https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=Blom-VerfahrenBlom-Verfahren - Versionsgeschichte2026-06-25T01:49:05ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=Blom-Verfahren&diff=1077483&oldid=previmported>LepusHI: /* growthexperiments-addlink-summary-summary:1|1|0 */2025-05-01T21:28:26Z<p><span class="autocomment">growthexperiments-addlink-summary-summary:1|1|0</span></p>
<p><b>Neue Seite</b></p><div>Das '''Verfahren von Blom''' ist ein kryptographisches Protokoll zum Austausch symmetrischer Schlüssel mit Hilfe einer vertrauenswürdigen Partei. Das Verfahren ist wesentlich schneller als ein [[Asymmetrisches Kryptosystem|asymmetrisches Verfahren]]. Somit läuft es auch auf leistungsschwachen Mikrochips. Es wird derzeit im [[HDCP]]-Protokoll (dem Kopierschutzverfahren des [[HDTV]]) eingesetzt.<br />
<br />
== Das Protokoll ==<br />
Der Schlüsselaustausch erfordert eine vertrauenswürdige Partei (Trent) und <math>n</math> Benutzer (neue Benutzer können auch nachträglich bequem hinzugefügt werden). Die vertrauenswürdige Partei gibt dabei jedem der <math>n</math> Teilnehmer einen geheimen privaten Schlüssel sowie eine öffentliche Identifikationsnummer. Mit diesen Daten kann jeder Protokollteilnehmer mit jedem anderen Teilnehmer mit Hilfe einfacher Berechnungen (nur lineare Algebra) einen symmetrischen Schlüssel austauschen.<br />
<br />
Wenn <math>k</math> oder mehr kompromittierte Benutzer zusammenarbeiten sollten, können sie das Verfahren knacken (d.&nbsp;h., sie können den Master-Schlüssel der o.&nbsp;g. vertrauenswürdigen Partei berechnen). Weniger als <math>k</math> Benutzer können (bei optimaler Parameterwahl) nichts ausrichten. Es handelt sich dabei um ein Schwellwertverfahren (englisch ''threshold scheme'').<br />
<br />
[[Alice und Bob]] seien im Folgenden zwei Benutzer.<br />
<br />
=== Protokoll-Vorbereitung ===<br />
Die vertrauenswürdige Partei Trent wählt als Master-Schlüssel eine geheime, [[Zufallsmatrix|zufällige]] und [[Symmetrische Matrix|symmetrische]] <math>k \times k</math>-Matrix <math>D</math> über <math>GF(p)</math>, wobei <math>p</math> eine Primzahl sein muss. Diese Matrix muss zum Hinzufügen eines neuen Benutzers bekannt sein.<br />
<br />
D sei zum Beispiel (<math>p = 17</math>): <math>\begin{pmatrix} 1&6&2\\6&3&8\\2&8&2\end{pmatrix}\mod 17</math><br />
<br />
=== Hinzufügen eines neuen Teilnehmers ===<br />
Ein neuer Benutzer Alice möchte der Schlüsselaustausch-Gruppe beitreten.<br />
Trent wählt für Alice eine öffentliche Benutzerkennung (am besten abhängig von ihrem Namen).<br />
Dies ist hier mathematisch gesehen ein Vektor <math>I_A</math> mit <math>k</math> Komponenten aus <math>GF(p)</math>.<br />
<br />
Anschließend berechnet Trent den privaten Schlüssel von Alice: <math>g_A = (D*I)</math><br />
Der private Schlüssel kann nun von Alice verwendet werden, um einen gemeinsamen Schlüssel mit einem beliebigen anderen Gruppenteilnehmer zu berechnen.<br />
<br />
<math>I_A = \begin{pmatrix} 3 \\ 10 \\ 11 \end{pmatrix}</math>, dann ist <math>g_A = \begin{pmatrix} 1&6&2\\6&3&8\\2&8&2\end{pmatrix} \cdot \begin{pmatrix} 3 \\ 10 \\ 11 \end{pmatrix} = \begin{pmatrix} 0\\0\\6\end{pmatrix}\mod 17</math><br />
<br />
<math>I_B = \begin{pmatrix} 1 \\ 3 \\ 15 \end{pmatrix}</math>, dann ist <math>g_B = \begin{pmatrix} 1&6&2\\6&3&8\\2&8&2\end{pmatrix} \cdot \begin{pmatrix} 1 \\ 3 \\ 15 \end{pmatrix} = \begin{pmatrix} 15\\16\\5\end{pmatrix}\mod 17</math><br />
<br />
=== Berechnung eines gemeinsamen Schlüssels zwischen Alice und Bob ===<br />
Nun möchte Alice mit Bob kommunizieren.<br />
Alice kennt hierzu Bobs Identifikation (nämlich den Vektor <math>I_B</math>) und den eigenen privaten Schlüssel <math>g_A</math>.<br />
<br />
Sie berechnet nun das Produkt daraus: <math>k_{AB} = g_A^T \cdot I_B</math> (<math>T</math> bedeutet [[Transponierte Matrix|transponiert]])<br />
<br />
Bob kann dasselbe machen (aber natürlich mit seinem privaten Schlüssel und Alices Identifikationsvektor).<br />
<br />
Beispiele:<br />
<br />
<math>k_{AB} = \begin{pmatrix} 0\\0\\6 \end{pmatrix}^T \cdot \begin{pmatrix} 1\\3\\15 \end{pmatrix} = 0 \cdot 1 + 0 \cdot 3 + 6 \cdot 15 = 5\mod 17</math><br />
<br />
<math>k_{BA} = \begin{pmatrix} 15\\16\\5 \end{pmatrix}^T \cdot \begin{pmatrix} 3\\10\\11 \end{pmatrix} = 15 \cdot 3 + 16 \cdot 10 + 5 \cdot 11 = 5\mod 17</math><br />
<br />
== Bemerkungen ==<br />
Damit erst <math>k</math> oder mehr korrumpierte Benutzer das System knacken können, müssen ihre Benutzerkennungen (also die Vektoren <math>I_{Benutzer}</math>) in <math>k</math> Gruppen linear unabhängig sein, d.&nbsp;h., jede Auswahl von <math>k</math> Vektoren ist [[linear unabhängig]].<br />
Dies kann dadurch erreicht werden, dass die durch alle Benutzervektoren aufgespannte Matrix einen [[MDS-Code]] darstellt (Maximum-Distance-Separable-Fehlerkorrekturcode).<br />
Die Benutzerkennungen sind dabei die Spalten dieser Matrix.<br />
<br />
== Quellen ==<br />
* A. Menezes, P. van Oorschot, S. Vanstone: ''Handbook of applied cryptography'', CRC Press, 1996<br />
* [https://www.csl.mtu.edu/cs6461/www/Reading/blom-eurocrypt84.pdf R. Blom, "An optimal class of symmetric key generation systems"] (PDF; 158&nbsp;kB)<br />
* [https://www.iacr.org/cryptodb/data/paper.php?pubkey=2084 IACR-Seite zur Publikation]<br />
<br />
[[Kategorie:Kryptologisches Verfahren]]</div>imported>LepusHI