7: Grundlagen der Public-Key-Kryptographie

Transkript

1 7: Grundlagen der Public-Key-Kryptographie 214 7: Public-Key-Kryptographie

2 7: Grundlagen der Public-Key-Kryptographie Wiederholung: Symmetrische Kryptographie 1 Schlüssel für Sender und Empfänger Benötigt sicheren Kanal zum Schlüsselaustausch = skaliert schlecht I. d. R. effizient Alice Bob C = E K (M) K K Grafik von C. Lübbemeier, inspiriert von Randall Munroe 215 7: Grundlagen der Public-Key-Kryptographie

3 Asymmetrische Kryptographie Schlüsselpaar: öffentlicher (P K) und geheimer Schlüssel (SK) Kein sicherer Kanal benötigt Jeder kann verschlüsseln, jedoch nur der Inhaber des geheimen Schlüssels kann entschlüsseln I. A. ineffizienter als symmetrische Kryptographie Alice Bob C = E P KB (M) (P K A, SK A ) (P K B, SK B ) 216 7: Grundlagen der Public-Key-Kryptographie

4 Public-Key-Kryptographie Historie ca Ein Mitarbeiter des britischen Geheimdienstes erfindet die non-secret Kryptographie (bis Ende der 90er Jahre geheimgehalten) 1974 Merkle Puzzles 1976 Diffie und Hellman 1977 Rivest, Shamir, Adleman (RSA) seit etwa 1990 Zunehmende kommerzielle Bedeutung der asymmetrischen Kryptographie 217 7: Grundlagen der Public-Key-Kryptographie

5 Symmetrische und asymmetrische Kryptographie Pretty Good Privacy Encrypt Decrypt Generate Random Key Data TIakvAQkCu2u Random Key Encrypted Message Encrypt data using random key Encrypt key using receiver s public key RSA q4fznebcrsyq Encrypted Key Decrypt using receiver s private key RSA q4fznebcrsyq Data TIakvAQkCu2u Data Encrypted Key Decrypt data using key Encrypted Message Data Quelle:

6 Symmetrische vs. Asymmetrische Kryptosysteme Symmetrische Kryptosysteme Basieren auf effizienten Operationen Systematische Analyse Heuristiken und Computer-gestützte Analyse Asymmetrische Kryptosysteme Basieren auf harten Problemen der Mathematik Integer-Faktorisierung RSA-Problem Diskreter Logarithmus Diffie-Hellman-Problem : Grundlagen der Public-Key-Kryptographie

7 Harte Probleme Integer-Faktorisierungsproblem Integer-Faktorisierungsproblem Gegeben eine große Zahl n $ Z, finde seine Primfaktoren q 1,..., q k, sodass 2 n = q 1... q k. Vermutung (informell): Für große (zufällige) Zahlen n existiert kein effizienter Algorithmus, der mit signifikanter Wahrscheinlichkeit n faktorisieren kann : Grundlagen der Public-Key-Kryptographie

8 Harte Probleme RSA-Problem RSA-Problem (e-te Wurzel modulo n) Seien (n, e, C) gegeben, mit n $ Z, e Z n und und M geheim. Finde M. Vermutung (informell): C = M e mod n Für große und zufällige Zahlen n und M existiert kein effizienter Algorithmus, der mit signifikanter Wahrscheinlichkeit das RSA-Problem lösen kann : Grundlagen der Public-Key-Kryptographie

9 Harte Probleme Diskretes-Logarithmus-Problem Diskretes-Logarithmus-Problem Gegeben g und eine große Primzahl p. Sei a $ Z p geheim. Gegeben (g, g a mod p), finde a. Vermutung (informell): Für großes p und zufälliges a existiert kein effizienter Algorithmus, der mit signifikanter Wahrscheinlichkeit das Diskrete-Logarithmus-Problem lösen kann : Grundlagen der Public-Key-Kryptographie

10 Harte Probleme Diffie-Hellman-Problem Diffie-Hellman-Problem Gegeben g und eine große Primzahl p. Seien a $ Z p und b $ Z q unabhängig und geheim. Gegeben (g, g a mod p, g b mod p), finde g ab. Vermutung (informell): Für großes p und zufällige Zahlen a und b existiert kein effizienter Algorithmus, der mit signifikanter Wahrscheinlichkeit das Diffie-Hellman-Problem lösen kann : Grundlagen der Public-Key-Kryptographie

11 Wiederholung Zahlentheorie Wiederholung Gruppentheorie RSA: Modulare Arithmetik Restklassen Kongruenz Eulersche ϕ-funktion Diffie-Hellman: Modulare Arithmetik und Potenzen Zyklische Gruppen Generator, Ordnung 224 7: Grundlagen der Public-Key-Kryptographie

12 7.1: Wiederholung: Gruppentheorie 225 7: Grundlagen der Public-Key-Kryptographie 7.1: Wiederholung: Gruppentheorie

13 7.1: Wiederholung: Gruppentheorie Gruppoid: nichtleere Menge G und Verknüpfung auf G Halbgruppe: Gruppoid mit assoziativer Verknüpfung Monoid: Halbgruppe mit neutralem Element Gruppe: Monoid mit Inversem Gruppe Monoid Halbgruppe Gruppoid 226 7: Grundlagen der Public-Key-Kryptographie 7.1: Wiederholung: Gruppentheorie

14 Gruppoid und Verknüpfung Definition 27 (Gruppoid) Sei G eine nichtleere Menge. Eine Funktion : G G G bezeichnen wir als Verknüpfung auf G. Das Paar (G, ) bezeichnen wir als Gruppoid. Beispiele: (N, +), (Z, +), (N, ), (Z, ),... Wir schreiben auch a b statt (a, b) Wir schreiben auch G statt (G, ) wenn klar ist Ordnung von G: Anzahl Elemente in G ( G ) Wir nennen (G, ) kommutativ (abelsch) wenn für alle a, b G: a b = b a 227 7: Grundlagen der Public-Key-Kryptographie 7.1: Wiederholung: Gruppentheorie

15 Gruppeneigenschaften: Halbgruppe Definition 28 (Halbgruppe) Sei (G, ) ein Gruppoid. Wir nennen assoziativ und (G, ) eine Halbgruppe genau dann, wenn für alle a, b, c G gilt: a (b c) = (a b) c. Beispiel: (Z, +) ist eine Halbgruppe a + (b + c) = (a + b) + c Beispiel: (Z, ) ist keine Halbgruppe 6 (5 4) (6 5) : Grundlagen der Public-Key-Kryptographie 7.1: Wiederholung: Gruppentheorie

16 Gruppeneigenschaften: Monoid Definition 29 (Monoid) Sei (G, ) eine Halbgruppe. Existiert ein e G, sodass für alle a G gilt e a = a e = a, so nennen wir e neutrales Element und (G, ) einen Monoid. Beispiel: (Z, +) ist ein Monoid 0 + a = a + 0 = a Beispiel: (N, +) ist kein Monoid (Warum?) 229 7: Grundlagen der Public-Key-Kryptographie 7.1: Wiederholung: Gruppentheorie

17 Gruppeneigenschaften: Gruppe Definition 30 (Gruppe) Sei (G, ) ein Monoid. Existiert zu jedem a G ein Inverses a 1 G, sodass gilt so nennen wir (G, ) eine Gruppe. a a 1 = a 1 a = e, Beispiel: (Z, +) ist eine Gruppe a + ( a) = 0 Beispiel: (N, +) ist keine Gruppe (Warum?) 230 7: Grundlagen der Public-Key-Kryptographie 7.1: Wiederholung: Gruppentheorie

18 Gruppeneigenschaften: Eindeutigkeit Satz 31 (Eindeutigkeit des neutralen Elements) In jedem Monoid existiert genau ein neutrales Element. Satz 32 (Eindeutigkeit des Inversen) In jeder Gruppe existiert zu jedem Element genau ein Inverses : Grundlagen der Public-Key-Kryptographie 7.1: Wiederholung: Gruppentheorie

19 Gruppen: Beispiele Halbgruppe Monoid Gruppe (G, ) (assoziativ?) (neutr. Element?) (Inverses?) (Z n, +) (a + (b + c) = (a + b) + c) (0) ( a) (Z n, ) (Z n, ) 232 7: Grundlagen der Public-Key-Kryptographie 7.1: Wiederholung: Gruppentheorie

20 7.2: Modulare Arithmetik 233 7: Grundlagen der Public-Key-Kryptographie 7.2: Modulare Arithmetik

21 7.2: Modulare Arithmetik Uhr: Stunden mod 24, Minuten mod 60, Sekunden mod 60,... Rechnerarithmetik: mod 2 w, w {8, 16, 32, 64} : Grundlagen der Public-Key-Kryptographie 7.2: Modulare Arithmetik

22 Division mit Rest Satz 33 Seien a N 0 und n N. Dann gibt es eindeutig bestimmte q N 0, r {0,..., n 1} mit a = n q + r. Entsprechend definieren wir die Operationen div und mod durch a div n = q und a mod n = r (das ganzzahlige Teilen und die Berechnung des Restes) : Grundlagen der Public-Key-Kryptographie 7.2: Modulare Arithmetik

23 Division mit Rest Beispiele: 10 div 7 =? 10 mod 7 =? 33 div 4 =? 33 mod 4 =? 7 div 5 =? 7 mod 5 =? 236 7: Grundlagen der Public-Key-Kryptographie 7.2: Modulare Arithmetik

24 Restklassen Modulo n sind alle Werte i n + r äquivalent. Definition 34 Seien n N und r Z. Die Restklasse von r modulo n ist {i n + r i Z} Ein Element einer Restklasse bezeichnet man auch als Repräsentant der Restklasse. Die natürlichen Repräsentanten sind die Zahlen z {0,..., n 1}. Die Menge aller Restklassen modulo n, geschrieben Z n, bildet, zusammen mit der Addition und der Multiplikation, den Restklassenring mod n : Grundlagen der Public-Key-Kryptographie 7.2: Modulare Arithmetik

25 Restklassen Definition: {i n + r i Z}, z {0,..., n 1} Beispiele: Z 3 besteht aus den folgenden Restklassen: Restklasse 0 : {..., 12, 9, 6, 3, 0, 3, 6, 9, 12,...} Restklasse 1 : {..., 11, 8, 5, 2, 1, 4, 7, 10, 13,...} Restklasse 2 : {..., 10, 7, 4, 1, 2, 5, 8, 11, 14,...} Z 5 besteht aus den folgenden Restklassen: Restklasse 0 : {..., 20, 15, 10, 5, 0, 5, 10, 15, 20,...} Restklasse 1 : {..., 19, 14, 9, 4, 1, 6, 11, 16, 21,...} Restklasse 2 : {..., 18, 13, 8, 3, 2, 7, 12, 17, 22,...} Restklasse 3 : {..., 17, 12, 7, 2, 3, 8, 13, 18, 23,...} Restklasse 4 : {..., 16, 11, 6, 1, 4, 9, 14, 19, 24,...} 238 7: Grundlagen der Public-Key-Kryptographie 7.2: Modulare Arithmetik

26 Bemerkungen Jede Restklasse hat unendlich viele Repräsentanten (i n + z) Z. Nie vergessen: Mathematisch bedeutet eine Berechung in Z n, dass egal ist, wie eine Restklasse repräsentiert wird! Z n besteht aus genau n Restklassen. Wenn klar ist, das wir für ein bestimmtes n in Z n rechnen, schreiben wir auch a = b statt a b (mod n) : Grundlagen der Public-Key-Kryptographie 7.2: Modulare Arithmetik

27 Die Kongruenz-Relation Definition 35 (Kongruenz) Ist a mod n = b mod n, dann sind a und b kongruent modulo n, wir schreiben a b (mod n). Beispiel: 10 mod 7 = 17 mod (mod 7) 240 7: Grundlagen der Public-Key-Kryptographie 7.2: Modulare Arithmetik

28 Eigenschaften mod n Satz 36 (Äquivalenzrelationen) Für alle a, b, n N gelten die folgenden Eigenschaften Reflexivität: a a (mod n) Symmetrie: a b (mod n) b a (mod n) Transitivität: (a b (mod n)) (b c (mod n)) = a c (mod n) Beispiele: (mod 7) (mod 7) (mod 7) (10 17 (mod 7)) (17 3 (mod 7)) = 17 3 (mod 7) 241 7: Grundlagen der Public-Key-Kryptographie 7.2: Modulare Arithmetik

29 Rechenregel mod n Satz 37 (Regel vom Vielfachen) Für alle a, b N mit a > b gilt: (a b (mod n)) n (a b). Beispiele: (mod 7) 7 (17 10) = (mod 5) 5 (38 13) = : Grundlagen der Public-Key-Kryptographie 7.2: Modulare Arithmetik

30 Mehr Rechenregeln mod n Satz 38 Es gilt: 1 (a + b) mod n = (a mod n) + (b mod n) mod n 2 (a b) mod n = (a mod n) (b mod n) mod n 3 (a b) mod n = (a mod n) (b mod n) mod n 4 a d mod n = (a d x a x ) mod n = ((a d x mod n) (a x mod n)) mod n (für x d) 243 7: Grundlagen der Public-Key-Kryptographie 7.2: Modulare Arithmetik

31 Mehr Rechenregeln mod n Beispiele: ( ) mod 11 = ((100 mod 11) + (90 mod 11)) mod 11 = (1 + 2) mod 11 = 3 (100 90) mod 11 = ((100 mod 11) (90 mod 11)) mod 11 = (1 2) mod 11 = 10 (100 90) mod 11 = ((100 mod 11) (90 mod 11)) mod 11 = (1 2) mod 11 = mod 7 = ((3 2 mod 7) (3 3 mod 7)) mod 7 = (9 mod 7) (27 mod 7) mod 7 = (2 6) mod 7 = : Grundlagen der Public-Key-Kryptographie 7.2: Modulare Arithmetik

32 Konsequenz Folgerung Bei Berechnungen modulo n kann man Zwischenergebnisse (alle Summen, alle Differenzen und alle Produkte) auf Werte in {0,..., n 1} reduzieren : Grundlagen der Public-Key-Kryptographie 7.2: Modulare Arithmetik

33 Die Menge der Invertierbaren: Z n Definition 39 (Menge der Invertierbaren Elemente) Sei n N. Z n ist definiert als Menge aller Zahlen z Z n zu denen jeweils ein multiplikatives Inverses existiert: Z n := { z z 1 Z n : z z 1 = 1 }. Z n ist die Menge aller Zahlen in Z n, die teilerfremd zu n sind: Z n = {z Z n : ggt(z, n) = 1} Allgemein für n prim: Z n = {1, 2,..., n 1} Beispiel n = 5: Z 5 = {1, 2, 3, 4} Beispiel n = 9: Z 9 = {1, 2, 4, 5, 7, 8} 246 7: Grundlagen der Public-Key-Kryptographie 7.2: Modulare Arithmetik

34 Eulersche Phi-Funktion ϕ Definition 40 (Eulersche Phi-Funktion) Sei n N, dann ist ϕ(n) die Anzahl an teilerfremden Zahlen i N mit i < n. D.h. es gilt: ϕ(n) = {i Z n : ggt(i, n) = 1}. Rechenregeln: n prim: ϕ(n) = n 1 n k mit n prim und k > 1 : ϕ(n k ) = n k n k 1 n = p q : ϕ(n) = ϕ(p) ϕ(q) 247 7: Grundlagen der Public-Key-Kryptographie 7.2: Modulare Arithmetik

35 Eulersche Phi-Funktion ϕ Beispiele: ϕ(7) = {1, 2, 3, 4, 5, 6} = 6 ϕ(9) = {1, 2, 4, 5, 7, 8} = ϕ(3 2 ) = = 9 3 = 6 ϕ(35) = ϕ(7 5) = ϕ(7) ϕ(5) = (7 1) (5 1) = : Grundlagen der Public-Key-Kryptographie 7.2: Modulare Arithmetik

36 Allgemeine Potenz-Rechenregel Satz 41 (Euler) Für a, b, c N mit ggt(a, c) = 1 gilt: a b mod c = a b mod ϕ(c) mod c. Beispiel für ggt(a, c) = 1: a = 5, b = 7, c = 9 ϕ(9) = mod mod 6 mod 9 = 5 1 mod 9 = mod 11 =? 249 7: Grundlagen der Public-Key-Kryptographie 7.2: Modulare Arithmetik

37 Allgemeine Potenz-Rechenregel: Gegenbeispiel Satz 42 (Euler) Für a, b, c N mit ggt(a, c) = 1 gilt: a b mod c = a b mod ϕ(c) mod c. Gegenbeispiel für ggt(a, c) 1: a = 6, b = 7, c = 9 ϕ(9) = mod mod 6 mod 9 = 6 1 mod 9 = : Grundlagen der Public-Key-Kryptographie 7.2: Modulare Arithmetik

38 7.3: RSA-Verschlüsselungsverfahren 251 7: Grundlagen der Public-Key-Kryptographie 7.3: RSA

39 7.3: RSA-Verschlüsselungsverfahren Vorbereitung 1 Wähle große, zufällige, unabhängige und geheime Primzahlen p und q (mind Bit) 2 Berechne: n = p q 3 Berechne: ϕ(n) = (p 1)(q 1) 4 Wähle: e Zϕ(n), d.h., ggt(e, ϕ(n)) = 1 5 Berechne d mit ed mod ϕ(n) = 1 Anmerkung: Wir wählen ggt(e, ϕ(n)) = 1 damit d existiert : Grundlagen der Public-Key-Kryptographie 7.3: RSA

40 Das naive RSA-Verschlüsselungssystem Klartextmenge = Chiffretextmenge = Z n = {0, 1,..., n 1} Öffentlicher Schlüssel: PK = (e, n) Geheimer Schlüssel: SK = (d, n) Verschlüsselung: C M e mod n Entschlüsselung: Beobachtung: Es gilt M C d mod n C d (M e ) d M ed mod ϕ(n) M 1 M (mod n) 253 7: Grundlagen der Public-Key-Kryptographie 7.3: RSA

41 Naive RSA-Verschlüsselung: Beispiel Wähle: p = 13, q = 11 Berechne: n = p q = 143 Berechne: Wähle: e = 7, ggt(7, 120) = 1 Berechne: ϕ(n) = (p 1)(q 1) = 120 d = e 1 mod ϕ(n) = (mod 120). Verschlüsseln eines Klartextes M = 5: C (mod 143) Entschlüsseln: M (mod 143) 254 7: Grundlagen der Public-Key-Kryptographie 7.3: RSA

42 Sicherheit von RSA Die Sicherheit des RSA-Systems beruht auf der (unbewiesenen) Vermutung, dass es schwierig ist, n zu faktorisieren (wenn p und q groß genug sind). Anekdote: Frank Cole widerlegt 1903 eine fast 200 Jahre alte Vermutung von Mersenne: Obwohl er die Sonntage dreier Jahre benötigte, um die Faktoren von zu finden, konnte er innerhalb weniger Minuten, ohne weitere Worte darüber zu verlieren, ein großes Publikum davon überzeugen, daß diese Zahl keine Primzahl war, indem er einfach die Arithmetik der Berechnungen aufschrieb: = : Grundlagen der Public-Key-Kryptographie 7.3: RSA

43 Faktorisierung Man könnte auf die Idee kommen, eine Liste aller Primzahlen bis zu einer bestimmten Größe zu erstellen. Um n zu faktorisieren, muss man nur probieren, n durch alle Primzahlen bis n zu teilen. Der Ansatz funktioniert grundsätzlich! Nur gibt es zu viele Primzahlen. Sei, z.b. N das Produkt zweier 1024-bit Primzahlen. Die Anzahl dieser Primzahlen übersteigt /2 11 = Selbst wenn wir Primzahlen pro Sekunde erzeugen könnten, bräuchten wir Sekunden für das Erzeugen der Liste. Es gibt bessere Faktorisierungsalgorithmen, aber unser Universum ist nur etwa Sekunden jung 256 7: Grundlagen der Public-Key-Kryptographie 7.3: RSA

44 Vorstellbare Angriffe auf RSA 1 Faktorisieren von n. (Gilt als extrem schwierig!) 2 Berechnen von ϕ(n). (Äquivalent zur Faktorisierung von n) 3 Berechnen der e-ten Wurzel modulo n ( RSA-Problem ). (Vermutlich ebenso schwierig wie die Faktorisierung.) 4 Iteriertes Verschlüsseln des Kryptogramms. (Erfordert mit überwältigender Wahrscheinlichkeit astronomisch viele Iterationen nächste Folie.) 257 7: Grundlagen der Public-Key-Kryptographie 7.3: RSA

45 Iteriertes Verschlüsseln Geg. y Z n, wende den folgenden Algorithmus an: 1 x y. 2 Solange x e y mod n: x x e mod n. 3 Gib x aus. (Offenbar gilt: y x e (mod n)). Iterative Verschlüsselung terminiert nach endlicher Zeit. In der Praxis: endliche Zeit fast immer überwältigend groß. Beispiel: e = 17, n = 2773, y = 2209; mod 2773 = mod 2773 = mod 2773 = mod 2773 = 2209 Heureka! Es gilt: x = : Grundlagen der Public-Key-Kryptographie 7.3: RSA

46 7.4: Zyklische Gruppen und Generator 259 7: Grundlagen der Public-Key-Kryptographie 7.4: Zyklische Gruppen und Generator

47 7.4: Zyklische Gruppen und Generator Vorbereitung von Diffie-Hellman: 1 Wähle eine große Primzahl p. ( 2048 Bit 90 Bit Sicherheit) Eine Primzahl p hat genau zwei natürliche Teiler: 1 und p 2 Wähle eine Generator g der (zykl.) Gruppe Zp = {1, 2,..., p 1} 260 7: Grundlagen der Public-Key-Kryptographie 7.4: Zyklische Gruppen und Generator

48 Generator (auch Erzeugendes Element) Definition 43 (Untergruppe) Sei a Z p, dann nennen wir a = {a i mod p : i Z p } die von a erzeugte Untergruppe von Z p. Definition 44 (Generator) Sei g Z p und es gilt: g = Z p, dann nennen wir g den Generator (auch erzeugendes Element) der Gruppe Z p. Wir nennen eine Gruppe (G, ) zyklisch wenn es mind. einen Generator g G gibt : Grundlagen der Public-Key-Kryptographie 7.4: Zyklische Gruppen und Generator

49 Beispiel: Generator Sei p = 5. Dann gilt Z 5 = {1, 2, 3, 4}. 1 = {1} Z 5 2 = {2, 4, 3, 1} = Z 5 3 = {3, 4, 2, 1} = Z 5 4 = {4, 1} Z 5 2 und 3 sind Generatoren von Z 5. Beobachtung: Die Ordnung einer Untergruppe ist immer ein natürlicher Teiler von p 1. Ein Zyklus endet immer mit 1! Folgerung: Die Ordnung von a ist die kleinste Zahl n N für die gilt: a n mod p = : Grundlagen der Public-Key-Kryptographie 7.4: Zyklische Gruppen und Generator

50 7.5: Diffie-Hellman-Schlüsselaustausch 263 7: Grundlagen der Public-Key-Kryptographie 7.5: Diffie-Hellman

51 7.5: Diffie-Hellman-Schlüsselaustausch a $ Z p A g a mod p B g b mod p C E K (M) b $ Z p K B a mod p K A b mod p 1 Alice und Bob einigen sich auf eine große Primzahl p und einen Generator g Z p 2 Alice wählt geheimes a Z p, berechnet und veröffentlicht A ga mod p 3 Bob wählt geheimes b Z p, berechnet und veröffentlicht B gb mod p 4 Beide berechnen: K B a g ab A b mod p. 5 Optional Hashing: K H(K) 264 7: Grundlagen der Public-Key-Kryptographie 7.5: Diffie-Hellman

52 Diffie-Hellman: Man-in-the-Middle-Angriff A g a mod p A g a mod p a $ Z p B g b mod p B g b mod p b $ Z p K A B a mod p K B A b mod p K A A b mod p K B B a mod p Eve fängt A und B ab (g und p sind öffentlich) Eve wählt neues a und b, berechnet A und B und schickt A an Bob und B an Alice = Diffie-Hellman benötigt einen sicheren Kanal oder zumindest einseitige Authentisierung 265 7: Grundlagen der Public-Key-Kryptographie 7.5: Diffie-Hellman

53 Diffie-Hellman-Schlüsselaustausch Beispiel mit sehr kleinen Zahlen 1 Wähle p und Generator g: p = 11, g = 6, 2 a = 4, A = 6 4 mod 11 = 9 3 b = 3, B = 6 3 mod 11 = 7 4 Die Berechnung des geheimen Schlüssels: B a (mod 11), A b (mod 11), g ab (mod 11). Alice und Bob haben sich auf 3 als Geheimnis geeinigt. Ein Angreifer müsste g ab mod p berechnen, obwohl er weder a noch b kennt : Grundlagen der Public-Key-Kryptographie 7.5: Diffie-Hellman

54 Spezielle Potenz-Rechenregel Spezielle Potenz-Rechenregel Sei p prim, g Z p und a N, dann gilt: g a mod p = g a mod p 1 mod p. (Weil p prim ist, gilt immer ggt(g, p) = 1 und ϕ(p) = p 1.) Beispiel: a = 12, g = 6, p = mod (mod 11) 267 7: Grundlagen der Public-Key-Kryptographie 7.5: Diffie-Hellman

55 7.6: Digitale Unterschriften 268 7: Grundlagen der Public-Key-Kryptographie 7.6: Digitale Unterschriften

56 7.6: Digitale Unterschriften Weitere Anwendung von RSA Unterschrift von Hand : Physikalische Verbindung mit dem unterschriebenen Dokument (beides steht auf dem gleichen Blatt). Fälschen erfordert einiges Geschick (wenn die Fälschung bei einer gründlichen Prüfung nicht auffallen soll... ). Kopieren einer Unterschrift ist nicht möglich (Fotokopien haben einen geringeren Beweiswert als Originale) : Grundlagen der Public-Key-Kryptographie 7.6: Digitale Unterschriften

57 Das naive RSA-Signaturverfahren Vorbereitung: Siehe RSA-Verschlüsselungsverfahren Geheimer Schlüssel: (d, n) Öffentlicher Schlüssel: (e, n) Kryptographische Hashfunktion H Signieren: 1 Berechne h H(M) 2 Berechne s h d mod n Verifzieren: 1 Berechne h s e mod n 2 Teste ob H(M) = h Für korrektes (M, s) gilt: h = ( h d) e mod n = h 1 mod ϕ(n) mod n = h : Grundlagen der Public-Key-Kryptographie 7.6: Digitale Unterschriften

58 7.7: Sicherheitsparameter 271 7: Grundlagen der Public-Key-Kryptographie 7.7: Sicherheitsparameter

59 7.7: Sicherheitsparameter Schlüssellänge/Primzahlgröße/Gruppenordnung in Anzahl Bits Schutz Symmetrisch Asymmetrisch Schwach (wenige Sekunden) Kurzfristig (wenige Wochen) Mittelfristig (bis 2030) Langfristig (bis 2040) Stark (Quelle: : Grundlagen der Public-Key-Kryptographie 7.7: Sicherheitsparameter

60 7.8: Schlussbemerkungen 273 7: Grundlagen der Public-Key-Kryptographie 7.8: Schlussbemerkungen

61 7.8: Schlussbemerkungen Sie sollten in der Lage sein, beispielhaft zu erläutern, wie Public-Key-Kryptographie grundsätzlich funktioniert. Diffie-Hellman und RSA erklären zu können. DH/RSA-Beispiele mit kleinen Zahlen zu berechnen, Fragen zu Sicherheit und Korrektheit des RSA-Kryptosystems zu beantworten : Grundlagen der Public-Key-Kryptographie 7.8: Schlussbemerkungen