Blum-Blum-Shub-Generator

Der Blum-Blum-Shub-Generator (BBS-Generator) ist ein Pseudozufallszahlengenerator, entwickelt 1986 von Lenore Blum, Manuel Blum und Michael Shub. Anwendung findet das System u. a. in der Kryptologie im Entwurf komplexitätstheoretisch sicherer Kryptosysteme.

Der BBS-Generator ist definiert als Folge ${\displaystyle (s_i)}$ durch die Iterationsvorschrift

${\displaystyle \begin{array}{ccc}& s_0& =s^{2}modn\\ & s_{i+1}& =s_i^{2}modn\end{array}}$

Dabei bezeichnet ${\displaystyle mod}$ den Divisionsrest (siehe Modulo).

Der Modul ${\displaystyle n=p\cdot q}$ ist das Produkt zweier verschiedener Primzahlen ${\displaystyle p}$ und ${\displaystyle q}$, die von der Form ${\displaystyle 4k+3}$ sind, d. h. ${\displaystyle p\equiv q\equiv 3(mod4)}$. Eine Zahl ${\displaystyle n}$ mit diesen Eigenschaften wird auch Blum-Zahl genannt. Der Startwert ${\displaystyle s}$ ist zu ${\displaystyle n}$ teilerfremd: ${\displaystyle \mathrm{ggT}(s,n)=1}$.

Der Parameter ${\displaystyle n}$ sollte außerdem folgenden Bedingungen genügen, damit ${\displaystyle n}$ möglichst schwer zu faktorisieren ist und der Generator garantiert hochwertige Zufallszahlen erzeugt:

• ${\displaystyle n}$ sollte hinreichend groß sein, für kryptografische Anwendung mindestens 200 Dezimalstellen.
• ${\displaystyle p}$ und ${\displaystyle q}$ sollten etwa gleichdimensioniert sein, aber nicht zu nah beieinander liegen, etwa ${\displaystyle 2<p/q<1000}$.
• ${\displaystyle p-1}$ und ${\displaystyle p+1}$ sowie ${\displaystyle q-1}$ und ${\displaystyle q+1}$ sollten jeweils einen großen Primfaktor haben, größer als ca. ${\displaystyle \sqrt[4]{n}}$.

Manchmal ist es praktisch, ${\displaystyle k}$ Iterationsschritte des Generators auf einmal zu berechnen. Dies geht mit der Formel

${\displaystyle s_{i+k}=s_i^{2^{k}mod\lambda (n)}modn}$wobei hier ${\displaystyle \lambda (n)=\mathrm{kgV}(p-1,q-1)}$, siehe kgV.

Sei ${\displaystyle Z}$ die Menge der zu ${\displaystyle n}$ teilerfremden Zahlen in ${\displaystyle \{1,\dots ,n-1\}}$.

Der BBS-Generator arbeitet auf der Menge ${\displaystyle Q\subset Z}$ der Quadratreste modulo ${\displaystyle n}$. Die ${\displaystyle s_i}$ sind trivialerweise in ${\displaystyle Q}$, da sie als Rest des Quadrats einer zu ${\displaystyle n}$ teilerfremden Zahl berechnet werden. ${\displaystyle Q}$ enthält genau ein Viertel der Zahlen in ${\displaystyle Z}$. Jedes ${\displaystyle x\in Q}$ hat genau eine Wurzel in ${\displaystyle Q}$: ${\displaystyle W_x=\{w\in Z|w^{2}modn=x\};|W_x\cap Q|=1}$. Die Iterationsvorschrift des Generators bildet also ${\displaystyle Q}$ bijektiv auf ${\displaystyle Q}$ ab. Somit zerfällt ${\displaystyle Q}$ in mehrere Teilmengen ${\displaystyle Q_j}$, die jeweils eine Periode des Generators bilden. Die Periodenlänge ${\displaystyle \left|Q_j\right|}$ ist immer ein Teiler von ${\displaystyle \lambda (\lambda (n))}$, wobei ${\displaystyle \lambda }$ die Carmichael-Funktion ist.

Sei ${\displaystyle n=3\cdot 7=21}$. Dann ist ${\displaystyle Z=\{1,2,4,5,8,10,11,13,16,17,19,20\}}$ und die Quadratreste sind ${\displaystyle Q=\{1,4,16\}}$. Die Wurzeln der Quadratreste sind

${\displaystyle W_1=\{1,8,13,20\}}$ mit ${\displaystyle 1\in Q}$,

${\displaystyle W_4=\{2,5,16,19\}}$ wobei ${\displaystyle 16\in Q}$ und

${\displaystyle W_{16}=\{4,10,11,17\}}$ wobei ${\displaystyle 4\in Q}$.

Weil ${\displaystyle 1\in W_1}$, aber ${\displaystyle 16\in W_4}$ und ${\displaystyle 4\in W_{16}}$, zerfällt ${\displaystyle Q}$ in die beiden Perioden ${\displaystyle Q_1=\{1\}}$ und ${\displaystyle Q_2=\{4,16\}}$.

Es ist schwierig, die Parameter ${\displaystyle s}$ und ${\displaystyle n}$ so zu bestimmen, dass eine ausreichende Periodenlänge garantiert ist. Bei der Verwendung des BBS-Generators in der Kryptographie wird dieses Problem oft vernachlässigt, denn die Wahrscheinlichkeit einer zu kurzen Periode ist sehr klein. Absolute Sicherheit kann ohnehin nicht erreicht werden, da ein Angreifer den Modul ${\displaystyle n}$ mit Glück faktorisieren könnte, etwa indem er einige Millionen zufällig erzeugte Probeteiler ausprobiert.

Wenn ${\displaystyle n}$ und ${\displaystyle s}$ so gewählt werden, dass gilt:

${\displaystyle {\mathrm{ord}}_{\lambda (n)/2}(2)=\lambda (\lambda (n))}$, und

${\displaystyle {\mathrm{ord}}_n(s_0)=\lambda (n)/2}$,

dann beträgt die Periodenlänge ${\displaystyle \lambda (\lambda (n))}$.

${\displaystyle {\mathrm{ord}}_b(a)}$ bezeichnet dabei die Ordnung des Elements ${\displaystyle a}$ der primen Restklassengruppe ${\displaystyle (\mathbb{Z}/b\mathbb{Z}{)}^{\times }}$:

${\displaystyle {\mathrm{ord}}_b(a)=\min \{m\in {\mathbb{N}}^{+}|a^m\equiv 1(modb)\}}$.

Zur effizienten Berechnung kann ausgenutzt werden, dass die Elementordnung laut dem Satz von Lagrange ein Teiler der Gruppenordnung sein muss:

${\displaystyle {\mathrm{ord}}_b(a)|\varphi (b)}$.

Dafür muss die Faktorisierung der Gruppenordnung ${\displaystyle \varphi (b)}$ bekannt sein (siehe Eulersche φ-Funktion).

Man muss ${\displaystyle n}$ also so konstruieren, dass die Faktorisierungen von ${\displaystyle p-1}$ und ${\displaystyle q-1}$ bekannt sind oder mit vertretbarem Aufwand berechnet werden können, und ebenso die Faktorisierungen der um ${\displaystyle 1}$ verminderten Primfaktoren von ${\displaystyle p-1}$ und ${\displaystyle q-1}$. Damit können die benötigten Größen und die Faktoren der Gruppenordnungen effizient bestimmt werden. Mit der binären Exponentiation kann man anschließend jeweils ${\displaystyle a^m(modb)}$ für alle Teiler ${\displaystyle m}$ von ${\displaystyle \varphi (b)}$ effizient berechnen.

Aus jedem ${\displaystyle s_i}$ werden ein oder mehrere Zufallsbits gewonnen. Im einfachsten Fall nimmt man das niederwertigste Bit, also

${\displaystyle b_i=s_{i}mod2}$,

oder man berechnet das Paritätsbit zu ${\displaystyle s_i}$:

${\displaystyle b_i=\mathrm{bitnum}(s_i)mod2}$.

Die Funktion ${\displaystyle \mathrm{bitnum}(x)}$ liefert die Zahl der Bits mit dem Wert 1 in der Binärdarstellung von ${\displaystyle x}$.

Eine weitere Möglichkeit ist die Bestimmung des Positionsbits, das von der Position von ${\displaystyle s_i}$ im Intervall ${\displaystyle [1,n-1]}$ abhängt:

${\displaystyle b_i=\{\begin{array}{cc}1,& \text{wenn }{s}_i>\lfloor n/2\rfloor \\ 0,& \text{wenn }{s}_i\le \lfloor n/2\rfloor \end{array}}$.

Am besten ist es jedoch, wenn das Paritätsbit von einigen fest gewählten Bits aus ${\displaystyle s_i}$ bestimmt wird. Dazu wählt man vorab eine Konstante ${\displaystyle z}$ als Maske, die etwa so groß wie ${\displaystyle n}$ ist und eine unregelmäßige, „zufällige“ Binärdarstellung aufweist, und berechnet

${\displaystyle b_i=\mathrm{bitnum}(s_i\wedge z)mod2}$.

Dabei bezeichnet ${\displaystyle \wedge }$ die bitweise UND-Verknüpfung.

Aus einem ${\displaystyle s_i}$ kann man mehrere Zufallsbits erhalten. Die Erfinder Blum, Blum und Shub haben schon früh vorgeschlagen, das niederwertigste Bit und das Positionsbit zugleich zu nutzen:

${\displaystyle b_{2\cdot i}=s_{i}mod2,b_{2i+1}=\{\begin{array}{cc}1,& \text{wenn }{s}_i>\lfloor n/2\rfloor \\ 0,& \text{wenn }{s}_i\le \lfloor n/2\rfloor \end{array}}$.

Man kann zeigen, dass der BBS-Generator kryptografisch auch dann noch sicher ist, wenn bis zu ${\displaystyle a=\lfloor {\log }_2{\log }_{2}n\rfloor }$ Bits aus jedem ${\displaystyle s_i}$ extrahiert werden. Meist werden einfach die ${\displaystyle a}$ niederwertigsten Bits genommen:

${\displaystyle b_{a\cdot i+j}=\lfloor s_i/2^j\rfloor mod2\text{mit}j=0,1,\dots ,a-1}$,

oder etwas elaborierter, mit „disjunkten“ Masken ${\displaystyle z_j}$:

${\displaystyle b_{a\cdot i+j}=\mathrm{bitnum}(s_i\wedge z_j)mod2\text{mit}j=0,1,\dots ,a-1;j\ne k\Rightarrow z_j\wedge z_k=0}$.

Zunächst wird der BBS-Generator zur Umsetzung einer Stromchiffre verwendet. Als geheimer Schlüssel zwischen Sender und Empfänger dienen ${\displaystyle n}$ und der Startwert ${\displaystyle s}$ des Generators.

Z. B. generiert der Sender aus ${\displaystyle n=7\cdot 11=77}$ und ${\displaystyle s=64}$ nach der oben angegebenen Vorschrift die Folge der ${\displaystyle s_i}$. Die zugehörige Pseudozufallszahl ${\displaystyle b_i}$ ergibt sich beispielsweise aus dem letzten Bit des jeweiligen Wertes von ${\displaystyle s_i}$, d. h. ${\displaystyle b_i=s_{i}mod2}$. Um den Schlüsseltext zu bestimmen, wird der Klartext (im Beispiel: 0011) XOR mit der Pseudozufallszahlenfolge verknüpft.

 Generierte Folge         15 71 36 64 …
 Pseudozufallszahlenfolge  1  1  0  0 …
 Klartext                  0  0  1  1
 Schlüsseltext             1  1  1  1

Der Empfänger bestimmt seinerseits aus den geheimen Werten ${\displaystyle n}$ und ${\displaystyle s}$ die Folgen ${\displaystyle s_i}$ und ${\displaystyle b_i}$. Mit Hilfe des übersendeten Schlüsseltextes wird wiederum mittels XOR der Klartext berechnet.

 Generierte Folge         15 71 36 64 …
 Pseudozufallszahlenfolge  1  1  0  0 …
 Schlüsseltext             1  1  1  1
 Klartext                  0  0  1  1

Zur Umsetzung eines asymmetrischen Kryptosystems eignet sich der BBS-Generator ebenfalls. Dieses Verfahren wurde 1984 von Manuel Blum und Shafi Goldwasser vorgeschlagen und wird auch als Blum-Goldwasser-Kryptosystem bezeichnet. Der geheime Schlüssel auf Seiten des Empfängers sind die Primfaktoren ${\displaystyle p}$ und ${\displaystyle q}$.

Senderseitig laufen die Berechnungen analog zum obigen symmetrischen Fall ab. Zusätzlich zum Schlüsseltext ${\displaystyle x_0\oplus b_0,\dots ,x_i\oplus b_i}$ wird aber noch ${\displaystyle s_{i+1}}$ gesendet. Da der Empfänger den Startwert nicht kennt, bildet er mit Hilfe der geheimen Primzahlen ${\displaystyle p}$ und ${\displaystyle q}$ die Folge der Pseudozufallszahlen ausgehend vom versendeten ${\displaystyle s_{i+1}}$ bis zum Startwert ${\displaystyle s}$ zurück. Für das Beispiel bedeutet das, der Empfänger erhält ${\displaystyle p=11}$, ${\displaystyle q=7}$, sowie ${\displaystyle s_4=15}$.

${\displaystyle s_{i-1}=(u\cdot p\cdot s_i^{(q+1)/4}modq+v\cdot q\cdot s_i^{(p+1)/4}modp)modn}$ mit ${\displaystyle n=p\cdot q}$

Der Ansatz bedient sich des Chinesischen Restealgorithmus, einem Spezialfall des chinesischen Restsatzes. Die beiden Unbekannten ${\displaystyle u}$ und ${\displaystyle v}$ sind von den Primfaktoren ${\displaystyle p}$ und ${\displaystyle q}$ abhängig und werden zu Beginn mittels des erweiterten euklidischen Algorithmus bestimmt. Dabei gilt ${\displaystyle u\cdot p+v\cdot q=1}$, also ${\displaystyle 2\cdot 11-3\cdot 7=1}$ im Beispiel. Damit ergibt sich die folgende Abarbeitung.

s₃ = (22·15² mod 7 - 21·15³ mod 11) mod 77

s₃ = (22·1 - 21·9) mod 77 = 64

s₂ = (22·64² mod 7 - 21·64³ mod 11) mod 77

s₂ = (22·1 - 21·3) mod 77 = 36

s₁ = (22·36² mod 7 - 21·36³ mod 11) mod 77

s₁ = (22·1 - 21·5) mod 77 = 71

s₀ = (22·71² mod 7 - 21·71³ mod 11) mod 77

s₀ = (22·1 - 21·4) mod 77 = 15

s = (22·15² mod 7 - 21·15³ mod 11) mod 77

s = (22·1 - 21·5) mod 77 = 64

Empfängerseitig wird nun analog zum symmetrischen Fall aus der eben rückwärts berechneten BBS-Generatorfolge die Folge der Pseudozufallszahlen bestimmt und letztlich durch XOR-Verknüpfung mit dem Schlüsseltext der Klartext generiert.

Ein so konstruiertes asymmetrisches Kryptosystem ist jedoch nicht sicher gegen aktive Angreifer, z. B. durch einen Angriff mit frei wählbarem Geheimtext (englisch: chosen-ciphertext attack).

Die Sicherheit des BBS-Generators basiert auf der Faktorisierungsannahme (FA).^[1] Jeder, der BBS brechen kann, kann auch faktorisieren, was aber als praktisch unmöglich gilt. Folglich ist BBS sicher.

Faktorisierungsannahme (FA): Die Wahrscheinlichkeit, dass ein schnelles Faktorisierungsverfahren eine ganze Zahl ${\displaystyle n=p\cdot q}$ mit Erfolg faktorisiert, sinkt rapide mit zunehmender Länge der Faktoren ${\displaystyle p}$ und ${\displaystyle q}$.

Zurzeit kann keine sichere Aussage getroffen werden, wie schwer Faktorisierung ist. Mit anderen Worten, die Frage nach einem Algorithmus, der in annehmbarer Zeit bei Eingabe beliebiger ${\displaystyle n}$ die Primfaktorzerlegung in ${\displaystyle p}$ und ${\displaystyle q}$ durchführt, bleibt unbeantwortet. Somit kann die Problematik lediglich mit Hilfe einer Annahme abgeschätzt werden.

Für konkrete praktische Anwendungen fordert man dann, dass bei gegebener Länge der Primfaktoren nur ein bestimmter Teil in einer bestimmten Zeit mit maximal verfügbarer Rechnerkapazität und den besten bekannten Faktorisierungsverfahren faktorisiert werden kann, also z. B. bei einer Länge von 1024 Bit werden 2⁻⁵⁰ Prozent aller ${\displaystyle n}$ in einem Jahr faktorisiert.

Wer faktorisieren kann, kann auch BBS brechen. Faktorisieren ermöglicht das Brechen der Quadratischen-Reste-Annahme, was es erlaubt, die Pseudozufallsfolge vorherzusagen.

Eine Einschränkung der Sicherheit besteht somit: Ein hypothetischer Quantencomputer könnte Shors Algorithmus nutzen, um den Modul ${\displaystyle n}$ effizient zu faktorisieren. Solche Quantencomputer sind derzeit technisch nicht umsetzbar, es wird allerdings aktiv daran geforscht.

Quadratische-Reste-Annahme (QRA) (englisch: quadratic residuosity assumption): Es ist schwierig (im Sinne von aufwändig), von einer gegebenen Zahl ${\displaystyle a}$ zu entscheiden, ob sie ein Quadratischer Rest in einem Restklassenring ${\displaystyle \mathbb{Z}/n\mathbb{Z}}$ ist, d. h. ob es eine Zahl ${\displaystyle b}$ gibt, so dass ${\displaystyle a\equiv b^2(\mathrm{mod}n)}$ ist. Die QRA ist wie die FA nicht bewiesen.

Zwei Punkte erschweren diesen Test. Erstens gibt es in einem Restklassenring mehrere Wurzeln zu einer gegebenen Zahl. So haben z. B. im ${\displaystyle \mathbb{Z}/4\mathbb{Z}}$ die Zahlen 1 und 3 die gleichen Quadrate: ${\displaystyle 1^2\equiv 3^2\equiv 1(\mathrm{mod}4)}$. Zweitens interessiert man sich nur für solche Quadrate, die selbst Quadrate sind. Diesen Umstand kann man sich mittels der Definition der BBS-Generatorfolge verdeutlichen.

Zusammenfassend gilt daher: Die Sicherheit des BBS-Generators ist äquivalent zur Faktorisierungsannahme.

Der folgende Quelltext in der Programmiersprache C++ zeigt die Implementierung eines BBS-Generators. Das Programm berechnet zwei Zufallszahlen und gibt sie auf der Konsole aus.^[2]

#include <iostream>
#include <stdint.h>
using std::cout;
using std::endl;

// Diese Funktionen berechnen je Aufruf ein Zufallsbit mit dem Blum-Blum-Shub-Generator
unsigned blumBlumShub(uint64_t &s, uint64_t n)
{
    s = s*s % n; // Iterationsschritt
    // todo: s*s sollte mit 128 bit Genauigkeit berechnet werden, damit n länger als 32 bit sein kann
    return s & 1;
}
unsigned blumBlumShubMB(uint64_t &s, uint64_t n, uint64_t z)
{
    s = s*s % n; // Iterationsschritt
    uint64_t h = s & z; // extrahiere durch z bezeichnete Bits
    for (unsigned b=32 ; b ; b >>= 1) // bestimme die Parität von h
        h ^= h >> b;
    return h & 1;
}

int main()
{
    uint64_t p =  39983;  // Primzahlen kongruent 3 (mod 4)
    uint64_t q = 101963;
    uint64_t n = p * q;      // Berechnet die Blum-Zahl (Modul)
    uint64_t z = 1665823915; // Zustandsbits, die ausgewertet werden sollen
    uint64_t s = 2367859;    // Startwert

    uint64_t e = 0;
    for (int i = 0; i < 64; i++) // Diese for-Schleifen berechnen je 64 Zufallsbits und geben sie auf der Konsole aus
    {
        e <<= 1;
        e |= blumBlumShub(s, n);
    }
    cout << e << endl;
 
    e = 0;
    for (int i = 0; i < 64; i++)
    {
        e <<= 1;
        e |= blumBlumShubMB(s, n, z);
    }
    cout << e << endl;
    return 0;
}

• Lenore Blum, Manuel Blum, und Michael Shub: A Simple Unpredictable Pseudo-Random Number Generator, SIAM Journal on Computing, Band 15, Nr. 2, Seiten 364–383, Mai 1986.
• Lenore Blum, Manuel Blum, und Michael Shub: Comparison of two pseudo-random number generators, Advances in Cryptology: Proceedings of Crypto ’82.
• Martin Geisler, Mikkel Krøigård, und Andreas Danielsen: About Random Bits, Dezember 2004. Als PDF und Gzipped Postscript.