Elementare Zahlentheorie und Kryptographie

Weitere Magazine

Empfehlungen

Info

5.4 Schlüsselaustausch nach Diffie-Hellman Dieses Protokol ist kein Verschlüsselungsverfahren. Ziel ist es zwei User X und Y in den Besitz eines gemeinsamen Geheimnisses k X,Y (etwa eine 1000-Bit-Zahl) zu bringen, ohne daß dafür ein persönliches Treffen stattfinden muß. Wenn z.B. große Datenmengen zu übertragen sind, dann werden X und Y ein Private- Key-Verfahren (z.B. Triple-DES, AES, IDEA, BLOWFISH) verwenden müssen. Aus dem gemeinsamen Geheimnis können dann Schlüssel für die Private-Key- Sitzung abgeleitet werden. Wenn z.B. k X,Y eine 1000-Bit-Zahl ist, dann kann ein geeigneter 256-Bit-Hashwert von k X,Y (bez. einer öffentlich bekannten Hash- Funktion) als Schlüssel für eine AES-Sitzung genommen werden. Durch Kombination von Diffie-Hellman mit einem Private-Key-Verfahren entsteht also die Möglichkeit, große Datenmengen schnell verschlüsselt zu übertragen, ohne sich vorher zur Schlüsselvereinbarung treffen zu müssen. Wie bei ElGamal sei folgende Situation zugrunde gelegt: (G, g) ist eine öffentlich bekannte Einweggruppe 10 . U ist eine Menge von Usern (evtl. nur zwei). Jeder User X wählt zufällig ein d X ∈ {2, · · · , ord(g)−1} (nicht zu klein) und berechnet E X := g d X ∈ G. d X bleibt geheim (nur User X kennt d X ) und E X wird öffentlich gemacht. Vgl. das erste Beispiel in Abschnitt 5.3 Sei nun k X,Y := g d X d Y . User X kann dies mit der Formel k X,Y = E d X Y berechnen; er kennt ja seinen geheimen Schlüssel d X und E Y ist ohnehin öffentlich. Auch User Y kann k X,Y berechnen. Er verwendet die Formel k X,Y = E d Y X . Die User X und Y teilen also das Geheimnis k X,Y . Wir nennen im folgenden k X,Y das DH-Geheimnis von X und Y. Beispiel: Betrachten wir wieder die User-Group aus dem Abschnitt 5.3. Als Gruppe ist (G, g) = (F 103 , [3]) gewählt und veröffentlicht. X E X ALICE [49] BOB [67] . OSKAR [12] SEBAST IAN [43] · · · · · · Mein geheimer Schlüssel ist d S = 77. k S,A = E d S A = [49]77 = [7] ist das DH-Geheimnis, das ich mit Alice teile. k S,O = E d S O = [103]77 = [20] ist das DH-Geheimnis, das ich mit Oskar teile. · · · □ Angriffe: 10 Eine solche Gruppe kann mit 5.1.1 erzeugt werden. 77
a) Ein Angreifer Oskar möchte auch in den Besitz von k X,Y kommen. Er kennt E X = g d X und E Y = g d Y ; aber er kennt weder d X noch d Y . Das Berechnen von k X,Y ist also genauso schwer wie das im vorigen Abschnitt genannte Diffie-Hellman-Problem. Natürlich gilt k X,Y = E Log g (E Y ) X = E Log g (E X ) Y , aber Oskar kann von diesen Formeln nicht profitieren, weil die diskreten Logarithmen in der Einweggruppe (G, g) praktisch nicht berechenbar sind. b) Diffie-Hellman ist nicht sicher gegen Man-in-the-Middle-Angriffe. Nimm an, es gelingt Oskar Bob vorzutäuschen, sein öffentlicher Schlüssel E O = g d O O wäre der öffentliche Schlüssel von Alice. (Dies könnte Oskar vielleicht durch eine Fake-Homepage gelingen.) Sei k = g d B,d O . Bob wird nun denken, er würde das Geheimnis k mit Alice teilen. In der Tat teilt er das Geheimnis k aber mit Oskar. Nimm an, Oskar kann alles abhören. Wenn Bob nun z.B. aus k einen AES-Schlüssel k ′ ableitet und vertrauliche Daten mit k ′ verschlüsselt an Alice schickt, dann kann Oskar (aber nicht Alice) diese Daten entschlüsseln. Zur Abwehr braucht man elektronische Unterschriften und Trustcenter. Oft wird Diffie-Hellman in einer Situation angewendet, in der nur zwei User (A und B) vorhanden sind. Es könnte wie folgt vorgegangen werden. Man einigt sich (unverschlüsselt) auf eine Einweggruppe (G, g); vielleicht erzeugt einer der beiden User (G, g) mit 5.1.1 und schlägt diese Gruppe vor. A wählt d A ≥ 2 und schickt E A := g d A an B. B wählt d B ≥ 2 und schickt E B := g d B an A. Sie teilen dann das Geheimnis k = E d B A = E d A B . 5.5 Signatur mit ElGamal Wir schildern ein Verfahren für elektronische Unterschriften, das auf Einweggruppen beruht. User X soll zu jeder Nachricht aus dem Nachrichtenraum 11 P = {0, 1} ∗ (die Menge der Bitvektoren beliebiger, endlicher Länge) eine Unterschrift S X (m) erzeugen können, die als “Appendix” an die Nachricht angefügt wird. a) S X (m) muß von User X und von der Nachricht abhängen 12 . Sonst könnte jeder, der einmal ein von X unterschriebenes Dokument gesehen hat, die Unterschrift mit Copy-and-Paste auf jedes andere Dokument kopieren. b) User X muß S X (m) schnell aus m berechnen können. 11 Man kann das Verfahren leicht so modifizieren, daß es auf Texte über ASCII angewendet werden kann. 12 Eine Unterschrift von Hand hängt nur vom Signierer ab. 78
Seite 1 und 2:
Elementare Zahlentheorie und Krypto
Seite 3 und 4:
ithmische Zahlentheorie” abgedeck
Seite 5 und 6:
3.2 Der Miller-Rabin-Primzahltest .
Seite 7 und 8:
Beispiele: Das klassische Beispiel
Seite 9 und 10:
X = x 1 · · · x N der Länge N w
Seite 11 und 12:
Bevor wir zur Kryptoanalyse der Vig
Seite 13 und 14:
1.4 Permutationen und monoalphabeti
Seite 15 und 16:
War II” genannt, weil er bei der
Seite 17 und 18:
hat auf beiden Seiten 26 Anschlüss
Seite 19 und 20:
Schlüsselbucheinträge für die En
Seite 21 und 22:
Mit insgesamt 77 Bit ist der Schlü
Seite 23 und 24:
1.6 Kryptoanalyse der Enigma Wie ge
Seite 25 und 26:
Aus dem Übergangsgraphen lassen si
Seite 27 und 28: Elementen 0, 1 ∈ R derart, dass f
Seite 29 und 30: von a und b genannt, wenn g ein gr
Seite 31 und 32: Satz 2.2.2 (Z, | |) ist ein euklidi
Seite 33 und 34: Beispiel: Wir wollen ggT(51, 33), a
Seite 35 und 36: p die einzigen nicht-negativen Teil
Seite 37 und 38: Arbeiten mit Kongruenzen ist es rec
Seite 39 und 40: Sei wieder (G, +) eine abelsche Gru
Seite 41 und 42: 1. Genau dann ist [x] eine Einheit
Seite 43 und 44: ist die Menge der Nicht-Einheiten v
Seite 45 und 46: nach 2.6.1, Teil 1. Algorithmus 2.6
Seite 47 und 48: Beweis: Weil a zu N teilerfremd ist
Seite 49 und 50: werden. Dann benutzt man die Formel
Seite 51 und 52: [a m20 ] ≠ [1] muß t ≥ 1 gelte
Seite 53 und 54: von der Länge ca. 1024 Bit (d.h. c
Seite 55 und 56: Es wird vermutet, daß es keinen Po
Seite 57 und 58: Beweis. Sei wieder x := 1 2 (p + q)
Seite 59 und 60: Kapitel 4 Diskreter Logarithmus 4.1
Seite 61 und 62: Beweis: Sei n := ord(x). Offenbar g
Seite 63 und 64: für alle x, y ∈ G. Man beachte:
Seite 65 und 66: Bemerkung 4.1.8 Sei G eine endliche
Seite 67 und 68: d.h. mit x j = f j (x 0 ), wobei f
Seite 69 und 70: ereitgestellt. Dies ist wesentlich
Seite 71 und 72: Kapitel 5 Public-Key-Verfahren, die
Seite 73 und 74: Satz 5.1.2 (Primzahlen in arithmeti
Seite 75 und 76: Der Nachrichtenraum des Verfahrens
Seite 77: Beispiel: Betrachten wir die Usergr
Seite 81 und 82: Erzeugung der ElGamal-Signatur: Um
Seite 83 und 84: Sei T (Trustcenter) ein User, desse
Seite 85 und 86: ( Für zwei Zahlen a, b ∈ Z mit a
Seite 87 und 88: 3. Für b, c ∈ N ungerade und u
Seite 89 und 90: ) /* Ende while if(a=0, s:=0); Ausg
Seite 91 und 92: Algorithmus 6.2.6 (Algorithmus für
Seite 93 und 94: Wir erinnern an die Hauptergebnisse
Seite 95 und 96: Daraus 2 folgt, daß (∗) keine L
Seite 97 und 98: schickt. Oskar überlegt sich, was
Alle anzeigen

Elementare Zahlentheorie und Kryptographie

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?