Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Untersuchung des NTRU – Algorithmus für die Tauglichkeit zur Hardwareakzeleration von Kryptoverfahren im Bereich skalierbarer Sicherheit Danijel Vollstädt.

Ähnliche Präsentationen


Präsentation zum Thema: "Untersuchung des NTRU – Algorithmus für die Tauglichkeit zur Hardwareakzeleration von Kryptoverfahren im Bereich skalierbarer Sicherheit Danijel Vollstädt."—  Präsentation transkript:

1 Untersuchung des NTRU – Algorithmus für die Tauglichkeit zur Hardwareakzeleration von Kryptoverfahren im Bereich skalierbarer Sicherheit Danijel Vollstädt

2 0. zugrundeliegende Arbeiten1 / 38 Fachbereich Informatik, Arbeitsbereich TAMS S. Witt, P. Hartmann (Studienarbeit) Vergleichende Analyse und VHDL-basierte Implementation von Zufallsgeneratoren auf Chipkarten, Universität Hamburg, 2001 M. Böttger Komplexitätsabschätzung von hardwareakzelerierten Attacken auf ECC-Kryptoverfahren, Universität Hamburg, 2002 F. Bohnsack Untersuchung von Elliptischen Kurven für die Tauglichkeit zur Hardwareakzeleration von Kryptoverfahren, Universität Hamburg,1997 S. Gorr Konzeption, Evaluierung und Implementation eines Akzelerators für Elliptische Kurven, Universität Hamburg, 2000

3 1. Motivation2 / 38 Übersicht 1.Motivation 2.mathematische Grundlagen 3.intuitives Beispiel 4.binäres Beispiel 5.Komponenten 6.Syntheseergebnisse 7.Ergebnisse und Ausblick

4 1. Motivation2 / 38 Übersicht 1.Motivation 2.mathematische Grundlagen 3.intuitives Beispiel 4.binäres Beispiel 5.Komponenten 6.Syntheseergebnisse 7.Ergebnisse und Ausblick

5 1. Motivation3 / 38 Anwendungsgebiete Chipkarten z.B. Schipaß, Fahrkarten, Parkhauskarten Dongle z.B. Softwareschutz, Internetzugang Handy z.B. Authentifizierung, Gesprächsverschlüsselung

6 Schickt den Koffer zum Empfänger Schickt den Koffer zum Absender Entfernt das eigene Schloß Entfernt das eigene Schloß 1. Motivation4 / 38 Prinzip des Diffie-Hellman-Schlüsselaustauschs Absender Empfänger

7 1. Motivation5 / 38 Schlüssellängenvergleich von RSA, ECC und NTRU RSA – Rivest Shamir Adleman ECC – Elliptic Curve Cryptography NTRU – Number Theory Research Unit

8 1. Motivation6 / 38 Die Verschlüsselungszeiten im Vergleich

9 1. Motivation7 / 38 Die Entschlüsselungszeiten im Vergleich

10 2. mathematische Grundlagen8 / 38 Übersicht 1.Motivation 2.mathematische Grundlagen 3.intuitives Beispiel 4.binäres Beispiel 5.Komponenten 6.Syntheseergebnisse 7.Ergebnisse und Ausblick

11 Arithmetik in Polynomringen: Addition maximaler Polynomgrad: N-1 maximaler Koeffizientengrad: q-1 (mod q) 2. mathematische Grundlagen 9 / 38

12 Arithmetik in Polynomringen: Multiplikation (mod q) 2. mathematische Grundlagen 10 / 38

13 Arithmetik in Polynomringen: Multiplikation (mod q) 2. mathematische Grundlagen 10 / 38

14 Arithmetik in Polynomringen: Multiplikation (mod q) 2. mathematische Grundlagen 10 / 38

15 Arithmetik in Polynomringen: Multiplikation (mod q) 2. mathematische Grundlagen 10 / 38

16 Arithmetik in Polynomringen: Multiplikation (mod q) 2. mathematische Grundlagen 10 / 38

17 Arithmetik in Polynomringen: Multiplikation (mod q) 2. mathematische Grundlagen 10 / 38

18 Arithmetik in Polynomringen: Inversion (mod q) Die Inverse zu a(x) ist A(x), bzw. A(x) ist invers zu a(x). 2. mathematische Grundlagen 11 / 38

19 Definition (Körper) Ein Körper ist ein Tripel mit folgenden Regeln: ist ein Ring ist eine kommutative Gruppe Ring, endlicher Körper, irreduzibles Polynom Definition (Ring)Ein Ring ist ein Tripel für das folgende Regeln gelten: (R,+) ist ein kommutative Gruppe ist ein Halbgruppe die Distributivgesetze gelten Ein Polynom mit Das Polynom f(x) heißt irreduzibel über F, Wenn es nicht als Produkt zweier Polynome aus F[x] mit positivem Grad dargestellt werden kann. Definition (irreduzibles Polynom) Sei F ein endlicher Körper. Sei 2. mathematische Grundlagen12 / 38 Satz F[x]/(f(x)) ist ein Körper, wenn f(x) ein irreduzibles Polynom über F[x] ist. In diesem Fall kann das multiplikative Inverse mit dem erweiterten Euklidischen Algorithmus bestimmt werden.

20 Gibt es immer genau eine Inverse ? Für jedes existiert genau eine multiplikative Inverse, wenn p prim und f(x) irreduzibel ist. hat nicht immer eine Inverse. hat immer eine Inverse. 2. mathematische Grundlagen13 / 38

21 Übersicht 1.Motivation 2.mathematische Grundlagen 3.intuitives Beispiel 4.binäres Beispiel 5.Komponenten 6.Syntheseergebnisse 7.Ergebnisse und Ausblick 3. intuitives Beispiel14 / 38

22 Bob erzeugt einen öffentlichen Schlüssel öffentliche ParameterBobs geheime Parameter Bob wählt ein Dazu die Inversen: Er wählt zufällig das Polynom: öffentlicher Schlüssel Der öffentliche Schlüssel: mod(q) 3. intuitives Beispiel 15 / 38

23 Susan verschlüsselt eine Nachricht öffentliche ParameterSusans Verschlüsselung öffentlicher Schlüssel Sie wählt zufällig das Polynom: Nachricht von Susan: binär: 111, entspricht: und berechnet den Cyphertext: mod(q) 3. intuitives Beispiel 16 / 38

24 Susan verschlüsselt eine Nachricht öffentliche ParameterSusans Verschlüsselung öffentlicher Schlüssel Sie wählt zufällig das Polynom: Nachricht von Susan: binär: 111, entspricht: und berechnet den Cyphertext: mod(q) 3. intuitives Beispiel 16 / 38

25 Bob entschlüsselt Susans Nachricht Susans CyphertextBobs Entschlüsselung (mod q) erste Entschlüsselungsgl.: 3. intuitives Beispiel 17 / 38

26 Bob entschlüsselt Susans Nachricht Susans CyphertextBobs Entschlüsselung (mod q) erste Entschlüsselungsgl.: zweite Entschlüsselungsgl.: (mod p) Susans Nachricht war intuitives Beispiel 17 / 38

27 Verschlüsselung und Schlüsselerzeugung (mod q) erste Entschlüsselungsgleichung (mod q) zweite Entschlüsselungsgleichung (mod p) Warum funktioniert das Verfahren NTRU ? 3. intuitives Beispiel 18 / 38

28 Verschlüsselung und Schlüsselerzeugung (mod q) erste Entschlüsselungsgleichung (mod q) zweite Entschlüsselungsgleichung (mod p) Warum können r und g zufällig gewählt werden ? Weil dieser Term als vielfaches von p wegfällt. 3. intuitives Beispiel 18 / 38

29 Verschlüsselung und Schlüsselerzeugung (mod q) erste Entschlüsselungsgleichung (mod q) zweite Entschlüsselungsgleichung (mod p) Warum bleibt m beim Übergang von mod q zu p erhalten ? Gilt die Gleichung (mod q) nicht, kann aus (mod p) kein korrektes m resultieren. Wählt man die Werte p, r, g, f und m aus einer Menge, die relativ zu q klein ist, so daß und gilt die Gleichung. 3. intuitives Beispiel 18 / 38

30 Verschlüsselung und Schlüsselerzeugung (mod q) erste Entschlüsselungsgleichung (mod q) zweite Entschlüsselungsgleichung (mod p) Zugrundeliegendes Problem (Trapdoorfunktion) Polynomfaktorisierungsproblem 3. intuitives Beispiel 18 / 38

31 Übersicht 1.Motivation 2.mathematische Grundlagen 3.intuitives Beispiel 4.binäres Beispiel 5.Komponenten 6.Syntheseergebnisse 7.Ergebnisse und Ausblick 4. binäres Beispiel19 / 38

32 Binäres Beispiel öffentliche ParameterBobs geheime Parameter Bob generiert den Public Key (mod q) Bob entschlüsselt Susans Nachricht (mod q) (mod p) 4. binäres Beispiel20 / 38 (mod q) Susan verschlüsselt Ihre Botschaft

33 Binäres Beispiel öffentliche ParameterBobs geheime Parameter Bob generiert den Public Key (mod q) Susan verschlüsselt Ihre Botschaft (mod q) Bob entschlüsselt Susans Nachricht (mod q) (mod p) 4. binäres Beispiel20 / 38

34 Parameterwahl öffentliche ParameterBobs geheime Parameter (mod q) Der und der müssen sein. Wählt man die Körper ist die Gleichung immer erfüllt. Die Nachrichtenexpansion ist 4. binäres Beispiel21 / 38

35 Übersicht 1.Motivation 2.mathematische Grundlagen 3.intuitives Beispiel 4.binäres Beispiel 5.Komponenten 6.Syntheseergebnisse 7.Ergebnisse und Ausblick 5. Komponenten22 / 38

36 Die Komponenten von NTRU einen geeigneten Zufallsgenerator Verfahren zur Inversenberechnung arithmetische Operationen mod 2 Multiplikation 5. Komponenten23 / 38

37 Wahl des Zufallsgenerators S. Witt, P. Hartmann Vergleichende Analyse und VHDL-basierte Implementation von Zufallsgeneratoren auf Chipkarten, Universität Hamburg RangDurchsatzZellenbedarfLeistungsaufnahme 1RC4LFSRRC4 2LFSRBBSLFSR 3BBSRC4BBS 4EC LSFR – Linear Feedback Shift Register 5. Komponenten24 / 38

38 Wahlkriterien für LSFR linearer, geringer Zellenbedarf Qualität der Zufallszahlen gering (Berlekamp-Massey Algorithmus) 5. Komponenten25 / 38

39 Methoden zur Inversenberechnung Intuitive MethodeJedes Element des Körpers wird geprüft, ob es das Inverse ist Erweiterter Euklidischer Berechnet die Inverse mithilfe des AlgorithmusEuklidischen Algorithmus. Almost InverseBerechnet die Inverse mithilfe des AlgorithmEuklidischen Algorithmus. Dazu werden nur Verschiebe- und Additionsfunktion verwendet. 5. Komponenten26 / 38

40 modulo 2 Multiplizierer G. Orlando, C.Paar A Super-Serial Galois Fields Multiplier For FPGAs And Ist Application To Public-Key Algorithms, Nappa Valley/CA M. Böttger Komplexitätsabschätzung von hardwareakzelerierten Attacken auf ECC-Kryptoverfahren, Universität Hamburg TakteZellen Serieller Mult.N Superserieller Mult.1 5. Komponenten27 / 38

41 Software oder Hardwarerealisierung ? SoftwareHardware Schlüsselerzeugung Invertierer Multiplizierer LSFR -- Verschlüsselung-- Addierer Multiplizierer LSFR Entschlüsselung-- Multiplizierer Reduzierer 5. Komponenten28 / 38

42 Datenflußgraph der Verschlüsselung 5. Komponenten29 / 38

43 Datenflußgraph der Entschlüsselung 5. Komponenten30 / 38

44 Übersicht 1.Motivation 2.mathematische Grundlagen 3.intuitives Beispiel 4.binäres Beispiel 5.Komponenten 6.Syntheseergebnisse 7.Ergebnisse und Ausblick 6. Syntheseergebnisse31 / 38

45 Zellenbedarf des Zufallsgenerators 6. Syntheseergebnisse32 / 38

46 Zellenbedarf der Verschlüsselung 6. Syntheseergebnisse33 / 38

47 Zellenbedarf der Entschlüsselung 6. Syntheseergebnisse34 / 38

48 Übersicht 1.Motivation 2.mathematische Grundlagen 3.intuitives Beispiel 4.binäres Beispiel 5.Komponenten 6.Syntheseergebnisse 7.Ergebnisse und Ausblick 7. Ergebnisse und Ausblick35 / 38

49 Ergebnisse Wählt man Körper und,f(x) und g(x) irreduzibel mit Grad(f(x)) > 3 Grad(g(x)), erhält man ein binäres NTRU. mit Grad(g(x)) > 1 ist das binäre NTRU bitweise skalierbar. 7. Ergebnisse und Ausblick36 / 38

50 Ausblick Sicherheit von NTRU und binärem NTRU zu ECC und RSA Kann die Sicherheit duch die Verwendung von Ringen statt Körpern erhöht werden ? (Inversenberechnung durch lin. Gleichungssysteme) Welchen Einfluß haben verschiedene irred. Polynome auf die Sicherheit von NTRU ? 7. Ergebnisse und Ausblick37 / 38

51 Vielen Dank für Ihre Aufmerksamkeit ! 7. Ergebnisse und Ausblick38 / 38


Herunterladen ppt "Untersuchung des NTRU – Algorithmus für die Tauglichkeit zur Hardwareakzeleration von Kryptoverfahren im Bereich skalierbarer Sicherheit Danijel Vollstädt."

Ähnliche Präsentationen


Google-Anzeigen