Z Wikipedii

Skocz do: nawigacji, szukaj

ElGamal to jeden z dwóch najważniejszych algorytmów kryptografii asymetrycznej (drugim jest RSA). System jest oparty na trudności problemu logarytmu dyskretnego w ciele liczb całkowitych modulo duża liczba pierwsza. Algorytm w połowie lat 80. XX wieku przedstawił Egipcjanin Taher Elgamal.

Algorytm ElGamala zapewnia szyfrowanie oraz podpisy cyfrowe. Setki modyfikacji algorytmu ElGamala (podobnie jak modyfikacje algorytmu RSA) zapewniają różne inne usługi.

Na koncepcji algorytmu ElGamala jest też oparta kryptografia krzywych eliptycznych – w tym przypadku zamiast grupy multiplikatywnej ciała Z_p używamy grupy krzywych eliptycznych.

[edytuj] Szyfrowanie

Generacja klucza: wybieramy dowolną liczbę pierwszą $p$ , dowolny generator $α$ podgrupy multiplikatywnej, tzn taki element, którego rząd jest równy $p$ oraz dowolne $k$ takie, że: $1 < k < p$ . Liczymy $β$ :

$\beta = \alpha^k \mod p$

Co potrafimy zrobić szybko za pomocą potęgowania przez podnoszenie do kwadratu.

Zobaczmy, co by było gdyby $α$ było dowolne. Weźmy dla przykładu

$p = 41,\ \alpha = 14\ k=16$ wówczas:

$\beta = 14^{16} \mod\ 41 = 1$

Co spowodowałoby, że kryptosystem byłby bezużyteczny (gdyż przy szyfrowaniu, zawsze otrzymywalibyśmy 1).

Następnie publikujemy $(p,α,β)$ jako klucz publiczny, i zachowujemy $(p,α,β, k)$ jako klucz prywatny.

Szyfrowanie: mając do zaszyfrowania wiadomość $m$ przedstawiamy ją jako element grupy [ $1 < m < p - 1$ ] wybieramy losowo liczbę $x$ i liczymy (modulo $p$ )

$(\alpha^x, m\times \beta^x)$

Deszyfrowanie: podnosimy otrzymane $α x$ do potęgi $k$ :

$\left(\alpha^x\right)^k = \alpha^{kx} = \left(\alpha^k\right)^x = \beta^x$

Następnie znajdujemy odwrotność $β x$ (oczywiście nadal modulo $p$ ) rozszerzonym algorytmem Euklidesa:

γβ x + δ p = 1

$\gamma \beta^x \equiv 1 \mod p$

$\gamma \equiv (\beta^x)^{-1} \mod p$

W końcu dzielimy $m \times \beta^x$ przez $β x$ , czyli mnożymy przez jej odwrotność – $γ$ :

$(m \times \beta^x) \times \gamma \equiv m \times (\beta^x \times \gamma) \equiv m \times 1 \equiv m \mod p$

[edytuj] Podpis cyfrowy

Klucz jest generowany w ten sam sposób.

Żeby wygenerować podpis wiadomości $m$ losujemy liczbę $r$ i liczymy:

y = α r

(mod p)

s = (H (m) - k y) r - 1

(oczywiscie mod(p-1)), gdzie

H

jest funkcją haszującą

Podpisem jest para $(y, s)$

Żeby zweryfikować podpis sprawdzamy równanie:

β y y s = α H (m)

Co dla prawidłowego podpisu będzie się zgadzać:

α k y α r s = α H (m)

$\alpha^{ky + r\left((H(m)-ky)r^{-1}\right)} = \alpha^{H(m)}$

α k y + H (m) - k y = α H (m)

α H (m) = α H (m)

Ważne jest zachowanie tajności wylosowanego $r$ . Jeśli $r$ byłoby znane, to można odzyskać klucz prywatny z podpisu:

$y^{-1}\left(H(m)-sr\right) = y^{-1}\left(H(m)-(H(m)-ky)r^{-1}r\right)=y^{-1}ky=k$

[edytuj] Poziom bezpieczeństwa

Algorytm ElGamala zapewnia szyfrowanie oraz podpisy cyfrowe. Setki modyfikacji algorytmu ElGamala (podobnie jak modyfikacje algorytmu RSA) zapewniają różne inne usługi.

Na koncepcji algorytmu ElGamala jest też oparta kryptografia krzywych eliptycznych – w tym przypadku zamiast grupy multiplikatywnej ciała Z_p używamy grupy krzywych eliptycznych.

[edytuj] Szyfrowanie

$\beta = \alpha^k \mod p$

Co potrafimy zrobić szybko za pomocą potęgowania przez podnoszenie do kwadratu.

Zobaczmy, co by było gdyby $α$ było dowolne. Weźmy dla przykładu

$p = 41,\ \alpha = 14\ k=16$ wówczas:

$\beta = 14^{16} \mod\ 41 = 1$

Co spowodowałoby, że kryptosystem byłby bezużyteczny (gdyż przy szyfrowaniu, zawsze otrzymywalibyśmy 1).

Następnie publikujemy $(p,α,β)$ jako klucz publiczny, i zachowujemy $(p,α,β, k)$ jako klucz prywatny.

Szyfrowanie: mając do zaszyfrowania wiadomość $m$ przedstawiamy ją jako element grupy [ $1 < m < p - 1$ ] wybieramy losowo liczbę $x$ i liczymy (modulo $p$ )

$(\alpha^x, m\times \beta^x)$

Deszyfrowanie: podnosimy otrzymane $α x$ do potęgi $k$ :

$\left(\alpha^x\right)^k = \alpha^{kx} = \left(\alpha^k\right)^x = \beta^x$

Następnie znajdujemy odwrotność $β x$ (oczywiście nadal modulo $p$ ) rozszerzonym algorytmem Euklidesa:

γβ x + δ p = 1

$\gamma \beta^x \equiv 1 \mod p$

$\gamma \equiv (\beta^x)^{-1} \mod p$

W końcu dzielimy $m \times \beta^x$ przez $β x$ , czyli mnożymy przez jej odwrotność – $γ$ :

$(m \times \beta^x) \times \gamma \equiv m \times (\beta^x \times \gamma) \equiv m \times 1 \equiv m \mod p$

[edytuj] Podpis cyfrowy

Klucz jest generowany w ten sam sposób.

Żeby wygenerować podpis wiadomości $m$ losujemy liczbę $r$ i liczymy:

y = α r

(mod p)

s = (H (m) - k y) r - 1

(oczywiscie mod(p-1)), gdzie

H

jest funkcją haszującą

Podpisem jest para $(y, s)$

Żeby zweryfikować podpis sprawdzamy równanie:

β y y s = α H (m)

Co dla prawidłowego podpisu będzie się zgadzać:

α k y α r s = α H (m)

$\alpha^{ky + r\left((H(m)-ky)r^{-1}\right)} = \alpha^{H(m)}$

α k y + H (m) - k y = α H (m)

α H (m) = α H (m)

Ważne jest zachowanie tajności wylosowanego $r$ . Jeśli $r$ byłoby znane, to można odzyskać klucz prywatny z podpisu:

$y^{-1}\left(H(m)-sr\right) = y^{-1}\left(H(m)-(H(m)-ky)r^{-1}r\right)=y^{-1}ky=k$

[edytuj] Poziom bezpieczeństwa

Jeżeli rząd grupy multiplikatywnej jest iloczynem liczb pierwszych, spośród których nawet jedna nie jest odpowiednio duża, istnieje efektywna metoda obliczania wykładnika. Nie jest znana 'ogólna' metoda szybkiego liczenia logarytmu dyskretnego, więc nie wiemy jak za pomocą $α$ i $α x$ uzyskać $x$ , które w pełni wystarczyłoby do odszyfrowania wiadomości. Nie ma jednak dowodu, że taka nie istnieje. To ostatnie nie może raczej dziwić, gdyż takich dowodów nie ma dla żadnego znanego szyfru asymetrycznego.

Nie mamy jednak dowodu, że złamanie problemu logarytmu dyskretnego jest jedynym sposobem złamania tego szyfru. Być może istnieje szybki algorytm, który znając $α$ , $β$ , $p$ , $α x$ i $m\times\beta^x$ (czyli klucz publiczny i szyfrogram wiadomości) jest w stanie odzyskać $m$ obchodząc w jakiś sposób ten problem.