Okamoto-Uchiyama-Kryptosystem

Das Okamoto-Uchiyama-Kryptosystem ist ein semantisch sicherer, asymmetrischer Verschlüsselungsalgorithmus. Es wurde erstmals im Jahr 1998 von Tatsuaki Okamoto und Shigenori Uchiyama an der Eurocrypt, einer der größten jährlich stattfindenden Kryptographiekonferenzen, vorgestellt.^[1] Das Verfahren ist additiv-homomorph, was bedeutet, dass durch die Multiplikation zweier Schlüsseltexte die Klartexte addiert werden. Es ist also nicht nötig, die Schlüsseltexte zu entschlüsseln, um auf den Klartexten operieren zu können.

Verfahren[Bearbeiten | Quelltext bearbeiten]

Wie viele asymmetrische Verschlüsselungsverfahren arbeitet das Okamoto-Uchiyama-Kryptosystem in der Gruppe ${\displaystyle (\mathbb {Z} /n\mathbb {Z} )^{*}}$. Allerdings ist der verwendete Modul ${\displaystyle n}$ im Gegensatz zu anderen Verfahren, z. B. RSA, von der Form ${\displaystyle n=p^{2}q}$, wobei ${\displaystyle p,q}$ große Primzahlen sind. Das Verfahren ist homomorph und leidet daher unter den damit einhergehenden Problemen.

Erzeugung des öffentlichen und privaten Schlüssels[Bearbeiten | Quelltext bearbeiten]

Das Schlüsselpaar wird folgendermaßen generiert:

• Man generiert zwei Primzahlen ${\displaystyle p,q}$ gleicher Bitlänge ${\displaystyle k}$, und setzt ${\displaystyle n=p^{2}q}$. In der Praxis sollte ${\displaystyle n}$ zumindest 1024, besser jedoch 1536 oder 2048 Binärstellen haben.
• Man wählt ${\displaystyle g}$ zufällig in ${\displaystyle (\mathbb {Z} /n\mathbb {Z} )^{*}}$ sodass ${\displaystyle g_{p}=g^{p-1}{\bmod {p}}^{2}}$ Ordnung ${\displaystyle p}$ hat.
• Man definiert ${\displaystyle h=g^{n}{\bmod {n}}}$

Der öffentliche Schlüssel besteht aus ${\displaystyle (n,g,h,k)}$, der private Schlüssel aus ${\displaystyle (p,q)}$.

Verschlüsseln von Nachrichten[Bearbeiten | Quelltext bearbeiten]

Um eine Nachricht ${\displaystyle m}$ mit ${\displaystyle 0<m<2^{k-1}}$ zu verschlüsseln, verfährt man wie folgt:

• Zuerst wählt man ein zufälliges ${\displaystyle r\in \mathbb {Z} /n\mathbb {Z} }$.
• Die verschlüsselte Nachricht ist dann gegeben durch ${\displaystyle c=g^{m}h^{r}{\bmod {n}}}$.

Entschlüsseln von Nachrichten (Decodierung)[Bearbeiten | Quelltext bearbeiten]

Zum Entschlüsseln definiert man zuerst die Funktion ${\displaystyle L(x)={\frac {x-1}{p}}}$. Dann erhält man die ursprüngliche Nachricht folgendermaßen:

• Man definiert ${\displaystyle c_{p}=c^{p-1}{\bmod {p}}^{2}}$.
• Man setzt ${\displaystyle m={\frac {L\left(c_{p}\right)}{L\left(g_{p}\right)}}{\bmod {p}}}$.

Im letzten Schritt ist zu beachten, dass die Division modulo ${\displaystyle p}$ durchgeführt werden muss, d. h., durch Multiplikation mit dem multiplikativ Inversen. Die Division in der Berechnung von ${\displaystyle L()}$ wird über den ganzen Zahlen ausgeführt.

Korrektheit des Okamoto-Uchiyama Kryptosystems[Bearbeiten | Quelltext bearbeiten]

Für eine ungerade Primzahl ${\displaystyle p}$ definiert man die p-Gruppe von ${\displaystyle (\mathbb {Z} /p^{2}\mathbb {Z} )^{*}}$ als

${\displaystyle \Gamma =\left\{x\in (\mathbb {Z} /p^{2}\mathbb {Z} )^{*}:x\equiv 1\mod p\right\}}$.

Das heißt, ${\displaystyle \Gamma }$ enthält genau jene Elemente von ${\displaystyle (\mathbb {Z} /p^{2}\mathbb {Z} )^{*}}$, welche bei Division durch ${\displaystyle p}$ den Rest 1 liefern.

Man definiert dann die logarithmische Funktion ${\displaystyle L}$ auf den Elementen von ${\displaystyle \Gamma }$ als

${\displaystyle L(x)={\frac {x-1}{p}}}$.

Dieser Wert ist immer ganzzahlig, da für alle ${\displaystyle x\in \Gamma }$ gilt, dass ${\displaystyle x-1\equiv 0\mod p}$.

Es gilt nun: ${\displaystyle L(xy\mod p^{2})=L(x)+L(y)\mod p}$.

Beweis:

${\displaystyle {\begin{aligned}L(xy\mod p^{2})&={\frac {xy-1}{p}}\mod p\\&={\frac {(x-1)(y-1)+(x-1)+(y-1)}{p}}\mod p\\&={\frac {x-1}{p}}(y-1)+{\frac {x-1}{p}}+{\frac {y-1}{p}}\mod p\\&=L(x)(y-1)+L(x)+L(y)\mod p\\&=L(x)+L(y)\mod p\end{aligned}}}$

Die erste Gleichung gilt wegen ${\displaystyle L(xy)={\frac {xy-1\mod p^{2}}{p}}={\frac {xy-1}{p}}\mod p}$. Die letzte Gleichung gilt, da nach der obigen Beobachtung ${\displaystyle y-1=0\mod p}$ gilt.

Falls nun für ein ${\displaystyle x}$ gilt, dass ${\displaystyle L(x)\neq 0\mod p}$, und weiters ${\displaystyle y=x^{m}\mod p^{2}}$ für ein ${\displaystyle m\in (\mathbb {Z} /p\mathbb {Z} )^{*}}$ ist, erhält man ferner

${\displaystyle m={\frac {L(y)}{L(x)}}\mod p}$.

In dieser Beziehung liegt auch der Grund für den Namen logarithmische Funktion, da der diskrete Logarithmus von ${\displaystyle y}$ in Basis ${\displaystyle x}$ berechnet wird.

Beweis: Dies folgt trivial aus der vorherigen Eigenschaft, weil ${\displaystyle L(y)=L(x^{m}\mod p^{2})=L(x)+\dots +L(x)=mL(x)\mod p}$ und ${\displaystyle 0\leq m<p}$ gilt.

Daraus folgt nun insgesamt die Korrektheit des Verfahrens, dass also

${\displaystyle m'={\frac {L\left(c_{p}\right)}{L\left(g_{p}\right)}}\mod p}$

tatsächlich mit der ursprünglichen Nachricht ${\displaystyle m}$ übereinstimmt.

Beweis: Wir beobachten zuerst, dass

${\displaystyle (g^{m}h^{r})^{p-1}=(g^{m}g^{nr})^{p-1}=(g^{p-1})^{m}g^{p(p-1)rq}=(g^{p-1})^{m}\mod p^{2}}$,

wobei für die letzte Gleichung der Satz von Lagrange verwendet wurde. Wir erhalten dann:

${\displaystyle m'={\frac {L\left(c_{p}\right)}{L\left(g_{p}\right)}}={\frac {L\left(c^{p-1}\right)}{L\left(g^{p-1}\right)}}={\frac {L\left((g^{m}h^{r})^{p-1}\right)}{L\left(g^{p-1}\right)}}={\frac {L\left((g^{p-1})^{m}\right)}{L\left(g^{p-1}\right)}}=m\mod p}$.

Wichtig ist hier, dass ${\displaystyle 0<m<2^{k-1}}$, und damit auch ${\displaystyle m<p}$ erfüllt war, da ${\displaystyle p}$ nach Voraussetzung eine Zahl mit k Bit Länge war.

Sicherheit[Bearbeiten | Quelltext bearbeiten]

Unter der p-Untergruppen-Annahme kann gezeigt werden, dass das Verfahren semantisch sicher ist. Das Invertieren der Verschlüsselung ist bewiesenermaßen ebenso komplex wie das Faktorisieren des Moduls ${\displaystyle n}$.

Homomorphieeigenschaften[Bearbeiten | Quelltext bearbeiten]

Wie bei allen homomorphen Verschlüsselungsverfahren kann ein Angreifer einen Schlüsseltext derart verändern, dass er zu einem mit dem ursprünglichen Klartext verwandten Klartext entschlüsselt wird. Sei zum Beispiel ${\displaystyle c}$ die Verschlüsselung eines unbekannten Wertes ${\displaystyle m}$. Dann kann durch Multiplikation mit ${\displaystyle g^{\Delta m}}$ der verschlüsselte Wert sehr einfach um jeden beliebigen Wert ${\displaystyle \Delta m}$ verändert werden:

${\displaystyle c'=cg^{\Delta m}\mod n=g^{m}h^{r}g^{\Delta m}\mod n=g^{m+\Delta m}h^{r}\mod n}$.

Auf ähnlich Weise kann man auch den unbekannten Klartext auch mit einem beliebigen Faktor ${\displaystyle f}$ multiplizieren, indem man den Schlüsseltext exponentiert:

${\displaystyle c'=c^{f}\mod n=g^{fm}h^{fr}\mod n=g^{fm}h^{r'}\mod n}$.

Um hier allerdings ein vernünftiges Resultat zu erreichen (z. B., eine Verdoppelung des Klartextes), muss garantiert sein, dass ${\displaystyle f\cdot m<p}$ gilt, bzw. sogar ${\displaystyle f\cdot m<2^{k-1}}$, damit der Empfänger aus der Entschlüsselung keine Rückschlüsse auf die Manipulation ziehen kann (alle korrekt verschlüsselten Klartexte dürfen laut Vorschrift ja höchstens ${\displaystyle k-1}$ Bits lang sein).

Vorteile[Bearbeiten | Quelltext bearbeiten]

Die homomorphen Eigenschaften werden u. a. im Zusammenhang mit den folgenden Anwendungen ausgenützt.

• E-Voting: Nachdem jeder Wahlberechtigte seine Stimme (im einfachsten Fall eine 1 für ja, eine 0 für nein) verschlüsselt und an die Wahlbehörde übermittelt hat, werden alle Schlüsseltexte multipliziert, und die resultierende Verschlüsselung enthält die Verschlüsselung der Gesamtanzahl an Ja-Stimmen. Durch Entschlüsseln erhält man nun das Wahlergebnis. Wichtig ist, dass die den ersten Schritt ausführende Partei keine Kenntnis des geheimen Schlüssels benötigt, wodurch keine einzelnen Stimmen entschlüsselt werden können.
• eCash
• Zero-Knowledge-Beweise im Universal Composability Modell

Nachteile[Bearbeiten | Quelltext bearbeiten]

Aufgrund der angeführten Homomorphieeigenschaften ist das Verfahren allerdings nicht IND-CCA sicher, d. h. nicht sicher unter gewählten Schlüsseltext-Angriffen. Jedes Verschlüsselungssystem, das diese Sicherheit besitzt müsste nämlich auch nicht-verformbar sein, eine Eigenschaft die zur Homomorphie im Widerspruch steht. In der Literatur findet man auch Transformationen, das System in eine IND-CCA sichere Variante zu transformieren.^[2][3] Ob diese Transformationen angebracht sind oder nicht, ist von der jeweiligen Anwendung abhängig.

Vollständiges Beispiel[Bearbeiten | Quelltext bearbeiten]

Die oben angeführten Schritte sollen hier an einem kleinen Beispiel veranschaulicht werden.

Schlüsselerzeugung[Bearbeiten | Quelltext bearbeiten]

Zunächst werden zwei geheime Primzahlen gewählt, beispielsweise ${\displaystyle p=1.019}$ und ${\displaystyle q=883}$. Beide haben in der Binärdarstellung 10 Bits, d. h., es ist ${\displaystyle k=10}$. Damit ergibt sich weiters:

• ${\displaystyle n=p^{2}\cdot q=916.872.763}$

Die zufällige, passende Wahl von ${\displaystyle g}$ liefert

• ${\displaystyle g=332.706}$
• ${\displaystyle g_{p}=g^{p-1}\mod p^{2}=899.778}$, wobei ${\displaystyle g_{p}^{p}=1\mod n}$ und ${\displaystyle g^{p}\neq 1\mod p^{2}}$ gilt.
• ${\displaystyle h=g^{n}\mod n=344.141.213}$

Der öffentliche Schlüssel ist damit gegeben durch: ${\displaystyle (n,g,h,k)=(916.872.763,332.706,344.141.213,10).}$

Der geheime Schlüssel lautet ${\displaystyle (p,q)=(1.019,883)}$.

Vorarbeiten[Bearbeiten | Quelltext bearbeiten]

In einem ersten Schritt muss der zu verschlüsselnde Text in Zahlen kleiner als ${\displaystyle 2^{k-1}=2^{9}=512}$ übersetzt werden. Wir ersetzen dazu einfach jeden Buchstaben durch seine Position im Alphabet:

A=01 B=02 C=03 usw. (00 = Leerzeichen)

Wir verschlüsseln nun jedes Zeichen einzeln, da zwei aufeinanderfolgende Buchstaben u. U. einen zu großen Wert liefern könnten.

Klartext:  O  U  K
Kodierung: 15 21 11

Verschlüsselung[Bearbeiten | Quelltext bearbeiten]

Wir haben drei zu verschlüsselnde Klartexte (${\displaystyle m_{1}=15}$, ${\displaystyle m_{2}=21}$ und ${\displaystyle m_{3}=11}$), für die wir jeweils ein ${\displaystyle r_{i}}$ benötigen.

r1 = 523.423.432
r2 =  43.412.311
r3 = 633.186.663

Die Verschlüsselungen ${\displaystyle c_{i}}$ ergeben sich damit zu:

ci = gmihri mod n
c1 = 33270615 344141213523423432 mod 916872763 = 289652071
c2 = 423840839
c3 = 684226192

Entschlüsselung[Bearbeiten | Quelltext bearbeiten]

Wir können die Nachrichten entschlüsseln durch:

mi = L(cip-1 mod p2) / L(gp) mod p

Wichtig ist hier, dass die Division ${\displaystyle \mod p}$ ausgeführt wird. Wir berechnen daher mittels des erweiterten Euklidischen Algorithmus das multiplikative Inverse von ${\displaystyle L(g_{p})}$ modulo ${\displaystyle p}$ und erhalten damit ${\displaystyle L(g_{p})^{-1}=502\mod p}$. Damit ergibt sich die Entschlüsselung zu:

m1 = L(2896520711018 mod 1038361) * 502 mod 1019 = 15
m2 = 21
m3 = 11

Durch Invertierung der Substitutionsvorschrift kann man diese Werte nun wieder in Buchstaben übersetzen.

Quellen[Bearbeiten | Quelltext bearbeiten]

1. ↑ Tatsuako Okamoto und Shigenori Uchiyama: A new public-key cryptosystem as secure as factoring (Memento des Originals vom 8. März 2021 im Internet Archive) In: Eurocrypt 98, Springer Verlag, 1998, S. 308–318 (englisch).  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/link.springer.com 
2. ↑ Eiichiro Fujisaki und Tatsuako Okamoto: How to Enhance the Security of Public-Key Encryption at Minimum Cost (Memento des Originals vom 19. Januar 2022 im Internet Archive) In: PKC 99, Springer Verlag, 1999, S. 53–68 (englisch).  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/link.springer.com 
3. ↑ Pascal Paillier und David Pointcheval: Efficient Public-Key Cryptosystems Provably Secure Against Active Adversaries (Memento des Originals vom 24. Februar 2020 im Internet Archive) In: ASIACRYPT 99, Springer Verlag, 1999, S. 165–179 (englisch).  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/link.springer.com