Κρυπτογραφία Δημοσίου Κλειδιού

Σχετικά έγγραφα
Κρυπτοσύστημα RSA (Rivest, Shamir, Adlemann, 1977) Υπολογιστική Θεωρία Αριθμών και Κρυπτογραφία

Στοιχεία Θεωρίας Αριθμών & Εφαρμογές στην Κρυπτογραφία

Εφαρμοσμένη Κρυπτογραφία Ι

Στοιχεία Θεωρίας Αριθμών & Εφαρμογές στην Κρυπτογραφία

ΑΣΦΑΛΕΙΑ & ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ(Θ)

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ. Δ Εξάμηνο

Αριθμοθεωρητικοί Αλγόριθμοι

Πανεπιστήμιο Πειραιά Τμήμα Ψηφιακών Συστημάτων. Κρυπτογραφία. Ασύμμετρη Κρυπτογραφία. Χρήστος Ξενάκης

Εφαρμοσμένη Κρυπτογραφία Ι

Κρυπτογραφία. Έλεγχος πρώτων αριθών-παραγοντοποίηση. Διαφάνειες: Άρης Παγουρτζής Πέτρος Ποτίκας

ΥΠΟΛΟΓΙΣΤΙΚΗ ΚΡΥΠΤΟΓΡΑΦΙΑ

Κρυπτοσυστήματα Δημοσίου Κλειδιού

project RSA και Rabin-Williams

Στοιχεία Θεωρίας Αριθμών & Εφαρμογές στην Κρυπτογραφία

Στοιχεία Θεωρίας Αριθμών

Διακριτά Μαθηματικά ΙΙ Χρήστος Νομικός Τμήμα Μηχανικών Η/Υ και Πληροφορικής Πανεπιστήμιο Ιωαννίνων 2018 Χρήστος Νομικός ( Τμήμα Μηχανικών Η/Υ Διακριτά

El Gamal Αλγόριθμος. Κώστας Λιμνιώτης Κρυπτογραφία - Εργαστηριακό μάθημα 7 2

Στοιχεία Θεωρίας Αριθμών & Εφαρμογές στην Κρυπτογραφία

Κεφάλαιο 21. Κρυπτογραφία δημόσιου κλειδιού και πιστοποίηση ταυτότητας μηνυμάτων

Επιθέσεις και Ασφάλεια Κρυπτοσυστημάτων

Κρυπτογραφία. Κεφάλαιο 4 Αλγόριθμοι Δημοσίου Κλειδιού (ή ασύμμετροι αλγόριθμοι)

ΑΛΓΟΡΙΘΜΟΙ ΚΑΙ ΠΟΛΥΠΛΟΚΟΤΗΤΑ 2 ΕΠΙΜΕΛΕΙΑ :ΣΤΟΥΚΑ ΑΙΚΑΤΕΡΙΝΗ-ΠΑΝΑΓΙΩΤΑ ΜΕΤΑΠΤΥΧΙΑΚΟ:ΜΠΛΑ

Threshold Cryptography Algorithms. Εργασία στα πλαίσια του μαθήματος Τεχνολογίες Υπολογιστικού Νέφους

Συμμετρικά κρυπτοσυστήματα

KΕΦΑΛΑΙΟ 5 ΨΗΦΙΑΚΕΣ ΥΠΟΓΡΑΦΕΣ

Πρόβληµα 2 (15 µονάδες)

ΑΣΥΜΜΕΤΡΗ ΚΡΥΠΤΟΓΡΑΦΙΑ Lab 3

Παύλος Εφραιμίδης. Βασικές Έννοιες Κρυπτογραφίας. Ασφ Υπολ Συστ

Στοιχεία Θεωρίας Αριθμών & Εφαρμογές στην Κρυπτογραφία

Υπολογιστικά & Διακριτά Μαθηματικά

Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Εθνικό Μετσόβιο Πολυτεχνείο

Υπολογιστική Θεωρία Αριθμών και Κρυπτογραφία

Οικονομικό Πανεπιστήμιο Αθηνών Τμήμα Πληροφορικής ΠΜΣ στα Πληροφοριακά Συστήματα Κρυπτογραφία και Εφαρμογές Διαλέξεις Ακ.

Θεμελιώδη Υπολογιστικά Προβλήματα στην Κρυπτογραφία

ΕΙΣΑΓΩΓΗ ΣΤΗΝ ΑΝΑΛΥΣΗ ΑΛΓΟΡΙΘΜΩΝ

W i. Subset Sum Μια παραλλαγή του προβλήματος knapsack είναι το πρόβλημα Subset Sum, το οποίο δεν λαμβάνει υπόψιν την αξία των αντικειμένων:

Κρυπτογραφία. Κωνσταντίνου Ελισάβετ

6 ΑΣΥΜΜΕΤΡΗ ΚΡΥΠΤΟΓΡΑΦΙΑ

Υπολογιστική Θεωρία Αριθμών και Κρυπτογραφία

Υπολογιστική Θεωρία Αριθμών και Κρυπτογραφία

κρυπτογραϕία Ψηφιακή ασφάλεια και ιδιωτικότητα Γεώργιος Σπαθούλας Msc Πληροφορική και υπολογιστική βιοιατρική Πανεπιστήμιο Θεσσαλίας

KΕΦΑΛΑΙΟ 1 ΧΡΗΣΙΜΕΣ ΜΑΘΗΜΑΤΙΚΕΣ ΕΝΝΟΙΕΣ. { 1,2,3,..., n,...

Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Αλγόριθµοι δηµόσιου κλειδιού

Κρυπτοσυστήματα Διακριτού Λογαρίθμου

* * * ( ) mod p = (a p 1. 2 ) mod p.

Κρυπτογραφία Δημόσιου Κλειδιού II Αλγόριθμος RSA

Υπολογιστική Θεωρία Αριθμών και Κρυπτογραφία

Εισαγωγή στην Κρυπτολογία 3. Ασφάλεια Τηλεπικοινωνιακών Συστημάτων Κωδικός DIΤ114 Σταύρος ΝΙΚΟΛΟΠΟΥΛΟΣ

Εφαρμοσμένη Κρυπτογραφία Ι

ΥΠΟΛΟΓΙΣΤΙΚΗ ΚΡΥΠΤΟΓΡΑΦΙΑ

Υπολογιστική Θεωρία Αριθμών και Κρυπτογραφία

Γενικά Μία μέθοδος κρυπτογραφίας δημοσίου κλειδιού Αντί για δακτύλιους της μορφής Z n χρησιμοποιεί ελλειπτικές καμπύλες ορισμένες σε πεπερασμένα σώματ

Οικονομικό Πανεπιστήμιο Αθηνών Τμήμα Πληροφορικής ΠΜΣ στα Πληροφοριακά Συστήματα Κρυπτογραφία και Εφαρμογές Διαλέξεις Ακ.

Υπολογιστικά & Διακριτά Μαθηματικά

Το κρυπτοσύστημα RSA

Υπολογιστική Θεωρία Αριθμών και Κρυπτογραφία

Cryptography and Network Security Chapter 9. Fifth Edition by William Stallings

1 Diffie-Hellman Key Exchange Protocol

Πανεπιστήμιο Πειραιά Τμήμα Ψηφιακών Συστημάτων. Κρυπτογραφία. Εισαγωγή. Χρήστος Ξενάκης

Υπολογιστικά & Διακριτά Μαθηματικά

Υπολογιστικά & Διακριτά Μαθηματικά

Κρυπτογραφία. Κρυπτοσυστήματα ροής. Πέτρος Ποτίκας. Εθνικό Μετσόβιο Πολυτεχνείο Σχολή Ηλεκτρολόγων Μηχανικών και Μηχανικών Υπολογιστών

Υπολογιστική Θεωρία Αριθμών και Κρυπτογραφία

Υπολογιστικά Προβλήματα και Αλγόριθμοι στην Κρυπτογραφία

Στοιχεία Θεωρίας Αριθμών & Εφαρμογές στην Κρυπτογραφία

Υπολογιστική Θεωρία Αριθμών και Κρυπτογραφία

Κρυπτογραφία. Μονόδρομες συναρτήσεις - Συναρτήσεις σύνοψης. Άρης Παγουρτζής - Πέτρος Ποτίκας

ΑΣΥΜΜΕΤΡΗ ΚΡΥΠΤΟΓΡΑΦΙΑ

Κρυπτογραφία. MAC - Γνησιότητα/Ακεραιότητα μηνύματος. Πέτρος Ποτίκας

Κρυπτογραφία. Κωνσταντίνου Ελισάβετ

Εφαρμοσμένη Κρυπτογραφία Ι

Διαιρετότητα Υπολογιστική Θεωρία Αριθμών και Κρυπτογραφία. Ακέραια διαίρεση. Διαιρετότητα. ΜΚΔ: χρήσιμες ιδιότητες

Υπολογιστική Θεωρία Αριθμών και Κρυπτογραφία

Πρόβληµα 2 (12 µονάδες)

Εφαρμοσμένη Κρυπτογραφία Ι

Υπολογιστική Θεωρία Αριθμών και Κρυπτογραφία

1 Ψηφιακές Υπογραφές. 1.1 Η συνάρτηση RSA : Η ύψωση στην e-οστή δύναμη στο Z n. Κρυπτογραφία: Αρχές και πρωτόκολλα Διάλεξη 6. Καθηγητής Α.

Παναγιώτης Ψαρράκος Αν. Καθηγητής

Κεφάλαιο. Ψηφιακές Υπογραφές Εισαγωγή. Πίνακας Περιεχομένων

Πρόλογος 1. 1 Μαθηµατικό υπόβαθρο 9

Αριθμο-Θεωρητικά Προβλήματα Αναφοράς

Θεμελιώδη Θέματα Επιστήμης Υπολογιστών

Εφαρμοσμένη Κρυπτογραφία Ι

KΕΦΑΛΑΙΟ 3 ΑΣΥΜΜΕΤΡΗ ΚΡΥΠΤΟΓΡΑΦΙΑ

Διαχείριση Ασφάλειας και Εμπιστοσύνης σε Πολιτισμικά Περιβάλλοντα

ΕΙΣΑΓΩΓΗ ΣΤΗΝ ΑΝΑΛΥΣΗ ΑΛΓΟΡΙΘΜΩΝ

Υπολογιστική Θεωρία Αριθμών και Κρυπτογραφία

Πανεπιστήμιο Πειραιά Τμήμα Ψηφιακών Συστημάτων. Κρυπτογραφία. Διαχείριση κλειδιών. Χρήστος Ξενάκης

Άδειες Χρήσης Το παρόν εκπαιδευτικό υλικό υπόκειται σε άδειες χρήσης Creative Commons. Για εκπαιδευτικό υλικό, όπως εικόνες, που υπόκειται σε άλλου τύ

Εισαγωγή στην επιστήμη της Πληροφορικής και των Τηλεπικοινωνιών. Aσφάλεια

8.3.4 Τεχνικές Ασφάλειας Συμμετρική Κρυπτογράφηση Ασυμμετρική Κρυπτογράφηση Ψηφιακές Υπογραφές

Το κρυπτοσύστημα RSA

Πρόσφατες κατευθύνσεις

Ασφάλεια Πληροφοριακών Συστημάτων

Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Εισαγωγή στην Επιστήμη των Υπολογιστών Ασφάλεια Δεδομένων.

Ασυμπτωτικός Συμβολισμός

ΑΣΦΑΛΕΙΑ & ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ(Θ)

Βασικές Έννοιες Κρυπτογραφίας

Transcript:

Στοιχεία Θεωρίας Αριθμών και Εφαρμογές στην Κρυπτογραφία Κρυπτογραφία Δημοσίου Κλειδιού Άρης Παγουρτζής Στάθης Ζάχος Σχολή Ηλεκτρολόγων Μηχανικών - Μηχανικών Υπολογιστών Εθνικού Mετσόβιου Πολυτεχνείου

Κρυπτοσύστημα RSA (Rivest, Shamir, Adlemann, 1977) Ορισμός RSA Παραγωγή κλειδιών Σχολή ΗΜΜΥ ΕΜΠ 2 / 27

Κρυπτοσύστημα RSA (Rivest, Shamir, Adlemann, 1977) Ορισμός RSA Παραγωγή κλειδιών 1 Εύρεση πρώτων p, q μεγάλου μήκους (> 1000 ψηφία) χρήση ελέγχου πρώτων αριθμών (πχ Miller-Rabin) Σχολή ΗΜΜΥ ΕΜΠ 2 / 27

Κρυπτοσύστημα RSA (Rivest, Shamir, Adlemann, 1977) Ορισμός RSA Παραγωγή κλειδιών 1 Εύρεση πρώτων p, q μεγάλου μήκους (> 1000 ψηφία) χρήση ελέγχου πρώτων αριθμών (πχ Miller-Rabin) 2 Υπολογισμός n = p q και ϕ(n) = (p 1) (q 1) Σχολή ΗΜΜΥ ΕΜΠ 2 / 27

Κρυπτοσύστημα RSA (Rivest, Shamir, Adlemann, 1977) Ορισμός RSA Παραγωγή κλειδιών 1 Εύρεση πρώτων p, q μεγάλου μήκους (> 1000 ψηφία) χρήση ελέγχου πρώτων αριθμών (πχ Miller-Rabin) 2 Υπολογισμός n = p q και ϕ(n) = (p 1) (q 1) 3 Επιλογή e U(Z n ) : gcd(e, ϕ(n)) = 1 Σχολή ΗΜΜΥ ΕΜΠ 2 / 27

Κρυπτοσύστημα RSA (Rivest, Shamir, Adlemann, 1977) Ορισμός RSA Παραγωγή κλειδιών 1 Εύρεση πρώτων p, q μεγάλου μήκους (> 1000 ψηφία) χρήση ελέγχου πρώτων αριθμών (πχ Miller-Rabin) 2 Υπολογισμός n = p q και ϕ(n) = (p 1) (q 1) 3 Επιλογή e U(Z n ) : gcd(e, ϕ(n)) = 1 4 Υπολογισμός d : e d 1 (mod ϕ(n)) χρήση Επεκτεταμένου Ευκλείδειου αλγόριθμου Σχολή ΗΜΜΥ ΕΜΠ 2 / 27

Κρυπτοσύστημα RSA (Rivest, Shamir, Adlemann, 1977) Ορισμός RSA Παραγωγή κλειδιών 1 Εύρεση πρώτων p, q μεγάλου μήκους (> 1000 ψηφία) χρήση ελέγχου πρώτων αριθμών (πχ Miller-Rabin) 2 Υπολογισμός n = p q και ϕ(n) = (p 1) (q 1) 3 Επιλογή e U(Z n ) : gcd(e, ϕ(n)) = 1 4 Υπολογισμός d : e d 1 (mod ϕ(n)) χρήση Επεκτεταμένου Ευκλείδειου αλγόριθμου Δημόσιο κλειδί: e, n Σχολή ΗΜΜΥ ΕΜΠ 2 / 27

Κρυπτοσύστημα RSA (Rivest, Shamir, Adlemann, 1977) Ορισμός RSA Παραγωγή κλειδιών 1 Εύρεση πρώτων p, q μεγάλου μήκους (> 1000 ψηφία) χρήση ελέγχου πρώτων αριθμών (πχ Miller-Rabin) 2 Υπολογισμός n = p q και ϕ(n) = (p 1) (q 1) 3 Επιλογή e U(Z n ) : gcd(e, ϕ(n)) = 1 4 Υπολογισμός d : e d 1 (mod ϕ(n)) χρήση Επεκτεταμένου Ευκλείδειου αλγόριθμου Δημόσιο κλειδί: e, n Ιδιωτικό κλειδί: d Σχολή ΗΜΜΥ ΕΜΠ 2 / 27

Κρυπτοσύστημα RSA (Rivest, Shamir, Adlemann, 1977) Ορισμός RSA Παραγωγή κλειδιών 1 Εύρεση πρώτων p, q μεγάλου μήκους (> 1000 ψηφία) χρήση ελέγχου πρώτων αριθμών (πχ Miller-Rabin) 2 Υπολογισμός n = p q και ϕ(n) = (p 1) (q 1) 3 Επιλογή e U(Z n ) : gcd(e, ϕ(n)) = 1 4 Υπολογισμός d : e d 1 (mod ϕ(n)) χρήση Επεκτεταμένου Ευκλείδειου αλγόριθμου Δημόσιο κλειδί: e, n Ιδιωτικό κλειδί: d Κρυπτογράφηση enc(m) = m e mod n (m Z n ) Σχολή ΗΜΜΥ ΕΜΠ 2 / 27

Κρυπτοσύστημα RSA (Rivest, Shamir, Adlemann, 1977) Ορισμός RSA Παραγωγή κλειδιών 1 Εύρεση πρώτων p, q μεγάλου μήκους (> 1000 ψηφία) χρήση ελέγχου πρώτων αριθμών (πχ Miller-Rabin) 2 Υπολογισμός n = p q και ϕ(n) = (p 1) (q 1) 3 Επιλογή e U(Z n ) : gcd(e, ϕ(n)) = 1 4 Υπολογισμός d : e d 1 (mod ϕ(n)) χρήση Επεκτεταμένου Ευκλείδειου αλγόριθμου Δημόσιο κλειδί: e, n Ιδιωτικό κλειδί: d Κρυπτογράφηση enc(m) = m e mod n (m Z n ) Αποκρυπτογράφηση dec(c) = c d mod n Σχολή ΗΜΜΥ ΕΜΠ 2 / 27

Ιδιότητες του RSA Ορθότητα dec(m e mod n) (m e ) d m k ϕ(n)+1 m (mod n) Σχολή ΗΜΜΥ ΕΜΠ 3 / 27

Ιδιότητες του RSA Ορθότητα dec(m e mod n) (m e ) d m k ϕ(n)+1 m (mod n) Αποδεικνύεται εύκολα για m U(Z n ), αλλά ισχύει και για κάθε m Z n \ U(Z n ) (άσκηση) Σχολή ΗΜΜΥ ΕΜΠ 3 / 27

Ιδιότητες του RSA Ορθότητα dec(m e mod n) (m e ) d m k ϕ(n)+1 m (mod n) Αποδεικνύεται εύκολα για m U(Z n ), αλλά ισχύει και για κάθε m Z n \ U(Z n ) (άσκηση) Και οι τρεις διαδικασίες (παραγωγή κλειδιών, κρυπτογράφηση, αποκρυπτογράφηση) υλοποιούνται αποδοτικά Σχολή ΗΜΜΥ ΕΜΠ 3 / 27

RSA και παραγοντοποίηση Αν κάποιος μπορει να βρει τα p και q μπορεί εύκολα να υπολογίσει το ϕ(n) και επομένως και το d: RSA-decrypt(c, e, n) p FindSecrExp(e, n) p ϕ(n) Computation p Factoring(n) Σχολή ΗΜΜΥ ΕΜΠ 4 / 27

RSA και παραγοντοποίηση Αν κάποιος μπορει να βρει τα p και q μπορεί εύκολα να υπολογίσει το ϕ(n) και επομένως και το d: RSA-decrypt(c, e, n) p FindSecrExp(e, n) p ϕ(n) Computation p Factoring(n) Η εύρεση του ϕ(n) οδηγεί σε παραγοντοποίηση (άρα είναι παρόμοιας δυσκολίας) λύνοντας ως προς p, q: n = p q ϕ(n) = (p 1) (q 1) Σχολή ΗΜΜΥ ΕΜΠ 4 / 27

ϕ(n) Computation p Factoring(n) Σχολή ΗΜΜΥ ΕΜΠ 4 / 27 RSA και παραγοντοποίηση Αν κάποιος μπορει να βρει τα p και q μπορεί εύκολα να υπολογίσει το ϕ(n) και επομένως και το d: RSA-decrypt(c, e, n) p FindSecrExp(e, n) p ϕ(n) Computation p Factoring(n) Η εύρεση του ϕ(n) οδηγεί σε παραγοντοποίηση (άρα είναι παρόμοιας δυσκολίας) λύνοντας ως προς p, q: Επομένως: n = p q ϕ(n) = (p 1) (q 1) RSA-decrypt(c, e, n) p FindSecrExp(e, n) p

Εύρεση μυστικού εκθέτη d παραγοντοποίηση του n Πρόταση Η εύρεση του ιδιωτικού κλειδιού d (εκθέτη αποκρυπτογράφησης) του RSA, οδηγεί στην παραγοντοποίηση του n με πολύ μεγάλη πιθανότητα Απόδειξη Αν γνωρίζουμε το d μπορούμε να σχεδιάσουμε τον παρακάτω πιθανοτικό αλγόριθμο: Υπολογίζουμε u = ed 1 Ισχύει ϕ(n) ed 1 a U(Z n ) : a u 1 (mod n) Χρησιμοποιούμε την ίδια ιδέα που είδαμε στην απόδειξη του Miller-Rabin: Γράφουμε u = t 2 s και παίρνουμε sequences b t, b 2t,, b 2it, b 2st (mod n), για διάφορες τυχαία επιλεγμένες τιμές του b Όπως και στο Miller-Rabin, αποδεικνύεται ότι τουλάχιστον τα μισά b U(Z n ) δίνουν factoring sequences Σχολή ΗΜΜΥ ΕΜΠ 5 / 27

Η σχέση των προβλημάτων ως τώρα RSA-decrypt(c, e, n) p FindSecrExp(e, n) p ϕ(n) Computation p Factoring(n) rp FindSecrExp(e, n) Σχολή ΗΜΜΥ ΕΜΠ 6 / 27

Επίθεση Κοινού Γινομένου Σενάριο: μια Έμπιστη Αρχή (Trusted Third Party) διανέμει το ίδιο γινόμενο n και διαφορετικά ζεύγη (e 1, d 1 ) και (e 2, d 2 ) σε δύο χρήστες Οι πρώτοι αριθμοί p, q είναι γνωστοί μόνο στην Έμπιστη Αρχή Τι πρόβλημα υπάρχει; Σχολή ΗΜΜΥ ΕΜΠ 7 / 27

Επίθεση Κοινού Γινομένου Σενάριο: μια Έμπιστη Αρχή (Trusted Third Party) διανέμει το ίδιο γινόμενο n και διαφορετικά ζεύγη (e 1, d 1 ) και (e 2, d 2 ) σε δύο χρήστες Οι πρώτοι αριθμοί p, q είναι γνωστοί μόνο στην Έμπιστη Αρχή Τι πρόβλημα υπάρχει; (i) Ο χρήστης 1 μπορεί να υπολογίσει (e 1 d 1 1) και να παραγοντοποιήσει το n με τον πιθανοτικό αλγόριθμο Σχολή ΗΜΜΥ ΕΜΠ 7 / 27

Επίθεση Κοινού Γινομένου Σενάριο: μια Έμπιστη Αρχή (Trusted Third Party) διανέμει το ίδιο γινόμενο n και διαφορετικά ζεύγη (e 1, d 1 ) και (e 2, d 2 ) σε δύο χρήστες Οι πρώτοι αριθμοί p, q είναι γνωστοί μόνο στην Έμπιστη Αρχή Τι πρόβλημα υπάρχει; (i) Ο χρήστης 1 μπορεί να υπολογίσει (e 1 d 1 1) και να παραγοντοποιήσει το n με τον πιθανοτικό αλγόριθμο (ii) Μπορεί επίσης να υπολογίσει έναν εκθέτη αποκρυπτογράφησης χωρίς παραγοντοποίηση του n ως εξής: Σχολή ΗΜΜΥ ΕΜΠ 7 / 27

Επίθεση Κοινού Γινομένου Σενάριο: μια Έμπιστη Αρχή (Trusted Third Party) διανέμει το ίδιο γινόμενο n και διαφορετικά ζεύγη (e 1, d 1 ) και (e 2, d 2 ) σε δύο χρήστες Οι πρώτοι αριθμοί p, q είναι γνωστοί μόνο στην Έμπιστη Αρχή Τι πρόβλημα υπάρχει; (i) Ο χρήστης 1 μπορεί να υπολογίσει (e 1 d 1 1) και να παραγοντοποιήσει το n με τον πιθανοτικό αλγόριθμο (ii) Μπορεί επίσης να υπολογίσει έναν εκθέτη αποκρυπτογράφησης χωρίς παραγοντοποίηση του n ως εξής: Γνωρίζει ότι g 0 = e 1 d 1 1 = k ϕ(n), για κάποιο k N Σχολή ΗΜΜΥ ΕΜΠ 7 / 27

Επίθεση Κοινού Γινομένου Σενάριο: μια Έμπιστη Αρχή (Trusted Third Party) διανέμει το ίδιο γινόμενο n και διαφορετικά ζεύγη (e 1, d 1 ) και (e 2, d 2 ) σε δύο χρήστες Οι πρώτοι αριθμοί p, q είναι γνωστοί μόνο στην Έμπιστη Αρχή Τι πρόβλημα υπάρχει; (i) Ο χρήστης 1 μπορεί να υπολογίσει (e 1 d 1 1) και να παραγοντοποιήσει το n με τον πιθανοτικό αλγόριθμο (ii) Μπορεί επίσης να υπολογίσει έναν εκθέτη αποκρυπτογράφησης χωρίς παραγοντοποίηση του n ως εξής: Γνωρίζει ότι g 0 = e 1 d 1 1 = k ϕ(n), για κάποιο k N Από κατασκευή ισχύει gcd(e 2, ϕ(n)) = 1 Σχολή ΗΜΜΥ ΕΜΠ 7 / 27

Επίθεση Κοινού Γινομένου Σενάριο: μια Έμπιστη Αρχή (Trusted Third Party) διανέμει το ίδιο γινόμενο n και διαφορετικά ζεύγη (e 1, d 1 ) και (e 2, d 2 ) σε δύο χρήστες Οι πρώτοι αριθμοί p, q είναι γνωστοί μόνο στην Έμπιστη Αρχή Τι πρόβλημα υπάρχει; (i) Ο χρήστης 1 μπορεί να υπολογίσει (e 1 d 1 1) και να παραγοντοποιήσει το n με τον πιθανοτικό αλγόριθμο (ii) Μπορεί επίσης να υπολογίσει έναν εκθέτη αποκρυπτογράφησης χωρίς παραγοντοποίηση του n ως εξής: Γνωρίζει ότι g 0 = e 1 d 1 1 = k ϕ(n), για κάποιο k N Από κατασκευή ισχύει gcd(e 2, ϕ(n)) = 1 Επομένως, διαιρώντας διαδοχικά το g 0 με τους κοινούς παράγοντές του με το e 2 βρίσκουμε a = g i = k ϕ(n), gcd(e 2, a) = 1 Σχολή ΗΜΜΥ ΕΜΠ 7 / 27

Επίθεση Κοινού Γινομένου Σενάριο: μια Έμπιστη Αρχή (Trusted Third Party) διανέμει το ίδιο γινόμενο n και διαφορετικά ζεύγη (e 1, d 1 ) και (e 2, d 2 ) σε δύο χρήστες Οι πρώτοι αριθμοί p, q είναι γνωστοί μόνο στην Έμπιστη Αρχή Τι πρόβλημα υπάρχει; (i) Ο χρήστης 1 μπορεί να υπολογίσει (e 1 d 1 1) και να παραγοντοποιήσει το n με τον πιθανοτικό αλγόριθμο (ii) Μπορεί επίσης να υπολογίσει έναν εκθέτη αποκρυπτογράφησης χωρίς παραγοντοποίηση του n ως εξής: Γνωρίζει ότι g 0 = e 1 d 1 1 = k ϕ(n), για κάποιο k N Από κατασκευή ισχύει gcd(e 2, ϕ(n)) = 1 Επομένως, διαιρώντας διαδοχικά το g 0 με τους κοινούς παράγοντές του με το e 2 βρίσκουμε a = g i = k ϕ(n), gcd(e 2, a) = 1 Το d 2 = (e 2 ) 1 (mod a) μπορεί να χρησιμοποιηθεί ως εκθέτης αποκρυπτογράφησης (γιατί;) Σχολή ΗΜΜΥ ΕΜΠ 7 / 27

Μερική ανάκτηση πληροφοριών στο RSA Σχετική έννοια: Semantic Security, το υπολογιστικό ανάλογο της Perfect Secrecy Σχολή ΗΜΜΥ ΕΜΠ 8 / 27

Μερική ανάκτηση πληροφοριών στο RSA Σχετική έννοια: Semantic Security, το υπολογιστικό ανάλογο της Perfect Secrecy Ενδιαφέρει η ποσότητα πληροφορίας που μπορεί να διαρρεύσει σε εφικτό υπολογιστικό χρόνο Σχολή ΗΜΜΥ ΕΜΠ 8 / 27

Μερική ανάκτηση πληροφοριών στο RSA Σχετική έννοια: Semantic Security, το υπολογιστικό ανάλογο της Perfect Secrecy Ενδιαφέρει η ποσότητα πληροφορίας που μπορεί να διαρρεύσει σε εφικτό υπολογιστικό χρόνο Διαρροή της τιμής του συμβόλου Jacobi Έστω c = m e mod n Τότε: ( c n ) = ( me p ) ( me q ) = ( m p )e ( m q )e = ( m p ) ( m q ) = ( m n ) Σχολή ΗΜΜΥ ΕΜΠ 8 / 27

Μερική ανάκτηση πληροφοριών στο RSA Σχετική έννοια: Semantic Security, το υπολογιστικό ανάλογο της Perfect Secrecy Ενδιαφέρει η ποσότητα πληροφορίας που μπορεί να διαρρεύσει σε εφικτό υπολογιστικό χρόνο Διαρροή της τιμής του συμβόλου Jacobi Έστω c = m e mod n Τότε: ( c n ) = ( me p ) ( me q ) = ( m p )e ( m q )e = ( m p ) ( m q ) = ( m n ) Αυτή η διαρροή δεν θεωρείται απειλητική για την ασφάλεια του RSA Σχολή ΗΜΜΥ ΕΜΠ 8 / 27

Μερική ανάκτηση πληροφοριών στο RSA Έστω c = m e mod n Σχολή ΗΜΜΥ ΕΜΠ 9 / 27

Μερική ανάκτηση πληροφοριών στο RSA Έστω c = m e mod n Μπορούμε από τα (c, e, n) να μάθουμε το τελευταίο bit του m; Σχολή ΗΜΜΥ ΕΜΠ 9 / 27

Μερική ανάκτηση πληροφοριών στο RSA Έστω c = m e mod n Μπορούμε από τα (c, e, n) να μάθουμε το τελευταίο bit του m; Ή το bit που μας λέει αν m > n 2 ; Σχολή ΗΜΜΥ ΕΜΠ 9 / 27

Μερική ανάκτηση πληροφοριών στο RSA Έστω c = m e mod n Μπορούμε από τα (c, e, n) να μάθουμε το τελευταίο bit του m; Ή το bit που μας λέει αν m > n 2 ; Θα δούμε ότι κάθε μία από τις δύο αυτές πληροφορίες είναι ισοδύναμη με το σπάσιμο του κρυπτοσυστήματος Σχολή ΗΜΜΥ ΕΜΠ 9 / 27

Μερική ανάκτηση πληροφοριών στο RSA Έστω c = m e mod n Μπορούμε από τα (c, e, n) να μάθουμε το τελευταίο bit του m; Ή το bit που μας λέει αν m > n 2 ; Θα δούμε ότι κάθε μία από τις δύο αυτές πληροφορίες είναι ισοδύναμη με το σπάσιμο του κρυπτοσυστήματος parity n,e (c) = loc n,e (c) = { 0, αν m είναι άρτιος 1, αν m είναι περιττός { 0, αν m n 2 1, αν m > n 2 όπου m το μοναδικό m Z n : m e mod n = c Σχολή ΗΜΜΥ ΕΜΠ 9 / 27

Μερική ανάκτηση πληροφοριών στο RSA Πρόταση Αν μπορούμε να υπολογίσουμε οποιαδήποτε από τις συναρτήσεις loc ή parity (για όλες τις εισόδους) τότε μπορούμε να βρούμε το απλό κείμενο (σπάσιμο του RSA) Απόδειξη Στηρίζεται στην πολλαπλασιαστική ιδιότητα της κρυπτογράφησης RSA: enc n,e (m 1 ) enc n,e (m 2 ) = enc n,e (m 1 m 2 ) Σχολή ΗΜΜΥ ΕΜΠ 10 / 27

Μερική ανάκτηση πληροφοριών στο RSA Πρόταση Αν μπορούμε να υπολογίσουμε οποιαδήποτε από τις συναρτήσεις loc ή parity (για όλες τις εισόδους) τότε μπορούμε να βρούμε το απλό κείμενο (σπάσιμο του RSA) Απόδειξη Στηρίζεται στην πολλαπλασιαστική ιδιότητα της κρυπτογράφησης RSA: enc n,e (m 1 ) enc n,e (m 2 ) = enc n,e (m 1 m 2 ) Παρατηρήστε ότι: loc n,e (c) = parity n,e (enc n,e (2 m)) = parity n,e (c enc n,e (2)) Σχολή ΗΜΜΥ ΕΜΠ 10 / 27

Μερική ανάκτηση πληροφοριών στο RSA Πρόταση Αν μπορούμε να υπολογίσουμε οποιαδήποτε από τις συναρτήσεις loc ή parity (για όλες τις εισόδους) τότε μπορούμε να βρούμε το απλό κείμενο (σπάσιμο του RSA) Απόδειξη Στηρίζεται στην πολλαπλασιαστική ιδιότητα της κρυπτογράφησης RSA: enc n,e (m 1 ) enc n,e (m 2 ) = enc n,e (m 1 m 2 ) Παρατηρήστε ότι: loc n,e (c) = parity n,e (enc n,e (2 m)) = parity n,e (c enc n,e (2)) parity n,e (c) = loc n,e (enc n,e (m 2 1 (mod n))) = Σχολή ΗΜΜΥ ΕΜΠ 10 / 27

Μερική ανάκτηση πληροφοριών στο RSA Πρόταση Αν μπορούμε να υπολογίσουμε οποιαδήποτε από τις συναρτήσεις loc ή parity (για όλες τις εισόδους) τότε μπορούμε να βρούμε το απλό κείμενο (σπάσιμο του RSA) Απόδειξη Στηρίζεται στην πολλαπλασιαστική ιδιότητα της κρυπτογράφησης RSA: enc n,e (m 1 ) enc n,e (m 2 ) = enc n,e (m 1 m 2 ) Παρατηρήστε ότι: loc n,e (c) = parity n,e (enc n,e (2 m)) = parity n,e (c enc n,e (2)) parity n,e (c) = loc n,e (enc n,e (m 2 1 (mod n))) = loc n,e (c enc n,e ( n+1 2 )) Σχολή ΗΜΜΥ ΕΜΠ 10 / 27

Μερική ανάκτηση πληροφοριών στο RSA Πρόταση Αν μπορούμε να υπολογίσουμε οποιαδήποτε από τις συναρτήσεις loc ή parity (για όλες τις εισόδους) τότε μπορούμε να βρούμε το απλό κείμενο (σπάσιμο του RSA) Απόδειξη Στηρίζεται στην πολλαπλασιαστική ιδιότητα της κρυπτογράφησης RSA: enc n,e (m 1 ) enc n,e (m 2 ) = enc n,e (m 1 m 2 ) Παρατηρήστε ότι: loc n,e (c) = parity n,e (enc n,e (2 m)) = parity n,e (c enc n,e (2)) parity n,e (c) = loc n,e (enc n,e (m 2 1 (mod n))) = loc n,e (c enc n,e ( n+1 2 )) Επομένως οι δύο συναρτήσεις είναι ισοδύναμες υπολογιστικά (ως προς πολυωνυμικό χρόνο) Σχολή ΗΜΜΥ ΕΜΠ 10 / 27

Απόδειξη (συν) Μένει να εφαρμόσουμε δυαδική αναζήτηση, χρησιμοποιώντας την loc, για να βρούμε το m: loc n,e (enc(m)) = 0 x [0, n 2 ) loc n,e (enc(2m)) = 0 x [0, n 2 ) [ n 2, 3n 4 ) κοκ για log n βήματα Σχολή ΗΜΜΥ ΕΜΠ 11 / 27

Απόδειξη (συν) Μένει να εφαρμόσουμε δυαδική αναζήτηση, χρησιμοποιώντας την loc, για να βρούμε το m: loc n,e (enc(m)) = 0 x [0, n 2 ) loc n,e (enc(2m)) = 0 x [0, n 2 ) [ n 2, 3n 4 ) κοκ για log n βήματα Επομένως, αποδοτικός υπολογισμός της loc (ή της parity) οδηγεί σε αποκρυπτογράφηση Συμπέρασμα; Σχολή ΗΜΜΥ ΕΜΠ 11 / 27

Επίθεση μικρού εκθέτη Έστω τα δημόσια κλειδιά των Bob, Charlie και Diane p B = (n 1, 3), p C = (n 2, 3), p D = (n 3, 3), έχουν δηλαδή τον ίδιο μικρό εκθέτη Η Alice στέλνει σε όλους το ίδιο μήνυμα m Σχολή ΗΜΜΥ ΕΜΠ 12 / 27

Επίθεση μικρού εκθέτη Έστω τα δημόσια κλειδιά των Bob, Charlie και Diane p B = (n 1, 3), p C = (n 2, 3), p D = (n 3, 3), έχουν δηλαδή τον ίδιο μικρό εκθέτη Η Alice στέλνει σε όλους το ίδιο μήνυμα m Η Eve σχηματίζει το σύστημα c 1 = m 3 (mod n 1 ) c 2 = m 3 (mod n 2 ) c 3 = m 3 (mod n 3 ) Σχολή ΗΜΜΥ ΕΜΠ 12 / 27

Επίθεση μικρού εκθέτη Έστω τα δημόσια κλειδιά των Bob, Charlie και Diane p B = (n 1, 3), p C = (n 2, 3), p D = (n 3, 3), έχουν δηλαδή τον ίδιο μικρό εκθέτη Η Alice στέλνει σε όλους το ίδιο μήνυμα m Η Eve σχηματίζει το σύστημα c 1 = m 3 (mod n 1 ) c 2 = m 3 (mod n 2 ) c 3 = m 3 (mod n 3 ) Ερώτηση: τι δίνει το σύστημα αυτό με χρήση CRT; Σχολή ΗΜΜΥ ΕΜΠ 12 / 27

Επίθεση μικρού εκθέτη Έστω τα δημόσια κλειδιά των Bob, Charlie και Diane p B = (n 1, 3), p C = (n 2, 3), p D = (n 3, 3), έχουν δηλαδή τον ίδιο μικρό εκθέτη Η Alice στέλνει σε όλους το ίδιο μήνυμα m Η Eve σχηματίζει το σύστημα c 1 = m 3 (mod n 1 ) c 2 = m 3 (mod n 2 ) c 3 = m 3 (mod n 3 ) Ερώτηση: τι δίνει το σύστημα αυτό με χρήση CRT; Απάντηση: την τιμή του m 3 στο Zn 1 n 2 n 3, δηλαδή το m 3 (γιατί;) Σχολή ΗΜΜΥ ΕΜΠ 12 / 27

Συνιστώμενες παράμετροι του RSA n 2048 (μέχρι το 2030 περίπου, μετά n 3072) Σχολή ΗΜΜΥ ΕΜΠ 13 / 27

Συνιστώμενες παράμετροι του RSA n 2048 (μέχρι το 2030 περίπου, μετά n 3072) p, q περίπου ίδιου μήκους Σχολή ΗΜΜΥ ΕΜΠ 13 / 27

Συνιστώμενες παράμετροι του RSA n 2048 (μέχρι το 2030 περίπου, μετά n 3072) p, q περίπου ίδιου μήκους p q > 2 n 2 100 Σχολή ΗΜΜΥ ΕΜΠ 13 / 27

Συνιστώμενες παράμετροι του RSA n 2048 (μέχρι το 2030 περίπου, μετά n 3072) p, q περίπου ίδιου μήκους p q > 2 n 2 100 p 1, q 1 έχουν και μεγάλους πρώτους παράγοντες (αποφυγή κυκλικών επιθέσεων) Σχολή ΗΜΜΥ ΕΜΠ 13 / 27

Συνιστώμενες παράμετροι του RSA n 2048 (μέχρι το 2030 περίπου, μετά n 3072) p, q περίπου ίδιου μήκους p q > 2 n 2 100 p 1, q 1 έχουν και μεγάλους πρώτους παράγοντες (αποφυγή κυκλικών επιθέσεων) 66537 < e 2 256 Επιλέγεται πριν από τα p, q Σχολή ΗΜΜΥ ΕΜΠ 13 / 27

Συνιστώμενες παράμετροι του RSA n 2048 (μέχρι το 2030 περίπου, μετά n 3072) p, q περίπου ίδιου μήκους p q > 2 n 2 100 p 1, q 1 έχουν και μεγάλους πρώτους παράγοντες (αποφυγή κυκλικών επιθέσεων) 66537 < e 2 256 Επιλέγεται πριν από τα p, q ed 1 (mod λ(n) = lcm(p 1, q 1)) Σχολή ΗΜΜΥ ΕΜΠ 13 / 27

Συνιστώμενες παράμετροι του RSA n 2048 (μέχρι το 2030 περίπου, μετά n 3072) p, q περίπου ίδιου μήκους p q > 2 n 2 100 p 1, q 1 έχουν και μεγάλους πρώτους παράγοντες (αποφυγή κυκλικών επιθέσεων) 66537 < e 2 256 Επιλέγεται πριν από τα p, q ed 1 (mod λ(n) = lcm(p 1, q 1)) 2 n 2 < d < lcm(p 1, q 1) Σχολή ΗΜΜΥ ΕΜΠ 13 / 27

Συνιστώμενες παράμετροι του RSA n 2048 (μέχρι το 2030 περίπου, μετά n 3072) p, q περίπου ίδιου μήκους p q > 2 n 2 100 p 1, q 1 έχουν και μεγάλους πρώτους παράγοντες (αποφυγή κυκλικών επιθέσεων) 66537 < e 2 256 Επιλέγεται πριν από τα p, q ed 1 (mod λ(n) = lcm(p 1, q 1)) 2 n 2 < d < lcm(p 1, q 1) Περισσότερα: NIST Σχολή ΗΜΜΥ ΕΜΠ 13 / 27

Το κρυπτοσύστημα Rabin Ορισμός Δημόσιο κλειδί: n = pq, b < n Ιδιωτικό κλειδί: p, q Σχολή ΗΜΜΥ ΕΜΠ 14 / 27

Το κρυπτοσύστημα Rabin Ορισμός Δημόσιο κλειδί: n = pq, b < n Ιδιωτικό κλειδί: p, q enc(x) = (x (x + b)) mod n Σχολή ΗΜΜΥ ΕΜΠ 14 / 27

Το κρυπτοσύστημα Rabin Ορισμός Δημόσιο κλειδί: n = pq, b < n Ιδιωτικό κλειδί: p, q enc(x) = (x (x + b)) mod n dec(y) = x b 2 mod n, x 2 y + b2 4 (mod n) Σχολή ΗΜΜΥ ΕΜΠ 14 / 27

Το κρυπτοσύστημα Rabin Ορισμός Δημόσιο κλειδί: n = pq, b < n Ιδιωτικό κλειδί: p, q enc(x) = (x (x + b)) mod n dec(y) = x b 2 mod n, x 2 y + b2 4 (mod n) Η αποκρυπτογράφηση συνίσταται ουσιαστικά στην εύρεση τετραγωνικών ριζών (mod n) του y = y + b2 4 : Σχολή ΗΜΜΥ ΕΜΠ 14 / 27

Το κρυπτοσύστημα Rabin Ορισμός Δημόσιο κλειδί: n = pq, b < n Ιδιωτικό κλειδί: p, q enc(x) = (x (x + b)) mod n dec(y) = x b 2 mod n, x 2 y + b2 4 (mod n) Η αποκρυπτογράφηση συνίσταται ουσιαστικά στην εύρεση τετραγωνικών ριζών (mod n) του y = y + b2 4 : ±y (p+1)/4 (mod p), ±y (q+1)/4 (mod q), αν γνωρίζουμε p, q και p q 3 (mod 4) Σχολή ΗΜΜΥ ΕΜΠ 14 / 27

Το κρυπτοσύστημα Rabin Ορισμός Δημόσιο κλειδί: n = pq, b < n Ιδιωτικό κλειδί: p, q enc(x) = (x (x + b)) mod n dec(y) = x b 2 mod n, x 2 y + b2 4 (mod n) Η αποκρυπτογράφηση συνίσταται ουσιαστικά στην εύρεση τετραγωνικών ριζών (mod n) του y = y + b2 4 : ±y (p+1)/4 (mod p), ±y (q+1)/4 (mod q), αν γνωρίζουμε p, q και p q 3 (mod 4) Σημαντικό: η αποκρυπτογράφηση χωρίς γνώση των p, q είναι ισοδύναμη με παραγοντοποίηση του n Σχολή ΗΜΜΥ ΕΜΠ 14 / 27

Διακριτός Λογάριθμος Ορισμός Έστω G μία πεπερασμένη κυκλική ομάδα τάξης n, α ένας γεννήτορας της G και β G Ο διακριτός λογάριθμος (discrete logarithm) του β στη βάση α, που συμβολίζεται log α β, είναι ο μοναδικός ακέραιος x Z n τέτοιος ώστε β = α x Σχολή ΗΜΜΥ ΕΜΠ 15 / 27

Διακριτός Λογάριθμος Ορισμός Έστω G μία πεπερασμένη κυκλική ομάδα τάξης n, α ένας γεννήτορας της G και β G Ο διακριτός λογάριθμος (discrete logarithm) του β στη βάση α, που συμβολίζεται log α β, είναι ο μοναδικός ακέραιος x Z n τέτοιος ώστε β = α x Παράδειγμα Για p = 97, η Z 97 είναι κυκλική ομάδα τάξης n = 96 Ένας γεννήτορας της Z 97 είναι ο α = 5 Αφού 5 32 35 (mod 97), έχουμε ότι log 5 35 = 32 στο Z 97 Σχολή ΗΜΜΥ ΕΜΠ 15 / 27

Το πρόβλημα του Διακριτού Λογαρίθμου στο Z p Discrete Logarithm Problem (DLP) Δίνονται: ένας πρώτος αριθμός p, ένας γεννήτορας α του Z p και ένα στοιχείο β Z p Ζητείται: Να βρεθεί ακέραιος x, 0 x p 2, τέτοιος ώστε α x β (mod p) (1) Σχολή ΗΜΜΥ ΕΜΠ 16 / 27

Το πρόβλημα του Διακριτού Λογαρίθμου στο Z p Discrete Logarithm Problem (DLP) Δίνονται: ένας πρώτος αριθμός p, ένας γεννήτορας α του Z p και ένα στοιχείο β Z p Ζητείται: Να βρεθεί ακέραιος x, 0 x p 2, τέτοιος ώστε α x β (mod p) (1) Το πρόβλημα DLP (στο Z p) θεωρείται υπολογιστικά δύσκολο (υπό κάποιες προϋποθέσεις) Δεν γνωρίζουμε πολυωνυμικό αλγόριθμο που να το επιλύει Σχολή ΗΜΜΥ ΕΜΠ 16 / 27

Δυσκολία του DLP: ανεξάρτητη του γεννήτορα Πρόταση Η δυσκολία του DLP είναι ανεξάρτητη από την επιλογή του γεννήτορα α του Z p Απόδειξη Έστω α και γ δύο γεννήτορες του Z p, και β Z p Έστω x = log α β, y = log γ β και z = log α γ Τότε α x β γ y (α z ) y (mod p), δηλαδή x zy (mod p 1) Αλλά τότε y xz 1 (mod p 1), δηλαδή: log γ β (log α β)(log α γ) 1 (mod p 1) Σχολή ΗΜΜΥ ΕΜΠ 17 / 27

Επομένως αν μπορούμε να υπολογίσουμε τον διακριτό λογάριθμο σε μία βάση α τότε μπορούμε να τον υπολογίσουμε σε οποιαδήποτε βάση γ, όπου α,γ γεννήτορες του Z p Σχολή ΗΜΜΥ ΕΜΠ 17 / 27 Δυσκολία του DLP: ανεξάρτητη του γεννήτορα Πρόταση Η δυσκολία του DLP είναι ανεξάρτητη από την επιλογή του γεννήτορα α του Z p Απόδειξη Έστω α και γ δύο γεννήτορες του Z p, και β Z p Έστω x = log α β, y = log γ β και z = log α γ Τότε α x β γ y (α z ) y (mod p), δηλαδή x zy (mod p 1) Αλλά τότε y xz 1 (mod p 1), δηλαδή: log γ β (log α β)(log α γ) 1 (mod p 1)

Αλγόριθμοι για το DLP Προφανής αλγόριθμος: Õ(p) Σχολή ΗΜΜΥ ΕΜΠ 18 / 27

Αλγόριθμοι για το DLP Προφανής αλγόριθμος: Õ(p) Αλγόριθμος με προεπεξεργασία: υπολογίζουμε όλα τα ζεύγη (x, α x ) και ταξινομούμε ως προς δεύτερη συντεταγμένη Χρόνος και χώρος προεπεξεργασίας Õ(p), χρόνος απάντησης ερωτήματος Õ(1) Σχολή ΗΜΜΥ ΕΜΠ 18 / 27

Αλγόριθμοι για το DLP Προφανής αλγόριθμος: Õ(p) Αλγόριθμος με προεπεξεργασία: υπολογίζουμε όλα τα ζεύγη (x, α x ) και ταξινομούμε ως προς δεύτερη συντεταγμένη Χρόνος και χώρος προεπεξεργασίας Õ(p), χρόνος απάντησης ερωτήματος Õ(1) Βελτιωμένη ιδέα: αλγόριθμος Shanks Σχολή ΗΜΜΥ ΕΜΠ 18 / 27

Αλγόριθμος Shanks Είσοδος: πρώτος p, α γεννήτορας του Z p, β Z p Έξοδος: x Z p : α x β (mod p) 1 m := p 1 2 Υπολόγισε α mj mod p, 0 j m 1 3 Ταξινόμησε τα m διατεταγμένα ζεύγη (j, α mj mod p) βάσει της δεύτερης συντεταγμένης (δηλαδή του α mj mod p), σε μια λίστα L 1 4 Υπολόγισε βα i mod p, 0 i m 1 5 Ταξινόμησε τα m διατεταγμένα ζεύγη (i, βα i mod p) βάσει της δεύτερης συντεταγμένης (δηλαδή του βα i mod p), σε μια λίστα L 2 6 Αναζήτησε ζεύγος (j, y) L 1 τέτοιο ώστε (i, y) L 2 7 Επίστρεψε mj + i mod (p 1) Σχολή ΗΜΜΥ ΕΜΠ 19 / 27

Ορθότητα αλγορίθμου Shanks: α mj y βα i (mod p) α mj+i βpmodp Σχολή ΗΜΜΥ ΕΜΠ 20 / 27

Ορθότητα αλγορίθμου Shanks: α mj y βα i (mod p) α mj+i βpmodp Πολυπλοκότητα: Õ( p) σε χρόνο και Õ( p) σε χώρο Σχολή ΗΜΜΥ ΕΜΠ 20 / 27

Ανταλλαγή Κλειδιού Diffie-Hellman Πρωτόκολλο ανταλλαγής κλειδιού Diffie-Hellman Σχολή ΗΜΜΥ ΕΜΠ 21 / 27

Ανταλλαγή Κλειδιού Diffie-Hellman Πρωτόκολλο ανταλλαγής κλειδιού Diffie-Hellman 1 Επιλογή κοινού πρώτου p, και γεννήτορα α του Z p Σχολή ΗΜΜΥ ΕΜΠ 21 / 27

Ανταλλαγή Κλειδιού Diffie-Hellman Πρωτόκολλο ανταλλαγής κλειδιού Diffie-Hellman 1 Επιλογή κοινού πρώτου p, και γεννήτορα α του Z p 2 Η Αλίκη επιλέγει έναν τυχαίο ακέραιο x που το γνωρίζει μόνο αυτή και στέλνει στον Βασίλη το μήνυμα: α x mod p Σχολή ΗΜΜΥ ΕΜΠ 21 / 27

Ανταλλαγή Κλειδιού Diffie-Hellman Πρωτόκολλο ανταλλαγής κλειδιού Diffie-Hellman 1 Επιλογή κοινού πρώτου p, και γεννήτορα α του Z p 2 Η Αλίκη επιλέγει έναν τυχαίο ακέραιο x που το γνωρίζει μόνο αυτή και στέλνει στον Βασίλη το μήνυμα: α x mod p 3 O Βασίλης επιλέγει έναν τυχαίο ακέραιο y που γνωρίζει μόνο αυτός και στέλνει στην Αλίκη το μήνυμα: α y mod p Σχολή ΗΜΜΥ ΕΜΠ 21 / 27

Ανταλλαγή Κλειδιού Diffie-Hellman Πρωτόκολλο ανταλλαγής κλειδιού Diffie-Hellman 1 Επιλογή κοινού πρώτου p, και γεννήτορα α του Z p 2 Η Αλίκη επιλέγει έναν τυχαίο ακέραιο x που το γνωρίζει μόνο αυτή και στέλνει στον Βασίλη το μήνυμα: α x mod p 3 O Βασίλης επιλέγει έναν τυχαίο ακέραιο y που γνωρίζει μόνο αυτός και στέλνει στην Αλίκη το μήνυμα: α y mod p 4 Βασίλης: k = (α x ) y mod p Σχολή ΗΜΜΥ ΕΜΠ 21 / 27

Ανταλλαγή Κλειδιού Diffie-Hellman Πρωτόκολλο ανταλλαγής κλειδιού Diffie-Hellman 1 Επιλογή κοινού πρώτου p, και γεννήτορα α του Z p 2 Η Αλίκη επιλέγει έναν τυχαίο ακέραιο x που το γνωρίζει μόνο αυτή και στέλνει στον Βασίλη το μήνυμα: α x mod p 3 O Βασίλης επιλέγει έναν τυχαίο ακέραιο y που γνωρίζει μόνο αυτός και στέλνει στην Αλίκη το μήνυμα: α y mod p 4 Βασίλης: k = (α x ) y mod p Αλίκη: k = (α y ) x mod p Σχολή ΗΜΜΥ ΕΜΠ 21 / 27

Ανταλλαγή Κλειδιού Diffie-Hellman Πρωτόκολλο ανταλλαγής κλειδιού Diffie-Hellman 1 Επιλογή κοινού πρώτου p, και γεννήτορα α του Z p 2 Η Αλίκη επιλέγει έναν τυχαίο ακέραιο x που το γνωρίζει μόνο αυτή και στέλνει στον Βασίλη το μήνυμα: α x mod p 3 O Βασίλης επιλέγει έναν τυχαίο ακέραιο y που γνωρίζει μόνο αυτός και στέλνει στην Αλίκη το μήνυμα: α y mod p 4 Βασίλης: k = (α x ) y mod p Αλίκη: k = (α y ) x mod p Η ασφάλεια του πρωτοκόλλου αυτού φαίνεται να βασίζεται στην δυσκολία του DLP Αυτό δεν είναι απόλυτα ακριβές Σχολή ΗΜΜΥ ΕΜΠ 21 / 27

Ανταλλαγή Κλειδιού Diffie-Hellman Πρωτόκολλο ανταλλαγής κλειδιού Diffie-Hellman 1 Επιλογή κοινού πρώτου p, και γεννήτορα α του Z p 2 Η Αλίκη επιλέγει έναν τυχαίο ακέραιο x που το γνωρίζει μόνο αυτή και στέλνει στον Βασίλη το μήνυμα: α x mod p 3 O Βασίλης επιλέγει έναν τυχαίο ακέραιο y που γνωρίζει μόνο αυτός και στέλνει στην Αλίκη το μήνυμα: α y mod p 4 Βασίλης: k = (α x ) y mod p Αλίκη: k = (α y ) x mod p Η ασφάλεια του πρωτοκόλλου αυτού φαίνεται να βασίζεται στην δυσκολία του DLP Αυτό δεν είναι απόλυτα ακριβές Στην πραγματικότητα, η ασφάλεια του πρωτοκόλλου Diffie-Hellman ταυτίζεται με την υπολογιστική δυσκολία του Προβλήματος Diffie-Hellman (DHP) Σχολή ΗΜΜΥ ΕΜΠ 21 / 27

Το Πρόβλημα Diffie-Hellman Diffie-Hellman Problem (DHP) Δίνονται: ένας πρώτος αριθμός p, ένας γεννήτορας α του Z p και τα στοιχεία α a mod p, α b mod p Z p Σχολή ΗΜΜΥ ΕΜΠ 22 / 27

Το Πρόβλημα Diffie-Hellman Diffie-Hellman Problem (DHP) Δίνονται: ένας πρώτος αριθμός p, ένας γεννήτορας α του Z p και τα στοιχεία α a mod p, α b mod p Z p Ζητείται: Να βρεθεί το α ab mod p Πρόταση Το DHP ανάγεται σε πολυωνυμικό χρόνο στο DLP: DHP p DLP Σχολή ΗΜΜΥ ΕΜΠ 22 / 27

Το Πρόβλημα Diffie-Hellman Diffie-Hellman Problem (DHP) Δίνονται: ένας πρώτος αριθμός p, ένας γεννήτορας α του Z p και τα στοιχεία α a mod p, α b mod p Z p Ζητείται: Να βρεθεί το α ab mod p Πρόταση Το DHP ανάγεται σε πολυωνυμικό χρόνο στο DLP: DHP p DLP Πράγματι, αν x = α a mod p και y = α b mod p, τότε a = log α x και b = log α y Επομένως, λύνοντας το DLP, μπορούμε να υπολογίσουμε τα a, b άρα και το α ab mod p Σχολή ΗΜΜΥ ΕΜΠ 22 / 27

Το Πρόβλημα Diffie-Hellman Diffie-Hellman Problem (DHP) Δίνονται: ένας πρώτος αριθμός p, ένας γεννήτορας α του Z p και τα στοιχεία α a mod p, α b mod p Z p Ζητείται: Να βρεθεί το α ab mod p Πρόταση Το DHP ανάγεται σε πολυωνυμικό χρόνο στο DLP: DHP p DLP Πράγματι, αν x = α a mod p και y = α b mod p, τότε a = log α x και b = log α y Επομένως, λύνοντας το DLP, μπορούμε να υπολογίσουμε τα a, b άρα και το α ab mod p Δεν γνωρίζουμε αν ισχύει και το αντίστροφο (DLP p DHP) Σχολή ΗΜΜΥ ΕΜΠ 22 / 27

Το Πρόβλημα Απόφασης Diffie-Hellman Decision Diffie-Hellman Problem (DDHP) Δίνονται: ένας πρώτος αριθμός p, ένας γεννήτορας α του Z p και δύο τριάδες α a, α b, α c, α a, α b, α ab (mod p) Σχολή ΗΜΜΥ ΕΜΠ 23 / 27

Το Πρόβλημα Απόφασης Diffie-Hellman Decision Diffie-Hellman Problem (DDHP) Δίνονται: ένας πρώτος αριθμός p, ένας γεννήτορας α του Z p και δύο τριάδες α a, α b, α c, α a, α b, α ab (mod p) Ζητείται: Να βρεθεί (με πιθανότητα αρκετά μεγαλύτερη από 1/2) ποιά είναι η σωστή τριάδα, δηλαδή η α a, α b, α ab Για αποφυγή σύγχυσης, το κλασικό πρόβλημα DHP αναφέρεται συχνά και ως Computational Diffie-Hellman Problem (CDHP) Σχολή ΗΜΜΥ ΕΜΠ 23 / 27

Η σχετική δυσκολία των DDHP, CDHP, DLP Προφανώς ισχύει: DDHP p CDHP p DLP Σχολή ΗΜΜΥ ΕΜΠ 24 / 27

Η σχετική δυσκολία των DDHP, CDHP, DLP Προφανώς ισχύει: DDHP p CDHP p DLP Cryptographic assumptions Για κάθε πρόβλημα ορίζεται και η αντίστοιχη υπόθεση υπολογιστικής δυσκολίας του: DDH, CDH, DL Σχολή ΗΜΜΥ ΕΜΠ 24 / 27

Η σχετική δυσκολία των DDHP, CDHP, DLP Προφανώς ισχύει: DDHP p CDHP p DLP Cryptographic assumptions Για κάθε πρόβλημα ορίζεται και η αντίστοιχη υπόθεση υπολογιστικής δυσκολίας του: DDH, CDH, DL Η σειρά ισχύος των υποθέσεων: DDH CDH DL Σχολή ΗΜΜΥ ΕΜΠ 24 / 27

Η σχετική δυσκολία των DDHP, CDHP, DLP Προφανώς ισχύει: DDHP p CDHP p DLP Cryptographic assumptions Για κάθε πρόβλημα ορίζεται και η αντίστοιχη υπόθεση υπολογιστικής δυσκολίας του: DDH, CDH, DL Η σειρά ισχύος των υποθέσεων: DDH CDH DL Σημαντική παρατήρηση: υπάρχουν κυκλικές ομάδες όπου το DDHP είναι εύκολο (υπό προϋποθέσεις), ενώ το CDHP θεωρείται δύσκολο Παράδειγμα: η ομάδα Z p (λόγω της δυνατότητας υπολογισμού του τελευταίου bit του διακριτού λογαρίθμου) Σχολή ΗΜΜΥ ΕΜΠ 24 / 27

Το κρυπτοσύστημα ElGamal (Taher ElGamal, Crypto 84) Παραγωγή κλειδιών Η Alice διαλέγει ένα πρώτο p, όπου ο p 1 έχει τουλάχιστον ένα μεγάλο παράγοντα, ένα γεννήτορα g της Z p, και τυχαίο a Z p Δημόσιο κλειδί της Alice: p, g, g a mod p Ιδιωτικό κλειδί της Alice: a Σχολή ΗΜΜΥ ΕΜΠ 25 / 27

Το κρυπτοσύστημα ElGamal (Taher ElGamal, Crypto 84) Παραγωγή κλειδιών Η Alice διαλέγει ένα πρώτο p, όπου ο p 1 έχει τουλάχιστον ένα μεγάλο παράγοντα, ένα γεννήτορα g της Z p, και τυχαίο a Z p Δημόσιο κλειδί της Alice: p, g, g a mod p Ιδιωτικό κλειδί της Alice: a Κρυπτογράφηση 1 Ο Bob επιλέγει τυχαίο k {2, 3,, p 2} Σχολή ΗΜΜΥ ΕΜΠ 25 / 27

Το κρυπτοσύστημα ElGamal (Taher ElGamal, Crypto 84) Παραγωγή κλειδιών Η Alice διαλέγει ένα πρώτο p, όπου ο p 1 έχει τουλάχιστον ένα μεγάλο παράγοντα, ένα γεννήτορα g της Z p, και τυχαίο a Z p Δημόσιο κλειδί της Alice: p, g, g a mod p Ιδιωτικό κλειδί της Alice: a Κρυπτογράφηση 1 Ο Bob επιλέγει τυχαίο k {2, 3,, p 2} 2 Ο Bob υπολογίζει γ = g k mod p και δ = m(g a ) k mod p και στέλνει το ζευγάρι (γ, δ) στην Alice (1-to-2 message expansion) Σχολή ΗΜΜΥ ΕΜΠ 25 / 27

Το κρυπτοσύστημα ElGamal (Taher ElGamal, Crypto 84) Παραγωγή κλειδιών Η Alice διαλέγει ένα πρώτο p, όπου ο p 1 έχει τουλάχιστον ένα μεγάλο παράγοντα, ένα γεννήτορα g της Z p, και τυχαίο a Z p Δημόσιο κλειδί της Alice: p, g, g a mod p Ιδιωτικό κλειδί της Alice: a Κρυπτογράφηση 1 Ο Bob επιλέγει τυχαίο k {2, 3,, p 2} 2 Ο Bob υπολογίζει γ = g k mod p και δ = m(g a ) k mod p και στέλνει το ζευγάρι (γ, δ) στην Alice (1-to-2 message expansion) Αποκρυπτογράφηση 1 Η Alice πρώτα υπολογίζει: γ a g ak (mod p) και μετά αντιστρέφει σε (g ak ) 1 Σχολή ΗΜΜΥ ΕΜΠ 25 / 27

Το κρυπτοσύστημα ElGamal (Taher ElGamal, Crypto 84) Παραγωγή κλειδιών Η Alice διαλέγει ένα πρώτο p, όπου ο p 1 έχει τουλάχιστον ένα μεγάλο παράγοντα, ένα γεννήτορα g της Z p, και τυχαίο a Z p Δημόσιο κλειδί της Alice: p, g, g a mod p Ιδιωτικό κλειδί της Alice: a Κρυπτογράφηση 1 Ο Bob επιλέγει τυχαίο k {2, 3,, p 2} 2 Ο Bob υπολογίζει γ = g k mod p και δ = m(g a ) k mod p και στέλνει το ζευγάρι (γ, δ) στην Alice (1-to-2 message expansion) Αποκρυπτογράφηση 1 Η Alice πρώτα υπολογίζει: γ a g ak (mod p) και μετά αντιστρέφει σε (g ak ) 1 2 Τέλος υπολογίζει: (g ak ) 1 δ mod p (g ak ) 1 (m(g a ) k ) (g ak ) 1 m g ak m Σχολή ΗΜΜΥ ΕΜΠ 25 / 27

Παρατηρήσεις στο ElGamal Επειδή το k είναι τυχαίο η κρυπτογράφηση είναι πιθανοτική Σχολή ΗΜΜΥ ΕΜΠ 26 / 27

Παρατηρήσεις στο ElGamal Επειδή το k είναι τυχαίο η κρυπτογράφηση είναι πιθανοτική Ερώτηση: σε ποιο πρόβλημα στηρίζεται η ασφάλεια του ElGamal; Σχολή ΗΜΜΥ ΕΜΠ 26 / 27

Παρατηρήσεις στο ElGamal Επειδή το k είναι τυχαίο η κρυπτογράφηση είναι πιθανοτική Ερώτηση: σε ποιο πρόβλημα στηρίζεται η ασφάλεια του ElGamal; Απάντηση: στο DHP (γιατί;) Σχολή ΗΜΜΥ ΕΜΠ 26 / 27

Παρατηρήσεις στο ElGamal Επειδή το k είναι τυχαίο η κρυπτογράφηση είναι πιθανοτική Ερώτηση: σε ποιο πρόβλημα στηρίζεται η ασφάλεια του ElGamal; Απάντηση: στο DHP (γιατί;) Και μάλιστα με ισοδυναμία!: CDHP p ElGamal-decrypt Σχολή ΗΜΜΥ ΕΜΠ 26 / 27

Επανάληψη του k επίθεση KPA Έστω m 1, m 2 δύο απλά κείμενα και (γ, δ 1 ), (γ, δ 2 ) τα αντίστοιχα κρυπτοκείμενα (με χρήση του ίδιου k) Η Eve γνωρίζoντας τα γ, δ 1, δ 2, και m 1 (KPA), υπολογίζει το m 2 ως εξής: Σχολή ΗΜΜΥ ΕΜΠ 27 / 27

Επανάληψη του k επίθεση KPA Έστω m 1, m 2 δύο απλά κείμενα και (γ, δ 1 ), (γ, δ 2 ) τα αντίστοιχα κρυπτοκείμενα (με χρήση του ίδιου k) Η Eve γνωρίζoντας τα γ, δ 1, δ 2, και m 1 (KPA), υπολογίζει το m 2 ως εξής: } { δ 1 m 1 g ak (mod p) δ 1 1 δ 2 m 2 g ak m 1 g ak (mod p) (mod p) δ 2 g ak m 2 (mod p) Σχολή ΗΜΜΥ ΕΜΠ 27 / 27

Επανάληψη του k επίθεση KPA Έστω m 1, m 2 δύο απλά κείμενα και (γ, δ 1 ), (γ, δ 2 ) τα αντίστοιχα κρυπτοκείμενα (με χρήση του ίδιου k) Η Eve γνωρίζoντας τα γ, δ 1, δ 2, και m 1 (KPA), υπολογίζει το m 2 ως εξής: } { δ 1 m 1 g ak (mod p) δ 1 1 δ 2 m 2 g ak m 1 g ak (mod p) (mod p) δ 2 g ak m 2 (mod p) Οπότε m 2 δ 2 δ 1 1 m 1 (mod p) Σχολή ΗΜΜΥ ΕΜΠ 27 / 27

Χρηματοδότηση Το παρόν εκπαιδευτικό υλικό έχει αναπτυχθεί στα πλαίσια του εκπαιδευτικού έργου του διδάσκοντα Το έργο «Ανοικτά Ακαδημαϊκά Μαθήματα» του ΕΜΠ έχει χρηματοδοτήσει μόνο την αναδιαμόρφωση του υλικού Το έργο υλοποιείται στο πλαίσιο του Επιχειρησιακού Προγράμματος «Εκπαίδευση και Δια Βίου Μάθηση» και συγχρηματοδοτείται από την Ευρωπαϊκή Ένωση (Ευρωπαϊκό Κοινωνικό Ταμείο) και από εθνικούς πόρους

2025 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια