Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007

Transkript

1 Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007 Dr. Volker Scheidemann

2 Teil 5 Schlüsselverteilung Public Key Kryptographie Idee der digitalen Signatur Diffie-Hellman Schlüsselaustausch RSA-Verfahren Hybridverfahren Seite: 2

3 Schlüsselverteilung Bei symmetrischen Chiffren ist es für die Entschlüsselung der Daten notwendig, dass der Empfänger den gleichen Schlüssel wie der Absender besitzt. Bisher haben wir die Frage, wie er diesen Schlüssel bekommt, unter den Tisch fallen lassen. Wir wissen jedoch bereits, dass die ganze Sicherheit des Verfahrens von der Geheimhaltung dieses Schlüssels vor unbefugten Dritten abhängt. Seite: 3

4 Schlüsselverteilung Eine Möglichkeit ist es, dass der Sender dem Empfänger bei einem persönlichen Treffen übergibt. Ebenso kann ein vertrauenswürdiger Bote eingesetzt werden, der den Schlüssel per Brief oder Diskette übergibt. Für manche Anwendungen wird dies auch so oder ähnlich gemacht. Beispiel: Übermittlung von PIN-Nummern für EC-Karten Seite: 4

5 Schlüsselverteilung Das Problem, was hierbei auftaucht, ist, dass man den Schlüssel dem Partner nicht unmittelbar vor der Kommunikation übergeben kann. Außerdem bekommt man ein Problem, wenn der Schlüssel einmal kompromittiert wird, d.h. bekannt, gefälscht oder sonst wie unbrauchbar gemacht wird. Dann muss man einen neuen Schlüssel übergeben. Dumm, wenn dann der Kommunikationspartner in Tadschikistan wohnt. Seite: 5

6 Schlüsselverteilung Ein weiteres Problem ist die Anzahl der benötigten Schlüssel. Alice Bob Solange Alice ausschließlich mit Bob redet, ist das noch kein Problem. Die zwei brauchen nur einen Schlüssel. Seite: 6

7 Schlüsselverteilung Nun ist unsere Alice aber ein rechtes Luder und hat jede Menge Freunde Bob Christoph David Alice Marc Kai Seite: 7

8 Schlüsselverteilung Richtig unübersichtlich wird es aber erst, wenn in einem Netzwerk jeder mit jedem gesichert kommunizieren will. Seite: 8

9 Schlüsselverteilung Wie viele Schlüssel sind dazu nötig? Bei zwei Teilnehmern benötigt man nur einen Schlüssel. Bei drei Teilnehmern sind es schon drei. Seite: 9

10 Schlüsselverteilung Jeder weitere Teilnehmer braucht von allen anderen den Schlüssel. Wenn zu einem Netz von n Teilnehmern einer dazu kommt, erhöht sich die Anzahl s(n) der Schlüssel um n. Rekursionsformel: s(2)=1 und s(n+1) = s(n) + n für n 2. Bei einem Netz von n Teilnehmern kommt man so auf eine Schlüsselanzahl von s ( n) n 1 = k = 1 k = n ( n 1) 2 (Gaußsche Summenformel) Seite: 10

11 Schlüsselverteilung Wenn also beispielsweise in einem Firmennetzwerk 200 PCs vertraulich miteinander kommunizieren wollen und symmetrische Verschlüsselung einsetzen, müssen 100 x 199 = Schlüssel geheim miteinander ausgetauscht werden. Und nun denke man an ein Netzwerk wie das Internet Seite: 11

12 Schlüsselverteilung Das Problem des Schlüsselaustauschs (und nicht nur das) lösten im Jahr 1976 die beiden amerikanischen Forscher Whitfield Diffie und Martin Hellman in ihrer Bahn brechenden Arbeit New Directions in Cryptography, in der sie einen völlig neuen Zugang zur Kryptografie präsentierten: Whitfield Diffie Martin Hellman Seite: 12

13 Public Key Cryptography Jeder Teilnehmer besitzt ein Schlüsselpaar Öffentlicher Schlüssel (Public Key) Privater Schlüssel (Private Key) Public Key wird jedem bekannt gegeben, z.b. per , Webseite oder Verzeichnisdienst Private Key bleibt Geheimnis des Besitzers Seite: 13

14 Public Key Cryptography Alice verschlüsselt Nachrichten an Bob mit Bobs öffentlichem Schlüssel. Nur Bob kann die Nachrichten mit seinem privaten Schlüssel dechiffrieren. Seite: 14

15 Public Key Cryptography Seite: 15

16 Public Key Cryptography Damit ist das Problem der geheimen Schlüsselverteilung gelöst: man muss überhaupt keine geheimen Schlüssel mehr austauschen, wenn man PKC benutzt! Seite: 16

17 Public Key Cryptography Es ergeben sich zwei Fragen Wie soll so ein Verfahren konkret aussehen? Kann man nicht vom öffentlichen auf den privaten Schlüssel schließen? Seite: 17

18 Public Key Cryptography Diese Probleme wurden von Diffie und Hellman noch nicht abschließend gelöst, doch hatten sie durchaus eine Vorstellung, was dazu nötig ist. Sie gaben folgende Definition. Seite: 18

19 Public Key Cryptography Definition: Ein Public Key Kryptosystem besitzt zwei Familien {E k k K } und {D k k K } von Ver- bzw. Entschlüsselungsfunktionen mit den folgenden Eigenschaften: 1) Für jedes k K ist D k = E k -1. 2) Für jedes k K und jeden Text m sind D k (m) und E k (m) leicht zu berechnen. 3) Es ist für fast jedes k K rechentechnisch unmöglich, D k aus der Kenntnis von E k zu bestimmen. 4) Bei gegebenem k K ist es leicht, Paare E k und D k zu bestimmen. Seite: 19

20 Einwegfunktionen Eine solche Funktion E k, die in die eine Richtung leicht zu berechnen ist, deren Inverse ohne Kenntnis von k aber nicht mit vertretbarem Aufwand berechnet werden kann, nennt man auch eine Einwegfunktion (One way function). Da der Schlüssel eine Falltür zur Berechnung von E -1 k darstellt, spricht man auch von einer Trapdoor function. Das Problem für die Anwendungen ist nun, solche Einwegfunktionen zu konstruieren. Seite: 20

21 Einwegfunktionen Beispiel: Eine Einwegfunktion aus dem täglichen Leben ist das Telefonbuch. Da die Einträge nach Namen geordnet sind, ist es leicht, zu einem gegebenen Namen die Telefonnummer heraus zu suchen. Umgekehrt ist es aber sehr mühselig, zu einer gegebenen Nummer den zugehörigen Namen zu finden. Seite: 21

22 Weitere Anwendungen von PKC Anwendungen von PKC Sicherung der Vertraulichkeit Sichere Schlüsselverteilung Aber auch Sicherung der Integrität Sicherung der Authentizität Seite: 22

23 Digitale Signatur, Teil 1 Grundprinzipien und Schutzziele

24 Digitale Signatur Idee der digitalen Signatur Alice hängt Ihren Daten eine Kenngröße an, die nur sie zu produzieren in der Lage ist Jeder kann prüfen, dass die Kenngröße von Alice stammt Seite: 24

25 Digitale Signatur Erzeugung der digitalen Signatur Alice errechnet einen kryptografischen Hashwert (Message Authentication Code, MAC) aus ihren Daten Alice verschlüsselt den MAC mit ihrem Private Key und hängt den verschlüsselten MAC ihren Daten an. Seite: 25

26 Digitale Signatur Prüfung der digitalen Signatur Bob empfängt Alices Daten zusammen mit der DS Bob bildet ebenfalls den MAC aus Alices Daten Bob entschlüsselt Alices DS mit Alices Public Key Bob vergleicht beide Werte. Stimmen sie überein, war die Signaturprüfung erfolgreich. Seite: 26

27 Digitale Signatur Seite: 27

28 Digitale Signatur Frage: Welche Forderung muss man für diese Anwendung an die Funktionen E pub und D priv stellen? Anwort: Die Funktionen müssen kommutieren, d.h. es muss stets gelten Dpriv o E pub = E pubo Dpriv = Identität Seite: 28

29 Digitale Signatur Digitale Signatur sichert Integrität der Daten Weil der MAC aus den kompletten Daten errechnet wurde Weil Änderung der Daten auch den MAC ändert Weil es rechentechnisch unmöglich ist, gefälschte Daten zu produzieren, die den gleichen MAC liefern Weil es nicht möglich ist, ohne Kenntnis des privaten Schlüssels eine korrekte Signatur zu produzieren Seite: 29

30 Digitale Signatur Digitale Signatur sichert Authentizität des Absenders Weil nur der Besitzer des privaten Schlüssels in der Lage ist, eine korrekte Signatur zu produzieren Weil jeder mit dem öffentlichen Schlüssel des Signierers feststellen kann, von wem die Signatur und damit die Daten stammen Seite: 30

31 Schlüsselaustausch Das Diffie-Hellman-Protokoll

32 Diffie-Hellmann Schlüsselaustausch Diffie und Hellman hatten die Idee der PKC, aber natürlich hatten sie noch nicht auf alle Fragen eine konkrete Lösung parat. Ihr Hauptproblem, das sie lösen wollten, war das des Schlüsselaustausches für symmetrische Chiffren unter Benutzung eines öffentlichen Kommunikationskanals. So entstand das berühmte Diffie-Hellman Protokoll zum Schlüsselaustausch. Seite: 32

33 Diffie-Hellmann Schlüsselaustausch Anfangs besitzen Alice und Bob jeweils ein Paar von Schlüsseln Seite: 33

34 Diffie-Hellmann Schlüsselaustausch Den jeweils öffentlichen Schlüssel schicken Alice und Bob sich gegenseitig über einen öffentlichen Kanal zu. öffentlicher Kanal Seite: 34

35 Diffie-Hellmann Schlüsselaustausch Die beiden Schlüssel, die Alice und Bob nun besitzen, lassen sich zu einem gemeinsamen Geheimschlüssel kombinieren. öffentlicher Kanal + = + = Seite: 35

36 Diffie-Hellmann Schlüsselaustausch Belauscht Eve den Schlüsselaustausch, so kann sie nur die beiden öffentlichen Schlüssel abfangen. öffentlicher Kanal Seite: 36

37 Diffie-Hellmann Schlüsselaustausch Die Kombination dieser beiden öffentlichen Schlüssel ergibt aber nicht den gewünschten Geheimschlüssel. + = öffentlicher Kanal Seite: 37

38 Seite: 38

39 Diffie-Hellmann Schlüsselaustausch Sei p eine Primzahl. Wir betrachten die Menge Z p* = {1, 2,, p-1}. Für die Menge Z p* definieren wir eine Multiplikation * ihrer Elemente durch a*b := a b mod p. Beispiel: Sei p = 7. Dann ist 5*6 = 5 6 mod 7 = 30 mod 7 = 2, denn 30 = Seite: 39

40 Diffie-Hellmann Schlüsselaustausch Auf nahe liegende Weise definiert man innerhalb der Menge Z p* nun auch eine Potenzierung g k := g* *g (k Faktoren). Es ist ein bekanntes Resultat der Mathematik, dass es zu jeder Primzahl p eine Zahl g p gibt, eine so genannte primitive Wurzel modulo p, welche die Eigenschaft hat, dass die Potenzen von g p genau die ganze Menge Z p * erzeugen, dass also gilt Z * p { g k = 1,, 1} k K = p p Man benutzt daher auch die Schreibweise Z p * = < g p >. Seite: 40

41 Diffie-Hellmann Schlüsselaustausch Abstrakt formuliert: (Z p*,*) ist eine endliche zyklische Gruppe der Ordnung p-1 mit Erzeuger g p Problem: In der Praxis ist es nicht leicht ist, zu gegebenem p einen Erzeuger g p zu ermitteln, zumindest, wenn p groß ist Die abstrakte Sichtweise führte Anfang der neunziger Jahre zur Erfindung der Kryptografie mit elliptischen Kurven Seite: 41

42 Diffie-Hellmann Schlüsselaustausch Beispiel: Z 5* = {1,2,3,4} = <2>, denn es ist 2 1 mod 5 = 2, 2 2 mod 5 = 4, 2 3 mod 5 = 3, 2 4 mod 5 = 1. 2 ist also eine primitive Wurzel modulo 5. Seite: 42

43 Diffie-Hellmann Schlüsselaustausch Mit diesen Zutaten läuft das Diffie-Hellman-Protokoll zum Schlüsselaustausch nun wie folgt ab: Seite: 43

44 Diffie-Hellmann Schlüsselaustausch 1) Alice und Bob einigen sich auf eine große Primzahl p und eine primitive Wurzel g modulo p. Diese beiden Zahlen müssen nicht geheim bleiben. 2) A und B wählen jeweils eine ganze Zahl x A,x B mit 1< x A,x B < p-1, die sie für sich behalten. Diese Zahlen sind ihre privaten Schlüssel. Seite: 44

45 Diffie-Hellmann Schlüsselaustausch 3) A und B schicken sich nun über den öffentlichen Kanal die Zahlen pub A = g x A mod p und pub B = g x B mod p zu. 4) Zum Abschluss potenzieren A und B die empfangenen Zahlen g x A mod p und g x B mod p mit ihren privaten Schlüsseln und reduzieren das Ergebnis wieder modulo p. Seite: 45

46 Diffie-Hellmann Schlüsselaustausch Alice erhält als Ergebnis ( x ) x B A xb xa g mod p = g mod p Bob erhält als Ergebnis ( x ) x A B xaxb g mod p = g mod p Weil aber x A x B = x B x A ist, besitzen nun beide den gleichen Schlüssel. Seite: 46

47 Diffie-Hellmann Schlüsselaustausch Beispiel: Die öffentlichen Parameter (p,g) seien (5,2). Alice wählt den Schlüssel x A = 3, Bob den Schlüssel x B = 2. Damit bekommen Alice und Bob die öffentlichen Schlüssel pub A = 2 3 mod 5 = 3 und pub B = 2 2 mod 5 = 4 Als gemeinsamen Geheimschlüssel erhalten nun beide ( 3 ) mod5 2 2 ( 2 2 ) 3 6 = = = = 2 mod5 = 4 Seite: 47

48 Diffie-Hellmann Schlüsselaustausch Wenn Eve den Schlüsselaustausch belauscht, bekommt sie die Schlüssel g x A mod p und g x B mod p. Addiert sie die beiden, bekommt sie g x A + g x B modp g x A x B mod p Multipliziert Eve die Public Keys miteinander, erhält sie g x A g x B mod p = g x A + x B mod p g x A x B mod p Seite: 48

49 Diffie-Hellmann Schlüsselaustausch Im Beispiel von eben sind dies die Zahlen mod5 = 2 und 3 4 mod5 = 2 Seite: 49

50 Diskreter Logarithmus Was Eve benötigt sind Zahlen x A und x B. Sie kennt aber nur g x A mod p und g x B mod p, d.h. Eve muss die so genannten diskreten Logarithmen x A x = log g g, xb = log A x B g g berechnen, d.h. ganzzahlige Lösungen x,y der Gleichungen g x mod p = g x A mod p und g y mod p = g x B mod p. Seite: 50

51 Diskreter Logarithmus Solange die Primzahl p klein ist, kann Eve einfach alle Potenzen g 1, g 2, g 3, ausprobieren, bis sie auf g x A und g x B (mod p) stößt. Dies ist spätestens nach p-1 Schritten der Fall. Daher wählt man in der Praxis die Zahl p so groß, dass dies nicht mehr in vernünftiger Zeit berechnet werden kann. Seite: 51

52 Diskreter Logarithmus Beispiel: Gesucht ist ein diskreter Logarithmus von 2 modulo 5 zur Basis 3, d.h. eine ganze Zahl k, welche die Gleichung 3 k mod 5 =2 löst. Lösung: Jede Zahl k der Form k = t mit ganzzahligem t löst die Gleichung, da 3 3+4t mod 5 = (27 mod 5)(81 mod 5) t = 2 1 = 2. Seite: 52

53 Diskreter Logarithmus Es gibt allerdings wesentlich schnellere Algorithmen als das bloße Ausprobieren, z.b. der Index Calculus Algorithmus oder der Pollard-ρ-Algorithmus, sodass man wirklich sehr große Primzahlen verwenden muss. Die Größe der Parameter verlangsamt leider die Verarbeitung sehr. Eine Alternative ist, die Gruppe (Z p*,*) zu ersetzen durch eine andere, in der das DL-Problem noch schwerer angreifbar ist, z.b. die Punktegruppe elliptischer Kurven. Dann reichen auch kürzere Schlüssellängen, um Sicherheit zu gewährleisten. Seite: 53

54 Diskreter Logarithmus Übliche Schlüssellänge für die Primzahl p: 1024, 2048 oder sogar 4096 Bit Probleme: Wie findet man derart große Primzahlen? Gibt es ausreichend viele Primzahlen in dieser Größenordnung? Seite: 54

55 Primzahlerzeugung Direktes Verfahren: Sieb des Eratosthenes (ineffizient) Probabilistische Verfahren Solovay-Strassen Miller-Rabin Verfahren erzeugen Zufallszahlen Testen Zahlen auf Primzahleigenschaften Identifizieren Primzahlen mit hoher Wahrscheinlichkeit, aber nicht mit Sicherheit Sehr effizient, daher in der Praxis benutzt Seite: 55

56 Primzahlverteilung Primzahlfunktion π(x) = Anzahl der Primzahlen x Gaußscher Primzahlsatz misst Wachstum von π(x): Genauer gilt für x 59: ( x) π ln x lim x = 1. x ln x x ln x π x ln x 3 2ln ( x) 1 + x Diese Formeln liefern Näherungswerte, wie viele große Primzahlen existieren Seite: 56

57 Primzahlverteilung π 2 ln 2 2 ln π Beispiel: ( ) ( ) Zwischen und gibt es insgesamt ca Zahlen. Die Wahrscheinlichkeit, dass eine zufällig gewählte Zahl mit 1024 Bit eine Primzahl ist, ist daher ungefähr 0,001. Im Schnitt trifft man also nach je tausend zufällig gewählten Zahlen aus diesem Bereich auf eine Primzahl. Dies ist mit Computern schnell realisierbar. Seite: 57

58 Aktive Angriffe auf Public Key- Verfahren Die Man in the middle Attacke

59 Man in the middle Bei dieser Attacke klinkt sich Eve in den Schlüsselaustausch zwischen Alice und Bob ein und verändert ihn aktiv, indem Eve sich gegenüber Alice als Bob ausgibt und gegenüber Bob als Alice. Zunächst fängt Eve die öffentlichen Schlüssel von Alice und Bob ab. öffentlicher Kanal Seite: 59

60 Man in the middle Nun schickt Eve Alice im Namen von Bob ihren eigenen öffentlichen Schlüssel und Bob ihren im Namen von Alice. öffentlicher Kanal Seite: 60

61 Man in the middle Kombinieren jetzt alle ihre privaten und die empfangenen öffentlichen Schlüssel miteinander, besitzen jeweils Alice und Eve sowie Bob und Eve einen gemeinsamen Schlüssel. Seite: 61

62 Man in the middle Alice denkt, mit Bob zu reden. Bob denkt, mit Alice zu reden. In Wirklichkeit reden beide mit Eve, die jetzt alles belauschen und auch nach Belieben verfälschen kann. Seite: 62

63 Man in the middle Problem tritt auf, da Public Keys nicht authentisiert sind Alice und Bob wissen nicht, wer der wirkliche Besitzer der Public Keys ist Ausweg: Zertifizierte Schlüssel Lösungsstrategie: Public Key Infrastrukturen ( nächste Vorlesung) Seite: 63

64 Weiter geht's nach der nächsten Seite: 64

65 Das RSA-Verfahren

66 RSA Ron Rivest, Adi Shamir, Leonard Adleman (1977) Bis heute das gebräuchlichste Verfahren für Verschlüsselung und digitale Signatur mit PKC Standardisiert in PKCS#1 Sicherheit von RSA basiert auf der Schwierigkeit, große Zahlen in Primfaktoren zu zerlegen Seite: 66

67 RSA Zum Verständnis des RSA Verfahrens müssen wir wieder ein paar mathematische Kleinigkeiten vorausschicken. 1) Der erweiterte Euklidische Algorithmus 2) Der kleine Satz von Fermat Seite: 67

68 Euklidischer Algorithmus Der Euklidische Algorithmus dient zum Berechnen des größten gemeinsamen Teilers zweier ganzer Zahlen a und b, wobei wir b > 0 voraussetzen. Zur Vereinheitlichung der Schreibweise setzen wir r 0 := a, r 1 := b. Dividieren wir r 0 durch r 1 mit Rest, erhalten wir eine Gleichung der Form r, r < r 0 = q0r1 + r2 0 Allgemein kann man Gleichungen aufstellen der Form 2 1 r n = qnrn rn + 2, 0 rn + 2 < rn + 1 Seite: 68

69 Euklidischer Algorithmus Da die r j in jedem Schritt um mindestens eins abnehmen und durch Null nach unten beschränkt sind, gibt es einen kleinsten Index m, für den r m = 0 gilt, d.h. der Algorithmus terminiert. Der letzte nicht verschwindende Rest r m-1 ist dann der größte gemeinsame Teiler von a und b: ( a b) r m ggt, 1 = Seite: 69

70 Euklidischer Algorithmus Beispiel: Wir berechnen ggt(77,62 ). Dazu schreiben wir 77 = = = = Der letzte Rest ungleich Null ist 1, d.h. ggt(77,62) = 1. Zwei Zahlen a und b mit ggt(a,b) = 1 heißen teilerfremd. Seite: 70

71 Euklidischer Algorithmus Eine Umkehrung des Euklidischen Algorithmus ermöglicht uns, ganze Zahlen x und y zu bestimmen, welche die Gleichung x a + y b = ggt ( a, b) erfüllen. Dies sieht man am leichtesten am vorherigen Beispiel 77 = = = = = ( ) ( 77 62) 7 ( 62 4 ( 77 62) ) = 15 = = Seite: 71

72 Euklidischer Algorithmus Für zwei teilerfremde Zahlen a und b gibt es also stets eine ganze Zahl x, sodass b den Ausdruck xa-1 teilt, da xa + yb = 1 ist. Diese Zahl x heißt die modulare Inverse zu a modulo b. Das Berechnen modularer Inverser ist für das RSA Verfahren wichtig. Seite: 72

73 Der kleine Satz von Fermat Das zweite Resultat, welches wir für das RSA Verfahren benötigen, ist der kleine Satz von Fermat. Die bei RSA angewendete Variante lautet folgendermaßen: sind p,q Primzahlen und a teilerfremd zu pq, dann ist a ( p 1)( q 1) 1 mod pq. Diese Schreibweise bedeutet, dass a (p-1)(q-1) 1 ein Vielfaches von pq ist bzw. dass a (p-1)(q-1) beim Teilen durch pq den Rest 1 lässt. Seite: 73

74 Der kleine Satz von Fermat Beispiel: p = 3, q = 5, a = 2. Dann ist = = 255 = Seite: 74

75 RSA: Schlüsselerzeugung 1) Bob generiert zwei große Primzahlen p und q und bildet n := pq 2) Danach wählt Bob eine Zahl e B mit 2 < e B < φ(n) := (p-1)(q-1), sodass ggt(e B, φ(n) )=1 ist 3) Bob berechnet die modulare Inverse d B von e B modulo φ(n) mittels des erweiterten Euklidischen Algorithmus 4) Das Paar (n,e B ) gibt Bob öffentlich bekannt. Es bildet seinen Public Key. Das Paar (d B, φ(n)) bildet Bobs Private Key und wird von Bob geheim gehalten. Seite: 75

76 RSA: Verschlüsselung 1) Alice besorgt sich Bobs öffentlichen Schlüssel (n,e) und codiert ihren Klartext P als Zahlenwert (evtl. blockweise), sodass 1 P n-1 ist 2) Alice verschlüsselt P durch die Formel C = P e mod n 3) Alice sendet C an Bob Seite: 76

77 RSA: Entschlüsselung 1) Bob empfängt C = P e mod n von Alice 2) Bob berechnet mit seiner Geheimzahl d den Wert C d mod n 3) Es ergibt sich C d mod n = (P e ) d mod n = P P ed-1 mod n 4) d ist die modulare Inverse zu e mod (p-1)(q-1), d.h., es gibt eine ganze Zahl k, sodass ed-1 = k(p-1)(q-1) ist. Daraus folgt, dass C d mod n = P P ed-1 mod n = P (P (p-1)(q-1) ) k mod n ist. Nach dem kleinen Satz von Fermat ist P (p-1)(q-1) mod n=1, also ist C d mod n = P mod n = P, da 1 P n-1 Seite: 77

78 RSA: Sicherheitsaspekte Entscheidende Information bei Entschlüsselung: P (p-1)(q-1) mod n = 1 (Satz von Fermat) Öffentlich bekannt: C und n Einem Angreifer unbekannt: Primfaktoren p und q von n Wert des Produktes (p-1)(q-1) Angriffsziel: Finde p und q bzw. (p-1)(q-1) Problem: Faktorisierung von n Seite: 78

79 RSA: Faktorisierung Damit die Faktorisierung von n=pq schwer ist, müssen p und q groß sein Übliche Größen für p und q: 512, 1024 oder 2048 Bit Schnellster in der Mathematik bekannter Faktorisierungsalgorithmus: Zahlkörpersieb von Pomerance Komplexität zur Faktorisierung von n=pq: Ο ( ) C ln n ln ln n e Seite: 79

80 RSA: Faktorisierung Um einen Eindruck von der Größenordnung zu bekommen, setzen wir n = ein (d.h. p und q sind ca. je 512 Bit lang) und nehmen zur Vereinfachung C = 1 an. Dann ist e ln nlnln n e 68 > 2 Der beste bekannte Faktorisierungsalgorithmus bräuchte also mehr Rechenoperationen, als nötig wären, eine symmetrische Chiffre mit Schlüssellänge 98 Bit mit Brute Force zu knacken. 98 Seite: 80

81 Hybridverfahren Probleme: PKC ist langsam Symmetrische Kryptografie hat das Problem der Schlüsselverteilung Lösung: Hybridverfahren PKC zur Schlüsselübermittlung Symmetrische Kryptografie zur Datenverschlüsselung Seite: 81

82 Hybridverfahren Alice erzeugt Session Key für symmetrisches Verfahren Alice verschlüsselt Daten symmetrisch mit Session Key Alice und Bob einigen sich auf einen öffentlichen Schlüssel (z.b. RSA- Schlüssel oder DH-Schlüssel) Alice verschlüsselt Session Key mit öffentlichen Schlüssel von Bob bzw. mit gemeinsamem DH-Schlüssel Alice hängt verschlüsselten Session Key an verschlüsselte Daten an Alice schickt Gesamtpaket an Bob Bob empfängt Daten und entschlüsselt verschlüsselten Session Key Bob entschlüsselt Daten mit dem Session Key Seite: 82