Eksamen i TMA4155 Kryptografi Intro Høst 2003 Løsningsskisse

Transkript

1 Eksamen i TMA4155 Kryptografi Intro Høst 2003 Løsningsskisse 1 Et blokkchiffer med blokklengde l og nøkkellengde s består av to funksjoner Ẽ (krypteringsfunksjonen) og D (dekrypteringsfunksjonen) som hver tar inn en nøkkel k {0, 1} s og en blokk b {0, 1} l og gir ut en blokk b {0, 1} l. Vi krever av et blokkchiffer at D(k, E(k, b)) = b for alle b {0, 1} l og alle k {0, 1} s. ECB-modus kan brukes til å kryptere som i dette diagrammet: m 0 m 1 m 2 m 3 c 0 c 1 c 2 c 3 I CBC-modus er første blokk av chifferteksten en initiell vektor som velges tilfeldig for hver kryptering. Blokkene i chifferteksten kjedes sammen slik som vist i dette diagrammet: m 0 m 1 m 2 m 3 IV c 0 c 1 c 2 c 3 Hovedproblemet med ECB-modus er at det ikke introduseres noe tilfeldighet i chifferteksten. Krypterer du samme melding to ganger får du samme chiffertekst, og dette er et problem. Et annet alvorlig problem er at hver blokk i meldingen krypteres uavhengig av de andre blokkene. Hvis chifferteksten er IV, c 0, c 1, c 2,..., er første blokk av dekrypteringen lik m 0 = D(k, c 0 ) IV. Hvis angriperen endrer IV til IV, da blir første blokk av dekrypteringen D(k, c 0 ) (IV ) = m 0. En måte å stanse slike angrep på er å bruke en MAC (message authentication code). 1

2 2a En hashfunksjon h er en funksjon som tar vilkårlig lange bitstrenger og gir ut en bitstreng av en bestemt lengde. En kryptografisk hashfunksjon tilfredsstiller i tillegg: 1. Hashverdien x = h(m) må kunne beregnes raskt (arbeidet skal være O( m ), der m er lengden på bitstrengen m. 2. Det må være vanskelig å finne to bitstrenger (meldinger) m 0 og m 1 slik at h(m 0 ) = h(m 1 ) (kollisjoner). 3. Gitt en melding m 0 må være vanskelig å finne en annen melding m 1 slik at h(m 0 ) = h(m 1 ) (andre preimage). 4. Gitt en hash-verdi x må det være vanskelig å finne en melding m slik at h(m) = x (preimage). En hashfunksjon som tilfredsstiller de tre første kravene er kollisjonsmotstandsdyktig. En som tilfredsstiller krav 1, 3 og 4 kalles enveis. En kryptografisk hashfunksjon er både kollisjonsmotstandsdyktig og enveis. La D være dekrypteringsfunksjonen til blokkchifferet. La m 0 være en melding av vilkårlig lengde, og sett x = h(m 0 ). Sett m 1 = D(x; 0 l ) (merk at i denne oppgaven kommer blokken først, deretter nøkkelen). Det er klart at E(m 1 ; 0 l ) = x, og dermed er h(m 1 ) = x = h(m 0 ), og vi kan finne andre preimager. Hashfunksjonen er derfor ikke kollisjonsmotstandsdyktig. Et enklere angrep er å observere at meldingene 0 og 00 begge polstres til en full blokk, og dermed vil h(0) = h(00). 2b Vi setter inn og får y r r s y r (g k ) k 1 (m ar) y r g kk 1 (m ar) y r g m g ar g m (mod p). Her har vi brukt at y g a (mod p), kk 1 1 (mod p 1) og at Fermats lille teorem sier at g p 1 1 (mod p). Tilsvarende får vi at mens y r r s y r (y v g u ) rv 1 y r y rvv 1 g urv 1 g urv 1 g m g su g rv 1 u (mod p). (mod p), Altså vil falskneriet verifiseres. La h være en kryptografisk hashfunksjon. Hvis M er meldingen man vil signere, regner man ut m = h(m) og signerer m i stedet. Siden m blir mer eller mindre tilfeldig valgt i dette angrepet, må angriperen nå i tillegg finne en M slik at h(m) = m. Siden h må være en enveisfunksjon er dette vanskelig, altså fungerer ikke angrepet. 2

3 3a Først ser vi at 59 er et primtall, og at 59 1 = 58 = Ut fra dette ser vi at 2 kan ha orden 2, 29 eller er en primitiv rot hvis 2 har orden 58. Vi regner så ut at (mod 59) og (mod 59). Altså må 2 ha orden 58. 3b Vi får at (mod 59), (mod 59) og (mod 59). Chifferteksten er altså (5, 24). Videre har vi at ( ) 8 45 (mod 59). Med Euklids algoritme 59 = = = = = = = = = = = 3 2 finner vi at 21 er en invers til 45 modulo 59, så meldingen som er kryptert er (mod 59). 3c La k være slik at 27 2 k (mod 59). Da har vi at k m (mod 59). Hintet forteller oss at k+1 (mod 59). Dermed vet vi at k+1 33, eller at 36 k (mod 59). Dermed er m (mod p). 4a Vi lager RSA-nøkler slik. Først finner vi to passende store primtall p og q (f.eks. ved hjelp av Miller-Rabin) og setter n = pq. Deretter velger vi et passende tall e som er relativt primisk til (p 1)(q 1), og finner så en invers d til e modulo (p 1)(q 1). Den offentlige nøkkelen er (n, e), den private nøkkelen er (n, d). Eksempel: Vi velger oss to passende primtall p = 17 og q = 23 (det er lett å sjekke at disse er primtall), og dermed n = 391. Da er (p 1)(q 1) = = 352. Vi kan velge e = 3 siden 3 16 = 2 4 og 3 22 = Dermed vet vi at gcd(3, 352) = 1. Vi finner at 352 = , altså er d = 235 en passende invers til e = 3. Den offentlige nøkkelen er (391, 3), den private nøkkelen er (391, 235). 4b Si at vi har to offentlige nøkler (n, e) og (n, e ), og at vi kjenner den private nøkkelen (n, d) for den første. Da vet vi at ed 1 (mod (p 1)(q 1)), some betyr at for en eller annen k er ed 1 = k(p 1)(q 1). Sett s = ed 1. 3

4 Nå vet vi at e er relativt primisk til (p 1)(q 1), så gcd(s, e ) = gcd(k, e ). Dermed har vi at s = s gcd(s, e ) = k(p 1)(q 1) gcd(k, e ) = k (p 1)(q 1). gcd(k, e ) Det er klart at s og e er relativt primiske, så vi kan finne en invers d til e modulo s. Da er e d 1 (mod s ), eller s (e d 1). Siden (p 1)(q 1) deler s må også (p 1)(q 1) dele (e d 1), altså har vi at e d 1 (mod (p 1)(q 1)). Det betyr at (n, d ) fungerer som en dekrypteringsnøkkel for (n, e ). Altså kan enhver som får utlevert (n, e) og (n, d) enkelt regne ut en dekrypteringsnøkkel for (n, e ). Systemet hindrer dermed ikke at ansatte kan lese meldinger sendt til andre ansatte. 5 En mulig algoritme er den rekursive algoritmen definert ved M(E, P, k) k < 0 k = 0 M(E, P, k) = P k = 1 Vi gjør først litt mellomregning: 2M(E, P, k/2) k = 2k og 2M(E, P, (k 1)/2) + P k = 2k + 1. x x Vi ser at 5P = 2(2P ) + P. Først dobler vi P og får λ ( )(2 9) (mod 11) og x (mod 11) og y 3 9(8 10) 9 6 (mod 11). Vi dobler så 2P = (10, 6) og får λ ( )(2 6) 1 6 (mod 11) og x (mod 11) og y 3 6(10 5) 6 2 (mod 11). Så legger vi sammen 4P = (5, 2) og P = (8, 9) og får λ (9 2)(8 5) (mod 11) 4

5 og x (mod 11) og y 3 6(5 1) 2 0 (mod 11). Vi får at 5P = (1, 0). Nå er det lett å se at 10P = 2(5P ) =, siden 0 0 (mod 11). La N være antall punkter på kurven. Vi vet nå at P har orden 10 (fordi P ikke har orden 2!), så 10 må dele N. Videre sier Hasses teorem at N Altså er 6 < N < 18. Siden 10 skal dele N er den eneste muligheten 10. Det er 10 punkter på kurven. 5