-256 y 2 = x 3 3x+41 058 363 725 152 142 129 326 129 780 047 268 409 114 441 015 993 725 554 835 256 314 039 467 401 291 mod(2 256 2 224 + 2 192 + 2 96 1) Χρήση στην γεννήτρια τυχαιότητας Dual_EC_DRBG. NIST P-384 y 2 = x 3 3x+27 580 193 559 959 705 877 849 011 840 389 048 093 056 905 856 361 568 521 428 707 301 988 689 241 309 860 865 136 260 764 883 745 107 765 439 761 230 575 mod(2 384 2 128 2 96 + 2 32 1) Φόβοι για υπονόμευση Εναλλακτικά: Secp256k1 (OpenSSL, Bitcoin) y 2 = x 3 + 0x + 7 mod (2 256 2 32 977) Curve25519 (OpenSSH) y 2 = x 3 + 486662 x 2 + x mod (2 255 19) DLP Πρακτικά Θέματα 60 / 62

Επιλογή Καμπύλης To ECDLP δεν είναι δύσκολο σε όλες τις καμπύλες Δίνεται μια καμπύλη (p, a, b, #E, q, G) Πρόβλημα: Είναι ασφαλής (;) Επαληθευσιμότητα Επιλογή τυχαίου αριθμού s Υπολογισμός h = H(s) Παραγωγή των a, b από το h Επαληθευσιμο, αλλιώς a, b από αντιστροφή της σύνοψης Αλλά: Πρέπει το s να είναι πραγματικά τυχαίο! Nothing up my sleeve Το s προέρχεται από ψηφία του π, e,τριγωνομετρικών αριθμών DLP Πρακτικά Θέματα 61 / 62 Βιβλιογραφία I St. Zachos and Aris Pagourtzis. Στοιχεία Θεωρίας Αριθμών και Εφαρμογές στην Κρυπτογραφία. Πανεπιστημιακές Σημειώσεις Jonathan Katz and Yehuda Lindell. Introduction to Modern Cryptography (Chapman and Hall/Crc Cryptography and Network Security Series). Chapman and Hall/CRC, 2007 Nigel Smart. Introduction to cryptography Paar, Christof, and Jan Pelzl. Understanding cryptography: a textbook for students and practitioners. Springer Science-Business Media, 2009. Kiayias, Aggelos Cryptography primitives and protocols, UoA, 2015 Dan Boneh, Introduction to cryptography, online course Neal Koblitz and Alfred J. Menezes, A riddle wrapped in an enigma Jeremy Kun Introducing Elliptic Curves Andrea Corbellini Elliptic Curve Cryptography: a gentle introduction Torben Pryds Pedersen. Non-interactive and information-theoretic secure verifiable secret sharing. In CRYPTO 91, pages 129 140, 1991 Victor Shoup Why chosen ciphertext security matters, 1998 DR Stinson The Pohlig - Hellman Algorithm DLP Πηγές 62 / 62

2025 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια