6.2 Asymmetrische Verschlüsselung

Transkript

1 6.2 Asymmetrische Verschlüsselung (asymmetric encryption, public-key encryption) Prinzip (Diffie, Hellman, Merkle ): Statt eines Schlüssels K gibt es ein Schlüsselpaar K E, K D zum Verschlüsseln bzw. Entschlüsseln; der öffentliche Schlüssel K E (public key) muss nicht geheimgehalten werden, da er nicht aus dem privaten Schlüssel K D (private key) ermittelt werden kann. Gewinn: Problem der Übermittlung eines geheimen Schlüssels zwischen den Kommunikationspartnern entfällt. (Weitere Vorteile s.u.) ITS-6.2 1

2 Aber: Sicherheit wird potentiell dadurch bedroht, dass der öffentliche Schlüssel bekannt ist. Sichere asymmetrische Verfahren sind so konzipiert, dass die Ermittlung des geheimen Schlüssels aus dem öffentlichen Schlüssel am Aufwand scheitert ( ). Als Grundlage dienen vorzugsweise Probleme, die NP-vollständig sind und damit als nicht effizient lösbar gelten. (Lösung erfordert exponentiellen Aufwand.) ITS-6.2 2

3 6.2.1 Knapsack-Verschlüsselung (Merkle/Hellman 1978) Knapsack-Problem ist NP-vollständig: Gegeben: Gesucht: Folge A = a 1,...a n natürlicher Zahlen und natürliche Zahl C Teilfolge von A derart, dass die Summe der Elemente gleich C ist (M.a.W.: gesucht ist Folge/ Vektor M von Nullen und Einsen mit A M = C ) Beachte: Weder Existenz noch Eindeutigkeit sind gesichert. Komplexität der besten bekannten Algorithmen ist von der Ordnung O(2 n/2 ). ITS-6.2 3

4 Beispiel: A = C = 14 wird gelöst durch M = Spezieller Knapsack ist Einfacher Knapsack (superincreasing knapsack): a i > a k k=1,..,i-1 Beispiel: A = C = 14 M = Lösung falls existent wird gefunden durch den Versuch, den Rucksack von rechts her zu füllen ITS-6.2 4

5 Idee für asymmetrische Verschlüsselung: Aus einfachem Knapsack A wird ein schwerer Knapsack A gemacht, (genannt trapdoor knapsack): 1. Wähle u 2 a n ; damit ist u > a i i=1,..,n 2. Wähle zu u teilerfremdes w und berechne w 1 mit w w 1 mod u = 1 3. Bilde A mit a i = w a i mod u ITS-6.2 5

6 Beh.: Bew.: Wenn M Lösung von C = A M ist, dann auch von C = A M mit C = w 1 C mod u (und umgekehrt). C = w 1 C mod u = w 1 A M mod u = w 1 (w A ) M mod u (wegen 3.) = A M mod u (wegen 2.) = A M (wegen 1.) Chiffrieren eines Klartextblocks M (als Dualzahl) mit öffentlichem Schlüssel A: C = A M Dechiffrieren eines Geheimtextblocks C (als Dualzahl) mit privatem Schlüssel (A, w 1, u) durch Lösen von C = A M d.h. von w 1 C mod u = A M ITS-6.2 6

7 Beispiel: A = u = 20 w = 7 w 1 = 3 geheim A = öffentlich Klartext: M = chiffriert: C = 18 Dechiffrieren: C ' = w 1 C mod u = 3 * 18 mod 20 = 14 Lösen von 14 = A M ist simpel, weil A einfacher Knapsack: 14 = , also M = ITS-6.2 7

8 6.2.2 Exponentiationsverschlüsselung Idee: Klartextblock M mit k Bits wird als Dualzahl aus [0,n 1] interpretiert und mit öffentlichem Schlüssel (e,n) wie folgt chiffriert: C = M e mod n Geheimtextblock C wird mit zugehörigem privaten Schlüssel (d,n) nach dem gleichen Verfahren (!) wie folgt dechiffriert: M = C d mod n Realisierbar? Benötigt werden n,e,d derart, daß (M e mod n) d mod n = M ITS-6.2 8

9 Mathematische Grundlagen Def. (Euler): Φ(n) = Anzahl der zu n teilerfremden Reste (bzgl. mod n, d.h. aus {1,2,...,n 1} ). Diese heißen reduzierte Reste r i, i=1,..,φ(n) Anmerkungen: 1. Die 1 und alle Primzahlen <n gehören dazu. 2. Φ(n) ist ein Maß für die Nähe zur Primheit. 3. Für Primzahlen ist Φ(n) = n 1. Beispiel: n = 10 : reduzierte Reste = {1,3,7,9}, also Φ(n) = 4. ITS-6.2 9

10 Satz 1 (Euler): Für teilerfremde a,n, a<n, gilt a Φ(n) mod n = 1 Beispiel: 3 4 mod 10 = 81 mod 10 = 1 ITS

11 Folgerung für die Existenz der ganzzahligen Inversen einer gegebenen Zahl a (im Restklassenring der natürlichen Zahlen): Satz 2: Für teilerfremde a,n, a<n, wird a x mod n = 1 gelöst durch x = a Φ(n)-1 mod n. Beispiel: 15 x mod 26 = 1 reduzierte Reste: 1,3,5,7,9,11,15,17,19,21,23,25 Φ(n) = 12 x = mod 26 = 7 (Probe: 15 7 mod 26 = 105 mod 26 = 1 ) Gegenbeispiel: 2x mod 4 = 1 hat keine Lösung Effizientere Berechnung von x durch Erweiterten Euklidischen Algorithmus ITS

12 Allgemeine Exponentiationsverschlüsselung Satz 3: Gegeben seien (1) n, e, d mit e d mod Φ(n) = 1, (2) Nachricht M [0,n 1], teilerfremd zu n (!). Dann gilt (M e mod n) d mod n = M. Bew.: (M e mod n) d mod n = M ed mod n = M kφ(n)+1 mod n für gewisses k wegen (1) = M M kφ(n) mod n = M (M kφ(n) mod n) mod n (M Φ(n) mod n) k mod n = 1 wegen Satz 1 = M ITS

13 Beachte: e, d sind vertauschbar: (M d mod n) e mod n = M Wie findet man geeignete n, e, d? 1. Wähle n prim oder mit großen Primfaktoren (weil M teilerfremd zu n sein muss!) 2. Bestimme Φ(n). (Wenn n prim, dann Φ(n) = n Wähle e teilerfremd zu Φ(n). 4. Bestimme d aus e d mod Φ(n) = 1 (d = e Φ(Φ(n)) 1 mod Φ(n) gemäß Satz 2) mittels des erweiterten Euklidischen Algorithmus ITS

14 2 prominente Varianten: Pohlig/Hellman (Stanford 1978): n = große Primzahl Rivest/Shamir/Adleman (MIT 1978): n = p q mit großen Primzahlen p, q RSA-Verfahren ITS

15 Das RSA-Verfahren n = p q mit großen Primzahlen p, q Φ(n) = Φ(p) Φ(q) = (p 1)(q 1) Beweis: Alle Reste mod pq: q... 2q... (p-1)q... pq ohne diejenigen, die p oder q als Teiler haben: Φ(n) = pq 1 (p-1) (q-1) = (p-1)(q-1) Gewisse Empfehlungen bzgl. e, d (entsprechend für p,q), z.b. jede mindestens 100 Dezimalziffern ; heute: 1024 Bits und mehr. ITS

16 Beispiel: Chiffrierung von Blöcken M zu je 2 Buchstaben, (Denning '82) codiert als 0000,...,0025,0100,...,2525 p = 53, q = 61 n = 3233 > 2525 Φ(n) = 52 * 60 = 3120 (M teilerfremd zu n?? Nicht immer!) e = 71 d = 71 Φ(3120)-1 mod 3120 = 791 Damit Verschlüsselung des Klartextblocks RE : Codierung von RE = 1704 (teilerfremd zu n) Chiffrierung: mod 3233 = 3106 = Geheimtext Dechiffrierung: mod 3233 = 1704 ITS

17 Kryptoanalyse: Ermittlung von d aus n und e? Zur Ermittlung von d braucht man Φ(n) = (p 1)(q 1), muss also n = pq faktorisieren. Dies erfordert exponentiellen Aufwand der Ordnung O(exp( (log n * log log n) )) Merke: (e,n) ist als öffentlicher, (d,n) als privater Schlüssel verwendbar; (auch umgekehrt wegen vollständiger Symmetrie;) (dies gilt nicht für das Pohlig/Hellman-Verfahren, denn mit n ist auch Φ(n) = n 1 bekannt!) Ver/Entschlüsselung mit RSA ist etwa 1000mal aufwendiger als mit symmetrischen Verfahren ITS

18 Einschlägige Folklore (eingeführt von den RSA-Autoren): Alice Bob Mallory, Eve Sender einer Nachricht Empfänger der Nachricht Angreifer ITS

19 6.2.3 Fortgeschrittene Kryptographie Elliptische Kurven sind sicherer als RSA, kommen daher mit kleineren Schlüsseln aus. Quantenkryptographie, genauer: sicherer Schlüsselaustausch mittels Quantenmechanik, typischerweise für anschließende symmetrische Verschlüsselung (ist noch Gegenstand der physikalischen Forschung). Quantenrechner (quantum computer): Faktorisierung und ganzzahlige Logarithmierung in Polynomialzeit machen RSA u.a. eventuell obsolet ITS