|
|
@@ -0,0 +1,281 @@
|
|
|
+\section{RSA-Verfahren}
|
|
|
+Das RSA-Verfahren ist ein asymmetrisches Kryptosystem, das von
|
|
|
+Ronald Linn \textbf{R}ivest, Adi \textbf{S}hamir und Leonard
|
|
|
+\textbf{A}dleman entwickelt und im August 1977 veröffentlicht wurde\footnote{[msri], S. 2}.
|
|
|
+
|
|
|
+Da das RSA-Verfahren asymmetrisch ist, wird sowohl ein öffentlicher
|
|
|
+Schlüssel als auch ein privater Schlüssel benötigt. Der öffentliche
|
|
|
+Schlüssel dient der Verschlüsselung und besteht aus dem RSA-Modul $N$
|
|
|
+und dem Verschlüsselungsexponenten $e$. Der private Schlüssel
|
|
|
+besteht aus dem Entschlüsselungsexponenten $d$ und dem selben RSA-Modul $N$.
|
|
|
+
|
|
|
+Die Erzeugung dieser drei Zahlen $N$, $e$ und $d$ für das RSA-Verfahren
|
|
|
+kann, in An-lehnung an [wiki-RSA], in fünf Schritte unterteilt werden:
|
|
|
+
|
|
|
+\begin{description}
|
|
|
+ \item[Schritt 1:] Als erstes werden zwei große Primzahlen gewählt.
|
|
|
+ Je größer diese Primzahlen sind, desto sicherer
|
|
|
+ ist die Verschlüsselung.
|
|
|
+ (vgl. Kapitel 7.4 "`Sicherheit des RSA-Verfahrens"')
|
|
|
+ \item[Schritt 2:] In diesem Schritt wird RSA-Modul $N = p \cdot q$
|
|
|
+ berechnet, das ein Teil des öffentlichen
|
|
|
+ Schlüssels ist.
|
|
|
+ \item[Schritt 3:] Schritt 3: Nun wird der Wert der Eulerschen
|
|
|
+ $\varphi$-Funktion bei $N$ berechnet. Da $p$
|
|
|
+ und $q$ Primzahlen sind, gilt $\varphi(N) = (p-1) \cdot (q-1)$ (vgl. Kapitel 4) % TODO
|
|
|
+ \item[Schritt 4:] Nachdem $\varphi(N)$ ermittelt wurde, kann der
|
|
|
+ zweite Teil des öffentlichen Schlüssel, der
|
|
|
+ Verschlüsselungsexponent $e$, ermittelt werden.
|
|
|
+ Folgende Bedingungen müssen für $e$ gelten:
|
|
|
+ $1 < e < \varphi(N) $ und $ggT(e, \varphi(N)) = 1$
|
|
|
+ \item[Schritt 5:] Es folgt die Berechnung des Entschlüsselungsexponenten
|
|
|
+ $d$ als multiplikativ Inverses von $e$
|
|
|
+ bezüglich des Modules $\varphi(N)$. Es soll
|
|
|
+ also folgende Kongruenz gelten:
|
|
|
+ $e \cdot d \equiv 1 \imod{\varphi(N)}$
|
|
|
+
|
|
|
+\end{description}
|
|
|
+
|
|
|
+
|
|
|
+\subsection{Verschlüsselung mit dem öffentlichen Schlüssel}
|
|
|
+Ein Text wird verschlüsselt, indem er in Zahlen umgewandelt wird. Für
|
|
|
+diese Umwandlung kann der ASCII-Code verwendet werden. Sobald man
|
|
|
+Zahlen hat, kann man den unverschlüsselten Klartext $K$ mit folgender
|
|
|
+Kongruenzgleichung in den verschlüsselten Geheimtext $G$ umwandeln: $G \equiv K^e \imod{N}$.\\
|
|
|
+Die Zahl $N$ sollte deutlich größer sein als K\footnote{vgl. [Reiss], S. 288}.
|
|
|
+
|
|
|
+In folgendem Beispiel wird der Klartext "`12"' verschlüsselt. Dazu
|
|
|
+werden als Erstes alle benötigten Variablen erzeugt oder berechnet:
|
|
|
+
|
|
|
+\begin{description}
|
|
|
+ \item[Schritt 1:] $p := 347$ und $q := 379$
|
|
|
+ \item[Schritt 2:] $N = p \cdot q = 347 \cdot 379 = 131513$
|
|
|
+ \item[Schritt 3:] $\varphi(N) = \varphi(131513) = (347 - 1) \cdot (379 - 1) = 346 \cdot 378 = 130788$
|
|
|
+ \item[Schritt 4:] $1 < (e := 877) < \varphi(N) $
|
|
|
+ \item[Schritt 5:] $877 \cdot d \equiv 1 \imod{130788}$
|
|
|
+\end{description}
|
|
|
+
|
|
|
+Um ein $d$ zu finden, das diese Kongruenz erfüllt, wird der
|
|
|
+erweiterte euklidische Algorithmus angewendet:
|
|
|
+
|
|
|
+\begin{tabular}{lll}
|
|
|
+\textbf{Schritt 1}: euklidischer Algorithmus & & \textbf{Schritt 2}: nach Rest auflösen\\
|
|
|
+$130788 = 149 \cdot 877 + 115$ & $\rightarrow$ & $115 = 130788 - 149 \cdot 877$\\
|
|
|
+$877= 7 \cdot 115 + 72$ & $\rightarrow$ & $72 = 877 - 7 \cdot 115$\\
|
|
|
+$115= 1 \cdot 72 + 43$ & $\rightarrow$ & $43 = 115 - 72$\\
|
|
|
+$72= 1 \cdot 43 + 29$ & $\rightarrow$ & $29 = 72 - 43$\\
|
|
|
+$43= 1 \cdot 29 + 14$ & $\rightarrow$ & $14 = 43 - 29$\\
|
|
|
+$29= 2 \cdot 14 + 1$ & $\rightarrow$ & $1 = 29 - 2 \cdot 14$
|
|
|
+\end{tabular}
|
|
|
+
|
|
|
+\textbf{Schritt 3}: so lange Reste einsetzen, bis eine Linearkombination der Form
|
|
|
+$1 = x \cdot 877 + y \cdot 130788$ gefunden ist:
|
|
|
+
|
|
|
+\begin{align*}
|
|
|
+1 &= 29- 2 \cdot (43-29) \\
|
|
|
+1 &= 3 \cdot 29 - 2 \cdot (115 - 72) \\
|
|
|
+1 &= 3 \cdot (72 - 43) - 2 (130788-149 \cdot 877) + 2 \cdot (877 - 7 \cdot 115) \\
|
|
|
+1 &= 3 \cdot (877 - 7 \cdot 115) -3 \cdot (115 - 72) - 2 \cdot 130788 + 300 \cdot 877 -14 \cdot 155 \\
|
|
|
+1 &= 303 \cdot 877 - 2 \cdot 130788 - 38 \cdot 115 + 3 \cdot 72 \\
|
|
|
+1 &= 303 \cdot 877 - 2 \cdot 130788 - 38 \cdot (130788-149 \cdot 877) + 3 \cdot (877 - 7 \cdot 115) \\
|
|
|
+1 &= 5968 \cdot 877 - 40 \cdot 130788 - 21 \cdot (130788-149 \cdot 877) = 9097 \cdot 877 - 61 \cdot 130788
|
|
|
+\end{align*}
|
|
|
+
|
|
|
+$\rightarrow d = 9097$
|
|
|
+
|
|
|
+Probe:
|
|
|
+
|
|
|
+\[\frac{d \cdot e - 1}{\varphi(N)} = \frac{877 \cdot 9097 - 1}{130788} = 61\]
|
|
|
+
|
|
|
+Nun wird der Geheimtext $G$ mit dem Verschlüsselungsexponenten $e$
|
|
|
+aus dem Klartext $K$ berechnet:
|
|
|
+
|
|
|
+\begin{align*}
|
|
|
+G &\equiv K^e \imod{N}\\
|
|
|
+G &\equiv 12^877 \equiv 12 \cdot (12^6)^{2 \cdot 73} \equiv 12 \cdot 92698^{2 \cdot 73} \equiv 12 \cdot 122810^{73} \imod{131513} \\
|
|
|
+G &\equiv 12 \cdot 122810 \cdot 122810^{2 \cdot 2 \cdot 2 \cdot 3 \cdot 3} \equiv 27077 \cdot 122234^{2 \cdot 2 \cdot 3 \cdot 3} \equiv 27077 \cdot 90339^{2 \cdot 3 \cdot 3} \imod{131513} \\
|
|
|
+G &\equiv 27077 \cdot 95706^{9} \equiv 27077 \cdot 9189^{3} \equiv 27077 \cdot 56590 \imod{131513} \\
|
|
|
+G &\equiv 29467 \imod{131513}
|
|
|
+\end{align*}
|
|
|
+
|
|
|
+\subsection{Entschlüsselung mit dem privaten Schlüssel}
|
|
|
+\subsubsection{Entschlüsselung ohne den Chinesischen Restsatz}
|
|
|
+Der Geheimtext wird entschlüsselt, indem man ihn mit $d$ potenziert
|
|
|
+und dann denn kleinsten positiven Repräsentanten der Restklasse $N$
|
|
|
+berechnet: $K \equiv G^d \imod{N}$
|
|
|
+
|
|
|
+Im Folgenden wird die Entschlüsselung auf das vorhergehende Beispiel
|
|
|
+angewendet:
|
|
|
+
|
|
|
+\begin{align*}
|
|
|
+G &= 29467 ~~~ N= 131513 ~~~ d = 9097 \\
|
|
|
+K &\equiv G^d \imod{N}\\
|
|
|
+K &\equiv 29467^{9097} \imod{131513}\\
|
|
|
+K &\equiv 29467 \cdot (29467^2)^{2 \cdot 2 \cdot 3 \cdot 379} \equiv 29467 \cdot (55263^2)^{2 \cdot 3 \cdot 379} \equiv 29467 \cdot 4283^{2 \cdot 3 \cdot 379} \imod{131513} \\
|
|
|
+K &\equiv 29467 \cdot 89937^{2 \cdot 3} \equiv 29467 \cdot 88417^3 \equiv 29467 \cdot 24587 \imod{131513} \\
|
|
|
+K &\equiv 12 \imod{131513}
|
|
|
+\end{align*}
|
|
|
+
|
|
|
+\subsubsection{Entschlüsselung mit dem Chinesischen Restsatz}
|
|
|
+Falls der Entschlüsselungsexponent $d$ sehr groß ist, kann das
|
|
|
+Potenzieren lange dauern. Dies kann mit dem Chinesischem Restsatz
|
|
|
+beschleunigt werden\footnote{[Paixão], S. 1}.
|
|
|
+Diese Idee wurde [Paixão] entnommen:
|
|
|
+
|
|
|
+Der Geheimtext $G$ und der Exponent $d$ wird folgendermaßen geteilt:
|
|
|
+
|
|
|
+\begin{tabular}{llll}
|
|
|
+$\begin{aligned}
|
|
|
+G_p &\equiv G \imod{p} \\
|
|
|
+G_q &\equiv G \imod{q}
|
|
|
+\end{aligned}$ & und &
|
|
|
+$\begin{aligned}
|
|
|
+d_p &\equiv d \imod{p-1} \\
|
|
|
+d_q &\equiv d \imod{q-1}
|
|
|
+\end{aligned}$ &, da $e \cdot d \equiv 1 \imod{(p-1) \cdot (q-1))}$
|
|
|
+\end{tabular}
|
|
|
+
|
|
|
+Dies funktioniert, da der folgende Hilfssatz gilt:
|
|
|
+
|
|
|
+\begin{mdframed}[tikzsetting={draw=red,ultra thick}, innertopmargin=0.6cm]
|
|
|
+$K^ed \equiv G \imod{p \cdot q} \Leftrightarrow K^{ed} \equiv G \imod{p} \land K^{ed} \equiv G \imod{q}$
|
|
|
+\end{mdframed}
|
|
|
+
|
|
|
+Nun wird dieser kleinere Teil von G mit den kleineren Exponenten "`entschlüsselt"':
|
|
|
+
|
|
|
+\begin{align*}
|
|
|
+K_p &\equiv {G_p} ^ {d_p} \imod{p}\\
|
|
|
+K_q &\equiv {G_q} ^ {d_q} \imod{q}
|
|
|
+\end{align*}
|
|
|
+
|
|
|
+Der Chinesische Restsatz ermöglicht es nun, eine Lösung $K$ für die
|
|
|
+folgenden Kongruenzen zu finden:
|
|
|
+
|
|
|
+\begin{align*}
|
|
|
+K &\equiv K_p \imod{p}\\
|
|
|
+K &\equiv K_q \imod{q}
|
|
|
+\end{align*}
|
|
|
+
|
|
|
+Dazu müssen die multiplikativ inversen Elemente ermittelt werden:
|
|
|
+\begin{align*}
|
|
|
+y_p \cdot p \equiv 1 \imod{q}\\
|
|
|
+y_q \cdot q \equiv 1 \imod{p}
|
|
|
+\end{align*}
|
|
|
+
|
|
|
+Nun wird der Klartext zusammengesetzt:
|
|
|
+\[K \equiv (K_p \cdot y_p \cdot q + K_q \cdot y_q \cdot p) \imod{N}\]
|
|
|
+
|
|
|
+Diese Methode ist etwa vier mal schneller als die Entschlüsselung mit $d$\footnote{[Paixão], S. 2}.
|
|
|
+
|
|
|
+\subsection{Entschlüsselung ohne den privaten Schlüssel}
|
|
|
+Ist der Entschlüsselungsexponent $d$ unbekannt, so kann dieser durch
|
|
|
+Faktorisierung von $N$ zurückgewonnen werden. Faktorisiert man $N$, so
|
|
|
+kann $\varphi(N)$ berechnet werden und die Kongruenz $e \cdot d \equiv 1 \imod{\varphi(N)}$ gelöst werden.
|
|
|
+
|
|
|
+Als praktische Arbeit wurde mir folgende Aufgabe gestellt:
|
|
|
+
|
|
|
+\begin{mdframed}[tikzsetting={draw=black,very thick}, innertopmargin=0.6cm]
|
|
|
+\begin{verbatim}
|
|
|
+N := 65937_24735_90338_11941_75738_06421_27758_89771;
|
|
|
+e := 47;
|
|
|
+# geheime Botschaft:
|
|
|
+y := 65087_24329_19692_65260_21005_67465_76581_27499;
|
|
|
+\end{verbatim}
|
|
|
+Wie lautet die Botschaft im Klartext?
|
|
|
+\end{mdframed}
|
|
|
+
|
|
|
+Um diese Aufgabe zu lösen, versucht man den privaten Schlüssel mit
|
|
|
+Hilfe des öffentlichen Schlüssels wiederherzustellen.
|
|
|
+
|
|
|
+Der private Schlüssel $d$ muss die Kongruenzgleichung
|
|
|
+$e \cdot d \equiv 1 \imod{\varphi(N)}$ erfüllen, allerdings sind
|
|
|
+$\varphi(N)$ und $d$ nicht bekannt. Um $\varphi(N)$ zu berechnen,
|
|
|
+werden die Primfaktoren $p$ und $q$, aus denen $N$ besteht, benötigt.
|
|
|
+$N$ muss also faktorisiert werden. Sobald ein Faktor von $N$ bekannt
|
|
|
+ist, kann man $N$ durch diesen Faktor teilen und man erhält den
|
|
|
+zweiten Faktor. Dann kann man wie in Kapitel 7 vorgehen und $d$ % TODO link to kapitel
|
|
|
+berechnen. Mit $d$ kann man wie in Kapitel 7.2 beschrieben die % TODO link to kapitel
|
|
|
+Geheimbotschaft entschlüsseln.
|
|
|
+
|
|
|
+Wird das Aribas-Skript im Anhang ausgeführt, das diese Schritte
|
|
|
+ausführt, erhält man den Klartext "`\textbf{RSAribas}"'.
|
|
|
+
|
|
|
+
|
|
|
+\subsection{Sicherheit des RSA-Algorithmus}
|
|
|
+Der RSA-Algorithmus kann, wie oben beschrieben, "`geknackt"' werden,
|
|
|
+indem der öffentliche Schlüssel faktorisiert wird. Allerdings ist das
|
|
|
+bei großen Zahlen nahezu unmöglich, da die Algorithmen sehr lange
|
|
|
+Laufzeiten haben\footnote{[RSA-2190]}.
|
|
|
+Wie lange die Faktorisierung dauert hängt einerseits vom Algorithmus,
|
|
|
+andererseits von der Hardware ab.
|
|
|
+
|
|
|
+Um ein Gefühl dafür zu bekommen was "`sehr lange"' bedeutet, kann man
|
|
|
+die "`RSA Factoring Challenge"' als Beispiel betrachten. Eine
|
|
|
+193-stellige Zahl sollte Faktorisiert werden. Für diese Aufgabe
|
|
|
+wurde am 18. März 1991 ein Preisgeld von 20.000 US-Dollar
|
|
|
+ausgeschrieben. Ein Team des Instituts für Experimentelle Mathematik
|
|
|
+in Essen hat am 2. November 2005 diese Aufgabe gelöst und dafür
|
|
|
+über fünf Monate benötigt. Der Rechenaufwand betrug etwa 30
|
|
|
+2.2GHz-Opteron-CPU Jahre\footnote{[RSA-2964]}.
|
|
|
+
|
|
|
+Das Faktorisieren wird zwar immer schneller, da man über bessere und
|
|
|
+billigere Computer sowie effizientere Algorithmen verfügt, allerdings
|
|
|
+steigt mit den Hardwareverbesserungen die Sicherheit des
|
|
|
+RSA-Algorithmus. Mit einer besseren Hardware können deutlich größere
|
|
|
+Primzahlen erzeugt werden und damit auch ein deutlich längerer
|
|
|
+öffentlicher Schlüssel generiert werden, der zur Verschlüsselung der
|
|
|
+Nachricht dient.
|
|
|
+
|
|
|
+Ein verbesserter Faktorisierungsalgorithmus würde die Sicherheit des
|
|
|
+RSA-Kryptosystems gefährden. Es ist jedoch unwahrscheinlich, dass ein
|
|
|
+solcher Algorithmus gefunden wird, da das Problem als schwer
|
|
|
+angesehen wird.\footnote{[RSA-2191]}
|
|
|
+
|
|
|
+Ein weiterer möglicher Angriff auf das RSA-Kryptosystem wäre die
|
|
|
+$e$-te Wurzel $\imod{n}$ zu finden. Da $G \equiv K^e \imod{N}$ ist,
|
|
|
+wäre $K \equiv \sqrt[e]{K^e} \imod{N}$. Allerdings ist kein Angriff,
|
|
|
+der so funktioniert, bekannt4. Um zu veranschaulichen, dass bei einer
|
|
|
+Kongruenzgleichung nicht wie gewohnt die Wurzel gezogen werden kann,
|
|
|
+betrachte man folgendes Beispiel: $4 \equiv 16 \imod{3}$, aber
|
|
|
+$\sqrt{4} \neq \sqrt{16} \imod{3}$.
|
|
|
+
|
|
|
+\subsection{Warum der RSA-Algorithmus funktioniert}
|
|
|
+Der Geheimtext $G$ wird durch potenzieren mit $e$ gewonnen ($G \equiv K^e \imod{N}$)
|
|
|
+und der Klartext durch potenzieren mit $d$ ($K \equiv G^d \imod{N}$).
|
|
|
+Zu zeigen ist, dass
|
|
|
+$K \equiv K^{e \cdot d} \imod{N}$ mit $ed \equiv 1 \imod{\varphi(N)}$ gilt.
|
|
|
+
|
|
|
+Es kann folgende Umformung durchgeführt werden:
|
|
|
+\begin{align*}
|
|
|
+ed &\equiv 1 \imod{\varphi(N)}\\
|
|
|
+ed &= 1 + x \cdot \varphi(N) \text{mit } x \in \mathbb{Z}
|
|
|
+\end{align*}
|
|
|
+
|
|
|
+Daraus folgt:
|
|
|
+\[K^{e \cdot d} = K^{1 + x \cdot \varphi(N)} = K \cdot K^{x \cdot \varphi(N)}\]
|
|
|
+
|
|
|
+Nun wird der \textbf{Satz von Fermat-Euler} als Hilfssatz eingeführt:
|
|
|
+\begin{mdframed}[tikzsetting={draw=red,ultra thick}, innertopmargin=0.6cm]
|
|
|
+$K^{\varphi(N)} \equiv 1 \imod{N}$ für $K, N \in \mathbb{N}$ und $ggT(N, K) = 1$
|
|
|
+\end{mdframed}
|
|
|
+
|
|
|
+Beweis nach [Reiss], S. 218 f.:
|
|
|
+\hangindent2em
|
|
|
+\hangafter=0
|
|
|
+Es gibt $\varphi(N)$ verschiedene, zu $N$ teilerfremde Reste. Da $K$
|
|
|
+zu $N$ teilerfremd ist, muss auch jedes der Produkte
|
|
|
+$K \cdot r_1 , K \cdot r_2 , \dots, K \cdot r_{\varphi(N)}$ zu $N$
|
|
|
+teilerfremd sein.
|
|
|
+
|
|
|
+Es gilt:
|
|
|
+\begin{align*}
|
|
|
+\prod_{i=1}^{n=\varphi(N)} K \cdot r_i &\equiv \prod_{i=1}^{n=\varphi(N)} r_i \imod{N}\\
|
|
|
+K^{\varphi(N)} \prod_{i=1}^{n=\varphi(N)} r_i &\equiv \prod_{i=1}^{n=\varphi(N)} r_i \imod{N}
|
|
|
+\end{align*}
|
|
|
+
|
|
|
+Da alle $r_i$ teilerfremd zu N sind, kann man durch das Produkt teilen. Daraus ergibt sich:
|
|
|
+\[K^{\varphi(N)} \equiv 1 \imod{N}\]
|
|
|
+
|
|
|
+Das bedeutet für den RSA-Algorithmus:
|
|
|
+\[K \cdot K^{x \cdot \varphi(N)} \equiv K \cdot (K^{\varphi(N)})^x \equiv K \cdot 1^x \equiv K \imod{N}\]
|
|
|
+
|
Martin Thoma