Public-Key-Kryptographie - Universität Bielefeld

Universität Bielefeld
c Peter Koch
Internet Security: Verfahren & Protokolle
39 20 13
Vorlesung im Grundstudium NWI (auch MGS)
im Sommersemester 2003
2 SWS, Freitag 10 - 12, H10
Peter Koch
pk@TechFak.Uni-Bielefeld.DE
16.05.2003
Internet Security: Verfahren und Protokolle Public-Key-Kryptographie 1 von 31

Universität Bielefeld
c Peter Koch
Heutige Themen – Public-Key-Kryptographie
Key-Management
Diffie-Hellman-Key-Exchange
ein wenig Zahlentheorie
. . . und ein wenig Zahlenpraxis
das RSA-Verfahren
Primzahltests
Internet Security: Verfahren und Protokolle Public-Key-Kryptographie 2 von 31

£¢¥¤
¦
¢
¡
Universität Bielefeld
c Peter Koch
Schlüsselprobleme
symmetrische Chiffren: geheimer Schlüssel
HMAC: geheimer Schlüssel
Probleme:
– Austausch der Schlüssel vor der Kommunikation
– Kommunikationspartner
§ ¨Schlüssel
sicherer Kanal
Internet Security: Verfahren und Protokolle Public-Key-Kryptographie 3 von 31

Universität Bielefeld
c Peter Koch
Merkles „Puzzle“
Alice generiert 1 Mio Rätsel, Lösungsaufwand etwa 2 Minuten
jedes „Rätsel“ enthält einen Schlüssel
Übertragung an Bob
Bob wählt ein Rätsel aus und löst es
Bob entnimmt den Schlüssel und verschlüsselt damit eine vorher
verabredete Nachricht
Bob sendet das Kryptogramm an Alice
Alice probiert alle 1 Mio Schlüssel, bis der passende gefunden ist
Carol muß (etwa die Hälfte) alle(r) Rätsel lösen!
Internet Security: Verfahren und Protokolle Public-Key-Kryptographie 4 von 31

¡
¡
£
¥
¤
¡
¢
¨
¦
§
¤
¡
£
§
§¥
©
¤
¨£
¨
¤
©
¨¥
¨
¤
©
¡
¤
©
Universität Bielefeld
c Peter Koch
Diffie-Hellman Key Exchange
Whitfield Diffie, Martin Hellman, 1976
prim, groß,
,
Primitivwurzel mod
Alice:
, groß, geheim:
mod
Bob:
, groß, geheim:
mod
Austausch (öffentlich) von
und
Alice:
mod
Bob:
mod
mod
Internet Security: Verfahren und Protokolle Public-Key-Kryptographie 5 von 31

Universität Bielefeld
c Peter Koch
Primitivwurzeln mod 11
n/g 2 3 4 5 6 7 8 9 10
1 2 3 4 5 6 7 8 9 10
2 4 9 5 3 3 5 9 4 1
3 8 5 9 4 7 2 6 3 10
4 5 4 3 9 9 3 4 5 1
5 10 1 1 1 10 10 10 1 10
6 9 3 4 5 5 4 3 9 1
7 7 9 5 3 8 6 2 4 10
8 3 5 9 4 4 9 5 3 1
9 6 4 3 9 2 8 7 5 10
10 1 1 1 1 1 1 1 1 1
Internet Security: Verfahren und Protokolle Public-Key-Kryptographie 6 von 31

¡
¢
¡
¡
¡
¢
£¡
¤
¡
©
¡
©
¥ §¦¨¨¨
¦
¡
¡
¡
¡
¡
¤
Universität Bielefeld
c Peter Koch
Funktion von Diffie-Hellman
Primitivwurzel
als Basis erzeugt alle Zahlen
bis
:
mod
mod
Problem: wie findet man ein
?
– wähle Kandidaten
– für alle Primfaktoren
von
teste
mod
¤
gut:
starke Primzahl, d.h.
¦
¨ebenfalls prim
Internet Security: Verfahren und Protokolle Public-Key-Kryptographie 7 von 31

£
¥
¤
¡
¢
¡
Universität Bielefeld
c Peter Koch
Sicherheit von Diffie-Hellman
aus gegebenem
mod
ermitteln
Diskreter Logarithmus
„schwieriges“ Problem
und
variabel zur Vermeidung von Tabellen-Angriffen
Internet Security: Verfahren und Protokolle Public-Key-Kryptographie 8 von 31

Universität Bielefeld
c Peter Koch
„man-in-the-middle“ attack
Carol fängt Nachrichten von Alice an Bob ab (und umgekehrt)
kein Gegenmittel in Diffie-Hellman
Internet Security: Verfahren und Protokolle Public-Key-Kryptographie 9 von 31

Universität Bielefeld
c Peter Koch
Zwischenfazit
DH ist kein Verschlüsselungsverfahren!
DH ermöglicht Schlüsselaustausch
verwundbar gegen man-in-the-middle
Skalierungsproblem bleibt
DH erfordert Interaktion
Internet Security: Verfahren und Protokolle Public-Key-Kryptographie 10 von 31

Universität Bielefeld
c Peter Koch
Sätze, Funktionen und Modulus
Eulerfunktion
mod-Rechnung
Primzahlen
Internet Security: Verfahren und Protokolle Public-Key-Kryptographie 11 von 31

¢¡¡
¡
¡
¡
¢
¤
¡
¦
¢¥¤
¢
¡
¢
¢
¡
¤
¡
¢
£
¡
¢
¢
¡
¡
¢
¡
¡ ¡
¤
¤
¡
¡
¦
Universität Bielefeld
c Peter Koch
Eulerfunktion
– Anzahl der zu
teilerfremden natürlichen Zahlen kleiner
falls
prim
falls
prim
falls
Internet Security: Verfahren und Protokolle Public-Key-Kryptographie 12 von 31

¢ ¤
¦
¢
§
£¡
¢
¢
¢
¢
Universität Bielefeld
c Peter Koch
Alte Bekannte
Fermat:
mod , falls prim,
Satz von Fermat - Fermat’s Little Theorem
nicht durch
teilbar
Euler:
mod
, falls
und
teilerfremd
Internet Security: Verfahren und Protokolle Public-Key-Kryptographie 13 von 31

¢
¡
¢
¡
¢¡¡
¤
¤
¡
¡
¡
£
¡
¡ ¡
¡
¤
¢¡¡
¤
¢
¢
¡
¡
¢
Universität Bielefeld
c Peter Koch
Das RSA-Verfahren
Rivest, Shamir, Adleman, 1977/78
zwei sehr große Primzahlen
und
deren Produkt
,
encryption key
mit
¡ ¦
¢ ¢¡
¡
decryption key
mit
mod
ist der öffentliche Schlüssel
ist der private Schlüssel
Internet Security: Verfahren und Protokolle Public-Key-Kryptographie 14 von 31

¡
¢
¡
¢
¢
¡
¢
¤
£
¤
¡
£
¢
¤
Universität Bielefeld
c Peter Koch
Das RSA-Verfahren (ii)
Sei
eine Nachricht mit
, dann ist
mod
die Verschlüsselung
mod
die wieder entschlüsselte Nachricht
Internet Security: Verfahren und Protokolle Public-Key-Kryptographie 15 von 31

§§£¢
£¡
¡
¡
§
£¡
¢
¢
¢
¢
Universität Bielefeld
c Peter Koch
Warum funktioniert RSA?
mod
mod
folgt aus Euler:
mod
, falls
und
teilerfremd
Internet Security: Verfahren und Protokolle Public-Key-Kryptographie 16 von 31

£¢
¡
¥
¤
Universität Bielefeld
c Peter Koch
mod
1 2 3 4 5 6 7 8 9 10 11 12 13
1 1 1 1 1 1 1 1 1 1 1 1 1 1
2 2 4 8 6 2 4 8 6 2 4 8 6 2
3 3 9 7 1 3 9 7 1 3 9 7 1 3
4 4 6 4 6 4 6 4 6 4 6 4 6 4
5 5 5 5 5 5 5 5 5 5 5 5 5 5
6 6 6 6 6 6 6 6 6 6 6 6 6 6
7 7 9 3 1 7 9 3 1 7 9 3 1 7
8 8 4 2 6 8 4 2 6 8 4 2 6 8
9 9 1 9 1 9 1 9 1 9 1 9 1 9
Internet Security: Verfahren und Protokolle Public-Key-Kryptographie 17 von 31

¤
¡
£
¤
¢
¡
¡
¢
¤
¤
¡
¤
¢
§§£¢
£¡
¢
¡
¢¡¡
¡
¡
¦
¡
¤
¢
¡
¤
¢
Universität Bielefeld
c Peter Koch
Warum funktioniert RSA? (ii)
mod
mod
mod
wegen
mod
und
mod
mod
mod
mod
Internet Security: Verfahren und Protokolle Public-Key-Kryptographie 18 von 31

¤
¡
¤
¢
¡
¢
¤
Universität Bielefeld
c Peter Koch
Unterschreiben mit RSA
d privat, e öffentlich
mod
die Signatur
mod
die (verifizierte) Nachricht
Umkehrung der Verschlüsselung
Internet Security: Verfahren und Protokolle Public-Key-Kryptographie 19 von 31

¤
¥¦
¢£
¡
Universität Bielefeld
c Peter Koch
Rechnen mit großen Zahlen
Problem: Zahlen sehr groß nach Exponentiation
Problem: sehr großer Exponent
sehr viele Multiplikationen
Beispiel:
mod
Internet Security: Verfahren und Protokolle Public-Key-Kryptographie 20 von 31

¢
¢
¡
¡
¢
¢
¡
¡
¡
¡
¡
¤
¢
¡
¥
¡
¡
¡
¤
¤
¢
¡
¤
¡
¡
¤
¤
Universität Bielefeld c Peter Koch
mod: schrittweise Exponentiation
mod
mod
¢ ¤
¦
¢ ¤
¦
¡
¢
¢
¤
¢
Beispiel:
¤
¥¦
mod
¡
¨ ¤
¤
¥¦
mod
£
¡
¤
¡
¦
¤
¦
¤
¤
¥¦
mod
£
¡
¤
¤
£
¦
¦
¦
Internet Security: Verfahren und Protokolle Public-Key-Kryptographie 21 von 31

¢
£
£
¤
¢
¢
¦¦
¢
¤
¢
¢¨
¢
¡
¤
¢
¢£
¢
¡
¤
¢
Universität Bielefeld c Peter Koch
Effizientes Exponenzieren
,
¨¢¢
¤
¡
¢
¨ ¢
,
¨¢
¨¢
¢
,
¨¢
¨¢
¡
¢
¢
¤
¤
¡
¢
¡
¢
¨
¢
¨ ¢
¡
¨ ¢
¢ ¨
¨¢¢
¢¡
¨ ¢
¡
¡
¡
¢
¢
¨ ¢
¨
¢
¨¢¢
¨ ¢
¨
¡
¢¡
¡
¡
¡
¢
¨
¢
¢
¨ ¢
¨
¢
¨¢¢
¨ ¢
¨
¡
¢¡
¡
¡
¡
£
¤
Internet Security: Verfahren und Protokolle Public-Key-Kryptographie 22 von 31

¢¡¡
¢
¢
¡
¡
¢¡¡
¢
Universität Bielefeld
c Peter Koch
Brechen von RSA
gesucht:
,
multiplikativ invers zu
mod
einfach zu bestimmen, wenn Faktoren
und
von
bekannt
aus
und
ableitbar
relativ leicht berechenbar (
Euklidischer Algorithmus)
Internet Security: Verfahren und Protokolle Public-Key-Kryptographie 23 von 31

¦
¢
¡¢
¦
¢
£
¤
¢
¡
¢ ¦
¦
¡ ¡
Universität Bielefeld
c Peter Koch
Euklidischer Algorithmus
Berechnung des ggT zweier Zahlen
und
while (a != b) {
if a < b { swap(a,b) } # a>=b
a = a - b;
}
while (a != 0) {
if a < b { swap(a,b) } # a>=b
a = a mod b;
}
Erweiterung bringt:
Internet Security: Verfahren und Protokolle Public-Key-Kryptographie 24 von 31

¢
¡
¡
¢
¢
¡
¡
¡
¤
¡
¡
¡
¤
¡
¡
¢
£
¡
¡
¡ ¡
¡
¡
¤
¦
¡
¡
¡¢
¡
¡
¤
¦
¡ ¤
¤
¡
¡
Universität Bielefeld
c Peter Koch
Multiplikativ Inverses durch Euklid
mod
und
teilerfremd
mod
Internet Security: Verfahren und Protokolle Public-Key-Kryptographie 25 von 31

Universität Bielefeld
c Peter Koch
Sicherheit des RSA-Verfahrens
. . . basiert auf zwei Annahmen:
– Faktorisierung ist notwendig zum Brechen
– Faktorisierung ist inhärent „schwierig“
Ist Faktorisierung schwierig?
RSA-129 (429 Bit) erfolgreich attackiert (1994)
Internet Security: Verfahren und Protokolle Public-Key-Kryptographie 26 von 31

¤
¡
¤
¡
¡
¤
¡
¡
¡
¡£¢
¨
¨ ¡
¡
¨
Universität Bielefeld
c Peter Koch
Anforderungen an die Primzahlen
, und
„groß“
aber:
und
unterscheiden sich in der Länge um einige Stellen
sonst: vollständige Suche ab
für
sichere und doppelt sichere Primzahlen
Angriff bei kleinem
(beliebte
sind 3 und 65537)
Internet Security: Verfahren und Protokolle Public-Key-Kryptographie 27 von 31

Universität Bielefeld
c Peter Koch
Wie finden wir Primzahlen?
Faktorisierung prohibitiv schwierig
. . . lieferte aber mehr Information als benötigt
Primzahltests
probabilistische Primzahltests
Internet Security: Verfahren und Protokolle Public-Key-Kryptographie 28 von 31

¢ ¤
¦
¤
¢
¡
¡
¢
¡
£
¥
¡
£
¡
£
¤
Universität Bielefeld
c Peter Koch
Fermat-Test
Test auf
mod
Fermat liefert notwendige, aber nicht hinreichende Bedingung für
Primalität
Pseudoprimzahlen zur Basis
Beispiel:
¡
¦
¤
mod
mehrere
„probieren“
Carmichael-Zahlen
Beispiel:
mod
Internet Security: Verfahren und Protokolle Public-Key-Kryptographie 29 von 31

¡
¡
¡
¤
¢
¡
¢ ¦
£
¡ ¡
¢
¤
¢
¢
£
¨
¤
¢
¡
¡
¢
¡
¦
¤ ¢
¤
¢
¥
¨
¡
¢
¤
£
¨
¢
¢
¡
¨
§
¢ ¦
¢
©
¢
Universität Bielefeld
c Peter Koch
Miller-Rabin-Test
prim, ungerade, dann gilt
mit
ungerade
wähle
mit
falls
mod , ist evtl. prim
berechne
mod
für
(fortlaufend quadrieren)
Fermat
nicht prim
muß gleich
oder
sein (Quadratwurzeln), sonst
nicht prim
besser als der Fermat-Test, denn hier ist die „Unsicherheit“
Anzahl der Tests mit verschiedenen
Internet Security: Verfahren und Protokolle Public-Key-Kryptographie 30 von 31

Universität Bielefeld
c Peter Koch
Zusammenfassung
Anleihen bei der Zahlen- und Komplexitätstheorie
Public Key-Kryptographie nutzt zwei Schlüssel
. . . liefert Verschlüsselung und/oder Signaturen
Verschlüsselung (allein) ohne Integrität
Authentisierung mit Unleugbarkeit (non repudiation)
Implementierung muß Sonderfälle beachten
Primzahltests werden mit probabilistischen Verfahren durchgeführt
Internet Security: Verfahren und Protokolle Public-Key-Kryptographie 31 von 31