docKryptografia, wyklad nr 1 - Gdzie jedziemy na wakacje?
download 
Reklamacja Transkrypt
Kryptografia, wyklad nr 1 - Gdzie jedziemy na wakacje?
Kryptografia, wykład nr 1
Gdzie jedziemy na wakacje?
Paweł Zalewski
II UWr
28 lutego 2007
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
1/9
Wstep
˛
Różne informacje
Główna zasada na wykładzie — Zadawaj pytania
Zasady zaliczenia na stronie wykładu
Strona wykładu jest na silniku wiki. Zauważysz bład
˛ w materiałach
— popraw, znasz ciekawe materiały — dodaj.
Prowadzacym
˛
przedmiot bedzie
˛
miło, jeżeli wysyłajac
˛ do nich
maile bedziesz
˛
szyfrować listy i podpisywać je cyfrowo, choć nie
jest to wymagane.
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
2/9
Wstep
˛
Różne informacje
Główna zasada na wykładzie — Zadawaj pytania
Zasady zaliczenia na stronie wykładu
Strona wykładu jest na silniku wiki. Zauważysz bład
˛ w materiałach
— popraw, znasz ciekawe materiały — dodaj.
Prowadzacym
˛
przedmiot bedzie
˛
miło, jeżeli wysyłajac
˛ do nich
maile bedziesz
˛
szyfrować listy i podpisywać je cyfrowo, choć nie
jest to wymagane.
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
2/9
Wstep
˛
Różne informacje
Główna zasada na wykładzie — Zadawaj pytania
Zasady zaliczenia na stronie wykładu
Strona wykładu jest na silniku wiki. Zauważysz bład
˛ w materiałach
— popraw, znasz ciekawe materiały — dodaj.
Prowadzacym
˛
przedmiot bedzie
˛
miło, jeżeli wysyłajac
˛ do nich
maile bedziesz
˛
szyfrować listy i podpisywać je cyfrowo, choć nie
jest to wymagane.
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
2/9
Wstep
˛
Różne informacje
Główna zasada na wykładzie — Zadawaj pytania
Zasady zaliczenia na stronie wykładu
Strona wykładu jest na silniku wiki. Zauważysz bład
˛ w materiałach
— popraw, znasz ciekawe materiały — dodaj.
Prowadzacym
˛
przedmiot bedzie
˛
miło, jeżeli wysyłajac
˛ do nich
maile bedziesz
˛
szyfrować listy i podpisywać je cyfrowo, choć nie
jest to wymagane.
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
2/9
Wstep
˛
Kontakt, konsultacje
E-mail: pawelz (at) ii-uni-wroc-pl
Konsultacje: Grzegorz Stachowiak: śr 14:15-16:00 pokój 312
Konsultacje: Paweł Zalewski: czw 14:15-16:00 pokój 339
Zapraszam również w pozostałe dni tygodnia
Na tabliczce w pokoju 339 jest kartka mówiaca,
˛
czy jestem w
budynku, czy mnie nie ma.
Jeżeli mnie nie ma, można zadać pytanie na stronie
konsultacji on-line
Strona wykładu ma adres tymczasowy, który zostanie zmieniony.
Aktualny link jest na stronie PZA
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
3/9
Wstep
˛
Kontakt, konsultacje
E-mail: pawelz (at) ii-uni-wroc-pl
Konsultacje: Grzegorz Stachowiak: śr 14:15-16:00 pokój 312
Konsultacje: Paweł Zalewski: czw 14:15-16:00 pokój 339
Zapraszam również w pozostałe dni tygodnia
Na tabliczce w pokoju 339 jest kartka mówiaca,
˛
czy jestem w
budynku, czy mnie nie ma.
Jeżeli mnie nie ma, można zadać pytanie na stronie
konsultacji on-line
Strona wykładu ma adres tymczasowy, który zostanie zmieniony.
Aktualny link jest na stronie PZA
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
3/9
Wstep
˛
Kontakt, konsultacje
E-mail: pawelz (at) ii-uni-wroc-pl
Konsultacje: Grzegorz Stachowiak: śr 14:15-16:00 pokój 312
Konsultacje: Paweł Zalewski: czw 14:15-16:00 pokój 339
Zapraszam również w pozostałe dni tygodnia
Na tabliczce w pokoju 339 jest kartka mówiaca,
˛
czy jestem w
budynku, czy mnie nie ma.
Jeżeli mnie nie ma, można zadać pytanie na stronie
konsultacji on-line
Strona wykładu ma adres tymczasowy, który zostanie zmieniony.
Aktualny link jest na stronie PZA
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
3/9
Wstep
˛
Kontakt, konsultacje
E-mail: pawelz (at) ii-uni-wroc-pl
Konsultacje: Grzegorz Stachowiak: śr 14:15-16:00 pokój 312
Konsultacje: Paweł Zalewski: czw 14:15-16:00 pokój 339
Zapraszam również w pozostałe dni tygodnia
Na tabliczce w pokoju 339 jest kartka mówiaca,
˛
czy jestem w
budynku, czy mnie nie ma.
Jeżeli mnie nie ma, można zadać pytanie na stronie
konsultacji on-line
Strona wykładu ma adres tymczasowy, który zostanie zmieniony.
Aktualny link jest na stronie PZA
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
3/9
Protokoły oparte na trudności DL i DH w Z
Rzut moneta˛ przez telefon
Podstawowa zasada na wykładzie
Podstawowa zasada na
wykładzie:
Zadawaj pytania
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
4/9
Protokoły oparte na trudności DL i DH w Z
Rzut moneta˛ przez telefon
Gdzie wyjechać na wakacje?
Pierwszy problem:
Alicja i Bob chca˛ gdzieś wyjechać w podróż
Alicja chce do kraju A, Bob do kraju B
Trzeba podjać
˛ decyzje˛ natychmiast
Rozmawiaja˛ przez telefon
Chca˛ dokonać wyboru losowego — rzucić moneta˛
Pojawia sie˛ problem: kto rzuca moneta?
˛
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
5/9
Protokoły oparte na trudności DL i DH w Z
Rzut moneta˛ przez telefon
Gdzie wyjechać na wakacje?
Pierwszy problem:
Alicja i Bob chca˛ gdzieś wyjechać w podróż
Alicja chce do kraju A, Bob do kraju B
Trzeba podjać
˛ decyzje˛ natychmiast
Rozmawiaja˛ przez telefon
Chca˛ dokonać wyboru losowego — rzucić moneta˛
Pojawia sie˛ problem: kto rzuca moneta?
˛
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
5/9
Protokoły oparte na trudności DL i DH w Z
Rzut moneta˛ przez telefon
Gdzie wyjechać na wakacje?
Pierwszy problem:
Alicja i Bob chca˛ gdzieś wyjechać w podróż
Alicja chce do kraju A, Bob do kraju B
Trzeba podjać
˛ decyzje˛ natychmiast
Rozmawiaja˛ przez telefon
Chca˛ dokonać wyboru losowego — rzucić moneta˛
Pojawia sie˛ problem: kto rzuca moneta?
˛
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
5/9
Protokoły oparte na trudności DL i DH w Z
Rzut moneta˛ przez telefon
Gdzie wyjechać na wakacje?
Pierwszy problem:
Alicja i Bob chca˛ gdzieś wyjechać w podróż
Alicja chce do kraju A, Bob do kraju B
Trzeba podjać
˛ decyzje˛ natychmiast
Rozmawiaja˛ przez telefon
Chca˛ dokonać wyboru losowego — rzucić moneta˛
Pojawia sie˛ problem: kto rzuca moneta?
˛
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
5/9
Protokoły oparte na trudności DL i DH w Z
Rzut moneta˛ przez telefon
Gdzie wyjechać na wakacje?
Pierwszy problem:
Alicja i Bob chca˛ gdzieś wyjechać w podróż
Alicja chce do kraju A, Bob do kraju B
Trzeba podjać
˛ decyzje˛ natychmiast
Rozmawiaja˛ przez telefon
Chca˛ dokonać wyboru losowego — rzucić moneta˛
Pojawia sie˛ problem: kto rzuca moneta?
˛
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
5/9
Protokoły oparte na trudności DL i DH w Z
Rzut moneta˛ przez telefon
Gdzie wyjechać na wakacje?
Pierwszy problem:
Alicja i Bob chca˛ gdzieś wyjechać w podróż
Alicja chce do kraju A, Bob do kraju B
Trzeba podjać
˛ decyzje˛ natychmiast
Rozmawiaja˛ przez telefon
Chca˛ dokonać wyboru losowego — rzucić moneta˛
Pojawia sie˛ problem: kto rzuca moneta?
˛
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
5/9
Protokoły oparte na trudności DL i DH w Z
Rzut moneta˛ przez telefon
Gdzie wyjechać na wakacje?
Protokół dla Alicji i Boba:
Ustalaja˛ miedzy
˛
soba˛ duża˛ liczbe˛ p = 2q + 1, p ≡ 3 (mod 4),
gdzie p i q sa˛ pierwsze
Wybieraja˛ element g rz˛edu q w Z∗p
Alicja losuje tajna˛ wartość x ∈R {2..q − 1}
Alicja podaje Bobowi wartość y = g x
Bob zgaduje parzystość wykładnika x
Alicja odkrywa wartość x
Jeżeli Bob zgadł — wygrał, w przeciwnym razie wygrała Alicja
Czy jest na sali ktoś, kto nie zrozumiał?
Zadawaj pytania
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
6/9
Protokoły oparte na trudności DL i DH w Z
Rzut moneta˛ przez telefon
Gdzie wyjechać na wakacje?
Protokół dla Alicji i Boba:
Ustalaja˛ miedzy
˛
soba˛ duża˛ liczbe˛ p = 2q + 1, p ≡ 3 (mod 4),
gdzie p i q sa˛ pierwsze
Wybieraja˛ element g rz˛edu q w Z∗p
Alicja losuje tajna˛ wartość x ∈R {2..q − 1}
Alicja podaje Bobowi wartość y = g x
Bob zgaduje parzystość wykładnika x
Alicja odkrywa wartość x
Jeżeli Bob zgadł — wygrał, w przeciwnym razie wygrała Alicja
Czy jest na sali ktoś, kto nie zrozumiał?
Zadawaj pytania
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
6/9
Protokoły oparte na trudności DL i DH w Z
Rzut moneta˛ przez telefon
Gdzie wyjechać na wakacje?
Protokół dla Alicji i Boba:
Ustalaja˛ miedzy
˛
soba˛ duża˛ liczbe˛ p = 2q + 1, p ≡ 3 (mod 4),
gdzie p i q sa˛ pierwsze
Wybieraja˛ element g rz˛edu q w Z∗p
Alicja losuje tajna˛ wartość x ∈R {2..q − 1}
Alicja podaje Bobowi wartość y = g x
Bob zgaduje parzystość wykładnika x
Alicja odkrywa wartość x
Jeżeli Bob zgadł — wygrał, w przeciwnym razie wygrała Alicja
Czy jest na sali ktoś, kto nie zrozumiał?
Zadawaj pytania
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
6/9
Protokoły oparte na trudności DL i DH w Z
Rzut moneta˛ przez telefon
Gdzie wyjechać na wakacje?
Protokół dla Alicji i Boba:
Ustalaja˛ miedzy
˛
soba˛ duża˛ liczbe˛ p = 2q + 1, p ≡ 3 (mod 4),
gdzie p i q sa˛ pierwsze
Wybieraja˛ element g rz˛edu q w Z∗p
Alicja losuje tajna˛ wartość x ∈R {2..q − 1}
Alicja podaje Bobowi wartość y = g x
Bob zgaduje parzystość wykładnika x
Alicja odkrywa wartość x
Jeżeli Bob zgadł — wygrał, w przeciwnym razie wygrała Alicja
Czy jest na sali ktoś, kto nie zrozumiał?
Zadawaj pytania
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
6/9
Protokoły oparte na trudności DL i DH w Z
Rzut moneta˛ przez telefon
Gdzie wyjechać na wakacje?
Protokół dla Alicji i Boba:
Ustalaja˛ miedzy
˛
soba˛ duża˛ liczbe˛ p = 2q + 1, p ≡ 3 (mod 4),
gdzie p i q sa˛ pierwsze
Wybieraja˛ element g rz˛edu q w Z∗p
Alicja losuje tajna˛ wartość x ∈R {2..q − 1}
Alicja podaje Bobowi wartość y = g x
Bob zgaduje parzystość wykładnika x
Alicja odkrywa wartość x
Jeżeli Bob zgadł — wygrał, w przeciwnym razie wygrała Alicja
Czy jest na sali ktoś, kto nie zrozumiał?
Zadawaj pytania
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
6/9
Protokoły oparte na trudności DL i DH w Z
Rzut moneta˛ przez telefon
Gdzie wyjechać na wakacje?
Protokół dla Alicji i Boba:
Ustalaja˛ miedzy
˛
soba˛ duża˛ liczbe˛ p = 2q + 1, p ≡ 3 (mod 4),
gdzie p i q sa˛ pierwsze
Wybieraja˛ element g rz˛edu q w Z∗p
Alicja losuje tajna˛ wartość x ∈R {2..q − 1}
Alicja podaje Bobowi wartość y = g x
Bob zgaduje parzystość wykładnika x
Alicja odkrywa wartość x
Jeżeli Bob zgadł — wygrał, w przeciwnym razie wygrała Alicja
Czy jest na sali ktoś, kto nie zrozumiał?
Zadawaj pytania
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
6/9
Protokoły oparte na trudności DL i DH w Z
Rzut moneta˛ przez telefon
Gdzie wyjechać na wakacje?
Protokół dla Alicji i Boba:
Ustalaja˛ miedzy
˛
soba˛ duża˛ liczbe˛ p = 2q + 1, p ≡ 3 (mod 4),
gdzie p i q sa˛ pierwsze
Wybieraja˛ element g rz˛edu q w Z∗p
Alicja losuje tajna˛ wartość x ∈R {2..q − 1}
Alicja podaje Bobowi wartość y = g x
Bob zgaduje parzystość wykładnika x
Alicja odkrywa wartość x
Jeżeli Bob zgadł — wygrał, w przeciwnym razie wygrała Alicja
Czy jest na sali ktoś, kto nie zrozumiał?
Zadawaj pytania
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
6/9
Protokoły oparte na trudności DL i DH w Z
Rzut moneta˛ przez telefon
Gdzie wyjechać na wakacje?
Protokół dla Alicji i Boba:
Ustalaja˛ miedzy
˛
soba˛ duża˛ liczbe˛ p = 2q + 1, p ≡ 3 (mod 4),
gdzie p i q sa˛ pierwsze
Wybieraja˛ element g rz˛edu q w Z∗p
Alicja losuje tajna˛ wartość x ∈R {2..q − 1}
Alicja podaje Bobowi wartość y = g x
Bob zgaduje parzystość wykładnika x
Alicja odkrywa wartość x
Jeżeli Bob zgadł — wygrał, w przeciwnym razie wygrała Alicja
Czy jest na sali ktoś, kto nie zrozumiał?
Zadawaj pytania
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
6/9
Protokoły oparte na trudności DL i DH w Z
Rzut moneta˛ przez telefon
Gdzie wyjechać na wakacje?
Protokół dla Alicji i Boba:
Ustalaja˛ miedzy
˛
soba˛ duża˛ liczbe˛ p = 2q + 1, p ≡ 3 (mod 4),
gdzie p i q sa˛ pierwsze
Wybieraja˛ element g rz˛edu q w Z∗p
Alicja losuje tajna˛ wartość x ∈R {2..q − 1}
Alicja podaje Bobowi wartość y = g x
Bob zgaduje parzystość wykładnika x
Alicja odkrywa wartość x
Jeżeli Bob zgadł — wygrał, w przeciwnym razie wygrała Alicja
Czy jest na sali ktoś, kto nie zrozumiał?
Zadawaj pytania
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
6/9
Protokoły oparte na trudności DL i DH w Z
Rzut moneta˛ przez telefon
Struktura Zp — Jak to działa?
Przykład dla p = 7 (20 minut przy tablicy)
Własności ciała Zp
Mnożenie Zp
Dzielenie Zp
Potegowanie
˛
— kolejne potegi
˛ liczby 3 daja˛ nam wszystkie 6
wartości z Zp poza zerem (czyli cała˛ grupe˛ Z∗p )
Generatory Z∗p
Małe twierdzenie Fermata
Potrafimy potegować,
˛
ale jak obliczyć wykładnik znajac
˛ wynik
potegowania
˛
i podstawe?
˛
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
7/9
Protokoły oparte na trudności DL i DH w Z
Rzut moneta˛ przez telefon
Struktura Zp — Jak to działa?
Przykład dla p = 7 (20 minut przy tablicy)
Własności ciała Zp
Mnożenie Zp
Dzielenie Zp
Potegowanie
˛
— kolejne potegi
˛ liczby 3 daja˛ nam wszystkie 6
wartości z Zp poza zerem (czyli cała˛ grupe˛ Z∗p )
Generatory Z∗p
Małe twierdzenie Fermata
Potrafimy potegować,
˛
ale jak obliczyć wykładnik znajac
˛ wynik
potegowania
˛
i podstawe?
˛
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
7/9
Protokoły oparte na trudności DL i DH w Z
Rzut moneta˛ przez telefon
Struktura Zp — Jak to działa?
Przykład dla p = 7 (20 minut przy tablicy)
Własności ciała Zp
Mnożenie Zp
Dzielenie Zp
Potegowanie
˛
— kolejne potegi
˛ liczby 3 daja˛ nam wszystkie 6
wartości z Zp poza zerem (czyli cała˛ grupe˛ Z∗p )
Generatory Z∗p
Małe twierdzenie Fermata
Potrafimy potegować,
˛
ale jak obliczyć wykładnik znajac
˛ wynik
potegowania
˛
i podstawe?
˛
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
7/9
Protokoły oparte na trudności DL i DH w Z
Rzut moneta˛ przez telefon
Struktura Zp — Jak to działa?
Przykład dla p = 7 (20 minut przy tablicy)
Własności ciała Zp
Mnożenie Zp
Dzielenie Zp
Potegowanie
˛
— kolejne potegi
˛ liczby 3 daja˛ nam wszystkie 6
wartości z Zp poza zerem (czyli cała˛ grupe˛ Z∗p )
Generatory Z∗p
Małe twierdzenie Fermata
Potrafimy potegować,
˛
ale jak obliczyć wykładnik znajac
˛ wynik
potegowania
˛
i podstawe?
˛
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
7/9
Protokoły oparte na trudności DL i DH w Z
Rzut moneta˛ przez telefon
Struktura Zp — Jak to działa?
Przykład dla p = 7 (20 minut przy tablicy)
Własności ciała Zp
Mnożenie Zp
Dzielenie Zp
Potegowanie
˛
— kolejne potegi
˛ liczby 3 daja˛ nam wszystkie 6
wartości z Zp poza zerem (czyli cała˛ grupe˛ Z∗p )
Generatory Z∗p
Małe twierdzenie Fermata
Potrafimy potegować,
˛
ale jak obliczyć wykładnik znajac
˛ wynik
potegowania
˛
i podstawe?
˛
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
7/9
Protokoły oparte na trudności DL i DH w Z
Rzut moneta˛ przez telefon
Struktura Zp — Jak to działa?
Przykład dla p = 7 (20 minut przy tablicy)
Własności ciała Zp
Mnożenie Zp
Dzielenie Zp
Potegowanie
˛
— kolejne potegi
˛ liczby 3 daja˛ nam wszystkie 6
wartości z Zp poza zerem (czyli cała˛ grupe˛ Z∗p )
Generatory Z∗p
Małe twierdzenie Fermata
Potrafimy potegować,
˛
ale jak obliczyć wykładnik znajac
˛ wynik
potegowania
˛
i podstawe?
˛
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
7/9
Protokoły oparte na trudności DL i DH w Z
Rzut moneta˛ przez telefon
Struktura Zp — Jak to działa?
Przykład dla p = 7 (20 minut przy tablicy)
Własności ciała Zp
Mnożenie Zp
Dzielenie Zp
Potegowanie
˛
— kolejne potegi
˛ liczby 3 daja˛ nam wszystkie 6
wartości z Zp poza zerem (czyli cała˛ grupe˛ Z∗p )
Generatory Z∗p
Małe twierdzenie Fermata
Potrafimy potegować,
˛
ale jak obliczyć wykładnik znajac
˛ wynik
potegowania
˛
i podstawe?
˛
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
7/9
Protokoły oparte na trudności DL i DH w Z
Rzut moneta˛ przez telefon
Problem logarytmu dyskretnego w Z∗p
Cz˛eść kryptografii opiera sie˛ na wierzeniach
Nazywane sa˛ one założeniami, co brzmi dużo lepiej
Na wykładzie poznamy też protokoły bezpieczne bez żadnych
założeń.
Jednym z nich jest założenie o trudności problemu logarytmu
dyskretnego (DL) w Z∗p
Nieformalnie: nie istnieje probablistyczny wielomianowy algorytm,
który dla odpowiednio dobranej liczby pierwszej p, dowolnego
generatora g grupy Z∗p i losowo wybranej liczby y zwraca z
sensownym prawdopodobieństwem x = logg y
Czy nasz algorytm jest bezpieczny przy powyższym założeniu?
Intuicje i problem ostatniego bitu.
Twierdzenie o trudności pozostałych bitów.
W ”ogólnych grupach” DL jest trudny — Shoup
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
8/9
Protokoły oparte na trudności DL i DH w Z
Rzut moneta˛ przez telefon
Problem logarytmu dyskretnego w Z∗p
Cz˛eść kryptografii opiera sie˛ na wierzeniach
Nazywane sa˛ one założeniami, co brzmi dużo lepiej
Na wykładzie poznamy też protokoły bezpieczne bez żadnych
założeń.
Jednym z nich jest założenie o trudności problemu logarytmu
dyskretnego (DL) w Z∗p
Nieformalnie: nie istnieje probablistyczny wielomianowy algorytm,
który dla odpowiednio dobranej liczby pierwszej p, dowolnego
generatora g grupy Z∗p i losowo wybranej liczby y zwraca z
sensownym prawdopodobieństwem x = logg y
Czy nasz algorytm jest bezpieczny przy powyższym założeniu?
Intuicje i problem ostatniego bitu.
Twierdzenie o trudności pozostałych bitów.
W ”ogólnych grupach” DL jest trudny — Shoup
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
8/9
Protokoły oparte na trudności DL i DH w Z
Rzut moneta˛ przez telefon
Problem logarytmu dyskretnego w Z∗p
Cz˛eść kryptografii opiera sie˛ na wierzeniach
Nazywane sa˛ one założeniami, co brzmi dużo lepiej
Na wykładzie poznamy też protokoły bezpieczne bez żadnych
założeń.
Jednym z nich jest założenie o trudności problemu logarytmu
dyskretnego (DL) w Z∗p
Nieformalnie: nie istnieje probablistyczny wielomianowy algorytm,
który dla odpowiednio dobranej liczby pierwszej p, dowolnego
generatora g grupy Z∗p i losowo wybranej liczby y zwraca z
sensownym prawdopodobieństwem x = logg y
Czy nasz algorytm jest bezpieczny przy powyższym założeniu?
Intuicje i problem ostatniego bitu.
Twierdzenie o trudności pozostałych bitów.
W ”ogólnych grupach” DL jest trudny — Shoup
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
8/9
Protokoły oparte na trudności DL i DH w Z
Rzut moneta˛ przez telefon
Problem logarytmu dyskretnego w Z∗p
Cz˛eść kryptografii opiera sie˛ na wierzeniach
Nazywane sa˛ one założeniami, co brzmi dużo lepiej
Na wykładzie poznamy też protokoły bezpieczne bez żadnych
założeń.
Jednym z nich jest założenie o trudności problemu logarytmu
dyskretnego (DL) w Z∗p
Nieformalnie: nie istnieje probablistyczny wielomianowy algorytm,
który dla odpowiednio dobranej liczby pierwszej p, dowolnego
generatora g grupy Z∗p i losowo wybranej liczby y zwraca z
sensownym prawdopodobieństwem x = logg y
Czy nasz algorytm jest bezpieczny przy powyższym założeniu?
Intuicje i problem ostatniego bitu.
Twierdzenie o trudności pozostałych bitów.
W ”ogólnych grupach” DL jest trudny — Shoup
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
8/9
Protokoły oparte na trudności DL i DH w Z
Rzut moneta˛ przez telefon
Problem logarytmu dyskretnego w Z∗p
Cz˛eść kryptografii opiera sie˛ na wierzeniach
Nazywane sa˛ one założeniami, co brzmi dużo lepiej
Na wykładzie poznamy też protokoły bezpieczne bez żadnych
założeń.
Jednym z nich jest założenie o trudności problemu logarytmu
dyskretnego (DL) w Z∗p
Nieformalnie: nie istnieje probablistyczny wielomianowy algorytm,
który dla odpowiednio dobranej liczby pierwszej p, dowolnego
generatora g grupy Z∗p i losowo wybranej liczby y zwraca z
sensownym prawdopodobieństwem x = logg y
Czy nasz algorytm jest bezpieczny przy powyższym założeniu?
Intuicje i problem ostatniego bitu.
Twierdzenie o trudności pozostałych bitów.
W ”ogólnych grupach” DL jest trudny — Shoup
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
8/9
Protokoły oparte na trudności DL i DH w Z
Rzut moneta˛ przez telefon
Problem logarytmu dyskretnego w Z∗p
Cz˛eść kryptografii opiera sie˛ na wierzeniach
Nazywane sa˛ one założeniami, co brzmi dużo lepiej
Na wykładzie poznamy też protokoły bezpieczne bez żadnych
założeń.
Jednym z nich jest założenie o trudności problemu logarytmu
dyskretnego (DL) w Z∗p
Nieformalnie: nie istnieje probablistyczny wielomianowy algorytm,
który dla odpowiednio dobranej liczby pierwszej p, dowolnego
generatora g grupy Z∗p i losowo wybranej liczby y zwraca z
sensownym prawdopodobieństwem x = logg y
Czy nasz algorytm jest bezpieczny przy powyższym założeniu?
Intuicje i problem ostatniego bitu.
Twierdzenie o trudności pozostałych bitów.
W ”ogólnych grupach” DL jest trudny — Shoup
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
8/9
Protokoły oparte na trudności DL i DH w Z
Rzut moneta˛ przez telefon
Problem logarytmu dyskretnego w Z∗p
Cz˛eść kryptografii opiera sie˛ na wierzeniach
Nazywane sa˛ one założeniami, co brzmi dużo lepiej
Na wykładzie poznamy też protokoły bezpieczne bez żadnych
założeń.
Jednym z nich jest założenie o trudności problemu logarytmu
dyskretnego (DL) w Z∗p
Nieformalnie: nie istnieje probablistyczny wielomianowy algorytm,
który dla odpowiednio dobranej liczby pierwszej p, dowolnego
generatora g grupy Z∗p i losowo wybranej liczby y zwraca z
sensownym prawdopodobieństwem x = logg y
Czy nasz algorytm jest bezpieczny przy powyższym założeniu?
Intuicje i problem ostatniego bitu.
Twierdzenie o trudności pozostałych bitów.
W ”ogólnych grupach” DL jest trudny — Shoup
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
8/9
Protokoły oparte na trudności DL i DH w Z
Rzut moneta˛ przez telefon
Problem logarytmu dyskretnego w Z∗p
Cz˛eść kryptografii opiera sie˛ na wierzeniach
Nazywane sa˛ one założeniami, co brzmi dużo lepiej
Na wykładzie poznamy też protokoły bezpieczne bez żadnych
założeń.
Jednym z nich jest założenie o trudności problemu logarytmu
dyskretnego (DL) w Z∗p
Nieformalnie: nie istnieje probablistyczny wielomianowy algorytm,
który dla odpowiednio dobranej liczby pierwszej p, dowolnego
generatora g grupy Z∗p i losowo wybranej liczby y zwraca z
sensownym prawdopodobieństwem x = logg y
Czy nasz algorytm jest bezpieczny przy powyższym założeniu?
Intuicje i problem ostatniego bitu.
Twierdzenie o trudności pozostałych bitów.
W ”ogólnych grupach” DL jest trudny — Shoup
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
8/9
Protokoły oparte na trudności DL i DH w Z
Rzut moneta˛ przez telefon
Problem logarytmu dyskretnego w Z∗p
Cz˛eść kryptografii opiera sie˛ na wierzeniach
Nazywane sa˛ one założeniami, co brzmi dużo lepiej
Na wykładzie poznamy też protokoły bezpieczne bez żadnych
założeń.
Jednym z nich jest założenie o trudności problemu logarytmu
dyskretnego (DL) w Z∗p
Nieformalnie: nie istnieje probablistyczny wielomianowy algorytm,
który dla odpowiednio dobranej liczby pierwszej p, dowolnego
generatora g grupy Z∗p i losowo wybranej liczby y zwraca z
sensownym prawdopodobieństwem x = logg y
Czy nasz algorytm jest bezpieczny przy powyższym założeniu?
Intuicje i problem ostatniego bitu.
Twierdzenie o trudności pozostałych bitów.
W ”ogólnych grupach” DL jest trudny — Shoup
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
8/9
Protokoły oparte na trudności DL i DH w Z
Rzut moneta˛ przez telefon
Czego sie˛ dowiedzieliśmy?
Jak losować monete˛ przez telefon
Struktura Zp - przypomnienie z algebry
Logarytm dyskretny w Z∗p i jego trudność
Dla nieobecnych: namiary na podreczniki
˛
— na stronie wykładu
Zapraszam na konsultacje
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
9/9
Protokoły oparte na trudności DL i DH w Z
Rzut moneta˛ przez telefon
Czego sie˛ dowiedzieliśmy?
Jak losować monete˛ przez telefon
Struktura Zp - przypomnienie z algebry
Logarytm dyskretny w Z∗p i jego trudność
Dla nieobecnych: namiary na podreczniki
˛
— na stronie wykładu
Zapraszam na konsultacje
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
9/9
Protokoły oparte na trudności DL i DH w Z
Rzut moneta˛ przez telefon
Czego sie˛ dowiedzieliśmy?
Jak losować monete˛ przez telefon
Struktura Zp - przypomnienie z algebry
Logarytm dyskretny w Z∗p i jego trudność
Dla nieobecnych: namiary na podreczniki
˛
— na stronie wykładu
Zapraszam na konsultacje
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
9/9
Protokoły oparte na trudności DL i DH w Z
Rzut moneta˛ przez telefon
Czego sie˛ dowiedzieliśmy?
Jak losować monete˛ przez telefon
Struktura Zp - przypomnienie z algebry
Logarytm dyskretny w Z∗p i jego trudność
Dla nieobecnych: namiary na podreczniki
˛
— na stronie wykładu
Zapraszam na konsultacje
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
9/9
Protokoły oparte na trudności DL i DH w Z
Rzut moneta˛ przez telefon
Czego sie˛ dowiedzieliśmy?
Jak losować monete˛ przez telefon
Struktura Zp - przypomnienie z algebry
Logarytm dyskretny w Z∗p i jego trudność
Dla nieobecnych: namiary na podreczniki
˛
— na stronie wykładu
Zapraszam na konsultacje
Paweł Zalewski (II UWr)
Kryptografia, wykład nr 1
28 lutego 2007
9/9
