Das Rabin-Verschlüsselungssystem. Oliver Czernik

Transkript

1 Das Rabin-Verschlüsselungssystem Oliver Czernik

2 Inhaltsverzeichnis 1 Einleitung 2 2 Funktionalität Schlüsselerzeugung Finden einer Primzahl durch zufällige Suche Erzeugung des Schlüsselpaars Verschlüsselung Entschlüsselung Das Legendre-Symbol Wurzelziehen modulo einer Primzahl Chinesischer Restsatz Mehrfache Ergebnisse Der Entschlüsselungsalgorithmus Redundanz Sicherheit Das Rabin-Verschlüsselungssystem und das Faktorisierungsproblem Chosen-ciphertext-Attacken Redundanz und ihre Auswirkungen auf die Sicherheit

3 Kapitel 1 Einleitung In der Kategorie der asymmetrischen Verschlüsselungsverfahren ist RSA der wohl bekannteste Vertreter. Zwar ndet es in der Welt der Kryptographie viel Anwendung und wird für Schlüssel, die groÿ genug gewählt werden, als zuverlässig und sicher angesehen, doch hat es einen kleinen Makel: Seine Sicherheit konnte bis heute noch nicht bewiesen werden. Diesen Fehler hat ein anderes asymmetrisches Verfahren nicht, sofern das so genannte Faktorisierungsproblem, auf dem es basiert, als schwer lösbar angesehen wird. Es handelt sich hierbei um das Rabin-Verschlüsselungsverfahren, dessen Sicherheit als erstes unter allen asymmetrischen Verschlüsselungsverfahren mathematisch bewiesen werden konnte. Hintergrund Es wurde im Januar 1979 zum ersten mal veröentlicht. Namensgeber ist sein Ernder Michael O. Rabin, der unter andern auch den Miller-Rabin- Primzahltest mitentwickelt hat. Michael O. Rabin wurde 1931 im damaligen Breslau, heute bekannt als Wroclav, geboren und arbeitet derzeit, als dieses Dokument erstellt wurde, halbjährlich an der Universität von Harvard, wo er den Titel des Thomas J. Watson Professors der Computerwissenschaft bekleidet und an der hebräischen Universität von Jerusalem, an der er den Titel des Albert Einstein Professors der Mathematik und Computerwissenschaft inne hat. Quelle: [1] Grundidee Das Rabin-Verschlüsselungssystem ist auf dem modularen Quadratwurzel Problem aufgebaut. Dieses sagt aus, dass so einfach auch es sein mag eine beliebige ganze Zahl a in einem durch eine beliebige, natürliche Zahl n denierten Gruppe Z n zu quadrieren, es sehr schwierig wird wieder die Wurzel aus dem quadrierten Wert zu ziehen, wenn n nicht zufälligerweise eine Primzahl ist. 2

4 Abbildung 1.1: Michael O. Rabin Es gibt Möglichkeiten diese Operation durchzuführen, wie wir später in Abschnitt sehen werden, wenn n eine Primzahl ist. Jedoch müssten wir, falls n keine Primzahl ist, n in Primfaktoren zerlegen, a bezüglich der aus den Primfaktoren denierten Gruppen betrachten und in diesen die Wurzel aus a ziehen. Die Zerlegung einer Zahl in Primfaktoren fällt allerdings in die Problematik des oben bereits erwähnten Faktorisierungsproblems, das auch später von uns betrachtet werden wird (Abschnitt 3.1). Auf dem Ungleichgewicht zwischen den Schwierigkeiten, Elemente einer Gruppe zu quadrieren und aus ihnen die Quadratwurzel zu ziehen, basiert das Rabin-Verschlüsselungssystem. Dies geschieht indem es einen allgemein bekannten, öentlichen Schlüssel gib, der als Grundlage zum Quadrieren dient, und einen geheimen, privaten Schlüssel, der nur seinem Besitzer ermöglicht das modulare Quadratwurzel Problem zu umgehen und ohne gröÿere Schwierigkeiten wieder die Quadratwurzel zu ziehen. 3

5 Kapitel 2 Funktionalität 2.1 Schlüsselerzeugung Ähnlich wie beim RSA-Verfahren benötigen wir zwei ungleiche Primzahlen p und q. Beide sollten möglichst groÿ sein und die gleiche Gröÿenordnung haben. Dies ist eine wichtige Bedingung, da sie aus dem eingangs erwähnten Faktorisierungsproblem stammt und direkt im Zusammenhang mit der Sicherheit des Verschlüsselungssystems steht. Diese beiden Zahlen sollen nämlich die Primfaktoren ein möglichst schwer zu zerlegenden Zahl sein. Das Faktorisierungsproblem sagt diesbezüglich aus, dass dies gegeben ist, wenn die obigen Bedingungen erfüllt sind. Im Falle eines Daten- Verschlüsselungsverfahren für einen Computer sind diese Bedingungen schon dann gut erfüllt, wenn p und q dieselbe Bitlänge L haben und diese relativ lang ist. Hierbei hat das erste Bit natürlich den Wert 1. Die erste 1 im der Bitnotation garantiert das die Werte der Primzahlen in der oberen Hälfte der so darstellbaren Zahlen liegt. Heutzutage, als dieses Dokument erstellt wurde, sollten mindestens 1024-bit Primzahlen benutzt werden, die allgemeinen Empfehlungen liegen aber schon bei einer Gröÿenordnung von 2048-bit. Diese hohen Werte werden benötigt, um die meisten Attacken durch probabilistische Algorithmen zu vereiteln, da diese sehr viel Rechenzeit benötigen würden. Jedoch müssen erst einmal Primzahlen dieser Gröÿe gefunden werden Finden einer Primzahl durch zufällige Suche Für gewöhnlich wird eine Primzahl gefunden, indem man eine zufällige ganze Zahl k im Zahlenbereich der geeigneten Gröÿenordnung auswählt und diese dann auf Primzahleigenschaften testet. Dies scheint auf den ersten Blick inef- zient zu sein. Jedoch würde jede systematische Suche nach einer Primzahl, da diese recht inhomogen auf dem Zahlenstrahl angeordnet sind, die Auswahlwahrscheinlichkeit von gewissen Primzahlen erhöhen. Dies würde wiederum dazu führen, dass ezientere, probabilistische Angrisalgorithmen, 4

6 speziel auf diese Suchform optimiert, entwickelt werden würden. Nur eine vollkommen zufällige Suche stellt sicher das es keinen Angri dieser Art geben kann. Es gibt mehrere Möglichkeiten den Kandidaten k zu prüfen. Die sicherste Methode wäre es wenn wir k einem Test unterziehen würden, der mit 100%'iger Sicherheit festellen würde, ob es sich hierbei wirklich um eine Primzahl handelt. Natürlich gibt es solche sogenannten deterministischen Primzahltests deren Laufzeit besser sind, als das brutale Durchtesten jedes möglichen Teilers von k. Der schnellste heute bekannte ist das AKS-Verfahren. Aber selbst dieser Test hat eine Laufzeit von O(L 6 ). Siehe [3](S.7) Es ist unpraktikabel jedes gewählte k mit dem AKS-Verfahren zu testen, bis endlich eine Primzahl gefunden wurde, da es schnellere Alternativen hierzu gibt. Sie heiÿen probabilistische Primzahltests. Probabilistische Primzahltests Probabilistische Primzahltests haben kleinere Laufzeiten, als die meisten deterministischen Primzahltests. Dies hat allerdings auch seinen Preis. Zwar können wir sicher sein, dass eine Zahl die als nicht-prim abgelehnt worden ist keine Primzahl ist, jedoch gilt dies, wie wir gleich sehen werden, nicht umgekehrt. Es gibt bei einer einfachen Ausführung des Tests das Risiko, dass eine gefundene Primzahl doch keine ist. Jedoch kann dieses Risiko, wie wir noch sehen werden, minimiert werden. Der derzeit ezienteste Test dieser Art ist der Miller-Rabin-Primzahltest. Dieser Test macht sich folgende mathematische Eigenschaft von Primzahlen zu nutzte: Wenn p tatsächlich eine ungerade Primzahl ist, dann gilt: (a r 1 mod p) (a 2jr 1 mod p); p 1 = 2 s r, r ist ungerade; a Z p; 0 j s 1 Siehe [2](S. 138) Leider kann die obige Bedingung auch für jedes beliebige k erfüllt werden. Sollte k eine zusammengesetzte ganze Zahl sein, was jede ganze nicht- Primzahl ist, so würden bis zu 1/4 aller Elemente a Z k, eingesetzt in die obige Bedingung, genau diese erfüllen. Somit haben wir an dieser Stelle eine Fehlerwahrscheinlichkeit von maximal bis zu 1/4, wenn k keine Primzahl ist. Die Bedingung kann aber mehrere male mit jeweils anderen a überprüft werden. Sobald sie einmal nicht erfüllt ist, haben wir die Gewissheit, das k keine Primzahl ist. Man könnte an dieser Stelle argumentieren, dass durch testen von 1/4 aller Elemente a Z k absolute Sicherheit erreicht werden würde. Dies ist zwar korrekt, würde aber bei Zahlen im 1024-bit Bereich zulange andauern. Dies ist auch nicht nötig, da die Wahrscheinlichkeit, sich bei einer zusammengesetzten Zahl zu irren, mit jedem weiteren getesteten a wieder mindestens um den Faktor 1/4 fällt. Wenn die Zahl t, im folgenden nur noch 5

7 als Sicherheitsfaktor bezeichnet, die Anzahl der verschiedenen, verwendeten Elemente a ist, dann ist die reale Wahrscheinlichkeit eines Irrtums unterhalb des Wertes (1/4) t. Der Wahrscheinlichkeit nähert sich also schon für kleinere Werte des Sicherheitsfaktors t schnell der 0. Für eine einfache Überprüfung der Bedingung, würde ein Algorithmus der genau dies umsetzt eine Laufzeit von O(L 3 ) haben. Für wiederholtes Überprüfen somit eine von O(t L 3 ). In der Praxis passieren allgemein immer wieder Fehler. Für einen ausreichend hohen Sicherheitsfaktor t läÿt sich ein solcher Irrtum, in Hinblick auf die hierdurch gewonnene Geschwindigkeit, ruhigen Gewissens in Kauf nehmen. Kombinierter Primzahltest Sollten wir dennoch eine sichere Methode benötigen, um an eine Primzahl zu gelangen, können wir eine Kombination aus verschiedenen Primzahltest anwenden. Zunächst suchen wir einen Kandidaten k zufällig aus. Dann kann dieses k durch einen probabilistischen Primzahltest, etwa dem Miller-Rabin- Test, mit niedrigem Sicherheitsfaktor t überprüft werden. Sollte k diesen oberächlichen Test bestanden haben, kann man als weiteren Test versuchen k durch kleine Primzahlen, etwa den ersten Hundert, zu teilen. Kleine Primzahlen sind hierfür geeignet, da sie in der Regel mehr zusammengesetzte Zahlen teilen als groÿe Primzahlen. Somit ist auch die Wahrscheinlichkeit, dass eine kleine Zahl k teilen kann und als nicht-primzahl identiziert höher. Die Laufzeit pro Rechnung beträgt O(L 2 ). Somit kommen wir mit der Anzahl g der verwendeten niedrigen Primzahlen auf die Laufzeit O(g L 2 ). Als letzter Schritt wird k dann mit einem Primzahltest untersucht der Gewissheit gibt. Das AKS-Verfahren ist der wohl derzeit geeignetste Kandidat hierfür. Diese Vorgehensweise hat eine Gesamtlaufzeit von O(t L 3 + g L 2 + L 6 ) = O(L 3 + L 2 + L 6 ) Erzeugung des Schlüsselpaars Wie bereits eingangs erwähnt müssen wir die zwei Primzahlen p und q erzeugen. Hierzu nden wir zwei Primzahlen auf eine der oben beschriebenen Weisen. (p, q) sind ab sofort unser privater Schlüssel. Das Produkt n = p q ist unser öentlicher Schlüssel. Ausschlieÿlich n wird veröentlicht und an all diejenigen weitergereicht, die dem Besitzer vom privaten Schlüssel (p, q) eine verschlüsselte Nachricht zukommen lassen wollen. n hat auÿerdem eine eigene Bitlänge N. 6

8 2.2 Verschlüsselung Die Verschlüsselungsfunktion E lautet: E : c = m 2 mod n (2.1) Hierbei repräsentiert m den zu verschlüsselnden Klartext und c den verschlüsselten Text. n ist, wie bereits oben erwähnt, unser öentlicher Schlüssel, der hier nun zum Einsatz kommt. Für m und c gilt: m, c Z n. Wenn Daten auf diese Weise verschlüsselt werden sollen, muÿ bei der Aufteilung der Daten in Datenpakete darauf geachtet werden, dass die Zahl m, die durch die Bitfolge des Paketes dargestellt wird, auch wirklich der Bedingung 0 m n gehorcht. Ist dies nicht der Fall können die Pakete nicht mehr richtig entschlüsselt werden. Der oensichtlichste Vorteil dieser Verschlüsselung ist eindeutig die benötigte Laufzeit. Sie beträgt nur O(N 2 ) und schlägt somit jedes andere asymmetrische Verschlüsselungsverfahren. 2.3 Entschlüsselung Die Entschlüsselungsfunktion D ist die Umkehrfunktion von E 2.1 und lautet: D : m = c mod n (2.2) Bei der Berechnung von m ergeben sich nun einige Probleme. Zu einem ist die Verschlüsselungsfunktion E nicht injektiv, so dass das Zurückrechnen mit D mehr als nur einen Wert für m liefern wird. Desweiteren stoÿen wir an dieser Stelle gegen das, in der Einleitung erwähnte, modulare Quadratwurzel Problem. Wir wissen asu der Erzeugung des Schlüsselpaars 2.1.2, dass n eine zusammengesetzte Zahl ist und somit das Wurzelziehen schwierig wird. Allerdings kennen wir als Entschlüsselungsberechtigter auch den privaten Schlüssel (p, q) und damit die Faktorzerlegung von n. An dieser Stelle können wir jedoch nichts anderes tun als die Werte c mod p und c mod q zu berechnen. Zuvor denieren wir aber noch das sogenannte Legendre-Symbol Das Legendre-Symbol Wir nehmen an p sei eine ungerade Primzahl. Dann ist die durch p denierte Gruppe Z p zyklisch. Man kann dann zwar jedes Element a Z p quadrieren, aber man kann nicht auch aus jedem a die Quadratwurzel ziehen. Sei α als der Generator der Gruppe deniert. Wir wissen, dass jedes Element a vom Generator durchlaufen wird: a = α i mod p, i {0,.., p 2} 7

9 Es ist leicht ersichtlich, dass jedes a bei dem i einen geraden Wert für α i mod p annimmt, eine Wurzel haben muÿ. Diese Elemente heiÿen quadratische Reste. Die anderen Elemente besitzen keine Quadratwurzel und heiÿen quadratische Nichtreste. Aufgrund dieser Verteilung ist auch leicht ersichtlich, dass sich alle Elemente der Gruppe in zwei gleichgroÿe Mengen von quadratischen Resten und Nichtresten aufteilt. Vergleiche [2](S.70, Fact 2.135) Das Legendre-Symbol ( a p ) ist so deniert, dass falls a in Z p ein quadratischer Rest ist, es gleich 1 ist. Falls a in Z p ein quadratischer Nichtrest ist, ist es gleich -1 ist und gleich 0, falls a trivialerweise von p geteilt wird. Praktischer Weise sagt das Euler Kriterium folgendes aus: a (p 1)/2 mod p 1, wenn a quadratischer Rest ist 1, wenn a quadratischer Richtrest ist 0, wenn p a teilt Somit läÿt sich ein ezienter Algorithmus erstellen, der das Legendre- Symbol berechnet. Siehe [2](S.137, Fact 4.14) Wurzelziehen modulo einer Primzahl Wir nehmen an p sei eine ungerade Primzahl. Dann ist die durch p denierte Gruppe Z p zyklisch und hat die Ordnung p 1. Weiter sei a eine ganze Zahl mit den Bedingungen 0 < a < p und ( a p ) = 1, also mit Quadratwurzeln in Z p. Auÿerdem denieren wir α := a mod p und β Z p mit der Bedingung β 2 = α. Folglich kann man α auch auf folgende Art sehen: α (Z p) 2. Siehe [4] (S.292, ) Bevor wir aber den allgemeinen Fall betrachten, macht es Sinn einen Blick auf den Fall zu werfen, in dem für p zusätzlich noch folgende Bedingung gilt: p 3 mod 4 Spezialfall: p ist eine Primzahl und die Bedingung p 3 mod 4 gilt Unter der Einschränkung p 3 mod 4 vereinfacht sich das Wurzelziehen im Vergleich zum allgemeinem Fall, wie wir noch sehen werden, um einiges. Hierzu benötigen wir jedoch Fermats kleinen Satz. Dieser sagt aus: a p a mod p, wenn p eine Primzahl ist. (2.3) Somit können wir die folgenden Umformungen durchführen: β 2 = β 1 β 1 = β p β 1 = β (p+1) 8

10 β 2 = α β = α 1/2 β (p+1) = α (p+1)/2 β 2 = α (p+1)/2 β = α (p+1)/4 Durch die Einschränkung für die Wahl von p ist auch gewährleistet, dass der Term (p+1)/4 nur ganze Zahlen als Wert annehmen kann. Somit können wir den Wert für die Quadratwurzel β von α aus einem gegebenem α berechnen. Natürlich ist auch der negative Wert β mod p ein gültiger Wert für die Quadratwurzel von α. [4](S.292) Die Formeln zum Errechnen der Wurzeln lautet also: Beispiel: β 1 = α (p+1)/4 mod p β 2 = β 1 mod p (2.4) p = 7, α = 4 β 1 4 8/2 mod 7 2 β 2 2 mod 7 5 Probe: 2 2 mod p mod p 4 Algorithmus: Um diese Methode eine Wurzel zu ziehen in einen Rechenalgorithmus umzusetzen, müssen wir nichts anderes tun, als die oben stehenden Formeln (2.4) in Anweisungen zu überführen: Eingabe: Primzahl p mit p = 3 mod 4, ganze Zahl a mit ( a p ) = 1 Ausgabe: Beide Quadratwurzeln β, β aus a mod p 1. Berechne β = a (p+1)/4 mod p 2. Ausgabe(β, β mod p) Laufzeit: Durch Quadrierung in Schritt 1. kommen wir auf eine Laufzeit von O(L 3 ). Vergleiche [2](S.72,Tabelle 2.5)) Allgemeiner Fall: Natürlich läÿt sich aber auch ( weiterhin unter der Bedingung, dass ( a p ) = 1 gilt) zwar relativ einfach, wenn auch nicht so simpel wie im Spezialfall, die Wurzel aus a mod p ziehen. Hierzu benötigen wir neben den schon denierten α eine weitere Gröÿe γ. γ unterliegt der Bedingung γ Z p\(z p) 2 oder anders beschrieben soll ( γ p ) = 1 gelten. Siehe [4](S.292) Als ersten Schritt schreiben wir die Formel p 1 = 2 h m, mit der Bedingung, dass m ungerade sein soll, auf. Es fällt schnell auf, dass h und 9

11 m abhängig vom jeweiligen p immer einen eindeutigen Wert annehmen. An dieser Stelle benötigen wir Fermats kleinen Satz [4](S.27, Theorem 2.16): δ (p 1) δ p 1 mod p δ mod p, δ Z p Jedes beliebige δ m aus δ Z p hat eine multiplikative Ordnung, die den passenden Wert von 2 h teilt, da auch folgenes gilt: δ (p 1) = δ (2h m) = (δ m ) 2h 1 mod p (2.5) Desweiteren können wir auch das Euler Kriterium umformen: δ (p 1)/2 = δ 2h m/2 = δ 2h 1m = (+1 mod p) ( 1 mod p) Da α 2h 1m = 1 und γ 2h 1m = 1 gelten, hat α m eine multiplikative Ordnung, die 2 h 1 teilt. Für γ bedeutet das aber, dass es keine Ordnung besitzt, die 2 h 1 teilt. Nach Formel 2.5 lautet seine multiplikative Ordnung genau 2 h. Weil aber Z p nur eine Untergruppe der Ordnung 2 h besitzt, folgt hieraus, dass γ m der Generator dieser Gruppe ist und α m = γ xm gilt, wenn 0 x 2 h und x gerade ist. x erhalten wir, indem wir einfach nach x hin umformen: x = log γ m α m Da m ungerade ist, gibt es eine nicht negative ganze Zahl t, die die Bedingung m = 2t + 1 erfüllt. Durch intensives Umformen folgt letztendlich: β 2 = α = α m 2t = α m α 2t = γ mx α 2t = (γ mx/2 α t ) 2 Also ist somit hergeleitet worden, dass β = γ mx/2 α t eine Quadratwurzel von a in Z p ist. Der andere gesuchte Wert ist natürlich auch hier wieder β mod p. Es gilt: β 1 = γ mx/2 α t mod p β 2 = β 1 mod p (2.6) Algorithmus: Ähnlich, wie in dem Algorithmus zu dem vorhergegangenen Spezialfall 2.3.2, müssen auch dieses mal die Endformeln zur Berechnung der Quadratwurzeln aus a Z p (2.6) in diesem Algorithmus verwirklicht werden. Dies geschieht am besten dadurch, dass wir die obige Herleitung, bis zu den endgültigen Formeln, Schritt für Schritt umsetzten. Eingabe: Ungerade Primzahl p, ganze Zahl a mit ( a p ) = 1 Ausgabe: Beide Quadratwurzeln β, β aus a mod p 1. Finde ein γ, so dass ( γ p ) = 1 2. h 0, erhöhe h solange bis (p 1 = 2 h m) (m ist ungerade) gelten 3. Berechne x = log γ m α m 4. Berechne β = γ mx/2 α (m 1)/2 5. Ausgabe(β, β mod p) 10

12 Laufzeit: Eine genau Laufzeitanalyse des obigen Algorithmuses wird aufgrund des Schrittes 1. erschwert. Man könnte γ z.b. durch ein zufälliges Auswahlsystem nden. In diesem Fall ist allerdings kein Verfahren mit polynomieller Laufzeit bekannt. Auch andere nicht auf Zufall basierende Verfahren sind denkbar. Da aber die Menge der quadratischen Nichtreste genau so Mächtig ist, wie die Menge der Reste, kann angenommen werden, dass ein Nichtrest schnell gefunden wird. Weil es vollkommen egal ist, welcher Wert für γ gewählt wird, solange er der Bedingung ( γ p ) = 1 gehorcht, ist an dieser Stelle keine Gefährdung der Sicherheit des Kryptosystems durch eine eventuelle schlechte Wahl der Auswahlmethode zu befürchten. Für die weitere Analyse der Laufzeit nehmen wir eine modizierte Version des Algorithmuses an, für den einfachsten Fall, nämlich, dass γ als Eingabeparameter gegeben ist. Die Laufzeit für die in Schritt 3. angewendete Berechnung des diskreten Logarithmuses zur Bestimmung von x kann je nach Verfahren, das angewendet wird, auch O( p) betragen, wobei p dieses mal wirklich unsere Primzahl p sein soll. Die in den Schritten 2., 4. und 5. benötigte Rechenzeit, für die angewendeten Quadrierungen und Modularrechnungen, können wir gut mit einer Gesamtlaufzeit von O(L 3 ) angeben. Somit kommen wir auf eine Laufzeit von O( p + L 3 ). Allerdings ist in [2] auf Seite 100 unter Stichpunkt Algorithmus 3.34 ein Algorithmus angegeben, der die gesamte Berechnung in einer ezienten Laufzeit von O(L 4 ) schat. Dies soll unser Maÿstab sein. Wir sind zwar fähig, die Wurzel unseres Chiretextes c modular zu den Primzahlen p und q aus dem privaten Schlüssel zu ziehen, jedoch ist bei den so gewonnen Werten noch nicht der, von uns gesuchte, Klartext m mit dabei. Wir können jedoch aus den so gewonnenen Werten die Quadratwurzeln aus c modulo n berechnen, wenn wir den Chinesischen Restsatz anwenden Chinesischer Restsatz Allgemeiner Chinesischer Restsatz: Wir nehmen eine Folge m i mit l-vielen Elementen an. Also gilt: l N, i {1,.., l} Desweiteren seien alle Elemente der Folge m i positive, ganze Zahlen und untereinander teilerfremd. M sei als das Produkt all dieser Zahlen deniert: M = l i=1 m i Wir nehmen eine weitere Folge a i an. Auch diese Folge hat l-viele Elemente und für den Index i gilt auch hier i {1,.., l}. Für die Elemente der Folge a i gilt a i Z. Jedem a i sei ein m i durch den gemeinsamen Index i zugeordnet. Jedes a i werde nun von uns modulo seinem jeweiligen m i betrachtet, so dass wir eine Folge von Termen a i mod m i, i {1,.., l} erhalten. Nun muÿ eine Zahl x mod M, x Z existieren, so dass x a i mod m i, i {1,.., l} gilt. In diesem Fall haben wir eine simultane Kongruenz. 11

13 x a 1 mod m 1 x a 2 mod m 2. x a l mod m l Welchen Wert x hat, können wir durch Anwendung der Chinesischen Restsatzes herausnden. Zunächst denieren wir M i := M/m i. Somit sind m i und M i immer teilerfremd. Wir können jetzt zwei Folgen r i und s i nden, so dass gilt: r i m i + s i M i = 1, i {1,.., l} (2.7) Die passenden Werte für die Folgen r i und s i können z.b. mithilfe des erweiterten Euklidischen Algorithmus errechnet werden. Beim näheren betrachten erkennen wir, dass die folgenden Beziehungen gelten: s i M i 1 mod m i s i M i 0 mod m j ; i, j {1,.., l}, i j Nun sind alle Vorbereitungen getroen, um x zu berechnen. Hierzu setzten wir alle gefundenen Werte in folgende Formel ein und rechnen sie aus: Vergleiche [5](5.2.2) x = l a i s i M i mod M (2.8) i=1 Chinesischer Restsatz im Rabin-Verschlüsselungssystem: Um den Chinesischen Restsatz anwenden zu können, müssen wir nichts anderes tun, als für die einzelnen Variablen ihre Entsprechungen einzusetzen. Als Elemente der Folge m i, setzen wir p und q ein. Da p und q ungleiche Primzahlen sind, sind sie auch teilerfremd. Das in allen Kongruenzen identische x ist in diesem Fall das gesuchte c. Die Folge a i wird durch die bereits errechneten Quadratwurzeln aus c modulo jeweils p oder q bestimmt. Es ist wichtig hierbei darauf zu achten, dass diese Wurzeln ihren passenden Primzahlen zugeordnet werden. Folglich haben wir diese zwei Kongruenzen: c r mod p c s mod q Das Produkt M aus p und q ist einfacher weise nichts anderes als unser öentlicher Schlüssel n. Auch die Werte für die Folge M i sind trivialerweise nichts anderes als für p der Wert q und umgekehrt, was nicht weiter verwunderlich ist, da m i nur diese beiden Elemente besitzt. 12

14 Folglich ist auch die Anzahl der Elemente der Folgen r i und s i gering. Wir müssen mit Hilfe des erweiterten euklidischen Algorithmuses nur die Werte von a und b nden, so dass gilt: ap + bq = 1 (2.9) ap 1 mod q ap 0 mod p bq 1 mod p bq 0 mod q Also folgt nach der Summenformel des Chinesischen Restsatzes (2.8): c (aps + bqr) mod n (aps + bqr) c mod n Somit haben wir gezeigt, dass wir c mod n mit den uns gegebenen Werten ausrechnen können. Wir erhalten vier verschiedene Ergebnisse Mehrfache Ergebnisse Die Anwendung des Chinesischen Restsatzes sagt also aus, dass wir vier verschiedene Ergebnisse zurück bekommen. Die Frage die sich uns hier stellt lautet: Warum? Wir können den Term c mod n nicht direkt lösen und müssen erst n in seine Primfaktoren p und q zerlegen und modulo dieser die Rechnung vornehmen. Die Terme c mod p und c mod q aber liefern ihrerseits jeweils zwei Ergebnisse. Diese vier Werte werden ihrerseits zur Berechnung des Terms c mod n mithilfe des Chinesischen Restsatzes benötigt. Allerdings müssen wir bei der Berechnung darauf achten jede erlaubte Kombination durchzuprobieren. Jede Kombination führt zu genau einer gültigen Lösung. Die Anzahl aller verschiedenen Lösungen ist also abhängig davon, in wieviele Primfaktoren der anfängliche Modulwert zerlegt werden muÿ. Muÿ z.b. für den Term c mod k der Wert k in i-viele Primfaktoren zerlegt werden, so wird der Term am Ende der Rechnung 2 i verschiedene Lösungen haben. [2](S.70, Fact 2.140) Im Falle des Rabin-Verschlüsselungssystems sind es nur die beiden Primfaktoren p und q. Zu dem ursprünglichen Klartext m erhalten wir über den passenden Chiretext c die vier Ergebnisse m 1, m 2, m 3 und m 4 unter denen sich m benden muÿ Der Entschlüsselungsalgorithmus Da wir uns die Grundlagen und Vorgehensweise zum errechnen von c mod n in den obigen Abschnitte klar gemacht haben, können wir nun daran gehen einen Algorithmus aufzuschreiben, der genau nach dieser Vorgehensweise operiert [2](S.102, Algorithm 3.44): 13

15 Eingabe: Privater Schlüssel p und q, Ciphertext c Ausgabe: Alle Quadratwurzeln m 1, m 2, m 3, m 4 aus c mod n 1. Berechne r = c mod p 2. Berechne s = c mod q 3. Berechne a, b mit erw. euk. Algorithmus, so dass ap + bq = 1 gilt 4. Berechne x = (aps + bqr) mod n 5. Berechne y = (aps bqr) mod n 6. Ausgabe(x, x mod n, y, y mod n) Die Berechnungen in den Schritten 1. und 2. erfolgen, wie in Abschnitt beschrieben. Es gilt also auch die gleiche Laufzeit O(L 4 ) für den allgemeinen Fall einer Primzahl ohne eine Nebenbedingung. Aber gerade hier kann die Laufzeit gut reduziert werden, wenn man ganz am Anfang bei der Erzeugung der beiden Primzahlen p und q darauf geachtet hat, dass sie die Kongruenzbedingungen 3 mod 4 erfüllen. Hierdurch wird die Laufzeit auf O(L 3 ) gesenkt. An dieser Stelle kann man argumentieren, dass die Sicherheit der Verschlüsselung durch die Einschränkung der möglichen, zur Auswahl stehenden Primzahlen gesenkt wird. Dies ist sicherlich richtig, doch bleiben bei einer genügend hohen Gröÿenordnung (anders gesagt: bei einer genügend groÿen Bitlänge) aus der die Primzahl gewählt werden soll, noch so viele mögliche Kandidaten übrig, dass dieses Argument keine Relevanz mehr besitzt. Schritt 3. ist mit der Gleichung (2.9) gleichzusetzen. Die Laufzeit, die der erweiterte euklidische Algorithmus benötigt, um diese Berechnung durchzuführen lautet O(L 2 ). Auch wenn Schritt 4., 5. und 6. auf den ersten Blick etwas befremdlich wirken, so stellen sie doch die aus dem chinesischen Restsatz hergeleiteten Berechnungen dar. Bei den Schritten 4. und 5. ist besonders auf den Unterschied bezüglich des Plus- und Minus-Zeichens zu achten. In beide Termen werden jeweils nur ein vorher ausgesuchter Quadratwurzelwert für r und s eingesetzt. Die Änderung des Vorzeichens des Termes bqs in Schritt 5. läÿt sich auf die Verkehrung des Vorzeichens von s in s reduzieren. Ähnliches geschieht in Schritt 6. durch die Verkehrung von x und y in ihre Negativwerte x mod n und y mod n. Diese Vorgehensweise ist äquivalent zum durchprobieren aller Kombinationen von r, r, s und s im Term aus Schritt 4. oder 5. Beide Vorgehensweisen liefern die selben Ergebnisse. Die Laufzeit dieser Schritte beträgt insgesamt O(N 2 ) wobei N die Bitlänge von n ist Redundanz Aufgrund der fehlenden Injektivität lassen sich mehrere Ergebnisse nicht ausschlieÿen. Im Falle des Rabin-Verschlüsselungssystems sind es genau vier. Wir wissen, dass der ursprüngliche Wert m, der den Klartext repräsentiert, 14

16 unter den Ergebnissen sein muÿ. Das Problem besteht nun darin, herauszunden, welcher er ist, da wir als Empfänger die ursprüngliche Nachricht nicht kennen werden. Eine Möglichkeit ist es den Klartext schon vor dem Verschlüsseln zu markieren. Dies kann geschehen, indem wir der zu codierenden Bitzahl einige Bit mit einem speziellen Muster hinzufügen. Diese Extrabits sind die Redundanz, die wir hinzugefügt haben. Dieses so veränderte Zahl wird dann codiert. Wenn sie dann wieder decodiert wird, erhalten wir wieder verschiedene mögliche Ergebnisse, jedoch sollte idealerweise nur einer der Werte die oben eingefügten Bits im speziellen Muster enthalten. Natürlich kann es passieren, dass zwei oder sogar mehr Werte diese Bits enthalten. Allerdings ist die Wahrscheinlichkeit hierfür, mit ausreichen groÿer Redundanz, astronomisch gering. Letztendlich wir die Redundanz entfernt und wir erhalten den ursprünglichen Wert. 15

17 Kapitel 3 Sicherheit 3.1 Das Rabin-Verschlüsselungssystem und das Faktorisierungsproblem Wie wir schon in der Einleitung gesehen haben basiert das Rabin-Verschlüsselungssystem auf dem modularen Quadratwurzel Problem. Wenn k eine Primzahl ist, kann man versuchen, die Wurzel aus einem a Z k zu ziehen. Ist k allerdings eine zusammengesetzte ganze Zahl, so wird dies schwierig. Wir können in diesem Fall versuchen k in seine Primfaktoren zu zerlegen. Diese Operation und die Zerlegung vom öentlichen Schlüssel n in seine Primfaktoren p und q durch einen Angreifer, der so das Rabin-Verschlüsselungssystem brechen möchte, fallen in den Bereich des Faktorisierungsproblems. Wenn ein Angreifer das modulare Quadratwurzel Problem ezient umgehen möchte, so braucht er den privaten Schlüssel (p, q). Diesen könnte er erhalten, sollte es ihm gelingen n in p und q zu faktorisieren. Das Faktorisierungsproblem sagt aber aus, dass genau dies sehr schwierig ist und, wenn der Angreifer nicht gerade Glück hat und das Ergebnis zufällig früh ndet, eine groÿe Menge Zeit und Rechenkapazität in Anspruch nimmt. Je gröÿer die gesuchten Primfaktoren sind desto schwieriger wird dies. Deswegen sollten die beiden Primfaktoren p und q am Anfang auch in der gleichen Gröÿenordnung gewählt werden, so dass sie praktischerweise nicht nur die gleiche Bitlänge haben sollten, sondern so auch beide gleichzeitig den gröÿtmöglichen Wert haben. Wäre einer der Werte zu niedrig, würde hierdurch die Faktorisierung von n unter Umständen erleichtert worden. Selbiges gilt allerdings auch wenn p und q zu nahe bei einander liegen würden. Somit ist klar, dass das Rabin- Verschlüsselungssystem genauso wie z.b. das RSA-Verschlüsselungssystem mit dem Faktorisierungsproblem steht und fällt. Dennoch haben wir noch nicht bewiesen, dass das Rabin-Verschlüsselungssystem sicher ist. Es ist noch der theoretische Fall denkbar, dass es ein Verfahren gibt, das Rabin-Verschlüsselungssystem zu brechen, ohne über das Faktorisierungsproblem zu stolpern. Genau unter diesem Problem lei- 16

18 det auch das RSA-Verschlüsselungssystem. Jedoch können wir beim Rabin- Verschlüsselungssystem mathematisch zeigen, dass man am Faktorisierungsproblem nicht vorbei kann, worauf auch unser Beweis der Sicherheit basiert. Wir versuchen den Beweis durch eine Turingreduktion zu erbringen. Wir nehmen an es existiert ein Algorithmus LRabin, der mit der Eingabe eines Ciphertextes c und des öentlichen Schlüssels n in polynomieller Laufzeit alle Quadratwurzeln m 1, m 2, m 3, m 4 aus c ausgeben kann, bei dem auch der Klartext dabei sein muÿ. Ein Angreifer könnte einen eigenen Klartext r verschlüsseln und den so erhaltenen Ciphertext c mithilfe von LRabin in seine Quadratwurzeln zurückrechnen. Er würde die Werte r, r mod n, r alt und r alt mod n erhalten, wobei ±r ±r alt mod n gilt. r und r allein sind uninteressant für ihn, in Kombination mit r alt und r alt mod n kann man damit aber arbeiten. Die Summe aus dem Klartext r und r alt ergibt einen Wert, der durch eine der beiden Primzahlen p, q teilbar ist: p (r + r alt ) q (r + r alt ) Dieser Fakt läÿt sich leicht beweisen. Siehe [6](S.4) Zunächst gilt: r 2 ( r) 2 r 2 alt ( r alt) 2 c mod n Hieraus folgt: r 2 r 2 alt 0 mod n (r + r alt )(r r alt ) 0 mod n (r + r alt ) 0 mod n (r r alt ) 0 mod n Dies kann weiter aufgegliedert werden, da n das Produkt aus p und q ist. Hätten wir nur ±r oder nur ±r alt verwendet, hätte einer der beiden veränderten Terme eine der folgenden Formen: (r r), (r +( r)), (r alt r alt ) oder (r alt + ( r alt )) und somit eine sehr triviale Lösung. p und q würden diesen Term beide teilen. Die Terme (r + r alt ) und (r r alt ) aber werden von jeweils einer Primzahl geteilt: (r + r alt ) 0 mod p (r r alt ) 0 mod q (r r alt ) 0 mod p (r + r alt ) 0 mod q Da wir keine konkreten Bedingungen an p und q gebunden haben, auÿer dass sie Primzahlen und ungleich sind, können wir an dieser Stelle eine Bindung an die Terme willkürlich festlegen. Es soll gelten: p (r + r alt ) q (r r alt ) Somit folgt: p = ggt (r + r alt, n), da p auch n teilt und trivialerweise q = n/p. Alle in diesem Absatz verwendeten Rechenschritte sind in polynomieller Laufzeit durchführbar, so dass auch ein Algorithmus geschrieben werden 17

19 kann, der diese Schritte, inklusive des Aufrufes von LRabin, in polynomieller Laufzeit nachvollziehen kann. Somit hat dieser Angreifer mithilfe von LRabin n, auf eziente Art und Weise, in seine Primfaktoren p und q zerlegt, womit das Faktorisierungsproblem zu Fall gebracht worden ist. Hiermit haben wir gezeigt, dass wenn es tatsächlich eine Möglichkeit geben würde das Rabin-Verschlüsselungssystem ef- zient zu brechen, folgerichtig auch das Faktorisierungsproblem fallen würde. Die Sicherheit des Rabin-Verschlüsselungssystem und des Faktorisierungsproblems sind also äquivalent und da das Faktorisierungsproblem im allgemeinen als schwer lösbar angesehen wird, ist hiermit auch die Sicherheit des Verschlüsselungssystems bewiesen. 3.2 Chosen-ciphertext-Attacken Wir haben schon gezeigt, dass das Verschlüsselungssystem durch passive Attacken nur schwer zu brechen ist. Es hat allerdings eine schwäche gegenüber Chosen-ciphertext-Attacken. In dieser Form von Angrief, hat ein Angreifer die Möglichkeit, einen von ihm gewählten Chiretext ohne Kenntnis des privaten Schlüssels decodieren zu lassen. Sobald ein Angreifer z.b. die Möglichkeit hat einige Operationen an einer Entschlüsselungsmaschine, etwa einem unbewachten Notebook, auf dem ein Decodierungsprogramm läuft, zu tätigen, hat er alles was er braucht um den privaten Schlüssel (p, q) zu berechnen. Er braucht nur die vier korrekten Quadratwurzeln r, r mod n, r alt und r alt aus einem von ihm vorgegebenem Ciphertext c berechnen zu lassen, den er zuvor aus r verschlüsselt haben kann. Dies sollte er getan haben, um sicher zu gehen, dass das von ihm gewählte c auch wirklich Quadratwurzeln in Z n hat. Dieser Angri ersetzt die theoretische Funktion LRabin aus dem vorherigen Abschnitt /refrabinfakt. Nun ist die Vorgehensweise identisch. Er berechnet p = ggt (r + r alt, n) und q = n/p und hat somit den geheimen Schlüssel. 3.3 Redundanz und ihre Auswirkungen auf die Sicherheit Die schon in Abschnitt besprochene Redundanz hat in Bezug auf die Sicherheit des Rabin-Verschlüsselungssystems einige interessante Nebeneffekte. Da das richtige Ergebnis aus den vier Quadratwurzel durch die Redundanz nun von Algorithmen identiziert werden kann, ist es nicht nötig alle Wurzeln auszugeben, sondern nur den verizierten Klartext. Ein Angreifer an einer Entschlüsselungsmaschine würde dann nur den von ihn selbst verschlüsselten Klartext r zurückbekommen, womit ihm die wichtige alternative Quadratwurzel r alt fehlen würde. Somit könnte er keine der 18

20 beiden Primzahlen p oder q errechnen. Dies gilt auch generell für Chosenciphertext-Attacken, unter der Voraussetzung, dass das gebrauchte Orakel immer nur einen Wert ausgibt. Somit wurde durch einführen von Redundanz das Rabin-Verschlüsselungssystem resistent gegen Chosen-ciphertext- Attacken gemacht. Allerdings war genau dieser Aspekt auch wichtig für den Beweis der Äquivalenz zwischen dem Verschlüsselungssystem und dem Faktorisierungsproblem. Da ein theoretischer Algorithmus LRabin red bei Eingabe von einem Ciphertext c und dem Schlüssel n in polynomieller Laufzeit nur die einzige relevante Wurzel ausgeben soll, besteht keine Möglichkeit n ezient in p und q zu zerlegen. Somit ist in diesem Fall die Sicherheit des Rabin- Verschlüsselungssystem nicht beweisbar. 19

21 Literaturverzeichnis [1] [2] Scott A. Vanstone Alfred J. Menezes, Paul C. van Oorschot. Handbook of applied cryptography. CRC Press, [3] PRIMES is in P: Scientic paper describing AKS primality test [4] Victor Shoup. A Computational Introduction to Number Theory and Algebra. Cambridge University Press. [5] Stinson. Cryptograpy: Theory and Practice. CRC Press, [6] Lecture 7: Number Theory and Candidate One Way Functions. tal/4995/lect_notes/itc7.pdf,