Westfälische Wilhelms-Universität Münster Ausreitung Pulic-Key-Verfhren: Diffie-Hellmnn und ElGml im Rhmen des Seminrs Multimedi und Grphen WS 2007/2008 Veselin Conev Themensteller: Prof. Dr. Herert Kuchen Betreuer: Dipl.-Wirt.Inform. Christin Arndt Institut für Wirtschftsinformtik Prktische Informtik in der Wirtschft
Inhltsverzeichnis 1 Informtionssicherheit und Verschlüsselungsverfhren... 1 2 Kryptogrfische und mthemtische Grundlgen... 2 2.1 Kryptogrfische Grundlgen... 2 2.2 Mthemtische Grundlgen... 4 2.2.1 Diskretes Logrithmus-Prolem... 4 2.2.2 Algorithmen zur Berechnung diskreter Logrithmen und ihre Aufwndsschätzung... 6 3 Diffie-Hellmnn-Schlüsselustusch... 8 3.1 Aluf des Diffie-Hellmnn-Schlüsselustusches... 8 3.2 Relevnte Angriffsrten und Sicherheit des Diffie-Hellmnn-Verfhrens... 10 3.2.1 Pssive Angriffe uf Diffie-Hellmnn: DHP und DHEP... 10 3.2.2 Mn-In-The-Middle-Angriffe... 11 3.2.3 Prmeteruswhl für den Algorithmus... 12 4 ElGml-Verschlüsselung... 15 4.1 ElGml-Verschlüsselungsverfhren... 15 4.1.1 Stndrd-Verschlüsselungsnstz... 15 4.1.2 Generlisierter Verschlüsselungsnstz... 16 4.2 Relevnte Angriffsrten und Sicherheit des ElGml-Algorithmus... 18 4.3 Vergleich zwischen ElGml und RSA... 19 5 Fzit und Auslick... 21 Literturverzeichnis... 22 II
Akürzungsverzeichnis DH Diffie-Hellmnn DHEP Diffie-Hellmnn-Entscheidungsprolem DHP Diffie-Hellmnn-Prolem DLP PGP SSL Diskretes Logrithmus-Prolem Pretty Good Privcy Secure Sockets Lyer III
Kpitel 1: Informtionssicherheit und Verschlüsselungsverfhren 1 Informtionssicherheit und Verschlüsselungsverfhren Im heutigen, immer stärker informtionsgetrieenen Zeitlter wird ds Prolem der sicheren Informtionsüertrgung immer ktueller vielfältige Anwendungen im Bereich des E-Commerce, Online-Bnking usw. erfordern Mechnismen zur Verhinderung von unefugtem Mitlesen und Mnipultion üertrgener Dten. Mit diesem Prolem hen sich viele Wissenschftler im Forschungsereich der Kryptogrfie useinndergesetzt und zhlreiche Ansätze zur Gewährleistung der Kommuniktionssicherheit usreitet. Neen Lösungen, deren Grundidee in der Geheimhltung eines gemeinsmen Schlüssels zur Chiffrierung und Dechiffrierung von Informtionen esteht sog. symmetrische Verfhren -, wurden uch solche erfunden, ei denen kein sicherer Knl für den Schlüsselustusch nötig ist die hyriden und symmetrischen Ansätze. Bei den letzteren zwei Typen wird die Sicherheit des Algorithmus uf die Komplexität eines ls schwierig etrchteten mthemtischen Prolems zurückgeführt. Die für diese Areit relevnte mthemtische Prolemstellung die Berechnung diskreter Logrithmen in endlichen, zyklischen Gruppen wird in Kpitel 2, zusmmen mit einigen relevnten kryptogrfischen Begriffsdefinitionen, vorgestellt. Als Grundlge der hyriden Ansätze dient der sichere Austusch eines symmetrischen Sitzungsschlüssels üer einen ungesicherten Kommuniktionsknl. Als typisches Beispiel für einen solchen Austuschmechnismus wird in dieser Areit der Diffie- Hellmn-Algorithmus etrchtet. Sein genuer Aluf sowie einige seiner Sicherheitsspekte und Anwendungsmöglichkeiten werden im Kpitel 3 vorgestellt. Kpitel 4 efsst sich mit dem ElGml-Anstz zur symmetrischen Verschlüsselung von Nchrichten sowohl in seiner stndrdisierten, ls uch in seiner generlisierten Form. Aschnitt 4.2 ietet eine Betrchtung seiner Sicherheit, gefolgt von einem Vergleich zwischen ElGml und RSA ezüglich ihrer Effizienz. Aschließend werden im letzten Kpitel llgemeine Kritik n den vorgestellten Ansätzen und eine generellere Betrchtung der Sicherheit von Pulic-Key-Verfhren ngeführt. 1
Kpitel 2: Kryptogrfische und mthemtische Grundlgen 2 Kryptogrfische und mthemtische Grundlgen 2.1 Kryptogrfische Grundlgen Als Kryptogrfie wird die Wissenschft ezeichnet, die sich mit den mthemtischen Ansätzen und Techniken zur Verheimlichung von Inhlten und die dmit verundenen Prolemstellungen eschäftigt. Im Bereich der Kryptogrfie knn mn zwischen einigen Grundtypen von nwendren Techniken zur Sicherstellung der Informtionssicherheit (sog. Primitiven) unterscheiden. Eine vollständige Üersicht üer diese ist in [MOV97, S.5] drgestellt, für diese Areit ist jedoch nur der Teilereich der kryptogrfischen Primitiven relevnt, der us den hyriden und symmetrischen Verschlüsselungsverfhren esteht. Zur Erläuterung und Vereinheitlichung der weiter in dieser Areit verwendeten kryptogrfischen Bezeichnungen und Begriffe werden diese ls Nächstes definiert. Sei A die Menge des Definitionslphets 1, dnn gilt: M A mit k N ist die Menge ller zulässigen Klrtext-Nchrichten { } k m M. C { A} k mit k N ist die Chiffretextmenge, estehend us den zulässigen Chiffretext-Nchrichten c C. Die Üerführung einer nicht gesicherten Nchricht m in eine gesicherte Nchricht c nennt mn Chiffrierung oder Verschlüsselung. Dieser Vorgng wird m häufigsten durch die Anwendung einer unidirektionlen Flltür-Funktion : M C relisiert. Lut [MOV97, S.9] ist ds Wesentliche n diesem Funktionstyp, dss die Trnsformtion in die eine Richtung reltiv leicht zu erechnen ist, während die Umkehrerechnung nur mit Hilfe zusätzlicher Informtion mit vertretrem Aufwnd möglich ist (sog. Asymmetrie des Berechnungsufwnds). Solche zusätzliche Informtionen ezeichnet mn in der Kryptogrfie ls Schlüssel. Ntürlich könnte lterntiv eine E e 1 Häufig wird A = { 0,1} genommen. 2
Kpitel 2: Kryptogrfische und mthemtische Grundlgen unidirektionle Funktion 2 mit im Vorus ufgelisteten Rücktrnsformtionswerten ls Verschlüsselungsmechnismus genommen werden, die Benutzung von Schlüsseln ermöglicht es er, die konkrete Verschlüsselungstrnsformtion zu ändern, ohne dss ds Gesmtschem verändert wird (vgl. [MOV97, S. 9]). Die Ermittlung der ursprünglichen Nchricht m us dem Chiffretext c wird Dechiffrierung oder Entschlüsselung gennnt und ls eine Funktion D d : C M drgestellt. Der Schlüssel zur Dechiffrierung 3 definiert mn ls d, woei sowohl d, ls uch e, Elemente einer vorgegeenen Schlüsselmenge K sind. Bei symmetrischen Kryptoverfhren sind d und e identisch und müssen geheim gehlten werden. Im Rhmen der Pulic-Key-Verfhren wird e ls öffentlicher Schlüssel ezeichnet und ist jedem zugänglich, während der privte Schlüssel d nicht veröffentlicht werden drf. Beide zusmmen ilden ds Schlüsselpr eines Kommuniktionsteilnehmers ( e, d). Schlüssel-Verteilungs- Mechnismus e Verschlüsselung der Nchricht: E ( ) e m = c c d Entschlüsselung der Nchricht: D ( c) = m d m Drstellung der Klrtext- Nchricht ls m M Alice ungesicherter Kommuniktionsnl Bo A.1: Allgemeiner schemtischer Aluf der Pulic-Key-Verschlüsselung Ausgehend von diesen Begriffsdefinitionen lässt sich ein Verschlüsselungsschem (Chiffre) ls die Menge definieren, die us den Mengen M, C und K zusmmen mit der Gesmtheit ller Verschlüsselungstrnsformtionen { E e : e K} korrespondierenden Entschlüsselungstrnsformtionen { d K} D d und der : esteht, unter der 2 Diese ht dieselen Eigenschften wie die unidirektionle Flltürfunktion, ei ihr git es er keine zusätzlichen Informtionen die die Rücktrnsformtion der Ergenisse erleichtern. 3 Im Zusmmenhng mit der Anwendung unidirektionler Flltürfunktionen ls Entschlüsselungsgrundlge ist d oft die zusätzliche Informtion für die Rücktrnsformtion. 3
Kpitel 2: Kryptogrfische und mthemtische Grundlgen Bedingung, dss für jedes e K es ein -1 d K git, so dss D =. Somit gilt für d E e jedes m M : ( ( m)) D d = m. E e Ein symmetrisches Verschlüsselungsschem ht somit die in Aildung 1 drgestellte Gestlt. 2.2 Mthemtische Grundlgen Zur Argumenttion der Sicherheit der Diffie-Hellmnn-Schlüsselvereinrung und des ElGml-Anstzes müssen zunächst (in Aschnitt 2.2.1) ds Prolem der diskreten Logrithmierung in gegeenen zyklischen Gruppen, sowie (in Aschnitt 2.2.2) die Effizienz der Algorithmen zur Bestimmung von diskreten Logrithmen in endlichen, zyklischen Gruppen etrchtet werden. 2.2.1 Diskretes Logrithmus-Prolem Zum esseren Verständnis der im Weiteren zu etrchtenden mthemtischen Prolemklsse werden zunächst einige relevnte mthemtische Begriffe erklärt. Auf eine vollständige Ange der grundlegenden Definitionen wird verzichtet, diese sind sehr usführlich in [2] eschrieen. Eine Gruppe ( G, o) ist eine nicht leere Menge G zusmmen mit einer Verknüpfung o : G G G, so dss folgende Axiome erfüllt sind: Assozitivität, Existenz eines neutrlen Elementes und Existenz eines inversen Elementes (s. [MOV, S. 75]). Wenn die Verknüpfung uch Gruppenopertion gennnt eine multipliktive Form ht, heißt G multipliktive Gruppe. Die Gruppe G heißt zyklisch, flls: x g G, G, x Z : g =. Ds Element g wird dnn Erzeuger von G gennnt. Ist G <, dnn wird G ls endliche Gruppe ezeichnet, woei G ihre Ordnung ist (d.h. die Anzhl ihrer Elemente). Sei G nun eine endliche, zyklische, multipliktive Gruppe der Ordnung n. Dnn ist die t Ordnung eines Elementes G die kleinste positive gnze Zhl t, für die = 1 erfüllt 4
Kpitel 2: Kryptogrfische und mthemtische Grundlgen ist. Ht ds Element S. 160). die Ordnung n, dnn ist ein Erzeuger von G. (vgl. [MOV97], Ds llgemeine diskrete Logrithmus-Prolem (DLP) ist definiert für eine endliche, multipliktive, zyklische Gruppe G mit eknnter Ordnung G. Sei g ein Erzeuger von G und G. Dnn ist der diskrete Logrithmus von zur Bsis g die kleinste nicht negtive Zhl { 0;1; ; G 1} x K, für die gilt: g x =. Ds Exponent x wird dnn ls diskreter Logrithmus von zur Bsis g ezeichnet ( x = log g ) und die Schwierigkeit seiner Berechnung dient ls Grundlge 4 der Sicherheit der hier etrchteten Algorithmen. Ein für die in dieser Areit esprochenen Ansätze esonders wichtiger Spezilfll der DLP- Prolemklsse ist ds DLP in ( Z/ pz) : Für eine elieige Primzhl p ist ( / p ) = { 1, K, p 1} Z Z eine prime Restklssengruppe modulo p und somit eine zyklische, endliche Gruppe der Ordnung ϕ ( p) = p 1 (vgl. [MOV97, S. 69]). Sei nun g eine Primitivwurzel 5 dieser Gruppe, dnn existiert für jede gnze Zhl { 1,2,..., p-1 } ein x { 0, 1, 2,..., p-2} mit x g mod p. Der Exponent x ist dnn entsprechend der diskrete Logrithmus von zur Bsis g modulo p. 4 Vgl. Aschnitt 2.1.3: Die symmetrische Schwierigkeit ei der Berechnung der Gruppenelemente und der diskreten Logrithmen zu diesen erfüllt sehr gut die Anforderungen n unidirektionlen Funktionen. 5 Eine Zhl g ist genu dnn eine Primitivwurzel einer primen Restklssengruppe modulo p mit p prim, wenn g die Ordnung ϕ ( p) = p 1 ht 5
Kpitel 2: Kryptogrfische und mthemtische Grundlgen 2.2.2 Algorithmen zur Berechnung diskreter Logrithmen und ihre Aufwndsschätzung Es existieren im Allgemeinen drei Arten von Algorithmen, die zur Berechnung von diskreten Logrithmen in endlichen, zyklischen, multipliktiven Gruppen verwendet werden: I. Algorithmen, die in elieigen zyklischen Gruppen eingesetzt werden können (z. B. vollständige Suche, Bystep-Gintstep-Anstz, Pollrd s Rho-Anstz) II. Algorithmen, die in elieigen zyklischen Gruppen funktionieren, er ei estimmten esonders effizient sind (z. B. der Pohlig-Hellmnn-Algorithmus) III. Index-Clculus-Algorithmen, die nur in estimmten Gruppen effizient sind. Eine genuere Beschreiung der hier ngeführten Algorithmen und Argumenttion ihrer Richtigkeit ietet [MOV, S. 104 112]. Im Folgenden werden nur die eknntesten Algorithmen mit ihrer durchschnittlichen Aufwndsschätzung ngegeen. 1. Der einfchste Anstz ist ds vollständige Durchsuchen des relevnten Bereichs, lso die sukzessive Berechnung von 1 2 3 g, g, g,..., g υ is g υ = g x, woei g der Erzeuger in der etrchteten Gruppe G ist. Diese Möglichkeit führt er zur Komplexitätsklsse von On ( ) Multipliktionen, woei n die Ordnung von g ist (vgl. Aschnitt 2.2.1), und somit us Sicht der Kryptonlyse zu einem zu hohen Aufwnd für hohe Ordnungen von g. 2. Der Bystep-Gintstep-Algorithmus relisiert im Vergleich zur vollständigen Suche ein Trde-Off zwischen Zeit- und Speicherufwnd. Dher ist er effizienter, ws seine Lufzeit etrifft, verurscht er Speicherufwnd der Ordnung O( n ). Zusmmenfssend knn die Komplexität seiner Lufzeit mit O( n ) Gruppenmultipliktionen geschätzt werden. 3. Die Lufzeitkomplexität des Pollrd s rho-algorithmus eträgt uch O( n ), ei ihm wird er wesentlich weniger Speicherpltz (ls ei Anstz 2) enötigt. 4. Beim Pohlig-Hellmn-Algorithmus wird die Fktorisierung der Ordnung n= G = p p K p r e1 e2 er... 1 2 der Gruppe G usgenutzt. An dieser Stelle wird uf den genuen Aluf des Algorithmus nicht näher eingegngen, lt. [MOV97, 6
Kpitel 2: Kryptogrfische und mthemtische Grundlgen r S.109] umfsst seine Aufwndskomplexität O( (lg ) 1 i p i = e n i ) + Gruppenmultipliktionen. Dieses Verfhren ist lso nur dnn effizienter ls die isher vorgestellten, wenn jeder Primteiler p i von n reltiv klein ist. Diese Eigenschft ist gegeen, flls n eine sog. gltte gnze Zhl ist (vgl. [MOV97, Def. 3.13]), sonst ist der Algorithmus eher ineffizient. Unter Bechtung dieser Besonderheit, knn ein uf der Schwierigkeit des DLP sierender Kryptolgorithmus vor Pohlig-Hellmnn-Angriffen geschützt werden, indem die Ordnung n der enutzten Gruppe so gewählt wird, dss mindestens einer ihrer Primteiler p i nhe n n liegt. 5. Der Index-Clculus-Algorithmus ist die mächtigste isher eknnte Methode zur Berechnung von diskreten Logrithmen. Ds Verfhren zeichnet sich nur dnn durch eine esonders hohe Effizienz us, wenn die zugrunde liegende zyklische Gruppe eine spezielle Gestlt ht (vgl. [MOV97, S. 109 ff.]) - dnn knn sich für den Algorithmus eine suexponentielle Lufzeit ergeen. Genu wie ei Pohlig-Hellmnn knn ein Angriff mit dem Index-Clculus-Anstz durch geeignete Prmeteruswhl verhindert werden. Für lle hier vorgeschlgenen Techniken zur Lösung des DLP git es uch estimmte Beschleunigungsmöglichkeiten wie z. B. die Prllelisierung von Rechenschritten, die im Prinzip zu einem Trde-Off zwischen Lufzeit- und Speicherufwnd führen. Trotz dieser Alterntiven gilt er ds DLP in elieigen Gruppen zurzeit ls schwierig (vgl. [Bu99, S. 187]), weil isher keine effizienten Algorithmen zur Lösung dieses eknnt sind. Es ist er n dieser Stelle uch nzumerken, dss uch kein Beweis der Unlösrkeit des Prolems mit vertretrem Aufwnd ngeführt worden ist. Somit werden die in dieser Areit etrchteten Kryptolgorithmen, deren Sicherheit uf dem DLP siert, ls sicher unter der Annhme, dss ds DLP ttsächlich schwierig ist etrchtet. Aschnitt 3.2.3 ietet einige Ausführungen üer weitere Aspekte der Bezeichnung sicher. 7
Kpitel 3: Diffie-Hellmnn-Schlüsselustusch 3 Diffie-Hellmnn-Schlüsselustusch 3.1 Aluf des Diffie-Hellmnn-Schlüsselustusches Als Ausgngssitution für die Drstellung des Anstzes von Diffie-Hellmnn (DH) wird die Existenz eines öffentlichen, nicht gesicherten Knls ngenommen, üer den zwei Kommuniktionsprtner symmetrisch verschlüsselte Nchrichten ustuschen möchten. Ds Huptprolem dei ist, wie sie sich üer einen gemeinsmen Sitzungsschlüssel einigen können, ohne dss ein Angreifer den Schlüssel ermitteln knn. Owohl jeder die Kommuniktion zwischen den zwei Beteiligten eochten knn, erlut der Diffie- Hellmnn-Algorithmus einen sicheren Nchrichtenustusch, d die öffentlich sichtre, üertrgene Informtion (unter der im Aschnitt 2.2.2 getroffenen Annhme üer die Schwierigkeit des DLP) nicht usreichend ist, um drus den vereinrten Schlüssel mit vertretrem Aufwnd erechnen zu können. Im Folgenden wird in Anlehnung uf [Bu99, S. 186 f.] der lgorithmische Aluf des Diffie-Hellmnn-Schlüsselustusches vorgestellt. 1. Initilisierung: Als erster Schritt müssen sich die Kommuniktionsteilnehmer üer die Prmeter der zu nutzenden Gruppe einigen. Hier wird ls Bsis eine endliche, zyklische Restklssengruppe Z pz der Ordnung ( p) p 1 ( / ) ϕ = unterstellt (vgl. Aschnitt 2.2.2). Für p und ein g mit Z pz estimmen die Kommuniktionsteilnehmer eine Primzhl ( / ) 2 g p 2, so dss g eine hohe Ordnung modulo p ht. Diese Prmeter können für mehrere Schlüsselustusch-Sitzungen verwendet werden, wenn sie den im Aschnitt 3.2.3 ngegeenen Anforderungen genügen. 2. Prmetererechnung: Im nächsten Schritt erechnen die Kommuniktionsteilnehmer ihren jeweiligen Teil von der Schlüsselvereinrung. Der erste Kommuniktionsprtner (im Folgenden K 1 gennnt) wählt zufällig 6 eine gnze Zhl mit { 0,1, K, p 2}, erechnet nschließend A= g mod p und schickt dieses Ergenis n den nderen Kommuniktionsteilnehmer ( ). K 2 6 D im Weiteren dvon usgegngen wird, dss die Zufllszhlen nicht mit rithmetischen Methoden generiert werden, wird uf die Verwendung der Bezeichnung Pseudo-Zufllszhl hier verzichtet. 8
Kpitel 3: Diffie-Hellmnn-Schlüsselustusch Dieser wählt seinerseits wieder eine gnze Zufllszhl mit { 0,1,, p 2} K, estimmt seinen Teil der Schlüsselvereinrung B = g mod p und schickt ihn n. K 1 Die Kommuniktionsteilnehmer dürfen hierei zw. nicht veröffentlichen. 3. Bestimmung des gemeinsmen Schlüssels K: Als letzter Schritt führen eide Kommuniktionsprtner ähnliche Berechnungen durch, um den symmetrischen Schlüssel für die weitere Kommuniktion zu ermitteln: A mod p B mod p g mod p K 14243 14243 14243 erechnet von K1 erechnet von K2 Gemeinsmer Schlüssel Zur Vernschulichung des oen forml eschrieenen Alufs knn ds folgende Beispiel mit den Kommuniktionsteilnehmern Alice und Bo dienen 7. 1) Alice und Bo vereinren öffentlich die zyklische Gruppe dem Erzeuger g = 7. Z 11 mit p = 11 und 2) Alice wählt = 3 und Bo wählt = 6. und werden geheim gehlten. 3 3) Alice erechnet A= g mod p= 7 mod 11 = 343 mod 11 = 2 und Bo estimmt 6 B= g mod p= 7 mod 11 = 117649 mod 11 = 4. 4) Alice schickt ds Ergenis A üer den ungesicherten Kommuniktionsknl n Bo und ekommt seinen Schlüsselteil B zurück. 5) Als Letztes erechnen eide Kommuniktionsteilnehmer den gemeinsmen Sitzungsschlüssel uf folgende Weise: Alice führt die Berechnung K = B p = = 3 mod 4 mod 11 64 mod 11 9 = durch. 6 Bo estimmt entsprechend: K = A mod p = 2 mod 11 = 64 mod 11 = 9. Somit erhlten sie ds gleiche Ergenis, ds sie ei der weiteren Kommuniktion ls symmetrischen Sitzungsschlüssel enutzen können. Dieser Anstz knn ls typisches Beispiel für ein hyrides Verschlüsselungsschem ngesehen werden. Die Vorteile dieser kryptogrfischen Verfhrensklsse ergeen sich us der Komintion der Vorteile der symmetrischen und der symmetrischen Verschlüsselung. Die ziemlich zeit- und rechenufwendige symmetrische Chiffrierung wird nicht uf die gesmte Nchricht, sondern nur uf die wesentlich kleineren 7 Aus Vereinfchungsgründen enthält ds hier ngegeene Beispiel unrelistisch kleine Zhlen. 9
Kpitel 3: Diffie-Hellmnn-Schlüsselustusch generierten Zhlen ngewendet. Andererseits wird ein sicherer und reltiv schneller Austusch des Sitzungsschlüssels zwischen zwei oder mehreren Teilnehmern üer einen ungesicherten Knl ermöglicht. Somit eignet sich ds Verfhren z. B. sehr gut zur Dtenverschlüsselung ei sicherheits- und zeitkritischen Anwendungen, sierend uf Echtzeit-Dtenströmen. Noch ein wichtiger Vorteil des DH-Verfhrens resultiert us der Möglichkeit, den Algorithmus nicht nur in Z pz, sondern in elieigen endlichen, zyklischen ( / ) Gruppen zu implementieren, in denen die Berechnung von diskreten Logrithmen schwer ist. Somit knn die dem Algorithmus zugrunde liegende Gruppe mit einer nderen usgetuscht werden, wenn für die erstere ein effizienter Algorithmus zur Berechnung von diskreten Logrithmen erfunden wird (vgl. [Bu99, S. 190-191]). Solche geeignete lterntive Gruppen werden im Aschnitt 4.2.2 vorgestellt. 3.2 Relevnte Angriffsrten und Sicherheit des Diffie-Hellmnn- Verfhrens Der eschrieene Anstz wird in einigen Sicherheitsprotokollen zum Austusch von Sitzungsschlüsseln enutzt. Eine der eknntesten Protokollfmilien, wo Diffie- Hellmnn eingesetzt wird, ist ds Netzwerksicherheitsprotokoll IPSec und genuer seine SSL-Schicht (vgl. [4]). Dher muss der DH-Sicherheit spezielle Aufmerksmkeit gewidmet werden. Es existieren im Prinzip zwei grundlegende Angriffsrten uf einen Verschlüsselungslgorithmus der pssive und der ktive Angriff, die im Folgenden ngegngen werden. 3.2.1 Pssive Angriffe uf Diffie-Hellmnn: DHP und DHEP 8 Bei dem pssiven Angriff uf Diffie-Hellmnn hndelt es sich um einfches Luschen der üer einen ungesicherten Knl üertrgenen Nchrichten, woei der Angreifer die üertrgene Informtion nicht modifizieren und m Nchrichtenustusch nicht ktiv teilnehmen knn. Die Gefhr esteht in diesem Fll drin, dss er die usgetuschten Nchrichten dechiffriert. Dieses ist nur erreichr, flls er die im Folgenden eschrieenen DHP und DHEP lösen knn (vgl. [Bu99], S. 189-190). 8 Hier werden der Vereinfchung hler nur ds DHP und ds DHEP in Z pz etrchtet. ( / ) 10
Kpitel 3: Diffie-Hellmnn-Schlüsselustusch Im Allgemeinen wird ls Diffie-Hellmnn-Prolem (DHP) die mthemtische Frgestellung ezeichnet, wie mn ei eknnten g, p, ( g mod p) und ( g mod p) den Wert K = g mod p mit vertretrem Aufwnd erechnen knn. Eine weitere Prolemklsse ist die des Diffie-Hellmnn-Entscheidungsprolems (DHEP), ei dem folgende Prolemstellung etrchtet wird: Gegeen sind g, p, ( c g mod p), ( g mod p) und h= g mod p. Für diese Werte ist nun zu entscheiden, o h= g erfüllt ist. Es esteht eine enge Beziehung zwischen diesen Frgestellungen und der in Aschnitt 2.2.1 etrchteten Prolemklsse. Lut [Bu99, S.189-190] wird im Allgemeinen ngenommen, dss mn ds DHEP lösen knn, wenn die Lösung des DHP erechnet werden knn, und dss die letztere erechenr ist, wenn eine Möglichkeit zur Lösung von DLP ereits vorliegt. Angenommen, dss ds diskrete Logrithmus-Prolem in Z pz effizient gelöst werden knn, dnn ietet sich folgende Möglichkeit, drus ( / ) die Lösung des DHP zuleiten: 1. Der Angreifer erechnet us g, p und A= ( g mod p), indem er ds dzugehörige DLP löst. 2. Dnn knn er den entsprechenden Diffie-Hellmnn-Schlüssel wie folgt estimmen: ( mod ) K = B = g p = g mod p Drus ergit sich für die Beziehung zwischen DHP und DLP lut [MOV97, S. 113-114] der folgende Zusmmenhng: DHP p DLP, d.h. ei symptotischer Betrchtung führt die Komplexitätsetrchtung eider Proleme zum gleichen Ergenis. 3.2.2 Mn-In-The-Middle-Angriffe Wenn der Angreifer uch die Möglichkeit ht, n der Kommuniktion üer den ungesicherten Knl ktiv teilzunehmen, knn er einen sog. Mn-In-The-Middle-Angriff uf den DH-Algorithmus vornehmen (vgl. [Bu99, S. 190]). Dei nutzt er die Ttsche us, dss und K im in 3.2 eschrieenen Stndrdluf die Identität ihres K1 2 Kommuniktionsprtners nicht verifizieren können und führt folgende Schritte durch: 11
Kpitel 3: Diffie-Hellmnn-Schlüsselustusch 1. Wenn der erste Kommuniktionsteilnehmer ( K 1) den DH-Algorithmus initilisiert, empfängt der Angreifer die üermittelten G (öffentlich vereinrte Gruppe), g, p und A= g mod p, leitet er diese nicht n K 2 weiter. Somit knn er wie in 3.2. eschrieen mit eiden kommunizierenden Prteien jeweils einen gemeinsmen Schlüssel K1 K und K 2 K mit dem Diffie-Hellmnn- Algorithmus tuschen. Dei gluen K 1 und K 2, es miteinnder zu tun zu hen. 2. Dnn knn der Angreifer z. B. eine Nchricht von K 2 n K 1 empfngen und entschlüsseln. Nchdem er deren Inhlt schon kennt, knn er sie mit K1 K verschlüsseln und n K 1 weiterleiten. Auf diese Weise knn der Angreifer die gesmte Kommuniktion zwischen den Kommunizierenden ungestört luschen. Dieses Prolem eim DH-Algorithmus lässt sich z. B. durch Anwendung von Verfhren zur digitlen Signtur (eschrieen in [Bu99, S. 249 ff.]) oder mit dem Konzept der zertifizierten öffentlichen Schlüssel (vgl. [MOV97, S. 559 ff.]) lösen. 3.2.3 Prmeteruswhl für den Algorithmus Einer der wichtigsten Punkte ei der Umsetzung des DH-Verfhrens ist, seine Prmeter so uszuwählen, dss die Berechnung der diskreten Logrithmen der gewählten zyklischen Gruppen für einen potentiellen Angreifer möglichst schwierig ist. Konkreter edeutet ds, dss ei einer geeigneten Prmeterwhl die in Aschnitt 2.2.2 ngesprochenen Algorithmen ineffizient sein sollen. Im Folgenden wird us Vereinfchungsgründen nur die Vorgehensweise ei Auswhl von zugrunde liegender Gruppe eschrieen. Z pz ls ( / ) Eine der größten mthemtischen Herusforderungen im Zusmmenhng mit dem DH- Algorithmus ist die Erzeugung von großen Primzhlen. Dmit die Implementierung roust gegenüer Angriffen mit den Verfhren in 2.2.2 ist, muss p lut vielen Quellen (s. [Bu99, s. 194]) mindestens 512 Bits hen 9. Bei höheren Sicherheitsnforderungen sollten entsprechend größere Werte für diesen Prmeter gewählt werden. [MOV97, 9 Zu echten ist, dss die schnellen Rten des Fortschritts im Bereich der Rechenleistung heutzutge solche Aussgen generell unzuverlässig mchen. 12
Kpitel 3: Diffie-Hellmnn-Schlüsselustusch Aschnitt 4.4] eschreit estehende Möglichkeiten für die Erzeugung großer Primzhlen, die für verschiedene Algorithmen geeignet sein können. Aus den in Aschnitt 2.2.2 ngegeenen Aufwndsschätzungen der verschiedenen Verfhren zur Berechnung von diskreten Logrithmen wird ersichtlich, dss ihre (Lufzeit-)Komplexität von der Auswhl des Prmeters g hängt. Dmit ds zugehörige DLP mit eknnten Algorithmen nicht effizient gelöst werden knn, muss die Ordnung von g modulo p usreichend hoch sein (vgl. Aschnitt 2.2.1). Lut [Bu99, S. 189] git es im Prinzip zwei nwendre Methoden, um dieses zu erreichen: 1. Der Prmeter g wird ls Primitivwurzel 10 der Gruppe Z pz zw. ls Erzeuger ( / ) ei nderen endlichen, multipliktiven Gruppen gewählt. Im [Bu99, Aschnitt 2.22] wird ein Test zur Üerprüfung, o diese Eigenschft für ein gegeenes g gegeen ist, vorgestellt. Bei der ngeotenen Vorgehensweise muss mn er in der Lge sein, die Primfktorisierung von ( p 1) zu erechnen. Dieses gilt er wieder ls ein mthemtisches Prolem, für dessen llgemeine Form noch keine effizienten Lösungslgorithmen existieren. Aer genuso wie eim DLP, git es uch Primfktorisierungs- Algorithmen, die ei estimmter Prolemstruktur und Prmeteruswhl effizienter sind. Wählt mn z. B. die Primzhl p so, dss ( p 1 ) /2 wieder eine Primzhl ist, lässt sich die Berechnung der Primitivwurzel der Gruppe ( Z/ pz ) g modulo p wesentlich effizienter durchführen. 2. Eine zweite Möglichkeit ist lut [Bu99, S. 189] den Prmeter g so zu wählen, dss die Restklsse (g+ p) sich durch eine hohe Ordnung in der Gruppe ( Z/ pz ) uszeichnet, dmit die Anwendung von speziellen Algorithmen wie z. B. Pohlig- Hellmnn nicht effizient ist. Auf die Ange von konkreten Schwellenwerten für sichere Restklssenordnungen wird hier verzichtet, weil die meisten in der Litertur gennnten Werte vor Jhren erechnet wurden, weshl sie höchstwhrscheinlich nicht mehr ktuell sind. D ei eiden oigen lterntiven Vorgehen spezielle Primzhlen zu erzeugen zw. nzuwenden sind, ergit sich die Frge, o diese Gestlt von p Auswirkungen uf die Sicherheit des DH-Verfhrens hen könnte. In [Bu99, S. 189] wird eine potentielle 10 Dnn ist er der gleichen Ordnung wie die Gruppe G. 13
Kpitel 3: Diffie-Hellmnn-Schlüsselustusch Gefhr für ds DLP wegen der speziellen Form der genutzten Primzhlen nicht generell gestritten, isher sind er solche Fälle nicht eknnt. Wenn mn ei der Algorithmusimplementierungen lle Prmeter so uswählt, dss die Anwendung der in 2.2.2 ufgezählten Algorithmen ineffizient ist, knn der DH- Schlüsselustusch ls sicher gegenüer pssiven Angriffen ezeichnet werden. Ntürlich muss mn immer echten, dss die Sicherheit ein reltives Mß ist der Aufwnd, der ei der Anwendung der Algorithmen für einen Angreifer entsteht, muss reltiv zu den ihm zur Verfügung stehenden Ressourcen z. B. Rechenleistung, Speicherpltz, Zeit geschätzt werden. Die ngestrete Vertrulichkeit für die üertrgene Informtion ist uch ein Fktor, der immer echtet werden muss, wenn mn ds Sicherheitsniveu von Verfhren ewertet. 14
Kpitel 4: ElGml-Verschlüsselung 4 ElGml-Verschlüsselung 4.1 ElGml-Verschlüsselungsverfhren Die ElGml-Verschlüsselung ietet (in einem einfchsten Anwendungsfll) die Möglichkeit, den Informtionsustusch zwischen zwei Kommuniktionsprtnern vor unerwünschtem Zugriff zu schützen. Der konkrete Anstz knn uf zwei leicht unterschiedliche Weisen umgesetzt werden in Ahängigkeit dvon, o ls Bsis ( Z/ pz ) oder eine ndere endliche, multipliktive Gruppe enutzt wird. 4.1.1 Stndrd-Verschlüsselungsnstz Als erstes wird die Stndrd-Form vorgestellt, ei der sämtliche Berechnungen in Z pz ngestellt werden. In der Beschreiung wird mehrmls uf Begriffe us der ( / ) Drstellung des DH-Algorithmus in Aschnit 3.1 verwiesen, dmit die Zusmmenhänge zwischen eiden Ansätzen ersichtlich werden. 1. Schlüsselerzeugung: Der erste Kommuniktionsprtner wählt eine Primzhl p und eine Primitivwurzel g modulo p der Restklssengruppe ( Z/ pz ). Dnn erechnet er mit Hilfe einer Zufllszhl { 0,, p 2} K 1 K den Wert A= g mod p (im DH- Algorithmus ist A sein Teil der Schlüsselvereinrung). Ds Schlüsselpr von ( ) dnn (, ed) = p, g, A,. K 1 ist 2. Verschlüsselung: Für die zu chiffrierende Klrtext-Nchricht muss m { 0, K, p 1} gelten. Um diese zu verschlüsseln, rucht der Kommuniktionsteilnehmer öffentlichen Schlüssel ( p, g, A ) von K und eine Zufllszhl { 1, K, p 2}. 1 K 2 den Somit erechnet er B = g mod p und c = A m mod p, d.h. verschlüsselt die Nchricht m, indem er sie mit dem DH-Schlüsselteil von geschickte ElGml-Chiffretext ist dnn ds Pr ( B, c ). K 1 multipliziert. Der n K 1 3. Entschlüsselung: empfängt den Chiffretext 1 K (, ) B c. Dmit er den Klrtext m rekonstruiert, multipliziert er c mit B dem DH-Schlüsselteil von. Um Inver- K 2 sionen modulo p zu vermeiden, estimm t K1 den Wert χ = p 1 (mit 1 χ p 2 15
Kpitel 4: ElGml-Verschlüsselung wegen 1 p 2 ) ls Exponent für den Term B. De r eigentliche Klrtext ist dnn m χ = B c mod p wie die folgenden Rechnungen zeigen: χ B B ( g p 1 p 1 ( p 1 ) ( p 1) p g p g g mod ) mod mod p g mod p (1) χ - B c mod p (g mod p)( A m mod p) g A m mod p g ( g mod p) m mod p g ( g m m od p) mod p ( g g m mod p) mod p ( mmod p) mod p m mod p m (2) Ds folgende sehr einfche Beispiel vernschulicht die genuen Berechnungsschritte eim ElGml-Verschlüsselungsverfhren. Schlüsselerzeugung: Alice wählt p = 41, g = 11, = 6. Sie erechnet drus A= g mod p ( 41, 11, 33 ). Ihre 6 = 11 mod 41 33 = und veröffentlicht ihren Pulic-Key ( p, g, A ) = n privte n Schl üssel = 6 hält sie geheim. Verschlüsselung : Bo möchte ihr die Nchricht m = 7 schicken. Er wählt die Zuflls- 3 zhl = 3 und erechnet dnn B = g mod p = 11 mod 41 = 19 und c= A mmod p =. 3 = 33.7 mod 41 24 Entschlüsselung: Der Chiffretext, de B, c = 19, 24). n Alice empfängt, lutet dnn ( ) ( Nun entschlüsselt sie die üertrgene Nchricht mit der Berechnung m = B 41-1-6 = 19.24 mod 41 34 =19.24 mod 41 = 7 = m. p 1 cmod p 4.1.2 Generlisierter Verschlüsselungsnstz Ds ElGml-Verschlüsselungsschem wird im Stndrdfll durch Festsetzung der Gruppe Z pz relisiert, knn er im Prinzip in jeder endlichen, zyklischen, ( / ) multipliktiven Gruppe G implementiert werden. Die generlisierte Gruppe muss jedoch den folgenden Bedingungen genügen (vgl. [MOV97, S. 297]): 1) Effizienz: Die Gruppenopertion in G sollte effizient nwendr sein. 2) Sicherheit: Die Lösung des DLP in G muss mit vertretrem Aufwnd unlösr sein. 16
Kpitel 4: ElGml-Verschlüsselung Lut [MOV97, S.297] git es noch sechs Gruppenrten, denen m häufigsten in Verindung wichtigsten sind: mit dem ElGml-Anstz Aufmerksmkeit gewidmet wird; die zwei Die multipliktive Gruppe F eines endlichen Feldes F ; 2 m 2 m Die Gruppe der Punkte uf einer elliptischen Kurve uf einem endlichen Feld. Der generlisierte ElGml-Anstz unterscheidet sich nicht sehr strk von dem schon vorgestellten Stndrdverfhren. Der Unterschied esteht nur in der Berechnung und Zusmmensetzung der öffentlichen Schlüssel. In Anlehnung uf [MOV97, S. 297] knn die Schlüsselerzeugung schemtisch wie folgt drgestellt werden. 1. Schlüsselerzeugung: Einer der Kommuniktionsteilnehmer, z. B. K 1 wählt zunächst eine geeignete zyklische, multipliktive Gruppe G der Ordnung n= G und einen Erzeuger g G. Dnn estimmt er eine Zufllszhl { 0, K, n 1} und erechnet nschließend ds Gruppenelement g. Der öffentliche Schlüssel vo n K 1 esteht dnn us dem P r ( g, g ) und gegeenenflls einer Beschreiung, wie die Elemente in G multipliziert werden. Der privte Schlüssel von K 1 ist (wie eim Stndrdnstz). 2. Verschlüsselung: Dmit eine Nchricht für K chiffriert, führt er folgende K2 1 g g von Schritte durch. Zuerst muss er den whren öffentlichen Schlüssel (, ) erhlten und die Klrtext-Nchricht ls ein Element muss eine Zufllszhl { 1,, n 1} B = g und c m( g ) K 1 m G drstellen. Anschließend K gewählt werden. Nch den Berechnung en = sendet K den Chiffretext 2 (, ) B c n K 1. 3. Entschlüsselung: K 1 nutzt seinen privten Schlüssel, um B und dnch uch zu estimmen. Er knn m mit Hilfe der folgenden Berechnung zurückgewinnen: ( ) ( ) ( ) - B c g m g g g m m Wenn sich lle Kommuniktionsteilnehmer uf die Nutzung der selen Gruppe G und des selen Erzeugers g in dieser Gruppe einigen, dnn ruchen g und der Beschreiung der Gruppenopertion in G nicht ls Teil des Pulic-Key veröffentlicht zu werden. B 17
Kpitel 4: ElGml-Verschlüsselung Weil die vorgestellten Ansätze prinzipiell sehr ähnlich sind, wird hier uf die Ange eines konkreten Beispiels verzichtet. Zur Vernschulichung des Vorgehens eim generlisierten Verfhren stellt [MOV97, S.298] einen eispielhften Aluf in Gruppe F dr. 2 m 4.2 Relevnte Angriffsrten und Sicherheit des ElGml-Algorithmus der Die Sicherheit eines symmetrischen Verschlüsselungsverfhrens ei pssiven Angriffen (s. Aschnitt 3.2.1) hängt dmit zusmmen, dss die Berechnung eines verwendeten privten Schlüssels us der öffentlich eknnten Informtion mit vertret- rem Aufwnd unmöglich ist. Die Sicherheit des ElGml-Verfhrens lehnt sich wie diese der DH-Schlüsselvereinrung uf der Schwierigkeit des DLP in endlichen, multipliktiven, zyklischen Gruppen. Knn der Angreifer mit vertretrem Aufwnd diskrete Logrithmen (ggf. nur in der zugrunde liegenden Gruppe G) erechnen, dnn ist er in der Lge us der öffentlich eknnten Informtion A= g mod p und B = g mod p die privten Schlüssel und der Kommuniktionsteilnehmer zu estimmen und somit lle üermittelten Nchrichten zu dechiffrieren. Dmit dieses Szenrio verhindert wird, müssen die Prmeter G, p und g so gewählt werden, dss ds Berechnen von diskreten Logrithmen in G schwierig ist (vgl. Aschnitt 3.2.3). Für einen potentiellen pssiven Angreifer des ElGml-Verfhrens esteht er uch die Möglichkeit, systemtisch den Klrtext zum üertrgenen Chiffretext zu ermitteln, ohne diskrete Logrithmen erechnen zu können (vgl. [Bu99, S. 194]). Dieses Szenrio ist denkr wenn einer der Kommuniktionsprtner, z. B. K 2, den gleichen privten Schlüssel zur Verschlüsselung von mehreren Nchrichten enutzt und der Angreifer den Klrtext m zu einem in der Vergngenheit üertrgenen Chiffretext c erfhren ht. Zur Vernschulichung: K 2 möchte die Nchrichten m und m n K 1 schicken, will er us Effizienzgründen die gleiche Zufllszhl enutzen. Deshl erechnet er die folgenden Chiffretexte: c= A mmod p und c' = A m'mod p. Angenommen dem Angreifer ist es schon gelungen, den Klrtext m zu ermitteln. Dnn knn er wegen des Zusmmenhngs uch m wie folgt erechnen: -1-1 cc ' mm ' mod p -1 m' = c' c m mod p. 18
Kpitel 4: ElGml-Verschlüsselung Deshl empfiehlt sich lut [Bu99, S. 194] für eide Kommuniktionsteilnehmer jeweils einen neuen privten Schlüssel zw. für jeden Verschlüsselungsvorgng zu wählen. Der eschrieene ElGml-Anstz weist lut [Bu99, S. 195] eine weitere Sicherheits- Chiffretext so zu mnipulieren, dss der zugehörige Klrtext lücke uf, die von ktiven Angreifern usgenutzt werden knn er ist nicht roust gegenüer Chosen-Ciphertext-Angriffe. Ein potentieller Angreifer ist in der Lge den üermittelten kontrolliert (d.h. nicht willkürlich) geändert wird. Dies liegt n der folgenden Ttsche: wenn ( B, c ) der Chiffretext zu einer Klrtextnchricht m ist, dnn ist ( B,( cγ mod p)) genu der Chiffretext zu dem Klrtext ( c mod p) γ für jedes γ { 0, K, p 1}. Eine Vrinte vom ElGml-Anstz, die gegen solche Angriffe sicher ist, ist der Crmer-Shoup- Algorithmus, der in [5] eschrieen ist. Eine weitere wichtige Frge, die sich ei der Diskussion symmetrischer Verfhren ntürlich ergit, ist die Verteilung und ds Mngement der Pulic-Keys. Im Prinzip werden sie veröffentlicht und sind jedem zugänglich. Dies führt zu der Gefhr, dss ein öffentlicher Schlüssel von einem ktiven Angreifer verfälscht wird, d.h. möglicherweise nicht der Person gehört, der er zugeordnet ist. Dieses Prolem knn mittels Techniken wie Pulic-Key-Zertifizierung (vgl. [MOV97, S. 559 f.]), Identitätssierte Schlüsselverteilungssysteme (vgl. [MOV97, S. 561]) u. A. gelöst werden. 4.3 Vergleich zwischen ElGml und RSA Der ElGml- und der RSA-Anstz gelten ls die m weitesten verreiteten Pulic-Key- Verfhren. Dher ist der Vergleich ihrer Effizienz vom rechentechnischen Stndpunkt sinnvoll. Wie in [Bu99, S. 192-193] erläutert ist, wird für die Entschlüsselung von Nchrichten ei eiden Ansätzen eine modulre Exponentition enötigt, woei er ds Ausnutzen des Chinesische-Reste-Theorems (eschrieen in [MOV97, S. 68]) ds ElGml-Verfhren nicht eschleunigen knn (im Gegenstz zu RSA). Im Unterschied zur RSA-Verschlüsselung, wo nur eine modulre Exponentition nötig ist, kommt die Verschlüsselung ei ElGml durch zwei Exponentitionen zustnde: B = g mod p und A mod p. Diese Berechnungen sind er eim ElGml-Anstz unhängig von dem jeweiligen Klrtext und können deshl im Vorus erechnet und gespeichert werden. Wenn diese Möglichkeit usgenutzt wird, ist die Verschlüsselung 19
Kpitel 4: ElGml-Verschlüsselung lut [Bu99, S. 193] mit Hilfe einer einzigen modulren Multipliktion durchführr und somit viel effizienter ls diese ei der RSA-Verschlüsselung. Der kritische Punkt ei so einem Vorgehen ist ntürlich die Geheimhltung der vorerechneten Werte und ds im Aschnitt 4.2 esprochene Prolem ei der Wiederverwendung von den privten Schlüsseln. Eine weitere Besonderheit des ElGml-Verfhrens, die ls ein Nchteil von diesem Kryptosystem ngesehen wird, ist die sog. messge expnsion die Ttsche, dss der Chiffretext zweiml länger ls der Klrtext ist. Dieses liegt drn, dss mn ls Chiffre ein Pr ( B, c ) sendet, in dem jedes Element die Länge der Nchricht m ht. ElGml ht er uch estimmte Vorteile, die den Zustzufwnd wegen der messge expnsion üerkompensieren können. Einer dvon, der die Sicherheit des Anstzes erhelich erhöhen knn, ist die Eineziehung von zufälligen Einflüssen ei der Verschlüsselung (sog. Rndomisierung), indem der Exponent in B = g mod p nicht einmlig sondern für jede neue Nchricht neu estimmt wird. Wenn ds verwendete nun einer diskreten Gleichverteilung in { 0,, p 2} ( B, c ) eenflls diskret gleichverteilt in { 1,, p 1} 2 K genügt, dnn ist der Chiffretext K unter der Bedingung, dss der DH-Schlüsselteil B eine Primitivwurzel modulo p ist. Ein Beweis dzu wird in [ 6], S. 18 geoten. Wegen dieser Besonderheit ist lt. [Bu99, S. 195] ein ElGml-Kryptosystem semntisch sicher, solnge ds DHEP nicht mit vertretrem Aufwnd lösr ist. Die Rndomisierung führt er nicht nur zur Sicherheitssteigerung des Verfhrens, sondern uch zu zusätzlichem Rechenufwnd ei jeder Nchrichtenüermittlung muss eine strke Zufllszhl generiert werden (vgl. [MOV97, Aschnitt 4.4]). Ds ElGml-Verfhren findet Anwendung in verschiedenen kryptogrfischen Softwre-Systemen. Ein Beispiel dzu ist GnuPG/PGP, wo seit der Version 5 nicht mehr RSA, sondern ElGml zur Ver- und Entschlüsselung von Dteien eingesetzt wird (vgl. [3]). ElGml wird in einer primen Restklssengruppe Z pz implementiert, ( / ) wo p zwischen 512 und 8192 Bit gewählt werden knn. D dersele privte Schlüssel für eine komplette Dtei verwendet wird, sind die Performnznchteile und ds Prolem der messge expnsion gegenüer RSA nicht so strk. 20
Kpitel 5: Fzit und Auslick 5 Fzit und Auslick In dieser Areit wurden der Diffie-Hellmnn-Algorithmus ls Beispiel für einen hyriden kryptogrfischen Anstz und ds ElGml-Verschlüsselungsschem ls Vertreter der symmetrischen Kryptoverfhren drgestellt. D sie in einigen reit verwendeten kryptogrfischen Anwendungen eingesetzt werden, ist ihre Sicherheit von esonderer Bedeutung. Aus den oigen Ausführungen zum diskreten Logrithmus- Prolem, uf dessen Schwierigkeit die Sicherheit eider Algorithmen siert, knn geschlossen werden, dss ei geeigneter Prmeteruswhl und, wenn lle eknnten Sicherheitslücken dieser Algorithmen uf Implementierungseene gedeckt werden, eide Verfhren us theoretischer Sicht noch ls grundsätzlich sicher ezeichnet werden können. Es ist er uch nzumerken, dss die steigende Notwendigkeit sicherer Kryptoverfhren zu einer verstärkten Forschung in dem Bereich der Kryptogrfie und ihrem Unterereich der Kryptonlyse geführt ht. Diese intensive Beschäftigung mit den estehenden Pulic-Key-Verfhren knn eventuell zu neuen mthemtischen Erkenntnissen führen, die die Sicherheit der hier eschrieenen Verfhren in Frge stellen. Neen der theoretischen Betrchtung der vorgestellten Techniken existiert ntürlich uch noch die prktische Sichtweise. Sowohl ei dem Einstz von den ngesprochenen Algorithmen, ls uch ei ihrer Prmeteruswhl muss in der Prxis immer echtet werden, welches Sicherheitsniveu die üertrgene Informtion verlngt und üer welche Ressourcen ein potentieller Angreifer verfügen könnte. Ds DLP wird zum derzeitigen Stnd der Technik ls schwierig ezeichnet. Werden er in Zukunft schnellere und leistungsfähigere Prozessoren entwickelt, z. B. die in letzter Zeit häufig ngesprochenen Quntenrechner, dnn würde ein Angreifer in der Lge sein, diskrete Logrithmen, Primfktorisierungen usw. in sehr kurzer Zeit zu erechnen. Somit wären sämtliche Kryptoverfhren, die uf mthemtischen Prolemstellungen sieren, ls unsicher nzusehen. Für ds Forschungsgeiet der Kryptogrfie edeutet ds, dss mn sich nicht einfch uf die Sicherheit der estehenden Ansätze verlssen knn, sondern versuchen soll, diese ständig zu veressern oder n der Entwicklung von neuen Grundideen zu reiten. 21
Literturverzeichnis [Bu04] J. Buchmnn: Introduction to Cryptogrphy, 2nd. ed., Springer-Verlg. Heidelerg, 1999. 2004 [MOV97] Alfred J. Menezes, Pul C. Vn Oorschot, Scott A. Vnstone: Hndook Of pplied cryptogrphy. In: The CRC Press series on discrete mthemtics nd its pplictions: Computer Sciences pplied mthemtics engineering, CRC Press, 1997 [1] http://www.tu-chemnitz.de/urz/lehre/rs/rs02/krypto/dh.htm [2] http://kluedo.u.uni-kl.de/volltexte/2000/1162/pdf/script_10.pdf [3] http://rchiv.tu-chemnitz.de/pu/1998/0015/dt/pgp5.html [4] http://www.tm.uk.de/itm/uplods/folien/60/ipsec-4.pdf [5] http://www.infsec.cs.uni-s.de/teching/ss07/cryptogrphy/ln/08- CrmerShoup.pdf [6] http://www.weltfremder.de/normletrie/studium/kryptogrphie/rin_ ElGml_DH.pdf