Client/Server-Systeme

Transkript

1 Client/Server-Systeme Prof. Dr.-Ing. Wilhelm G. Spruth WS 2008/2009 Teil 4 Verschlüsselung, Kryptographie cs 0407 ww6 wgs 09-96

2 Aufgaben der Darstellungsschicht (presentation Layer, Schicht 6) Einheitliche Datenstrukturen Datenkomprimierung Verschlüsselung Authentifizierung Sicherheit Namens/Directory - Dienste Zeitdienste cs 0416u ww6 wgs 07-99

3 Kryptographische Verfahren (1) Zwei Kern-Anwendungen Geheimhaltung und Integrität von Daten Authentifizierung Benutzer (Digitale Unterschriften) Nachrichten Zwei Verfahren Symmetrische Verfahren Beispiele: DES (Data Encryption Standard), IDEA, Blowfish, RC4, Rijndael AES (Advanced Encryption Standard) Asymetrische Verfahren Beispiele: RSA, elliptische Kurven cs0511 ww6 wgs 09-98

4 Kryptographische Verfahren (2) Es sei M = Nachricht (Klartext, Plaintext, Message) C = Verschlüsselte Nachricht (Ciphertext) E = Chiffrieralgorithmus (Encryption) D = Dechiffrieralgorithmus (Decryption) Ke = Schlüssel für Verschlüsselung Kd = Schlüssel für Entschlüsselung Dann sei E Ke eine Funktion von E und Ke C = E Ke (M) und M = D Kd (C) mit D Kd (C) = D Kd (E Ke (M)) ; D ist die Inverse zu E Sender Empfänger Ke Kd C = E Ke (M) M E D M Algorithmen E und D sind öffentlich (allgemein bekannt), Ke und Kd werden geheim gehalten. cs0510 ww6 wgs 09-98

5 Symetrische Verfahren

6 Symmetrische Verfahren Sender Unsicherer Empfänger Übertragungs kanal M Encryption Decryption M C = E K (M) K K M = D K (C) Sicherer Übertragungskanal Verschlüsselung und Entschlüsselung mit identischem Schlüssel K : K = Ke = Kd Problem: Der Schlüssel K muß über einen sicheren Kanal ausgetauscht werden Beispiele: DES (Data Encryption Standard), Triple DES, IDEA Blowfish, RC4, Rijndael AES (Advanced Encryption Standard)

7 Substition und Transposition Eine Substitionschiffre erhält die Reihenfolge der Symbole im Plaintext, verschlüsselt aber jedes einzelne Symbol. Eine Transpositionschiffre verändert die Reihenfolge der Symbole, verschlüsselt sie aber nicht. css0506 ww6 wgs 10-96

8 a d Caesar Chiffre Julius Caesar «De Bello Gallico» b e a t t a c k c f d w w d f n... z c Monoalphabetische Substitution Im Gegensatz zur Caesar Chiffre hat das Substitutions-Alphabet eine irreguläre Reihenfolge: abcdefghijklmnopqrstuvwxyz qwertyuiopasdfghjklzxcvbnm a t t a c k q z z q e a 26! = 4 x mögliche Chiffren cs 0513 ww6 wgs 06-94

9

10

11 A a b c d e f g x y z B b c d e f g h y z a C c d e f g h i z a b D d e f g h i j a b c Y y z a b c d e v w x Z z a b c d e f w x y Vigenère Chiffre Polyalphabetische Chiffre Blaise de Vigenère ( ) Die Vigenère Chiffre ist ein Beispiel einer polyalphabetischen Substitutionschiffre. Es wird eine Matrix mit 26 Caesar Alphabeten gebildet. Jede Spalte wird durch einen Buchstaben gekennzeichnet. Z.B. besagt Spalte C, daß ein Buchstabe um 3 Zeichen transponiert wird. Spalte O besagt, daß ein Buchstabe um 14 Zeichen transponiert wird cs 0514 ww6 wgs 05-96

12 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z B C D E F G H I J K L M N O P Q R S T U V W X Y Z A C D E F G H I J K L M N O P Q R S T U V W X Y Z A B D E F G H I J K L M N O P Q R S T U V W X Y Z A B C E F G H I J K L M N O P Q R S T U V W X Y Z A B C D F G H I J K L M N O P Q R S T U V W X Y Z A B C D E G H I J K L M N O P Q R S T U V W X Y Z A B C D E F H I J K L M N O P Q R S T U V W X Y Z A B C D E F G I J K L M N O P Q R S T U V W X Y Z A B C D E F G H J K L M N O P Q R S T U V W X Y Z A B C D E F G H I K L M N O P Q R S T U V W X Y Z A B C D E F G H I J L M N O P Q R S T U V W X Y Z A B C D E F G H I J K M N O P Q R S T U V W X Y Z A B C D E F G H I J K L N O P Q R S T U V W X Y Z A B C D E F G H I J K L M O P Q R S T U V W X Y Z A B C D E F G H I J K L M N P Q R S T U V W X Y Z A B C D E F G H I J K L M N O Q R S T U V W X Y Z A B C D E F G H I J K L M N O P R S T U V W X Y Z A B C D E F G H I J K L M N O P Q S T U V W X Y Z A B C D E F G H I J K L M N O P Q R T U V W X Y Z A B C D E F G H I J K L M N O P Q R S U V W X Y Z A B C D E F G H I J K L M N O P Q R S T V W X Y Z A B C D E F G H I J K L M N O P Q R S T U W X Y Z A B C D E F G H I J K L M N O P Q R S T U V X Y Z A B C D E F G H I J K L M N O P Q R S T U V W Y Z A B C D E F G H I J K L M N O P Q R S T U V W X Z A B C D E F G H I J K L M N O P Q R S T U V W X Y Vigenère-Quadrat viertausendundsiebenhundertdreiundachtzig schickardschickardschickardschickardschickard nklzvkujh...

13 Zeile s, um 18 Zeichen verschieben Zeile c, um 2 Zeichen verschieben Zeile h, um 7 Zeichen verschieben Zeile i, um 8 Zeichen verschieben schickardschickardschickardschickardschickard viertausendundsiebenhundertdreiundachtzig nklzvkujh... Vigenère Chiffre Polyalphabetische Chiffre für jeden Buchstaben des Schlüssels ein anderer Cäsar Chiffre Brechen der Chiffre, angenommen, es ist genügend viel Geheimtext verfügbar: Länge des Schlüssels raten, z.b. = k. Geheimtext in Zeilen der Länge k Buchstaben untereinander anordnen. Wenn richtig geraten, sind alle Spalten mit dem gleichen monoalphabetischen Schlüssel verschlüsselt. Die Häufigkeitsverteilung sollte stimmen, z. B. e = 14,5 %. cs 0543u ww6 wgs 09-99

14

15 Megabuck Schlüssel Reihenfolge pleasetr ansferon emillion dollarst omyswiss bankacco untsixtw otwoabcd Klartext: pleasetransferonemilliondollarst omyswissbankaccountsixtwotwoabcd Geheimtext AFLLSKSOSELAWAIATOOSSCTCLNMOMANT ESILYNTWRNNTSOWDPAEDOBUOERIRICXB Transpositionschiffre Spaltentransposition Spalte 1 wird zuerst übertragen, dann Spalte 2, usw. cs 0545u ww6 wgs 09-99

16

17 Nachricht Länge n Exclusive Oder Schaltkreis = 1 Ciffrierte Nachricht Länge n A B =1 exclusive-oder Zufallszahlenfolge Länge n A B C C Nicht brechbarer Code Vernam Chiffre, Einmalschlüssel, One-Time-Pad Plaintext Keystream XOR Ciphertext Keystream XOR Plaintext

18 Nicht brechbarer Code Vernam Chiffre, Einmalschlüssel, One-Time-Pad Die einzige bekannte Verschlüsselung mit absoluter Sicherheit ist ein symmetrisches Verfahren. Klartextund Schlüsselbits werden durch ein Exklusiv-Oder verknüpft. Die Sicherheit beruht auf der Zufälligkeit des Schlüssels, der mindestens genauso lang sein muss wie der Klartext und nur ein einziges Mal verwendet werden darf. Es dürfen keine Pseudozufallszahlen zum Einsatz kommen, wie sie ein Computer normalerweise erzeugt, sondern nur echt zufällige Zahlen, wie sie beispielsweise radioaktiver Zerfall produziert. Durch diese Randbedingungen sind One-Time-Pads ziemlich unhandlich -- schließlich müssen die Kommunikationspartner zuvor über einen sicheren Kanal einen Schlüssel austauschen, der genau so lang ist wie eine spätere Nachricht. cs 0549 ww6 wgs 09-00

19 Data Encryption Standard (DES) Klartext DES Verschlüsselung Schlüssel Geheimtext Geheimtext Schlüssel DES Entschlüsselung Klartext Symmetrisches Verfahren 1977 vom National Bureau of Standards in Kooperation mit der IBM standardisiert Blockchiffrierung, 64 Bit Blöcke, 56 Bit Schlüssel Mehrstufiges Verfahren mit Transposition und Substition Effiziente Hardware Implementierung cs0528 ww6 wgs 09-98

20 P-Box Permutationsbox Transpositionsbox Permutationstabelle 3 zu 8 8 zu 3 Decoder Encoder S-Box Substitutionsbox cs 0424 ww6 wgs 06-95

21 cs 0550 ww6 wgs 09-00

22 Feistel Netzwerk 64 Bit Textblock L R In mehreren Stufen werden die linken und die rechten Hälften des zu verschlüsselnden Blocks getrennt behandelt. Aus dem Schüssel K werden Stufenschlüssel K i abgeleitet. Pro Stufe erfolgt die Verschlüsselung: L i = R i-1 R i = L i-1 f ( R i-1, K i ); = =1 = exclusive-oder L i-1 R i-1 =1 f K i-1 L i R i =1 f K i L i+1 R i+1 =1 f K i+1 cs0529 ww6 wgs 09-98

23 64 Bit Klartext Transposition 1 Substitution 1 Substitution 2 Substitution 3 Substitution 4 Substitution 16 Transposition 2 56 Bit Schlüssel 1 2 Schlüssel... Generator Unterschlüssel zu je 48 Bit Transposition 3 64 Bit Geheimtext Unterschlüssel für diese Stufe 64 Bit Ausgabe von der vorhergehenden Stufe L i-1, 32 Bit R i-1, 32 Bit DES Algorithmus Substitution und Transposition L i, 32 Bit R i, 32 Bit = L i-1 f(r i-1,k i )

24 DES 56 Bit Schlüssel Der Klartext wird mit Hilfe eines Feistel Netzwerkes in 16 Runden verschlüsselt. Aus dem 56 Bit Schlüssel werden mit Hilfe eines speziellen Algorithmus 16 unterschiedliche Rundenschlüssel abgeleitet. Die Rundenschlüssel werden für die 16 Stufen eines Feistel Netzwerkes verwendet. Der DES Algorithmus hat sich in den letzten 30 Jahren als außerordentlich robust gegenüber allen Kryptoanalyse Angriffen erwiesen. Er genießt deshalb ein hohes Vertrauen bei den Anwendern. Eine Schlüssellänge von 56 Bit ist heute nicht mehr ausreichend. Lösung: Triple DES. cs0530 ww6 wgs 09-98

25 DES Stufenkodierung Ri-1 (32 Bit) S expandiert auf 48 Bit 48 Bit Rundenschlüssel =1 Li-1 (32 Bit) =1 48 Bit 32 Bit 8 S-Boxen, je 6 Bit. Jede S-Box expandiert auf 64 Leitungen plus folgende Enkodierung Ri Die S-Boxen haben je 6 Eingänge und 4 Ausgänge. Sie ersetzen jedes 6 Bit Zeichen durch ein anderes 4 Bit Zeichen.. Der DES-Algorithmus spezifiziert für jede der 16 Stufen das genaue Dekodier- und Enkodierschema jeder der S-Boxen. cs0531 ww6 wgs 09-98

26 cs 0551 ww6 wgs 09-00

27 Attacking Feistel Ciphers Differential cryptanalysis looks for correlations in function input and output correlations between key and cipher input and output correlations between key changes and cipher input/output Differential cryptanalysis discovered in 1990; virtually all block ciphers from before that time are vulnerable......except DES. IBM (and the NSA) knew about it 15 years earlier! cs 0427 ww6 wgs 11-03

28 Differenzielle Kryptoanalyse Biham, Shamir, 1990 Feistel Netzwerke unterscheiden sich durch die Verdrahtungsmuster in den P- und S-Boxen. Fast alle Feistelnetzwerke können gebrochen werden. DES (entstanden 1977) ist eine Ausnahme. Wenn man bei einem ideal sicheren Blockalgorithmus in einem Klartext-Block ein Bit ändert, dann müsste sich statistisch jedes der Bits im erzeugten Geheimtextblock mit genau 50 Prozent Wahrscheinlichkeit ändern, unabhängig vom verwendeten Schlüssel. In der Praxis kommt es jedoch vor, dass für bestimmte Bits die Änderungswahrscheinlichkeit im Geheimtext von einem bestimmten Schlüsselbit abhängt, etwa in der Art: Wenn man im Klartext die Bits 3, 11 und 45 gemeinsam ändert, dann ändert sich das Bit 17 im Geheimtext nur mit 49,999 Prozent Wahrscheinlichkeit, falls Bit 5 des Schlüssels gleich 1 ist, ansonsten mit 50 Prozent. Kann man dem Chiffrierer große Massen an ausgewähltem Klartext unterschieben, dann lässt die statistische Analyse Rückschlüsse auf einige Bits des verwendeten Schlüssels zu. Die restlichen Schlüsselbits ermittelt man per Brute Force. Das Problem der Praxis ist, dass bei guten Verfahren der Unterschied zum Idealverhalten minimal ist und man riesige Mengen an Klar- und Geheimtext braucht, um an den Schlüssel heranzukommen. Konkret bei DES wären über ein Petabyte (1000 Terabyte) an gewähltem Klartext notwendig.

29 Schlüssellänge1 1 Zahl möglicher1 1 Schlüssel 1 Zeitaufwand bei 1 Verschlüs- 1 1 selung/µs Zeitaufwand bei 10 6 Verschlüsselung/µs 32 Bit1 1 4,3 x ,8 Minuten1 1 2,15 ms Bit1 1 7,2 x Jahre Stunden Bit1 1 3,4 x ,4 x Jahre 5,4 x Jahre Durchschnittszeit für eine erschöpfende Schlüsselsuche Annahme: der Rechner kann 1 bzw Verschlüsselungen pro Microsekunde berechnen. cs 0570 ww6 wgs 11-03

30 Maximale kryptographische Schlüssellänge Angenommen, das ganze Universum ist ein Computer, der seit 14 Milliarden Jahren rechnet. Bis jetzt hätte dieser Rechner Rechenschritte ausgeführt. Herrmann Engesser: Universe Simulator. Informatik Spektrum August 2002, S Eine andere Studie geht von einem Rechner aus, der mal so leistungsfähig ist wie heutige Maschinen. Ein nicht brechenbarer Code würde eine Schlüssellänge von 434 Bit erfordern. Whitfield Diffie Communications of the ACM, March 2001, p cs 0656 ww6 wgs 01-02

31 Triple DES 3DES Erhöhung der DES Schlüssellänge von 56 Bit auf 112 Bit. Verwendet existierende DES Hardware. Der Triple DES EDE2 Standard (Encrypt-Decrypt-Encrypt) verwendet 2 unterschiedliche Schlüssel K1 und K2 zu je 56 Bit. Die erste und dritte Verschlüsselung verwendet den gleichen Schlüssel. K1 K2 K1 M DES DES DES C Der Triple DES EDE3 Standard verwendet 3 unterschiedliche Schlüssel zu je 56 Bit. Die effektive Schlüssellänge ist immer noch nur 112 Bit; die Sicherheit gegen bisher noch wenig erforschte Attacken ist größer. Beide Verfahren erfordern drei Verschlüsselungsläufe und benötigen deshalb die dreifache Laufzeit. Vor allem im Bankenbereich eingesetzt. Der DES Algorithmus gilt als zuverlässig. Triple DES ASIC s sind verfügbar. Die wachsende Verarbeitungsgeschwindigkeit der Rechner erfordert eine um etwa um 1 Bit/Jahr wachsende Schlüssellänge. cs0527 ww6 wgs 09-98

32 3DES mit 3 Schlüsselm 3DES Block Verschlüsselung

33 Terminologie Der Data Encryption Standard (DES) verwendet den Digital Encryption Algorithm (DEA). Deswegen wird manchmal auch die Bezeichnung DEA und 3DEA an Stelle von DES und 3DES verwendet. TDEA2 (Triple DEA) verwendet 2 Schlüssel und ist eine andere Bezeichnung für DES EDE2. TDEA3 verwendet 3 Schlüssel und ist eine andere Bezeichnung für DES EDE3. Der Hobbit z9 Mikroprozessor hat einen eingebauten Krypto-Koprozessor und verwendet hierfür die Bezeichnungen TDEA2 und TDEA3.

34 Strom- und Blockchiffrierer Stromchiffrierer verarbeiten jedes Bit einzeln. Mit dem geheimen Schlüssel wird ein Schlüsselstrom erzeugt, der mit dem Klartext per XOR verknüpft wird. Blockchiffrierer überführen (häufig 64 Bit lange) Blöcke von Klartext in (der Regel gleich große) Blöcke von Geheimtext. Stromchiffrierer werden häufig bei der Hardwareverschlüsselung (Schicht 2) eingesetzt. Blockchiffrierer werden in der Regel bei der Softwareverschlüsselung (Schicht 6) eingesetzt. Der einfachste Blockchiffrierermodus ist der Electronic Code Block Mode (ECB). Hierbei wird jeder Klartextblock ohne Berücksichtigung des übrigen Textes kodiert: Gleiche Klartextblöcke ergeben identischen Chiffretext. Verarbeitungsfehler pflanzen sich nicht fort. Beim Cipher Block Chaining (CBC) wird jeder Klartextblock mit dem vorhergehenden Chiffreblock per XOR verknüpft. Hierdurch werden im Klartext vorhandene Muster verschleiert. cs0523 ww6 wgs 09-98

35 Klartext 64 Bit 64 Bit 64 Bit 64 Bit E E E E Geheimtext ECB =1 =1 =1 =1 CBC Electronic Code Block Mode (ECB) Cipher Block Chaining (CBC) E = Enkodieren =1 = Exclusive Oder cs wgs 11-02

36 Advanced Encryption Standard AES Der Advanced Encryption Standard (AES) wurde als Nachfolger für DES bzw. 3DES im Oktober 2000 vom National Institute of Standards and Technology (NIST) als Standard bekannt gegeben. Nach seinen Entwicklern Joan Daemen und Vincent Rijmen wird er auch Rijndael-Algorithmus genannt (gesprochen wie dt. Reyndahl ). Der Rijndael-Algorithmus besitzt eine variable Blockgröße von 128, 192 oder 256 Bit und eine variable Schlüssellänge von 128, 192 oder 256 Bit. AES benutzt eine Blocklänge auf 128 Bit und eine Schlüssellänge von 128, 192 oder 256 Bits. Anhand der Schlüssellänge wird zwischen den drei AES- Varianten AES-128, AES-192 und AES-256 unterschieden. Die Anzahl der Runden während der Ausführung des Algorithmus hängt von der Schlüssellänge ab: Schlüssellämge/Bits Anzahl Runden Der Algorithmus ist frei verfügbar und darf ohne Lizenzgebühren eingesetzt sowie in Software bzw. Hardware implementiert werden.

37 RC von Ronald L. Rivest entwickelt. In einer Vielzahl von Standards wie SSH, HTTPS und WEP bzw. WPA eingesetzt. Sehr einfach mit Hardware zu implementieren und mit Software sehr effizient berechenbar. Kern des Verfahrens ist eine S-Box, eine zufällige Permutation (Vertauschung) der natürlichen Zahlen 0 bis 255. Mittels der S-Box wird eine Zufallsfolge erzeugt, die Bit für Bit durch Addition modulo 2, (XOR-Verknüpfung), mit dem Nachrichtenstrom verknüpft wird. Schlüssel S-Box Pseudo-Zufallszahlenfolge Klartext =1 Ciffrierte Nachricht Exclusive OR

38 RC4 Byte orientierte Operation. Der Algorithmus verwendet random Permutations. Er besteht aus einer S-Box, die sich während der Verschlüsselung fortlaufend ändert. Diese wird durch ein Schlüssel (Passwort) initialisiert, das für jede Verschlüsselung einmalig sein muss. Jedes Klartextzeichen wird mit einem bestimmten, vom Paßwort abhängigen, Zeichen aus der S-Box XOR-verknüpft. Theoretisch sind damit ca. 2 hoch 1700 verschiedene Zustände möglich Maschinenbefehle pro Byte Chiffrierung erforderlich, fünf- bis zehnmal schneller als DES. Gilt als sicher unter bestimmten Voraussetzungen. Trotzdem nicht sehr weit verbreitet. SSL unterstützt neben DES, 3DES, AES auch RC4. Eine nicht-sichere RC4 Version wird in dem Wired Equivalent Privacy protocol (WEP) eingesetzt, Teil des Standards. Scott Fluhrer, Itsik Mantin, Adi Shamir: Weaknesses in the Key Scheduling Algorithm of RC4.

39

40 Blowfish, IDEA The Blowfish program was developed by cryptography consultant Bruce Schneier. Blowfish is a cipher based on Feistel rounds, and uses an approach somewhat similiar to DES. Blowfish is Public Domain. IDEA is patented by the Swiss firm of Ascom. It is very different from DES.

41 Literatur Eine sehr schöne und leicht lesbare Einführung ist enthalten in: IBM Redbook: Implementing CICS Web Services. October 2007, S. 154 ff. Download under f:\redbooks\cics\java08.pdf

42 Asymetrische Verfahren

43 Rechner 1 Rechner 2 Ke f(kd) Kd C = E Ke (M) M E D M = D Kd (C) Asymetrische Verfahren Public Key Encryption Für die Verschlüsselung wird ein anderer Key verwendet als für die Entschlüsselung. Deswegen kann der Verschlüsselungskey bekannt gegeben werden. Asymetrische Verfahren benötigen etwa mal mehr Verarbeitungszeit als symmetrische Verfahren. Exponentieller Schlüsselaustausch Diffie, Hellmann, 1976 RSA Algorithmus Rivest, Shamir, Aldeman, MIT 1978 cs0515 ww6 wgs 09-98

44 Public Key Encryption Wie kann man mit 2 verschiedenen Schlüssel (keys) arbeiten? Ein Schlüssel ist die Umkehrung (inverse) des anderen: key1 = 3, key2 = 1/3,Message M = 4 Encryption: Ciphertext C = M x key1 = 4 x 3 = 12 Decryption: Plaintext M = C x key2 = 12 x 1/3 = 4 Ein Schlüssel wird veröffentlicht, der andere wird geheim gehalten.

45 Asymetrische Verfahren Public Key Encryption Algorithmen E und D sind öffentlich Ke = f(kd); Ke ist öfffentlich; Kd ist geheim Nur der Empfänger, der Kd kennt, kann M lesen Ke kann einfach aus Kd errechnet werden, aber die Berechnung von Kd aus Ke ist sehr aufwendig (Einweg-, Falltür-, Trapdoor Funktion). D ist die Inverse zu E : M = D Kd (C) = D Kd (E Ke (M)) Vereinfacht die Schlüselverteilung 1000 mal langsamer als symmetrische Verfahren Rechner 1 Rechner 2 Ke f(kd) Kd C = E Ke (M) M E D M = D Kd (C) cs0516 ww6 wgs 09-98

46 Entschlüsselung Verschlüsselung Eine Einweg-Funktion ist eine beliebige Funktion a = F(b), die, gegeben a, b relativ leicht berechnen läßt, bei der es aber sehr rechenaufwendig ist, gegeben b, den Wert a zu berechnen. Angenommen eine große Zahl b z.b. mit Stellen, die das Produkt aus 2 Primzahlen y und z ist. b = y x z Gegeben y und z, ist es einfach, hieraus b zu berechnen. Gegeben b, ist es extrem rechenaufwendig, y und z zu finden. vs1802 ww6 wgs 05-97

47 RSA Algorithmus (1) Empfänger erzeugt öffentlichen und privaten Schlüssel Ausgangsbasis sind 2 Primzahlen p und q sowie deren Produkt n = p x q Aus p, q und n werden 2 Schlüssel abgeleitet: e öffentlicher Schlüssel (gemeinsam mit n) d privater Schlüssel cs0541 ww6 wgs 09-98

48 Potentieller Sender 1 Potentieller Sender 2 Empfänger Broadcast e und n Potentieller Sender x Empfänger veröffentlicht e und n; hält d geheim Sender chiffriert Klartext m c = m e mod n Empfänger dechiffriert Geheimtext c m = c d mod n Vorgehensweise RSA Verschlüsselung cs 0636 wgs 09-00

49 RSA Algorithmus (2) Der private Schlüssel ist eine ganze positive Zahl d. Der öffentliche Schlüssel besteht aus 2 ganzen positiven Zahlen e und n. Die Schlüssel werden vom Empfänger festgelegt. Aus 2 zufällig ausgewählten Primzahlen p und q wird das Produkt n = pq gebildet. Die Zahl e wird so ausgewählt, daß (p-1)(q-1) und e keinen gemeinsamen Teiler haben; der größte gemeinsame Teiler soll = 1 sein. Die Zahl d hat die Eigenschaften d < (p-1)(q-1) Das Produkt ed liefert nach Division durch (p-1)(q-1) den Rest 1. Die Zahl d wird vom Empfänger als privater Schlüssel geheim gehalten; die Zahlen e und n werden allen Interessenten mitgeteilt (können z.b. beim Empfänger auf einer Web Seite wiedergegeben oder in einer allgemein zugänglichen Datenbank abgefragt werden). Der Sender erfragt e und n, und verschlüsselt damit seine Nachricht. Nur der Empfänger kann sie entschlüsseln, weil nur er die Zahl d kennt. cs 0559 ww6 wgs 05-97

50 RSA Algorithmus (3) Der Sender teilt die zu verschlüsselnde Nachricht in Blöcke der Länge k Bits auf. Jeder Block repräsentiert eine Zahl m. Es muß 2 k < n sein, d.h., der numerische Wert eines Blockes ist immer kleiner als n. Zur Verschlüsselung berechnet der Sender Ziffernblöcke c c := m e mod n (e-te Potenz der Zahl m, und davon den Rest nach Division durch n) Diese Zahl c ist der Geheimtext, der zum Klartext m gehört. Der Empfänger, der die chiffrierte Botschaft c erhält, entschlüsselt sie m: = c d mod n Es läßt sich nachweisen, daß für Blöcke der Größe 2 k < n die Enkodier- und Dekodierfunktionen invers sind. (Satz von Euler und Fermat, siehe z.b. oder vs1103 ww wgs 04-94

51 Sender Empfänger 1. Primzahlen p, q 2. n = pq 3 e wählen e und (p-1)(q-1) haben keinen gemeinsamen Teiler 4. d wählen d < (p-1)(q-1) ed / (p-1)(q-1) hat Rest = 1 m = Klartext c = Chiffrierter Text c = m e mod n m = c d mod n cs 0603 ww6 wgs 01-98

52 RSA Algorithmus (4) numerisches Beispiel Wir wählen p = q = (In praktischen Anwendungen würden p und q eine weit größere Anzahl an Stellen haben.) Es ist pq = n = Die Zahl e muß zu (p-1)(q-1) = teilerfremd sein (größter gemeinsamer Teiler = 1). Das geht z.b. mit e = ( = ist eine Primzahl) Der private Schlüssel d muß < (p-1)(q-1) sein und die Bedingung ed mod(p-1)(q-1) = 1 erfüllen. Dies trifft zu für d = vs1104 ww wgs 04-94

53 RSA Algorithmus (5) Wir verschlüsseln die Nachricht kryptologie macht spass indem wir die Buchstaben durch die Ziffern und das Leerzeichen durch 00 darstellen: k r y p t o l o g i e _ m a c h t usw. Da diese Zahl > n ist, muß sie in Blöcke aufgeteilt werden. Der erste dieser Blöcke ist Es ist m := c: = me mod n = (65537) mod = Zur Entschlüsselung berechnen wir m: = cd mod n ( ) mod = welches der erste Block der geheimen Nachricht ist. vs1105 ww wgs 04-94

54

55

56 RSA Schlüssellänge Als Schlüssellänge wird bei RSA typischerweise die Ziffer n, das Produkt der beiden Primzahlen p und q, bezeichnet. Die Firma RSA Laboratories empfielt 1024 Bit für kommerzielle Anwendungen und 2048 Bit für besonders kritische Fälle (Beispielsweise das Root Key Pair einer Certifying Authority). Für weniger kritische Fälle werden 768 Bit empfohlen; von den früheren 512 Bit Schlüsseln wird abgeraten. Eine Verdoppelung der Schlüssellänge erhöht die CPU Zeit für Verschlüsselung oder Entschlüsselung um einen Faktor 4 8, sowie die Zeit für die Generierung eines Schlüsselpaars um einen Faktor 16. Software Pakete wie z.b. PGP enthalten Routinen, welche ein Public/private Schlüsselpaar erzeugen. Verarbeitungszeit auf einem modernen PC im Minutenbereich.

57 Verschlüsselung mit Elliptischen Kurven Die National Security Agency (NSA) will auf Elliptic Curve Cryptography (ECC) in kommenden Kryptosystemen zum Schutz der Kommunikation zwischen Regierungsbehörden setzen. Die Verschlüsselung von Information mittels elliptischer Kurven ist seit längerem bekannt, beginnt sich aber erst nach und nach als Alternative zu etablierten Standards wie RSA durchzusetzen. ECC kommt mit wesentlich kürzeren Schlüsseln aus, verglichen mit anderen Public-Key-Algorithmen. Auf Grund der höheren "Sicherheit pro Bit" ist ECC auch für den Einsatz in weniger leistungsfähigen Geräten geeignet. So wird ECC auch bereits auf SmartCards genutzt. Elliptic curve groups are suitable for a cryptosystem though the introduction of the Elliptic Curve Discrete Logarithm Problem (ECDLP). Online Elliptic Curve Cryptography Tutorial action=ecc_tutorial,home