7 Sicherheit und Kryptographie

Transkript

1 48 Codierung und Sicherheit, UzL WS 2007/08 7 Sicherheit und Kryptographie 7.1 Fragestellungen der Kryptologie Kryptologie = Kryptographie + Kryptoanalyse (griechisch: kryptos verborgen, logos Wort) Die Kryptologie beschäftigt sich mit der Frage, wie man Information verschlüsseln, digital authentisieren und über unsichere Kanäle übertragen kann. Mit dem Problem der Verschlüsselung hat sich die Menschheit schon lange vor der Erfindung von Computern beschäftigt. Information und Informationsübertragung: Informationsmessung Kodierung Übertragung: Kanalmodell: Sender > - Kanal > Empfänger Angreifer Die moderne Kryptologie umfaßt eine Reihe von Aufgabenstellungen: 1. Verschlüsselungssverfahren zu konstruieren, die informationstheoretisch oder komplexitttatstheoretisch sicher sind, die Kryptographie im engeren Sinne, 2. für ein gegebenes kryptografisches Verfahren mit Hilfe von zahlentheoretischen, algebraischen oder kombinatorischen Methoden Algorithmen zu entwickeln, die in der Lage sind, derartig chiffrierte Nachrichten zu entschlüsseln, die Kryptoanalyse, 3. Erweiterung kryptografischer Primitive wie Verschlüsselungsverfahren zu komplexeren Anwendung und Protokollen, beispielsweise Authentisierung, digitale Signaturverfahren, Secret Sharing, Oblivous Transfer, Privacy und Sicherheit. Die Bedeutung der Kryptologie für eine informationstechnische Gesellschaft liegt in einer Erhöhung der Sicherheit von Daten und Informationsnetzen persönlicher Unabhängigkeit und Freiheit des Einzelnen sowie in einer Beschleunigung (und Vereinfachung) von Geschäftsprozessen (E-Commerce). Sie birgt aber auch neue Gefahren siehe etwa die aktuellen innenpolitischen Diskussionen in Deutschland und die Verbote in Frankreich und den USA zu Nutzung kryptographischer Systeme.

2 R. Reischuk, ITCS 49 Man unterscheidet zwischen offener und heimlicher Anwendung von Verschlüsselungsverfahren, letzteres wird als Steganographie bezeichnet (unbemerkte Nachrichtenübermittlung). Sicherheit kann man in einem informationstheoretischen Sinn fordern sowie aus algorithmischer/ komplexitätstheoretischer Sicht betrachten. Aus Praktikabilitätsgründen hat die informatische Sichtweise heutzutage eine erhebliche höhere Bedeutung. Neue Problemstellungen eröffnen sich angesichts schneller digitaler Datenübertragung in globalen Netzen: Fehlertoleranz bei Störungen Geheimhaltung bei Lauschangriffen Authentizität bei aktiver Korruption Sicherheitsmanagement: Passwortverwaltung + Überprüfung Zugriffskontrolle Durch neue Ergebnisse der Komplexitätstheorie einerseits und konkrete Sicherheitsbedürfnisse in globalen Netzen andererseits hat die Kryptologie in den letzten Jahren eine stürmische Aufwärtsentwicklung erlebt. Dieser Aufgabenbereich entwickelt sich zu einem der Schwerpunkte im Tätigkeitsspektrum von Informatikern und Mathematikern mit einer Verschiebung vom militärischen zum kommerziellen Bereich. 7.2 Die historische Entwicklung der modernen Kryptologie: Erfolge, Mißerfolge und neue Ideen Bis 1949 war Kryptologie im wesentlichen eine Geheimwissenschaft ohne mathematische Fundierung. Vernam 1926 beschreibt einen nur einmal zu verwendenden Schlüssel (one-time pad): Eine binäre Nachricht wird durch das bitweise XOR mit einem binären Zufallsstrings gleicher Länge kodiert. Er ist überzeugt, daß dieses Verfahren nicht gebrochen werden kann, einen Beweis für die perfekte Sicherheit gibt er jedoch nicht. Shannon 1949 aufbauend auf seinem informationstheoretischen Modell gibt eine mathematische Definition für kryptologische Sicherheit. IBM entwickelt das DES-System (Data Encryption Standard) und schlägt es dem NBS (National Bureau of Standards) als Standard für Computer-Verschlüsselungsverfahren vor, mit gewissen Modifikationen wird DES 1977 als Standard veröffentlicht. Morrison/Brillhart 1975 veröffentlichen den ersten Faktorisierungsalgorithmus (continued faction method) für natürliche Zahlen mit subexponentieller Laufzeit exp c log n loglog n, wobei c eine kleine Konstante ist (in der Größenordnung von 2 ). Diese asymptotische Schranke stellt trotz Verfeinerungen der Methode und neuer Ideen bis heute die beste bekannte Laufzeit zur Faktorisierung beliebiger Zahlen dar. Dezimalzahlen mit mehr als 110 Stellen, die keine kleinen Primfaktoren besitzen, sind daher heutzutage noch nicht faktorisierbar. Diffie/Hellmann 1976 und Merkle 1978 entwickeln die Idee der Public Key Kryptography: anstelle von informationstheoretischer Entropie tritt komplexitätstheoretischer Aufwand:

3 50 Codierung und Sicherheit, UzL WS 2007/08 Einweg-Funktionen (one-way) Beispiel die diskrete Exponentialfunktion und Falltür- Funktionen (trapdoor) basierend auf dem N P -vollständigen Rucksackproblem. Des weiteren geben sie ein Beispiel für sichere Schlüsselverteilung über unsichere Kanäle. Rivest/Shamir/Adleman 1978 beschreiben eine Falltürfunktion und darauf basierend ein Verschlüsselungsverfahren, das auch digitale Unterschriften ermöglicht: der diskrete Logarithmus modulo dem Produkt zweier großer Primzahlen. Merkle/Hellman 1978 definieren eine Falltür-Funktion, die das N P -vollständige Rucksackproblem benutzt. Das Schema wird von Shamir 1982 als unsicher nachgewiesen. Rabin 1979 beschreibt ein Verschlüsselungsverfahren basierend auf dem Lösen quadratischer Gleichungen über endlichen Körpern (Quadratwurzelberechnung) und weist nach, daß dessen Komplexität äquivalent ist (bezüglich probabilistischer Polynomialzeitreduktion) zum Faktorisierungsproblem natürlicher Zahlen. Später wird jedoch herausgefunden, daß ein Angreifer mit Hilfe von Signaturen von Nachrichten, die er selbst ausgewählt hat, das System leicht knacken kann. Shamir 1979 beschreibt ein Verfahren, wie mehrere Personen gemeinsam eine geheime Information aufteilen können(secret sharing), so daß für eine vorher festgelegte Zahl k jede Gruppe von mindestens k Personen die Information rekonstruieren kann, während es für jede Koalition von weniger als k Personen unmöglich ist. Rivest/Shamir/Adleman 1981 beschreiben ein Protokoll für mentales Poker: ein Kartenspiel, bei dem die Spieler räumlich getrennt miteinander spielen, ohne daß Karten ausgetauscht werden. Bennet/Brassard/Breidbard/Wiesner 1983 untersuchen Quantum Krytographie, ein nichtbinäres System, das auf physikalischen Quantenzuständen basiert, den Quanten-Bits. Simmons 1984 entwickelt ein Modell für sichere Authentifizierung. Ong/Schnorr/Shamir 1984 stellen ein Signatur-Schema vor, das auf dem Lösen polynomialer Gleichungen in mehreren Variablen über endlichen Körpern beruht. Ihre Implementierungsvorschläge mit quadratischen Polynome, kubischen und schließlich Polynomen vom Grad 4 werden sukzessive geknackt. Chaum 1985 beschreibt ein Protokoll für sichere Transaktionen, welches die Identität der Personen nicht preisgibt. Babai und Goldwasser/Micali/Rackoff stellen die Idee der Interaktiven Beweissysteme vor. Goldwasser/Micali/Wigderson und Blum 1986 erweitern diese um die Eigenschaft Zero Knowledge. Lai stellt 1992 das IDEA-Verfahren vor (International Data Encryption Algorithm) wird eine im Jahre 1977 RSA-verschlüsselte Nachricht enttarnt, und zwar durch Faktorisierung des im Dezimalsystem 129-stelligen Moduls RSA-129 (binäre Länge 429), das Produkt zweier Primzahlen etwa gleicher Größenordnung. n = =

4 R. Reischuk, ITCS 51 Lenstra/Atkins benötigten dafür circa 8 Monate unter Verwendung eines weltweiten Verbundes von Workstations (entspricht circa 5000 MIPS Jahren oder 1, Maschineninstruktionen). Phil Zimmermann entwickelt das System PGP (Pretty Good Privacy) zur Verschlüsselung von s und Verwaltung der öffentlichen Schlüssel, welches auf den Verfahren RSA und IDEA basiert, und macht es 1994 weltweit frei zugänglich. Naor/Shamir 1995 stellen die Idee der visuellen Kryptographie vor. Das NBS ruft im Jahr 1997 zur Einreichung von Vorschlägen für einen neuen Standard eines symmetrischen Kryptographie-Verfahrens auf, das den geänderten Sicherheitsbedingungen angepaßt ist: 128 Bit Blocklänge und Schlüssellängen von 128, 192 und 256. Aus den eingegangen Vorschlägen werden 5 einer detaillierten Überprüfung unterzogenen. Im Oktober 2000 wird das von den belgischen Kryptologen Joan Daemen und Vincent Rijmen entwickelte Verfahren Rijndael als AES (Advanced Encryption Standard) ausgewählt. Agrawal, Kayal und Saxena veröffentlichen 2002 den ersten deterministischen Polynomialzeit-Algorithmus zur Erkennung von Primzahlen 7.3 Das kryptographische Modell: Chiffrierung und Dechiffrierung Wir setzen wieder voraus, daß Information codiert wird durch eine Folge von Blöcken fester Länge n, solch ein Block heiße Klartext. Seine Verschlüsselung wird Chiffretext genannt. Wir verwenden folgende Notation. Definition 7.1 Es bezeichne M die Menge der Nachrichten oder Klartexte M, C die Menge der Chiffretexte C und K die Menge der Schlüssel K. Die Funktion e : M K C definiert das Chiffrier-Schema dar, wobei e(m, K) der Chiffretext ist, den man erhält, wenn man die Nachricht M mit dem Schlüssel K verschlüsselt. e K : M C gegeben durch e K (M) := e(m, K), ist die Chiffrierfunktion des Schlüssels K. d : C K M beschreibt das Dechiffrier-Schema, d.h. d(c, K) ist der Klartext, der sich bei Dechriffrierung von C mit Hilfe des Schlüssels K ergibt. d K : C M mit d K (C) := d(c, K) ist damit die Dechiffrierfunktion des Schlüssels K. Definition 7.2 E gilt, d.h. = (M, C, K, e, d) heißt Kryptosystem, wenn d K = e 1 K d K (e K (M)) = M K K M M, für alle K K d.h. insbesondere müssen die Chiffrierfunktion e K für jedes K injektiv sein, ansonsten könnte man den Klartext nicht wieder eindeutig zurückgewinnen. Beispiel 7.1 Einfache Chiffrierverfahren: Aus dem Klartext in der ersten Zeile entsteht der Chiffretext in der zweiten Zeile durch Austauschen der Buchstaben in diesem Fall wird jeder Buchstabe durch seinen Nachfolger im

5 52 Codierung und Sicherheit, UzL WS 2007/08 Alphabet im zyklischen Abstand 3 ersetzt, d.h. A durch D, B durch E,... X durch A etc. Man nennt derartiges eine Substitutionschiffre. Der zweite Chiffretext ist durch Vertauschen der Positionen der Symbole entstanden: das 1. Symbol I wandert auf die 5. Position, das 2. Symbol N auf Position 1 etc. eine sogenannte Transpositionschiffre. I N F O R M A T I O N L Q I R U P D W L R Q N M T A I N O F R O I Klartext Caesars Substitutions-Chiffre Transpositionschiffre Diese Verfahren sind für einen Angreifer mit geringem Aufwand zu entschlüsseln bei einer Transpostitionschiffre zumindest solange die Textlänge l nicht zu groß ist. Bei Transpositionschiffren gibt es l! viele Möglichkeiten, bei Caesars Substitution sogar nur 26 verschiedene Schlüssel, darunter die identische Abbildung, die nicht gewählt werden sollte. Ein Angreifer kann diese der Reihe nach ausprobieren und wird in der Regel nur beim richtigen Schlüssel einen sinnvollen Klartext erhalten. Bei beiden Verfahren existiert offensichtlich eine einfach zu beschreibende inverse Abbildung, die den Chiffretext wieder in den Klartext zurückverwandelt. Während mit Hilfe des Substitutionsverfahrens beliebig lange Klartexte chiffriert werden können, muß beim Transpositionsverfahren die Anzahl l der Buchstaben, die permutiert werden sollen, fest sein. Längere Klartexte können dann durch eine Chiffrierung von Blöcken der Länge jeweils l verschlüsselt werden. Verwendet man dann jeweils die gleiche Transposition, entstehen neue Abhängigkeiten, die einem Angreifer wertvolle Informationen liefern können. Für manche Anwendungen erweist es sich als sinnvoll, auch nichtinjektive Funktionen e K zuzulassen, wobei jedoch die Anzahl der Klartexte, die auf einen Chiffretext C abgebildet werden, klein sein sollte. Andererseits könnte man auch nichtdeterministische Verfahren benutzen, die bei gegebenem Klartext und Schlüssel verschiedene zulässige Chiffretexte generieren können. Beispielsweise könnte ein Buchstabe des Klartextalphabetes durch mehrere Buchstaben des Chiffretextalphabetes repräsentiert werden. Damit der Chiffretext C = e K (M) nur wenig Information über den Klartext M preisgibt, sollte andererseits die Menge d 1 (C) := {M K K, e K (M ) = C} der sinnvollen Klartexte, aus denen mit Hilfe eines zulässigen Schlüssels K der Chiffretext C erzeugt werden kann, möglichst groß sein. 7.4 Kryptographische Angriffe Bei der Kryptoanalyse sind folgende Ausgangspositionen denkbar, wenn ein Angreifer versucht, Informationen über den Klartext M und/oder den Schlüssel K zu gewinnen. Generell setzen wir voraus, daß die Mengen M, C und K bekannt sind, ebenso das Chiffrier- und Dechiffrierschema. Die Sicherheit basiert daher nicht auf der Geheimhaltung des zugrunde liegenden Kryptosystems, sondern lediglich auf dem Schutz des geheimen Schlüssels K vor potentiellen Angreifern.

6 R. Reischuk, ITCS Isolierter Angriff: der Angreifer kennt nur der Chiffretext C = e K (M). 2. Passiver Klartext-Angriff: gewisse fest vorgegebene Paare oder auch Teile von Paaren (M, E K (M )) stehen dem Angreifer zur Verfügung, wobei natürlich das Paar (M, C) nicht darunter ist. 3. Aktiver Klartext Angriff: der Angreifer kann Klartexte M vorgeben, für die er dann die mit dem geheimen Schlüssel K erzeugten korrespondierenden Chiffretexte zurückerhält. Bei asymmetrischen Public-Key-Systemen ist die Chiffrierfunktion e K allgemein bekannt, so daß in diesem Fall ein Angreifer beliebig viele Paare (M, e K (M )) selber erzeugen kann. Bei Passwortverschlüsselungen wird in der Regel ein fester Klartext M 0 gewählt, den ein Benutzer B dann mit seinem geheimen Schlüssel K B chiffriert. Der Chiffretext C B = e KB (M 0 ) wird im System hinterlegt. Die Authentifizierung des Benutzers geschieht dann dadurch, daß er dem System einen Schlüssel K benennt, mit dem das System aus M 0 den Chiffretext C B erzeugen kann. 4. Aktiver Chiffretext Angriff: der Angreifer erhält die Dechiffrierung von ihm ausgewählter Chiffretexte C, wobei allerdings sinnvoller C nicht mit C identisch sein darf. Bei aktiven Angriffen kann noch weiter unterschieden werden, ob die Auswahl der Klartexte bzw. Chiffretext adaptiv (dynamisch) vorgenommen werden kann, so daß der nächste Text von den vorherigen Chiffrierungen bzw. Dechiffrierung abhängig gemacht werden kann, oder ob alle Texte vorab, d.h. nichtadaptiv, ausgewählt werden müssen. 7.5 Kryptographische Sicherheit Ein Kryptosystem E betrachtet man als informationstheoretisch sicher, falls ein passiver Klartext-Angreifer keinerlei Informationen über die ursprüngliche Nachricht M gewinnen kann. Eine Abschwächung dieser Forderung ist die komplexitätstheoretische Sicherheit bezüglich eines bestimmten Angriffstyp und gewisser algorithmischer Ressourcen. In diesem Fall soll ein derartiger Angreifer mit diesen Ressourcen keinerlei systematische Entschlüsselung von Chiffretexten oder das Berechnen geheimer Schlüssel durchführen können. Beispiel 7.2 Beim allgemeinen Substitutions-System werden die Buchstaben des Alphabets beliebig permutiert, d.h es gibt Σ! viele verschiedene Schlüssel die Permutationen π auf Σ die einen Klartext auf eine spezielle Weise in einen Chiffretext verwandeln. Betrachten wir das Alphabet der 26 Großbuchstaben von A bis Z, so ergeben sich mehr als viele Schlüssel, die selbst mit schnellen Rechnern nicht alle in vertretbarer Zeit ausprobiert werden können. Bei der Definition von Sicherheit spielt auch die WS-Verteilung auf den Klartextmenge eine wichtige Rolle, denn im allgemeinen kann man keine Gleichverteilung voraussetzen. Dadurch

7 54 Codierung und Sicherheit, UzL WS 2007/08 wird bereits die Unsicherheit über den verwendeten Klartext verringert. Es sei M = Σ n für ein Alphabet Σ = {σ 0,..., σ q 1 } der Größe q. Wir nehmen an, daß die Klartexte durch eine stochastische Quelle Q mit Verteilung p M erzeugt werden. Die Quelle generiere M durch eine k -Block Markov-Kette mit Übergangsmatrix A = (p(r s)) r,s Σ k und Gleichgewichtsverteilung π = (π(r)) r Σ k eine Approximation an die Stringverteilung in natürlichen Sprachen. Es sei n ein Vielfaches von k. Dann ist p M gegeben durch p M [(M = m 1... m n ] := π(m 1... m k ) p(m k+1... m 2k m 1... m k )... p(m n k+1... m n m n 2k+1... m n k ). Definition 7.3 Es seien die folgenden Informationen gegeben: 1.) das verwendete Chiffriersystem E, 2.) der Chiffretext C = e K (M), 3.) die WS-Verteilung p M auf der Klartextmenge M, 4.) die WS Verteilung p K auf der Schlüsselmenge K. Aufgabe der Dechiffrierung ist es, den (wahrscheinlichsten) Klartext M und/oder den verwendeten Schlüssel K zu bestimmen, wenn der Chiffretext C verwendet wurde. Die gegebenen Verteilungen p M und p K induzieren die folgenden gemeinsamen und bedingten Verteilungen p M,K (M, K) = p M (M) p K (K) Klartext-Schlüssel-Verteilung, p M,C (M, C) = p M (M) p K (K) Klartext-Chiffretext-Verteilung, p C,K (C, K) = p C (C) = K, e K (M)=C M, e K (M)=C (M,K), e K (M)=C p M C (M C) = p M,C(M, C) p C (C) p K C (K C) = p C,K(C, K). p C (C) p M (M) p K (K) p M (M) p K (K) Chiffretext-Schlüssel-Verteilung, Chiffretext-Verteilung, für Chiffretexte C mit p C (C) > 0, Definition 7.4 Eine deterministische Entscheidungsfunktion ist eine Abbildung: : C M, die das kryptoanalytische Verfahren der Entschlüsselung beschreibt. Die durchschnittliche Fehlerrate dieser Entscheidungsfunktion berechnet sich als ERROR( ) := p M,C (M, C). (M,C), (C) M Eine Entscheidungsfunktion heißt optimal, falls ERROR( ) ERROR( ) für alle Funktionen : C M. heißt maximum-likelihood, falls p M C ( (C) C) = max M p M C(M C).

8 R. Reischuk, ITCS 55 Eine einfache Rechnung zeigt das folgende Resultat: Lemma 7.1 Bei der Gleichverteilung auf M ist die maximum-likelihood Dechiffrierung optimal. Wir wollen nun den Begriff der informationstheoretischen Sicherheit mathematisch präzisieren mit Hilfe der Entropie. Definition 7.5 Die ZV Variable X M beschreibe die Verteilung p M der Klartexte und Y C die Verteilung p C der Chiffretexte. Ein Kryptosystem E heißt informationstheoretisch sicher, falls H(X M Y C ) = H(X M ), d.h. der Chiffretext verrät keinerlei Information über den ursprünglichen Klartext. Diese Forderung, daß sich die bedingte Entropie nicht verringert, ist äquivalent zu p M C ( C) = p M ( ) für alle C C +, wobei C + die Menge der Chiffretexte C mit p C (C) > 0 bezeichne. Theorem 7.2 E = {M, C, K, e, d) sei ein Kryptosystem und p M (M) > 0 M M. Eine notwendige Voraussetzung für die informationstheoretische Sicherheit von E ist K M. Beweis: E sei informationstheoretisch sicher, d.h. p M C (M C) = p C (M) für alle M M und C C +. Die Bedingung ist äquivalent zu p C M (C M) = p C (C) C C + und M M. Aus der Injektivität von e K folgt M C +. Da jede Chiffrierfunktion e K ein festes M auf genau ein C abbildet, impliziert die obige Eigenschaft p CM (C M) > 0 C C +, d.h. es gibt mindestens C + verschiedene Chiffrierfunktionen und damit gilt K C + M. Beispiel 7.3 one-time Pad oder Vernam-Chiffre: Sei Σ = {σ 1..., σ 26 } = {A, B, C,..., Y, Z} das Alphabet, M = C = Σ n die Menge der Klarund Chiffretexte sowie K = {0,..., 25} n die Schlüsselmenge mit uniformer Wahrscheinlichkeitsverteilung P K = 26 n für jedes K = (k 1,..., k n ) K. Für einen Klartext M = (σ i1,..., σ in ) sei der durch K erzeugte Chiffretext gegeben durch e K (σ i1,..., σ in ) := σ i1 +k 1... σ in+k n. Ein gegebener Klartext M kann somit in jede Zeichenreihe C C abgebildet werden, und zwar mit gleicher Wahrscheinlichkeit, d.h. M und C sind statistisch unabhängig. Dies Verfahren ist somit absolut sicher gegen Dechiffrierung, hat jedoch den Nachteil, daß ein Schlüssel mindestens so lang sein muß wie die Nachricht. Würde man denselben Schlüssel noch einmal verwenden, ist die statistische Unabhängigkeit nicht mehr gegeben.

9 56 Codierung und Sicherheit, UzL WS 2007/08 Man kann mit nicht allzu großem Aufwand zeigen, daß es bei der Forderung nach informationstheoretischer Sicherheit keine Alternativen gibt. Theorem 7.3 One-time Pad Verfahren sind die einzigen Kryptosysteme, die absolute Sicherheit im informationstheoretischen Sinn erreichen. Da jedoch bei one-time Padsi die Länge des Schlüssels mindestens so lang sein muß wie die des zu verschlüssenden Klartextes, sind derartige Verfahren für die meisten Anwendungen nicht praktikabel. Einerseits muß der geheime Schlüssel zunächst auf einem absolut sicheren Weg dem Empfänger zugestellt werden, andererseits muß dieser ihn dann sicher verwahren. Außerdem ist es technisch nicht einfach, lange Zufallsstrings zu erzeugen, die zur Generierung der Schlüssel benötigt werden. Wir betrachten deshalb eine abgeschwächte Sicherheitsanforderung. YC n bezeichne das n-fache Produkt der ZV Y C, d.h. die Verteilung bei einer n -fachen Anwendung der Chiffrierfunktion mit einem festen, aber beliebigen Schlüssel K. Die ZV Z beschreibe die Verteilung der Schlüssel und H n := H(Z YC n). H n ist monoton fallend in n, wobei H 0 := H(Z). Es bedeutet dann H n =; 0, daß der Schlüssel aus einem beliebigen Chiffretext bestehend aus n Blöcken eindeutig identifiziert werden kann. Definition 7.6 Ein Kryptosystem heiße asymptotisch informationstheoretisch sicher, falls es eine Konstante α > 0 gibt, so daß H(Z Y n C ) α H(Z) n 0. 8 Symmetrische Krypto-Systeme Man unterscheidet zunächst zwischen den klassichen symmetrischen Krypto-Systemen und den erst in neuerer Zeit entwickelten asymmetrischen Systemen, auch Public-Key-Systeme genannt. Betrachten wir zunächst symmetrische Systeme. 8.1 Zufällige Chiffrierung Sei M = Σ n die Menge der potentiellen Wörter der Länge n über einem Alphabet Σ und R := log q die maximale Entropie des Alphabets. Wir betrachten die Zerlegung M = M 0 M 1, wobei M 1 der Mächtigkeit 2 r n die Menge der sinnvollen Klartexte bezeichne und jeder gleiche a priori WS 2 r n besitze, und M 0 die Menge der sinnlosen Klartexte. ρ := R r ist dann die Redundanz der Sprache. Sei K der Mächtigkeit 2 H(K) die Menge der Schlüssel, wobei die Schlüssel gleiche a priori WS besitzen. Die Chiffrefunktionen seien injektiv. In der Regel besitzt die Menge M 1 keine einfache Struktur. Daher werden die Chiffrefunktionen e K die sinnvollen Klartexte in C mehr oder weniger breit streuen. Eine hohe Streuung ist sogar

10 R. Reischuk, ITCS 57 erwünscht, denn falls etwa ähnliche Klartexte in ähnliche Chiffretexte übersetzt werden, ist die Chiffrierung offensichtlich erheblich einfacher. Betrachten wir das Beispiel in Abbildung??. Bei Chiffretext C 4 ist die Identifikation des Klartextes nicht eindeutig, es kann daher eine fehlerhafte Klartext Dechiffrierung geben. Bei Chiffretext C 2 ist der Klartext zwar eindeutig, nicht aber der Schlüssel, man spricht dann von einer mehrdeutigen Schlüssel-Dechiffierung. Für einen gegebenen Chiffretext C = e K (M) mit M M 1 bezeichne B(C) die Menge aller Paare (M, K ) mit e K (M ) = C und M M 1. a M (C) sei die Anzahl der Nachrichten M M, die in Paaren in B(C) vorkommen, und a K (C) die Anzahl solcher Schlüssel K K. Die Injektivität der Chiffrierfunktionen impliziert, daß jedes K mit höchstens einem Klartext M als Paar in B(C) erscheint, d.h. es gilt a M (C) a K (C) B(C) 1. Definition 8.1 Eine ZV e : M K C heißt zufällige Chiffre, falls für die Abbildungen e K M C definiert durch e K (M) = e(m, K) und deren inverse Funktionen d K, die dann ebenfalls ZV sind, gilt: für alle Schlüssel K und Chiffretexte C ist d K (C) gleichmäßig über M verteilt; für alle K, C und Teilmengen S C {C} ist die bedingte ZV d K (C) [{d K (C ) C S}] gleichmäßig verteilt über allen Klartexten M {d K (C ) C S} ; d K (C), d K (C ) sind unabhängig für alle K K und C, C. DIe ZV e kann man sich eine Menge von Kryptosystemen E über festen Mengen von Klartexten, Chiffretexten und Schlüsseln vorstellen, aus denen eins zufällig ausgewählt wird, d.h. neben dem konkreten Schlüssel K zur Chiffrierung wird noch ein weiterer Zufallsstring oder Schlüssel K verwendet, um das konkrete Kryptosystem E festzulegen. Lemma 8.1 Für jedes C ist a K (C) binominal verteilt mit den Parametern N = 2 H(K) 1 (Anzahl der Versuche), p = 2 ρ n (Erfolgswahrscheinlichkeit eines Versuches) und Erwartungswert E(a K (C)) = N p 2 H(K) ρ n. Beweis: Sei Schlüssel K festgelegt und C = e K (M) für eine Nachricht M M 1. Da die Verteilung der d K für K K unabhängig ist von d K, liefert eine Dechiffrierung mit einen der 2 H(K) 1 Schlüssel K einen sinnvollen Klartext mit WS p = M 1 M = 2 r n R n = 2 ρ n. Ein großer Wert für E(a K (C)) bedeutet hohe Sicherheit vor Identifikation des Schlüssels; dies impliziert aber nicht automatisch auch hohe Sicherheit vor Identifikation der Nachricht, da a M (C) a K (C). Zumindest bei einer zufälligen Chiffrierung sind beide Werte jedoch von

11 58 Codierung und Sicherheit, UzL WS 2007/08 derselben Größenordnung. E(a K (C)) 1 dagegen bedeutet dagegen eine geringe Sicherheit im informationstheoretischen Sinn. Man definiert n 0 := H(K)/ρ als Eindeutigkeit-Abstand. Dies ist die kleinste Anzahl von Chiffretexten, die nötig ist, um den Schlüssel eindeutig zu identifizieren, denn für n n 0 gilt E(a K (C)) Transpositions- und Substitutions-Chiffren Sei K eine Menge von Permutationen π über der Menge [1, n]. Falls die Chiffrierfunktionen e K : Σ n Σ n gegeben sind durch K = π = (π(1),..., π(n)) und e K (m 1,..., m n ) = m π(1)... m π(n) heißt E eine Tranpositions-Chiffre. Der Vorteil solch eines Verfahrens liegt darin, daß sich die Häufigkeiten der einzelnen Buchstaben nicht ändern. Die maximale Anzahl möglicher Schlüssel beträgt n!. Für einen Menschen ist es schwierig, sich bei größerer Blocklänge n eine beliebige Transposition zu merken zu diese anzuwenden. Ein einfaches Beispiel für eine Transposition ist die n = p q Zeichen zeilenweise in einer (p q) -Matrix abzuspeichern und diese Matrix dann spaltenweise auszulesen. Definition 8.2 Wird jeder Buchstabe eines Klartextes durch einen festen anderen Buchstaben ersetzt, spricht man von einer monoalphabetischen Substitutions-Chiffre. Eine polyalphabetische Chiffre, auch Blockchiffre genannt, ersetzt dagegen Strings einer festen Länge l > 1 durch jeweils einen neuen String. Bei einer monoalphabetischen Substitutions-Chiffre benötigt man also eine Bijektion f : Σ Σ. Dafür gibt es maximal Σ! viele Möglichkeiten. Beispiel Bei der Caesar Chiffre wird jedes Symbol um eine feste Position p [0..25[ verschoben, d.h. es gibt 26 verschiedene Schlüssel. Als Eindeutigkeitsabstand ergibt sich n 0 = log q ρ log 26 3,2 1, Mehr Möglichkeiten bieten affine Transformationen, wobei Σ = ZZ p gewählt wird und Abbildungen σ a σ + b mod p für a, b ZZ p mit (a, p) = Ist bei einer natürlichen Sprache jede Bijektion zulässig, so ergibt sich aus H(K) = log (26!) = 88, 45 der Eindeutigkeitsabstand n 0 = 88, 4/3, 2 28 Zeichen im zufälligen Chiffre-Modell. Genauer gilt für n = 20 die Abschätzung E(a K ) = , während für n = 40 dieser Wert dramatisch schrumpft auf E(a K ) =

12 R. Reischuk, ITCS 59 Friedman faßt dies zu folgender These zusammen: In der Praxis kann jeder Chiffretext mit 25 oder mehr Buchstaben, die durch eine einfache Substitutions-Chiffre eines sinnvollen Klartextes generiert worden ist, sehr schnell dechiffriert werden. Falls ein Kryptosystem die Klartexte gut streut, wenn der Schlüssel variiert wird, ist der Eindeutigkeitsabstand des zufälligen Chiffre-Modells eine gute Approximation für H m nahe bei Produkt- und Feistel-Chiffren Um die Güte einer Chiffrierung zu messen, hat Shannon folgende Begriffsbildung eingeführt: Diffusion: jedes Bit des Klartextes und des Schlüssels beeinflußt viele Bits des Chiffretextes; Konfusion: Statistik der Chiffretexte hängt in komplizierter Weise von der Statistik der Klartexte ab. Produkt-Chiffren sind eine Kombination von Substitutionen und Transpositionen. Im Idealfall kommt jeder Block eines Klartextes nur einmal während der gesamten Lebenszeit des Verfahrens vor. Dazu werden jedoch große Blocklängen benötigt und ein Chiffrierverfahren, welche kompakte Beschreibungen besitzen und schnell zu berechnen sind. Horst Feistel schlug 1973 ein allgemeines Schema zur Verschlüsselung von Binärstrings vor, welches den Vorteil hat, daß die Entschlüsselung auf gleiche Weise erfolgen kann. Derartige Chiffren nennt man heute Feistel-Chiffren. Ein Bit-Vektor X der Länge 2l wird in 2 gleichgroßeteile X = L R der Länge jeweils l zerlegt. Die Verschlüsselung geschieht mit Hilfe einer Funktion f K : {0, 1} l {0, 1} l, die durch den Schlüssel K spezifiziert wird. Diese Funktion wird auf die rechte Hälfte R angewendet und das Ergebnis f K (R) wird dann mit der linken Hälfte durch verknüpft zu dem neuen String L = L f K (R). Die rechte Hälfte bleibt unverändert und erzeugt die Ausgabe R = R. Zusätzlich werden die beiden Hälften noch vertauscht, so daß man schließlich als Ausgabe den String Y = R L = R L f K (R) erhält. 8.4 Das DES-System Das Data Encryption Standard System (DES) wurde von IBM entwickelt und 1977 vom amerikanischen National Bureau of Standards (NBS) für den kommerziellen Einsatz übernommen. Es ist ein klassisches Beispiel für ein komplexes symmetrisches System. DES basiert auf dem IBM-Cryptosystem Lucifer, an dessen Entwicklung Feistel maßgeblich beteiligt war. Blöcke aus n = 64 Bits werdem mit einem 56-Bit Schlüssel K chiffriert, wobei die Maniluplation der Bits als Operationen über dem zweielementigen Körper IF 2 aufgefaßt werden. Ein Bit-Vektor B wird in 2 gleichlänge Hälften L und R zerlegt. In einem Iterationsschritt werden die beiden Hälften vertauscht und die linke Hälfte zusätzlich mit einer Modifikation f Ki (R) der rechten Hälfte bitweise durch verknüpft, wobei f K eine geeignete Funktion ist, die von einem Subschlüssel K abhängt. K selber berechnet sich aus dem Hauptschlüssel K.

13 60 Codierung und Sicherheit, UzL WS 2007/08 IBM hatte das System ursprünglich für eine Schlüssellänge K von 128 Bit vorgesehen, die Schlüssellänge dann aber auf Geheiß des NBS auf 56 reduziert. Die genaueren Details sind wie folgt. Alphanumerische und einige sonstige Zeichen werden zunächst als 8-Bit, d.h. 1-Byte kodiert, etwa durch EBCDIC (Extended binary coded decimal interchange code) oder USASCII (USA Standard Code for information interchange). Ein Block besteht also aus 8 Bytes. Aus dem 56-Bit Schlüssel K werden 16 Subschlüssel K 1,..., K 16 der Länge 48 erzeugt. Ziel des Chiffrierverfahrens ist es, daß jedes einzelne Bit der Nachricht möglichst viele Positionen im Chiffretext beeinflusst und zwar auf eine komplexe Art und Weise. Die Dechiffrierung kann durch denselben Algorithmus erfolgen, allerdings unter Reversion der Reihenfolge der Subschlüssel Das Chiffrierverfahren Zunächst werden die 64 Nachrichtenbits durch eine Permutation Π gleichmäßig verstreut: X = x 1... x 64 = Z = Π(X) = x 58 x x 7 Π = Die Abbildungen f Ki (R i ) sind folgendermaßen definiert. Als erstes wird durch Durchmischung und Duplizierung einzelner Bits aus dem 32 -Bit-String R i = u 0... u 31 ein 48 -Bit-String R i erzeugt: R i = u i0... u i47. Dieser String R i wird dann bitweise mit den 48 Bits des Subschlüssel K i durch verknüpft. Diese 48 Bits werden in 8 Blöcke B 1... B 8 der Länge jeweils 6 aufgeteilt. Jedes B i wird durch eine spezielle Funktion S i : {0, 1} 6 {0, 1} 4, die sogenannten S -Boxen, auf einen 4-Bit String abgebildet. Schließlich werden die so erhaltenen 8 4 = 32 Bits durch eine Permutation Π vermischt. Π = Π 0... Π 3 Π 4... Π 7 Π 8... Π 11 Π Π 15 Π Π 19 Π Π 23 Π Π 27 Π Π 31 =

14 R. Reischuk, ITCS 61 Definition der S -Boxen S = S 1,..., S 8, die jeweils einen 6 -Bit-String B i in einen 4 - Bit-String S i (B i ) abbilden: S i (b 0 b 1 b 2 b 3 b 4 b 5 ) := (g 0 g 1 g 2 g 3 ) Kodiert man den Eingabevektor B i durch die beiden Terme β 1 = b 0 + 2b 5 und β 1 = b 1 + 2b 2 + 4b 3 + 8b 4, so ergibt sich für den Ausgabevektor die Integer-Darstellung γ = g 0 + 2g 1 + 4g 2 + 8g 4 entsprechend der folgenden Tabelle beispielhaft für die Abbildung S 1 : β 1 \β Die Werte S 1 (β 1, β 2 ) Berechnung der Subschlüssel K 0,..., K 15 {0, 1} 48 aus dem Hauptschlüssel K {0, 1} 56 : Wir teilen die 56 Bits in 8 Blöcke a 7 Bits ein und fügen noch zu jedem Block ein Paritäts-Bit hinzu. Diese 64 Bits werden dann durch eine Permutation Π 1 zerstreut. Π 1 = Durch Zerlegung in 2 Hälften a 32 Bits und Rotation der Bits jeder Hälfte werden die Subschlüssel K i erzeugt, wobei vorher jeweils noch eine Permutation Π 2 die Bitpositionen vertauscht. Π 2 = Das gesamte Berechnungsverfahren ist vollständig bekannt, Es gibt hardware-mäßige Implementierungen des DES, die Chiffrier-Raten von mehreren Millionen bits/sec erreichen. Der kommerzielle Einsatz ist bedeutsam, DES dient auch zur Sicherung von Paßwörtern im Unix-System.

15 62 Codierung und Sicherheit, UzL WS 2007/08 IBM und NBS haben allerdings die genauen Konstruktionsprinzipien, insbesondere die Konstruktion der S -Funktionen, bislang geheimgehalten. Es gibt Kritiker, die dahinter eine geheime Dechiffriermöglichkeit vermuten. Zumindest gelten jedoch die folgende Eigenschaften: die Funktionen S i sind weder linear noch affin-linear; ändert man ein Input-Bit von S i, so ändern sich mindestens 2 Output-Bits; in Stufe 5 hängt bei L 5 und R 5 bereits jedes Bit von allen 64 Input-Bits und allen 56 Schlüssel-Bits ab, des weiteren haben Tests gezeigt, daß Veränderungen eines Bits des Klartextes oder des Schlüssels zu enormen Änderungen des Chiffretextes führen; eine Beschreibung der Output-Bits c j als Boolesche Funktionen in den Inputvariablen m i mit schlüsselabhängigen Koeffizienten h(k) scheint sehr viele Koeffizienten zu benötigen. In der Darstellung als disjunktive Normalform c j = b j K (m 0,..., m 63 ) =... m c ir i r h i1...i r (K) m ci1 i 1 i 1...i r scheinen sehr viele Terme h i1...i r notwendig zu sein. Allerdings ist lange Zeit trotz großer Anstrengungen kein besseres Verfahren veröffentlicht worden, das DES schneller dechiffrieren kann als durch einen vollständigen Test aller möglichen Schlüssel. Shamir hat 1997 eine Kryptoanalyse durch bewußt herbeigeführte Fehler bei der Chiffrierung durchgeführt ein Beispiel für die Kreativität bei Angriffsversuchen Kryptanalytische Angriffe auf DES Es bezeichne T DES den Zeitaufwand für die Berechnung eines beliebigen Chiffretextes C = DES K (M) und S DES der dazu notwenidige Speicherplatzbedarf. 1. Vollständige Suche bei Klartext-Angriff: Gegeben ein Paar (M, C) berechne DES K (M) für alle K K, bis ein Schlüssel K gefunden wird mit DES K (M) = C. Dies verlangen einen Berechnungsaufwand von: Zeit: T = K T DES, Speicherplatz: S = log K + S DES. In der Praxis bedeutet das etwa: Probiert man bei 56 -Bit Schlüssellänge alle Schlüssel durch mit Hilfe eines schnellen Rechners, der pro Schlüssel 1 nsec = 10 9 sec benötigt, d.h. 1 Milliarde Verschlüsselungen in der Sekunde durchführt, kann man 8, Schlüssel pro Tag testen und benötigt somit 3 Jahre für einen kompletten Test. Benutzt man parallel 1000 solcher Prozessoren, so reduziert sich die Zeit für eine vollständige Suche auf 1 Tag. Mit einigen algorithmischen Verbesserungen kann die vollständige Suche soweit beschleunigt werden, daß die leistungsfähigsten Rechner, die heute verfügbar sind, nur einige Stunden benötigen. 2. Dechiffrierung mit Hilfe eines Chiffrier-Buches bei gewähltem Klartext-Angriff: M 0 sei ein fester Klartext. Einmalig wird ganz zu Anfang für alle K K der Chiffretext

16 R. Reischuk, ITCS 63 C K = DES K (M 0 ) berechnet und die Paare (C K, K) sortiert nach der 1. Komponente abgepeichert. Um den konkret verwandten Schlüssel zu finden, lasse M 0 chiffrieren und suche den Chiffretext C in der vorab erzeugten Datenbank. Der Aufwand beläuft sich auf: Zeit T = K T DES + O( log K ), Platz T = S DES + O( K ). Konkret bedeutet dies, daß Bytes, d.h. circa 1, Gigabytes abgespeichert werden müssen. Stehen Plattenspeicher mit einer Kapazität von 100 Gigabytes zur Verfügung, so benötigt man also 12 Millionen Platten, bei einem Preis von angenommen 100 EURO pro Platte immerhin über 1 Milliarde EURO. 3. Angriff über die Zykellänge: Für einen festen Schlüssel K ist DES K (.) eine Abbildung der Menge {0, 1} 64 auf sich selbst. Die Injektivität impliziert, daß diese Abbildung sogar eine Bijektion ist, d.h. eine Permutation von {0, 1} 64. Definiere für l IN die Iteration DES l K durch DESl K (M) := DES K (DES l 1 K (M)) und l K (M) := min{l > 0 DES l K (M) = M} als die DES-Periodenlänge von M bezüglich K. Bei einer kleinen Periode kann bei einem bei einem gewählten Klartext-Angriff auf einen Chiffretext C derquelltext M durch interaktives Chiffrieren gefunden werden, da für p := l K (C) 1 und C p := DES p K (C) gilt: DES K (C p ) = DES K (DES p K (C)) = DESl K(C) K (C) = C, d.h. C p ist der gesuchts Klartext M. Bei einer zufälligen Permutation auf einer N = elementigen Menge ist die mittlere Periodenlänge N/2. Tests für das DES-Verfahren haben eine ähnliche Schranke ergeben. Der wesentliche Schwachpunkt des DES-Verfahrens ist angesichts der heutigen Rechnertechnologie die kurze Schlüssellänge. 56-Bit-Schlüssel garantieren nicht mehr die gewünschte Sicherheit hat der Spezialrechner Deep Crack unter Zuhilfenahme von PCs einen bruteforce-angriff bei bekanntem Klartext durch Test aller möglichen Schlüssel in weniger als 1 Tag erfolgreich durchgeführt. Das DES-Verfahren wurde deshalb erweitert zu Triple-DES, bei dem die Nachricht dreimal hintereinander chiffriert wird, jeweils mit einem separaten 56-Bit-Schlüssel. Es macht Sinn, verschiedene DES-Chiffrierfunktionen zu kombinieren, da die Menge DES := {DES K K {0, 1} 56 } keine Untergruppe der Permutationsgruppe von {0, 1} 64 ist. Abschätzungen zeigen, daß die kleinste Untergruppe, die DES enthält, mehr als Permutationen umfaßt (die Permuationsgruppe von {0, 1} 64 enthält mehr als 2 64! viele Abbildungen). 8.5 IDEA Das Chiffreverfahren IDEA (International Data Encryption Algorithm) wurde 1992 von Lai und Massey vom schweizer SFIT im Jahr 1990 vorgestellt. Es kodiert 64-Bit Klartexte mit Hilfe eines 128-Bit Schlüssel zu 64 Bit-Chiffretexten. Man kann das Vorgehen als ein verallgemeinertes Feistel-Verfahren ansehen, das 8 Runden verwendet. Die 64 Bit werden in 4 Teilstrings a

17 64 Codierung und Sicherheit, UzL WS 2007/08 16 Bit aufgeteilt. Das Verfahren arbeitet mit Wortlänge 16 und behandelt einen 16-Bitstring als ein Elemente des Körpers GF (2 16 ). Auf diese Elemente werden 3 verschiedene Arten von Abbildungen angewandt, das bitweise XOR,, die Addition mod 2 16, +, die Multiplikationn mod ,. Eine Kombination dieser Abbildungen bildet eine S-Box, die als Input 2 Worte sowie einen Rundenschlüssel bestehend aus 6 Worten bekommt, und als Ausgabe 2 neue Worte erzeugt. In jeder Runde wird mit Hilfe dieser S-Box eine nichtlineare Abbildung auf den 4 Worten, die durch den 64-Bit-Eingabestring gebildet werden, ausgeführt. Zusätzlich werden das zweite und dritte Wort vertauscht. Die 8 Runden plus eine 9. Abschlußrunde benötigen als Rundenschlüssel insgesamt = 52 Worte. Diese werden aus dem 128-Bit-Schlüssel gebildet, indem dieser zunächst in 8 Teilstrings zerlegt wird, die jeder ein Wort bilden. Wietere Worte werden durch zyklische Shifts um 25 Bitpositionen nach links generiert. Bei der Dechiffrierung werden die inversen Abbildungen angewendet, d.h. im Falle von + das additiv Inverse und im Fall von das multiplikativ Inverse. Hierbei repräsentiert das Wort nicht die 0 in ZZ , sondern das Element 2 16, welches gleich -1 und damit zu sich selbst invers ist. 8.6 Rijndael Der neue Standard seit dem Jahr 2001, das AES-System (Advanced Encryption Standard), basiert auf einem System, das von zwei belgischen Cryptologen, Joan Daemen und Vincent Rijmen, entwickelt worden ist. Es hat sich in einem weltweit ausgeschriebenen Wertbewerb der amerikanischen Sicherheitsbehörde gegen konkurrierende System durchgesetzt. Rijndael ist keine Feistel-Chiffre, sondern ein reine Produktchiffre, die durch ein Folge von Substitutionen und Permutationen aufgeteilt in 10, 12 oder 14 Runden (die Rundenzahl ist abhängig von der Schlüssellänge) spezifiziert wird. Die Blocklänge für Klar- und Chiffretexte beträgt 128, die Schlüssellänge kann zwischen 128 und 256 variieren. Die Wortlänge beträgt 8, d.h. ein Klartext wird in 16 Teilworte a 1 Byte zerlegt, die logisch in einer 4x4-Matrix angeordnet werden. Die Substituionen werden durch Operationen im Körper GF (2 8 ) definiert. Eine Runde besteht aus den 4 Operationen SubBytes, die ein Wort durch sein Inverses ersetzt und anschließend eine lineare Transformation ausführt, d.h. x A x 1 b für eine feste Matrix A und Vektor b ; ShiftRow, ein zyklischer Shift der Bytes in den einzelnen Zeilen der Repräsentationsmatrix; MixColumn, eine Transformation der Bytes jeder Spalte der Repräsentationsmatrix; AddRoundKey, eine byteweise XOR-Verknüpfung mit dem Rundenschlüssel, ebenfalls 128 Bit lang, d.h. er besteht aus 16 Bytes.

18 R. Reischuk, ITCS 65 Pro Runde werden damit 16 Worte benötigt. Diese werden aus dem Schlüssel durch eine Expansion gewonnen, die durch die XOR-Verknüpfung von Teilstrings und zyklische Shifts generiert wird.

19 66 Codierung und Sicherheit, UzL WS 2007/08 9 Asymmetrische Krypto-Systeme Bei symmetrischen Krypto-Systemen genügt die Kenntnis des geheimen Schlüssels K, um sowohl das Chiffrieren als auch das Dechiffrieren durchführen zu können. Da e K und d K als Funktionen sich invers zueinander verhalten, ist informationstheoretisch durch Kenntnis von e K natürlich auch d K bekannt. Die grundlegende neue Idee bei asymmetrischen Systemen ist es, diese enge Bindung zumindest im algorithmisch effektiven Sinn aufzuheben. 9.1 Einweg-Funktionen Im folgenden bezeichne X den Definitionsbereich der betrachteten Funktionen und Y ihren Wertebereich. Es bezeichne FUN C X,Y die Menge aller injektiven Funktionen von X nach Y. ALG X,Y sei die Menge aller Algorithmen, die eine Funktion in FUN C X,Y realisieren, und ALG + X,Y = ALG X,Y P die Teilmenge der effizienten Algorithmen mit polynomialer Laufzeit. Definition 9.1 Eine Funktion f FUN C X,Y heißt Einweg-Funktion, falls f effizient berechnet werden kann, die inverse Funktion f 1 : Y X dagegen nicht. Komplexitätstheoretisch läßt sich dies beispielsweise durch die Forderungen f P und f 1 / P ausdrücken. Eine Falltür-Funktion (Trap-door-Funktionen) f muß die folgenden Bedingungen erfüllen: f kann effizient berechnet werden; die inverse Funktion f 1 kann nicht effizient berechnet werden, falls als einzige Information f selbst gegeben ist. Es gibt jedoch eine zusätzliche (geheime) Information I f, so daß bei Kenntnis dieser f 1 ebenfalls effizient berechnet werden kann. Sei F : K FUN C X,Y eine Abbildung, die jedem Schlüssel K eine Chiffrierfunktion F(K) mit Inversem F(K) 1 zuordnet und folgende Eigenschaft besitzt: 1.) für jedes K gehören die Funktionen F(K) und F(K) 1 zu P ; 2.) es gibt eine effizient berechenbare Funktion : K ALG + X,Y die für jedes K einen P - Algorithmus (K) für F(K) spezifiziert; 3.) es gibt keine effizient berechenbare Funktion Ψ : K ALG + Y,X, die für jedes K einen P -Algorithmus für F(K) 1 generiert. Dann heißt F ein Ensemble von Falltür-Funktionen. Es gilt also: Obwohl die Funktionen F(K) und F 1 (K) einfach zu berechnen sind, läßt sich ein guter Algorithmus für F 1 (K) aus K nicht auf einfache Weise konstruieren. Das Telefonbuch, welches jedem Benutzer eine Telefonnummer zuordnet, ist ein Beispiel für eine 1-Weg-Funktion in diesem Fall bezüglich logarithmischer Suchzeit. Zu jedem Namen kann die zugehörige Telefonnummer durch binäre Suche sehr schnell gefunden werden. Um die inverse Funktion, also zu einer gegebenen Telefonnummer den Teilnehmer zu ermitteln, muß man jedoch in der Regel das Telefonbuch vollständig durchsuchen, was lineare Laufzeit erfordert. 9.2 Der diskrete Logarithmus Definition 9.2 Sei α eine Primitivwurzel in ZZ n, d.h. ein erzeugendes Element dieser multiplikativen Gruppe. Dann heißt die bijektive Abbildung DISEXP α,n (x) := MODEXP(n, α, x) = α x mod n,

20 R. Reischuk, ITCS 67 die Zahlen im Interval [1..ϕ(n)] auf ZZ n abbildet, die diskrete Exponentialfunktion zur Basis α und Modul n. Wie bereits zu Anfang besprochen, kann DISEXP α,n (x) aus der Binärdarstellung von x der Länge log n in Zeit O(log 3 n) durch sukzessives Quadrieren und Reduzieren mod p berechnet werden. Die Umkehrfunktion DISLOG α,n (y) := log α y mod n von ZZ n nach [1..ϕ(n)] heißt der diskrete Logarithmus zur Basis α. Bis heute sind keine effizienten Verfahren zur Berechnung des diskreten Logarithmus für beliebige Moduli n bekannt. Man vermutet, daß DISLOG nicht in P liegt. Falls p 1 große Primfaktoren besitzt, benötigt der bislang beste bekannte Algorithmus von Adleman eine Laufzeit der Größe exp O( log n llog n). Bei 300-stelligen Moduli kann der diskrete Logartihmus damit nicht mehr effektiv berechnet werden. Die diskrete Exponentialfunktion ist somit ein vielversprechender Kandidat für eine Einwegfunktion. Um diese Eigenschaft zu zeigen, müßte also eine nichtpolynomiale untere Schranke für die diskrete Logarithmus-Funktion gezeigt werden. Derartiges ist bislang trotz großer Anstrengungen noch nicht gelungen. 9.3 Symmetrische Verschlüsselung durch modulare Exponentaion Ein symmetrisches Kryptosystem von Pohlig/Hellmann basiert auf der Berechnung von Potenzen in ZZ n. Für einen festen Exponenten e sei MODPOT e,n (m) := MODEXP(n, m, e) = m e mod n für m ZZ n. Für e = 2 bedeutet dies also die Berechnung von Quadraten (quadratischen Resten) in ZZ n. Die Umkehrfunktion zu MODPOT e,n verlangt dann, die e -te Wurzel einer Zahl in ZZ n zu ziehen. Im Gegensatz zum Wurzelziehen in ZZ, für das schnelle Algorithmen zur Verfügung stehen, ist dies in ZZ n erheblich schwieriger. Über ZZ hat die e -te Wurzel einer Zahl y ungefähr 1/e so viele Stellen wie y selbst. Über ZZ n gilt dies nicht mehr, denn ähnlich wie beim diskreten Logarithmus kann die Wurzel größer sein als die Zahl selbst. Auch hier sind bislang keine Polynomialzeitalgorithmen bekannt, die für beliebige Moduli Wurzeln berechnen können. Die inverse Operation, das Wurzelziehen, läßt sich über ZZ n jedoch wieder auf das Potenzieren zurückführen zumindest für bestimmte Exponenten e. Sei d das Inverse zu e modulo ϕ(n), d.h. e d = 1 + k ϕ(n) für eine natürliche Zahl k. Dann gilt nach dem Eulerschen Satz für jedes m ZZ n : (m e ) d = m 1+k ϕ(n) m (m ϕ(n) ) k m mod n, mit anderen Worten MODPOT d,n ist die Umkehrfunktion zu MODPOT e,n. Damit e ein Inverses besitzt, muß ggt(e, ϕ(n)) = 1 gelten. Da ϕ(n) für alle n > 2 gerade ist, muß e ungerade gewählt werden. Ist ϕ(n) bekannt, so kann das Inverse d leicht mit Hilfe des erweiterten Euklidschen Algorithmus berechnet werden. ϕ(n) läßt sich berechnen, wenn man die vollständige Primfaktorzerlegung