Vorlesung Informationssicherheit

Transkript

1 1 / 108 Vorlesung Informationssicherheit Thema 4: Algorithmen der Kryptographie Robert Baumgartl 9. Mai 2015

2 2 / 108 Überblick Data Encryption Standard (DES) Triple DES Advanced Encryption Standard (AES) RSA DSA Zero-Knowledge

3 3 / 108 Symmetrische Verschlüsselung mittels Data Encryption Standard (DES) Ergebnis eines durch das National Bureau of Standards ausgeschriebenen Wettbewerbs von IBM im Jahre 1974 erstmalig beschrieben Prüfung/Mitentwicklung durch NSA Standard ANSI X3.92, 1981 Prüfung alle 5 Jahre, ob Standard noch den Erfordernissen eines Kryptosystems entspricht ( 1987, 1993 re-zertifiziert) Schlüssellänge: 56 Bit blockbasiertes Verfahren: 64 Bit Klartext 64 Bit Chiffrat erstes erfolgreiches Verschlüsselungsverfahren für Rechnereinsatz; Grundlage für alle modernen Verfahren (Literatur: Reinhard Wobst: Abenteuer Kryptologie. Addison-Wesley, S. 126ff.)

4 DES Überblick 63 Klartext 0 Ausgangspermutation Eingangspermutation 31 L R0 0 Komponenten: f K1 Eingangspermutation (IP) L1 = R0 R1 = L0 f (R0, K1) K2 f L2 = R1 R2 = L1 f (R1, K2) usw. L15 = R14 R15 = L14 f (R14, K15) K16 f R16 = L15 f (R15, K16) L16 = R15 Zerlegung in rechte (R) und linke (L) Hälfte 16 identische Runden, die Daten mit Schlüssel kombinieren (Funktion f ) Zusammenfügen von R und L Schlusspermutation (IP 1 ) 63 Chiffrat 0 4 / 108

5 5 / 108 DES Eingangspermutation Tabelle: Eingangspermutation Lies: Bit 58 des Klartextes wird auf Bit 1 der Permutation abgebildet, Bit 50 des Klartextes auf Bit 2 der Permutation usw.

6 6 / 108 DES Anmerkungen zum Algorithmus Schlüssel ist eigentlich auch 64bittig, 8 Bit dienen jedoch der Paritätsprüfung (jedes Byte muss ungerade Parität haben) für jede der 16 Runden wird aus dem 56-Bit-Schlüssel K ein Subschlüssel K i mit 48 Bit Länge generiert Struktur des DES-Algorithmus ist ziemlich regulär; eine so genannte Feistel-Chiffre ( nächste Folie) Entschlüsselung in umgekehrter Reihenfolge der 16 Runden sehr leicht in Hardware zu synthetisieren (keine Additionen/Multiplikationen, nur Verschiebungen, Permutationen und XOR)

7 7 / 108 DES Feistel-Chiffre Eingangsdatenblock Runde i Funktionsblock vieler symmetrischer Verfahren Verschlüsselung: Li Ri L i+1 = R i R i+1 = L i f (R i, K i+1 ) XOR fi(ri, Ki+1) f Rundenschlüssel Ki+1 Entschlüsselung daraus ableitbar: R i = L i+1 L i = L i f (R i, K i+1 ) } {{ } f (R i, K i+1 ) Li+1 Ri+1 = R i+1 f (R i, K i+1 ) Ausgangsdatenblock Runde i keine Umkehrfunktion f 1 (R, K ) nötig Ver- und Entschlüsselung mit gleicher Funktion f (R, K )

8 Struktur einer Runde (f (R i 1, K i )) 8 / 108 Ri 1 Ki 32 Bit 48 Bit E Expansion 48 Bit 48 Bit 6 Bit S-Boxen S1 S2 S3 S4 S5 S6 S7 S8 4 Bit 8 4 Bit 8 6 Bit Substitution 32 Bit P Permutation 32 Bit

9 9 / 108 S-Boxen (Substitution Boxen) zentraler Bestandteil jedes symmetrischen Krypografie-Verfahrens nichtlineare Substitution; m Eingangs- werden auf n Ausgangsbits abgebildet S-Boxen in DES sind mythenumrankt, da Prinzipien ihres Entwurfs nicht offengelegt wurden Mittlere 4 Bits (b 1... b 5 ) des Eingabewertes b 0 b Tabelle: Beispiel: S-Box 5 für DES (es gibt 8 verschiedene)

10 10 / 108 Zur Sicherheit von DES bislang kein kryptanalytischer Angriff publiziert (unbewiesener) Verdacht, NSA könnte eine Hintertür eingebaut haben Hauptmanko: Schlüssellänge von 56 Bit ist zu kurz Wettbewerb DES Challenge ( Wer schafft es als erster, zu einem vorgegebenen DES-Schlüssel die zugehörige Passphrase per Brute-Force-Angriff zu ermitteln? ) DES Challenge, 1997: t = 96d benötigt DES Challenge II-1, 1998: t = 48d (distributed.net) DES Challenge II-2, 1998: t = 56h mittels Deep Crack, einem parallelen Spezialsystem, $ DES Challenge III, 1999: t = 22h15min

11 11 / 108 Betriebsmodi (nicht nur, aber auch von DES) Electronic Codebook Modus (ECB) 1:1-Abbildung Klartextblock Chiffratblock Blöcke sind voneinander unabhängig Blockoperationen parallelisierbar gleicher Klartext erzeugt stets identisches Chiffrat fehlertolerant: Bitfehler im Chiffrat verfälscht nur einen Klartextblock angreifbar mit statistischen Methoden bei Wissen über Klartext

12 12 / 108 Angriff auf ECB mittels Block Replay ECB-verschlüsselter Datenaustausch mit Bank Blocknummern Absenderbank Zeitstempel Empfängerbank Kontoinhaber Konto-Nr. Betrag Abbildung: Beispiel für Format eines Datensatzes Mallory zeichnet Datenverkehr zwischen Bank A und Bank B auf Mallory überweist zweimal einen festen Betrag von A nach B (bis auf Zeitstempel identische Nachrichten) bei allen abgehörten Nachrichten tauscht er die Felder 5-12 mit den Daten aus seinen Überweisungen aus Grundproblem: ECB erlaubt das Austauschen einzelner Blöcke Blöcke dürfen nicht unabhängig sein CBC

13 13 / 108 Betriebsmodi (nicht nur, aber auch von DES) Cipher Block Chaining (CBC) Ergebnis früherer Verschlüsselungen fließt mit in Verschlüsselung des aktuellen Blockes ein (Rückkopplung) Klartextblock wird vor Verschlüsselung mit vorherigem Chiffratblock XOR-verknüpft: C i = E K (P i C i 1 ) Entschlüsselung umgekehrt; der Block wird nach Entschlüsselung mit dem vorangehenden Chiffratblock XOR-verknüpft: P i = C i 1 D K (C i ) erster Block benötigt einen zufälligen Initialisierungsvektor (IV)

14 Ver- und Entschlüsselung bei CBC 14 / 108 P i 1 P i P i+1 C i 1 C i C i+1 K K K E K E K E K K K K D K D K D K C i 1 C i C i+1 P i 1 P i P i+1 Abbildung: Verschlüsselung Abbildung: Entschlüsselung

15 Fehlertoleranz bei CBC 15 / 108 Bitfehler im Chiffrat: enthaltender Block unbrauchbar nachfolgender Block hat einen 1-Bit-Fehler an der entsprechenden Position übernächster Block nicht betroffen Selbstsynchronisation auf Blockebene Entfernen oder Einfügen eines Bits in das Chiffrat: alle nachfolgenden Blöcke unbrauchbar Synchronisationsfehler nicht toleriert externe Rahmenstruktur mit Prüfsummen/CRC nötig

16 16 / 108 Betriebsmodi Cipher Feedback Modus (CFM) Nachteil des CBC: ganzer Klartextblock benötigt, bevor Verschlüsselung startet für byteweise Verarbeitung ungeeignet (z. B. ein sicheres Terminal) Nutzung von blockbasierten Verfahren zur Implementierung einer Stromchiffre Idee: Der im vorangegangenen Schritt verschlüsselte Block wird nochmals verschlüsselt und in beliebiger Granularität per XOR mit dem Klartextblock verknüpft. C i = P i E K (C i 1 ) P i = C i E K (C i 1 )

17 17 / 108 Betriebsmodi Anmerkungen Ablauf: 1. Initialisierung eines Schieberegisters mit Initialisierungsvektor 2. blockweise Verschlüsselung des Schieberegisters 3. XOR-Operation von n Bit des Chiffrats (k i ) mit n Bit des Plaintexts (p i ) 4. Ausgabe/Übertragung der resultierenden n Bit (c i ) 5. gleichzeitige Rückkopplung von c i in das Schieberegister und Verschiebung desselben um n Bit 6. GOTO 2

18 Cipher Feedback Modus (CFM) Verschlüsselung (Prinzip) Schieberegister K Verschlüsselung Byte ganz links k i p i c i Übertragung Verschlüsselung im Cipher Feedback Mode (byteweise, d. h., n = 8) 18 / 108

19 19 / 108 Cipher Feedback Modus bei Entschlüsselung sind p i und c i vertauscht Initialisierungsvektor benötigt Granularität der Ausgabe (fast) beliebig: Byte, 16 Bit, 1 Bit usw. Fehler im Klartext bleibt unentdeckt (wird wieder in fehlerhaften Klartext entschlüsselt) Bitfehler im Chiffrat macht n Ausgabeblöcke unbrauchbar (n = Größe des Schieberegisters) fehlende Bits und eingeschobene Fehlerbits ebenso CFM stabilisiert sich auf Blockebene

20 Output Feedback Modus (OFM) Verschlüsselung (Prinzip) Schieberegister K Verschlüsselung Byte ganz links k i p i c i Übertragung Verschlüsselung im Output Feedback Mode (byteweise, d. h., n = 8) 20 / 108

21 21 / 108 Output Feedback Modus (OFM) Anmerkungen Rückkopplung des Resultatbytes k i vor XOR-Verknüpfung mit Plaintextbyte p i : C i = P i S i S i = E K (S i 1 ) P I = C i S i S i = E K (S i 1 ) sonst identisch zu CFM (d. h., IV benötigt; Geheimhaltung nicht erforderlich) Hauptarbeit (Erzeugung des Stroms S i ) kann offline erfolgen 1-Bit-Fehler im Chiffrat führt zu 1-Bit-Fehler im Klartext Synchronisationsfehler katastrophal (vollständiger Informationsverlust)

22 22 / 108 Kombination von Blockchiffren Idee: Weiternutzung eines (bewährten) Verfahrens Verlängerung des Schlüssels Erhöhung der Sicherheit des Verfahrens Mehrfachverschlüsselung = Hintereinanderausführung einund desselben Algorithmus mit unterschiedlichen Schlüsseln. bei Nutzung gleicher Schlüssel bleibt Komplexität eines Brute-Force-Angriffes konstant ( Ziel verfehlt)

23 Wie oft soll ich nun DES o. ä. ausführen? 1 Bitte nicht mit Man-in-the-Middle-Angriff verwechseln! 23 / 108 Doppelte Verschlüsselung: C = E K2 (E K1 (P)) Hat K eine Breite von n Bits, so müssen 2 n Schlüssel probiert werden. Also müssen bei doppelter Verschlüsselung 2 2n Schlüssel probiert werden, oder? Antwort: Nein! Es gibt den sog. Meet-in-the-Middle-Angriff 1, eine spezielle Form eines Known-Plaintext-Angriffs

24 Meet-in-the-Middle-Angriff 24 / Chiffrate C 1, C 2 und 2 (zugehörige) Plaintexte P 1, P 2 müssen bekannt sein: C 1 = E K2 (E K1 (P 1 )) C 2 = E K2 (E K1 (P 2 )) Angriffsidee ( von beiden Seiten ): 1. P 1 mit allen möglichen Schlüsseln verschlüsseln und Chiffrate abspeichern 2. C 1 mit allen möglichen Schlüsseln entschlüsseln und Ergebnis mit allen Chiffraten aus 1. vergleichen 3. bei Gleichheit: zugehörige Schlüssel nutzen, um P 2 (doppelt) zu verschlüsseln; Ergebnis = C 2 Schlüssel aus 1. ist K 1, Schlüssel aus 2. ist K 2 4. ansonsten weiterprobieren

25 25 / 108 Meet-in-the-Middle-Angriff Schlußfolgerung benötigt viel Speicherplatz (für 2 n Blöcke) Es müssen bei n Bit Schlüssellänge 2 2 n Schlüssel durchprobiert werden Schlußfolgerung: Ist ein Meet-in-the-Middle-Angriff möglich, dann führt die doppelte Verschlüsselung nicht zur Erschwerung des Brute-Force-Angriffes von 2 n auf 2 2n Versuche, sondern nur zu 2 n+1. Fazit: doppelte Verschlüsselung ist (so gut wie) nutzlos! Abhilfe: dreifach verschlüsseln!

26 26 / 108 Triple DES (3DES) Struktur Verschlüsselung DES DES DES E(K 1 ) D(K 2 ) E(K 3 ) Klartext Chiffrat Entschlüsselung DES DES DES D(K 1 ) E(K 2 ) D(K 3 )

27 27 / 108 Triple DES Anmerkungen drei verschiedene Schlüssel nötig Verschlüsselung: C = E K3 (D K2 (E K1 (P))) sog. Encryption-Decryption-Encryption (EDE-Modus) sicherer als aufeinanderfolgende Verschlüsselung Entschlüsselung (analog): P = D K1 (E K2 (D K3 (C))) als ähnlich sicher angesehen wie modernere Verfahren (IDEA, AES) dreifacher Verarbeitungsaufwand (!)

28 28 / 108 Advanced Encryption Standard (AES) AES Rijmen&Daemen, 1998 ursprüngliche Bezeichung: Rijndael in einem mehrere Runden umfassenden Wettbewerb aus mehreren Bewerbungen (u. a. Twofish, RC6, Rijndael) als Nachfolger für DES ausgewählt blockbasiert (128 Bit), Schlüsselgrößen 128, 192 und 256 Bit. Struktur ist keine Feistel-Chiffre, sondern ein Substitution-Permutation Network nicht patentiert, offener Algorithmus zur Zeit einer der meistverwendetsten symmetrischen Algorithmen sehr hohes Maß an Sicherheit Referenzimplementierung nur 500 Zeilen C-Code effizient sowohl in Soft- und Hardwareimplementierungen

29 29 / 108 AES Anwendungen: WPA2 SSH IPsec Dateiverschlüsselungen: 7-Zip, RAR...

30 30 / 108 Weitere Blockchiffrierungsverfahren Lucifer (1971) FEAL (1990) LOKI (1990) IDEA (1991) Blowfish (1994) Tiny Encryption Algorithm (TEA; 1994) Praktikum RC6 (1997) Serpent (1998) Twofish (1998) Camellia (2000) Threefish (2008)...

31 31 / 108 Exkurs: Rechnen mit Restklassen aka Modulo-Arithmetik Aufgabe: Rudi ist um 7.00 Uhr aufgestanden und (nach eigenen Angaben) seit 34 Stunden auf den Beinen. Wie spät ist es? Lösung: (7 + 34) mod 24 = 41 mod 24 = 17 mod 24 Es ist offensichtlich Uhr. Man sagt: 41 und 17 sind äquivalent modulo 24 und notiert (7 + 34) 17 mod 24

32 32 / 108 Rechnen mit Restklassen Allgemein gilt a b mod n iff k : a = b + kn k Z ( a ist kongruent zu b modulo n genau dann, wenn es ein ganzzahliges k gibt mit... ) wenn a > 0 und 0 b < n, dann ist b der Rest der Division a/n a mod n wird häufig modulare Reduktion (von a) genannt Rechenregeln: (a + b) mod n = ((a mod n) + (b mod n)) mod n (a b) mod n = ((a mod n) (b mod n)) mod n (a b) mod n = ((a mod n) (b mod n)) mod n (a(b + c)) mod n = ((ab mod n) + (ac mod n)) mod n

33 2 im Sinne von sehr lange dauern 33 / 108 Rechnen mit Restklassen gern in Kryptografie eingesetzt, da bestimmte Berechnungen modulo n schwierig 2 sind Zwischenergebnisse haben beschränkten Wertebereich

34 34 / 108 Modulare Exponentiation Eine wichtige Operation, z. B. für RSA, ist a x mod n Berechnung am Beispiel y = a 8 mod n 1. naiver Ansatz y = (a a a a a a a a) mod n Zwischenergebnis sehr groß, schlecht zu speichern 2. Kombination von Potenzierung und modularer Reduktion y = ((a 2 mod n) 2 mod n) 2 mod n Schön und gut, was aber tun, wenn x keine Zweierpotenz?

35 Modulare Exponentiation Binäre Exponentiation ( Square-and-multiply ) von x e 35 / 108 Idee: Binärdarstellung des Exponenten e drückt diesen als Summe von Zweierpotenzen aus! Algorithmus zur Berechnung von y = x e : e als Binärzahl darstellen Binärdarstellung von e bitweise von links beginnend lesen wenn Bit = 1, dann QM notieren wenn Bit = 0, dann Q notieren Initialwert: y = 1 wiederum von links beginnend generierte Zeichenkette analysieren wenn Zeichen = Q, dann y quadrieren wenn Zeichen = M, dann y mit x multiplizieren

36 36 / 108 Modulare Exponentiation Binäre Exponentiation - Beispiel Berechnung von x 42 Es gilt: = d. h., 42 = = QM Q QM Q QM Q Initialwert 1 2 x ( x ) 2 ( x 2 ) 2 x ( x 5 ) 2 ( x 10 ) 2 x ( x 21 ) 2 d. h., x 42 = ((((x 2 ) 2 x) 2 ) 2 x) 2

37 37 / 108 Modulare Exponentiation Kombination mit Modulo-Operation: Berechnung von y = x e mod p da gilt: (a b) mod n = ((a mod n) (b mod n)) mod n, muss Modulo-Operation nach jeder Multiplikation und nach jeder Quadrierung ausgeführt werden Beispiel: Berechnung von x 25 mod p Es gilt: = d. h., QM QM Q Q QM x 25 mod p = (((((((x 2 mod p) x) mod p) 2 mod p) 2 mod p) 2 mod p) x) mod p benötigt 6 Multiplikationen und 6 Modulo-Operationen

38 Diskreter Logarithmus Def. Eine primitive Wurzel modulo p ist eine Zahl a, deren Potenzen modulo p alle Werte zwischen 1 und p 1 generieren kann. Beispiel: 5 1 = = 5 ( mod 7) ( mod 7) ( mod 7) ( mod 7) ( mod 7) ( mod 7) Das bedeutet, in diesem Fall können wir für jedes y < p ermitteln, welches x die Gleichung f (x) = y = a x mod p erfüllt. Wir nennen x den diskreten Logarithmus modulo p von y. 38 / 108

39 Diskreter Logarithmus 39 / 108 x y Abbildung: Graph des diskreten Logarithmus für y = 17 x mod 107

40 40 / 108 Diskreter Logarithmus Schlussfolgerung / Zusammenfassung: modulare Exponentiation f (x) = a x mod p ist leicht zu berechnen (geringer Aufwand) Umkehrung der modularen Exponentiation ( diskreter Logarithmus ) f 1 (x) = a x mod p ist sehr schwierig Einwegfunktion

41 Diffie-Hellman-Protokoll 41 / 108 Anwendung des diskreten Logarithmus: Schlüsselgenerierung und -austausch mittels Diffie-Hellman-Protokoll: 1. Bob und Alice einigen sich auf eine große Primzahl p und eine primitive Wurzel g modulo p. 2. Alice wählt eine (große) zufällige Zahl i (Alice geheimer Schlüssel) und berechnet A = g i mod p (Alice öffentlicher Schlüssel). 3. Bob wählt eine (große) zufällige Zahl j (Bobs geheimer Schlüssel) und berechnet B = g j mod p (Bobs öffentlicher Schlüssel). 4. Alice sendet A an Bob, Bob sendet B an Alice. 5. Alice berechnet K = B i mod p = (g j mod p) i mod p = g ij mod p, den geheimen Sitzungsschlüssel. 6. Bob berechnet K = A j mod p = (g i mod p) j mod p = g ij mod p.

42 42 / 108 Anmerkungen zum Diffie-Hellman-Protokoll g muss primitiv modulo p sein, d.h. es muss stets ein l geben, so dass g l b mod p 1 b < p. Eve kann A und B abfangen, es nützt ihr aber nichts, sie kann g ij mod p nicht aus g i mod p und g j mod p berechnen, denn dazu müßte sie i und j ermitteln (den diskreten Logarithmus modulo p von A und B zur Basis g) Mallory ist (leider) mächtiger; er kann einen Man-in-the-Middle-Attack durchführen!

43 43 / 108 Diffie-Hellman-Protokoll Beispiel Alice Bob g = 4, p = 11 i = 3 j = 4 A = 4 3 mod 11 = 9 B = 4 4 mod 11 = 3 A = 9 Bob Alice B = 3 K = B i mod p K = A j mod p = 3 3 mod 11 = 5 = 9 4 mod 11 = 5

44 El-Gamal-Verschlüsselung 3 Der gesamte öffentliche Schlüssel umfasst (g, p, A) 44 / klitzekleine Erweiterung des DH-Schlüsselaustausches Schlüsselgenerierung Alice wählt eine Primzahl p und eine primitive Wurzel g mod p Alice wählt einen zufälligen Exponenten i {0,..., p 2}; ihren privaten Schlüssel Alice errechnet A = g i mod p, ihren öffentlichen Schlüssel 3 Verschlüsselung Bob beschafft sich (g, p, A) Bob wählt einen zufälligen Wert j {0,... p 2} und berechnet B = g j mod p Bob teilt die Klartextnachricht in Blöcke m k der Länge {0, 1,..., p 1} ein und berechnet dann die Chiffratblöcke c k c k = A j m k mod p (er multipliziert die Klartextblöcke mit dem DH-Session-Key)

45 El-Gamal-Verschlüsselung 45 / 108 Entschlüsselung Alice besorgt sich B und die Chiffratblöcke c k dividiert die Chiffratblöcke durch den DH-Session-Key c k m k = B j mod p dies tut sie jedoch nicht direkt (sie müßte das zu c k multiplikativ inverse Element finden), sondern sie berechnet den Exponenten x: x = p 1 i und ermittelt dann für jeden Chiffratblock c k Dies funktioniert, weil B x c k mod p = m k B x c k g j(p 1 i) A j m k (g p 1 ) j (g i ) j A j m k gilt. A j A j m k m k (mod p) = m k

46 46 / 108 El-Gamal-Verschlüsselung Beispiel Alice p = 23, g = 7, i = 6 A = g i mod p = 7 6 mod 23 = 4 x = p 1 i = = 16 m = B x c mod p = mod 23 = 17 (p, g, A) = (23, 7, 4) Bob Alice (20, 19) = (B, c) Bob j = 13 B = g j mod p = 7 13 mod 23 = 20 Klartext block m = 17 c = A j m mod p = mod 23 = 19

47 Exkurs 2: Primzahlen Def. Eine natürliche Zahl p ist eine Primzahl, wenn sie genau zwei Teiler hat. 0 und 1 sind keine Primzahlen Beispiele: 2, 3, 5, 7, 11,..., 73,..., (gegenwärtig größte bekannte) 4 Primzahlen mit Abstand 2 sind so genannte Primzahlzwillinge 5 ; z. B. (3,5), (101, 103), ( ± 1) Hat p mehr als 2 Teiler, so ist sie eine zusammengesetzte Zahl (ein Produkt von Primzahlen). kein Verfahren, Funktion, Formel usw. bekannt, effizient (große) Zahlen in Primfaktoren zu zerlegen Deren (Un)endlichkeit ist bislang nicht bewiesen. 47 / 108

48 48 / 108 Primzahlen Unendlichkeit von Primzahlen Satz: Es gibt unendliche viele Primzahlen. Beweis (Euklid, 300 v. u. Z.): Angenommen, es gäbe endlich viele Primzahlen p 1, p 2,..., p n. dann kann m = p 1 p 2... p n + 1 keine Primzahl sein wenn m keine Primzahl ist, muss sie zusammengesetzt sein, also Primfaktor q enthalten mit q m = p 1 p 2... p n + 1 da q in {p 1, p 2,..., p n } enthalten sein muss (denn das sind alle Primzahlen, die es gibt), muss auch gelten q p 1 p 2... p n = m 1 aus q m und q (m 1) folgt q m (m 1), also q 1. Da aber keine Primzahl 1 teilt, haben wir einen Widerspruch. Die Annahme endlich vieler Primzahlen ist somit falsch.

49 Generierung von Primzahlen Sieb des Eratosthenes (Eratosthenes von Kyrene, ca v. u. Z.) Algorithmus: 1. Man schreibe alle Zahlen von 2 bis zum gewünschten Maximum M auf. 2. Es sei n die kleinste nicht gestrichene und nicht markierte Zahl. Man markiere n und streiche dann alle Vielfache von n aus. 3. Man führe Schritt 2 für alle n M aus. 4. Alle markierten und alle nicht gestrichenen Zahlen sind Primzahlen. Beispiel (M = 100): / 108

50 50 / 108 Generierung von Primzahlen Weitaus effizientere Algorithmen existieren: Fermatscher Primzahltest Miller-Rabin-Test (1974) Sieb von Atkin (1999) AKS-Primzahltest (2002; polynomielle Laufzeit)

51 Eulersche ϕ-funktion 51 / 108 Definition (Eulersche ϕ-funktion) ϕ(n) ist die Anzahl der zu n teilerfremden positiven ganzen Zahlen, die nicht größer sind als n. formal: ϕ(n) = {1 a n ggt(n, a) = 1} ( ϕ(n) ist die Mächtigkeit der Menge, die alle Zahlen a enthält, die teilerfremd zu n sind. ) zahlentheoretische Funktion Beispiele: ϕ(1) = 1 ϕ(2) = 1 ϕ(6) = 2 (a {1, 5}) ϕ(7) = 6 (Primzahl!) ϕ(15) = 8 (a {1, 2, 4, 7, 8, 11, 13, 14})

52 52 / 108 Eulersche ϕ-funktion und Primzahlen Wenn p prim, dann ϕ(p) = p 1. Wenn p und q prim, dann ϕ(pq) = (p 1)(q 1). Beweis: Es gibt genau pq 1 Zahlen, die kleiner als pq sind. Unter diesen gibt es (p 1) Vielfache von q und (q 1) Vielfache von p. Alle anderen Zahlen < pq sind keine Teiler von pq, da p und q prim sind. Folglich gilt: ϕ(pq) = (pq 1) (p 1) (q 1) = pq p q + 1 = (p 1)(q 1).

53 Der Satz von Euler 53 / 108 Definition (Satz von Euler) Es seien m, n zwei teilerfremde natürliche Zahlen. Dann gilt: m ϕ(n) mod n = 1. Für Primzahlen p, q mit p q und n = pq gilt damit (vgl. vorherige Folie) m (p 1)(q 1) mod pq = 1.

54 54 / 108 Größter gemeinsamer Teiler (ggt) Berechnung über Primfaktorzerlegung Idee: Zerlegung beider Operanden in Primfaktoren Produkt der gemeinsamen Faktoren ist der ggt. Beispiel: ggt(468, 1260) Zerlegung in Primfaktoren liefert: 468 = = ggt = = 36 nur für kleine Zahlen praktikabel, da Primfaktorzerlegung algorithmisch aufwändig für große Zahlen

55 55 / 108 Größter gemeinsamer Teiler (ggt) Euklidischer Algorithmus (ca. 500 v. u. Z.) Algorithmus 1 Berechne den ggt(n, a) = 1: if n = 0 then 2: return a 3: else 4: while a 0 do 5: if n > a then 6: n n a 7: else 8: a a n 9: end if 10: end while 11: return n 12: end if

56 56 / 108 Größter gemeinsamer Teiler (ggt) Euklidischer Algorithmus (ca. 500 v. u. Z.) sukzessive Subtraktion kann effizient auf modulo-operation abgebildet werden: { ggt(a, (n mod a)) für a > 0 ggt(n, a) = n für a = 0 mit n > a 0 Algorithmus 2 Berechne den ggt(n, a) = 1: while a 0 do 2: h n mod a 3: n a 4: a h 5: end while 6: return n

57 Euklidischer Algorithmus Beispiel Fazit: ggt(792, 75) = ggt(75, 42) (792 = ) = ggt(42, 33) (75 = ) = ggt(33, 9) (42 = ) = ggt(9, 6) (33 = ) = ggt(6, 3) (9 = ) = ggt(3, 0) (6 = ) = 3 effizienter Algorithmus (viel effizienter als Primfaktorzerlegung!) 57 / 108

58 Erweiterter Euklidischer Algorithmus 58 / 108 generiert zusätzlich zu ggt eine so genannte Linearkombination (aka Vielfachsumme) des ggt: ggt(n, a) = k = v n + u a Algorithmus 3 Berechne k = ggt (n, a) = vn + ua 1: (c, d) (a, n) 2: (u c, v c, u d, v d ) (1, 0, 0, 1) 3: while c 0 do 4: q d/c 5: (c, d) (d qc, c) 6: (u c, v c, u d, v d ) (u d qu c, v d qv c, u c, v c ) 7: end while 8: (k, v, u) (d, v d, u d ) 9: return k, v, u

59 Erweiterter Euklidischer Algorithmus Beispiel Gesucht: ggt(17, 3) = k = v 17 + u 3 Zeile c d u c v c u d v d q k = 1, v = 1, u = 6, also ggt(17, 3) = 1 = / 108

60 Modulare Inverse Satz (Satz von der modularen Inversen) Seien a und n teilerfremde ganze Zahlen (d. h., ggt (n, a) = 1). Dann gibt es eine Ganzzahl b, so dass gilt: a b mod n = 1. ( a ist modulo n invertierbar., b ist das zu a inverse multiplikative Element modulo n. ) Beweis: wenn k = 1, dann gibt es lt. erweitertem euklidischen Algorithmus ganze Zahlen v, u mit 1 = k = ggt(n, a) = v n + u a. Bei (Modulo-)Division durch n liefert linke Seite den Wert 1, rechte Seite den Wert u a mod n (da v n durch n teilbar). Also gilt: Mit u = b folgt die Behauptung. 1 = u a mod n 60 / 108

61 6 in Primfaktoren zu zerlegen 61 / 108 Public-Key-Kryptografie mit RSA Überblick Ron Rivest, Adi Shamir, Leonard Adleman (1977) beruht auf Schwierigkeit, große Zahlen ( Stellen oder mehr) zu faktorisieren 6 (unbewiesene) Vermutung: Die Entschlüsselung eines Chiffrates ohne Kenntnis des Schlüssels ist genauso schwierig wie die Faktorisierung der beiden beteiligten Zahlen Langzahlarithmetik erforderlich eines der am leichtesten zu verstehenden Public-Key-Verfahren

62 62 / 108 RSA Schlüsselgenerierung 1. Wähle zwei verschiedene große Primzahlen p, q. 2. Berechne den sog. RSA-Modul n = pq. 3. Ermittle den Wert der Eulerschen ϕ-funktion für n: ϕ(n) = (p 1)(q 1). 4. Wähle e für den öffentlichen Schlüssel zufällig, so dass 1 < e < ϕ(n) gilt und e und ϕ(n) teilerfremd sind (ggt(ϕ(n), e) = 1).

63 63 / 108 RSA Schlüsselgenerierung - Teil 2 5. Es muss für den privaten Schlüssel d gelten: e d mod ϕ(n) = 1. Daher wird d mittels des erweiterten euklidischen Algorithmus errechnet: d = e 1 mod (p 1)(q 1). 6. Vernichte p und q. 7. Schlüssel wurden generiert: der öffentliche Schlüssel ist (e, n), der private Schlüssel ist d.

64 64 / 108 RSA (Stark vereinfachtes) Beispiel zur Schlüsselgenerierung 1. p = 47, q = n = = ϕ(3337) = (p 1)(q 1) = = e muss teilerfremd sein zu 3220, e = d = 79 1 mod 3220 = Schlüssel: (e, n) = (79, 3337) d = 1019

65 65 / 108 RSA Vorgang des Ver- und Entschlüsselns Verschlüsselung gegeben: Public Key (e, n), Klartextnachricht m m in Blöcke m i zerlegen, für deren Größe L < n gelten muss blockweise modular exponieren: c i = m e i mod n Entschlüsselung gegeben: Private Key d, Chiffrat c i blockweise modular exponieren p i = c d i mod n

66 66 / 108 RSA Beispiel zum Verschlüsseln Fortsetzung des Beispiels: (e, n) = (79, 3337) d = 1019 m = ( DR DOBBS ) willkürliche Zerlegung in Blöcke von 3 Zeichen m 1 = 688, m 2 = 232, m 3 = 687, m 4 = 966, m 5 = 668, m 6 = 003 (links mit Nullen aufgefüllt!) Verschlüsselung: c 1 = m e 1 mod n = mod 3337 = 1570 c 2 = m e 2 mod n = mod 3337 = 2756 usw. Ergebnis: c =

67 67 / 108 RSA Beispiel zum Entschlüsseln Entschlüsselung: p 1 = c1 d mod n = mod 3337 = 688 p 2 = c2 d mod n = mod 3337 = 232 usw. Ergebnis: p = = m

68 68 / 108 RSA Warum funktioniert das ganze (in a Nutshell)? Nach den Regeln des Rechnens mit Restklassen gilt: c d i mod n = (m e i mod n) d mod n = m ed i mod n =... da definitionsgemäß ed 1 mod ϕ(n), gilt ed = 1 + kϕ(n), k Z, also: = m 1+kϕ(n) i mod n = m i m kϕ(n) i mod n =... per definitionem gilt weiterhin n = pq und ϕ(n) = (p 1)(q 1), also ( = m i m k(p 1)(q 1) i mod pq = m (p 1)(q 1) i ) k mi mod pq

69 69 / 108 RSA Warum funktioniert das ganze (Teil 2)? Der Satz von Euler besagt: x (p 1)(q 1) mod pq = 1, wenn ggt(x, pq) = 1. bezugnehmend auf das letzte Ergebnis ergibt sich so: ( m (p 1)(q 1) i ) k mi mod pq = 1 k m i mod pq =... und da schließlich m i < n = pq, ergibt sich endlich Fazit: RSA funktioniert. = m i mod pq = m i.

70 70 / 108 RSA Bemerkungen viel geringere Geschwindigkeit als symmetrische Verfahren (ca. Faktor 1000) bis zum Jahr 2000 patentiert (RSA Security, Inc.) kryptologisch bislang nicht gebrochen Als öffentlicher Schlüssel wird häufig e = = gewählt

71 71 / 108 Sicherheit von RSA Gegner besitzt e und n um d zu ermitteln, kann er n faktorisieren (in pq). d e 1 mod ((p 1)(q 1)) bislang unbewiesen, ob die Faktorisierung zwingend notwendig ist, um d zu errechnen ebenso möglich: Brute-Force-Angriff auf d (Durchprobieren) nicht sehr erfolgversprechend, da d sehr groß Timing-Angriffe ebenfalls publiziert, jedoch nicht allzu praktikabel p und q müssen vernichtet werden, aus ihnen kann der geheime Schlüssel trivial ermittelt werden.

72 Exkurs: Seitenkanalangriff (Side Channel Attack) 72 / 108 Angriffe richten sich nicht gegen den Algorithmus, sondern eine bestimmte Implementierung es werden bestimmte Parameter des den Algorithmus ausführenden Systems gemessen, z. B. Ausführungszeiten Cache-Hit- (bzw. -Miss-) Rate aufgenommene Leistung elektromagnetische Abstrahlung Geräuschemissionen Aus den ermittelten Parametern werden Informationen über den Programmfluss extrahiert, die das Brechen des Verfahrens (oder eines bestimmten Schlüssels) vereinfachen. Beispiel: durch das Belauschen des Busprotokolls (CPU-RAM) und genauer Kenntnis der Implementation kann man die Schlüssellänge ermitteln.

73 73 / 108 Seitenkanalangriff Beispiel: verschiedene Tasten einer Computertastatur oder eines Geldautomaten produzieren verschiedene Geräusche (für den Menschen nicht unterscheidbar) Aufzeichnen und nachträgliches Auswerten kann Texte, PINs, Passworte ermitteln (z. B. mittels neuronaler Netze) Asonov/Agraval: Keyboard Acoustic Emanations. IEEE Symposium on Security and Privacy, 2004 Gegenmaßnahmen: Reduktion oder Elimination der Emission Vereinheitlichung (z. B. von Cachezugriffen oder Ausführungszeiten) asynchrone CPUs

74 74 / 108 Faktorisierungsverfahren unbekannt, zu welcher Komplexitätsklasse das Problem Faktorisierung gehört Einfachstes Verfahren: Versuchsweise Division bis n Stand der Technik sind die folgenden schwierigen Algorithmen: Kettenbruchmethode Quadratisches Sieb (QS); nur für Zahlen < 110 Dezimalstellen Zahlkörpersieb (Number Field Sieve; NFS); effizientester bislang bekannter Algorithmus Shor-Algorithmus - kann in P faktorisieren, erfordert aber Quantencomputer

75 75 / 108 RSA Factoring Challenge Wettbewerb Wer faktorisiert als erster definierte Zahlen großer Länge? Ziel: Nachweis/Falsifizierung der Sicherheit des RSA-Kryptosystems Preisgeld: $ Beispiel: RSA-100 = =

76 76 / 108 RSA Factoring Challenge Ausgewählte Ergebnisse Zahl Bits Dez.-Stellen Lösungsjahr CPU-Jahre RSA RSA RSA RSA RSA RSA RSA RSA

77 77 / 108 Management öffentlicher Schlüssel Zertifikate Problem: Übereinstimmung öffentlicher Schlüssel Identität Lösung: Zertifikat = Nachricht, die Repräsentation der Identität, zugehörigen öffentlichen Schlüssel, Zeitstempel oder Geltungsdauer enthält und durch eine vertrauenswürdige Instanz (Trent, Issuer, Certification Authority) signiert wurde. Def.: Ein Zertifikat ist eine Einheit, die einen kryptografischen Schlüssel an eine Identität bindet.

78 78 / 108 Management öffentlicher Schlüssel Aufbau eines Zertifikats; formal Ein durch Zertifizierungsinstanz CA ausgestelltes Zertifikat für Nutzer A enthält: Cert(CA,A) = {ID CA, ID A, e A, T, Ext, sig CA } mit Legende: sig CA = d CA {H(ID CA, ID A, e A, T, Ext)} ID A eindeutiger Name des Teilnehmers A e A öffentlicher Schlüssel des Teilnehmers A d CA privater Schlüssel der CA T Gültigkeitszeitraum des Zertifikats sig CA digitale Signatur der CA H(j) kryptografischer Hash über j Ext optionale Erweiterungen nach X.509

79 79 / 108 Verifikation einer digitalen Signatur Schritt 1: Verifikation der Signatur Bob möchte Alice Signatur prüfen. Dazu muss er 1. Alice Zertifikat besorgen (enthält den zur Unterschrift passenden öffentlichen Schlüssel e A ), 2. mit e A den ursprünglichen Hashwert des Dokuments H 1 entschlüsseln, 3. den aktuellen Hashwert des Dokuments H 2 ermitteln, 4. Signatur passt zu Zertifikat, wenn H 1 = H 2.

80 80 / 108 Verifikation einer digitalen Signatur Schritt 2: Verifikation des Zertifikates Nun muss Bob prüfen, ob das Zertifikat stimmt: 1. den öffentlichen Schlüssel e CA der CA besorgen, die Alice Zertifikat ausgestellt hat, 2. mit e CA den ursprünglichen Hashwert des Zertifikats H 3 entschlüsseln, 3. den aktuellen Hashwert des Zertifikats H 4 ermitteln, 4. das Zertifikat ist gültig, wenn H 3 = H 4.

81 Bob verifiziert Alice Signatur 81 / 108 Root-CA CA Cert(CA, CA) CA1 Cert(CA, CA1) Bob Alice Cert(CA1, Alice) Text sig Alice [Text]

82 82 / 108 Aufbau eines Zertifikates X.509 (ISO Authentication Framework) Version Seriennummer Algorithmenidentifikation Aussteller (Issuer) Geltungsdauer Betreff (Subject) Public Key Signatur Version: des Protokolls (1, 2 oder 3) Seriennummer: eindeutig innerhalb der CA Algorithmus: der Signatur (zum Nachvollzug) Aussteller: eindeutiger Name der CA Betreff: dem Public Key zugeordnete Identität Signatur: ausgestellt durch CA

83 Zertifikatseigenschaften 83 / 108 Abbildung: Issuer und Subject im Zertifikat (Beispiel)