Attacken auf RSA und Das Rabin Kryptosystem

Transkript

1 Attacken auf RSA und Das Rabin Kryptosystem Institut für Informatik Universität Potsdam 4. Januar 2005

2 Überblick Wiederholung: RSA Das RSA Kryptosystem Attacken auf RSA RSA-FACTOR Wieners Algorithmus Das Rabin Kryptosystem Definition und Eigenschaften Sicherheit von Rabin Semantische Sicherheit von RSA

3 Das RSA Kryptosystem RSA - Kryptosystem Seien p, q Primzahlen und n = pq. Definiere K = (n, p, q, a, b) mit a = b 1 (mod φ(n)) d.h. a b 1 (mod φ(n)) Eulersche φ - Funktion φ(n) = (p 1)(q 1)

4 Das RSA Kryptosystem RSA - Verschlüsselung Für x, y Z n definiere Verschlüsselungsfunktion e k (x) = x b mod n Entschlüsselungsfunktion d k (y) = y a mod n Öffentlicher Schlüssel: Privater Schlüssel: (n, b) (p, q, a)

5 Das RSA Kryptosystem Brute - Force - Angriff Brute - Force - Angriff: Finde Zerlegung von n in p und q (Derzeit) Schwierig!

6 RSA-FACTOR Bekannter Entschlüsselungsexponent Wenn der Entschlüsselungsexponent a bekannt ist, kann n in polynomieller Zeit faktorisiert werden. Konsequenz: Nicht nur b, sondern auch n ist wertlos!

7 RSA-FACTOR Quadratwurzeln 1 mod n Für n = pq mit Primzahlen p, q gibt es 4 Quadratwurzeln der Form x 2 1 (mod n) triviale Quadratwurzeln ±1 mod n 2 nichttriviale Quadratwurzeln Bestimmbar durch Lösen des Systems x 1 1 (mod p) x 2 1 (mod p) x 1 1 (mod q) x 2 1 (mod q) mittels Chinesischem Restsatz

8 RSA-FACTOR Faktorisierung von n Mit Hilfe einer nichttrivialen Quadratwurzel x mit lässt sich n faktorisieren: x 2 1 (mod n) gcd(x + 1, n) = p gcd(x 1, n) = q

9 RSA-FACTOR Algorithmus RSA-FACTOR(n, a, b) Bestimme eine Zufallszahl w < n Wenn x = gcd(w, n) > 1 ist x Faktor von n, fertig. Zerlege ab 1 ab 1 = 2 s r Berechne sukzessive die Quadrate w r, w 2r, w 4r,... bis w 2tr 1 (mod n) Da w ab 1 = w 2sr 1 (mod n) terminiert die Schleife immer. Ist die gefundene Quadratwurzel nichttrivial, faktorisiere n. Ansonsten Fehlschlag.

10 RSA-FACTOR Komplexität von RSA-FACTOR Erfolg des Algorithmus hängt von Zufall ab (Las Vegas - Algorithmus) Erfolgswahrscheinlichkeit von RSA-FACTOR ist mindestens 1/2 Erfolgswahrscheinlichkeit nach m Durchläufen 1 ( ) 1 m 2

11 Wieners Algorithmus Wieners Low Decryption Exponent Attack Der Entschlüsselungsexponent a lässt sich berechnen, wenn erfüllt ist. 3a < 4 n und q < p < 2q

12 Wieners Algorithmus Vorüberlegungen Da ab 1 (mod φ(n)), gibt es einen Integer t mit ab tφ(n) = 1 Durch einige Umformungen und Abschätzungen folgt daraus b n t a < 1 3a 2

13 Wieners Algorithmus Kettenbrüche Ein (endlicher) Kettenbruch ist ein m-tupel als Abkürzung für den Ausdruck q 1 + [q 1,..., q m ] q q q m

14 Wieners Algorithmus Kettenbruchexpansion Alle gekürzten rationalen Zahlen a b lassen sich eindeutig als Kettenbruch darstellen (Kettenbruchexpansion). a b = [q 1,..., q m ] Die Kettenbruchexpansion kann aus dem Euklidischen Algorithmus gewonnen werden. Für j mit 1 j m ist C j = [q 1,..., q j ] der j-te Konvergent von [q 1,..., q m ].

15 Wieners Algorithmus Satz Wenn gcd(a, b) = gcd(c, d) = 1 und a b c < 1 d 2d 2 gilt, ist c d einer der Konvergenten von a b.

16 Wieners Algorithmus Anwendung auf RSA Berechne die Konvergenten c j d j von b n Finde den richtigen Konvergenten: Für alle j Berechne φ j = (d j b 1)/c j Wenn c j /d j der richtige Konvergent ist, ist φ j = φ(n). Versuche, n zu faktorisieren: φ(n) = (p 1)(q 1) Substituiere q = n/p, berechne p 0 = p 2 (n φ(n) + 1)p + n Wenn keiner der Konvergenten n auf diese Weise faktorisiert, war die Anfangsbedingung nicht erfüllt

17 Definition und Eigenschaften Das Rabin Kryptosystem Sei n = pq mit Primzahlen p, q und p, q 3 (mod 4). K = (n, p, q) Verschlüsselungsfunktion: e K (x) = x 2 mod n Entschlüsselungsfunktion: d K (y) = y mod n für x, y Z n. Öffentlicher Schlüssel ist n, privater Schlüssel (p, q).

18 Definition und Eigenschaften Eigenschaften Verschlüsselung ist nicht injektiv, y mod n hat 4 Lösungen Beweisbar sicher gegen chosen plaintext Angriffe, wenn das Faktorisierungsproblem schwierig ist. Unsicher gegen chosen ciphertext Angriffe

19 Sicherheit von Rabin Polynomielle Problemreduktion Ein Problem G ist polynomiell reduzierbar auf ein Problem H, wenn eine Lösung von G in polynomieller Zeit aus einer Lösung von H gewonnen werden kann. G ist nicht schwieriger als H G p H H P G P

20 Sicherheit von Rabin Sicherheit von Rabins Kryptosystem Wenn Faktorisierung schwierig ist, ist Rabin sicher Zu zeigen: Faktorisierung ist nicht schwieriger als Rabin entschlüsseln FACTOR p RABIN DECRYPT Finde Algorithmus, der FACTOR mithilfe von RABIN DECRYPT löst

21 Sicherheit von Rabin Faktorisierungsalgorithmus Bestimme Zufallszahl r Z n Berechne x = RABIN DECRYPT(r 2 mod n) Wenn x ±r (mod n) Fehlschlag (triviale Quadratwurzel) Sonst faktorisiere n: p = gcd(x + r, n) q = n/p Der Algorithmus faktorisiert n mit einer Erfolgswahrscheinlichkeit von 1/2.

22 Semantische Sicherheit Totale Entschlüsselung Ein Angreifer erhält den geheimen Schlüssel und kann jeden Schlüsseltext entschlüsseln Partielle Entschlüsselung Einem Angreifer gelingt es, aus dem Schlüsseltext spezifische Informationen über den Klartext zu erhalten Unterscheidbarkeit von Schlüsseltexten Ein Angreifer ist in der Lage, Schlüsseltexte gegeben Klartexten zuzuordnen Semantische Sicherheit Ein Kryptosystem ist semantisch sicher, wenn es immun gegen Unterscheidbarkeit von Schlüsseltexten ist.

23 Einige Varianten partieller Entschlüsselung Parity Berechne parity(y) für gegebenes y = e K (x), wobei parity(y) = 0 falls x gerade und parity(y) = 1 falls x ungerade Half Berechne half(y) für gegebenes y = e K (x), wobei half(y) = 0 falls 0 x < n/2 und half(y) = 1 falls n/2 < x n 1

24 Sicherheit von RSA gegen half(y) RSA gibt keine Informationen zur effizienten Berechnung von half(y) preis, wenn die Verschlüsselung insgesamt sicher ist Beweis über Problemreduktion von RSA-Entschlüsselung auf Berechnung von half(y) RSA DECRYPT p HALF(y) D.h. Berechnung von half(y) ist nicht einfacher als totale Entschlüsselung