Paillier-Kryptosystem

Das Paillier-Kryptosystem wurde 1999 von Pascal Paillier an der Eurocrypt vorgestellt^[1]. Es handelt sich dabei um ein asymmetrisches Kryptosystem, dessen Sicherheit darauf beruht, dass für einen zusammengesetzten Modul ${\displaystyle n}$ nicht effizient geprüft werden kann, ob ein ${\displaystyle (\mathbb {Z} /n^{2}\mathbb {Z} )}$ eine ${\displaystyle n}$-te Wurzel modulo ${\displaystyle n^{2}}$ besitzt oder nicht.

Das Verfahren wird oft als Nachfolger des Okamoto–Uchiyama-Kryptosystems bezeichnet. Desweiteren ist es ein Spezialfall des Damgård-Jurik-Kryptosystems.

Im folgenden beschreiben wir die Schlüsselerzeugung, und die Algorithmen zur Ver- und Entschlüsselung von Nachrichten.

Das Schlüsselpaar wird folgendermaßen generiert:

• Man generiert zwei zufällige Primzahlen ${\displaystyle p,q}$, sodass ${\displaystyle \operatorname {ggT} (pq,(p-1)(q-1))=1}$ gilt. In der Praxis sollte n zumindest 1024, besser jedoch 1536 oder 2048 Binärstellen haben. Man setzt dann ${\displaystyle n=pq}$ sowie ${\displaystyle \lambda =\operatorname {kgV} (p-1,q-1)}$.
• Man wählt ${\displaystyle g}$ zufällig in ${\displaystyle (\mathbb {Z} /n^{2}\mathbb {Z} )^{*}}$, sodass ${\displaystyle n}$ die Ordnung von ${\displaystyle g}$ teilt, indem man prüft, ob ${\displaystyle \mu =(L(g^{\lambda }\mod n^{2}))^{-1}\mod n}$ existiert.

Dabei beschreibt ${\displaystyle L}$ die logarithmische Funktion, dh., es ist ${\displaystyle L(x)={\frac {x-1}{n}}}$, wobei die Division nicht modulo ${\displaystyle n}$, sondern in den ganzen Zahlen durchzuführen ist (bei nicht-ganzzahligen ist abzurunden.

Der öffentliche Schlüssel besteht aus ${\displaystyle (n,g)}$, der private Schlüssel aus </math>(\lambda,\mu)</math>.

Vereinfachung: Die Schlüsselerzeugung kann auch folgendermassen vereinfacht werden:

• Man wählt einen Sicherheitsparameter ${\displaystyle k}$, und die beiden Primzahlen ${\displaystyle p,q}$ zufällig in ${\displaystyle {\left\{1||\{0,1\}^{s-1}\right\}}}$, also mit gleicher Bitlänge.
• Man definiert ${\displaystyle g=n+1}$, sowie ${\displaystyle \lambda =(p-1)(q-1)}$ und ${\displaystyle \mu =\lambda ^{-1}\mod n}$.

Um eine Nachricht ${\displaystyle m\in (\mathbb {Z} /n\mathbb {Z} )}$ zu verschlüsseln, verfährt man wie folgt:

• Zuerst wählt man ein zufälliges ${\displaystyle r\in (\mathbb {Z} /n\mathbb {Z} )^{*}}$.
• Die verschlüsselte Nachricht ist dann gegen durch ${\displaystyle c=g^{m}r^{n}\mod n^{2}}$.

Zum Entschlüsseln eines Schlüsseltexts ${\displaystyle c\in (\mathbb {Z} /n^{2}\mathbb {Z} )^{*}}$ verfährt man wie folgt:

• Man setzt ${\displaystyle m=L(c^{\lambda }\mod n^{2})\mu \mod n}$, wobei ${\displaystyle L()}$ die logarithmische Funktion von oben ist.

Unter der Decisional Compisite Residuosity-Annahme kann gezeigt werden, dass das Verfahren semantisch sicher gegen gewählte-Klartext Angriffe ist. Diese Annahme besagt, dass für einen zusammengesetzten Modul ${\displaystyle n}$ nicht effizient geprüft werden kann, ob ein ${\displaystyle (\mathbb {Z} /n^{2}\mathbb {Z} )}$ eine ${\displaystyle n}$-te Wurzel modulo ${\displaystyle n^{2}}$ besitzt oder nicht.

Aufgrund der nachstehenden Homomorphieeigenschaften ist das Verfahren allerdings nicht sicher unter gewählten Schlüsseltext-Angriffen. Es gibt in der Literatur jedoch mehrere Lösungen für dieses Problem^[2][3].

Das Paillier-Kryptosystem ist additiv-homomorph, wodurch durch Operationen auf Schlüsseltexte unbekannte Klartexte addiert werden können:

• Durch Multiplikation von zwei Schlüsseltexten ${\displaystyle c_{1},c_{2}}$ werden die verschlüsselten Klartexte ${\displaystyle m_{1},m_{2}}$ addiert:

${\displaystyle g^{m_{1}}r_{1}^{n}\cdot g^{m_{2}}r_{2}^{n}=g^{m_{1}+m_{2}}(r_{1}r_{2})^{n}=g^{m_{1}+m_{2}}r'^{n}\mod n}$.

Dabei sind manchmal zwei Sonderfälle von besonderem Interesse:

• Durch Multiplikation eines Schlüsseltextes ${\displaystyle c}$ mit ${\displaystyle g^{\Delta m}}$ kann ein beliebiger Wert ${\displaystyle \Delta m}$ zum verschlüsselten Klartext ${\displaystyle m}$ addiert werden:

${\displaystyle g^{m}r^{n}\cdot g^{\Delta m}=g^{m+\Delta m}r^{n}\mod n}$

• Durch Multiplikation eines Schlüsseltextes ${\displaystyle c}$ mit ${\displaystyle \Delta r^{n}}$ kann ein eine Verschlüsselung von ${\displaystyle m}$ erneut randomisiert werden, ohne die Nachricht ${\displaystyle m}$ zu ändern:

${\displaystyle g^{m}r^{n}\cdot \Delta r^{n}=g^{m}(r\Delta r)^{n}=g^{m}r'^{n}\mod n}$

• Durch Exponentiation eines Schlüsseltexts ${\displaystyle c}$ mit einer natürlichen Zahl ${\displaystyle w}$ kann die verschlüsselte Nachricht ${\displaystyle m}$ ver-w-facht werden

${\displaystyle (g^{m}r^{n})^{w}=g^{wm}(r^{w})^{n}=g^{wm}r'^{n}\mod m}$.

Allerdings gibt es keine bekannte Möglichkeit, um durch Operationen auf zwei Schlüsseltexten die enthaltenen Nachrichten miteinander zu multiplizieren.

1. ↑ Pascal Paillier: Public-Key Cryptosystems Based on Composite Degree Residuosity Classes In: Eurocrypt 99, Springer Verlag, 1999, S. 223-238 (englisch). 
2. ↑ Eiichiro Fujisaki und Tatsuako Okamoto: How to Enhance the Security of Public-Key Encryption at Minimum Cost In: PKC 99, Springer Verlag, 1999, S. 53-68 (englisch). 
3. ↑ Pascal Paillier und David Pointcheval: Efficient Public-Key Cryptosystems Provably Secure Against Active Adversaries In: ASIACRYPT 99, Springer Verlag, 1999, S. 53-68 (englisch). 

• thep implementiert das Paillier-Kryptosystem in Java.

Vorlage:Navigationsleiste Verschlüsselungssysteme