Aufgabe der Kryptografie

Transkript

1 Aufgabe der Kryptografie Eve möchte die Unterhaltung mithören und/oder ausgetauschte Informationen ändern. Alice & Bob kommunzieren über einen unsicheren Kanal. Alice & Bob nutzen Verschlüsselung und digitale Unterschriften, um ihre Kommunikation zu sichern. 1

2 Asymmetrische Verschlüsselung Definition: Ein asymmetrisches Verschlüsselungsverfahren besteht aus einem Schlüsselraum K, wobei jeder Schlüssel K K ein Paar (pk,sk) bestehend aus einem öffentlichen Schlüssel pk und einem geheimen Schlüssel sk ist. Zu jedem Schlüssel K ist weiter ein Klartextraum und ein Chiffretextraum C K definiert. Schließlich existieren noch Abbildungen E : P C, D : C P pk K K die so genannte Ver- bzw. Entschlüsselungsfunktion. Die Verschlüsselungsfunktion hängt dabei nicht vom geheimen Schlüssel sk ab. Für jeden Klartext m muss gelten: D E m sk K K ( ( )) m sk pk P K 2

3 Asymmetrische Verschlüsselung Definition: Ein asymmetrisches Verschlüsselungsverfahren besteht aus Schlüsselraum K, mit K (pk,sk) für K K. pk heisst öffentlicher, sk geheimer Schlüssel, wobei K K existiert Klartextraum und Chiffretextraum, C K K K existiert Verschlüsselungsfunktion E und Entschlüsselungsfunktion pk : PK CK D, sk : CK PK m P K muss gelten Dsk ( Epk ( m) ) m, Die Verschlüsselungsfunktion hängt nicht von sk ab. P K 3

4 Vertrauliche Kommunikation Bob sendet verschlüsselte Nachricht Epk A ( m), wobei pk A Alices öffentlicher Schlüssel ist. Entschlüsselt Nachrichten mit. Dsk B ( ) Alice sendet E, pk B m wobei pk B Bobs öffentlicher Schlüssel ist. Entschlüsselt Nachrichten mit D sk A. 4

5 Grundlagen von RSA (1) Für n N bezeichnen wir mit Zn den Restklassenring modulo n Als Menge gilt Z : 0,1, K,n 1. Operationen sind Addition und Multiplikation modulo n. * Z z Z : ggt z,n 1 ist die Menge der Elemente aus { ( ) } n : n Zn, die ein multiplikatives Inverse in Z besitzen. ( ) Es gilt Z * n Φ n mit n { } n wenn p, K, 1 p k ( ) n 1, Φ n k i 1 1 pi die verschiedenen Primteiler von n sind. 5

6 Grundlagen von RSA (2) Lemma von Euler: Für alle * a Z n gilt ( ) a n Φ 1 mod n. 6

7 Definition von RSA (1) RSA-Schlüsselraum: N p q, p,q prim, p q K : ( ( N,e),d) * e,d Z Φ(N),e d 1 mod Φ N pk(n,e) öffentlich, skd geheim. ( ) Klartext-/Chiffretextraum: PK CK ZN für K ((N, e), d). 7

8 Definition von RSA (2) Bei Schlüssel K((N,e),d) sind Ver- und Entschlüsselung wie folgt definiert: Verschlüsselung: e E( N,e) (m) m mod N, m Z N. Entschlüsselung: D d (c) c d mod N, c Z N. 8

9 RSA - Korrektheit Satz: Für alle m Z N gilt: ( E (m)) m mod N. D d (N,e) * Beweis: (nur für m Z N ) D d ( E (m)) (N,e) m m e d 1+ kφ m m mod N ( N) mod N ( Definition e, d) kφ ( N) mod N m mod N (Lemma von Euler) 9

10 RSA - Effizienz Satz: Bei öffentlichem Schlüssel (N,e) kann die Verschlüsselungsfunktion E ( N.e ) in Zeit O log( N) berechnet werden. Ist ausserdem der geheime Schlüssel d bekannt, so kann auch die Entschlüsselungsfunktion O ( log( N) ) 3 ) berechnet werden. ( ) 3 ) D d in Zeit Beweis: Beruht auf Square-and-Multiply Algorithmus, Standard-Algorithmus zur Multiplikation in mit Laufzeit O ( log( N) ) 2 ) und ( ) N. e,d < Φ N < Z n 10

11 Square-and-Multiply Square y 1 z x for i 0 to l 1 do if 5 6 z 7 return y and - Multiply a i 1 z mod N ( x,a,n) then y y z mod 2 N Hierbei a l-1 i 0 i a 2, a i i { 0,1}. 11

12 RSA - Schlüsselerzeugung Zu zeigen sind 2 Dinge: 1. Primzahlen p,q können effizient erzeugt werden. 2. Gegeben N, Φ(N), können e,d mit ed1mod Φ(N) effizient erzeugt werden. 12

13 Primzahlerzeugung Beruht auf zwei Tatsachen: 1. Es kann effizient entschieden werden, ob eine Zahl Primzahl ist (z.b. Miller-Rabin-Test). 2. Es gibt viele Primzahlen (Primzahlsatz). Dann: Erzeuge zufällige Zahlen und teste, ob sie Primzahlen liefern. 13

14 Erzeugung von e und d Beruht auf zwei Tatsachen: 1. Es kann effizient entschieden werden, ob zwei Zahlen ggt 1 besitzen. Falls ja, kann dann auch das modulare Inverse effizient berechnet werden (erweiterter euklidischer Algorithmus). 2. Zu jeder Zahl n gibt es viele Zahlen, die mit n ggt 1 haben. 14

15 RSA Sicherheit (1) Zwei Aspekte: Es darf nicht möglich sein, aus dem öffentlichen Schlüssel (N,e) den geheimen Schlüssel d effizient zu bestimmen. Gegeben die Verschlüsselung c E(N,e) ( m) einer Nachricht m, darf es ohne Kenntnis des geheimen Schlüssels d nicht möglich sein, die Nachricht m effizient zu bestimmen. 15

16 RSA Sicherheit (2) Satz: Ist der geheime Schlüssel d bekannt, so können die Primfaktoren p,q von N effizient berechnet werden. Bester bekannter Faktorisierungsalgorithmus: Zahlkörpersieb mit Laufzeit exp Eingabe n N. ( ( ) ( ) 2 c 3 ln n 3 ln(ln n ) bei 16

17 RSA Sicherheit (3) Zur Frage, ob es möglich ist, ohne Kenntnis des geheimen Schlüssels d aus Verschlüsselung einer Nachricht m die Nachricht m effizient zu bestimmen, ist wenig bekannt. c E(N,e) ( m) Hoffnung: Entschlüsseln ohne Kenntnis des geheimen Schlüssels ist so schwer wie Faktorisieren von N. 17