Kryptographische Algorithmen Lerneinheit 6: Public Key Kryptosysteme Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen
Wintersemester 2016/2017 19.9.2016
Public Key Kryptosysteme
Einleitung
Einleitung Thema dieser Lerneinheit ist die Funktionsweise von Public Key Kryptosystemen. Die Lerneinheit gliedert sich in folgende Abschnitte: • Aufbau von Public Key Kryptosystemen • Generierung von Primzahlen • Rabin-Kryptosystem • RSA-Kryptosystem • Diffie Hellman Key Exchange • El-Gamal-Kryptosystem
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
2 / 138
Public Key Kryptosysteme
Aufbau
Aufbau eines Public Key Kryptosystems Alice
Oskar
Bob
x enc
x y
unsicherer Kanal
y
dec ke
ke
kd
Schlüsselverzeichnis
Prof. Dr. C. Karg (HS Aalen)
Benutzer
Schlüssel
Bob
ke
Kryptographische Algorithmen
Public Key Kryptosysteme
Public Key Kryptosysteme
3 / 138
Sicherheitsaspekte
Sicherheitsaspekte • Die Sicherheit gängiger Public Key Kryptosysteme basiert auf der (hoffentlich) hohen Komplexität von algorithmischen Problemen • Häufig verwendete Problemstellungen: ▷ Faktorisierung von ganzen Zahlen ▷ Berechnung des diskreten Logarithmus ▷ Berechnung von quadratischen Resten • Die Parameter von Public Key Kryptosystemen werden mittels Pseudo-Zufallszahlen-Generatoren erzeugt • Voraussetzungen: ▷ Für kryptografische Zwecke geeignete Generatoren für Pseudo-Zufallszahlen ▷ Primzahltests Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
4 / 138
Public Key Kryptosysteme
Sicherheitsaspekte
Faktorisierung von ganzen Zahlen
Faktorisierungsproblem Gegeben: Zusammengesetzte Zahl n ∈ N Gefragt: Finde einen Faktor f von n, d.h., eine Zahl f mit folgenden Eigenschaften: • 1 < f < n, und • f|n
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
Public Key Kryptosysteme
5 / 138
Sicherheitsaspekte
Berechnung des diskreten Logarithmus Diskreter-Logarithmus-Problem Gegeben: • Primzahl p • Erzeugendes Element α von Z∗p • Element β ∈ Z∗p Gefragt: Berechne die eindeutige ganze Zahl a, 1 ≤ a ≤ p − 1, so dass αa ≡ β (mod p).
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
6 / 138
Public Key Kryptosysteme
Sicherheitsaspekte
Beispiel zum Diskreten Logarithmus
Betrachte Z∗11 und α = 2. i 1 2 3 4 5 6 7 8 9 10 αi mod 11 2 4 8 5 10 9 7 3 6 1 Demnach ist log2 (10) = 5 und log2 (6) = 9.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
Public Key Kryptosysteme
7 / 138
Sicherheitsaspekte
Einwegfunktionen
Eine Abbildung f bezeichnet man als Einwegfunktion, falls sie folgende Bedingungen erfüllt: • f kann man einfach berechnen • Selbst wenn der Algorithmus zur Berechnung von f bekannt ist, ist es für fast alle y schwer, ein x zu finden, so dass f(x) = y gilt Ob Einwegfunktionen existieren, ist eine der offenen Fragen in der Kryptografie
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
8 / 138
Public Key Kryptosysteme
Sicherheitsaspekte
Kandidaten für Einwegfunktionen
• Produkt zweier Primzahlen: f(p, q) = p · q, wobei p und q Primzahlen. • Diskrete Exponentialfunktion: f(x) = gx mod p, wobei p eine Primzahl und g ein Generator von (Z∗p , ×p ) ist. • Modulare Polynomfunktion: f(x) = an · xn + . . . + a1 · x + a0 mod p, wobei p eine Primzahl und ai ∈ Zp für 0 ≤ i ≤ n.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
Public Key Kryptosysteme
9 / 138
Sicherheitsaspekte
Falltürfunktionen Eine Abbildung f bezeichnet man als Falltürfunktion, falls sie folgende Bedingungen erfüllt: • f ist einfach zu berechnen. • Bei Kenntnis einer mit f verbundenen Information (der sogenannten Falltürinformation), ist die Gleichung f(x) = y für gegebenes y leicht lösbar • Ohne Kenntnis der Falltürinformation ist die Gleichung f(x) = y für alle y schwer lösbar Bisher konnte nicht nachgewiesen werden, dass Falltürfunktionen existieren. Ein Kandidat für eine Falltürfunktion ist die bei RSA eingesetzte modulare Potenzfunktion Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
10 / 138
Generierung von Primzahlen
Generierung von Primzahlen
• Primzahlen sind die Grundlage für viele Public Key Verfahren • Die verwendeten Primzahlen müssen geheim gehalten werden • Konsequenz: ein Benutzer muss in der Lage sein, Primzahlen auf eine vertrauliche Art und Weise zu generieren • Ansatz: 1. Zähle zufällig unter Gleichverteilung eine ungerade Zahl mit einer vorgegebenen Größe 2. Überprüfe, ob die Zahl eine Primzahl ist
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Generierung von Primzahlen
Public Key Kryptosysteme
11 / 138
Der Primzahlsatz
Der Primzahlsatz Satz 1 (Primzahlsatz) Sei π(n) gleich der Anzahl der Primzahlen, die kleiner-gleich n sind, d.h., π(n) = ∥{p ∈ N | p ist ein Primzahl und p ≤ n}∥. Dann gilt für alle n ∈ N: lim
n→∞
π(n) n ln n
→ 1.
Interpretation: Für große n ist π(n) ≈
Prof. Dr. C. Karg (HS Aalen)
n ln n
Kryptographische Algorithmen
Public Key Kryptosysteme
12 / 138
Generierung von Primzahlen
Der Primzahlsatz
Anwendung des Primzahlsatzes Anwendung: Im Mittel muss man m=
k ln(2) ln(2k ) = 2 2
ungerade Zahlen aus {1, 3, . . . , 2k − 1} zufällig unter Gleichverteilung ziehen, um eine Primzahl zu erhalten. Zahlenbeispiele: k m 128 44.36 256 88.72 512 177.45 1024 354.89 Prof. Dr. C. Karg (HS Aalen)
k m 2048 709.78 4096 1419.57 8192 2839.13 16384 5678.26
Kryptographische Algorithmen
Generierung von Primzahlen
Public Key Kryptosysteme
13 / 138
Ein einfacher Primzahltest
Ein einfacher Primzahltest
Satz 2 (Fermat) Ist n eine Primzahl, dann gilt für alle a ∈ Z∗n : an−1 ≡ 1 (mod n). Ansatz: Finde ein a ∈ {2, . . . , n − 1}, so dass an−1 ̸≡ 1 (mod n). In diesem Fall ist n keine Primzahl.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
14 / 138
Generierung von Primzahlen
Ein einfacher Primzahltest
Probleme und Lösungen Probleme 1. an−1 mod n muss effizient berechnet werden 2. Man kann nicht alle Elemente a ∈ {2, . . . , n − 1} testen 3. Es gibt Zahlen, die durch den Test nicht erkannt werden Lösungen 1. Einsatz der modularen Exponentiation 2. Zufällige Auswahl von a 3. Einsatz einer verbesserten Testmethode
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Generierung von Primzahlen
Public Key Kryptosysteme
15 / 138
Ein einfacher Primzahltest
Modulare Exponentation ModularExponentation(a, b, n) Input: a, b, n ganze Zahlen, wobei n > 0 Output: ab mod n 1 d := 1 2 Sei ⟨bk−1 , . . . , b0 ⟩ die Binärdarstellung von b 3 for i := k − 1 downto 0 do 4 d := (d · d) mod n 5 if (bi = 1) then 6 d := (d · a) mod n 7 return d
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
16 / 138
Generierung von Primzahlen
Carmichael-Zahlen
Carmichael-Zahlen Eine Carmichael-Zahl ist eine zusammengesetzte Zahl n mit der Eigenschaft, dass an−1 ≡ 1 (mod n) für alle a ∈ {1, 2, . . . , n − 1}. Bemerkungen: • Carmichael-Zahlen sind extrem selten. Es gibt nur 255 solche Zahlen, die kleiner als 108 sind • Die ersten drei Carmichael-Zahlen sind 561, 1105 und 1729
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Generierung von Primzahlen
Public Key Kryptosysteme
17 / 138
Verbesserung des Primzahltests
Verbesserung des Primzahltests Satz 3 Ist n eine Primzahl, dann hat die Gleichung x2 ≡ 1 (mod n) genau die zwei Lösungen x = 1 und x = −1 = n − 1. Folgerung: Ist die Gleichung x2 ≡ 1 (mod n) lösbar für ein x mit x ̸= 1 und x ̸= n − 1, dann ist n keine Primzahl. Ansatz: Modifikation der modularen Exponentiation Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
18 / 138
Generierung von Primzahlen
Verbesserung des Primzahltests
Algorithmus Witness(a, n) Witness(a, n) Input: a, n ganze Zahlen, wobei n > 0 und 1 ≤ a ≤ n − 1 Output: true, falls n keine Primzahl, false, sonst. 1 Sei ⟨bk , bk−1 , . . . , b0 ⟩ die Binärdarstellung von n − 1 2 d := 1 3 for i := k downto 0 do 4 x := d 5 d := (d · d) mod n; 6 if (d = 1) and (x ̸= 1) and (x ̸= n − 1) then 7 return true 8 if (bi = 1) then d := (d · a) mod n 9 if (d ̸= 1) then 10 return true 11 return false Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Generierung von Primzahlen
Public Key Kryptosysteme
19 / 138
Verbesserung des Primzahltests
Eigenschaften von Witness(a, n) • Die Funktion Witness(a, n) ist eine abgewandelte Form von modularer Exponentiation • Der Algorithmus berechnet an−1 mod n und sucht während der Berechnung nach Lösungen für die Gleichung x2 ≡ 1 (mod n), die verschieden zu 1 und n − 1 sind • Falls Witness(a, n) = true, dann wird a als Beleg (engl. witness) für die Tatsache angesehen, dass n keine Primzahl ist. • Ist n > 2 eine zusammengesetzte Zahl, dann existieren hierfür mindestens (n − 1)/2 Belege in {1, 2, . . . , n − 1}
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
20 / 138
Generierung von Primzahlen
Miller-Rabin-Test
Miller-Rabin-Test
MillerRabinTest(n, s) Input: n, s ganze positive Zahlen Output: true, falls n eine Primzahl ist, false, sonst. 1 for i := 1 to s do 2 a := Random(2, n − 1) 3 if Witness(a, n) = true then 4 return false 5 return true
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Generierung von Primzahlen
Public Key Kryptosysteme
21 / 138
Miller-Rabin-Test
Bemerkungen zum Miller-Rabin-Test
• Der Miller-Rabin-Test besitzt einen einseitigen Fehler: ▷ Falls MillerRabinTest(n, s) = false, dann ist n keine Primzahl ▷ Falls MillerRabinTest(n, s) = true, dann ist n Primzahl mit einer Wahrscheinlichkeit von 1 − 2−s • Die Wahl von s beeinflusst die Fehlerwahrscheinlichkeit • Die Laufzeit von MillerRabinTest(n, s) ist O(log2 (n)3 · s)
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
22 / 138
Rabin-Kryptosystem
Rabin-Kryptosystem
• • • •
Erfunden von Michael O. Rabin im Jahr 1979 Verschlüsselung mittels quadratischer Funktion Beweisbar sicheres Kryptosystem Geringe Bedeutung für die Praxis ▷ Verschlüsselungsfunktion nicht injektiv ⇝ erhöhter Aufwand bei der Entschlüsselung ▷ Anfällig gegen eine Chosen-Ciphertext-Attacke
• Grundlage für weitere Kryptosysteme
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Rabin-Kryptosystem
Public Key Kryptosysteme
23 / 138
Definition
Definition Rabin-Kryptosystem Parameter: • Primzahlen p und q, wobei p ̸= q, p ≡ 3 (mod 4) und q ≡ 3 (mod 4) • n=p·q Kryptosystem: • P = C = Zn • K = {(n, p, q)} • Schlüssel k = (n, p, q) ▷ Öffentlicher Teil: n ▷ Privater Teil: (p, q) • Verschlüsselung: enc((n, p, q), x) = x2 mod n √ • Entschlüsselung: dec((n, p, q), y) = y mod n Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
24 / 138
Rabin-Kryptosystem
Quadratische Reste
Quadratischer Reste
Definition. Sei n eine ungerade ganze Zahl. Sei a eine Zahl, die teilerfremd zu n ist, d.h., gcd(a, n) = 1. a ist ein quadratischer Rest modulo n, falls eine Zahl x ∈ Zn existiert, so dass x2 ≡ a (mod n) Ist a kein quadratischer Rest, dann nennt man a einen quadratischen Nicht-Rest.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Rabin-Kryptosystem
Public Key Kryptosysteme
25 / 138
Quadratische Reste
Beispiel zu Quadratischen Resten Betrachte n = 11. a 1 2 3 4 5 6 7 8 9 10 a2 1 4 9 5 3 3 5 9 4 1 Also ist die Menge der quadratischen Reste modulo 11 gleich {1, 3, 4, 5, 9} Die Menge der quadratischen Nicht-Reste ist {2, 6, 7, 8, 10}
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
26 / 138
Rabin-Kryptosystem
Quadratische Reste
Zwei nützliche Sätze Satz 1. Seien p und q Primzahlen mit der Eigenschaft, dass • p ̸= q • p ≡ 3 (mod 4) und q ≡ 3 (mod 4) Sei n = p · q. Sei a ein quadratischer Rest modulo n. Dann besitzt die Gleichung x2 ≡ a
(mod n)
vier Lösungen.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Rabin-Kryptosystem
Public Key Kryptosysteme
27 / 138
Quadratische Reste
Zwei nützliche Sätze (Forts.) Satz 2. Sei p eine Primzahl mit der Eigenschaft, dass p ≡ 3 (mod 4). Sei a ein quadratischer Rest modulo p. Dann sind x1,2 = ±a(p+1)/4 mod p die beiden Lösungen für die Gleichung x2 ≡ a
Prof. Dr. C. Karg (HS Aalen)
(mod p).
Kryptographische Algorithmen
Public Key Kryptosysteme
28 / 138
Rabin-Kryptosystem
Entschlüsselung
Entschlüsselung
Gegeben: Quadratischer Rest a modulo p · q Ansatz: Einsatz des Chinesischen Restsatzes 1. Berechne die Lösungen x1,2 der Gleichung x2 ≡ a (mod p) 2. Berechne die Lösungen y1,2 der Gleichung y2 ≡ a (mod q) 3. Berechne mittels des Chinesischen Restsatzes die vier Lösungen ⟨v1 , v2 , v3 , v4 ⟩ der Gleichung v2 ≡ a (mod p · q)
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Rabin-Kryptosystem
Public Key Kryptosysteme
29 / 138
Entschlüsselung
Wiederholung: Chinesischer Restsatz Satz. Seien p und q Primzahlen, wobei p ̸= q. Dann besitzt das Gleichungssystem x ≡ bp x ≡ bq
(mod p) (mod q)
die eindeutige Lösung (bp · mp · q + bq · mq · p) mod (p · q) wobei
Prof. Dr. C. Karg (HS Aalen)
mp ≡ q−1 mq ≡ p−1
(mod p) (mod q)
Kryptographische Algorithmen
Public Key Kryptosysteme
30 / 138
Rabin-Kryptosystem
Entschlüsselung
Beispiel zur Entschlüsselung
Bob wählt die Primzahlen p = 131 und q = 139 als geheimen Schlüssel und veröffentlicht den Schlüssel n = p · q = 18209. Alice will die Nachricht x = 4273 verschlüsselt an Bob senden. Hierzu berechnet sie y = x2
(mod n) = 42732
(mod 18209) = 13111
und sendet anschließend den Geheimtext 13111 an Bob.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Rabin-Kryptosystem
Public Key Kryptosysteme
31 / 138
Entschlüsselung
Beispiel zur Entschlüsselung (Forts.) Um Alices Nachricht zu entschlüsseln, berechnet Bob mit dem erweiterten Algorithmus von Euklid die Werte mp und mq , so dass 1 = mq · p + mp · q Man überprüft ohne Mühe, dass mp · q ≡ 1 mq · p ≡ 1
(mod p) und (mod q)
Der Euklid’sche Algorithmus liefert mp = −49 und mq = 52 als Ergebnis.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
32 / 138
Rabin-Kryptosystem
Entschlüsselung
Beispiel zur Entschlüsselung (Forts.) Bob berechnet
und
x1 ≡ ≡ x2 ≡ ≡
13111(131+1)/4 81 131 − 81 50
(mod (mod (mod (mod
131) 131) 131) 131)
y1 ≡ ≡ y2 ≡ ≡
13111(139+1)/4 36 139 − 36 103
(mod (mod (mod (mod
139) 139) 139) 139)
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Rabin-Kryptosystem
Public Key Kryptosysteme
33 / 138
Entschlüsselung
Beispiel zur Entschlüsselung (Forts.) Anschließend benutzt Bob den Chinesischen Restsatz zur Berechnung der Wurzeln: v1 ≡ ≡ ≡ v2 ≡ ≡ ≡
(x1 · q · mp + y1 · p · mq ) (81 · 139 · −49 + 36 · 131 · 52) 3094 (x2 · q · mp + y2 · p · mq ) (50 · 139 · −49 + 36 · 131 · 52) 13936
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
(mod (mod (mod (mod (mod (mod
n) 18209) 18209) n) 18209) 18209)
Public Key Kryptosysteme
34 / 138
Rabin-Kryptosystem
Entschlüsselung
Beispiel zur Entschlüsselung (Forts.)
v3 ≡ ≡ ≡ v4 ≡ ≡ ≡
(x1 · q · mp + y2 · p · mq ) (81 · 139 · −49 + 103 · 131 · 52) 4273 (x2 · q · mp + y1 · p · mq ) (50 · 139 · −49 + 103 · 131 · 52) 15115
(mod (mod (mod (mod (mod (mod
n) 18209) 18209) n) 18209) 18209)
Bob erkennt (auf eine dem Autor dieses Dokuments nicht bekannte Art und Weise), dass v3 = 4273 der von Alice versendete Klartext ist.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Rabin-Kryptosystem
Public Key Kryptosysteme
35 / 138
Public Key Kryptosysteme
36 / 138
Entschlüsselung
Algorithmus zur Entschlüsselung RabinDecrypt(a, p, q) Input: Geheimtext a, geheimer Schlüssel (p, q) Output: Wurzeln ⟨v1 , v2 , v3 , v4 ⟩ von a modulo p · q 1 n := p · q 2 ⟨d, mq , mp ⟩ := ExtendedEuclid(p, q) 3 x1 := a(p+1)/4 mod p 4 x2 := p − x1 5 y1 := a(q+1)/4 mod q 6 y2 := q − y1 7 v1 := (x1 · q · mp + y1 · p · mq ) mod n 8 v2 := (x2 · q · mp + y1 · p · mq ) mod n 9 v3 := (x1 · q · mp + y2 · p · mq ) mod n 10 v4 := (x2 · q · mp + y2 · p · mq ) mod n 11 return ⟨v1 , v2 , v3 , v4 ⟩ Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Rabin-Kryptosystem
Sicherheitsaspekte
Sicherheitsaspekte
• Die Sicherheit des Rabin-Kryptosystems ist an das Faktorisierungsproblem gekoppelt • Findet man eine effiziente Methode, um das Rabin-Kryptosystem zu brechen, dann kann man effizient zusammengesetzte Zahlen faktorisieren, und umgekehrt • Das Rabin-System ist anfällig gegen eine Attacke mit frei wählbarem Geheimtext
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Rabin-Kryptosystem
Public Key Kryptosysteme
37 / 138
Angriff mit frei wählbarem Geheimtext
Angriff mit frei wählbarem Geheimtext Annahme: x ist eine der vier Wurzeln von y = r2 mod n Dann kann man unter Einsatz des CRT vier Fälle unterschieden: (1) (2) (3) (4)
x ≡ r (mod p) und x ≡ r (mod q) x ≡ −r (mod p) und x ≡ −r (mod q) x ≡ r (mod p) und x ≡ −r (mod q) x ≡ −r (mod p) und x ≡ r (mod q)
Erkenntnis: • Die Fälle (1) und (2) sind nicht verwertbar • Anhand Fall (3) oder (4) kann man n faktorisieren
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
38 / 138
Rabin-Kryptosystem
Angriff mit frei wählbarem Geheimtext
Angriff mit frei wählbarem Geheimtext (Forts.) Aus Fall (3) folgt, dass: x − r ≡ 0 (mod p) und x − r ≡ −2r (mod q) Anwendung des CRT: x − r ≡ 0 · q · mp − 2 · r · p · mq ≡ −2 · r · p · mq
(mod n) (mod n)
Also ist: x − r = ℓ · n − 2 · r · p · mq = p · (ℓ · q − 2 · r · mq ) für ein ℓ ∈ N. Hieraus folgt: gcd(x − r, n) = p Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Rabin-Kryptosystem
Public Key Kryptosysteme
39 / 138
Angriff mit frei wählbarem Geheimtext
Angriff mit frei wählbarem Geheimtext (Forts.) Fall (4) kann auf analoge Weise analysiert werden Bemerkungen: • Die Wahrscheinlichkeit, dass für ein zufälliges r Fall (3) oder (4) eintritt, ist 21 • Durch wiederholtes Ausführen von RabinAttack(n) kann die Erfolgswahrscheinlichkeit erhöht werden • Liefert RabinAttack(n) alle vier Wurzeln als Ergebnis, dann führt der Angriff direkt zum Erfolg • Der Angriff kann verhindert werden, indem man den Klartext mit einer eindeutigen, wiedererkennbaren Markierung versieht
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
40 / 138
Rabin-Kryptosystem
Angriff mit frei wählbarem Geheimtext
Angriff mit frei wählbarem Geheimtext (Forts.) RabinAttack(n) Input: Öffentlicher Schlüssel n 1 r := Random(1, n − 1) 2 2 y := r mod n 3 // Die Entschlüsselung liefert eine der vier Wurzeln 4 x := RabinDecrypt(y) 5 if x ≡ ±r (mod n) then 6 return”Failure” 7 else 8 p := gcd(x − r, n) 9 q := n/p 10 return (p, q) Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
41 / 138
RSA-Kryptosystem
RSA-Kryptosystem • Erstes asymmetrisches Kryptosystem • Erfindung im Jahr 1977 • Benannt nach seinen Erfindern Ronald Rivest, Adi Shamir & Leonard Adleman • Sicherheit abhängig von der Komplexität des Faktorisierungsproblems • Weltweit meist genutztes Public Key Kryptosystem • Für Details zur Implementierung siehe Standard PKCS #1 Version 2.2 (⇝ Webpage)
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
42 / 138
RSA-Kryptosystem
Definition
Definition RSA-Kryptosystem Parameter: • Primzahlen p und q, wobei p ̸= q • n=p·q Kryptosystem: • P = C = Zn } { n = pq, wobei p, q prim, • K = (n, p, q, e, d) e · d ≡ 1 (mod ϕ(n)) • Schlüssel k = (n, p, q, e, d) ∈ K ▷ Öffentlicher Teil: (n, e) ▷ Privater Teil: (p, q, d) • Verschlüsselung: enc(k, x) = xe mod n • Entschlüsselung: dec(k, y) = yd mod n Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
RSA-Kryptosystem
Public Key Kryptosysteme
43 / 138
Beispiel
Beispiel zu RSA Angenommen, Bob wählt p = 101 und q = 113. Dann ist n = 11413 und ϕ(n) = 100 × 112 = 11200. Die Primfaktorzerlegung von 11200 ist 26 52 7. Also muss Bob für e eine Zahl wählen, die nicht durch 2, 5 und 7 teilbar ist. Er entscheidet sich für e = 3533. Er überprüft mittels des Extended Euklid Algorithmus, dass gcd(e, ϕ(n)) = 1 und ermittelt e−1 = 6597 mod 11200. Der geheimzuhaltende Exponent zur Entschlüsselung ist also d = 6597. Bob veröffentlicht den öffentlichen Schlüssel (n = 11413, e = 3533) in einem für jedermann lesbaren Public Key Verzeichnis. Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
44 / 138
RSA-Kryptosystem
Beispiel
Beispiel zu RSA (Forts.) Alice will den Klartext x = 9726 an Bob senden. Hierzu besorgt sie sich Bob’s öffentlichen Schlüssel (n = 11413, e = 3533) aus obigem Public Key Verzeichnis. Anschließend berechnet sie 97263533 mod 11413 = 5761 und sendet den Geheimtext 5761 an Bob. Bob benutzt seinen geheimen Schlüssel d = 6597, um die Nachricht zu entschlüsseln: 57616597 mod 11413 = 9726.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
RSA-Kryptosystem
Public Key Kryptosysteme
45 / 138
Offene Fragen
Offene Fragen • Ist RSA tatsächlich ein Kryptosystem? Mit anderen Worten, gilt die Gleichung dec(k, enc(k, x)) = (xe mod n)d mod n = x für alle x ∈ P und k = (n, p, q, e, d) ∈ K? • Warum ist RSA sicher? • Kann man RSA effizient implementieren? • Wie wird der Schlüssel k = (n, p, q, e, d) erzeugt? Was ist hierbei zu beachten?
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
46 / 138
RSA-Kryptosystem
Korrektheit
Warum funktioniert RSA?
Aufgrund der Definition von RSA gilt für k = (n, p, q, e, d): dec(k, enc(k, x)) = xed mod n. Die Zahlen e und d sind multiplikative Inverse modulo ϕ(n) = (p − 1)(q − 1). Somit ist ed = 1 + i(p − 1)(q − 1) für eine ganze Zahl i.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
RSA-Kryptosystem
Public Key Kryptosysteme
47 / 138
Korrektheit
Warum funktioniert RSA? (Forts.) Für x ̸≡ 0 (mod p) folgt wegen dem Satz von Fermat: xed ≡ x(xp−1 )i(q−1) ≡ x(1)i(q−1) ≡ x
(mod p) (mod p) (mod p)
Ferner ist xed ≡ x mod p, falls x ≡ 0 (mod p). Also gilt für alle x ∈ Zn : xed ≡ x mod p. Analog zeigt man, dass xed ≡ x mod q für alle x ∈ Zn . Da n = pq, folgt wegen des Chinesischen Restsatzes, dass xed ≡ x (mod n) für alle x ∈ Zn . Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
48 / 138
RSA-Kryptosystem
Sicherheit
Sicherheit von RSA Die Sicherheit von RSA beruht auf der (vermutlich) hohen Komplexität zweier arithmetischer Probleme. • Faktorisierungsproblem: Finde für eine gegebene ganze Zahl n zwei ganzzahlige Faktoren von n, d.h., zwei Zahlen p, q ∈ Z so dass p · q = n. • Invertieren der modularen Potenzfunktion: Finde für die gegebenen ganzen Zahlen e, n, y wobei n > 0 ein x ∈ Zn so dass xe mod n = y. Für keines der beiden Probleme ist ein Polynomialzeit Algorithmus bekannt. Allerdings konnte bisher auch nicht bewiesen werden, dass kein Polynomialzeit Algorithmus für obige Probleme existiert. Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
RSA-Kryptosystem
Public Key Kryptosysteme
49 / 138
Erzeugen eines RSA Schlüssels
Erzeugen eines RSA Schlüssels Schritte zur Generierung eines RSA-Schlüssels: 1. Generierung zweier großer Primzahlen p und q (mindestens 2048 Bit pro Primzahl) 2. Berechnung von n = pq und ϕ(n) = (p − 1)(q − 1) 3. Generierung einer Zufallszahl e ∈ {1, 2, . . . , ϕ(n) − 1}, wobei gcd(e, ϕ(n)) = 1 4. Berechnung d = e−1 mod ϕ(n) mit dem Erweiterten Algorithmus von Euklid 5. Veröffentlichung des öffentlichen Schlüssels (n, e) auf geeignete Art und Weise
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
50 / 138
RSA-Kryptosystem
Berechnung von multiplikativen Inversen
Erweiterter Algorithmus von Euklid ExtendedEuclid(a, b) Input: a, b ganze Zahlen, wobei a > b > 0 Output: (d, x, y) wobei d = ax + by = gcd(a, b) 1 if (b = 0) then 2 return (a, 1, 0); 3 else 4 (d ′ , x ′ , y ′ ) := ExtendedEuclid(b, a mod b) 5 d := d ′ ; 6 x = y ′; 7 y = x ′ − ⌊ ba ⌋y ′ 8 return (d, x, y) Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
RSA-Kryptosystem
Public Key Kryptosysteme
51 / 138
Berechnung von multiplikativen Inversen
Berechnung von multiplikativen Inversen Bekannt: a ist invertierbar modulo n, falls gcd(a, n) = 1. Wegen ZTK (Satz 3.4) gibt es x, y ∈ Z so dass gcd(a, n) = 1 = ax + ny. Somit gilt:
1 ≡ ax + ny ≡ ax
(mod n) (mod n)
Also: x ist das multiplikative Inverse von a modulo n. Fazit: Multiplikative Inverse kann man mittels dem Extended Euklid Algorithmus berechnen. Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
52 / 138
RSA-Kryptosystem
Berechnung von multiplikativen Inversen
Algorithmus zur Inversenberechnung
MultInverse(a, n) Input: a, n ganze Zahlen, wobei n > 0 Output: a−1 mit aa−1 ≡ 1 (mod n) falls existent 1 (d, x, y) := ExtendedEuklid(a, n) 2 if (d ̸= 1) then 3 return “Inverse doesn’t exist.” 4 else 5 return x
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
RSA-Kryptosystem
Public Key Kryptosysteme
53 / 138
Garner Verfahren
Effiziente Entschlüsselung mit Garners Verfahren
Ansatz: Einsatz von p und q zur effizienteren Entschlüsselung von y Garner’s Formel: Berechne a = yd mod p b = yd mod q x = (((a − b)(q−1 mod p)) mod p) · q + b
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
54 / 138
Angriffe auf RSA
Angriffe auf RSA • Die Sicherheit von RSA hängt von verschiedenen Faktoren ab, insbesondere von ▷ der Qualität des Schlüssels, und ▷ der Geheimhaltung des privaten Schlüssels • Gelingt es, ein Bit eines beliebig wählbaren Geheimtextes zu entschlüsseln, dann kann man den kompletten Geheimtext entschlüsseln • Trotz der bekannten Schwächen ist RSA bei korrekter Benutzung als sicher einzustufen
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
55 / 138
Angriffe auf RSA
Angriffsziele • Komplette Kompromittierung ⇝ Oskar ist in der Lage, den geheimen Teil des RSA-Schlüssels von Bob zu ermitteln und kann somit alle Geheimtexte entschlüsseln • Komplette oder teilweise Entschlüsselung eines Geheimtexts ⇝ Oskar kann Teile von vertraulichen Informationen ermitteln, jedoch nicht den geheimen Teilschlüssel von Bob berechnen • Unterscheidbarkeit von Geheimtext ⇝ mit einer Wahrscheinlichkeit von > 12 kann Oskar einen verschlüsselten Klartext von einem Zufallsstring unterscheiden
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
56 / 138
Angriffe auf RSA
Faktorisierung von n bei bekannten ϕ(n)
Faktorisierung von n bei bekanntem ϕ(n)
Annahme: Oskar kennt: 1. n = p · q 2. ϕ(n) = (p − 1) · (q − 1) Ziel: Berechnung eines Faktors von n Ansatz: Gleichungssystem mit den Unbekannten p und q lösen
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Angriffe auf RSA
Public Key Kryptosysteme
57 / 138
Faktorisierung von n bei bekannten ϕ(n)
Faktorisierung von n bei bekanntem ϕ(n) (Forts.) Gleichung 1: q =
n p
⇝ Einsetzen in Gleichung 2 ( ϕ(n) = (p − 1) ·
n −1 p
)
Umformen: n +1 p p · ϕ(n) = pn − p2 − n + p 0 = p2 + (ϕ(n) − n − 1)p + n ϕ(n) = n − p −
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
58 / 138
Angriffe auf RSA
Faktorisierung von n bei bekannten ϕ(n)
Faktorisierung von n bei bekanntem ϕ(n) (Forts.) Mitternachtsformel: p1,2 =
−b ±
√ b2 − 4ac 2a
mit: a = 1 b = ϕ(n) − n − 1 c = n Ist diese Gleichung lösbar, dann sind p1 und p2 die beiden Faktoren von n, d.h., n = p1 · p2 Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Angriffe auf RSA
Public Key Kryptosysteme
59 / 138
Die Wiener Attacke
Die Wiener Attacke
• Angriff von Michael J. Wiener • Sind die Parameter des RSA-Schlüssels ungünstig gewählt, dann kann man n faktorisieren • Es kommt ein Satz aus der Zahlentheorie zum Einsatz • Herleitung mittels endlichen Kettenbrüchen
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
60 / 138
Angriffe auf RSA
Die Wiener Attacke
Endliche Kettenbrüche Ein (endlicher) Kettenbruch ist ein Term q1 +
1 q2 +
1 q3 +...+ q1
.
m
wobei q1 , . . . , qm nicht-negative, ganze Zahlen sind. Eine alternative Schreibweise ist: [q1 , . . . , qm ]
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Angriffe auf RSA
Public Key Kryptosysteme
61 / 138
Die Wiener Attacke
Endliche Kettenbrüche (Forts.)
Satz 4 Seien a, b ∈ N, wobei b > 0. Dann existiert ein endlicher Kettenbruch [q1 , . . . , qm ] mit 1 a = q1 + 1 b q2 + q +...+ 3
. 1 qm
Bemerkung. Der Kettenbruch kann mit dem Algorithmus von Euklid berechnet werden.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
62 / 138
Angriffe auf RSA
Die Wiener Attacke
Algorithmus von Euklid Euklid(a, b) Input: Ganze Zahlen a, b ∈ N 0 , wobei a > 0, b ≥ 0. Output: (d, ⟨q1 , . . . , qm ⟩), wobei d = gcd(a, b) 1 r0 := a 2 r1 := b 3 m := 1 4 while rm ̸= 0 do ⌊ ⌋ rm−1 5 qm := rm 6 7 8 9
rm+1 := rm−1 − qm · rm m := m + 1 m := m − 1 return (rm , ⟨q1 , . . . , qm ⟩)
Prof. Dr. C. Karg (HS Aalen)
// d.h. rm+1 = gcd(rm−1 , rm )
Kryptographische Algorithmen
Angriffe auf RSA
Public Key Kryptosysteme
63 / 138
Die Wiener Attacke
Beispiel: Berechnung eines Kettenbruchs Gegeben: a = 42, b = 73 Der Ablauf der Berechnung des Algorithmus von Euklid ist: 42 73 42 31 11 9 2
= = = = = = =
0 · 73 + 42 1 · 42 + 31 1 · 31 + 11 2 · 11 + 9 1·9+2 4·2+1 2·1+0
Jede Gleichung repräsentiert dabei den Term rm−1 = qm · rm + rm+1 . Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
64 / 138
Angriffe auf RSA
Die Wiener Attacke
Beispiel: Berechnung eines Kettenbruchs (Forts.)
Der Algorithmus von Euklid liefert (1, [0, 1, 1, 2, 1, 4, 2]) als Ergebnis. Also ist:
42 =0+ 73 1+
Prof. Dr. C. Karg (HS Aalen)
1 1 1+
1 2+
1+
1
1 4+ 1 2
Kryptographische Algorithmen
Angriffe auf RSA
Public Key Kryptosysteme
65 / 138
Die Wiener Attacke
Konvergenten eines Kettenbruchs Sei [q1 , . . . , qm ] ein Kettenbruch. Für 1 ≤ j ≤ m ist Cj = [q1 , . . . , qj ] die j-te Konvergente von [q1 , . . . , qm ]. Cj nennt man auch den j-ten Näherungsbruch. Cj ist darstellbar als
cj , dj
wobei
j=0 j=0 1, 0, cj = q1 , j = 1 und dj = 1, j=1 qj · cj−1 + cj−2 , j ≥ 2 qj · dj−1 + dj−2 , j ≥ 2
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
66 / 138
Angriffe auf RSA
Die Wiener Attacke
Beispiel: Konvergenten Gegeben ist der Kettenbruch [0, 1, 1, 2, 1, 4, 2]. Die entsprechenden Konvergenten sind: [0] [0, 1] [0, 1, 1] [0, 1, 1, 2] [0, 1, 1, 2, 1] [0, 1, 1, 2, 1, 4] [0, 1, 1, 2, 1, 4, 2]
Prof. Dr. C. Karg (HS Aalen)
= = = = = = =
0/1 1/1 1/2 3/5 4/7 19/33 42/73
Kryptographische Algorithmen
Angriffe auf RSA
Public Key Kryptosysteme
67 / 138
Die Wiener Attacke
Ein wichtiger Satz …
Satz 5 Seien a, b, c, d beliebige natürliche Zahlen. Angenommen, gcd(a, b) = 1, gcd(c, d) = 1 und a c 1 − < 2. b d 2d Dann ist
c d
eine der Konvergenten des Kettenbruchs von ba .
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
68 / 138
Angriffe auf RSA
Die Wiener Attacke
…und seine Folgen Anwendung: Berechnung des geheimen Exponenten d Voraussetzungen: • q < p < 2q • 3d < n1/4 Bemerkung: Der Angriff ist erfolgreich, wenn • p und q nicht zu weit auseinander liegen und • die Binärdarstellung von d weniger als ℓ/4 − 1 Bits groß ist. Hierbei steht ℓ für die Länge der Binärdarstellung von n
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Angriffe auf RSA
Public Key Kryptosysteme
69 / 138
Die Wiener Attacke
Anwendung des Satzes
Da e · d ≡ 1 (mod ϕ(n)), existiert ein t, so dass e · d − t · ϕ(n) = 1. √ Da n = p · q > q2 , ist q < n. Hieraus folgt: √ 0 < n − ϕ(n) = p + q − 1 < 2q + q − 1 < 3q < 3 n
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
70 / 138
Angriffe auf RSA
Die Wiener Attacke
Anwendung des Satzes (Forts.) Einsetzen, wobei a = e, b = n, c = t, d = d: e ed − tn t − = n d dn 1 + t(ϕ(n) − n) = dn ( ) 1 + t(ϕ(n) − n) = − dn t(n − ϕ(n)) − 1 = dn t(n − ϕ(n)) < dn Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Angriffe auf RSA
Public Key Kryptosysteme
71 / 138
Public Key Kryptosysteme
72 / 138
Die Wiener Attacke
Anwendung des Satzes (Forts.) √ t(n − ϕ(n)) t · 3 n < dn dn 3t = √ d n Da t < d, ist 3t < 3d < n1/4 . Hieraus folgt: 3t n1/4 √ < dn1/2 d n 1 = dn1/4 1 < 3d2 Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Angriffe auf RSA
Die Wiener Attacke
Anwendung des Satzes (Forts.)
Zusammenfassung:
e 1 t − < 2 n d 3d
Wegen des obigen Satzes ist
t d
eine der Konvergenten von
Folgerung: Anhand der Konverten von berechnen
Prof. Dr. C. Karg (HS Aalen)
e n
kann man ϕ(n) =
Kryptographische Algorithmen
Angriffe auf RSA
e n e·d−1 t
Public Key Kryptosysteme
73 / 138
Die Wiener Attacke
Wiener Attacke Eingabe: Öffentlicher RSA-Schlüssel (n, e) Vorgehen: 1. Berechne die Konvergenten ck c0 c1 , ,..., d0 d1 dk des Kettenbruchs ne 2. Überprüfe für die Konvergente
ci , di
i = 2, . . . , k,
▷ ob ϕn = e·dcii−1 eine ganze Zahl ist, und ▷ ob n anhand von ϕn faktorisierbar ist 3. Schlägt die obige Überprüfung für alle Konvergenten fehl, dann gib “Angriff fehlgeschlagen” aus. Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
74 / 138
Angriffe auf RSA
Die Wiener Attacke
Beispiel Wiener Attacke Gegeben: n = 2989234739, e = 2501103889. Der Kettenbruch von
e n
ist:
[0, 1, 5, 8, 13, 3, 2505, 1, 7, 3, 1, 5, 3] Für c4 = 41 und d4 = 49 ist ϕn =
e · d4 − 1 2501103889 · 49 − 1 = = 2989124160 c4 41
Die Faktorisierung von n anhand von ϕn liefert p = 47059 und q = 63521 als Faktoren von n. Der geheime RSA-Schlüssel ist d = 49. Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Angriffe auf RSA
Public Key Kryptosysteme
75 / 138
Highest-Order-Bit-Attacke
Highest-Order-Bit-Attacke
Annahme: Für y = enc(K, x) ist die Funktion { 0, 0 ≤ x < n2 half(y) = 1, n2 < x ≤ n − 1 effizient berechenbar. Frage: Lässt sich dies für einen Angriff auf RSA ausnutzen?
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
76 / 138
Angriffe auf RSA
Highest-Order-Bit-Attacke
Eine nützliche Eigenschaft von RSA Für alle x1 , x2 ∈ Zn gilt: enc(K, x1 · x2 ) ≡ (x1 · x2 )d ≡ xd1 · xd2 ≡ enc(K, x1 ) · enc(K, x2 )
(mod n) (mod n) (mod n)
Insbesondere gilt für alle i = 1, 2, 3, . . .: enc(K, 2i · x2 ) ≡ enc(K, 2i ) · enc(K, x2 ) (mod n)
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Angriffe auf RSA
Public Key Kryptosysteme
77 / 138
Highest-Order-Bit-Attacke
Anwendung der obigen Eigenschaft [ n) half(enc(K, x)) = 0 ⇔ x ∈ 0, 2 [ n ) [ n 3n ) half(enc(K, 2 · x)) = 0 ⇔ x ∈ 0, ∪ , 4 2 4 [ ) [ n) n 3n ∪ , half(enc(K, 4 · x)) = 0 ⇔ x ∈ 0, ∪ 8 4 8 [ ) [ ) n 5n 3n 7n , , ∪ 2 8 4 8 .. . Mittels Binärer Suche kann man den Schlüssel systematisch berechnen. Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
78 / 138
Angriffe auf RSA
Highest-Order-Bit-Attacke
Algorithmus HalfAttack(n, e, y) HalfAttack(n, e, y) Input: Öffentlicher RSA-Schlüssel (n, e), Geheimtext y Output: Zu y gehörender Klartext x 1 ℓ := ⌊log2 n⌋ 2 for i := 0 to ℓ do 3 hi := Half(n, e, y) 4 y := y · 2e mod n 5 lo := 0; hi := n 6 for i := 0 to ℓ 7 mid := (hi + lo)/2 8 if hi = 1 then 9 lo := mid 10 else 11 hi := mid 12 return ⌊hi⌋ Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Angriffe auf RSA
Public Key Kryptosysteme
79 / 138
Highest-Order-Bit-Attacke
Bemerkungen zu HalfAttack(n, e, y) • Der Algorithmus nutzt die multiplikative Eigenschaft sowie die Half-Funktion, um das höchstwertigste Bit von x, 2 · x, 22 · x, . . . , 2ℓ−1 · x zu berechnen. • Anschließend wird auf Basis der höchstwertigsten Bits eine Binäre Suche durchgeführt, um den Klartext x zu bestimmen. • Die Nachkommastellen bei der Division sind zu beachten. • Die Laufzeit des Algorithmus ist O(ℓ3 + ℓ · th (ℓ)), wobei th (ℓ) für die Laufzeit von Half(n, e, y) für ℓ-Bit Zahlen steht
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
80 / 138
Angriffe auf RSA
Highest-Order-Bit-Attacke
Beispiel
Gegeben: n = 4757, e = 857, y = 2238. Die Wortlänge von n ist ℓ = ⌊log2 ⌋ = 12. Die Berechnung der höchstwertigsten Bits liefert: i 0 1 2 3 4 5 6 7 8 9 10 11 12 hi 0 0 1 0 0 1 1 1 1 1 1 0 1
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Angriffe auf RSA
Public Key Kryptosysteme
81 / 138
Highest-Order-Bit-Attacke
Beispiel (Forts.) i 0 1 2 3 4 5 6 7 8 9 10 11 12 −
hi 0 0 1 0 0 1 1 1 1 1 1 0 1 −
lo 0.000000000000 0.000000000000 0.000000000000 594.625000000000 594.625000000000 594.625000000000 668.953125000000 706.117187500000 724.699218750000 733.990234375000 738.635742187500 740.958496093750 740.958496093750 741.539184570312
mid 2378.500000000000 1189.250000000000 594.625000000000 891.937500000000 743.281250000000 668.953125000000 706.117187500000 724.699218750000 733.990234375000 738.635742187500 740.958496093750 742.119873046875 741.539184570312 741.539184570312
hi 4757.000000000000 2378.500000000000 1189.250000000000 1189.250000000000 891.937500000000 743.281250000000 743.281250000000 743.281250000000 743.281250000000 743.281250000000 743.281250000000 743.281250000000 742.119873046875 742.119873046875
Ergebnis: Klartext x = 742 Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
82 / 138
Angriffe auf RSA
Highest-Order-Bit-Attacke
Angriff durch Berechnung des niederwertigsten Bits Falls für y = enc(K, x) die Funktion { 0, parity(y) = 1,
x gerade x ungerade
effizient berechenbar ist, dann kann man auch den kompletten Klartext berechnen. Begründung: Es gelten folgende Beziehungen: half(y) = parity((y · enc(K, 2)) mod n) parity(y) = half((y · enc(K, 2−1 )) mod n)
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Angriffe auf RSA
Public Key Kryptosysteme
83 / 138
Zusammenfassung
Zusammenfassung • RSA nutzt modulare Exponentiation zur Ver- und Entschlüsselung. • Die Sicherheit von RSA beruht auf der (hoffentlich) hohen Berechnungskomplexität des Faktorisierungsproblems und des diskreten Logarithmus. • Da der öffentliche Teil des Schlüssels öffentlich zugänglich ist, kann jedermann eine verschlüsselte Nachricht an Bob senden. • RSA kann auch zur Signatur von Nachrichten eingesetzt werden. • Bei hinreichend langer Schlüssellänge und guter Wahl der Parameter gilt RSA als sicheres Kryptosystem. • Für eine praxistaugliche Implementierung sind diverse Aspekte zu beachten. Weitere Details findet man im RSA-Standard. Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
84 / 138
Diffie-Hellman-Schlüsselaustausch
Diffie-Hellman-Schlüsselaustausch
• Erfunden von Whitfield Diffie und Martin E. Hellman aus dem Jahr 1976 • Protokoll zur vertraulichen Konstruktion eines Schlüssels über einen unsicheren Kanal • Sicherheit basiert auf dem Diskreter-Logarithmus-Problem • Die Arbeit von Diffie und Hellman gilt als die Geburtsstunde der Public Key Kryptografie
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Diffie-Hellman-Schlüsselaustausch
Public Key Kryptosysteme
85 / 138
Protokoll
Protokoll zum Schlüsselaustausch Sei p eine Primzahl und α ein Generator von Z∗p Alice
Bob
Wählt zufällig ein a ∈ Z∗p
Wählt zufällig ein b ∈ Z∗p αa mod p αb mod p
αab mod p
Geheimer Schlüssel Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
86 / 138
Diffie-Hellman-Schlüsselaustausch
Protokoll
Beispiel Angenommen, p = 27803 und α = 5 sind die öffentlichen Parameter für einen Diffie-Hellman-Schlüsselaustausch. Alice würfelt a = 21131 und berechnet 521131 mod 27803 = 21420. Anschließend sendet sie Bob diesen Wert. Bob würfelt b = 17555 und berechnet 517555 mod 27803 = 17100. Diesen Wert sendet er an Alice. Alice und Bob berechnen schließlich den geheimen Schlüssel 2142017555 mod 27803 = 1710021131 mod 27803 = 11134.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Diffie-Hellman-Schlüsselaustausch
Public Key Kryptosysteme
87 / 138
Protokoll
Man-In-The-Middle Attacke ∗
αa mod p Alice
αa mod p Oskar
∗
αb mod p
Bob αb mod p
• Oskar sitzt “zwischen” Alice und Bob und fungiert als Vermittlungsstelle. • Oskar ersetzt die Teilschlüssel von Alice und Bob durch seine eigenen. • Alice und Bob können zwar ihre Daten mit dem ausgehandelten Schlüssel verschlüsseln, aber keiner kann die Daten des anderen entschlüsseln. • Oskar kann alle Daten ver- bzw. entschlüsseln und entsprechend weiterleiten. Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
88 / 138
Diffie-Hellman-Schlüsselaustausch
Station-To-Station-Protokoll
Verbessertes Verfahren Sei p eine Primzahl und α ein Generator von Z∗p Alice
Bob a
α
αb , signB (mB , αa , αb ) signA (mA , αa , αb ) Alle Berechnungen verstehen sich modulo p mA und mB stehen für den Signaturschlüssel von Alice bzw. Bob
• Dieses Verfahren ist eine Vereinfachung des Station-To-Station Protokolls. • Eine zusätzliche Absicherung wird durch den Einsatz von Zertifikaten erreicht. Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
89 / 138
El Gamal Kryptosystem
ElGamal Kryptosystem
• Erfindung von Taher ElGamal aus dem Jahr 1984 • Probabilistisches Kryptosystem • Sicherheit hängt ab vom Diskreter-Logarithmus-Problem für endliche Körper • Grundlage für zahlreiche weitere Kryptosysteme
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
90 / 138
El Gamal Kryptosystem
Definition
Definition ElGamal-Kryptosystem Parameter: • Primzahl p • Erzeugendes Element α von Z∗p Kryptosystem: • P = Zp , C = Zp × Zp • K = {(p, α, a, β) | 2 ≤ a ≤ p − 2, β ≡ αa (mod p)}. • Schlüssel k = (p, α, a, β) ∈ K: ▷ Öffentlicher Teil: (p, α, β) ▷ Geheimer Teil: a • Verschlüsselung: enc(k, x) = (y1 , y2 ), wobei ▷ y1 = αz mod p ▷ y2 = xβz mod p für eine zufällig gewählte, geheime Zahl z ∈ Zp−1 • Entschlüsselung: dec(k, (y1 , y2 )) = y2 (ya1 )−1 mod p Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
El Gamal Kryptosystem
Public Key Kryptosysteme
91 / 138
Definition
Die Idee hinter ElGamal • Alice verschlüsselt den Klartext x ∈ Zp , indem sie ihn “maskiert”, d.h., mit βz multipliziert. Die modulare Exponentialfunktion wird also zur Generierung eines Zufallsstroms eingesetzt. • Da Bob die Zufallszahl z nicht kennt, muss Alice diese an ihn senden. Dies kann nicht direkt geschehen, da Oskar sonst aus dem öffentlich bekannten β den Wert βz berechnen und somit den Geheimtext dechiffrieren könnte. • Da Bob a und somit auch (αz )a = βz kennt, sendet Alice den Wert αz . Somit ist Bob in der Lage, die Maske zu entfernen indem er y2 mit dem Inversen von βk multipliziert.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
92 / 138
El Gamal Kryptosystem
Beispiel
Beispiel Bob wählt p = 2579, α = 2, a = 765 und β = 2765 mod 2579 = 949. Angenommen, Alice will an Bob die Nachricht x = 1299 senden. Sie wählt (zufällig) die Zahl z = 853 aus. Dann berechnet sie • y1 = 2853 mod 2579 = 435, und • y2 = 1299 × 949853 mod 2579 = 2396. Bei Empfang des Geheimtextes y = (435, 2396) berechnet Bob x = 2396 × (435765 )−1 mod 2579 = 1299. Das Ergebnis ist offensichtlich identisch mit dem von Alice versandten Klartext.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
El Gamal Kryptosystem
Public Key Kryptosysteme
93 / 138
Korrektheit
Korrektheit von ElGamal Zum Nachweis der Korrektheit des ElGamal Kryptosystems ist zu zeigen, dass dec(k, enc(k, x, z)) = x für alle k = (p, α, a, β) ∈ K, alle z ∈ Zp−1 und alle x ∈ Zp gilt. Betrachte y1 = αz mod p und y2 = xβz mod p. Da ya1 ≡ (αz )a ≡ (αa )z ≡ βz
(mod p)
ist (ya1 )−1 = (βz )−1 . Hieraus folgt: y2 (ya1 )−1 ≡ xβz (βz )−1 ≡ x (mod p). Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
94 / 138
El Gamal Kryptosystem
Sicherheit
Warum ist ElGamal sicher? Die Sicherheit des ElGamal Kryptosystems basiert auf folgenden Annahmen: • Hohe Berechnungskomplexität des DLP: Verfügt Oskar über einen effizienten Algorithmus zur Berechnung von logpα β, dann kann er ohne Mühe aus β = αa den geheimen Schlüssel a berechnen. • Zufällige Wahl von z: Benutzt Alice immer dasselbe z zur Verschlüsselung, dann besteht die Möglichkeit eines Angriffs mit bekanntem Klartext-Geheimtext-Paar. Das ElGamal Kryptosystem wird auch als probabilistisches Kryptosystem bezeichnet, da der Klartext x in viele zufällige Geheimtexte (y1 , y2 ) abgebildet wird. Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
El Gamal Kryptosystem
Public Key Kryptosysteme
95 / 138
Schlüsselerzeugung
Wie erzeugt man einen Generator? Ähnlich wie bei RSA werden auch beim ElGamal Kryptosystem die Parameter zufällig erzeugt. Bei der Erstellung des Generators sind folgende Fakten hilfreich: • Ist Z∗n eine zyklische Gruppe, dann ist die Anzahl ihrer Generatoren gleich ϕ(ϕ(n)). Für eine Primzahl p ist die Anzahl der Generatoren von Z∗p gleich ϕ(p − 1). • Man kann beweisen, dass ϕ(n) ≥ n/6 ln(ln(n)) für alle n. Wenn man also zufällig ein Element α aus Z∗n zieht, dann ist die Chance gut, dass α ein Generator ist. • Die Zahl α ∈ Z∗n ist ein Generator von Z∗n genau dann, wenn αϕ(n)/p ̸≡ 1 (mod n) für alle Primteiler p von ϕ(n). Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
96 / 138
El Gamal Kryptosystem
Schlüsselerzeugung
Algorithmus zur Generatorerzeugung RandomGenerator(p, p1 , e1 , p2 , e2 , . . . , pk , ek ) Input: Primzahl p, Primfaktorzerlegung pe11 pe22 . . . pekk von ϕ(p) Output: Generator α von Z∗p 1 found := false; 2 while (found = false) do 3 α := Random(2, p − 1); 4 found := true; 5 for i := 1 to k do 6 b := αp−1/pi mod p; 7 if (b = 1) then found := false; 8 return α; Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
El Gamal Kryptosystem
Public Key Kryptosysteme
97 / 138
Schlüsselerzeugung
Erzeugen eines ElGamal Schlüssels
Zur Erstellung eines ElGamal Schlüssels geht man folgendermaßen vor: 1. Generiere unter Verwendung des Miller-Rabin Primzahltests zufällig eine Primzahl q so dass auch p = 2q + 1 eine Primzahl ist. 2. Generiere mittels randomGenerator(p, 2, 1, q, 1) einen Generator α von Z∗p . 3. Wähle zufällig ein a ∈ {2, . . . , p − 2} und berechne β = αa mod p. 4. Mache die Werte p, α und β öffentlich zugänglich.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
98 / 138
El Gamal Kryptosystem
Verallgemeinerung
Verallgemeinerung Unter dem Diskreter Logarithmus Problem über (G, ⊕) versteht man folgendes Berechnungsproblem: Gegeben: (G, α, β), wobei G eine endliche Gruppe mit Gruppenoperation ⊕, α ∈ G und β ∈ H ist. Hierbei ist H die von α erzeugte Untergruppe. Gesucht: Finde die eindeutig bestimmte ganze Zahl a, 0 ≤ a ≤ ∥H∥ − 1, so dass α(a) = β. Hierbei ist a
(k)
=
k ⊕ i=1
Prof. Dr. C. Karg (HS Aalen)
a = |a ⊕ a ⊕{z. . . ⊕ a} . k-mal
Kryptographische Algorithmen
El Gamal Kryptosystem
Public Key Kryptosysteme
99 / 138
Verallgemeinerung
ElGamal Kryptosystem über (G, ⊕) Sei (G, ⊕) eine endliche Gruppe. Sei α ∈ G ein Element, so dass das DLP über der von α erzeugten Untergruppe H = {αi | i ≥ 0} schwierig zu lösen ist. Das ElGamal Kryptosystem über (G, ⊕) ist: • P = G, C = G × G, • K = {(G, α, a, β) | 2 ≤ a ≤ ∥H∥ − 1, β = α(a) } Für k = (G, α, a, β) ∈ K und eine (geheime) ganze Zahl z ∈ Z∥H∥ definiere: • Verschlüsselung: enc(k, x, z) = (y1 , y2 ), wobei y1 = α(z) , und y2 = x ⊕ β(z) . −1 • Entschlüsselung: dec(k, (y1 , y2 )) = y2 ⊕ (y(a) mod p 1 ) (G, α, β) ist der öffentliche, a der geheime Schlüssel. Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
100 / 138
Elliptische Kurven
Definition
Elliptische Kurven über Zp Betrachte eine Gleichung der Bauart y2 ≡ x3 + ax + b (mod p), wobei p > 3 eine Primzahl und a, b ∈ Zp mit 4a3 + 27b2 ̸≡ 0
(mod p).
Die durch diese Gleichung beschriebene Elliptische Kurve E(p, a, b) ist die Menge all ihrer Lösungen (x, y) ∈ Zp × Zp , zusammen mit einem zusätzlichen Punkt O. Der Punkt O wird Unendlichkeitspunkt (engl.: point at infinity) genannt. √ Man kann zeigen: ∥E(p, a, b)∥ = p + 1 − t mit t ≤ 2 p. Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Elliptische Kurven
Public Key Kryptosysteme
101 / 138
Gruppenoperation
Gruppenoperation ⊕ über E(p, a, b) Seien P = (x1 , y1 ) und Q = (x2 , y2 ) von O verschiedene Punkte in E(p, a, b). • P⊕O =O⊕P=P • Falls x2 = x1 und y2 = −y1 , dann ist P ⊕ Q = O. • Ansonsten ist P ⊕ Q = (x3 , y3 ), wobei x3 = λ2 − x1 − x2 , und y3 = λ(x1 − x3 ) − y1 , wobei
{ λ=
Prof. Dr. C. Karg (HS Aalen)
(y2 − y1 )/(x2 − x1 ), falls P ̸= Q, (3x21 + a)/2y1 , Kryptographische Algorithmen
falls P = Q, Public Key Kryptosysteme
102 / 138
Elliptische Kurven
Gruppenoperation
(E(p, a, b), ⊕) ist eine Gruppe Die Struktur (E(p, a, b), ⊕) ist eine endliche kommutative Gruppe. • Da (Zp , +, ·) ein Körper ist, sind alle Berechnungen von ⊕ innerhalb von Zp durchführbar. Daher ist die Menge E(p, a, b) abgeschlossen unter ⊕. • Das neutrale Element ist O. • Das Inverse zu (x, y) ist (x, −y). • Die Operation ⊕ ist assoziativ und kommutativ. Der Beweis dieser Tatsache ist jedoch schwierig.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Elliptische Kurven
Public Key Kryptosysteme
103 / 138
Beispiel
Beispiel: E(11, 1, 6)
Zur Illustration untersuchen wir die Elliptische Kurve y2 ≡ x3 + x + 6 (mod 11). Zunächst werden die Elemente in E(11, 1, 6) berechnet. Da 11 = 4 · 2 + 3, sind die Wurzeln eines quadratischen Rests z gleich ±z(11+1)/4 mod 11 = ±z3 mod 11.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
104 / 138
Elliptische Kurven
Beispiel
Beispiel: E(11, 1, 6) (Forts.) x x3 + x + 6 mod 11 ∈ QR(11)? 0 6 − 1 8 − 2 5 ✓ 3 3 ✓ 4 8 − 5 4 ✓ 6 8 − 7 4 ✓ 8 9 ✓ 9 7 − 10 4 ✓ Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Elliptische Kurven
y
4, 7 5, 6 2, 9 2, 9 3, 8 2, 9
Public Key Kryptosysteme
105 / 138
Beispiel
Beispiel: E(11, 1, 6) (Forts.) Neben dem Punkt O enthält E(11, 1, 6) die folgenden Elemente: (2, 4) (2, 7) (3, 5) (3, 6) (5, 2) (5, 9) (7, 2) (7, 9) (8, 3) (8, 8) (10, 2) (10, 9) Somit gilt: ∥E(11, 1, 6)∥ = 13. Die Gruppe ist (E(11, 1, 6), ⊕) also zyklisch. Wegen des Satzes von Lagrange ist jedes von O verschiedene Element ein Generator. Im folgenden wird α = (2, 7) als Generator ausgewählt. Da die Gruppe additiv ist, schreiben wir der Einfachheit halber i · α anstatt α(i) . Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
106 / 138
Elliptische Kurven
Beispiel
Beispiel: E(11, 1, 6) (Forts.) Um 2α = α ⊕ α zu ermitteln, berechnet man zuerst: λ ≡ ≡ ≡ ≡
(3 · 22 + 1) · (2 · 7)−1 2 · 3−1 2·4 8
(mod (mod (mod (mod
11) 11) 11) 11)
Somit: x3 = 82 − 2 − 2 mod 11 = 5, und y3 = 8(2 − 5) − 7 mod 11 = 2. Also: 2α = (5, 2). Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Elliptische Kurven
Public Key Kryptosysteme
107 / 138
Beispiel
Beispiel: E(11, 1, 6) (Forts.)
Insgesamt: α 4α 7α 10α
= = = =
(2, 7) (10, 2) (7, 2) (8, 8)
2α 5α 8α 11α
= = = =
(5, 2) (3, 6) (3, 5) (5, 9)
3α 6α 9α 12α
= = = =
(8, 3) (7, 9) (10, 9) (2, 4)
Also ist α = (2, 7) tatsächlich ein Generator von (E(11, 1, 6), ⊕).
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
108 / 138
Elliptische Kurven
Anwendung: ElGamal-Kryptosystem
ElGamal mit (E(11, 1, 6), ⊕)
Bob wählt α = (2, 7) und a = 7 aus. Also ist β = 7α = (7, 2). Der Schlüssel ist k = ((2, 7), 7, (7, 2)). Die Verschlüsselungsfunktion ist enc(k, x, z) = (z(2, 7), x ⊕ z(7, 2)), wobei x ∈ E(11, 1, 6) und 0 ≤ z ≤ 12. Die Entschlüsselungsfunktion ist dec(k, y1 , y2 ) = y2 ⊖ 7y1 .
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Elliptische Kurven
Public Key Kryptosysteme
109 / 138
Anwendung: ElGamal-Kryptosystem
ElGamal mit (E(11, 1, 6), ⊕) (Forts.) Angenommen, Alice will Bob den Klartext (10, 9) ∈ E(11, 1, 6) senden. Falls sie z = 3 zufällig zieht, dann berechnet sie: y1 = 3 · (2, 7) = (8, 3) und y2 = (10, 9) ⊕ 3 · (7, 2) = (10, 9) ⊕ (3, 5) = (10, 2) Der Geheimtext ist y = ((8, 3), (10, 2)). Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
110 / 138
Elliptische Kurven
Anwendung: ElGamal-Kryptosystem
ElGamal mit (E(11, 1, 6), ⊕) (Forts.) Nach Empfang des Geheimtexts y = ((8, 3), (10, 2)) entschlüsselt Bob diesen wie folgt: x = = = =
(10, 2) ⊖ 7 · (8, 3) (10, 2) ⊖ (3, 5) (10, 2) ⊕ (3, 6) (10, 9)
Die Entschlüsselung liefert also den korrekten Klartext x = (10, 9).
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Elliptische Kurven
Public Key Kryptosysteme
111 / 138
Implementierungsaspekte
Implementierungsaspekte Die Implementierung von ElGamal über Elliptischen Kurven ist problematisch. • Bei ElGamal über Zp ist der Geheimtext um den Faktor 2 größer als der Klartext. Bei ElGamal über E(p, a, b) ist der Vergrößerungsfaktor gleich 4. • Der Klartextraum besteht aus Paaren in E(p, a, b). Es existiert jedoch keine effiziente deterministische Methode, um diese Paare systematisch zu erzeugen. Verbesserung: Methode von Menezes und Vanstone Idee: Verwende Elliptische Kurven “nur” zur Maskierung!
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
112 / 138
Elliptische Kurven
Kryptosystem von Menezes & Vanstone
Kryptosystem von Menezes & Vanstone Sei E = E(p, a∗ , b∗ ) eine Elliptische Kurve, wobei p > 3 prim und das DLP für eine Untergruppe H von E schwierig ist. Sei α der Generator dieser Untergruppe. • P = Z∗p × Z∗p , C = E × Z∗p × Z∗p • K = {(α, a, β) | α ∈ E, 2 ≤ a ≤ ∥H∥ − 1, β = a · α} • Für k = (α, a, β) und eine (geheime) Zufallszahl z ∈ Z∥H∥ und für x = (x1 , x2 ) ∈ Z∗p × Z∗p definiere enc(k, x, z) = (y0 , y1 , y2 ) wobei y0 = z · α, (c1 , c2 ) = z · β, und yi = ci xi mod p für i = 1, 2.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Elliptische Kurven
Public Key Kryptosysteme
113 / 138
Kryptosystem von Menezes & Vanstone
Kryptosystem von Menezes & Vanstone
• Für einen Geheimtext y = (y0 , y1 , y2 ), definiere −1 dec(k, y) = (y1 c−1 1 mod p, y2 c2 mod p)
wobei (c1 , c2 ) = ay0 .
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
114 / 138
Digitale Signaturen
Einleitung
Alice hat Probleme Alice erhält per Post ein teures Laptop vom Online Händler XY, welches sie nie bestellt hat. Sie geht der Sache nach und stellt fest, daß Oskar sie hinters Licht geführt hat. Er hat eine E-Mail an den Händler gesandt und in ihrem Namen den Laptop bestellt. Um derartige Zwischenfälle in Zukunft zu vermeiden, beschließt Alice, ihre auf elektronischem Wege abzuwickelnden Geschäfte mittels digitaler Signaturen abzusichern. Aber was genau ist eine digitale Signatur?
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Digitale Signaturen
Public Key Kryptosysteme
115 / 138
Einleitung
Anforderungen an eine digitale Signatur
• Die Signatur muss fälschungssicher sein. • Die Echtheit der Signatur muss effizient überprüfbar sein. • Die Signatur darf nicht von einem auf ein anderes Dokument übertragbar sein. • Eine Änderung des zur Signatur gehörenden Dokuments muss erkannt werden. Und Vorsicht: Eine digitale Signatur ist keine eingescannte Unterschrift.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
116 / 138
Digitale Signaturen
Einleitung
Definition einer digitalen Signatur Eine digitale Signatur ist gegeben durch ein Tupel (P, S, K, sign, ver) mit folgenden Eigenschaften: • P ist die Menge aller Klartexte. • S ist die Menge aller Signaturen. • K ist die Menge aller Schlüssel. • sign : P × K 7→ S ist der Signierungsalgorithmus. • ver : P × K × S 7→ {true, false} ist der Verifikationsalgorithmus. • Für alle Klartexte x und alle Schlüssel k gilt: { true falls s = sign(k, x), ver(k, x, s) = false falls s ̸= sign(k, x).
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Digitale Signaturen
Public Key Kryptosysteme
117 / 138
Einleitung
Anwendung einer digitalen Signatur Alice
Oskar
Bob
x x, s
sign ke
unsicherer Kanal
kv
x
yes
x, s
ver kv
Schlüsselverzeichnis
Prof. Dr. C. Karg (HS Aalen)
Benutzer
Schlüssel
Alice
kv
Kryptographische Algorithmen
Public Key Kryptosysteme
118 / 138
Digitale Signaturen
RSA Signatur
Die RSA Signatur Das auf dem RSA Kryptosystem beruhende Signaturverfahren ist wie folgt aufgebaut: • P = S = Zn , wobei n = pq für hinreichend große Primzahlen p und q } { n = pq, wobei p, q prim, • K = (n, p, q, e, d) e · d ≡ 1 (mod ϕ(n)) Für k = (n, p, q, e, d) ∈ K definiere • Signierung: s = sign(k, x) = xd mod n wobei x ∈ Zn • Verifikation: ver(k, x, s) = true ⇔ x ≡ se (mod n) (n, e) ist der öffentliche Teil, (p, q, d) der geheime Teil des Schlüssels.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Digitale Signaturen
Public Key Kryptosysteme
119 / 138
RSA Signatur
Beispiel RSA Signatur Alice wählt p = 7 und q = 11 und n = p · q = 77. Als geheimen Schlüssel würfelt sie e = 13 und berechnet d = e−1 mod 60 = 37. Um die Nachricht m = 5 zu signieren, berechnet Alice 537 mod 77 = 47 und sendet das Paar (5, 47) an Bob. Bob überprüft die Signatur, indem er 4713 mod 77 = 5 berechnet. Offensichtlich ist sie korrekt, da das Ergebnis mit der Nachricht identisch ist. Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
120 / 138
Digitale Signaturen
RSA Signatur
Verschlüsselung und Signatur Kombiniert man ein Kryptosystem mit einem Signaturverfahren, dann stellt sich die Frage nach Reihenfolge von Verschlüsselung und Signierung. Eine Möglichkeit ist, den Klartext zunächst zu verschlüsseln und anschließend den Geheimtext zu signieren. Alice berechnet y = enc(kB , x) und s = sign(kA , y). Dann sendet sie die Nachricht (y, s) an Bob. Aber: Fängt Oskar die Nachricht ab, dann kann er die Signatur von Alice durch seine eigene ersetzen. Daher empfiehlt es sich, die Nachricht zuerst zu signieren und erst danach zu verschlüsseln. Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Digitale Signaturen
Public Key Kryptosysteme
121 / 138
RSA Signatur
Bemerkungen zur RSA Signatur • Die RSA Signatur ist das am häufigsten eingesetzte Signaturverfahren. • Die Sicherheit beruht auf der (vermutlich) hohen Komplexität des Faktorisierungsproblems. • Der Schlüssel einer digitalen Signatur ist in der Regel länger als bei einem Public Key Kryptosystem. Der Grund ist die zeitlich längere Haltbarkeit von digitalen Signaturen. • Anstatt die Nachricht blockweise zu signieren, berechnet man mit einer kryptografischen Hashfunktion eine Prüfsumme und signiert diese.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
122 / 138
Digitale Signaturen
ElGamal Signatur
Signaturen auf Basis von ElGamal Sei p eine Primzahl und α ein Generator von Z∗p . Das ElGamal Signaturverfahren ist wie folgt definiert: • P = Z∗p , S = Z∗p × Zp−1 • K = {(p, α, a, β) | 2 ≤ a ≤ p − 2, β ≡ αa (mod p)}. Für k = (p, α, a, β) ∈ K und eine (geheime) Zufallszahl z ∈ Z∗p−1 definiere: • Signierung: sign(k, x, z) = (γ, δ), wobei ▷ γ = αz mod p und ▷ δ = (x − aγ)z−1 mod (p − 1). • Verifikation: ver(k, (x, γ, δ)) = true genau dann, wenn βγ γδ ≡ αx (mod p) (p, α, β) ist der öffentliche und a der geheime Schlüssel. Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Digitale Signaturen
Public Key Kryptosysteme
123 / 138
ElGamal Signatur
Beispiel zur ElGamal Signatur Sei p = 467, α = 2, a = 127 und somit β = 2127 mod 467 = 132. Bob will die Nachricht x = 100 signieren. Hierzu zieht er die Zufallszahl z = 213. Man beachte, daß gcd(213, 466) = 1 und z−1 = 431. Bob berechnet γ = 2213 mod 467 = 29 und δ = (100 − 127 × 29) × 431 mod 466 = 51. Die Signatur von x = 100 ist (γ, δ) = (29, 51).
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
124 / 138
Digitale Signaturen
ElGamal Signatur
Beispiel zur ElGamal Signatur (Forts.)
Um zu verifizieren, daß (γ, δ) = (29, 51) die korrekte Signatur von x = 100 ist, berechnet man 13229 × 2951 ≡ 189
(mod 467)
und 2100 ≡ 189
(mod 467).
Offensichtlich ist die Signatur korrekt. Zur Überprüfung der Signatur wird nur der öffentliche Schlüssel benötigt.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Digitale Signaturen
Public Key Kryptosysteme
125 / 138
ElGamal Signatur
Korrektheit der ElGamal Signatur Zum Nachweis der Korrektheit verwenden wir die Gleichung aγ + zδ ≡ x (mod p − 1). Somit ist aγ + zδ = i(p − 1) + x für eine ganze Zahl i. Es gilt:
Prof. Dr. C. Karg (HS Aalen)
βγ γδ ≡ ≡ ≡ ≡
αaγ αzδ αaγ+zδ αi(p−1)+x αx
(mod (mod (mod (mod
Kryptographische Algorithmen
p) p) p) p)
Public Key Kryptosysteme
126 / 138
Digitale Signaturen
ElGamal Signatur
Achtung: z unbedingt geheim halten! Bei der ElGamal Signatur muss Bob unbedingt darauf achten, daß die Zufallszahl z geheim bleibt. Gelangt z in die Hände von Oskar, dann kann dieser unter Verwendung des öffentlichen Schlüssels den geheimen Schlüssel a berechnen, denn aγ = (x − zδ) mod (p − 1). Falls γ ein Inverses modulo p − 1 besitzt, dann ist das Signaturverfahren gebrochen. Somit kann Oskar beliebige Daten mit Bob’s Signatur unterzeichnen.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Digitale Signaturen
Public Key Kryptosysteme
127 / 138
ElGamal Signatur
Achtung: z nur einmal verwenden! Benutzt Bob ein z zur Signierung zweier verschiedener Nachrichten, dann kann Oskar hieraus a berechnen. Angenommen, (γ1 , δ1 ) und (γ2 , δ2 ) sind Signaturen der Nachricht x1 bzw. x2 , die unter Verwendung derselben Zufallszahl z entstanden sind. Es gilt: γ1 = γ2 = αz und δ1 − δ2 ≡ (x1 − x2 )z−1
(mod p − 1).
Falls (x1 − x2 ) mod (p − 1) invertierbar ist, dann kann Oskar hieraus z−1 und somit z bestimmen. Aus z berechnet er anschließend den geheimen Schlüssel a.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
128 / 138
Digitale Signaturen
ElGamal Signatur
Bemerkungen zur ElGamal Signatur • Die Sicherheit der ElGamal Signatur hängt von der Komplexität des Diskreter Logarithmus ab. • Die ElGamal Signatur kann auch auf Basis anderer Gruppen (z.B. elliptischer Kurven) berechnet werden. • Obwohl die ElGamal Signatur frei verfügbar ist, wird sie selten eingesetzt. • Aus der ElGamal Signatur wurde der Digital Signature Algorithm (DSA) abgeleitet und im Jahre 1991 von der NIST standardisiert. • Der DSA nimmt nach der RSA Signatur den zweiten Platz auf der Liste der am meisten eingesetzten Signaturverfahren ein.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Digitale Signaturen
Public Key Kryptosysteme
129 / 138
Digital Signature Algorithm (DSA)
Digital Signature Algorithm (DSA)
Der Digital Signature Algorithm ist eine Variante der ElGamal Signatur. Folgende Modifikationen wurden vorgenommen: • Die Berechnungen erfolgen über einer Untergruppe von Z∗p der Größe q. Hierbei ist q eine 160 Bit Primzahl, die die Zahl p − 1 teilt. • In der Berechnung von δ wird das “−” durch ein “+” ersetzt, d.h., δ = (x + aγ)z−1 mod q. • Die Verifikation wird abgeändert in αx βγ ≡ γδ (mod p).
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
130 / 138
Digitale Signaturen
Digital Signature Algorithm (DSA)
Definition von DSA Sei p eine 512-bit Primzahl und q eine 160-bit Primzahl, die (p − 1) teilt. Sei α ∈ Z∗p ein Element mit ∥⟨α⟩∥ = q. Der • • •
Digital Signature Algorithm (DSA) ist wie folgt definiert: P = Z∗p S = Zq × Zq K = {(p, q, α, a, β) | 2 ≤ a ≤ p − 2, β ≡ αa (mod p)}. Für k = (p, q, α, a, β) ∈ K und eine (geheime) Zufallszahl 1 ≤ z ≤ q − 1 definiere: • Signierung: sign(k, x, z) = (γ, δ), wobei ▷ γ = (αz mod p) mod q und ▷ δ = (x + aγ)z−1 mod q. Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Digitale Signaturen
Public Key Kryptosysteme
131 / 138
Digital Signature Algorithm (DSA)
Definition von DSA (Forts.)
• Verifikation: Für x ∈ Z∗p und γ, δ ∈ Zq werden die folgenden Berechnungen durchgeführt: ▷ e1 = xδ−1 (mod q) ▷ e2 = γδ−1 (mod q) ver(k, (x, γ, δ)) = true genau dann, wenn (αe1 βe2 mod p) mod q = γ (p, q, α, β) ist der öffentliche und a der geheime Schlüssel.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
132 / 138
Digitale Signaturen
Digital Signature Algorithm (DSA)
Generierung der DSA Parameter Zur Erstellung des DSA Schlüssels führt Alice die folgenden Schritte aus: 1. Wähle eine Primzahl q mit 2159 ≤ q ≤ 2160 . 2. Wähle eine Zahl t mit 0 ≤ t ≤ 8 und eine Primzahl 2511+64t < p < 2512+64t mit der Eigenschaft, daß q die Zahl (p − 1) teilt. 3. Wähle ein g ∈ Z∗p und berechne α = g(p−1)/q mod p. Wiederhole diesen Vorgang solange, bis α ̸= 1. 4. Wähle eine Zufallszahl a mit 1 ≤ a ≤ q − 1. 5. Berechne β = αa mod p. Anschließend veröffentlicht Alice den öffentlichen Schlüssel (p, q, α, β). Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Digitale Signaturen
Public Key Kryptosysteme
133 / 138
Digital Signature Algorithm (DSA)
Beispiel zu DSA Angenommen, q = 101 und p = 78q + 1 = 7879. Die Zahl 3 ist ein Generator von Z7879 . Wir wählen daher α = 378 mod 7879 = 170. Der geheime Teil des Schlüssels ist a = 75. Somit ist β = αa mod 7879 = 17075 mod 7879 = 4567. Bob will die Nachricht x = 1234 signieren. Hierzu zieht er die Zufallszahl z = 50 und berechnet z−1 mod 101 = 99.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
134 / 138
Digitale Signaturen
Digital Signature Algorithm (DSA)
Beispiel zu DSA (Forts.) Anschließend berechnet er die Signatur: γ = = δ = =
(17050 mod 7879) mod 101 2518 mod 101 = 94 (1234 + 75 × 94) × 99 mod 101 97
Die Signatur (94, 97) der Nachricht 1234 wird wie folgt verifiziert: δ−1 = 97−1 mod 101 = 25 e1 = 1234 × 25 mod 101 = 45 e2 = 94 × 25 mod 101 = 27 Somit (17045 456727 mod 7879) mod 101 = 2518 mod 101 = 94. Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Zusammenfassung
Public Key Kryptosysteme
135 / 138
Vorteile von Public Key Kryptosystemen
Vorteile von Public Key Kryptosystemen
• Nur der private Schlüssel muss geheimgehalten werden. • Der öffentliche Schlüssel ist für jedermann verfügbar. • Abhängig von der Art der Nutzung bleibt das Schlüsselpaar über lange Zeit unverändert. • Aus Public Key Kryptosystemen lassen sich effiziente Signaturmechanismen ableiten.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
136 / 138
Zusammenfassung
Nachteile von Public Key Kryptosystemen
Nachteile von Public Key Kryptosystemen • Der Datendurchsatz ist bei Public Key Kryptosystemen in der Regel deutlich niedriger als bei Symmetrischen Kryptosystemen. • Für Public Key Kryptografie werden längere Schlüssel benötigt als für symmetrische Kryptografie. • Für keines der Public Key Kryptosysteme konnte die Sicherheit bewiesen werden. • Alle Public Key Kryptosysteme basieren auf einer Handvoll mathematischer Probleme. • Public Key Kryptosysteme gibt es erst seit den 1970er Jahren. Sie sind daher relativ unerforscht.
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
137 / 138
Zusammenfassung
Zusammenfassung • Public Key Kryptosysteme lösen eine Vielzahl kryptografischer Fragestellungen, die man mit symmetrischen Systemen nicht lösen kann • Public Key Kryptosysteme basieren auf einer kleinen Auswahl von zahlentheoretischen Problemen • Für keines der obigen Kryptosysteme konnte die Sicherheit bewiesen werden • Die in Public Key Kryptosystemen eingesetzten Techniken werden auch für die Entwicklung von kryptografischen Protokollen eingesetzt
Prof. Dr. C. Karg (HS Aalen)
Kryptographische Algorithmen
Public Key Kryptosysteme
138 / 138