Elgamal-encryptiesysteem

Het ElGamal-cryptosysteem is een asymmetrisch encryptieschema om gegevens te versleutelen, vergelijkbaar met RSA. In tegenstelling tot RSA is de veiligheid van ElGamal gebaseerd op de discrete logaritme in cyclische groepen. Het is ontworpen door Taher Elgamal en in 1985 voor het eerst gepubliceerd^[1]. Het wordt gebruikt voor zowel encryptie van gegevens als het genereren van digitale handtekeningen.

Systeemsetup[bewerken | brontekst bewerken]

Beschrijf een cyclische groep ${\displaystyle G}$ van orde ${\displaystyle q}$, gegenereerd door ${\displaystyle g}$.

Kies een willekeurige ${\displaystyle x\in \{0,...,q-1\}}$. Dit is je privésleutel.

Bereken ${\displaystyle e=g^{x}}$. Je publieke sleutel is nu ${\displaystyle g,q,e}$.

Encryptie[bewerken | brontekst bewerken]

Vertaal een bericht ${\displaystyle m}$ naar elementen uit ${\displaystyle G}$.

Kies nu een willekeurige ${\displaystyle y\in \{0,...,q-1\}}$.

Versleutel de tekst als volgt: ${\displaystyle m_{e}=(c1,c2)=(g^{y},m\cdot e^{y})}$.

Decryptie[bewerken | brontekst bewerken]

Een gegeven ${\displaystyle m_{e}}$ van vorm ${\displaystyle (c1,c2)}$ wordt als volgt ontsleuteld:

${\displaystyle m={\frac {c_{2}}{c_{1}^{x}}}}$.

Uitgeschreven is dit gelijk aan

${\displaystyle m={\frac {c_{2}}{c_{1}^{x}}}={\frac {m\cdot e^{y}}{g^{x\cdot y}}}}$.

Omdat ${\displaystyle e=g^{x}}$ kunnen we dit verder uitschrijven als

${\displaystyle m={\frac {m\cdot g^{x\cdot y}}{g^{x\cdot y}}}}$.

Voorbeeld[bewerken | brontekst bewerken]

Alice en Bob communiceren met elkaar en versleutelen hun berichten met ElGamal. Bob heeft zijn publieke sleutel aan Alice doorgegeven, maar zijn privésleutel ${\displaystyle x=3}$ geheimgehouden. Alice wil een bericht naar Bob versturen. Ze heeft de publieke sleutel van Bob en weet dus ${\displaystyle g,q,e}$. Deze hebben respectievelijk de waarde ${\displaystyle 7,15,343}$. Ze wil het bericht ${\displaystyle m=8}$ versturen. Ze kiest een willekeurige ${\displaystyle y\in \{0,...,q-1\}=4}$. Ze berekent nu

${\displaystyle (c1,c2)}$ als ${\displaystyle (7^{4},8\cdot 343^{4})=(2401,110730297608)}$

en verstuurt dit naar Bob. Bob kan het ontvangen bericht nu als enige ontsleutelen met zijn geheime sleutel ${\displaystyle x=3}$. Hiervoor berekent hij

${\displaystyle m={\frac {c_{2}}{c_{1}^{x}}}={\frac {110730297608}{2401^{3}}}=8}$.

In de praktijk wordt een asymmetrisch encryptieschema zoals ElGamal gebruikt om een sleutel voor een symmetrisch encryptieschema uit te wisselen tussen Alice en Bob. Het symmetrische encryptieschema wordt dan gebruikt voor verdere communicatie.

Digitale handtekening[bewerken | brontekst bewerken]

Neem een cryptografische hashfunctie ${\displaystyle H}$. De gebruikte hashfunctie is publiek.

Neem nu ${\displaystyle e=g^{x}{\pmod {q}}}$.

Vertaal een bericht ${\displaystyle m}$ naar elementen uit ${\displaystyle G}$.

Kies nu een willekeurige ${\displaystyle k\in \{1,...,q-1\}}$. Deze ${\displaystyle z}$ kan maar een keer gebruikt worden.

Bereken ${\displaystyle z=g^{k}{\pmod {q}}}$.

Genereer de handtekening als volgt:

${\displaystyle s=k^{-1}(H(m)-x\cdot z){\pmod {q-1}}}$.

De uiteindelijke handtekening is dan ${\displaystyle (z,s)}$.

Het bericht ${\displaystyle (m,s)}$ kan geverifieerd worden door te kijken of het volgende klopt:

${\displaystyle g^{H(m)}=e^{z}\cdot z^{s}}$.

Als dit zo is, dan is het zeker dat het bericht ${\displaystyle m}$ gestuurd is door iemand die privésleutel ${\displaystyle x}$ heeft.

Als de willekeurige ${\displaystyle k}$ hergebruikt wordt, is het mogelijk om de privésleutel te achterhalen. Sinds ${\displaystyle q,e}$ en ${\displaystyle z}$ bekend zijn, is het mogelijk om privésleutel ${\displaystyle x}$ uit ${\displaystyle s}$ te krijgen, gegeven ${\displaystyle (m_{1},(z,s_{1}))}$ en ${\displaystyle (m_{2},(z,s_{2}))}$:

${\displaystyle H(m)=xz+sk{\pmod {q}}}$

${\displaystyle xz=H(m)-sk}$

${\displaystyle H(m_{1})-s_{1}k=H(m_{2})-s_{2}k}$

${\displaystyle H(m_{1})-H(m_{2})=(s_{1}-s_{2})k}$

Dit is op te lossen voor ${\displaystyle k}$ (te controleren door te kijken of ${\displaystyle g^{oplossing}}$ gelijk is aan ${\displaystyle z}$). Zodra ${\displaystyle k}$ gevonden is, kan ${\displaystyle x}$ gevonden worden:

${\displaystyle x={\frac {H(m)-sk}{z}}}$.

Voorbeeld[bewerken | brontekst bewerken]

Bob wil nu een bericht ${\displaystyle m=7}$ naar Alice sturen, en haar ervan verzekeren dat hij het bericht verstuurd heeft. Hij neemt als hashfunctie ${\displaystyle H(m)=m}$. Zijn publieke sleutel is ${\displaystyle g=2,q=11,e=8}$, en zijn privésleutel is ${\displaystyle x=3}$. Hij kiest als random waarde ${\displaystyle k=4}$ met als gevolg dat ${\displaystyle z=2^{4}=5}$. Bob berekent nu zijn handtekening als volgt:

${\displaystyle s=4^{-1}(H(7)-3\cdot 5)=3(7-4)=9{\pmod {10}}}$

De handtekening is dan ${\displaystyle (5,9)}$. Bob stuurt naar Alice het volgende: ${\displaystyle (7,(5,9))}$. Als Alice will achterhalen moet ze kijken of het volgende klopt:

${\displaystyle 2^{H(7)}=8^{5}\cdot 5^{9}{\pmod {11}}}$

${\displaystyle 7=10\cdot 9}$

${\displaystyle 7=7}$

Mocht Bob naar Alice een tweede bericht ${\displaystyle (8,(5,1))}$ met identieke ${\displaystyle z}$ sturen, dan kan Alice zodanig zijn privésleutel achterhalen:

${\displaystyle 7-8=(9-1)k{\pmod {11}}}$

${\displaystyle 10=8k}$

${\displaystyle k=4}$

${\displaystyle x={\frac {7-9\cdot 4}{5}}={\frac {4}{5}}=4\cdot 5^{-1}=4\cdot 9=3}$

Veiligheid[bewerken | brontekst bewerken]

De veiligheid van teksten die zijn versleuteld met ElGamal hangt voornamelijk af van de cryptografische sterkte van ${\displaystyle G}$. Bij een sterke ${\displaystyle G}$ is ElGamal veilig tegen standaard methodes van cryptanalyse^[2]. Als de gekozen groep zwakker is (i.e. een naïever versleutelde tekst) zijn aanvallen waarschijnlijker^[3]. Hierbij moet wel vermeld worden dat eventuele kraakalgoritmen nog verre van efficiënt zijn. Mede door dit feit wordt de veiligheid van ElGamal op dit moment als hoog beschouwd. Als het Diffie-Hellman-probleem opgelost zou kunnen worden zou daardoor de veiligheid van ElGamal ook in het geding zijn.

Voetnoten[bewerken | brontekst bewerken]