Aszimmetrikus (nyílt) kulcsú titkosítás. Wettl Ferenc

Átírás

1 Aszimmetrikus (nyílt) kulcsú titkosítás Wettl Ferenc

2 Tartalomjegyzék Jelölések 4 Bevezetés 5 1. Elméleti alapok Algoritmikus számelméleti alapok Euklideszi algoritmus Z N és a moduláris hatványozás Z * N és a moduláris inverz Kínai maradéktétel A modern kriptográa alapja, a bizonyítható biztonság Tökéletes biztonság Számítási biztonság gyakorlati megközelítés Számítási biztonság aszimptotikus megközelítés Az aszimmetrikus rejtjelez és biztonsága Makacs számelméleti problémák Faktorizáció Moduláris gyökvonás, az RSA-probléma Négyzetgyökvonás, a Rabin-probléma Diszkrét logaritmus DieHellman-problémák Egyirányú kiskapufüggvények Egyirányú függvény a faktorizációs problémából Az RSA-függvény Moduláris négyzetre emelés, a Rabin-függvény Diszkrét logaritmus DieHellman függvény Kriptográai hash függvények A DieHellman hash függvény Támadások az RSA-függvény ellen Amikor e kicsi Kis e közös üzenettel Hastad támadása Amikor d kicsi Amikor x kicsi gyökös támadás Közös modulus

3 Megváltoztathatóság Implementációk elleni támadások Ciklikus csoportok az elliptikus görbéken Elliptikus görbék A végtelen távoli pont: an és projektív koordináták. 42 Pontm velet az elliptikus görbén Az elliptikus görbe csoport Er s és biztonságos prímek A nyílt kulcsú titkosítás alapfogalmai El zmények, kezdetek Merkle's puzzle Die-Hellman kulcscsere Aszimmetrikus rejtjelez egyirányú kisk.-permutációból Véletlen orákulum OAEP Optimal Asymmetric Encryption Padding Hibrid rejtjelez k Nyílt kulcsú rejtjelezők RSA RSA rejtjelez CCA-biztonságú RSA ElGamal és ECC Az ElGamal rejtjelez Csoport generálása az ElGamal számára Elliptikus görbére épül rejtjelez Összehasonlítások

4 Jelölések a mod N az a egész N-nel való osztási maradéka a b (mod N) az a és b egészek N-nel való osztási maradéka azonos Z N az N-nel való osztás maradékosztályainak additív csoportja (vagy gy r je) Z * N az N-hez relatív prímek maradékosztályainak multiplikatív csoportja GF(q), F q q elem véges test F q [x] F q feletti polinomok gy r je F q [x] N N-nél kisebb fokú F q feletti polinomok 1 n n csupa 1-esb l álló bitlánc, általában a biztonsági paraméter átadására x az x karakterlánc hossza bináris ábrázolásban l(x) az x szám bináris alakjában a számjegyek száma exp(a, b, N) moduláris hatványozás, értéke a b mod N inv(a, N) moduláris inverz, értéke a 1 mod N log, ln 2-es és természetes alapú logaritmus log g a diszkrét logaritmus, log g a = b, ha a = g b (ciklikus csoportban) G generátorfüggvény (pl. kulcsgenerátor, függvénygenerátor,... ) G RSA RSA paramétergenerátor G mod két prím szorzatát generáló algoritmus (N = pq) G group ciklikus csoportot generáló algoritmus G prime prímet generáló algoritmus E k a k kulccsal rejtjelez /kódoló függvény (encoding) D k dekódoló függvény (decoding) Exp xx A,B kísérlet (experiment): A támadja B-t az xx cél/feltétel/körülmény mellett Adv xx A,B az A támadó el nye a B (algoritmus/kriptorendszer/... ) ellen az xx cél/feltétel/körülmény mellett x X egy véletlen x elem választása az X halmazból y f(x) értékadás, melyben f értéke egy véletlen algoritmus eredménye y = f(x) értékadás determinisztikus f függvénnyel az összef zés (konkatenáció) m velete bitenkénti XOR m velet 4

5 Bevezetés E jegyzet célja, hogy a nyilt kulcsú titkosítás ma használt, és használatra ajánlható típusait, és az azokkal kapcsolatos biztonsági kérdéseket, mindenekel tt a bizonyítható biztonság kérdéseit áttekintse, és a felhasználás szempontjai szerint értékelje. A kriptográa történetében mérföldk nek számít a nyilvános vagy nyílt kulcsú rejtjelezés 70-es évekbeli föltalálása. Ebben az üzenet titkosítása olyan kulccsal történik, melynek megszerzése nem jelent segítséget a támadónak, olyannyira nem, hogy akár nyilvánosságra is lehet hozni. A rejtjelezett üzenet visszafejtése ugyanis másik kulccsal történik. Els alkalmazói a titkosszolgálatok voltak, a kémeknek adott kulcs ellenséges területen való használata nem jelentett biztonsági kockázatot, csak a kémközpontban rzött titkos kulcsra kellett vigyázni. A nyílt kulcsú rejtjelezés ötletét Kerckhos elvének kiterjesztéseként is felfoghatjuk. Az XIX. században megfogalmazott elve az volt, hogy a titkosítás módja nem lehet a titok része, nem okozhat veszélyt, ha azt az ellenség megszerzi, így akár teljesen nyilvános is lehet. A 80-as évekt l kezd d en a kriptográában több további forradalmi változás történt. Korábban a kriptográa f alkalmazói a katonai biztonsági szervezetek, a szerelmes párok és a magányos naplóírók voltak. Mára a kommunikáció formáinak radikális megsokszorozódása legf képpen az internet kialakulása után a kriptográa eszközeinek használata általánossá, és mindannyiunk életét nem elhanyagolható módon befolyásoló tényez vé vált. Korábban a kriptográa alkalmazása a titkos üzenetküldésre szorítkozott, a kriptográa csak minél feltörhetetlenebbnek hitt rejtjelez k kitalálásából, és megszerzett titkos üzenetek feltöréséb l állt. Mára a kriptográa az adatkezelésnek egy lényegesen szélesebb körét öleli fel. Egyrészt nem csak a titkosság meg rzése, de a küld azonosíthatósága, az üzenet sértetlensége, hitelessége, az elküldött üzenet utólagos letagadhatatlansága is a kívánalmak közé került. Másrészt számtalan új protokoll jelent meg a kriptográában. A teljesség igénye nélkül felsorolunk néhányat: titokmegosztás, 5

6 digitális pénz, digitális hitelesítés, digitális id pecsét, biztonságos közös sokrésztvev s számítások (pl. elektronikus választás), digitális jogok kezelése, biztosítása,... Végül egy rendkívül fontos változás: a bizonyítható biztonság fogalmának és matematikai technikáinak megszületésével a kriptográa elmés m vészetb l, tapasztalatokra épül mesterségb l egzakt tudománnyá vált a 2000-es évekre. Ma ezt tekintjük a modern kriptográának. E rövid írásban igyekszünk a modern kriptográa tudományának alapfogalmait precízen deniálni és a gyakorlati alkalmazások szempontjából is fontos eredményeit áttekinteni. 1. Elméleti alapok 1.1. Algoritmikus számelméleti alapok A nyílt kulcsú titkosítás szinte minden ma használt eljárása az algoritmikus számelmélet nehéz problémáira épül. Ezért els ként e téma alapismereteit foglaljuk össze. Euklideszi algoritmus Két egész szám legnagyobb közös osztóját gcd(a, b) jelöli (az angol gratest common divisor kifejezésb l). Ez az a legnagyobb pozitív egész, mely a és b mindegyikének osztója. Ha a két szám egyike 0, a másik abszolút értéke lesz a legnagyobb közös osztó. Kiszámítására létezik hatékony algoritmus, mely arra az egyszer összefüggésre épül, hogy bármely két a, b egészre gcd(a, b) = gcd(b, a mod b). Könnyen igazolható, hogy a következ rekurzív algoritmusban a rekurzív függvényhívások száma legföljebb 2 l(a), azaz az input hosszának lineáris függvénye. Mivel b zérus voltának ellen rzése, a abszolút értékének és a mod b értékének kiszámítása, polinom id ben elvégezhet, így az euklideszi algoritmus is polinom id ben befejez dik. A kriptográai alkalmazásokban az euklideszi algoritmust általában csak pozitív egészekre használjuk. Az algoritmus kib vített változata nem csak a 6

7 function gcd(a, b) input: a, b Z output: az a és b legnagyobb közös osztója if b = 0 then return a else return gcd(b, a mod b) end end 1. algoritmus: Euklideszi algoritmus legnagyobb közös osztót, de azt a mindig létez két x és y egész számot is megadja, melyekre gcd(a, b) = xa + yb. A 2. algoritmusban az el z n annyit változtatunk, hogy csak pozitív egészekre szorítkozunk, így az utolsó lépés melyben a maradék 0 elmarad, viszont a b zérus voltának ellen rzése helyett azt vizsgáljuk, hogy a osztható-e b-vel. function gcdx(a, b) input: a, b Z, a b > 0 output: ((gcd(a, b), x, y), ahol gcd(a, b) = xa + yb if b a then return (b, 0, 1) else q = a, r := a mod b (ez az a = qb + r maradékos osztás) b (d, x, y) = gcdx(b, r) return (d, y, x qy) end end 2. algoritmus: Kib vített euklideszi algoritmus 1.1. példa. Kövessük végig a 2. algoritmust gcdx(40, 18) kiszámításán! Megoldás. A lépéseket egy táblázatba írjuk. Az (1)(3) lépések a rekurzív függvényhívásokat és a mellékszámítások eredményeit, a sorban következ (4)(6) lépések a visszaadott számhármasokat mutatják. 7

8 (1) gcdx(40, 18), 40 = , q = 2, r = 4 (6) (d, x, y) = (2, 4, 9) (2) gcdx(18, 4), 18 = , q = 4, r = 2 (5) (d, x, y) = (2, 1, 4) (3) gcdx(4, 2), (4) (d, x, y) = (2, 0, 1) Eszerint tehát gcdx(40, 18) = (2, 4, 9), azaz gcd(40, 18) = 2 és 2 = Z N és a moduláris hatványozás A nyílt kulcsú titkosítás szinte minden típusában szerepet kap a moduláris hatványozás. Ezen az a b mod N hatványmaradék kiszámítását értjük, melyre az exp(a, b, N) függvényjelölést használjuk (az argumentumok száma miatt nem téveszthet össze a valós exponenciális függvénnyel). Kiszámításának nyilván ügyetlen módja az a b hatvány kiszámítása után venni az N-nel való osztási maradékot, hisz az alkalmazásokban tipikusan a és b többszáz jegy is lehet. Hasonlóképp nem elég hatékony az sem, ha az a-t b-szer megszorozzuk önmagával, de a számolás egyszer sítésére minden szorzás után vesszük a szorzat N-nel való osztási maradékát. Ez az algoritmus exponenciális idej, hisz b 1 az l(b)-nek exponenciális függvénye, és a hatvány kiszámításához ennyi szorzásra van szükség. Polinomiális idej vé válik az algoritmus, ha a szorzást nem csak az a-val való szorzásra, hanem négyzetre emelésre is használjuk. Ennek módját mutatja a 3. algoritmus. Könnyen igazolható, hogy az itt ismertetett algoritmussal a moduláris hatványozás az inputok hosszának polinomja id ben lefut. Legyen n = l(n). Mivel a függvényhívások száma a kitev bináris jegyeinek számával egyenl, egy moduláris összeadás m veletigénye O(n), a szorzás pedig elvégezhet O(n 2 ) lépésben 1, így a moduláris hatványozás m veletigénye O(n 3 ) példa. Számítsuk ki mod 53 értékét! Megoldás. El bb hatványozva, majd a maradékot véve (számítógéppel számolva) ezt kapjuk: = (mod 53). 41 bináris alakja , így a rekurzív algoritmust a kiértékelésekt l kezdve akár kézzel számolva is követhetjük: 1 Kifinomult algoritmusokkal ennél is jobb, aszimptotikusan O(n log n) korlát is elérhető. 8

9 function exp(a, b, N) input: N Z + a modulus, a Z N a hatványozás alapja, b Z + a kitev output: a b mod N if else if b = 1 then return a 2 b then x := exp(a, b/2, N) return (x 2 mod N) else x := exp(a, (b 1)/2, N) return (a x 2 mod N) end end end 3. algoritmus: Moduláris hatványozás bit számolandó eredmény mod = 13 = (13) 2 = (10) 2 13 = (28) 2 = (42) 2 = (15) 2 13 = Minden részletszámítás 3000 alatt maradt, és a 6 bináris jegyb l álló kitev mellett 7 szorzás és 5 maradék kiszámolására volt szükség. Az eredmény: mod 53 = 10. Tudjuk, hogy ha N > 1, akkor Z N = {0, 1,..., N 1} halmaz elemein a bináris (a, b) a + b mod N m velet kommutatív, asszociatív és minden elemnek van inverze a 0-ra, mint zéruselemre nézve (azaz Z N e m velettel kommutatív csoportot alkot). Hasonlóképp tudjuk, hogy Z N a bináris (a, b) ab mod N m velettel kommutatív, asszociatív, egységelemes algebrai struktúrát ad, de e m velet nem invertálható (azaz Z N e m velettel egységelemes kommutatív félcsoport, Z pedig e két m velettel kommuta- 9

10 tív gyűrűt 2 alkot). Nem fog zavart okozni, ha a Z N e két m veletét is az egészeknél használt m veleti jelekkel fogjuk jelölni, tehát e jelöléssel például Z 5 -ben számolva = 0, 2 3 = 1. Z N egy másik reprezentációjához jutunk, ha elemeivel azt a maradékosztályt jelöljük, amelynek az adott szám is tagja. Hogy a zavart elkerüljük, e rövid bekezdés alatt Z N elemeit szögletes zárójelbe tesszük, tehát Z N := {[0], [1],..., [N 1]}, ahol [a] = {..., a 2N, a N, a, a + N, a + 2N,... }, tehát [a] azon egészek halmaza, melyek N-nel osztva a maradékot adnak. E halmazokat hívjuk maradékosztályoknak. A köztük lév m veletek tehát a következ képp deniálhatók: [a]+[b] := [a+b mod N], [a] [b] := [ab mod N]. E deníció azért vezet egy értelmes matematikai fogalomhoz, mert ha [a] + [b] = [c] és [a] [b] = [d], akkor bármely [a]-beli és [b]-beli egész szám összege a [c] halmazba, szorzata a [d] halmazba, azaz maradékosztályba fog esni. A fenti Z 5 -beli számolások tehát e jelöléssel felírva a [2] + [3] = [0], [2] [3] = [1] alakot öltik. Mindenezek alapján mondhatjuk azt is, hogy Z N elemei az N modulusú maradékosztályok, melyek közt az összeadás és szorzás m velete kompatibilis az egészek közti m veletekkel. A moduláris hatványozással valójában a Z N multiplikatív félcsoportban végzünk hatványozási m veletet. A 3. algoritmus tetsz leges (multiplikatív) félcsoportban és így csoportban is használható. Ha egy S félcsoportban a m velet polinom id ben elvégezhet akkor egy tetsz leges g S elemre és egy b Z + pozitív egészre a g b hatvány kiszámításához szükséges id az l(b) és S méretének polinomjával becsülhet. Bár a fenti algoritmus gyengéje, hogy tovább számol, ha egy részhatvány 0, de a kriptográa gyakorlatában ez nem fordul el, mivel ott az alap és a modulus általában relatív prímek, err l szól a következ néhány bekezdés. Végül megjegyezzük, hogy additív csoportban is használható az algoritmus, ha egy elem konstansszorosát kell kiszámolni. A b g kiszámolásához a b bináris alakjából ismételt összeadásokkal kapjuk meg az eredményt. Ez az írásmód az elliptikus görbe kriptográában szokásos. 2 A matematikai pontosság kedvéért mindig jelezhetnénk, hogy épp mely algebrai struktúrára gondolunk, a szokásos megoldások egyike, hogy az elemek halmaza mellé a műveleti jeleket is fölsoroljuk, ekkor Z N egy halmaz, Z N, + az additív csoport, Z N, a multiplikatív félcsoport és Z N, +, a gyűrű. E jelölések használatára nem lesz szükségünk, ha szükséges, meg fogjuk mondani, melyik struktúrára gondolunk. 10

11 Z * N és a moduláris inverz Az a elem N modulus szerinti moduláris inverzén azt a 0 és N közé es b számot értjük, melyre ab 1 (mod N). Moduláris inverz csak N-hez relatív prím a számokra létezik, azaz ha gcd(a, N) = 1. Ekkor a kib vített euklideszi algoritmus szerint létezik olyan x és y egész, hogy xa + yn = gcd(a, N) = 1, ahonnan xa = 1 yn 1 (mod N), és így a moduláris inverze b = x mod N. A moduláris inverz a kib vített euklideszi algoritmus leegyszer sítésével közvetlenül is számolható a 4. algoritmussal. Az algoritmus helyességét az bizonyítja, hogy minden lépésben fennáll az ax i y i (mod N) összefüggés (i = 1, 2), így az algoritmus végén ax 2 y 2 (mod N), ami y 2 folyamatosan csökkenése miatt véges sok lépésen belül vagy az y 2 = 1 vagy az y 2 = 0 értéket eléri. function inv(a, N) input: a Z, N Z +, N > 1 output: b mod N, ahol ab 1 (mod N) és 0 < b < N, vagy egy üzenet, hogy Nincs ilyen szám x 1, y 1 := 0, N x 2, y 2 := 1, a mod N while y 2 > 1 do q := y 1 y 2 x 1, y 1, x 2, y 2 := x 2, y 2, x 1 qx 2, y 1 qy 2, if y 2 = 0 then return Nincs ilyen szám end end return x 2 mod N end 4. algoritmus: Moduláris inverz kiszámolása Mint láttuk, Z N a moduláris szorzással nem alkot csoportot, mert e m - velet nem invertálható. Tekintsük tehát a Z * N := {a Z N : gcd(a, N) = 1} halmazt. Ez tehát a 0 és N közé es, N-hez relatív prím számokból áll. 11

12 Például Z * 5 = {1, 2, 3, 4}, Z * 12 = {1, 5, 7, 11}, Z * 14 = {1, 3, 5, 9, 11, 13}. Általában, ha p prím, akkor Z * p = {1, 2,..., p 1}. Z * N elemeinek száma φ(n), ahol φ az Euler-féle fí függvény. Ha N törzstényez s alakja N = p e 1 1 p e p em m, ahol a p i számok különböz prímek, akkor m ) φ(n) = N ( 1 1pi. i=1 Használni fogjuk ezt az összefüggést abban az esetben, ha N két prím szorzata, azaz N = pq, ekkor φ(n) = (p 1)(q 1). Annak, hogy minden N-hez relatív prím egésznek van moduláris inverze, fontos következménye, hogy Z * N a Z N-ben már bevezetett szorzásm velettel csoportot alkot, azaz minden Z * N -beli elemnek van inverze, és Z* N-ban minden a x = b egyenletnek egyetlen x megoldása van, vagyis a szorzásm velet invertálható. 3 A Z * N csoport ciklikus, ha N egy páratlan prím hatványa. Több prímosztóval rendelkez N esetén Z * N szerkezetét a kínai maradéktételr l szóló következ részben tárgyaljuk. További következmény, hogy a moduláris hatványozás Z * N-ban tovább egyszer södik, nevezetesen ha g Z * N, és b egy pozitív egész, akkor gb = g b mod φ(n). Itt kihasználtuk az Euler-tételt, mely szerint ha g és N relatív prímek, akkor g φ(n) 1 (mod N). Általánosságban, ha G egy csoport, melynek rendje (azaz elemszáma) n, akkor g b = g b mod n, hisz egy n-edrend csoportban bármely g elemre g n = e, ahol e a csoport egységelemét jelöli. Kínai maradéktétel Az RSA kriptorendszerben is alkalmazott kínai maradéktétel legegyszer bb alakjában azt állítja, hogy az x a x b (mod p) (mod q) ekvivalenciarendszer minden egész a és b esetén megoldható ha p és q relatív prímek, és e megoldás egyértelm modulo N = pq, nevezetesen x = ( a(q 1 mod p)q + b(p 1 mod q)p ) mod N, (1) 3 Az előző lábjegyzetben bevezetett jelölést használva írhatjuk, hogy Z * N, csoport. 12

13 ahol q 1 mod p a q moduláris inverze a p modulus szerint, míg p 1 mod q a p moduláris inverze modulo q. Annak ellen rzése, hogy ez valóban megoldás, behelyettesítéssel ellen rizhet, hisz a(q 1 mod p)q a a(q 1 mod p)q 0 b(p 1 mod q)p 0 b(p 1 mod q)p b (mod p) (mod q) (mod p) (mod q). Tekintsük a következ f leképezést: f : Z n Z p Z q ; x (x mod p, x mod q). (2) Annak ellen rzése, hogy az (1) egyenletbeli x az egyetlen megoldás mod N, épp azzal ekvivalens, hogy f bijekció, és adott (a, b) párhoz az (1) képlettel rendelt x, mint leképezés épp az f inverze. Ennek igazolása arra épül, hogy Z N = Z p Z q = pq, így ha volna olyan (a, b) Z p Z q pár, mely semmilyen x Z N -re sem lenne egyenl f(x)-szel, akkor létezne olyan (a, b) pár is, melyre a kongruenciarendszer nem lenne megoldható. Szemléltessük ezt egy egyszer példán, legyen p = 3, q = 5. Ekkor a Z 15 és a Z 3 Z 5 elemei közt f a következ bijekciót létesíti: 0 (0, 0) 6 (0, 1) 12 (0, 2) 3 (0, 3) 9 (0, 4) 10 (1, 0) 1 (1, 1) 7 (1, 2) 13 (1, 3) 4 (1, 4) 5 (2, 0) 11 (2, 1) 2 (2, 2) 8 (2, 3) 14 (2, 4) A táblázatba az elemeket a Z 3 Z 5 elempárjai szerint rendeztük, az egy sorban lév párok els, az egy oszlopban lév k második eleme azonos. A bekeretezett részbe a Z * 15, illetve a Z * 3 Z * 5 elemei kerültek. Ez az észrevétel sejteti, hogy több igaz egyszer bijekciónál. Az f m velettartó is tétel (Kínai maradéktétel). Legyen p és q két relatív prím egész, és legyen N = pq. Ekkor a (2) képlettel definiált f függvény izomorfizmust létesít a Z N és Z p Z q gyűrűk, valamint a Z * N és Z* p Z * q csoportok közt, azaz Z N = Zp Z q, Z * N = Z * p Z * q. Ez azt jelenti, hogy f bijekció Z N és Z p Z q közt, valamint Z * N és Z* p Z * q közt is, és bármely két x 1, x 2 Z N esetén f(x 1 + x 2 ) = f(x 1 ) + f(x 2 ) és f(x 1 x 2 ) = f(x 1 ) f(x 2 ). 13

14 A Z p Z q elemei közti m veletek deníciói természetes módon, az (a, b)+ (c, d) = (a + c, b + d) és az (a, b) (c, d) = (a c, b d) képletekkel vannak deniálva. Megjegyezzük, hogy az (1)-beli x = f 1 (a, b) képlet a kínai maradéktételb l adódó f 1 (a, b) = f 1 (a(1, 0) + b(0, 1)) = af 1 (1, 0) + bf 1 (0, 1) felbontásból érthet bbé válik, hisz f((q 1 mod p)q) = (1, 0), f((p 1 mod q)p) = (0, 1). A kínai maradéktétel szemléltetésére és használatának bemutatására szolgál a következ példa: 1.4. példa. Számítsuk ki az (a) 13+7 mod 15, (b) 13 7 mod 15, (c) 13 7 mod 15 értékeket, mind Z 15 -ben, mind Z 3 Z 5 -ben számolva! Megoldás. Az f-re és inverzére vonatkozó képleteket fogjuk használni, de a fenti táblázatban ellen rizhetjük is az eredményeket. f(13) = (13 mod 3, 13 mod 5) = (1, 3), f(7) = (7 mod 3, 7 mod 5) = (1, 2), azaz 13 (1, 3), 7 (1, 2). Másrészt f 1 (1, 0) = (5 1 mod 3) 5 = 2 5 = 10, f 1 (0, 1) = (3 1 mod 5) 3 = 2 3 = 6. (a) = 20 5 (mod 15), másrészt (1, 3) + (1, 2) = (2, 0) 5, ugyanis f 1 (2, 0) = 2 f 1 (1, 0) = 2 10 = 20 5 (mod 15). (b) 13 7 = 91 1 (mod 15), másrészt (1, 3) (1, 2) = (1, 1) 1, ugyanis f 1 (1, 1) = f 1 (1, 0) + f 1 (0, 1) = = 16 1 (mod 15). (c) 13 7 = (mod 15), másrészt (1, 3) 7 = (1 7 mod 3, 3 7 mod 5) = (1, 2) 7, ugyanis f 1 (1, 2) = f 1 (1, 0)+2 f 1 (0, 1) = = 22 7 (mod 15). Az utolsó feladat azt is mutatja, hogy a moduláris hatványozás tovább egyszer síthet a kínai maradéktétel alkalmazásával. Ezt az RSA titkosításnál használni fogjuk A modern kriptográfia alapja, a bizonyítható biztonság A bevezet ben említett bizonyítható biztonság, mint a modern kriptográa megteremtésének alapfogalma szükségessé teszi, hogy a biztonság lehetséges szintjeit áttekintsük. A tökéletes biztonság fogalmát el ször Shannon 14

15 fogalmazta meg, aki erre vonatkozó tételével megalapozta a kriptográa tudománnyá válását. A teljesség és az egységes tárgyalás kedvéért felidézzük a szimmetrikus kulcsú rejtjelezés denícióját: 1.5. definíció. Legyen adva az n biztonsági paraméter. A polinom idej algoritmusokból álló (G, E, D) hármasról azt mondjuk, hogy szimmetrikus (privát kulcsú) rejtjelez vagy titkosító rendszer, ha 1. k G(1 n ), azaz G egy véletlen polinom idej algoritmus, mely a biztonsági paraméter függvényében visszaad egy legalább n hosszú sztringet, ez lesz a szimmetrikus kulcs. 2. c E k (m), azaz a véletlen polinom idej E algoritmus a k kulcshoz és az m {0, 1} * nyílt szöveghez ( k + m -ben polinom id ben) hozzárendel egy c sztringet, az ún. kriptoszöveget. 3. m = D k (c), azaz a polinom idej determinisztikus D algoritmus k-hoz és c-hez ( k + c -ben polinom id ben) hozzárendel egy m sztringet. 4. Minden n, G által generált k és tetsz leges m esetén fönnáll az összefüggés. D k (E k (m)) = m (3) Az m gyakran nem a {0, 1} * halmaznak, hanem a x hosszú sztringek {0, 1} M(n) halmazának eleme, ahol M(n) polinomja n-nek. A lehetséges m sztringek M halmazát nyílt szöveg térnek, a lehetséges kriptoszövegek C halmazát kripto szöveg térnek, míg a lehetséges kulcsok K halmazát kulcstérnek nevezzük. Szokásos az a megfogalmazás is, hogy (G, E, D) szimmetrikus kulcsú rejtjelez a (K, M, C) hármas fölött. Tökéletes biztonság Egy rejtjelez t tökéletesen biztonságosnak nevezünk, ha c ismeretében semmilyen információt nem tudhatunk meg m-r l. E fogalomnak több precíz, egymással ekvivalens matematikai deníciója is létezik. Mi itt most azt említjük, mely a további biztonsági deníciókhoz a legjobban illeszkedik, bár nem ez volna a legegyszer bb vagy legkézenfekv bb kísérlet (Exp indcpa A,Σ (n) nyílt szöveg megkülönböztethetetlenségi kísérlet). Legyen Σ = (G, E, D) egy szimmetrikus kulcsú rejtjelez, A algoritmus, itt most a támadó, melyet két különböz állapotában hívunk meg, ezeket A (1) és A (2) jelöli. 15

16 1. (m 0, m 1 ) A (1) (1 n ), ahol m 0, m 1 M, és m 0 = m k G(1 n ), b {0, 1} egy véletlen bit, c E k (m b ). 3. b A (2) (c) Exp indcpa A,Σ (n) = 1, ha b = b, egyébként = 0 (az indcpa jelölés eredete: indistinguishability under chosen-plaintext attack ) 1.7. definíció (Tökéletes biztonság). A Σ = (G, E, D) szimmetrikus kulcsú rejtjelez tökéletesen biztonságos, ha bármely korlátlan számítási kapacitással rendelkez A algoritmus el nye a Σ rejtjelez vel szemben 0, azaz Adv indcpa A,Σ (n) = P[ExpindCPA A,Σ (n) = 1] 1 2 = 0. A denícióbeli Adv (az advantage szóból) jelölés azt a valószín séget jelenti, amekkora valószín séggel A különbséget tud tenni m 0 és m 1 közt csak c-t ismerve. A tökéletes biztonság azt jelenti, hogy A el nye a Σ rejtjelez vel szemben 0, még akkor is, ha A korlátlan számítási kapacitással rendelkezik. Más szóval A el nye Σ-val szemben ε, ha a c kriptoszöveg ismeretében ε valószín séggel eltalálja, hogy c = E k(m 0 ) vagy c = E k (m 1 ). Azaz ekkora valószín séggel jut a kriptoszöveg alapján a nyílt szövegre vonatkozó információhoz. A tökéletes biztonság elérhet, és például a one time pad (OTP) nev rejtjelez meg is valósítja 4. A tökéletes biztonság elérésének azonban súlyos ára van tétel (Shannon tétele). Legyen Σ = (G, E, D) egy szimmetrikus kulcsú rejtjelező a (K, M, C) hármas fölött. 1. Ha Σ tökéletesen biztonságos, akkor M K, és Σ elveszíti tökéletes biztonságát, ha (G-t megkerülve) egy k kulcsot többször használunk. 2. Ha M = C = K, akkor Σ pontosan akkor tökéletesen biztonságos, ha G egyenletes eloszlás szerint választ K -ból (azaz minden k kulcs kiválasztásának 1/ K a valószínűsége), és minden c C és m M elemhez pontosan egy k K kulcs létezik, melyre E k (m) = c. Azonnal következik Shannon tételéb l, hogy nyílt kulcsú rejtjelez nem lehet tökéletesen biztonságos, hisz a rejtjelezést végz nyílt kulcs többször használatos, egy támadó maga tetsz leges sokszor meghívhatja. 4 Alkalmazásának híres történelmi esete a kubai atomválság után Moszkva és Washington közt kiépített forró drót, az is az OTP-t használta. 16

17 Számítási biztonság gyakorlati megközelítés A szimmetrikus kulcsú titkosítás esetén is nagyon ritkán vannak olyan körülmények, amelyek lehet vé teszik tökéletesen biztonságos protokoll használatát. Ezért akár a szimmetrikus, akár az aszimmetrikus kulcsú rejtjelezésben szükség van a biztonságnak egy más, nem tökéletes, de elegend szintjét elérni, azaz ha matematikailag lehetséges is a rejtjelez feltörése, ez a gyakorlatban ne sikerülhessen. E biztonság a számítási biztonság (computational security), mely arra épül, hogy a támadónak ugyan lehet sége van a rejtjelez feltörésére, de a valóságban a ma és a várható közeljöv ben számára rendelkezésre álló er források igénybevétele mellett belátható id n belül csak elhanyagolható valószín séggel érhessen el sikert. Egy algoritmus elvégzéséhez szükséges id t legjobb gépi ciklusokban számolni. Szokásos mértékegység a ops (floating pont operation per second), vagyis az egy másodperc alatt elvégzett lebeg pontos m veletek száma. A mai szuperkomputerek 10-es nagyságrend petaops sebesség ek, ez azt jelenti, hogy egy másodperc alatt nagyságrendileg m veletet végeznek el. Például ha egy algoritmus elvégzéséhez 2 80 op (floating pont operation) m - velet elvégzésére van szükség, akkor ehhez egy szuperkomputernek 2 80 /10 16 másodpercre, azaz kb. 46 hónapra van szüksége. Ennél is kinomultabb megközelítés, ha azt próbáljuk meg egy algoritmusról megbecsülni, hogy amennyiben adott t op elvégzésére van lehet sége, akkor mekkora a siker valószín sége definíció. Azt mondjuk, hogy egy kriptográai rendszer (t, ε)-biztonságú, ha bármely legföljebb t opot végrehajtó támadó algoritmus legföljebb ε valószín séggel sikeres. A manapság legelterjedtebb kulcshossz Ha például egy algoritmus egyetlen kulcs ellen rzését 2 10 op alatt elvégzi, akkor annak valószín sége, hogy egy brute force támadással 100 év alatt megtalálja a kulcsot egy mai szuperkomputerrel , ami elegend biztonságnak t nik, még akkor is, ha 1000-szeresére gyorsítjuk az algoritmust. E gyakorlati megközelítésben nehéz deniálni azt, hogy mit kell elég biztonságosnak, és mit nem biztonságosnak tekintenünk. Egyrészt a hardverek képességei gyorsan n nek (Moore 40 éve megfogalmazott sejtése szerint 17

18 exponenciálisan, leggyakrabban idézett formájában azt állítja, az integrált áramkörökben lév tranzisztorok száma másfél évente duplázódik). Másrészt teljesen más a biztonsági igénye egy szerelmes levélnek és egy kényes hadititoknak. Annyit azért általában mondhatunk, hogy ha t ε < 1/2 80, akkor a technika jelen állása szerint még biztonságos, ha t ε > 1/2 40, akkor már nem biztonságos a rendszer. Számítási biztonság aszimptotikus megközelítés A gyakorlati alkalmazásokhoz készült algoritmusok megvalósításakor gyelembe kell venni az el z pontban deniált biztonsági fogalmat, a bizonytalanul min síthet tartalma miatt viszont más megközelítésre lesz szükségünk. Az els szempont, hogy a megközelítésnek függvényalapúnak kell lennie, hisz a rendszer használhatósága változik, ha annak biztonsági paramétere (leegyszer sítve az input sztring, pl. a kulcs hossza) változtatható. A második szempont, hogy a támadó rendelkezésére álló er forrás nem lehet korlátlan, s t kimondható, a támadó algoritmusának hatékonynak kell lennie, így az is a biztonsági paraméter függvényében vizsgálandó. Végül mérnünk kell a támadó sikerességének valószín ségét, annyit kívánunk, hogy az elhanyagolható legyen. A függvényalapú megközelítés kényelmesen és jól kezelhet en fölépíthet a véletlen polinomidej algoritmus fogalmára. Egy A algoritmus polinom idej, ha létezik egy olyan p polinom, hogy bármely x {0, 1} * inputra az A(x) algoritmus p( x ) lépésben véget ér, ahol x az x hosszát jelöli. Az A algoritmus véletlen polinom idej, ha polinom idej, és az algoritmus hozzáfér egy véletlen függvényhez, mely meghívásakor 1 valószín séggel 0, valószín séggel 1 választ ad (a Turing gépek nyelvén az algoritmus hozzáfér egy elegend en hosszú véletlen 0-1 sorozatot tartalmazó szalaghoz). Azt tudjuk, hogy vannak olyan problémák, melyekre van olyan véletlen polinomidej algoritmus, mely gyorsabb bármely ismert determinisztikusnál, az azonban nincs bizonyítva, hogy volna olyan probléma, melynek megoldására van véletlen polinomidej algoritmus, de nincs determinisztikus. Így nem biztos, hogy szükség van-e a véletlen jelenlétére, de hátrányt nem okoz. A polinomidej algoritmusok használatának f el nye, hogy ha egy polinom sok függvényhívásból álló A algoritmus csupa polinom idej algoritmussal kiszámolható függvényt hív meg, akkor maga is polinom idej definíció. A ν függvény elhanyagolható, ha minden pozitív f együtt- 18

19 hatójú p polinomhoz létezik olyan n p küszöbindex, hogy ha n > n p, akkor 0 ν(n) < 1 p(n). Az n 2, n 3, n 1000, 1 n 6 n 4 +2 függvények nem elhanyagolhatók, míg a 2 n, 3 n, 2 n, n log n függvények elhanyagolhatók. Könnyen igazolható, hogy elhanyagolható függvények összege, és polinomszorosa is elhanyagolható. Miel tt az aszimmetrikus kulcsú titkosítás biztonságát vizsgálnánk, egy pillanatra térjünk vissza a szimmetrikus kulcsú rejtjelez és a tökéletes biztonság deníciójára (1.5. és 1.7. deníciók). A valóságos alkalmazások nagy részében le kell mondanunk a tökéletes biztonságról, mert nehézségekbe ütközik minden üzenetváltás el tt egy az üzenet hosszánál nem rövidebb kulcsot cserélni, cserébe viszont a valóságos támadónak is le kell mondania a korlátlan számítási kapacitás lehet ségér l, mert a valóságban ilyen nincs. Így a tökéletes biztonság deníciójának minimális megváltoztatása elvezet minket egy gyakorlatban használhatóbb új fogalomhoz, a számítási biztonság fogalmához. Ezen belül a biztonságnak több szintje is van. A következ fogalomra több ekvivalens deníció is létezik, ennek megfelel en különböz neveken is szokás említeni. A nyíltszöveg-megkülönböztethetetlenség alapvet volt a tökéletes biztonság deníciójában is, itt is erre fogjuk építeni a biztonság-fogalmunkat, melyet szokás még szemantikai biztonságnak is nevezni, mert mint látni fogjuk, azt fejezi ki, hogy egyetlen hatékony támadó sem tudhat meg nem elhanyagolható valószín séggel semmit a kriptoszöveg alapján a nyílt szövegr l definíció (Szemantikai biztonság). A Σ = (G, E, D) szimmetrikus kulcsú rejtjelez t szemantikailag biztonságosnak nevezzük, ha bármely véletlen polinom idej A támadó el nye a Σ rejtjelez vel szemben elhanyagolható, azaz bármely A algoritmushoz van olyan elhanyagolható ν függvény, hogy Adv indcpa A,Σ (n) = P[ExpindCPA A,Σ (n) = 1] 1 2 ν(n). A szemantikai biztonság fenti deníciójára pontosabb kifejezés az üzenetmegkülönböztethetetlenség vagy még pontosabban a nyíltszöveg-megkülönböztethetetlenség lehallgató jelenlétében kifejezések, amit az indcpa rövidítés is jelöl. De mivel ekvivalens fogalmakról van szó, egyszer bb ezt 19

20 használni. E lehallgató (eavesdropper ) kifejezés arra a valóságban el forduló helyzetre utal, amelyben a támadónak van sejtése arról, hogy mi lehet az üzenetben (pl. m 0 = igen m 1 = nem; m 0 = támadunk m 1 = maradunk,... ), és lehallgatja az elküldött kódolt üzenetet, azaz megszerzi a c = E k (m b ) kriptoszöveget, és abból próbál információhoz jutni a nyílt szöveg kiválasztásához. Az aszimmetrikus rejtjelező és biztonsága Az aszimmetrikus kulcsú rejtjelezés deníciója csak annyiban különbözik a szimmetrikus kulcsúétól, hogy a kulcsgenerálás során nem egy, hanem két kulcsot kell kapnunk, egyet az E, egyet a D algoritmus részére definíció (Aszimmetrikus kulcsú rejtjelez ). Legyen adva az n biztonsági paraméter. A polinom idej algoritmusokból álló Π = (G, E, D) hármasról azt mondjuk, hogy aszimmetrikus (nyílt kulcsú) rejtjelez vagy titkosító rendszer, ha 1. (pk, sk) G(1 n ), azaz G egy véletlen polinom idej algoritmus, mely a biztonsági paraméter függvényében visszaad két (legalább n bit hosszú) sztringet, pk lesz a nyílt, sk a titkos kulcs. 2. c E pk (m), azaz a véletlen polinom idej E algoritmus a pk kulcshoz és az m M nyílt szöveghez ( pk + m -ben polinom id ben) hozzárendel egy c sztringet. 3. m = D sk (c), azaz a determinisztikus polinom idej D algoritmus sk-hoz és c-hez hozzárendel egy m sztringet. 4. Minden n, G által generált (sk, pk) és tetsz leges m M esetén fönnáll az P[D sk (E pk (m)) = m] = 1 ν(n) (4) összefüggés, ahol ν elhanyagolható. Az E és D algoritmusokra föltehet ami a gyakorlatban is megeshet, hogy a dekódolás valamilyen ok miatt meghiúsul, ekkor a D algoritmus egy megkülönböztetett jelet küld (a kriptográai irodalomban a jelet szokás erre használni). A (4) biztonságos megfogalmazása az elvárt D sk (E pk (m)) = m egyenl ségnek, amely arra is számít, hogy akár a kulcsgenerálás, akár a rejtjelezés véletlen algoritmusában valamilyen elhanyagolható esély hiba történik. 20

21 A megkülönböztethetetlenségi kísérlet itt is elvégezhet, de a kulcsgeneráláson kívül ez abban is különbözik a szimmetrikus kulcsú esett l, hogy itt a támadó folyamatosan hozzáfér a nyílt kulcshoz, így maga nyílt szövegeket rejtjelezhet tetszése szerint kísérlet (Exp indcpa A,Π (n) nyílt szöveg megkülönböztethetetlenségi kísérlet). Legyen Π = (G, E, D) egy aszimmetrikus kulcsú rejtjelez, A olyan algoritmus, melyet két különböz állapotában hívunk meg, ezeket A (1) és A (2) jelöli, és amely közben polinom sokszor meghívhatja E pk -t. (pk, sk) G(1 n ) (m 0, m 1 ) A (1) (1 n, pk, E pk ), ahol m 0, m 1 M, és m 0 = m 1. b {0, 1} egy véletlen bit, c E pk (m b ). b A (2) (c, E pk ) Exp indcpa A,Π (n) = 1, ha b = b, egyébként = definíció (Szemantikai biztonság, CPA-biztonság). A Π = (G, E, D) aszimmetrikus kulcsú rejtjelez t szemantikailag biztonságosnak vagy CPAbiztonságosnak nevezzük, ha bármely véletlen polinom idej A támadó el nye a Π rejtjelez vel szemben elhanyagolható, azaz bármely A algoritmushoz van olyan elhanyagolható ν függvény, hogy Adv indcpa A,Π (n) = P[ExpindCPA A,Π (n) = 1] 1 2 ν(n). Szokás az Exp indcpa A,Π (n) kísérletet kicsit másként deniálni. Ekkor Exp 2- argumentumos, második argumentuma a b bit, és kimenete a b bit, azaz b = Exp indcpa A,Π (n, b). Ekkor, az A algoritmus Π-vel szembeni el nyére a fenti denícióbelivel lényegében ekvivalens más deníció adható: Adv indcpa A,Π (n) = indcpa P[Exp (n, 0) = 1] P[Exp indcpa (n, 1) = 1] A,Π E deníció kicsit életszer bbnek t nik, itt A nem a b bitet próbálja eltalálni, hanem csak az a kérdés, van-e olyan statisztikai próba, mely különbséget tud 21 A,Π

22 tenni a b = 0 esetére adott 1-es válaszok és a b = 1 esetére adott 1-es válaszok között? Mert ha igen, akkor a rejtjelezés nem biztonságos! Még er sebb támadásra ad lehet séget, ha a támadó valamilyen módon hozzá tud jutni maga által el állított kriptoszövegekek dekódoltatásával kapott nyílt szövegekhez, vagy legalább azokról némi információhoz juthat. A nem elég gondosan megtervezett kriptográai protokollokban számtalan olyan lehet ség adódhat, amikor erre a támadónak lehet sége nyílik. Például ha a támadó lehallgat egy titkosított üzenetet tartalmazó t, majd azt a saját nevén is elküldi a címzettnek, lehet, hogy a címzett válaszában mellékeli a dekódolt üzenetet kísérlet (Exp CCA A,Π (n) választott kriptoszöveg alapú támadás (CCA)). Legyen Π = (G, E, D) egy aszimmetrikus kulcsú rejtjelez, A olyan algoritmus, melyet két különböz állapotában hívunk meg, ezeket A (1) és A (2) jelöli, és amely közben polinom sokszor meghívhatja E pk és a D sk algoritmust, utóbbit anélkül, hogy magát az sk-t is megkapná. (pk, sk) G(1 n ) (m 0, m 1 ) A (1) (1 n, pk, E pk, D sk ), ahol m 0, m 1 M, és m 0 = m 1. b {0, 1} egy véletlen bit, c E pk (m b ). b A (2) (c, E pk, D sk ), ahol tehát A (2) továbbra is hozzáfér a D sk algoritmushoz, egyedül csak a D sk (c) függvényhívásra nincs lehet sége. Exp CCA A,Π (n) = 1, ha b = b, egyébként = definíció (nyílt szöveg megkülönböztethetetlenség választott kriptoszöveg alapú támadás mellett, CCA-biztonság). A Π = (G, E, D) aszimmetrikus kulcsú rejtjelez t CCA-biztonságosnak nevezzük (szokásos elnevezés még: CCA2-biztonság, adaptív CCA-biztonság), ha bármely véletlen polinom idej A támadó el nye a Π rejtjelez vel szemben elhanyagolható, azaz bármely A algoritmushoz van olyan elhanyagolható ν függvény, hogy Adv CCA A,Π (n) = P[ExpCCA A,Π (n) = 1] 1 2 ν(n). A CCA-biztonságnak van egy olyan gyengébb támadást feltev deníciója is, ahol a támadónak csak az m 0 és m 1 kiválasztásáig van lehet sége meghívni 22

23 a dekódolót, ekkor ezt CCA1-biztonságnak hívják, a fenti deniált fogalmat pedig CCA2-biztonságnak. A fenti kísérletet és deníciót aszimmetrikus rejtjelez re fogalmaztuk meg, de ezek egyszer en módosíthatóak, hogy szimmetrikus rejtjelez re is érvényesek legyenek, egyszer en Π egy Σ szimmetrikus rendszerre cserélend, és a (pk, sk) pár a közös k kulcsra, minden más marad. Hogyan lehet aszimmetrikus kulcsú rejtjelez t konstruálni? Az összes fontosabb ilyen konstrukció valamelyik makacs számelméleti problémára, és abból származó ún. egyirányú kiskapu-függvényre, illetve egyirányú kiskapupermutációra épül. Ezért el ször ezeket vesszük sorra Makacs számelméleti problémák Makacs számelméleti problémáknak nevezzük azokat a kérdéseket, melyek megválaszolására eddig nem találtunk hatékony algoritmust, eddig makacsul ellenálltak minden próbálkozásnak, de ugyanakkor az sincs bizonyítva, hogy ilyen algoritmus nem létezik. Ráadásul nem elég, hogy a probléma bizonyos esetekben legyen nehéz, hanem hogy az esetek egy pontosan és egyszer - en deniálható tartományán belül elhanyagolható számú esetet leszámítva mindig. Faktorizáció A számelmélet leg sibb problémáinak egyike az egészek faktorizációja. Egész számok összeszorzása polinomidej algoritmus, tényez kre bontására ezidáig hatékony algoritmust nem ismerünk (nem számítva a Shoralgoritmust, mely polinom id ben fogja megoldani e problémát kvantumkomputeren ha valamikor lesz olyan) kísérlet (Exp Factor A,G (n) faktor kísérlet). G egy polinomidej algoritmus, mely a biztonsági paraméter függvényében el állít két n-bites számot és azok szorzatát. A két szám n függvényében elhanyagolható valószín séggel nem prím. A egy algoritmus, mely egy számpárt ad vissza: (p, q, N) G(1 n ) (p, q ) A(N) Exp Factor A,G (n) = 1, ha p q = N, egyébként = 0. 23

24 1.18. definíció. Azt mondjuk, hogy a faktorizáció nehéz, ha bármely véletlen polinomidej A algoritmushoz létezik olyan elhanyagolható ν(n) függvény, hogy Adv Factor A,G (n) = P[Exp Factor A,G (n) = 1] ν(n). Moduláris gyökvonás, az RSA-probléma Bár a faktorizáció nehéz problémának t nik, még sincs széles körben elterjedt kriptográai alkalmazása, van azonban olyan, amely szoros kapcsolatban áll vele. Ezek legismertebbike az RSA-probléma. Ez bizonyos korlátozó feltevések mellett lényegében az ismert e kitev vel végzett moduláris hatványozás inverzének, azaz a moduláris e-edik gyökvonás elvégzésének nehézségét feltételezi, ha a modulus két prím szorzata. Könnyen igazolható, hogy az f : Z * N Z* N ; x xe függvény invertálható, ha N tetsz leges 1-nél nagyobb egész, és gcd(e, φ(n)) = 1. Másként fogalmazva f a Z * N egy permutációja. Megmutatjuk, hogy ha d = e 1 mod φ(n), akkor f inverze az f 1 : Z * N Z* N ; y yd függvény. Ennek ellen rzéséhez csak azt kell látnunk, hogy ha d moduláris inverze e-nek, azaz ed 1 (mod φ(n)), akkor van olyan k > 0 szám, hogy ed = 1 + kφ(n), és így tetsz leges x Z * N számra (x e ) d = x ed x 1+kφ(N) x(x φ(n) ) k x1 k = x. (mod N) (mod N) (mod N) Kérdés, hogy határozható meg e ismeretében d. Ha N = pq, ahol p és q két különböz prím és mostantól csak erre az esetre szorítkozunk, akkor φ(n) = (p 1)(q 1), az e moduláris inverzének kiszámítására pedig van polinomidej algoritmusunk. A nehézséget az okozza, hogy φ(n)-et meghatározni épp oly nehéz, mint faktorizálni N-et. Ha ugyanis ismerjük N tényez it, akkor polinom id ben ki tudjuk számolni a φ(n) = (p 1)(q 1) értéket, ha pedig ismerjük N és φ(n) értékét, akkor az N = pq φ(n) = (p 1)(q 1) egyenletrendszerb l meghatározható p és q, nevezetesen a q = N/p helyettesítés után a második egyenletb l a másodfokú p 2 (N φ(n) + 1)p + N = 0 24

25 egyenletet kapjuk, ami polinom id ben megoldható. A kérdés tehát az, vane olyan algoritmus, mely N, e és y ismeretében kiszámítja azt az x számot, melyre x e y (mod N). Mindmáig nyitott kérdés, hogy ez a probléma ekvivalens-e a faktorizációs problémával, csak annyit tudunk, hogy nyilvánvalóan nem nehezebb nála. Nem ismeretes olyan algoritmus, mely az e-edik gyököt visszaadó függvény ismeretében faktorizálni tudná N-et. A függvény inverze egyszer d-edik hatványozás modulo N. Ez az eljárás az RSA-függvény esetén kb. négyszer olyan gyors algoritmusra cserélhet a kínai maradéktétel alkalmazásával. Legyen d p = d mod p 1, és d q = d mod q 1. Mivel φ(p) = p 1 és φ(q) = q 1, ezért y d y dp (mod p) és hasonlóképp y d y dq (mod q), és a kínai maradéktétel szerint az x y dp x y dq (mod p) (mod q) egyértelm en megoldható, nevezetesen az (1) képletet használva x = ( y dp (q 1 mod p)q + y dq (p 1 mod q)p ) mod N, (5) ahol a d p, d q, q 1 mod p és p 1 mod q mind el re számolhatók. Szemléltetésül lássunk egy példát példa. Legyen p = 11, q = 17, így N = 187 és φ(n) = 160. Legyen e = 3 és x = 16. Számítsuk ki az y = f N,e (x) és az f 1 N,d (y) értékeket, az utóbbit a kínai maradéktétellel! Megoldás. y = f 187,3 (16) = 16 3 mod 187 = 4096 mod 187 = 169 még könnyen számolható. Az inverz függvényhez meg kell határoznunk d értékét: d = 3 1 mod 160 = 107. Az el re kiszámolható paraméterek: d p = 107 mod 10 = 7, d q = 107 mod 16 = 11, q 1 mod p = 17 1 mod 11 = 2, p 1 mod q = 11 1 mod 17 = 14 Ha csak egyszer moduláris hatványozással próbáljuk az inverzet kiszámolni, akkor f N,d (y) = f 187,107 (169) = mod 187 =

26 Mivel 107 bináris alakja , ezért a moduláris hatványozás a 3. algoritmusa szerint 12 darab 187-es modulusú szorzás elvégzése után megkapjuk az eredményt. Ha a kínai maradéktétellel próbálkozunk, akkor a következ számításokat kell elvégezni, ahol a moduláris hatványozások modulusai csak 11 és 17: x p = y dp mod p = mod 11 = (169 mod 11) 7 mod 11 = 4 7 mod 11 = 5 x q = y dq mod p = mod 17 = (169 mod 17) 11 mod 17 = mod 17 = 16 x = ( y dp (q 1 mod p)q + y dq (p 1 mod q)p ) mod N = ( ) mod 187 = 16. Nagyságrendileg negyed annyi m veletet igényel ez utóbbi módszer alkalmazása kísérlet (Exp RSA A,G (n) RSA kísérlet). G egy véletlen polinomidej algoritmus, mely a biztonsági paraméter függvényében el állít két n-bites prímszámot, azok N szorzatát, egy φ(n)-hez relatív prím e számot és azt a d számot, melyre ed 1 (mod φ(n)). Az A algoritmus egy Z * N-beli számot ad vissza. (N, e, d) G(1 n ) y Z * N x A(N, e, y) Exp RSA A,G (n) = 1, ha x e y (mod N), egyébként = definíció. Azt mondjuk, hogy az RSA probléma nehéz, ha bármely véletlen polinomidej A algoritmushoz létezik olyan elhanyagolható ν függvény, hogy Adv RSA A,G (n) = P[Exp RSA A,G (n) = 1] ν(n). Négyzetgyökvonás, a Rabin-probléma Érdekes a helyzet a gyökvonással. Ha N = pq két páratlan prím szorzata, akkor φ(n) páros, így a négyzetre emelés, azaz az f : Z * N Z* N ; x x2 függvény nem invertálható, s t, minden négyzetszámnak 4 négyzetgyöke van. Euler tételéb l azonnal következik, hogy ha p páratlan prím, akkor Z * pban egy y elem pontosan akkor négyzetelem (kvadratikus maradék mod p), 26

27 ha y (p 1)/2 1 (mod p), ugyanis ha van olyan x, hogy x 2 y (mod p), akkor y (p 1)/2 x p 1 1 (mod p). Ebb l adódik, hogy Z * p elemeinek fele négyzetelem, fele nem négyzetelem, továbbá ha p 3 (mod 4), akkor y négyzetgyökei Z * p-ban a ±y (p+1)/4 mod p számok, ugyanis (±y (p+1)/4 ) 2 y (p+1)/2 y (p 1)/2 y y (mod p) (mod p) (mod p) Legyen tehát p és q 3 (mod 4), és N = pq. Ekkor az x 2 y (mod N) kongruencia megoldása a kínai maradéktétel szerint ekvivalens az x 2 y x 2 y (mod p) (mod q) kongruenciarendszer megoldásával. Mindkett nek két-két megoldása van, így a következ, valójában négy különböz kongruenciarendszer négy megoldást ad: x ±y (p+1)/4 x ±y (p+1)/4 (mod p) (mod q). Azt látjuk, hogy az N modulusú négyzetre emelés inverze könnyen számolható, ha ismerjük N prímtényez s felbontását. Meglep módon a négyzetgyökvonás nehézségér l tudjuk, hogy ekvivalens a faktorizációs probléma nehézségével (ellentétben az e-edik gyökvonással), az erre épül Rabin kriptorendszer mégsem terjedt el, mert a 4 gyök közül az egyetlen helyes kiválasztásához az üzenetbe valamilyen redundáns információt kell tenni. Diszkrét logaritmus Legyen G egy tetsz leges q-elem ciklikus csoport, és g egy generátoreleme, azaz G elemeinek halmaza {g 0 = 1, g, g 2,..., g q 1 } kísérlet (Exp Dlog A,G (n), diszkrét logaritmus kísérlet). Ggroup egy véletlen polinomidej algoritmus, mely a biztonsági paraméter függvényében el állít egy q-adrend ciklikus csoportot, és annak egy g generátorelemét, mely csoportban a m velet hatékonyan számolható. Az A algoritmus egy G-beli elemet ad vissza. 27

28 (G, q, g) G group (1 n ), ahol l(q) = n, h G egy egyenletes eloszlás szerint választott véletlen elem x A(G, q, g, h) Exp Dlog A,G group(n) = 1, ha gx = h, egyébként = definíció. Azt mondjuk, hogy az diszkrét logaritmus probléma G group -ra nézve nehéz, ha bármely véletlen polinomidej A algoritmushoz létezik olyan elhanyagolható ν függvény, hogy Adv Dlog A,G group(n) = P[ExpDlog A,G group(n) = 1] ν(n). A diszkrét logaritmus feltevés azt jelenti, hogy van olyan G group algoritmus, melyre nézve a diszkrét logaritmus probléma nehéz. A modern kriptográa több G group algoritmusról is feltételezi ezt. Diffie Hellman-problémák A diszkrét logaritmus problémához szorosan kapcsolódik a DieHellman kulcscserénél szerepl probléma néhány változata. A számítási DieHellman probléma lényege, hogy ha ismerjük a g a és g b elemeket egy g generátorú ciklikus G csoportban, akkor ki tudjuk-e számítani a g a b elemet? Ha a diszkrét logaritmust könnyen ki tudjuk számolni, akkor igen! Azt azonban nem tudjuk, hogy ha a diszkrét logaritmus probléma nehéz, akkor a számítási DieHellman probléma is nehéz-e kísérlet (Exp CDH A,G group(n), számítási (computational) DieHellman kísérlet). G group egy véletlen polinomidej algoritmus, mely a biztonsági paraméter függvényében el állít egy q-adrend ciklikus csoportot, és annak egy g generátorelemét. Az A algoritmus egy G-beli elemet ad vissza. (G, q, g) G group (1 n ), ahol l(q) = n, a, b Z q x A(G, q, g, g a, g b ) A,G group(n) = 1, ha x = ga b, egyébként Exp CDH A,G group(n) = 0. Exp CDH 28

29 1.25. definíció. Azt mondjuk, hogy a számítási Diffie Hellman probléma G group -re nézve nehéz, ha bármely véletlen polinomidej A algoritmushoz létezik olyan elhanyagolható ν függvény, hogy Adv CDH A,G group(n) = P[ExpCDH A,G group(n) = 1] ν(n). Még érdekesebb és er sebb a döntési (decisional) DieHellman probléma (DDH)! Az el bb deniált kísérletben megkonstruált (G, q, g, g a, g b ) ismeretében itt nem az a kérdés, hogy ki tudjuk-e számítani g a b -t, hanem hogy egyáltalán meg tudjuk-e különböztetni egy véletlenül választott elemt l! Legyen tehát G group ugyanaz, mint el bb, az A algoritmus pedig adjon vissza egy b bitet, azaz legyen b A(G, q, g, g a, g b, r) Ha e bit statisztikai jellemz i nem elhanyagolható eséllyel különböznek egy véletlen r elemre és az r = g a b elemre, akkor e probléma nem nehéz definíció. Azt mondjuk, hogy a döntési Diffie Hellman probléma G group -re nézve nehéz, ha bármely véletlen polinomidej A algoritmushoz létezik olyan elhanyagolható ν függvény, hogy Adv DDH A,G group(n) = P[A(G, q, g, g a, g b, r) = 1] P[A(G, q, g, g a, g b, g a b ) = 1] ν(n), ahol r G. Az világos, hogy ha a diszkrét log probléma G group -re nézve könny, akkor a CDH probléma is. Ha pedig a CDH könny G group -re nézve, akkor a DDH probléma is. Az állítás megfordítása nem igaz, van olyan G csoport, melyben a diszkrét logaritmus és a CDH nehéznek t nik, de a DDH könny. Bár vannak olyan G group algoritmusok, melyekre nézve a DDH problémát nehéznek hisszük, mégis nem alaptalan az a félelem, hogy esetleg kés bb valaki talál olyan matematikai algoritmust, mely képes g a b bizonyos tulajdonságai alapján nem elhanyagolható valószín séggel jól tippelni a g a -val és g b -vel való kapcsolatára. Ennek esélyét csökkenti a hash DieHellman feltevés. Itt egy hash-függvénnyel próbáljuk a g a b esetlegesen nem teljesen véletlenszer viselkedését egy véletlenszer hash függvénnyel eltakarni definíció. Legyen H : G 2 G egy hash-függvény. Azt mondjuk, hogy a hash Diffie Hellman probléma G-re nézve nehéz, ha bármely véletlen polinomidej A algoritmushoz létezik olyan elhanyagolható ν függvény, hogy Adv HDH A,G (n) = P[A(G, q, g, g a, g b, r) = 1] P[A(G, q, g, g a, g b, H(g b, g a b )) = 1] ν(n), 29