Proseminar Datensicherheit & Versicherungsmathematik ElGamal-Verfahren

Transkript

1 Proseminar Datensicherheit & Versicherungsmathematik ElGamal-Verfahren Markus Kröll 14. Jänner 2009 Inhaltsverzeichnis 1 Einführung 2 2 Das ElGamal-Verfahren Schlüsselerzeugung Ver- und Entschlüsselung Effizienz des Verfahrens Beispiel Verallgemeinerung Mögliche Verallgemeinerungen Allgemeines Verfahren Elliptische Kurven Ausblick elliptische Kurven ElGamal Grundlagen über elliptischen Kurven ElGamal-Verfahren über elliptischen Kurven Beispiel Vorteile

2 1 Einführung Das ElGamal-Verfahren ist ein Public-Key Verschlüsselungssystem. Es wurde 1985 vom Kryptographen Taher Elgamal entwickelt, woher auch der Name des Kryptosystems kommt. Das Verfahren, ähnlich wie das sogenannte Diffie-Hellman-Verfahren zum Schlüsselaustausch, beruht auf der Schwierigkeit, den diskreten Logarithmus über einer primen Restklassengruppe zu lösen. Der diskrete Logarithmus ist dabei wie folgt definiert: A g a mod p A {1,..., p 1}, g Primitivwurzel, a {0,..., p 2} Der Exponent a heißt diskreter Logarithmus von A zur Basis g. Wie bei der Faktorisierung großer Zahlen oder bei einer kryptographischen Hashfunktion wird bei der Berechnung des diskreten Logarithmus angenommen, dass es sich um eine Einwegfunktion handelt. Das heißt, die bijektive Funktion selbst (potenzieren) kann ohne großen Aufwand durchgeführt werden, die dazugehörige Umkehrfunktion (logarithmieren) aber kann nicht in vertretbarer Zeit gefunden werden. Die daraus resultierende Schwierigkeit den diskreten Logarithmus in Z/pZ zu berechnen wird auch als das Diffi-Hellman Problem genannt. Bis heute kennt man keine Funktion, bei der man die Eigenschaft Einwegfunktion beweisen könnte. Auch hier, bei der Schwierigkeit des Lösens des diskreten Logarithmus, kann man also nicht absolute Sicherheit garantieren. Gerade deswegen ist ein wichtiger Vorteil des ElGamal-Verfahrens, verallgemeinert werden zu können. So können Ver- und Entschlüsselung zum Beispiel über elliptischen Kurven stattfinden. 2 Das ElGamal-Verfahren 2.1 Schlüsselerzeugung Alice wählt als erstes eine zufällige und ausreichend große Primzahl p. Desweiteren wählt Alice eine Primitivwurzel g mod p und einen Exponenten a N mit 2 a p 2, zufällig und gleichverteilt. Sie berechnet A = g a mod p. Als öffentlichen Schlüssel kann Alice nun das Tripel (p, g, A) bekannt geben, den Exponenten a hält sie geheim. 2.2 Ver- und Entschlüsselung Der Klartextraum ist die Menge {0, 1,..., p 1}. Damit Bob einen Klartext m {0, 1,..., p 1} verschlüsseln kann, wählt er zunächst eine Zufallszahl b {1,..., p 2} und berechnet und auch B = g b mod p c = A b m mod p. Der Schlüsseltext ist nun das Paar (B, c). Alice erhält von Bob diesen Schlüsseltext. Um den Klartext m wiederherzustellen, bestimmt Alice einen neuen Exponenten x = p 1 a, für den x {1,..., p 2} gilt. Durch Berechnung von B x c mod p kann der Klartext erhalten werden: 2

3 B x c g b(p 1 a) A b m (g p 1 ) b (g a ) b A b m A b A b m m mod p Dies beweist auch die Korrektheit des Verfahrens. (Von Zeile zwei auf drei wurde der kleine Satz von Fermat verwendet.) Hier nochmal das Verfahren in einer Tabelle übersichtlich zusammengefasst: Alice Bob Schlüsselerzeugung Wählt große Primzahl p, Primitvwurzel g mod p und Exponent a {2,..., p 2}. Berechnet A = g a mod p und veröffentlicht (p, g, A) Verschlüsselung Wählt zufällig b {1,..., p 2}, berechnet B = g b mod p und mit Klartext m c = A b m mod p. (B, c) ist Schlüsseltext. Entschlüsselung Berechnet mit x = p 1 a den Klartext B x c m mod p 2.3 Effizienz des Verfahrens Ein möglicher Angreifer an einer unsicheren Leitung erfährt die Zahlen p, g, A, B und c. Er erfährt aber nicht die diskreten Logarithmen a von A oder b von B zur Basis g. Zur Entschlüsselung der Nachricht würde ebendieser Angreifer aber den geheimen Schlüssel von Alice kennen. Da es keine bekannten Algorithmen gibt, die a oder b in vertretbarer Zeit berechnen können, ist das ElGamal-Verfahren sicher. Die Verschlüsselung benötigt zwei modulare Exponentationen, die Berechnung von A b mod p und g b mod p. Beide sind von der zu verschlüsselnden Nachricht unabhängig, können also vorher berechnet und in einer sicheren Umgebung abgespeichert werden. Die Verschlüsselung der aktuellen Nachricht benötigt dann nur noch eine Multiplikation modulo p. Die gewählte Primzahl p ist von derselben Größenordnung wie die des RSA-Verfahrens. Ein Effizienznachteil besteht in der sogenannten Nachtichtenexpansion: Der Schlüsseltext ist doppelt so lang wie der Klartext. Die Entschlüsselung benötigt eine einzige modulare Exponentation. Diese kann aber aber nicht durch den chinesischen Restsatz beschleunigt werden. Auch wenn theoretisch bei jeder Verschlüsselung derselbe Exponent b gewählt werden könnte, sollte dies aufgrund der Sicherheit nicht gemacht werden. Um dies zu zeigen, nehmen wir an, dass Bob zweimal dasselbe b wählt und damit zwei Nachrichten m und m verschlüsselt: c = A b m mod p c = A b m mod p = c c 1 m m 1 mod p 3

4 Wenn ein möglicher Angreifer den Klartext m kennt, dann kann er m (und auch jeden anderen Klartext) mit m c c 1 m mod p berechnen. 2.4 Beispiel Nehmen wir, an Alice will die Nachricht m = 2132 via ElGamal an Bob senden. Bob wählt p = 3359, g = 11 und a = 5 als geheimen Schlüssel. Er berechnet g a (mod 3359) und somit ist der public key das Tripel (p, g, A) = (3359, 11, 3178). Alice kennt nun diese Zahlen und wählt b = 69 um und auch g b (mod 3359) A b m (mod 3359) zu berechnen. Alice kann so den Schlüsseltext (193, 2719) an Bob senden. Dieser benutzt seinen private key und berechnet: und schließlich was der zu verschlüsselnde Wert von m war. 3 Verallgemeinerung 3.1 Mögliche Verallgemeinerungen B p 1 a (mod 3359) (mod 3359), Ein wichtiger Vorteil des ElGamal-Verfahrens ist die gewisse Flexibilität. Das Verfahren selbst funktioniert nämlich nicht nur über der primen Restklassengruppe, sondern kann auch in jeder anderen zyklischen Gruppe verwendet werden. Einzig wichtige Voraussetzungen für diese Gruppen: Die Schlüsselerzeugung, Verschlüsselung als auch die Entschlüsselung müssen innerhalb der Gruppe und mit den dort zur Verfügung stehenden Operationen effizient durchzuführen sein. Ein sicheres Verschlüsselungsystem muss auch gut und effektiv implementiert werden können, was mit ineffizienten Gruppenoperationen nicht möglich ist. Desweiteren muss natürlich das Lösen des diskreten Logarithmus innerhalb der Gruppe schwer sein, was die Grundlage des Verschlüsselungsverfahrens darstellt. Es ist vor allem dann wichtig, das ElGamal-Verfahren zu verallgemeinern, wenn ein effizienter Algorithmus zum Lösen des diskreten Algorithmus in Z/pZ bekannt werden sollte, wodurch das Verschlüsseln dort unsicher wäre. Folgende Gruppen wären zum Beispiel für ElGamal geeignet: Die Punktgruppe einer elliptischen Kurve über einem endlichen Körper (siehe 4.2). Die Jakobische Varietät hyperelliptischer Kurven über endlichen Körpern. Die Klassengruppe imaginär-quadratischer Ordnung. 4

5 3.2 Allgemeines Verfahren Alice wählt eine endliche Gruppe (G, ), ein g G und erhält die davon erzeugte zyklische Gruppe H =< g >. Sie wählt einen Exponenten a {1,..., H 1} zufällig und berechnet A = g a. (Es werden alle Berechnungen in (G, ) durchgeführt.) Das Tripel ((G, ), g, A) ist nun der public key, den Exponenten a hält Alice geheim. Bob will nun seine Nachricht m, die er zuerst in (G, ) darstellen muss, verschlüsseln. Dazu wählt er ein b {1,..., H 1} zufällig und berechnet B = g b und c = m A b. Sein Schlüsseltext lautet (B, c). Alice kann nun durch c (B a ) 1 dechiffrieren: c (B a ) 1 = m A b ((g b ) a ) 1 = m (g a ) b ((g b ) a ) 1 = m Was die ursprüngliche Nachricht ergibt. 4 Elliptische Kurven 4.1 Ausblick elliptische Kurven Als elliptische Kurve wird die Menge aller Lösungen von einer Gleichung der Form Y 2 = X 3 + AX + B bezeichnet. Diese Gleichung wird auch Weierstraßsche Normalform genannt. Für A und B muss 4A B 2 0 gelten, da sonst die Kurve mehrfache Nullstellen hätte und manche der folgenden Aussagen nicht zutreffen würden. Punkte auf einer elliptischen Kurve werden als Paare (X 1, Y 1 ) gesehen. Definiert man ein neutrales Element O mit der Eigenschaft P + O = O + P = P und setzt man für einen von O verschiedenen Punkt P = (x, y) die Regeln P = (x, y) und P + ( P ) = O, so kann man folgende wohldefinierte Addition beschreiben: Seien P 1 = (x 1, y 1 ),P 2 = (x 2, y 2 ) Punkte einer elliptischen Kurve, die beide von O verschieden sind, und für die P 1 P 2 gilt. Man berechnet P 1 + P 2 = (x 3, y 3 ) durch x 3 = λ 2 x 1 x 2 y 3 = λ(x 1 x 3 ) y 1, 5

6 wobei y 2 y 1 falls P 1 P 2 x 2 x 1 λ = 3x A falls P 1 = P 2 2y 1 Man kann zeigen, dass die Punkte einer elliptischen Kurve mit dieser Addition eine abelsche Gruppe bilden. Es ist auch möglich die Addition von Punkten einer Elliptischen Kurve rein geometrisch zu betrachten. Wollen wir auf diese Art zwei Punkte P und Q addieren, so gehen wir wie folgt vor: Gegeben sei eine elliptische Kurve E und darauf liegende Punkte P und Q. Als erstes werden die Punkte P und Q durch eine Gerade verbunden. Diese Gerade schneidet (mit einer Ausnahme auf die hier nicht weiter eingegangen wird) im endlichen ein weiteres mal die elliptische Kurve. Der erhaltene Schnittpunkt wird danach mithilfe einer vertikalen Gerade bezüglich der X-Achse gespiegelt, und man erhält den Punkt P + Q. Für diese Art der Addition gelten auch oben genannte Regeln. Leider stößt man aber bei der kryptographischen Anwendung elliptischer Kurven auf das Problem, die Grafik nicht über R, sondern über F p zu betrachten. Dies kann man nur mit fundiertem Wissen in algebraischer Geometrie bewerkstelligen. 4.2 ElGamal Grundlagen über elliptischen Kurven Wir betrachten elliptische Kurven auf endlichen Körpern F p. Dort können wir wieder wie zuvor elliptische Kurven definieren: E : Y 2 = X 3 + AX + B A, B F p, 4A B 2 0 Die Punktemenge ist nun die folgende: E(F p ) = {(x, y) : x, y F p, wobei y 2 = x 3 + Ax + b} {O} Schließlich ist der diskrete Logarithmus in E(F p ) recht analog zu Z/pZ zu betrachten. Seien P und Q Punkte in E(F p ). Das Problem des diskreten Logarithmus in elliptischen Kurven ist, eine natürliche Zahl n zu finden, so dass die Gleichung 6

7 erfüllt ist. Wir können also auch schreiben: Q = } P + P + {{... + P } = np n Additionen auf E n = log P Q Wie bereits erwähnt, müssen gewisse Kriterien gegeben sein, damit die Gruppe für El- Gamal geeignet ist. Eine davon ist die Effektivität des eigentlichen Verfahrens, was natürlich auch auf der Effektivität der Operationen der Gruppe beruht. Um n P auf E zu berechnen, wäre es vor allem für große n zu aufwendig, P, 2P, 3P,... einzeln zu berechnen. Es gibt aber den sogenannten Double-and-Add Algorithmus. Dabei werden für n 2 r r Verdoppelungen von P vorgenommen, und höchstens r Glieder zu n P aufsummiert. Dieser Algorithmus braucht also höchstens 2 log 2 n Schritte um n P zu berechnen, was auch bei sehr großen n vertretbar umgesetzt werden kann. Das zweite Kriterium für ElGamal ist die Schwierigkeit das Problem des diskreten Algorithmus zu lösen. Auch das ist in E(F p ) gegeben: Der sogenannte Pohlig-Hellman Algorithmus ist der schnellste bekannte Algorithmus, der das Problem lösen kann. Er benötigt O( p) Schritte. 4.3 ElGamal-Verfahren über elliptischen Kurven Das Verfahren selbst verläuft folgendermaßen: Alice und Bob einigen sich auf eine (außreichend große) Primzahl p, eine elliptische Kurve E über F p und auf einen Punkt P E(F p ). Alice wählt nun als Faktor ein n A N und berechnet damit Q A = n A P. Dabei ist n A der private key von Alice, Q A wird veröffentlicht. Der Text, den Bob verschlüsseln will, ist ein M E(F p ). Er wählt zufällig ein k N und berechnet C 1 = kp und C 2 = M + kq A Diese beiden Punkte (C 1, C 2 ) sendet Bob an Alice, und diese kann jetzt mit ihrem geheimen Schlüssel und C 2 n A C 1 den ursprünglichen Text berechnen: C 2 n A C 1 = (M + kq A ) n A (kp ) = M + k(n A P ) n A (kp ) = M Hier das ElGamal-Verfahren über elliptischen Kurven in einer Übersicht: 7

8 Alice Bob Schlüsselerzeugung Beide einigen sich auf große Primzahl p, eine elliptische Kurve E über F p und auf einen Punkt P E(F p ). Wählt einen Faktor n A N und berechnet Q A = n A P. Q A wird veröffentlicht. Verschlüsselung Will ein M E(F p ) verschlüsseln. Wählt zufällig k N und berechnet C 1 = kp, C 2 = M + kq A. (C 1, C 2 ) ist Schlüsseltext. Entschlüsselung Berechnet durch C 2 n A C 1 = M den Klartext. 4.4 Beispiel Gegeben sei die elliptische Kurve E(Z 11 ) : Y 2 = X 3 + 3X + 9. Diese elliptische Kurve hat folgende Punkte: X Y 2 Y 1, Y 2 Punkte 0 9 3,8 (0,3), (0,8) 2 1 1,10 (2,1), (2,10) 3 1 1,10 (3,1), (3,10) 6 1 1,10 (6,1), (6,10) ,7 (10,4), (10,7) Wir erhalten für X = 1, 4, 5, 7, 8, 9 keine Punkte, da die zugehörigen Y 2 in Z 11 keine Quadratzahl ist. Der Punkt auf den sich Alice und Bob einigen sei P = (2, 1). Alice wählt nun den Faktor n A = 7, un berechnet Q A = 7(2, 1) = (3, 10). Diesen Punkt veröffentlicht sie. Bob möchte seine Nachricht M = (10, 4) vercshlüsseln. Er wählt dafür zufällig die Zahl k = 3 und berechnet kp = 2 (2, 1) = (10, 7) M + kq A = (10, 4) + 3 (3, 10) = (10, 4) + (2, 10) = (3, 10) Der Schlüsseltext den Bob an Alice sendet ist ((10, 7), (3, 10)) Alice kann nun die verschlüsselte Nachricht wie folgt berechnen: C 2 n A C 1 = (3, 10) t (10, 7) = (3, 10) (2, 10) = (10, 4) = M 8

9 4.5 Vorteile Wie schon erwähnt besteht ein ganz offensichtlicher Vorteil in der Möglichkeit, dass ein schneller Algorithmus zum Lösen des Problems des diskreten Logarithmus in Z/pZ gefunden werden könnte. Doch nicht nur dafür ist die sogenannte EC-Cryptography (EC = Elliptic Curves) gut. Auch als alternative zu RSA-basierten Verfahren ist sie sehr wichtig. Auch hier gilt: Niemand kann die Sicherheit von RSA garantieren. Doch EC-Cryptography ist mehr als nur eine gute Alternative. Zwar ist die modulare Arithmetik auf elliptischen Kurven aufwendiger als die in primen Restklassengruppen, was aber durch eine geringere Länge der verwendeten Zahlen kompensiert wird. Während RSA-Verfahren modulare Arithmetik mit 1024-Bit-Zahlen verwenden, reichen in der EC-Cryptography bereits 160-Bit-Zahlen. So werden aufgrund der kürzeren Schlüssellänge die EC-Cryptography-Verfahren besonders für den Einsatz von SmartCards verwendet. Die Schlüssel des ElGamal-Verfahrens können auf Vorrat berechnet und abgespeichert werden. Die reine Verschlüsselung von Daten kann so sehr effizient durchgeführt werden. Je nach Implementierung besteht der Klartext aus zweibis viermal mehr Bits als die urspürngliche Nachricht. Da aber keine effizienten Angriffe auf EC-Cryptography-Verfahren bekannt sind, ist der erhöhte Datentransfer aufgrund der Sicherheit durchaus akkzeptabel Das US National Institute for Standards and Technology hat vorhergesagt, dass die 1024-Bit- Zahlen, die auch von Diffie-Hellman-Verfahren verwendet werden, höchstens bis ins Jahr 2010 ausreichende Sicherheit versprechen. Danach, so das NIST, kann man entweder die Sicherheit durch Vergrößerung der Schlüssel erreichen oder durch Umstieg auf auf EC-Cryptography. Literatur [1] Johannes Buchmann, Einführung in die Kryptographie, Springer, 2003 [2] Richard Mollin, An Introduction to Cryptography, Chapman & Hall/CRC, 2006 [3] A. Menezes et al., Handbook of Applied Cryptography, CRC-Press, 1996 [4] A. Beutelspacher, J. Schwenk, K. Wolfenstetter, Moderene Verfahren der Kryptographie Vieweg