3. Vortrag: Das RSA-Verschlüsselungsverfahren

Transkript

1 Westfälische Wilhelms-Universität Münster Mathematik Sommersemester 2017 Seminar: Verschlüsselungs- und Codierungstheorie Leitung: Thomas Timmermann 3. Vortrag: Das RSA-Verschlüsselungsverfahren Hendrik Hohmann Matrikelnummer: Fach-Bachelor Mathematik und Geographie 8. Fachsemester adresse:

2 Das RSA-Verschlüsselungsverfahren Inhaltsverzeichnis: 1. Einleitung 3 2. Prinzip der Public-Key Verschlüsselung 3 3. Beschreibung des RSA-Verschlüsselungsverfahren 4 1. Schlüsselerzeugung 5 2. Verschlüsselung (incl. Schneller Exponentiation) 6 3. Entschlüsselung 7 4. Sicherheit des privaten Schlüssels 9 5. Literaturverzeichnis 12

3 1. Einleitung In der folgenden Ausarbeitung geht es um die Einführung in das RSA- Verschlüsselungsverfahren. Zunächst soll in den Kapiteln über das Prinzip der Public-Key Verschlüsselung und der Beschreibung des RSA-Verschlüsselungsverfahren erklärt werden, wieso es überhaupt nötig war, dass dieses Verfahren erfunden wurde und welche Vorteile sowohl dieses, als auch alle weiteren Public-Key Verfahren gegenüber den älteren symmetrischen Verschlüsselungs-Verfahren haben. Des Weiteren geht es im dritten Kapitel um weitere Daten, Fakten und Funktionsweisen des RSA-Verfahrens. Im Folgenden soll dann anhand von Sätzen, Beweisen und vor Allem Beispielen gezeigt werden, wie das RSA-Verschlüsselungsverfahren überhaupt funktioniert. Dabei geht es vor allem um die Schlüsselerzeugung und die Ver- und Entschlüsselung von Nachrichten. Nötig für die Verschlüsselung ist dabei die schnelle Exponentiation, welche deswegen im nachfolgenden Kapitel zusätzlich eingeführt wird. Zum Schluss soll die Sicherheit des privaten Schlüssels analysiert werden. Insgesamt soll also ein Einstieg in Public-Key Verschlüsselungen durch das RSA-Verfahren angeführt werden, bei dem der Leser erfährt, wieso das System wichtig ist, wie es funktioniert, welche Voraussetzungen gegeben sein müssen und zuletzt wie sicher es ist. 2. Prinzip der Public-Key Verschlüsselung In diesem Kapitel wird beschrieben, warum Public-Key Verschlüsselungen notwendig sind, welcher Idee sie im Prinzip zugrunde liegen, wie sie konkret funktionieren und welche Vorteile aber auch Schwächen sie haben. Des Weiteren wird kurz die Sicherheit der Public- Key Verschlüsselungen diskutiert. Public-Key Verschlüsselungen (oder auch "Asymmetrische Verschlüsselungen") wurden notwendig, als Private-Key Verschlüsselungen (oder auch "Symmetrische Verschlüsselungen") an ihre Grenzen stießen. Auch wenn die Ver- und Entschlüsselung mit symmetrischen Verschlüsselungen deutlich schneller geht, als mit den asymmetrischen Verschlüsselungen, so sind diese deutlich unsicherer. Dies liegt daran, weil sich entweder der Versender der Nachricht mit dem Empfänger treffen muss um den Schlüssel zu überbringen, was eine verschlüsselte Nachricht meistens unnötig macht, da er ihm diese dann auf selbigem Wege wörtlich überbringen kann, oder es muss ein Kurier den Transport des Schlüssels übernehmen, dem Versender und Empfänger vertrauen können und müssen. Spätestens als die Kommunikationsnetze beispielsweise durch das Internet immer größer wurden, ist die Public-Key Verschlüsselung notwendig gewesen, da symmetrische Verfahren dem sicheren Austausch dieser Masse an Schlüsseln nicht mehr gewachsen war. Eine Möglichkeit sich das vorzustellen bietet folgender Ansatz: Wenn n Teilnehmer in einem Netz miteinander kommunizieren wollen und durch symmetrische Verschlüsselungen immer nur zwei Teilnehmer untereinander einen geheimen Schlüssel austauschen können, müssen n(n-1)/2 Schlüssel übertragen werden. Bei auch nur 20 Teilnehmern ergäbe das eine notwendige Schlüsselanzahl von 190. Eine Lösung für diese Probleme bietet die Public-Key-Kryptographie, welche 1976 von den US-Amerikanern Diffie und Hellmann erfunden wurde. An die Stelle eines einzigen Schlüssels zur Ver- und Entschlüsselung tritt nun ein Schlüsselpaar (e,d) aus einem öffentlichen Schlüssel e (dem namensgebenden "public key") zum Verschlüsseln und einem privaten Schlüssel d zum Entschlüsseln. Natürlich besteht ein 3

4 Zusammenhang zwischen den beiden Schlüsseln um die Möglichkeit des korrekten Ver- und Entschlüsselns zu ermöglichen, jedoch ist der private Schlüssel nicht mit vertretbarem Aufwand aus dem öffentlichen Schlüssel zu berechnen. Doch wie funktioniert das Public-Key Verfahren nun konkret? Jeder, der nun Nachrichten verschlüsselt erhalten möchte entwickelt sich somit ein Schlüsselpaar (e,d). Dabei ist es nicht nötig mehrere Schlüsselpaare für mehrere Kommunikationspartner zu erstellen. Es reicht den öffentlichen Schlüssel e für jeden Partner zugänglich zu machen. Diese können dann jeder für sich eine Nachricht verschlüsseln, die mit dem privaten Schlüssel d nur von demjenigen entschlüsselt werden können, der den Schlüssel e vorher zum Verschlüsseln veröffentlicht hat. Da dieser Jemand der einzige ist, der den Schlüssel d kennt, können alle anderen Nachrichten mit Hilfe von e nur verschlüsseln, jedoch nicht entschlüsseln. Ein erster möglicher Angriffspunkt der Public-Key-Kryptographie liegt generell nicht in dem System selber, sondern in der Aufbewahrung der öffentlichen Schlüssel. Sind diese nämlich beispielsweise in einem Schlüsselverzeichnis einsehbar, so kann es passieren, dass jemand den öffentlichen Schlüssel einer Person durch seinen eigenen ersetzt und somit Nachrichten entschlüsseln kann, die eigentlich für diese Person bestimmt waren. Es ist also nötig, dass gewährleistet ist, dass die angegebenen Schlüssel wirklich die Schlüssel der jeweiligen Personen sind. Eine weitere Schwäche der Public-Key-Kryptographie liegt in ihrer Effizienz. Die asymmetrischen Verschlüsselungsverfahren sind viel langsamer als symmetrische Verschlüsselungsverfahren. Um die Sicherheit der verschlüsselten Nachrichten zu gewährleisten, diese aber auch in ihrer Effizienz zu steigern, entwickelte man hybride Verschlüsselungen, die heute auch meistens in der Praxis eingesetzt werden. Hybride Verschlüsselungssysteme funktionieren, indem die Nachrichten mit einem symmetrischen Schlüssel verschlüsselt werden, welcher wiederum durch ein asymmetrisches Verfahren verschlüsselt wird. Weiter oben wurde bereits darauf hingewiesen, dass ein Angriffspunkt auf Public-Key Verschlüsselungen derjenige ist, dass gewährleistet sein muss, dass der angegebene Schlüssel wirklich der richtigen Person zugeordnet ist. Allgemein versuchen Angreifer natürlich entweder den privaten Schlüssel zu berechnen oder Informationen über einzelne Klartexte zu gewinnen. Die Möglichkeiten den privaten Schlüssel zu berechnen und damit Nachrichten zu entschlüsseln ergeben sich dann, wenn der Angreifer einen Klartext und den dazu gehörigen Chiffretext hat. Ansonsten ist es ihm wie bereits weiter oben erwähnt nicht möglich mit vertretbarem Aufwand aus dem öffentlichen Schlüssel den privaten Schlüssel zu berechnen. Ein gutes Beispiel dazu wird das im Folgenden eingeführte RSA- Verschlüsselungsverfahren sein. 3. Das RSA-Verschlüsselungsverfahren In diesem Kapitel geht es allgemein um das RSA-Verschlüsselungsverfahren. Es wird um die Entstehungsgeschichte und die Funktionsweise des Verfahrens gehen, bevor in den nächsten Kapiteln die einzelnen Aspekte (Schlüsselerzeugung, Verschlüsselung, Entschlüsselung) dahinter behandelt werden. Wichtig ist vor Allem der Beweis im Kapitel zur Entschlüsselung, der aussagt, warum wir die mit dem öffentlichen Schlüssel verschlüsselten Nachrichten mit dem privaten Schlüssel entschlüsseln können, dürfen und dies auch Sinn ergibt. Nachdem die Idee der Public-Key Verschlüsselungen entstanden war, versuchten die drei 4

5 Kryptologen Rivest, Shamir und Adleman infolgedessen die Idee eines solchen Verfahrens zu widerlegen, stießen dabei jedoch auf ein Verfahren, bei dem sie keinerlei Angriffspunkte fanden, das danach nach ihren Nachnamen benannte RSA-Verfahren. Es war das erste asymmetrische Verschlüsselungs-Verfahren, welches veröffentlicht wurde, und ist bis heute auch noch das wichtigste. Wie bei allen anderen Public-Key Verfahren, gibt es auch beim RSA- Verschlüsselungsverfahren einen privaten und einen öffentlichen Schlüssel. Dieses Verfahren beruht auf einer sogenannten Einwegfunktion. Das sind Funktionen, bei denen die eine Richtung leicht zu berechnen ist, währen die Rückrichtung nahezu unmöglich zu bestimmen ist. In diesem Fall hängt die Sicherheit des RSA-Verfahrens eng mit der Schwierigkeit zusammen, große Zahlen in ihre Primfaktoren zu zerlegen. Mit den heutigen Mitteln und Verfahren ist das RSA-Verfahren also nicht ohne weitere Möglichkeiten zu entschlüsseln. Natürlich ist an dieser Stelle zu sagen, dass das RSA- Verschlüsselungsverfahren nur so lange sicher sein wird, wie das Problem der Primfaktorzerlegung großer Zahlen besteht Schlüsselerzeugung Um die oben erwähnte Einwegfunktion mit der Schwierigkeit, große Zahlen in ihre Primfaktoren zu zerlegen, einzuführen, wählt man bei dem RSA-Verfahren zwei sehr große Primzahlen p und q. Multipliziert man diese miteinander, erhält man eine Zahl n = p q, das sogenannte RSA-Modul. Das Prinzip des RSA-Verfahrens beruht nun darauf, dass man aus der Zahl n nicht in annehmbarer Zeit die Primfaktoren p und q herausfinden kann. Man kann also sagen, dass das Produkt öffentlich jedem bekannt ist, die Primfaktoren jedoch nur derjenige kennt, der diese vorher gewählt und miteinander multipliziert hat. Die Zahl n ist jedoch noch nicht der öffentliche und p und q noch nicht der private Schlüssel. Um nun die Schlüssel zu bilden, benötigt man die Eulersche φ-funktion: Diese Funktion gibt für jede natürliche Zahl k an, wie viele zu k teilerfremde natürliche Zahlen es gibt, die nicht größer als k sind. φ(k) := {a N 1 a k ggt(a,k) = 1} Dazu wird nun ein Lemma eingeführt, welches eine kleine Umformung bei der Schlüsselerzeugung ermöglicht. Lemma 3.1.1: Seien r und s zwei Primzahlen und t = r s, dann gilt: φ(t) = φ(r s) = (r 1) (s 1) Beweis: Für a {1, 2,, n} gilt ggt (a,t) = 1 a {p, 2p,, qp} a {q, 2q,, pq} 5

6 Also gilt: φ(t) = {1, 2,, n} \ {p, 2p,, qp} \ {q, 2q,, pq} = n - q - p + 1 = pq - q - p +1 = (p 1) (q 1) Zurück zur Schlüsselerzeugung wählt man eine natürliche Zahl e mit 1 < e < φ(n) = φ(p q) = φ(p) φ(q) = (p-1) (q-1) und ggt(e, (p-1) (q-1)) = 1 Die Umformungen ergeben sich aus dem Lemma Das Paar (n, e) bildet den öffentlichen Schlüssel. Weiterhin berechnet man eine natürliche Zahl d mit 1 < d < (p-1) (q-1) und d e 1 mod (p-1) (q-1). Diese Zahl d existiert tatsächlich, da ggt (e, (p-1)(q-1)) = 1 ist. Dabei ist zu beachten, dass e stets ungerade ist, da (p-1) (q-1) immer eine gerade Zahl ist und ggt (e, (p-1)(q-1)) = 1 gilt. Die Zahl d kann mit dem erweiterten euklidischen Algorithmus berechnet werden. Die Zahl d bildet den privaten Schlüssel. d e 1 mod (p-1) (q-1) (p - 1) (q - 1) (d e - 1) t Z: (p-1) (q-1) t = d e 1 e d - t (p - 1) (q - 1) = 1 Bsp Als Primzahlen werden p = 7 und q = 11 gewählt. Also ist n = p q = 7 11 = 77 und φ(n) = (p-1) (q-1) = 6 10 = 60. Zerlegt in Primfaktoren ist φ(n)= Man wählt das kleinstmögliche e und das ist in diesem Fall e = 7. Der erweiterte euklidische Algorithmus liefert d = 43. Damit ist in dem Beispiel der öffentliche Schlüssel (7,77) und der private Schlüssel d = Verschlüsselung Wenn nun eine Person einen sogenannten Klartext m Z verschlüsseln will, muss sie sich den öffentlichen Schlüssel (e,n) besorgen, um diesen Text zu verschlüsseln. Der Chiffretext c wird folgendermaßen berechnet: c = m e mod n. Wie bereits in den vorigen Kapiteln beschrieben, kann jeder, der den öffentlichen Schlüssel (e,n) besitzt, seinen beliebigen Klartext m damit verschlüsseln. Nun kann man erkennen, dass es sehr schwierig ist c zu berechnen. Deswegen wird zum einen das kleinstmögliche e 6

7 gewählt und zum anderen wird bei der Verschlüsselung die schnelle Exponentiation verwendet, damit dies in angemessener Zeit geschehen kann. Um dies anwenden zu können, wird im Folgenden das Prinzip der schnellen Exponentiation erklärt. Das Ziel dabei ist wie bei der Verschlüsselung im RSA-Verschlüsselungsverfahren die schnelle Berechnung von Potenzen in einer Halbgruppe G. Sei also nun g G und e eine natürliche Zahl. Wir betrachten die Binärentwicklung von e und schreiben e = k i=0 ei 2 i mit Koeffizienten e 0, e 1,, e k {0,1}. Dann gilt für das Potenzieren von g mit e: g e = k i=0 (g2i ) e = 0 i k,e i =1 Aus der Formel gewinnt man die Idee, dass man die Quadrate g2i mit 0 i k sukzessive berechnet und g e als Produkt derjenigen g2i bestimmt, für die ei = 1 ist. Zu beachten ist: g2i+1 = (g2i ) 2. g 2 i Bsp 3.2 Wie in dem vorigen Beispiel ist n = 77 und e = 7. Der Klartextraum ist also {0,1,2,...,76}. Die Zahl m = 14 wird zu 14 7 mod 77. Der Chiffretext c zur Nachricht m=25 wird also c = 14 7 mod 77. Die Binärentwicklung des Exponenten ist 7 = Nun bestimmen wir sukzessive die Quadrate 14, 14 2 = 42 mod 77 und 1422 = 70 mod 77. Also ist 14 7 = = = 42. Die Zahl m = 14 wird also zu 14 7 mod 77 = 42 = c verschlüsselt. 3.3 Entschlüsselung Wenn man ein m verschlüsseln will, ergibt sich für den verschlüsselten Text: c = m e mod n Das folgende Theorem zeigt, dass man c wie folgt entschlüsseln kann: m = c d mod n Theorem Sei (n,e) ein öffentlicher und d der entsprechende private Schlüssel im RSA- Verfahren. Dann gilt (m e ) d mod n = m 7

8 für jede natürliche Zahl m mit 0 m < n Beweis: Da e d 1 mod (p-1) (q-1) ist, gibt es eine ganze Zahl r, so dass gilt e d = 1 + r (p-1) (q-1). Oben steht, dass e d - 1 ein Vielfaches von (p-1) (q-1). Umgeschrieben führt man also die Variable r für die Vielfachheit von (p-1) (q-1) ein. Weiter gilt nach dem kleinen Satz von Fermat Nun macht man eine Fallunterscheidung: 1. Fall: ggt (m, n) = 1 ggt(m, n) = 1 m φ(n) 1 mod n. (m e ) d = m ed = m 1 + r (p-1) (q-1) = m m r (p-1) (q-1) = m (m (p-1)(q-1) ) r = m (m φ(n) ) r = m 1 r mod n = m mod n Da 0 m < n ist, erhält man die Behauptung des Satzes. 2. Fall: ggt (m, n) 1 ggt (m, n) 1 ggt (m, n) = p ggt (m, n) = q Hier wird nun nur der Fall ggt (m, n) = p gezeigt. Für ggt (m, n) = q ist der Beweis analog. Weiter folgt draus ggt (m, n) = p p m ggt (m, q) = 1 m φ(q) 1 mod q (m e ) d m mod q und m 0 mod p und schließlich (m e ) d m mod p 0 mod p m. Also wurde gerade bewiesen, dass eine Nachricht m, welches wie oben mit Potenzieren mit dem öffentlichen Schlüssel e zum Chiffretext c verschlüsselt wurde, auf dieselbe Weise durch Potenzieren mit dem geheimen Schlüssel d zurück zur Nachricht m entschlüsselt werden kann, also gilt tatsächlich: 8

9 m = c d mod n Das RSA-Verfahren ist offensichtlich tatsächlich ein Public-Key-Verschlüsselungsverfahren. Bsp Nun sollen die Beispiele und 3.2 fortgesetzt werden. Mit Hilfe des öffentlichen Schlüssels e = 7 wurde m = 14 verschlüsselt zu c = 42. Der private Schlüssel war nach Beispiel d = 43. Schließlich ist noch n = 77. Nun ist also zu prüfen ob mod 77 = 14 erfüllt ist. Dazu wenden wir erneut schnelle Exponentiation an. Die Binärentwicklung des Exponenten ist: 43 = Danach bestimmen wir sukzessive Quadrate 42, 42 2 = 70 mod 77, = 70 2 = 49 mod 77, = 14 mod 77, = 42 mod 77 und = 70 mod 77. Also ist = = = 25 mod 247. Somit sehen wir, dass auch im Beispiel der entschlüsselte Text wieder der Ausgangstext ist und das RSA-Verschlüsselungsverfahren funktioniert. 4. Sicherheit des privaten Schlüssels In diesem Kapitel geht es um die Sicherheit des privaten Schlüssels d. Wie bereits in den vorherigen Kapiteln erwähnt, soll es praktisch nicht möglich sein, aus dem öffentlichen Schlüssel den privaten Schlüssel berechnen zu können. Um zu belegen, dass das RSA- Verschlüsselungsverfahren sicher ist, soll in diesem Kapitel gezeigt werden, dass die Bestimmung des privaten Schlüssels d genau so schwierig ist, wie die Zerlegung des RSA- Moduls n in seine Primfaktoren p und q. Wenn die Äquivalenz der obigen Aussage gilt, wäre dies ein erstes Indiz für die Sicherheit des RSA-Verfahrens. Jedoch gibt es einige Gegenargumente. Es soll und ist nämlich unter bestimmten Umständen möglich, das RSA-Verfahren zu knacken, ohne den privaten Schlüssel zu kennen. Des Weiteren ist nicht zu hundert Prozent sicher, dass das Zerlegen in Primfaktoren schwer ist. Schon seit längerem ist bekannt, dass Quantencomputer das Faktorisierungsproblem in Polynomzeit lösen können. Das erste Problem ist natürlich zu beheben, indem man diese bestimmten Umstände vermeidet und die RSA-Parameter richtig wählt. Dann besteht die einzige Möglichkeit, RSA zu knacken, in der Lösung des Faktorisierungsproblem. Zumindest die Frage, ob es genauso schwer ist, den privaten Schlüssel d herzuleiten, wie die Zerlegung des RSA-Moduls n in seine Primfaktoren p und q, und andersherum, soll nun beantwortet werden. Dazu zuerst die Frage, wie man d bestimmt, wenn man p und q kennt. Dies geschieht, indem man folgende Kongruenz bestimmt: 9

10 d e 1 mod (p-1) (q-1) Bsp. 4.1 Weiß der Angreifer dass e = 7, p = 13 und q = 19, so errechnet er: 7 d 1 mod d = 217 d = 31 Wie man dem Beispiel 3.1 entnehmen kann, wäre der private Schlüssel d = 31 somit gelöst. Für die Umkehrung, also den Fall, dass man aus n, e und d die Faktoren p und q berechnet, setzen wir und s = max {t N : 2 t teilt e d - 1} k = (e d - 1) / 2 s. Um nun n zu faktorisieren, wählt man eine Zahl a aus der Menge {1,,n-1}. Danach berechnet man den größten gemeinsamen Teiler von a und n. g = ggt(a,n) Ist g > 1, so ist g ein echter Teiler von n und man hat zufällig einen der beiden Primfaktoren von n als Zahl a gewählt. Wenn jedoch g = 1 ist, so berechnet man g = ggt(a 2tk 1, n), mit t = s - 1, s - 2,, 0 Findet man dabei einen Teiler von n, dann ist der Algorithmus fertig, ansonsten muss man ein neues a wählen und dieselben Schritte noch einmal durchführen. Bsp. 4.6 Die Variablen sind p = 13, q = 19, n = 247, φ(n) = 216, e = 7 und d = 31. Als Angreifer kennt man nun n, e und d und will daraus die Faktoren p und q berechnen. Man berechnet s = max {t N: 2 t teilt e d - 1} s = max {t N: 2 t teilt 216} s = 3 und k = (e d - 1) / 2 s k = (216 / 8) k = 27 10

11 Unter der Berücksichtigung von s und k führt man nun den Algorithmus aus: Einfachheitshalber wählen wir a = 2. Offensichtlich ist ggt(2,247) = 1 Also berechnet man g = ggt(a 2tk 1, n), t = s -1, s -2,, 0 g = ggt( , 247) = 247 g = ggt( , 247) = 19 Damit hat man mit g = 19 = q einen der beiden Primteiler von n gefunden. Insgesamt ist es kein allzu großer Zufall, dass direkt beim ersten Versuch mit a = 2 ein Primteiler von n gefunden wurde. Die Wahrscheinlichkeit bei einfacher Anwendung des Algorithmus dafür einen Primteiler von n zu finden, liegt mindestens bei ½. Man kann also sagen, dass die Suche nach p und q in vertretbarem Aufwand liegt, wenn man n, e und d kennt. 11

12 Quellenverzeichnis: 1. Johannes Buchmann, Einführung in die Kryptographie, Heidelberg: Springer Spektrum, 6. Auflage,