Elementare Zahlentheorie und Kryptographie
Elementare Zahlentheorie und Kryptographie
Elementare Zahlentheorie und Kryptographie
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Der Nachrichtenraum des Verfahrens ist G. Durch das folgende Massey-Omura-<br />
Protokoll kann eine Nachricht m ∈ G von User Alice (A) zu User Bob (B)<br />
übertragen werden.<br />
a) A berechnet c 1 := m e A<br />
<strong>und</strong> schickt c 1 zu B. (Niemand kann in diesem<br />
Stadium aus c 1 alleine nennenswerte Rückschlüsse auf die Nachricht ziehen.<br />
In der Tat wird zumindest für jeden der ϕ(|G|) Erzeuger ˜m von G<br />
ein e mit ˜m e = c 1 existieren. Auch Bob kann aus c 1 die Nachricht nicht<br />
rekonstruieren.)<br />
b) B berechnet c 2 = c e B<br />
1 <strong>und</strong> schickt c 2 zurück an A. (Dann wird c 2 = m e Ae B<br />
gelten.)<br />
c) A berechnet c 3 = c d A<br />
2 <strong>und</strong> schickt c 3 zu Bob. (Dann gilt c 3 = m e Ae B d A<br />
=<br />
(m e Ad A<br />
) e B<br />
= m e B<br />
nach dem obigen Satz.)<br />
d) B kann nun c d B<br />
3 berechnen. Aber es gilt c d B<br />
3 = m e Bd B<br />
= m nach obigem<br />
Satz. Bob kennt nun die Nachricht m.<br />
,<br />
Wir diskutieren die Sicherheit dieses Verfahrens 6 . Wir sagen es gleich hier: Das<br />
Verfahren von El Gamal, das im nächsten Abschnitt besprochen wird, scheint<br />
uns wesentlich besser zu sein als Massey-Omura.<br />
a) Ein Angreifer, der den ganzen Dialog abgehört hat, kennt c 1 = m e A<br />
,<br />
c 2 = m e Ae B<br />
= c e B<br />
1 <strong>und</strong> c 2 = m e B<br />
. Es gilt die Formel e B = Log G,c1 (c 2 ).<br />
Wenn der Angreifer es schafft, diesen diskreten Logarithmus zu berechnen,<br />
d.h.. e B zu bestimmen, so wird er mühelos auch an d B <strong>und</strong> an die Nachricht<br />
m = c e B<br />
3 kommen. Die Berechnung des diskreten Logarithmus wird aber<br />
aus Laufzeitgründen unmöglich sein.<br />
Eine Bemerkung scheint mir allerdings angebracht: Um das Massey-Omura-<br />
System zu brechen würde es genügen, einen Logarithmus zur Basis c 1<br />
(<strong>und</strong> nicht zur Basis g) zu berechnen. Wenn ord(c 1 ) ein Produkt von kleinen<br />
Primfaktoren ist 7 , dann könnte der Algorithmus von Silver-Pohlig-<br />
Hellman einen Hebel zur Berechnung von e B = Log c1<br />
(c 2 ) bieten. Wenn<br />
dafür gesorgt wurde, daß |G| einen großen Primteiler l hat (etwa l im<br />
300-Bit-Bereich), dann ist die Wahrscheinlichkeit dafür, daß ord(c 1 ) nicht<br />
durch l teilbar ist, nur ≈ 1/l ≈ 2 −300 .<br />
Bei dem ElGamal-Verfahren, das im nächsten Abschnitt dargestellt wird,<br />
hängt die Sicherheit definitiv von einem Logarithmus Log g (−) zur Basis g<br />
ab, der schwer zu berechnen ist. Ich sehe das als einen Vorteil von ElGamal.<br />
b) Das Massey-Omura-Verfahren bietet keinerlei Sicherheit gegen Man-inthe-Middle-Angriffe:<br />
Nimm an, daß sich Oskar vor Alice als Bob ausgeben<br />
kann <strong>und</strong> alles abhören kann. Er könnte sich dann z.B. nach Ablauf<br />
6 An dieser Stelle wurde die Darstellung der Vorlesung gegenüber ein wenig verbessert.<br />
7 Das ist sehr selten der Fall!<br />
74