1 Kryptosysteme 1 KRYPTOSYSTEME. Definition 1.1 Eine Kryptosystem (P(A), C(B), K, E, D) besteht aus

Größe: px

Ab Seite anzeigen:

Download "1 Kryptosysteme 1 KRYPTOSYSTEME. Definition 1.1 Eine Kryptosystem (P(A), C(B), K, E, D) besteht aus"

Christin Schmitz
vor 8 Jahren
Abrufe

1 1 RYPTOSYSTEME 1 ryptosysteme Definition 1.1 Eine ryptosystem (P(A), C(B),, E, D) besteht aus einer Menge P von lartexten (plaintext) über einem lartextalphabet A, einer Menge C von Geheimtexten (ciphertext) über einem Geheimtextalphabet B, einer Menge von Schlüsseln (key), dem Schlüsselraum, der Verschlüsselung oder Chiffrierung E, d. h. einer Familie von Abbildungen E : P C,, der Entschlüsselung oder Dechiffrierung D, d. h. einer Familie von Abbildungen D : C P,, so daß für alle und alle lartexte P gilt D E (P ) = P Die Zuordnungen von E und D zu stellen den Chiffrier- und den Dechiffrieralgorithmus dar. Schlüssel groß Chiffrier verfahren leicht E leicht D lartexte Geheimtexte 1

einem Geheimtextalphabet B, einer Menge von Schlüsseln (key), dem Schlüsselraum, der Verschlüsselung oder Chiffrierung E, d. h.

2 1 RYPTOSYSTEME Bemerkung 1.2 a) In der ryptographie wird generell vorausgesetzt, daß die Chiffrier- und Dechiffrieralgorithmen allgemein bekannt sind. Die Geheimhaltung basiert einzig auf der Unkenntnis der verwendeten Schlüssel. Diese Sichtweise wurde durch den niederländischen ryptanalytiker A. erckhoffs im 19. Jahrhundert erstmals formuliert. b) lassische ryptosysteme sind symmetrisch, bei ihnen ist es leicht, aus E die Umkehrabbildung D zu berechnen. Bei asymmetrischen Systemen ist die Ermittlung von D aus E ohne geheime Zusatzinformation extrem schwierig. Man nennt derartige Funktionen E Einwegfunktionen und die geheimen Zusatzinformationen Falltüren. Wird ein solches Verfahren benutzt, so kann der Empfänger einer Nachricht dem Sender einen Schlüssel öffentlich mitteilen, mit dem dieser eine Nachricht verschlüsseln soll. Wenn nur der Empfänger die geheime Zusatzinformation besitzt, mit der er D berechnen kann, ist einem Angreifer die Entschlüsselung trotzdem nicht möglich. Derartige Verfahren werden daher auch ryptosysteme mit öffentlichem Schlüssel genannt. Schlüssel groß Chiffrier verfahren =(ö,p) leicht leicht E D lartexte Geheimtexte 2

b) lassische ryptosysteme sind symmetrisch, bei ihnen ist es leicht, aus E die Umkehrabbildung D zu berechnen.

3 1 RYPTOSYSTEME Beispiel 1.3 a) Translations-ryptosysteme Es sei q eine natürliche Zahl und A = B = = Z q. Für jeden Schlüssel = b sei E (x) x + b mod q und D (x) x b mod q für alle x Z q. b) Substitutions-ryptosysteme Es sei q eine natürliche Zahl und A = B = Z q. Weiterhin sei = S q die symmetrische Gruppe der Ordnung q und für jeden Schlüssel = π sei E (x) = π(x) und D (x) = π 1 (x) für alle x Z q. Jede Translation in a) liefert natürlich eine Permutaion von Z q. Daher ist Translations-ryptosystem ein Substitutions-ryptosystem. Weil für alle Buchstaben der lartexte aus P dieselbe Verschlüsselungsfunktion verwendet wird, nennt man Substitutions-ryptosysteme auch monoalphabetische ryptosysteme. Beispiel 1.4 Vigenère-ryptosysteme (Blaise de Vigenère, ) Es seien m und q natürliche Zahlen und A = B = (Z q ) m =. Für = (k 1,..., k m ) sei E (x 1,..., x m ) (x 1 +k 1,..., x m +k m ) mod q und D (x 1,..., x m ) (x 1 k 1,..., x m k m ) mod q für alle (x 1,..., x m ) (Z q ) m. Für m = 1 ergibt sich ein Translations-ryptosystem. Für m > 1 spricht man von einem polyalphabetischen ryptosystem, da für jeden Buchstaben, je nach seiner Position im lartext, mehrere Verschlüsselungen möglich sind. Man bezeichnet auch als Schlüsselwort. Beispiel 1.5 Selbstschlüssel-Chiffre (nach Vigenère) Es sei q eine natürliche Zahl, A = B = = Z q, z 1 und z i = x i 1 für i 2. Weiterhin seien E z (x) = x + z mod q und D z (x) = x z mod q für alle z, x Z q. Beispiel 1.6 RSA-ryptosysteme (spezielle Public-ey-ryptosysteme) Es seien p, q Primzahlen, n = p q und ϕ(n) = (p 1)(q 1) sowie A = B = Z n. Weiterhin sei = {(n, p, q, e, d) ed 1 mod ϕ(n)}. Für = (n, p, q, e, d) sei E (x) x e mod n und D (x) x d mod n. Der Teil (n, e) von heißt öffentlicher Schlüssel, der Teil (p, q, d) geheimer Schlüssel. Bemerkung 1.7 Man unterscheidet verschiedene Angriffe auf ryptosysteme: i) Geheimtext-Angriffe liegen vor, wenn dem Angreifer nur Geheimtexte bekannt sind, er daraus lartexte und Schlüssel ermitteln möchte: Gegeben sind also C i = E (P i ) für i = 1,..., n, gesucht, P i bzw. ein Algorithmus, um P n+1 aus C n+1 = E (P n+1 ) zu berechnen. ii) lartext-geheimtext-angriffe liegen vor, wenn dem Angreifer zusammengehörige Paare aus lartext und Geheimtext vorliegen und er daraus den Schlüssel 3

Weiterhin sei = S q die symmetrische Gruppe der Ordnung q und für jeden Schlüssel = π sei E (x) = π(x) und D (x) = π 1 (x) für alle x Z q.

4 1 RYPTOSYSTEME ermitteln möchte: Gegeben sind also P i, C i = E (P i ) für i = 1,..., n, gesucht bzw. ein Algorithmus, um P n+1 aus C n+1 = E (P n+1 ) zu berechnen. Für die Sicherheit gegen derartige Angriffe ist es erforderlich, daß die Zuordnung (P, ) (P, E (P )) eine Einweg-Funktion ohne Falltür ist. iii) Angriffe mit gewähltem lartext liegen vor, wenn der Angreifer die Geheimtexte zu von ihm selbst gewählten lartexten bestimmen kann: Gegeben sind also P i, C i = E (P i ) für i = 1,..., n mit frei gewählten lartexten P i, gesucht bzw. ein Algorithmus, um P n+1 aus C n+1 = E (P n+1 ) zu berechnen. Dies ist insbesondere bei Public-ey-Verfahren stets der Fall, die also gegen derartige Angriffe sicher sein müssen. Bei einer adaptiven Variante dieses Angriffs werden die P i nacheinander in Abhängigkeit von den zuvor erzielten Ergebnissen gewählt. iv) Angriffe mit gewähltem Geheimtext liegen vor, wenn der Angreifer durch enntnis der Dechiffrierung Geheimtexte wählen kann und daraus die zugehörigen lartexte ermitteln kann: Gegeben sind also C i, P i = D (P i ) für i = 1,..., n, gesucht bzw. ein Algorithmus, um P n+1 aus C n+1 = E (P n+1 ) zu berechnen Auch diese Variante muß bei Public-ey-Systemen betrachtet werden. Eine ombination aus iii) und iv) wir auch ein Angriff mit gewählten Texten genannt. v) Angriffe durch Gewalt liegen vor, wenn der ryptanalytiker den Schlüssel durch Bedrohung, Erpressung oder körperliche Gewalt an sich bringt. Eine Variante hiervon ist die Bestechung als Angriff mit gekauftem Schlüssel. Diese Methoden sind sehr wirkungsvoll und oft der beste Weg, ein ryptosystem zu brechen. Im Rahmen dieser Vorlesung werden sie aber aus ethischen Gründen nicht weiter behandelt! vi) Brute-Force-Angriffe bestehen darin, daß man für einen gegebenen Geheimtext C sämtliche Schlüssel des Schlüsselraumes durchprobiert und nachschaut, ob P = D (C) ein sinnvoller lartext ist. Auch diese Methode wird in dieser Vorlesung als unsportlich angesehen! 4

iii) Angriffe mit gewähltem lartext liegen vor, wenn der Angreifer die Geheimtexte zu von ihm selbst gewählten lartexten bestimmen kann: Gegeben sind also P i, C i = E (P i ) für i = 1,.

5 2 PERFETE SICHERHEIT 2 Perfekte Sicherheit Definition 2.1 Ein ryptosystem (P(A), C(B),, E, D) heißt dann perfekt sicher, wenn I(P, C) = 0 ist, wenn die Geheimtexte also keine Information über die lartexte liefern. Satz 2.2 Ein ryptosystem (P(A), C(B),, E, D) ist genau dann perfekt sicher, wenn die Wahrscheinlichkeitsverteilungen auf P und C unabhängig sind. Folgerung 2.3 In einem perfekt sicheren ryptosystem gibt es mindestens so viele Schlüssel wie lartexte. Folgerung 2.4 Erfüllt ein ryptosystem die Bedingungen (i) P = und (ii) q = 1 für alle, so ist es perfekt sicher. q P C p P r C P C 5

6 2 PERFETE SICHERHEIT Beispiel 2.5 Das folgende, auf Ideen von Gilbert S. Vernam ( ) im Jahr 1917 zurückgehende Verfahren des Einwegschlüssels gewährt zwar perfekte Sicherheit gegen unbefugtes Abhören, der Preis ist aber der aufwendige Schlüsselaustausch zwischen Sender und Empfänger. Es wird hierbei nämlich vorausgesetzt, daß Sender und Empfänger über eine identische und zufällige unendliche Folge von Binärzeichen s 1 s 2 s 3... verfügen. Die Nachrichten bestehen ebenfalls aus Folgen von Binärzeichen n 1 n 2 n Die Verschüsselung besteht darin, daß aus dem Nachrichtensymbol n i das zu sendende Symbol m i = n i + s i mod 2 gemacht wird. Ist dies geschehen, so wird s i aus der Schlüsselfolge gestrichen, jedes Schlüsselsymbol wird also nur einmal verwendet. Der Empfänger kann daraus sofort n i = m i + s i mod 2 berechnen und anschließend aus seiner Schlüsselfolge ebenfalls s i streichen. Dadurch bleiben die beiden Schlüsselfolgen synchron. Ein Angreifer kann eine Nachricht nur dann entschlüsseln, wenn er für jedes m i das zugehörige s i richtig errät. Die Wahrscheinlichkeit hierfür geht mit wachsender Nachrichtenlänge aber gegen 0, wenn die Schlüsselfolge eine Zufallsfolge ist. In der Praxis kann man sich auch mit Folgen von Pseudozufallszahlen behelfen, wobei man statt der Schlüsselfolgen nur die entsprechenden Generatoren austauschen muß. Dann ist allerdings die perfekte Sicherheit nicht mehr gewährleistet. Die Verwendung von Einwegschlüsseln ist das einzigen Verfahren, für das bis heute die perfekte Sicherheit bewiesen ist. Das Problem des sicheren Austausches von Einwegschlüsseln kann mittels der Quanten-ryptographie zumindest theoretisch sehr elegant gelöst werden. Bei der praktischen ommunikation treten noch andere Probleme auf: Der Empfänger möchte Sicherheit haben, daß die Nachricht unverfälscht ist. Der Empfänger möchte Sicherheit haben, daß die Nachricht auch vom behaupteten Sender stammt (digitale Unterschrift). 6

Sender und Empfänger. Es wird hierbei nämlich vorausgesetzt, daß Sender und Empfänger über eine identische und zufällige unendliche Folge von Binärzeichen s 1 s 2 s 3... verfügen.

Ähnliche Dokumente

Asymmetrische. Verschlüsselungsverfahren. erarbeitet von: Emilia Winkler Christian-Weise-Gymnasium Zittau

Asymmetrische. Verschlüsselungsverfahren. erarbeitet von: Emilia Winkler Christian-Weise-Gymnasium Zittau Asymmetrische Verschlü erarbeitet von: Emilia Winkler Christian-Weise-Gymnasium Zittau Gliederung 1) Prinzip der asymmetrischen Verschlü 2) Vergleich mit den symmetrischen Verschlü (Vor- und Nachteile)