Beweisarchiv: Kryptografie: Pseudozufall: Sicherheit des s2-mod-n-Generators

Beweisarchiv: Kryptografie: TOPNAV

Der s²-mod-n-Generator (auch: Blum-Blum-Shub-Generator) erzeugt mittels eines zufälligen Schlüssels ${\displaystyle n}$ und eines Startwertes ${\displaystyle s}$ (engl. seed) durch Quadrieren eine zufällige Bitfolge ${\displaystyle b_0{b}_1\dots b_k}$.

Dazu werden zwei große Primzahlen ${\displaystyle p\equiv 3(\mathrm{mod}4)}$ und ${\displaystyle q\equiv 3(\mathrm{mod}4)}$ zufällig gewählt. Der im Folgenden verwendete Modulus ${\displaystyle n=p\cdot q}$ kann für ein Kryptosystem als öffentlicher Schlüssel verwendet werden. Die Bitfolge wird aus dem Startwert ${\displaystyle s\in \mathbb{Z}/n^{\times }}$ wie folgt rekursiv berechnet:

${\displaystyle \begin{array}{cccc}{s}_0& :=s^2(\mathrm{mod}n)& b_0& :=s_0(\mathrm{mod}2)\\ s_i& :=s_{i-1}^2(\mathrm{mod}n)& b_i& :=s_i(\mathrm{mod}2)\end{array}}$

Der s²-mod-n-Generator ist genau dann kryptografisch sicher (auch: komplexitätstheoretisch sicher), wenn die folgende Behauptung bewiesen werden kann:

${\displaystyle \mathrm{\forall }P}$   (polynomialer Vorhersagealgorithmus / Prädiktor)

${\displaystyle \mathrm{\forall }\delta ,0<\delta <1}$   (Frequenz der unsicheren ${\displaystyle n}$)

${\displaystyle \mathrm{\forall }t\in \mathbb{N}}$   (Grad der Polynome)

und wenn ${\displaystyle l=|n|}$ genügend groß ist, gilt für alle Schlüssel ${\displaystyle n}$, ausgenommen den ${\displaystyle \delta }$-Anteil:

${\displaystyle W(P(n,b_1,b_2,\dots ,b_k)=b_0|s\in \mathbb{Z}/n^{\times }\text{random})<\frac{1}{2}+\frac{1}{l^t}}$

Zur Erklärung:

Mit der „Frequenz der unsicheren ${\displaystyle n}$” ist gemeint, für wie viele der Schlüssel der s²-mod-n-Generator keine „guten” Zufallsbitfolgen generiert.

${\displaystyle W(P(n,b_1,b_2,\dots ,b_k)=b_0|s\in \mathbb{Z}/n^{\times }\text{random})}$ ist die Wahrscheinlichkeit, dass der Prädiktor mit Kenntnis eines Teils der Bitkette ${\displaystyle b_1{b}_2\dots b_k}$ und des Modulus ${\displaystyle n}$ das vorangegangene Zufallsbit ${\displaystyle b_0}$ richtig vorhersagt, obwohl der Startwert ${\displaystyle s}$ zufällig gewählt wurde.

Annahme: Wir nehmen an, es gebe solch einen Prädiktor, der ${\displaystyle b_0}$ zu ${\displaystyle b_1{b}_2\dots b_k,n}$ mit ${\displaystyle ϵ}$-Vorteil (also Wahrscheinlichkeit größer ${\displaystyle \frac{1}{2}}$) richtig rät.

Es ist zu zeigen, dass die Annahme im Widerspruch zur Quadratischen-Reste-Annahme steht.

Widerspruchsbeweis:

Wir konstruieren aus ${\displaystyle P}$ einen Prädiktor ${\displaystyle P{}^{\prime }}$, der zu gegebenem ${\displaystyle s_1}$ das letzte Bit von ${\displaystyle s_0}$, also ${\displaystyle b_0}$ vorhersagt.

Prädiktor ${\displaystyle P{}^{\prime }}$:

P'(s[1], n){
  b[1] := s[1] (mod 2)
  for(1 < i <= k){
    s[i] := s[i-1] * s[i-1] (mod n)
    b[i] := s[i] (mod 2)
  }
  b[0] := P(b[·], n)
  return b[0]
}

Dieser verwendet ${\displaystyle P}$ und rät damit ebenfalls mit ${\displaystyle ϵ}$-Vorteil richtig.

Unser Ziel ist es nun, aus ${\displaystyle P{}^{\prime }}$ einen Algorithmus ${\displaystyle R}$ zu entwickeln, der mit ${\displaystyle ϵ}$-Vorteil rät, ob ein beliebiges ${\displaystyle s{}^{\prime }\in \mathbb{Z}/n^{\times }}$ mit Jacobi-Symbol ${\displaystyle \left(\frac{s{}^{\prime }}{n}\right)=1}$ quadratischer Rest ist.

R(s', n){
  s[1] := s' * s' (mod n)
  b[0] := P'(s[1], n)
  b' := letztesBit(s')   
  if(b[0] = b')
    return "s' ist quadratischer Rest"
  else
    return "s' ist nicht quadratischer Rest"
}

Wenn ${\displaystyle s{}^{\prime }=s_0}$ gilt, dann ist ${\displaystyle s{}^{\prime }}$ quadratischer Rest, da ${\displaystyle s_0}$ als erste Wurzel von ${\displaystyle s_1}$ quadratischer Rest ist. Andernfalls kann ${\displaystyle s{}^{\prime }}$ nicht quadratischer Rest sein, da nur eine der vier Wurzeln quadratischer Rest ist.

Nun müssen wir noch zeigen, dass es reicht, das letzte Bit von ${\displaystyle s{}^{\prime }}$ mit ${\displaystyle b_0}$ zu vergleichen.

1.Fall: ${\displaystyle s{}^{\prime }=s_0\Rightarrow b{}^{\prime }=b_0}$

2.Fall: ${\displaystyle s{}^{\prime }\ne s_0}$ und ${\displaystyle \left(\frac{s{}^{\prime }}{n}\right)=\left(\frac{s_0}{n}\right)=1}$

${\displaystyle \Rightarrow s{}^{\prime }\equiv -s_0(\mathrm{mod}n)}$

${\displaystyle \Rightarrow s{}^{\prime }=n-s_0}$ und ${\displaystyle n\text{ ungerade}}$

${\displaystyle \Rightarrow b{}^{\prime }\ne b_0}$

Damit ist der oben genannte Algorithmus ${\displaystyle R}$ korrekt und sagt mit ${\displaystyle ϵ}$-Vorteil voraus, ob ${\displaystyle s{}^{\prime }\in Q{R}_n}$. Dies ist ein Widerspruch zur Quadratischen-Reste-Annahme. Folglich gilt die obige Annahme nicht.

Vorlage:Hauptautor wünscht Mitarbeit Anmerkung: Es wäre schön, wenn noch jemand ergänzen könnte, wie man die Sicherheit des Generators auf Faktorisierung zurückführt.

Vorlage:W
Vorlage:W
Vorlage:W
Vorlage:W
Vorlage:W

Beweisarchiv: Kryptografie: TOPNAV