3 Das RSA-Kryptosystem



Ähnliche Dokumente
3 Public-Key-Kryptosysteme

Primzahlen und RSA-Verschlüsselung

RSA Verfahren. Kapitel 7 p. 103

11. Das RSA Verfahren und andere Verfahren

Das RSA-Verfahren. Armin Litzel. Proseminar Kryptographische Protokolle SS 2009

RSA-Verschlüsselung. Verfahren zur Erzeugung der beiden Schlüssel:

Lenstras Algorithmus für Faktorisierung

Kryptographische Verfahren auf Basis des Diskreten Logarithmus

Das RSA-Verschlüsselungsverfahren 1 Christian Vollmer

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Computeralgebra in der Lehre am Beispiel Kryptografie

Mathematische Grundlagen der Kryptographie. 1. Ganze Zahlen 2. Kongruenzen und Restklassenringe. Stefan Brandstädter Jennifer Karstens

Verschlüsselung. Chiffrat. Eve

5. Übung zum G8-Vorkurs Mathematik (WiSe 2011/12)

10. Public-Key Kryptographie

50. Mathematik-Olympiade 2. Stufe (Regionalrunde) Klasse Lösung 10 Punkte

7 Rechnen mit Polynomen

Mathematik und Logik

Der Zwei-Quadrate-Satz von Fermat

Zahlen und das Hüten von Geheimnissen (G. Wiese, 23. April 2009)

Einführung in die Algebra

Modul Diskrete Mathematik WiSe 2011/12

Informationsblatt Induktionsbeweis

Lösungsvorschlag für die Probeklausuren und Klausuren zu Algebra für Informations- und Kommunikationstechniker bei Prof. Dr.

Praktikum Diskrete Optimierung (Teil 11)

Grundlagen der Verschlüsselung und Authentifizierung (2)

Zur Sicherheit von RSA

RSA-Verschlüsselung. von Johannes Becker Gießen 2006/2008

LU-Zerlegung. Zusätze zum Gelben Rechenbuch. Peter Furlan. Verlag Martina Furlan. Inhaltsverzeichnis. 1 Definitionen.

Lineare Gleichungssysteme

Professionelle Seminare im Bereich MS-Office

Würfelt man dabei je genau 10 - mal eine 1, 2, 3, 4, 5 und 6, so beträgt die Anzahl. der verschiedenen Reihenfolgen, in denen man dies tun kann, 60!.

Mathematischer Vorbereitungskurs für Ökonomen

Grundlagen der höheren Mathematik Einige Hinweise zum Lösen von Gleichungen

Repetitionsaufgaben Wurzelgleichungen

Musterlösungen zur Linearen Algebra II Blatt 5

Die Gleichung A x = a hat für A 0 die eindeutig bestimmte Lösung. Für A=0 und a 0 existiert keine Lösung.

OECD Programme for International Student Assessment PISA Lösungen der Beispielaufgaben aus dem Mathematiktest. Deutschland

Grundlagen der Theoretischen Informatik, SoSe 2008

Primzahlzertifikat von Pratt

1 Mathematische Grundlagen

Outlook. sysplus.ch outlook - mail-grundlagen Seite 1/8. Mail-Grundlagen. Posteingang

Die Größe von Flächen vergleichen

Kompetitive Analysen von Online-Algorithmen

Kryptographie eine erste Ubersicht

Leichte-Sprache-Bilder

Public-Key Verschlüsselung

RS-Flip Flop, D-Flip Flop, J-K-Flip Flop, Zählschaltungen

Güte von Tests. die Wahrscheinlichkeit für den Fehler 2. Art bei der Testentscheidung, nämlich. falsch ist. Darauf haben wir bereits im Kapitel über

1. Man schreibe die folgenden Aussagen jeweils in einen normalen Satz um. Zum Beispiel kann man die Aussage:

10. Kryptographie. Was ist Kryptographie?

Anleitung über den Umgang mit Schildern

Prozentrechnung. Wir können nun eine Formel für die Berechnung des Prozentwertes aufstellen:

Korrelation (II) Korrelation und Kausalität

8. Quadratische Reste. Reziprozitätsgesetz

Alle Schlüssel-Karten (blaue Rückseite) werden den Schlüssel-Farben nach sortiert und in vier getrennte Stapel mit der Bildseite nach oben gelegt.

Gleichungen Lösen. Ein graphischer Blick auf Gleichungen

Bruchrechnung Wir teilen gerecht auf

Korrigenda Handbuch der Bewertung

1. Einführung Erstellung einer Teillieferung Erstellung einer Teilrechnung 6

Erste Vorlesung Kryptographie

Behörde für Bildung und Sport Abitur 2008 Lehrermaterialien zum Leistungskurs Mathematik

13. Lineare DGL höherer Ordnung. Eine DGL heißt von n-ter Ordnung, wenn Ableitungen y, y, y,... bis zur n-ten Ableitung y (n) darin vorkommen.

AutoCAD Dienstprogramm zur Lizenzübertragung

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Charakteristikum des Gutachtenstils: Es wird mit einer Frage begonnen, sodann werden die Voraussetzungen Schritt für Schritt aufgezeigt und erörtert.

11.AsymmetrischeInformation

S/W mit PhotoLine. Inhaltsverzeichnis. PhotoLine

IT-Sicherheitsmanagement. Teil 12: Asymmetrische Verschlüsselung

Abschlussprüfung Realschule Bayern II / III: 2009 Haupttermin B 1.0 B 1.1

DLP. Adolphe Kankeu Tamghe ALZAGK SEMINAR. Bremen, den 18. Januar Fachbereich Mathematik und Informatik 1 / 27

Plotten von Linien ( nach Jack Bresenham, 1962 )

Berechnung der Erhöhung der Durchschnittsprämien

Zeichen bei Zahlen entschlüsseln

QM: Prüfen -1- KN

HIER GEHT ES UM IHR GUTES GELD ZINSRECHNUNG IM UNTERNEHMEN

1 C H R I S T O P H D R Ö S S E R D E R M A T H E M A T I K V E R F Ü H R E R

1 topologisches Sortieren

ONLINE-AKADEMIE. "Diplomierter NLP Anwender für Schule und Unterricht" Ziele

Kulturelle Evolution 12

Wir arbeiten mit Zufallszahlen

Info zum Zusammenhang von Auflösung und Genauigkeit

Ein neuer Beweis, dass die Newton sche Entwicklung der Potenzen des Binoms auch für gebrochene Exponenten gilt

SUDOKU - Strategien zur Lösung

Abituraufgabe zur Stochastik, Hessen 2009, Grundkurs (TR)

Ist Fernsehen schädlich für die eigene Meinung oder fördert es unabhängig zu denken?

Lineare Gleichungssysteme

Erstellen einer Collage. Zuerst ein leeres Dokument erzeugen, auf dem alle anderen Bilder zusammengefügt werden sollen (über [Datei] > [Neu])

Menü auf zwei Module verteilt (Joomla 3.4.0)

Daten sammeln, darstellen, auswerten

Bewertung des Blattes

Tutorium zur Mikroökonomie II WS 02/03 Universität Mannheim Tri Vi Dang. Aufgabenblatt 3 (KW 44) ( )

Anwendungsbeispiele Buchhaltung

Lineare Funktionen. 1 Proportionale Funktionen Definition Eigenschaften Steigungsdreieck 3

Rente = laufende Zahlungen, die in regelmäßigen Zeitabschnitten (periodisch) wiederkehren Rentenperiode = Zeitabstand zwischen zwei Rentenzahlungen

Beispiellösungen zu Blatt 111

Kreativ visualisieren

myfactory.go! - Verkauf

Wir machen neue Politik für Baden-Württemberg

L10N-Manager 3. Netzwerktreffen der Hochschulübersetzer/i nnen Mannheim 10. Mai 2016

Transkript:

Stand: 15.12.2014 Vorlesung Grundlagen und Methoden der Kryptographie Dietzfelbinger 3 Das RSA-Kryptosystem RSA: Erfunden von Ronald L. Rivest, Adi Shamir und Leonard Adleman, 1977. (Ein ähnliches Verfahren wurde bereits um Anfang der 1970er Jahre in den Government Communications Headquarters, der Kryptologie-Abteilung des Britischen Geheimdienstes, entwickelt, aber nicht veröentlicht.) Vorsicht: In der hier zunächst vorgestellten Version ist RSA unsicher. Es müssen Modkationen und Einschränkungen vorgenommen werden, um ein sicheres Verfahren zu erhalten. Gute Referenz hierfür: Baumann, Franz, Ptzmann, Kryptographische Systeme, Springer Vieweg 2014. 3.1 Asymmetrische Kryptosysteme Wir betrachten ein einfaches Kommunikationsszenario. Die Teilnehmer sind Alice und Bob. Alice möchte an Bob eine Nachricht schicken. Dies soll über einen oen zugänglichen Kanal (E-Mail, ein Webportal) geschehen. Dieser Kanal wird von Eve mitgelesen. Alice und Bob wollen vermeiden, dass Eve den Inhalt der Nachricht erfährt. 1 Die Menge X der möglichen Nachrichten kann als Teilmenge von {0, 1} aufgefasst werden. Das RSA-System in seiner puren Form verarbeitet Nachrichten x [n], für eine Zahl n. Um einen langen binären Klartext m der Länge L zu ver- und entschlüsseln, gehen wir folgendermaÿen vor. Wir (bzw. Alice und Bob) wählen w mit 2 w n, zum Beispiel w = log n. Durch Auffüllen z. B. mit Nullen können wir annehmen, dass L durch w teilbar ist. Alice teilt m in r = L/w Blöcke x 1,..., x r mit jeweils w Bits. Diese Blöcke werden als Zahlen < n aufgefasst. Alice verschlüsselt jeden Block einzeln, und sendet die Folge y 1,..., y r der Chiretexte an Bob. Bob entschlüsselt Block für Block und setzt die Nachricht zusammen. Ab hier nehmen wir stets an, dass der Klartext x selbst eine Zahl in [n] ist. 1 Wenn auch Bob an Alice Nachrichten schicken möchte, müssen die Aktionen nochmals mit vertauschten Rollen ausgeführt werden. 1

RSA ist ein asymmetrisches Verschlüsselungsverfahren. Das bedeutet Folgendes: Man benötigt ein (randomisiertes) Verfahren G zur Erzeugung von Schlüsselpaaren (k, ˆk) aus K pub K priv. Üblicherweise hat G einen Parameter l, die Schlüssellänge. Den Wertebereich von G, also die Menge aller möglichen Schlüsselpaare (k, ˆk), wollen wir K nennen. Dabei ist k Bobs öentlicher Schlüssel, der öentlich zugänglich ist (zum Beispiel in einem allgemein zugänglichen Schlüsselbuch oder auf Bobs Webseite) und ˆk ist sein privater Schlüssel, den nur er kennt. Alice verwendet k zur Verschlüsselung, Bob verwendet ˆk zur Entschlüsselung. Wir werden gleich sehen, dass im RSA-System durch ein solches Schlüsselpaar (k, ˆk) eine Zahl n bestimmt ist, so dass Klartexte x [n] und Chiretexte y [n] direkt verarbeitet werden können. In unserem vereinfachten Szenario ist X = X n = [n] die Menge der möglichen Klartexte, Y = Y n = [n] ist die Menge der möglichen Chiretexte. Es gibt einen (eventuell randomisierten) Verschlüsselungsalgorithmus E, der aus x X n und dem öentlichen Schlüssel k den Kryptotext y Y n berechnet, sowie einen (deterministischen) Entschlüsselungsalgorithmus D, der aus y Y und dem privaten Schlüssel ˆk den entschlüsselten Text z berechnet. Abstrakt haben wir zwei Funktionen E : (x, k) y Y n, wobei x X n und k erste Komponente eines Schlüsselpaars (k, ˆk) K mit zugeordneter Zahl n ist, und D : (y, ˆk) z X n, wobei y Y und ˆk zweite Komponente eines Schlüsselpaars (k, ˆk) K mit zugeordneter Zahl n ist. Typischerweise sind die Funktionen E und D allgemein bekannt; das einzige Geheimnis im Verfahren steckt im privaten Schlüssel k. Korrektheit: Wenn (k, ˆk) K ist, muss gelten: D(E(x, k), ˆk) = x, für x X n. (Diese Gleichung verlangt, dass der Entschlüsselungsalgorithmus immer x liefert, ganz gleichgültig, welche Zufallsentscheidungen der Verschlüsselungsalgorithmus E getroffen hat.) Sicherheit: Es soll verhindert werden, dass Eve aus dem Kryptotext y und dem öentlichen Schlüssel k relevante Informationen über den Klartext x gewinnen kann. Hierbei wird üblicherweise angenommen, dass sie nur begrenzten Rechenaufwand betreiben kann. 2

3.2 Das RSA-Kryptosystem 3.2.1 Schlüsselerzeugung Wir beschreiben den Erzeugungsprozess G. Dieser Vorgang wird von Bob selbst oder auch von einem Trust Center durchgeführt. Die Schlüssellänge ist festzulegen (etwa l = 512, 1024 oder 2048 Bits). Danach werden zwei (zufällige, verschiedene) Primzahlen p und q bestimmt, deren Bitlänge die Hälfte der Schlüssellänge ist. Hierzu kann man im Prinzip wie in Abschnitt 2.2 beschrieben vorgehen. Nun wird das Produkt n = pq berechnet. Die Zahl n hat l oder l 1 Bits. 2 Weiter wird ϕ(n) = (p 1)(q 1) berechnet. Es wird eine Zahl e aus {2,..., ϕ(n) 1} gewählt. Mittels des erweiterten Euklidischen Algorithmus (Algorithmus 1.2) wird überprüft, ob ggt(e, ϕ(n)) = 1 ist und gegebenenfalls das multiplikative Inverse d < ϕ(n) modulo ϕ(n) von e bestimmt, so dass also ed mod ϕ(n) = 1 gilt. (Sollte ggt(e, ϕ(n)) > 1 sein, wird ein neues e gewählt und erneut gerechnet, usw. bis zum Erfolg.) Bob erhält (vom Trust Center oder aus seiner Rechnung): n, e und d. Aus diesen wird das Schlüsselpaar (k, ˆk) gebildet: Der öentliche Schlüssel k ist das Paar (n, e). Dieser wird bekanntgegeben. Der geheime Schlüssel ˆk ist (n, d). Natürlich ist nur der Teil d wirklich geheim. Der Berechnungsaufwand für die Schlüsselerzeugung ist O((log n) 4 ) = O(l 4 ), weil dies die Kosten der Primzahlerzeugung sind (siehe Abschnitt 2.2). 3.2.2 Verschlüsselung Alice besorgt sich Bobs öentlichen Schlüssel k = (n, e). Verschlüsselung von x X n = [n]: y = E(x, (n, e)) := x e mod n. 2 Falls gewünscht, lässt sich mit einfachen Maÿnahmen, z. B. der Wahl von p und q aus [2 l 2 l 2, 2 l ), der Fall vermeiden, dass n nur l 1 Bits hat. 3

(Zu berechnen mit schneller Exponentiation, Rechenzeit O((log n) 3 ) = O(l 3 ).) Der Chiretext wird über den öentlichen Kanal an Bob geschickt. 3.2.3 Entschlüsselung Bob erhält den Chiretext y Y n = [n] und möchte den Klartext x wieder herstellen. Er berechnet (ebenfalls mit schneller Exponentiation) den Wert z = D(y, (n, d)) := y d mod n. Diese Rechnung kann er ausführen, da er den geheimen Schlüssel ˆk = (n, d) kennt. Nach den Potenzrechenregeln, die auch für die modulare Arithmetik gelten, ist z = (m e mod n) d mod n = x ed mod n. Die Korrektheit der Entschlüsselung beruht auf folgendem Satz. Satz 3.1 Korrektheit von RSA Wenn ed mod ϕ(n) = 1 gilt, dann haben wir x ed mod n = x, für alle x [n]. Beweis: Weil x und x ed mod n beide in [n] liegen, also der Betrag ihrer Dierenz kleiner als n ist, genügt es zu zeigen, dass x ed x (mod n) gilt, d. h. dass n Teiler von x ed x ist. Dies weisen wir im Folgenden nach. Betrachte die Primfaktoren p und q von n. Da ed 1 (mod ϕ(n)) und ϕ(n) = (p 1)(q 1) gilt, haben wir ed = k(p 1)(q 1) + 1 für eine Zahl k Z, also x ed x = (x k(p 1)(q 1) 1) x. Behauptung: p teilt x ed x. Wenn x durch p teilbar ist, ist dies klar. Wir können also annehmen, dass p kein Teiler von x ist, dass also x und p teilerfremd sind. Nach dem kleinen Satz von Fermat (Fakt 1.26) gilt x p 1 mod p = 1, also auch x k(p 1)(q 1) mod p = (x (p 1) ) k(q 1) mod p = 1. Dies bedeutet, dass p ein Teiler von x k(p 1)(q 1) 1 ist, also auch ein Teiler von x ed x. Die Behauptung gilt natürlich genauso für q: Auch q ist ein Teiler von x ed x. Da p und q teilerfremd sind, folgt aus Fakt 1.8, dass n = pq Teiler von x ed x ist, wie gewünscht. 4

Beispiel: Schlüsselerzeugung: n = 55 = 5 11. ϕ(n) = 4 10 = 40. e = 3, ggt(3, 40) = 1, d = e 1 mod 40 = 27, weil 3 27 = 81 1 (mod 40) gilt. Also: k = (55, 3), ˆk = (55, 27). Sei die Botschaft x = 9 gegeben. Verschlüsselung: y = 9 3 mod 55 = 729 mod 55 = 14. Entschlüsselung: Wir rechnen modulo 55: Passt! y 27 (14 3 ) 9 49 9 (( 6) 3 ) 3 4 3 64 mod 55 9. RSA, unsichere Version, insgesamt Bob erzeugt (oder erwirbt von einem Trust Center) einen Schlüsselsatz (k, ˆk) = ((n, e), (n, d)). Er veröentlicht (n, e) und hält d geheim. Wenn Alice (x 1,..., x r ) [n] r an Bob schicken will, verschlüsselt sie y i := x e i mod n, für i = 1,..., r, und sendet (y 1,..., y r ) an Bob. Dieser entschlüsselt und erhält (z 1,..., z r ) = (x 1,..., x r ). z i := y d i mod n, für i = 1,..., r, Bemerkungen zur Sicherheit und ezienten Verwendung: 1. Wahl von p und q: Wenn Eve die Zahl n ezient in ihre Faktoren p und q zerlegen kann, kann sie natürlich ϕ(n) und d berechnen und damit sämtliche mit k verschlüsselten Nachrichten lesen. Es genügt aber auch, wenn Eve den Wert ϕ(n) berechnen kann (weil sie dann auch d nden kann). Man kann umgekehrt aber auch Folgendes zeigen: Aus n, e und d lassen sich mit einem randomisierten Verfahren ezient die Faktoren p und q berechnen. 5

Im Wesentlichen ist also das vollständige Brechen des Systems äquivalent dazu, n in seine Faktoren zu zerlegen. Das Faktorisierungsproblem gilt bislang als im Allgemeinen schwierig und für das Produkt n von zwei zufälligen Primzahlen mit 512 Bits (oder 1024 Bits) als praktisch nicht lösbar. 3 Man beachte aber: Den geheimen Schlüssel d zu nden muss nicht die einzige Möglichkeit sein, aus n, e und y den Klartext x oder zumindest partielle Information über x zu gewinnen. Wenn sich p und q nur geringfügig unterscheiden, lässt sich n ezient faktorisieren. Man muss also darauf achten, dass p und q in nicht mehr als etwa den ersten 10 Binärstellen übereinstimmen. Es gibt ein RSA-spezisches Angrisverfahren (Iteration), das nur ezient funktioniert, wenn p 1 und q 1 kleine Primfaktoren haben. Bei der Wahl von p und q ist also auch darauf zu achten, dass dies nicht der Fall ist. 2. Zufallskomponente: In der Praxis wird der Klartext x {0, 1} w mit w < log n durch Anhängen oder Voranstellen eines zufälligen Bitstrings r auf Länge log n gebracht und das Wort x r (Konkatenation von x und r) wie beschrieben verschlüsselt. Die Zufallskomponente r macht den Verschlüsselungsalgorithmus E zu einem randomisierten Verfahren. Der Empfänger muss natürlich ebenfalls die Länge w kennen, um nach der Entschlüsselung aus x r die eigentliche Botschaft x zu ermitteln. Dieses Vorgehen hat auch den Vorteil, dass selbst bei mehrmaligem Versenden derselben Botschaft (oder Wiederholung von Blöcken) unterschiedliche Chiretexte entstehen und zum Beispiel die Parität der Anzahl der 1-Bits in x r sowie das letzte Bit von x r rein zufällig sind und keine Information über x liefern. 3. Wahl des Verschlüsselungsschlüssels e: Mitunter wird vorgeschlagen, e = 3 zu wählen, weil dann die Verschlüsselung besonders ezient vor sich geht. (Man benötigt nur zwei Multiplikationen modulo n.) Es gibt aber einen Angri, der den Klartext x ezient ermitteln kann, wenn drei Chiretexte für x mit verschiedenen öentlichen Schlüsseln (n 1, 3), (n 2, 3), (n 3, 3) vorliegen. (Dies kann passieren, wenn Alice dieselbe Nachricht ohne Zufallskomponente an drei verschiedene Empfänger mit verschiedenen RSA-Schlüsseln schickt.) 3 Als RSA Factoring Challenge wurde 1991 eine Liste von Zahlen der Form p q für Primzahlen p und q herausgegeben, mit der Aufforderung, diese zu faktorisieren. Die Bitlängen der Zahlen reichen von 330 bis 2048. Die gröÿte der bislang faktorisierten Zahlen hat 768 Bits (RSA-768). Die Rechenzeit wird als almost 2000 years of computing on a single-core 2.2 GHz AMD Opteron-based computer angegeben. (Quelle: http://en.wikipedia.org/wiki/rsa_numbers.) 6

Diesem Problem entgeht man, indem man etwa e = 2 16 +1 wählt. Auch in diesem Fall ist die Verschlüsselung billiger als im allgemeinen Fall, da man mit 17 Multiplikationen modulo n auskommt. 4. Empfänger rechnet modulo p und q: Da Bob d kennt, können wir auch annehmen, dass er sogar die Faktoren p und q kennt. Dies kann zu einer Beschleunigung der Berechnung von z = y d mod n benutzt werden, wie folgt: Bob berechnet z p = y d mod p und z q = y d mod q. Aus diesen beiden Zahlen bestimmt er mit dem Chinesischen Restsatz z [n] mit z z p (mod p) und z z q (mod q). Dieses Vorgehen spart Rechenaufwand, da die Exponentiationen nur mit Zahlen der halben Länge durchgeführt werden müssen und die Anwendung des Chinesischen Restsatzes auf den erweiterten Euklidischen Algorithmus hinauslaufen, der eine deutlich kleinere Rechenzeit als eine Exponentiation hat. Eine Überschlagsrechnung ergibt, dass sich durch dieses Vorgehen der Rechenaufwand für die Entschlüsselung etwa um den Faktor 4 verringert. Bemerkungen zum Faktorisierungsproblem: Nach wie vor gibt es keinen Polynomialzeitalgorithmus, der beliebige zusammengesetzte Zahlen n in ihre Primfaktoren zerlegen kann (äquivalent: in polynomieller Zeit einen nichttrivialen Faktor von n bestimmen kann). Allerdings gab es in den letzten Jahrzehnten auch gewaltige Fortschritte bei der Entwicklung immer besserer Verfahren. Pollards (p 1)-Methode (klassisch): Führt zu schneller Ermittlung eines Faktors von n, wenn für einen Primfaktor p von n gilt, dass p 1 nur kleine Primfaktoren hat. Pollards ρ-methode (klassisch): Führt zur Ermittlung eines Faktors von n in Zeit O( p), wo p ein Primfaktor von n ist. Da n immer einen Primfaktor in O( n) hat, ist die Rechenzeit im schlechtesten Fall in O( 4 n) = O(2 (log n)/4 ). Gute Ergebnisse erhält man also, wenn n einen kleinen Primfaktor p hat. (Die oben angegebenen Vorschriften zur Wahl von p und q vermeiden diese Situation.) Quadratisches Sieb (Pomerance, 1981): Rechenzeit O(e (ln n)(ln ln n) ). Zahlkörpersieb (um 1990, zwei Varianten): Die schnellsten heute bekannten Faktorisierungsverfahren. Die anfallenden Rechnungen können auf vielen Rechnern parallel durchgeführt werden. Die Gesamtrechenzeit ist beschränkt durch 7

O(e C(ln n)1/3 (ln ln n) 2/3 ), für eine Konstante C. Mit Zahlkörpersieb-Verfahren wurde von 2003 bis 2005 die Zahl RSA-200 (mit 200 Dezimalstellen) faktorisiert, sowie in den Jahren 2007 bis 2009 die Zahl RSA-768 (mit 768 Binärstellen bzw. 232 Dezimalstellen). Der Rechenaufwand für die Faktorisierung 200-stelliger Zahlen ist heute noch so immens, dass diese Art von Angri auf das RSA-System noch nicht als ernsthafte Bedrohung angesehen wird. 3.3 Das Rabin-Kryptosystem Es ist nicht bekannt, ob das Problem, RSA-verschlüsselte Botschaften unberechtigterweise zu entschlüsseln, äquivalent zum Faktorisierungsproblem ist. Wir betrachten hier noch das Rabin-Verschlüsselungsverfahren, bei dem dies der Fall ist. Auch beim Rabin-Verfahren handelt es sich um ein Public-Key-Kryptosystem. 3.3.1 Schlüsselerzeugung Bob (oder das Trustcenter) wählt zwei verschiedene zufällige groÿe Primzahlen p und q mit p q 3 (mod 4), also Primzahlen, die um 1 kleiner als ein Vielfaches von 4 sind. (Das Verfahren aus Abschnitt 2.2. funktioniert genauso schnell, wenn man nur Zahlen testet, deren Binärdarstellung mit 11 endet.) Er berechnet n = pq. Der öentliche Schlüssel ist k = n; der geheime Schlüssel ist k = (p, q). 3.3.2 Verschlüsselung Alice ndet den öentlichen Schlüssel n von Bob. Wir beschreiben nur die Verschlüsselung eines Blocks x, der eine Zahl < n ist. Alice berechnet und sendet y an Bob. y := x 2 mod n 3.3.3 Entschlüsselung Bob erhält y. Er hat nun das Problem, Quadratwurzeln von y modulo n zu berechnen, das sind Zahlen b mit b 2 mod n = y. Er hat aber den Vorteil, die Faktoren p und q 8

zu kennen. Er berechnet: r := y (p+1)/4 mod p und s := y (q+1)/4 mod q. Weil r 2 mod p = ((x 2 mod n) (p+1)/4 ) 2 mod p = x p+1 mod p = (x p x) mod p = x 2 mod p (wir haben den kleinen Satz von Fermat in der Version x p x (mod p) für alle x benutzt), gilt r 2 x 2 (r x)(r + x) 0 (mod p). Das heiÿt, dass entweder r x (mod p) oder p r x (mod p) gilt. Genauso sieht man, dass s x (mod q) oder q s x (mod q) gilt. Mit der konstruktiven Variante des chinesischen Restsatzes (Bemerkung nach Fakt 1.26) kann Bob nun vier Zahlen z 1,..., z 4 {0,..., n 1} berechnen, die die folgenden Kongruenzen erfüllen: z 1 r (mod p) und z 1 s (mod q); z 2 r (mod p) und z 2 q s (mod q); z 3 p r (mod p) und z 3 s (mod q); z 4 p r (mod p) und z 4 q s (mod q). Wegen der obigen Überlegung ist x {z 1,..., z 4 }. Bob kann nun eine dieser vier Möglichkeiten wählen. (Man kann Vorkehrungen treen, dass sinnvolle Blöcke x leicht zu erkennen sind. Beispielsweise könnte man den Block x mit einer bestimmten Bitfolge wie 10000 abschlieÿen. Es ist dann nicht anzunehmen, dass die Binärdarstellung einer der anderen Möglichkeiten ebenso endet.) Welcher Rechenaufwand ist nötig? Für die Verschlüsselung muss nur eine Quadrierung modulo n durchgeführt werden; sie kostet nur Zeit O((log n) 2 ). Die Entschlüsselung erfordert eine Exponentiation modulo p und eine modulo q und mehrere Anwendungen des erweiterten Euklidischen Algorithmus insgesamt Zeit O((log n) 3 ). 3.3.4 Sicherheit Wir nehmen an, Eve hätte ein ezientes Verfahren B, mit dem sie alle Kryptotexte zum öentlichen Schlüssel n entschlüsseln kann. Wir zeigen, dass sie dann auch n faktorisieren kann. (Solange man annimmt, dass dies ein schwieriges Problem ist, kann auch die Annahme, dass Eve Verfahren B hat, als unwahrscheinlich gelten.) Eve geht so vor: Sie wählt eine Zahl x aus {1,..., n 1} zufällig. Wenn ggt(x, n) > 1, ist sie fertig, denn dieser gröÿte gemeinsame Teiler ist entweder p oder q. Andernfalls 9

berechnet sie y = x 2 mod n. Dann wendet sie ihr Entschlüsselungsverfahren an und berechnet ein z = B(y) mit z 2 y mod n. Dieses z hängt wohlgemerkt nicht von x, sondern nur von y ab. Es gilt x 2 z 2 (mod n). Wie oben gesehen gibt es vier Möglichkeiten: x z (mod p) und x z (mod q); x z (mod p) und x z (mod q); x z (mod p) und x z (mod q); x z (mod p) und x z (mod q). Welche dieser Möglichkeiten die richtige ist, hängt vom Zufall ab, der die Auswahl von x steuert. Jede der 4 Quadratwurzeln von y hat dieselbe Wahrscheinlichkeit 1/4, als x gewählt worden zu sein. Im ersten Fall ist x = z, Misserfolg. Im zweiten Fall ist 0 < x z < n und durch p teilbar, woraus ggt(x z, n) = p folgt: Erfolg! Im dritten Fall ist 0 < x z < n und durch q teilbar, woraus ggt(x z, n) = q folgt: Erfolg! Im vierten Fall ist x + z = n, also x z 2x (mod n). Weil 2x teilerfremd zu n ist, ergibt sich ggt(x z, n) = 1, Misserfolg. Also gelingt es Eve mit Wahrscheinlichkeit mindestens 1/2, die Faktoren von n zu ermitteln. Durch l-fache Wiederholung desselben Experiments lässt sich die Erfolgswahrscheinlichkeit auf 1 1 erhöhen. 2 l 10

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback