Blum-Blum-Shub-Generator

aus Wikipedia, der freien Enzyklopädie

Du hast neue Nachrichten (Unterschied zur vorletzten Version).

Der Blum-Blum-Shub-Generator (BBS-Generator) (auch "s² mod n"-Generator) ist ein Pseudozufallszahlengenerator entwickelt 1986 von Lenore Blum, Manuel Blum und Michael Shub. Anwendung findet das System u. a. in der Kryptologie im Entwurf komplexitätstheoretisch sicherer Kryptosysteme.

Inhaltsverzeichnis

1 Prinzip
2 Anwendung
- 2.1 Symmetrisches Kryptosystem
- 2.2 Asymmetrisches Kryptosystem
3 Sicherheit

[Bearbeiten] Prinzip

Der BBS-Generator ist definiert als Folge

s₀ = s² mod n

s_i+1 = (s_i)² mod n

wobei n=pq (n wird auch Blum-Zahl genannt) das Produkt zweier Einschränkungen unterworfener Primzahlen ist.

p und q sollten gross, ungleich und etwa gleichdimensioniert sein, d.h. etwa mindestens 100 Dezimalstellen
p ≡ q ≡ 3 mod 4
(p-1), (p+1), (q-1) und (q+1) sollten mindestens einen grossen Primfaktor haben

Kommt man den Forderungen nicht nach, dann lässt sich n zu leicht in seine Primfaktoren p und q zerlegen, was im Anwendungsfall (z. B. als Kryptosystem) dann einem Brechen entspricht.

Für den Startwert s (englisch: seed) des BBS-Generators gilt: $s \in \{a \in N \mid 0<a<n, ggT(a,n)=1\}$ .

[Bearbeiten] Anwendung

[Bearbeiten] Symmetrisches Kryptosystem

Zunächst wird der BBS-Generator zur Umsetzung eines symmetrischen Kryptosystems verwendet. Als geheimer Schlüssel zwischen Sender und Empfänger dienen n und der Startwert s des Generators.

Z. B. generiert der Sender aus n=7 $\cdot$ 11=77 und s=64 nach der oben angegebenen Vorschrift die Folge der s_i. Die zugehörige Pseudozufallszahl b_i ergibt sich aus dem letzten Bit (äquivalent zu mod 2) des jeweiligen Wertes von s_i,d. h. b_i=s_i mod 2. Um den Schlüsseltext zu bestimmen wird der Klartext (im Beispiel: 0011) XOR mit der Pseudozufallszahlenfolge verknüpft.

 generierte Folge         15 71 36 64 ...
 Pseudozufallszahlenfolge  1  1  0  0 ...
 Klartext                  0  0  1  1
 Schlüsseltext             1  1  1  1

Der Empfänger bestimmt seinerseits aus den geheimen Werten n und s die Folgen s_i und b_i. Mihilfe des übersendeten Schlüsseltextes wird wiederum mittels XOR der Klartext berechnet.

 generierte Folge         15 71 36 64 ...
 Pseudozufallszahlenfolge  1  1  0  0 ...
 Schlüsseltext             1  1  1  1
 Klartext                  0  0  1  1

[Bearbeiten] Asymmetrisches Kryptosystem

Zur Umsetzung eines asymmetrischen Kryptosystems eignet sich der BBS-Generator ebenfalls. Dieses Verfahren wurde 1984 von Manuel Blum und Shafi Goldwasser vorgeschlagen und auch als Blum-Goldwasser-Kryptosystem bezeichnet. Der geheime Schlüssel auf Seiten des Empfängers sind die Primfaktoren p und q.

Senderseitig läufen die Berechnungen analog zum obigen symmetrischen Fall ab. Zusätzlich zum Schlüsseltext $x_0 \oplus b_0, \ldots, x_i \oplus b_i$ wird aber noch s_i+1 gesendet. Da der Empfänger den Startwert nicht kennt, bildet er mithilfe der geheimen Primzahlen p und q die Folge der Pseudozufallszahlen ausgehend vom versendeten s_i+1 bis zum Startwert s zurück. Für das Beispiel bedeutet das, der Empfänger erhält 1111 sowie s₄=15.

s_i-1 = (up $\cdot$ s_i^(q+1)/4 mod q + vq $\cdot$ s_i^(p+1)/4 mod p) mod n

Der Ansatz bedient sich des Chinesischen Restealgorithmus, einem Spezialfall des chinesischen Restsatzes. Die beiden Unbekannten u und v sind von den Primfaktoren p und q abhängig und werden zu Beginn mithilfe des erweiterten Euklidischen Algorithmus bestimmt. Dabei gilt up+vq=1, also 2 $\cdot$ 11-3 $\cdot$ 7=1 im Beispiel. Damit ergibt sich die folgende Abarbeitung.

s₃ = (22 $\cdot$ 15² mod 7 - 21 $\cdot$ 15³ mod 11) mod 77

s₃ = (22 $\cdot$ 1 - 21 $\cdot$ 9) mod 77 = 64

s₂ = (22 $\cdot$ 64² mod 7 - 21 $\cdot$ 64³ mod 11) mod 77

s₂ = (22 $\cdot$ 1 - 21 $\cdot$ 3) mod 77 = 36

s₁ = (22 $\cdot$ 36² mod 7 - 21 $\cdot$ 36³ mod 11) mod 77

s₁ = (22 $\cdot$ 1 - 21 $\cdot$ 5) mod 77 = 71

s₀ = (22 $\cdot$ 71² mod 7 - 21 $\cdot$ 71³ mod 11) mod 77

s₀ = (22 $\cdot$ 1 - 21 $\cdot$ 4) mod 77 = 15

s = (22 $\cdot$ 15² mod 7 - 21 $\cdot$ 15³ mod 11) mod 77

s = (22 $\cdot$ 1 - 21 $\cdot$ 5) mod 77 = 64

Empfängerseitig wird nun analog zum symmetrischen Fall aus der eben rückwärts berechneten BBS-Generatorfolge die Folge der Pseudozufallszahlen bestimmt und letztendlich durch XOR-Verknüpfung mit dem Schlüsseltext der Klartext generiert.

Ein so konstruiertes asymmetrisches Kryptosystem ist jedoch nicht sicher gegen aktive Angreifer, z. B. durch einen gewählter Schlüsseltext-Klartext-Angriff (englisch: chosen-ciphertext attack).

[Bearbeiten] Sicherheit

Zur Zeit kann keine Aussage getroffen werden, wie schwer Faktorisierung ist. Mit anderen Worten, die Frage nach einem Algorithmus, der in annehmbarer Zeit bei Eingabe beliebiger n die Primfaktorzerlegung in p und q durchführt, bleibt unbeantwortet. Somit kann die Problematik lediglich mithilfe einer Annahme abgegrenzt werden.

Faktorisierungsannahme (FA): Die Wahrscheinlichkeit, dass ein schnelles Faktorisierungsverfahren eine ganze Zahl n=pq mit Erfolg faktorisiert, sinkt rapide mit Länge der Faktoren p und q.

Für konkrete praktische Anwendungen fordert man dann, dass bei gegebener Länge der Primfaktoren nur ein bestimmter Teil in einer bestimmten Zeit mit maximal verfügbarer Rechnerkapazität faktorisiert werden kann, also z. B. bei einer Länge von 1024 Bit werden 2^-50% aller n in einem Jahr faktorisiert.

Die Sicherheit des BBS-Generators kann über die Faktorisierungsannahme bewiesen werden. Einen anderen auf der Funktionalität beruhenden Nachweis bietet die Quadratische-Reste-Annahme (QRA) (englisch: quadratic residuosity assumption). Diese resultiert aus der (wiederum nicht bewiesenen) Schwere (im Sinne von aufwändig) des Quadrattests in einem Restklassenring. Mit anderen Worten, ist eine Zahl das Quadrat einer anderen bzgl. des gegebenen Restklassenrings. Zwei Punkte erschweren diesen Test. Erstens gibt es in einem Restklassenring mehrere Wurzeln zu einer gegebenen Zahl. So haben z. B. im $\mathbb{Z}/4\mathbb{Z}$ 0 und 2 sowie 1 und 3 die gleichen Quadrate. Zweitens interessiert man sich nur für solche Quadrate, die selbst Quadrate sind. Diesen Umstand kann man sich mithilfe der Definition der BBS-Generatorfolge verdeutlichen.

Zusammenfassend gilt daher: Der Generator ist sicher, weil die Umkehrung des Quadrierens in einem Restklassenring $\mathbb{Z}/n\mathbb{Z}$ mit zusammengesetztem Modul n genauso schwierig ist wie die Faktorisierung von n.