Diskussion:Elgamal-Verschlüsselungsverfahren

Auf dieser Seite werden Abschnitte automatisch archiviert, deren jüngster Beitrag mehr als 150 Tage zurückliegt und die mindestens einen signierten Beitrag enthalten. Um die Diskussionsseite nicht komplett zu leeren, verbleiben mindestens 5 Abschnitte.

Archiv

Archiv

Wie wird ein Archiv angelegt?

Also entweder bin ich jetzt völlig durcheinander, oder mit den Wertebereichen im Artikel stimmt etwas nicht.

Die erste Ungereimtheit ist bei der Schlüsselerzeugung: Man wählt ein ${\displaystyle a}$ aus ${\displaystyle \{0,...,p-2\}}$. Dieses ${\displaystyle a}$ wird lediglich als Exponent für ${\displaystyle g}$ verwendet, welches wiederum eine Primitivwurzel modulo p der Ordnung ${\displaystyle q}$ ist. Demnach gilt also ${\displaystyle g^{q}=1}$, ab ${\displaystyle a=q}$ wiederholt sich also der Wert von ${\displaystyle g^{a}}$ immer wieder. Anders ausgedrückt, durch Potenzieren von g modulo p kann man nur q verschiedene Werte bekommen. Es ist also völlig unsinnig, ein ${\displaystyle a>q}$ zu wählen. Aber das ist noch nicht das schlimmste. Indem man ${\displaystyle a=0}$ erlaubt, lässt man den Fall zu, dass ${\displaystyle g^{a}=1}$, womit bei der Verschlüsselungsoperation praktisch der Klartext ausgegeben wird! Demnach müsste man also aus der Menge ${\displaystyle \{1,...,q-1\}}$ wählen.

Bei der Verschlüsselung verhält es sich dann ähnlich. Zunächst einmal ist seltsamerweise für den zweiten Exponenten, also ${\displaystyle b}$, eine andere Wertemenge angegeben, als für ${\displaystyle a}$, nämlich ${\displaystyle \{1,...,p-2\}}$. Die Null ist hier also glücklicherweise schon nicht mehr enthalten, aber aus den selben Gründen wie oben sollte auch hier ${\displaystyle \{1,...,q-1\}}$ stehen. Außerdem stört mich die Menge, die für den Klartext angegeben ist, nämlich ${\displaystyle \{0,...,p-1\}}$. Ich habe es jedenfalls so gelernt, dass ${\displaystyle m\in <g>}$ sein muss, also in der Menge der möglichen Potenzen von ${\displaystyle g}$ modulo p liegen muss, womit es also q mögliche Werte für m gibt. Ich glaube, anderenfalls könnten zwei verschiedene Nachrichten ${\displaystyle m_{1}}$ und ${\displaystyle m_{2}}$ existieren, die mit dem selben Schlüssel die gleiche Verschlüsselung haben, was ein Entschlüsseln unmöglich macht. In diesem Fall bin ich mir aber nicht hundertprozentig sicher - ich weiß nur, dass ich es so gelernt habe, dass ${\displaystyle m\in <g>}$. (nicht signierter Beitrag von Litos (Diskussion | Beiträge) 2006-07-22, 00:28:35 Uhr)

In der Wiki steht dass die Primitivwurzel g die Ordnung q haben muss. Kann g aber nicht auch die Ordnung p-1 haben(ist dann auch sicherer). Dann würde nämlich der Klartext m wieder aus der Menge {0,...,p − 1} gewählt werden können.(nicht signierter Beitrag von 217.229.250.167 (Diskussion) 2006-12-07, 16:27:43 Uhr)

• Nach dem "kleinen Fermat": für jedes z aus {0,...,p} (p=primzahl) gilt: z^(p-1) mod p = 1 mod p. Das wäre nicht so gut ;)(nicht signierter Beitrag von 83.135.197.113 (Diskussion) 2007-04-25, 13:53:37 Uhr)

Im Artikel sollten noch weitere Eigenschaften von ElGamal erwähnt werden. Ich schreibe das hier nur Stichwortartig auf und bin mir vor allem bei letzterem Punkt nicht sicher, ob das richtig von mir verstanden und übersetzt wurde. Wäre schön wenn das jemand fachlich kompetentes mal sichten würde und dann in den Artikel einarbeitet.

• ElGamal ist probabilistisch, d.h. wenn man eine Nachricht zu verschiedenen Zeitpunkten verschlüsselt führt sie nicht zu demselben Chiffrat
• ElGamal ist "schmiedbar" (im engl. malleable, Siehe engl. Wikipedia) d.h. modifizierbar: Man kann aus einem Chiffrat ein anderes formen und somit ein fortlaufendes, bekanntes Feld von Chiffraten gezielt manupulieren.(nicht signierter Beitrag von 83.135.199.170 (Diskussion) 2007-08-17, 13:04:53 Uhr)

"dass die Ordnung q {\displaystyle q} q von G {\displaystyle \mathbb {G} } {\mathbb {G}} prim ist, so dass die triviale Gruppe die einzige echte Untergruppe von G {\displaystyle \mathbb {G} } {\mathbb {G}} ist. Ist dem nicht so, kann dies fatale Folgen haben:"

Stimmt meines erachtens nicht. Quelle: https://web.engr.oregonstate.edu/~rosulekm/crypto/ (S. 258, "For Which Groups does the DDH Assumption Hold?")

Allerdings möchte ich meinen Einwand bestätigt bekommen, bevor ich editiere. --Cafntown (Diskussion) 18:41, 23. Jan. 2021 (CET)Beantworten

Da steht doch effektiv genau das was im Artikel steht? ${\displaystyle \mathbb {Z} _{p}^{\times }}$ hat Ordnung ${\displaystyle p-1}$ und erfüllt daher die DDH-Annahme nicht. Die Untergruppe der Quadrate hat dagegen Ordnung ${\textstyle {\frac {p-1}{2}}}$ was bei geeigneter Wahl von 𝑝 prim ist und die DDH-Annahme (vermutlich) erfüllt. Im Artikel wir diese Untergruppe dann als 𝔾 verwendet was nach aktuellem Stand der Forschung sicher ist, solange ${\displaystyle p}$ groß genug ist und keine Quantencomputer im Spiel sind. —Fiona Weber 17:04, 18. Mai 2021 (CEST)Beantworten

Leider ist es nicht erklärt oder verlinkt. :-( --RokerHRO (Diskussion) 17:33, 27. Nov. 2024 (CET)Beantworten

Prime Restklassengruppe mit p=23. Im Abschnitt Elgamal-Verschlüsselungsverfahren#Gruppenwahl ist "multiplikative Restklassengruppe" erwähnt und Restklassenkörper verlinkt. --Matthäus Wander 18:48, 27. Nov. 2024 (CET)Beantworten

Danke. Es taucht halt auf einmal im Abschnitt Elgamal-Verschlüsselungsverfahren#Ein_konkretes_Beispiel diese Notation mit dem X auf, die vorher nicht erklärt wird. In dem von dir genannten Abschnitt #Gruppenwahl wird nur ${\displaystyle \mathbb {Z} /p\mathbb {Z} }$ geschrieben. Das finde ich irritierend. Der Artikel sollte also schon in einem Halbsatz erklären, wieso nun eine andere Notation verwendet wird (ob damit auch was anderes gemeint ist oder halt nur eine andere Notation für das gleiche). --RokerHRO (Diskussion) 15:27, 29. Nov. 2024 (CET)Beantworten