Kryptogra og elliptiske kurver

Like dokumenter
ECC i akademia vs. industrien

OFFENTLIG-NØKKELKRYPTOGRAFI

Kryptografi, del 2. Aslak Bakke Buan, Ole Enge

Høyder på elliptiske kurver og faktorisering. Kristian Gjøsteen, NTNU Oppdatert 1. november 2002

Eksamen i TMA4155 Kryptografi Intro Høst 2003 Løsningsskisse

Repetisjon: høydepunkter fra første del av MA1301-tallteori.

Teorem 10 (Z n, + n ) er en endelig abelsk gruppe. 8. november 2005 c Vladimir Oleshchuk 35. Teorem 11 (Z n, ) er en endelig abelsk gruppe.

Forelesning 9 mandag den 15. september

Grafisk kryptografi (hemmelig koding av bilder)

INF1040 Oppgavesett 14: Kryptering og steganografi

QED Matematikk for grunnskolelærerutdanningen. Bind 2. Fasit kapittel 2 Tallenes hemmeligheter

Kryptering Kongruensregning Kongruensregning i kryptering Litteratur. Hemmelige koder. Kristian Ranestad. 9. Mars 2006

er et er et heltall. For eksempel er 2, 3, 5, 7 og 11 primtall, mens 4 = 2 2, 6 = 2 3 og 15 = 3 5 er det ikke.

1. Cæsarchiffer er en av de enkleste krypteringsteknikkene. Hva går teknikken ut på?

Oppgaver til kapittel 19 - Kryptering og steganografi

Elementær Kryptografi (Appendix A, Cryptography Basics, Building Secure Software)

Forelesning 24 mandag den 10. november

TMA4140 Diskret matematikk Høst 2011 Løsningsforslag Øving 7

ARBEIDSHEFTE I MATEMATIKK

Forelesning 2: Kryptografi

Offentlig nøkkel kryptografi og RSA

Dette brukte vi f.eks. til å bevise binomialteoremet. n i. (a + b) n = a i b n i. i=0

. Vi får dermed løsningene x = 0, x = 1 og x = 2.

Kryptografi og nettverkssikkerhet

Forelesning 2: Kryptografi

Ingen hjelpemiddel er tillatne. Ta med all mellomrekning som trengst for å grunngje svaret. Oppgåve 1... (4%) = = 10 =

1. Krypteringsteknikker

KODER I KLASSEROMMET

PRIMTALL FRA A TIL Å

Tall. Regneoperasjoner med naturlige tall har til alle tider fascinert både ung og gammel.

Uttrykket 2 kaller vi en potens. Eksponenten 3 forteller hvor mange ganger vi skal multiplisere grunntallet 2 med seg selv. Dermed er ) ( 2) 2 2 4

Kryptografi og nettverkssikkerhet

Lokal læreplan. Lærebok: Gruntall. Læringsstrategi

Forelesning 28: Kompleksitetsteori

6 Kryptografi Totienten Eulers teorem Et eksempel på et bevis hvor Eulers teorem benyttes RSA-algoritmen...

MAT1030 Diskret matematikk. Kompleksitetsteori. Forelesning 29: Kompleksitetsteori. Dag Normann KAPITTEL 13: Kompleksitetsteori. 7.

Datasikkerhet. Datasikkerhet. Trusler mot sikkerheten. Kampen mellom det gode og det onde. Datasikkerhet dreier seg om

Reviderte læreplaner konsekvenser for undervisningen?

KAPITTEL 10. EUKLIDS ALGORITME OG DIOFANTISKE LIGNINGER

Fortsettelses kurs i Word

Løsningsforslag Øving 5 TMA4140 Diskret matematikk Høsten 2010

Koder. Kristian Ranestad. 8. Mars 2005

Løysingsforslag til eksamen i MA1301-Talteori, 30/

Mer om likninger og ulikheter

Finn volum og overateareal til følgende gurer. Tegn gjerne gurene.

EJHJUBM SFQSFTFOUBTKPO FS FU LVMU GBH. Jeg avlytter viktig informasjon, sa smarte Tor. Læreboka kapittel 19

Euklids algoritmen. p t 2. 2 p t n og b = p s 1. p min(t 2,s 2 )

Et løst og et par uløste matematiske problem

Lær å bruke CAS-verktøyet i GeoGebra 4.2

Innledning. Mål. for opplæringen er at eleven skal kunne

Løsningsforslag AA6524/AA6526 Matematikk 3MX Elever/Privatister 6. desember eksamensoppgaver.org

Standardisering av krypto i offentlig sektor

Eksamen i emne TTM4135 Informasjonssikkerhet Løsningsforslag.

Ingen hjelpemiddel er tillatne. Ta med all mellomrekning som trengst for å grunngje svaret. Oppgåve 1... (4%) = = 10 =

MAT1030 Forelesning 30

Noen aspekter ved implementasjon og ytelse for kryptosystemer basert på elliptiske kurver

QED 1 7. Matematikk for grunnskolelærerutdanningen. Bind 2. Fasit kapittel 1 Tallenes hemmeligheter

Forord, logg, informasjon og oppgaver

Forelesning 22 MA0003, Mandag 5/ Invertible matriser Lay: 2.2

Kapittel 4: Logikk (predikatlogikk)

Under noen av oppgavene har jeg lagt inn et hint til hvordan dere kan går frem for å løse dem! Send meg en mail om dere finner noen feil!

NyGIV Regning som grunnleggende ferdighet

Tallregning og algebra

Tyngdekraft og luftmotstand

DEL 1 (Uten hjelpemidler, leveres etter 3 timer) 3(a + 1) 4(1 a) (6a 1) = 3a a 6a + 1

Kryptering og steganografi

Emnekode: LV121A Dato: Alle skrevne og trykte hjelpemidler

Grenseverdier og asymptoter. Eksemplifisert med 403, 404, 408, 409, 410, 411, 412, 414, 416, 417, 418, 419

Oversikt over kryptografi

Vekst av planteplankton - Skeletonema Costatum

Kryptering og steganografi

Selmersenteret. ACT - Prosjektet. Kryptografer lærer å tenke som kriminelle. Oversikt

Tiden går og alt forandres, selv om vi stopper klokka. Stoffet i dette kapittelet vil være en utømmelig kilde med tanke på eksamensoppgaver.

Vår referanse: A03 - G:17/173 Revisjon: 01 NASJONAL SIKKERHETSMYNDIGHET. Sikker informasjon i tiden etter en kvantedatamaskin KVANTERESISTENT KRYPTO

Signant Avansert elektronisk signatur

Kryptologi. Læringsmål kryptering og steganografi. Kryptering av data EJHJUBM SFQSFTFOUBTKPO FS FU LVMU GBH

Tid: uke 34-41, periode 1.

RAMMER FOR MUNTLIG EKSAMEN I MATEMATIKK ELEVER 2015

KRYPTO OG AKTUELLE PROBLEMSTILLINGER

Opptelling - forelesningsnotat i Diskret matematikk Opptelling

Matematisk julekalender for trinn, 2008

Forord. Molde, august Per Kristian Rekdal. Copyright c Høyskolen i Molde, 2011.

Rapport Semesteroppgave i datasikkerhet Harald Dahle (795955) og Joakim L. Gilje (796196)

Oversikt over lineære kongruenser og lineære diofantiske ligninger

6105 Windows Server og datanett

Prosent. Det går likare no! Svein H. Torkildsen, NSMO

Fire behov for sikker kommunikasjon

Korteste vei i en vektet graf uten negative kanter

Elektroniske spor. Innsynsrett, anonymitet. Personvernutfordringer. Innsynsrett. Informasjonsplikt og innsynsrett

Kryptering og steganografi

MTÆRVGT. Den romerske feltherren SLIK VIRKER

MA1301 Tallteori Høsten 2014 Oversikt over pensumet

Analyse av nasjonale prøver i lesing, regning og engelsk pa ungdomstrinnet 2015 for Telemark

Fasit og løsningsforslag til Julekalenderen for mellomtrinnet

NSMs kryptoaktiviteter

Dagens temaer. Dagens temaer hentes fra kapittel 3 i Computer Organisation and Architecture. Kort repetisjon fra forrige gang. Kombinatorisk logikk

Løsningsforslag til underveisvurdering i MAT111 vår 2005

Nå kommer vi og bytter din el-måler!

Transkript:

Kryptogra og elliptiske kurver Eivind Eriksen Høgskolen i Oslo Gjesteforelesning, 7. november 2007 Eivind Eriksen (Høgskolen i Oslo) Kryptogra og elliptiske kurver 1 / 23

Plan: 1 Generelt om kryptogra 2 Symmetriske kryptosystemer - hemmelig nøkkel 3 Asymmetriske kryptosystemer - oentlig nøkkel 4 RSA 5 Elliptisk kurve kryptosystemer Eivind Eriksen (Høgskolen i Oslo) Kryptogra og elliptiske kurver 2 / 23

Hovedproblemer i moderne kryptogra Alice Melding Eve Bob 1 Kondensialitet 2 Autentisitet 3 Integritet 4 Ikke-benektning Eivind Eriksen (Høgskolen i Oslo) Kryptogra og elliptiske kurver 3 / 23

Kryptering I Kondensialitet Kondensialitet - at meldingen ikke kan leses av uvedkommende - kan sikres ved hjelp av kryptering og dekryptering av meldingen. Klartekst Kryptering Kryptert tekst Kryptert tekst Dekryptering Klartekst Eivind Eriksen (Høgskolen i Oslo) Kryptogra og elliptiske kurver 4 / 23

Kryptering II Kryptosystemer: Symmetriske kryptosystemer benytter en hemmelig nøkkel. Asymmetriske kryptosystemer benytter en oentlig nøkkel for kryptering, og en hemmelig nøkkel for dekryptering. I praksis brukes asymmetriske kryptosystemer for nøkkelutveksling, og deretter symmetriske kryptosystemer for selve kommunikasjonen. Eivind Eriksen (Høgskolen i Oslo) Kryptogra og elliptiske kurver 5 / 23

Signaturer Digitale signaturer: Autentisitet, integritet og ikke-benektning kan sikres ved hjelp av digitale signaturer. Digitale signaturer implementeres ved hjelp av asymmetriske kryptosystemer. Eivind Eriksen (Høgskolen i Oslo) Kryptogra og elliptiske kurver 6 / 23

Symmetriske kryptosystemer Hemmelig nøkkel: Symmetriske kryptosystemer kjennetegnes ved at kryptering og dekryptering skjer ved hjelp av samme hemmelige nøkkel Kryptering og dekryptering er rask Nøkkelutveksling er et problem Enkelt symmetrisk kryptosystem: Kryptering/dekryptering foregår ved bitvis XOR med den hemmelige nøkkelen Dagens standard: AES (Advanced Encryption Standard) med nøkkellengde 128-256 bits Eivind Eriksen (Høgskolen i Oslo) Kryptogra og elliptiske kurver 7 / 23

Asymmetriske kryptosystemer Oentlig nøkkel: Asymmetriske kryptosystemer kjennetegnes ved at kryptering skjer ved hjelp av en oentlig nøkkel, publisert og tilgjengelig for alle, mens dekryptering skjer ved hjelp av en hemmelig nøkkel Dette er mulig å få til ved hjelp av enveis-funksjoner Eivind Eriksen (Høgskolen i Oslo) Kryptogra og elliptiske kurver 8 / 23

Kryptering som matematiske funksjoner I praksis vil alle meldinger bli gjort om til tall (for eksempel ved hjelp av ASCII-koder og evt. inndeling i blokker av passende lengde) ATTACK AT DAWN blir 0120 2001 0311 0001 2000 0401 2314 når vi bruker tabellen A = 01, B = 02,..., Z = 26, Space = 00 og blokker som består av to tegn. Blokkene krypteres enkeltvis. Kryptering og dekryptering kan sees på som matematiske funksjoner. Krypteringsfunksjonen f K og dekrypteringsfunksjonen f D er omvendte funksjoner. Eivind Eriksen (Høgskolen i Oslo) Kryptogra og elliptiske kurver 9 / 23

Enveisfunksjoner Enveisfunksjonen f K kjennetegnes av: Det nnes en eektiv algoritme for å beregne y = f K (x) når x er gitt Det er i prinsippet mulig å nne tilbake til x når y = f K (x) er gitt, men det nnes ingen eektiv algoritme for beregne x = f D (y). Det nnes en hemmelig nøkkel for funksjonen f D, og det nnes en eektiv algoritme for å beregne x = f D (y) fra y når denne nøkkelen er kjent. x y=f K (x) Kryptering y x=f D (y) Dekryptering x Eivind Eriksen (Høgskolen i Oslo) Kryptogra og elliptiske kurver 10 / 23

RSA kryptosystem RSA (Rivest, Shamir, Adleman), 1977 Et konkret asymmetrisk kryptosystem Enveisfunksjon basert på at faktorisering av store heltall er svært tidkrevende Eivind Eriksen (Høgskolen i Oslo) Kryptogra og elliptiske kurver 11 / 23

Modulær aritmetikk I I praksis bruker man heltall for å representere klartekst og kryptert tekst, og modulær aritmetikk for å danne enveisfunksjoner. La n være et gitt positivt heltall. Da kan vi tenke på modulær aritmetikk som regning med tallene Z n = {0, 1, 2, 3,..., n 1} der vi reduserer alle tall modulo n. Vi erstatter altså tallet med resten ved heltallsdivisjon av tallet med n. Eivind Eriksen (Høgskolen i Oslo) Kryptogra og elliptiske kurver 12 / 23

Modulær aritmetikk II Eksempel: I dette eksempelet er n = 12, og Z 12 = {0, 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11}. 16 mod 12 = 4 fordi resten ved heltallsdivisjonen er 4 4 4 = 16 mod 12 = 4 5 5 = 25 mod 12 = 1 Vi ser at Z n sammen med modulær aritmetikk danner en såkalt ring, det vil si et tallsystem med en addisjon og multiplikasjon som tilfredstiller visse regneregler. Eivind Eriksen (Høgskolen i Oslo) Kryptogra og elliptiske kurver 13 / 23

RSA Algoritmen I RSA nøkkelgenerering: Velg to primtall p, q La n = p q og m = (p 1) (q 1) Velg et lite tall e (1 e m 1) som ikke deler m Finn et tall d (1 d m 1) slik at d e = 1 mod m. Paret (n, e) er den oentlig nøkkelen, og oentligjøres. Paret (n, d) er den hemmelige nøkkelen, og d holdes skjult for uvedkommende. Nøkkelgenereringen over kan gjøres på en eektiv måte. Eivind Eriksen (Høgskolen i Oslo) Kryptogra og elliptiske kurver 14 / 23

RSA Algoritmen II RSA kryptering/dekryptering: Kryptering: f K (x) = x e mod n Dekryptering: f D (x) = x d mod n Beregning av f K (x) kan gjøres på en eektiv måte. Det samme gjelder beregning av f D (x) når den hemmelige nøkkelen d er kjent. Faktorisering er vanskelig: Sikkerheten til RSA er basert på følgende hypotese: Selv om både (n, e) og funksjonen f K (x) er kjent, kan man ikke beregne f D (x) eektivt. Eivind Eriksen (Høgskolen i Oslo) Kryptogra og elliptiske kurver 15 / 23

RSA Algoritmen III Diskret logaritme problemet: Anta at både (e, n) er kjent (den oentlige nøkkelen) og y er kjent (kryptert melding). For å nne tilbake til x (klarteksten), må vi løse likningen x e mod n = y for x. RSA er altså basert på at dette er svært tidkrevende. Problemet med å løse likninger av denne type, kalles DLP (diskret logaritme problemet) Hvis vi kjenner den hemmelige nøkkelen d, er det derimot enkelt å nne x: Vi trenger kun å regne ut x = y d mod n. Eivind Eriksen (Høgskolen i Oslo) Kryptogra og elliptiske kurver 16 / 23

Eksempel på bruk av RSA I RSA nøkkelgenerering: Alice velger p = 47 og q = 59, beregner n = pq = 2773 og m = (p 1)(q 1) = 2668, og velger e = 17. Hun publiserer (2773, 17) som oentlig nøkkel. Alice nner d slik at de = 1 mod 2668 ved hjelp av Euklids algoritme, og kommer til d = 157. Vi sjekker lett at 17 157 = 2669 mod 2668 = 1. Alice skjuler d som sin hemmelige nøkkel. Eivind Eriksen (Høgskolen i Oslo) Kryptogra og elliptiske kurver 17 / 23

Eksempel på bruk av RSA II RSA kryptering/dekryptering: Bob vil sende meldingen ATTACK AT DAWN til Alice. Han bruker tabellen A = 01, B = 02,..., Z = 26 og Space = 00. Meldingen blir da 0120 2001 0311 0001 2000 0401 2314. Bob krypterer disse tallene enkeltvis vha Alice's oentlige nøkkel. Første blokk blir da: f K (0120) = 120 17 mod 2773 = 505. Tilsvarende for de neste blokkene. Alice dekrypterer meldingen vha sin hemmelige nøkkel. Første blokk blir da: f D (505) = 505 157 mod 2773 = 120. Tilsvarende for de neste blokkene. Oppslag gir 0120 = AT etc. Alice nner tilbake til Bob's melding! Eivind Eriksen (Høgskolen i Oslo) Kryptogra og elliptiske kurver 18 / 23

RSA challenge RSA-129 RSA-129: Når RSA ble lansert i 1977, ble det satt fram en utfordring: En melding var kryptert vha RSA med en oentlig nøkkel (n, e), der n var oppgitt (et tall med 129 sier!) og e = 9007. Den krypterte meldingen var også oppgitt. Det ble utlovet en belønning på 100 USD til den som kunne dekryptere meldingen. Når RSA ble lansert, var det beregnet at det trengs 40 kvadrillioner år for å faktorisere et tall med 129 sier, ut i fra de metoder og den teknologi som fantes i 1977. I 1994 ble RSA-129 knekket, ved at n ble faktorisert i to primtall (med hhv 64 og 65 sier). Mer enn 1600 maskiner som kommuniserte over internet brukte 6 måneder på å nne faktoriseringen. Den dekrypterte meldingen var The magic words are squamish ossifrage. Eivind Eriksen (Høgskolen i Oslo) Kryptogra og elliptiske kurver 19 / 23

RSA i dag Det er faktoriseringen n = p q som er vanskelig å nne, alle andre beregninger kan gjøres eektivt. Algoritmene for faktorisering er i dag mye raskere enn i 1977, blant annet quadratic sieve (bruk for å løse RSA-129) og elliptisk kurve faktorisering. Nøkkel med 129 sier svarer til 129 log 2 (10) = 430 bits. Vanlig nøkkellengde i RSA i dag er 1024-2048 bits. RSA er mye langsommere enn symmetriske kryptosystemer som AES. I praksis brukes RSA til å kryptere nøkler, deretter symmetrisk krypto for å kryptere selve kommunikasjonen. Eivind Eriksen (Høgskolen i Oslo) Kryptogra og elliptiske kurver 20 / 23

ECC - eliptiske kurve kryptosystem For å øke sikkerheten, eller oppnå samme sikkerhet med lavere nøkkellengde, ønsker man å nne enveisfunksjoner som er ennå mer kompliserte enn den som brukes i RSA. Kortere nøkkellengder er spesielt viktig der man har begrenset plass, for eksempel i SMART kort. Asymmetriske kryptosystemer basert på elliptiske kurver (ECC) ble foreslått av Koblitz og Miller (1985). Basert på dagens metoder, tror man at 173 bits ECC og 1024 bits RSA er like sikre, og at 313 bits ECC og 4096 bits RSA er like sikre. Eivind Eriksen (Høgskolen i Oslo) Kryptogra og elliptiske kurver 21 / 23

ECC - matematikk Elliptisk kurve: y 2 = x 3 + ax + b for to gitte tall a, b Vi lar p være et stort primtall, og ser på elliptisk kurve denert over Z p. Det vil si at a, b Z p, og at punktene (x, y) Z p. Det nnes en måte å legge sammen punkter på en elliptisk kurve: (x 1, y 1 ) + (x 2, y 2 ) = (x 3, y 3 ). Formlene for x 3 og y 3 er nokså kompliserte. ECC er basert på DLP for n (x, y) = (x, y) + (x, y) + + (x, y) (det er n summander). Eivind Eriksen (Høgskolen i Oslo) Kryptogra og elliptiske kurver 22 / 23

ECC - algoritme Oentlig nøkkel: En elliptisk kurve E (gitt ved p, a og b) og et punkt P = (x, y) på E. Vi lar p være et stort primtall, og ser på elliptisk kurve denert over Z p. Det vil si at a, b Z p, og at punktene (x, y) Z p. Hemmelig nøkkel har med ordenen til den elliptiske kurven (antall punkter på kurven). Eivind Eriksen (Høgskolen i Oslo) Kryptogra og elliptiske kurver 23 / 23

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding