6 asymmetrische Verfahren. Public Key Kryptosysteme, RSA, ElGamal

Transkript

1 6 asymmetrische Verfahren Public Key Kryptosysteme, RSA, ElGamal

2 Asymmetrische Verfahren Der Empfänger hat einen geheimen Schlüssel dessen Gegenstück (Schnappschloss) öffentlich zugänglich ist. Sender Empfänger Legt die Nachricht in den Tresor und schließt die Tür Schließt den Tresor auf und entnimmt die Nachricht Problem: Wie kann garantiert werden, daß ein Angreifer aus der öffentlichen Verschlüsselungsfunktion nicht auf die geheime Entschlüsselung schließen kann? 5 - S 2

3 asymmetrische Kommunikation Alice möchte mit Bob gesichert kommunizieren Alice fordert von Bob seinen öffentlichen Schlüssel an Bob sendet seinen öffentlichen Schlüssel C B,der private Schlüssel D B bleibt Bob s Geheimnis. Alice chiffriert ihre Nachricht N für Bob mit dessen öffentlichen Schlüssel C B und sendet das Chiffrat C B (N) an Bob. Bob kann nun die Nachricht mit seinem privaten Schlüssel entziffern N = D B (C B (N)) Schlüsselanforderung N C B N = D B (C B (N)) C B (N) Vorsicht: Alice muß sicher sein, Daß der Schlüssel wirklich Bobs Schlüssel ist! (man in the middle attack) 5 - S 3

4 Mann in der Mitte Diese Kommunikation kann Mallory unterlaufen, wenn er die Nachrichten abfängt und verändert weiterleitet : Schlüsselanfrage (von Mallory abgehört) C M weitergeleitet C M (N) abgefangen C B abgefangen C B (N ) weitergeleitet Berechnet N=D M (C M (N)) und C B (N ) entziffert das gefälschte N = D B (C B (N ) Da Alice glaubt, den Schlüssel von Bob zu haben, und Bob die korrekt verschlüsselte Nachricht erhält, können beide nicht ahnen, daß Mallory ihre Nachrichten mithört oder gar fälscht. 5 - S 4

5 Veröffentlichung Grundsätzlich kann man auch durch Veröffentlichung die Sicherheit eines öffentlichen Schlüssels erreichen Das Medium, in dem die Veröffentlichung steht, muß einen amtlichen Charakter haben (Öffentlichkeit). Ein Angreifer darf nicht in der Lage sein, ein öffentlich wirkendes Dokument zu erstellen, das einen gefälschten öffentlichen Schlüssel enthält (Fälschungssicherheit). Der öffentliche Schlüssel muß untrennbar mit dem Namen des Eigentümers verbunden sein (Zugehörigkeit). Die Korrektheit des Schlüssels muß jederzeit überprüfbar sein (Verifikation). 5 - S 5

6 beglaubigte Schlüssel Unabhängig vom verwendeten asymmetrischen Verfahren ist eine gravierende Schwachstelle asymmetrischer Verfahren die Authentizität der öffentlichen Schlüssel. Ein Lösungsansatz liegt in der Beglaubigung von Schlüsseln. Dazu gibt es im Internet zwei Ansätze: PEM (privacy enhanced mail) Es gibt einen zentralen Zertifizierungsrechner (CCA: central certification authority), der seinerseits weitere Rechner als Zertifizierungsrechner beglaubigt (u.s.w.) und jeder dieser Rechner kann Beglaubigungen für Schlüssel ausstellen und auf Anfrage die Schlüssel verifizieren und auch seine eigene Zertifizierungsberechtigung verifizieren lassen. PGP (pretty good privacy) Jeder Anwender kann jedem, dem er vertraut seinen Schlüssel beglaubigen. Wer einen Schlüssel verifizieren möchte, der muß die Beglaubigungskette (-baum) soweit zurückverfolgen, bis er auf die Beglaubigung eines Benutzers stößt, dem er vertraut (web of trust). 5 - S 6

7 Sicherheitsaspekte Bei einem asymmetrischen Verfahren liegen schlüsselabhängige Funktionen E,D (meist E=D )und zwei Schlüssel S (öffentlich) und T (privat) vor. Es wird codiert mit E(S,_) und decodiert mit D(T,_). Die Mindestanforderungen an die Durchführbarkeit und Sicherheit sind: E(S,_) und D(T,_) sind zueinander invers, d.h. D(T,E(S,X)) = X T decodiert mit S verschlüsselte Nachrichten X Die Funktionen E und D müssen leicht berechenbar sein. Aus der Kenntnis von E,D und des öffentlichen Schlüssels S darf ein potentieller Angreifer nicht auf eine Umkehrfunktion von E(S,_) und erst recht nicht auf den privaten Schlüssel T schließen können. d.h. die Berechnung der Umkehrfunktion und des geheimen Schlüssels muß so aufwendig sein, daß eine Bewältigung nicht in akzeptabler Zeit möglich ist. 5 - S 7

8 Zeit-Risiken Asymmetrische Verfahren basieren auf der Schwierigkeit, ein mathematisches Verfahren umzukehren und damit den privaten Schlüssel aus dem öffentlichen Schlüssel zu errechnen. Wie kann sichergestellt werden, daß auch in Zukunft durch schnellere Rechner und bessere Verfahren der private Schlüssel nicht kompromittiert werden kann? (Die Veröffentlichung kann ja nicht ungeschehen gemacht werden.) Im Gegensatz zu symmetrischen Verfahren werden asymmetrische Schlüssel wiederverwendet und verlieren ihre Gültigkeit nicht (Generalschlüssel). Asymmetrische Verfahren werden oft für Signaturen (lange Zeit gültig!) verwendet, die nach einer (evtl. nicht bekannten) Kompromittierung nichts mehr wert sind, da sie dann jeder fälschen kann. Auch bei asymmetrischen Schlüsseln sollte deshalb über eine begrenzte Gültigkeitsdauer nachgedacht werden. 5 - S 8

9 eine Einwegfunktion ist eine leicht zu errechnende Funktion F, die es nicht erlaubt, aus einem Ergebnis F(x) das Urbild x zurückzuberechnen. Einweg-Funktionen für ein Verschlüsselungssystem C muß für jeden Klartext k die Funktion F, die jedem Schlüssel S den Code C(S,k) zuordnet eine Einwegfunkltion sein, damit auch aus einer known plaintext Attacke der Schlüssel nicht ermittelt werden kann. Problem: Einbahnstrasse Gibt es überhaupt Einwegfunktionen? Was bedeutet dabei nicht berechenbar? 5 - S 9

10 schwierige Probleme diskreter Logarithmus (Umkehrung der Potenz zu fester Basis g): log g (y) =x y= g x mod n. Nur bekannt für Primzahlen n, für die (n-1)/2 nicht prim ist. diskrete Wurzel (Umkehrung der Potenz mit festem Exponent d): root d (y) = log y (d) =x y= x d mod n. Nur leicht, wenn man die Primzahlzerlegung von n kennt. Faktorzerlegung: Finde einen nichttrivialen Faktor k einer natürlichen Zahl n : 1 k n und k n (d.h. n = k*m für geeignetes m). Rucksack-Problem: Gegeben seien Zahlen a 0,...,a n (Gewichte von n Gegenständen): Zu einer Summe s (Gewicht des Rucksacks) wird eine n+1-stellige 0-1- Folge b 0,...,b n mit s = b 0 a b n a n gesucht (Inhalt des Rucksacks). 5 - S 10

11 der diskrete Logarithmus Der diskrete Logarithmus (log g (y) =x y= g x mod n) ist praktisch unberechenbar, d.h. es ist kein Verfahren für die Berechnung bekannt, das besser ist als Raten (brute force), Für Primzahlen n gibt es ein effektives Verfahren, wenn (n-1)/2 nicht auch prim ist. F(x) := g x mod n ist für nicht primes n ab 100 Dezimalstellen eine Einwegfunktion. Beispiel: 7 x mod S 11

12 Zahlen als Klartext In den folgenden asymmetrischen Verfahren werden die zu verschlüsselnden Blöcke als Zahlen modulo n angesehen. n sei eine N+1-Bit vorzeichenlose Zahl ( z.b. N=1024), dann kommen als Klartexte alle N-Bit-Folgen in Frage, die wir nach Vorstellen des Bits 0 als N+1-Bit-Binärzahl <n interpretieren können. Die Codierung erfolgt über eine algebraische Berechnung modulo n, liefert also eine N+1-Bit-Folge als Chiffreblock. Die Decodierung erfolgt wieder durch eine algebraische Berechnung modulo n und liefert ebenfalls eine N+1-Bit- Folge, die aber mit einer 0 beginnen muß. Der N-Bit-Klartextblock entsteht durch Streichen der führenden S 12

13 RSA-Verfahren Öffentlich: natürliche Zahlen n,e, e<n, n nicht prim Privat: natürliche Zahl d<n mit e*d 1 mod ϕ(n) d.h. für alle x<n gilt (x e ) d x mod n Codierung: E(x) := x e mod n Decodierung: D(y) := y d mod n Die kryptographische Stärke hängt ab von der Schwierigkeit, diskrete Wurzeln zu berechnen, wenn n nicht prim ist der Unkenntnis von ϕ(n) (Anzahl der zu n teilerfremden Zahlen k<n) der Schwierigkeit n zu faktorisieren Um die Faktorisierung schwer zu machen ist es besser nur 2 Faktoren zu haben (n=p*q) die beide sehr groß sind (z.b. 100-stellige Primzahlen, n ist dann 200-stellig) Achtung: hoher Rechenaufwand! 5 - S 13

14 Euklidischer Algorithmus Der ggt (größte gemeinsame Teiler) zweier natürlicher Zahlen a,b ist die größte Zahl g>0, die a und b (ohne Rest) teilt. WHILE b>0 DO BEGIN r:=a MOD b; a:=b; b:=r END; endet mit a -> ggt(a,b) und b -> 0, weil a und b dieselben gemeinsamen Teiler haben wie b und a MOD b. ggt(a,b) ist eine Linearkombination x * a+y * b von a,b die man mit einer Erweiterung des Euklidischen Algorithmus bestimmen kann: x:=1; y:=0; u:=0; v:=1; {Initialisierung} WHILE b>0 DO BEGIN q := a DIV b; r:=a-q*b; {d.h. r = a MOD b} s:=x-q*u; t:=y-q*v; a:=b; x:=u; y:=v; b:=r; u:=s; v:=t END; endet mit b=0, a -> ggt(a,b) und ggt(a,b) = x * a Anfang +y * b Anfang. q Variablen: a x y b u v r s t 5 - S 14

15 Satz von Euler: Kleiner Satz von Fermat: b p b mod p falls p prim ist Ist n keine Primzahl, so heißt die Anzahl ϕ(n) der zu n teilerfremden Zahlen k<n die Eulersche Zahl von n. Satz von Euler: Sind n,m teilerfremd, so folgt m ϕ(n) 1 mod p ϕ(1)=1, ϕ(2)=1, ϕ(3)=2, ϕ(4)=2, ϕ(5)=4, ϕ(6)=2,.., ϕ(10)=4,.. Sind p,q verschiedene Primzahlen, dann ist ϕ(pq)=(p-1)(q-1) denn es gibt pq Zahlen <pq, davon sind q Zahlen Vielfache von p {0,p,2p,...,(q-1)p} und p Zahlen Vielfache von q {0,q,2q,...,(p-1)q}, wobei die 0 zweimal gezählt wurde, d.h. pq-p-q+1 = (p-1)(q-1) Zahlen sind zu pq teilerfremd. 5 - S 15

16 Korrektheit des RSA Der Decodierer berechnet N d * e mod n, um N zu erhalten. n=p*q, p,q prim, ϕ(n)=(p-1)(q-1) Wegen d*e 1 mod ϕ(n) ist N d * e N mod n (d.h. N d * e -N 0 mod n) zumindest wenn N teilerfremd ist zu n (Satz von Euler). Was ist mit den anderen Nachrichten? Ist p ein Teiler von N und n, so auch von N d * e und damit gilt N d * e -N 0 mod p. Nun kann aber nicht auch noch q (n=p*q) ein Teiler von N sein, da sonst N<n verletzt wäre, also folgt aus dem Satz von Euler N p-1 1 mod q N d * e N 1+(p-1)*(q-1)*k N*N (p-1)*(q-1)*k N mod q also N d * e -N 0 mod q p und q teilen also N d * e - N, daher bleibt nur N d * e N mod N 5 - S 16

17 Stärke des RSA Kann man den geheimen Schlüssel berechnen? Kann man ohne den geheimen Schlüssel decodieren? Wegen p*q =n und (p-1)(q-1)=ϕ(n) kann man aus der Faktorisierung von n das ϕ(n) berechnen: ist p und q bekannt so erhält man ϕ(n)=(p-1)(q-1) und umgekehrt, ist n und ϕ(n) bekannt, so berechnet man p und q aus den beiden Bestimmungsgleichungen p*q =n und p+q=n-ϕ(n)+1 d.h. die beiden Probleme Faktorisierung von n und Bestimmung von ϕ(n) sind gleich schwer. Ein ernstzunehmender Angriff auf RSA wäre nur ein guter Faktorisierungsalgorithmus. 5 - S 17

18 Gleiche Primzahl in verschiedenen Moduln: Risiken des RSA Wenn zufällig in verschiedenen Moduln dieselbe Primzahl verwendet wurde, kann mit dem ggt die Faktorisierung berechnet werden! (sehr unwahrscheinlich) Ausgewählter Geheimtext: Ein Protokoll, das verlangt, fremden Text zu decodieren und das Ergebnis bekannt zu machen kompromittiert die RSA-Verschlüsselung! Kleine Werte von d oder e Wenn mehrere Nutzer denselben öffentlichen Schlüssel e (mit verschiedenen Moduln n) verwenden, so genügt es wenn e Nutzer dieselbe Nachricht N verschlüsseln, um die Nachricht N zu bestimmen. Kleine Werte von d können geraten (probiert) werden. gemeinsame Moduln Wenn mehrere Nutzer denselben Modul n benutzen gibt es erfolgreiche Angriffe auf die Faktorisierung von n. 5 - S 18

19 Klartext-Angriff auf RSA Mallory kennt Bobs öffentlichen Schlüssel (e,n) und hört eine verschlüsselte Nachricht c=m e mod n mit. Er wählt sich eine zufällige Zahl r<n,die zu n teilerfremd ist. Er verschlüsselt sie mit Bobs Schlüssel und multipliziert das Ergebnis mit dem Chiffretext: a = c*r e mod n. Kann er nun Bob veranlassen a zu decodieren und ihm das Resultat a d mod n mitzuteilen (etwa durch ein Signaturprotokoll), so kann Mallory die Nachricht m zurückberechnen, denn a d (c*r e ) d c d *r ed m ed *r m*r mod n also m = r *a d mod n mit r*r =1 mod n. (r soll nur Bob daran hindern, den Klartext m wiederzuerkennen) Entschlüssele öffentlich ausschließlich bekannte Texte. 5 - S 19

20 große Primzahlen? b n b (mod n) falls n prim ist Ist das ein guter Primzahltest? Ist b n b (mod n) für ein b nicht erfüllt, so kann n nicht prim sein. Ist b n b (mod n) für ein b erfüllt, so heißt n pseudoprim zur Basis b. Ist b n b (mod n) für alle b, so kann n trotzdem zusammengesetzt sein. Man nennt solche Ausnahmezahlen pseudoprim oder Charmichael-Zahlen. Beispiel: 561 = 3*11*17 ϕ(561) = 2*10*16, kgv(2,10,16) = daher gilt für alle b stets b 561 b (mod 561).Es gibt genau Primzahlen < , aber es gibt nur pseudoprime Zahlen zur Basis b=2 und darunter nur sehr wenige Charmichael Zahlen. 5 - S 20

21 Hybride Verfahren Wegen des hohen Rechenaufwandes werden asymmetrische Verfahren nur für sehr kurze Nachrichten verwendet, z.b. zur sicheren Übertragung eines Sitzungsschlüssels für ein symmetrisches Verfahren C. Alice erzeugt einen zufälligen Sitzungsschlüssel S und verschlüsselt ihn mit dem öffentlichen Schlüssel S B von Bob zu s=e(s B,S). Sie verschlüsselt ihre Nachricht K mit dem Sitzungsschlüssel zu k=c(s,k)und sendet die beiden Chiffrate s,k an Bob. Bob dechiffriert den Sitzungsschlüssel S=D(T B,s) mit seinem privaten Schlüssel T B und kann dann die Nachricht K=C -1 (S,k) dechiffrieren. 5 - S 21

22 Diffie-Hellman Ein Verfahren zur Schlüsselvereinbarung stammt von Diffie & Hellman: Beide Teilnehmer A,B verwenden dieselbe Primzahl p und dieselbe Basis g<p. A B wählt eine Zahl a<p wählt eine Zahl b<p berechnet α=g a mod p berechnet β=g b mod p übermittelt α an B berechnet S = β a mod p übermittelt β an A berechnet S = α b mod p der gemeinsame Schlüssel ist S = g a*b mod p A und B verwenden nun ein vorher vereinbartes symmetrisches Verfahren C mit dem Schlüssel S 5 - S 22

23 El Gamal Verfahren Die Idee von Diffie&Hellman kann man auch verwenden, um ein Public Key System zu schaffen. Wieder wird eine Primzahl p und eine Basis g<n gebraucht, die öffentlich sind. Jeder Teilnehmer T wählt eine geheime Zahl t und berechnet dazu seinen öffentlichen Schlüssel τ=g t mod p. Will A eine Nachricht K an T schicken, so wählt er eine zufällige Zahl a<p als "halben Schlüssel Berechnet α=g a mod p und den Sitzungsschlüssel S:= τ a mod p Codiert die Nachricht mit c=c(s,k) mit einem symmetrischen Verfahren C Überträgt α und c an T T kann mit seinem geheimen t die Nachricht entschlüsseln: Berechne S = α t mod p und K = C -1 (S,c). 5 - S 23

24 Dieses Verfahren nutzt das Rucksack-Problem aus. Hellman-Merkle Grundidee: Jeder Nutzer wählt sich Gewichte a 0,...,a n mit denen er einen n+1-bit-block b 0,...,b n zur Summe s=b 0 a b n a n codiert. Problem 1: Auch er selbst kann aus s allein die Bitfolge nicht zurückberechnen. Lösung: superincreasing a 0,...,a n, d.h. a i >a a i-1. Problem 2: Aus einer superincreasing Gewichtsfolge kann jeder die Bitfolge zurückberechnen. Lösung: Wähle einen geheimen Modul N>a a n und einen geheimen Faktor k, der zu N teilerfremd ist und veröffentliche c 0,...,c n mit c i =k * a i mod N. Zum Decodieren berechnen wir ein k mit k * k =1 mod N und können nun statt s=b 0 c b n c n einfach k * s=b 0 a b n a n mod N mit der superincreasing Gewichtsfolge decodieren. 5 - S 24

25 Brechen von M-H Leider läßt sich das Merkle-Hellmann-Verfahren leicht brechen. Es ist schwer, den korrekten Modul N und Faktor k zu erraten und damit die geheime superincreasing Folge a 0,...,a n zu berechnen. Zu jeder superincreasing Gewichtsfolge gibt es aber sehr viele Modul-Faktor-Paare, die ebenfalls zu superincreasing Folgen führen. Ein Angreifer hat deshalb eine gute Chance, einen Modul N und einen Faktor k zu erraten, für den k * c 0 mod N,...,k * c n mod N superincreasing ist (wenn auch von a 0,...,a n verschieden). Mit dieser Folge kann k * s aber genauso gut decodiert werden und liefert den Klartext zurück. 5 - S 25

26 Fazit Asymmetrische Verfahren sind in der Regel wesentlich rechenintensiver als symmetrische Verfahren (mindestens Faktor 1000) Die Sicherheit der Verfahren RSA und ElGamal ist sehr gut untersucht und kann als ausgezeichnet gelten. Wegen der langen Gültigkeitsdauer und mehrmaligen Verwendung asymmetrischer Schlüssel ist eine mögliche Kompromittierung mit ungleich viel höherem Schaden verbunden als bei einem symmetrischen Verfahren. Eine ernsthafte Langzeitgefahr könnte die Entwicklung effektiver Verfahren zur Faktorisierung oder zur diskreten Logarithmierung sein. 5 - S 26

27 Signaturen Symmetrische Verfahren eignen sich zur Erzwingung der Integrität einer Nachricht, wenn die Partner sich vorher auf einen geheimen Schlüssel geeinigt haben. Mit Asymmetrischen Verfahren kann man die Integrität (Urheberschaft) einer Nachricht auch für Teilnehmer garantieren, die den Autor nicht kennen. Man spricht dann von einer Signatur Bei einer Signatur handelt es sich meist um einen MAC, der mit dem geheimen Schlüssel des Autors verschlüsselt ist und den jeder mit dem öffentlichen Schlüssel des Autors nachprüfen kann. In dieser Situation braucht der MAC nicht einmal Schlüsselabhängig zu sein. 5 - S 27