Präsentation herunterladen
Die Präsentation wird geladen. Bitte warten
1
Multivariate Kryptosysteme
Magnus Daum Patrick Felke
2
Multivariate Kryptosysteme
Überblick Warum multivariate Kryptosysteme Allgemeiner Aufbau multivariater Kryptosysteme Das Imai-Matsumoto-Kryptosystem C* Hidden Field Equations (HFE) Multivariate Kryptosysteme Magnus Daum Patrick Felke Multivariate Kryptosysteme, M.Daum/ P.Felke
3
Warum multivariate Kryptographie?
Motivation: Suche nach Systemen mit geringer Berechnungskomplexität D.h. Nur einfache Rechnungen Über kleinen Zahlbereichen Sicherheit trotzdem erreichbar durch Erhöhung der Zahl der Variablen (! multivariate Kryptographie) Multivariate Kryptosysteme, M.Daum/ P.Felke
4
Aufbau multivariater Kryptosysteme
Prinzip: Einwegfunktion mit Hintertür Endlicher Körper K=Fq Nachrichten-/Geheimtextraum: Kn Einwegfunktion: P:Kn ! Kn Multivariate Kryptosysteme können durch Systeme von Polynomen über endlichen Körpern beschrieben werden: Multivariate Kryptosysteme, M.Daum/ P.Felke
5
Aufbau multivariater Kryptosysteme
Verschlüsseln Multivariate Kryptosysteme, M.Daum/ P.Felke
6
Aufbau multivariater Kryptosysteme
Entschlüsseln Hintertür Multivariate Kryptosysteme, M.Daum/ P.Felke
7
Aufbau multivariater Kryptosysteme
Signieren / Verifizieren Hintertür Multivariate Kryptosysteme, M.Daum/ P.Felke
8
Aufbau multivariater Kryptosysteme
Brechen bedeutet das Lösen von polynomialen Gleichungssystemen. Aber: Der Designer muss Gleichungssyteme „mit Hintertür“ erzeugen. Multivariate Kryptosysteme, M.Daum/ P.Felke
9
Das Imai-Matsumoto- Kryptosystem C*
Multivariate Kryptosysteme, M.Daum/ P.Felke
10
Das Imai-Matsumoto- Kryptosystem C*
1988 von Imai und Matsumoto vorgestellt Konzipiert als multivar.Variante von RSA Insbesondere zur Implementierung auf Smartcards geeignet Multivariate Kryptosysteme, M.Daum/ P.Felke
11
Das Imai-Matsumoto- Kryptosystem C*
Öffentlicher Schlüssel Geheimer Schlüssel Hintertür Multivariate Kryptosysteme, M.Daum/ P.Felke
12
Das Imai-Matsumoto- Kryptosystem C*
C* ist gebrochen !!! ( Dobbertin, 1993, damals BSI, bzw. Patarin, Eurocrypt 1995) Multivariate Kryptosysteme, M.Daum/ P.Felke
13
Hidden Field Equations - HFE -
Multivariate Kryptosysteme, M.Daum/ P.Felke
14
Multivariate Kryptosysteme, M.Daum/ P.Felke
HFE: Idee C* kann repariert werden (Patarin Eurocrypt 1996) Ziele: P soll von der Form her erhalten bleiben (als multivariates quadratisches System) sollte möglichst allgemein gewählt werden Dazu: Wähle als „HFE-Polynom“: Multivariate Kryptosysteme, M.Daum/ P.Felke
15
Multivariate Kryptosysteme, M.Daum/ P.Felke
HFE: Hintertür Wie kann dieses umgekehrt werden? Finde a mit (a)=b d.h. Bestimme Nullstellen von (x)-b d.h. Faktorisiere (x)-b ! Berlekamp-Algorithmus Hintertür bei HFE: Beschränkung des Grades von (x) Multivariate Kryptosysteme, M.Daum/ P.Felke
16
Multivariate Kryptosysteme, M.Daum/ P.Felke
HFE: Hintertür Öffentlicher Schlüssel Geheimer Schlüssel Hintertür Multivariate Kryptosysteme, M.Daum/ P.Felke
17
Multivariate Kryptosysteme, M.Daum/ P.Felke
HFE: Probleme ist im Allgemeinen nicht bijektiv Problem beim Entschlüsseln: Falls P nicht injektiv ist, können zu einem Geheimtext mehrere Klartexte gehören ! Keine eindeutige Entschüsselung möglich! Lösung: Baue redundante Informationen in Geheimtext ein, um Nachricht eindeutig zu identifizieren Beispiel: Multivariate Kryptosysteme, M.Daum/ P.Felke
18
Multivariate Kryptosysteme, M.Daum/ P.Felke
HFE: Probleme ist im Allgemeinen nicht bijektiv Problem beim Signieren: Falls P nicht surjektiv ist, existieren zu manchen Nachrichten m keine Signaturen x mit P(x)=m Lösung: Erlaube variable Anteile „auf rechter Seite“ Beispiel: Multivariate Kryptosysteme, M.Daum/ P.Felke
19
Multivariate Kryptosysteme, M.Daum/ P.Felke
HFE: Parameterwahl Wesentliche Parameter eines HFE-Systems: Attacken Problemstellung: Gegeben y2 Kn, finde x 2 Kn mit P(x)=y Vollständige Suche: Aufwand |K|n=qn ! Wähle qn¸280 Löse polynomielle Gleichungssystem direkt (z.B. Buchbergeralgorithmus) Aufwand etwa O(22,7n) ! Wähle n¸ 30 Multivariate Kryptosysteme, M.Daum/ P.Felke
20
Multivariate Kryptosysteme, M.Daum/ P.Felke
HFE: Parameterwahl Wesentliche Parameter eines HFE-Systems: Attacken Angriffe ähnlich der C*-Attacke Suche ähnliche Relationen zwischen Klartexten und Geheimtexten Experimentell: je größer d, desto weniger solche Relationen gibt es bzw. desto kompliziertere Form haben diese (! d ¸ 128) Multivariate Kryptosysteme, M.Daum/ P.Felke
21
Multivariate Kryptosysteme, M.Daum/ P.Felke
HFE: Parameterwahl Wesentliche Parameter eines HFE-Systems: Attacken Schlüsselrekonstruktion Suche Transformationen S‘ und T‘, die ähnlich gut zur Umkehrung von P geeignet sind wie S und T Für obige Parameter ebenfalls praktisch nicht durchführbar Multivariate Kryptosysteme, M.Daum/ P.Felke
22
Multivariate Kryptosysteme, M.Daum/ P.Felke
HFE: Parameterwahl Wesentliche Parameter eines HFE-Systems: Wahl von : als HFE-Polynom vom Grad d mit zufällig gewählten Koeffizienten Schlüssellänge (am Beispiel q=2, n=80): geheimer Schlüssel (S und T): öffentlicher Schlüssel (P): Multivariate Kryptosysteme, M.Daum/ P.Felke
23
Multivariate Kryptosysteme, M.Daum/ P.Felke
Vielen Dank ! Fragen ??? Multivariate Kryptosysteme, M.Daum/ P.Felke
Ähnliche Präsentationen
© 2024 SlidePlayer.org Inc.
All rights reserved.