Einführung in die Kryptographie

Transkript

1 Einführung in die Kryptographie Stefan Katzenbeisser Institut für Informatik Technische Universität München Kryptographie p.1/54

2 Vom Zeichen zum Code Älteste Form: Codes repräsentieren Nachrichten Beispiel: Gaunerzinke Unterscheidung in Steganographie: verdeckte Übermittlung von Nachrichten Kryptographie: Codierung von geheimen Texten Kryptographie p.2/54

3 Steganographie (1) Kryptographie p.3/54

4 Steganographie (2) Dritter Buchstabe nach Satzzeichen! Kryptographie p.4/54

5 Substitution (1) einfache Ersetzung Beispiel: Permutation! Cäsar-Chiffre: Kryptographie p.5/54

6 Substitution (2) Häufigkeiten der Buchstaben unterschiedlich Angriff durch statistische Analyse Abu Ja far Muhammad ibn Musa Al-Kwarizmi (ca n. Chr.) Kryptographie p.6/54

7 Polyalphabetische Chiffre (1) Mehrere monoalphabetische Chiffren verwenden Ab ca eingesetzt Kryptographie p.7/54

8 Polyalphabetische Chiffre (2) Ioannis Trithemius ( ) -tes Alphabet für -ten Buchstaben verwenden Permutation der Alphabete als Schlüssel Sicherheit hängt von der Periodenlänge ab! Friedrich Kasiski (1863) Kryptographie p.8/54

9 Kerckhoffs Axiome Man soll den Gegner nicht unterschätzen Nur der Kryptanalytiker kann die Sicherheit eines Chiffrierverfahrens beurteilen Der Feind kennt das benutzte System Äußerliche Komplikationen können illusionär sein Verstöße gegen die Chiffrierdisziplin sind bei der Analyse einzuplanen Auguste Kerckhoffs ( ) Kryptographie p.9/54

10 Enigma (1) Polyalphabetische Chiffre mit langer Periode (max. ) Rotorprinzip Erfinder: Edward Hebern, Arthur Scherbius, Hugo Koch Mehrere Varianten der Enigma in Betrieb Kryptographie p.10/54

11 Enigma (2) Kryptographie p.11/54

12 Enigma (3) Marian Rejewski ( ) Alan Turing ( ) Kryptographie p.12/54

13 Symmetrische Chiffre Alice und Bob wollen über einen sicheren Kanal kommunizieren Eve hört mit Alice Eve Bob k k Problem des Schlüsseltausches! Kryptographie p.13/54

14 Was ist Sicherheit? Chiffre ist sicher, wenn Claude Shannon Informell: Kenntnis von ändert nichts an der Ungewißheit über. Keine Aussage über Rechenleistung! Kryptographie p.14/54

15 Vernam-Chiffre Klartextmenge = Chiffretextmenge = Verschlüsselung und Entschlüsselung durch: Ein neuer Schlüssel pro Nachricht notwendig! Satz 1 Die Vernam-Chiffre ist perfekt sicher. Kryptographie p.15/54

16 Computationale Sicherheit Perfekte Chiffriersysteme benötigen lange Schlüssel: Grund: keine Einschränkung der Rechenleistung des Angreifers Computationale Sicherheit: kein probabilistischer polynomieller Algorithmus kann Eigenschaften des Klartextes erraten Kryptographie p.16/54

17 Probabilistische Algorithmen... können zufällige Entscheidungen treffen Ergebnis ist nur mit bestimmter Wahrscheinlichkeit korrekt Konzept Tafel! Kryptographie p.17/54

18 Probabilistische TM (1) Eine probabilistische polynomielle Turing-Maschine ist eine nichtdeterministische TM mit: jede Berechnung endet nach exakt, Schritten, bei jedem Schritt existieren zwei nichtdeterministische Nachfolgezustände. Erfolgswahrscheinlichkeit: TRUE Kryptographie p.18/54

19 Probabilistische TM (2) Eine polynomielle Monte-Carlo TM für eine Sprache ist eine probabilistische polynomielle TM mit: für, mindestens die Hälfte aller Endzustände liefern TRUE: TRUE für enden alle Berechnungen mit FALSE: TRUE Kryptographie p.19/54

20 Probabilistische TM (2) Die Klasse RP enthält alle Probleme, für die eine polynomielle Monte-Carlo TM existiert. co-rp: Klasse aller Probleme mit Monte-Carlo TM, die keine falsch negative Antwort gibt. ZPP RP co-rp (Las Vegas Algorithmen) Satz 2. Kryptographie p.20/54

21 Probabilistische TM (3) Eine Sprache wird durch eine probabilistische polynomielle TM akzeptiert, wenn: für, mindestens liefern TRUE: aller Endzustände TRUE für akzeptieren ebenfalls mindestens aller Endzustände: FALSE Kryptographie p.21/54

22 Probabilistische TM (4) Die Klasse aller Sprachen, die durch probabilistische polynomielle TM akzeptiert werden, bezeichnet man BPP. Satz 3. Kryptographie p.22/54

23 Primzahltest PRIMES Input: Output: TRUE falls Primzahl, sonst FALSE Satz 4 (Pratt) PRIMES Rabin-Miller Test liefert probabilistischen Primzahltest mit Fehlerwahrscheinlichkeit Inzwischen kennt man einen polynomiellen Algorithmus: PRIMES Kryptographie p.23/54

24 Public-Key Kryptographie (1) Martin Hellman (Mitte), Whitfield Diffie (rechts) (zusammen mit Ralph Merkle) Kryptographie p.24/54

25 Public-Key Kryptographie (2) Trennung der Schlüssel in... privaten Schlüssel und... und öffentlichen Schlüssel Alice Eve Bob kpub kpriv Kryptographie p.25/54

26 Inverse Funktionen (1) Grundlage der Kryptographie sind Funktionen, die einfach zu berechnen,... aber schwer zu invertieren sind Kryptographie p.26/54

27 mit Inverse Funktionen (2) Kann auch die inverse Funktion jeder polynomiell berechenbaren Funktion polynomiell berechnet werden? Betrachte nur. Satz 5 Sei eine polynomiell berechenbare Funktion. Dann gibt es eine nichtdeterministische polynomielle Maschine, die das Urbild von berechnet. Beweis Tafel! Kann man auch eine polynomielle Maschine angeben? Kryptographie p.27/54

28 Inverse Funktionen (3) Satz 6 Es gilt genau dann wenn jede polynomiell berechenbare Funktion eine Inverse besitzt, die ebenfalls polynomiell berechenbar ist. Beweis Tafel Die Kryptographie erfordert jedoch eine probabilistische Sichtweise! Kryptographie p.28/54

29 One-Way Functions (1) Eine Funktion heißt one-way function, falls ein polynomieller Algorithmus zur Berechnung von existiert und für alle probabilistischen polynomiellen Algorithmen die Erfolgswahrscheinlichkeit zur Invertierung von kleiner ist als der Quotient jedes Polynoms. Kryptographie p.29/54

30 One-Way Functions (2) Formal: Für alle probabilistischen polynomiellen Algorithmen und alle Polynome gibt es einen Index sodaß für alle gilt. Kryptographie p.30/54

31 One-Way Functions (3) Satz 7 Die Existenz von one-way functions impliziert. [Die Public-Key Kryptographie] kann also eine unterhaltsame Diskussion über die leere Menge sein Prof. Friedrich Bauer, 1993 Kryptographie p.31/54

32 Trapdoor One-Way Function (1) Eine one-way function function, falls ein Algorithmus heißt trapdoor one-way existiert, der mithilfe eines Strings invertieren kann, wobei die Größe von wächst:. maximal polynomiell Kryptographie p.32/54

33 Trapdoor One-Way Function (2) Ein Public-Key Cryptosystem kann aus einer trapdoor one-way function gebildet werden: Die Verschlüsselung enthält die Auswertung von an einer oder mehreren Stellen Die Entschlüsselung verwendet das trapdoor, um zu intertieren; das trapdoor wird zum privaten Schlüssel Ein Angreifer muß die one-way function invertieren, da er das trapdoor nicht kennt Kryptographie p.33/54

34 Mathematische Grundlagen ist ein Ring haben mit Alle Elemente ein Inverses Elementen ist eine Gruppe mit. : Für alle Beweis Tafel Kryptographie p.34/54

35 RSA (1) Ron Rivest, Adi Shamir, Leonard Adleman (1978) Seien RSA-Funktion: zwei große Primzahlen, mit. und Kryptographie p.35/54

36 RSA (2) Die zugehörige inverse Funktion ist gegeben durch wobei so gewählt wird, daß. Beweis Tafel ist öffentlicher Schlüssel ist privater Schlüssel (trapdoor) Kryptographie p.36/54

37 RSA (3) Satz 8 Die Berechnung von aus ist polynomiell äquivalent zur Berechnung der Primfaktorzerlegung von Satz 9 FACTORIZE Es ist kein polynomieller Algorithmus zur Berechnung der Primfaktorzerlegung bekannt. RSA ist ein Kandidat für eine one-way function! Die exakte Relation zwischen RSA und FACTORIZE ist aber unbekannt! Kryptographie p.37/54

38 Diskreter Logarithmus (1) Sei eine endliche zyklische Gruppe: In der Kryptographie verwendet man: mit Primzahl, Elliptische Kurven, Multiplikative Gruppen endlicher Körper,... Kryptographie p.38/54

39 Diskreter Logarithmus (2) DISCRETELOG über Input: Output: sodaß mod Dieses Problem scheint härter zu sein als FACTORIZE! Basis des ElGamal Public-Key Kryptosystems Kryptographie p.39/54

40 Diskreter Logarithmus (3) ElGamal: Sei ein Generator von eine Zufallszahl Öffentlicher Schlüssel: Privater Schlüssel: und Verschlüsselung wählt Zufallszahl produziert Tupel mod Entschlüsselung: mod mod mod und..., für Kryptographie p.40/54

41 Computationale Sicherheit (1) Kryptographie p.41/54

42 Computationale Sicherheit (2) Forderungen: Der private Schlüssel soll nicht aus dem öffentlichen Schlüssel berechenbar sein Nachrichten sollten nicht aus dem Chiffrat ableitbar sein Aus dem Chiffrat alleine soll keine Information über den Klartext effizient berechenbar sein Kryptographie p.42/54

43 Kryptanalyse Satz 10 Sei ein polynomiell berechenbares Prädikat über der Menge aller Klartextnachrichten. Für jedes deterministische Public-Key Kryptosystem gilt: das Problem der Berechnung von aus dem Chiffrat liegt in. Beweis Tafel Kryptographie p.43/54

44 Semantische Sicherheit (1) Ausgangspunkt: sei Funktion über der Menge aller Klartextnachrichten. eine Ziel: ein Chiffriersystem heißt semantisch sicher, wenn alle Funktionen schwer zu berechnen sind, falls nur verschlüsselte Nachrichten vorliegen. Formal wird diese Eigenschaft über zwei Spiele formuliert. Kryptographie p.44/54

45 Semantische Sicherheit (2)... Angreifer,... Richter Spiel 1. wählt errät.. Spiel 2. wählt sendet berechnet. an. aus. Ein System ist semantisch sicher, falls für alle die Wahrscheinlichkeit für das Spiel 2 zu gewinnen nicht viel größer ist als die Wahrscheinlichkeit Spiel 1 zu gewinnen. Ein Spiel ist ein probabilisticher Algorithmus! Kryptographie p.45/54

46 Ununterscheidbarkeit (1) Ein Chiffriersystem ist polynomiell ununterscheidbar, wenn ein Angreifer keinen probabilistischen polynomiellen Algorithmus verwenden kann kann, um zwei Nachrichten zu generieren, deren Chiffrate er in polynomieller Zeit unterscheiden kann. Spiel 3. wählt wählt zufällig und sendet diese an. oder... und sendet das Chiffrat, an entscheidet, ob er das Chiffrat von erhalten hat. oder Kryptographie p.46/54

47 Ununterscheidbarkeit (2) Formal heißt ein Chiffriersystem polynomiell ununterscheidbar, falls es ein Polynom gibt, sodaß die Wahrscheinlichkeit für, Spiel 3 zu gewinnen, maximal ist. Satz 11 Ein Chiffriersystem ist semantisch sicher genau dann wenn es polynomiell ununterscheidbar ist. Kryptographie p.47/54

48 Ist RSA semantisch sicher? Nein; es gibt einen Algorithmus, der RSA-Chiffrate unterscheidet: generiert wählt. sendet testet, ob oder und. aus; nenne diese Nachricht an. oder Satz 12 Jedes deterministische Public-Key Kryptosystem ist nicht semantisch sicher. Kryptographie p.48/54

49 RSA-OAEP randomisiertes RSA generator ist Zufallszahl der Länge Verschlüsselung durch pseudorandom hash function, wobei RSA-OAEP ist semantisch sicher Kryptographie p.49/54

50 Zufallszahlen (1) Wie kann man sicher Zufallszahlen erzeugen? Kryptographie p.50/54

51 Zufallszahlen (2) Wichtigste Sicherheitseigenschaft: produzierte Bits sollen nicht vorhersagbar sein Next Bit Test: Test erhält bisherige Pseudozufallszahlen:... und soll nächste Zahl vorhersagen. Ein Zufallszahlengenerator ist sicher, falls jeder Test nur raten kann. Kryptographie p.51/54

52 Hard Core Predicates (1) Ein Prädikat heißt hard-core für eine one-way function, falls in polynomieller Zeit berechenbar ist, aber jeder probabilistische polynomielle Algorithmus mit Input den Wert nur erraten kann. Kryptographie p.52/54

53 Hard Core Predicates (2) Beispiel: : least significant bit Die Berechnung des des Klartextes aus dem Chiffretext ist polynomiell äquivalent zu einem Angriff gegen RSA. Falls RSA sicher ist, kann auch der Wert des nicht effizient berechnet werden. ist dann ein Hard Core Predicate. Kryptographie p.53/54

54 Hard Core Predicates (3) Jede one-way function mit Hard Core Predicate liefert einen sicheren Zufallszahlengenerator:.. Nehme bei seed. als Zufallszahl Kryptographie p.54/54