Facharbeit als PDF - blogsport.eu

Empfehlungen

Info

zu übertreffen, sodass die Möglichkeit des Wurzelziehens nicht gegeben ist.Unterstützend wird heute der Exponent e=65537 (hexadezimal 10001, binär10000000000000001) gewählt 26 , da dieser trotz seiner Größe schnell für dieExponentation mit dem Square-And-Multiply-Algorithmus benutzbar ist. Auch dieLow Exponent Attack aus 3.3.6 ist dann verhindert.3.3.3 Angriff mit frei wählbarem KlartextDer Angriff mit frei wählbarem Klartext (engl. chosen-plaintext attack) ist bei Public-Key-Verfahren immer möglich, indem alle möglichen Klartexte mit dem Public-Keyverschlüsselt und die Ergebnisse mit dem gefundenen Chiffretext verglichen werden.Bei Übereinstimmung eines generierten Chiffretextes mit dem originalen ist der freigewählte Klartext der originale Klartext. Um diesen Angriff zu verhindern, muss dieNachricht m groß genug sein, um eine vollständige Klartextsuche aus Zeitgründenunmöglich zu machen.3.3.4 PaddingNeben der Auffüllung zur geeigneten Größe ist das Verknüpfen von m mitZufallsdaten sinnvoll, da dies bei gleichen Klartexten unterschiedliche Chiffretexteliefert und somit auch bei korrekt gewähltem Klartext den Vergleich ungültig macht.Dieses sogenannte Padding hat auch den Vorteil, dass bei der mehrfachenVersendung einer Nachricht ein Unterschied im Chiffretext vorhanden ist, der eseinen Angreifer nicht erkennen lässt, dass es sich um den gleichen Klartext handelt.Eine weitere Funktion des Paddings ist das Einfügen eines Kontrollwertes, mit demüberprüft werden kann, ob die entschlüsselte Nachricht gültig ist. In den Anfängendes Public Key Cryptography Standards 27 war dies eine Konstante mit zusätzlicherAuffüllung der Nachricht. Im Optimal Asymmetric Encryption Padding 28 wird jedocheine Prüfsumme der restlichen Nachricht mit eingefügt, die die kryptographischenEigenschaften im Vergleich zu einer Konstante verbessert. Das einfache PKCS1 29 -Padding würde eine Nachricht m bin in der Binärdarstellung der Länge m binLen < n binLen – 80vor dem Verschlüsselungsvorgang wie folgt zusammensetzen:26 Vgl. RFC 3447 V.1.5. ftp://ftp.rsasecurity.com/pub/pkcs/ascii/pkcs-1.asc. 03.04.2009.27 Ebd.28 Bellare, M., Rogaway, P.: Optimal Asymmetric Encryption -- How to encrypt with RSA. Springer-Verlag. 1995. Auch unter: http://www-cse.ucsd.edu/users/mihir/papers/oae.pdf. 29.03.2009.29 Nach RFC 3447 V.1.5. ftp://ftp.rsasecurity.com/pub/pkcs/ascii/pkcs-1.asc. 03.04.2009.11
m bin ' = 00 || Typennummer || Konstanter Auffüllungsblock der Länge n binLen - 3 || 00 || m binDas OAEP 30 fügt die Nachricht bedeutend komplexer zusammen. DieVorgehensweise ist aus RFC 3447, Abschnitt 7.1.1: Figur 1 zu entnehmen.3.3.5 Angriffsszenarien ohne Padding und NachrichtenformatierungEine Implementierung ohne Padding ist kaum denkbar, weil sie neben dengenannten Nachteilen höchste Aufmerksamkeit über dass, was ver- undentschlüsselt werden soll, erfordert. So kann bei Zugriff auf die Entschlüsselung derImplementierung oder durch Unvorsichtigkeit des Empfängers ein Chosen Ciphertexterfolgreich sein. Während der Empfänger bzw. die Implementierung eineverschlüsselte Nachricht erwartet, wird jedoch ein Klartext oder dessen Prüfsummegesendet und der nach den obigen Voraussetzungen bekannt gewordeneRückgabewert der Entschlüsselung bildet eine gültige Signatur der gesendetenNachricht. Dies wird durch die Identifikationsnummern, die z.B. der PKCS1 verteilt,nicht mehr möglich, da die Implementierung erkennen wird, dass die empfangeneNachricht kein Chiffretext ist.eDa die Nachrichten Zahlen sind und m 1e·m 2mod n = m 1 ·m 2 e mod n gilt, kanndie Nachricht m 1· m 2 verschlüsselt werden, ohne m 1 oder m 2 zu kennen, wasd dauch für das Signieren gilt, sodass aus den Signaturen m 1mod n und m 2mod ndeine gültige Signatur m 1d· m 2mod n für m 1· m 2 erstellt werden kann, ohne d zukennen. 31 Diese Nachrichten und Signaturen erkennt man nur an der fehlendenRedundanz der Sprache oder Kodierung nach z.B. PKCS1.Weitere Angriffe auf RSA nach Don Coppersmith ergeben sich, wenn dieNachrichten in einer algebraischen Beziehung stehen. Sind z.B. zwei Chiffretextebekannt, deren Nachrichten sich um den Betrag 1 unterscheiden - möglich wäreeine geheime Versuchsreihe von Experimenten - so können die ursprünglichenNachrichten leicht wiederhergestellt werden, wenn der früher oft benutzte öffentlicheExponent 3 gewählt wurde: 32 c 1 = m 3 mod n c 2 = m1 3 mod n30 Nach RFC 3447 V.2.1. http://tools.ietf.org/html/rfc3447. 03.04.2009.31 Vgl. Beutelspacher, A., Schwenk, J. und Wolfenstetter, K.-D.: Moderne Verfahren derKryptographie. 6., überarb. Aufl. Wiesbaden: Vieweg 2006. S. 19.32 Vgl. Ebd. S. 20.12
Seite 1 und 2: Facharbeit im Leistungskurs Mathema
Seite 3 und 4: Inhaltsverzeichnis1. Einleitung....
Seite 5 und 6: 2 Public-Key-Kryptographie2.1 Das P
Seite 7 und 8: seinem privaten Schlüssel entschl
Seite 9 und 10: Beweis des Satzes von Euler 17 :Es
Seite 11 und 12: 3.2 Der RSA-Algorithmus3.2.1 Die Sc
Seite 13: Rechenoperationen und somit die Lau
Seite 17 und 18: 3.4.2 Optimierung der Entschlüssel
Seite 19 und 20: SAT-Problem mit Hilfe von DNA gelö
Seite 21 und 22: 6 Anhang6.1 Platzhalternamen in der
Seite 23 und 24: 6.3 Quelltext für RSA-Klassen in C
Seite 25 und 26: faktor_p=fp;faktor_q=fq;modinv_u=u;
Seite 27 und 28: }while(nbitsize
Seite 29: Erklärung zur selbstständigen Anf

Facharbeit als PDF - blogsport.eu

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?