Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Κρυπτοσυστήματα Διακριτού Λογαρίθμου Παναγιώτης Γροντάς - Άρης Παγουρτζής ΕΜΠ - Κρυπτογραφία (2016-2017) 29/11/2016 1 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Περιεχόμενα Διακριτός Λογάριθμος: Προβλήματα και Αλγόριθμοι Το κρυπτοσύστημα ElGamal Το κρυπτοσύστημα Cramer Shoup Σχήματα Δέσμευσης με βάση το DLP Ελλειπτικές Καμπύλες 2 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Προβλήματα Διακριτού Λογαρίθμου I DLP - Το πρόβλημα του Διακριτού Λογαρίθμου Δίνεται μια κυκλική ομάδα G =< g > τάξης q και ένα τυχαίο στοιχείο y G Να υπολογιστεί x Z q ώστε g x = y δηλ. το log g y Z q CDHP - Το υπολογιστικό πρόβλημα Diffie Hellman Δίνεται μια κυκλική ομάδα G =< g >, δύο στοιχεία y 1 = g x 1, y 2 = g x 2 Να υπολογιστεί το g x 1 x 2 3 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Προβλήματα Διακριτού Λογαρίθμου II DDHP - Το πρόβλημα απόφασης Diffie Hellman Δίνεται μια κυκλική ομάδα G =< g >, δύο στοιχεία y 1 = g x 1, y 2 = g x 2 και κάποιο y G Να εξεταστεί αν y = g x 1 x 2 ή ισοδύναμα DDHP - Το πρόβλημα απόφασης Diffie Hellman Δίνεται μια κυκλική ομάδα G =< g >, δύο στοιχεία y 1 = g x 1, y 2 = g x 2 και κάποιο y G Μπορούμε να ξεχωρίσουμε τις τριάδες (g x 1, g x 2, g x 1x 2 ) και (g x 1, g x 2, y); 4 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Σχέσεις Προβλημάτων CDHP DLP Αν μπορούμε να λύσουμε το DLP, τότε μπορούμε να υπολογίζουμε τα x 1, x 2 από τα y 1, y 2 και στην συνέχεια το g x 1 x 2 DDHP CDHP Αν μπορούμε να λύσουμε το CDHP, υπολογίζουμε το g x 1 x 2 ελέγχουμε ισότητα με το y και Δηλαδή: DDHP CDHP DLP 5 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Επιλογή Ομάδας Καθορίζει τη δυσκολία του προβλήματος Δύο επιλογές: (Z p, ) με p πρώτο (σε υποομάδα) (E(F p ), +) Διαφορετική παράμετρος ασφάλειας Κατά τα άλλα ισοδύναμες 6 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Αλγόριθμοι DLP Brute Force Για ομάδα G =< g > τάξης q λ bits Δοκιμή όλων των x Z q μέχρι να βρεθεί τέτοιο ώστε g x = y Πολυπλοκότητα O(2 λ ) 7 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Αλγόριθμος Baby step - Giant Step (Shanks) Αλγόριθμος Meet-In-The Middle Ισχύει x = ak b, k Z, x Z y = g ak g b yg b = g ak Θα υπολογίζουμε yg b και g ak μέχρι να συναντηθούν Ξεκινάμε στη μέση : k = q Giant steps - μέγεθος k:υπολογίζουμε g ak, a {0 q 1} και αποθηκεύουμε σε πίνακα Baby steps - μέγεθος 1: Υπολογίζουμε yg b, b {0 q 1} μέχρι να βρούμε το αποτέλεσμα στον παραπάνω πίνακα x = ak b Πολυπλοκότητα χώρου και χρόνου: O(2 λ 2 ) Μείωση χώρου με αλγόριθμους Pollard (ρ, λ) 8 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Παράδειγμα Baby step - Giant Step Θέλουμε το 2 x = 17 (mod 29) στο Z 29 =< 2 > 29 = 6 2 0 6 = 1 (mod 29) 2 1 6 = 6 (mod 29) 2 2 6 = 7 (mod 29) 2 3 6 = 13 (mod 29) 2 4 6 = 20 (mod 29) 2 5 6 = 4 (mod 29) 17 2 0 = 17 (mod 29) 17 2 1 = 5 (mod 29) 17 2 2 = 10 (mod 29) 17 2 3 = 20 (mod 29) Άρα x = 24 3 = 21 Πράγματι: 2 21 = 17 (mod 29) 9 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Αλγόριθμος Pohlig-Hellman - Ιδέα Παρατήρηση Η δυσκολία του DLP σε μια ομάδα G εξαρτάται από τη δυσκολία του στις διάφορες υποομάδες της. Πώς Παραγοντοποίηση της τάξης Για παράδειγμα στο Z p p 1 = m i=1 pe i i με p i πρώτο Smooth Number Μπορεί να παραγοντοποιηθεί σε μικρούς πρώτους 10 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Αλγόριθμος Pohlig-Hellman - Βήματα Για κάθε μικρότερη ομάδα (modp ei i ) Παρατηρούμε ότι x pi a j {0,, p i 1} ei 1 = a 0 + a 1 p i + + a ei 1pi (mod p ei i ) με Πχ. αν παράγοντας του p 1 είναι το 4: x 2 = a 0 + a 1 2 (mod 4) Αποδεικνύεται (εύκολα) ότι: y p 1 p i p 1 a0 p = g i (mod p) Υπολογισμός a 0 με δοκιμές ή με αλγόριθμο Shanks Δημιουργούμε ακολουθία y j με y 0 = y y j = y g (a0+a1pi + +aj 1pi j 1) (mod p) Γενικεύοντας: y p 1 p j+1 i j = g aj p 1 p i υπολογίζουμε το a j Υπολογισμός για κάθε p i : a 0, y 1, a 1, y 2, a ei 1 Συνδυασμός λύσεων με CRT 11 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Παράδειγμα Pohlig-Hellman I Θέλουμε το 2 x = 17 (mod 29) στο Z 29 =< 2 > 28 = 2 2 7 x 2 = a 0 + 2a 1 (mod 4) και x 7 = a 0 (mod 7) Υπολογισμός a 0 για το x 2 y p 1 2 = g a 0 p 1 2 17 14 = 28 = 2 14a 0 (mod 29) Άρα a 0 = 1 Υπολογισμός y 1 για το x 2 y 1 = yg a 0 = 17 2 1 = 17 15 = 23 (mod 29) 12 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Παράδειγμα Pohlig-Hellman II Υπολογισμός a 1 για το x 2 y p 1 4 1 = g a 1 p 1 2 23 7 = 1 = 2 14a 1 (mod 29) Άρα a 1 = 0 Άρα x 2 = 1 (mod 4) Υπολογισμός a 0 για το x 7 y p 1 7 = g a 0 p 1 7 17 4 = 1 = 2 4a 0 (mod 29) Άρα a 0 = 0 Άρα x 7 = 0 (mod 7) Από CRT: x = 21 Πιο αναλυτικό παράδειγμα 13 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Δυσκολία DDHP I Θεώρημα To DDHP δεν είναι δύσκολο στην Z p Μπορεί να κατασκευαστεί αποδοτικός αλγόριθμος διαχωρισμού τριάδας DH g a, g b, g ab από μια τυχαία τριάδα g a, g b, g c. Πώς: Χρησιμοποιώντας το σύμβολο Legendre. To σύμβολο Legendre διαρρέει το DLP parity Από τον ορισμό: ( g x p ) = (g x ) p 1 2 Όμως: g p 1 = 1 (mod p) Άρα: g p 1 2 = 1 (mod p) Δηλαδή: ( g x p ) = ( 1)x Αν x μονός τότε ( g x p ) = 1 (g x QR) Αν x ζυγός τότε ( g x p ) = 1 (g x QR) 14 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Δυσκολία DDHP II Για τυχαία τριάδα Prob[( g c p ) = 1] = 1 2 Για τριάδα DH: Prob[( g ab p ) = 1] = 3 4 ανεξάρτητο από τα ( g a p ), ( g b p ) Ο αλγόριθμος Υπολόγισε g c p, g b p, g c p Αν g c p = 1 και ( g a p = 1 ή g b p Επιστροφή Diffie Hellman Αλλιώς Επιστροφή Τυχαία Πλεονέκτημα: 3 8 (γιατί;) ΜΗ ΑΜΕΛΗΤΕΟ = 1) τότε 15 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Επιλογή του G Συνέπειες Δουλεύουμε σε μεγάλη υποομάδα του Z p με τάξη πρώτο q Για παράδειγμα: Επιλογή safe prime: p = 2q + 1 με q πρώτο Δουλεύουμε στην υποομάδα τετραγωνικών υπολοίπων τάξης q Επιλογή schnorr primes p = k q + 1 με q πρώτο Παρ όλα αυτά: Yποεκθετικοί αλγόριθμοι (index calculus) Μεγέθη Symmetric Security p q 80 bits 1024 160 112 bits 2048 224 128 bits 3072 256 Εναλλακτικά: Ελλειπτικές καμπύλες 16 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Ορισμός ElGamal Δημιουργία Κλειδιών: KeyGen(1 λ ) = (y = g x, x) Επιλογή δύο μεγάλων πρώτων p, q ώστε q (p 1) Δουλεύουμε στην υποομάδα τάξης q του Z p G με γεννήτορα g Επιλογή τυχαίου x Z q Υπολογισμός y = g x mod p Επιστροφή (y, x) Κρυπτογράφηση Επιλογή τυχαίου r Z q Encrypt(y, r, m) = (g r mod p, m y r mod p) Αποκρυπτογράφηση Decrypt(x, (a, b)) = b a x Ορθότητα Decrypt(x, Encrypt(y, r, m)) = my r (g r ) x = m 17 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Πρακτικά Θέματα Πιθανοτική Κρυπτογράφηση: Ένα μήνυμα έχει πολλά πιθανά κρυπτοκείμενα Message expansion Κρυπτοκείμενο διπλάσιο του μηνύματος Επιτάχυνση Κρυπτογράφησης Κόστος: 2 υψώσεις σε δύναμη - 1 πολλαπλασιασμός Ύψωση σε δύναμη:δεν εξαρτάται από το μήνυμα (precomputation) 18 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Ασφάλεια Κρυπτογράφησης ElGamal CDHP Αντιστοιχία δημοσίων στοιχείων g x 1 g r g x 2 y = g x Υπολογισμός g x 1x 2 αποκρυπτογράφηση Αν δεν μπορώ να αποκρυπτογραφήσω (χωρίς το κλειδί) δεν μπορώ να λύσω το CDHP 19 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Επανάληψη τυχαιότητας Επίθεση KPA KPA: Γνωρίζουμε ζεύγη μηνυμάτων - κρυπτοκειμένου Επίθεση (c r, c 1 ) = Encrypt(y, r, m 1 ) = (g r mod p, m 1 y r mod p) (c r, c 2 ) = Encrypt(y, r, m 2 ) = (g r mod p, m 2 y r mod p) Αν γνωρίζω το (m 1, c 1 ): c 1 = m 1 y r mod p y r = c 1 m 1 1 Μπορώ να υπολογίσω το m 2 ως: m 2 = c 2 y r = c 2 c 1 m 1 1 20 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Ασφάλεια σε επιθέσεις CPA I Θεώρημα Αν το DDHP είναι δύσκολο, τότε το κρυπτοσύστημα El Gamal διαθέτει ασφάλεια IND-CPA. Απόδειξη: Έστω ότι το ElGamal δεν διαθέτει ασφάλεια IND-CPA. Άρα A, ο οποίος μπορεί να νικήσει στο παιχνίδι CPA με μη αμελητέα πιθανότητα. Κατασκευή B : Είσοδος: τριάδα στοιχείων Εσωτερικά: Προσομοίωση του C στο παιχνίδι CPA και χρήση A Αποτέλεσμα: Ξεχωρίζει DH τριάδα από τυχαία 21 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Ασφάλεια σε επιθέσεις CPA II Είσοδος: g α, g β, g c Στο CPA-GAME δημόσιο κλειδί y = g α Ο B απαντά στις κρυπτογραφήσεις του A Όταν ο A προκαλέσει με δύο μηνύματα o C διαλέγει τυχαίο bit {0, 1}, κρυπτογραφεί το M b με τυχαιότητα το g β και πολλαπλασιάζει με g c Τελικά στέλνει το: (g β, M b g c ) O A επιστρέφει την τιμή του bit Ο B εξάγει το bit 22 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Ασφάλεια σε επιθέσεις CPA III Ανάλυση Για τριάδα DH: g c = (g α ) β = y β ο A θα λάβει ένα έγκυρο κρυπτοκείμενο ElGamal. H πιθανότητα να μαντέψει σωστά είναι τουλάχιστον: 1/2 + non-negl(λ). Για τυχαία τριάδα: ο A θα πρέπει να μαντέψει τυχαία Πιθανότητα επιτυχίας: 1 2. Τελική πιθανότητα επιτυχίας για B τουλάχιστον non-negl(λ) Μπορεί να ξεχωρίσει μία DH τριάδα από μία τυχαία με μη αμελητέα πιθανότητα. 23 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Ασφάλεια σε επιθέσεις CPA IV 24 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Ομομορφικές Ιδιότητες I Πολλαπλασιαστικός Ομομορφισμός Encrypt(y, r 1, m 1 ) Encrypt(y, r 2, m 2 ) = (g1, r m 1 y r 1 ) (g2, r m 2 y r 2 ) = (g r 1+r 2, (m 1 m 2 ) y r 1+r 2 ) = Encrypt(y, r 1 + r 2, m 1 m 2 ) 25 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Ομομορφικές Ιδιότητες II Reencryption Encrypt(y, r 1, m) Encrypt(y, r 2, 1) = (g r 1, my r 1 ) (g r 2, y r 1 ) = (g r 1+r 2, my r 1+r 2 ) = Encrypt(y, r 1 + r 2, m) Αλλαγή της τυχαιότητας - Αλλαγή της μορφής του μηνύματος...χωρίς γνώση του ιδιωτικού κλειδιού Malleability 26 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Ομομορφικές Ιδιότητες III Προσθετικός Ομομορφισμός - Εκθετικό ElGamal Κρυπτογράφηση του g m Encrypt (y, r, m) = (g r, g m y r ) Encrypt (y, r 1, m 1 ) Encrypt (y, r 1, m 1 ) = (g r 1, g m 1 y r 1 ) (g r 2, g m 2 y r 2 ) = (g r 1+r 2, g m 1+m2 y r 1+r 2 ) = Encrypt(y, r 1 + r 2, (m 1 + m 2 )) Αποκρυπτογράφηση: Λαμβάνουμε το g m Επίλυση εύκολου διακριτού λογαρίθμου. 27 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Ασφάλεια σε επιθέσεις CCA To παραδοσιακό ElGamal δεν διαθέτει CCA-security Έστω ότι ο A μπορεί να αποκρυπτογραφήσει μηνύματα επιλογής του, εκτός του c. Στόχος: Αποκρυπτογράφηση του c = (G, M) = (g r, m b y r ) Κατασκευή c = (G, M ) = (G g r, M ay r ) = (g r+r, a m b y r+r ), όπου a επιλέγεται από τον A H αποκρυπτογράφηση του M ( M G x ) δίνει το am b και κατά συνέπεια το m b Αν m b = m 0 επιστρέφει b = 0 αλλιώς επιστρέφει b = 1 28 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

ElGamal CCA2: Cramer-Shoup cryptosystem I Ronald Cramer, Victor Shoup, Crypto 1998 Επέκταση του ElGamal Χρηση συνάρτησης σύνοψης H με collision resistance (δεν είναι απαραίτητη) Αν ισχυει η υπόθεση DDH, τότε παρέχει IND-CCA2 Δημιουργία Κλειδιών 29 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

ElGamal CCA2: Cramer-Shoup cryptosystem II Επιλογή πρώτων p, q με p = 2q + 1 G ειναι η υποομάδα ταξης q στο Z p Επιλογή random generators g 1, g 2 Επιλογή τυχαίων στοιχείων x 1, x 2, y 1, y 2, z Z q Υπολογισμός c = g x1 1 g x2 2 d = g y1 1 g y2 2 h = g1 z Δημόσιο Κλειδί: (c, d, h) Μυστικό Κλειδί: (x 1, x 2, y 1, y 2, z) 30 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

ElGamal CCA2: Cramer-Shoup cryptosystem III Κρυπτογράφηση Κωδικοποίηση μηνύματος m στο G Επιλογή τυχαίου r Z q Υπολογισμός u 1 = g r 1, u 2 = g r 2 e = mh r α = H (u 1 u 2 e) v = c r d rα Κρυπτογράφημα: (u 1, u 2, e, v) 31 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

ElGamal CCA2: Cramer-Shoup cryptosystem IV Αποκρυπτογράφηση Υπολογισμός α = H (u 1 u 2 e) Έλεγχος αν u x 1 1 ux 2 2 (uy 1 1 uy 2 2 )α = v. Σε περίπτωση αποτυχίας έξοδος χωρίς αποκρυπτογράφηση Σε περιπτωση επιτυχίας υπολογισμός m = e u1 z 32 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

ElGamal CCA2: Cramer-Shoup cryptosystem V Ορθότητα e u z 1 = mhr u z 1 = m g 1 zr g1 rz = m h, z αντιστοιχούν σε δημόσιο - ιδιωτικό κλειδί ElGamal u 1, e αντιστοιχούν στο κρυπτογράφημα του ElGamal Παρατηρήσεις u 2, v λειτουργούν ως έλεγχος ακεραιότητας, ώστε να μπορεί να αποφευχθεί το malleability Διπλάσια πολυπλοκότητα από ElGamal τόσο σε μέγεθος κρυπτοκειμένου, όσο και σε υπολογιστικές απαιτήσεις 33 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

DLP-based Commitment Schemes Επανάληψη Coin Flipping over the telephone Λύση: Commitment Schemes Hiding - Προστατεύει αποστολέα - καθώς δεν μπορεί να διαρρεύσει η τιμή του Binding - Προστατεύει παραλήπτη - καθώς ο αποστολέας δεν μπορεί να αλλάξει την τιμή του εκ των υστέρων Χρήση randomisation για προστασία από brute-force επιθέσεις 34 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Pedersen commitment Επιλογή ομάδας με δύσκολο DLP από TTP Επιλογή πρώτου q ώστε p = 2q + 1 πρώτος G =< g > υπομάδα τάξης q του Z p Επιλογή x Z q και h = g x Δημοσιοποίηση g, G, p, q, h Δέσμευση: c = commit(m, r) = g m h r mod p Αποκάλυψη: Αποστολή m, r Επαλήθευση: c =? g m h r 35 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Ιδιότητες I Information Theoretically Hiding c = g m h r mod p = g m+xr mod p Ακόμα και ένας παντοδύναμος αντίπαλος να μπορεί να λύσει το DLP θα έχει μία εξίσωση της μορφής d = m + xr (mod q) (2 άγνωστοι m, r - 1 εξίσωση) 36 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Ιδιότητες II Computationally Binding αν το DLP είναι δύσκολο Έστω c = commit(m, r) = commit(m, r ) με m m ΑΤΟΠΟ g m h r = g m h r g m+xr = g m +xr m + xr = m + xr (mod q) x = m m r r 37 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Ελλειπτικές καμπύλες Γενικά Πλούσιο σε ιστορία μαθηματικό αντικείμενο (200 έτη) Κρυπτογραφία: 80s Βασίζονται στο πρόβλημα DLP Αντικατάσταση του Z p με σημεία τους Μόνο γενικευμένοι αλγόριθμοι DLP O(2 λ 2 ) - όχι υποεκθετικοί Ίδια επίπεδα ασφάλειας με μικρότερη παράμετρο ασφάλειας και καλύτερη απόδοση RSA EC 1024 160 2048 224 3072 256 38 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Γενική μορφή Έστω F ένα σώμα. Ορισμός E(F) Mια ελλειπτική καμπύλη E πάνω από το F είναι το σύνολο των σημείων (x, y) F, που ικανοποιούν την εξίσωση Weierstrass y 2 + a 1 xy + a 3 y = x 3 + a 2 x 2 + a 4 x + a 6 a 1, a 2, a 3, a 4, a 5, a 6 F και ένα στοιχείο O, - σημείο στο άπειρο Πρακτικά y 2 = x 3 + ax + b, a, b F 39 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Ελλειπτικές καμπύλες στο R I y 2 = x 3 1 y 2 = x 3 + 1 y 2 = x 3 x + 1 2 y 2 = x 3 3 2 x 40 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Ελλειπτικές καμπύλες στο R II Παρατηρήσεις: Συμμετρία ως προς άξονα x Συμπίεση σημείου (x, 0) ή (x, 1) για πάνω ή κάτω από τον άξονα των x Προς αποφυγή Singular καμπύλες: Πολλαπλές ρίζες, σημεία τομής Πρέπει 4a 3 + 27b 2 0 41 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Αντίθετο Σημείου P σημείο στην E(R). To αντίθετο σημείο P 1 Αν P = O, τότε P = O 2 Αλλιώς αν P = (x, y) τότε P = (x, y) (ανήκει στην E λόγω συμμετρίας) 42 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

(Γεωμετρική) Πρόσθεση Σημείων I Tο άθροισμα P + Q Αν P = O, τότε O + Q = Q Αν Q = P, τότε P + Q = O. Το σημείο O. υπάρχει σε κάθε κατακόρυφη 43 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

(Γεωμετρική) Πρόσθεση Σημείων II Αν P Q τότε: Θεωρούμε την PQ Βρίσκουμε το σημείο τομής R με την E. Βρίσκουμε το αντίθετο 44 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

(Γεωμετρική) Πρόσθεση Σημείων III Αν P = Q τότε: Θεωρούμε την εφαπτομένη στο P Βρίσκουμε το σημείο τομής R με την E. Βρίσκουμε το αντίθετο Αλγεβρική αναπαράσταση: Τριτοβάθμιες εξισώσεις με συντεταγμένες 45 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Ομάδα Σημείων Ελλειπτικής καμπύλης Τα σημεία μιας ελλειπτικής καμπύλης αποτελούν αβελιανή ομάδα ως προς την πρόσθεση ουδέτερο στοιχείο O αντίθετο στοιχείο P πρόσθεση προσεταιριστική και αντιμεταθετική 46 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Πολλαπλασιασμός σημείου με ακέραιο np = P + P + + P 47 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Double and add Υπολογισμός np Απαιτούνται n 1 προσθέσεις Λύση: Square and multiply - Double and add 17P = P + 16P 2P = P + P 4P = 2P + 2P 8P = 4P + 4P 16P = 8P + 8P 48 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

από Discrete Elliptic Curve Plotter 49 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου Ελλειπτικές καμπύλες πάνω από το F p Ορισμός E(F p ) E = O {y 2 = x 3 + ax + b (x, y) F 2 p, (a, b) F 2 p : 4a 3 + 27b 2 0 (mod p), (mod p)} Παράδειγμα: y 2 = x 3 + 1 (mod 997)

Η ομάδα των σημείων E(F p ) I Εύρεση τάξης ομάδας Εκθετικός αλγόριθμος Δοκιμές όλων των x {0,, p 1} Έλεγχος ποια ικανοποιούν την εξίσωση της καμπύλης Θ. Hasse p + 1 2 p E(F p ) p + 1 + 2 p Υπολογισμός: αλγόριθμος Schoof P με βελτιώσεις Elkiens, Atkin (SEA) 50 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Η ομάδα των σημείων E(F p ) II Κυκλικές υποομάδες Κάθε σημείο μιας καμπύλης E(F p ) παράγει μια κυκλική υποομάδα Υπολογισμός τάξης υποομάδας E(F p ) Θεώρημα Lagrange:Η τάξη κάθε υποομάδας διαιρεί την τάξη της ομάδας Τάξη υποομάδας με σημείο βάσης (γεννήτορα) P Εύρεση τάξη ομάδας με αλγόριθμο Schoof Εύρεση των διαιρετών της τάξης, d Για σημείο βάσης P εύρεση min{d : dp = O} 51 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Η ομάδα των σημείων E(F p ) III Εύρεση σημείων βάσης Θέλουμε γεννήτορες μεγάλων υποομάδων Ευρεση μεγάλου πρώτου q E Υπολογισμός h = E q Επιλογή τυχαίου σημείου P Υπολογισμός G = hp Αν G = O επανάληψη 52 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Πρόβλημα ECDLP Δίνονται: Μία ελλειπτική καμπύλη E ορισμένη πάνω από το F p (p, a, b, #E) Μία μεγάλη υποομάδα της με τάξη q ένα σημείο βάσης G και ένα σημείο Y. Ζητείται: Να βρεθεί, αν υπάρχει, ακέραιος x τέτοιος ώστε xg = Y. Εικασία Το πρόβλημα ECDLP είναι υπολογιστικά απρόσιτο (όχι σε κάθε καμπύλη) 53 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Ανταλλαγή Κλειδιού ECDH I Στόχοι Κατασκευή κοινού κλειδιού πάνω από δημόσιο κανάλι επικοινωνίας Σε EC: Το κοινό κλειδί είναι σημείο της καμπύλης Δημόσια επικοινωνία και συμφωνία σε σημείο P μιας ελλειπτικής καμπύλης E Δημόσια Διαθέσιμες Παράμετροι: (p, a, b, #E, q, G) 54 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Ανταλλαγή Κλειδιού ECDH II Πρωτόκολλο H Alice επιλέγει έναν ακέραιο a {1,, q 1} Υπολογίζει το ag E και το δημοσιοποιεί. Ο Bob επιλέγει έναν ακέραιο b {1,, q 1} και δημοσιοποιεί το bg E Το δημόσιο κλειδί που θα χρησιμοποιούν στη συνέχεια είναι το P = a(bg) = b(ag) E 55 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Κρυπτογραφία Δημοσίου Κλειδιού Παραλλαγή Κρυπτοσυστήματος ElGamal Δημιουργία κλειδιών Δημόσια Διαθέσιμες Παράμετροι: (p, a, b, #E, q, G) Ιδιωτικό κλειδί: Ένας τυχαίος ακέραιος x {1,, q 1} Δημόσιο κλειδί: Το σημείο Y = xg E Κρυπτογράφηση Κωδικοποίηση μηνύματος ως σημείο P m της E Επιλέγεται ένας τυχαίος ακέραιος k {1,, q 1} Κρυπτογράφημα: Encrypt(Y, P m ) = (kg, P m + ky ) Αποκρυπτογράφηση Υπολογισμός P m + ky x(kg) = P m 56 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Κωδικοποίηση μηνύματος σε σημείο Hashed Elgamal 1ος τρόπος Χρήση συνάρτησης H : E M Κρυπτογράφηση: Encrypt(Y, P m) = (kg, m H(kY )) 2oς τρόπος Επιλογή τυχαίου α και αντικατάσταση των bits χαμηλής τάξης του με το m Επιλογή ενός από τα δύο πιθανά σημεία της καμπύλης 57 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Πρότυπες καμπύλες Πρότυπο NIST FIPS186-3 15 ελλειπτικές καμπύλες. Για παράδειγμα: NIST P-256 y 2 = x 3 3x+41 058 363 725 152 142 129 326 129 780 047 268 409 114 441 015 993 725 554 835 256 314 039 467 401 291 mod(2 256 2 224 + 2 192 + 2 96 1) Χρήση στην γεννήτρια τυχαιότητας Dual_EC_DRBG. NIST P-384 y 2 = x 3 3x+27 580 193 559 959 705 877 849 011 840 389 048 093 056 905 856 361 568 521 428 707 301 988 689 241 309 860 865 136 260 764 883 745 107 765 439 761 230 575 mod(2 384 2 128 2 96 + 2 32 1) Φόβοι για υπονόμευση Εναλλακτικά: Secp256k1 (OpenSSL, Bitcoin) y 2 = x 3 + 0x + 7 mod (2 256 2 32 977) Curve25519 (OpenSSH) y 2 = x 3 + 486662 x 2 + x mod (2 255 19) 58 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Επιλογή Καμπύλης To ECDLP δεν είναι δύσκολο σε όλες τις καμπύλες Δίνεται μια καμπύλη (p, a, b, #E, q, G) Πρόβλημα: Είναι ασφαλής (;) Επαληθευσιμότητα Επιλογή τυχαίου αριθμού s Υπολογισμός h = H(s) Παραγωγή των a, b από το h Επαληθευσιμο, αλλιώς a, b από αντιστροφή της σύνοψης Αλλά: Πρέπει το s να είναι πραγματικά τυχαίο! Nothing up my sleeve Το s προέρχεται από ψηφία του π, e,τριγωνομετρικών αριθμών 59 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Βιβλιογραφία I St. Zachos and Aris Pagourtzis. Στοιχεία Θεωρίας Αριθμών και Εφαρμογές στην Κρυπτογραφία. Πανεπιστημιακές Σημειώσεις Jonathan Katz and Yehuda Lindell. Introduction to Modern Cryptography (Chapman and Hall/Crc Cryptography and Network Security Series). Chapman and Hall/CRC, 2007 Nigel Smart. Introduction to cryptography Paar, Christof, and Jan Pelzl. Understanding cryptography: a textbook for students and practitioners. Springer Science-Business Media, 2009. Kiayias, Aggelos Cryptography primitives and protocols, UoA, 2015 Dan Boneh, Introduction to cryptography, online course Neal Koblitz and Alfred J. Menezes, A riddle wrapped in an enigma Jeremy Kun Introducing Elliptic Curves Andrea Corbellini Elliptic Curve Cryptography: a gentle introduction Torben Pryds Pedersen. Non-interactive and information-theoretic secure verifiable secret sharing. In CRYPTO 91, pages 129 140, 1991 Victor Shoup Why chosen ciphertext security matters, 1998 DR Stinson The Pohlig - Hellman Algorithm 60 / 60 (ΕΜΠ - Κρυπτογραφία (2016-2017)) Κρυπτοσυστήματα Διακριτού Λογαρίθμου