Einführung in die Kryptographie

Transkript

1 Johannes Buchmann Einführung in die Kryptographie 6., überarbeitete Auflage ~ Springer Spektrum

2 Inhaltsverzeichnis 1 Grundlagen Ganze Zahlen l. l.l Grundbegriffe und Eigenschaften l l. l.2 Vollständige Induktion Konvention Teilbarkeit Darstellung ganzer Zahlen l.l.6 Größter gemeinsamer Teiler Zerlegung in Primzahlen Wahrscheinlichkeit l Grundbegriffe Bedingte Wahrscheinlichkeit Zufallsvariablen l Geburtstagsparadox Algorithmen l Grundbegriffe Zustandsbehaftete Algorithmen Probabilitistische Algorithmen Asymptotische Notation Laufzeit von deterministischen Algorithmen Laufzeit von probabilistischen Algorithmen Durchschnittliche Laufzeit Berechnungsprobleme Algorithmen für ganze Zahlen l Addition, Multiplikation und Division mit Rest Euklidischer Algorithmus Erweiterter euklidischer Algorithmus Analyse des erweiterten euklidischen Algorithmus Übungen XIX

3 XX Inhaltsverzeichnis 2 Kongruenzen und Restklassenringe Kongruenzen Halbgruppen Gruppen Restklassenringe Körper Division im Restklassenring Rechenzeit für die Operationen im Restklassenring Prime Restklassengruppen Ordnung von Gruppenelementen Untergruppen Der kleine Satz von Fermat Schnelle Exponentiation Schnelle Auswertung von Potenzprodukten Berechnung von Elementordnungen Der Chinesische Restsatz Zerlegung des Restklassenrings Bestimmung der Eulerschen q;-funktion Polynome Polynome über Körpern Konstruktion endlicher Körper Struktur der Einheitengruppe endlicher Körper Struktur der primen Restklassengruppe nach einer Primzahl Quadratische Reste Übungen Verschlüsselung Symmetrische Verschlüsselungsverfahren Verschiebungschiffre Asymmetrische Verschlüsselungsverfahren Sicherheit von Verschlüsselungsverfahren Angriffsziele Angriffstypen Alphabete und Wörter Permutationen Blockchiffren Permutationschiffren Mehrfachverschlüsselung Verschlüsselungsmodi ECB-Mode CBC-Mode CFB-Mode OFB-Mode

4 Inhaltsverzeichnis XXI 3.11 CTR-Mode Stromchiffren Typen von Stromchiffren Rückgekoppelte Schieberegister Die affine Chiffre Matrizen und lineare Abbildungen Matrizen über Ringen Produkt von Matrizen mit Vektoren Summe und Produkt von Matrizen Der Matrizenring Determinante Inverse von Matrizen Affin lineare Funktionen Affin lineare Blockchiffren Vigenere, Hill- und Permutationschiffre Kryptoanalyse affin linearer Blockchiffren Sichere Blockchiffren l Konfusion und Diffusion Time-Memory Trade-Off... : Differentielle Kryptoanalyse Algebraische Kryptoanalyse Übungen SicherheitsmodeUe Perfekte Geheimhaltung Das Vemam-One-Time-Pad Semantische Sicherheit Chosen-Plaintext-Sicherheit Chosen-Ciphertext-Sicherheit Übungen S Der DES-Algorithmus Feistel-Chiffren Der DES-Algorithmus l Klartext- und Schlüsselraum Die initiale Permutation Die interne Blockchiffre Die S-Boxen Die Rundenschlüssel Entschlüsselung Ein Beispiel für DES

5 XXII Inhaltsverzeichnis 5.4 Sicherheit des DES Übungen Der AES-Algorithmus Bezeichnungen Cipher Identifikation der Bytes mit Elementen von GF(2 8 ) SubBytes Shif trows MixColumns AddRoundKey KeyExpansion Ein Beispiel InvCipher Übungen Primzahlerzeugung Probedivision Der Fermat-Test Carmichael-Zahlen Der Miller-Rabin-Test Zufällige Wahl von Primzahlen Übungen Public-Key Verschlüsselung Idee Definition Sicherheit Das RSA-Verfahren Schlüsselerzeugung Verschlüsselung Entschlüsselung Sicherheit des privaten Schlüssels Auswahl von p und q Auswahl von e Auswahl von d Performanz Multiplikativität Sichere Verwendung Verallgemeinerung Das Rabin-Verschlüsselungsverfahren Schlüsselerzeugung Verschlüsselung

6 Inhaltsverzeichnis XXIII Entschlüsselung Effizienz Sicherheit Ein Chosen-Ciphertext-Angriff Sichere Verwendung Sicherheitsmodelle Chosen-Plaintext-Sicherheit Chosen-Ciphertext-Sicherheit Sicherheitsbeweise Diffie-Hellman-Schlüsselaustausch l Diskrete Logarithmen Schlüsselaustausch Das Diffie-Hellman-Problem Auswahl von p Man-ln-The-Middle-Angriff Andere Gruppen Das EIGamal-Verschlüsselungsverfahren Schlüsselerzeugung Verschlüsselung Entschlüsselung Effizienz EIGamal und Diffie-Hellman Parameterwahl Chosen-Plaintext-Sicherheit Chosen-Ciphertext-Sicherheit Homomorphie Verallgemeinerung Übungen Faktorisierung Probedivison Die p - 1-Methode Das Quadratische Sieb Das Prinzip Bestimmung von x und y Auswahl geeigneter Kongruenzen Das Sieb Analyse des Quadratischen Siebs Effizienz anderer Faktorisierungsverfahren Übungen

7 XXIV Inhaltsverzeichnis 10 Diskrete Logarithmen l Das DL-Problem Enumeration Shanks Babystep-Giantstep-A1gorithmus Der Pollard-p-A1gorithmus Der Pohlig-Hellman-AJgorithmus Reduktion auf Primzahlpotenzordnung Reduktion auf Primzahlordnung Gesamtalgorithmus und Analyse Index-Calculus Idee Diskrete Logarithmen der Faktorbasiselemente Individuelle Logarithmen Analyse Andere Algorithmen Verallgemeinerung des lndex-calculus-verfahrens Übungen Hashfunktionen und MACS Hashfunktionen und Kompressionsfunktionen Geburtstagsangriff Kompressionsfunktionen aus Verschlüsselungsfunktionen Hashfunktionen aus Kompressionsfunktionen SHA Eine arithmetische Kompressionsfunktion Message Authentication Codes Übungen Digitale Signaturen l Idee Definition Das Lamport-Diffie-Einmal-Signaturverfahren l Schlüsselerzeugung Signatur Verifikation Sicherheit Angriffsziele Angriffstypen RSA-Signaturen Schlüsselerzeugung Signatur Verifikation

8 Inhaltsverzeichnis XXV Angriffe Signatur von Nachrichten mit Redundanz Signatur mit Hashwert Wahl von p und q Sichere Verwendung Signaturen aus Public-Key-Verfahren ElGamal-Signatur Schlüsselerzeugung Signatur Verifikation Die Wahl von p Die Wahl vonk Existentielle Fälschungen Performanz Sichere Verwendung Verallgemeinerung Der Digital Signature Algorithm (DSA) Schlüsselerzeugung Signatur Verifikation Performanz Sicherheit Das Merkle-Signaturverfahren Initialisierung Schlüsselerzeugung Signatur Verifikation Verbesserungen Sicherheitsmodelle Grundlagen RSA ElGamal Lamport-Diffie-Eirunal-Signatur Merkte-Verfahren Übungen Andere Gruppen Endliche Körper Elliptische Kurven Definition Gruppenstruktur

9 XXVI Inhaltsverzeichnis Kryptographisch sichere Kurven Vorteile von EC-Kryptographie Quadratische Formen Übungen Identifikation Anwendungen Passwörter Einmal-Passwörter Challenge-Response-Identifikation Verwendung von Public-Key-Kryptographie Zero-Knowledge-Beweise Übungen Secret Sharing Prinzip Das Shamir-Secret-Sharing-Protokoll Initialisierung Verteilung der Geheimnisteile Rekonstruktion des Geheimnisses Sicherheit Übungen Public-Key-Infrastrukturen Persönliche Sicherheitsumgebung Bedeutung Implementierung Darstellungsproblem Zertifizierungsstellen l Registrierung Schlüsselerzeugung Zertifizierung Archivierung S Personalisierung der PSE Verzeichnisdienst Schlüssel-Update Widerruf von Zertifikaten Zugriff auf ungültige Schlüssel Zertifikatsketten Lösungen der Übungsaufgaben Literatur Sachverzeichnis