https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=Benaloh-KryptosystemBenaloh-Kryptosystem - Versionsgeschichte2026-06-04T01:19:59ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=Benaloh-Kryptosystem&diff=2662360&oldid=previmported>Aka: /* Schlüsselerzeugung */ Tippfehler entfernt2025-09-19T09:42:59Z<p><span class="autocomment">Schlüsselerzeugung: </span> <a href="/index.php?title=Benutzer:Aka/Tippfehler_entfernt&action=edit&redlink=1" class="new" title="Benutzer:Aka/Tippfehler entfernt (Seite nicht vorhanden)">Tippfehler entfernt</a></p>
<p><b>Neue Seite</b></p><div>Das '''Benaloh-Kryptosystem''' wurde 1994 von [[Josh Benaloh]] vorgestellt. Es handelt sich dabei um ein [[asymmetrisches Kryptosystem]]. Das Verfahren ist [[Gruppenhomomorphismus|homomorph]], d.&nbsp;h., zwei verschlüsselte Nachrichten können addiert werden, ohne die Nachrichten vorher zu entschlüsseln.<br />
<br />
Das Verfahren ist eine Erweiterung des [[Goldwasser-Micali-Kryptosystem]]s: während letzteres lediglich das Verschlüsseln von einzelnen Bits ermöglicht, erlaubt das Benaloh-Kryptosystem das Verschlüsseln von größeren Blocks. Ein kleiner Fehler in der Beschreibung wurde später von Laurent Fousse ''[[et al.]]'' korrigiert.<br />
<br />
== Verfahren ==<br />
Im Folgenden beschreiben wir die [[Schlüssel (Kryptologie)|Schlüsselerzeugung]], und die Algorithmen zur Ver- und Entschlüsselung von Nachrichten.<ref>{{Internetquelle |autor=Josh Benaloh |url=http://research.microsoft.com/en-us/um/people/benaloh/papers/dpe.ps |titel=Dense Probabilistic Encryption |abruf=2012-06-13 |format=PS |sprache=en}}</ref><ref>{{Literatur |Autor=Laurent Fousse, Pascal Lafourcade, und Mohamed Alnuaimi |Titel=Benaloh’s Dense Probabilistic Encryption Revisited |Datum=2010-08-18 |Sprache=en |arXiv=1008.2991}}</ref><br />
<br />
=== Erzeugung des öffentlichen und privaten Schlüssels ===<br />
Das Schlüsselpaar wird folgendermaßen generiert:<br />
* Zuerst wählt man eine Blockgröße <math>r</math>.<br />
* Dann generiert man zwei zufällige [[Primzahl]]en <math>p,q</math>, sodass <math>r|(p-1)</math>, <math>\operatorname{ggT}((p-1)/r, r)=1</math> sowie <math>\operatorname{ggT}(q-1, r)=1</math> gilt, und definiert <math>n=pq</math>. In der Praxis sollte n zumindest 1024, besser jedoch 1536 oder 2048 [[Bit|Binärstellen]] haben.<br />
* Man wählt <math>y</math> zufällig in <math>(\mathbb{Z}/n\mathbb{Z})^*</math>, sodass für alle [[Primfaktorzerlegung|Primteiler]] <math>s</math> von <math>r</math> gilt: <math>y^{(p-1)(q-1)/s} \not \equiv 1 \mod n</math> gilt.<br />
<br />
Der öffentliche Schlüssel besteht aus <math>(r,n,y)</math>, der private Schlüssel aus <math>(p,q)</math>.<br />
<br />
=== Verschlüsseln von Nachrichten ===<br />
Um eine Nachricht <math>m\in (\mathbb{Z}/r\mathbb{Z})</math> zu verschlüsseln, verfährt man wie folgt:<br />
* Zuerst wählt man ein zufälliges <math>u\in (\mathbb{Z}/n\mathbb{Z})^*</math>.<br />
* Die verschlüsselte Nachricht ist dann gegeben durch <math> c=y^m u^r \mod n </math>.<br />
<br />
=== Entschlüsseln von Nachrichten (Decodierung) ===<br />
Zum Entschlüsseln eines [[Geheimtext|Schlüsseltextes]] <math>c\in (\mathbb{Z}/n\mathbb{Z})^*</math> verfährt man dann wie folgt:<br />
* Man setzt <math>a=c^{(p-1)(q-1)/r} \mod n</math> und <math>b=y^{(p-1)(q-1)/r} \mod n</math> und sucht dann ein <math>m</math> sodass <math>a=b^m\mod n</math> gilt. Ist <math>r</math> klein, so kann dies durch [[Brute-Force-Methode|Durchprobieren]] aller möglichen Werte geschehen; ist <math>r</math> dagegen groß, hat aber nur kleine [[Primfaktorzerlegung|Primteiler]], kann der [[Index-Calculus-Algorithmus]] verwendet werden.<br />
<br />
Dass die Entschlüsselung tatsächlich wieder die geheime Nachricht liefert, kann etwa folgendermaßen gesehen werden. Es gilt<br />
:<math>a=c^{(p-1)(q-1)/r} = (y^m u^r)^{(p-1)(q-1)/r} \equiv y^{m(p-1)(q-1)/r} u^{(p-1)(q-1)} \equiv y^{m(p-1)(q-1)/r} = b^m\mod n</math><br />
<br />
== Sicherheit ==<br />
Unter der ''Higher-Residuosity''-Annahme kann gezeigt werden, dass das Verfahren [[Sicherheitsbegriff#Semantische Sicherheit (SEM)|semantisch sicher]] gegen [[Ciphertext Indistinguishability|Angriffe mit ausgewählten Klartexten]] ist. Diese Annahme besagt, dass für einen zusammengesetzten Modul <math>n</math> nicht effizient geprüft werden kann, ob ein Element in <math>(\mathbb{Z}/n\mathbb{Z})</math> eine <math>r</math>-te Wurzel modulo <math>n</math> besitzt oder nicht, falls <math>r</math> und <math>n</math> wie [[#Erzeugung des öffentlichen und privaten Schlüssels|oben]] beschrieben gewählt wurden.<br />
<br />
== Homomorphieeigenschaften ==<br />
Das Benaloh-Kryptosystem ist additiv-homomorph. Das bedeutet, dass durch [[Multiplikation]] zweier Schlüsseltexte die darin enthaltenen Klartexte addiert werden, bzw. durch Exponentiation eines Schlüsseltextes mit <math>v</math> der enthaltene Wert mit <math>v</math> multipliziert wird. Außerdem kann die enthaltene Nachricht durch Multiplikation des Schlüsseltexts mit <math>y^w</math> um <math>w</math> vergrößert werden. Allerdings gibt es keine bekannte Möglichkeit, um durch Operationen auf zwei Schlüsseltexten die enthaltenen Nachrichten miteinander zu multiplizieren.<br />
<br />
== Vollständiges Beispiel ==<br />
Die oben angeführten Schritte sollen hier an einem kleinen Beispiel veranschaulicht werden.<br />
<br />
=== Schlüsselerzeugung ===<br />
Zunächst wählen wir die Blockgröße <math>r=9</math> und wählen <math>p=883</math> und <math>q=1019</math>. Damit gilt<br />
:<math>\operatorname{ggT}((p-1)/r, r)=\operatorname{ggT}(882/9, 9)=\operatorname{ggT}(98, 9)=1</math><br />
sowie<br />
:<math>\operatorname{ggT}(q-1, r)=\operatorname{ggT}(1018, 9)=1</math>.<br />
Weiters wählen wir <math>y=85.147</math>, welches <math>85147^{882 \cdot 1018/3} \equiv 70977\not\equiv 1\mod (883 \cdot 1019)</math> erfüllt.<br />
<br />
Damit erhalten wir:<br />
r = 9<br />
n = p·q = 899777<br />
y = 85147<br />
<br />
Der öffentliche Schlüssel ist damit gegeben durch: <math>(r,n,y) = (9,899777,85147).</math><br />
<br />
Der geheime Schlüssel lautet <math>(p,q) = (883,1.019)</math>.<br />
<br />
=== Verschlüsselung ===<br />
Angenommen, man möchte die Nachricht <math>m=6</math> verschlüsseln. Dazu wählen wir ein zufälliges <math>u\in(\mathbb{Z}/n\mathbb{Z})^*</math> :<br />
u = 175884<br />
Die Verschlüsselung ergibt sich damit zu:<br />
c = y<sup>m</sup>u<sup>r</sup> mod n = 85147<sup>6</sup> 175884<sup>9</sup> mod 899777 = 541197<br />
<br />
=== Entschlüsselung ===<br />
Zur Entschlüsselung berechnen wir zuerst:<br />
a = c<sup>(p-1)(q-1)/r</sup> mod n = 541197<sup>882·1018/9</sup> mod 899777 = 4077<br />
b = y<sup>(p-1)(q-1)/r</sup> mod n = 85147<sup>882·1018/9</sup> mod 899777 = 887550<br />
Eine systematische Suche liefert uns nun:<br />
y<sup>0</sup> mod n = 887550<sup>0</sup> mod 899777 = 1 <> 4077<br />
y<sup>1</sup> mod n = 887550 <> 4077<br />
y<sup>2</sup> mod n = 136547 <> 4077<br />
y<sup>3</sup> mod n = 425943 <> 4077<br />
y<sup>4</sup> mod n = 803992 <> 4077<br />
y<sup>5</sup> mod n = 553318 <> 4077<br />
y<sup>6</sup> mod n = 4077<br />
Die verschlüsselte Nachricht lautete daher <math>m=6</math>.<br />
<br />
== Einzelnachweise ==<br />
<references /><br />
<br />
[[Kategorie:Asymmetrisches Verschlüsselungsverfahren]]</div>imported>Aka