Full paper (pdf) - CDC
Full paper (pdf) - CDC
Full paper (pdf) - CDC
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Den Teilnehmern übermittelt er die Teilschlüssel (di, N) (es ist absolut notwendig,<br />
den Teilnehmern die Faktorisierung N = pq zu verheimlichen, da sie<br />
ansonsten den geheimen Exponenten d berechnen könnten).<br />
Schlüsselverwendung Da RSA-Berechnungen einfache Exponentiationen sind,<br />
gelten die allgemein bekannten Rechenregeln hierzu, insbesondere auch die Homomorphie<br />
m d1+d2 = m d1 m d2 .<br />
Damit ist auch klar, daß die Teilschlüssel (di, N) dazu verwendet werden können,<br />
um Teilergebnisse si der Berechnung s = md (mod N) zu erzeugen, die dann<br />
durch Multiplikationen zum Gesamtergebnis kombiniert werden können:<br />
si = m di (mod N) und s = �<br />
si = �<br />
m di<br />
�<br />
= m i di d<br />
= m (mod N).<br />
i<br />
Wir bemerken hierzu, daß die Teilberechnungen sich (außer durch den Wert<br />
des Exponenten) nicht von einer normalen RSA-Berechnung unterscheiden und<br />
daß zur Kombination der Teilergebnisse (durch Multiplikation modulo N) keine<br />
geheimen Informationen notwendig sind.<br />
3.5 Redundantes RSA-Key-Sharing<br />
Wie wir im vorigen Abschnitt gesehen haben, erlauben die mathematischen<br />
Eigenschaften eines RSA-Schlüssels, ihn auf recht einfache Weise in eine beliebige<br />
Anzahl von Schlüsselanteilen zu zerlegen, die unabhängig voneinander<br />
zum Erzeugen von Teilergebnissen verwendet werden können, aus denen dann<br />
das Ergebnis der privaten RSA-Operation abgeleitet werden kann, ohne daß<br />
der eigentliche Schlüssel jemals rekonstruiert werden muß. Da das geschilderte<br />
Verfahren jedoch stets alle Teilschlüssel benötigt, bricht es bereits beim Verlust<br />
eines einzigen dieser Teile zusammen. In diesem Abschnitt wollen wir zeigen,<br />
wie sich das Shamir-Verfahren aus Abschnitt 2.2.1 auf RSA-Teilschlüssel übertragen<br />
läßt und so ein Threshold-RSA-Key-Sharing ermöglicht.<br />
3.5.1 Verfahren von Frankel, Gemmell, MacKenzie und Yung<br />
Die direkteste Adaption des Shamir-Verfahrens für den Einsatz mit RSA-Exponenten<br />
besteht darin, daß man für ein � � t<br />
n -Key-Sharing versucht, den geheimen Exponenten<br />
d durch ein Polynom<br />
f(x) = d + a1x + . . . + at−1x t−1<br />
und dessen Interpolationsstellen<br />
di = f(i) (mod (p − 1)(q − 1))<br />
i<br />
(mod (p − 1)(q − 1))<br />
auf mehrere RSA-Teilschlüssel (di, N) zu verteilen. Dann könnte man genau wie<br />
im vorigen Abschnitt RSA-Teilberechnungen mit den Teilschlüsseln ausführen<br />
und anschließend durch Multiplikation zum Gesamtergebnis kombinieren: um<br />
22