Funkcje skr´otu

ALGEBRAICZNE ASPEKTY KRYPTOGRAFII

LISTA 1: Kryptografia. Funkcje skr´otu. Podpis cyfrowy. Wymiana kluczy.

Kryptosystem RSA. Nadawca A przesy la wiadomo´s´c do Adresata B.

Dla du˙zych liczb pierwszych p i q niech n = p · q. Niech e i d spe lniaj¸a r´owno´sci (e, φ(n)) = 1 i d · e = 1(modφ(n)), gdzie φ jest funkcj¸a Eulera¹ i e jest ”rz¸edu liczby”

n. Para (n, e) tworzy klucz publiczny adresata B. Szyfrowanie wiadomo´sci x (podanej w postaci liczby ≤ min(p, q)) odbywa si¸e przez wyliczenie reszty s w x^e/n. Wtedy B oblicza x jako reszt¸e x⁰ u lamka s^d/n.

System bazuje na nast¸epuj¸acej r´owno´sci w pier´scieniu ilorazowym Z/nZ:

x⁰ = s^d = x^d·e = x^tφ(n)+1= x · (x^φ(n))^t = x, gdzie r´owno´s´c x^φ(n) = 1(modn) wynika z twierdzenia Eulera.

Zadanie 1.0. Niech r b¸edzie minimaln¸a liczb¸a naturaln¸a > 0 tak¸a, ˙ze s^r = 1(modn).

(a) Poda´c szybki algorytm znalezienia wiadomo´sci x, je´sli n, e, s i r s¸a znane. Zas- tosowa´c do przypadku n = 2047 = 23 · 89, e = 179 znajduj¸ac odpowiednie r i d.

(b) Poda´c szybki probabilistyczny algorytm znalezienia rozk ladu n = pq, je´sli n, e, s i r s¸a znane i r jest parzysta.

Zadanie 1.0⁺. (a) Pokaza´c, jak mo˙zna roz lo˙zy´c n = pq na czynniki pierwsze, gdy s¸a znane x, y ∈ (Z/nZ)^∗, kt´ore maj¸a ten sam kwadrat w Z/nZ.

(b) “Metoda Fermata rozk ladu n = pq”. Szukamy pierwsz¸a liczb¸e t > √

n, ˙zeby t²− n by la pe lnym kwadratem, np. v². Wtedy p = t − v, q = t + v. Dlaczego metoda ta jest efektywna dla p, q z ma l¸a r´o˙znic¸a q − p?

Rozlo˙zy´c n = 23360947609.

Funkcja skr´otu H : (Z/lZ)^γ → (Z/lZ)^δcharakteryzuje si¸e praktyczn¸a niemo˙zliwo´sci¸a (i) znalezienia x 6= x⁰takich, ˙ze H(x) = H(x⁰) i (ii) wyliczenia x w r´ownaniu H(x) = a dla losowo wybranego a.

Po wys laniu wiadomo´sci x nadawca A wysy la kod warto´sci H(x) z tym, ˙zeby adresat B m´og l sprawdzi´c, czy otrzymana wiadomo´s´c x⁰ spe lnia H(x) = H(x⁰) (czy jest autentyczna). Kodowanie warto´sci H = H(x) powinno odbywa´c sie przy pomocy innej funkcji 1-kierunkowej. Odpowiedni kryptogram nazywa si¸e podpisem cyfrowym nadawcy A.

System podpisu cyfrowego na bazie RSA. Dla du˙zych liczb pierwszych p_B i q_B niech n_B = p_Bq_B. Niech e_B i d_B spe lniaj¸a r´owno´sci (e_B, φ(n_B)) = 1 i d_Be_B = 1(modφ(n_B)), gdzie φ jest funkcj¸a Eulera i e_B jest rz¸edu liczby n_B. Para (n_B, e_B) tworzy klucz publiczny adresata B. Szyfrowanie wiadomo´sci x (podanej w postaci

1φ(n) := ”ilo´s´c liczb k wzgl¸ednie pierwszych z n i takich, ˙ze 1 ≤ k < n”

1

liczby ≤ min(p_B, q_B)) odbywa si¸e przez wyliczenie reszty s w x^eB/n_B. Wtedy B oblicza x jako reszt¸e x⁰ u lamka s^dB/n_B.

Nadawca A ustala du˙ze liczby pierwsze p_A,q_A. Niech n_A = p_Aq_A i niech e_A i d_A spe lniaj¸a r´owno´sci (e_A, φ(n_A)) = 1 i d_Ae_A= 1(modφ(n_A)), gdzie e_A jest rz¸edu liczby n_A. Para (n_A, e_A) tworzy klucz publiczny nadawcy A.

Warto´s´c skr´otu H = H(x) nadawca najpierw koduje jako H⁰ = H^dA(modnA) i potem wysy la w postaci reszty: (H⁰)^eB(modn_B). Adresat B deszyfruje H⁰ jak wy˙zej.

Obliczaj¸ac reszt¸e (H⁰)^eA/n_A otrzymuje H i sprawdza czy H = H(x). W taki spos´ob B jest pewien, ˙ze wiadomo´s´c x zosta la wys lana przez A i nie zosta la uszkodzona przy transmisji.

Zadanie 1.1. (a) Niech p_A= 5, q_A= 7 i e_A= 11. Obliczy´c d_A i kod H⁰ liczby 3, kt´ora jest warto´sci¸a skr´otu wiadomo´sci x.

(b) Niech p_B = 7, q_B = 11 i e_B = 13. Obliczy´c d_B i szyfr liczby H⁰ (patrz (a)) wzgl¸edem klucza (n_B, e_B). Przeprowadzi´c odpowiednie deszyfrowanie (w razie potrzeby u˙zy´c komputera).

System DSA. Niech q < p b¸ed¸a du˙zymi liczbami pierwszymi i g b¸edzie elementem multyplikatywnej grupy cia la F_p rz¸edu q. Nadawca A wybiera klucz prywatny x < q i wylicza klucz publiczny y = g^x(modp).

Aby podpisa´c wiadomo´s´c m nadawca A wybiera losowo k < q i wylicza g^k(modp).

Niech r := g^k(modp)modq 6= 0 i s := k⁻¹(H(m)+xr)modq, gdzie H(m) jest skr´otem wiadomo´sci (< q). W przypadku gdy s 6= 0, podpisem wiadomo´sci m jest para (r, s).

˙Zeby sprawdzi´c podpis, odbiorca B wylicza H(m), w = s⁻¹(modq), u₁ = H(m) · w(modq) i u₂ = r · w(modq).

Zadanie 1.2. Pokaza´c, ˙ze podpis ma by´c zaakceptowany wtedy i tylko wtedy gdy (g^u1y^u2modp = r)(modq).

Wymiana kluczy (Diffie-Hellman). Niech G b¸edzie grup¸a abelow¸a (np. multy- plikatywna grupa F^∗_p) i g ∈ G b¸edzie publicznie znanym elementem. Nadawca A i odbiorca B wybieraj¸a sekretne liczby k_A i k_B i wysy laj¸a do siebie nawzajem punkty g^kA i g^kB. Wtedy ka˙zdy z nich posiada wsp´olny klucz g⁰ = g^kAkB. Z drugiej strony wyznaczenie g⁰przez publicznie znane g, g^kA i g^kB wymaga rozwi¸azania pewnej postaci problemu logarytmu dyskretnego.

2