3 Public-Key-Kryptosysteme

Transkript

1 Stand: Vorlesung Grundlagen und Methoden der Kryptographie Dietzfelbinger 3 Public-Key-Kryptosysteme 3.1 Verschlüsselung von Nachrichten Wir betrachten ganz einfache Kommunikationsszenarien. Die Teilnehmer: Alice und Bob. Sie wollen sich über einnen oen zugänglichen Kanal ( , ein Webportal) Nachrichten schicken. Dieser Kanal wird von Eve mitgelesen. Alice und Bob wollen vermeiden, dass Eve den Inhalt der Nachricht erfährt. Alice möchte an Bob eine Nachricht schicken. Durch geeignete Transformation kann man annehmen, dass die Nachricht die Gestalt (m 1,..., m l ) hat, für Zahlen m 1,..., m l {0,..., n 1}. (Der Nachrichtentext ist ein Binärstring. Alice teilt diesen in Blöcke mit höchstens log n Bits, jeder der Blöcke liefert eine Zahl in {0,..., n 1}. Der Empfänger Bob muss dann am Ende diese Transformation rückgängig machen.) Symmetrische Verschlüsselungsverfahren verwenden einen Schlüssel k, der Alice und Bob bekannt ist, aber nicht Eve. Alice verschlüsselt (m 1,..., m l ) mit Hilfe von k, sendet das Ergebnis an Bob, dieser entschlüsselt mit Hilfe von k. Beispiel 1: One-time-pad: n = 2 z und k = (k 1,..., k l ) ist eine zufällig gewählte Folge von Zahlen in {0,..., n 1}, äquivalent ist k ein zufälliger String aus kz Bits. Verschlüsselung: y i = (m i + k i ) mod n, für i = 1,..., l. (Alternativ: y i = (m i k i ) mod n, wobei für das bitweise XOR steht.) Gesendet wird (y 1,..., y l ). Bob berechnet z i = (y i k i ) mod n, für i = 1,..., l. (Bzw. z i = (y i k i ) mod n.) Weil x i = z i gilt, erhält Bob die ursprüngliche Nachricht. Eve hat keine Chance, auf den Inhalt der Nachricht zu schlieÿen, da unabhängig von (m 1,..., m l ) die übermittelte Sequenz (y 1,..., y l ) rein zufällig ist. Was man nicht machen darf, ist, für die verschiedenen Blöcke den gleichen Schlüssel zu benutzen. Vorteil: Vollständige Sicherheit. Nachteil: Alice und Bob müssen vor der eigentlichen Kommunikation den Schlüs- 1

2 sel festgelegt und sich darüber verständigt haben (ohne dass Eve den Schlüssel in Erfahrung bringen kann). Beispiel 2: AES. Blocklänge (Bitlänge von m i ): 128 Bits. Länge des Schlüssels k: 128, 192 oder 256 Bits. Jeder Block wird mit demselben Schlüssel k verschlüsselt, ebenso entschlüsselt, nach einem komplexen, aber ezienten Rechenverfahren. Auch hier müssen sich Alice und Bob vorab über den zu verwendenden Schlüssel einigen. In den beiden folgenden Abschnitten besprechen wir asymmetrische Verfahren, bei denen Bob einen öentlichen Schlüssel besorgt und bereitstellt, zum Beispiel in einem öentlich zugänglichen Schlüsselbuch oder auf seiner Webseite. Alice benutzt diesen Schlüssel zum Verschlüsseln. Bob besitzt auÿerdem einen geheimen Entschlüsselungs- Schlüssel, der zum Entschlüsseln benutzt wird. Eine Vorab-Einigung über den Schlüssel ist überüssig. 3.2 Das RSA-Kryptosystem Schlüsselerzeugung Dieser Vorgang wird oft (im Geheimen) von einem Trust Center durchgeführt. (Es ist aber auch möglich, dass Bob dies selber vornimmt.) Die Schlüssellänge ist festzulegen, etwa 1024 oder 2048 Bits. Danach werden zwei (zufällige) Primzahlen p und q mit der Hälfte dieser Bitlänge bestimmt. Hierzu kann man im Prinzip wie in Abschnitt 2.2 beschrieben vorgehen. Nun wird das Produkt n = pq sowie die Zahl ϕ(n) = (p 1)(q 1) berechnet. Es wird eine Zahl e aus {2,..., ϕ(n) 1} gewählt. Mittels des erweiterten Euklidischen Algorithmus werden Zahlen d und s mit ggt(e, ϕ(n)) = ed+sϕ(n) ermittelt. Wurde e zufällig gewählt, gilt mit überwältigender Wahrscheinlichkeit ggt(e, ϕ(n)) = 1, also d das multiplikative Inverse zu e modulo ϕ(n). (Sollte dies nicht so sein, wird ein neues e gewählt und erneut gerechnet.) Bob erhält (vom Trust Center oder aus seiner Rechnung): n, e und d. Der öentliche Schlüssel ist das Paar (n, e) (encryption key). Dieser wird bekanntgegeben. Der geheime Schlüssel ist d (decryption key). Der Berechnungsaufwand für die Schlüsselerzeugung ist O((log n) 4 ), weil dies die Kosten der Primzahlerzeugung sind, siehe Abschnitt

3 3.2.2 Verschlüsselung Alice besorgt sich den öentlichen Schlüssel (n, e). Sie zerlegt die zu sendende Nachricht in Blöcke (m 1,..., m l ), wobei jede Komponente eine Zahl in {0,..., n 1} ist. Wir beschreiben im folgenden, wie eine solche Komponente m = m i ver- und entschlüsselt wird. Klartext: m {0,..., n 1}. Chiretext: y := m e mod n. (Zu berechnen mit schneller Exponentiation, Rechenzeit O((log n) 3 ).) Der Chiretext wird über den öentlichen Kanal an Bob geschickt Entschlüsselung Bob erhält ein Chirat y {0,..., n 1}. Er möchte den Ursprungstext x wieder herstellen. Er berechnet (ebenfalls mit schneller Exponentiation): z := y d mod n. Diese Rechnung kann er ausführen, da er den geheimen Schlüssel d und selbstverständlich auch den öentlichen Schlüssel (n, e) kennt. Nach den Potenzrechenregeln, die auch für die modulare Arithmetik gelten, ist z = (m e mod n) d mod n = m ed mod n. Die Korrektheit der Entschlüsselung beruht auf folgendem Satz. Satz 3.1 Korrektheit von RSA m ed mod n = m, für alle m {0, 1,..., n 1}. Beweis: Weil m und m ed mod n beide in {0, 1,..., n 1} liegen, genügt es zu zeigen, dass m ed m (mod n) gilt, d. h. m ed m 0 (mod n). Dies weisen wir im Folgenden nach. Betrachte die Primfaktoren p und q von n. Da ed 1 (mod ϕ(n)) und ϕ(n) = (p 1)(q 1) gilt, haben wir ed = k(p 1)(q 1) + 1 für eine Zahl k Z. Beh.: p teilt m ed m = (m k(p 1)(q 1) 1) m. Wenn m durch p teilbar ist, ist dies klar. Wir können also annehmen, dass p kein Teiler von m ist. Nach dem kleinen Satz von Fermat (Fakt 1.25) gilt m p 1 mod p = 1, also auch m k(p 1)(q 1) mod p = (m (p 1) ) k(q 1) mod p = 1. 3

4 Dies bedeutet, dass p ein Teiler von m k(p 1)(q 1) 1 ist, also auch ein Teiler von m ed m = (m k(p 1)(q 1) 1) m. Die Behauptung gilt natürlich genauso für q: auch q ist ein Teiler von m ed m. Da p und q teilerfremd sind, folgt aus Fakt 1.8, dass n = pq Teiler von m ed m ist, das heiÿt, dass m ed m (mod n) gilt, wie gewünscht. RSA, insgesamt Bob erwirbt von einem Trust Center einen Schlüsselsatz (n, e, d). Er veröentlicht (n, e) und hält d geheim. Wenn Alice (m 1,..., m l ) an Bob schicken will, verschlüsselt sie y i := m e i mod n, für i = 1,..., l, und sendet (y 1,..., y m ) an Bob. Dieser entschlüsselt und erhält (z 1,..., z l ) = (m 1,..., m l ). z i := y d i mod n, für i = 1,..., l, Man kann zeigen, dass die Gegenspielerin Eve den Entschlüsselungsschlüssel d nur ezient ermitteln kann, wenn sie n ezient in Faktoren zerlegen kann. Dieses Problem gilt bislang als im Allgemeinen schwierig und für das Produkt n von zufälligen Primzahlen mit 512 Bits (oder 1024 Bits) als nicht lösbar. Natürlich kann es andere Möglichkeiten geben, aus n, e und y den Klartext m oder zumindest partielle Information über diesen Klartext m zu gewinnen. Es gibt sogar einige oensichtliche Informationen, die man berechnen kann. Dem wird zum Beispiel dadurch ausgewichen, dass man die echten Klartexte m kürzer als log n anlegt und durch einen zufälligen String einer festen Länge zu einer Zahl m mit der passenden Länge ergänzt. (Unterschied zwischen Textbook-RSA und RSA-Versionen, die für die industrielle Anwendung geeignet sind.) Beispiel: n = 55 = ϕ(n) = 4 10 = 40. e = 3, ggt(3, 40) = 1, d = e 1 mod 40 = 27, weil 3 27 = 81 1 (mod 40) gilt. Sei die Botschaft m durch m = 9 gegeben. y = 9 3 mod 55 = 729 mod 55 = 14. Wir rechnen modulo 55: y 27 (14 3 ) (( 6) 3 ) mod

5 Passt! 3.3 Das Rabin-Kryptosystem Es ist nicht bekannt, ob die Schwierigkeit, RSA-verschlüsselte Botschaften unberechtigterweise zu entschlüsseln, äquivalent zum Faktorisierungsproblem ist. Wir betrachten hier noch das Rabin-Verschlüsselungsverfahren, bei dem dies so ist Schlüsselerzeugung Bob wählt zwei zufällige groÿe Primzahlen p und q mit p q 3 (mod 4), also Primzahlen, die um 1 kleiner als ein Vielfaches von 4 sind. (Das Verfahren aus Abschnitt 2.2. funktioniert genauso schnell, wenn man nur Zahlen testet, deren Binärdarstellung mit 11 endet.) Sie berechnet n = pq. Der öentliche Schlüssel ist n; der geheime Schlüssel ist (p, q) Verschlüsselung Alice ndet den öentlichen Schlüssel n von Bob. Wir beschreiben nur die Verschlüsselung eines Blocks m, der eine Zahl < n ist. Alice berechnet und sendet y an Bob. y := m 2 mod n Entschlüsselung Bob hat nun das Problem, Quadratwurzeln von y modulo n zu berechnen, das sind Zahlen b mit b 2 mod n = y. Er hat aber den Vorteil, die Faktoren p und q zu kennen. Er berechnet: r := y (p+1)/4 mod p und s := y (q+1)/4 mod q. Weil r 2 mod p = ((m 2 mod n) (p+1)/4 ) 2 mod p = m p+1 mod p = (m p m) mod p = m 2 mod p (wir haben den kleinen Satz von Fermat in der Version m p m (mod p) für alle m benutzt), gilt r 2 m 2 (r m)(r + m) 0 (mod p). Das heiÿt, dass entweder r m (mod p) oder p r m (mod p) gilt. Genauso sieht man, dass s m (mod q) oder q s m (mod q) gilt. 5

6 Mit der konstruktiven Variante des chinesischen Restsatzes (Bemerkung nach Fakt 1.26) kann Bob nun vier Zahlen z 1,..., z 4 {0,..., n 1} berechnen, die die folgenden Kongruenzen erfüllen: z 1 r (mod p) und z 1 s (mod q); z 2 r (mod p) und z 2 q s (mod q); z 3 p r (mod p) und z 3 s (mod q); z 4 p r (mod p) und z 4 q s (mod q). Wegen der obigen Überlegung ist m {z 1,..., z 4 }. Bob kann nun eine dieser vier Möglichkeiten wählen. (Man kann Vorkehrungen treen, dass sinnvolle Blöcke leicht zu erkennen sind. Beispielsweise könnte man den Block m mit einer bestimmten Bitfolge wie abschlieÿen. Es ist dann nicht anzunehmen, dass die Binärdarstellung einer der anderen Möglichkeiten ebenso endet.) Welcher Rechenaufwand ist nötig? Für die Verschlüsselung muss nur eine Quadrierung durchgeführt werden; sie kostet nur Zeit O((log n) 2 ). Die Entschlüsselung erfordert eine Exponentiation modulo p und eine modulo q und mehrere Anwendungen des erweiterten Euklidischen Algorithmus insgesamt Zeit O((log n) 3 ). 6