Prob hc P Prob hc P ProbP

Transkript

1 Charakteristika dobré šifry Množství práce vynaložené na šifrování a dešifrování by mlo být úmrné požadovanému stupni utaení. Šifrovací algoritmus by neml obsahovat zbytená omezení. Implementace algoritmu by mla být co neednodušší. Chyby pi šifrování by se nemly píliš šíit a ovlivovat následuící komunikaci. Zprávy by se zašifrováním nemly zvtšovat. Security through obscurity NEFUNGUJE! Zmatení (confusion) - nelze predikovat, akou zmnu zašifrovaného textu vyvolá by en malá zmna oteveného textu složitá funkní závislost mezi zašifrovaným textem a párem klí - otevený text. Difuze (diffusion) - zmna oteveného textu se promítá do mnoha míst zašifrovaného textu. Bezpený systém - nelze získat otevený text na základ znalosti odpovídaící šifry kryptoanalytik hledá transformaci h : C P, h nebývá ednoznaná Efektivn bezpený systém - Prob(h(C) = P) <. Ideální stav Perfektní utaení (perfect secrecy) - mme n možných otevených text, stené množství klí a možných šifer. Prob hc P Prob hc P ProbP Redundance C poet bit nutný k reprezentaci všech znak abecedy k Materiál slouží výhradn ako pomcka pro absolvování pednášky Ochrana Informací II na MFF UK V Praze. Není uren k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky pednášené v konkrétním semestru / 9 A log poet všech možných zpráv délky n = An, z toho Rn smysluplných. R nazýváme rate azyka. Redundance e definována

2 D A R Pokud algoritmus šifrue nkolik rzných zpráv, z nichž edna e smysluplná, do stené šifry, systém mže být bezpený. Public-key systémy (systémy s veeným klíem) použití ednosmrných (trapdoor) funkcí - snadno vyíslitelná funkce, eíž inversní funkci lze efektivn poítat pouze se znalostí (malého) množství dodatených informací. Nezávislé na zpráv. každý uživatel vlastní pár klí: veený (public) klí - znám všem uživatelm systému, používá se k šifrování zpráv zasílaných tomuto uživateli taný, soukromý (private) klí - uživatel uchovává v tanosti, používá e k dešifrování došlých zpráv taný klí nelze efektivn odvodit ze znalosti odpovídaícího veeného klíe výhodou systém s veenými klíi e relativn malé množství používaných klí, možnost vytváení veen ovitelných elektronických podpis, vtší flexibilita správy klíového materiálu Merkle-Hellman systém založen na problému batohu, penášená zpráva e chápána ako vektor ešení, enášena e výsledná suma - "hmotnost batohu" a, a, a n - posloupnost celých ísel, T cílová suma = hmotnost batohu, hledáme vektor v takový, aby i av i i T nech posloupnost a, a, a n e superrostoucí, problém nalezení vektoru v e v tomto pípad zvládnutelný v lineárním ase Materiál slouží výhradn ako pomcka pro absolvování pednášky Ochrana Informací II na MFF UK V Praze. Není uren k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky pednášené v konkrétním semestru / 9

3 Konstrukce systému zvolíme superrostoucí posloupnost s, s, s n, dále vybereme íslo w a modul m, w bereme nesoudlné s m, m > s n. Ze zvolených hodnot sestavíme iž obecnou posloupnost h w* s modm i i Posloupnost {s i } i= n a ísla w a m utaíme, dále budou sloužit ako soukromý klí. Posloupnost {h i } i= n zveeníme akožto veený klí. Šifrování Otevený text P rozdlíme na bloky délky n bit. Každý blok P nahradíme sumou C ph Zašifrovaný text C odešleme i i i Dešifrování Autorizovaný píemce vypoítá w - - z vlastností w a m urit existue. Pro každý blok C spoítá C * w -. Vyeší problém batohu se superrostoucí posloupností {s i } i= n pro všechny hodnoty získané v pedchozím bod. Konkatenací ešení vznikne pvodní zpráva P. Korektnost dešifrování w - e(p) mod m = w - (p h + p h + + p nh n ) mod m = = p w - h + p w - h + + p n w - h n mod m = = p w - ws + p w - ws + + p n w - ws n mod m = = p s + p s + + p ns n mod m. Poznámky k implementaci Pro rozumné aplikace: m bývá voleno ve velikosti 00 až 00 íslic, s i maí délku 00 až 400 íslic, Materiál slouží výhradn ako pomcka pro absolvování pednášky Ochrana Informací II na MFF UK V Praze. Není uren k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky pednášené v konkrétním semestru 3 / 9

4 batoh mívá pibližn 00 položek možný zpsob vytvoení superrosotoucího batohu: vygenerueme n náhodných ísel r i z intervalu <0, 00 > s i = 00 + i - + r i Analýza Merkle-Hellmanova systému Známe-li m, e možné odvodit prvky superrostoucího batohu. Položme p Pak ovšem platí p h Spoítáme posloupnost o h modm w* so w* s m i p m i D * mod Pro naké k ovšem nastane modm s o s modm k* pmod m k* s * s modm s 0 0 Lze oekávat, že s 0 bude nemenším prvkem D. Známe-li s 0, lze spoítat w a tedy všechny s i. Hodnoty w a m e možné odhadovat pouze z posloupnosti {h i } i= n. Hodnota m e tší než libovolné h i. Budeme zkoušet rzné hodnoty pro w. Materiál slouží výhradn ako pomcka pro absolvování pednášky Ochrana Informací II na MFF UK V Praze. Není uren k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky pednášené v konkrétním semestru 4 / 9

5 Možné správné hodnoty w se nacházeí v pekrývaících se bodech diskontinuity. K prolomení Merkle-Hellmanova systému tedy není nutné vyešit obecný problém batohu, ale staí použít naznaeného postupu, který e daleko rychleší. M-H systém tedy není vhodný k ochran dležitých informací. El Gamal kryptosystém založen na obtížnosti výpotu diskrétního logaritmu nad okruhem Konstrukce kryptosystému Spolený modul q, dále e zvoleno íslo g co nevyššího ádu (nelépe generátor). Každý úastník i si zvolí taný klí y i a vypoítá veený klí g yi mod q Šifrování nech uživatel A posílá zprávu P (< q) uživateli B náhodn vybere íslo k a vypoítá: g k y mod q; P g B q obísla zašle B Dešifrování uživatel B vypoítá k g y B modq k mod a urí inverzní prvek. S eho použitím z druhého ísla zptn získá P. Korektnost dešifrování em P y k B k g g y k y k y P g g P B B B Analýza El Gamalova kryptosystému kryptosystém e považován za bezpený, nevýhodou e nutnost generování náhodných ísel k a zdvonásobení obemu dat i šifrování, e relativn pomalý Materiál slouží výhradn ako pomcka pro absolvování pednášky Ochrana Informací II na MFF UK V Praze. Není uren k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky pednášené v konkrétním semestru 5 / 9

6 Rivest-Shamir-Adelman kryptosystém uveenný v roce 977, nkdy oznaován ako kód Herkules Kryptoschéma e založeno na Eulerov formuli a n mod n kde (n) e poet ísel z intervalu,, n, která sou s n nesoudlná. Platí: kde n a a a k n p p p p p p p a p a e prvoíselný rozklad ísla n. p a k k 3 k k Šifrování e teba znát íslo n a malé prvoíslo e. Otevený text P evedeme na posloupnost ísel modulo n. Každý blok P zašifrueme dle vzorce e C P mod n (4) Spoením výsledných blok C vznikne zašifrovaný text. Dešifrování e teba znát íslo n, a íslo d. Každý z blok C dešifrueme takto: P C d mod n (5) Výpoet dešifrovacího klíe d Musí platit Materiál slouží výhradn ako pomcka pro absolvování pednášky Ochrana Informací II na MFF UK V Praze. Není uren k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky pednášené v konkrétním semestru 6 / 9

7 ed n mod (6) Prvoíslo e nesmí dlit (n). d uríme z pedchozího vztahu rozšíeným Euclidovým algoritmem. Mimochodem, uvažte následuící postup: Nalezneme e r n mod e Ze () plyne e e Položíme tedy (7), s použitím () r d e n n mod e (8) n r e (9) tedy existue více než eden dešifrovací klí V praxi volíme e pevné (65535), pro každého úastníka nalezneme zvláštní n a dopoítáme dešifrovací klí. d se poítá rozšíeným Euklidovým algoritmem. Korektnost dešifrování S použitím () a (6) postupn dostáváme P ed P ed mod n P P mod n Výbr klí, implementaní poznámky Veený klí tvoí pár (n, e), soukromý klí pár (n, d). íslo n musí být velmi velké, nesmí mít malé faktory. Pro reálné použití pibližn 00 až 00 bit. Nech n e souinem prvoísel p a q. Klí e volíme ako prvoíslo vtší než (p - ) a (q - ). Hranice bezpenosti 04 bit modulu n, rozumné 500 bit, lépe 048 Nelepším souasným algoritmem pro faktorizaci velkých ísel e NFS (Number Field Sieve), které rozkládá ísla prakticky bez ohledu na strukturu Materiál slouží výhradn ako pomcka pro absolvování pednášky Ochrana Informací II na MFF UK V Praze. Není uren k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky pednášené v konkrétním semestru 7 / 9

8 i této volb má nepítel na výbr zhruba prvoíselných initel. n 50 0 ln n 00ln0 možných Invertování ísla v okruhu lení ísel, pípadn výpoet inverzní hodnoty v rámci okruhu (tlesa) nelze samozem pro tzv. dlitele nuly používá se rozšíený Euclidv algoritmus (viz. níže), uvažte, že ax (mod d) Rozšíený Euclidv algoritmus vstup: nezáporná ísla a a b, a b výstup: d = gcd(a, b) a celá ísla x, y tž. ax + by = d if (b = 0) do da, x, y0, return (d, x, y) enddo x, x 0, y 0, y while b > 0 do q a b, raqb, x x q x, y y q y b, br, x x, x x, y y, y y enddo da, x x, y y return (d, x, y) Volba prvoísel Vygenerueme náhodné liché íslo zvoleného ádu Otestueme prvoíselnost Není-li prvoíslo, pokraueme bodem. Testy prvoíselnosti Pro každé liché pirozené íslo n definueme množinu W(n) Z n : pro a Z n lze v polynomiálním ase ovit, zda a W(n) pokud e n prvoíslo, W(n) = pokud e n složené, W(n) >= n/ Materiál slouží výhradn ako pomcka pro absolvování pednášky Ochrana Informací II na MFF UK V Praze. Není uren k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky pednášené v konkrétním semestru 8 / 9

9 Prvky množiny W(n) nazýváme svdky toho, že íslo n e složené., ostatním íslm v Z n - W(n) íkáme lhái. Solovay-Strassenv test prvoíselnosti Základem e tzv. Eulerovo kritérium: Pro liché prvoíslo p platí r p J r, p spluící nsd(p, r) = mod n pro všechna celá ísla r Ze skutenosti, že pro p liché existue maximáln p/ p- lze odvodit následuící algoritmus: p íslo, které zkoumáme, r libv. íslo, pak nutn a zárove nsd(p, r) = p J r, p r mod p kde J(r, p) e Jacobiho funkce, definovaná následovn lhá pro ísla,,... pro r p J r, p J r, p * 8 pro rsudé Jpmod rr, * r p 4 pro rliché, r zvolíme náhodn r tž. r p p spoítáme n r modp pokud n a n p konec, e složené spoítáme s = J(r, p), pokud není n s konec, e složené asi prvoíslo Opakováním testu pro rzné hodnoty r lze docílit požadované istoty, že p e skute prvoíslo. Miller-Rabinv test prvoíselnosti Založen na následuící skutenosti: Materiál slouží výhradn ako pomcka pro absolvování pednášky Ochrana Informací II na MFF UK V Praze. Není uren k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky pednášené v konkrétním semestru 9 / 9

10 Pro liché pirozené íslo p tž. p - = l s, kde s e liché bu a celé íslo takové, že nsd(a,p) =. Potom a s mod p, nebo a s mod p 0 l Odtud odvodíme následuící algoritmus: Dáno testované íslo p. Nech p - = l s, pro naké liché s Náhodn zvolíme a {,, p - } Spoítáme q a s mod p. Pokud q mod p Poítáme q, q,, q l - nemže být prvoíslo. Nalezeme nevtší k tak, že q asi prvoíslo, inak nemže být prvoíslo. pro naké tž. konec, asi prvoíslo. = a p -, vše mod p. Pokud není a p mod p k k, konec mod n. Pokud q mod p, konec - Analýza RSA není známa metoda vedoucí k rozbití tohoto algoritmu. slabostí e hypotetická možnost vytvoit elektronický podpis zprávy bez znalosti dešifrovacího klíe na základ zachycení vhodných pedchozích zašifrovaných zpráv. M L ML d d d Systémy nad eliptickými kivkami Problémem klasického poítání kryptografických algoritm nad Z n e znaná existence relativn rychlých faktorizaních i logaritmuících algoritm trikem e penést poítání známých algoritm do algebraických struktur, kde by tyto kryptoanalytické metody nefungovaly r me q p, p 5 a vhodné a a b F q. Eliptickou kivkou nad okruhem F q rozumíme množinu bod E 3 F {( x, y) F y x ax b} { } q q Materiál slouží výhradn ako pomcka pro absolvování pednášky Ochrana Informací II na MFF UK V Praze. Není uren k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky pednášené v konkrétním semestru 0 / 9

11 nazýváme bod v nekonenu. Plní úlohu nulového prvku. Nech P = (x, y) e bod kivky. Zavedeme P = (x, y), P + Q e prseík kivky s pímkou definovanou body P a Q, pokud P = Q, bereme tangentu. Oznaení np používáme pro P P P n-krát Obdobou umocování pirozených ísel e zde práv uvedené násobení. Problém hledání diskrétního logaritmu zde má podobu: Pro dané P, Q nalézt n takové, že Q = np uvedený popis problému diskrétního logaritmu nad eliptickou kivkou pímo umožue implementovat El-Gamal kryptosystém, nebo D-H. podobn e možné zavést problém faktorizace a definovat Eulerovu funkci (n), což umožue implementovat RSA Konstrukce kryptosystému nad takto definovanou grupou mžeme používat obvyklé šifrovací algoritmy, ako El-Gamalv kryptosystém, RSA, Diffie-Hellmanv systém výmny klí. žné umocování pouze nahradíme sítáním Analýza systém nad eliptickými kivkami Obecn se má za to, že použití eliptických kivek pináší zvýšení bezpenosti algoritmu. Pro dosažení stené míry bezpenosti vystaíme s kratším klíem. Odhadue se, že 04 bitovému klíi normálního RSA odpovídá eliptický klí o délce pouhých 63 bit. Naopak, pro dosažení bezpenosti odpovídaící 57 bitovému eliptickému klíi e teba 5360 bit normálního klíe. Materiál slouží výhradn ako pomcka pro absolvování pednášky Ochrana Informací II na MFF UK V Praze. Není uren k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky pednášené v konkrétním semestru / 9

12 Podepisovací schémata digitální podpis asociue zprávu a (eího) odesílatele obecn v rámci podepisovacího procesu se neprve provede mapování prvku prostoru zpráv do tzv. podepisovacího prostoru (zpravidla pidáním redundance, paddingem, hashováním,...), odkud e podepisovací schéma (na základ taného klíe) mapue do prostoru podpis klasifikace podepisovacích schémat - s píponou (dig. signature with appendix) potebuí pvodní zprávu ako vstup verifikaního procesu - s obnovou zprávy (dig. signature with message recovery) pvodní zpráva e rekonstruována z dat vlastního podpisu v závislosti na tom, zda existue pouze edno mapování (biekce) z prostoru zpráv do podepisovacího prostoru rozdlueme podepisovací schémata na - randomizovaná - deterministická Obecný postup podepisování s píponou zvolíme mapování k zaišuící redundanci - spoítáme m~ m - podpisem e s SA k m~,, kde S A,k e podepisovací algoritmus závislý na taném klíi entity A a konkrétním algoritmu pro pidání redundance k pro hashování se volí vhodná CRHF pro verifikaci e teba podpis s a pvodní zpráva m - spoítáme m~ m a u V m~ A, s - podpis e piat pokud u e true Obecný postup podepisování s obnovou zprávy - zvolíme mapování k zaišuící redundanci - spoítáme m ~ Rm - podpisem e s S m~ A, k, kde S A,k e podepisovací algoritmus závislý na taném klíi entity A a konkrétním algoritmu pro pidání redundance k Materiál slouží výhradn ako pomcka pro absolvování pednášky Ochrana Informací II na MFF UK V Praze. Není uren k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky pednášené v konkrétním semestru / 9

13 funkce pro doplnní redundance R musí být invertibilní a e veen známa, podepisovací prostor, do kterého mapue prostor zpráv musí být podstatn vtší, inak bude schéma náchylné na existenciální podvržení, t. bude možné sestavovat páry zpráva-podpis bez znalosti taného klíe (by bez možnosti kontrolovat obsah zprávy) pro verifikaci e teba podpis s a pvodní zpráva m m~ V s - spoítáme a A - podpis e piat pokud m ~ e prvkem obrazu prostoru zpráv v podepisovacím prostoru m R m~ - rekonstruueme pvodní zprávu Podepisovací schéma RSA deterministické podepisovací schéma s obnovou zprávy založeno na obtížnosti faktorizace velkých ísel Inicializace generování klí sten ako v pípad RSA šifrování zvolíme dv velká prvoísla p a q spoítáme n = pq a = (p )(q ) zvolíme e nesoudlné s a spoítáme d tž. ed mod veeným klíem e dvoice (n, e), taným klíem d Podpis - spoítáme m ~ Rm - a následn podpis s m~ d mod n Ovení podpisu - spoítáme m~ s e mod n a ovíme, že není poškozena redundance m R m~ - obnovíme pvodní zprávu Bezpenost podp. schématu RSA schéma trpí vlastností multiplikativnosti (i. homomorfismu), t. pokud znám podpis dvou zpráv, mohu bez znalosti klíe sestavit podpis tetí zprávy, která e eich souinem, pokud by funkce pro pidání redundance byla sama multiplikativní volba parametr odpovídá volb pro RSA šifrování Materiál slouží výhradn ako pomcka pro absolvování pednášky Ochrana Informací II na MFF UK V Praze. Není uren k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky pednášené v konkrétním semestru 3 / 9

14 Rabinovo podepisovací schéma podobné RSA, ale používá sudý pevn stanovený veený exponent e podepisovací prostor e prostorem kvadratických reziduí mod n Inicializace generování klí každý úastník vygenerue dv velká prvoísla p a q a spoítá n = pq n e veeným klíem, dvoice (p, q) taným klíem Podpis - spoítáme m ~ Rm e - podpisem e s m ~ mod n obvykle se e volí není isté, že výsledné m ~ e skute kvadratickým reziduem, existue modifikace schématu, která to zaistí, pípadn e možné pidat ke zprávást náhodných dat, eichž zmnou docílíme residuosity (v prru pokusy) Ovení podpisu - spoítáme m~ s e modn - ovíme, že není poškozena redundance v m ~ m R m~ - obnovíme pvodní zprávu Bezpenost Rabinova podepisovacího schématu bezpenost zavisí na kvalit funkce pidávaící redundanci DSA data signature algorithm založen na problému diskrétního logaritmu podepisovací schéma s píponou (appendix), pro hashování se používá SHA- standardizováno ako FIPS86 (DSS) Inicializace generování klí - každý úastník zvolí náhodn prvoísla q a p t.ž. q (p ) p q - a generátor g mod p pro libovoln zvolené g aby - dále zvolí náhodn a t.ž. a q Materiál slouží výhradn ako pomcka pro absolvování pednášky Ochrana Informací II na MFF UK V Praze. Není uren k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky pednášené v konkrétním semestru 4 / 9

15 - a spoítá y a mod p veeným klíem e tveice (p, q,, y), taným klíem e a. Podpis pro podpis zprávy m: - zvolíme náhodn k, 0 < k < q - k r mod p mod, s k m armod q spoítáme q podpisem e pár (r, s) Ovení podpisu - ovovatel verifikue, že 0 < r < q a 0 < s < q - spoítá u s m mod q a u s r mod q u u - a následn v y mod pmod q podpis e piat pokud v = r a platí shora uvedené požadavky na r a s Bezpenost DSA q se volí ve velikosti 60 bit, zatímco p má délku násobku 64 mezi 5 a 04 bity, doporuue se alespo 768 bit bezpenost se opírá o obtížnost poítání diskrétního logaritmu v * p a eho cyklické podgrup o ádu q bezpenostní vlastnosti sou podobné ako v pípad El-Gamalova podepisovacího schématu. Podepisovací schéma ElGamal randomizované podepisovací schéma s píponou e zobecnním principu DSA Inicilizace generování klí každý úastník zvolí náhodn prvoíslo p a generátor multiplikativní grupy dále vybere náhodné íslo a, a p a spoítá y a mod p veeným klíem e troice (p,, y), taným klíem e a Podepisování Materiál slouží výhradn ako pomcka pro absolvování pednášky Ochrana Informací II na MFF UK V Praze. Není uren k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky pednášené v konkrétním semestru 5 / 9 * p

16 - zvolíme náhodné celí íslo k, k p nesoudlné s p - spoítáme r k mod p a s k m armodp podpisem e dvoice (r, s) Ovení podpisu - ovovatel verifikue, že r p r s - a spoítá v y r mod p a v podpis e piat pokud v = v a platí shora uvedené požadavky na r m Bezpenost schéma e bezpené pokud zstává tžký problém diskrétního logaritmu e nutné volit k náhodn pro každou podepisovanou zprávu, v opaném pípad e možné s velkou pravdpodobností k zistit a následn dopoítat taný parametr a, m m nebo k modp s s pro volbu velikosti parametr platí pibližn totéž, co pro RSA Podepisovací schéma Merkle pro ednorázové podpisy umožue s daným taným klíem podepsání práv edné zprávy i podepsání další zprávy e možná fabrikace podpisu e nezbytná dryhodná tetí strana na validaci parametr algoritmu Inicializace zvolíme t n lg n náhodných etzc k, k,... k t, každý o délce l a uchováme e v tanosti spoítáme vi ki pro i t pomocí vhodné CRHF veeným klíem e t-tice (v, v,... v t,), taným (k, k,... k t,) Podpis pro podpis zprávy m o délce n: - spoítáme c... poet nul ve zpráv m - a sestavíme w = m c = (a, a,... a t,) - podpisem e výbr (s, s,... s u,), který vznikne z (k, k,... k t,) vybráním tch k i, kde a i = Materiál slouží výhradn ako pomcka pro absolvování pednášky Ochrana Informací II na MFF UK V Praze. Není uren k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky pednášené v konkrétním semestru 6 / 9

17 Ovení podpisu - spoítáme c... poet nul ve zpráv m - a sestavíme w = m c = (a, a,... a t,) - ovíme, že vi s pro všechny pozice, kde a i = Bezpenost Merkelova schématu pokud e použita kvalitní CRHF, e schéma bezpené Neodmítnutelné (Undeniable) podpisy... k ovení podpisu e nezbytná spolupráce podepisuícího Podepisovací schéma Chaum-van Antwerpen neodmítnutelné podepisovací schéma Inicializace generování klí - každý úastník zvolí náhodn prvoíslo p = q + pro naké prvoíslo q - náhodn zvolí v * p q p a spoítá mod p tak, aby 0 - dále náhodn vybere 0 < a < q a spoítá y a mod p veeným klíem e troice (p,, y), taným klíem a Podpis pro podpis zprávy m podepisuící spoítá podpis s m a mod p Ovení podpisu - ovovatel zvolí náhodná ísla x, x, tž. 0 < x i < q x x - spoítá z s y mod p a výsledek zašle podepisuícímu - podepisuící zašle ovuícímu w z mod p - ovuící spoítá w x x m mod p - podpis e piat pokud w = w Odmítnutí podpisu a, kde aa mod q Materiál slouží výhradn ako pomcka pro absolvování pednášky Ochrana Informací II na MFF UK V Praze. Není uren k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky pednášené v konkrétním semestru 7 / 9

18 používá se pro ovení, zda podepisovatel odmítá potvrdit platný podpis, i zda podpis e podvrhem x x - ovovatel zvolí náhodná ísla x, x, tž. 0 < x i < q a spoítá z s y mod p a výsledek zašle podepisuícímu - podepisuící zašle ovuícímu w z mod p a, kde aa mod q - pokud w x x m mod p ovovatel akceptue a ukoní protokol - ovovatel zvolí náhodná ísla x, x, tž. 0 < x i < q a spoítá x x z s y mod p a výsledek zašle podepisuícímu - podepisuící zašle ovuícímu w z mod p a, kde aa mod q x x - pokud w m mod p ovovatel akceptue a ukoní protokol x x - ovovatel spoítá c w mod p a c w mod p x - pokud c = c, ovovatel potvrdí, že podpis e podvrhem, v opaném pípad se domnívá, že podepisovatel odmítá potvrdit platný podpis x Pravdpodobnostní šifrování zaišue, že stený plaintext e pi opakovaném použití steného klíe šifrován na iný zašifrovaný text Kryptosystém Blum Goldwasser založen na složitosti faktorizace celých ísel ádrem BBS generátor náhodných ísel inicializace každý úastník zvolí dv prvoísla p a q kongruentní s 3 mod 4 n = pq... tzn. n e Blumovo íslo pomocí rozšíeného Euklidova algoritmu uríme a a b tž. ap + bq = n e veený klí, (p, q, a, b) e taný klí šifrování i inicializaci šifrování zvolíme náhodn r a spoítáme x 0 = r mod n Materiál slouží výhradn ako pomcka pro absolvování pednášky Ochrana Informací II na MFF UK V Praze. Není uren k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky pednášené v konkrétním semestru 8 / 9

19 tzn. x 0 e kvadratické reziduum mod n i-tý blok plaintextu p i šifrueme takto: x i x i mod n c i = p i x i výsledkem šifrování zpráva (c, c,..., c t, x t+ ) dešifrování spoítáme t p 4 mod p u xt mod p a odsud x 0 = vap + ubq mod n v x q t 4 t mod q mod q dále obdobn ako v pípad šifrování spoítáme x i pro dešifrování i-tého bloku korektnost dešifrování uvažme p 4 p 4 p xt xt xt xt xt (mod p), nebo kvadratické reziduum), opakováním dostaneme t p 4 u xt x0(mod p) obdobn lze dovodit v x q t 4 t x (mod 0 q) x p t (mod p) (x t e protože ap + bq =, vap ubq x mod p a vap ubq x modq 0 nutn x 0 = vap + ubq mod n e zkonstruováno správn Bezpenost algoritmus e ekvivalentní s problémem faktorizace velkých ísel velikost n volit obdobn ako v pípad RSA náchylný na choosen-ciphertext attack 0 Materiál slouží výhradn ako pomcka pro absolvování pednášky Ochrana Informací II na MFF UK V Praze. Není uren k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky pednášené v konkrétním semestru 9 / 9