Full paper (pdf) - CDC

Weitere Magazine

Empfehlungen

Info

3.8 ElGamal-Key-Sharing Wie wir gesehen haben, sind ElGamal-Verschlüsselungen und -Signaturen randomisierte Berechnungen, in die jeweils eine Zufallszahl eingeht. Die Verschlüsselung ist eine Public-Key-Operation, so daß ein Key-Sharing auf sie keinen Einfluß hat. Zur Signatur allerdings wird der private Schlüssel (beziehungsweise die privaten Schlüsselteile) benötigt, so daß die Erzeuger der Teilsignaturen untereinander kommunizieren müssen, um sich auf die Zufallszahl zu einigen. Da wir uns in dieser Arbeit nur mit Protokollen beschäftigen wollen, die keine Interaktion der Teilnehmer erforderlich machen, werden wir verteilte ElGamal-Signaturen (und andere, davon abgeleitete Signaturen, beispielsweise DSA) nicht besprechen und verweisen auf die Literatur [GJKR96]. Genau wie beim nicht-redundanten RSA-Key-Sharing ist es sehr einfach möglich, den geheimen Exponenten a in beliebig viele Summanden ai mit � i ai = a (mod p − 1) zu zerlegen, die dann unabhängig voneinander zur Berechnung von Teilentschlüsselungen verwendet werden können: Bi = B −ai (mod p) und c � Bi = Bc = m (mod p). Beim Versuch, das Shamir-Verfahren direkt auf ElGamal-Exponenten zu übertragen, stößt man wie beim RSA-Verfahren erneut auf das Problem, daß sich die Exponenten in einer nicht-primen Restgruppe bewegen, in diesem Fall (Z/(p − 1)Z) (die Ordnung dieser Gruppe muß zwar im Gegensatz zum RSA- Verfahren nicht geheim gehalten werden, aber das ändert nichts daran, daß sich gewisse Elemente nicht invertieren lassen). Es gibt verschiedene Vorschläge, wie dieses Problem umgangen werden kann. Man kann das ElGamal-Verfahren in anderen Zahlkörpern durchführen, etwa (Z/pZ)mit p = 2 l und p − 1 prim, ein anderes Secret-Sharing-Verfahren anwenden [DF90] oder ähnlich wie im Pedersen-Verfahren aus Abschnitt 2.3.1 in einer primen Untergruppe Gq von (Z/pZ) ∗ rechnen [Ped91]. Wir verwenden hier letztere Vorgehensweise. Wenn die Primzahl p sich als p = mq + 1 darstellen läßt, wobei q ebenfalls eine Primzahl ist, dann läßt sich das ElGamal-Verfahren wie folgt abwandeln: Das Element g wird nicht mehr so gewählt, daß es die gesamte Gruppe (Z/pZ) ∗ erzeugt, sondern lediglich eine Untergruppe Gq mit q Elementen. Infolge dessen bewegen sich die auftretenden Exponenten nur noch in der (kleineren, aber ebenfalls primen) Gruppe (Z/qZ), so daß man im Exponenten nicht mehr modulo p − 1 rechnen muß, sondern modulo q rechen kann (in der Basis muß weiterhin modulo p gerechnet werden). Auf diese Weise kommt man mit kleineren Exponenten aus (das wird beim DSA-Verfahren ausgenutzt) und kann auch das Shamir-Verfahren direkt verwenden. Schlüsselerzeugung Der Schlüsselgenerator wählt zwei Primzahlen p und q mit p = mq+1 und bestimmt eine Element g aus (Z/pZ) ∗ mit Ordnung q (dieses Element erzeugt eine Untergruppe Gq von (Z/pZ) ∗ ). Dann wählt er zufällig und gleichverteilt den geheimen Exponenten a aus {1 . . . q − 1} und berechnet den öffentlichen Schlüssel (p, q, g, A) mit A = g a 31 i (mod p).
Die geheimen Teilexponenten ai für die Teilnehmer werden gemäß dem Shamir- Verfahren durch ein Polynom f(x) über (Z/qZ)erzeugt: und f(x) = a + f1x + . . . + ft−1x t−1 (mod q) mit fi ∈R {0, . . . , q − 1} ai = f(i). Schlüsselverwendung Um eine Nachricht m für den Empfänger mit dem öffentlichen Schlüssel (p, q, g, A) zu verschlüsseln, wählt der Absender eine Zufallszahl b ∈R {1 . . . q − 1} und berechnet B = g b (mod p). Anschließend wird die Nachricht als Zahl zwischen 1 und p−1 interpretiert und es ergibt sich der Schlüsseltext (B, c) mit c = A b m (mod p). Um gemeinsam m = B q−a c (mod p) zu berechnen, bestimmt jeder Teilnehmer i ∈ Λ seinen Anteil Bi = c ai (mod p) und die Anteile können dann kombiniert werden, um die Nachricht zu entschlüsseln: m = Bc = � B λi,Λ i c (mod p) mit λi,Λ = � i∈Λ l∈Λ\{i} l l − i (mod q). Die notwendigen Invertierungen zur Berechnung von λi,Λ sind nicht schwierig, da der Modul q sowohl prim als auch öffentlich bekannt ist. Wie wir bereits angekündigt haben, gehen wir auf die Erzeugung verteilter Signaturen aufgrund der Notwendigkeit, hierbei zu interagieren, nicht weiter ein. 3.9 verteilte Schlüsselerzeugung In dem von uns verwendeten Modell für Key-Sharing (siehe Abschnitt 3.2) besteht die größte Schwachstelle in der Existenz eines vertrauenswürdigen Gebers. Da dieser das Schlüsselpaar erzeugt, liegt es bis zur Verteilung auf die übrigen Teilnehmer an einem einzelnen Ort. Dem Geber muß zugetraut werden, seine Berechnungen sicher durchführen zu können und anschließend seine Kopie des privaten Schlüssels verläßlich zu vernichten. Neben der Gefährdung der Vertraulichkeit des Schlüssels hängt auch die Einsatzfähigkeit des Key-Sharing-Systems an der Korrektheit der Berechnungen durch den Geber. Beide Probleme treten in Verfahren, die ohne einen Geber auskommen nicht auf. Ohne im Detail auf 32
Seite 1 und 2: Konzepte für eine sichere Schlüss
Seite 3 und 4: Vorwort Die vorliegende Arbeit ist
Seite 5 und 6: C UML-Klassendiagramme 81 D Benutze
Seite 7 und 8: öffentlichen Schlüssel eindeutig
Seite 9 und 10: 2.1 Einfaches Secret-Sharing Eine s
Seite 11 und 12: � � t n -Secret-Sharing Die mei
Seite 13 und 14: Logarithmus log g h bezüglich des
Seite 15 und 16: • Ein Secret-Sharing-Verfahren he
Seite 17 und 18: Kapitel 3 Key-Sharing Die Sicherhei
Seite 19 und 20: (dies muß nicht unbedingt für die
Seite 21 und 22: Primzahlen, die aber nicht bekannt
Seite 23 und 24: Den Teilnehmern übermittelt er die
Seite 25 und 26: Auf diese Weise ergibt sich eine Za
Seite 27 und 28: Verfahrens (ein beweisbar sicheres
Seite 29 und 30: Schlüsselverwendung Es stellt sich
Seite 31: Schlüsselerzeugung Um ein ElGamal-
Seite 35 und 36: SSL-Webserver [WMB99] und das COCA-
Seite 37 und 38: verwenden kann. Andererseits ergibt
Seite 39 und 40: mit Key-Recovery beauftragten Insti
Seite 41 und 42: SETUP Eine (reguäre) SETUP ist ein
Seite 43 und 44: heimgehalten werden, da die Chiffre
Seite 45 und 46: Kapitel 5 Implementierung Der Worte
Seite 47 und 48: KeyStore der KeyStore eignet sich z
Seite 49 und 50: entsprechende Schnittstelle für Di
Seite 51 und 52: ialisieren lassen und die Methode z
Seite 53 und 54: Abbildung 5.2: Key-Sharing-Basiskla
Seite 55 und 56: ShoupRSAPrivateKeyShare diese Klass
Seite 57 und 58: Provider dieser JCA-Provider meldet
Seite 59 und 60: Abbildung 5.4: Klassen aus dem Pake
Seite 61 und 62: Abbildung 5.6: Dialog zum Einlesen
Seite 63 und 64: UndecryptableKeyException diese Aus
Seite 65 und 66: ei der Fehlervermeidung, -suche und
Seite 67 und 68: (SecretShare[] shares, String integ
Seite 69 und 70: Keystore laden Der ShamirStore setz
Seite 71 und 72: Keystore speichern Der KeySharer sp
Seite 73 und 74: wird die Datei filename in shares D
Seite 75 und 76: Dateien verschlüsseln Der KeyShare
Seite 77 und 78: Kapitel 6 Ausblick Wir haben mit di
Seite 79 und 80: X.509 ITU Empfehlung X.509, auch IS
Seite 81 und 82: ElGamal a privater Exponent, wird z
Seite 88 und 89:
Anhang D Benutzerhandbuch Kommandoz
Seite 90 und 91:
Anhang E Benutzerhandbuch Programmi
Seite 92 und 93:
E.4 Der KeySharer-KeyStore Konfigur
Seite 94 und 95:
PKI, 77 Polynominterpolation, 10 Pr
Seite 96:
[FGPY97] Y. Frankel, P. Gemmell, P.
Alle anzeigen

Full paper (pdf) - CDC

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?