Literatur. [8-9] ISM WS 2018/19 Teil 8/Asymmetrische Verschlüsselung

Transkript

1 Literatur [8-1] Beutelspacher, A.; Schwenk, J.; Wolfenstetter, K.-D.: Moderne Verfahren der Kryptographie. 4. Auflage, Vieweg 2001 [8-2] Schmeh, Klaus: Kryptografie. dpunkt, 6. Auflage, 2017 [8-3] Schneier, Bruce: Angewandte Kryptographie. Addison-Wesley [8-4] Freiermuth, Karin; Hromkovic, Juraj; Keller, Lucia; Steffen, Björn: Einführung in die Kryptologie. Vieweg+Teubner, 2010 [8-5] Buchmann, Johannes: Einführung in die Kryptographie. 5. Auflage, Springer, 2010 [8-6] Burnett, Steve; Paine, Stephen: Kryptographie. RSA Security s Official Guide. RSA Press, mitp, 2001 [8-7] Diffie-Hellman Key Agreement Method [8-8] [8-9] 2

2 Übersicht Ein bisschen Mathematik Diffie-Hellman-Verfahren RSA-Verfahren 3 Euler'sche Φ-Funktion a und b sind teilerfremd, wenn sie außer 1 keinen gemeinsamen Teiler haben, d.h. ggt(a,b)=1 Beispiel: 21=3*7 und 40=2*2*2*5 sind teilerfremd. Euler'sche Φ-Funktion Φ(n) ist die Anzahl der positiven ganzen Zahlen, die kleiner als n und zu n teilerfremd sind, also einschließlich 1. Beispiele: Φ(4)= 2, da alle Elemente aus {1,3} teilerfremd zu 4 sind Φ(6)= 2, da alle Elemente aus {1,5} teilerfremd zu 6 sind Φ(7)= 6, da {1,2,3,4,5,6} teilerfremd zu 7 (Primzahl) Für alle Primzahlen p gilt: Φ(p)= p-1 Für alle Primzahlen p und q gilt: Φ(p*q)= Φ(p)*Φ(q) mit ggt(p,q)=1 4

3 Satz von Euler Wenn zwei positive Ganzzahlen a und m teilerfremd sind, also wenn ggt(a,m)=1, dann gilt: a Φ(m) 1 (mod m), mit a>0 und ggt(a,m)=1 Beispiel: m= 5,Φ(5)= 4 mit a=3 a 4 (mod 5) = 3 4 = 3*3*3*3 81 (mod 5) = 1 5 Kleiner Satz von Fermat noch einmal Ein Spezialfall vom Euler'schen Satz ist der kleine Satz von Fermat: a p-1 1 (mod p), mit a>0 und ggt(a,p)=1 Das bedeutet auch, dass p-1 auf den Exponenten beliebig oft addiert oder subtrahiert werden kann, ohne die Kongruenz zu ändern. Es kann aber auch modulo p-1 auf den Exponenten ohne Auswirkungen auf die Kongruenz angewendet werden (Berechnung von Modulo durch Subtraktion): a r a r mod p-1 (mod p), mit a>0 und ggt(a,p)=1 Dieser Satz bzw. die dadurch ausgedrückte Eigenschaft wird in der Kryptographie oft benutzt. 6

4 Diffie-Hellman-Schlüsselaustausch Entwickelt Witfield Diffie und Martin Hellman 1976: "New Directions in Cryptography" Verfahren zum Schlüsselaustausch Idee der Public-Key-Verfahren, jedoch kein Algorithmus Epoche machende Arbeit Aus: Bemerkungen In den 90er Jahren gab es Veröffentlichungen von der NSA, dass die Ideen von Diffie-Hellman sowie auch die späteren Public- Key-Verfahren im Rahmen des Echelon-Netzwerkes (NSA, Britische und Australische "Abhör"-Geheimdienste) schon in den 60er Jahren entwickelt und benutzt wurden. Diese Verfahren wurden jedoch geheim gehalten... Clifford Cocks vom GCHQ hat 1973 die Grundlagen dazu entdeckt, was bis 1997 geheim gehalten wurde. Nach: Siehe auch: 8

5 Das Verfahren I Vorbereitung: A und B einigen sich auf eine Primzahl p und eine natürliche Zahl g mit g<p. p und g sind öffentlich. 1) A wählt zufällig x mit x<p-1 2) A berechnet a g x mod p 3) A schickt a an B (öffentlich) 4) A erhält b von B (öffentlich) 5) A berechnet K 1 b x mod p 1) B wählt zufällig y mit y<p-1 2) B berechnet b g y mod p 3) B schickt b an A (öffentlich) 4) B erhält a von A (öffentlich) 5) B berechnet K 2 a y mod p K 1 = K 2 (!) 9 Das Verfahren II - Ein Beispiel Vorarbeiten: g=3 und p=7 (1) A wählt zufällig x=2 mit x<7 (2) B wählt zufällig y=5 mit y<7 (3) A berechnet a g x mod 7 -> a 3 2 mod 7 2 mod 7 (4) A schickt a=2 an B (A's öffentlicher Schlüssel) (5) B berechnet b g y mod 7 -> b 3 5 mod 7 5 mod 7 (6) B schickt b=5 an A (B's öffentlicher Schlüssel) (7) A berechnet K 1 b x mod 7 -> K mod 7 4 mod 7 (8) B berechnet K 2 a y mod 7 -> K mod 7 4 mod 7 K 1 = K 2 = 4 10

6 Sicherheit von Diffie-Hellman (DH) Bitlängen für g, x und y sind frei wählbar - je größer, desto besser; es gibt aber bei der Wahl der Werte einschränkende Regeln (siehe später). Vollständiges Durchprobieren ist nicht effektiv, da es schnellere Algorithmen zur Lösung des diskreten Logarithmus gibt: 512 bit sind viel zu klein 1024 bit sind na ja 2048 bit sind in Ordnung 3000 bit sind zu empfehlen Bisher ist kein Verfahren bekannt, das einen 2048 bit-schlüssel innerhalb eines Menschenlebens knacken konnte. DH ist aber für den Man-in-the-Middle-Angriff empfindlich, d.h. es muss eine Authentisierung zusätzlich durchgeführt werden. 11 Einschränkungen bei der Wahl von g I g wird auch Generator genannt. Eine Zahl ist dann ein Generator g, wenn ihre Potenzierungen jedes Element der Grundmenge außer der 0 ergeben. Für die Grundmenge G kann daher geschrieben werden: G\{0}= g ={g,g 2,g 3,g 4,...,g n-1 } g n-1 ist immer 1 (Kleiner Satz des Fermat), dann kann die Folge geschrieben werden: g,g 2,g 3,g 4,...,g n-1,g,g 2,g 3,g 4,...,g n-1,... Daher auch der Name Zyklische Gruppe. Das g beim Diffie-Hellman-Verfahren sollte ein Generator sein. Warum? Siehe

7 Einschränkungen bei der Wahl von g II Wenn g kein Generator ist, dann kann durch g x bzw. g y nur eine Teilmenge der Grundmenge beim Potenzieren "benutzt" werden, was dem Angreifer sein Werk erleichtert. Extremes Beispiel: g=1, dann berechnen Alice und Bob a=1 und b=1 unabhängig von ihren gewählten x- und y-werten. Das erneute Potenzieren der ausgetauschten Werte führt zu K 1 =K 2 =1 als einzig möglichen Wert. Wie lässt sich prüfen, ob eine Zahl ein Generator ist? Starke Primzahl = Eine Primzahl p ist dann stark, wenn die Zahl q= (p-1)/2 auch eine Primzahl ist. Satz: Für eine starke Primzahl p ist g ein Generator, wenn g 2 mod p<>1 und g q mod p<>1 mit q= (p-1)/2 gelten. Damit kann leicht eine Prüfroutine realisiert werden. 13 Einschränkungen bei der Wahl von x bzw. y Alice und Bob können nicht alle Werte von 0 bis p-1 wählen, denn für x = 0 bzw. 1 kommt kein Geheimnis heraus, was leicht einzusehen ist. Etwas komplexer ist der Grund dafür, dass auch p-1 für x und y nicht erlaubt sind. Also muss für x 1<x<p-1 gelten. 14

8 BSI-Empfehlungen - Diffie-Hellman p sollte mindestens 3000 bit lang sein. Die zufälligen Werte x und y sollten mind. 250 bit lang sein. Die Wahl von g sollte immer ein Generator sein bzw. der Zyklus mindestens lang sein, d.h. nach Potenzierungen wiederholen sich die generierten Elemente. Für die Primzahl p sollte auch gelten, dass die Zahl (p-1)/2 auch eine Primzahl ist, d.h. p sollte eine starke Primzahl sein. 15 RSA-Verfahren Entwickelt 1977 aufgrund der Veröffentlichung von Diffie-Hellman Erfinder: R. Rivest, A. Shamir, L. Adleman (RSA) Verfahren ist im PKCS#1 beschrieben. Siehe: Das RSA-Verfahren war bis zum Jahr 2000 patentiert. Die drei vor längerer Zeit am MIT Links: Shamir, Mitte: Rivest Rechts: Adleman 16

9 RSA-Algorithmus I p und q sind ungleiche ungerade positive Primzahlen n= p*q, dieses n wird RSA-Modul genannt e und d werden aus N so gewählt, dass e*d 1 (mod Φ(n)) ist. P aus N ist der Klartext, C aus N ist der Chiffretext: Verschlüsseln (1. Anwendung): C = P e MOD n Entschlüsseln (2. Anwendung): P = C d MOD n Öffentlicher Schlüssel ist K p ={e,n} Geheimer Schlüssel ist K s ={d,n} Schlüsselpaar ist {{e,n},{d,n}} 17 RSA-Algorithmus II - Korrektheit 1) Es wurden d und e gewählt, wobei gilt: d*e 1 (mod Φ(n)) also gilt auch: d*e k*φ(n)+1 und mit P als Plaintext 2) C P e (mod n) // 1. Anwendung mit e 3) P' C d (mod n) // 2. Anwendung mit d 4) P' P e*d (mod n) // C wird ersetzt durch P (Zeile 2) 5) P' P (k*φ(n)+1) (mod n) // wegen Zeile 1 6) P' P k*φ(n) *P (mod n) // +1 aus dem Index zum Faktor P 7) P' (P Φ(n) ) k *P (mod n) // Produkt der Potenz 8) P' (1) k *P (mod n) // Euler: a Φ(n) 1 (mod n) 9) P' P (mod n) // q.e.d.. da P'=P 18

10 Bedingungen P darf nicht 0 oder 1 oder n-1 sein, da dann keine Verschlüsselungen vorliegen. P darf nicht größer als n sein, weil dann der Plaintext nach der Entschlüsselung nicht eindeutig ist (Kongruenz durch Modulo). Welche Formate bzw. Verfahren angewendet werden regelt folgendes Dokument: PKCS#1 und RFC Siehe dazu auch 19 Schlüsselerzeugung (vereinfacht) 1) Wähle zwei zufällige ungleiche Primzahlen p, q 2)Berechne n=p*q und Φ(n)= Φ(p)*Φ(q)= (p-1)*(q-1) 3) Wähle ein e und berechne ggt(e,φ(n)), falls dies ungleich 1 ist, dann wähle ein neues e (oder neues n) 4)Berechne d mit (d*e) mod Φ(n)=1 bzw. d*e 1 (mod Φ(n)) 5) Öffentlicher Schlüssel ist {e,n} 6) Geheimer Schlüssel ist {d,n} e sollte nicht zu klein gewählt werden, üblich ist der Bereich zwischen = und Die Sicherheit beruht auf der aufwendigen Bestimmung von p und q anhand von n. 20

11 Formate Die Werte-Paare der beiden Schlüssel werden in ein bestimmtes Format gebracht, z.b. nach PKCS#1. Das Format wird in ASN definiert: ftp://ftp.rsasecurity.com/pub/ pkcs/pkcs-1/pkcs-1v2-2.asn Siehe dazu: Version 2.2 (RFC 8017) 21 Ein Beispiel Wahl: p= 5, q= 17 n= p*q= 85 und e= 3 Φ(n)= Φ(85)= (p-1)*(q-1)= 4*16= 64 d*e 1 mod 64 mit d= 43 da 43*3 1 mod Φ(85) e = 3 und d = 43, d.h. Öffentlicher Schlüssel ist { 3,85} Geheimer Schlüssel ist {43,85} Beispiel Verschlüsselung m= 2 (Nachricht) C m e mod n, also C 2 3 mod 85 C= 8 Entschlüsselung m' C d mod n, also m' 8 43 mod 85 p'= 2 22

12 Sicherheit von RSA Schlüssellängen Unter 512 bit nicht zu empfehlen 1024 bit nur für Hausgebrauch 2048 bit in Ordnung, besser länger 3000 bit ist gut Faktorisierungsattacke 155 bit bit bit bit 2009 Siehe: 23 BSI-Empfehlungen - RSA p und q sollten ähnlich groß, aber nicht gleich sein: 0.1< abs(log 2 p-log 2 q) <30 Die Wahrscheinlichkeit, dass p oder q doch keine Primzahlen sind, sollte kleiner als sein. Die Schlüssellänge von n sollte mindestens 3000 bit lang sein. Für e darf kein kleiner Wert, wie z.b. 3, benutzt werden; Werte ab bis sind in Ordnung. Falls d gewählt wird, so muss die Bitlänge von d größer als ¼ der Bitlänge von n sein. Die Nachricht m muss kleiner als n sein. Das obige Verfahren ist die Lehrbuch-Variante, die nicht so in der Praxis benutzt werden sollte. 24

13 Weitere asymmetrische Verfahren Digital Signature Algorithm (DSA) Elliptic Curve Cryptography (ECC) Cailey-Purser ElGamal Es gibt ca Variationen bei den Verfahren der Gruppe, die auf den diskreten Logarithmen beruhen. 25 Nach dieser Anstrengung etwas Entspannung... 26