Full paper (pdf) - CDC
Full paper (pdf) - CDC
Full paper (pdf) - CDC
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
gemeinsam s = m d (mod N) zu berechnen, bestimmt jeder Teilnehmer i ∈ Λ<br />
seinen Anteil<br />
si = m diλi,Λ (mod N)<br />
mit<br />
und es ergibt sich<br />
λi,Λ = �<br />
l∈Λ\{i}<br />
l<br />
l − i<br />
s = �<br />
si = m d<br />
i∈Λ<br />
(mod (p − 1)(q − 1))<br />
(mod N).<br />
Diese Vorgehensweise scheitert allerdings an der Berechnung der Interpolationskoeffizienten<br />
λi,Λ, da hierzu Invertierungen von l − i modulo (p − 1)(q − 1)<br />
notwendig sind, die Primzahlen p und q jedoch niemandem bekannt sein dürfen,<br />
da darauf die Sicherheit des RSA-Schlüssels beruht (des weiteren sind auch nicht<br />
alle l−i invertierbar, beispielsweise sind es sämtliche geraden Differenzen nicht).<br />
Schlüsselerzeugung Das Problem läßt sich jedoch durch geeignete Modifikationen<br />
des Polynoms beheben [FGPY97, MSY00]. Durch die Hinzunahme<br />
von hinreichend großen Faktoren können die Berechnungen der Koeffizienten<br />
durch normale Ganzzahldivisionen geleistet werden, so daß Invertierungen in<br />
der Exponentengruppe unbekannter Ordnung nicht notwendig sind.<br />
Der Faktor, durch den anschließend alle Teilexponenten ohne Rest dividierbar<br />
sein müssen, hängt von der Anzahl n der Teilnehmer ab: Sei<br />
L = (n − 1)!.<br />
Wenn die di Vielfache von L sind, dann können die Berechnungen<br />
diλi,Λ = di<br />
�<br />
l∈Λ\{i}<br />
l<br />
l − i<br />
über den ganzen Zahlen erfolgen (in der ursprünglichen Arbeit [FGPY97] wurde<br />
der Faktor L = n! gewählt, es genügt aber auch das kleinere L = (n − 1)!<br />
[MSY00]). Um dies zu erreichen, müssen alle Koeffizienten des Polynoms Vielfache<br />
von L sein, inklusive des geheim zu haltenden Achsenabschnittes a0, der<br />
folglich nicht direkt dem Exponenten d entsprechen kann (da dieser nicht unbedingt<br />
ein Vielfaches von L sein muß). Daher bestimmen wir ein modifiziertes<br />
Geheimis a0, aus dem sich der Exponent d zurückgewinnen läßt. Sei zunächst<br />
H = ggT(e, L 2 ).<br />
Weil e invertierbar ist modulo (p−1)(q −1), ist auch H invertierbar. Außerdem<br />
ist H ein Teiler von L2 und es existieren keine gemeinsamen Teiler von e und<br />
L2 H . Mithilfe des erweiterten Euklidschen Algorithmus können wir Faktoren P<br />
und s berechnen, für die gilt<br />
eP + L2<br />
s = 1.<br />
H<br />
23