Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

84 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 83 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr Zufallszahl r ε r 0 r 1 Schlüsselgenerierung: p, p' ≡ 3 mod 8 q, q' ≡ 7 mod 8 r ε n := p•q n' := p'•q' r 1 r 0 r 00 r 01 n, n', rε Schlüssel zum Testen der Signatur, öffentlich bekannt K-Signaturen r 01 r 00 Schlüssel zum Signieren, geheimgehalten p, q p', q' rε Nachricht mit Signatur und Testergebnis r 011 r 010 010 R Nachricht Generiere Referenzenbaum einmal ganz oder für jede Nachricht einen „Ast“ Nachricht mit Signatur R-Signaturen m m, s(m) Teste N-Signatur, R-Signatur und K-Signaturen m, s(m), „ok“ oder „falsch“ 010 R ( m ) präf Zufallszahl ' NSig = f –1 präf (m) (Ri ), RSig = fpräf (R i ) –1 (ri), KSig = fpräf (ri |•) –1 (ri –1 ), ... fpräf (r0 |r1 ) –1 (rε ) N-Signaturen : Wert schon vorhanden : Richtung der Rechnung Bild 3-28: Das digitale Signatursystem GMR : Wert zufällig zu wählen : Wert zu berechnen 3.5.5 Weitere Effizienzverbesserungen Bild 3-27: Rechnen „von oben“ und „von unten“ Man kann insbesondere das aufwendige Rechnen „von oben“ noch wesentlich beschleunigen, vor allem mit einem Trick von Goldreich, der erlaubt, anstatt bitweise f –1 0 und f1 –1 anzuwenden, fw –1 (R) für beliebige Bitketten w effizienter in einem Schritt zu bestimmen. Auch gibt es einige weitere Stellen, wo der Unterzeichner die Kenntnis des Geheimnisses (p, q) ausnutzen kann. Für Einzelheiten vgl. [FoPf_91]. Für eine Andeutung der mit diesem Verfahren erreichbaren Effizienz: In einer Software- Implementierung • auf dem Mac IIfx mit dem Prozessor MC68030, 40MHz • für eine Nachricht von 8192 Bit • bei Baumtiefe 10 und Moduluslänge 512 benötigt das Signieren im Mittel etwa 3,2 und das Testen 16,6 Sekunden [FoPf_91]. Das Testen dauert wesentlich länger, da nicht mod der Primzahlen, sondern nur mod der Produkte gerechnet werden kann (vgl. auch §3.6.5.2) und jeweils auch den ganzen Baum hinauf getestet werden muß. Beim Signieren muß neben der N-Signatur und der R-Signatur im Mittel nur eine K-Signatur berechnet werden. Hardwarerealisierungen wären natürlich wesentlich schneller. Um am Schluß der schrittweisen Einführung einen Gesamtüberblick über GMR zu geben, ist es in Bild 3-28 in der üblichen Darstellung kryptographischer Systeme aus §3.1.1 dargestellt. Je nach Implementierung kann es sinnvoll sein, die Baumtiefe b als Teil des öffentlichen Testschlüssels zu führen.
86 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 85 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr Ver- bzw. Entschlüsselung erfolgt durch Exponentiation mit c bzw. d in ZZ n . Zu beweisen ist nun, daß Ver- und Entschlüsselung für alle Nachrichten m zueinander invers sind: 3.6 RSA: Das bekannteste System für asymmetrische Konzelation und digitale Signaturen Beh. Für alle m ∈ ZZ n gilt: (m c ) d ≡ m c•d ≡ (m d ) c ≡ m mod n. Bew. Die ersten zwei Kongruenzzeichen gelten nach den Rechenregeln für Kongruenzen. Das dritte ist zu zeigen. c • d ≡ 1 mod φ(n) ⇒ c • d ≡ 1 mod p–1 ⇔ ∃ k ∈ ZZ: c•d = k•(p–1) + 1. Also gilt für dieses k und für alle m ∈ ZZ n: mc•d ≡ mk•(p–1) + 1 ≡ m • (mp–1 ) k mod p. Mittels des kleinen Fermatschen Satzes (§3.4.1.2) folgt für alle zu p teilerfremden m mp–1 ≡ 1 mod p. Also ist für alle zu p teilerfremden m: m • (mp–1 ) k k ≡ m • 1 ≡ m mod p. Dies gilt trivialerweise auch für m ≡ 0 mod p. Zusammen gilt ∀m ∈ ZZ n : mc•d ≡ m mod p. RSA, benannt nach den ersten Buchstaben der Nachnamen seiner Erfinder Ronald L. Rivest, Adi Shamir und Leonard M. Adleman, ist das bekannteste asymmetrische kryptographische System. Es wurde 1978 publiziert [RSA_78] und ist sowohl als asymmetrisches Konzelationssystem wie auch als digitales Signatursystem verwendbar. Wie der s2-mod-n-Generator (§3.4) und die bei GMR beschriebenen kollisionsresistenten Permutationenpaare mit Geheimnis (§3.5.1) beruht die Sicherheit von RSA auf der Faktorisierungsannahme (§3.4.1). Jedoch gibt es im Gegensatz zu diesen Systemen bisher keinen Beweis, daß ein Brechen von RSA einen Faktorisierungsalgorithmus liefert. Deshalb kann RSA nur in die Klasse „wohluntersucht“ in Bild 3-12 eingeordnet werden. 3.6.1 Das asymmetrische kryptographische System RSA Die entsprechende Argumentation für q ergibt mc•d ≡ m mod q. Die Kernidee von RSA besteht darin, (in einem Restklassenring) Nachrichten zu exponenzieren, zueinander inverse Exponenten zu bestimmen und das Wissen über die Exponenten geeignet zu verteilen. Da die Kongruenz sowohl bezüglich p als auch q gilt, gilt sie nach §3.4.1.3 auch bezüglich p•q = n. Insgesamt ergibt sich: Für alle m ∈ ZZ n gilt: mc•d ≡ m mod n. Schlüsselgenerierung für Sicherheitsparameter l: 1. Wähle 2 Primzahlen p und q zufällig und stochastisch unabhängig, so daß gilt: |p| ≈ |q| = l und p≠q. 73 Da jedes Element von ZZ n als Nachricht vorkommen und nach der Verschlüsselung durch modulare Exponentiation mit c wieder eindeutig entschlüsselt werden kann, ist die modulare Exponentiation mit c injektiv. Da alle Schlüsseltexte in ZZ n liegen, Bild- und Urbildraum also gleich, insbesondere also gleich mächtig sind, ist die modulare Exponentiation mit c also auch surjektiv, insgesamt also eine Permutation. Also kann aus jedem Element von ZZ n eine c-te Wurzel gezogen werden. 2. Berechne n := p•q. 3. Wähle c mit 3 ≤ c < φ(n) und ggT(c, φ(n)) = 1. 74 4. Berechne d mittels p, q, c als multiplikatives Inverses von c modulo φ(n). 75 Dann gilt: c • d ≡ 1 mod φ(n). Leider ist (bisher?) kein Sicherheitsbeweis von RSA bekannt. Er müßte darin bestehen zu zeigen: Wenn RSA leicht zu brechen ist, dann kann leicht faktorisiert werden. Für die schärfste Form des Brechens (und damit die schwächste Form von Sicherheitsbeweis) also: Wenn jemand c-te Wurzeln modulo n ziehen kann, kann er n faktorisieren. Leider konnte nicht einmal dies bisher gezeigt werden. Veröffentliche c und n als öffentlichen Schlüssel, behalte d, p, q als geheimen Schlüssel. 3.6.2 Naiver und unsicherer Einsatz von RSA Hier wird der naive (und wie wir in §3.6.3 sehen werden) unsichere Einsatz von RSA als asymmetrisches Konzelationssystem und danach der als digitales Signatursystem beschrieben. In beiden Fällen werden die (Klar-)Texte als Zahlen m mit 0 ≤ m < n dargestellt. Hierzu müssen lange (Klar-)Texte in mehrere Blöcke (von jeweils maximal der Länge |n|-1 Bits) unterteilt werden (Blockung). 3.6.2.1 RSA als asymmetrisches Konzelationssystem Die Bezeichner aus §3.6.1 sind schon passend gewählt: Verschlüsselung erfolgt durch modulare Exponentiation mit c. Dies ergibt für Klartextblock m: mc mod n. Entschlüsselung erfolgt durch modulare Exponentiation mit d. Dies ergibt für Schlüsseltextblock mc : (mc ) d mod n = m. 73 |p| bedeutet die Länge von p in Bits. Die Bedingung p≠q könnte weggelassen werden, da sie nur in einem exponentiell kleinen Anteil aller Fälle verletzt wäre. Da für p≠q aber φ(n) besonders einfach als (p–1)(q–1) dargestellt werden kann und die Entschlüsselung dann nicht nur fast immer, sondern immer klappt, wird p≠q hier gefordert. (Wer nicht glaubt, daß andernfalls die Entschlüsselung nicht immer klappt, rechne folgendes Beispiel: p = q = 5; φ(p2 ) = p(p–1), also φ(25) = 20. Zu c = 7 ergibt sich d = 3, so daß c•d = 21 ≡ 1 mod 20. (153 ) 7 ist dann ≡ 0 mod 25 statt ≡ 15.) Während p und q in etwa gleich lang gewählt werden sollten und auch exakt gleiche Länge keinerlei Problem darstellt, sollten p und q – wie gerade begründet – auf keinen Fall gleich groß (sonst klappt die Entschlüsselung nicht) und auch nicht näherungsweise gleich groß sein (sonst kann n faktorisiert werden). Dies Faktorisieren könnte z.B. folgendermaßen geschehen: Ziehe in IR die Wurzel aus n und suche von dort aus abwärts nach einem Faktor von n. Wenn p und q näherungsweise gleich sind, ist dies effizient durchführbar. Selbst wenn p und q exakt gleich lang gewählt werden, ansonsten ihre Wahl aber stochastisch unabhängig ist, sind sie nur in einem exponentiell kleinen Anteil aller Fälle „näherungsweise gleich“, so daß auch dies nicht explizit geprüft zu werden braucht. Um das Brechen von RSA zu erschweren, sollten die Primzahlen p und q nicht nur die in §3.4.1 geforderten Eigenschaften haben, die das Faktorisieren des Modulus erschweren. Zusätzlich sollte auch jeweils für mindestens einen der großen Primfaktoren von p–1 und q–1 gelten: Um eins vermindert hat er selbst wieder jeweils mindestens einen großen Primfaktor. Dies wehrt einen speziellen Angriff auf RSA ab [DaPr_89 Seite 232]. Auch mit diesen Zusatzeigenschaften gibt es immer noch genügend viele Primzahlen p und q und sie können auch effizient gewählt werden [BrDL_91]. 74 Oft wird c in diesem Intervall unter den zu φ(n) teilerfremden Zahlen zufällig gewählt. Eine andere Art, die obigen Bedingungen an c hinzuschreiben, lautet: Wähle c aus Zφ(n) * , aber ≠ 1. 75 Dies geschieht mit dem erweiterten Euklidschen Algorithmus, der in §3.4.1.1 beschrieben ist. Bild 3-29 veranschaulicht das Gesamtsystem.
Seite 1 und 2: A. Pfitzmann: Datensicherheit und K
Seite 3 und 4: VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6: X A. Pfitzmann: Datensicherheit und
Seite 7 und 8: 2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10: 6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12: 10 A. Pfitzmann: Datensicherheit un
Seite 47: 82 A. Pfitzmann: Datensicherheit un
Seite 57 und 58: 102 A. Pfitzmann: Datensicherheit u
Seite 99 und 100:
186 A. Pfitzmann: Datensicherheit u
Seite 101 und 102:
Seite 103 und 104:
Seite 105 und 106:
Seite 107 und 108:
Seite 109 und 110:
Seite 111 und 112:
Seite 113 und 114:
Seite 115 und 116:
Seite 117 und 118:
Seite 119 und 120:
Seite 121 und 122:
Seite 123 und 124:
Seite 125 und 126:
Seite 127 und 128:
Seite 129 und 130:
Seite 131 und 132:
Seite 133 und 134:
Seite 135 und 136:
Seite 137 und 138:
Seite 139 und 140:
Seite 141 und 142:
Seite 143 und 144:
Seite 145 und 146:
Seite 147 und 148:
Seite 149 und 150:
Seite 151 und 152:
Seite 153 und 154:
Seite 155 und 156:
Seite 157 und 158:
Seite 159 und 160:
Seite 161 und 162:
Seite 163 und 164:
Seite 165 und 166:
Seite 167 und 168:
Seite 169 und 170:
Seite 171 und 172:
Seite 173 und 174:
Seite 175 und 176:
Seite 177 und 178:
Seite 179 und 180:
Seite 181 und 182:
Seite 183 und 184:
Seite 185 und 186:
Seite 187 und 188:
Seite 189 und 190:
Seite 191 und 192:
Seite 193 und 194:
Seite 195 und 196:
Seite 197 und 198:
Seite 199 und 200:
Seite 201 und 202:
Seite 203 und 204:
Seite 205 und 206:
Seite 207 und 208:
Seite 209 und 210:
Seite 211 und 212:
Seite 213 und 214:
Seite 215 und 216:
Seite 217 und 218:
Seite 219 und 220:
Seite 221 und 222:
Seite 223 und 224:
Seite 225 und 226:
Seite 227 und 228:
Seite 229 und 230:
Seite 231 und 232:
A. Pfitzmann: Datensicherheit und K
Seite 233 und 234:
Seite 235 und 236:
Seite 237 und 238:
Seite 239 und 240:
Seite 241 und 242:
Seite 243 und 244:
Seite 245 und 246:
Seite 247 und 248:
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?