StartseiteMathlog

Allerlei Verschlüsseltes

Von / 30. Oktober 2022 / 12 Kommentare / Seite 4 von 5 / Auf einer Seite lesen
Mehr

Das ist (für Mathematiker) eigentlich eine sehr banale Idee. Dass sie trotzdem sichere Verschlüsselungsverfahren liefert, liegt daran, dass es Gruppen G gibt, die viel komplizierter sind als die ganzen Zahlen, und für die das Problem des diskreten Logarithmus schwer zu lösen ist.

Problem des diskreten Logarithmus: In einer abelschen Gruppe G seien ein Element g und eine Potenz ga gegeben. Berechne die ganze Zahl a.

Der Diffie-Hellman-Schlüsselaustausch lässt sich knacken, wenn in einer Gruppe G der diskrete Logarithmus leicht zu berechnen ist, wie etwa in den ganzen Zahlen. Schwer zu berechnen ist der diskrete Logarithmus zum Beispiel in {\bf F}_p^* – darauf beruht RSA – oder in abelschen Varietäten, zum Beispiel in elliptischen Kurven über {\bf F}_p, die anders als höherdimensionale abelsche Varietäten auch mit vertretbarem Aufwand zu speichern sind. Auf elliptischen Kurven beruht die Elgamal-Verschlüsselung, die heute meist verwendet wird.

Um das Prinzip an einem sehr einfachen Beispiel zu veranschaulichen, nehmen wir mal die Kurve y^2=x^3+3x+2 über {\bf F}_{23}, die zufällig aus genau 28 Punkten besteht, welche man also den Symbolen des deutschen Alphabets – 26 Buchstaben sowie Leerzeichen und Punkt – zuordnen kann.
Der Buchstabe A entspreche dem Punkt (0,5), der Buchstabe B dem Punkt (0,18), der Buchstabe H dem Punkt (4,20), der Buchstabe Z dem Punkt (20,9), das Leerzeichen dem Punkt (20,14) und der Punkt dem Punkt im Unendlichen. Wenn wir dann etwa als Verschlüsselungsfunktion P\mapsto 2P, also a=2 wählen, dann wird jeweils der P entsprechende Buchstabe mit dem 2P=P+P entsprechenden Buchstaben verschlüsselt. Zum Beispiel ist (0,5)+(0,5)=(4,20), also wird A durch H verschlüsselt.

In der Praxis werden natürlich nicht Buchstaben, sondern Blöcke von Bits verschlüsselt, außerdem braucht man elliptische Kurven mit wesentlich mehr Punkten. Bei nur 28 Punkten wäre die Entschlüsselung notfalls auch durch brachiales Probieren machbar, mit Computer-Hilfe eine Sache von Sekunden-Bruchteilen.

Real verwendet man elliptische Kurven mit mindestens 2256 Punkten. Nach der von Hasse bewiesenen Riemann-Vermutung für Funktionenkörper elliptischer Kurven ist die Anzahl der Punkte einer elliptischen Kurve näherungsweise p+1 – genauer \sharp E({\bf F}_p)-(p+1)\le 2\sqrt{p}, weshalb man also auch p in dieser Größenordnung wählen muss. Um dieselbe Sicherheit nicht mit elliptischen Kurven, sondern mit RSA zu erreichen, müßte man mit viel größeren Zahlen rechnen.

Entschlüsselung

In der Kryptographie gelten Verschlüsselungsverfahren als unsicher, wenn es Entschlüsselungs-Algorithmen in subexponentieller Zeit gibt.

Es gibt eine Reihe von Algorithmen zum Knacken elliptischer Kurven, die exponentielle Zeit benötigen. Bekannte Beispiele sind der Babystep-Giantstep-Algorithmus, der Pohlig-Hellman-Algorithmus, der Pollard ρ-Algorithmus und der Pollard λ-Algorithmus. Wegen ihres hohen Zeit- und Speicher-Aufwandes sind sie nicht praktikabel und stellen also keine Gefahr dar.

Darüber hinaus gibt es Algorithmen, die für sehr spezielle elliptische Kurven tatsächlich Entschlüsselung in subexponentieller Zeit erreichen. Diese speziellen elliptischen Kurven dürfen dann natürlich in der Verschlüsselung nicht verwendet werden.

Konkret dürfen sogenannte “supersinguläre” und “anomale” Kurven nicht verwendet werden.
Eine “supersinguläre” Kurve ist eine Kurve, für die die Anzahl der Punkte genau p+1 ist, also Gleichheit im Satz von Hasse gilt. (Jedenfalls, wenn man modulo einer Primzahl p\ge 5 rechnet. Die allgemeine Definition ist, dass p^n+1-\sharp E({\bf F}_p) durch p teilbar sein soll.) Für supersinguläre Kurven gibt es den MOV-Algorithmus, der in subexponentieller Zeit entschlüsselt. Der MOV-Algorithmus benutzt die Weil-Paarung, um die Berechnung diskreter Logarithmen in E({\bf F}_p) auf die (etwas einfachere) Berechnung diskreter Logarithmen in der multiplikatven Gruppe {\bf F}_p^* zurückzuführen.
Eine “anomale” elliptische Kurve ist eine Kurve, für die die Anzahl der Punkte genau p ist. Für anomale Kurven gibt es den SSSA-Algorithmus, der in subexponentieller Zeit entschlüsselt.

In der Praxis verwendet man ohnehin nur eine relativ kleine Auswahl von elliptischen Kurven. Die NSA zum Beispiel hat eine überschaubare Liste von zu verwendenden elliptischen Kurven.

In choosing an elliptic curve as the foundation of a public key system there are a variety of different choices. The National Institute of Standards and Technology (NIST) has standardized on a list of 15 elliptic curves of varying sizes. Ten of these curves are for what are known as binary fields and 5 are for prime fields. Those curves listed provide cryptography equivalent to symmetric encryption algorithms (e.g. AES, DES or SKIPJACK) with keys of length 80, 112, 128, 192, and 256 bits and beyond.

1 / 2 / 3 / 4 / 5
Stichworte: ,
Mehr

Kommentare (12)

  1. #1 Dr. Webbaer
    30. Oktober 2022

    Vielen Dank für die Mühe, die Sie sich gemacht haben, lieber Thilo.
    So wie Dr. Webbaer Sie kennt, war alles richtig.

    Dr. Webbaer rät an Verschlüsselungen bereits jetzt mit möglichst komplexen Keys auszustatten, so dass auch Rechnergeneration der Marke “Quantenrechner” so nicht angreifen kann.

    Dr. Webbaer mag auch, dass Joseph Honerkamp (“SciLogs.de”) zitiert worden ist.

    Mit freundlichen Grüßen und weiterhin viel Erfolg
    Dr. Webbaer

  2. #2 Dr. Webbaer
    30. Oktober 2022

    Sicherlich ging hier :

    Daneben gibt es aber auch anerkannte Universitätsprofessoren, die im Ernst versuchen, Quantenverschränkung zur Erklärung größerer Phänomene heranzuziehen. [Artikeltext}

    .. in puncto benötigte Schichtentrennung einiges schief, also die Schichtentrennung, so dass physikalische Beobachtung nicht in (gedachte, mathematische) Systeme eingreifen kann, die dem Geist entsprungen sind.


    Ansonsten, im rein Philosophischen, das an dieser Stelle erst einmal als nebensächlich bearbeitet werden soll, können solche Überlegungen greifen :

    Die Schlußfolgerung war letztlich, dass es eine nichtlokale Korrelation zwischen “mind” und “body” geben solle. [Artikeltext]

  3. #3 Quanteder
    31. Oktober 2022

    #2
    . . . .. Frau Hossenfelder sieht genau darin ein Problem und will es mit Superdeterminism beschreiben.

    . . . .. das Andere würde ja heissen, mein „mind“ würde mittels ART ins Universum flutschenden und dann wieder zu meinem „body“ zurückfinden. Fast sinnbildlich für die Quantengravitation. . . ..

    . . . .. das darf doch nicht alles wahr sein, gelle 🙂

  4. #4 Honi soit qui mal y pense – Community-Standards bei Facebook – Geograffitico
    1. November 2022

    […] Ehe ich hier nun die inkriminierten Beiträge verlinke, will ich erst einmal zugeben, dass es in einem wissenschaftsbezogenen Blog immer wieder mal Themen geben kann, die sich mit menschlicher Sexualität – entweder rein biologisch, oder aber auch als Verhaltensmuster – befassen. Doch die waren nicht das, woran sich die Facebook-Bots gerieben haben: Beanstandet und blockiert wurde Bettinas Meertext-Beitrag über streng riechende Grauwale (“Das Rätsel der stinkenden Grauwale” und Thilos Mathlog-Posting über “Allerlei Verschlüsseltes“. […]

  5. #5 Quanteder
    2. November 2022

    #2
    . . . .. https://www.philomag.de/artikel/bertrand-russell-und-die-mathematik
    Übereinstimmung mit der Wirklichkeit: Mathematiker sind Menschen und Menschen sind Wirklichkeit!!!
    > Ma||Ph-Ch/Bio:: Ma
    > Ma||Evolution . . . ..

    Wenn man sich mit diesem Determinismus anfreunden kann, dann bestünde der Sinn von Evolution, die Menge von Menschen auf der Erde mit dem „mathematischen“ Universum zu verbinden.
    Ein weiterer Gedanke wäre, das geistige Tätigkeit Materie bewegen kann . . . ..

    . . . .. und: Eva wäre keine Sünderin mehr. Mit ihrer Beobachtung kann sie Einfluss auf die Messung nehmen (viele Grüsse an die Facebook-bots 🙂 .

  7. #7 Bernd Nowotnick
    4. November 2022

    Mit der Verschlüsselung der QM hat man es ein bisschen bei den tatsächlichen Gegebenheiten, wie etwa dem Aufenthaltsort eines Beobachters mit ausgedehnten Wellen von Steuern und Bewerten zu tun, aus der sich mit den Methoden der Mathematik die Wahrscheinlichkeit für bestimmte Ergebnisse ablesen lässt. Die Bewegung des Beobachters bzw. Teilchens durch die Welt erfolgt auf Grundlage von Angebotswellen. Angebotswellen haben etwas vom Kaleidoskop. Je nach dem in welche Richtung man sich entscheidet folgt der Weg darauf der Pilotwelle. Bei einem Impuls prüfen vorwärts und rückwärts Angebotswellen in 45°-Winkeln die Kausalitätsschleifen. Aber erst im Moment der Messung kollabiert die Welle auf einen Punkt, an den dann der Beobachter oder das Teilchen springt. Es ist schwierig das Fallen der Kristalle zurück zu verfolgen. Das klappt nur wenn es sich gemerkt wurde. Die Informationsverarbeitung findet meiner Meinung nach bei der ART auf Grundlage der Vakuumwinkelanpassung und bei der QM bzw. Informationshydrodynamik in der zwölfdimensionalen Struktur statt. Als Information ist die Ausrichtung des magnetischen bzw. des Informationsfeldes gemeint.

  8. #8 Andriool
    Rhein-Main-Gebiet
    6. November 2022

    Lieber Thilo,
    ich gehöre zu den stillen Mitlesern und melde mich deshalb, weil ich gerne wissen möchte, ob und wenn ja, wo Du deine großartigen Artikel weiterhin veröffentlichen wirst.

    Ich bin deshalb stiller Mitleser, da ich wegen nicht vorhandener Freizeit nicht dazu komme, mich selbst mit den Themen auseinandersetzen. Dies werde ich jedoch – abseits des Lebens mit meiner, leider nicht am Thema interessierten Frau – intensiv betreiben, wenn ich in Rente bin und dann finanziell und auch körperlich eingeschränkt sein werde. Ich freue mich auf diese kommende Zeit …

    Das, was Du bisher so geschrieben hast, dies lässt so eine Art innere Landkarte für die Strukturen innerhalb der Mathematik entstehen.

    Deine Artikel sind wie interessante Puzzlestücke …

    … ich bedauere es sehr, Programmieren nicht zum Beruf zu haben und wundere mich über die fehlenden Posts zwischen programmierenden Mathematikern

    Vielen Dank lieber Thilo für alles

  9. #9 Thilo
    7. November 2022

    Danke für die Nachfrage. Ich werde hier (wahrscheinlich erst im Dezember) noch bekanntgeben, ob und wo ich weiterschreibe. In jedem Fall werde ich aber wohl mit geringerer Frequenz weiterbloggen.

  10. #10 Dr. Webbaer
    11. Dezember 2022

    Nochmals, bevor es hier bei den Scienceblogs.de langsam zu Ende geht, lieber Herr Thilo, noch mal eine Frage zum sogenannten Ziegenproblem, vielleicht ist sie an dieser Stelle erlaubt bis gerne gesehen

    1.)
    Dieses Problem ist trivial, wenn der Showmaster ein Tor öffnen muss und das Wechseln anbieten muss, es muss dann (sozusagen rein mathematisch) gewechselt werden, die Gewinnwahrscheinlichkeit erhöht sich von 1/3 auf 2/3.

    2.)
    Muss der Showmaster nicht so handeln und befindet sich er in einer Serie von Spielen, wie im Quiz-Wesen ja auch üblich, ist der Showmaster

    a) benevolent, wenn er immer nur dann den Wechsel anbietet, wenn der Kandidat sich anfänglich NICHT für das Tor mit dem Gewinn entschieden hat.

    b) malevolent, wenn er immer nur dann den Wechsel anbietet, wenn der Kandidat sich anfänglich für das Tor mit dem Gewinn entschieden hat.

    3.)
    Was nun also ins Spiel kommt in der iterativen Ziegenproblem-Variante, ist die Beobachtung des Showmasters durch den Kandidaten, es wird auf einmal sehr interessant, wie benevolent oder malevolent der Showmaster in der Vergangenheit war.

    4.)
    Hat er häufiger als in zwei von drei Fällen das Wechseln angeboten, müsste er im empiristischen Sinne benevolent sein, jedenfalls benevolenter als malevolenter, wenn die Datenprobe ausreichend groß ist. (Jetzt nicht fragen, wie groß sie genau sein muss, danke.)

    5.)
    Hat der Showmaster z.B. hundertfach in Folge den Wechsel angeboten, muss der Kandidat im empiristischen Sinne (nicht unbedingt im mathematischen Sinne) wechseln.

    6,)
    Nur was ist, wenn in dieser iterativen Spielvariante dem Kandidaten nichts über das vergangene Verhalten des Showmasters bekannt ist, wenn er zum ersten Mal in dessen Sendung sitzt sozusagen, gilt dann nicht auch (4), weil er ja in einem von einem Fall (also zu 100 % sozusagen) den Wechsel angeboten bekommen hat?

    Mit freundlichen Grüßen
    Dr. Webbaer

  11. #11 Thilo
    18. Dezember 2022

    Entschuldigung, dass ich die Frage nicht beantwortet hatte, ich war etwas beschäftigt. Sonst war es ja meistens so, dass ich Fragen gar nicht selbst beantworten mußte, weil andere Kommentatoren das immer schon gemacht hatten. Aber inzwischen lesen hier auch nicht mehr so viele Leute mit wie früher mal.

    Ich werde in Zukunft wahrscheinlich auf https://www.mathematik.de/ bloggen, aber wohl erst im nächsten Jahr. Dort werde ich freilich nur Texte zur Mathematik schreiben können, nicht wie hier auch Kommentare zu anderen aktuellen Themen. Da ja die scienceblogs jetzt doch noch nicht zum Jahreswechsel dicht machen, werde ich den Blog hier erstmal weiter nutzen um auch Artikel zu nicht direkt mathematischen Themen veröffentlichen zu können. In jedem Fall wird die Frequenz aber geringer werden. Viele Grüße

  12. #12 Jvenny
    10. Juli 2023

    Hi guys!
    I realized that your article is so exciting. There are a lot of information and fantastic content. They were released and enhance my knowledge, spacebar clicker it is so good.