Proseminar Datensicherheit & Versicherungsmathematik RSA-Verfahren

Transkript

1 Proseminar Datensicherheit & Versicherungsmathematik RSA-Verfahren Herwig Stütz

2 Inhaltsverzeichnis 1 Einführung 2 2 Das RSA-Verfahren Schlüsselerzeugung Korrektheit Beispiel Schnelle Ver- und Entschlüsselung Schnelle modulare Exponentiation Beispiel Schnelle Entschlüsselung mit dem Chinesischen Restsatz Zusammenhang zwischen der Sicherheit von RSA und dem Faktorisierungsproblem 7 1 Einführung Public-Key Verschlüsselungsmethoden beruhen auf dem Prinzip, dass zum Ver- und Entschlüsseln der Nachrichten unterschiedliche Schlüssel verwendet werden. Dies hat den Vorteil, dass man nur den Schlüssel zum Entschlüsseln (Private-Key) geheim halten muss. Der zum Verschlüsseln verwendete Schlüssel hingegen wird offengelegt. Bei solchen Verfahren muss allerdings sichergestellt werden, dass sich der Private-Key nicht aus dem Public-Key in Erfahrung bringen lassen kann. Im Folgenden wird das von R.L. Rivest, A. Shamir, und L. Adleman 1977 in [4] vorgestellte RSA-Verfahren behandelt. 2 Das RSA-Verfahren Mit diesem Verfahren werden Nachrichten mit dem Public-Key, welcher aus einem Paar ganzer Zahlen (n, e) besteht, verschlüsselt, und mit dem Private-Key d, welcher nur dem Nachrichtenempfänger bekannt ist, wieder entschlüsselt. Das Erzeugen des verschlüsselten Textes c aus einer Nachricht m erfolgt durch das Berechnen der e-ten Potenz der Nachricht m modulo n: c m e mod n (1) Analog funktioniert das Entschlüsseln von c: m c d mod n (2) Man beachte hier die Rollen von e bzw. d als Ver- bzw. Entschlüsselungsexponenten. 2.1 Schlüsselerzeugung Für die Schlüsselerzeugung werden als Erstes zwei Primzahlen p und q ausgewählt. Aus diesen Primzahlen wird das RSA-Modul n berechnet: n = pq (3) 2

3 Als privater Schlüssel d kann eine beliebige natürliche Zahl gewählt werden, welche relativ prim zu φ(n) ist: 0 < d < φ(n) und ggt(d,φ(n)) = 1 (4) Der öffentliche Schlüssel e ist nun das multiplikative Inverse von d modulo φ(n): 0 < e < φ(n) und ed 1 mod φ(n) (5) Dabei ist φ(n) die Eulersche φ-funktion von n, welche die Anzahl der Zahlen liefert, welche relativ prim zu n sind: Definition 1. Die Eulersche φ-funktion wird definiert durch: φ : N N, φ(n) = {1 k n ggt(k,n) = 1} (6) für welche laut [5], Kapitel 1, folgende einfachen Eigenschaften gelten: Lemma 1. Sei n eine beliebige natürliche Zahl. Dann gelten 1. φ(n) ist multiplikativ φ(nm) = φ(n) φ(m) (7) 2. wenn n = p Primzahl, so ist φ(p) = p 1 (8) (Wenn nun p eine ganze Zahl mit φ(p) = p 1 ist, so ist p Primzahl.) Allgemeiner gilt für n als Potenz einer Primzahl p a 2.2 Korrektheit φ(p a ) = p a p a 1 (9) Um zu zeigen, dass das oben angegebene Verfahren zur Entschlüsselung des Chiffrentext korrekt funktioniert, muss gezeigt, werden, dass das Ver- und Entschlüsseln zueinander inverse Operationen darstellen. Buchmann liefert in [2], Kapitel 7 mit Hilfe des Kleinen Satzes von Fermat, folgenden Satz inklusive Beweis zur Korrektheit von RSA: Satz 1 (Kleiner Satz von Fermat). Sei G eine endliche Gruppe und a G. Dann gilt Beweis. Seien g 1,...,g G die Elemente von G. Es gilt a G = e G. (10) (ag 1 )(ag 2 )... (ag G ) = g 1 g 2... g G (11) da die (ag i ) nur eine Permutation der g i sind. Nun kann man die a herausziehen und die g i kürzen: a G = e G. (12) 3

4 Folgerung 1. Für den Spezialfall G = (Z n, ) mit G = φ(n) ergeben sich: 1. Ist n eine natürliche Zahl, dann gilt a φ(n) 1 mod n für ggt(a,n) = 1. (13) 2. Ist p prim und a beliebig, dann gilt a p a mod p (14) Satz 2. Sei (n, e) ein öffentlicher Schlüssel und d der entsprechende private Schlüssel im RSA-Verfahren. Dann gilt: (m e ) d m mod n (15) für jede natürliche Zahl m mit 0 m < n. Beweis. Da ed 1 mod (p 1)(q 1) ist, gibt es eine ganze Zahl l, so dass ist. Daher ist und auch Weil p q folgt dann ed = 1 + l(p 1)(q 1) (16) (m e ) d = m ed = m 1+l(p 1)(q 1) = m(m (p 1) ) l(q 1) m mod p (17) (m e ) d m mod q. (18) (m e ) d m mod n (19) für ggt(m,n) = 1. Wenn ggt(m,n) > 1, so ist n ein Teiler von m und somit ist die Kongruenz auf beiden Seiten Beispiel Alice will Bob den Text TEXT verschlüsselt senden. Dazu teilt Alice TEXT in zwei Blöcke zu je zwei Zeichen auf: TE und XT. Danach berechnet Alice zu jedem der Blöcke die N-adische Entwicklung mit N = 26: m 1 = = 525 (20) m 2 = = 644 (21) Damit Alice Bob eine verschlüsselte Nachricht schicken kann, braucht Bob sowohl einen Private- als auch einen Public-Key. Dafür wählt Bob zuerst zwei Primzahlen p und q, sodass n = pq > 26 2 = 676. Also p = 29,q = 37 und n = Als Private-Key sucht er eine Zahl d, sodass ggt(d,φ(n)) = 1: d = 59. Als Public-Key wird das multiplikative Inverse von d modulo n mit dem erweiterten Euklidischen Algorithmus berechnet: e = 868. Nun kann Alice die Teilblöcke verschlüsseln. Dabei kann die schnelle Exponentiation verwendet werden: c 1 = m e 1 mod n = mod 1073 = 308 (22) c 2 = m e 2 mod n = mod 1073 = 352 (23) Die verschlüsselte Nachricht, die Alice Bob schickt lautet also nach dem Auflösen der N-adischen Entwicklung: 4

5 KV und MN Bob kann nun die verschlüsselte Nachricht erneut in die N-adische Entwicklung bringen und anschließend mit seinem Private-Key d die Nachricht entschlüsseln. m 1 = c d 1 mod n = mod 1073 = 525 (24) m 2 = c d 2 mod n = mod 1073 = 644 (25) Wie nun zu sehen ist, stimmt die entschlüsselte Nachricht mit der ursprünglichen überein, also kann Bob die Nachricht aus m 1 und m 2 wieder zusammensetzen und erhält wirklich die richtige Nachricht. 3 Schnelle Ver- und Entschlüsselung Das RSA-Verfahren verwendet als Operationen für Ver- und Entschlüsselung also Exponentiation modulo einer natürlichen Zahl. Da [4], Kapitel VII/B die Verwendung von 100-stelligen Primzahlen p und q empfiehlt, stellt sich die Frage nach einer Möglichkeit, diese Operationen effizient durchzuführen. Als Antwort auf diese Frage wird hier die schnelle modulare Exponentiation, u.a. in [5], vorgestellt. 3.1 Schnelle modulare Exponentiation Sei x e mod n zu berechnen, mit x,e,n N. Weiters habe e folgende Form: wobei b i {0,1},i = 0,...,k. Dann gilt: e = b k 2 k + b k 1 2 k b b (26) x e = x b k2 k +b k 1 2 k 1 + +b b = = k i=0 x b i2 i k (x 2i) b i i=0 Weiters gilt nach den Rechengesetzen für Exponenten ( x 2i+1 = x 2i) 2. (28) Daraus folgt, dass man das Endergebnis durch wiederholtes Quadrieren und Multiplizieren bekommen kann. Algorithmus 1. Schnelle Exponentiation modulo einer Zahl n Dieser Algorithmus berechnet für x,e,n N mit n > 1 die modulare Exponentiation (27) c = x e mod n (29) 1. (Vorbereitung) Sei die Binärdarstellung der Zahl e. e b 1 e b 2...e 1 e 0 (30) 5

6 2. (Initialisierung) Setze c 1 3. (Exponentiation) Berechne c = x e mod n auf folgende Art: for i from b 1 down to 0 do c c 2 mod n if e i = 1 then c = c x mod n end if end for 4. (Ausgabe) c ausgeben und Algorithmus beenden. Der oben angegebene Algorithmus hat laut [5], Theorem 2.1.4, eine Laufzeit von O(log e) arithmetischen Operationen. 3.2 Beispiel Zu berechnen ist x e mod n mit x = 47,e = 11 und n = 58. Im ersten Schritt muss die Binärdarstellung von e berechnet werden. Diese lautet e 3 e 2 e 1 e 0 := Dann kommt man mit dem obigen Algorithmus für x 11 = x 23 x 22 x auf folgendes Schema: e 3 : 1 x = x = 47 Initialisierung e 2 : 0 x 2 = x mod 58 = 5 Quadrieren e 1 : 1 (x 2 ) 2 x = x mod 58 = 15 Quadrieren und Multiplizieren e 0 : 1 ((x 2 ) 2 x) 2 x = x mod 58 = 19 Quadrieren und Multiplizieren Das Ergebnis von x e mod n ist nun also Schnelle Entschlüsselung mit dem Chinesischen Restsatz Eine weitere Methode um die Entschlüsselung zu beschleunigen, verwendet den Chinesischen Restsatz [5],[3]: Satz 3 (Chinesischer Restsatz). Seien n 1,n 2,...,n r r natürliche Zahlen größer 1, die zueinander relativ prim sind, also ggt(n i,n j ) = 1 für i j, und seien a 1,a 2,...,a r beliebige natürliche Zahlen. Dann existiert eine Lösung zu der Kongruenz x a i mod n i i = 1,2,...,r (31) Existieren 2 Lösungen x und x, so gilt x x mod N mit N = n 1 n 2 n r Beweis. Sei N = n 1... n r und sei N k = N/n k also N ist das Produkt aller n i außer n k. Deshalb gilt ggt(n k,n k ) = 1. Also hat jedes N k ein eindeutig bestimmtes multiplikatives Inverses N k modulo n k. Nun sei x = a 1 N 1 N 1 + a 2 N 2 N a r N r N r. (32) Wenn man nun jeden Term dieser Summe modulo n k betrachtet, hat man wegen N i 0 mod n K für i k x a k N k N k mod n k. (33) 6

7 Daraus folgt, dass x jede Kongruenz des Systems erfüllt. Außerdem ist es leicht ersichtlich, dass das System der Kongruenzen genau eine Lösung modulo N hat: seien x und y zwei Lösungen des System, dann gilt x y mod n k für alle k. Und da die n k paarweise relativ prim sind, gilt x y mod N. Für den Spezialfall des Chinesischen Restsatzes, der für die Entschlüsselung im RSA- Verfahren zum Einsatz kommt, ergibt sich folgender Ablauf [1]: Die verschlüsselte Nachricht c soll mit dem Private-Key d unter dem RSA-Modul n = pq entschlüsselt werden. Als Erstes wird m = c d mod n aufgeteilt in m p = c d mod p, m q = c d mod q. (34) Dann kann mit dem Chinesischen Restsatz die simultane Kongruenz m m p mod p, m m q mod q (35) aufgelöst werden. m ist dann die ursprüngliche Nachricht. Die Kongruenz wird gelöst, indem mit dem erweiterten euklidischen Algorithmus Zahlen p,q N berechnet werden, sodass gilt Als lezter Schritt ergibt sich nur mehr p p + q q = 1. (36) m = m p q q + m q p p mod n. (37) 4 Zusammenhang zwischen der Sicherheit von RSA und dem Faktorisierungsproblem Wenn der RSA-Modul n in p und q faktorisiert werden kann, so ist RSA nicht sicher. In diesem Fall kann der Private-Key d als multiplikatives Inverses von e modulo φ(n) = (p 1)(q 1) mit Hilfe des erweiterten euklidischen Algorithmus berechnet werden. Wenn RSA unsicher ist, so lässt sich das RSA-Modul n mit einem probabilistischen Algorithmus faktorisieren [2]. Dieser Algorithmus setzt voraus, dass der Private-Key d und der Public-Key (n,e) bekannt sind. Zuerst werden und gesetzt. s = max(t N : 2 t ed 1) k = ed 1 2 s Für a Z bezeichne ord n (a) die Ordnung von a + nz in Z n. Lemma 2. Für alle zu n teilerfremden ganzen Zahlen a gilt ord n (a k ) = 2 i mit einem i {0,...,s}. Der Algorithmus basiert nun auf folgendem Satz: 7

8 Satz 4. Sei a eine zu n = pw teilerfremde ganze Zahl. Wenn die Ordnungen ord p (a k ) und ord q (a k ) verschieden sind, so ist 1 < ggt(a 2tk 1,n) < n für ein t {0,1,...,s 1}. Damit man n faktorisieren kann, wählt man eine zufällig und gleichverteilte Zahl a aus {1,...,n 1} und berechnet dann g = ggt(a,n). Ist g > 1, so ist g ein echter Teiler von n, also fertig. Ist g = 1, so berechnet man g = ggt(a 2tk 1,n) für t = s 1,s 2,...,0 (38) Wird dabei ein echter Teiler von n gefunden, so ist man fertig. Sonst wird ein neues a gewählt und obige Operation wiederholt. Laut [2] ist die Wahrscheinlichkeit einen Primteiler von n zu finden in jeder Iteration ungefähr 1/2. Also beträgt die Wahrscheinlichkeit nach r Iterationen einn Faktor gefunden zu haben ungefähr 1 1/2 r. Also kann, wenn RSA unsicher ist, das RSA-Modul n in seine Primfaktoren p und q zerlegt werden. In den vorhergehenden Punkten wurde gezeigt, dass wenn sich eine Methode zur leichten Primfaktorenzerlegung finden lässt, RSA unsicher ist, und dass wenn RSA unsicher ist, sich das RSA-Modul in seine Primfaktoren zerlegen lässt. Es ist jedoch nicht bekannt, ob sich eine Methode finden lässt, mit der man den Private-Key ohne die Kenntnis der Primfaktoren des RSA-Moduls berechnen kann. Zusammenfassend lässt sich sagen, dass RSA stark mit dem Problem der Primfaktorenzerlegung zusammenhängt. Rivest, Shamir und Adleman [4] vermuteten dies bereits: Vermutung 1. Jede Methode, das RSA-Kryptosystem zu brechen, ist mindestens gleichschwer wie die Zerlegung in Primfaktoren. Literatur [1] Albrecht Beutelspacher, Jörg Schwenk, and Klaus-Dieter Wolfenstetter. Moderne Verfahren der Kryptographie. Vieweg und Sohn Verlag, [2] Johannes Buchmann. Einführung in die Kryptographie, volume 2. Springer, [3] Ivan Niven and H.S. Zuckerman. The Theory Of Numbers. John Wiley And Sons, Inc., [4] R. L. Rivest, A. Shamir, and L. M. Adelman. A method for obtaining digital signatures and public-key cryptosystems. Technical Report MIT/LCS/TM-82, [5] Song Y. Yan. Number Theory for Computing. Springer-Verlag Berlin Heidelberg,