Multivariate Kryptosysteme Magnus Daum Patrick Felke

Multivariate Kryptosysteme Überblick Warum multivariate Kryptosysteme Allgemeiner Aufbau multivariater Kryptosysteme Das Imai-Matsumoto-Kryptosystem C* Hidden Field Equations (HFE) Multivariate Kryptosysteme Magnus Daum Patrick Felke 30.11.2018 Multivariate Kryptosysteme, M.Daum/ P.Felke

Warum multivariate Kryptographie? Motivation: Suche nach Systemen mit geringer Berechnungskomplexität D.h. Nur einfache Rechnungen Über kleinen Zahlbereichen Sicherheit trotzdem erreichbar durch Erhöhung der Zahl der Variablen (! multivariate Kryptographie) 30.11.2018 Multivariate Kryptosysteme, M.Daum/ P.Felke

Aufbau multivariater Kryptosysteme Prinzip: Einwegfunktion mit Hintertür Endlicher Körper K=Fq Nachrichten-/Geheimtextraum: Kn Einwegfunktion: P:Kn ! Kn Multivariate Kryptosysteme können durch Systeme von Polynomen über endlichen Körpern beschrieben werden: 30.11.2018 Multivariate Kryptosysteme, M.Daum/ P.Felke

Aufbau multivariater Kryptosysteme Verschlüsseln 30.11.2018 Multivariate Kryptosysteme, M.Daum/ P.Felke

Aufbau multivariater Kryptosysteme Entschlüsseln Hintertür 30.11.2018 Multivariate Kryptosysteme, M.Daum/ P.Felke

Aufbau multivariater Kryptosysteme Signieren / Verifizieren Hintertür 30.11.2018 Multivariate Kryptosysteme, M.Daum/ P.Felke

Aufbau multivariater Kryptosysteme Brechen bedeutet das Lösen von polynomialen Gleichungssystemen. Aber: Der Designer muss Gleichungssyteme „mit Hintertür“ erzeugen. 30.11.2018 Multivariate Kryptosysteme, M.Daum/ P.Felke

Das Imai-Matsumoto- Kryptosystem C* 30.11.2018 Multivariate Kryptosysteme, M.Daum/ P.Felke

Das Imai-Matsumoto- Kryptosystem C* 1988 von Imai und Matsumoto vorgestellt Konzipiert als multivar.Variante von RSA Insbesondere zur Implementierung auf Smartcards geeignet 30.11.2018 Multivariate Kryptosysteme, M.Daum/ P.Felke

Das Imai-Matsumoto- Kryptosystem C* Öffentlicher Schlüssel Geheimer Schlüssel Hintertür 30.11.2018 Multivariate Kryptosysteme, M.Daum/ P.Felke

Das Imai-Matsumoto- Kryptosystem C* C* ist gebrochen !!! ( Dobbertin, 1993, damals BSI, bzw. Patarin, Eurocrypt 1995) 30.11.2018 Multivariate Kryptosysteme, M.Daum/ P.Felke

Hidden Field Equations - HFE - 30.11.2018 Multivariate Kryptosysteme, M.Daum/ P.Felke

Multivariate Kryptosysteme, M.Daum/ P.Felke HFE: Idee C* kann repariert werden (Patarin Eurocrypt 1996) Ziele: P soll von der Form her erhalten bleiben (als multivariates quadratisches System)  sollte möglichst allgemein gewählt werden Dazu: Wähle  als „HFE-Polynom“: 30.11.2018 Multivariate Kryptosysteme, M.Daum/ P.Felke

Multivariate Kryptosysteme, M.Daum/ P.Felke HFE: Hintertür Wie kann dieses  umgekehrt werden? Finde a mit (a)=b d.h. Bestimme Nullstellen von (x)-b d.h. Faktorisiere (x)-b ! Berlekamp-Algorithmus Hintertür bei HFE: Beschränkung des Grades von (x) 30.11.2018 Multivariate Kryptosysteme, M.Daum/ P.Felke

Multivariate Kryptosysteme, M.Daum/ P.Felke HFE: Hintertür Öffentlicher Schlüssel Geheimer Schlüssel Hintertür 30.11.2018 Multivariate Kryptosysteme, M.Daum/ P.Felke

Multivariate Kryptosysteme, M.Daum/ P.Felke HFE: Probleme  ist im Allgemeinen nicht bijektiv Problem beim Entschlüsseln: Falls P nicht injektiv ist, können zu einem Geheimtext mehrere Klartexte gehören ! Keine eindeutige Entschüsselung möglich! Lösung: Baue redundante Informationen in Geheimtext ein, um Nachricht eindeutig zu identifizieren Beispiel: 30.11.2018 Multivariate Kryptosysteme, M.Daum/ P.Felke

Multivariate Kryptosysteme, M.Daum/ P.Felke HFE: Probleme  ist im Allgemeinen nicht bijektiv Problem beim Signieren: Falls P nicht surjektiv ist, existieren zu manchen Nachrichten m keine Signaturen x mit P(x)=m Lösung: Erlaube variable Anteile „auf rechter Seite“ Beispiel: 30.11.2018 Multivariate Kryptosysteme, M.Daum/ P.Felke

Multivariate Kryptosysteme, M.Daum/ P.Felke HFE: Parameterwahl Wesentliche Parameter eines HFE-Systems: Attacken Problemstellung: Gegeben y2 Kn, finde x 2 Kn mit P(x)=y Vollständige Suche: Aufwand |K|n=qn ! Wähle qn¸280 Löse polynomielle Gleichungssystem direkt (z.B. Buchbergeralgorithmus) Aufwand etwa O(22,7n) ! Wähle n¸ 30 30.11.2018 Multivariate Kryptosysteme, M.Daum/ P.Felke

Multivariate Kryptosysteme, M.Daum/ P.Felke HFE: Parameterwahl Wesentliche Parameter eines HFE-Systems: Attacken Angriffe ähnlich der C*-Attacke Suche ähnliche Relationen zwischen Klartexten und Geheimtexten Experimentell: je größer d, desto weniger solche Relationen gibt es bzw. desto kompliziertere Form haben diese (! d ¸ 128) 30.11.2018 Multivariate Kryptosysteme, M.Daum/ P.Felke

Multivariate Kryptosysteme, M.Daum/ P.Felke HFE: Parameterwahl Wesentliche Parameter eines HFE-Systems: Attacken Schlüsselrekonstruktion Suche Transformationen S‘ und T‘, die ähnlich gut zur Umkehrung von P geeignet sind wie S und T Für obige Parameter ebenfalls praktisch nicht durchführbar 30.11.2018 Multivariate Kryptosysteme, M.Daum/ P.Felke

Multivariate Kryptosysteme, M.Daum/ P.Felke HFE: Parameterwahl Wesentliche Parameter eines HFE-Systems: Wahl von : als HFE-Polynom vom Grad d mit zufällig gewählten Koeffizienten Schlüssellänge (am Beispiel q=2, n=80): geheimer Schlüssel (S und T): öffentlicher Schlüssel (P): 30.11.2018 Multivariate Kryptosysteme, M.Daum/ P.Felke

Multivariate Kryptosysteme, M.Daum/ P.Felke Vielen Dank ! Fragen ??? 30.11.2018 Multivariate Kryptosysteme, M.Daum/ P.Felke