Zahlentheorieseminar: Einführung in die Public-Key-Kryptographie

Transkript

1 Dozent: Dr. Ralf Gerkmann Referenten: Jonathan Paulsteiner ( ) und Roman Lämmel ( ) Zahlentheorieseminar: Einführung in die Public-Key-Kryptographie 0. Inhalt 1. Einführung in die Kryptographie (J) 2. Die Public-Key-Kryptographie (J) 3. Die RSA-Verschlüsselung und seine Korrektheit (R) 4. Die ElGamal-Verschlüsselung und seine Korrektheit (J) 5. MAGMA-Beispiel RSA (R) 6. Die Signatur (R) 7. Die RSA-Variante (R) 8. Die ElGamal-Variante (J) 9. Quellen 1. Einführung in die Kryptographie Die Kryptographie (griechisch: kryptos = geheim; graphein = schreiben) ist die Wissenschaft vom geheimein schreiben. Schon vor vielen hunderten von Jahren sind Nachrichten aus verschiedensten Gründen verschlüsselt worden. Viele der grundlegenden Begriffe wurden jedoch erstmals von Shannon 1949 in der Arbeit Communication Theory of Secrecy Systems klar formuliert. Alice möchte an Bob eine Nachricht senden, die nur er lesen darf. Ihre Nachricht, meist Klartext genannt, wandelt sie gemäß einer bestimmten Vorschrift in einen neuen Text, den Chiffretext um, mit dem eine außenstehende Person erstmal nichts anfangen kann. Diesen Vorgang bezeichnet man als verschlüsseln oder chiffrieren. Der Chiffretext wird nun an Bob gesendet, der Alices Vorschrift invertiert, d.h. er entschlüsselt oder dechiffriert den verschlüsselten Text. Ein Kryptosystem ist ein Tripel (P, C, K) bestehend aus endlichen Mengen P, den Klartexten (plain text) C, den Chiffretexten (cipher text) K, den Schlüsseln (keys) verbunden mit Chiffrierfunktionen e k : P C für alle k K und Dechiffrierfunktionen d k : C P für alle k K. Dabei gelte d ke k (x) = x für alle Klartexte x P und alle Schlüssel k K.

2 2. Die Public-Key-Kryptographie Nun sind zwei verschiedene Szenarien vorstellbar: 1. Das symmetrische Verfahren Der Sender übermittelt auf einem geheimen Weg den von ihm benutzten Schlüssel k, der dann die Nachricht mittels dk lesen kann. Die Funktionen ek und dk sind allgemein bekannt und schnell berechenbar. Bei diesem Verfahren findet also ein Schlüsselaustausch zwischen Sender und Empfänger statt, dessen Sicherheit man gewährleisten muss. 2. Das asymmetrische Verfahren bzw. die Public-Key-Kryptographie Statt je eines Schlüssels für Ver- und Entschlüsselung wird bei der PKK nur noch ein Schlüsselpaar (ek, dk) verwendet. Jeder Teilnehmer T eines Kommunikationsnetzes gibt öffentlich seinen Schlüssel k und die zugehörige Chiffrenfunktion ek (englisch: Encryption) bekannt, mittels derer eine Nachricht an ihn gesendet werden kann. Dies kann z.b. in einem Buch geschehen (vergleichbar mit einem Telefonbuch). Dafür muss allerdings das Schlüsselverzeichnis vor Veränderungen geschützt sein, mehr dazu später (vgl. elektronische Signaturen). Der Schlüssel dk erlaubt es, die mit ek erzeugten Chiffretexte wieder zu entschlüsseln (englisch: Decryption). Er muss genauso geheim bleiben, wie der Schlüssel eines symmetrischen Verschlüsselungsverfahrens und darf nicht mit vertretbarem Aufwand aus dem öffentlichen Schlüssel berechenbar sein. Wir nennen (k, ek) den öffentlichen Schlüssel und dk den privaten Schlüssel von T. Will nun Alice eine Nachricht x an Bob senden, so findet sie im Telefonbuch Bobs öffentlichen Schlüssel, z.b. (b, eb). Sie sendet nun eb(x), aus der Bob dann die Nachricht x = dbeb(x) wegen der Kenntnis von db bestimmen kann. Definition Seien X und Y Mengen. Eine injektive Funktion f : X Y heißt eine Einwegfunktion (one way function), falls man für jedes x X den Funktionswert y = f (x) schnell berechnen, aber für jedes beliebig vorgegebene y Bild f Y das Urbild f -1 (y) = x in vertretbarer Zeit nicht finden kann. Dies soll nur mittels allgemein unbekannter Zusatzinformation möglich sein. Dies ist keine Definition im strengen Sinne, denn der Begriff Einwegfunktion kann zwar mit Hilfe der Komplexitätstheorie und Turning Maschinen erfasst werden, allerdings ist die Existenz einer solchen Funktion bis heute nicht nachweisbar. Definition Ein Kryptosystem K heißt ein Public-Key-Kryptosystem, falls alle Chiffrierfunktionen ek mit k K Einwegfunktionen sind.

3 3. Die RSA-Verschlüsselung und seine Korrektheit Das RSA-Verfahren - Bob wählt zwei große Primzahlen p q, berechnet n = pq und ϕ(n) = (p-1)(q-1). Weiterhin wählt Bob ein e ϵ N mit 1 < e < ϕ(n) sowie ggt (e, ϕ(n)) = 1 und berechnet d ϵ N mit ed 1 mod ϕ(n) - Bob gibt den öffentlichen Schlüssel (n,e) bekannt, den geheimen Schlüssel d behält er für sich - Alice kann nun Nachrichten aus einem oder mehreren Elementen aus Z mittels der Chiffrierfunktion : P = Z -> C = Z, x y = mod n an Bob senden - Bob kann mittels der Dechiffrierfunktion : C = Z P = Z, y -> mod n die Nachricht entschlüsseln Beispiel (zum besseren Verständnis wählen wir zwei kleinere Primzahlen) - Bob wählt n = 133 = 7 19 und berechnet ϕ(n) = 6 18 = 108. Weiterhin wählt Bob e = 5 und gibt den öffentlichen Schlüssel (133,5) bekannt - Mit dem erweiterten euklidischen Algorithmus berechnet er: 1 = Bobs geheimer Schlüssel d ist also mod Alice möchte nun die Zahl 7 an Bob senden und berechnet dazu: 7 = = 49 mod 133 Alice überträgt also die verschlüsselte Zahl 49 an Bob - Dieser berechnet 49 7 mod 133 und erhält somit die Zahl, die Alice an Bob weitergeben wollte Anmerkungen zum RSA-Verfahren - (n,e) ist im öffentlichen Schlüssel, kennt man also die Faktorisierung n = pq, kann man ϕ(n) bestimmen und folglich mit der Kongruenz ed 1 mod ϕ(n) auch den geheimen Schlüssel d Wähle n so groß, dass die Faktorisierung von n in ein Produkt zweier Primzahlen nicht möglich ist. Bsp. RSA-Laboratories: Faktorisierung einer RSA-Zahl mit 704 Binärstellen brachte Dollar ein. Diese wurde 2012 geknackt. Die aktuell größte Zahl, die noch nicht faktorisiert wurde, besitzt 896 Binärstellen. - Darauf aufbauend haben 1978 Rivest, Shamir und Adleman das RSA-Verfahren vorgestellt

4 - Angenommen ein Außenstehender fängt die chiffrierte Nachricht y ab, so müsste er, um die eigentliche Nachricht x zu bekommen, die Kongruenz y = mod n lösen. Da dies aber unendlich viele Lösungen birgt, braucht der Außenstehende zusätzlich den geheimen Schlüssel d wegen x = mod n. Das d bekommt er wiederum nur, wenn er ϕ(n) kennt, dessen Bestimmung die Faktorisierung der Zahl n in die Primfaktoren p und q voraussetzt. Dies ist, wie bereits besprochen, äußerst schwierig. Satz Damit das RSA-Verfahren an Gültigkeit besitzt, ist der Beweis folgenden Satzes nötig. : (x) = x für alle x ϵ Z Beweis Vorbemerkungen: - Satz von Lagrange: In jeder Gruppe G mit endlicher Ordnung m ist die m-te Potenz jedes Elements x ϵ G das Einselement 1 - Da n das Produkt zweier Primzahlen p und q ist, gilt der Chinesische Restsatz (Z/nZ) (Z/pZ) (Z/qZ) Folglich gilt ϕ(n) = ϕ(p)ϕ(q) = (p-1)(q-1) - Da (Z/pZ), (Z/qZ) zyklisch da p,q Prim und zusätzlich ggt(p, q) = 1, ist auch (Z/nZ) zyklisch Zu zeigen ist also: x mod n für alle x ϵ Z 1. Fall: p x und q x => n x, somit ist x = an für ein geeignetes a ϵ Z

5 => x 0 mod n und 0 mod n => x mod n 2. Fall: p x und q x => x ϵ (Z/nZ) Wegen ed 1 mod ϕ(n) folgt ed = 1+zϕ(n) für ein geeignets z ϵ N. Also gilt: = ( ) = x( ( ) ) Lagrange: x ϵ (Z/nZ) mit Ordnung ϕ(n) => ( ) 1 mod n => = x( ( ) ) x(1) x mod n 3. Fall: p x und q x (wegen Symmetriegründen deckt dies auch den Fall p x und q x ab) => x ϵ (Z/qZ) Wegen ϕ(n) = ϕ(p)ϕ(q) (siehe Vorbemerkung Chinesischer Restsatz) und für geeignetes z ϵ N folgt: = x( ( ) ) = x( ( ) ) ( ) Aus Lagrange für x ϵ (Z/qZ) folgt ( ) 1 mod q => = x( ( ) ) ( ) x(1) ( ) x mod q Aus x mod q folgt q ( - x). Da p x, somit p ( - x) und ggt (p, q) = 1, folgt nun, dass pq = n ( - x) 0 ( - x) mod n x mod n 4. Die ElGamal-Verschlüsselung und seine Korrektheit Bob wählt eine große Primzahl p, einen Erzeuger α für die zyklische Gruppe Z und ein a N mit 2 < a < p - 2. Damit berechnet er β = a mod p. Als öffentlichen Schlüssel gibt er das Tripel (p, α, β) bekannt und hält die Zahl a geheim. Der Gesamtschlüssel ist also K := (p, α, β, a). Will nun Alice eine Nachricht x Z = P an Bob senden, so wählt sie ein zufälliges b mit 2 < b < p - 2 und verschlüsselt x zum Paar (y 1,y 2) = Z Z = C, wobei Der erzeugte Schlüsseltext ist also y 1 mod p und y 2 mod p. e K(x, b) = (y 1,y 2).

6 Bob kann nun (y 1,y 2) wie folgt entschlüsseln: (y1,y2) y 2( 1 ) -1 mod p Korrektheit des Verfahrens Dass die Dechiffrierung wieder die gesendete Nachricht x ergibt, folgt aus y2( 1 ) -1 (xβ b )(α ab ) -1 mod p (xβ b )(β b ) -1 mod p x mod p. Wir fassen noch einmal kurz zusammen: Durch die Multiplikation mit β b wird die Nachricht x in xβ b mod p versteckt. Der Empfänger berechnet also d K(y 1,y 2) = y 2( 1 ) -1. Einfaches Beispiel in Restklassengruppen Anmerkung zur Erzeugung von beliebigen p : Der Empfänger sucht sich eine große Primzahl q und eine Zahl u, so dass v = 2uq + 1 eine Primzahl ist. Bob wählt p = = 107. Wegen mod 107 hat 2 in der Gruppe Z 107 die Ordnung 106 und ist somit ein Erzeuger für Z 107. Bob wählt nun a = 51 und berechnet β mod 107. Seinen öffentlichen Schlüssel (p, α, β) = (107, 2, 80) gibt er bekannt und hält a = 51 geheim. Alice möchte nun eine Nachricht x = 83 an Bob senden und wählt dazu b = 17. Sie verschickt und y 1 mod p 2 17 mod mod 107 y 2 mod p mod mod 107. Bob berechnet nun y2( 1 ) ( ) mod 107 und erhält so die Nachricht x = 83 von Alice.

7 Übung Sei Bobs öffentlicher Schlüssel (p, α, β) = (23, 7, 4) und a = 3. Alice sendet nun eine Nachricht x = 18 an Bob und wählt dabei b = 3. Zeigen Sie, dass die Nachricht bei Bob korrekt entschlüsselt wird. Lösung y 1 mod p 7 3 mod mod 23 und y 2 mod p mod 23 2 mod 23 Es folgt die Entschlüsselung: y2( 1 ) -1 2 (21 3 ) mod MAGMA-Beispiel RSA-Verfahren 6. Signaturen - Signaturen sind Unterschriften, die an Nachrichten angehängt werden und eine glaubwürdige Herkunft garantieren, sprich sie stellt sicher, dass die empfangene Nachricht auch tatsächlich von dem Absender stammt, von dem man meint, dass sie stammt - Die Vermittlung der Signatur erfolgt separat von der Nachricht, um es einem möglichen Störer schwerer zu machen, die Nachricht bzw. Signatur abzufangen und zu fälschen - Trotzdem stehen beide indirekt in Verbindung, sodass jede Nachricht eine spezifische Signatur besitzt - Def.: Ein Signatur-System S ist ein Tripel (P, U, K) bestehend aus endlichen Mengen P, den Nachrichten U, den Unterschriften K, den Schlüsseln Für jedes k ϵ K existieren Funktionen, die Signaturen : P U und Verifikationsfunktionen : P U {wahr, falsch} wobei für x ϵ P und u ϵ U : (x, u) = h, h, ( ) = - Eine Signatur liefert also eine Unterschrift unter eine Nachricht, die mit einfachen Mitteln, einem öffentlichen, verifiziert werden kann

8 7. Die RSA-Signatur - Alice wählt zwei große Primzahlen p q, berechnet n = pq und ϕ(n) = (p-1)(q-1). Weiterhin wählt sie ein e ϵ N mit 1 < e < ϕ(n) sowie ggt (e, ϕ(n)) = 1 und berechnet d ϵ N mit ed 1 mod ϕ(n) - Alice gibt ihren öffentlichen Schlüssel (n,e) an und möchte nun ihre Nachricht x ϵ Z = P zusätzlich unterschreiben. Dazu berechnet sie mit ihrem geheimen Schlüssel: u = u(x) mod n ϵ Z = U - Alice gibt nun noch die Verifikation an, mit der Bob die Signatur auf Echtheit prüfen kann: (x, u) = h, h, mod n Beispiel zur RSA-Signatur - Sei n = 85 = Alice berechnet ϕ(n) = 4 16 = 64, wählt ihr e = 5 und bestimmt dann d ϵ N mit dem erweiterten euklidischen Algorithmus: 1 = d = 13 - Alice berechnet 7 57 mod 85 und gibt u = 57 zusätzlich, aber getrennt von x = 7, an Bob weiter - Bob verifiziert mit Alice öffentlichem Schlüssel: (x, u) = 57 7 mod 85 - Die Nachricht und das Ergebnis der Verifikationsfunktion sind identisch. Bob kann also davon ausgehen, dass die überbrachte Nachricht nicht gefälscht wurde und tatsächlich von Alice stammt Anmerkungen zur RSA-Signatur - Der Unterscheid zum RSA-Verfahren besteht in der Nutzung des öffentlichen Schlüssels. Statt Bobs wird hier Alice öffentlicher Schlüssel genutzt. Im Falle einer Übereinstimmung des Ergebnisses der Verifikationsfunktion mit der Nachricht, kann man also mit einer sehr hohen Wahrscheinlichkeit davon ausgehen, dass diese nicht gefälscht ist - Ergibt die Nachprüfung x mod n so folgt: u mod n da das Potenzieren mit d auf Z injektiv ist Die Unterschrift stammt nicht vom Sender der Nachricht x - Für Fälscher von Unterschriften muss also d bestimmt werden, was wie bereits erwähnt äußerst schwer ist

9 - Voraussetzung für die Verschlüsselungsverfahren sowie Signaturen sind natürlich authentische öffentliche Schlüssel, die in einem Art kontrolliertem Telefonbuch angesammelt werden könnten. Denn sonst könnten Fälscher einfach den eigenen öffentlichen Schlüssel anstatt den von Alice an Bob weitergeben. Dies hätte zur Folge, dass Bob empfangene Nachrichten als authentisch ansehen würde, obwohl diese gefälscht sind. 8. Die ElGamal-Signatur Wie bei der ElGamal-Verschlüsselung sei p eine große Primzahl, α ein Erzeuger für die zyklische Gruppe Z und β = a mod p für ein a N mit 2 a p - 2. Alice hat den öffentlichen Schlüssel (p, α, β) und will nun eine Nachricht x Z = P unterschreiben. Sie wählt dafür ein zufälliges 1 k p - 1, welches zu p - 1 teilerfremd ist und signiert mittels der Abbildung wobei x (u 1, u 2) Z Z = U u 1 mod p und u 2 (x a u 1)k -1 mod (p - 1). Zum Verifizieren gibt sie öffentlich v(x, u 1, u 2) = wahr, falls mod p falsch, sonst bekannt. Ist also (u 1, u 2) die Signatur von Alice für eine Nachricht x, so gilt ( 1 ) 1 mod p. Nur dann ist die Signatur wirklich von Alice und somit authentisch. 9. Quellen - Wolfram Mathworld, RSA Number. URL: ( ) - Willems, W. (2008) Codierungstheorie und Kryptographie. Basel: Birkhäuser Verlag AG

10