ΠΟΛΥΩΝΥΜΙΚΗ ΠΑΡΕΜΒΟΛΗ ΚΡΥΠΤΟΓΡΑΦΙΚΩΝ...

ΠΟΛΥΩΝΥΜΙΚΗ ΠΑΡΕΜΒΟΛΗ ΚΡΥΠΤΟΓΡΑΦΙΚΩΝ ΣΥΝΑΡΤΗΣΕΩΝ

Γ. Κ. Μελετίου

2

Δομή παρουσίασης (1)

(A) Κρυπτογραφικές συναρτήσεις και πολυωνυμική παρεμβολή • Οι συναρτήσεις του Διακριτού Λογαρίθμου και Diffie –

Hellman και οι εφαρμογές τους στην Κρυπτογραφία.

• Χρήση παρεμβολής κατά Lagrange για τον υπολογισμό

τους.

3

Δομή παρουσίασης (2) (B) Παρεμβολή με ακριβείς (exact) τύπους.

• Εύρεση πολυωνύμων που αναπαριστούν τις κρυπτογραφικές συναρτήσεις πάνω σε όλο το πεπερασμένο σώμα (στο πεδίο ορισμού).

• Προσδιορισμός ακριβών τύπων (exact formula). • Χρήση πινάκων. • Χρήση διακριτών μετασχηματισμών Fourier.

(C) Παρεμβολή σε υποσύνολα (sets of given data)-

προσδιορισμός κατωτέρων φραγμάτων (Lower Bounds).

Δομή παρουσίασης (3) (D) Η συνάρτηση του ∆ιπλού ∆ιακριτού Λογαρίθμου.

• Η συνάρτηση του Διπλού Διακριτού Λογαρίθμου και οι εφαρμογές της.

• Εύρεση κατωτέρων ορίων. * rq p• Η περίπτωση ,qF = .

• Η περίπτωση ομάδων που προέρχονται από ελλειπτικές καμπύλες.

(E) Η συνάρτηση της ρίζας του ∆ιακριτού Λογαρίθμου. • Η συνάρτηση της ρίζας του Διακριτού Λογαρίθμου και οι εφαρμογές της.

• Χρήση παρεμβολής για τον υπολογισμό και εύρεση κατωτέρων ορίων.

4

(Α) Κρυπτογραφικές συναρτήσεις και πολυωνυμική παρεμβολή. Η συνάρτηση του ∆ιακριτού Λογαρίθμου (1)

Έστω

G κυκλική ομάδα τάξης t, g G t= = ,

Y G στοιχείο της ομάδας . ∈ G

5

Ο Διακριτός Λογάριθμος του ως προς τη βάση είναι ο

μικρότερος θετικός ακέραιος που ικανοποιεί τη

σχέση . Το πρόβλημα έγκειται στην εύρεση ενός

εφικτού αλγορίθμου για τον υπολογισμό του

Y g

x : 0 x t≤ <xY g=

x.

(Α) Κρυπτογραφικές συναρτήσεις και πολυωνυμική παρεμβολή Η συνάρτηση του ∆ιακριτού Λογαρίθμου (2)

Έστω , ακέραιοι NN,a,b 0 a,b< < .

kΝα υπολογισθεί (αν υπάρχει):

ka b(mod N)≡

6

(Α) Κρυπτογραφικές συναρτήσεις και πολυωνυμική παρεμβολή Η συνάρτηση του ∆ιακριτού Λογαρίθμου (3) Pohlig – Hellman (Συμετρικό) Χώρος Μηνυμάτων: M: 0<M<p-1 Χώρος Κρυπτογραφημάτων: C: 0<C<p-1

k: 0<k<p-2Χώρος Κλειδιών:

kM C M mod p≡a (Κρυπτογράφηση) dC M C mod p≡a (Αποκρυπτογράφηση)

Σχέση και (Κλειδιών Κρυπτογράφησης και Αποκρυπτογράφησης): k d 1 mod(p-1)

k d⋅ ≡

7

(Α) Κρυπτογραφικές συναρτήσεις και πολυωνυμική παρεμβολή Η συνάρτηση του ∆ιακριτού Λογαρίθμου (4) Κρυπτοσύστημα El Gamal (Δημόσιου Κλειδιού-Μη συμμετρικό) a , 1<a p-2≤ , ιδιωτικό κλειδί, modaA g p≡ δημόσιο κλειδί M , μήνυμα.

Κρυπτογράφηση: E(M)=(X,Y), όπου:

modkX g p≡ , p modk ak aY M A M g M X≡ ⋅ ≡ ⋅ ≡ ⋅ Αποκρυπτογράφηση: ( ) 1

( , ) modaD X Y M X Y p−

= ≡

8

(Α) Κρυπτογραφικές συναρτήσεις και πολυωνυμική παρεμβολή Tο πρόβλημα του κλειδιού των Diffie – Hellman (The Diffie Hellman key Problem) Δίνονται: G κυκλική ομάδα τάξης t, g G t= , =

,X Y G∈ στοιχείa της ομάδας . Έστω G xX g= , yY g=

Το πρόβλημα έγκειται στην εύρεση ενός εφικτού αλγορίθμου για τον υπολογισμό του x yW g ⋅= από τα X και Y .

9

(Α) Κρυπτογραφικές συναρτήσεις και πολυωνυμική παρεμβολή Tο πρόβλημα της απεικόνισης των Diffie – Hellman. (The Diffie Hellman mapping Problem ) Δίνονται: G κυκλική ομάδα τάξης t, g G t= =

∈

, X G στοιχείa της ομάδας . Έστω G xX g= . Το πρόβλημα έγκειται στην εύρεση ενός εφικτού αλγορίθμου για τον υπολογισμό του από τo

2xW g= X . Πρόκειται για ειδική περίπτωση για X Y= , η απεικόνιση έχει τη μορφή:

2x xg ga

10

(Α) Κρυπτογραφικές συναρτήσεις και πολυωνυμική παρεμβολή Ανταλλαγή κλειδιών κατά Diffie – Hellman

• Οι Α,Β επιλέγουν p, g , 1<b,a p-2≤

ag• Ο Α υπολογίζει • Ο Β υπολογίζει bg • Ο Α στέλνει

ag⎯⎯→ στον Β • Ο Β στέλνει

bg⎯⎯→ στον Α • Ο Α υπολογίζει ( )ab abg g=

• Ο B υπολογίζει ( )ba abg g=

11

• Το abg αποτελεί κλειδί για συμμετρικό κρυπτοσύστημα ανάμεσα στον Α και Β

Εικασία

• Ο Υπολογισμός του από τα και είναι υπολογιστικά ισοδύναμος με το Πρόβλημα του Διακριτού Λογαρίθμου;

abg ag bg

12

(A) Κρυπτογραφικές συναρτήσεις και πολυωνυμική παρεμβολή Χρήση παρεμβολής κατά Lagrange - Προβληματισμοί:

Για κάθε συνάρτηση q qf ∈ →F F , όπου είναι το πεπερασμένο σώμα με στοιχεία, υπάρχει ένα μοναδικό πολυώνυμο ( )P x ,

qFq( )deg ( ) 1P x q≤ − με ( ) ( )P x f x= για όλα

τα qx∈F . Είναι δυνατή η παρεμβολή ή η προσέγγιση των

κρυπτογραφικών συναρτήσεων με πολυώνυμα μικρού

βαθμού ή μικρού αριθμού μη μηδενικών συντελεστών

(sparcity) ; Δηλ. με πολυώνυμα που υπολογίζονται “εύκολα”.

13

14

(Α) Κρυπτογραφικές συναρτήσεις και πολυωνυμική παρεμβολή Χρήση παρεμβολής κατά Lagrange- Επιλογές:

I. Προσδιορισμός του πολυωνύμου που αναπαριστά την

κρυπτογραφική συνάρτηση πάνω σε ολόκληρο το

πεπερασμένο σώμα (exact polynomial form).

II. Παρεμβολή της κρυπτογραφικής συνάρτησης πάνω σε ένα

υποσύνολο του πεπερασμένου σώματος (a set of given data).

(Β) Παρεμβολή με ακριβείς τύπους Ο ∆ιακριτός Λογάριθμος ως πολυώνυμο. Η περίπτωση του pZ .

Έστω ότι πρώτος, p *pg Z∈ , γεννήτορας της πολλαπλασιαστικής

ομάδας του , δηλαδή g

pZ *pg Z= .

Τότε το πολυώνυμο:

2

1 1

ip

ii

xg

−

= −∑

15

Αναπαριστά τον διακριτό λογάριθμο του x ως προς βάση , για όλα τα *

gpx Z∈ . Πρέπει να σημειωθεί ότι οι συναρτήσεις των

συντελεστών είναι πολύ απλές συναρτήσει [Wells, A. L., (1984)].

(Β) Παρεμβολή με ακριβείς τύπους Χρήση διακριτού μετασχηματισμού Fourier. Ισοδύναμα:

( )2

1

log ( ) 1,2,..., 1 ( )ijg

p

xx

x p g

x

−

−

⎛ ⎞⎜ ⎟⎜ ⎟= − −⎜ ⎟⎜ ⎟⎜ ⎟⎝ ⎠

M

16

Με )( ijg −− p p παριστάνουμε τον 1)( 1× − i j p πίνακα, 11 ,≤ ≤ − . − [Meletiou, G.C. (1993)],

(Β) Παρεμβολή με ακριβείς τύπους Ο ∆ιακριτός Λογάριθμος ως πολυώνυμο πάνω στο

. ( , )= =F F nq pGF p n

Έστω *np

g∈F , γεννήτορας της πολλαπλασιαστικής ομάδας του

σώματος, δηλαδή

g*

npg = F , *

nz

pg x= ∈F , 1n1 z p≤ − . ≤

Το z γράφεται στο σύστημα αρίθμησης με βάση το ως: 1

p

0

ns

ss

z d p−

=

= ∑ , ms0 d ≤ . Τότε: ≤

( )2

1 1

n

s

ip

s pii

xdg

−

=

=−

∑ ,

17

[Meletiou, G.C. (1993)], [Meletiou, G.C., Mullen, G.L.,(1992)], [Mullen, G.L., White, D., (1986], [Niederreiter, H., (1990]

(Β) Παρεμβολή με ακριβείς τύπους Χρήση μετασχηματισμού Fourier. Ισοδύναμα:

( )2

1

1,2,..., 1 ( )s

n

n ijps

p

xx

d p g

x

−

−

⎛ ⎞⎜ ⎟⎜ ⎟= − − ⎜ ⎟⎜ ⎟⎜ ⎟⎝ ⎠

M

Με )(sijpg −− n np p παριστάνουμε τον 1)( 1− × −ni j p≤ ≤

πίνακα, 1− . 1 ,

[Meletiou, G.C. (1993)], [Meletiou, G.C., Mullen, G.L.,(1992)]

18

(Β) Παρεμβολή με ακριβείς τύπους Ο ∆ιακριτός Λογάριθμος στο pZ στην περίπτωση που η βάση δεν είναι υποχρεωτικά γεννήτορας της g *

pZ Έστω ότι πρώτος, p *

pg Z∈ , g m= , το διαιρεί το m 1p − .

Θεωρούμε την συνάρτηση : p pf Z Z→ με ( )zf g z= , 1 z m≤ ≤ , ( ) 0f x = για x g∉

Τότε 1

1( )

pi

if x c x−

=∑ , όπου:

( ) 11 , ο δεν διαιρεί τον

1 ( 1), ο διαιρεί τον 2

i

i

m g m ic

m m m i

−⎧− −⎪= ⎨− +⎪⎩

19

Εναλλακτικά 1

1 1

1

1( ) 1 ( 1) (1 ) ( ) ( )2

mm p i i

gmx x g x X x x

−− −

< > f+⎡ ⎤⎡ ⎤= − − ⋅ + − = ⋅⎢ ⎥⎣ ⎦ ⎦∑ f

⎣gX < > η χαρακτηριστική συνάρτηση στο g ,

f ο περιορισμός της f στο g . Ισοδύναμα με χρήση μετασχηματισμού Fourier:

( )2

1( ) 1,2,..., ( )ij

m

xx

f x m m g

x

− −

⎛ ⎞⎜ ⎟⎜ ⎟=⎜ ⎟⎜ ⎟⎜ ⎟⎝ ⎠

M

20

Με )( ijg −− m m παριστάνουμε τον )( × πίνακα, 1 ,i j m≤ ≤ . [Meletiou, G.C., Mullen, G.L.,(1992)]

(Β) Παρεμβολή με ακριβείς τύπους Ο ∆ιακριτός Λογάριθμος ως πολυώνυμο στο με τυχαία βάση .

npF

g Έστω ότι , *

npg∈F g m= , το διαιρεί το m 1np − , zg x g= ∈ ,

1 z m≤ ≤ , 1

0

ns

ss

z d p−

=

= ∑ , 1s0 d p≤ ≤ − (σύστημα αρίθμησης με βάση

το ). pΓια x g∈ θέτουμε ( )s sd x d= , για ∉x g θέτουμε 0( )

21

sd x = .

Τότε 1

1( )

npi

s id x c x−

= ∑ , όπου:

( ) 11 , ο δεν διαιρεί τον

1 ( 1), ο διαιρεί τον 2

si p

i

m g m ic

m m m i

−⋅⎧− −⎪

= ⎨⎪− +⎩

Εναλλακτικά

11 1

1

1( ) 1 ( 1) (1 ) ( ) ( )2

n sm

m p i p is g s

md x x g x X x d x−

− ⋅ −< >

+⎡ ⎤⎡ ⎤= − − ⋅ + − = ⋅⎢ ⎥⎣ ⎦ ⎦∑

⎣gX < > η χαρακτηριστική συνάρτηση στο g ,

sd ο περιορισμός της sd στο g .

22

[Meletiou, G.C., Mullen, G.L.,(1992)]

Ισοδύναμα με χρήση μετασχηματισμού Fourier:

( )2

1( ) 1,2,..., ( )sij p

s

m

xx

d x m m g

x

− − ⋅

⎛ ⎞⎜ ⎟⎜ ⎟=⎜ ⎟⎜ ⎟⎜ ⎟⎝ ⎠

M

23

Με )( ijg −− m m παριστάνουμε τον )( × πίνακα, 1 ,i j m≤ ≤ . [Meletiou, G.C., Mullen, G.L.,(1992)]

(Β) Παρεμβολή με ακριβείς τύπους Η συνάρτηση κλειδιού των Diffie-Hellman ως πολυώνυμο. Έστω ότι , *

npg∈F g m= , το διαιρεί το m 1np − , 1 ,a b m≤ ≤ . Τότε

το πολυώνυμο: 1

1

mi j i j

i , jf ( x, y ) m g x y− ⋅

=

= ∑

Έχει την ιδιότητα ( )a b abf g ,g g= [Meidl, W., Winterhof, A., (2002)]

24

Ισοδύναμα με χρήση μετασχηματισμού Fourier:

2

1 2 m ij

m

xx

f ( x, y ) m ( y, y ,.., y ) ( g )

x

− −

⎛ ⎞⎜ ⎟⎜ ⎟⎜ ⎟= ⋅ ⋅ ⋅ ⋅⎜ ⎟

25

⋅⎜ ⎟⎜ ⎟

⎠

⎝ Με )( ijg − παριστάνουμε τον )(m m× πίνακα, 1 ,i j m≤ ≤ .

(C) Παρεμβολή σε υποσύνολα - προσδιορισμός κατωτέρων φραγμάτων Ο ∆ιακριτός Λογάριθμος σε υποσύνολο του pZ

Έστω πρώτος, p *pg Z∈ . Θεωρούμε το υποσύνολο

1,2,..., 1S p⊆ − , 1S p s= − − . Έστω ότι το πολυώνυμο

( ) [ ]pF X Z X∈ ικανοποιεί τη σχέση ( )xF g x= για όλα τα x S∈ . Τότε ισχύει: ( )deg 2 2F p s (κάτω φράγμα-lower bound). ≥ − −

26

[Coppersmith, D., Shparlinski, I., (2000)], [Shparlinski, I.E., (2003)]

(C) Παρεμβολή σε υποσύνολα - προσδιορισμός κατωτέρων φραγμάτων Η περίπτωση του rq p

=F F .

Έστω πρώτος, p rq p= , *qg∈F , *

qg = F . Έστω *q∈ξ F , ,

0 2 (Το l είναι ο διακριτός λογάριθμος του

lg = ξl q≤ ≤ − ξ για βάση ).

Έστω η πολυωνυμική βάση g

2 11 r, , ,..., −α α α του πάνω στο qF pZ .

Το γράφεται l1

0

ri

ii

l d p−

=

= ∑ . Ορίζουμε:

( )1

0

ri

g ii

P d−

=

ξ = α∑

27

Το 1

0

ri

ii

d−

=

α∑ αντιπροσωπεύει τον ακέραιο και εξαρτάται από το . l ξ

(C) Παρεμβολή σε υποσύνολα - προσδιορισμός κατωτέρων φραγμάτων Ο ∆ιακριτός Λογάριθμος σε υποσύνολο του rp

F .

Έστω πρώτος, p rq p= , *qg∈F , *

qg = F . Θεωρούμε το υποσύνολο , *

qS ⊆ F 1S q s= − − . Έστω ότι το πολυώνυμο ( ) [ ]qF X X∈F ικανοποιεί τη σχέση ( ) ( )gF P=ξ ξ για όλα τα S∈ξ . Τότε ισχύει:

( )deg 1 2qF q sp

≥ − − − , ( ) 1 12

qspr Fs q p−

≥ −+

(κάτω φράγμα-lower bound).

28

[Winterhof, A., (2002)]

(C) Παρεμβολή σε υποσύνολα - προσδιορισμός κατωτέρων φραγμάτων Το κλειδί των Diffie-Hellman σε υποσύνολο του πεδίου ορισμού.

Έστω δύναμη πρώτου, q *qg g∈ =F . Θεωρούμε το υποσύνολο

[ 1, ] [ 1, ]A N N h N N h⊆ + + × + + με , και 2 1h q≤ ≤ − 8 510A h≥ . Έστω ότι το πολυώνυμο ( ) [ ], ,qF U V X Y∈F ικανοποιεί τη σχέση

( ),x y xyF g g g= για όλα τα ( , )x y A∈ . Τότε ισχύει:

29

( )2

3deg128

AF

h≥ (κάτω φράγμα-lower bound).

(C) Παρεμβολή σε υποσύνολα - προσδιορισμός κατωτέρων φραγμάτων Το πρόβλημα απόφασης των Diffie-Hellman σε υποσύνολο του πεδίου ορισμού.

Έστω δύναμη πρώτου, q *qg g∈ =F . Θεωρούμε το υποσύνολο

][ 1, ] [ 1,A N N h N με 1h qN h⊆ + + × + + 2 ≤ ≤ − . Έστω ότι το τριών μεταβλητών πολυώνυμο ( ) [ ], , , ,qF U V T X Y Z∈F ικανοποιεί τη σχέση ( ) 0, ,x y xyF g g g = για όλα τα ( , )x y A∈ . Τότε ισχύει:

( ) 8 5deg3

AF

h≥ (κάτω φράγμα-lower bound).

30

[El Mahassni, E., Shparlinski, I.E., (2001)]

(C) Παρεμβολή σε υποσύνολα - προσδιορισμός κατωτέρων φραγμάτων Το κλειδί των Diffie-Hellman σε υποσύνολο του πεδίου ορισμού.

Έστω δύναμη πρώτου, q *qg∈F , 1g d q= − . Θεωρούμε τα

υποσύνολα 0,1,..., 1A d⊆ − , με [ 1, ]B N N h⊆ + + B h s= − , 1 h d≤ < . Έστω ότι το πολυώνυμο ( ) [ ], ,qF U V X Y∈F ικανοποιεί τη σχέση ( ) για όλα τα ,x y xyF g g g= ( , )x y A B∈ × . Τότε ισχύει:

( )deg min ,1

h sF As

⎛ ⎞−⎡ ⎤≥ ⎜ ⎟⎢ ⎥+⎢ ⎥⎝ ⎠ (κάτω φράγμα-lower bound).

31

[Winterhof, A., (2001)]

32

(C) Παρεμβολή σε υποσύνολα - προσδιορισμός κατωτέρων φραγμάτων Αναπαράσταση άλλων κρυπτογραφικών συναρτήσεων.

1) Αναπαράσταση συναρτήσεων που έχουν σχέση με το πρόβλημα της παραγοντοποίησης και το κρυπτοσύστημα RSA. [Adelmann, C., Winterhof, A., (2006)]

2) Αναπαράσταση του Λογαρίθμου του Lucas. [Aly, H., Winterhof, A., (2006)]

(D) Η συνάρτηση του ∆ιπλού ∆ιακριτού Λογαρίθμου.

Ορισμός του ∆ιπλού ∆ιακριτού Λογαρίθμου (Double Discrete Logarithm)

Έστω κυκλική ομάδα τάξης t, G g G t= , =

Έστω *th Z∈ στοιχείο τάξης h m= .

Διπλός Διακριτός Λογάριθμος ενός στοιχείου Gxhz g= ∈ ως

προς τις βάσεις g και είναι ο μοναδικός ακέραιος h

x : 0 x m≤ < .

33

[G. C. Meletiou, A. Winterhof, (2008)]

(D) Η συνάρτηση του ∆ιπλού ∆ιακριτού Λογαρίθμου. ∆ύο περιπτώσεις κυκλικών ομάδων:

Υποομάδες της πολλαπλασιαστικής ομάδας ενός

πεπερασμένου σώματος με στοιχεία. qF q

Ομάδες που προέρχονται από ελλειπτικές καμπύλες

πάνω σε ένα πεπερασμένο σώμα . qF

34

35

(D) Η συνάρτηση του ∆ιπλού ∆ιακριτού Λογαρίθμου. Εφαρμογές ∆ιπλού ∆ιακριτού Λογαρίθμου

group signature schemes

publicly verifiable secret sharing schemes [Camenisch, J., Stadler, M., (1997)], [Lysyanskaya, A., Ramzan, Z., (1998], [Camenisch J L, ( 1998)], [Stadler, M., (1996)]

36

(D) Η συνάρτηση του ∆ιπλού ∆ιακριτού Λογαρίθμου. Εφαρμογές ∆ιπλού ∆ιακριτού Λογαρίθμου Group Signatures: Είδος Ψηφιακής υπογραφής για μια ομάδα χρηστών όπου:

1) Μόνο τα μέλη της ομάδας μπορούν να υπογράφουν 2) Η υπογραφή μπορεί να επαληθευθεί χωρίς να γίνει

γνωστό ποιο μέλος της ομάδας υπέγραψε 3) Σε περίπτωση ανάγκης είναι δυνατό να εντοπισθεί το

μέλος της ομάδας που υπέγραψε

37

Ένα group signature scheme αποτελείται από: Μία ομάδα χρηστών (τα μέλη) Έναν membership manager Έναν revocation manager

• Κάθε μέλος μπορεί να υπογράφει (ψηφιακά) για λογαριασμό ολόκληρης της ομάδας, χωρίς να αποκαλύψει την ταυτότητά του.

• Η υπογραφή του επαληθεύεται με το δημόσιο κλειδί της ομάδας χωρίς να αποκαλυφθεί η ταυτότητα του υπογράφοντος

• Ο membership manager είναι υπεύθυνος για την εγκατάσταση του συστήματος και την πρόσθεση νέων μελών.

• Ο revocation manager είναι σε θέση (αν χρειασθεί) να αποκαλύψει την ταυτότητα του υπογράφοντος

38

(D) Η συνάρτηση του ∆ιπλού ∆ιακριτού Λογαρίθμου. Εφαρμογές ∆ιπλού ∆ιακριτού Λογαρίθμου Secret sharing schemes

• Ένα μυστικό (secret) διασπάται σε μερίδες (shares) που με της σειρά τους μοιράζονται στους συμμετέχοντες (participants).

• Υπάρχουν κάποιες ομάδες συμμετεχόντων που μπορούν να ανακτήσουν το μυστικό χρησιμοποιώντας τις μερίδες τους.

• Μία ομάδα που δεν ανήκει στις παραπάνω ομάδες δεν είναι σε θέση να ανακτήσει το μυστικό. Επίσης δεν είναι σε θέση να αποκτήσει καμία πληροφορία σχετική με το μυστικό.

(D) Η συνάρτηση του ∆ιπλού ∆ιακριτού Λογαρίθμου. Εφαρμογές ∆ιπλού ∆ιακριτού Λογαρίθμου Secret sharing schemes

• Ένα μυστικό (secret) διασπάται σε μερίδες (shares) που με της σειρά τους μοιράζονται στους N συμμετέχοντες (participants).

N

• Μία ομάδα συμμετεχόντων, k 2 k N≤ < μπορούν να ανακτήσουν το μυστικό χρησιμοποιώντας τις μερίδες τους.

m m k• Μία ομάδα συμμετεχόντων, δεν είναι σε θέση να ανακτήσει το μυστικό. Επίσης δεν είναι σε θέση να αποκτήσει καμία πληροφορία σχετική με το μυστικό.

<

39

40

(D) Η συνάρτηση του ∆ιπλού ∆ιακριτού Λογαρίθμου. Εφαρμογές ∆ιπλού ∆ιακριτού Λογαρίθμου Verifiable secret sharing schemes

• Ένα Secret sharing scheme. • Υπάρχει κάποια διαδικασία (δημόσιος αλγόριθμος) που δίνει τη δυνατότητα σε κάθε συμμετέχοντα να επιβεβαιώσει ότι η μερίδα του είναι «αληθινή», δηλαδή μπορεί να χρησιμεύσει στην ανάκτηση του μυστικού.

41

(D) Η συνάρτηση του ∆ιπλού ∆ιακριτού Λογαρίθμου. Εφαρμογές ∆ιπλού ∆ιακριτού Λογαρίθμου Public verifiable secret sharing schemes

• Ένα Verifiable Secret sharing scheme. • Ο οποιοσδήποτε χρήστης μπορεί να αποδείξει δημόσια ότι η διανομή των μερίδων έγινε με έντιμο τρόπο.

(D) Η συνάρτηση του ∆ιπλού ∆ιακριτού Λογαρίθμου. Παράδειγμα: Επαληθεύσιμη (Verifiable) κρυπτογράφηση διακριτών λογαρίθμων [Stadler, M., (1996)]

42

Έστω ότι g G p= = , p πρώτος, , p 2q 1= + *ph Z∈ , h q= ,

πρώτος. q

Ένα ιδιωτικό κλειδί qz Z∈ επιλέγεται τυχαία και το δημόσιο κλειδί

ανακοινώνεται. zy h (mod p)≡ Ένα μήνυμα κρυπτογραφείται με τη μορφή , v (A,B) A h (mod p)α≡ και

1B v y (mod p)− α≡ (ElGamal's public key cryptosystem). Το στοιχείο δημοσιοποιείται. vw g= Επαληθεύοντας ότι το ζεύγος είναι το κρυπτογράφημα του διακριτού λογαρίθμου του δημοσιοποιημένου στοιχείου vw

(A,B)g= της ομάδας

G είναι ισοδύναμο με το να επαληθεύσουμε ότι ο διακριτός λογάριθμος του ως προς βάση h ταυτίζεται με τον διπλό διακριτό λογάριθμο του Bw ως

προς τις βάσεις A

g και y .

(D) Η συνάρτηση του ∆ιπλού ∆ιακριτού Λογαρίθμου. Υποομάδες πολλαπλασιαστικών ομάδων πεπερασμένων σωμάτων . pZ

Θεώρημα. [G. C. Meletiou, A. Winterhof, (2008)] t ≥ p 1(mod t)≡p Έστω 3 ακέραιος, πρώτος,

* *pg Z∈ στοιχείο τάξης , t th Z∈ στοιχείο τάξης , m 2≥

S 0,1,...,m 1⊆ − σύνολο S m s= − , pf (x) Z [x]∈ πολυώνυμο:

( )nhf g n= για όλα τα n S∈ ,

Τότε: m 2sdeg(f )2v−

≥ (κατώτερο φράγμα-lower bound)

Όπου είναι ο μικρότερος ακέραιος από το σύνολο: v nh (m 43

od t) :1 n m≤ ≤

(D) Η συνάρτηση του ∆ιπλού ∆ιακριτού Λογαρίθμου. Ανω φράγματα για τo v

44

Αν ο είναι πρώτος και ο είναι αρκετά μεγάλος, τότε

d , μικρός και

t m

m (t 1) /= − d dv 2≤ .

Στην περίπτωση που d 2= , είναι το μικρότερο τετραγωνικό

κατάλοιπο (quadratic residue) ,

v

(mod m) 1 v≠ άρα v 2,3,4∈

ανάλογα με το . t

Εν γένει . v o(m)=

Αν ο είναι πρώτος και τότε t 1/ 2m t≥ 34 / 37v O(t )+ε= .

(D) Η συνάρτηση του ∆ιπλού ∆ιακριτού Λογαρίθμου. Γενίκευση στο , qF

rq p= . Ορισμός:

Έστω p πρώτος, ακέραιος, r rq p= , ακέραιος n

45

Έστω 1 2 r, ,...,β β β βάση του πάνω στο . qF pZ Ορίζουμε: qn ∈F με n 1 1 r r: n ... nξ = β + + β , ξ

2 r 11 2 3 rn n n p n p ... n p (mod q)−≡ + + + + και 1 2 r0 n ,n ,...,n p≤ < , δηλαδή τα είναι ψηφία στο σύστημα

αρίθμησης με βάση το in

p. 0 nΣτην περίπτωση που q≤ < το qn ∈F αντιπροσωπεύει το . nξ

(D) Η συνάρτηση του ∆ιπλού ∆ιακριτού Λογαρίθμου. Υποομάδες πολλαπλασιαστικών ομάδων πεπερασμένων σωμάτων . rp

F

Θεώρημα. [G. C. Meletiou, A. Winterhof, (2008)] t 3≥ p

46

Έστω ακέραιος, πρώτος, ακέραιος τέτοιος ώστε rq p , *

r1(mod t)= ≡ qg∈F στοιχείο τάξης t , *

th Z∈ στοιχείο τάξης , m 2≥ S 0,1,...,m 1⊆ − , S m s= − ) [x], qf (x ∈F πολυώνυμο:

( )nhnf g = ξ για όλα τα n S∈ ,

Τότε: l

m 2s m 4sdeg(f ) max ,2 v 2h− −⎧ ⎫≥ ⎨ ⎬

⎩ ⎭ (κάτω φράγμα-lower bound)

Όπου είναι ο μικρότερος ακέραιος στο σύνολο: v nh (mod t) :1 n m≤ ≤ και pl log (m)⎡ ⎤= ⎢ ⎥

(D) Η συνάρτηση του ∆ιπλού ∆ιακριτού Λογαρίθμου.

Παρατηρήσεις

Το φράγμα: l

m 2sdeg(f )2 v−

≥ έχει έννοια μόνο για μεγάλα p και

δεν σημαίνει τίποτα στην περίπτωση που p 2= .

Στην περίπτωση που 2p

47

= μόνο το φράγμα: m 4sdeg(f )2h−

≥

εφαρμόζεται.

(D) Η συνάρτηση του ∆ιπλού ∆ιακριτού Λογαρίθμου. Ελλειπτικές Καμπύλες πάνω σε σώματα με τάξη πρώτο αριθμό

Θεώρημα. [G. C. Meletiou, A. Winterhof, (2008)] Έστω p 3≥ πρώτος, ελλειπτική καμπύλη πάνω στο E pZ ,

t tP σημείο της τάξης , πρώτος kP

Ekx η πρώτη συντεταγμένη της , 1 k t 1≤ ≤ −

* m 2≥th Z∈ στοιχείο τάξης , S 0,1,...,min(m,p) 1⊆ − , S m s= − ,

pf (x) Z [x]∈ πολυώνυμο:

( )nhf x n= για όλα τα n S∈ ,

48

Τότε: 2(t 1) / m

1deg(f ) (min(m,p) 2s)4 2 −≥ −⋅

(κάτω φράγμα-lower

bound).

(D) Η συνάρτηση του ∆ιπλού ∆ιακριτού Λογαρίθμου. Η περίπτωση m p>

Σύμφωνα με το θεώρημα Hasse-Weil: 1/ 2m t p 1 2p< ≤ + +

49

Άρα p , αφού το είναι πρώτος. m t 1= − > t

Όμως, ακόμα και σ’αυτή την περίπτωση το πολύ τιμές

της συνάρτησης του διπλού διακριτού λογαρίθμου δεν

αναφέρονται στο θεώρημα.

1/ 2O(m )

(D) Η συνάρτηση του ∆ιπλού ∆ιακριτού Λογαρίθμου. Ελλειπτικές καμπύλες πάνω σε πεπερασμένα σώματα χαρακτηριστικής 2

Ορισμός. Έστω , ακέραιοι. r n

50

Έστω 1 2 r, ,...,β β β βάση του πάνω στο . r2F 2F

Ορίζουμε: rn 2

ξ ∈F με n 1 1 r r: n ... nξ = β + + β , 2 r 1 r

1 2 3 rn n n 2 n 2 ... n 2 (mod 2 )−≡ + + + + και 1 rn ,...,n 0,1∈ , δηλαδή τα είναι bits.

r0 n 2in

, rn 2ξ ∈F αντιπροσωπεύει το . n≤ <Στην περίπτωση

(D) Η συνάρτηση του ∆ιπλού ∆ιακριτού Λογαρίθμου. Ελλειπτικές καμπύλες πάνω σε πεπερασμένα σώματα χαρακτηριστικής 2

Θεώρημα. [G. C. Meletiou, A. Winterhof, (2008)] Έστω E μία μη υπεριδιάζουσα ελλειπτική καμπύλη πάνω στο ,

E tr2

FP σημείο της τάξης ,

kx η πρώτη συντεταγμένη του , kP 1 k t 1≤ ≤ − * m 2≥th Z∈ στοιχείο τάξης ,

S 0,1,...,m 1⊆ − , S m s= − , r2

f (x) [x]∈F πολυώνυμο:

n nhf (x ) = ξ για όλα τα n S∈ ,

51

Τότε: 2

m 4sdeg(f )2h−

≥ (κάτω φράγμα-lower bound).

(E) Η συνάρτηση της ρίζας του ∆ιακριτού Λογαρίθμου.

Ορισμός της k-ης ρίζας του ∆ιακριτού Λογαρίθμου

Έστω κυκλική ομάδα τάξης t, G g G t= = ,

Y G στοιχείο της ομάδας . ∈ G

52

Ως k-η ρίζα του Διακριτού Λογαρίθμου του ως προς βάση

ορίζεται ένας ακέραιος που ικανοποιεί τη

σχέση

Y

g x : 0 x t≤ <kxY g= με την προϋπόθεση ότι τέτοιος ακέραιος x

υπάρχει. [G. C. Meletiou, (2009)].

(E) Η συνάρτηση της ρίζας του ∆ιακριτού Λογαρίθμου. Παρατηρήσεις 1. Δεν είναι δεδομένη η ύπαρξη και η μοναδικότητα της k-ης

ρίζας του διακριτού λογαρίθμου.

Στην γενική περίπτωση : 2= ≥kxx g Y ορίζονται κλάδοι της k-ης

ρίζας του διακριτού λογαρίθμου.

53

2. Η ομάδα και οι παράμετροι , μπορούν να επιλεγούν έτσι

ώστε ο υπολογισμός διακριτών λογαρίθμων με βάση να είναι

ανέφικτος. Επίσης το μπορεί να επιλεγεί κατά τέτοιο τρόπο,

ώστε η εξαγωγή της k-ης ρίζας modulo να είναι δύσκολη.

G g t

g

t

t

54

(E) Η συνάρτηση της ρίζας του ∆ιακριτού Λογαρίθμου. ∆ιάφορες εφαρμογές της k-ης ρίζα του ∆ιακριτού Λογαρίθμου:

Group signature schemes

Publicly verifiable secret sharing schemes

Electronic cash

History-based signatures

[Camenisch, J., Stadler, M., (1997)], [Lysyanskaya, A., Ramzan, Z., (1998], [Camenisch J L, ( 1998)], [Bussard L., R. Molva, and Y. Roudier, ( 2004)], [Bresson E. and J. Stern, (2001)]

55

(E) Η συνάρτηση της ρίζας του ∆ιακριτού Λογαρίθμου. ∆ιάφορες εφαρμογές της k-ης ρίζα του ∆ιακριτού Λογαρίθμου. History-based signatures

Γενίκευση των group signatures Κάθε ένας που υπογράφει διατηρεί την ανωνυμία του και δίνει την δυνατότητα να επαληθευθούν κάποιες ιδιότητές του όπως π.χ. οι τίτλοι σπουδών του, η ηλικία του, η προϋπηρεσία του, το γεγονός ότι έχει την συγκατάθεση κάποιου άλλου, το γεγονός ότι βρισκόταν στο Νεπάλ τον Οκτώβριο.

(E) Η συνάρτηση της ρίζας του ∆ιακριτού Λογαρίθμου. Ρίζες περιττής τάξης

Θεώρημα. [G. C. Meletiou, (2009)]

Έστω πρώτος, p *pg Z∈ , g t= και ακέραιος τέτοιος ώστε 1k ≥

( )gcd , ( ) 1k tφ = . Έστω , *tS Z⊆ ( )S t sφ= − . Υποθέτουμε ότι υπάρχει

ένα πολυώνυμο ( ) [ ]pF X Z X∈ που ικανοποιεί: ( )kxF g x= για όλα

τα x S∈ .

Τότε ισχύει ( ) ( ) 2deg

2t s

Fϕ −

≥ (κάτω φράγμα - lower bound).

56

(E) Η συνάρτηση της ρίζας του ∆ιακριτού Λογαρίθμου.

Παρατηρήσεις 1. Ο εκθέτης k είναι περιττός και σχετικά πρώτος με τον ( t )φ .

Κατά συνέπεια η συνάρτηση της k-ης ρίζας γίνεται 1-1.

2. Στην περίπτωση του RSA το k είναι ο εκθέτης κρυπτογράφησης

e.

57

(E) Η συνάρτηση της ρίζας του ∆ιακριτού Λογαρίθμου. Τετραγωνικές ρίζες.

Θεώρημα. [G. C. Meletiou, (2009)] p *Έστω πρώτος, pg Z∈ , *

pg Z∈ , g t= , πρώτος, , t *tS Z⊆

1 12 2

t tS s− −= − ≤ . Το πολυώνυμο ( ) [ ]pF X Z X∈ ικανοποιεί τη

σχέση ( )2xF g x= για όλα τα x S∈ . Τότε ισχύει:

( ) 1 4deg32

t sF − −≥ (κάτω φράγμα-lower bound).

58

(E) Η συνάρτηση της ρίζας του ∆ιακριτού Λογαρίθμου. Παρατηρήσεις 1) Με παριστάνουμε το σύνολο όλων των τετραγωνικών κατάλοιπων modulo t . Το είναι υποομάδα του * .

tQRtQR tZ

2) Υποθέτουμε ότι ( )3 4t mod≡ . Συμπεραίνουμε ότι για όλα τα

*tx Z∈ το x θα είναι τετραγωνικό κατάλοιπο εάν και μόνο εάν το

x− δεν θα είναι τετραγωνικό κατάλοιπο. Κάθε στοιχείο στο θα έχει ακριβώς δύο τετραγωνικές ρίζες. Μία στο και μία στο

.

tQRtQR

tQNR 3)Με τις παραπάνω προϋποθέσεις η τετραγωνική ρίζα γίνεται απεικόνιση 1-1 και επί από το στο . tQR tQR

59

(E) Η συνάρτηση της ρίζας του ∆ιακριτού Λογαρίθμου. Τετραγωνικές ρίζες – Τετραγωνικά κατάλοιπα. Θεώρημα. [G. C. Meletiou, (2009)]

p * *Έστω πρώτος, pg Z∈ , pg Z∈ , g t= , πρώτος, t ( )3 mod 4t ≡ .

Έστω το υποσύνολο , *t tS QR Z⊆ ⊆

1 12 2

t tS s− −= − ≤ , τα στοιχεία

του είναι τετραγωνικά κατάλοιπα. Έστω ότι το πολυώνυμο S( ) [ ]pF X Z X∈ ικανοποιεί τη σχέση ( )2xF g x= για όλα τα x S∈ .

Τότε έχουμε:

( ) 3

1 4 1 4deg max ,32 2

t s t sFv

− − − −⎧ ⎫≥ ⎨ ⎬⎩ ⎭

(κάτω φράγμα-lower bound),

60

είναι το μικρότερο τετραγωνικό κατάλοιπο , v mod t 2,3,4v∈ .

(E) Η συνάρτηση της ρίζας του ∆ιακριτού Λογαρίθμου. Η περίπτωση του RSA modulus. Υποθέτουμε: 1) , και είναι μεγάλοι πρώτοι.

( )t N p q= = ⋅ p q

2) . 3 mod 4p q≡ ≡ Η δεύτερη συνθήκη εξασφαλίζει ότι κάθε τετραγωνικό κατάλοιπο

στο έχει ακριβώς τέσσερις τετραγωνικές ρίζες και ότι μία και

μόνο μία από αυτές είναι τετραγωνικό κατάλοιπο . Η

συνάρτηση της τετραγωνικής ρίζας γίνεται 1-1 και επί.

Γενικεύουμε το προηγούμενο θεώρημα.

*NZ

(mod )N

61

(E) Η συνάρτηση της ρίζας του ∆ιακριτού Λογαρίθμου. Τετραγωνικές ρίζες.

Θεώρημα. [G. C. Meletiou, (2009)] Έστω πρώτος, r *rg Z∈ ,

g N= , .N p q= ένα RSA modulus. Επίσης ( )3 mod 4p q≡ ≡ .

Έστω το υποσύνολο: , *N NS QR Z⊆ ⊆

( ) ( )4 4N N

S sφ φ

= − ≤ , τα

στοιχεία του είναι τετραγωνικά κατάλοιπα. Έστω ότι το πολυώνυμο ( )

S[ ]rF X Z X∈ ικανοποιεί τη σχέση ( )2xF g x= για όλα

τα x S∈ . Τότε έχουμε:

( ) ( )3

8deg

4N s

Fv

φ −≥ (κάτω φράγμα-lower bound),

62

v είναι το μικρότερο τετραγωνικό κατάλοιπο , mod N 2,3,4v∈ .

63

Αναφορές: Wells, A. L., Jr., A polynomial form for logarithms modulo a prime. IEEE Trans. Inform. Theory, IT-30, 845-846 (1984). Mullen, G.L., White, D.: A polynomial representation for logarithms in GF(q). Acta Arith. 47(3), 255-261 (1986). Niederreiter, H.: A short proof for explicit formulas for discrete logarithms in finite fields. Appl. Algebra Engrg. Comm. Comput. 1(1), 55-57 (1990). Meletiou, G.C., Mullen, G.L.: A note on discrete logarithms in finite fields. Appl. Algebra Engrg. Comm. Comput. 3(1), 75–78 (1992). G. Meletiou, A polynomial representation for exponents in Zp. Bull. Greek Math. Soc., 34:59–63, 1992 Meletiou, G.C.: Explicit form for the discrete logarithm over the field GF(p, k). Arch. Math. (Brno) 29, 25-28 (1993). Stadler, M.: Publicly verifiable secret sharing. In: Maurer, U.M. (ed.) EUROCRYPT 1996. LNCS, vol. 1070, pp. 190–199. Springer, Heidelberg (1996). Camenisch, J., Stadler, M.: Efficient group signature schemes for large groups. In: Kaliski Jr., B.S. (ed.) CRYPTO 1997. LNCS, vol. 1294, pp. 410–424. Springer, Heidelberg (1997). Camenisch J L, Group Signature Schemes and Payment Systems Based on the Discrete Logarithm Problem, Doctoral Dissertation, ZURICH, 1998.

64

Lysyanskaya, A., Ramzan, Z.: Group blind digital signatures: A scalable solution to electronic cash. In: Hirschfeld, R. (ed.) FC 1998. LNCS, vol. 1465, pp. 184–197. Springer, Heidelberg (1998). Ateniese, G., Tsudik, G.: Some open issues and new directions in group signatures. In: Franklin, M. (ed.) FCT 1999. LNCS, vol. 1684, pp. 196–211. Springer,Heidelberg (1999). Jacques Traore, Group Signatures and Their Relevance to Privacy-Protecting Offline Electronic Cash Systems, ACISP’99, LNCS 1587, pp. 228-243, 1999, Springer-Verlag Berlin Heidelberg 1999. Coppersmith, D., Shparlinski, I.: On polynomial approximation of the discrete logarithm and the Diffie-Hellman mapping. J. Cryptology 13(3), 339–360, (2000). Jeong I. R. and D. H. Lee : Anonymity Control in Multi-bank E-Cash System, INDOCRYPT 2000, LNCS 1977, pp. 104-116, 2000, Springer-Verlag Berlin Heidelberg 2000. Bresson E. and J. Stern, Efficient Revocation in Group Signatures, PKC 2001, LNCS 1992, pp. 190-206, 2001, Springer-Verlag Berlin Heidelberg 2001. El Mahassni, E., Shparlinski, I.E.: Polynomial representations of the Diffie-Hellman mapping. Bull. Austral. Math. Soc. 63, 467-473 (2001).

Pavlovski C. and Colin Boyd, Attacks Based on Small Factors in Various Group Structures, ACISP 2001, LNCS 2119, pp. 36-50, 2001, Springer-Verlag Berlin Heidelberg 2001. Winterhof, A.: A note on the interpolation of the Diffie-Hellman mapping. Bull. Austral. Math. Soc. 64, 475–477 (2001).

65

Meidl, W., Winterhof, A.: A polynomial representation of the Diffie-Hellman mapping. Appl. Algebra Engrg. Comm. Comput. 13, 313–318 (2002). Niederreiter, H., Winterhof, A.: Incomplete character sums and polynomial interpolation of the discrete logarithm. Finite Fields Appl. 8(2), 184-192 (2002). Winterhof, A.: Polynomial interpolation of the discrete logarithm. Des. Codes Cryptogr. 25, 63–72 (2002). Ateniese, G., Song, D., Tsudik, G.: Quasi efficient revocation group signatures. In: Blaze, M. (ed.) FC 2002. LNCS, vol. 2357, pp. 183–197. Springer, Heidelberg (2003). Shparlinski, I.E.: Cryptographic Applications of Analytic Number Theory. Complexity Lower Bounds and Pseudorandomness. Progress in Computer Science and Applied Logic, vol. 22. Birkhauser Verlag, Basel (2003). Bussard, L., Roudier, Y., Molva, R.: Untraceable secret credentials: trust establishment with privacy. Pervasive Computing and Communications Workshops, 2004. In: Proceedings of the Second IEEE Annual Conference, March 14-17, 2004, pp. 122–126 (2004). Bussard L., R. Molva, and Y. Roudier, History-Based Signature or How to Trust Anonymous Documents, iTrust 2004, LNCS 2995, pp. 78-92, 2004, Springer-Verlag Berlin Heidelberg 2004. Tso, R., Okamoto, T., Okamoto, E.: Practical strong designated verifer signature schemes based on double discrete logarithms. In: Feng, D., Lin, D., Yung, M. (eds.), CISC 2005. LNCS, vol. 3822, pp. 113–127. Springer, Heidelberg (2005). Wang, G., Qing, S.: Security flaws in several group signatures proposed by Popescu. In: Gervasi, O., Gavrilova, M.L., Kumar, V., Lagan΄a, A., Lee, H.P., Mun, Y., Taniar, D., Tan, C.J.K. (eds.) ICCSA 2005. LNCS, vol. 3482, pp. 711–718. Springer, Heidelberg (2005)

66

Adelmann, C., Winterhof, A.: Interpolation of functions related to the integer factoring problem. In: WCC 2005. LNCS, vol. 3969, pp. 144–154. Springer, Heidelberg (2006). Aly, H., Winterhof, A.: Polynomial representations of the Lucas logarithm. Finite Fields Appl. 12(3), 413-424 (2006). G. C. Meletiou and A. Winterhof, (2008), Interpolation of the Double Discrete Logarithm, WAIFI 2008, L.N.C.S. 5130, pp. 1–10, 2008, Springer-Verlag. G. C. Meletiou, (2009), Polynomial Interpolation of the k-th Root of the Discrete Logarithm, CAI 2009, LNCS 5725, pp. 318–323, 2009, Springer-Verlag. Lev Glebsky, Igor E. Shparlinski, Short Cycles in Repeated Exponentiation Modulo a Prime, Designs, Codes and Cryptography, Oct. 2009, Springer-Verlag

Σας ευχαριστώ για την

67

προσοχή σας