Elementare Zahlentheorie und Kryptographie

Weitere Magazine

Empfehlungen

Info

Beispiel: Wir gehen durch ein Beispiel mit kleinen 5 Zahlen. Sagen wir, Alice wählt p = 11 und q = 31. Dann ist N = 341 und ϕ(N) = 10 · 30 = 300. Ferner wählt Alice e = 7 als V-Schlüssel und berechnet daraus den E-Schlüssel d = 43 (beachte: ed = 7 · 43 = 301 = 1 mod 300). Alice macht N = 341 und e = 7 auf ihrer Homepage publik. Wenn Bob die Nachricht m = 10 an Alice übermitteln will, dann berechnet er m e = 10 7 = 175 mod 341 und übermittelt 175. Alice empfängt 175 und kann dann die Rechnung (m e ) d = 175 43 = 10 durchführen, um m aus m e zu gewinnen; sie kennt ja d. Angriffe auf RSA Nehmen wir an, ein Angreifer Oskar hat den gesamten Dialog abgehört, also Oskar kennt N, e, m e , Bob kennt N, e, m, m e und Alice kennt N, p, q, ϕ(N), e, d, m e , m. 1. Nehmen wir an, es gelingt Oskar, N zu faktorisieren, d.h. p und q zu bestimmen. Dann kann er leicht ϕ(N) = (p−1)(q−1) bestimmen und dann das d ∈ {0, 1, · · · , ϕ(N) − 1} mit ed = 1 mod ϕ(N) berechnen, genau wie Alice es eingangs getan hat. Das entspricht nur einer Inversenbildung in (Z/ϕ(N)Z) × mit dem euklidischen Algorithmus. Wenn er den E-Schlüssel d einmal hat, dann kann er m aus m e durch die Rechnung m = (m e ) d (Square and Multiply!) finden. Er kann dann jede abgehörte Nachricht an Alice entschlüsseln. Die Sicherheit von RSA beruht also wesentlich darauf, dass es heute für “technisch unmöglich” gehalten wird, ein Produkt aus zwei großen Zufalls- Primzahlen (sagen wir je ca. 1024 Bit) in seine Primfaktoren zu zerlegen. Fortschritte im Bereich der Hardware oder im Bereich der Faktorisierungsalgorithmen würden eine massive Bedrohung für RSA darstellen. Solange nur kleinere Fortschritte gemacht werden, kann man allerdings einfach die Schlüssellänge nach oben anpassen. 2. Natürlich würde es Oskar genügen, ϕ(N) zu finden. Das ist aber auch nicht leichter als das Faktorisieren von N. Wer ϕ(N) kennt, der kennt ϕ(N) = (p − 1)(q − 1) = N − p − q + 1 und kann p und q durch das Auflösen der Gleichungen pq = N, p + q = N + 1 − ϕ(N) ermitteln. (Dies läuft auf eine quadratische Gleichung in p hinaus.) 3. Ebenso würde es Oskar genügen, an d zu kommen. Man kann auch hier beweisen, daß das ungefähr genauso schwer ist, wie das Faktorisieren von N. D.h.: Wer d kennt, der kann p und q leicht berechnen. 4. Oskar könnte auch versuchen, m aus m e zu bestimmen, ohne d zu errechnen, d.h. ohne die Gleichung m = (m e ) d zu benutzen. Es ist meines Wissens nicht bekannt, ob das genauso schwer ist wie das Faktorisieren von N, und das wird als Nachteil von RSA angesehen. 5 viel zu klein, um sicher zu sein! 53
Es wird vermutet, daß es keinen Polynomialzeit-Algorithmus zur Faktorisierung einer b-Bit-Zahl N, die Produkt zweier großer Primzahlen ist, gibt. Ein Beweis dafür wurde allerdings bisher nicht erbracht. Das sogenannte Zahlkörpersieb ist derzeit einer der besten Faktorisierungsalgorithmen; seine Laufzeit ist ≤ O(exp( 3√ 8b log(b) 2 )), also nicht polynomial. Mit ihm wurde F 9 = 2 512 + 1 faktorisiert. Faktorisierungsalgorithmen stehen seit jeher im Zentrum der mathematischen Forschung, und daher wird es vermutlich schnell publik, wenn jemand einen neuen, schnelleren Faktorisierungsalgorithmus findet. Die Firma RSA hat 2001 eine Liste von Zahlen in das Internet gestellt (siehe http://www.rsa.com/rsalabs/node.asp?id=2092) und für das Faktorisieren der Zahlen ein jeweiliges Preisgeld ausgesetzt. Jede Zahl in der Liste ist ein Produkt zweier Primzahlen und jede trägt einen Namen der Form RSA-b wobei b die Bitlänge der entsprechenden Zahl ist. Bis jetzt (also 6 Jahre später) sind nur 2 davon faktorisiert worden und zwar RSA-576 (2003) und RSA-640 (2005). Es waren jeweils mehrere Wissenschaftler beteiligt. In beiden Fällen wurde mit dem Zahlkörpersieb gearbeitet. Bereits bei RSA-576 wurde an Rechnern verschiedener Institutionen (u.a. Uni Bonn, MPI Bonn, IEM Essen) parallel gerechnet bei einer Laufzeit von mehreren Monaten! Der Preis für das Faktorisieren von RSA-2048 wäre 200.000 US-Dollar. Einige Sicherheitsvorkehrungen: Alice sollte e nicht allzu klein wählen. Wenn nämlich die Nachricht [m] ist mit m ∈ {0, · · · , N − 1} und m e ≤ N − 1 gilt, dann kann ein Angreifer m aus m e durch Ziehen der e-ten Wurzel in dem Körper R errechnen. (In obigem Beispiel geht das nicht! Die Berechnung von 7√ 175 in R nützt dort einem Angreifer gar nichts.) Die Primzahlen p und q sollten nicht allzu nahe beisammen sein. Sonst könnte ein Angreifer einfach von s := floor( √ N) ausgehend N auf Teilbarkeit durch s, s + 1, s + 2, · · · prüfen. Theoretisch wird er dabei irgendwann einen der beiden Teiler von N finden, und dann ist auch der andere Teiler schnell gefunden; wenn aber p und q nicht sehr nahe beisammen liegen (z.B. p 1023 Bit und q 1025 Bit), dann wird dieser Angriff aus Laufzeitgründen unmöglich. Das Verschlüsseln von kurzen Texten mit RSA Sei A ein Alphabet und α := |A|. Sei n : A → {0, 1, · · · , α − 1} eine Bijektion. RSA verschlüsselt zunächst Elemente von Z/NZ. Man kann es aber in modifizierter Form auch zum Verschlüsseln von kurzen Texten über A verwenden. Z.B. könnte man vorab vereinbaren, dass dem Text (x 0 , x 1 , · · · , x k ), der so kurz sein muß, daß α k+1 < N, immer die Restklasse von m = ∑ k i=0 n(x i)α i entsprechen soll. Um aus dieser Zahl m den Text zurückzugewinnen, muß man m α-adisch entwickeln. Dadurch erhält man die n(x i ) und daraus leicht die x i . Z.B. könnte A = {A, B, · · · , Z} und n(A) = 0, n(B) = 1, n(C) = 2, · · · gelten. HALLO entspricht dann der Zahl 7 + 0 · 26 + 11 · 26 2 + 11 · 26 3 + 14 · 26 4 , denn 54
Seite 1 und 2:
Elementare Zahlentheorie und Krypto
Seite 3 und 4: ithmische Zahlentheorie” abgedeck
Seite 5 und 6: 3.2 Der Miller-Rabin-Primzahltest .
Seite 7 und 8: Beispiele: Das klassische Beispiel
Seite 9 und 10: X = x 1 · · · x N der Länge N w
Seite 11 und 12: Bevor wir zur Kryptoanalyse der Vig
Seite 13 und 14: 1.4 Permutationen und monoalphabeti
Seite 15 und 16: War II” genannt, weil er bei der
Seite 17 und 18: hat auf beiden Seiten 26 Anschlüss
Seite 19 und 20: Schlüsselbucheinträge für die En
Seite 21 und 22: Mit insgesamt 77 Bit ist der Schlü
Seite 23 und 24: 1.6 Kryptoanalyse der Enigma Wie ge
Seite 25 und 26: Aus dem Übergangsgraphen lassen si
Seite 27 und 28: Elementen 0, 1 ∈ R derart, dass f
Seite 29 und 30: von a und b genannt, wenn g ein gr
Seite 31 und 32: Satz 2.2.2 (Z, | |) ist ein euklidi
Seite 33 und 34: Beispiel: Wir wollen ggT(51, 33), a
Seite 35 und 36: p die einzigen nicht-negativen Teil
Seite 37 und 38: Arbeiten mit Kongruenzen ist es rec
Seite 39 und 40: Sei wieder (G, +) eine abelsche Gru
Seite 41 und 42: 1. Genau dann ist [x] eine Einheit
Seite 43 und 44: ist die Menge der Nicht-Einheiten v
Seite 45 und 46: nach 2.6.1, Teil 1. Algorithmus 2.6
Seite 47 und 48: Beweis: Weil a zu N teilerfremd ist
Seite 49 und 50: werden. Dann benutzt man die Formel
Seite 51 und 52: [a m20 ] ≠ [1] muß t ≥ 1 gelte
Seite 53: von der Länge ca. 1024 Bit (d.h. c
Seite 57 und 58: Beweis. Sei wieder x := 1 2 (p + q)
Seite 59 und 60: Kapitel 4 Diskreter Logarithmus 4.1
Seite 61 und 62: Beweis: Sei n := ord(x). Offenbar g
Seite 63 und 64: für alle x, y ∈ G. Man beachte:
Seite 65 und 66: Bemerkung 4.1.8 Sei G eine endliche
Seite 67 und 68: d.h. mit x j = f j (x 0 ), wobei f
Seite 69 und 70: ereitgestellt. Dies ist wesentlich
Seite 71 und 72: Kapitel 5 Public-Key-Verfahren, die
Seite 73 und 74: Satz 5.1.2 (Primzahlen in arithmeti
Seite 75 und 76: Der Nachrichtenraum des Verfahrens
Seite 77 und 78: Beispiel: Betrachten wir die Usergr
Seite 79 und 80: a) Ein Angreifer Oskar möchte auch
Seite 81 und 82: Erzeugung der ElGamal-Signatur: Um
Seite 83 und 84: Sei T (Trustcenter) ein User, desse
Seite 85 und 86: ( Für zwei Zahlen a, b ∈ Z mit a
Seite 87 und 88: 3. Für b, c ∈ N ungerade und u
Seite 89 und 90: ) /* Ende while if(a=0, s:=0); Ausg
Seite 91 und 92: Algorithmus 6.2.6 (Algorithmus für
Seite 93 und 94: Wir erinnern an die Hauptergebnisse
Seite 95 und 96: Daraus 2 folgt, daß (∗) keine L
Seite 97 und 98: schickt. Oskar überlegt sich, was
Alle anzeigen

Elementare Zahlentheorie und Kryptographie

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?