Verschlüsselung. Chiffrat. Eve

Transkript

1 Das RSA Verfahren

2 Verschlüsselung m Chiffrat m k k Eve?

3 Verschlüsselung m Chiffrat m k k Eve? Aber wie verteilt man die Schlüssel?

4 Die Mafia-Methode Sender Empfänger Der Sender verwendet keine Verschlüsselung Eve Der Empfänger kann sein eigenes Störsignal abziehen. Eve erlauscht nur Rauschen Kryptographie ohne Schlüssel

5 Die Mafia-Methode Sender Empfänger Der Sender verwendet keine Verschlüsselung Eve Der Empfänger kann sein eigenes Störsignal abziehen. Eve kann die Signale unterscheiden Heute unsicher, aber sie motivierte eine faszinierende Lösung...

6 Public-Key-Kryptographie Asymmetrisch wie ein Briefkasten: RSA Verschlüsselung c = m e mod N Entschlüsselung m = c d mod N Public Key: (e,n) Secret Key: d

7 Grundlagen Eine Gruppe ist eine Menge G zusammen mit einer Verknüpfung, die assoziativ ist und g G zu jedem g G gibt es ein g -1 mit g -1 g = 1. Zu jeder Untergruppe U G gibt es eine Nebenklassenzerlegung: G = U gu hu... x 1... y g gx gy... h hx hy also gilt U teilt G

8 Grundlagen also gilt U teilt G x 3 x4... x 2 x 1... Ein Element x erzeugt eine Untergruppe U und x U = 1. Wegen U teilt G ist x G = 1 und für jedes m = 1 mod G gilt x m = x. Kleiner Satz von Fermat

9 Grundlagen Für N = p. q bildet die Menge der Zahlen < N, die teilerfremd zu N sind, zusammen mit der Multiplikation eine Gruppe mit (p-1)(q-1) Elementen: Z * NZ Assoziativität: x x mod N ist ein Homomorphismus. Inverse Gruppenenlemente: für x mit ggt(x,n) = 1 existieren s,t mit s. x + t. N = 1, denn der ggt läßt sich linearkombinieren (ELBA). modulo N ist t. N gleich Null und s. x = 1 mod N. Also s = x -1 mod N.

10 Die RSA-Funktion N = pq sei Produkt von zwei Primzahlen und e mit ggt(e, (p-1)(q-1)) = 1. Dann gilt: Z * x x e mod N ist eine Permutation auf NZ Angenommen es gäbe zwei e-te Wurzeln y,z von x so wäre (y/z) e = 1 und es gäbe eine Untergruppe, deren Ordnung e teilt. Aber die Ordnung einer Untergruppe teilt immer die Gruppenordnung (p-1)(q-1).

11 Die RSA-Funktion N = pq sei Produkt von zwei Primzahlen und e mit ggt(e, (p-1)(q-1)) = 1. Dann gilt: Z * x x e mod N ist eine Permutation auf NZ Angenommen es gäbe zwei e-te Wurzeln y,z von x so wäre (y/z) e = 1 und es gäbe eine Untergruppe, e deren Ordnung e teilt. Aber die Ordnung RSA-Annahme: x x mod N ist ohne zusätzliche Information und für einer Untergruppe teilt immer die zufällige Gruppenordnung Eingaben schwierig (p-1)(q-1) zu. invertieren. Ob dies genauso schwierig ist wie das Faktorisieren von N ist ein offenes Problem.

12 Die Falltür (Das Hintertürchen) Mit der Faktorisierung von N = pq, kennt man die Gruppenordnung (p-1)(q-1). Es gilt ggt(e, (p-1)(q-1)) = 1 und es gibt eine Linearkombination des ggt. Es gibt also d,c mit d. e+c. (p-1)(q-1) = 1. Diese findet man mit ELBA. Modulo (p-1)(q-1) ist c. (p-1)(q-1) gleich Null und: d. e = 1 mod (p-1)(q-1). Gemäß dem kleinen Fermat gilt: x ed = x mod N

13 Die Falltür (Das Hintertürchen) Mit der Faktorisierung von N = pq, kennt man die Gruppenordnung (p-1)(q-1). Es gilt ggt(e, (p-1)(q-1)) = 1 und es gibt eine Linearkombination des ggt. Es gibt also d,c mit d. e+c. (p-1)(q-1) = 1. Diese findet man mit ELBA. Modulo (p-1)(q-1) ist c. (p-1)(q-1) gleich Null und: d. e = 1 mod (p-1)(q-1). Gemäß dem kleinen Fermat gilt: x ed = x mod N x x e Öffentlicher Schlüssel (e,n). Verschlüsseln: mod N Privater Schlüssel d. Entschlüsseln: (x e ) d = x ed = x mod N

14 Die Falltür (Das Hintertürchen) Mit der Faktorisierung von N = pq, kennt man die Gruppenordnung (p-1)(q-1). Es gilt ggt(e, (p-1)(q-1)) = 1 und es gibt eine Linearkombination des ggt. Es gibt also d,c mit d. e+c. (p-1)(q-1) = 1. Diese findet man mit ELBA. Modulo (p-1)(q-1) ist c. (p-1)(q-1) gleich Null und: d. e = 1 mod (p-1)(q-1). Gemäß dem kleinen Fermat gilt: x ed = x mod N e Öffentlicher Schlüssel (e,n). Verschlüsseln: mod N Privater Schlüssel d. Wirklich sicher? x x Entschlüsseln: (x e ) d = x ed = x mod N

15 Aktive Angreifer Alice c = m e mod N Bob c = 2 e c mod N der Auktionator entschlüsselt c = 2 e c = 2 e m e zu 2m. Bob gewinnt.

16 Aktive Angreifer Alice Bob c = 2 e c mod N c = m e mod N Lehrbuch RSA ist nicht sicher! der Auktionator entschlüsselt c = 2 e c = 2 e m e zu 2m. Bob gewinnt.

17 IND-CCA2 Sicherheit Entschlüsselungs- Orakel öffentlicher Schlüssel e A Challenge 1, Challenge 2 Enc e (Challenge i ) zufällig gewählt Entschlüsselungs- Orakel! A öffentlicher Schlüssel e Entscheidung A kann die Challenges nicht besser unterscheiden als durch Raten.

18 RSA-ES-OAEP [BR94] Nachricht m Zufallsstring r hash hash m+h(r) h(m+h(r))+r

19 RSA-ES-OAEP [BR94] Nachricht m Zufallsstring r hash hash m+h(r) h(m+h(r))+r Chiffrat = (m+h(r) h(m+h(r))+r) e

20 RSA-ES-OAEP ist beweisbar sicher Mit idealisierten Hashfunktionen (Random Oracle Model) gilt: Ein Angreifer, der das IND-CCA-Spiel gewinnt, kann dazu benutzt werden die RSA-Funktion zu invertieren. Beweisidee: Es ist nicht effizient möglich gültige Chiffrate zu erzeugen, ohne den Klartext zu kennen. Also liefert das Entschlüsselungsorakel im IND-CCA-Spiel nur oder eine Nachricht, die man schon kennt. Zu zeigen bleibt nur noch die Sicherheit bei passiven Angreifern.

21 RSA-ES-OAEP ist beweisbar sicher Mit idealisierten Hashfunktionen (Random Oracle Model) gilt: Ein Angreifer, der das IND-CCA-Spiel gewinnt, kann dazu benutzt werden die RSA-Funktion zu invertieren. Beweisbare Sicherheit ist praxisrelevant: PKCS #1 v.2.1 verwendet in SSL/TLS ASC X9.44, amerikanischer Bankenstandard IEEE P1363, SET, Standard für sicheres Bezahlen (Visa, MasterCard)

22 ELBA(x,y) s = 1, t= 0 solange b>0 solange a>= b a:= a-b, t:= t-1 vertausche (a,b) vertausche (s,t) a wird ggt, b wird 0 und es gilt immer: sx+ty = a