ElGamal şifrelemesi: Revizyonlar arasındaki fark

ElGamal şifrelemesi, Diffie-Hellman anahtar alış-verişi'ne dayanan bir asimetrik şifreleme algoritması olup Taher Elgamal tarafından 1984 yılında önerilmiştir. ^[1]

ElGamal, bedava bulunan GNU Privacy Guard yazılımında, PGP'nin son versiyonlarında ve başka kriptosistemlerde kullanılmaktadır.

DSA ElGamal dijital anahtar metodunun bir türevi olup, ElGamal şifrelemesi ile karıştırılmamalıdır.

ElGamal şifrelemesi herhangi bir döngüsel grup ${\displaystyle G}$ üzerinde tanımlanabilir. Güvenliği ${\displaystyle G}$ grubunda kesikli logaritma(en:Discrete logarithm) adı verilen belli bir problemin zorluğuna dayanmaktadır (aşağıda açıklanacaktır).

Algoritma

ElGamal şifrelemesi üç bileşenden oluşur: anahtar üretici, şifreleme algoritması, ve deşifreleme algoritması.

Anahtar üretilmesi

Anahtar üretici şöyle çalışır:

• Ayşe, kertesi ${\displaystyle q\,}$ olan, ${\displaystyle g\,}$ üretecine sahip, çarpımsal bir ${\displaystyle G\,}$ döngüsel grubunun etkin bir tanımını üretir. Böyle bir grubun gereksinimleri aşağıdadır.
• Ayşe ${\displaystyle \{0,\ldots ,q-1\}}$ aralığından rastgele bir ${\displaystyle x\,}$ seçer.
• Ayşe ${\displaystyle h=g^{x}\,}$ değerini hesaplar.
• Ayşe, açık anahtar olarak ${\displaystyle <G,q,g>\,}$ ve ${\displaystyle h\,}$ değerlerini yayınlar. Ayşe ${\displaystyle x\,}$ değerini ise gizli anahtarı olarak kendisine saklar.

Şifreleme

Şifreleme algoritması şöyle çalışır: Bir ${\displaystyle m\,}$ mesajını Ayşe'ye göndermek için, açık anahtar ${\displaystyle (G,q,g,h)\,}$ kullanılarak,

• Burak ${\displaystyle \{0,\ldots ,q-1\}}$ aralığından rastgele bir ${\displaystyle y\,}$ değeri seçer, ve ${\displaystyle c_{1}=g^{y}\,}$ değerini hesaplar.
• Burak paylaşılan gizli anahtarı ${\displaystyle s=h^{y}\,}$ şeklinde hesaplar. Her mesaj için yeni bir ${\displaystyle y\,}$ değeri üretildiği için, ${\displaystyle y\,}$ değerine geçici anahtar(en:Ephemeral key) da denir.

Yukarıdaki adımlar şifreleme zamanından daha önce yapılabilir, çünkü bu adımlarda mesaj henüz kullanılmamıştır.

• Burak gizli mesajı ${\displaystyle m\,}$'yi ${\displaystyle G\,}$ grubunun bir elemanına, ${\displaystyle m'\,}$'ye dönüştürür.
• Burak ${\displaystyle c_{2}=m'\cdot s}$ değerini hesaplar.
• Burak ${\displaystyle (c_{1},c_{2})=(g^{y},m'\cdot h^{y})=(g^{y},m'\cdot (g^{x})^{y})\,}$ gizli mesajını Ayşe'ye gönderir.

Deşifreleme

Deşifreleme algoritması şöyle çalışır: ${\displaystyle (c_{1},c_{2})\,}$ şeklindeki bir gizli mesajı deşifrelemek için, gizli anahtarı ${\displaystyle x\,}$ ile Ayşe şunları yapar:

• Ortak gizli anahtar ${\displaystyle s=c_{1}^{x}\,}$ değerini hesaplar.
• Daha sonra ${\displaystyle m'=c_{2}\cdot s^{-1}\,}$ değerini bulur ve bu değerden de ${\displaystyle m\,}$ mesajını elde eder.

Deşifreleme algoritmasından gerçekten de doğru mesaj elde edildiği şu eşitliklerle gösterilebilir:

${\displaystyle c_{2}\cdot s^{-1}=m'\cdot h^{y}\cdot (g^{xy})^{-1}=m'\cdot g^{xy}\cdot g^{-xy}=m'.}$

ElGamal kriptosistemi genellikle bir hibrid kriptosistem içinde kullanılır. Hibrid kriptosistemlerde mesaj simetrik bir kriptosistemle şifrelendikten sonra burada kullanılan anahtar ise bir açık anahtar sistemiyle şifrelenir. Böylece kullanılan ${\displaystyle G}$ grubunun büyüklüğünden (${\displaystyle q}$) çok daha uzun mesajlar şifrelenebilir.

Güvenlik

ElGamal metodunun güvenliği ${\displaystyle G}$ grubunun ve mesaj üzerinde kullanılan dolgulama metodunun özelliklerine dayanmaktadır.

Eğer kullanılan döngüsel grup ${\displaystyle G}$ için Hesaplamasal Diffie–Hellman varsayımı doğru ise, o halde ElGamal şifreleme fonksiyonu tek yönlüdür. ^[2]

Eğer ${\displaystyle G}$ için Kararsal Diffie–Hellman varsayımı (en:decisional Diffie–Hellman assumption) doğru ise, o halde ElGamal şifreleme fonksiyonu semantik güvenliğien:Semantic security sağlar. ^[2] Semantic security is not implied by the computational Diffie–Hellman assumption alone. ^[3] Bu varsayımın doğru olduğu düşünülen gruplar hakkında daha fazla bilgi için bkz. Kararsal Diffie–Hellman Varsayımı (en:decisional Diffie–Hellman assumption).

ElGamal şifrelemesi, koşulsuz şekillenebilirlik olduğu için, seçili gizli mesaj ataklarına (en:chosen ciphertext attack) karşı dayanıksızdır. Mesela mesajı (${\displaystyle m}$) bilinmeyen bir ${\displaystyle (c_{1},c_{2})}$ gizli mesajı verildiğinde, ${\displaystyle 2m}$ mesajının geçerli bir gizli mesajı olarak ${\displaystyle (c_{1},2c_{2})}$ kolayca elde edilebilir.

Seçili mesaj güvenliğine ulaşmak için metodun değiştirilmesi veya uygun bir dolgulama metodu kullanılmalıdır. Yapılan değişikliğe göre kararsal Diffie-Hellman varsayımı (en:decisional Diffie–Hellman assumption) gerekebilir veya gerekmeyebilir.

ElGamal ile ilişkili olup seçili gizli mesaj güvenliğini sağlayan başka metotlar da önerilmiştir. Örneğin, ${\displaystyle G}$ için DDH varsayımı altında Cramer–Shoup kriptosistemi(en:Cramer–Shoup cryptosystem), seçili gizli mesaj ataklarına karşı dayanıklıdır. Bu sistemin güvenlik ispatı rassal kahin modelini (en:random oracle model) gerektirmemekte, standart modelde yapılabilmektedir. Önerilmiş başka bir metot olan DHAES,^[3] metodunun güvenlik ispatı içinse DDH'ten daha zayıf bir varsayım yeterlidir.

Verimlilik

ElGamal şifreleme bir olasılıksal şifreleme metodudur, yani bir mesaj çok sayıda farklı gizli mesaja şifrelenebilir, dolayısıyla ElGamal şifreleme mesajdan gizli mesaj üretirken 2:1'lik bir genişleme oranına sahiptir.

ElGamal şifreleme iki üs alma işlemi gerektirir; fakat, bu üs alma işlemleri mesajdan bağımsız oldukları için önceden hesaplanabilir. Deşifreleme ise sadece bir üs alma işlemi gerektirir.

Deşifreleme

Deşifreleme için farklı bir yöntem kullanılarak ${\displaystyle s\,}$ ile bölme işleminden kaçınılabilir.

${\displaystyle (c_{1},c_{2})\,}$ şeklindeki bir gizli mesajı deşifre etmek için Ayşe gizli anahtarı ${\displaystyle x\,}$ ile şunları yapar:

• ${\displaystyle s'=c_{1}^{q-x}=g^{(q-x)y}}$ değerini hesaplar.${\displaystyle s'\,}$, ${\displaystyle s\,}$'in çarpımsal tersidir. Bu Lagrange teoremi'nin (en:Lagrange's_theorem_(group_theory)) bir sonucudur:

${\displaystyle s\cdot s'=g^{xy}\cdot g^{y(q-x)}=(g^{q})^{y}=1^{y}=1}$.

• Daha sonra ${\displaystyle m'=c_{2}\cdot s'}$ değerini hesaplar, ve açık mesaj ${\displaystyle m\,}$'yi elde eder.

Deşifreleme algoritması doğru açık mesajı verir çünkü:

${\displaystyle c_{2}\cdot s'=m'\cdot s\cdot s'=m'\cdot 1=m'}$.

Ayrıca bakınız

• ElGamal İmza Algoritması
• Homomorfik şifreleme

Referanslar

1. ^ Taher ElGamal (1985). "A Public-Key Cryptosystem and a Signature Scheme Based on Discrete Logarithms" (PDF). IEEE Transactions on Information Theory. 31 (4): 469–472. doi:10.1109/TIT.1985.1057074.  (conference version appeared in CRYPTO'84, pp. 10–18)
2. ^ ^{a b} CRYPTUTOR, "Elgamal encryption scheme"
3. ^ ^{a b} M. Abdalla, M. Bellare, P. Rogaway, "DHAES, An encryption scheme based on the Diffie–Hellman Problem" (Appendix A)

• ElGamal, Taher (1985). A public key cryptosystem and a signature scheme based on discrete logarithms (PDF). Lecture Notes in Computer Science. 196. Santa Barbara, California, United States: Springer-Verlag. ss. 10–18. doi:10.1007/3-540-39568-7_2.  Bilinmeyen parametre |kitapbaşlık= görmezden gelindi (yardım)
• A. J. Menezes, P. C. van Oorschot, and S. A. Vanstone. "Chapter 8.4 ElGamal public-key encryption". Handbook of Applied Cryptography (PDF). CRC Press. KB1 bakım: Birden fazla ad: yazar listesi (link)
• Dan Boneh (1998). "The Decision Diffie–Hellman Problem". Lecture Notes in Computer Science. 1423: 48–63. doi:10.1007/BFb0054851. 

Bu madde, Vikipedi biçem el kitabına uygun değildir. Maddeyi, Vikipedi standartlarına uygun biçimde düzenleyerek Vikipedi'ye katkıda bulunabilirsiniz. Gerekli düzenleme yapılmadan bu şablon kaldırılmamalıdır. (Temmuz 2008)

Bu algoritma 1984 yılında Taber ElGamal tarafindan öne sürüldü.Daha sonra farklı varyasyonlar geliştirildi.Bu varyasyonlardan bir tanesi olan DSA (Digital Signature Algorithm) 1991 yılında DSS (Digital Signature Standard) olarak kabul edilmiştir. ElGamal asimetrik bir şifreleme yöntemidir. Anahtar üretimi ve şifreleme/açma işlemlerinden oluşur. Anahtar üretiminde dairesel gruptan yararlanılır.