Moderne mathematische Verfahren in der Kryptographie unter Anwendungsaspekten

Transkript

1 Moderne mathematische Verfahren in der Kryptographie unter Anwendungsaspekten Wissenschaftliche Hausarbeit im Rahmen des ersten Staatsexamens für das Amt des Studienrates vorgelegt von Torsten Brandes Maxie - Wander - Str Berlin web.de 28. Februar 2004

2 Inhaltsverzeichnis 1 Mathematische Grundlagen Matrizen über Ringen Elemente der Gruppentheorie Kongruenzen Polynome und endliche Körper Alphabete Klassische kryptographische Verfahren Elemente der Kryptoanalyse Das DES - Kryptosystem Feistel - Chiffren Der Data Encryption Standard (DES) Public-Key-Kryptosysteme Diffie-Hellmann-Schlüsselvereinbarung Das diskrete Logarithmus Problem (DL - Problem) Diffie-Hellmann-Problem Das RSA - Kryptosystem RSA - Parametergenerierung: Das ElGamal - Kryptosystem Elliptische Kurven Affine Kurven Projektive Kurven Elliptische Kurven Das Gruppengesetz Explizite Additionsformeln DL-Problem für elliptische Kurven Praktische Umsetzung Implementierung der Verschiebe - Chiffre Implementierung des RSA - Verfahrens Die Klasse RsaParamSet Die Klasse KryptoTools

3 6.2.3 Die Klasse ParamLoader Implementierung des ElGamal - Verfahrens Die Klasse ParamSet Die Verschlüsselungsmethoden Addition von Punkten auf einer Elliptischen Kurve Die Klasse Point Die Klasse EllipticCurve Implementierung des ElGamal - Verfahrens über einer Elliptischen Kurve modulo einer Primzahl Parametergenerierung Verschlüsselung Entschlüsselung

4 Einleitung Die Kryptographie ist eine wichtige mathematische Teildisziplin, die in den letzten Jahren und Jahrzehnten immer mehr an Bedeutung gewonnen hat. Diese Hausarbeit soll einen Überblick über moderne kryptographische Verfahren geben und in diesem Zusammenhang auch auf die geschichtliche Entwicklung dieser Wissenschaft eingehen. Hauptziel der Arbeit ist es, neue Erkenntnisse auf dem Gebiet der Elliptischen Kurven für die Kryptographie zu nutzen. Wir wollen mathematische Grundlagen für die Kryptographie darlegen, dies aber mit dem Ziel, die praktische Anwendung nicht zu vernachlässigen. Es sollen Anwendungen entwickelt werden, mit denen man Texte oder ganze Dateien verschlüsseln kann. Dies soll auch im Hinblick auf eine spätere Verwendung in der Schule geschehen. Wir werden die geschichtliche Entwicklung der Kryptosysteme von einfachen monalphabetischen Verfahren bis hin zu assymmetrischen Blockchiffren kennenlernen und wir werden sehen, dass Kryptosysteme über elliptischen Kurven gewissermassen als Rettung der Public - Key - Kryptographie angesehen werden können. In Kapitel 1 werden einige mathematische Grundlagen aufgeführt, die zum Verständnis der weiteren Ausführungen von Bedeutung sind. Allerdings werden elementare Grundlagen vorausgesetzt. In Kapitel 2 werden wir uns mit klassischen kryptographischen Verfahren beschäftigen, die von historischer Bedeutung sind, und die wir für das Verständnis der nächsten Kapitel benötigen. In Kapitel 3 wird es um das DES - Verfahren gehen, das wir als Beispiel eines modernen, effizienten, symmetrischen Verschlüsselungsverfahrens behandeln werden. Kapitel 4 beschäftigt sich mit Public - Key - Kryptographie, wobei wir einige wichtige Verfahren darstellen und untersuchen werden. In Kapitel 5 werden wir uns schließlich mit der Thematik der Elliptischen Kurven befassen. Hierbei wollen wir tiefer in das Gebiet der Algebra eintauchen und gewisse Punktmengen über projektiven Räumen und ihre Eigenschaften betrachten. Wir werden zeigen, dass Elliptische Kurven über einem endlichen Körper mit einer Gruppenstruktur ausgestattet werden können und wir werden darauf aufbauend ein Public - Key - Verfahren über einer solchen Gruppe definieren. In Kapitel 6 wird es schließlich darum gehen, die untersuchten Verfahren praktisch umzusetzen und Programme zu schreiben, die diese Verfahren implementieren. 4

5 1 Mathematische Grundlagen Wir bezeichnen mit N, Z, Q, R, C die natürlichen, die ganzen, die rationalen, die reellen und die komplexen Zahlen. P sei die Menge aller Primzahlen. Wir setzen voraus, dass der Leser mit elementaren algebraischen Strukturen, wie Gruppen, Ringen, Körpern, sowie mit elementaren Sätzen vertraut ist. Ist dies nicht der Fall, so sei auf [5] verwiesen. Die folgenden Ausführungen erfolgen i.a. ohne Beweis. Sie sollen der Vollständigkeit dienen und sind nicht Hauptschwerpunkt dieser Arbeit. In diesem Sinne sind Grundlagen nur aufgeführt, soweit sie dem Verständnis der Arbeit dienen. Für n N/0 ist (S n, ) die vollständige, symmetrische Gruppe, also die Menge aller bijektiven Abbildungen einer n - elementigen Menge auf sich, zusammen mit der Hintereinanderausführung von Abbildungen. Bekanntlich ist S n = n!. Wir bezeichnen den größten gemeinsamen Teiler zweier ganzer Zahlen a und b mit gcd(a, b) N. Es gilt dann folgender Satz 1.1 (Euklidischer Algorithmus). 1. Wenn b = 0 ist, so ist gcd(a, b) = a. 2. Wenn b 0, so ist gcd(a, b) = gcd( b, a mod b ). Beweis. Siehe [17], S Matrizen über Ringen Da in bestimmten Kryptosystemen Matrizen als Schlüssel dienen, benötigen wir den Begriffs der Matrix über einem Ring R und ein Kriterium, wann eine solche Matrix invertierbar ist. Damit ist es uns möglich die Anzahl von Schlüsseln zu bestimmen. Definition Es sei R ein kommutativer Ring mit Einselement. Eine n m - Matrix über R ist ein Schema von Ringelementen der Form m 11 m 12 m 1m m 21 m 22 m 2m M := (m ij ) :=......, m n1 m n2 m nm wo alle m ij R. 5

6 2. Die Menge aller n m - Matrizen über R wird mit R (n,m) bezeichnet. 3. M heisst quadratische Matrix, falls n = m ist. 4. Matrizen A = (a ij ) und B = (b ij ), A, B R (n,n) können mittels A + B := (a ij + b ij ), (1.1) n A B := C = (c ij ) mit c ij := a ik b kj (1.2) miteinander multipliziert und addiert werden. 5. Die quadratische n n - Matrix E n = (e ij ) mit k=1 e ij = 1, falls i = j 0, sonst heisst n n - Einheitsmatrix über R. 6. Die quadratische n n - Matrix (0) = über R heisst n n Nullmatrix Satz 1.3. (R (n,n), +, ) ist ein (im allgemeinen nichtkommutativer) Ring mit Einselement E n und Nullelement (0). Beweis. Siehe [6], S. 43. Es interessieren uns im folgenden Matrizen, die ein Inverses bezüglich der Multiplikation besitzen also A R (n,n), für die ein A 1 R (n,n) derart exisiert, dass A A 1 = A 1 A = E n. Dazu benötigen wir den Begriff der Determinate. Definition 1.4. Es sei A R (n,n). heisst Determinante von A. R det(a) := π S n sgn(π) a 1π(1 a nπ(n) Satz 1.5. Eine Matrix M R (n,n) ist genau dann invertierbar, wenn det(m) eine Einheit in R ist. Beweis. Siehe [6], S Korollar 1.6. Ist R ein Körper, so ist M R (n,n) invertierbar gdw. det(m) 0 ist. Bemerkung 1.7. Die invertierbaren n n - Matrizen über einem Ring R bilden eine Gruppe bezüglich der Multiplikation. Diese Gruppe wird mit GL(n, R) (general linear group) bezeichnet. 6

7 1.2 Elemente der Gruppentheorie In diesem Abschnitt wollen wir einige grundlegende Sätze über Gruppen beweisen. Wir gehen davon aus dass der Leser mit dem Begriff der Gruppe vertraut ist. Wir wollen auf den Begriff der Untergruppe, auf zyklische Gruppen und Zusammenhänge eingehen, die wir benötigen, um den kleinen Satz von Fermat zu beweisen. Definition 1.8 (Untergruppe). 1. Es sei (G, ) eine Gruppe. Eine Teilmenge U von G heisst Untergruppe, falls (U, ) selbst eine Gruppe ist. Ist dies der Fall, so schreiben wir U G. 2. H G ist genau dann Untergruppe von G, wenn für alle x, y H auch x y 1 H gilt (Untergruppenkriterium). Definition 1.9 (Zyklische Gruppe). 1. Eine Gruppe (G, ) heisst zyklisch genau dann, wenn ein a G exisitert, derart dass G = a := a n : n Z. 2. Für b G heisst b die von b erzeugte zyklische Untergruppe von G. Beispiel (Z, +) ist zyklisch, mit Z = 1 = (Z/nZ, +) ist zyklisch. Satz Es sei G eine zyklische Gruppe. Dann ist G abelsch. Beweis. Es sei G = a = a n : n Z. Für g, h G gilt dann g = a r, h = a s. Weiterhin ist g h = a r a s = a r+s = a s+r = a s a r = h g. Definition Es sei (G, ) eine Gruppe, G e und sei b G beliebig. Dann heisst ord G (b) =, falls für alle r N gilt: b r e minr N : b r = e, sonst die Ordnung von b. Satz 1.13 (Satz von Lagrange). Es sei G eine Gruppe und H G eine Untergruppe von G. Dann ist H ein Teiler von G. Beweis. Siehe [18], S. 34. Satz Es sei G eine Gruppe, b G und n Z. Dann ist b n = e genau dann, wenn ord G (b) n. 7

8 Beweis. Es sei r = ord G (b) und n = k r für ein k Z. Dann ist b n = b k r = (b r ) k = e k = e. Sei umgekehrt b n = e. Wir können n in der Form n = q r + s mit 0 s < r schreiben. Dann ist b s = b n q r = b n (b r ) q = e e q = e. Nun ist aber r die kleinste natürliche Zahl mit b r = e und da s < r, muss s = 0 und somit n = q r sein, d.h. r n. Satz Es sei b G und k, l Z. Dann ist b k = b l genau dann, wenn ist. k l mod ord G (b) Beweis. Wir setzen r = k l und wenden Satz 1.14 an. Es ist b k = b l b k l = e ord G (b) (k l) k l mod ord G (b). Bemerkung Falls ord G (b) = r <, dann ist b = b k : 0 k < r. Nach Satz 1.15 ist nämlich für j Z b j = b j mod r. Weiterhin ist klar, dass b = r ist. Satz Es sei b G, ord G (b) = r, G = s. Dann ist r ein Teiler von s (die Ordnung eines Gruppenelements teilt die Gruppenordnung). Beweis. Es ist r = ord G (b) = b. Mit Satz 1.13 folgt die Behauptung. Satz Falls ord G (b) = r < und n Z, so ist ord G (b n ) = Beweis. Es ist r (b n ) gcd(r,n) = (b r ) gcd(r,n) = e. n r. gcd(r,n) Nach Satz 1.14 gilt dann ord G (b n r ). Es sei weiterhin e = gcd(r,n) (bn ) k = b n k. Dann gilt wiederum nach Satz 1.14 r = ord G (b) n k und weiterhin und somit r gcd(r, n) n gcd(r, n) k r gcd(r, n) k. für jedes k mit e = (b n ) k. Wähle k = ord G (b n ). Dann ist ord G (b n ) = r. gcd(r,n) 8

9 1.3 Kongruenzen Definition Es seien a, b Z, m N. Wir führen auf Z eine Äquivalenzrelation ein. Wir sagen a ist kongruent b modulo m und schreiben a b mod m, wenn die folgenden äquivalenten Aussagen erfüllt sind: 1. m (a b). 2. a = b + k m mit k Z. 3. a und b lassen bei Division durch m den selben Rest. Die Kongruenz modulo m ist in der Tat eine Äquivalenzrelation. Daher zerfällt die Menge Z in m Äquivalenzklassen 0, 1,, m 1. (1.3) Ist a Z so heisst die a zugeordnete Äquivalenzklasse a Restklasse von a modulo m, also a = a mod m = a + k m : k Z. Die Menge 1.3 wird mit Z/mZ bezeichnet. Definition Wir können auf der Menge der Restklassen Z/mZ = 0, 1,, m 1 auf kanonische Weise mittels a + b := a + b, (1.4) a b := a b (1.5) eine Addition und eine Multiplikation einführen. Es ist leicht einzusehen, dass (Z/mZ, +, ) ein kommutativer Ring mit Einselement 1 ist. Von Interesse ist die Fragestellung, wann ein Element a Z/mZ ein multiplikatives Inverses besitzt, wann also die Gleichung lösbar ist, beziehungsweise wann die Kongruenz besteht. a x = 1 (1.6) a x 1 mod m (1.7) Satz Es sei a Z/mZ. Die Gleichung a x = 1 ist genau dann lösbar, wenn gcd(a, m) = 1 ist. In diesem Fall ist x eindeutig bestimmt. 9

10 Beweis. Es sei d = gcd(a, m) und x eine Lösung von 1.6. Dann ist d ein Teiler von m. Aus ax 1 mod m folgt ax = 1 + km für ein k aus Z, also m (ax 1) und somit d (ax 1). Nun ist d aber auch Teiler von a, also d 1 und damit d = 1, da d = gcd(a, m) > 0. Es sei umgekehrt gcd(a, m) = 1. Dann gibt es ganze Zahlen x und y mit 1 = ax + my, also ax 1 = my, also ax 1 mod m und damit ist x eine Lösung von 1.6. Zur Eindeutigkeit von x nehmen wir an, dass ˆx eine weitere Lösung von 1.6 ist. Dann gilt ax aˆx mod m, also m (ax aˆx) und somit m a(x ˆx). Weil gcd(a, m) = 1 ist, folgt m (x ˆx) und somit ˆx = x. Eine invertierbare Restklasse heisst prime Restklasse modulo m. Die primen Restklassen modulo m bilden eine Gruppe bezüglich der Multiplikation. Diese Gruppe wird mit (Z/mZ) bezeichnet. Da a Z/mZ prim ist genau dann, wenn gcd(a, m) = 1 ist, gilt offensichtlich folgendes Korollar Z/mZ ist ein Körper genau dann, wenn m eine Primzahl ist. Definition Die Ordnung der primen Restklassengruppe (Z/mZ) wird mit ϕ(m) bezeichnet. Die Funktion heisst Eulersche ϕ - Funktion. ϕ : N N m ϕ(m) Bemerkung ϕ(m) zählt die Anzahl der zu m teilerfremden Zahlen a 1, 2,, m, also alle a mit gcd(a, m) = 1. Bemerkung Es seien p, q P, p q und n N, a > Es ist ϕ(p) = p 1, da offensichtlich alle Zahlen zwischen 1 und p 1 zu p teilerfremd sind. 2. ϕ(p n ) = p n p n 1, denn die Zahlen, die zu p n nicht teilerfremd sind, sind genau die Vielfachen von p. Davon gibt es in der Menge 1, 2,, p n genau p n 1, nämlich 1 p, 2 p,, p n 1 p. Also ist ϕ(p n ) = p n p n ϕ(p q) = (p 1)(q 1). Satz Es sei G ein endliche, zyklische Gruppe. Dann hat G genau ϕ( G ) Erzeuger und alle Erzeuger haben die Ordnung G. Beweis. Es sei b G, ord G (b) = r. Dann gilt b = r. Falls r = G, so ist G = b und damit b ein Erzeuger von G. Es ist weiterhin G = b k : 0 k < r und ord g (b k ) = r genau dann, wenn gcd(k, r) = 1 ist nach Satz Damit gibt es genau ϕ(r) Elemente der Ordnung r in G. 10

11 Nach dieser ordentlichen Vorarbeit kommen wir nun zum eigentlichen Ziel dieses Kapitels. Satz Es sei b G, n = G. Dann ist b n = e. Beweis. Nach Satz 1.17 ist ord G (b) ein Teiler von n. Damit ist b n = e nach Satz Korollar 1.28 (kleiner Satz von Fermat). Für jede prime Restklasse a = a mod m (Z/mZ) gilt a ϕ(m) = 1 bzw. (1.8) a 1 mod m. (1.9) Es ist uns jetzt möglich, prime Restklassen zu invertieren impliziert nämlich die Gleichheit a ϕ(m) 1 a = 1 und somit ist a ϕ(m) 1 die zu a inverse prime Restklasse modulo m. 1.4 Polynome und endliche Körper Definition Es sei K ein Körper. Ein Polynom über K in n Variablen x 1, x 2,, x n mit Koeffizienten a i1,i 2,,i n K, von denen nur endlich viele ungleich Null sind, ist ein Ausdruck der Form f(x 1,, x n ) = i 1,,i n 0 a i1,,i n x i 1 1 x in n. Die Menge aller Polynome in x 1,, x n über K bezeichnen wir mit K[x 1,, x n ]. Bemerkung Ist n = 1, so ist f(x) K[x] der Form f(x) = a k x k + + a 1 x 1 + a Die Zahl k heisst Grad von f und wird mit deg(f) bezeichnet. 3. Mit der üblichen Addition und Multiplikation wird F [x 1,, x n ] zu einem kommutativen Ring mit Einselement. Definition Es sei f(x) K[x]. Dann können wir in f(x) Elemente aus K einsetzen und erhalten so eine Abbildung der Form f : K K, a f(a). 11

12 2. a K heisst Nullstelle von f, falls f(a) = 0 ist. Satz Es ist a K genau dann Nullstelle von f K[x], wenn (x a) ein Teiler von f(x) im Polynomring F [x] ist. Beweis. Siehe [18], S. 73. Es sei f K[x], deg(f) = n. Dann können wir analog zu Z/mZ den Restklassenring K[x]/(f) betrachten. Auf diese Weise erhalten wir einen kommutativen Ring, in dem auch die Division mit Rest erklärt ist. Die Elemente dieses Ringes sind Restklassen g von Polynomen g K[x]. Sie haben die Form g = g + f h : h K[x]. Über die Repräsentanten dieser Restklassen können wir wiederum eine Addition und Multiplikation einführen. So ist etwa g 1 +g 2 = g 1 +f h : h K[x]+g 2 +f h : h K[x] = (g 1 +g 2 )+f h : h K[x]. Zwei Polynome g 1 und g 2 liegen genau dann in der selben Restklasse, wenn das Polynom f ein Teiler des Polynoms g 1 g 2 ist. Wie auch bei den Restklassen ganzer Zahlen gibt es einen eindeutig bestimmten Repräsentanten r in jeder Restklasse von Polynomen mit r = 0 oder deg(r) < deg(f) = n. r kann durch Polynomdivision mit Rest von g 1 durch f bestimmt werden. Ist f K[x] irreduzibel, kann f also nicht als Produkt zweier Polynome g, h K[x], deg(g) 1 deg(h) geschrieben werden, so ist K[x]/(f) sogar ein Körper. Mittels π : K K[X], a a kann K in K[X] eingebettet werden. Der Körper K ist also in K[X] enthalten. Für p P, K = F p = Z/pZ und f F p [X], f irreduzibel, deg(f) = r erhalten wir den Körper F p [X]/(f), der aus den Restklassen der Polynome g mit deg(g) = 0 oder deg(g) < r besteht. Es gibt genau q = p r Elemente in diesem Körper. Wir wollen ihn daher mit F q = a r 1 X r 1 + a r X r + + a 0 : a i F p bezeichnen. F q, q = p r ist bis auf Isomorphie der einzige Körper mit q Elementen. Es ist sogar jeder endliche Körper isomorph zu einem dieser Körper F q. Beispiel Wir wollen den Körper F 4 konsruieren. Da 4 = 2 2 benötigen wir dazu ein irreduzibles Polynom f vom Grad zwei über dem Körper F 2. f muss ein konstantes Glied a 0 = 1 enthalten, da sonst f(b) = 0 für alle b 0, 1. Es genügt also X 2 + 1, X 2 + X + 1 zu betrachten. X 2 + X + 1 ist irreduzibel, da es keine Nullstelle über F 2 besitzt. Also besteht F 4 aus den Restklassen der Polynome 0, 1, X, X + 1, die wir mit 00, 01, 10, 11 identifizieren können. Wir wollen noch die Verknüpfungstafeln angeben: 12

13 Tabelle 1.1: Addition in F Tabelle 1.2: Multiplikation in F 4 Wir können die Aussagen kompakt zusammenfassen und tun dies mit Satz Zu jedem endlichen Körper F q mit q Elementen gibt es eine Primzahl p und eine Zahl r N mit q = p r. 2. Die Einheitengruppe F dieses Körpers ist zyklisch von der Ordnung q Zu jeder Primzahlpotenz q = p r gibt es einen endlichen Körper F q mit q Elementen. Beweis. Siehe [18], S Alphabete Definition Ein Alphabet X ist eine nichtleere, endliche Menge. Die Elemente von X heissen Buchstaben. 2. Eine endliche Folge w von Buchstaben aus einem Alphabet X heisst Wort über X. 3. Die Menge aller Wörter w über X wird mit W(X) bezeichnet. 4. Mit l(w) bezeichnen wir die Länge von w, also die Anzahl der vorkommenden Buchstaben. 5. X n steht für die Menge aller Wörter w mit l(w) = n. 6. Das Wort der Länge null wird als leeres Wort (e) bezeichnet. 13

14 7. Auf der Menge W(X) können wir eine Verknüpfung (Verkettung) einführen: : W(X) W(X) W(X), (u, w) uw. Der Übersichtlichkeit halber werden wir falls es nötig ist p = u, w statt p = uw schreiben. Wörter erhalten wir durch Verkettung von Buchstaben (Wörter der Länge eins). Bemerkung (W(X), ) ist eine Halbgruppe mit Einselement e. Beispiel Klassische Alphabete sind X 1 =a, b, c,..., z, X 2 =0, 1. Dabei können wir beispielsweise X 1 mit dem Alphabet Z/26Z, allgemein also X mit Z/ X Z identifizieren. Dies ermöglicht es uns mit Buchstaben wie mit Zahlen zu rechnen. Schließlich brauchen wir noch eine Struktur zur Beschreibung eines Kryptosystems. Zu einem solchen System sollen eine Verschlüsselungsfunktion zum Chiffrieren einer Nachricht und eine Entschlüsselungsfunktion zum Dechiffrieren einer Nachricht gehören, die Wörter auf Wörter abbilden. Dabei sind nicht notwendigerweise Wörter der natürlichen Sprache gemeint, sondern allgemein Wörter der Länge n, die man als Blöcke bezeichnet. Diese Funktionen werden mit einem Schlüssel parametrisiert. Definition 1.38 (Kryptosystem). Ein Fünf - Tupel (P, C, K, E, D) ist ein Kryptosystem, falls folgende Bedingungen erfüllt sind: 1. P, C, K sind Mengen von Wörtern über Alphabeten. Dabei wird P als Klartextraum, C als Geheimtextraum und K als Schlüsselraum bezeichnet. 2. Für alle k, l aus K existiert eine Verschlüsselungsfunktion e k : P C aus E und eine Entschlüsselungsfunktion aus D, derart dass für alle x aus P gilt. d l : C P d l (e k (x)) = x Definition Ein Kryptosytem (P, C, K, E, D) heisst symmetrisch, falls k = l ist, falls also der Schlüssel zum Verschlüsseln mit dem Schlüssel zum Entschlüsseln übereinstimmt, beziehungsweise wenn sich l aus k leicht ableiten lässt. Ist dies nicht der Fall, so heisst das Kryptosystem asymmetrisch. Um eine Nachricht in natürlicher Sprache zu verschlüsseln, müssen wir diese Nachricht in eine Folge von Zahlen codieren. Benutzen wir einen Computer, so können wir beispielsweise die ANSI - oder unicode- Codierung nutzen. Der ANSI - Code enthält 256 Buchstaben (lateinische Buchstaben, Zahlen und Sonderzeichen), der unicode enthält derzeit knapp Buchstaben (zusätzlich zum ANSI noch asiatische und arabische Schriftzeichen, kyrillisch u.ä.). Auf diese Problematik gehen wir im praktischen Teil dieser Arbeit noch genauer ein. 14

15 2 Klassische kryptographische Verfahren In diesem Kapitel wollen wir auf einige klassische, symmetrische Kryptosysteme eingehen, die als Voraussetzung für gewisse Public - Key - Verfahren und für den DES - Algorithmus benötigt werden. Die Kryptographie ist eine sehr alte Wissenschaft. Ihre Anfänge gehen in die Anfänge der Schrifttechnik zurück. Es ist bekannt, dass die Ägypter Schriften verschlüsselten, indem sie spezielle Hieroglyphen benutzten. Berühmt ist auch die Cäsar-Verschlüsselung, die Julius Cäsar im Gallischen Krieg einsetzte. Diese Verfahren sind heutzutage natürlich nicht mehr sicher einzusetzen. Die Kryptoanalyse ist so weit fortgeschritten, dass man aufwendigere Verfahren benötigt, um Nachrichten für einen Angreifer unlesbar zu machen. Um einen möglichst umfassenden Überblick über die Geschichte der Kryptographie zu geben, wollen wir einige klassiche Systeme behandeln und aufzeigen. Das einfachste vorstellbare Verschlüsselungsverfahren ist die sogenannte Verschiebe - Chiffre (auch additive Chiffre). Dabei werden die Buchstaben des verwendeten Alphabetes um eine bestimmte Anzahl k von Positionen verschoben. Kryptosystem 2.1 (Verschiebe - Chiffre). Sei P = C = K = Z/26Z. Dann ist für x aus P, y aus C und k aus K: Bemerkung 2.2. e k (x) = (x + k) mod 26, d k (y) = (y k) mod Für k = 3 erhält man die bereits erwähnte Caesar - Verschlüsselung. 2. Für k = 13 erhält man das in Unix - Systemen bekannte Chiffrierverfahren ROT Es gibt 26 mögliche Schlüssel, da K = Z/26Z = 26. Ein weiteres klassisches Verfahren ist die Substitutionsverschlüsselung. Dabei wird jedem Buchstaben umkehrbar eindeutig ein anderer zugeordnet. Kryptosystem 2.3 (Substitutionsverschlüsselung). Sei P = C = Z/26Z, K = S

16 Für jede Permuation π K definieren wir: e π (x) = π(x), d π (y) = π 1 (y). Bemerkung 2.4. Für die Anzahl von Schlüsseln gilt K = 26!. Dies entspricht etwa der Zahl Die Substitutionsverschlüsselung ist ein wesentlicher Bestandteil des DES-Verfahrens, dass wir in Kapitel 3 kennenlernen werden. Kryptosystem 2.5 (Affine Verschlüsselung). Sei P = C = Z/26Z, K = (a, b) Z/26Z Z/26Z : ggt(a, 26) = 1. Für k = (a, b), und l = (a 1, b), definieren wir: Wir überzeugen uns, dass tatsächlich gilt. Bemerkung 2.6. e k (x) = (ax + b) mod 26, d l (y) = a 1 (y b) mod 26. d l (e k (x)) = a 1 (ax + b b) mod 26 = a 1 ax = a 1 a x = 1 x = x Die Forderung nach ggt(a, 26) = 1 garantiert uns die Existenz von a 1 in Z/26Z. Die Zahl kann mit dem erweiterten euklidischen Algorithmus berechnet werden. Die Anzahl von Zahlen a mit ggt(a, 26) = 1 ist gerade φ(26). Es gilt also K = 26 φ(26) = = 312. Kryptosystem 2.7 (Vignere - Verschlüsselung). Sei m N, m > 0, P = C = K = (Z/26Z) m. Für ein Klartextwort x = x 1, x 2,..., x m und ein Schlüsselwort k = k 1, k 2,..., k m definieren wir: e k (x 1, x 2,..., x m ) = (x 1 + k 1 ) mod 26, (x 2 + k 2 ) mod 26,..., (x m + k m ) mod 26, d k (y 1, y 2,..., y m ) = (y 1 k 1 ) mod 26, (y 2 k 2 ) mod 26,..., (y m k m ) mod

17 Beispiel 2.8. Dieses Kryptosystem wollen wir uns an einem Beispiel genauer ansehen. Zuerst wählen wir ein Schlüsselwort. Zu Ehren des Erfinders Blaise de Vignere ( ) wollen wir uns für vignere entscheiden. Als Folge von Zahlen modulo 26 erhalten wir dann k = 21, 8, 6, 13, 4, 17, 4. Das Schlüsselwort muss Sender und Empfänger bekannt sein und der Sicherheit wegen über einen geheimen Kanal übertragen werden. Um l(k) = m zu erreichen, wird das Schlüsselwort entsprechend hintereinander aufgeschrieben. Wir wollen den Text Kryptosystem verschlüsseln. Der Algorithmus ist im folgenden tabellarisch dargestellt: i Klartext K R Y P T O S Y S T E M x i Schlüsselwort V I G N E R E V I G N E k i x i + k i y i = (x i + k i ) mod Geheimtext F Z E C X F W T A Z R Q Tabelle 2.1: Verschlüsselung mit Vignere Kryptosystem 2.9 (Hill - Verschlüsselung). Sei m N, m 1, P = C = (Z/26Z) m und sei K = GL(m, Z/26Z), also die Menge der invertierbaren m m - Matrizen über dem Ring Z/26Z. Dann ist e k (x) = x k, Auch hierzu wollen wir ein Beispiel geben. d k (y) = y k 1. Beispiel Es sei m = 2 und das zu verschlüsselnde Wort sei DUAL. Als Folge von Zahlen modulo 26 erhalten wir 3, 20, 0, 11. Unser Klartextraum enthält also zwei Elemente x 1 = (3, 20) und x 2 = (0, 11). ( ) 3 4 Als Schlüssel wählen wir die Matrix k =. 2 5 Natürlich müssen wir uns überzeugen, dass k tatsächlich invertierbar ist. Es ist det(k) = 15 8 = 7. Es ist gcd(7, 26) = 1, also ist det(k) eine Einheit in Z/26Z. Somit ist k invertierbar. Wir erhalten k 1 = (det(k)) 1 ( ) = 15 ( ) = ( ). 17

18 Es ist weiterhin ( ) 3 4 e k (x 1 ) = x 1 k = (3, 20) = (23, 8) = y und ( ) 3 4 e k (x 2 ) = (0, 11) = (22, 3) = y Als Geheimtext ergibt sich also das Wort XIWD. Es sei dem Leser überlassen, die Entschlüsselung durchzuführen. Bemerkung Wir wollen nun Aussagen über die Anzahl möglicher Schlüssel k in 2.9 treffen. Dies ist äquivalent dazu, die Ordnung der Menge GL(m, Z/26Z) zu berechnen. Diese Zahl nennen wir ν m. Offensichtlich ist ν m < 26 2m. Es ist möglich, für ν m eine Formel herzuleiten, dies allerdings nur mit sehr großem Aufwand. Wir verweisen an dieser Stelle auf [1] und zitieren nur die Ergebnisse für m = 2, 3. Es gilt ν 2 = , ν 3 = Kryptosystem 2.12 (Permutations - Verschlüsselung). Sei m N, m 1, P = C = (Z/26Z) m und sei K die Menge aller Permutationen der Menge 1, 2,.., m auf sich. Dann definieren wir Bemerkung e π (x 1,..., x m ) = x π(1),..., x π(m), d π (y 1,..., y m ) = y π 1 (1),..., y π 1 (m). Die Verschlüsselung macht natürlich nur Sinn für m 2, ansonsten ist e die Identität. K = m! Die Permuations - Verschlüsselung ist ein Spezialfall der Hill - Verschlüsselung. Die benötigte Matrix k ist dann eine Permutationsmatrix. Die Permutationsverschlüsselung spielt eine große Rolle für das DES-Verfahren, dass wir in Kapitel 3 beschreiben. 18

19 2.1 Elemente der Kryptoanalyse Natürlich gibt es Wege und Techniken, Kryptosysteme zu brechen. Dieses Teilgebiet der Kryptographie wird als Kryptoanalyse bezeichnet. Dabei will man nicht, dass die Sicherheit eines Kryptosystems auf der Annahme beruht, dass der Angreifer nicht weiss, welches Verfahren zur Verschlüsselung benutzt wurde. Wir nehmen also an, dass stets bekannt ist, welches Kryptosystem verwendet wurde. Wir unterscheiden vier Arten von Angriffen oder Attacken: 1. ciphertext only attack Der Angreifer kennt eine begrenzte Menge von Geheimtexten und möchte daraus Schlüssel und Klartext rekonstruieren. 2. known plaintext attack Der Angreifer kennt eine begrenzte Menge von Geheimtexten und die zugehörigen Klartexte. 3. chosen plaintext attack Der Angreifer hat zeitweisen Zugriff auf die Verschlüsselungsfunktion e k, allerdings ohne den Schlüssel k direkt zu kennen. Er kann auf diese Weise zu einem Klartextwort das zugehörige Geheimtextwort berechnen. 4. chosen ciffertext attack Der Angreifer hat zeitweisen Zugriff auf die Entschlüsselungsfunktion d k, allerdings ohne den Schlüssel k direkt zu kennen. Er kann auf diese Weise zu einem Geheimtextwort das zugehörige Klartextwort berechnen. Wir betrachten die schwächste Form eines Angriffs auf ein Kryptosystem, die ciffertext only attack. Nehmen wir eimal an, wir haben einen Geheimtext abgefangen und wissen, dass er mit der Verschiebe - Ciffre verschlüsselt wurde. Der Einfachheit halber wollen wir ausserdem annehmen, dass das verwendete Alphabet alle Kleinbuchstaben ohne Sonderzeichen, ohne Umlaute und ohne das Leerzeichen enthält. Wir haben also genau 26 Buchstaben. Das abgefangene Geheimtextwort sei glhvlvwhlqjhkhlpwhawghuohlf kwcxhqwvf koxhvvhoqlvw. Wir können dann eine Häufigkeitsanalyse der auftretenden Buchstaben anfertigen und erhalten die in der Tabelle gelisteten Ergebnisse. 19

20 Buchstabe H h j 10 0,208 n 6 0,125 x 6 0,125 y 6 0,125 m 3 0,0625 q 3 0,0625 s 3 0,0625 h 2 0,042 i 2 0,042 z 2 0,042 c 1 0,021 e 1 0,021 l 1 0,021 r 1 0,021 w 1 0,021 Tabelle 2.2: Häufigkeiten der Buchstaben im Beispiel Wir wollen uns nun die Wahrscheinlichkeitsverteilung der Buchstaben im deutschen Alphabet ansehen. Diese Verteilung ist in der Abbildung auf der nächsten Seite zu sehen. Man sieht, dass e mit Abstand der häufigste Buchstabe im deutschen Alphabet ist. Wir können also vermuten, dass e auf j abgebildet wird, was dem Schlüssel k = 5 entspricht und erhalten somit das Klartextwort diesisteingeheimtextderleichtzuentschluesselnist. Die Häufigkeitsanalyse beschreibt übrigens schon Edgar Allen Poe in seiner Erzählung Der Goldkäfer, die wir dem Leser als Lektüre empfehlen. Eine Häufigkeitsanalyse führt zum Ziel, wenn gleiche Klartextbuchstaben auf gleiche Geheimtextbuchstaben abgebildet werden, die verwendete Chiffrierfunktion also injektiv mit Blocklänge eins ist. Solche Verfahren nennt man monoalphabetisch. Nicht monoalphabetische Systeme nennt man polyalphabetisch. Beispiel Die Substitution ist monoalphabetisch, das Vignere - Verfahren ist nicht monoalphabetisch. Das Hill - Verfahren ist monoalphabetisch für m = 1. Auch für Bigramme und Trigramme (Paare und Tripel von Buchstaben) ist eine Häufigkeitsanalyse sinnvoll. Eine weitere Möglichkeit ein Verfahren zu brechen, ist alle möglichen Schlüssel durchzuprobieren. Bei der Verschiebe - Chiffre mit nur 26 Möglichkeiten führt dies schnell zum Ziel. Bei einer Substitution mit K = 26! ist dies selbst für den leistungsstärksten Computer eine schwere und zeitintensive Aufgabe. Beim Hill - Verfahren führt eine known plaintext attack zum Ziel, wenn man die verwendete Blocklänge m kennt. 20

21 Abbildung 2.1: Häufigkeitsverteilung der Buchstaben im deutschen Alphabet Ist zum Beispiel m = 2 und ist e k (5, 1) = (7, 2), e k (7, 6) = (9, 3) ein Paar von abgefangenen known plaintexts, so erhalten wir die Gleichung ( ) k = ( die wir auf elementare Weise lösen können. Die Kryptoanalyse ist eine Wissenschaft für sich. Für weiterführende Informationen sei der Leser auf [1] oder auf [15] verwiesen ), 21

22 3 Das DES - Kryptosystem Wir haben im letzten Kapitel einige klassische symmetrische Verfahren kennengelernt, die jedoch für den professionellen Einsatz nicht sicher genug sind. Ein moderneres symmetrisches Kryptosystem ist DES. Der DES (Data Encryption Standard) wurde 1975 von IBM aufrund einer Ausschreibung veröffentlicht und im Januar 1977 von der US - Regierung als Verschlüsselungsstandard für nicht geheime Nachrichten genormt. Eigentlich sollte DES nur 10 bis 15 Jahre bestehen, wurde jedoch nach weiteren Überprüfungen bis 1999 stets als Standard fortgeschrieben. DES wird und wurde z.b. von Banken oder in Internet Browsern verwendet. Mittlerweile gilt das Verfahren jedoch als veraltet gelang es mit einem Grossrechner in 56 Stunden alle möglichen Schlüssel durchzuprobieren und so das Verfahren zu brechen. Es ist nur noch eine Frage der Zeit, bis dies auch mit einem handelsüblichen PC möglich ist. Die Architektur des DES - Verfahrens unterliegt einer strengen Geheimhaltung. Es ist nicht bekannt, warum die einzelnen Chiffrierschritte so und nicht anders gewählt wurden. Kritiker vermuten sogar, dass durch die Beteiligung des amerikanischen Geheimdienstes N SA an der Abfassung der Algorithmen, eine Falltür existiert, die es der NSA ermöglicht, den gesamten verschlüsselten Datenverkehr mitzulesen. Dies ist jedoch nicht bewiesen und ausserdem unwahrscheinlich. Um die Sicherheit von DES zu erhöhen, wurde noch eine Variante entwickelt, das sogenannte tripel - DES, eine Art Dreifachverschlüsselung mit verschiedenen Schlüsseln. 3.1 Feistel - Chiffren Der DES benutzt eine sogenannte Feistel - Chiffre, die wir im folgenden beschreiben wollen. Kryptosystem 3.1 (Feistel - Chiffre). Wir betrachten ein Klartextwort in seiner Binärdarstellung, d.h. als Wort der Länge n über dem Alphabet A = 0, 1, n sei durch 2 teilbar, also n = 2t, t N \ 0. Es ist also P = (Z/2Z) 2t = C. Weiterhin sei f k die Verschlüsselungsfunktion für eine Blockchiffre, die interne Blockchiffre zum Schlüssel k genannt wird. Es sei r 1 die Rundenzahl und k 1,, k r eine Folge von Rundenschlüsseln, die aus einem Initialschlüssel k 0 K konstruiert wird. Ein Klartextwort p P teilen wir in zwei Hälften, so dass P = (L 0, R 0 ), mit l(l 0 ) = l(r 0 ) = t. L 0 bezeichnet die linke Hälfte, R 0 die rechte Hälfte von p. 22

23 Für eine Folge (L i, R i ) r i=1 mit definieren wir (L i, R i ) = (R i 1, L i 1 f ki (R i 1 )) (3.1) e k0 (p) = e k0 (L 0, R 0 ) := (R r, L r ). (3.2) Aus Gleichung 3.1 folgt unmittelbar R i 1 = L i. Weiterhin folgt Die Feistel - Chiffre kann also mittels R i = L i 1 f ki (R i 1 ) R i = L i 1 f ki (L i ) R i f ki (L i ) = L i 1. (R i 1, L i 1 ) = (L i, R i f ki (L i )) korrekt entschlüsselt werden, was einer Anwendung mit umgekehrter Schlüsselfolge k r,, k 1 auf den Schlüsseltext entspricht. 3.2 Der Data Encryption Standard (DES) Der DES ist eine Feistel - Chiffre mit 16 Runden und einer Blocklänge n = 64. Es werden also Binärblöcke von 64 Bit auf Binärblöcke von 64 Bit abgebildet. Als Initialschlüssel werden Binärblöcke der Länge 56 verwendet, wobei jeweils noch acht Paritätsbits hinzukommen - wenn man den Schlüssel in acht Bytes zerlegt, so wird jedes achte Bit derart ergänzt, das die Quersumme im betreffenden Byte ungerade ist. Auf diese Weise werden Übertragungsfehler u.ä. ausgeschlossen. Insgesamt stellen wir folgendes fest: Kryptosystem 3.2 (DES). Es sei P = C = (Z/2Z) 64, 8 K = (a 1, a 2,, a 64 ) (Z/2Z) 64 : a 8l+i 1 mod 2, 0 l 7. i=1 Die Verschlüsselung wird nun schrittweise durchgeführt. 1. Der Klartextblock wird einer festen Initialpermutation IP unterzogen. Diese lautet tabellarisch dargestellt folgendermassen: IP :

24 Wir haben also eine initiale Permutationsverschlüsselung p IP (p), p 1, p 1,, p 64 p 58, p 50, p 42,, p 7. Wir können weiterhin die zu IP inverse Permutation IP 1 angeben. Diese lautet: IP : Die 16 Rundenschlüssel k i, 1 i 16 werden aus dem Initialschlüssel k 0 konstruiert. Dazu werden die kryptographisch relevanten Bits aus k 0 mit Hilfe der Funktion P C1 (permuted choice 1) permutiert und in zwei Teilwörter der Länge 28 aufgespalten: P C1 : P C1 : (Z/2Z) 56 (Z/2Z) 28 (Z/2Z) 28, Wir definieren eine Zahl v i durch, k 0 (C 0, D 0 ) = c 57, c 49,, d 12, d 4. v i = 1, falls i 1, 2, 9, 16 2, sonst. Wir erhalten k i = P C2(C i, D i ), wobei P C2 die unten dargestellte Permutation ist, nachdem man die Bits 9,18, 22, 25, 35, 38, 43 und 56 aus dem Wort entfernt hat. Man erhält C i aus C i 1, in dem man die Bits in C i 1 zyklisch um v i Stellen links verschiebt. D i erhält man durch zyklische Rechtsverschiebung um v i Stellen aus D i 1. Die Permutation P C2 lautet: P C2 :

25 3. Auf die initiale Permutation IP wird eine 16 - Runden - Feistel - Chiffre angewendet. Dies geschieht mit Hilfe der internen Blockchiffre f k, die aus mehreren Komponenten besteht. Zuerst wird die Eingabe (R i 1 ) durch eine Expansionsabbildung E auf einen 48 Bit Block E(R i 1 ) erweitert. Dies geschieht mittels also E : E : (Z/2Z) 32 (Z/2Z) 48,, R i 1 = R 1, R 2,, R 32 R 32, R 1, R 32, R 1. Das Ergebnis wird mit k i bitweise addiert. Wir erhalten einen Block B = E(R i 1 ) k i. Das Wort B wird in acht Blöcke der Länge sechs zerlegt. Wir erhalten B = B 1, B 2,, B Die Teilwörter B i werden jeweils mithilfe einer S - Box (S für Substitution) genannten Funktion S i auf die Länge vier komprimiert. Wir können eine solche S - Box wieder tabellarisch darstellen. Wir werden nur die Funktion S 1 beschreiben. Die anderen S - Boxes findet man beispielsweise in [7]. S 1 : Wir finden für B i = b 1,, b 6 den Wert C i := S i (B i ) in Zeile l = b 1 b 6 und in Spalte j = b 2 b 3 b 4 b 5, wobei man l und j als Binärzahlen auffasst (Spalten- und Zeilenindex beginnen bei 0). Sei zum Beispiel B 1 = , so ist C 1 := S 1 (B 1 ) = 1001, da 00 2 = 0 10 und = Für Index (0, 13) finden wir in der Tabelle die Zahl 9 10 = Durch Konkenation der C i erhalten wir ein Wort C = C 1, C 2,, C 8 der Länge

26 5. Das Wort C wird der Permutation P unterworfen, die wie folgt aussieht: P : Das Ergebnis ist P (C) = (L 16, R 16 ) = f k. Die Teilwörter L 16 und R 16 werden vertauscht und das erhaltene Wort der inversen Initialpermutation IP 1 unterzogen. Die Entschlüsselung erfolgt durch Anwendung des DES mit umgekehrter Schlüsselfolge. Wir geben noch einen grafischen Überblick über die Funktionsweise dieses Verfahrens:. Abbildung 3.1: DES - Standard 26

27 Abbildung 3.2: Die Funktion f k 27

28 4 Public-Key-Kryptosysteme In diesem Kapitel werden wir, als exemplarische Vertreter für assymmetrische bzw. Public - Key - Kryptosysteme, RSA- und ElGamal - Verschlüsselung behandeln. Wir werden zeigen, wie diese Kryptosystem über Restklassengruppen implementiert werden können und danach sehen, dass das ElGamal - Verfahren (RSA übrigens auch) über beliebigen zyklischen Gruppen definiert werden kann. Wir werden auch in Ansätzen behandeln, wie diese Verfahren gebrochen werden können und Vor- und Nachteile aufzeigen. Bisher haben wir symmetrische Kryptosysteme betrachtet, die den Nachteil haben, dass der Schlüssel k über einen geheimen Kanal ausgetauscht werden muss. Auch beim DES - Standard, den wir im letzten Kapitel betrachtet haben, besteht dieses Problem. In den siebziger Jahren des 20. Jahrhunderts wurde die Datenverschlüsselung immer wichtiger. Wenn beispielsweise eine Bank mit einem Kunden per Telefon oder per Computer kommunizieren wollte, schickte sie einen eigenen vertrauenswürdigen Boten, der mit abgeschlossenem Aktenkoffer den Schlüssel an den Kunden verteilte. Mit der Zeit wurde dieses Prinzip zu einem logistischen und finanziellen Desaster. Das amerikanische Militär gründete sogar eine Behörde (COMSEC - Communications Security), die die Schlüssel von Regierung und Militär verwaltet und verteilt. In den siebziger Jahren wurden buchstäblich schiffeweise Schlüssel auf Lochkarten, Lochstreifen, Disketten und anderen Datenträgern verschickt. Nehmen wir einmal an, dass n Personen in einem Netzwerk miteinander kommunizieren wollen. Es müssen dann je zwei Personen geheim einen Schlüssel austauschen. Insgesamt sind dies n(n 1) zu übertragene Schlüssel. Heutzutage, wo die Anzahl der Internetnutzer 2 knapp an der Milliardengrenze liegt, ist dies nahezu unmöglich. Die Antwort auf dieses Problem lautet Public-Key-Kryptographie. Dabei besitzt jeder Teilnehmer einen öffenlichen Schlüssel und einen privaten Schlüssel. Will beispielsweise Person A eine Nachricht x an Person B übermitteln, so verschlüsselt A x mit dem öffentlichen Schlüssel von B. Nur B ist in der Lage, die verschlüsselte Nachricht zu entschlüsseln. Dies ist ihm mit Hilfe seines privaten Schlüssels möglich. Bevor wir uns jedoch damit befassen, wollen wir sehen, wie man über einen unsicheren Kanal einen Schlüssel austauschen kann. Das erste Modell wurde 1976 von Diffie, Hellmann und Merkle der Öffentlichkeit vorgestellt. 28

29 4.1 Diffie-Hellmann-Schlüsselvereinbarung Das diskrete Logarithmus Problem (DL - Problem) Wir beginnen mit einem Problem, das für das Verständnis des Diffie - Hellman - Prinzips und des ElGamal - Kryptosystems benötigt wird. Es sei (G, ) eine endliche Gruppe, die wir multiplikativ schreiben und α G mit ord G (α) = n. Wir betrachten die von α erzeugte zyklische Untergruppe α := α i : 0 i n 1. Für ein β α gilt dann β = α l für ein l 0,, n 1. Die Zahl l bezeichnen wir als diskreten Logarithmus von β zur Basis α, die Suche nach l als diskretes Logarithmus Problem. Für die Kryptographie interessant sind solche Gruppen G und solche Gruppenelemente α für die zwar die Exponentation einfach zu bewerkstelligen, das DL - Problem aber schwer zu lösen ist. Schwer zu lösen heisst dabei, dass es in absehbarer Zeit unmöglich ist, l zu berechnen. Es ist klar, dass ord G (α) hinreichend groß sein muss, sonst wäre es leicht alle Elemente von α durchzuprobieren. Beispiel 4.1. Wir betrachten die Gruppe (Z/mZ, +). Zyklisch erzeugende sind α Z/mZ mit gcd(α, m) = 1. Für β 0,, m 1, genügt der diskrete Logarithmus l zur Basis α der Kongruenz β = α l bzw. β α l mod m. Die Zahl l kann effizient mit dem erweiterten euklidischen Algorithmus berechnet werden. In der Gruppe (Z/mZ, +) ist das DL - Problem also einfach zu lösen. Definition 4.2 (Diffie-Hellman-Schlüsselvereinbarung). Beide Teilnehmer benötigen eine Primzahl p und eine natürliche Zahl g. Diese Zahlen sind öffentlich. Teilnehmer A wählt zusätzlich eine geheime Zahl a, B wählt eine geheime Zahl b. A berechnet α = g a mod p. B berechnet β = g b mod p. Die Zahlen α und β werden ausgetauscht. Dann berechnet A den Wert β a mod p, B berechnet α b mod p. 29

30 Dabei gilt β a mod p = (g b ) a mod p = g ab mod p = (g a ) b mod p = α b mod p. Die erhaltenen Werte sind also gleich. Dieser Wert k kann jetzt zum Beispiel mit einem symmetrischen Kryptosystem eingesetzt werden. Es ist keine effektive Methode bekannt, in (Z/pZ) diskrete Logarithmen zu berechnen Diffie-Hellmann-Problem Ein Angreifer kann die Zahlen α und β abhören (p und g sind ihm auch bekannt), es ist jedoch keine Methode bekannt, daraus auf den Wert k zu schließen. Dieses Problem ist also äquivalent dazu, den diskreten Logarithmus a b bezüglich der Gleichung k = g a b mod p zu berechnen. Das Problem, den Wert k aus den obigen Daten zu berechnen, bezeichnet man als Diffie-Hellman-Problem. 4.2 Das RSA - Kryptosystem Das RSA - Verfahren, benannt nach seinen Erfindern Rivest, Shamir, Adleman, ist das derzeit am weitesten verbreitete assymmetrische Kryptosystem. Es wurde im Jahre 1977 vorgestellt und basiert auf der Vermutung, dass die Funktion f : P P N, (p, q) p q eine Einwegfunktion ist, also eine Funktion, die schwer zu invertieren ist. RSA wird in vielen Verfahren und Protokollen eingesetzt, so z.b. im SSL-Protokoll, das in Internet- Browsern verwendet wird. Kryptosystem 4.3 (RSA). Sei n = pq, wobei p und q Primzahlen sind. Sei weiterhin P = C = Z/nZ und K = (n, p, q, a, b) : ab 1 mod ϕ(n). Dann definieren wir für k = (n, p, q, a, b) und x Z/nZ: e k (x) = x b mod n, d k (y) = y a mod n. Die Zahlen n und b bilden den öffentlichen Schlüssel, die Werte p, q, und a bilden den privaten Schlüssel RSA - Parametergenerierung: Diesen Algorithmus muss der Nachrichtenempfänger B zur Generierung der erforderlichen Parameter ausführen. 30

31 1. Generierung von zwei grossen Primzahlen p und q. 2. n pq und ϕ(n) (p 1)(q 1). 3. Auswahl einer Zahl b (1 < b < ϕ(n)), derart dass ggt(b, ϕ(n)) = a b 1 mod ϕ(n). Diese Zahl exisiert nach Der öffentliche Schlüssel ist (n, b), der private Schlüssel ist (p, q, a). Beispiel 4.4. Wir wollen dazu ein Beispiel betrachten. Nehmen wir an, Person A will die Zahl 8 übermitteln. Der Empfänger B muss dazu die obige Parametergenerierung durchführen. Als Beispiel betrachten wir 1. p := 17, q := Daraus folgt n = 187, ϕ(n) = Es ist gcd(13, 160) = 1, also sei b := Nun bestimmen wir a mit a b 1 mod 160. Nach Satz 1.28 ist a = b ϕ(n) 1, also a mod 160. Wir bestimmen a folgendermassen: Es ist 159 = Also ist ( ) ( ) mod 160. Es ist also a = Der öffentliche Schlüssel von B besteht aus den Zahlen 187 und 13. Der private Schlüssel von B besteht aus den Zahlen 17, 11 und 37. Nach der Parametergenerierung veröffentlicht B seinen öffentlichen Schlüssel. A verschlüsselt die Nachricht 8 durch e k (8) = x b mod n = 8 13 mod 187 = 94. B kann die verschlüsselte Nachricht y = 94 entschlüsseln mit d k (94) = mod 187 = 8. 31

32 Nach diesem Beispiel wollen wir das Verfahren eingehender untersuchen. Wir müssen zeigen, dass es sich bei RSA tatsächlich um ein Kryptosystem handelt, also dass ist. d k (e k (x)) = x Lemma 4.5. Es seien m 1, m 2 N, gcd(m 1, m 2 ) = 1 und x, y Z. Falls so gilt auch x y mod m 1 und x y mod m 2, x y mod m 1 m 2. Beweis. Es ist x = y + k 1 m 1 und x = y + k 2 m 2 mit k 1, k 2 Z, nach Voraussetzung, insbesondere also k 1 m 1 = k 2 m 2. Daraus folgt k 1 = k 2 m 2 m 1. Da k 2 Z und gcd(m 1, m 2 ) = 1, gilt m 1 k 2 und somit k 2 = `km 1 für ein `k Z. Wir erhalten x = y + `k m 1 m 2 und damit die Behauptung. Satz 4.6. Mit n, a, b, x aus 4.3 gilt (x b ) a x mod n. Beweis. Es ist a b 1 mod ϕ(n), also a b = k ϕ(n) + 1. Wir unterscheiden vier Fälle: 1. Fall: gcd(x, n) = 1. Dann ist x ab = x k ϕ(n)+1 = x k ϕ(n) x x mod n nach Satz Fall: gcd(x, n) = p. Dann ist gcd(x, q) = 1 und somit x (Z/qZ). Außerdem ist x = l p für ein l N. Es ist also x a b = x k ϕ(n)+1 = x k(p 1)(q 1) x = (x q 1 ) k(p 1) x 1 x x mod q. Außerdem ist x a b = (l p) ab 0 x mod p. Nach Lemma 4.5 gilt dann die Kongruenz x a b x mod p q. 3. Fall: gcd(x, n) = q ist analog zu Fall 2 zu beweisen. 4. Fall: gcd(x, n) = n. Dann ist x a b 0 x mod n. 32

33 Die Sicherheit des RSA - Verfahrens beruht auf der Vermutung, dass die Faktorisierung von n = p q schwer zu bewerkstelligen ist. Gelänge es nämlich, die Zahl n in ihre Primfaktoren zu zerlegen, so wäre die Berechnung von ϕ(n) möglich und damit auch die Berechnung des privaten Schlüssels a. Allerdings konnte diese Vermutung bisher nicht bewiesen werden. Sollte sich herausstellen, dass es doch möglich ist, das Faktorisierungsproblem effizient zu lösen, so ist RSA nicht mehr sicher. Naürlich muss n gross genug sein. Es gibt Faktorisierungsalgorithmen, die in der Lage sind 512 Bit grosse Zahlen zu faktorisieren. Im Moment gilt ein RSA - Modul von 1024 Bit als sicher. Wir wollen nun darauf eingehen, wie man Texte mit RSA verschlüsseln kann. Es ist natürlich sinnlos, jeden Buchstaben einzeln zu verschlüsseln. Dies wäre äquivalent zu einer Substitution und würde die Möglichkeit einer Häufigkeitsanalyse eröffnen. Es sei N = X die Anzahl der Buchstaben im Alphabet X. Dann können wir X durch die Menge 0, 1,, N 1 darstellen. Die Blocklänge ist dann wobei [ ] : R Z, l = [log N (n)], x maxy Z : y x die sogenannte Gaussklammer (auch Entierfunktion) ist. Ein Klartextwort p = p 1,, p l ; p i 0, 1,, N 1 entwickeln wir in die Zahl Es gilt dann l x = p i N l i. i=1 l 0 x (N 1) N l i = (N 1)(N l 1 + N l N 1 + N 0 ) i=1 = N l 1 = N [log N (n)] 1 < N log N (n) = n 1 < n. Wir fassen also die Buchstaben p 1 bis p i als Ziffern einer Zahl zur Basis N auf. Diese Darstellung ist eindeutig. x wird nun verschlüsselt, indem y = x b mod n berechnet wird. Die Zahl y wird dann wieder zur Basis N entwickelt und wir erhalten k c = c i N k i, c i X. i=0 Das Schlüsseltextwort ist c = c 0, c 1,, c l. Man beachte das dadurch Blöcke der Länge l auf Blöcke der Länge l + 1 abgebildet werden. Wir haben nun alle Grundlagen für die Implementation von RSA gelegt. Dies wollen wir in Kapitel 6 auch tun. 33

34 4.3 Das ElGamal - Kryptosystem Dieses Verschlüsselungsverfahren wurde 1985 von Taher ElGamal in seiner Dissertation veröffentlicht. Es beruht auf dem DL Problem, nutzt das Diffie-Hellmann-Protokoll und war daher lange Zeit patentiert und somit lizenzpflichtig. Dies ist auch der Grund, warum es trotz seiner Vorteile weniger weit verbreitet ist. Mittlerweile ist das Patent ausgelaufen und die Bedeutung steigt. Dies liegt daran, dass man nicht auf eine bestimmte Gruppe angewiesen ist. Wir beschreiben in diesem Abschnitt den Algorithmus über (Z/pZ). Wir könnten jedoch jede beliebige zyklische Gruppe verwenden. Das Verfahren ist also sehr flexibel. Findet jemand einen Algorithmus, der das DL Problem in einer bestimmten Gruppe löst, so nutzt man das Verfahren eben über einer anderen Gruppe. Das ElGamal-Kryptosystem wird z.b. in dem sehr beliebten Programm PGP eingesetzt. Kryptosystem 4.7 (ElGamal - Kryptosystem über (Z/pZ) ). Es sei p eine Primzahl derart, dass das DL - Problem in (Z/pZ) schwer zu lösen ist und w (Z/pZ) eine primitive Wurzel. Dann ist P = (Z/pZ), C = (Z/pZ) (Z/pZ) und K = (p, w, a, α) mit a 0,, p 2, α w a mod p. p, w, α bilden den öffentlichen Schlüssel, a ist der private Schlüssel. Für k = (p, w, a, α) und eine zufällig gewählte Zahl b 1,, p 2 definieren wir e k (x, b) = (β, y), wobei und Es ist β w b mod p, y α b x mod p d k (β, y) = β p 1 a y mod p. d k (β, y) β p 1 a y w b(p 1 a) y (w p 1 ) b (w a ) b α b x 1 α b α b x x mod p. Die Nachricht wird also korrekt entschlüsselt. Die Zahlen β und α sind die jeweiligen Anteile beim Diffie - Hellmann - Schlüsselaustausch. Beispiel 4.8. Wir wollen auch für dieses Kryptosystem zum besseren Verständnis ein Beispiel angeben. Nehmen wir wieder an, Person B will an Person A eine Nachricht schicken. Es sei dies beispielsweise x = 7. A muss eine Schlüsselgenerierung durchführen. A wählt eine große Primzahl p, eine zufällige Zahl 0 a p 2, eine primitive Wurzel w (Z/pZ) und berechnet ihren Diffie - Hellman - Schlüsselanteil α = w a mod p. 34