Beweisarchiv: Kryptografie: Kryptosysteme: Sicherheit des GMR-Signatursystems

Beweisarchiv: Kryptografie: TOPNAV

Das GMR-Signatursystem nutzt kollisionsfreie Falltür-Einwegpermutationen. Zur Erklärung siehe dazu Falltür-Einwegfunktionen (engl. trapdoor one-way function). Diese haben den Vorteil, dass sie sich nur mit Kenntnis eines Geheimnisses effizient umkehren lassen. Es wird also die Umkehrpermutation mit Kenntnis des Geheimnisses zum Signieren einer Nachricht verwendet und die Signatur dann ohne Kenntnis des Geheimnisses mit der Permutation überprüft.

Als Geheimnis verwendet man zwei große Primfaktoren von ${\displaystyle n=p\cdot q}$. Dabei ist ${\displaystyle n}$ öffentlich, da es zum Testen benötigt wird.

Es existiert eine kollisionsfreie Falltür-Einwegpermutation.

Dazu zeigen wir im Teil 1, dass die im Folgenden vorgeschlagene Permutation eine Falltür-Einwegpermutation ist. Im Teil 2 wird bewiesen, dass es mindestens so schwer ist, eine Kollision zu finden, wie ${\displaystyle n}$ zu faktorisieren. Das ist nützlich, da das Faktorisierungsproblem für eine beliebige ganze Zahl als nicht mit polynomialem Zeitaufwand lösbar gilt.

Sei

${\displaystyle D_n=\{x\in \mathbb{Z}/n^{\times }|\left(\frac{x}{n}\right)=1;0<x<\frac{n}{2}\}}$   (${\displaystyle \left(\frac{x}{n}\right)}$ ist das Jacobi-Symbol)

der Definitionsbereich für folgende Permutation:

${\displaystyle \begin{array}{cc}{f}_0(x)& =\{\begin{array}{cc}{x}^2(\mathrm{mod}n),& \text{wenn }{x}^2\in D_n,\\ -x^2(\mathrm{mod}n)& \text{sonst},\end{array}\\ f_1(x)& =\{\begin{array}{cc}4x^2(\mathrm{mod}n),& \text{wenn }4x^2\in D_n,\\ -4x^2(\mathrm{mod}n)& \text{sonst}.\end{array}\end{array}}$

Die beiden folgenden Permutationen dienen dem Signieren der Zeichen „1” und „0” an einer zufällig gewählten Referenz ${\displaystyle x\in D_n}$. Die Umkehrfunktionen benötigen Wurzelziehen in ${\displaystyle \mathbb{Z}/n}$, was nur mit Kenntnis der beiden Primfaktoren effizient möglich ist. Siehe dazu: Wurzelziehen ist schwer

${\displaystyle \begin{array}{cc}{f}_0^{-1}(x)& =\{\begin{array}{cc}\sqrt{x}(\mathrm{mod}n),& \text{wenn }\sqrt{x}\in D_n,\\ -\sqrt{x}(\mathrm{mod}n)& \text{sonst},\end{array}\\ f_1^{-1}(x)& =\{\begin{array}{cc}{2}^{-1}\sqrt{x}(\mathrm{mod}n),& \text{wenn }{2}^{-1}\sqrt{x}\in D_n,\\ -2^{-1}\sqrt{x}(\mathrm{mod}n)& \text{sonst}.\end{array}\end{array}}$

Weiterhin sei

${\displaystyle n=p\cdot qp\equiv 3(\mathrm{mod}4)q\equiv 7(\mathrm{mod}8)}$.

Da wir dies im Beweis mehrfach verwenden, sei hier schon einmal darauf hingewiesen, dass damit gilt:

${\displaystyle -1\notin Q{R}_n}$ (-1 ist kein quadratischer Rest modulo ${\displaystyle n}$)

${\displaystyle 2\notin Q{R}_n}$

Wir zeigen nun, dass es sich bei ${\displaystyle f_0}$ tatsächlich um eine Permutation handelt, indem wir beweisen, dass folgende Implikation gilt:

${\displaystyle f_0(x)=f_0(y)\Rightarrow x=y}$

Sei ${\displaystyle f_0(x)=f_0(y)}$

${\displaystyle \Rightarrow x^2\equiv y^2(\mathrm{mod}n)}$

Es ist ${\displaystyle x^2\equiv ̸-y^2(\mathrm{mod}n)}$ da ${\displaystyle x^2\in Q{R}_n}$, aber ${\displaystyle -1\notin Q{R}_n}$ und damit auch ${\displaystyle -y^2\notin Q{R}_n}$.

${\displaystyle x^2\equiv y^2(\mathrm{mod}n)\Rightarrow x\equiv \pm y(\mathrm{mod}n)}$

Wegen ${\displaystyle x,y\in D_n:0<x,y<\frac{n}{2}}$.

${\displaystyle \Rightarrow x=y}$

Jetzt folgt noch der Beweis für ${\displaystyle f_1}$:

Sei ${\displaystyle f_1(x)=f_1(y)}$

${\displaystyle \Rightarrow 4x^2\equiv 4y^2(\mathrm{mod}n)}$

${\displaystyle \Rightarrow x^2\equiv y^2(\mathrm{mod}n)}$

${\displaystyle \Rightarrow x\equiv \pm y(\mathrm{mod}n)}$  und  ${\displaystyle x,y\in D_n:0<x,y<\frac{n}{2}}$

${\displaystyle \Rightarrow x=y}$

Im zweiten Teil des Beweises zeigen wir, dass die gefundenen Permutationen kollisionsresistent sind. Dazu zeigen wir die Implikation „Kollisionen finden ist leicht” ${\displaystyle \Rightarrow }$ „Faktorisieren ist leicht.”

Angenommen, es existieren ${\displaystyle x}$, ${\displaystyle y\in D_n}$, für die es eine Kollision gibt:

${\displaystyle f_0(x)=f_1(y)}$

${\displaystyle \Rightarrow x^2\equiv 4y^2(\mathrm{mod}n)}$

Es ist ${\displaystyle x^2\equiv ̸-4y^2(\mathrm{mod}n)}$ da ${\displaystyle x^2\in Q{R}_n}$, aber ${\displaystyle -1\notin Q{R}_n}$ und damit auch ${\displaystyle -4y^2\notin Q{R}_n}$.

${\displaystyle \begin{array}{cc}{x}^2\equiv 4y^2(\mathrm{mod}n)\Rightarrow x^2-4y^2& \equiv 0(\mathrm{mod}n)\\ (x+2y)\cdot (x-2y)& \equiv 0(\mathrm{mod}n)\end{array}}$

${\displaystyle (1)\Rightarrow n\mid (x+2y)\cdot (x-2y)}$

${\displaystyle \left(\frac{x}{n}\right)=1}$ , aber  ${\displaystyle \left(\frac{\pm 2y}{n}\right)=-1}$

${\displaystyle \Rightarrow x\equiv ̸\pm 2y(\mathrm{mod}n)}$

${\displaystyle (2)\Rightarrow n\nmid x\pm 2y}$

Wegen ${\displaystyle (1)}$ und ${\displaystyle (2)}$ muss ${\displaystyle (x+2y)\cdot (x-2y)}$ einen der beiden Primfaktoren enthalten. Damit ist

${\displaystyle \text{ggT}(x-2y,n)}$

einer der beiden Primfaktoren von ${\displaystyle n=p\cdot q}$

Also gilt: „Kollisionen finden ist leicht.” ${\displaystyle \Rightarrow }$ „Faktorisieren ist leicht.”

Vorlage:W
Vorlage:W
Vorlage:W
Vorlage:W
Vorlage:W
Vorlage:W

Beweisarchiv: Kryptografie: TOPNAV