7.3 Unizitätslänge. 8 Schlüsselaustausch und öffentliche Schlüssel

Transkript

1 7.3 Unizitätslänge ein Chiffrierverfahren sei über Z verschiedene Schlüssel parametrierbar also könnte ein Geheimtext zu (höchstens) Z verschiedenen Klartexten entschlüsselt werden wie viele davon sind sinnvoll? bzw. falls Länge des Klartextes k eindeutig: wie groß muss k werden, damit Entschlüsselung eindeutig? Unizitätslänge U nzahl sinnvoller Texte der Länge k ungefähr 2,3 k Wahrscheinlichkeit, dass zufälliger Text der Länge k sinnvoll: 2,3k = ( 2,3 26 k 26 nzahl falscher, aber sinnvoller Texte der Länge k, die durch Entschlüsselung eines ( Geheimtextes mit Z verschiedenen Schlüsseln zu erwarten sind: 2,3 ) k ( 26 (Z 1) 2,3 ) k 26 Z Entschlüsselung vermutlich eindeutig, wenn ( ) 2,3 k 26 Z < 1, also k > 0,29 ld Z ld Z ld 26 ld 2,3 Für VIGENÈRE der Periode d: ld Z = ld 26 d = d ld 26, also U 1,34 d ist der Schlüssel kürzer als 74 % des Textes eindeutig entschlüsselbar!? 1 1,34 etrachtung zu sehr vereinfacht: Textteil mit nicht-wiederholtem Schlüssel vermutlich uneindeutig, Textteil mit wiederholtem Schlüssel überbestimmt aber spätestens ab k = 2 d eindeutig Chiffriersicherheit Unizitätslänge < 91 / 144 > ) k 8 Schlüsselaustausch und öffentliche Schlüssel Chiffriersicherheit erfordert lange, häufig wechselnde Schlüssel Schlüsselverteilung ist gravierendes praktisches Problem es geht auch ohne vorherigen sicheren Schlüsselaustausch! naiver nsatz: seien X, X kommutative Verschlüsselungsverfahren, d.h. X X = X X Nachricht x X x X X x = X x X x X X x X x Problem: Klartext-Geheimtext-Kompromittierung von X und X eispiel VIGENÈRE X x = x + t, X x = x + t : aber auch X X x = x X x X X x + X x = x X X x X x = x Schlüsselaustausch und öffentliche Schlüssel < 92 / 144 >

2 8.1 Diffie-Hellman-Schlüsselaustausch Diffie-Hellman verwendet kein kommutatives Verschlüsselungsverfahren, sondern sichere Schlüsselvereinbarung wähle p prim, g Primitivwurzel in Z p, a {1,..., p 2} wähle b {1,..., p 2} g a p, g, g b K a g ab K b g ab Schlüssel K kann anschließend für geeignetes Verschlüsselungsverfahren verwendet werden Sicherheit beruht auf Schwierigkeit, diskreten Logarithmus zu berechnen, also a (bzw. b) aus p, g und (bzw. ) zu bestimmen Primitivwurzel: g k, k N erzeugt alle Elemente aus {1,..., p 1} eispiel: p = 13, g = 7 k g k Schlüsselaustausch und öffentliche Schlüssel Diffie-Hellman-Schlüsselaustausch < 93 / 144 > 8.2 Effizientes Potenzieren mit dem Horner-Schema Sicherheit gegen rute-force-ngriffe erfordert Wahl von g und a mit Hunderten bis Tausenden bit Länge Potenz g a wird (vor der Modulo-Operation) gigantisch groß wird die Potenz schrittweise ausgeführt, Modulo-Operation nach jeden Schritt möglich, aber a 1 Multiplikationen nötig effizienter: Horner-Schema eispiel: 7 11 = (7 5 ) 2 7 = ((7 2 ) 2 7) 2 7 = (((1 7) 2 1) 2 7) 2 7 (10 2 7) 2 7 (9 7) mod 13 Entschiedung, ob Multiplikation mit asis hängt vom itmuster des Exponenten ab: 11 = nzahl der Multiplikationen proportional zu n = ld a, Länge des Exponenten in bit Schlüsselaustausch und öffentliche Schlüssel Effizientes Potenzieren mit dem Horner-Schema < 94 / 144 >

3 8.3 symmetrische Verfahren und öffentliche Schlüssel Diffie-Hellman erlaubt sichere Schlüsselvereinbarung, authentifiziert aber nicht den Kommunikationspartner Risiko eines Man-in-the-Middle -ngriffs Lösung: asymmetrische Verfahren, Rechenaufwand) aus X bestimmbar lice veröffentlicht X ob verschlüsselt Nachricht für lice mit X nur lice kennt nicht (ohne unpraktikabel hohen und kann die Nachricht entschlüsseln Zugehörigkeit von X zu lice muss nur einmal über fälschungssicheren Kanal verifiziert werden; keine bhörsicherheit für Schlüsselaustausch erforderlich Rückweg genauso mit obs Schlüsselpaar X und Kommunikation von K Teilnehmern erfordert K Schlüsselpaare (im Gegensatz zu K(K 1)/2 symmetrischen Schlüsseln) auch Signieren möglich, falls und X kommutativ: lice verschlüsselt mit ; jeder kann mit X entschlüsseln, aber erfolgreiche Entschlüsselung beweist, dass Verschlüsselung von lice Schlüsselaustausch und öffentliche Schlüssel symmetrische Verfahren und öffentliche Schlüssel < 95 / 144 > Diffie-Hellman-Verfahren lässt sich erweitern zu asymmetrischem Verfahren ELGML wie vorher werden p prim, g als Primitivwurzel und a zufällig gewählt (von jedem Teilnehmer) öffentlicher Schlüssel: (p, g, ) mit g a privater Schlüssel: (p, a) zu verschlüsselnde Nachricht x {1,..., p 1} verschlüsselte Nachricht: (, c) mit g b, c Kx, K b und zufällig gewählten b (also Diffie-Hellman-Schlüsselaustausch und Verschlüsselung durch Multiplikation mit K) Entschlüsselung: bestimme K a K 1 c, damit Rekonstruktion des Klartextes Hinweis: kleiner Satz von Fermat erlaubt direkte erechnung von K 1 p 1 a Schlüsselaustausch und öffentliche Schlüssel symmetrische Verfahren und öffentliche Schlüssel < 96 / 144 >

4 bereits vor ELGML schlugen Rivest, Shamir und dleman ein asymmetrisches Verfahren vor für das RS-Verfahren wählt jeder Teilnehmer zwei (große) Primzahlen p, p und e {1,..., Φ(N)}, wobei N = p p und Φ(p p ) = (p 1)(p 1), sodass e in Z Φ(N) invertierbar ist öffentlicher Schlüssel: (N, e) privater Schlüssel: (N, d), wobei d Inverses zu e in Z Φ(N) zu verschlüsselnde Nachricht x {1,..., N 1} Verschlüsselung: y x e Entschlüsselung: ˆx y d mod N mod N es folgt ˆx = (x e ) d = x ed = x 1+kΦ(N) = x x kφ(n) mit k N es lässt sich zeigen, dass x Φ(N) 1 mod N, also ˆx = x erechnung von d erfordert Φ(N) erfordert p und p, aber Primfaktorzerlegung (zu) rechenaufwändig, daher praktisch unmöglich, wenn p und p unbekannt Schlüsselaustausch und öffentliche Schlüssel symmetrische Verfahren und öffentliche Schlüssel < 97 / 144 > 8.4 symmetrische Verfahren in der Praxis: OpenPGP OpenPGP ist Nachrichtenstandard für mit asymmetrischen Verfahren chiffrierte Nachrichten, insbesondere für s u.a. von der Open-Source-Software GNU Privace Guard (GnuPG) implementiert; Integration in Thunderbird mit Plugin Enigmail zu verschlüsselnde Nachricht wird zunächst komprimiert (ZIP oder ZLI) es wird ein symmetrisches Verfahren (Triple-DES, IDE, CST5, LOWFISH,... ) ausgewählt und für dieses ein zufälliger Schlüssel gebildet die (komprimierte) Nachricht wird mit dem symmetrischen Verfahren verschlüsselt für jeden gewünschten Empfänger wird der symmetrische Schlüssel um zufällige its erweitert und asymmetrisch mit dem öffentlichen Schlüssel des Empfängers verschlüsselt (RS oder ELGML) die symmetrisch verschlüsselte Nachricht und die asymmetrisch verschlüsselten Schlüssel bilden endgültige Geheimnachricht für Signaturen wird ein Hash (MD5 oder SH-1) der Nachricht gebildet und nur dieser signiert (mit DS oder RS) Schlüsselaustausch und öffentliche Schlüssel symmetrische Verfahren in der Praxis: OpenPGP < 98 / 144 >

5 8.5 Elliptische Kurven y 2 = x 3 + ax + b y definiere ddition für Punkte P = ( x P, y P ) und Q = ( x Q, y Q ) der Kurve falls x P x Q : bestimme dritten Schnittpunkt R der Geraden P-Q mit Kurve und spiegele an x-chse: P + P Q R P x x R = s 2 x P x Q y R = y P + s (x R x P ) mit s = (y Q y P )(x Q x P ) 1 P + Q = ( x R, y R ) R P + Q falls P = Q, y P 0: bestimme Schnittpunkt R Tangente an P mit der Kurve und spiegele an x-chse:: x R = s 2 2x P y R = y P + s (x R x P ) mit s = (3xP 2 + a)(2y P ) 1 P + P = ( ) x R, y R Schlüsselaustausch und öffentliche Schlüssel Elliptische Kurven < 99 / 144 > für Summe von Punkten mit x P = x Q wird 0 als Punkt im unendlichen ergänzt; damit für P Q, x P = x Q : P + Q = 0 für P = Q, y P = 0: P + P = 0 es ergibt sich eine Gruppe mit 0 als neutralem Element: P + 0 = 0 + P = P für alle P ddition ist assoziativ, (P + Q) + R = P + (Q + R) für alle P, Q, R zu jedem P gibt es ein Inverses Q = P (durch Spiegelung an x-chse), sodass P + Q = Q + P = 0 Multiplikation mit n N als n-fache ddition: np = P + + P effizient auszuführen durch Verdopplungen und dditionen entsprechend Horner-Schema mit denselben Rechenregeln übertragbar, wenn Koordinaten der Punkte in Z p, p prim y 2 x 3 + x + 2 mod 7 Schlüsselaustausch und öffentliche Schlüssel Elliptische Kurven < 100 / 144 >

6 Multiplikation Q = np relativ einfach berechenbar Umkehrung (P und Q gegeben, finde n) wesentlich rechenaufwändiger Verfahren wie Diffie-Hellman oder ELGML auf elliptische Kurven übertragbar lice wählt primes Modul p, Parameter a, b der elliptischen Kurve, einen Punkt P und eine Zahl n lice berechnet Q = np, veröffentlicht alles außer n ob wählt eine Zahl m, berechnet R = mp und sendet es an lice lice berechnet Schlüssel K = nr = mnp, ob berechnet Schlüssel K = mq = mnp Vorteil gegenüber Potenzierung im Restklassenring: Unterschied Rechenaufwand zwischen Verschlüsselung und Inversion der Potenzierung bzw. Multiplikation bei elliptische Kurven größer gleiche Sicherheit bei kürzeren Schlüsseln, weniger Rechenaufwand Einsatz deshalb insbesondere bei SmartCards, z.. neuer Personalausweis, aber auch für SSL/TLS vorgesehen Schlüsselaustausch und öffentliche Schlüssel Elliptische Kurven < 101 / 144 > 8.6 Web of Trust und PKI größte praktische Schwierigkeit bei asymmetrischer Kryptographie: Sicherstellen, dass der öffentliche Schlüssel zum gewünschten Empfänger gehört (kein Man-in-the-Middle) eglaubigung von Schlüsseln durch Notare Signieren mit asymmetrischer Verschlüsselung lice erzeugt Schlüsselpaar und legt ihren öffentlichen Schlüssel bei Trent vor Trent prüft lice Identität und verifiziert, dass er tatsächlich ihren Schlüssel erhalten hat, dann signiert er eine Nachricht bestehend aus ihrem Schlüssel und ihrem Namen (signierter Schlüssel oder Zertifikat) ob hat Trents öffentlichen Schlüssel über einen vertrauenswürdigen Kanal erhalten und er vertraut Trent; bekommt er lice öffentlichen Schlüssel mit Trents Signatur, vertraut er daher darauf, dass der Schlüssel tatsächlich zu lice gehört nsatz von PGP/GnuPG: Web of Trust Schlüssel können mehrere Signaturen tragen Nutzer wählt selbst aus, wem er vertraut; zwei Stufen: volles oder teilweises Vertrauen Nutzer definiert, wann er einem Schlüssel vertraut; z.. zwei Signaturen von Nutzern denen er voll vertraut, oder fünf Signaturen von Nutzern, denen er teilweise vertraut alternative: Public Key Infrastructure (PKI) Schlüssel wird nur einmal signiert (Zertifikat) Zertikate werden von Zertifizierungsstellen (C) ausgestellt Schlüssel der Cs werden mit etriebssystem oder Software (z.. rowser) ausgeliefert Schlüsselaustausch und öffentliche Schlüssel Web of Trust und PKI < 102 / 144 >