Verschlüsselung mit elliptischen Kurven

Transkript

1 Bernd Banzhaf / Reinhard Schmidt Verschlüsselung mit elliptischen Kurven Als eine neue Methode für eine asymmetrische Verschlüsselung bietet sich die Verschlüsselung mittels elliptischer Kurven an. Elliptische Kurven besitzen den großen Vorteil, dass die Schlüssellänge deutlich kürzer gewählt werden kann als bei herkömmlichen asymmetrischen Verschlüsselungsverfahren, ohne dabei Abstriche bei der Sicherheit für die Verschlüsselung machen zu müssen. Im Folgenden wird die Verschlüsselung mittels elliptischer Kurven vorgestellt. 1. Einführung Die modernen Verschlüsselungsverfahren lassen sich in die beiden Gruppen der symmetrischen und asymmetrischen Verschlüsselungsverfahren unterteilen. Symmetrische Verschlüsselung: Bei einem symmetrischen Verfahren benötigen Alice und Bob einen gemeinsamen, geheimen Schlüssel, um sich verschlüsselte Nachricht zu senden. Alice und Bob müssen diesen Schlüssel über einen unsicheren Informationskanal austauschen. Symmetrische Verfahren besitzen den Vorteil, dass sie aus einfachen Rechenoperationen aufgebaut sind und sehr schnell durchgeführt werden können. Der wesentliche Nachteil beruht auf der Schwierigkeit, einen geheimen Schlüssel über einen unsicheren Kanal auszutauschen. Symmetrische Verschlüsselungsverfahren sind allerdings nicht Teil dieses Artikels, sie werden deswegen nicht weiter betrachtet. Eine ausführliche Beschreibung von symmetrischen Verschlüsselungsverfahren findet man z.b. in [4]. Asymmetrische Verschlüsselung: Asymmetrische Verschlüsselungsverfahren basieren dagegen auf einem öffentlichen und einem privaten Schlüssel. Nur der private Schlüssel muss dabei geheim gehalten werden. Möchte Alice an Bob eine verschlüsselte Nachricht schicken, so besorgt sich Alice zunächst Bobs öffentlichen Schlüssel und führt mit diesem die Verschlüsselung durch. Nach Erhalt der Nachricht entschlüsselt Bob mit seinem privaten Schlüssel. Ein Schlüsseltauschproblem existiert in diesem Fall nicht. Der öffentliche Schlüssel kann z.b. von einem allgemein zugänglichen, vertrauenswürdigen Key-Server abgefragt werden. Asymmetrische Verfahren bieten darüber hinaus weit mehr Einsatzmöglichkeiten als nur die Lösung der klassischen Aufgabe, Nachrichten zu verschlüsseln. Im Rahmen einer Public-Key- Infrastruktur können Zertifikate und öffentliche Schlüssel auf vertrauenswürdigen Servern verwaltet werden. Die Lösung kryptografischer Aufgaben kann dann in Form von Protokollen sicher realisiert werden. Folgende kryptografischen Aufgaben sind dann beispielsweise durchführbar. Sicherer Austausch eines geheimen Schlüssel für eine symmetrische Verschlüsselung über einen unsicheren Kanal, Authentifizierung eines Kommunikationspartners, Gewährleistung der Integrität einer Nachricht, Unterzeichnung eines elektronischen Dokuments mit digitaler Signatur, Implementierung von digitalem Geld, Durchführung elektronischer Wahlen, Anonymisierung von Kommunikationsbeziehungen. Asymmetrische Verfahren basieren intern auf einer Langzahlarithmetik. Die Langzahlarithmetik muss durch Hard- oder Software nachgebildet werden. Die Durchführung eines asymmetrischen Verfahrens ist deswegen entsprechend zeitaufwendig. Die Langzahlarithmetik stellt den wesentlichen Nachteil eines asymmetrischen Verfahrens dar. Der Aufwand für die Langzahlarithmetik wird durch die Schlüssellänge bestimmt. Je größer die Schlüssellänge ist, desto sicherer ist das Verschlüsselungsverfahren, um so aufwendiger wird jedoch die Langzahlarithmetik. Sucht man nach einer Möglichkeit, den Aufwand für die Langzahlarithmetik zu reduzieren, so kommen andere mathematische Strukturen in Frage, auf die das Prinzip der asymmetrischen Verschlüsselung übertragen werden kann. Die gesuchte mathematische Struktur muss kürzere Schlüssellängen bei gleicher kryptografischer Sicherheit ermöglichen. Im weiteren Verlauf dieses Artikels wird gezeigt, dass sich eine geeignete mathematische Struktur mit Hilfe von elliptischen Kurven erzeugen lässt. In diesem Artikel werden zunächst die beiden etablierten asymmetrischen Verschlüsselungsverfahren RSA und ElGamal kurz erläutert und im Anschluss daran wird die Verschlüsselung mit elliptischen Kurven vorgestellt und diskutiert.

2 . Asymmetrische Verschlüsselung Die beiden bekanntesten asymmetrischen Verschlüsselungen sind das RSA-Verfahren und das ElGamal-Verfahren. Beide Verfahren werden im nächsten Abschnitt kurz erläutert..1 RSA-Verschlüsselung Das RSA-Verschlüsselungsverfahren wurde 1978 von Ronald Rivest, Adi Shamir und Leonhard Adleman entwickelt. Die Anfangsbuchstaben der Nachnamen der Erfinder standen dabei Pate für die Bezeichnung des Verschlüsselungsverfahrens. Im Einzelnen sieht der Ablauf einer RSA-Verschlüsselung folgendermaßen aus. Eine vertrauenswürdige Zertifizierungsstelle erzeugt für eine Person den öffentlichen und den privaten Schlüssel. Dazu werden zwei große Primzahlen p und q gewählt. Es wird die Eulerfunktion Φ(n) = (p 1) (q 1) berechnet und das Primzahlenprodukt n = p q gebildet. Bei Vorgabe des öffentlichen Schlüssels e wird dann der geheime Schlüssel d gemäß der Kongruenz e d 1 mod Φ ( n ) ( 1 ) berechnet. Die Zertifizierungsstelle löscht nach der Berechnung von d die beiden Primzahlen p und q unwiderruflich. Sie teilt den öffentlichen Schlüssel (e,n) und den geheimen d Schlüssel personenbezogen zu. Der öffentliche Schlüssel wird auf einem Key-Server zertifiziert publiziert, den geheimen Schlüssel kennt dagegen nur die betroffene Person. Möchte Alice an Bob eine verschlüsselte Nachricht schicken, so benötigt sie dazu Bobs öffentlichen Schlüssel (e,n). Alice chiffriert die Nachricht m < n mit dem öffentlichen Schlüssel nach der Formel e c = m mod n ( ) und schickt die Chiffre c an Bob. Bob dechiffriert die erhaltene Chiffre c mit seinem geheimen Schlüssel d d ed c mod n = m mod n = m ( 3 ) und erhält die Nachricht m in Klartext wieder. Eve, die Lauscherin, ist neugierig und hat die Chiffre c abgefangen. Eve möchte die Verschlüsselung brechen. Sie weiß, dass die Chiffre für Bob bestimmt war und besorgt sich deswegen seinen öffentlichen Schlüssel (e,n). Eve hat zum Brechen der Verschlüsselung prinzipiell zwei Möglichkeiten. Möglichkeit 1 Eve weiß, dass das Modul n aus einem Primzahlenprodukt n = p q gebildet wurde. Sie könnte versuchen, die Zahl n zu faktorisieren. Beide Primzahlen sind unbekannt, da sie von der Zertifizierungsstelle unwiederbringlich gelöscht wurden. Gelingt Eve die Faktorisierung, so kann sie die Eulerfunktion Φ(n) und mit deren Hilfe auch den geheimen Schlüssel d berechnen. Da bislang jedoch kein effektiver Algorithmus zur Faktorisierung existiert, ist es Eve nicht möglich, die Faktorisierung in angemessener Zeit erfolgreich durchzuführen, sofern ein sehr großer Modul n verwendet wurde. Möglichkeit Eve weiß, dass die Chiffre c aus der modularen Exponentialfunktion m e mod n entstanden ist. Sie hat die Chiffre c abgefangen und kennt den öffentlichen Schlüssel (e,n) von Bob. Eve könnte versuchen, die Exponentialfunktion umzukehren, um an m zu gelangen. Für die Umkehrfunktion müsste Eve den diskreten Logarithmus berechnen können. Bislang gibt es keinen effektiven Algorithmus, um den diskreten Logarithmus im Fall eines sehr großen Moduls n zu berechnen. Könnte Eve den diskreten Logarithmus berechnen, so hätte sie damit auch das Problem der Faktorisierung gelöst. Die Möglichkeiten 1 und sind also äquivalent.. ElGamal-Verschlüsselung Eine weitere asymmetrische Verschlüsselung wurde 1970 von Taher ElGamal gefunden. Der Ablauf der ElGamal-Verschlüsselung sieht folgendermaßen aus. Eine vertrauenswürdige Zertifizierungsstelle erzeugt für eine Person den öffentlichen und den privaten Schlüssel. Dazu werden eine große Primzahl p und zwei natürliche Zahlen g < p und x < p gewählt. Die Zertifizierungsstelle berechnet x y = g mod p. ( 4 ) Der öffentliche Schlüssel besteht dann aus dem Zahlentripel (y, g, p), der auf einem Key-Server zertifiziert publiziert wird. Der geheime Schlüssel besteht aus der Zahl x. Möchte Alice an Bob eine verschlüsselte Nachricht schicken, so muss sich Alice Bobs öffentlichen Schlüssel (y, g, p) besorgen. Für

3 die Verschlüsselung ihrer Nachricht m erzeugt Alice eine Zufallszahl k, die relativ prim zu p-1 ist. Alice hält die Zufallszahl k geheim. Alice chiffriert die Nachricht m < p nach der Formel k a = g mod p, ( 5 ) k b = m y mod p. ( 6 ) Die Chiffre besteht in diesem Fall aus dem Zahlenpaar (a,b). Das Datenvolumen der chiffrierten Nachricht ist damit doppelt so groß als bei einer RSA-Verschlüsselung. Die Zufallszahl k wird bei jedem Chiffrierschritt neu gewählt. Die Zufallszahlen k sind nur Alice bekannt, Bob benötigt deren Kenntnis zur Dechiffrierung nicht. Die ElGamal-Verschlüsselung verwendet somit ein zusätzliches Geheimnis, das die Sicherheit der Verschlüsselung erhöht. Bob erhält das Zahlenpaar (a,b). Er entschlüsselt nach folgendem Schema x 1 b ( a ) xk xk 1 m g ( g ) ( 7 ) mod p = m und erhält die Nachricht m in Klartextform. Eve, die Lauscherin, fängt die Chiffre (a,b) ab und versucht eine unbefugte Entschlüsselung. Sie weiß, dass die Chiffre an Bob adressiert ist und besorgt sich deswegen seinen öffentlichen Schlüssel (y, g, p). Eve weiß auch, dass die Chiffre aus einer Exponentialfunktion entstanden ist. Eve müsste zunächst die Gl.(5) logarithmieren, um an die Zahl k zu gelangen und anschließend Gl.(6) lösen. Da es bislang keinen effektiven Algorithmus gibt, um den diskreten Logarithmus zu berechnen, bleibt Eve dann erfolglos, wenn der Modul p sehr groß gewählt wurde. Der Modul p muss weiterhin die Eigenschaft aufweisen, dass p - 1 einen großen Teiler besitzt. Beim ElGamal-Verschlüsselungsverfahren begründet sich die Sicherheit auf der Schwierigkeit, den diskreten Logarithmus zu berechnen. Bei der RSA-Verschlüsselung spielt der diskrete Logarithmus eine indirekte Rolle. Wie bereits erwähnt, hängen Faktorisierung und diskreter Logarithmus sehr eng zusammen. Im nächsten Abschnitt wird die Berechnung des diskreten Logarithmus näher beleuchtet und anschließend verschiedene mathematische Strukturen diskutiert, auf die das Problem der Berechnung des diskreten Logarithmus übertragbar ist. 3. Das mathematisch harte Problem des diskreten Logarithmus Das modulare Potenzieren stellt eine so genannte Einwegfunktion dar. In der Kryptografie spricht man dann von einer Einwegfunktion, wenn die Funktion zwar selbst einfach zu berechnen ist, die zugehörige Umkehrfunktion dagegen nicht gebildet werden kann. Man spricht in diesem Zusammenhang auch von einem mathematisch harten Problem. Die Umkehrfunktion zur modularen Exponentialfunktion bezeichnet man als diskreten Logarithmus. Die modulare Potenz b = a x mod n kann einfach berechnet werden. Dagegen ist die Aufgabe, ein ganzzahliges x zu finden, sodass b = a x mod n gilt, ungleich schwieriger. Diese Tatsache soll anhand des folgenden Beispiels verdeutlicht werden. Beispiel: Für die Gleichung 3 x mod 7 = 6 folgt x = 3, da mod 7 ist. Dagegen hat die Gleichung 3 x mod 13 = 6 keine Lösung für ein ganzzahliges x, was man sich nach kurzem Probieren klar machen kann. Das obige Beispiel zeigt sehr schnell die Schwierigkeit auf, den diskreten Logarithmus zu berechnen. Der Schwierigkeitsgrad der Berechnung steigt enorm, wenn der Modul sehr groß gewählt wird. In der Kryptografie gibt es prinzipiell drei mathematische Gruppen, in denen die Berechnung diskreter Logarithmen von Interesse ist. 1. Die multiplikative Gruppe im Primkörper GF( p ).. Die multiplikative Gruppe im endlichen Körper mit Charakteristik GF( n ). 3. Die additive Gruppe der Punkte einer elliptischen Kurve über dem endlichen Körper GF( p ) oder GF( n ). Zu Ehren des französischen Mathematikers Evariste Galois bezeichnet man einen endlichen Körper auch als Galois-Feld und kürzt diesen mit GF(.. ) ab. Die multiplikative Gruppe im Primkörpers GF( p ) wird z.b. beim ElGamal-Verfahren verwendet. Martin Hellman und Stephen Pohling haben eine Möglichkeit zur Berechnung des diskreten Logarithmus für den Spezialfall entwickelt, dass p - 1 nur kleine Teiler besitzt [4]. Das ElGamal-Verfahren lässt sich aber sicher gestalten, wenn der Modul p so gewählt wird, dass die Zahl ( p 1 ) / ebenfalls prim ist.

4 Damit ist sichergestellt, dass ein großer Teiler in p 1 enthalten ist. Das Berechnungsverfahren von Pohling und Hellman wird damit unmöglich gemacht. Zurzeit gibt es drei weitere spezielle Verfahren zur Berechnung des diskreten Logarithmus im Primkörper GF( p ). Es sind dies die Verfahren: lineares Sieb, gaußsches Ganzzahlschema und Zahlkörpersieb [4]. Diese Berechnungsverfahren scheitern allerdings, wenn der Modul sehr groß gewählt wird. Ein Körper GF( n ) kann mithilfe eines linearen Schieberegisters nachgebildet werden. Die Rechenoperationen in diesem Körper können deswegen sehr schnell durchgeführt werden. Diese Eigenschaft macht den Körper GF( n ) sehr interessant für eine Realisierung von asymmetrischen Verfahren. Ein spezielles Berechnungsverfahren für diskrete Logarithmen im Körper GF( n ) stammt von Coppersmith [4]. Es scheitert jedoch ebenfalls, wenn der Modul sehr groß gewählt wird. Am geeignetsten scheint die additive Gruppe der Punkte einer elliptischen Kurven über den Körper GF( p ) oder GF( n ) zu sein. Bislang lassen sich nämlich die speziellen Berechnungsverfahren diskreter Logarithmen für Gruppen in GF( p ) und GF( n ) nicht auf eine Punktegruppe einer elliptischen Kurven übertragen. Aus diesem Grund ist es auch nicht notwendig, dass der Modul überproportional groß gewählt wird, um die Sicherheit der Verschlüsselung zu garantieren. Somit wird es möglich, kürzere Schlüssellängen als bisher zu verwenden. Im nächsten Abschnitt wird der Begriff elliptische Kurve veranschaulicht und die Gruppenstruktur, die die Punkte auf einer elliptische Kurve bilden, erläutert. 4. Die Gruppenstruktur der Punkte einer elliptischen Kurve Elliptische Kurven sind in der Mathematik seit langer Zeit bekannt und wohl untersucht. Eine elliptische Kurve ist eine spezielle projektive Kurve, auf der ein Gruppengesetz definiert werden kann. Eine elliptische Kurve E(K) entsteht, wenn man die Nullstellenmenge des homogenen Polynoms g(x,y,z) vom Grad drei der folgenden Gestalt betrachtet. ( 8 ) g( X,Y, Z ) = Y Z + a X Y Z + a Y Z X a X Z a4 X Z a6 Z Die Koeffizienten und die Koordinaten sind dabei Elemente des Körpers K. Zur einfacheren Darstellung wird zunächst für den Körper K der Körper der reellen Zahlen K = K R verwendet. An später Stelle wird der Körper der reellen Zahlen dann durch GF( p ) und GF( n ) ersetzt. Setzt man in Gl.(8) X = x Z und Y = y Z, so lässt sich die Nullstellenmenge nach einiger Zwischenrechnung auf die übliche Darstellung der so genannten kurzen Weierstrass-Form einer elliptischen Kurve bringen. E( K ) = {( x, y ) 3 K K y x ( 9 ) ax b = 0 } Sind P und Q Punkte auf einer elliptischen Kurve E(K), so schneidet die Verbindungsgerade der beiden Punkte die Kurve im Allgemeinen in einem weiteren Punkt. Dieser dritte Schnittpunkt wird an der x-achse gespiegelt. Der gespiegelte Schnittpunkt wird als Verknüpfungsergebnis interpretiert. Formal werden die Punkte P und Q addiert und man schreibt P + Q = R. Da es nicht in jedem Fall einen weiteren Schnittpunkt gibt, führt man zusätzlich den unendlich fernen Punkt Ο ein. Existiert kein weiterer Schnittpunkt, so setzt man P + Q = Ο. Damit eine Gruppenstruktur auf E(K) definiert werden kann, wird ein neutrales Element benötigt. Der unendlich ferne Punkt Ο bildet dann das neutrale Element der Gruppe. Seien P, Q und R Punkte einer elliptischen Kurve E(K), dann bestätigt die Überprüfung der Gruppenaxiome die Behauptung, dass das Paar ({ E(K) Ο }, + ) eine additive Gruppe bildet. ( 10 ) A1 P + Q E(K) A P + ( Q + R ) = ( P + Q ) + R A3 P + Ο = Ο + P = P A4 P + ( P) = Ο Das inverse Element P wird dabei folgendermaßen festgelegt. Ist P = (x,y) E(K), dann ist das inverse Element P = (x,-y). Da die Addition von Kurvenpunkten ferner kommutativ ist, liegt für ({ E(K) Ο }, + ) eine additive abelsche Gruppe vor. Als Nächstes wird die Addition von Punkten betrachtet. Es seien P = (x 1,y 1 ), Q = (x,y ) und R = (x 3,y 3 ) wieder Punkte einer elliptischen Kurve E(K). Bei der Addition von Kurvenpunkten müssen zwei Fälle unterschieden werden. Nach kurzer Zwischenrechnung ergeben sich jeweils folgende Berechnungsvorschriften für die Addition von Kurvenpunkten.

5 Fall 1: x 1 x Die Abbildung 1 zeigt für den Fall 1 die Addition der Punkte P + Q = R. 3 x1 + a m = x 3 = m x1 y 3 = m ( x 3 x1 ) ( 1 ) Gilt x 1 = x 0 und y 1 = y = 0, so ist aufgrund der Definition des inversen Elements der Punkt P zu sich selbst invers. Es ist P = (x 1,0) = -P. Für die Addition folgt dann P + (-P) = Ο, die Tangente verläuft in diesem Fall vertikal und schneidet als dritten Punkt den unendlich fernen Punkt Ο. Die Abbildung 3 veranschaulicht diesen Spezialfall. Der unendlich ferne Punkt Ο ist in Abbildung 3 schematisch dargestellt. Abbildung 1: Addition P + Q = R Der Punkt R = (x 3,y 3 ) berechnet sich folgendermaßen. y m = x1 x x 3 = m x1 x y 3 = m ( x 3 x1 ) ( 11 ) Fall : x 1 = x und y 1 = y 0 Die Abbildung zeigt die Addition gleicher Punkte, P + P = P = R. Abbildung 3: Addition P + (-P) = Ο Im bisherigen Teil dieses Artikels wurden elliptische Kurven über den Körper der reellen Zahlen betrachtet. Ersetzt man den Körper der reellen Zahlen durch das Galois-Feld GF( p ), so verändert sich die elliptische Kurve von einer stetigen Kurve zu einer Punktewolke. Die folgende Abbildung 4 zeigt ein Beispiel einer elliptische Kurve über GF( p ). Abbildung : Addition P + P = P = R Der Punkt R = (x 3,y 3 ) berechnet sich nach folgender Formel. Abbildung 4: Elliptische Kurve über GF(p)

6 Die Gl.(9) verändert sich dann zu 3 y x ax b 0 mod p. (13) In gleicher Weise müssen die Gln.(11) und (1) um die Modulo-Rechnung ergänzt werden. 5. Verschlüsselung mit elliptischen Kurven In [] werden verschiedene Varianten für die Verschlüsselung mit elliptischen Kurven beschrieben. Im Rahmen dieses Artikels können nicht alle Varianten vorgestellt werden. Im Folgenden wird deswegen nur eine Variante vorgestellt. Zunächst muss eine vertrauenswürdige Zertifizierungsstelle die Schlüsselgenerierung durchführen. Diese erzeugt wieder den öffentlichen und den privaten Schlüssel personenbezogen. Die Zertifizierungsstelle wählt eine geeignete elliptische Kurve E(GF(p)) sowie einen Punkt P auf dieser Kurve. Die Zahl p stellt dabei eine große Primzahl dar, sie bildet den Modul. Zusätzlich wird eine große Zufallszahl d gewählt und der Punkt Q = d P (14) durch Anwendung von Gl.(1) berechnet. Der öffentliche Schlüssel besteht dann aus dem Tripel (E(GF(p)), P, Q). Der geheime Schlüssel besteht aus der Zufallszahl d. Möchte Alice eine verschlüsselte Nachricht an Bob schicken, so besorgt Sie sich Bobs öffentlichen Schlüssel (E(GF(p)), P, Q). Alice wählt in jedem Chiffrierschritt zusätzlich eine große Zufallszahl k. Sie chiffriert die Nachricht m < p nach der Formel ( x1, ) = k P, ( x, y ) = k Q, (15) c m x mod p. Alice wählt die Zufallszahl k der Art, dass stets x 0 ist. Alice schickt dann das Chiffre-Tripel (x 1, y 1, c) an Bob. Bob dechiffriert mithilfe seines privaten Schlüssels d nach der Formel ( x, y ) = d ( x1, ), (16) m c x 1 mod p. Die Überprüfung, ob Bob den Klartext m ohne die Kenntnis der Zufallszahl k richtig berechnet, zeigt die folgende Probe für x. (17) ( x, y ) = k Q = d k P = d ( x1, ) Eve, die Lauscherin, möchte die Nachrichten zwischen Alice und Bob mitlesen können und besorgt sich deswegen Bobs öffentlichen Schlüssel (E(GF(p)), P, Q). Für das Brechen der Chiffre könnte Alice zwei Möglichkeiten probieren. Möglichkeit 1 Eve könnte versuchen die Gl.(14) auszuwerten und mithilfe der Kenntnis der Punkte P und Q den geheimen Schlüssel d zu berechnen. Ist der geheime Schlüssel d gefunden, so ist die Verschlüsselung ein für alle Mal gebrochen. Möglichkeit Eve fängt das Chiffre-Tripel (x 1, y 1, c) ab und versucht Gl.(15) anzuwenden. Mithilfe der Punkte (x 1,y 1 ) und P versucht Eve die Zufallszahl k zu bestimmen. Kennt Eve die Zufallszahl k, so kann Sie den Punkt (x,y ) bestimmen und damit auch die modulare Inverse x -1, was sie schließlich zum Klartext m führt. Beide Möglichkeiten lassen sich auf das Problem zurückführen, eine Gleichung der Form Q = d P zu lösen. Eve kennt die Punkte P und Q und muss daraus die skalare Größe d berechnen. Für die Berechnung hat sie nur die Möglichkeit, den Punkt P mehrfach aufzuaddieren. Eve geht dabei rekursiv nach folgendem Schema vor und prüft bei jedem Schritt, ob der Punkt Q erreicht ist.? P + P = P = P = Q? P + P = P3 = 3 P = Q (18) M? Pd 1 + P = Pd = d P = Q Das rekursive Schema von Gl.(18) erweckt den Eindruck, als könnte Eve die skalare Größe d schnell berechnen. Um sich Klarheit zu beschaffen, ob Eve erfolgreich sein kann, dient die folgende Abschätzung. Nimmt man an, dass die Zertifizierungsstelle für die Zufallsgröße d eine Länge von 150 Bit gewählt hat und dass Eve die Länge dieser Zufallszahl kennt. Sie braucht deswegen nur die Punkte P bis P einer näheren Untersuchung zu unterziehen. Setzt man voraus, dass Eve über eine gigantische Rechenleistung verfügt, womit sie 10 0

7 Kurvenpunkte pro Sekunde addieren könnte, so zeigt die Abschätzung, dass Eve etwa immer noch s = Jahre benötigt, um die skalare Größe d zu finden. Nebenbei bemerkt, das Alter der Erde beträgt dagegen nur etwa Jahre. Eve hat also keine Chance, weder den geheimen Schlüssel d in annehmbarer Zeit zu bestimmen, noch ist sie in der Lage, das Chiffre-Tripel (x 1, y 1, c) zu entziffern. Bob benötigt selbstverständlich für die Entschlüsselung der Chiffre mit seinem geheimen Schlüssel d gemäß Gl.(16) nicht so lange wie Eve. Mithilfe der so genannten Montgomery-Multiplikation ist Bob in der Lage in log (d) Schritten den Kurvenpunkt Q = d P zu berechnen. Man denkt sich dazu d binär dargestellt und addiert entsprechend dem Bitmuster von d die Punkte P, P, P, 4 P, usw. auf. Obwohl in diesem Fall eine skalare Multiplikation mit einem Kurvenpunkt vorliegt und keine modulare Exponentialfunktion, spricht man bei diesem inversen Problem ebenfalls vom diskreten Logarithmus. Die Bezeichnung Logarithmus erklärt sich daraus, dass ähnlich wie bei der modularen Potenz die Umkehrabbildung für die Funktion (19) GF(p) x E(GF(p)) E(GF(p)) : d d P nicht existiert. Die Eigenschaft, dass die skalare Größe d nicht in annehmbarer Zeit berechnet werden kann, ermöglicht bei gleicher Sicherheit der Verschlüsselung im Fall von elliptischen Kurven eine deutlich kürzere Schlüssellänge als bei RSA oder ElGamal. Die Abbildung 5 veranschaulicht diese Aussage grafisch und zeigt den Vergleich der Schlüssellängen zwischen der RSA-Verschlüsselung und der Verschlüsselung mit elliptischen Kurven (ECC) bei jeweils gleicher Sicherheit. Abbildung 5: Vergleich der Schlüssellängen bei gleicher Sicherheit zwischen RSA und ECC Zusammenfassung Als eine neue Art der asymmetrischen Verschlüsselung empfehlen sich elliptischen Kurven. Im Vergleich zu einer RSA- oder ElGamal-Verschlüsselung bringt diese Methode den Vorteil, kürzerer Schlüssellängen ohne dabei Abstriche bei der Sicherheit der Verschlüsselung machen zu müssen. Ein kürzerer Schlüssel bedingt einen geringeren Rechenaufwand und damit auch niedrigere Kosten für die Verschlüsselungshardware. Verschlüsselungsmethoden mit elliptischen Kurven sind bestens geeignet für Anwendungen mit Chipkarten, Mobiltelefonen oder PDAs. Zurzeit durchlaufen Verschlüsselungsmethoden mit elliptischen Kurven einen Standardisierungsprozess []. Nach Abschluss der Standardisierung rechnet die Fachwelt mit einem großen Durchbruch für Verschlüsselungsmethoden mittels elliptischer Kurven. Literaturverzeichnis [ 1 ] Bernd Banzhaf: Verschlüsselung mit elliptischen Kurven, Studienarbeit im Fachbereich Informationstechnik der FHT Esslingen, Sommersemester 004. [ ] IEEE P1363 Part IV Draft [ 3 ] Annette Werner: Elliptische Kurven in der Kryptographie Springer Verlag, 00. [ 4 ] Bruce Schneier: Angewandte Kryptographie Addison-Wesley, Autoren Dipl.-Ing. Bernd Banzhaf studierte Technische Informatik im Fachbereich Informationstechnik. Im Rahmen seiner Studienarbeit beschäftigte er sich mit Verschlüsselungsverfahren mithilfe elliptischer Kurven. In seiner Diplomarbeit nahm er die kryptografischen Schwachstellen bei Bluetooth näher unter die Lupe. Im Wintersemester 004/05 schloss er sein Studium erfolgreich ab. Prof. Dr.-Ing. Reinhard Schmidt ist Studiengangleiter für den Studiengang Kommunikationstechnik im Fachbereich Informationstechnik. Er lehrt unter anderem das Fach Kryptologie.