Asymmetrische Algorithmen

Transkript

1 Asymmetrische Algorithmen Abbildung 9. Leonhard Euler Leonhard Euler, geboren am 15. April 1707 in Basel, gestorben am 18. September 1783 in Sankt Petersburg, war einer der produktivsten Mathematiker aller Zeiten. Sogar eine totale Blindheit in den letzten 17 Lebensjahren hinderte ihn nicht daran, noch Manuskripte für Dutzende von Büchern zu diktieren. Euler lebte ab 1727 in Sankt Petersburg, danach einige Zeit in Berlin und schließlich wieder in Sankt Petersburg. Der RSA-Algorithmus (1978: Rivest, Shamir, Adleman) Grundlagen des RSA-Algorithmus sind der Satz von Euler und der erweiterte Euklidische Algorithmus zur Berechnung der Schlüssel. Einführende Beispiele Wir betrachten die Gruppe Z 5 ; mod 5 = mod 5 = mod 5 = mod 5 = mod 5 = mod 5 =.. In Z 6 ; gilt 5 2 mod 6 = 1 Achtung: 3 Z 6 und 3 2 mod 6 =.. Seite 49

2 In Z 15 ; gilt z.b. 2 ϕ (15) mod 15 =.. Achtung: 3 Z 15 und 3 ϕ (15) mod 15 =.. 7 ϕ (15) mod 15 =.. Satz von Euler (1761) m, n N m Z n d.h. ggt m ; n =1 m φ n mod n =1 Folgerungen (a) m k φ n mod n =1, k N (b) m k φ n 1 mod n =m,k N Aufgabe Betrachte Z 9 ; Berechne alle Werte m φ 9 mod 9, m Z 9 Berechne 3 φ 9 mod 9. Erkläre das Ergebnis. Sonderfall: n = pq, wobei p und q verschiedene Primzahlen sind m k p 1 q 1 1 mod pq = m d.h. m k p 1 q 1 1 / pq hat den Divisionsrest m Seite 50

3 Beispiele a) n = 7*11, ϕ(n) = 6*10 = 60 m 60 k 1 mod 77=m; mit m=3, k= mod 77=3 Man beachte, dass ca. 5,4*10 57 ist. b) n = 6, ϕ(n) = 2, m = 5, k = k 1 mod 6= mod 6=5 c) n = 851 = 23*37, m = 31, k = mod 851 = 31 22*36+1 mod 851 = 31 d) n = 2773 = 47*59; m = 200; k = *46*58 +1 mod 2773 = 200 e) Berechne bei n = 55 und m = 5 (15, 22) die Werte m ϕ (n) mod n. Seite 51

4 RSA-Verfahren (1978: Rivest, Shamir, Adleman) Der RSA-Algorithmus ist das bekannteste Beispiel zu asymmetrischen Algorithmen. Schritt 1 Schlüsselerzeugung (durch eine Schlüsselvergabestelle) Suche zwei große Primzahlen p und q mit p q, berechne n = p*q und φ = (p 1)*(q - 1) Das Produkt p*q ist schnell berechenbar, die Faktorisierung von n ist schwer!! Dies ist die Trapdoor-Eigenschaft des RSA-Verfahrens. Die eigentliche Schlüsselerzeugung erfolgt in der Menge Z φ n : Wähle e Z φ n, d.h. ggt( φ(n) ; e ) =1 Aus e lässt sich mit dem Erweiterten Euklidischen Algorithmus die modulare Inverse d mit e d mod φ n =1 berechnen (d ist leicht berechenbar, wenn ϕ bekannt ist). Welche Eigenschaft steckt dahinter? Dies ist gleichbedeutend mit e d=k φ n 1, k N m e d mod n =m k φ n 1 mod n= m φ n k m mod n =m Wir nehmen e (encrypt) zum Verschlüsseln und d (decrypt) zum Entschlüsseln. Beispiel p = 5, q = 11: n = 55 φ(55) = 40 Wähle e Z 40 und berechne d: q g v d Seite 52

5 1* *(-13) = 1 Ersetze d = -13 durch = 27 & es gilt 3*27 mod 40 = 1. e = 3 verschlüsselt, d = 27 verschlüsselt. Schritt 2 Verschlüsselung Nehme eine Nachricht m mit ggt(m, 55) = 1, z.b. m = 6. c = m e mod n = 6 3 mod 55 = 51 Chiffre Schritt 3 Entschlüsselung Rechne c d mod n = mod 55 = 6 Die Korrektheit des Verfahrens Es gilt: e*d = k*φ + 1 Daraus folgt c d mod n = (m e mod n) d mod n = m ed mod n = m k*φ(n)+1 mod n = m (Euler) Seite 53

6 Aufgaben: p = 5, q = 11, wähle e = 7 n = 35, Wähle e Z 24 Welche Exponenten sind schlecht? n = 21, Z 12 ={1,...} n = 7*11, d.h. (p-1)(q-1) = 60 Wähle e = 11 und suche d mit 11*d mod 60 =1 d = (schlechte Wahl von e ) Eine bessere Wahl ist e = 7 d =. b) n = 101*103, (p-1)(q-1) = 10200, e = 61. Suchen Sie d mit 61*d mod = 1 d = c) p = 47, q = 59, e = 157 d* 157 mod 2668 = 1 d = 17 Schlüssel und Sicherheit Welcher der beiden Schlüssel (e oder d) geheim ist, hängt vom Anwendungsfall ab. Falls nur der Empfänger die Botschaften entschlüsseln soll, wird folgende Vereinbarung getroffen: Öffentlicher Schlüssel für den Absender A (e, n) Geheimer Schlüssel für den Empfänger B (d, n). 1. Keiner der Teilnehmer A und B braucht (und soll) p, q und ϕ = (p-1)(q-1) zu kennen. Dieses Geheimnis bleibt bei der Schlüsselvergabestelle. 2. Dann kann nur die Schlüsselvergabestelle aus e die Zahl d (sehr schnell) berechnen. Ein Angreifer müsste zuerst n faktorisieren! 3. Die Sicherheit des Verfahrens beruht darauf, dass man d nur berechnen kann, wenn man p und q und damit ϕ(pq) kennt. Sicherheit = Schwierigkeit des Faktorisierungsproblems von n und das geheime d aus e zu berechnen, ist so schwierig wie das Faktorisierungsproblem! Seite 54

7 RSA-Verfahren Absender (viele) Empfänger Chiffre A Nachricht m c? c = c? B (e, n) öffentlich Angreifer X: Faktorisierungsproblem n =? *? (d, n) geheim A verschlüsselt m zu c = m e mod n B nimmt das geheime d und entschlüsselt: m' = c d mod n Abbildung 10. Verschlüsselung nach RSA A sucht den öffentlichen Schlüssel (e, n) des Empfängers E in einem Keyserver und verschlüsselt m zu c = m e mod n E wählt sein geheimes d, passend zu n, und entschlüsselt m' = c d mod n Das RSA-Verfahren ist ein sog. asymmetrisches Verfahren. Der Schlüssel e hat die Trapdoor-Eigenschaft, da ohne die Kenntnis von p und q die Zahl d nur sehr schwer berechenbar ist. Analogie: A wirft die Nachricht m in einen Briefkasten (Trapdoor), B öffnet den Briefkasten mit der geheimen Zusatzinformation. Seite 55