Problem logarytmu dyskretnego i protokół Diffiego-Hellmana. Mateusz Paluch

Transkrypt

1 Problem logarytmu dyskretnego i protokół Diffiego-Hellmana Mateusz Paluch

2 1 Logarytm dyskretny Definicja 1. Niech (G, ) będzie skończoną grupą cykliczną rzędu n 2. Niech ponadto b będzie generatorem tej grupy i niech a G. Logarytmem dyskretnym elementu a przy podstawie b (ozn.: log b a) nazywa się jedyną liczbę całkowitą x [0, n 1] spełniająca równanie a = b x. Uwaga 1. Element b jest generatorem grupy (G, ) wtedy i tylko wtedy, gdy a G m Z : a = b m. Uwaga 2. Jeśli (G, ) jest skończoną grupą cykliczną rzędu n oraz b jest generatorem tej grupy, to odwzorowanie Z n x b x G jest izomorfizmem grup. Uwaga 3. Uogólnienia. Załóżmy, że (G, ) jest dowolną grupą i że a, b G. Wówczas równanie a = b x ma rozwiązanie x Z wtedy i tylko wtedy, gdy a b. Załóżmy, że (G, ) jest nieskończoną grupą cykliczną o generatorze b. Wówczas a G! x Z : a = b x. Założenie nieskończoności komplikuje nam problem z punktu widzenia obliczeniowego. Z punktu widzenia teorii natomiast nie ma to znaczenia. (Nie tracimy jedyności rozwiązania, ale operujemy na niewygodnych dużych liczbach). Jeżeli spośród wymienionych w Definicji 1 założeń opuścimy x [0, n 1], to równanie a = b x bedzie miało nieskończenie wiele rozwiązań, ponieważ b x = b x+kn dla każdego k Z. Twierdzenie 1. Jeżeli (G, ) jest grupą cykliczną rzędu n generowaną przez element b, to b k generuje grupę (G, ) wtedy i tylko wtedy, gdy NW D(k, n) = 1. W szczególności a jest generatorem grupy (Z n, + n ) wtedy i tylko wtedy, gdy NW D(a, n) = 1. Twierdzenie 2. Jeżeli (G, ) jest nieskończoną grupą cykliczną generowaną przez element b, to jedynym różnym od b elementem grupy (G, ), który ją generuje, jest b 1. Twierdzenie 3. Jeżeli p jest liczbą pierwszą, to (Z p, ), gdzie Z p = {1, 2,..., p 1}, a mnożenie jest modulo p, jest grupą cykliczną. 1

3 Twierdzenie 4. Niech b będzie generatorem grupy cyklicznej (G, ) rzędu n i niech x, y G. Niech ponadto s będzie liczbą całkowitą, e natomiast elementem neutralnym grupy (G, ). Wówczas 1. log b e = 0, 2. log b b = 1, 3. log b (xy) = (log b x + log b y) mod n, 4. log b (x s ) = (s log b x) mod n. Dowód. Ad 1. b 0 = e log b e = 0 Ad 2. b 1 = b log b b = 1 Ad 3. Zauważmy najpierw, że dla dowolnej liczby k Z istnieje takie q Z, że k = k mod n + qn. Niech u = log b x, v = log b y. Wówczas x = b u oraz y = b v, więc xy = b u b v = b u+v. Korzystając z poczynionej na wstępie uwagi otrzymujemy xy = b (u+v) mod n+qn = (b n ) q b (u+v) mod n = e q b (u+v) mod n = b (u+v) mod n, skąd już log b (xy) = (u + v) mod n = (log b x + log b y) mod n (bowiem (u + v) mod n [0, n 1]). Ad 4. Niech u = log b x. Wówczas x = b u, więc x s = (b u ) s = b su. Korzystając z uwagi z poprzedniej części dowodu otrzymujemy x s = b (su) mod n, skąd log b (x s ) = (su) mod n = (s log b x) mod n. 2 Rozszerzony algorytm Euklidesa Algorytm Euklidesa służy do znajdowania największego wspólnego dzielnika liczb a, b Z. Rozszerzony algorytm Euklidesa ponadto znajduje współczynniki s, t Z takie, że as + bt = NW D(a, b). Przykład 1. Ponieważ NW D(45, 103) = 1, to 45 jest generatorem grupy (Z 103, ). Szukamy log w grupie (Z 103, ), czyli jedynego takiego x [0, 102] Z, że 45x Stosując rozszerzony algorytm Euklidesa do liczb 45 i 103 znajdujemy s, t Z takie, że 45s + 103t = 1. Okazuje się, że s = 16, t = 7. Następnie kongruencję 45x mnożymy obustronnie przez 16 (co można zrobić, bo NW D( 16, 103) = 1), otrzymując 16 45x ( ) 45x x W takim razie log = 31. 2

4 3 Klasyczny problem logarytmu dyskretnego (Discrete Logarithm Problem DLP) Szczególnie ważna (także z kryptologicznego punktu widzenia) jest sytuacja, kiedy G = Z p dla pewnej liczby pierwszej p. Klasyczny problem logarytmu dyskretnego, polegający na tym, żeby mając generator g grupy (Z p, ) znaleźć log g y dla danego y Z p, jest banalny z teoretycznego punktu widzenia, ale niebanalny obliczeniowo. Przykład 2. Znajdziemy log 5 18 w grupie (Z 23, ), czyli znajdziemy takie x [0, 21] Z, że 5 x W tym celu obliczamy kolejno 5 1 = 5, 5 2 = 2 (mod 23), 5 3 = 10 (mod 23),..., 5 12 = 18 (mod23), z czego otrzymujemy x = 12. Zastosowany powyżej algorytm nazywany jest algorytmem siłowym lub algorytmem brute force. Opiera się on na sukcesywnym sprawdzaniu wszystkich możliwych kombinacji w poszukiwaniu rozwiązania problemu, zamiast skupiać się na jego szczegółowej analizie. Jest to najprostsza do zaimplementowania metoda i teoretycznie pozwala ona złamać każde hasło praktycznie może to potrwać tysiące lub miliony lat. Okazuje się, że jest tak dla dużej liczby p, ponieważ zwiększanie liczby p drastycznie wydłuża czas obliczeń. Powstałe trudności dostrzegalne są na poniższym wykresie. Wykres funkcji logarytmicznej (o podstawie a > 1) oraz wykres logarytmu dyskretnego w ciele reszt modulo 53. Który z nich łatwiej jest wyznaczyć dla danego argumentu? 3

5 4 Uogólniony problem logarytmu dyskretnego (Generalised Discrete Logarithm Problem GDLP) Mając daną skończoną grupę (G, ) oraz elementy a, b G chcemy znaleźć liczbę x Z spełniającą równanie a = b x, pod warunkiem, że taka liczba istnieje. Uwaga 4. W tym zadaniu nie jest wymagane, aby grupa (G, ) była cykliczna oraz, nawet jeśli jest, nie jest wymagane, aby b było generatorem tej grupy. Tak postawiony problem ogólnie może być trudniejszy do rozwiązania niż DLP. Jednakże w przypadku, gdy grupa (G, ) jest cykliczna (np. jest grupą multiplikatywną ciała skończonego) oraz znany jest rząd elementu b, łatwo jest rozpoznać, czy istnieje liczba całkowita x spełniająca równanie a = b x. Wynika to z następującego faktu: jeżeli (G, ) jest grupą cykliczną, b jest elementem rzędu n w tej grupie oraz a G, to ( x Z : a = b x ) a n = e, gdzie e oznacza element neutralny grupy (G, ). Stopień trudności uogólnionego problemu logarytmu dyskretnego zależy od grupy, do której należą elementy a oraz b. grupa stopień trudności złożoność czasowa (Z n, + n ) bardzo łatwe wielomianowy czas algorytmu (Z p, ) trudne subwykładniczy czas algorytmu grupa punktów bardzo trudne wykładniczy czas algorytmu krzywej eliptycznej Podamy teraz przykłady algorytmów służących do rozwiązywania problemu logarytmu dyskretnego w niektórych grupach. Dla grupy (Z n, + n ) jest to rozszerzony algorytm Euklidesa. Dla grupy (Z p, ) są to algorytm brute force (efektywny dla małej liczby p), algorytm dużych i małych kroków (baby-step giant-step algorithm), algorytm Silvera-Pohlinga-Hellmana (efektywny, gdy p 1 rozkłada się na małe liczby pierwsze), algorytm oparty na wyznaczaniu indeksu (index-calculus). 4

6 5 Protokół Diffiego-Hellmana (Diffie- Hellman Key Exchange) W 1976 Whitfield Diffie 1 i Martin Hellman 2 opublikowali pracę pt. New Directions in Cryptography, która zainicjowała rewolucję w kryptografii. Wymiana klucza wg protokołu Diffiego-Hellmana była pierwszym w historii kryptosystemem asymetrycznym. Jej autorzy postrzegani są jako założyciele nowoczesnej kryptografii. Bezpieczeństwo protokołu DH oparte jest na trudności obliczeniowej problemu logarytmu dyskretnego. Poniżej przedstawiamy schemat procesu wymiany klucza wg protokołu Diffiego-Hellmana w skończonej grupie cyklicznej (G, ) rzędu r, której generatorem jest element g. (Symbol a R A oznacza losowy wybór elementu a ze zbioru A). 1 Bailey Whitfield Diffie (ur. 5 czerwca 1944) - amerykański kryptograf, współtwórca kryptografii asymetrycznej. W 1976 wraz z Martinem Hellmanem opracował rewolucyjną pracę naukową New Directions in Cryptography przedstawiającą pomysł klucza publicznego. W swojej karierze był związany z Massachusetts Institute of Technology oraz Sun Microsystems. 2 Martin Hellman (ur. 2 października 1945) - amerykański kryptograf, współtwórca kryptografii asymetrycznej. Pracował dla firmy IBM, później jako profesor na Stanford University. Po przejściu na emeryturę (1996) skoncentrował się na prawdopodobieństwie i ryzyku związanym z bronią nuklearną. 5

7 Przykład 3. (Protokół Diffiego-Hellmana dla grupy (Z r, + r )). Rozważmy sytuację, w której Alicja dzwoni do Boba w celu wymiany tajnej informacji. Rozmowa jest podsłuchiwana. Ogólny sposób postępowania: 1. Razem wybierają dużą liczbę r N oraz liczbę g [1,..., r 1] Z względnie pierwszą z r. 2. Alicja w sekrecie wybiera sobie liczbę całkowitą n [0,..., r 1]. 3. Bob w sekrecie wybiera sobie liczbę całkowitą m [0,..., r 1]. 4. Alicja oblicza (ng) mod r i przekazuje Bobowi rezultat. 5. Bob oblicza (mg) mod r i przekazuje Alicji rezultat. 6. Wspólny ukryty klucz, który mogą oboje obliczyć, to s = (nmg) mod r. Przypuśćmy teraz, że r = 103, g = 45, n = 31, m = 17. Wówczas (ng) mod r = 56, (mg) mod r = 44, a wartość wspólnego ukrytego klucza wynosi s = (m(ng)) mod r = (n(mg)) mod r = 25. Jest widoczne, że najdogodniej jest przyjąć za r liczbę pierwszą. Osoba podsłuchująca rozmowę otrzymuje informację o liczbach r, g, (ng) mod r oraz (mg) mod r. Na podstawie tych danych poszukuje klucza s := (nmg) mod r. Rozwiązanie postawionego problemu, jak już wspomnieliśmy, jest realne dzięki rozszerzonemu algorytmowi Euklidesa. W konsekwencji protokół Diffiego-Hellmana dla grupy (Z r, + r ) nie nadaje się do żadnych zastosowań. Przykład 4. (Protokół Diffiego-Hellmana dla grupy (Z p, )). Alicja dzwoni do Boba w celu wymienienia tajnej informacji. Telefon jest na podsłuchu. Wówczas: 1. Razem wybierają liczbę pierwszą p. 2. Razem wybierają liczbę g mniejszą od p i będącą generatorem grupy (Z p, ). (Liczby g i p nie są tajne). 3. Alicja w sekrecie wybiera sobie liczbę całkowitą n [0, p 2]. 4. Bob w sekrecie wybiera sobie liczbę całkowitą m [0, p 2]. 5. Alicja oblicza a = (g n ) mod p i przekazuje Bobowi rezultat. 6. Bob oblicza b = (g m ) mod p i przekazuje Alicji rezultat. 6

8 7. Wspólny ukryty klucz, który mogą oboje obliczyć, to s = ((g n ) m ) mod p = ((g m ) n ) mod p = (g nm ) mod p. W algorytmie tym możemy dostrzec dwa klucze prywatne oraz dwa klucze publiczne, z których generowany jest jeden klucz sesji. Podsłuchiwacz ma dostęp do kluczy publicznych, z których każdy składa się z 3 znanych parametrów: g, p oraz reszty a (względnie b). Elementem nieznanym jest n (względnie m), a więc wartość logarytmu dyskretnego z a (względnie b) przy podstawie g, w grupie multiplikatywnej reszt modulo p. 6 Wady systemu Diffiego-Hellmana Wśród mankamentów procesu wymiany klucza według Diffiego-Hellmana jest fakt, że klucze sesji muszą być wymieniane parami. Jeśli zaszyfrowane wiadomości wymienia około stu osób, to metoda wymaga już sporych nakładów. Poza tym zarówno od Alicji jak i od Boba wymagana jest pewna aktywność, zanim będą się mogli ze sobą komunikować. Alicja nie może zostawić żadnej zaszyfrowanej wiadomości dla Boba, jeżeli ten jest np. na urlopie, po czym sama wyjechać w podróż. Ostatnią wadę można obejść poprzez stworzenie bazy danych. Bob przed wyjazdem na urlop wysyła swoją wartość reszty b do bazy. Alicja może wówczas wysyłać Bobowi informacje podczas jego nieobecności, wykorzystując wartość reszty b zamieszczoną przez niego w bazie oraz dobieranie dla każdej informacji innej tajnej liczby n. Nie jest to metoda doskonała, bowiem pojawia się zbiór kluczy prywatnych, którymi może zainteresować się podsłuchiwacz. Wobec powyższego metoda Diffiego- Hellmana może wydawać się nieco uciążliwa, jednak jak wiele innych protokołów kryptograficznych została zautomatyzowana i programowo, i sprzętowo. Nie jest bardziej niebezpieczna niż RSA, natomiast przez 3 lata miała nad nim przewagę, bowiem w 1997 roku przestał obowiązywać jej patent, a patent RSA wygasł dopiero w 2000 roku. 7

9 Literatura [1] Marcin Karbowski, Podstawy kryptografii, Wyd. Helion, [2] Neal Koblitz, Algebraiczne aspekty kryptografii, Wyd. Naukowo- Techniczne, Warszawa, [3] Neal Koblitz, Wykłady z teorii liczb i kryptografii, Wyd. Naukowo- Techniczne, Warszawa, [4] Alfred J. Menezes, Paul C. van Oorschot, Scott A. Vanstone, Handbook of applied cryptography, CRC Press, [5] Keneth A. Ross, Charles R. B. Wright, Matematyka dyskretna, PWN, Warszawa, [6] Reinhard Wobst, Kryptologia. Budowanie i łamanie zabezpieczeń, Wyd. RM, Warszawa,