Kryptographische Verfahren auf Basis des Diskreten Logarithmus

Transkript

1 Kryptographische Verfahren auf Basis des Diskreten Logarithmus -Vorlesung Public-Key-Kryptographie SS2010- Sascha Grau ITI, TU Ilmenau, Germany Seite 1 / 18

2 Unser Fahrplan heute 1 Der Diskrete Logarithmus 2 Anwendungen 1 Schlüsselaustausch: Diffie-Hellman-Verfahren 2 Verschlüsselung: ElGamal-Schema 3 Verschlüsselung: Massey-Omura-Schema ITI, TU Ilmenau, Germany Seite 2 / 18

3 Der Diskrete Logarithmus Der Diskrete Logarithmus Gegeben: y, s, n N Gesucht: x mit s x = y mod n kein Polynomialzeitalgorithmus bekannt Exponentiation in Z n scheint gute Einwegfunktion zusätzlich ist sie kommutativ ITI, TU Ilmenau, Germany Seite 3 / 18

4 Anwendung 1: Schlüsselaustausch Wozu Schlüsselaustausch? Public-Key-Verschlüsselungsverfahren sind aufwendig: O(log 3 n) sollen große Datenmengen verschickt werden, sind effiziente symmetrische Verfahren (AES, Blowfish,...) im Vorteil Problem: Etablierung eines gemeinsamen Sitzungsschlüssels Hybridsystem Austausch (oder Erzeugung) des Sitzungschlüssels mit Hilfe öffentlicher Schlüssel ITI, TU Ilmenau, Germany Seite 4 / 18

5 Schlüsselaustausch: Trivialer Ansatz Trivialer Schlüsselaustausch 1 Alice erzeugt Sitzungsschlüssel k 2 kennt Bobs Public Key PK B und sendet e(k, PK B ) an Bob 3 Bob entschlüsselt mit seinem Private Key Unschön: Alice allein bestimmt den Sitzungsschlüssel! Besser: System in dem beide Partner Einfluss auf Sitzungsschlüssel haben. ITI, TU Ilmenau, Germany Seite 5 / 18

6 Diffie-Hellman-Schlüsselaustausch Ablauf Vorher öffentlich bekannt: große Primzahl p Basis s < p 1, s N, Generator von (Z p \ {0}, ) Praktische Realisierung: Standardisierte Tupel, Teilnehmer einigen sich auf sicherstes von beiden unterstütztes Paar 1 Alice wählt a Z p mit a < p 1 2 Bob wählt b Z p mit b < p 1 3 Alice sendet α = s a mod p an Bob 4 Bob sendet β = s b mod p an Alice 5 Alice berechnet k = β a = s ab mod p 6 Bob berechnet k = α b = s ab mod p ITI, TU Ilmenau, Germany Seite 6 / 18

7 Diffie-Hellman-Schlüsselaustausch (2) Sicherheit durch Diskreten Logarithmus Eve kann Nachrichten α und β abfangen und steht nun vor Diskretem-Logarithmus-Problem: Weiß s und p und muss aus α = s a berechnen. Könnte dann k = β a berechnen. mod p den Exponenten a Alternative Methode k zu berechnen derzeit nicht (öffentlich) bekannt. ITI, TU Ilmenau, Germany Seite 7 / 18

8 Diffie-Hellman-Schlüsselaustausch (3) Problem Keine Authentisierung der Nachrichten vorgesehen Ermöglicht somit Man-in-the-Middle-Attacke (Bsp). Abhilfe: Nutzung PKI zur Authentisierung von α und β Praktische Bedeutung Weit verbreitet in kryptographischen Protokollen (IPsec/IKE, SSL/TLS, SSH,...) ITI, TU Ilmenau, Germany Seite 8 / 18

9 Anwendung 2: ElGamal-Schema asymmetrisches Verschlüsselungsverfahren vorgestellt 1985 von Taher Elgamal Einsatz: z.b. Standardalgorithmus zur -Verschlüsselung mit Enigmail/PGP ITI, TU Ilmenau, Germany Seite 9 / 18

10 ElGamal-Schema (2) Öffentliche Parameter große Primzahl p Basis s Z p \ {0} die Generator der Gruppe (Z p \ {0}, ) ist Symmetrische Verschlüsselungsfunktion k K, f k : M C (z.b. AES, im Original Multiplikation in zyklischer Gruppe) Public-Private-Keypair Jeder Teilnehmer T besitzt: Private Key d T Z p Public Key P T = s d T mod p ITI, TU Ilmenau, Germany Seite 10 / 18

11 ElGamal-Schema (3) Alice möchte Klartext m an Bob schicken. Ablauf ElGamal-Schema 1 Alice wählt a N mit 1 < a < p 1 zufällig 1 Alice berechnet Nachrichtenschlüssel k = P a Bob mod p 2 Alice bildet c 1 = f k (m) (symm. Schlüssel k) 3 Alice bildet c 2 = s a mod p 2 Alice sendet (c 1, c 2 ) an Bob 3 Bob berechnet c d Bob 2 = (s a ) d Bob = (s d Bob) a = PBob a mod p = k 4 Bob berechnet f 1 k (c 1 ) = m ITI, TU Ilmenau, Germany Seite 11 / 18

12 ElGamal-Schema (4) Ähnlichkeiten zu Schlüsselaustausch-Verfahren Erzeugung eines Wegwerfschlüssels k (pro Nachricht) Übermittlung von k mit Hilfe des Public-Keys des Empfängers Symmetrische Verschlüsselung der eigentlichen Nachricht m Sicherheit beruht auf Diskretem Logarithmus UND Funktion f Schwierigkeit des Diskreten Logarithmus schützt a in c 2 = s a mod p und damit k m ebenso durch Kryptanalyse von f ohne Wissen um k zu erlangen ITI, TU Ilmenau, Germany Seite 12 / 18

13 Anwendung 3: Massey-Omura-Schema Realisierung von Shamirs No-Key-Protokoll bisher nur Negativbeispiele (XOR-One-Time-Pads und Vigenère-Verschlüsselung unsicher) stattdessen nun Einsatz von Exponentiation in Restklassenring (ist kommutativ) ITI, TU Ilmenau, Germany Seite 13 / 18

14 Massey-Omura-Schema (2) Öffentliche Information Große Primzahl p ist bekannt (oder wird ausgehandelt). Schlüsselinformation pro Teilnehmer Wahl von d T, e T N mit e T d T = 1 mod (p 1). Schlüssel sind geheim! Berechnung d T, e T 1 Wähle e T mit 1 < e T < (p 1) mit ggt (e T, (p 1)) = 1. 2 Berechne d T über Erweiterten Euklidischen Algorithmus. ITI, TU Ilmenau, Germany Seite 14 / 18

15 Massey-Omura-Schema (2) Eigenschaft von d T, e T Nach Satz von Euler folgt für m Z p : Proof. m e T d T = m mod p m e T d T = m 1+k(p 1) mod p = m (m φ(p) ) k mod p = m 1 k mod p = m ITI, TU Ilmenau, Germany Seite 15 / 18

16 Massey-Omura-Schema (3) Alice will Nachricht m an Bob senden. Verfahren analog zum No-Key-Protokoll Ablauf 1 Alice sendet m e A mod p an Bob 2 Bob sendet (m e A) e B mod p an Alice 3 Alice berechnet ((m e A) e B ) d A = (m e A d A ) e B = m e B mod p und sendet es an Bob 4 Bob berechnet (m e B ) d B = m e B d B mod p = m ITI, TU Ilmenau, Germany Seite 16 / 18

17 Massey-Omura-Schema (4) Sicherheit basiert wieder auf Diskretem Logarithmus Seien c 1, c 2, c 3 die versendeten Nachrichten. Es gilt c 2 = c e B 1. Wäre der Diskrete Logarithmus effizient berechnbar könnte Eve: 1 aus c 2 Schlüssel e B berechnen. 2 mit Euklidischem Algorithmus d B berechnen 3 aus c 3 mit d B Nachricht m = c d B 3 berechnen 4 mit m aus c 1 = m e A Schlüssel e A berechnen 5 mit Euklidischem Algorithmus d A berechnen Damit wäre m und auch alle weiteren Nachrichten kompromittiert. ITI, TU Ilmenau, Germany Seite 17 / 18

18 Nächste Vorlesung Kryptographische Protokolle (Altersvergleich, Mental Poker,...) ITI, TU Ilmenau, Germany Seite 18 / 18