Kryptologie in der SI und SII

Transkript

1 Kryptologie in der SI und SII Dr. Daniel Appel Cecilien-Gymnasium Düsseldorf Pilotveranstaltung Oberhausen Dr. Daniel Appel Kryptologie FoBi Info 1 / 60

2 Überblick 1 Einführung 2 Symmetrische Verschlüsselungsverfahren Substitutionschiffren Blockchiffren 3 Materialsichtung 4 Diffie-Hellman-Protokoll 5 Asymmetrische Verschlüsselungsverfahren RSA ElGamal 6 Verwandte Probleme und Algorithmen Potenzieren Primzahltests Lösen des diskreten Logarithmus 7 Diskussion in Kleingruppen und Abschlußgespräch Dr. Daniel Appel Kryptologie FoBi Info 2 / 60

4 Das Grundproblem A und B möchten auf einem Kanal kommunizieren, bei dem sie sich nicht sicher sein können, ob jemand lauscht. Alice Bob Eve Dr. Daniel Appel Kryptologie FoBi Info 4 / 60

5 Denkbare Angriffe Ciphertext-only-Angriff: Nur verschlüsselte Nachrichten bekannt. Known-Plaintext-Angriff: Einige Paare von Klar- und Schlüsseltexten bekannt. Chosen-Plaintext-Angriff: Klartexte mit zugehörigen Schlüsseltexten beliebig wählbar. Chosen-Ciphertext-Angriff: Zu einem gewählten Schlüsseltext kann (zeitweilig) Klartext ermittelt werden. Key-only-Angriff: Nur Schlüssel aber keine Nachrichten bekannt. Bei Public-Key-Verfahren relevant. Dr. Daniel Appel Kryptologie FoBi Info 5 / 60

6 Kereckhoffs Prinzip Kereckhoffs, 1883 Die Sicherheit eines Kryptosystems darf nicht von der Geheimhaltung des verwendeten Systems abhängen. Stattdessen darf die Sicherheit eines Kryptosystems nur von der Geheimhaltung des verwendeten Schlüssels abhängen. Dr. Daniel Appel Kryptologie FoBi Info 6 / 60

7 Sprech- und Schreibweisen Ein Kryptosystem (auch Chiffre oder Verschlüsselungsverfahren) besteht aus: Einer Menge M aller Klartexte ( Klartextraum ), einer Menge C aller Schlüsseltexte ( Schlüsseltextraum ), einer Menge K aller denkbaren Schlüssel ( Schlüsselraum ), Funktionen E k : M C, k K zum Verschlüsseln, Funktionen D k : C M, k K zum Entschlüsseln mit der Eigenschaft: Für jeden Schlüssel k K gibt es ein d K, so dass D d (E k (m)) = m, für alle m M. Ist d = k oder d aus k leicht bestimmbar, ist das Kryptosystem symmetrisch, andernfalls asymmetrisch. Dr. Daniel Appel Kryptologie FoBi Info 7 / 60

9 Das Caesar-Verfahren Plain Text A B C D E F G H I J K L M N O Cipher Text E F G H I J K L M N O P Q R S Plain Text P Q R S T U V W X Y Z Cipher Text T U V W X Y Z A B C D E(A) = E, E(B) = F,..., E(Z) = D Plain Text Cipher Text Plain Text Cipher Text Dr. Daniel Appel Kryptologie FoBi Info 9 / 60

10 Das Caesar-Verfahren Plain Text A B C D E F G H I J K L M N O Cipher Text E F G H I J K L M N O P Q R S Plain Text P Q R S T U V W X Y Z Cipher Text T U V W X Y Z A B C D E(A) = E, E(B) = F,..., E(Z) = D Plain Text Cipher Text Plain Text Cipher Text Dr. Daniel Appel Kryptologie FoBi Info 9 / 60

11 Verschlüsselung bei Caesar Plain Text Cipher Text Plain Text Cipher Text E(0) = 4, E(1) = 5,..., E(25) = 3 Kurz: E(x) = x + 4 mod 26 Allgemeine Verschlüsselungsfunktion bei Caesar E k (x) = x + k mod 26 für 0 k 25 Dr. Daniel Appel Kryptologie FoBi Info 10 / 60

12 Verschlüsselung bei Caesar Plain Text Cipher Text Plain Text Cipher Text E(0) = 4, E(1) = 5,..., E(25) = 3 Kurz: E(x) = x + 4 mod 26 Allgemeine Verschlüsselungsfunktion bei Caesar E k (x) = x + k mod 26 für 0 k 25 Dr. Daniel Appel Kryptologie FoBi Info 10 / 60

13 Entschlüsselung bei Caesar Allgemeine Verschlüsselungsfunktion bei Caesar E k (x) = x + k mod 26 für 0 k 25 Wie lautet die passende Entschlüsselungsfunktion D d? Es muss gelten D d (E k (x)) = x für alle x mit 0 x 25. Wähle d = 26 k und D d (x) = x + d mod 26 = x + (26 k) mod 26. Beispiel: Für k = 4 wählen wir d = 22. E 4 (24) = 28 mod 26 = 2 und D 22 (2) = mod 26 = 24. Dr. Daniel Appel Kryptologie FoBi Info 11 / 60

14 Entschlüsselung bei Caesar Allgemeine Verschlüsselungsfunktion bei Caesar E k (x) = x + k mod 26 für 0 k 25 Wie lautet die passende Entschlüsselungsfunktion D d? Es muss gelten D d (E k (x)) = x für alle x mit 0 x 25. Wähle d = 26 k und D d (x) = x + d mod 26 = x + (26 k) mod 26. Beispiel: Für k = 4 wählen wir d = 22. E 4 (24) = 28 mod 26 = 2 und D 22 (2) = mod 26 = 24. Dr. Daniel Appel Kryptologie FoBi Info 11 / 60

15 Sicherheit von Caesar Der Schlüsselraum K ist viel zu klein: K = {0, 1, 2,..., 25} Durch einfaches Probieren ( brute force ) wird das Verfahren geknackt! Dr. Daniel Appel Kryptologie FoBi Info 12 / 60

16 Substitutionschiffren Caesar ist ein spezielles Beispiel einer (monoalphabetischen) Substitutionschiffre. Die allgemeinste Form ist eine beliebige Substitutionstabelle: Plain Text A B C D E F G H I J K L M N O P Q R S T U V W X Y Z Cipher D F Z G E I Y J L H Q M O K P S U N V X W R T B C A Schlüsselraum K = Menge der Permutationen von {A, B,..., Z }. K = 26! Macht ein großer Schlüsselraum alleine ein Verfahren sicher? Dr. Daniel Appel Kryptologie FoBi Info 13 / 60

20 Häufigkeitsanalyse Nein, macht er nicht! Dr. Daniel Appel Kryptologie FoBi Info 14 / 60

21 Hill-Chiffre als Variation von Caesar Zur Erinnerung: E k (x) = x + k mod 26, D d (x) = x + (26 d) mod 26 Variation: E k (x) = k x mod 26 Beispiel: k = 3: Klartext Schlüsseltext Dr. Daniel Appel Kryptologie FoBi Info 15 / 60

24 Hill-Chiffre Schlüsselraum Die Abbildung E k : {0, 1,..., 25} {0, 1,..., 25}, x k x mod 26 muss bijektiv sein. Das ist genau dann der Fall, wenn ggt(k, 26) = 1. Beispiele: k = 3 hat geklappt! E 13 (5) = 65 mod 26 = 13 und E 13 (7) = 91 mod 26 = 13. Berechnung der Größe des Schlüsselraums mit der Eulerschen Phi-Funktion: K = ϕ(26) = ϕ(2 13) = (2 1) (13 1) = 12 Konkret: K = {1, 3, 5, 7, 9, 11, 15, 17, 19, 21, 23, 25} Dr. Daniel Appel Kryptologie FoBi Info 16 / 60

28 Hill-Chiffre Entschlüsseln I E k (x) = k x mod 26, D k (x) = x k mod 26? Problem: E 3 (11) = 7, D 3 (7) = 7 3 mod 26 ergibt keinen Sinn! Wir brauchen das multiplikativ Inverse d von k: d k mod 26 = 1 Entschlüsselungsfunktion: D d (x) = d x mod 26 D d (E k (x)) E d (k x) d k x (d k) x 1 x x mod 26 Für k = 3 ist d = 9, denn mod 26. D 9 (7) mod 26 Dr. Daniel Appel Kryptologie FoBi Info 17 / 60

32 Hill-Chiffre Entschlüsseln II Der erweiterte Euklidische Algorithmus liefert multiplikativ Inverses. ggt(a, b) = s a + r b mit s, r Z Bei uns: 1 = ggt(k, 26) = d k + r = = = = = = = 3 1 (26 8 3) = = mod 26 = 1 Dr. Daniel Appel Kryptologie FoBi Info 18 / 60

35 Sicherheit der Hill-Chiffre Aus dem Schlüssel k zum Verschlüsseln lässt sich ohne Probleme der Schlüssel d zum Entschlüsseln bestimmen. Auch eine Vergrößerung des Zahlenraumes ändert dies nicht. Das Verfahren ist daher wie das Caesar-Verfahren symmetrisch. Dr. Daniel Appel Kryptologie FoBi Info 19 / 60

36 Affine Chiffre Caesar zusammen mit einer Multiplikation. Daher besteht der Schlüssel aus zwei Zahlen: K = {(a, b) Z 2 0 a, b 25 und ggt(a, 26) = 1} E (a,b) (x) = a x + b mod 26 D (a 1,b)(y) = a 1 (y b) mod 26 Mit a 1 ist das Inverse modulo 26 gemeint. Für a = 1 erhalten wir wieder das Caesar-Verfahren. Für b = 0 erhalten wir die Hill-Chiffre. Beispiel: k = (3, 5) und x = 10. E (3,5) (10) = mod 26 = 9 D (9,5) (9) = 9 (9 5) mod 26 = 10 Dr. Daniel Appel Kryptologie FoBi Info 20 / 60

39 Affine Chiffre Angriffe Brute force, denn K = ϕ(26) 26 = 312. Häufigkeitsanalyse, da Substituitionschiffre. Häufigkeitsanalyse mit linearer Algebra: Beispiel: Analyse liefert E (a,b) (2) = 11 und E (a,b) (10) = 1. a 2 + b 11 mod 26 b 11 a 2 mod 26 a 10 + b 1 mod 26 Einsetzen: a 10 + (11 a 2) 1 mod 26 8 a mod 26 a 2 a 15 mod 26 Einsetzen: b b mod 26 b 7 b 7 mod 26 Dr. Daniel Appel Kryptologie FoBi Info 21 / 60

43 Blockchiffren Sei Σ unser Alphabet (z.b. Σ = {A, B,..., Z} oder Σ = {0, 1,..., 25}). Bei Substitutionschiffren haben wir E k : Σ Σ. Bei Blockchiffren haben wir allgemeiner E k : Σ n Σ n. Dr. Daniel Appel Kryptologie FoBi Info 22 / 60

44 Affin-lineare Chiffre E (A,b) : {0, 1,..., 25} n {0, 1,..., 25} n, x A x + b mod 26 mit b Z n und A Z n n mit ggt(det(a), 26) = 1. Sonderfälle: Für n = 1 affine Chiffre. Für b = 0 Hill-Chiffre. Mögliche Schwierigkeiten: det(a) in Schule unbekannt. Invertierbarkeit von Matrizen nicht bekannt. Für n = 2 exemplarisch aber umsetzbar. Dr. Daniel Appel Kryptologie FoBi Info 23 / 60

48 Affin-lineare Chiffre 2-dimensional E (A,b) : {0, 1,..., 25} 2 {0, 1,..., 25} 2, x A x + b mod 26 mit b Z 2 und A Z 2 2 mit ggt(det(a), 26) = 1. A = ( ) a b c d ist modulo 26 invertierbar ggt(ad bc, 26) = 1. In diesem Fall: ( ) A 1 = (ad bc) 1 d b mod 26 c a Beispiel: A = ( ) hat modulo 26 die Inverse ( ) ( ) ( ) ( 6 ) mod 26. Dr. Daniel Appel Kryptologie FoBi Info 24 / 60

51 Affin-lineare Chiffre Beispiel Das Wort TEST wird zerlegt in ( 19 4 ) und ( ). ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) mod 26 mod 26 TEST wird also verschlüsselt zu 5, 17, 15, 20. Auch hier wäre ein Angriff mittels linearer Algebra denkbar. Dr. Daniel Appel Kryptologie FoBi Info 25 / 60

55 Das Vigenère-Verfahren Plain A B C D E F G H I J K L M N O P Q R S T U V W X Y Z Cipher (A) A B C D E F G H I J K L M N O P Q R S T U V W X Y Z Cipher (B) B C D E F G H I J K L M N O P Q R S T U V W X Y Z A Cipher (C) C D E F G H I J K L M N O P Q R S T U V W X Y Z A B Cipher (D) D E F G H I J K L M N O P Q R S T U V W X Y Z A B C Cipher (E) E F G H I J K L M N O P Q R S T U V W X Y Z A B C D Cipher (F) F G H I J K L M N O P Q R S T U V W X Y Z A B C D E Cipher (G) G H I J K L M N O P Q R S T U V W X Y Z A B C D E F Cipher (H) H I J K L M N O P Q R S T U V W X Y Z A B C D E F G Cipher (I) I J K L M N O P Q R S T U V W X Y Z A B C D E F G H Cipher (J) J K L M N O P Q R S T U V W X Y Z A B C D E F G H I Cipher (K) K L M N O P Q R S T U V W X Y Z A B C D E F G H I J Cipher (L) L M N O P Q R S T U V W X Y Z A B C D E F G H I J K Cipher (M) M N O P Q R S T U V W X Y Z A B C D E F G H I J K L Cipher (N) N O P Q R S T U V W X Y Z A B C D E F G H I J K L M Cipher (O) O P Q R S T U V W X Y Z A B C D E F G H I J K L M N Cipher (P) P Q R S T U V W X Y Z A B C D E F G H I J K L M N O Cipher (Q) Q R S T U V W X Y Z A B C D E F G H I J K L M N O P Cipher (R) R S T U V W X Y Z A B C D E F G H I J K L M N O P Q Cipher (S) S T U V W X Y Z A B C D E F G H I J K L M N O P Q R Cipher (T) T U V W X Y Z A B C D E F G H I J K L M N O P Q R S Cipher (U) U V W X Y Z A B C D E F G H I J K L M N O P Q R S T Cipher (V) V W X Y Z A B C D E F G H I J K L M N O P Q R S T U Cipher (W) W X Y Z A B C D E F G H I J K L M N O P Q R S T U V Cipher (X) X Y Z A B C D E F G H I J K L M N O P Q R S T U V W Cipher (Y) Y Z A B C D E F G H I J K L M N O P Q R S T U V W X Cipher (Z) Z A B C D E F G H I J K L M N O P Q R S T U V W X Y Plain D I E S E R S A T Z I S T G E H E I M Key I N F O I N F O I N F O I N F O I N F Cipher L V J G M E X O B M N G B T J V M V R Dr. Daniel Appel Kryptologie FoBi Info 26 / 60

56 Das Vigenère-Verfahren Plain A B C D E F G H I J K L M N O P Q R S T U V W X Y Z Cipher (A) A B C D E F G H I J K L M N O P Q R S T U V W X Y Z Cipher (B) B C D E F G H I J K L M N O P Q R S T U V W X Y Z A Cipher (C) C D E F G H I J K L M N O P Q R S T U V W X Y Z A B Cipher (D) D E F G H I J K L M N O P Q R S T U V W X Y Z A B C Cipher (E) E F G H I J K L M N O P Q R S T U V W X Y Z A B C D Cipher (F) F G H I J K L M N O P Q R S T U V W X Y Z A B C D E Cipher (G) G H I J K L M N O P Q R S T U V W X Y Z A B C D E F Cipher (H) H I J K L M N O P Q R S T U V W X Y Z A B C D E F G Cipher (I) I J K L M N O P Q R S T U V W X Y Z A B C D E F G H Cipher (J) J K L M N O P Q R S T U V W X Y Z A B C D E F G H I Cipher (K) K L M N O P Q R S T U V W X Y Z A B C D E F G H I J Cipher (L) L M N O P Q R S T U V W X Y Z A B C D E F G H I J K Cipher (M) M N O P Q R S T U V W X Y Z A B C D E F G H I J K L Cipher (N) N O P Q R S T U V W X Y Z A B C D E F G H I J K L M Cipher (O) O P Q R S T U V W X Y Z A B C D E F G H I J K L M N Cipher (P) P Q R S T U V W X Y Z A B C D E F G H I J K L M N O Cipher (Q) Q R S T U V W X Y Z A B C D E F G H I J K L M N O P Cipher (R) R S T U V W X Y Z A B C D E F G H I J K L M N O P Q Cipher (S) S T U V W X Y Z A B C D E F G H I J K L M N O P Q R Cipher (T) T U V W X Y Z A B C D E F G H I J K L M N O P Q R S Cipher (U) U V W X Y Z A B C D E F G H I J K L M N O P Q R S T Cipher (V) V W X Y Z A B C D E F G H I J K L M N O P Q R S T U Cipher (W) W X Y Z A B C D E F G H I J K L M N O P Q R S T U V Cipher (X) X Y Z A B C D E F G H I J K L M N O P Q R S T U V W Cipher (Y) Y Z A B C D E F G H I J K L M N O P Q R S T U V W X Cipher (Z) Z A B C D E F G H I J K L M N O P Q R S T U V W X Y Plain D I E S E R S A T Z I S T G E H E I M Key I N F O I N F O I N F O I N F O I N F Cipher L V J G M E X O B M N G B T J V M V R Dr. Daniel Appel Kryptologie FoBi Info 26 / 60

57 Sicherheit von Vigenère Ial qmca moh hvyek Xquylp bevwe Gbr bbu uca ext brp tyfqimzpas Pgt wpiztx zueel tugkidt Qetr Lvseulr rxkpuca xden yzd detr Tmf Ntwucaa Famrvmfm yzd Niecapgw Bt toalr Htbwq wlv Pafwuk Ciddblrfe tiunxu sumlr Lhor Dhjl pevifzepgt phv dtz mlelw anz Qig rquxy Teky nesvk dtz Tanz Pek wbrtjl Ivo seu Mtnxu tixyqut gy wbzwqn Zmq ehweeg pqiwlv gtud vxyqusllr Dbl gnntkmegnpucal Brtldusbvr Dbl mnzlrmealvfe Zgtltttugdlmf Wpi gxox mby pal qgsl moh zgtog wmgxu lu diut Zmq dviznxu yik hmhxy zivox wxpxqr kmqnxu Gnw ogrs yzd nyf bjl knlrpizl Uhglr Hblvyim dgm Lvetxu pel jalzlrpeg Nmhklw Ivo iak kmns wbrtjlxol haca wa phv el Yzd mmzdxu Eix quca qarzlre fhp Ekoeqnza mn lmzef Mztxnvml Hgt klhqn oef ch webuiz Sdiok Zs gbuk dxy Dant nemyyqbm lunplk Angriff mit der Information DER EUKLIDISCHE RAUM wurde zu PEK IGKEPHUSVOI RTBG verschlüsselt? Kein Problem!... mit bekannter Schlüssellänge? Häufigkeitsanalyse(n)!... ohne jede weitere Information? Hängt von Schlüssel- und Textlänge ab. Dr. Daniel Appel Kryptologie FoBi Info 27 / 60

65 Angriff auf Vigenère Ial qmca moh hvyek Xquylp bevwe Gbr bbu uca ext brp tyfqimzpas Pgt wpiztx zueel tugkidt Qetr Lvseulr rxkpuca xden yzd detr Tmf Ntwucaa Famrvmfm yzd Niecapgw Bt toalr Htbwq wlv Pafwuk Ciddblrfe tiunxu sumlr Lhor Dhjl pevifzepgt phv dtz mlelw anz Qig rquxy Teky nesvk dtz Tanz Pek wbrtjl Ivo seu Mtnxu tixyqut gy wbzwqn Zmq ehweeg pqiwlv gtud vxyqusllr Dbl gnntkmegnpucal Brtldusbvr Dbl mnzlrmealvfe Zgtltttugdlmf Wpi gxox mby pal qgsl moh zgtog wmgxu lu diut Zmq dviznxu yik hmhxy zivox wxpxqr kmqnxu Gnw ogrs yzd nyf bjl knlrpizl Uhglr Hblvyim dgm Lvetxu pel jalzlrpeg Nmhklw Ivo iak kmns wbrtjlxol haca wa phv el Yzd mmzdxu Eix quca qarzlre fhp Ekoeqnza mn lmzef Mztxnvml Hgt klhqn oef ch webuiz Sdiok Zs gbuk dxy Dant nemyyqbm lunplk Abstand: 422 Plus Wortlänge: 425 T(425) = {1, 5, 17, 25, 85, 425} Dr. Daniel Appel Kryptologie FoBi Info 28 / 60

66 Angriff auf Vigenère Ial qmca moh hvyek Xquylp bevwe Gbr bbu uca ext brp tyfqimzpas Pgt wpiztx zueel tugkidt Qetr Lvseulr rxkpuca xden yzd detr Tmf Ntwucaa Famrvmfm yzd Niecapgw Bt toalr Htbwq wlv Pafwuk Ciddblrfe tiunxu sumlr Lhor Dhjl pevifzepgt phv dtz mlelw anz Qig rquxy Teky nesvk dtz Tanz Pek wbrtjl Ivo seu Mtnxu tixyqut gy wbzwqn Zmq ehweeg pqiwlv gtud vxyqusllr Dbl gnntkmegnpucal Brtldusbvr Dbl mnzlrmealvfe Zgtltttugdlmf Wpi gxox mby pal qgsl moh zgtog wmgxu lu diut Zmq dviznxu yik hmhxy zivox wxpxqr kmqnxu Gnw ogrs yzd nyf bjl knlrpizl Uhglr Hblvyim dgm Lvetxu pel jalzlrpeg Nmhklw Ivo iak kmns wbrtjlxol haca wa phv el Yzd mmzdxu Eix quca qarzlre fhp Ekoeqnza mn lmzef Mztxnvml Hgt klhqn oef ch webuiz Sdiok Zs gbuk dxy Dant nemyyqbm lunplk Abstand: 422 Plus Wortlänge: 425 T(425) = {1, 5, 17, 25, 85, 425} Dr. Daniel Appel Kryptologie FoBi Info 28 / 60

67 Angriff auf Vigenère Ial qmca moh hvyek Xquylp bevwe Gbr bbu uca ext brp tyfqimzpas Pgt wpiztx zueel tugkidt Qetr Lvseulr rxkpuca xden yzd detr Tmf Ntwucaa Famrvmfm yzd Niecapgw Bt toalr Htbwq wlv Pafwuk Ciddblrfe tiunxu sumlr Lhor Dhjl pevifzepgt phv dtz mlelw anz Qig rquxy Teky nesvk dtz Tanz Pek wbrtjl Ivo seu Mtnxu tixyqut gy wbzwqn Zmq ehweeg pqiwlv gtud vxyqusllr Dbl gnntkmegnpucal Brtldusbvr Dbl mnzlrmealvfe Zgtltttugdlmf Wpi gxox mby pal qgsl moh zgtog wmgxu lu diut Zmq dviznxu yik hmhxy zivox wxpxqr kmqnxu Gnw ogrs yzd nyf bjl knlrpizl Uhglr Hblvyim dgm Lvetxu pel jalzlrpeg Nmhklw Ivo iak kmns wbrtjlxol haca wa phv el Yzd mmzdxu Eix quca qarzlre fhp Ekoeqnza mn lmzef Mztxnvml Hgt klhqn oef ch webuiz Sdiok Zs gbuk dxy Dant nemyyqbm lunplk Abstand: 27 Plus Wortlänge: 30 T(30) = {1, 2, 3, 5, 6, 10, 15, 30} Dr. Daniel Appel Kryptologie FoBi Info 29 / 60

68 Angriff auf Vigenère Ial qmca moh hvyek Xquylp bevwe Gbr bbu uca ext brp tyfqimzpas Pgt wpiztx zueel tugkidt Qetr Lvseulr rxkpuca xden yzd detr Tmf Ntwucaa Famrvmfm yzd Niecapgw Bt toalr Htbwq wlv Pafwuk Ciddblrfe tiunxu sumlr Lhor Dhjl pevifzepgt phv dtz mlelw anz Qig rquxy Teky nesvk dtz Tanz Pek wbrtjl Ivo seu Mtnxu tixyqut gy wbzwqn Zmq ehweeg pqiwlv gtud vxyqusllr Dbl gnntkmegnpucal Brtldusbvr Dbl mnzlrmealvfe Zgtltttugdlmf Wpi gxox mby pal qgsl moh zgtog wmgxu lu diut Zmq dviznxu yik hmhxy zivox wxpxqr kmqnxu Gnw ogrs yzd nyf bjl knlrpizl Uhglr Hblvyim dgm Lvetxu pel jalzlrpeg Nmhklw Ivo iak kmns wbrtjlxol haca wa phv el Yzd mmzdxu Eix quca qarzlre fhp Ekoeqnza mn lmzef Mztxnvml Hgt klhqn oef ch webuiz Sdiok Zs gbuk dxy Dant nemyyqbm lunplk Abstand: 27 Plus Wortlänge: 30 T(30) = {1, 2, 3, 5, 6, 10, 15, 30} Dr. Daniel Appel Kryptologie FoBi Info 29 / 60

69 Angriff auf Vigenère Ial qmca moh hvyek Xquylp bevwe Gbr bbu uca ext brp tyfqimzpas Pgt wpiztx zueel tugkidt Qetr Lvseulr rxkpuca xden yzd detr Tmf Ntwucaa Famrvmfm yzd Niecapgw Bt toalr Htbwq wlv Pafwuk Ciddblrfe tiunxu sumlr Lhor Dhjl pevifzepgt phv dtz mlelw anz Qig rquxy Teky nesvk dtz Tanz Pek wbrtjl Ivo seu Mtnxu tixyqut gy wbzwqn Zmq ehweeg pqiwlv gtud vxyqusllr Dbl gnntkmegnpucal Brtldusbvr Dbl mnzlrmealvfe Zgtltttugdlmf Wpi gxox mby pal qgsl moh zgtog wmgxu lu diut Zmq dviznxu yik hmhxy zivox wxpxqr kmqnxu Gnw ogrs yzd nyf bjl knlrpizl Uhglr Hblvyim dgm Lvetxu pel jalzlrpeg Nmhklw Ivo iak kmns wbrtjlxol haca wa phv el Yzd mmzdxu Eix quca qarzlre fhp Ekoeqnza mn lmzef Mztxnvml Hgt klhqn oef ch webuiz Sdiok Zs gbuk dxy Dant nemyyqbm lunplk ggt(425, 30) = 5 Vermutung: Die Länge des Schlüssels ist 5! Dr. Daniel Appel Kryptologie FoBi Info 30 / 60

70 One Time Pad Ein gemeinsamer Schlüssel wird nur ein einziges Mal verwendet. Verschlüsselung einer Bitfolge Plain Text Key Cipher Text Anschauliche Darstellung durch Schwarz-Weiß-Bild! Dr. Daniel Appel Kryptologie FoBi Info 31 / 60

71 One Time Pad Ein gemeinsamer Schlüssel wird nur ein einziges Mal verwendet. Verschlüsselung einer Bitfolge Plain Text Key Cipher Text Anschauliche Darstellung durch Schwarz-Weiß-Bild! Dr. Daniel Appel Kryptologie FoBi Info 31 / 60

72 One Time Pad Ein gemeinsamer Schlüssel wird nur ein einziges Mal verwendet. Verschlüsselung einer Bitfolge Plain Text Key Cipher Text Weiß Weiß Weiß Weiß Schwarz Schwarz Schwarz Weiß Schwarz Schwarz Schwarz Weiß Anschauliche Darstellung durch Schwarz-Weiß-Bild! Dr. Daniel Appel Kryptologie FoBi Info 31 / 60

73 One Time Pad Ein gemeinsamer Schlüssel wird nur ein einziges Mal verwendet. Verschlüsselung einer Bitfolge Plain Text Key Cipher Text Weiß Weiß Weiß Weiß Schwarz Schwarz Schwarz Weiß Schwarz Schwarz Schwarz Weiß Anschauliche Darstellung durch Schwarz-Weiß-Bild! Dr. Daniel Appel Kryptologie FoBi Info 31 / 60

74 Veranschaulichung des One Time Pad-Verfahrens Gesendet werden Pixel große Schwarz-Weiß-Bilder. Plain Text Key Cipher Text Anzahl der Schlüssel: = Verfahren ist nachweisbar sicher! Dr. Daniel Appel Kryptologie FoBi Info 32 / 60

75 Angriff auf das One Time Pad-Verfahrens Zwei mit demselben Schlüssel verschlüsselte Nachrichten wurden abgefangen. Cipher Text 1 Cipher Text 2 Kombination Dr. Daniel Appel Kryptologie FoBi Info 33 / 60

76 Angriff auf das One Time Pad-Verfahrens Zwei mit demselben Schlüssel verschlüsselte Nachrichten wurden abgefangen. Cipher Text 1 Cipher Text 2 Kombination Dr. Daniel Appel Kryptologie FoBi Info 33 / 60

77 Angriff auf das One Time Pad-Verfahrens Zwei mit demselben Schlüssel verschlüsselte Nachrichten wurden abgefangen. Dr. Daniel Appel Kryptologie FoBi Info 34 / 60

79 Materialsichtung Dr. Daniel Appel Kryptologie FoBi Info 36 / 60

81 Diffie-Hellman-Protokoll Protokoll zur Erstellung eines gemeinsamen Schlüssels erstes veröffentlichte Protokoll dieser Art Problem des Schlüsselaustauschs galt zuvor als unlösbar beruht auf Härte des diskreten Logarithmus Diskrete Exponentialfunktion und Logarithmus Sei p eine Primzahl und 1 γ p 1 eine natürliche Zahl mit {γ n mod p 1 n p 1} = {1, 2,..., p 1}. Für a {1, 2,..., p 1} schreiben wir exp γ,p (a) := γ a mod p. Ist α = γ a mod p, schreiben wir umgekehrt log γ,p (α) := a. Dr. Daniel Appel Kryptologie FoBi Info 38 / 60

85 Diffie-Hellman Mathematischer Hintergrund In der Literatur liest man, dass γ (Z/pZ) ein primitives Element ist. D.h., es ist ein Erzeugendes der Einheitengruppe von Z/pZ. Ein solches Element existiert immer, wenn p eine Primzahl ist. Beispiel: (Z/11Z) = {1, 2,..., 10} 2 ist ein primitives Element: 2 1 2, 2 2 4, 2 3 8, 2 4 5, , 2 6 9, 2 7 7, 2 8 3, 2 9 6, mod ist kein primitives Element: 3 1 3, 3 2 9, 3 3 5, 3 4 4, mod 11. Man sagt, 3 hat die Ordnung 5. Die Ordnung eines Elementes teilt immer die Ordnung der Gruppe in diesem Fall ϕ(p). Daher müssen nicht alle Potenzen betrachtet werden. Dr. Daniel Appel Kryptologie FoBi Info 39 / 60

88 Diffie-Hellman Schlüsselaustausch Alice und Bob einigen sich auf große Primzahl p und primitives γ. Alice wählt zufällig geheimes a und berechnet α = γ a mod p. Sendet α an Bob. Bob wählt zufällig geheimes b und berechnet β = γ b mod p. Sendet β an Alice. Berechnet k = β a mod p Berechnet k = α b mod p Eve kennt p, γ, α, β. Sie braucht aber a = log γ,p (β) oder b = log γ,p (α). Dr. Daniel Appel Kryptologie FoBi Info 40 / 60

89 Diffie-Hellman Schlüsselaustausch Alice und Bob einigen sich auf große Primzahl p und primitives γ. Alice wählt zufällig geheimes a und berechnet α = γ a mod p. Sendet α an Bob. Bob wählt zufällig geheimes b und berechnet β = γ b mod p. Sendet β an Alice. Berechnet k = β a mod p Berechnet k = α b mod p Eve kennt p, γ, α, β. Sie braucht aber a = log γ,p (β) oder b = log γ,p (α). Dr. Daniel Appel Kryptologie FoBi Info 40 / 60

90 Diffie-Hellman Beispiel Alice und Bob wählen p = 19. Sie brauchen γ (Z/19Z) der Ordnung 18. Wegen (Z/19Z) = 18 können die Elemente die Ordnungen 1, 2, 3, 6, 9, 18 haben. Also nur zu prüfen: γ 6 1, γ 9 1. Versuche γ = 3: 3 6 = (3 2 3) 2 = 27 2 = 8 2 = 64 = = ((3 2 ) 2 ) 2 3 = (9 2 ) 2 3 = = = 25 3 = 6 3 = 18 Also ist 3 primitiv! Alice wählt a = 5: α = 3 5 = 15. Sendet α. Bob wählt b = 10: β = 3 10 = 16. Sendet β. Alice berechnet β 5 = 16 5 = 4. Bob berechnet α 10 = = 4. Dr. Daniel Appel Kryptologie FoBi Info 41 / 60

95 Diffie-Hellman Angriff Alice und Bob einigen sich auf große Primzahl p und primitives γ. Alice wählt zufällig geheimes a und berechnet α = γ a mod p. Sendet α an Bob. Bob wählt zufällig geheimes b und berechnet β = γ b mod p. Sendet β an Alice. Berechnet k = β a mod p Berechnet k = α b mod p Eves aktiver Angriff: Abfangen von γ a und γ b und Ersetzen durch γ e. Dr. Daniel Appel Kryptologie FoBi Info 42 / 60

97 RSA Erstes in der Praxis eingesetzte asymmetrische Verfahren von Rivest, Shamir und Adleman, privater Schlüssel kennt nur Bob wird zum Entschlüsseln gebraucht öffentlicher Schlüssel darf jeder kennen wird zum Verschlüsseln gebraucht nicht aus öffentlichem Schlüssel berechenbar Dr. Daniel Appel Kryptologie FoBi Info 44 / 60

98 RSA Erstes in der Praxis eingesetzte asymmetrische Verfahren von Rivest, Shamir und Adleman, privater Schlüssel kennt nur Bob wird zum Entschlüsseln gebraucht öffentlicher Schlüssel darf jeder kennen wird zum Verschlüsseln gebraucht nicht aus öffentlichem Schlüssel berechenbar Dr. Daniel Appel Kryptologie FoBi Info 44 / 60

99 RSA Erzeugen der Schlüssel durch Bob (1) Wählt zwei große, geheime Primzahlen p, q. Berechnet N = p q. Beispiel: p = 5, q = 11 und N = 55. (2) Berechnet den geheimen Wert ϕ(n) = (p 1) (q 1). Beispiel: ϕ(55) = 4 10 = 40. (3) Wählt eine Zahl 1 < e < ϕ(n) mit ggt(e, ϕ(n)) = 1. Öffentlicher Schlüssel: (N, e) Beispiel: (N, e) = (55, 13) (4) Bestimmt d mit e d mod ϕ(n) = 1. Privater Schlüssel: d Beispiel: d = 37, denn mod 40. Dr. Daniel Appel Kryptologie FoBi Info 45 / 60