Albrecht Beutelspacher
I Heike B. Neumann I Thomas Schwarzpaul
Kryptografie in Theorie und Praxis
Albrecht Beutelspacher Th omas Schwarzpaul
I Heike B. Neumann
Kryptagrafie in Theorie und Praxis Mathemati sche Grundl agen für Internetsicherheit, Mobilfunk und elekt roni sches Geld 2., überarbeitete Auflage STUDI UM
VIEWEG+ TEUBNER
Bibliografische Information der Deutschen Nationalbibl iothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Natlonalbibfiogratie: detaillierte bibliografische Daten sind im Internet über abrufbar .
Profe ssor ör. Alb recht Beutelspacher ur, Thom as Schw ar zpaul Universitä t Gießen Mathematisches Instit ut Arndtstraße 2 D-35392 Gießen E-Mail:
[email protected] t
[email protected] Or. Helk e B. Neumann Mühlendamm 45 a 22087 Harnburg E-Mail:
[email protected] 1. Auflage 2005 2., überarbeitete Auflage 2010 Alle Rechte vorbehalten © Vieweg+Teubner I GWV Fachverlage GmbH, Wiesbaden 2010 Lektorat: Ulrike Schmickler-Hirzebruch I Nastassja Vanselow Vieweg+Ieubner ist Teil der Fachverlagsgruppe Springer Seience-Business Media. www.viewegteubner.de
,.
121 12G 125 128 129
Konkrete Implement icruugcn Übungen
ian
.
11 Der di skret e Loga r -ithmus, D iffie-He lh na n- Sch liisselver eillba rung ,
El'Gamal-Sys tem e 11 .1 Überbl ick üb er die DiHie-H elhnan-Schlüsselverd uban lllg
132
11.2 11.:5 11.-1 11.5 11.6
1:1:1
11 .7 II .x 11.9
Ma t hematisch e Deta ils . . Das P roblein de s diskreten Loga rit hmus
.
1 :~5
Ocr Baby-Stcp-Gient-Stcp..Algorit hmus Sich erheit der Diffic-Hcllma n.. Schlüsselvereinbarung .
l :j6 1:17
EIGamal-Verschlüsselung
ras
ElC arual-Signatu r . Der Blum -Xlicali- Psendoz ufa llsgcn era tor
1:~!J
Üb ungen
12 W eitere P u b lic-Key-Systcm e ]2.1 Verallgemeinerte ElCama l-Systcme - elliptische Kurvon 12.2 XT Il . 1 2 . :~ Kry pt osysteme au f der Basis der Faktcn sieruug . 12.:U
Die Habin..Verschlüsselung und -S igna t ur Das R ah ill- Verschlüssclu ngsvcrfalm-n Das Rubin..Signa t urverfahren . Der Blum.. ßl llm..Shub..G enera tor 12.:t2 Paill ipr-Yersch lüssdllugellund -Signa turen . 12.4 Kry prosysteme auf a nderen schwierigen P robleme n 12.-1 . 1 ).lcElirne-Verschltissclungon 12.4 .2 Kna psack- Versch lüssel ungen
12.4.:j 12.5
l :j2
xr nu
12.-1.4 Hiddcn Piold Equatious Übu ngen
142 14:j 146 146
151 1;'2 152 1 5 :~
If)4 154 I))!)
156 1;)()
1;)6
157 157 157
XI 13 Sicherheit von Public-Ke y- Ve r schl ü sselungsve rfa lu-en 1:3.1 Polynomiclle Un untcrschcidbarkcit . 1:1.2 Semant ische Sicherhei t . l :Cl l :~ A
Die Sicherheit d es RSA- u nd des El fl um al-Verschlü sselungeverfahrcns Übun gen
14 Digi t ale S ig natu ren 14.1 Vergleich von RSA- und Elflamal-Signa turen 14.2 Übungen .
III
Anwendungen
15 H a s hfuukt.ionen und N aclu -ich tenau t hent lait ä t 1!l,I Hashfun ktloncn . }5 ,2 Kon struktion VOll Haehfu nk t ioncu . 15.2. 1 Hashfu nkt ioncn unter Verwendu ng von Blockchi ffren 15.2.2 ),Iaßgcschneidcrte Algoritlnuon . . . . . 15 .2.3 Hashfunkt ion m it modula rer Ar ithmetik 1!). :~ Hash-and- Sign-Signa t urcn . . . I!) A Xlessage Authcnt ication Codes . . . 15.5 Konstruktion mit Blockchi ffren . 15.6 Konstruktionen mit Ha shfun ktioncn 1!).7 Siche re Ka lläle Übungen 15.8
159 160 162
IG4 lüG
IG7 170 . 170
173 175
17G 180 181 18:l 185 18!)
187 189 l ~n
1m 19c1
16 Zero- K n owledge-P rotoko lle 195 16.1 Df'1' Fia t-Sha nu r-Algorit hm us IH7 16.2 Zcro- Knowlodgc- Beweis für die Kennt nis eines diskreten Logaum rit lunus I G. :~ Formalisicrung 2nD 1604 Wit uess hiding 20cl 16.5 Übu ngen 205
17 Sch lüsselverwalt ung 17.1 Sch lüs selerzeugun g 17.2 Schlüsselverteilung 1 7 . :~ Speicherung von Schlüsseln 17.4 Rückruf von Schlüsseln 17.!) Zers t örung VOll Schl üsseln . 17.6
Public-Key-Infra st ruktureu
17.G.J P ublic-Kcy-Zert lfikatc .
207 207
208 210 2JO 2J 1 211
212
XII
Inha ltsverzeich nis
18 Teiln chmcrauthentifikation 18.1 Festcode-Verfah ren . 18.2 Wechselcode..Verfahren .. 1S.:J 18..1 18.5 18.G
Challenge-end- Resp onse- P rotokoll!'
Au t hcnt iflkatlon mit Zcro- Knowlcdge-Bewciscn Eigenscha fton VOll Authcut ifikatiousprotokollen Übungen
19 Schliisse le t ablierungsprotokolle 19. 1 Ang riffe a uf P ro tokolle . 10. 1.1 Die h np ersou a ü on .
19.1.2 Die Rcplay-At t ackc . 1!J.1.:l Rcftckti onsa ngriff . . 19. 1.4 Ocr Xlen ..in..the-middlc..A ngriff 1!J.2
Schlüssel t ransport protokolle . . . .
W .2.1 19.2.2 1D.2.:1 19.2.4 1!).:i
1!J.-l W .5
Das Breit maulfrosch- P rotokoll . :\ccdh a m-Sch rocdcr- P rotokoll O tway-Rees-P rot okoll Das T ~ [ X..P rotokoll . . . . .
Sch lüsselvereinb an lllgs p ro tokolle Sicherh eit VOll Prot okollen
Übu ngen
.
20 M u lti p art y-COInputatiolls 20.1 Modell . 20.2 Secret -Sharing-Verfa hren 20.2.1 Schwellensche ma t a . . Das Schwellenschema von Sh a mir 20.2.2 Verifizierbare Geheimnisaufteilung 20.:l T hrcs hold-Siguat urvorfa hren 20.4 Der M ünzwurf am Telefon 20.5 O blivious-Transfer 20.6 Übungen .. . . .
216 218 2 1!J
221 22:3 225 226
228 229 2:1O 2:lJ 2:12 2:l:1
2:34 2:l5 2:1ü 2:17
2:18 240 245 247
249 249 2;)2 254 254 256 257 259
2GO 2ü:1
2 1 A n o n y m ität 265 21.1 .\UX-l\ctze 265 21.1.1 Kryptogra fischc Sicherheit eines Xlf Xcs . 268 21.1.2 Weitere Sicherheitsmaßnahmen 2Gll 21.2 Blin de Signa turen 270 21.2.1 Elektronisches Geld 271 Da.., offl ine M ünzsystem von D. Cha um . A. Fi at und .\1. Xaor27:l 21.;i Pscudonyme . . . . . . . 276 21.3.1 Elektronische Wah len . 27G
XIII
22 In t e rnet s ich er h eit und Mob il fu n k 22.1 SCC1II'C Sockets Layer (SSL) 22.l.J Dm; Ha nd sha ke- P rotokoll 22. 1.2 Changl'-Cipher-SpeC-l\achricht 22.1.:3 Rccord-Layer- P rotokoll 22.1.4 Alert-P rotokoll .
22.2
22.1.5 Ana lyse des SSL-P rotokolls Version :3. 0 . P rct ty Good P rivacy . . 22 .2.1 Opcrat ioncn .
22.2.2 Schl üsselverwa lt ung . 22.:! Das G S~ I-~ I obil fnll kll('tz . 22.:3.1 Authcntiflzic nmg . 22.:3. 2 Versch lüsselung . .. . 22 .:C! A ut he nt ifika tion in fremden GS), l-:'\ctzen
23 Q u a nte n k r y ptogr a fie und Quant en Compu ti ng 2:U Quantenkryptogra fie . . . . . 2:1.2
Q ua nten Comput ing .
2:-I.2.J P hysikalb ehe Grundlagen 2:3.2.2 Quantencomp uter . . . . 2:l.2.a Fa krorisicruug mit Qua ntencomputern 2:l.2.4 Auswirkungen auf d ie Krypt ografie 2:1.2.5 Ausblick .
278 278 279 2';:l
284 284 285
286 286 287 2~9
200 29 1
292 293 2!);-~
2UG 2!JG
298 2D!J
:lOI :lO2
Lit era t urve rz ei clmis
303
Index
3 18
1
A ufgaben und G r un d züge d er Kryptografi e
Seit es Konnnuuikatio n zwischen Monsehen gibt , gibt es au ch das Bedürfnis nach vert raulich!'!" Kommu nikat ion . Sender und Empfänger VOll Xechricht en wollen nich t. dass ihr e Xa chrichtcn VOll Dritten gelesen werden . Die Menschen haben sich sehr u nterschiedlich e Verfa hren einfallen las sen, um eina nd er gehei me Nachrichten zu übermitteln : Manche haben vers ucht , die Exist enz der Nachricht a n sieh zu verstecken , zum Beispiel indem sie sie in Bildern verst eckt haben oder mit Zit ronensaft als Tinte gesch rie ben haben . Dab ei ist eine r n ich t eingeweihten P erSO ll ga r nicht klar. da ss (~S hier eine gelreime Xachricht gibt. Andere haben ihr e Botsch aften .verschlüs selt'', indem sie d en Tex t mittels eines vorher vereinbarten gehenneu Verfa hrens unleserlich gernacht haben . Xur der Empfänger, der d ie Botscha ft lesen sollte und auch das geheime Vorfahren kannte, kann ( 'K rückgängig machen und gewinnt daraus die Nachricht . Besonders im mlllt ürischcn und polit ischen Borelch sind za hlreiche historische Beispiele für das Verhergen und Verschlüsseln von Nach richten beka nnt . Die Krypt og ra fie. die Wissenschaft vom Ent werfen und .Brcchcn'' VO ll Verschlüsselungsvcrfahrcn , spiel te jahrhundertela ng die Rolle ei ner Cehcimwisseuschaft, zu der nur wenige Zuga ng ha tten . :'oIit der weltweit P li Verbreitung von Co mpute rnetzen ist die Krypt ogra fie zu einer Schlüssel reclmologie zur Absichenmg VO ll Konunuuikation geword en. Xlit den netten Kon nnuni ka tion smcdion hat die K ryptografi e au ch neu e Aufgaben wie Aut hentizit ät , Anonymitä t ode r Verbindlichkeit von Xnchrichten üb ernommen . Der Begriff .Kryptogra fic' lässt sich heute a m besten so ein grenzen: K ryptogra fie ist eine öffentliche mat hematische W issens cha ft , in der Vertra uen gesch affen . tibcrt ra gon und erhalten wird . Dass sich die Kryptogra fie a ls Teildisziplin der Xla t hem a ti k etabliert hat ., liegt vor allem da ran . da ss die Ma t hcmatik wie keine ande re Wissenscha ft da zu geeig net ist , kryptogra fieehe Fra gestellu ngen zu modellieren und zu analysieren . Die .S ichcrhei t" eine s Verfa hrens läss t sich dam it q uan tifizieren und im Best fal l sogar mat hematisch beweisen . Benutzer kry ptografischcr Verfahren müssen a lso nich t mehr da rauf vertrauen. dass das von ihnen gewä hlte Verfahren wirkli ch g ut ist. sondern sie können sieh mit Hilfe der ma t hemat.ischcn Analyse VOll des sen G üte selbst überzeugen. Insbesondere sind a lle diese Erkenntnisse öffent lich zu ga nglich . Das bedeutet also , das s heute für d ie Bewertung der Sicherhei t krypto graflscher Algorithmen und Xlcchauismcn objektive Kri terien zur Verfügung ste hen. Danehen gibt es aber 1I0ch wei tere G ründe dafür , warum viele moderne Applikationen (Xlobilfunk . Pay~TV . E-ComIlH'rce ctc. ) ohn e Krypt og ra fie nicht vorstellba r sind :
2
1 Aufgab en u nd G rundzüge der Kr y pt ogra fie • Kry pt og ra fischc Verfa hren sind ma s gcschneidert fü r
dCII
Einsat z in d igita len
Medien. • Kry pt og ra flschc Mechanism en kön nen im P rinzip belieb ig sicher gemacht werden . 111 vielen Fällen kann mau du rch die Verl ängerung des Schlüssels di e Bet ru gswa hrscheinlichkei t beliebig klei n machen . In der RegE'1 bewirkt ein klein er Zuwachs der Komplexität des Verfah ren s einen ex po nentiellen Zuwach s in d er Kom plexit ät ein es An griffs auf den Algorithmus . In solchen modernen Anwendungen wird Kr yptografie zur Umset zung
VO ll
seh r
unterschiedlichen Eigensch aften der Applika tionen eingesetzt:
• Vertra u lichkeit Kry pt og ra fisch kann ina n Vertra ulichkeit erreichen , indem d er SCIH lcr d ie Nachricht so verändert . da"" sie für jed en Außenste henden völlig un sin nig zu "ein scheint. Nur der Empfän ger ka nn d urch die geheime Zusat zinforma tion ("Schlü""cJ") d ie ursprün gliche Xachricht zurü ckgewinnen. • A ut he nt izitä t Ma u u nterschei det zwischen Teiinchmerasuheruizi tiü und Nachriclüenautheutizitiit. Teilneh mera ut hentizit ät ist gegeben , wenn ein Tei lnehmer "eine Ident itä t zweifelsfrei nachweisen kann. Xachricht cnaut hentbdtät lieg t VOI", wenn sieh der Empfä nger einer Xa ch richt zweifelsfrei vom Urs pru ng der Xachricht überz eugen kann . Verfah ren , die eine Authenti zität gewä hrleisten sollen. hei(:,CII A uthentifikations- OII('r auch A uthentikatio1l8uerjahren. Die let zte ren heiden Begriffe werd en im Rahmen des Buches synony m ver wendet. • In t eg r-it ät Die Integritä t von Dat en ist gewa hrt , wen n Daten nicht unbem erkt verändert werden können.
• Verbtu dl lchkei t Ein Teilnehmer A übermitt elt einem Teilnehmer B eine Xach n cht . Er tut d ies verbindlich; wenn ß an schließend Dri t ten gegenü ber nachweisen kann . da ss die Xachri cht t at sächlich von A stammt. Dies ist mehr als um die Nachn cht cna ut hc nn zit ät . Die Nachricht wäre au ch da nn a ut hentisch. wenn sich B zwar davon überzeugen kann, da ss sie VO ll A sta mmt , dies a ber nicht selbst beweisen kann . • Anonym ität In manchen Sit ua t ione n ist l OS wünschenswert , da ss nicht uur der Inhalt einer Nach richt verborgen bleib t . sonde rn a uch d ie Ide nt it ät de s Sendcrs oder des E mpfängers oder sogar die Tatsache , dass diese beiden miteinande r kon unnniaieren .
1,1 Geheimhalt ung - Vertraulichkeit - der pa ssive Angreifer Viele Autoren unterscheiden zwischen den Begriffen .K ry ptogra fic" und .K ry ptologic'': Sie bet racht en .Kry ptolog ic" a ls den O berbegr iff über zwei Tcildisziplincn: di e .Kry p tog rafi e", dem En t wurf von Verschltisscl ungsvcrfahron , und d ie "K l'YP-toe nalyse' (Kry p ta nalyse], der An a lyse von Vers chlüssel ungeverfa hren .
1.1
Gehe im ha lt ung - Ver t ra u lichkei t -- de r p assive A ng re ifer
Der ä ltes te Zweig der Kryptogra fie beschäftig t sich mit dem vert raulichen Allst ausch von Nachrichten durch Versch lüsselung. Das Ziel ist es. eine Xach richt so zu verändern , da ss nur der berecht igte Em pfän ger in der Lage ist , die Xach ncht zu verst ehe n, Dazu verwendet der berecht ig te Empf änger eine lnformat lon . d ie entweder nur er oder außer ihm nu r der Sender der Xachncht kennt. Eine solche zusä tz lich e Informa tion heißt Sch lüssel. Die u nveränderte Nac hricht nennt man de n K lar text, d ie veränderte und damit un les ba re Xe ch richt heißt G e he im- oder C h iffretext . Ei n Vcrschlüssclungsalgori tlnnus bes teht a us einer Fun kt ion f mit
A bb ild u ng 1.1 Der paxxivr- Angreifer zwei Eingabewerten . dem K lartex t Fun kt ion ist de r Geh eim text c:
In
und ei nem Schlüssel K . Die Ausga be de r
c:= f K(m ) Völlig gleichbedeuten d verwenden wir d ie Sch reibweise c:= f (K,m) . Der Schlüssel J( ist ein ge meinsa mes Oehcimuis zwischen Sender und Em pfäugor. Das Verschlüssclungsverfah rcn, das wir hier besch rieben haben. ist in d iesem Sinne symmet risc h. weil bcid c Teilnehmer über da sselbe Geheim nis vorfügen m üssen, um das Verfa hren d urchführen zu kön nen . Eine wesen t liehe Anforderu ng an d ie Verschliisscl ungsfun kt ion !J,; ist: Der Empfänger muss die Xaclu-icht eindeut ig cntschlüsselu könn en . Xlat hemu t isch ges proc he n bedeutet das, dass d ie Vers chlüsselungsfunktion hc umkehrbar sein mus s , das heißt. es gibt eine Fun ktion j : ' , die den Geheimtext wied er ent schlüssel t:
4
1 Aufgab en u nd Grundzü ge der Kr y pt ogra fie
Der Angreifer , der in diesem Model l bet racht et wird , ist ein pa s sive r Angreifer . Er belauscht nur die Kom munikat ion. greift jedoch nicht ein . Ein es der wichtigs ten G ru nd prinzip ien der K ry ptogra fie la ut et. da ss wir dem Angreifer st ets zugest e.. hen . dass er a He Informa t ionen hat bis auf d as G ehei m nis K , das Sender und Empfänger vereinbart ha ben . Dieses P rin zip ist so wichtig. d a ss es einen eigenen Xamcu hat;
D as P r in zip von K erckh offs Der Angr eifer kennt di e Ver- u nd En tschlüssclu ngsfun ktion , nur d er Schl üssel is t gehei m. Dieses P rinzip ha t seine Berecht igung . denn Algorit h men lass en sieh u ngleich schwerer ge he im ha lt en als Sch lüs sel. Kry p togra fische Schl üssel sind verhältnismüßig ku rz e Zeichenket ten . wohingegen die Besch reibung eines Algori t hmus viele Seiten in Anspruch neh men ka nn . Die P raxis zeigt, dass das Geheimhalten d es Algorithmus in letzter Konseque nz nur schwer umsetzbar ist . Zu viele P ersonen ge h ören norma lerweise zum In siderkre is. d ie Designer des Algo rit hmus, se ine Analy tiker, di e P ro gra m mierer ct c. P ro m inente Beispiele dafür, d ass Algorithmen sich schwor gehei m h alt en lassen. sind d ie Algo rithmen A5 lind Comp128 . Ers terer wird verwendet , 11m Mobilfuukgesprächo zu verschlüsseln . der zweite wird ehenfall s im Xlobllfunk zur Authentifikation der Teilnehmer eingeset zt . Durch eine n "anony men" Hinweis is t d er A5 a u d ie öffentlichkeit ge la ngt . Der COlllp J28 konnt e mittels Reueree Engineering rekonst ruiert werden. Da s bedeutet , dass es Kryptografcn ge lungen ist. einen Algorithmus zu konstrui eren . d er
5. Bezugneh mend a uf Au fgabe
a: Erhö ht es die Sicherhe it eines Kry ptosystem s,
wenn s t a tt d es lat einischen A lphabet s ein a nderes verwendet wird '!
6. Ocr K lartex t lautet .Gruss". das Schl üsselwort "Tulpe". Wie la utet die Vigenere- Verschlüsselu ng?
(a) ,.tgj ku" (h) .mopsa" (c) .x lfbw' 7. Der folgende Text ist mit dem Vigcnörc-Verfah rcn chiffriert. Bes ti mmen Sie zunä chst d ie Schl üssell änge lind rekonstruieren Sie a nsch ließend den Text ! Stt woyej lllkiscf Tfmck c fat r ck gy. Xlazeef oy dwx Yaune lsk ftwzp dsy Eod kq of jceasll, mto da k Dtasxc ss lnvkccf Kydw lcay zp nsis jwslnvkx. dwx pr fouhl clr. Xop l kvlclkc. ady pr a t ocj Rlgw clr. vgcuwhpr fgnh ra oe fqpn . ogd maz the mps unlh . ku wllk pr ra occ Ynhdad s cuxmw t . yiunes ayc wa xvlai s a mydej j pm Raqad r. L1 )\VX oa k ei l' nopl kvldkc. Ac Kyfstr wsxpn woyfsis mllx nak Kcea myik ayd kk tnw Lzlyky. (nUS P. Au ster: ,,Stad t a us Glas")
2.:J Üb un gen
21
8. Beweisen Sie folgende Aussage:
ac
min
Pi E [0,1] so L i=lPi = 1
L pi = 0,0:185. i= l
t1. Was ist eine Substit ution?
(a) Jedes Kla rtext zeichen wird stets durch da s gleiche Geheimtext zeichen ersetzt.
(h) Eine Permutation der Klart ext zeichen. (c) Eine Pcn nutatio n der Geheim text zeichen.
22
3 3. 1
Fo rmalisier u ng und Modelle D a s Mode ll
VOll
S harrnon
Zn den Aufga ben d er K ry p tografie ge hören neben der Vertraulichkeit vor a llem d ie Aut hentizi t ät und Integri t ät von Xachrichtcn. Die Vertraulichkeit ist nicht nur histori sch das beste untersuchte Slchcrhcitszk-l. sondern pt; stel lt sich auch hera us. dass ma n mit d en Methoden, d ie m a u zur Umsetzung von Vertraulichkeit konstruiert . auch andere Sicherheitsziele erreichen kann. Daher beschäftigt sich d er erst e Teil dieses Bilches m it der Vertraulichkeit . Das formale Modell zur Bes chreibung des kryptograflschcn Mech anismus der Verschlüsselung stauunt VOll Claudc She nnon aus den 40('r .Iahreu d es 20.-tl'1l Jahrhunderts. Na chdem die K ryptogra fie J a hrhunderte lang eine Geheimwissenschaft gewesen ist, war dieH ! Veröffentlichung. [Sh4!J1, eine Ini t ialz ündung für die En twickl un g hin I.U einer öffentliche n und mathem a t ischen Wis sensch a ft . Das Xlodcll geht davon aus , dass Sender und Empfänger ein gcm ciusnmcs Geheinmis. den Schlüssel , besi tzen. Ank erdem können bcklc auf einen Versch lüsse.... lungs- und einen Entschlüssclu ugsa lgorit hmus zugreifen. Der Angreifer ist pa.ssiv. das heilst , er ka nn den Kom munikat ionskana l abhören, er greift j edoch nicht in dem Sin ne in d ie Kommunikation ein . dass er Nachrichten verä ndert . löscht oder meh rfach verschickt . Der Kom munikationskana l ist uns icher in dem Sinne, dass er abgehö rt werden kann . Implizit setzt ma n dabei voraus . dass die Nachrichten fehlerfrei übert rugen werden. Da es in der Reali t ät aber keine fehk -rfreien Kanäle gibt, verwendet ma ll fehler ko r rigi erende Cod es, um d ie Fehlerrate zu senken. sie he I.tIIH Beispiel [Hi]. IHQ].
-'"
Klartext
Versohl üsseluug
c = f K(m ) Abbild u ng 3 .1
Eutschlilsseluug m = f i{I(C)
Das ),Iodell von Sha unon
2:1
:l .2 Mathematische For malisierung
3.2
Mat hemat tsehe Fo rma lisicrung
Um den Begriff der Vers ch l üss e lun g formalisieren zu können . werden folgen de Bezeichnungen eingefüh rt . Xlit 1: bezeichnen wir ein A lphabe t . dessen Elemente Zeich e n gena nnt werd en. Eine endliche Folge von Zeichen hei ßt ein W or-t . Verschl üsselu ngen operieren au f W örtern . Der einfacheren Darstellung wegen geht inan meist davon aus, dass sowohl die Klart ext e als a uch die Geheimtex te mit demselb en Alphabet gebildet werden . Beispiele fiir Alphabet e sind: E[ = {A, B ...., Z }. das Alp habet der lateinischen Buchstaben : 1:2 = {O, I} , da s binäre Alphabet der B it s : 1:.3 = {OO,Ol ,.... F F }, da s Alpha bet der B y t e s . wobei " OW für das Byte 00000000. ,,0 1" für das Byte 0000000 1 lind " F F" für das Byte 1111111 1 stehen. Oft ha t 1: eine Oruppcnst ruktur, zum Beispiel kann inan 1:1 a ls Z26 interpretiere n , E 2 a ls Z2 ( = GF (2)). E 3 als Z2" oder sogar als GF (2H) . Mit 1:* bezeichnen wir die Menge a ller endlichen Zeichenfolgen (einschließlich der leeren Folge). \ Vie ber eit s erwä hnt . operieren Vcrschlüsscluugcn a uf Wörtern. Die Xlcn gc all er Kla rtext e i\;/ und a ller Geheimtext e C sind Teilmengen VOll 1:*. Ei ne Ve r schl ü sse lu ngsfuukt.lon ist eine inje ktive Abbildung ljJ : M - C. Die zugehörige E n t sch lü ssel ung macht die Verschl üssel ung rückgä ngig. Wendet mau a lso zuerst ein e Verschl üsselu ng auf einen Tex t m a n und a nschließend d ie Entschlü sscl ung , so erhält ma n wied er den Text 11/. Ma themat isch formulier t heißt das . dass die En tschl tisselung eine Ab bildu ng 1/) : C - /vl mit ~} 0 ljJ = idL\.1 ist. \ Ven n die Verschlüsselungsfunkt ion ljJ eine bijektive Abbildung ist , so ist d ie En tschl üsselungsfunktion -tj; = fjJ-l . Mit diesen Formalisierungr-n können wir dc flnicrcn , was wir unter einem K ryptosy stem od er einein Ve r s chl ü sselun gsverfahr e n verstehen wollen: D e fin it io n 3. 1 Ein Kry p tosy stem (Ve rsch liisse lu ng sa lgo ri t h m us , C h iffre , cnyl. ciph er) ist eine Meuqe :F ~ A bl,(M . C) "Von iTlj cktiven A bbildunyen, die wir Ve r sc h liisselu llgsfu llkt io nen nennen. Sie winl parametrisicrt d1Lt'Ch eine Menye K von Sch l ü sse ln :
:F ~ {j,(
Ix
E
K}
Das bedeutet, dass iiber den Schliiseei die einzelnen Verschlüsseluug4 unktionen
adressiert u erden. Die Iujekt ivit ä t müs sen wir fordern. da mit sich die Verschlüsselung rückgä ngig ma chen läss t und j edem Gehei mtex t gen au d u Kl artext zugeo rd net wird. Bei vielen Algori thmen sind d ie Schlüssel d ie Menge von Bit folgen eine r festen Lä nge .
:J Fonll~li s i eru llp; und
24
3.3
)" Iodelle
A ngr iffsa r teu auf Versch lüsse lungen
Bisher haben wir nu r de finiert , was ein K ryptosystcm ist , wir haben jedoch noch nicht s da zu gesag t , was wir unter einei n sicheren K ryp t osyst cm verstehen WO Il('II , Ma n beachte , da ss d ie ide nt ische Abbildung nach unsere r Definit ion eine Verschlüssclungsfun k tlon ist . Aber niem and wird sie als sicher bezeichnen wollen. Als erste Annäher ung können wir vie lleicht sagen, d as s wir von einem sicheren K ry ptosystcm erwarten, dass es das Sicherheitsziel der Vert ra ulichkeit erreicht . Das heißt , d ass es einem Angreifer nicht mög lich sei n da rf , ei nen Geheimtex t zu entschlüsseln. Da zu muss ma n zunä chst klären , was der Angreifer kann. Wenn CI" boispiclsweise in der Lege ist , dem Sender unbemerk t he im Sch rei ben seiner Xachricht zuzusehen , so ist d iese Nachricht nicht vert ra ulich . Wir müssen da her als erstes beschreiben . W~:-; wir unt er einem realistischen An griff verstehen wol len . Wir müsse n aufcrdcm fo rmuli eren . wa nn gcnau wir eine Vcrs chlüssclungsfunkt io n als ,.geknackt;' ansehen wollen. Ist eine Verschlüssclun gsfunktion bereits un sicher. wenn es einem A ngreife r gelingt , einzelne Buchsta ben zu entschlüsseln? Oder erst, WCII U er ciu ganzes \Vort entschlüsselt hat? Wenn Cl' den gesa mten Tex t lesen ka nn? OdN sehen wir ein K rypt osys t em erst d enn als ge broche n an , wen n der Angreifer den geheimen Schlüssel VOll zwei Teilnehmern best immen k ann? Die Sicherheit einer Versc hlüssel ung lässt sich a lso durch zwei charakteristische Merkmale beschreiben: Zum einen . in welchem Szenario ein Angriff d urchgefü hr t wird , und zum a nde ren, wie viel In forma tion ein A ngreifer d urch d iesen Angriff gewinnen kan n, \Vir beginnen mit den verschiedenen A ngriffsart en . An griffe unterscheide n sich da nach , übe r wie viele Informa tio nen ein Ang reifer verfüg t . \Vir gehen zwar davon aus , dass de r Ang reifer stets passiv ist , das heißt , dass er nur Xaclmcht en a bhö re n kann . Aber un t er Um st änd en hat er zusätzliche Infor ma t ionen. zum Beispiel kann ihm d urch Zufa ll ein Kla rtext in d ie Hä nde geraten. zu dem er den passende n Gehe imtext a bgeh ört hat . Er verfügt damit über bedeu tend mehr In forma ti onen als ein A ngreifer , der nur einen Geheimtext kenn t . Man kann g rundsätz lich d ie folgenden A ngriffe un ters cheiden:
• Augriff mit b ekanntem Geheim text (ci p her tex t on ly a t tack] Bei diesem Angri ff verfügt der Angreifer 11tU' über einen oder mehrere Geheimt exte. • A ngr iff mit h eka nntem K lartext (know n p la intext attack ) . Der Ang reifer kenn t nicht UHr einen oder mehrere Gehei mt ex te. sondern auch Teile der dazugehörige n Kla rt exte. Ein Beispi elszen a rio für einen solchen Ang riff ist d ie folgende Situat ion: Der Ang reifer ha t einen verschl üsselten Brief abgefa ngen , F ür einen Brief ist es rela t iv leicht zu raten , wie er begi nnt und wie er endet. Briefe begi nnen no rmalerweise mit ('1I1('r An rede wie zum Beispiel ..Hallo" od er .Schr geehrter ...;; oder ..Lieber
:l.:J A ngri ffsa rten au f Verschlüsselungen
25
• Angriff mit gewä h ltem K larte xt (c ho se n p la inte xt attack) Der Augreifcr kan n den Sende r manipulieren und sich Klartexte seiner Wahl verschlüsseln lassen . Dies klingt zuniichst ein wellig paradox. Solche Angriffe sind zum Beispiel dann möglich . wenn d ie Versch lüsselunge n von eine m Versch l üssclu n gsgerät durchgeführt werde n. Wenn ein A ngreifer in den Besitz eines Vcrschlüssclungsgcrätcs kommt , kann er sich von d iesem Gerät bel iebige Xachrichtc n verschlüssel n las sen. • Angriff m it gewäh ltem G e h e imtext (ch ose n ciph e rtext attack) Auch d iese r Ang riff ist vor all em dann möglich, wen n die Ver- und Entschlüsselu ngen von einer Xlaschiue vorgenomlllPu werden. Die Angriffe unt erscheiden sich also darin , a uf welche z us ätzlk-heu Iu fonuat ionen ein Angreifer zugreifen ka nn. DN Angriff, de r dem Angreifer d ie bes te ll Informa tion en zur Verfüg ung stellt, ist der Angriff mit ge w ä hlten G eheimt e x ten . VOll einer guten Chiffre er wartet. man also, d ass sie sicher un ter einem solchen Angriff ist. W ir ha ben zu Begin n des Kapitel s festgestellt , dass sich d ie Sicherheit einet' Verschlüssel un g d ur ch zwei Dinge bes chreiben läs s t : zum einen d urch die Angri ffe, gege n d ie eine Verschlüsselung anfä llig ist , und zum ande re n durch d ie Menge an Informa t ion . d ie ei n Ang reifer d urch den Angriff gewinn t. G rob kann mau siche rlich drei verschiedene Erfol gsstufen nennen: • Der Angreife r kann das gemeinsame Geheim nis von Sender und Empfänger berechnen lind da mit deren gesa mte Komm un ikat io n mi t les en . • Der Angreifer kan n Teile von Nachrichten na ch seinem Angriff entschlüsse ln. • Der Angreifer gewinnt d urch seinen An griff überhaupt keine Informa t ion, Besond ers erst re be nswe rt sind natürlich Chiffren , die a uch unte r eitlem starken Angr iff kein erlei Infon ua tioncu preisgeben .
Fü r diese Klassifikat ionen der Angriffe und de r mög lichen Erfolge des Angreifers mus s ma ll ein forma les Modell angeben, um d ie Sicherheit von konkrete n Vorschlägen für Kry ptosystemc a nalysieren zu kön nen . Für die Angriffsarten ist dies es Modell verhält nis mäßig einfach zu beschreiben. Bei der t heoret ischen Siche rheitsanalyse ist ma n an der konkreten Sit ua t ion eines An griffs nicht interessiert. Es spielt hier keine Rolle, a uf welche Gerä te ein Ang reifer Zugriff hat , entscheidend ist nu r, üb er wie viel Infor ma t ion er verfügt . Man sim uliert d ie konkrete Situation dah er durch den Einsa tz ein es so geneunten O rake ls . Der An greifer kan n Aufragen an das O ra kel stellen und erhält von ihm gewisse Informa tio nen , wobei da s O ra kel d ie a ngegriffen e Vcrschlüsselungsfunkt ion kenn t. J e nachdem , wie viel Info rma tion das O rakel preisgi bt, simu liert mau die unterschiedlichen Angriffe. Ein Orakel ist also nur ein formales und t eclmischcs Hilfsmit tel. IIIn Angriffe unabhängig von konkreten Situat ionen beschreiben zu kön nen .
26
:J Fonnalisicrung u nd
Modelle
Kommen wir in di esem Modell noch einm al auf d ie versch ied enen Angri ffe zurück wobei wir a nnehmen . das s der Angreifer d ie Verschlüsselungefunk t ion hc a ngrei ft :
• Angriff mit beka nn tem Cchehntox t . Das Orakel wählt zu fällig Klartext nach rich ten a us u nd verschlü sselt sie mit Lx. Die d a zu ge hörigen Geh eimtext e stellt das Orak el dem Angreifer zur Verfü gu ng. • Allgriffmit bekanntem Klar text. Das O rakel wählt zufä llig Kla rtexte a us lind berechnet d ie dazu ge hörigen Geheim tex te. Der Angreifer erhäl t vom Orakel die Kla r- lind d ie Geheimtexte . • Angriff mit gewähltem Kla rt ext . Ocr Angr eift)!" wählt Klart ext nach richten a us und sendet sie an das O ra kel. Da s O rakel verschl üsselt d ie Kla rt ext nachrich ten mi t f K u nd se ndet d ie Geheim texte a n den An greifer. • Angriff mi t gewä hltem Cchehntex t . Der Angreifer wä hl t Geheimtex te a us lind sendet sie an d as Orakel. Das Orakel ent schlüsselt die Xa chrichtcn und sendet d ie Klartexte zurück an d en Angreifer . D ie möglichen E rfolge eines An grei fers si nd schwieriger formal zu bes ch reiben . Das nun folgende Ko nzept sta m mt von S . Goldwasser und :\L Micali . [G:\18.t1. Um den E rfolg eines Angreifers messen zu können, stellt d as O rakel ihm eine Au fga be. Wenn der Angreifer d iese Au fgabe lösen kann , d a nn wa r sei n Angr iff erfolgreich , a nd ornfalls ist er misslunge n. Ei ne solch" Au fgabe kan n ZUl U Beispiel d arin bestehen. d ass d er An greifer den vom Orakel benutzten ge heime n Schl üssel berec hnen so ll. Dami t kann m an di e erst e der d rei ob en genan nten Erfolgsstufen b esch reiben . Bei dieser Formalisicrung ste llt sieh als ers tes di e Fra ge , ob dem Angreifer zuerst d ie Au fgabe gestellt wird und er dann seinen Angriff durch führ t oder 1I1llgeke hrt. In d er P raxis können beide Fälle eint re ten, daher legt m an sich a uch in d er T heo rie nic ht a uf eint' der beiden Xlöglich kcit en fes t . Xla n macht statt dessen ei ne weitere Unte rscheid ung: \Venn der An greifer zuers t den An griff d urchführt u nd a nsc h ließe nd d ie Aufgabe erhält , ;':0 spricht ma n von einem direkt en A n griff. Wenn der Angreifer d ie Au fgab e kennt , bevor er sein en Angri ff durchführt u nd ihn daher scho n gez ielt a uf d ie Aufga be a bs tim men kann , so hei ßt d er Angriff a dapt iv . Für d ie zweite Erfolgsstufe stellt man dem Angr eifer folgende Aufga b e: Da s O rakel wä h lt eine u Kla rt ext nus . ve rsch lüsselt ihn m it hc und sendet den Geheimtext a n d en An greifer. Der An greifer ha t Erfolg , wenn P1" in d er Lage ist. Te ile des Kla rtextes a nz ugoben. Bei d ieser Au fgabe IH USS m a u die Angriffsmöglichkeiten d es Angreifers ein wen ig einschränken. Wenn er einen Angri ff mit gewä hlten Geheimtexten durchfü hren kann , so darf er sich den Geh eim tex t a us d er Aufgabenstell un g nic ht vom O rakel entsch lüsseln lassen . denn in d iesem Fa ll h ät te der An greifer ja nichts geleist et . Das O ra kel hat nur sein en eigenen Och eim te xt entschlüsselt .
:l.:J Angriffsarten au f Verschlüsselungen
27
Wen n mall also beweisen will. dass ein Angreifer bei einem K ryp tosystem :F nicht in der La ge ist. Kla rt exte zn be rech nen. wenn er eine n adapt iven Angriff mit gewählten Kla rt exten durchfüh rt , :;0 Ill USS mall zeigen. da ss der Angreifer folgende Aufgabe nicht lösen kann: 1. Das Orakel wä hlt zu fällig ein e Vcrschlüssclungsfunktion [tc E :F aus. 2. Das O ra kel wählt zu fällig eine Klart ext nachricht m aus, versch lüssel t sie zu c;= ff{(m ) lind sendet den C ehel mtcxt r: a n de n Angreifer.
:J. ON Angreifer
führt seinen Angriff d urch . Das heit t , er k ann selbst Klartextnac hr ichten a uswä hlen. sendet sie an das Ora kel und erh ält die dazuge hörigen Cohoi mtex te zu r ück. Man legt sich hier nicht fest , wie viele Xachrichtcn der Angreifer a n das O ra kel schicken kann. Meistens setz t ma n hier vora us , dass de r A ngriff .rcalistisch" sein soll in dem Sinne, dFtss der Angreifer noc h in der Lage sein JU IISS , die Ergehnisse zu speichern.
4. Wenn der Angreifer den Kla rtext m bcstiunnen kan n. ha t gelöst.
('1'
die Aufgabe
Implizit geht mau bei all diesen Formalisicr ungcn davon aus, dass das P rinz ip von Kcrckhoffs erfüllt ist , da... heißt , dass der Angreifer das K ryptosystem :F kennt. Zwei der d rei Erfolgsst ufen sind da mit auch fOrJ IHlI gefasst . Bes onde rs schwicrig zu besch reiben ist die d ritte Erfolgsstufe. nämlich d ie Situation , dass der Angreifer keine Informa tion aus seinem Ang riff gewinnt . \ Vir kommen dazu noch ein mal auf da s obige Beispiel zu rück. Der Angreifer erhält einen Geheimtext mit der Aufgabe, ihn zu entschlüsseln. wobei er vcrschicdcnc Anfr age n an das O ra kel stellen ka nn. Bei einem konkreten Angriff ha t der Angreifer aber unter Umständen viel mehr In for ma t ionen als in dieser formalen Beschr eibung. \\'en n er den Sender und den Empfänger kennt e so hat CI' vielleicht Venuutungeu über de n Inhalt der gese ndeten Xachricht. :\I<m muss da her immer berücksichtigen , dass ein Angreifer versuchen kann , Klartext!' zu ra ten. Eine gu te Vcrschlüsseluugsfuukt ion ka nn in eine m solchen Fa ll nu r eines leiste n : dass der Angreifer an Hand de r Geheimtexte nicht entscheide n kann, ob er richtig gerat en ha t . DeI' Angreifer kann a lso weder d ie Geheimtext e entschlüsseln noch kann er sie als Test benu tzen. ob seine Vermut ungen korrekt sind . D('I' Angriff ist also für de n Angreifer nicht von :'\utZI'IL Alle seine Vermutungen ha ben vor de m Angriff d ie gleiche Wahrscheinlichkeit . richtig zu sein. wie nach dem Angriff. Dies bedeutet aber gerade, dass der Angreife!" durch seinen Angriff keine Infon uat ion gewonnen ha t . Da die zusätzlichen Informa t ionen über Sende!' u nd Empfänger, die ein Angreifer hat , nichts mit de r ein gesetzten Vcrs chlüssolu ngsfu nk t ion zu tun hat , gellt mim bei der formalen Besch reibung so vor , dass man de m A ngreifer d iese l nformationcn vorgib t. Das O ra kel stellt dem Angreifer wie in Abbild ung :t2 d ie folgende Aufgabe, wobei d ie Schreibweise r E R X bedeutet . dass ein Element x gcmäf eine r G leichverteilung aus der Menge X gewählt wird: 01'1' Angreifer wäh lt zwei
:J Fonnalisicrung u nd
28
Modelle
K lartexte aus u nd schickt bcidc a n d as O ra kel. Das O ra kel verschlüsselt einen d er Klartexte. wobei es zufällig auswählt . welchen VO ll beide n . zum Beispiel indem es eine Xlünzc wirft , und sendet dem Angreifer den Geh eim text zurück. Dam it ist der An greifer in einer optimalen Situatio n: E r Ill USS B u r zwischen zwei Texten wähle n, die er sogar selbst bestimm t hat . \V 0 für alle !I E C. Dan" gilt.. IKI ~ ICI ~ IMI·
Beweis: Die Ungleichung ICI 2:: IJ\lf1 folgt an" der Injekt ivitä t VOll Ji., : A1 -+ C. E" bleibt also zu zeigen: IKI 2:: ICI. Dazu machen wir folgende Vorülx-rlcgungen: Wen n :F perfekt sicher ist, so gilt P (X = J'I Y = y) = P (X = a-) für alle J' E M und a lle !J E C. Aus der Baves' schcn Formel folgt da nn
P (Y =
yl X
=
x ) = P (Y = y ) > 0 für allcz E M , y E C,
Das bedeutet . dass für einen gegebenen Klart ext jeder Geheimt ext möglich ist . Also gibt es für jedes Pa ar (,T, y) m indestens ein en Schlüssel , so dass gilt :
Um d ie gewünschte Ungleichung zu zeigen, nehmen W 1I' an, es wäre: IKI < [C] und führen d ies zum W iderspruch zur E igenscha ft (*) , Man wählt ein r E .;\1 fest und lx-trachte fK (:r ) für alle K E K. Dips liefert maximal IKI verschiede ne Ch iffretexte. das heißt es gibt mindestens eine n Chiffretext y , zu de m es unter keinem Schlüssel eine n passenden Klartext gibt. Dies ist ein Wide rs pruch zu (*). Ab o gilt IKI ~ jq. 0 Der n ächs te Sa tz liefert das gewünschte notwendige und hinreichen de Kri terium um zu bcsnnuncn. ob ein Kry ptosystcm perfekt sieher ist . Sa t z 4 .3 Es sei M eine Menq c von Klart exten, C von ChijJrcfcxt en , K von Schliisseln, :F ~ A bb(}vLC). Es sei 1.A.-1 1= ICI = IKI, un d P (X = .r) > 0 [iis- alle J: E M . Dann gilt.: Das K1y plosystem :F ist qenau dann pC1jekt sicher, wen n j eder S chlüssel mit dC7' gleichen lFah" sdwinli chk eit vorkom m t und fü r alle .z E M und y E C genau ein Schlü ssel existiert mit f K (x) = !J. Beweis: ,,=>'; Es sei:F perfekt sicher. Also gi bt es zu jedem Pa a r (.T, y) mind est ens eine n Schl üssel K mit fK (:1~ ) = y. Also gilt:
Nach Voraussetzung gilt aber: ICI = IKI, a lso gi bt es für jedes Paar (:1':, y) gcuau eine n Schl üssel J{ mit !J,: (:1:) = !J. Bleibt zu zeigen , dass a lle Schlüssel gleich wahrscheinlich sind . Es sei n = IKI und J\If = { ;1:i I1 S i S n } . Es sei y E C beliebig , aber fes t gewäh lt , Xla u nummerier t die Schlüssel so durch , dass gilt : hc, (:1;) = y, 1 Si S n. Xlit der Baycs'schcn Formel folgt :
:18
4 Perfekte Sicherheit
Y I X ~ Xi) . P (X P (Y - y) P (K ~ /(i ) . P (X = Xi) P (Y - y )
P(X = Xi I Y = y) =
Da F pe rfe kt siche r ist , gilt : r (X = folgt:
P (Y
~
xii Y
=
P (X ~ xi I Y ~ y) ~ P (K =
.'1 ) = r (X =
~ Xi)
;rd. 1 :5. i :$ 11.
Da ra ns
/(i ) . P (X = Xi) ~ P (X ~ Xi ) P (Y - y)
u nd d ah er ist J;(~- ~)) = 1 bzw. P (K = /{i ) = P (Y = 11) . Also haben a lle Schlüssel d ie gleiche Wa hrscheinlichkeit P (K = J( ) = l / IJC I.
..~., Gegeben sind zwei Vora usset zungen:
(I) E, ist P(K = /( ) =
I/IKI.
(2) Für jcdos Pa ar (:r , .'1 ) exist iert genau ciu Schlüssel K m it fK (X) = y. Zu zeige n ist : r (X = Ba ycs'schcn Formel :
xl Y
P(X = x' I Y = y )
\;i
= y) = r (x = x) . W ir zeigen das wiederum m it d er P (X = x ), P (Y = y I X = x') P(Y - y) P (X = ., ) . P (K = /() P (Y - y)
Th p(X = ,)
L.E.« P (Y
- Y.X - x)
Th p( X = .r)
L.ü t P(Y
- y I X - xc )P (X - x )
Th p (X = x )
Dabei wurde verwendet . d ass LKIYEC(K ) r (X = f K1 (y )) = 1 ist. Dies lässt sic h direkt auf d ie Vora ussetzung (2) zurückführen. Denn d a es zu jodein Paar (:l'.Y) gCUi1U einen Schlüssel J( gibt , dcrr in !J überführt, ist e(K ) = C für a lle Schlüssel J( lind es folgt;
L Kl y EC(K )
P (X = f;;\Y )) =
L
P (X = f/,l (y)) =
K EK.
Insge- am t gilt also : :F ist perfek t siche r.
L
P (X = .,) = 1.
xE ..\4
o
4.1 Fonnalis ier un g der perfekten Sicherheit
:m
I nte rpret a t .i on Aus Satz 4.:i folgt , da ss es mindestens so viele Schl üssel geben muss wie Kl artext e. Insbesondere bedeutet das, da ss d ie Schlüsse l mindestens so lang sein müs sen wie d ie Kla rt ex te. Um eine n Da tensa tz der Lä nge 11 vert raulich austa uschen zu könn en , muss also zu vor ein Schlüssel von mindesten s derselben Lä nge vereinbart worden sein. Au ch mit Satz 4.:i erhalten wir sofort , da ss ein e Verschiebechiffre a uf Xa chrichten mit nur eine m Buchstaben perfek t sieher ist. Als Folgerung aus Satz 4.a er gibt sich außerdem , dass die Vigonere- Vcrschlüsselung mit eine m zufä lligen Schlüsselwort . da s ebenso lang ist wie der Klartex t , perfekt siche r ist. Xlachcn wir uns a uch a m Beispiel der V igcnöre-Chiffre noch ein mal ku rz klar, da ss ein Angreifer , una bhängig davon, welche Strategie Cl' verfolgt , um de n Klartext zu berechnen , nich t einmal merkt , da ss Cl' den korrekt en Kla rt ext ger a ten ha t : An gcuonuncn der Angreifer ha t den Geheimtext ..K;.;'T :\ID:\IHZ·' abgefa ngen. \V('nu er annimmt , da ss der Schlü ssel zwischen A und ß .h fpzlt ht'' ist , dann ent schl üsselt er das \ Vor t .Dien stag ". Xiuuut er hin gegen an, der Schlüssel war ...y futhyfs", so würde er das Wort .X llt twoch" ents chlüsseln. Egal , welches \Vort mit acht Buchsta ben er entsc hlüsseln will, er findet einen dazu passenden Schlüssel. der es in den a bgefa nge nen Geheimtext übe rfüh rt . Der Angreifer bemerkt nich t einmal . da ss er zufällig den rich tigen Kla rtext gera ten hat . Bet rachtet man das gleiche Vcrschlüssolungsvcrfahren a uf de m binären Alp halx-t, also a uf Bits. so !lPißt es Ve r uam-Ch iffre. Es wird Bit für Bit ve rschlü sselt : J eweils ein Kla rt ext bit wird mit je einem Schlüsselbit mit der XO R-Verkuüpfullg vcrschlüsscl t . Die XOR- Verknü pfung (Exclusivc O R) ents pricht der in Abbildung 4.2 d argcste llt en modulo 2 Addit ion : Satz 4 . :~ liefert , dass die Vomam-Chiffre perfekt sicher 0 1 0 0 1 1 1 0
EI)
A h h ild u ng 4 .2
XOH-\h·klliipfullg
ist . fa lls d ie Schlüsselfolge wirklich zufällig ist. Was .Zufälligkei t'' in d iesem Zusa nunenhang bedeutet , werden wir in Kapitel f gene uer a na lysieren . Am best en stellt man sich hier ein en ph ysikalischen Zufall vor wie zum Beispi el radioaktiven Zer fall oder Hin tergru nd ra uschen. Wenn der Schlüssel einer Vomam-Chiffre ein e echte Zufall sfolge ist , so hei[i,t da s Verfahren au ch One- Ttme- P a d . Das Onc- Time-rad , dass zur Verschlüssel ung 1111 1' die XO R-Verknü pfurig verwende t , zeigt , dass die G üte eines Verschlüsscluugsvcrfalncns nicht nur in der Komplexität der Vcrschlüsselungsfunktion , son dern in der Zufälligkeit des Schl üssels liegt. Weite rh in gilt Sat z 4.;3 nur, sola nge der Sender dem Em pfä nger nur eine Xaclmcht sende t . Denn an geuounucn , der Sender verschlüsselt zwei Xachrichtcu TIII und T112
4 Perfekte Sicherheit
40
Zu fallsfol Te One- T ime- P ud ] 0110 1 01000 I I 100 ... Klartext 01001 10001 11000 ...
Geheimtext 00 ]()O I 100 I 00 I00 ...
Abbildu n g 4. 3 Vernein-Chiffre
mi t d em Schlüssel K lind schick t d ie Gehei mtex te Cl und C2 an den Empfänger. Es gilt a lso: ff{ (nq ) = Ci u nd IK (11/.2 ) = C2 ' Dann hat d er Angreifer doch eine In forma t ion gewonnen. \VCIlIl nä mlich CI und (:2 verschieden sind . so weH;; er ,
dass auch ml und IH2 verschieden sein m ÜSS('Il . Gelau gt er also nacht räglich an d ie Xachricht 111 1, so ist die a postcricri Wahrschei nlichkeit VOll 1112 eine andere a ls ih re a priori Wahrscheinlichkei t . Denn d adur ch , dass '/I/.} jetzt nich t mehr als Nachricht in Fra ge kommt , ist '1T12 ein bissche u wahrscheinlicher gewo rden . An ders gesag t bed eutet d as , d ass d er Sender und d er Empfä nger für jede Heu e Nachricht eine n nc ucn Schlüss el vereinbaren müssen. Besonders deutlich wird beim 0 1w...T lme- Pa d , d ass S('II(!cr uud Empfänger tatsächlich j edes .\ 1al einen neuen Schlüssel vere in ba re n mü ssen. Xeh men wir au, sie tUII es nicht und d er Sender schic kt zwei K lartex tnachrichten '/fI } lind '/fI'2 jeweils m it d em Schl üss el J( verschlüsselt a n d en Em pfänger. Das bcdcutet , dass Cl = 111, $ !{ und (:2 = 1It2 $ J( ü berm ittelt wer den. An genomm en . d em Angreifer gelingt es, di ese beiden Geheimt exte a bzufan gen . lind er \w iß, d ass in beid en Fä llen der gleiche Schlüssel verwendet word en ist. Dann kan n er d ie Ix-iden Geheim tex te m it d er XOR -Vcrk nü pfuu g ver knüpfen und erhält da mit Cl $ C2 = 1It" $ I< EB JIl2 $ J{ = 111, EB 1It2. Als Er gebnis erhält CI' a lso. d ass de r Klartex t //1 1 m it Schlüssel 1It2 [ode-r u mgekehrt ) verschlüsselt worden ist . K lartexte haben a ber im Unterschied zu Sch l üsseln d ie Eigen schaft , dass sie a ns einer na türlic hen Sprache stam me n. Da Sprachen seh r redun d a nt sin d . weise n solche Tex te viele st atistische Bcsond crhelton a uf. lu Sa t z 4 . :~ wu rde au sdrücklich fes tgestellt , d ass ma n eine per fek te Verschlüsselung nur d ad urch erreichen kann . da ss d er Schlüssel zufä llig gew ählt wird und eben keine sta tisf isc-h bemerkba ren Eigcuhcit en aufwe ist. Die Siche rheit im vorliegenden Fall kann also nicht pe rfek t sei n , und d er Angreifer kanu möglicherweise d urch st at istische Unt ersuch ungen d ie beiden K lartext e herau sfind en . Dass bei jede r ncucn Xachricht ein neuer Schlüss el gewählt wird , hat aber Konsequen zen fü r d ie m öglichen Angri ffe d es Angreifers . Da für j ede neue Xechricht ein neuer Schlüssel verwende t wird. kann er im Prin zip keinen ande ren Angriff mehr d urchführen als eine n Angriff m it bekanntem Cohountcxt . Den n wenn er einen Angriff m it selbs t gewähl ten Klartex ten oder Geheimtexten d urc hfüh rt , ist das für ih n nicht von Xutzcn. Denn bei d er Geheimtext nachricht . d ie er cnt-
4.2 Perfekte Ununtcrschcid barkci t
41
schlüsseln will. wurde ein völlig an derer Schlüssel benut zt als bei soiucru Angriff. Xlan braucht daher bei perfekt sicheren C hiffren nur einen Angriff zu bet ra chten : den mit bekan ntem Geheimtex t .
4.2
Per fe k te U rn m terscheid b a r -ke it
Wir zeigen jet zt , da ss d er Sicher heitsbegriff der p erfekten Sicherheit zu dem der pe rfek ten Ununtcrschcidbarkci t passt. W ir werden zeigen , dass perfek t sichere C hiffren ins besondere sicher im Sinne der Unu nterscheidba rkeit sind und da mit a uch das st ä rkste Sicherhei ts krit erium a us Kapitcl S erfüllen . Dabei reicht es a us, Angriffe mit be kanntem Geheimtex t zu be t rach ten. Alle anderen Angriffe sind für den Ang reifer VOll keinem größeren Xut zcn.
Satz 4.4 lFenu ein Kryptosystem F perf ekt sicher is t, dann ist es sicher im Sinne der Unttntel'scheidbarkei t unter einem A ngri ff mit bd :anntem Getieimtcxt . ß eweisskizze: Es sei F pe rfekt sicher . Das heik t , dass d ie a prio n Wah rschei nlichkciten für a lle Kl ar texte .: r gleich ihren a posterlori Wahrschcinllchkciten sind. Zu zeigen ist , dass der Angreifer in ei nem Spiel, das d ie Unun terscheid ba rkcit modelliert . 11m mit einer Ra tewahrscheinlichkeif von 1/ 2 gewinnen kan n: 1. Der Angreifer wählt zwei verschiedene Klartex te .:r l und :r 2 aus und se ndet
sie an das Orakel. 2. Da s Orakel wähl t ;~ .
g(,lll ii l~
der Gleichvort eilung auf K einen Schlüssel
f{
E K.
Anseliliesend wählt da s Ora kel mit Wah rscheinlich keit 1/2 eine Xachricht x a us {:,q . ': /'2} aus.
4. Das Orakel berech net y ;= !J...·(:t ). G. Der Angreifer er hä lt J~l, X2 und y . DN Angreifer soll entsc heide n. welche der he hlen Kla rt ex tnachri chten verschl üsselt wurde. Er gewin nt das Spi el. wenn er d ie richt ige Na chricht a ngi bt .
W ie gro f ist d ie Gewinnwahrscheinlichkeit des An g reifers'? Da d ie Chiffre perfekt sicher ist . folgt , dass d ie a posteriori Wa hrsc heinli chkelten g leich den a priori Wa h rschcinlichkeitcu sind. A ndererseit s folgt ans der Konst ru kt ion d es O ra kels, da,>s d ie a priori Wahrschcinlic hkcit on für J~l und X2 j eweils 1/ 2 ist , also ist a uch die a pos tcrion Wa hrscheinlichkeit j eweils 1/ 2. Da mit hat der Angrei fer nur eine Gewinnwa h rscheinlichkeit von 1/2 . Da s ist aber geuau d ie Beha u pt ung. Perfekt sichere K ry pt osystcme sind a uch perfek t sicher im S inne der Ununterschcid ba r~i t . 0 \Vir wollen jetzt a uch d ie Umkehrung zeigen, nämlich dass diejenigen Kry ptosysteme , die perfekt ununtcrschcidbar sind - bei denen der Angreifer also gcnau d ie Ra t ewahr scheinlichkei t 1/ 2 hat -, auch perfekt sicher sind.
42
4 Perfekte Sicherheit
Satz 4 .5 Es seien A1 die M enge der Kl art exte, K die M enge der Sc hlüssel. C die Menge der Geheimtexte. Fiir alle Geheimtexte lJ gelte P (Y = y) > O. Wie in Sat z 4.3 nehmen WÜ' an, dass IMI = I,'C I = ICI gilt. B ehaup tu ng: Da nn ist je des pClj ek t usuoü ers che idlnre K r!Jpt osystem jln f ekt sicher.
Beweis: Es sei :F ~ Abb(M ,C) ein K ry ptosystcm , das perfekt ununterschcidbar ist . Das bedeutet , dass ein An greifer für alle "'I, TH2 E }vL c E C nu r mit d er Wah rscheinlichkeit 1/2 feststell en kann , ob 11I\ oder m2 zu t: verschlüsselt wurde. Die perfekt e Sicherh eit des K ryptosystem s beweisen wir mit Hilfe VOll Sa tz 4.:J, Das heik t , dass wir folgende zwei Bedingungen überprüfen mü ssen: Zu jedem Klartext-Geheimtextpaar (s-, y) gib t es gena lt einen Schl üssel J( m it y = f l\ (x) . u nd alle Schlüssel sind gleich wahrscheinl ich. Der An greifer unterlieg t keinen Ein schränkungen. Xach dem Prinzip von Korckhoffs kennt d er Angreifer da s Kry p tosyst em F und da mi t a lle Verschlüssclungsfunk tioncn [tc- Er kann damit fü r a lle Schlüssel List en von Klart ext1111(1 Geheimtext paaren a ufste llen. Obwoh l er also sä mt liche Bilder d er Verschlüssel ungsfunkü onen kennt , soll er nur raten kön nen , welche d er beiden Klartex tnach richten ZU Il I Geheimtext c verschlüsselt wurde . 1. Teilbehau pt un g. Zu jedem Klartext-Geheimtext paar (x, !J ) gibt es mindestens einen Schlüssel J{ mit !J = 1K [z }. An genommen zu (.T,!J) gibt es kein en passenden Schlüssel. Da P (Y = y ) > 0 ist, mu ss es ein en Klartext x' und einen Schlüssel J{ geben mit d er Eigenschaft IK (x' ) = 1/. Da s bedeut et a ber Folgendes: wenn d er Angreifer d ie Kla rt ex tnachricht en x und r' lind den Gehei mt ext !J erh ält . dann kann CI" m it Bcst innntheit sa gen , d ass nich t x , sonde rn ;c' verschlüsselt worden ist . Das bedeutet , d ass seine Erfolgswahrscheinlichkeit 1 und das K ry p tos yst em d amit nicht perfekt ununtcrscheidbar ist. Also war di e A nnahme fals ch , u nd es gibt zu jedem Klartext-Geheimtex t paa r (:r.!J ) mindes tens einen Schl üssel J( m it !I ~
f K(X).
2. Tcilbchauptung: Ebenso wie in Satz 4. ;~ gilt. d ass es für j edes Klartext-G eheimtextpaar (x, 1/) gcna u einen Schlüss el gobcn umss mit !J = fl\ (:r). Denn wenn wir ein x a us M fest wählen un d unter a llen möglich en Schlüsseln ver schlüssel n. dann erha lten wir mit der ers tell Tl-ilbch au ptung:
ICI = 1{!K(x)1K E IC} I S IKI · Die Voraussetzung ist aber ICI = IX:!, a lso gibt es für jedes Kla rt ex t-Ge hei mt extpaar nur gella u einen Schlüssel. Dam it ha ben wir di e erste Bedingu ng a us Satz 4.;3 nachgewiesen . Es bleib t noch zu zeigen . da ss alle Schlüss el gleich wahrscheinlich sind. Dies zcige ll wir wiederum d urch einen Widerspruchsbeweis. Angeno m men, es g ibt zwei Schlüssel [{I und [{2 m it P (K = [{I ) > P (K = 1\2)' Wir wählen einen Klartext Xl und bcs tinuncn e = 11\ 1 (z). Anschließend berechnen wir X2 = fK:(!J). FÜI" di e beid en Klartexte XI , :r2 und den Ocheimtcxt y ist die Wa hrscheinlichkeit , da..s
4.:J Übu ngen
der Angreifer den korrekten Kla rtex t bes t immt , nicht 1/ 2, sondern gröt cr. Denn der Schl üssel [{list mit einer grüf,erell Wa hrscheinlichkeit a usgewä hlt worden ~ und da mit ist l'S wahrschein licher, dass XI der zu y gehörige Kla rt ex t ist. Da.... Kry prosystem ist also nicht perfekt uu unterschcid bar. ein Wi dersp ruch. 0
4 .3
Ü b u ngen
1. Bei der Vorna m-C hiffre ist (He Vcrschlüsseluugsfunktion f (x . ,) {O, I }" , f (x , l{ ) ~ ,, (B I{
[ ü, l ] " _
(a) injektiv.
(h) bijektiv. (c) surj ek tiv .
2. Die folgende Nachricht ist O nc- T imc- Pad versch lüssel t; "pit tw" . Wie lau tet der Klartext ?
(a) .Druss'' (h) .,Ha llo" (e) "Tschi)"
:t Was ist perfek te Sicherheit? (a) Eine Ch iffre ist pe rfekt sicher, wen n sie keine lnfon ua tion übe r de n
Geheimtext preisgibt.
(h) Eine Chi ffre heißt perfekt sicher, wenn die a priori Wahrschei nlich keit für alle Klartexte gleich de r a postcriori Wa hrscheinlichkeit ist. (c) Eine Ch iffre heißt perfekt sicher, wenn d ie a priori Wa hrschein lichkeit für alle Schlüssel gleich de r a postori ori Wa hrschei nlichkei t ist. 4. \Vas besagt der Ha uptsa t z über perfekte Sicherheit?
(a) Eine Ch iffre ist gcnau dan n perfekt sicher, wenn ihre a priori Wa hrschcinlichkcit gleich der a postcrio ri Wahrscheinlichkeit ist , (b) Eine Chiffre ist gella u dann perfekt sicher. wenn es zu jedem Klartext / Oehchntextpa ar gcn au eine n Sch lüssel gibt und al le Schl üssel gleich wahrsc heinlich sind.
(«) Eine Chiffre ist gl'uan dann perfekt sicher, wenn alle Kla rtexte gleich wahrscheinlich sind und de r Schlüssel genauso lang ist wie die Kla rt extnaclnicht .
44
4 Perfekte Sicherheit
5. Die Vcruam- Chiffre ist {a) perfekt sicher, wen n d er Schlüssel perfekt zufällig ist.
(b) perfekt sicher, wenn der Schlüssel gemäß einer Gleichverteilung gewählt ist u nd gen a uso la ng ist wie d ie Xachricht . (c) nie perfekt sicher. 6. Dip C äsar-Chiffre ist perfekt sicher
(a) Xiemals! (b) für k urze Nachrichten . (c) für einbuch stabigc Xaclu-ichtcn. 7. Die Vigen örc-Verschlüssclu ug ist perfek t sicher. (a) wen n der Schl üssel gClIliif, einer Gleichverteil ung gewählt wurde. (h) wenn der Schlüssel ge mäß eine r Gleichverteilung gewählt ist und gen auso lang ist wie die Xachriebt. (c) Xicmals! 8 . Die Xachricht 010 101 ist O lle- T huc- Pad zu m Geheimtext 1010 10 vcrschlüsseit wor d en. Wie la ut et d er Sch l üssel?
(a) 000000 (b) 111 111
[c} 00011 1 9. Eine perfekt sichere Chiffre ist sicher gege n Angriffe m it gewähltem Gehei mt uxt .
(a)
Da~
su mmt .
(b) Xicmals! (c) Das komtut darauf an . 10. G eben Sie ein Kry ptosyste m a n mi t ist.
IJel2 ICI 21MI, da." nicht
1J . Beweis en Sie: Wonn ein Kry p tosystcm perfekt sicher ist m it de nn ist j eder Geheimtext g leich wahrscheinlich .
perfekt sicher
jJej = ICI = !.A;fl.
45
5
Effiziente Sicherhei t - C om p u tational Security
In den bisherigen Sicherhei tsbetrachtungen hat der Angreifer keinen Einschränkun gen un terlegen. Die Definit ion VOll perfekter Siche rheit hängt nicht von de n Fä higkeiten des Angreifers ab , sondern liefert Chiffren , die unter allen Umständen . da s heist bedingungslos , sicher sind. Man spricht da her auch von unbed in gt e r Sicher heit . Die Ergehn isse aus Kap itel 4 zeigen a ber , das s dieser Sichc rhcitsbcgriff fiir d ie P ra xis nicht geeigne t ist. Die Anforderungen für ein e perfekt sichere Chiffre sind sehr hoch , so hoch, da.ss eine Anwend ung für den Alltag nicht in Frage kommt. Und t atsächlich ben ötigt mau in der P raxis ja auch gar keine pcrfekt e Sicher heit , denn die rea l exis t ierenden Angrei fer ha ben weder unbeschränkte Rechen- noch Speicherkapazi t äten. 111 der Praxis ha t mau l'S mit effizienten Allgreifcr u zu tun, das heißt solchen. die nu r a uf eingeschränkte Ressourcen zur ückgreifen können. St at t einer perfekten Sicherheit reicht eine p rakt ische Sicherheit a us.
5.1
A lgorith m en
Um diese eingeschränkten Res sou rcen formalisieren zu können und dabei nicht au f den aktuellen Stand der Technik verweise n zu müssen, braucht man Berochuun gsmodellc, die etwas da rü ber aussagen , wie viel Ressourcen an Zeit und Speicherplat z die Lösun g eines (mat hcma tischen) P roblems lx-nötigt . \ Vir brauchen dazu einige Beg riffe aus der l ufon uat ik: Ein deterministischer Lös un gsvveg. der eint' variable Einga be hat und stets nach endlich er Zeit mit einer Ausgabe abbricht , hpißt ein A lgorit h m u s. Es gibt verschiedene forma le ),10delle, um diesen Begr iff zu präz isieren . wie Tur-i ng- M a sch in e n oder Boolsch e Schaltk r ei se. Am einfachsten ist es , sich unter einem Algor it hmus ein Com puterprogramm vorzustellen , das in einer bestimmten P rogra mmiers prache geschrieben ist , das eine Eingabe bearbeitet und irgendwann mit einer Ausgabe an hält. Das gä ng igste Modell , um in der Kom p le xi t ä t st h eori e Algorithmen zu hl'schrei ben . ist. das der Tu nng-Xlaschine. Xlan ste llt sich darunter einen sta rk vereinfachten Com puter vor , der eine Reihe von Speicherzellen zur Verfügung ha t lind d ie In halte dies er Speicherzellen ent weder les en kann oder einen ncuen Inhalt hineinschreibe n kann . Weiterhin hat diese Mas chine eine .Z ustandskontrollc", die ein P rogra mm fes tl egt , nach dem entweder gelesen oder geschrieben wird . Ein Algorit hmu s ist im \\'l'Sentlk hl'n nicht s anderes als eine solche Zustnudskont rolle. Der Algor it hm us gibt vor, in welcher Reihenfolge besti mm t e Inhalte gelesen
46
5 E ffiziente Sic he rhei t - Compu tatioual Scc urity
od er gesch rieben werden . Das Lesen
0 O hat qenau darm die Periode
wenn gilt:
1' ,
" + .'l 2"'v2 - +··· + .'l r_i x"r- l
S (X ) = .'lO+ SI X
1-
x:
Beweis: Gru nds ätzlich gilt:
L 00
S (X ) - X rS (X ) =
Si
x' -
i= O
L '~ i xi+r 00
i=O 00
= '~O
+
SI X
+ i;2 X2 + ... + Sr_1 X r- 1+ I ) Sr+i - sil ·X-i+ r. i= O
,,:::}" Da nach Voraussetzung die Folge die Pe riode r hat , a bo i ~ 0 gilt , ist L~O ('~ i+r - Si ) x i+r = O. Damit folgt :
S (X ) - X ' S (X ) = (1 - X ' )S (X ) = So + " IX
Si
=
Sr+ i
für alle
+ s, X ' + ... + S, _ IX , -I.
Divisio n d urch 1 - X r liefert d ie Beh aupt ung: "()
S X =
So
+ 8 iX + 82 X2 + .. . + 8 r _ 1 X 1
xr
r
-
1
00
, ", + 1. - '~l ···)X H r -_ (). L , ( '~r i=O
Xnch dem Identi t ätssa tz fü r Potenzreihen bedeut et da s:
Si = Sr + i
fiir a lle i
?: o.
58
6 Stromchiffren
Da s b edeutet. dass r ein Vielfaches d er P eri odenl änge d er Folge ist. Dass es keine Zahl '/'1 < t- g ib t, die fluch eine Period e von (8di>Oist . sieht man darau . dass alle Folgengllcdcr, d ie einen kleineren Index a b '/' haben , a uftreten. W äre 1'1 eine P eriod e, dürften kein e Fel genglieder m it I nd ex g rößer g leich 1'1 au ft re ten . 0 Lemma 6 .2 sa gt
+ x (; +
;,5
+ x 4 + x 2 + .r)
+ x 4 + ;l':~ + J.' (;r 8 + :r 6 + .r 3 + :r + 1) + 1
.r"
=
m(:r ) + 1. Das Ergebnis in GF (2il ) ist a lso: (:r + 1)(;r 7 Sprache der B ytes b edeu tet das, dass gilt :
+JJl + / ' +.7:,1 + x 2 +x) = 1. In de r
"lmOO 0011 " . ,,11 11 0 110"' = "l 1000 000 1" .
7.8
D ie Ru nde nfunktion
D ie A b b ild u ng S ubB yt.es Die Abbild ung Sub ßytes ist d ie Su bs ti t ut ionsa bbildu ng dos AES . Sie ist der einzige nichtliucare Teil. Es handelt sich 11111 eine mathematisch e Operat ion au f dem Körper G F (2"), di e man für di e Im plementierung au ch a ls Werte rnbelle angeb en kan n. Auf jedes By te Cl werden d ie beiden folgend en Op erat ionen angewandt :
1. Es wird d ie Invers e in GF(28 ) berechn et:
(l
--+ (1 -1 ,
2. Dieses neue Byte wird einer a ffinen T ra nsform ation un terzogen, d as heißt , mi t einer bin ären Ma t rix 1\1 multipliziert , und ZU lU Ergeb nis wird ein By te b add ier t : (Der AES gib t s pezielle Werte für 1\1 u nd b vor.) Die Xlat rixmult iplikat ion u nd die Addit ion eines weit eren Byt es sind lineare Abbild un gen . Der weseurliche nichtlinea re Anteil ist die erst e Operat ion, d ie Invertiorung des Bytes . Xlan \wiß VOll d er Invcrt icruug, dass sie in hohem :\Iaf-e nicht linear ist. Xla u kan n d CII Grad a n Linea rit ät einer Ab bildung dadurch messen. dass ma n fest stellt , wie gut sie sich d urch lineare Fu nktionen approxinncrcnlässt . Eine in hohem :\Iaße nichtlineare Su bs ti t ut ion ist ein Garant für di e Ko nfusionseige nschaft der C h iffre ,
IXyu:ll· 8 0.•
'
..
Ia 2.0
8 ""
I '" 8 02
a ;J
~
S·BO X
«. ~
~
I-"
al,l
b"
'" '" '" '" Abbildun g 7.21
bo ,
Ib
b"
b iJ
b,.o b",
-:
02
Ib" b"
Die Abbildung Subßytes
b",
7 Blockchiffren
86
S h iftRow Die Ab bild ung Shift Row ist eine Permuta t ion a uf de n Zeilen der Stete-Ma trix . Die Perm uta tion besteht da bei nur aus zyklischen Lin ksshifts a uf Byt e- Ebene. Um wie viele Bytes verscho ben wird , h ängt VOll der gonaucn Blocklänge ab. Die erst e Zeile wird n ie vers choben , d ie zweite Zeile u m C l Bytes , d ie
d ritte II lll C 2 Bytes und d ie vier te um C;~ Bytes. Im Fa lle einer Blocklänge VOll 128 Bit wird die zweite Zeile II Ill Cl = 1 Byte , die d rit te 11111 02 = 2 Bytes und d ie d ritte lIIU C:! = :1 Bytes verscho ben .
lao., la"" Ia.~
80~
<J
@
a,~
ja,., ja,.. I
C2
8 2J1
I
8u
B". 18...
8 ...
sl. la... la., a"", la~, la ... 18u
' l -C3
l s". I
3...
'" 18... ' B"
..
18... 1 a...
8,.. 1 8,. ~ a~l
'"
18'..,
Abh ildu n g 7 .22 Die Abbildung Sh iftHow
MbcColun m Die Abbildung )'IixCohulIll operiert a uf den Sp alten der Stare.\Iatrix. .Jed e Spalte best eht a us vier Bytes (l Oi , (L l i , (l :2i und (l;Jj , d ie als Koeffizienten eines Polynoms über GF(28 ) vom Grad klein er oder gleich :l a ufgefasst werden . Aus der ersten Spalt e ( a oo, (l 1O, (J:2Q , (L :~o ) wird also das Po ly nom (L30;r;~ + (L20;r 2 + (/ \ OX + (/ 00 ' Dies es Polynom wird mit einem festen Polyno m ("(x ) =' o:r :]; :~ +' 01':];2 +' 01':1' +' 02' modulo (x"1 + 1) multi pliziert . Die Zahlen'O:r, '01' und ' 02' sind dabei ab zwei Halbbytes zu lesen: ' O:f bedeut et a lso. da ss d ie ersten vier Bits '0000' sind lind die rest lichen B it s '0011' . Die Multi plika tion mit c(:r.) läss t sich beim Entschlüsseln wirder rückgä ngig mach en . Zwar ist d as Polynom x 4 + 1 nicht irreduzibel über G F (2!l ), da her erhält ma n hier kein en K örper. Die beiden Polynome :1:4 + I und c(:1') sind aber tei lerfremd , lind daher existiert da s inverse Po lynom zu c(x ) modulo (.r'l + 1).
• '" I-"'
.. ."
02
8u
." • ' '" I-"-
'. ."
u
HI c(x)
.
.~
'u
~ I
b
b"
r---E:L
b
b"
b"
I-"-
b"
b" b"
.2
b.
"
b"
u
b..
:f"
A bbild ung 7 ,23 Die Abbildun g ;"lixColullln
A ddRou n dKey Der Ru neleuschlüssel hat die gleiche Anzahl an Wö rtern wie d ie Stu te- Mat rix . Er wird bytewebe mitt els der XO R-VNknüpfu ng mit der Matrix ad diert .
7.8 Die Rundonfunkt ion
7.8 .1
87
Schl ü sselauswahl
Da der Rundenschlüssel eb enso lang sein mu ss wie di e Statc-Xlat rix. braucht ma n insgesamt (Run dcnanzahl + 1)· (Anzahl d er Wörter p ro Mat rix} viele Schlüss elwörter. Sind di e Blocklä ng e und d ie Schlüssellä nge jeweils 128 Bit , so b ra uch t IIHln insgesamt (10 + 1) . 1G = 17G Wört er. d as hei ßt 1408 Bits. Es stehen abe r nur 128 bzw. 192 ode r 256 externe Schlü sselbits zur Verfügu ng. Daher mu ss zunächst ein e Ex pansion d urchgeführt werden . Anschließend werde n die Rundenschlüssel aus dem ex pa nd ierten Schlüssel a usgew ählt . externer Schlüssel
I Schlüsse lex pam;ion
I
- f
R Ulldellsclllüssela llswa lll
Abbildung 7.24 Schlüssela uswa hl des AES Die Expansion geschie h t sukzess ive , inde m ma n a us d en schon bekan nten Schlüssolteilen neue Schlüsselbits zusa m me nsetzt. Wie geua u da s geschieht , hän gt von d er Lä nge des ex ternen Schlüssels ab. Betra chtet inan beispielsweise eine n 128 Bit laugen externen Schlüsse l, d er a u« vier W örtern bes teht . so wird da s fünft e \Vor t berechnet , indem d as erste und da s vierte \ Vor t mit t els d er XO R- Vcrknüpfun g verknü pft werde n. Das sechste \Vort entsteht a us d er XOR-Verknüpfuu g d es zweiten mit d em fü nften Wort . F ür di e W ört er i = 4,8, 12. W , ... geht mau so vor: Das
externer Schlüssel
,
A
,
I IVo I IV} I IV, I IV, I I
l
I
I
I
I
I
I
~Abbildung 7.25 Sc'hliissclcxpans ion des AES \Vort i - I wird zunächst 1Il1l 4 Stellen rotiert , anschließend wird d ie nichtlineare Ab bildung S u h llytes angewendet u nd eine R undenkonsta nte ad d iert.
88
7 Blockchiffren
Da nn wird für die n ächsten W ört er wieder d as Verfah ren des s uk zessiven XO R~ Verknüpfcns ange wendet . Die Wörter werden nacheinander als Rundcnschliisscl verwendet. In der nu llten Rund e verwendet man a lso d ie ersten vier, fünf od er sec hs Wö rter, j e nachdem. wie gl'O[~ die Blockl änge ist. In der ers te n Runde kommen dann d ie n ächsten vier, fünf oder sec hs W örter (n) an und bcsthnmt mit der Vi e lfa chsumme nda rs t e llung die Zahl d. D efi n it io n 10 . 1 Es seien n und b zwei qanz e Zahl en. Die ,größte natürliche Zahl. di e souiohl (1 als auch /, teilt , heißt da g rößte gemeinsame Teiler von (/ und b und wird mit !J!JT(a, b) ba eichnd. Der Euklid ische Algorithmus berechnet d en größten gemeinsamen Teiler zwcicr na t ürlicher Zahlen. Es seien o(). (L I E N, oß dA sei ao 2. (LI. Dann existieren eindent.ig bestimmte Zehleu U2 > U3 > (14 > ... > Um > Um + l = () und ql ' q2' ..., 11m E N mit llO II I
= qj(11 + ll2
= (12(12 + (13
0 < 112
< UI
O < 1l:~ < U 2
Om_ 2 = qm _ IOm _ 1 + Om
o
(n )+ 1 == 0 == u (mod
n)
ss {) [mod [1) und d a m it
a k q..{ ll )+ l
== Ok,p(n )+ 1 == () == n. (mod p)
und mit Korolla r 10.1 (/,p(II)+ 1
es a k {q-
l )(p - l )+ 1
es
( a (q-l ) )k{p-l ) . a
==
l k(p - I) . u
==
(I
(mod q).
10 Der IlSA-A lgorit hllllls
1 2~
o
Insges am t gilt also : uk .p( n)+ ] es a ( mod n).
Mit d iese n ma t hem a tischen Gruudlageu ka nn mau nun leicht d ie ei ndeut ige E ntschlüsscluug des RSA-Algo rithmus verifizieren: Ocr Algorithmus op erier t g rundsä te lieh nu r auf Zr,. Es können also nur Na ch richten vers chlüsselt werden. die Za hlen zwis chen 0 lind n - 1 sind . Wenn n eine Lä nge von 204,s Bit h at , so si nd dies ru nd 25G Byte (also etwa e!WIJSO viele Buchstaben ). Wenn eine Nach richt zu lang ist , so IllU SS man sie in Blöcke ent sprechender GriiF.e zerlegen und block weise verschlüsseln.
Ve r sch lüsse ln . E::; sei (11, c) der öffentliche Schlüss el des Empfängers. Der Smd er berec hnet c = m ,e mod 1/. c ist der Geheimtext . Ent sch l üsse ln . De r E mp fänger berechnet : (f! es m f'd = " l ,p(II)+ l , für ein geeignet es k E Z. Die 2. Folgeru ng aus dem Satz von Eulcr liefert:
für alle Xach nchtcn m . Da de r Empfänger die P rimfaktoren IJ lind lJ von 11 keunt , kann ur zur Entschlüssclung folgendennaßen vorgehen: Er berechnet (~ mo d IJ und cd mod IJ und bestimmt aus diesen Zwischenergebnissen d f mod n, Er verwendet da zu den ch in e si sch e n Restsat z (Chinese reinaiuder thcorcm - CRT); Sa tz 10 .2 E!'J seien 111 und 1/.2 teilesfremd e lIntiidiche Zahlen un d liebige ganze Zahlen. Dann ist die Menge aller r E Z mi t :1:
==
UI
un d
(l 2
be-
(l, {mod 11, )
x es (12 ( mod 112)'
qcuo u eine Restkiasee modulo 11, '11 2. AlU anderen. lt'01t cn yilt: Zn l1l 2 ::::::: Z I/ l x Z1l2' ll'c1/n 1 = ll' 11., + v · 112 die Viclfachs um m en dars tellullY von 11, und " 2 ist, dann ist ein RernYi.wmtant dieser Restklasee gegeben durch I O = 1l'1I, . ([ 2 + u - 112' (1,. B eweis: siehe Übu ngsaufgabe 9 .
o
Da d ie P rimza hlen de utlich kleiner als der Xlodul sind , ist d iese Vergehensweise signifika nt effiziente r als die direkt e Berechnung von cd mod n .
S ig natu r . ZI1I' Gencricrung einer RSA-Siglla tUl" geht man ana log zum Ve1'schl üsselungsverfa hrcn vor: Das Sign ieren ents pricht (n ),
a lso
~(p) - ~(q) ~ J (n
1>(n)
1)'
4~(n) .
( 10.2)
Add iert man d ie Gleichungen 10.1 lind 10.2, so erhä lt ma n:
2 · 1>(1') =
n - ~( n) -1 + J(n
1>(n)
I )'
41>(n).
Da der Angreifer 11 und (jJ(n) kennt , kan n Cl' mitt els d ieser Gleichu ng also 1>(p) best immen. Wegen q;(p) = p - 1 hat er dam it auc h P. und wegen 11 = Wl kann er a uch q berochnon . 0
Satz 10.4 Gcgeben se i ei ne Z ahl n , die das Produkt zwe icr Pri m zahlen ist. Fiir ) c(len effizienten A ngreif er A sirul äquivalent:
(i) A kann bei Eingabe von n die Pri m f akto ren p und q t'on 11 bestimmen. (i i) A knn 1l bei. Eingabc non. 11 und eine r zu q,(1I) teil erjrenulcn. Z ahl e eine Z ahl d berechnen m it cd es 1 (mod q,( n )).
10.5 Die Siche rheit d es RSA-Algorithillus
127
Beweis:,,(i) ::::}(ii)":Dies folgt m ittels des erweit erten Euklidischen Al gorithmus gena uso wie be i d er Schlüs sele rzeug ung de s RSA-Verfahrens. ,,(ii)::::}(i)": Angono nuncn , d er Algo rit hmus kann bei Eingab e VOll n und c d ie Zahl d bestimmen . für d ie gilt: ed es 1 (mod 4J(n)) . Au s ed es 1 (mod 4J(n)) folgt ed - 1 = h jJ(n ) für ein k E Z . Angenommen, de r Angreifer ka n n ein e Za hl n E Z ~ und eine na t ürli che Zahl s find en m it d en Eigens cha ft en: (12.,
== 1 (mod n)
((~ :t
± 1 (mo d n ).
(10.;1) (10.4 )
Da n n kan n man a us J O . :~ Folgendes schli cken:
I (u 2 ,' S 11 I ( U -
11
1), also
1)(aS + 1).
Ans 10.4 folgt alx-r. d ass n wede r (a S - 1) noch (a S + 1) t eilt. Da n a be r d as P rod u kt teilt, ist in jed em der Faktoren jeweils genalt einer d er P rimfaktoren von n ent ha lten. Berechnet mall also d en größ ten gcun -iusamcn Teiler von n u nd (US _ 1), so find et Ulan einen Pri mfa ktor VOll n. Xla n kann zeigen , da ss sich t'i und u effizien t fiudou lasscn. wobei der Algorithmu s p roba bilis t isch ist , man ha t also unter Um st änden einige Fehlv ers uche. \Vir wollen d ies hier a ber nich t explizit a usfü hren. Deta ils finden sich ZUlU Beispiel in I~ ~ 0 Mit de n let zten Iw idPII S ätzen ist gezeigt , das s kein Angreifer au s einem öffcntlichen Schlüssel d CII zugehörigen privaten Schlüssel berechnen k ann , es sei d enn , er kan n faktorisicrc n. Eine Konsequenz a ns den beiden vorangegangenen Sätzell ist , dass jeder Teilnehmer nicht nu r seinen eigenen öffent liche n Exponenten wählen IllU SS , sonde rn auch einen eigenen Mod ul. Die Sätze JO. :~ und JO.4 beweisen , dass das RSA-Verfa hrell die P ublic-KeyEigenschaft besitzt . Das ist abe r nicht äquival ent zu m Brechen des RSA-Verfa hrcns . Denn ein Angreifer int eressie rt sich m öglicherweise nicht für d en privaten Schlüssel . sonde rn nur für den Inha lt der Cehci mtcxt e. Um d ie Gehe im te xte zu entsch lüsseln gibt es a ber vielleich t ei nen Algori thmus, de r oh ne d ie Kenntnis des privat en Schlüss els auskommt. Xla n konnte hisher nicht zeigen, d as s Ulan nur d an n ents chlüsseln k an n. wen n mau d en pri vat en Schlüssel kennt . D ie Vermu tung. d ass es keine n effizient en Algorit h nms g ibt , de r a us einem Geheimt ext den passenden Kla rt ext best im men kann. ist in d er Kry p togra fie so wich ti g. d ass sie ei nen eige nen Xa mcn ha t: di e
R SA- AllIlahlue . Annahme 10 .1 (RS A-A n nah me) Es sei n eine aus zwei ve rschiedene n Prim zahlen]l und (j zusumm cnccsctete Zahl, wobei die beiden Primzahlen jeweils eine Länge von k B it haben. Weiter'hin sei ei ne zu ,p( n) teilerfremde Zahl e gegeben. Dan n gilt: Für jed en prclnbilistischen polynomiellen A lgo1'i.t.lw l1tS A i8l. di e Wahrsch einlichkeit, dass er bei Einyabe von k, n , e uud y mit ;ce mod n die Zahl r
10 Der IlSA-A lgorit hllllls
128
bn 'Cchn cn kan n. vemachlässigbar. Das heißt, fü r jedes A gibt es eine vernachlässigbare Fllnl:tion 1/ /lnd eine natürliche Zah ll'o , so dass für' alle k 2: ko gilt:
P [A(k. TI, e, z " mod n) =:t
I:t Eil Z;'J < v(I.: ).
Xlit a ndere n Wort en ve r m utet man , dass es s ich bei d e r a SA-Funkt ion um ei-
ne Tra pdoor-Einwcgfunktion handelt. Ein Angn-ifer, der nur den Schlüssel (n, e) und oiucn Geheim text y = J: e mod n ken nt , hat pra ktisch keine Cha nce , den Urbildpunkt J' zu lx-st immen . Es gi ht aber eine Zusetzinformation. d ie die Invcrti erung der Funkt ion mög lich macht , nä mlich die Primfaktorzcrlc gung VOll n bea ichuugswcisc der priva te Schlüssel d. Für d ie Sicherheit einige!' P rotokolle braucht man manch ma l nicht nur d ie R SA-AllI laIUllC, sondern ein e stä rkere Vermu t un g: E in Angreifer kann nicht einmal da n n einen Urbil dpun kt bestimmen , wenn er selbst den öffentlichen Ex ponenten wählen kann.
A n na h m e 10.2 (Star ke R S A- Aunahme ) Es sei n eine aus zwei Pri m zahlen p und 'l zusom mc noesetete Zahl, wO/lei die beiden Primzahlen j eweils eine Liinge 'V on k Bit haben. Dan n gilt: Fiir jed en pmbabilistischclI polyuomiellen Algorithmus A ist die Wahrscheinlichkeit, (lass er bei Einyabe von k, 11 und einer Znjalls zchl y E Z;, zwei Zahlen :r und C mit y = ;ce mod n berechnen kann , 'Ve1i wchliissig/mr. Das heißt , für je des A gibt es eine vem achliissigbm"€ Funktion /1 und eine natürliche Zahl ko, so (lass für alle k 2: ko gilt:
P [A(k, n, y ) = (:1', e) m it x'" mod n = y I Y EH Z;J < v(k). Wi r werden im Kap itel 1:-1 den Sicherheitsbeg riff bei Public-Key- Vcrschltissoluugsverfahren forma l definieren und in diesem Zusammenhang di e Sicherheit des RSAVcrschl üssc lungsvcrfahrens genaller analysicrcn.
10.6
Homomot-phie d er R SA-Fllnktioll
Die RSA-Ven whlüsslllllg ha t eine besondere Eigenschaft , de nn ma them a tis ch gesehen ist die n SA- Verschl üssel ung ein Homomorph ismus. Anders au sged rückt he~ d eutet d as , dass das P ro d u kt zwcier Geheimtex te gerade der Geheim text d es P rodukt es ist . Gen euer gesagt gilt , dass d as Prod ukt zweier Ge heimt ex te d er Verschl üsselung d es P rod uktes zwcier Klartext e entspricht.
Sa tz 10.5 Es sei ein öJJcntlichf;7" RSA -Schliissd (11, c} yeyf,bm . Dann ist die A bbildung R S A : Z:l - Z~, ./: -> r", ein bij ektillc1' Gruppenhomomorptusmus, also ins besondere eine Permutation auf Z~ . Beweis:
10.7 Konkret e Juiplcment ierungcn
129
1. Bijektivität . Es genügt , die Iujoküvit ät zu zeigen , da Z;, ein e endliche Xlongc ist. Es sei d der zu (11, e ] gehörige priva te Schlü ssel. Gegeb en sei ein y E Z ~ . Angcnonunon. es gibt .r t :1:z E Z;, mit
R S A(x d = .rl = y, RS A(x z) = x; = y Dann folgt aus dem Satz
Eulcr (10. 1):
VO ll
2. Homomorphic. Gegeben seien
.T1 ,
RSA(:q )· RSA(:rz) =
x, = :rj'd =
yd
=
x'i/ =
za ,
.ca E Z;,. Es ist :
xI ' :c2 =
(X I '
:cz)e = RSA(x l . xz ).
o Die Homo morphic- Eigen sch aft der RSA -Fu nktion ist ambivalent: Ein erseit s ist sie in vielen Anwend ungen nüt zlich , denn d urch sie lassen sich viele erw ünschte Eigens chaften von P rotokollenleicht umset zen . Anderers eit s ist sie oft die Ursache fiir Angriffe a uf Prot okolle.
10 .7
Konkre t e Im ple m entie run ge n
Obwohl die Sicherheit des RSA -Algorit hmus g ut unt ers ucht ist und er a llgemein a b sicher gilt , ist eiuc konk ret e Implement ier ung st ets sorgfältig zu überprüfen. Dass ein sicherer Algorit hmus in bcsti unut eu Situationen elennoch unsicher verwendet werden kann , lässt sich a n folgendem Beispiel verdeut lichen: Aus Effizienzgründen wurde vorgeschlagen, fiir a lle Teilnehmer den öffentlichen Schlüssel e = :3 zu wählen . Angcnonuucn. es gibt d rei Teilnehmer A , B, C mit den öffentlichen Schlüsseln (n A, :3), (nu , :3), (ne, S}. ~ Ia n kann davon ausgehen . da,>s die drei Moduln nA, 1I/J. lIe paarweise tei lerfremd sind. (Andern fa lls wären bereits zwei davon fak torisiert .] An gonounucn, alle dr ei Teilnclunor erhalten d ie gleiche Nachricht m , die jeweils unter dem öffentlichen Schlüssel e = a chiffriert worden ist : CA
= m.3 (mod
HA )
eH
= m:l(lllod
l1U )
3
Ce = m (mod »c ) .
Ein Angreifer fängt diese drei Chiffrate ab. EI" ken nt die Xachricht ru nicht , weiß a ber, dass alle d rei Geh eimtext e den gleichen Inha lt haben . Er k ann sich mit dem chinesischen Restsa tz ein m' be rech ne n mit. 0 < m ' < llA . nLJ . »c und m' == cx (lllod llx ) für X E { A, ß , Cl.
ian
10 Der IlSA-A lgorit hllllls
Fa lls {) :s: 111 < min{n". 1l/J, He } ist. so ist 111 3 < H A ' lllJ ' nc u nd d am it m ' = m:l (in Z). In Z ist es j edoch einfach. d ritt e Wurzeln zu berechnen. Heute wä hlt man oft e = 2 16 + 1 als öffentlichen Exponenten . Dieser Augriff funktioniert offens icht lich nur in einer sehr s pez iellen Sit uat ion . Sie ist a be r nicht unrealistisch. G erade in elekt ronisc hen Kon unuuikationssystcm en werden Xac hri chtc n häufig automa t isch an mehrere Teiln ehmer versch ickt lind bieten dem An greifer gc na u die von ihm gewünschte Sit ua t ion . Allerdings ist der Angr iff vcrhält nis mälsig schwach , denn der Angreifer kann da nn nur eine Xach rlcht ents chlüsseln. D ie Sch lüssel der Teilnehmer werden nicht a ngegriffen . Dei diesem An griff wurde nicht d irekt ( \('1' RSA-AJgor ith llllls a ngegriffen. sondem nur ein konkret es Anwenduugsszeuario. \ Vir werden auf Angriffe dieses Ty ps noch einma l a usfüh rlich in Kapitel 10 zurü ckkom men .
10 .8
Ü b u n gen
J . 111 der P raxis ist es heute üblich . d en RSA-),Iod ul 11 in der Gröf,e VOll 20.,\ 8 Bit Zll wählen . Wi e viele Bits hzw. Dezimalstellen müssen de mz ufolge die P rimzah len l' und (} haben'?
"b {mod n ) => f ra) "f( b) [mod n). (b) c E Z\ {O} und nc es bc ( mod 1Ic) => ([ es b (mo d 11) . (a) f E ;'(ll ·b) = 4J(a)·q.,(b). 0. Beweisen Sie den chinesischen Restsat z }O.2. '/11. E Z~ und e E Z ,p(n ) , 11 habe }02.,\ Bits. Berechnen und ver gleichen Sie die Laufzeiten für die Berech nun g VOll 'I1l f ' mod 11 m it de m Chinesischen Res tsa tz und ohne ihn.
10 . Es sei
10.8 Übungen 11. Nach d er ersten Folgerung aus d em Sa tz von Euler gilt für jede P ri m zah l p und jede zu p teilerfremd e Zahl n: fl P- 1 == 1 (mod p ). Die Umkehrung des Satzes gilt nic ht : • E ine ungerade zusa mmengesetzte Za hl 11 mit a 1l - 1 ss 1 {mod n ) hei ßt Feemat sch e P seudopr imzahl zur Basi s a, Zeigen Sie: :l·H, 56 1 u nd 645 sind Fernratsche Pseudoprhn za hlen zur Basis 2. • E ine ungerade zusam mengesetz te Zahl 11 mit (/ 11 - 1 es 1 ( mod 11) für al le a E N m it qyT(a. ll ) = 1 hei M Carm ichael-Za h l. Zeigen Sie: 561 ist eine Cermichael-Zahl.
12. Gibt es heim RSA-Verfahren .schweche Schlüssel", das heißt Exponenten e mi t m " == 111 ( mud n )?
1:12
11
Der diskrete Logari thmus, Diffie- H ellman-S chlüssel vereinbarung, E IGamal-Systeme
Wir hab en im letzten Abschnit t ein P ublic- Kcy-Systcm . nämlich de n RSA-Algontlnuus kennen gelernt; dessen Sicherhei t beruht a uf dem Fa ktoris lcrungsp roblem. Diffic lind Helluran . di e Erfi nd er d er P u blic-Key-Kry pt ogra fie, hab en in ihrer Veröffentlichu ng von 1976 ein a nderes ma thema tis ches P ro blem benutzt , IIlIl ein Public-Key-S ystem . die Diffit'- Helhnall-SchliissP!vef eillharung, ZII entworfen: d en di s kreten Logarithmus. Dabei handel t es sich um das folgende Prob lem: Gegeben seien eine Primzah l p und zwei ga nze Zahlen .'1 , lt- Gesu cht ist eine ga nze Zahl :r mit de r Eigenschaft y X mod P = y . Gesucht ist also der Logarithmus VO ll !J zu r Bas is y , allerdings nich t über den reellen Zahlen . so ndern ruodulo einer Prim zahl, d aher au ch d er Xe mc diskreter Logarit hmus. Bis heu te kennt man keinen effi ziente n Algorithmus , der d ieses P roblei n lÖSCH k ann. W ie di e Faktortsierung gilt auch (las P ro blein des diskret en Logarit hmus heute als .schwierigcs" Problein. 1!:JS4 hat da nn Tehcr ElCamal ein Verschlüsselungs- und ein Signaturverfa hren veröffent licht. deren Sicherheit auf dem P rob lein des d iskreten Loga rithm us heruht.
11 .1
Überb lick ü be r d ie Diffie-Hellman- Schlüsselve re inba rung
Mit der Diffie- Ilcllman-S chliisscl verc inb a r ullg lässt sich ein ty pisches P roblcm d er sy unnet rischcn Kry pt ografie sehr elegant lösen . Um eine sy m metrisc he Verschlüsselung d urchführe n zu können . m üssen Sende r und Empfä nge r zunächst ei nen Schlüss el vereinba ren . was d ie Möglichkeiten einer spontanen Kommunikat ion zwischen Sende r u nd Empfänger st ark einschränkt. Bei d er Diffie- Helhna n-Sehl ib sel verei nh arung können zwei Teilnehmer A u nd B öffentlic h ein gemeinsames Geheimnis erze uge n . Das P rotokoll funk tioni ert wie folgt: Die beiden Teilneh mer einigen sich zunächst a uf eine P rim zahl J! uud eine ga nze Za hl g . Diese Za hlen kö nnen öffentlich vereinbart werden . An schlickcnd wählt jed er d er lx-idon Teiln ehmer geheim eine Zufa llszah l a hzw. bund poten ziert y mit seiner Zufall szahl: "A := s" mod p und !l ß := gb mo d 1J.
11.2 Xlat hcm a tischc Details
(J
Eu {I , . . . , p- l }
berechn et :
"A
:= 9" mod p
b En
~
hn
{l " " ,p -l }
be rechnet : h. n := rl m od
]J
lx-rechnet :
berechnet : h'}3 mo d p (= 5/'" mod 1')
h~l mod p (= g"b mod p ) hg mod p = J( = h~ mod p
gemeinsamer Schl üssel
Abbildung 11 .1 Diffi('-HeUlllllu-Schliisse!w!"einhanmg
Diese Werte schicken sich d ie Teilnehmer geg enseitig zu. Auch d ies kan n wieder öffen tlich geschehe n. Im letzten Sch ritt p otenzieren bcide d ie ges endeten Zwischencrgobnisse m it ihren jeweiligen Zufallszahlen. Das heifi,t , A berechnet h R tnod p, und ß b erech net h~l mod p. Wie man leich t sieht , erhalten boldo d as gleiche E rgebnis Je den n es ist;
l/h mod l' =
d'"
mod
]J
= gilb mod l' = h~l mod p.
A und ß kön nen damit in a ller öffcn t lichkcit ein ge meinsa mes Gehei m nis erzeuge n.
Denn ein An greifer müsst e , u m a n das Ceheinmis zu gelangen, ans s" mod p u nd das Geheimnis g"h mod p ben-chucn können. Man vermutet , d ass es hierfür keinen effizienten Algorit hmus gib t .
rl mod p
11. 2
Mat.hemat.ische Details
Es sei im folgen d en p stets eine P rim zahl. Dann ist Zp ein Kö rp er lind Z; = Zl'\ {ü] zusam men m it der Mul t iplikation eine G ru p pe. Diese Grupp e h at IZ;I = q;(p) = p - 1 Element e, da mi t ist di e O rdnung d ieser Gruppe ]J - 1. Xa ch d em Satz VO ll Eu lcr gilt dann für a lle Eleme nte (I aus Z; :
a P- 1 =: 1 ( m od 1').
11 Der diskrete Logar ithmus Es han delt sich hier soga r uni eine zyk lische Gruppe, das bedeu tet , dass es tni ndcstcns ein erze ugen d e s Element in dieser G ruppe gibt. Es gibt a lso mindestens du Element q in Z;, mit der Eigenschaft , dass sich j edes an dere Element. aus Z;, als eine Potenz von g schreiben lä sst . Ein erzeugendes E lement heißt oft au ch eine Primi ti v wurzel (cngl. gen erator ). Erzeugende Element e in Z;, sind gcna ll d ie E lement e der Ord nung l' - 1. Der nä chst e Satz mac ht eine Au ssa ge über die Anz a hl der erzeuge nde n Elemente. Satz 11.1 mente in
E,~
Z;.
sei p eine Prim zahl. Dann gibt es genau 1>(p - 1) erzcuqaule Ele-
B eweis: Da Z;, zyklis ch ist , gibt es mindestens ein erzeugen des Element g E Z;,. q P- I } . Das hei ßt , dass gilt : Z;' =< .'J >= {I . !J. Behaupt ung: Die erzengenden Element e von Z; sind g('ua u die z-ten Potenzen vou !J mit .'JgT(i ,p -1 ) = 1. Dips ist offensichtlich äq uivalent zur Au ssage des Sa tzes , denn die Anz ahl der v- te n Pot enzen von 9 , für die 99T(i ,1' -1 ) = 1 gilt. ist ge rade 9(1' - 1). \ Vir zei gen als erstes, dass gi für gqT(i ,1' - 1) = d > 1 kein erzeugendes Element ist . Wir setz en i = d · ;t und P - 1 = d · 1/' . Da nn ist:
tP, ... ,
Das heißt , da s Element .r/ ha t max imal d ie Ord nung 1/' < P - 1 und kann damit kein erzeugendes Element sein. Betrachten wir andererseits ein Element g i mit qqT(i ,p - 1) = 1. Mit dem erweit erten Eu klidi schen Algorit hmus findet man ga nze Zahlen n, v mit IL ·i+v· (]I - I) = 1. An genommen . !/ hätte ein e O rdnung n' < p - 1. Dann ist : (!l1l' )i." (g/l') (p-I )." = 1 und damit auch (gll't" · (g/l') {P-I j.l' = 1. Da mit folgt :
1 und
1 = (g"' )i'u . (g"' )(P - I).V = (grt') i.U+(p- l ).t' = g "'. Diese Gleichung sa gt a us, da ss 9 nur die Ordnung n' < p - 1 hät te und damit kein erzeugendes Elem ent wäre. Das ist aber ein Widerspruch Z IIf Vorausset zu ng. Also ha t .r/ die Ordnung p - 1 und d ie Behau ptung ist gezeigt. 0 Satt: 11.1 besagt. dass es in ein er zyklischen Gruppe nicht nur ein erz eugendes Element giht , sonde rn verhä ltnismä ßig viele . Xla n kennt allerdings keinen Algorithnm«. der orzcugcude Elemente konstruieren k.,·UUI. Zur Bestimmung von erzeuge nde n Elem ent en geht man daher äh nlich wie bei den P rh uzahlcu vor : Xlan wä hlt ein Elemen t zufällig a us lind tes tet , ob es sich um ein erze ugendes Ele ment ha ndelt . Es gibt effi ziente Tests . mit denen mall [entst ellen kann . ob ein Element d ie pa ssende Ordnung ha t , wobei man d azu d ie P rimfaktorzcrlegung von p - 1 braucht , vgl. Übungsaufgabe ;~, und der Sa tz l1. J sagt aus . das s ma n im Mittel nicht la uge nach e-inem erzeugend en Element suchen IIII1SS .
l lS Da s P roblem des d iskret en Logarithmus
11. 3
Da s Prob lem d es diskr e t en Logarit hmus
'1.;
Es sei P eine Primza hl, 9 ein erzeu gendes Element von und x ein e ga nze Zahl. Die Funkt ion cxp : Z _ Z;,:/, I--'> gX mo d p ht'i!i,t d isk r ete E xponentia lfunk t ion . Die Umkehrfunkt ion der diskreten Exponentialfunktion hei ßt diskre t e Logar-ith m usfu n kt .ion . \ Vl'IUI !J d u er zeugendes Element VOll Z; ist , da n n gibt es zu jedem Element aus Z; den dis kret en Logarit hmus. de nn jede Zahl aus Z; lässt sich als POtCllZ von 9 da rs tellen. Die kleinste nat ürliche Zah l :/: mit y = gX mod p heißt der diskret e Lo garit hmu s von y z u r B a si s q. Wenn 9 kein erzeugendes Element ist , d an n gibt es nicht unb edingt zu jedem y E Z; einen dls kn-tcn Logari thmus. Im folgenden setzen wir vora us , dass d u erze ugen des E lement !I VOll Z; gegeben ist. Xla n kennt bis heute keinen effizienten Algori thmus ZIlI" Best immung von diskret en Logarithmen. Die Abbildung 11.2 zeigt , da ss d ie diskret e Ex poncut ialfunkn on sich chaotis cher verh ält als ihr stetiges Pendant.
• •
• • •
•
•
-,
•
•
•
••
•
•
• •
• • •
• •
• •
•
••
•
• •
•
• •
•
•
A b b ild u ng 11. 2 Der diskrete Charme der Expo nent talfunktion
Ein naiver An sa tz zur Besti mm ung VOll d iskreten Logarit hmen ist das Ausprobioreu aHN in Frage kon n ueudcn Zahlen. Da !J ein er zeu gendes Element ist. ist d ie Ordnung von !J d ie Za hl p - 1, das bedeutet insbe sondere, da ss gP- l mo d p = rl = 1 ist , und man den dis kreten Loga rithmus einer beliebigen Za hl !J E Z; uur in der Men ge {O, . . . , P - 2} suchen IUlISS . Wen n P ein e sehr große P rimza hl ist , so ist eine solche vollständ ige Suche prakt isch undurchführba r . Ein weniger naiver Ausatz zur Berechnung VOll diskret en Log arit hmen , der deu tlich effiz ien te r als die vollständige Suche ist , ist der B aby- S t e p- G ia n t - S t epA lgor ith m us . Allerdings ist au ch dieser Algorithmus nicht effizient . Er ha t also keine polynomiclle Lau fzeit.
11 .4
D er ß aby-Step- Giallt -S t ep-A lgo ri thmu s
Oeg obcu sei eine Primzahl p und g.y E Z; , gesucht ist
loggY = :
T .
Der I3a hy-Step-Gia nt-Stt'I>-Algorith mus wählt als erstes eine Zahl t E N aus, die g riif.er als yp=1 ist . Der diskrete Loga rit hmus von y Hisst sieh da nn schreiben ab r = tl : t. + r mit 0 ::; r < 1. Diese Gleichung lässt sieh folgondcrmakeu umfor men :
u = r/
= g q.t+T {::} !J ' g - r =
q'/' /
Der Bnby-Stcp..Giant-Step-Algorithmus sucht dann zwei Zahlen rund (J mi t der Eigenschaft , dass tt : «: = g q./ gilt . Dazu werden zwei Listen angelegt:
B aby-Ste p Liste : G ia nt-Step List e:
Il ' «:
für a lle r mit 0 :::; r < t
g 'l' /
für a lle (J mit
o:::; (j < t
Nach der Berechnung der Listen sucht der Algorithmus nach einem Eintrag, der in belden Listen vorkommt. Dies er Eintrag liefert den d iskreten Logarit hmus x. Wenn man an nimmt , dass die Suche in den beiden Listen im Vergleich zu den modularen Exponen t lat ionc n vernachl ässigbar ist , dann beträgt die Komplexität d ieses Algontlnnus O ( yp=1). Dies ist zwar eine deut liche Verbesseru ng gegen.. über der vollständigen Such e, die eine Komplexität von O(p - 1) ha t, allerdings ist d ie Komplexi t ät nicht polynomicll in log p uud damit nicht effi zient . Bemerkung : Der I3aby-Step-Giant-Stcp-AlgoritlulluS ist insofern bcacht cnswert , als das s ('S sich hier tun einen so gona unten generischen Algorithmus han.. dclt . Das bedeutet, das s ('1' a uf jeder Gruppe funktion iert und nicht von de r spc»icllcn Struktur der Gruppe abhängt . Eine Variante de s Ba by-St ep..Gieut-St ep-A lgorit hmus ist der St lver-P o h ligH ellman-A lgorit hmu s : Dieser Algorithmus läs st sich anwenden , wenn (p - 1) vor allem .klciuc" P rimt eiler hat , IPH78]. Der In d e x- C a lculu s- Algo rithmus ist der effizientest e bekannte Algo rit hmus zur Beroclmung von diskreten Loga rith men. Er lässt sich al lordlngs nicht a uf jed e Gruppe anwenden. Er berechnet diskret e Logarit hmen au f zyklischen Gru ppcn und endl ichen Körpern GFÜP ). Er arbeitet da nn besonders effizient , wenn d ie P rimzahl fJ relativ ..klcin'' ist. IAd7!)] . Bis heute ist kein Algorit hmus bekannt , der effizient d iskret e Logarithmen besti mmen k ann. Da sich die d iskret e Ex ponentialfunktion effizient mit tels de s Square--and-~ IlIltiply-Algorit hm us berechnen läs st , vermutet man daher. dass es sich bei der diskreten Exponent ialfunktion um eine Einwegfunkt ion handelt: Annahm e 11. 1 (D is k reter Lo ga ri t hmus ) G(lfeben sch~n eine Primeuhl p der' Länge k Bit, ein erzeu qetulcs Element g E Z; und ein Element h nns Z; . Dann ist für- jeden effizie nten Algorithm us A die Wahrscheinlichkeit . dass C7' bei Ein.. qalsc von k , p, [I usul h den disl.;reten Logarith mus von h zur Bas is g berechnet, veriutchliissiglmr. Das heißt, d(l.~ s es fiir' jedes A eine vemachliissigbare Funktion v und ein ko E N gibt., so dass für alle k ?;: ko yilt:
11.5 Sicherheit der Diffic- Hellman-Sch lüsselver eillban mg [' [A (k , p ,!!, h) ~ a I a ER Z] :S v (k ),
Im Gegensatz zur n SA-Funkt ion gibt al funktion keine Trapdoor.
11 .5
PS
vormut lieh bei der dis kreten Ex ponenti-
Sicherhe it der Diffi e- Hellman-Sch liisse lvc rcillbarullg
Nach d iesen Vorüberleg un gen kommen wir auf d ie Difflc- Hcllman-Schlüssclvcrcinbarung zur ück. Die Sicherheit der D iffie-Helhllall -Schliisselvereillba nmg han gt eng mit dem P roblem des diskreten Logarithmus zusammen . Ein Angre ifer , der d iskrete Loga rithmen in Z; bes timmen kam !' kann offen sicht lich a uch den gemeinsamen Diffie- Hcllman-Schlüssel von A und B berechnen. Da mit müs sen die öffent lichen Pa ra met er ]J lind y also so gewä hlt werden, dass kein A ngreifer disk rete Logarit hmen zu d iesen Werten effizien t bestimm en kann . Das bed eutet zweierlei: Zum einen muss d ie Primzahl p so gl'O[~ gew ählt werden, dass es in Z;' schw ierig ist , diskrete Loga rlthmcu zu bcs tinuncu. In der P raxis wäh lt ma n heute typischer weise P rimza hlen in der Größenordnung von 204-8 Bit. Zum a nderen II ltISS man d ie Zahl y so wählen . dass sie ein e möglichst große Untergruppe von Z; erze ugt . Denn ange nommcn, g ha t n ur eine kleine Ordnung, da nn kann ein Angreifer effizient eine Ta belle der Pot en zen von ,q a nlegen . Da Z; zy klisch ist , bietet es sich an , ein erzeugendes Elem ent zu wäh len. Um die DifficHcllma n-Schlüssclverclnba ruug effizien ter zu ges talten, wählt man heut e a nstelle eines erze uge nde n Elem ent es g von Z; üblicherweise ein en Erze uger g einer Untergruppen G q von Z; mit P rimzahlord nung q . Liegt d ie P rimzah l p in der Gr ökcuordnuug VO ll 204-8 Bit , so gelten derzeit für d ie Wa hl VOll q P rim za hlen der G rökcnordnung 224- Bit als untere Grenze. Xli t dieser Pa ra motorwa hl kan n mau sicher stellen, dass kein Angreifer das geineinsa me Gehei mnis von A und B berechnen k ann , ind em er d iskret e Logarit hmen bes timm t . Ma u wd f; al lerdings bis heut e nicht , oh der Angreifer nicht au ch das Geheimnis gab mod p besti mmen kön nte, ohne d iskrete Logarithmen zu berochnen.
Die Vermut ung. dass es a uch ohne d ie Berech nung VO ll d iskreten Loga rit hmen keinen effizienten Algorithmus gibt , der den Diffie-Hcllman-Schl üsscl berech nen kan n, wird formal so formu liert :
An nahme 11.2 (Diffie- H e lhnan-A n ualun e ) Gegeben seien eine Prim zahl p der Länge k Bit, ein erzeuocndes Element g E Z; und zu_'ei Elemente rl' mod p,gb mod p. Dann ist für jeden effizienten Algorithmus A die IVahrscheinlichkcit , dass er bei Eingabe von k, p , !J,!Ja mo d p iuul gh mod p den Diffi e-HeumanSchliiseel gah mo d p berechnet , ucru achliissiqoar. Das heijit , für jedes A gibt es eme verrULchlä.%igvare Funktion l/ und ein k o E N, so da.% f ür alle I.: 2: 1.:0 gilt: P [A ( ~: , p, g, !l' mod ]I, ,( l mod p) = gilb mod p ! (l .b ER Z]::; I) ( ~: ) ,
1:18
11 Der diskrete Logar ithmu s
Man vermut et sogar no ch etwas mehr: Ein An greifer würde nicht einmal merken . dass er den korr ekten \ Vcrt err echnet hat. Dies ist d ie so gena nnte D iffte H e Ilma 11- Eilt sc beid u ngsau n a h I n e (0 i ffi e-HolIma n- Dccision-A Hil a hmc, 0 H0 Ann ahme , DDH-Allua hllle). In Z; gilt die Diffie-l lelllll
1.:0 qiit:
P [A(k , c. PI, )
~
!> (m)) S P [ll (k, P K ) ~
!>("'ll + v (k ),
1:t2 Sem an tische Sicherheit
Das bedeutet , d ass jeder Angreifer A . der a us d em öffentli chen Schlüssel und de m Geheimt ext An gaben übe r den d azu geh ör igen Kla rt ext machen kann, nur unwesentlich besser ist als ein a nderer Angre ifer B . d er de n Gehei mtex t nicht kennt. Da ein Angreifer . d er d en Geheimtex t nicht kennt , nur raten ka nn , welche Eigenscha ften ein zufä llig gewä hlter Kla rtex t hat . besi t zt d er Angreifer, d er de n Geheimtex t kennt , nu r eine u nwesent lich bes sere Erfolgswahrscheinlichkeit a ls d ie Rat ewah rscheinlichkeit . Dieses Konzep t bes chreibt et was a nderes a b d as d er Ununtcrschcid barkoit . In d iesem Spiel mu ss d er An greifer nicht herausfinden , welcher Tex t verech l üsseit worde n ist , SOlidem er soll a n Han d d es Geheimtex tes Vorhersagen über den Klart ext machen. Die Fu nkt ion h forma lisiert eine solche Vorhersago. Sie fonuaIisicrt zum Beispiel d ie Fra ge , ob ein Klartext bes timmt e Zeiche n enthält oder ein e best immte Struktur ha t. Dass eine Chiffre semantisch sieher ist , bedeu tet , d ass ein effizienter Angreifer , u nabhä ng ig d avon, ob er d en Geheimt ext kennt ode r nicht. fü r eine solche Vorhersage nur raten kann . Das heißt , d ass CI' es nicht ein mal be merken wü rd e. d as s er eine E igenschaft d es zu einem Gehei mt ext pa ssenden Klartextes rich tig geraten ha t. Der Angriff hilft ihm also nicht weit er, um Info rmat ionen über de n Klartex t zu be kommen . Geuau da s for mali siert a ber auch d ie perfekte Siche rhei t von sy mmetrische n Chiffre n. Der einzige Unterschied besteht da rin, d ass bei d er pe rfekten Siche rh eit beli ebi ge Angreifer zugelassen sind , während ma n sieh hier auf effizien te A ngreifer ein schränkt und d em An greifer a uch meh r lnfonnationcn zu r Verfügung stehen (nä mlich de r passe nd e öffent liche Schlüssel ). Bei den sy mmetrischen Chiffren wurde in Kapi tel .:1 gezeigt, d ass boid e Kouzepte äqui valent zueina nder sind. Es stellt sich d ie Fra ge, ob d ies a uch noch gilt , wenn ma n d ie Xlen gc der Angreifer auf d ie effizienten Angrei fer einschrän kt. Der folgend e Sa tz bes agt , da ss di e beiden vorgestellten Konzept e denselben Sicherheit sbcgr iff beschrei ben. Satz 13 .1 Ein Public-K ey-Kl'ypfosystem ist ye1uw (!ann polynom iell untm tenlcheidbar, wenn es semantisch eiehe r ist.
Beweis.' siehe [.:\ IRS88].
o
Dieser Sa tz bes agt c
C
==
C
== 1111 mod
,
TI,
e
mo d oder
1IIg
11
11
A b b ildu ng 13 .2 Simulation der HSA-Verschlü sselung
Der Angreifer kan n d urc h eine einfac he P robe verschlüsselung fest stellen . zu wclehern Kla rt ext der Geheimtext c gehört. Da das Verschlüsseln einfach in einer Anwendung des öffentlichen Schlüssels besteht . kann der Ang reifer hehle Nachrichten versc hl üsseln und vergleichen, welchen Geheimtext er erhalten hat. 0
B e merk u ng Dam it ein P ublic-Kcy-Vcrschlüsselungsverfahren semant isch sicher ist , darf es also nicht m öglich sein , eine P ro be verschlüsselung durchzuführen. das hdßt , e-in Angreifer da rf nicht einmal merken . dass CI" richtig geraten ha t. Die Versch lüss elung darf da her nicht .de t enninis tisch'', sondern muss st a t tdessen ..probabil lst isch" «ein: Sie muss neben der Xachri cht ein en Zufa llswert enthalten . Am Beispiel des nSA könnte das so aussehen: Ist TI ein k·llit RSA-1 IoduL so lässt man nur Xach richtcn m mit einer Länge von f < k zu. Zur Versch lüsselung geht mall dann so vor: 1. Wä hle einen Zufal lsetrin g r der Lä nge k 2. Berechne c =
(rllmY mod
t,
n,
Hierbei steht ,.11" für die Koukatcna tion. Die En tsch l üssoluug funktioniert a na log: Der Empfä nger berec hnet cd mod n und verw irft d ie ersten k - f ßits . Da n n ha t er den Kla rtcxt rn. Ein Angreifer kann jetzt nicht mehr so einfach un terscheiden . welcher von zwei
la
lGG
Siche rhei t
VO ll
P ublic-Key-Verschliisselllllgsverfa hrell
Tex ten versc h lüsselt worden ist , denn er ken nt d en Zufallset ring n icht. E r muss also verschiedene Zufallsz ahlen a uspro bieren. Ist diese Zufallszah l groß gellug. so
kann ein Angreifer dies nicht mehr effizient du rchfüh ren. Das best e heut e beka nnte Verfuhren . a ns d em RS A- Verfa hren ein seman-
tisc h sicheres Vcrschlüssclu ngsvcrfahrcn zu konst ruieren , ist das OAEP-Verfahren ,
IShOII·I K1021·
Obwoh l das EIGam al-Vers chlüssclu ngsvcrfuhren ein prob a bilist ischcs Vcrfahrcn ist , ist die in Kapitel 11.G vorgestellt e Elfl a mul-Verschlüsselu ng nicht sema nt isch sicher. Das liegt daran, d ass au f Z; d ie Diffie,..He llmall-E lltschei dllugsan-
na hmt' nicht giilt ig ist. Da ma n ( 1)('1' vermutet . dass die Difllr- Hellman-EntscheiVOll Z; von Prhnza hlo rdnung g ilt , ka nn man d ie sema nt ische Sicher heit der ElGauH'I l- Verschlüsselung a uf d iesen Untc rgruppcn VOll "eigen. d uugsanna hme a uf Un tergru ppen
Z;
Satz 13 .3 Unter lief' D if/ü;- He llm a n- Eu t.~ ch cidung.wlnn a h rrte ist das EIGarrtal- l'e1'.~ chUi,~ s e l'lt nys ve 1faJwe n mit der AIuUipli kation als symmetrischer l'n 'schlüsselung auf Un te1gmppen von von P1"im zahlordm m y unter einem A ngriff mit yewiihlten K lartexten sicher im Sinne der polynomiellen Uruuü erschei dbarkeit (un d damit auch semantisch) .
Z;,
o
B eweis: siehe IFT YD8].
Beme rkung \ Vi p berei ts in diesem Ka pitel angemerkt , ist das beste Sicherheitsniveau für ein P ublic- K cy- Verschlüsselun geverfahren d ie semant ische Sicherheit unter einem ad apti ven Augriff mit gewählte n Geheimtexten . Sowohl das RSAVcrschlüs sclungsvcrfahrcn (vgl. Sa tz l :t 2) ab a uch d ie ElGam al-Verschl üsselung (siehe Übu ngsa ufga be :J) erreichen d ieses Sicherheits nivea u nicht . Ein P ublic-KeyVcrschlüs sclungsvcrfahrcn, da ss semantische Sicherheit unter einem ada ptiven Angriff mit gewähl ten Geheimt exten bietet , ist das von R. Cramcr und V. Shoup vorgeschlagene Vcrschlü ssclungsvcrfahrcn ICS9S!.
13.4
Ü b u n gen
J . Beschrei ben Sie expliait die Algorit hmen C , E und D a us Definit ion
1 ; ~ .1
für
das RS A- und das ElG amal-Verfahren . 2. Zeigen Sie die Umkehrung von Satz 1:3.3: Wenn die ElOam al-Vcrschl iisselung sema nt isch sicher is t. da nn gilt die Diffip-H plhn<J n-Dpd sioll-Anlla hme.
:t Zeigen Sie a n Ha nd eines Beispiel s. dass Sa t z 1:J.:J falsch ist , wenn der Angreifer einen Angriff mit gewählten Oehcim texten d urchführen kann.
IG7
14
D ig itale Signaturen
Digit a le Signaturen sind neben den P ublic- Key-Verschl üsselungen der zweite wicht ige Ba ust ein der esy u uuetrischen Kry ptografie . Wenn m au den RS A-Algorithmus
bet rachtet , be i dem man ein Signat urschema dadurch konstruieren kann. dass man d ie Anwcndungsrcihcufolgc d er Sch lüssel ver tauscht , so köuute man vermuten, dass man d ie Siche r heitsbegr iffe de r Verschlüssel u ng a uc h für d ie Signa-
tur verwenden kann. Dass dem nicht so ist , k ann ma u sich leicht a n Ha nd de r EIGamal-Signa tur kla n n echen: D ie Sig nat ur ha t eine vö llig a ndere St ru kt ur al s
die Verschlü ssel ung. Zu wissen. das s d ie Verschlüsselung sicher ist , reicht hier nicht a us ,
\1111
Aussa gen über d ie Sicherheit des Sig na t u rs eheums zu machen .
Nicht nur das Beispi el der Elflamal-Signat ur legt nahe, dass man für die Sicherheit ciucr digitalen Signa tur a ndere Kr iterien an geh en muss als bei eine r Verschlüsselu ng: Die beiden Verfah ren sollen unterschiedliche Sicherheitseigenschaft cn real isieren , das bedeutet , dass die jeweil igen Allgrei fer unterschiedliche Ziele und da mit a uch verschiedene Angr iffsmet hoden haben. Um den Siche rheitsbegriff für digit alc Signat 1II"t'1I formulieren Zl1 können, muss zunächst forma l definiert werden, was mall unter einei n digit alen Signa turschema versteht ,
D efi n ition 14 .1 Ein d ig it a les P u b li c-Ke y-S lg natursc hema besieht aus einem Tripel (G, 17, V ) von drei ]!1'Olmbilistischen polynomieUen AI[lorithmen mit den folgenden Eiqenschaften: S chliis sel erz eugung : G erzeugt bei Eingabe eines Si cherlieitsparametere k ein Paar (P l\, S K ). Pl\ ist der öffe nt lich e Sch lü ssel , S l\ ist der private oder gelleime Schl üssel . S ignatumlgo rithmus : 17 erhält als Eingabe k , ein e Nachricht 111 E {O, 1 V und den privaten SchHisse/ SK, EI' bcrecluiei ein en String .'fig , die Signatur von m: .'1 ig = 17(1.:, 111, SK) , Ve rijikationsalgorithmus: V hat als Eingabe k , P l v , nv und .'Iiy und hat als Ausgabe nur zwei mijyliche Wert e: .unhr" oder ,Jalsch", IlTerm Pl\ der' zu S K passende Schlüssel ist, dann gelingt die t'e1i jikation, das heißt V (k , Pl\, m , l7 (k , S K, m )) = wahr. B emerku ng. Man kan n die Definition vera llgemei nern. indem man nur fordert , dass die Verifikat ion mit großer Wahrschein lichk eit gelingt. Eb en so wie bei den Verschlüsselungen macht d iese Definit ion noch keine Aussage über die Sicherhe it eines Signa t urschemas. In Anal ogie zum Sicherheitsbegriff bei de n Verschlüsselungeverfahren stellen wir als erstes die möglichen Angri ffsar te n und Erfolge eines Ang reifcrs ZUS al llIlH'I L
168
14 Dig ita le Signa t ur en
Angriffstypen 1. Angriff o hne b ekannte Sig nat u ren [key only at t ack}. Der Angreifer kennt nur den öffentliche n Schlüssel d t's Signiercrs. 2. Aug r iff m it b ekannten S ig nat u r e n (known signat urc at tack). Der Angrei fer kennt d en öffentlichen Sch lüssel d es Signierers u nd mehrere Signatut / Xachri ch tunpaa rc, die vom Signicrer erzeugt word en sind.
:t Augriff mit gewä h lten N ach richten (choscn mcssage attack). Ocr Angreifer kennt den öffent lichen Schlüssel des Signicrcrs lind kann mehr ere Nach richten wählen . zu denen E (KJ, !h _i EEl m j)
K,
1\,-0 I
H a shwe r t Yt+l = JIAC(I\' , m )
Abbildu ng 15 .12 C M AC
Da mall auf Message Authcntication Codes ebenso wie au f Hashfuu ktioncn einen Geburtstegsa ngriff d urchfü hren kan n, mu ss man da rauf achten. dass di e Ausgabelänge der Block chiffre hinreichend groß ist.
15.G Konst ru kt ionen mit Hashfuuktionen
15.6
Konstr ukt io ne n m it Has hfu nkt lo ncn
Xc ben de n Blockchiffren verwendet man in der P raxis auch oft Hashf un kn oncn wie :\ID!) oder SHA- 1 zur Konst rukt ion von :\Ies:·mge Authcntknt ion Codes . Da es sich be i de n ma sgosclm cid crt cn Hashfunkt lonen um Funktionen handelt , die keinen Schlüssel als Eingabe haben . stellt sich d ie Frage , a uf welche Weise der geheime Schlüsse l a ls E inga be verwendet werden soll. Es hat da zu za hlreiche Vorschlä ge gege be n. d ie sich in E ffi zienz und Sicherh eit zum Teil erhe blich unterscheiden. Eine Kon strukt ion ha t d abei besondere Aufmer ksam keit au f sic h gezoge n , da sie neb en einer ansgezeichneten Effizienz a uch ein hohes Sicherhei tsniveau besitzt : der so ge na nnte H:\IAC . [ßCK!JG] . Die Kon stru ktion funk tionier t mit beliebigen Hashfunkt ione n 1I , wobei d ie Sichcrhcit des IH IAC von der Sicherheit der Hash fun ktiou abhä ngt. Es werden zwei Konst anten defini er t , eine .J uncrc" Konst ante ipad und eine ,.iiuße re" Konstante cqwd. Für ein en Schlüssel J( und eine Xach richt 111 wird der Message Au thcn ticat ion Code wie folgt berechnet:
1I (J( EEl opml, lI (I{
Ei) ipad.
m )).
Für d ie Sicherhei t ist da bei wesent lich , dass für d ie Anwendung der inneren Hashfunktion ein a nderer Schlüssel verwendet wird ab bei Anwendung der äusscren . DFI. mau a be r an derersei ts nicht zwei verschiedene Schlüssel verw enden will. löst man das Problern durch d ie Addit ion zweicr verschiedener Konstn nteu. H:\I ACs werden zum Beis pie l vom Internetsicherheitsprotokoll SSL benutzt . vgl . Ka pit el 22.
15 .7
Sichere Kanüle
In de n meis ten Situationen wird eine vert ra uliche 111111 a uthentische Kommunikation benötigt. Xlan spricht dabei von so gena nnten sichere n K a nälen . Zur Umsetzu ng von sicheren Kanälen stellt sieh d ie Frage , wie ma n Verschlüss clung und Xlos sagc Authcntic at ion Cod es a uf sichere Weise miteinander kombiniert. Im P rinzip ha t ma n dazu d rei Möglichkeiten: • Ma n verschlüsselt zun ächst die Xachricht und berechnet a nschließend den JU AC über den Cehehutcx t . Dieses Verfa h ren wird ZUl U Beispiel bei dem Inter ne tsich erheitsprotokoll lP SEC verwendet , [Sm] • Xla n berechnet zunächst den Al A C für den Klartex t und verschlüssel t a nschließend den Text . C chchntex t lind :\IAC worden parallel zueinander verschickt. Dieses Verfahren wird zum Beispiel von Secure Shell (SSH) verwendct .
15 Has h fun ktionou und Xachrichtcnaut hcutizit üt
194-
• Ma n berechnet zu nä chst de n AI A C für den K lartex t und verschlüsselt ansch ließend sowohl den Kla rtext als auch den :\[AC . Diese Vergehensweise wird ZUlll Beispiel bei m SS L-Protokoll verwendet . vgl. Kapitel 22. In IKrUl l wurde gezeigt. dass nur die erste Variante zur Umsetzung von sichere n K an ä len geeignet ist . Der Autor liefert einen formalen Beweis für d iese Behaupt ung und giht ankerdem einen Ang riff auf d ie anderen be ide n Var ianten an .
15 .8
Ü b u n ge n
1. G egeben sei ein P rod ukt n = pq a us zwei P ri mz ah len p und q, so dass n schwierig zu faktorisicrcn ist. Q R n bezeich ne d ie Xlenge der quadra t ischen Res te aus Zn ' Zeigen Sie: {a} Die Funkt ion f: QR" - Z" , f (:r) = x 2 mod 11 ist eine Einwegfu nktion. (b) Die Fun kt ion f ist nicht schwach kollisionsresistent. 2. \Vie viele Personen m üssen a nwesend sei n, so dass d ie Wahrscheinlich kei t , dass zwei von ihnen am gleichen Tag Geburt stag haben , gröscr als 1/ 2 ist ?
:t
(a) Welche Para meter werden lx-im Dav ies-Xleyer- lind Xliyaguchi- PreneelVerfa hren als Schlüssel für d ie Blockchi ffre verwendet? (b) Wa rt un braucht ma n hei m Davies- Xley er- Verfahren d ie Fu nktion 9 nicht? (c) Wie wird be i bei den Verfahren h j berechnet?
4-. Geg eben sei eine Hashfun ktion mit einer Ausgabelänge von 128 Bit. W ie viele Urbilder muss man a usprobieren , 11m eine Kollision mit dem Geburtstagsangriff zu finde n? W ie viele sind es, wenn die Hashfunk t ion eine Ausgabelä nge VO ll 1GO Bit ha t ?
G. Geb en Sie eine Bcrcclmungsfonuc l für de n Has hwcrt bei einer doppelten A nwcn d ung des Xlatyas-X lcycr-Osea s-Verfahrens an ! 6 , E, sei n "i n n SA-, lnd nl und e. ein öffent licher n SA-Exp onent. Weiterhin sei 'T1I = 111. 11 11112 11... 111II t eine Xachricht , wobei 111 j < 11 gilt. Definiert sei die folgen de Hes hfunk t ion:
'I.J
:= flq
h j :=
("7-1mod 11 ) $
Der Wert 11 1 ist der Hashwcrt von nicht stark kollisionsres istent ist.
'T1I..
rn j
für i
>
1.
Zeigen Sie, dass d iese Hashfun kt ion
7. Zeigen Sie, dass d ie folgende Has hfunk tion nicht stark kollisionsresiste nt ist :
'I.J
:=111\
h i := ("Ll mod n) EEl
JH j
für i
>
1.
16
Zero-Knowledge-Prot okolle
Dieses Kapitel beschäft igt sich mit der Frage , wie man eine n Beweis für eine Beha upt ung führen ka nn . E in e ty pische Anwendung, in der diese Fra ge eine Roll e
spielt. ist d ie Tcilnchmcraut hcntißkation . vgl. Kapitel 18. Teilnehmer weisen ihre Ident it ät d a bei häufi g dadurch nach . dass sie beweisen . dass sie üb er ein b es timmtes Wi ssen wie ein en kry ptografischcn Sch lüssel verfü gen . Auch in viel en weit eren Anwendungen der K ryp tografie wie zum Beispiel bei elek tronischen Wah len oder elektronisch em Geld s teh t ma n vor d ieser Fra gest ellung .
Etwa s präziser formuliert werden wir uns mit interaktive n Bewe isen 1)('sch äfügcn: Ein Teilneh mer A will einen Teilneh mer ß VO ll der Richti gkeit einer Beha up tun g überzeugen . wobei ß Fragen a n zl stcllcn kann . Im einfachsten Fa ll gehen die beiden so vor : Sie eini gen sich zu näc hst auf eini ge Axiome und Voraussetzungen , und A schreibt da nn ein Kette von Folgerungen au s den Axiomen a uf. deren letztes Glied A's Behauptung ist . Dies ist noch kein interakt iver Beweis. denn ß hat sich passiv verha lten und musst e A 's Ausführungen nur folgen. Au ßerdem ha t. B sehr viel meh r erfahren a ls notwendig. ß gla ubt nicht nur, dass die Behauptung st immt, er kenn t sogar einen Beweis da für. Führt mau eine echte Intera kt ivit ät ein. hisst man also B a kt iv mitarbeiten, so lassen sich Beweise konst ruier en . an deren Ende ß zwar überzeu gt ist , dass A mit seiner Behauptung Recht ha t , oh ne da ss er jedoch einen Beweis kenn t oder selbst in der Lage wäre, die Behauptung zu beweisen. \Vir werd en im Felgenden Beweise entwickeln. in dcncn B überhaupt keine weite ren Informat ionen erhält, au ßer dass zl's Belra up t ung richtig ist. Die Formulierung "keine weiteren In fon na t ionen'' ist in folgendem Sin ne zu vers tehen: B gewinnt kein Wissen hinzu . das heißt , dass er nach de m P rot okoll nichts berechnen kan n. was er nicht auch vor der Durchfü hru ng de s Protokolls hätte berechnen kön nen . Die Idee lind die Fonnalisicrung für solche intera ktiven Beweise sta mme n VOll IG )'[R891 . Die Autoren definieren einen int erakti ven Zero-K n owledge- Bewels informell folgen dermaßen: • \\'en n die Behauptung richti g ist und A ein en Beweis da für kennt , dann kan n er B a uf jeden Fa ll von der Richt igkeit der Behau pt ung üb erzeugen (D u r ch fü h r b a r ke it) . • Wenn die Beha upt ung nicht rich t ig ist oder A keine n Beweis für die Richtigkeit kennt , so lässt sich B nur mit eine r sehr geringen Wahrscheinlichkeit überz eug en (K o r re k t h e it) . • Der Beweis ha t die Zero-K ilow ie dge-Eige llschaft . das hcist, ß gewinnt
16 Zero-Kuowlcdgc- Protokollc
l!JG
während des Beweises kein Wissen hin zu au ßer , dass A ciueu Beweis für die Behaupt un g kennt. Forma l fasst mau das so: Es gibt einen Simulator. der ohne Ken nt nis des Beweises einen interaktiven Beweis kon struiere n kann . der für den Au ßensteh end en nicht von einein echten int era kti ven Beweis zu un terscheiden ist . Um d iese Definition ZII verst ehen , betracht en wir ein besond ers a nsch auliches Beispiel für einen Zcro-Knowlcdgc-Bcwcis: d ie so ge na nnte magische Tür, IGQ 90]. Vorgegeb en sei ein Geb äude best ehend aus einem Vorraum , von dem a us zwei Zimmer z u erreichen sind. im Folgen den das rechte und linke Zimmer gena n nt . Die beiden Zimmer sind durch eine weitere Tür, d ie mag ische Tür, verbunden , die sieh nur mit Hilfe eines geheimen Passwortes öffnen lässt . Teilnehmer A beh auptet . er kenn e das geheime Passwort . A und B können zu dieser Tür gehen, A öffnet d ie T ür . und da mit ist. ß über zeugt. das s A da s Passwort kennt. Das ist aber kein Zero- Kuowledge Beweis , denn die Sit ua tion lässt sich ohne A nicht sim ulieren. Außerdem ist nich t klar, oh B nicht doch Wi ssen hin zugewonnen hat : Er könnt e A beobachtet ha ben und da her etwas zum Beispiel ü ber d ie Länge des P a ss wort es oder äh nliches wissen.
rnagi l:clw T ür ----,--'
I Vorra ulll I
A bbildung 16.1 Die magische Tür D ie beiden führen st a tt dessen das folgende P rot okoll durch: A betri t t das Gebäude zunächs t alle in und geht in eines der beiden Zimmer. An schließend lx-tritt D den Vorra um und darf sich a ussuchen. durch welche Tür A den Vorraum betreten soll. Dieses Spiel wird meh ren' Runden wied erholt , \Velln A t atsä chlich das Pa sswort kennt , dann hat er keine Schwierigkeit en , D 's Wnu sch jedes mal zu erfüllen. Kennt er das Passwor t nicht . so müs ste er in jeder Runde richtig rat en. welche T ür ß wählen wird . In jeder ein zelnen Ru nde ist seine Cha nce. rich tig zu raten , 1/2 . \\'erdell t Ru nd ell d urchgeführt. hat A nur noch ein e Chance von 2- t (das heißt , nach 24 ges pie lten Ruudeu ist die Wahrscheinlichkeit fiir A geringer a ls sechs Richti ge im Lo tto). Diese n Beweis ka nn mau auch sim uliere n: Au St elle von A betritt C , der das Passwort nicht kennt . das Geb äude als ers ter. D nimmt die smal eine Videokamera mi t in den Vorraum . zeich net alles Folgende inklusive seiner \\'a hl, die ('J" zum Beispiel durch ('ÜH'n Münzwurf trifft, a uf und wählt eine T ür. Komm t C a us der rich tigen Tür, so beginnen sie das Spiel ern eut . Kommt C aus der falschen T ür, so löscht ß d iesen Teil des Videos . Die beiden spielen so lan ge, bis sie t "richtige"
16.1 Der Fia t-Sham ir-Algorit hmus
197
Szenen a ufgenommen haben. 1111 Schn itt brauche n ß und C da mit d op pelt so viele Durchgänge, um den Be weis zu simulieren. wie A u nd B , Der Vid eofilm zeigt da nn ein en intera ktiven Beweis für d ie Behaup tu ng, C kenne das Passwort , der VOll dem , der mit A gemacht worden ist , nicht zu un terscheide n ist. C ken nt das Pa.-;SWOl't aber nicht . In dem Fi lm , lind da mit in dem int era ktiven Beweis, kann also keinerlei Infor ma t ion über da s P asswort cut halten sein. und ß und C können nach dem Video nich t mehr berechn en a ls vorher. Zcro- Knowlcd gc- Bcwclso er füllen die Interes sen beider Parteion in fast pcrfekter \\'eise: ß ka nn sich VOll der Richtigkeit VOll A's Behauptung mit einer von ihm gewä hlten Wahrscheinlichkei t überzeugen , lind A kan n sicher sei n. dass sein Gehei m nis gewa hrt bleibt.
16 .1
Der F tat-S ha m lr -A lgo rlt lunus
Eines der bekanntesten Beispi ele für einen Zero-Knowlcdge-Bcwcis ist der F 'iatS hamir-A lgor -it h m us , IFS8GI . D ies er verw end et d iskrete Quadratwurzeln , vgl. Kap itel 12. Im Folgenden sei n = ]11 d a.'> P rod ukt a us zwei Prim zahlen , so dass n schwierig zu fa ktorisicrcn ist , vgl. Ka pit el 10. Die wichtigsten Erkennt nisse sind : 1. Es sei u E Zu. a f:: O. Die G leichung ;r2 mod 11 = n besit zt entwede r vier Lösungen oder keine Lösung. Im erstell Fa ll heißt a ein quadratischer Res t , im zweiten qu adra t ischer Nichtrest .
2. Da s Berechnen von diskreten Quadratwurzeln ist äq uiva lent zur Fektorisicrung VOll 1/., da..,; bedeutet . mau ka nn gcnau dann d ie Q uadratw urzeln eines quadratischen Res ts mod ulo n best innncn . wenn ma ll '/I fa kt orisicrcn kan n , Mit tels des F iat-Sh e mir -A lgorithmus kan n j eman d d ie Beh a up tung beweisen . dass ein e Zahl v ein qu adra t ischer Res t ist und da ss er eine Quad ratwurzel modulo TI kennt. Da s P roto koll wird folgen dcnua ken durchgeführt: Teilneh mer A beh au ptet , fiir eint' Zah l v eine Quedratw urz el modulo n zu kennen. Bei einem Aut hen tifikations protokoll veröffen tlicht A d ie Zahl v Z WiaIll IlH'1I mit seinem Xamcn und häl t die Quadra twurzel gehe im . An genommen . A ken nt ta ts ächlich eine Zahl s mit .'12 mod n = u. A füh rt mit ß da s folgende Protokoll durch : • C o m m it ment : A wäh lt zufällig eine Zah l r und berechnet : ;t = 1"2 mod n . A schic kt .r an B , • C hallenge : ß wählt zufällig ein ßit b a us , da.'; Ilt'ißt ,
Cl'
wählt 0 od er 1.
• R e spon se : Welln ß das ßit 0 gewählt ha t , so schic kt A den Wer t r a n B , \ \'eu ll ß da.s. Bit 1 gewä hlt ha t , so schickt A den \\'e1't r·.-'I mod n.
16 Zero-Kuowlcdgc-P rot okollc
198
• Ve ri fika tion : B prüft A's An twort. Hatte er das Bit () gewä hlt , so testet er , ob r 2 mo d TI, = :1: ist. Ha tt e er J gewä hlt , so testet er. ob (r. .'»2 mod TI, = x . v mod n ist.
wählt Zufallszahl r lx-n-elmct
I
:= r 'l. urod n.
:r
b
berechnet y := rs b mod n
A b b ildu ng 16 .2
11
wählt Zufall sbit b
pr üft , ob
y'l.
==
I Vb
(uiod
11 )
Der Fiat- Shamir-Algoritlunus
Ähnlich wie bei der magischen T ür kann A in diesem P rotokoll be t rügen: Wenn er vermutet , da ,> s B da s Bit 0 wäh lt , so kann er das P rot okoll unve rä ndert d urchführe n, da er in diesein Fall die Q uadratwurzel nich t braucht. Verm utet er. dass B das Bit 1 wählt. so sendet er in de r Connuitmcnt-P hase den \Vel't :1:' v -I und als Response sendet er r. Die Verifikat ion geli ngt in d iesem Fa ll. de nn r 2 1:' tI ,.2, V - I. tI ( mod n] . B sollte seine Wa hl also wirklich zufä llig treffen. so dass sie für A uuvorhcrsagbar ist und d ieser Bet rug nu r mit ein er Wah rs cheinlich kcit VO ll 1/ 2 gelingt. Daher müssen A und B auch d ieses P rotokoll mehrfach d urchführen . bis B überzeugt ist. Nach t Ru nden hat A noch ein e Bet ru gs wahrs cheinlichkeit VO ll 2- t ; B ka nn a lso d urch die Anza hl der Runden das Sicherheitsniveau nach Belieben erhöhen. Dies ist ta ts ächlich ein Zero- Knowledge- Beweis für d ie Beh a uptung, A kenne ei ne Q uad ra twurzel von v mod ulo n, Dcnu kennt A wirklich eine Quadratwurzel, so kann er immer richt ig a ntwo rten. Die Eigenschaft der Durchfüh rb a rkeit ist also erfüllt . Kennt er jedoc h keine Quadratwur zel, so kan n er nicht beide möglichen Fra gen vou B (0 oder 1) bea ntwor ten . denn wenn er es dennoch könnte. so könnte er Q uadratw urzeln berechnen . denn der Q uot ient der Lekleu Autwort eu "'8/" ist eine Q uadratwurzel VO ll u. Dies ist a be r nicht möglich. den n (la. h mod p und hA an den Vcriflcr.
Z;.
z
a. Kann man bei eil rcm Chalk'nge-a lld-Respollst'- Pl'Otokoll luit symmetrischen Verfahren oiuon Man-in-thc-middlc..Allgriff d urchführen? \ Venn ja. fü hr en Sie ihn im Det a il au s. Geht der gleiche An gr iff, wen n asyunnct rische Verfahren verwend et werden'! 4- . Welchen Vort eil hat d as in A bbildung 18.9 dargest ellt e P rotokoll gegen über den im Abschni t t 18.:l vorgest ellten Challcnge-a nd-Rcspouso..P rotokollen'! Die Vorausse tzu ng ist , da ss der Verificr und A oincu geme insame n gchcin u-n Schl üssel J( für (las Verschlilsscluu gsvcrfuhren f haben . 5. G eb en Sie ein Ch allengc-and-Hcsponse..P rotokoll zur gege nseit igen Authcnt ifizicrung zweicr Teilnc lnnor a n!
227
18.G Ü bungen
Zufallszahl
. !K (r. t ) res p = r
z,.it't t.m""18 I'
res!' Vergleich
A b b ild u ng 18 .9 Challellge- and -Hespolll'; e-Protokoll mit Zeit st em pel G. Is t d as in A b bildung 18. lO d a rges t ollte P ro t okoll zu r gcgensoitigeu A ut heut iflka tion geeignet? Die Teilnehmer A und ß hab en da bei einen ge meinsamen geheimen Schlüssel K , f b ezeich net ei n symmetrisches Verschlüsscluugsvcrfa h re n, und rA hzw. 1'/3 si nd von A bzw. B gewä hlte Zu fall sza hl en.
rn
Abbildung 18.10 Gegen!'ieitigt' Autlu-u tifi kat iou
7. In eine m System a ut he nt ifizieren sich d ie Tei lnehmer gegenüber de m Verific r, indem sie (' ÜI C hallenge-aud- Respon:-;e-Prntokoll mit digitalen Signaturen d urchfüh ren. Is t e:-; sinnvoll. dass d ie Teilneh mer d ie n SA-Sign a t ursch lül'; l'; (,l, d ie sie zur A uthcnti flkation be nutzen, au ch fü r no rmale Signaturen a uf 0 0kumcntc benutzen? Kons truieren Sie einen Angriff auf ein solelies Syst em. 8.
(a) Konstruieren Sie a na log zu m F i3
0
SJ
/
0
·1
0
1
a
3
·1
-a
c§
~
HJ
Abbildung 20. 4 Ochciuuüsaufteilung
sicher ist. UIlI die Sicherheit einer Xlultipa rty-Computat lon zu beschreiben . betra cht et man vor a llem das mögliche Fehlverhalten unehrlicher Teilnehmer . das sieh selbst in einem idealisierten Modell nicht verh indern lässt. Shamirs Schwelleusch ema besteh t a us zwei P hasen, der Geheimnisa ufteil ung und der Ochcimuisrckonst rukt ion. \ Vä hH'IHI de r Geheimnisaufteilung werden d ie Teilgohci mnis sc vom Dea ler an d ie einz elneu Teilnelnucr gesendet. Dabei lassen sieh folgende Aktionen des Dealcrs nicht ausschließen:
G e h eimnl saufteilu n g : • Der Dea ler kann a lle Teilgeheimnisse • Der Dea ler kann d ie Teilgeheim nisse • Der Dea ler kann t'
Si Si
falsch berechnen .
veröffentlichen.
< t Teilgehei mni sse a usgeben.
Zur Geheimnisrekonst ruktion müssen t Teilneh mer ihr Geheimnis öffnen. Ungeachtet dessen . wie sie da s Geheim nis letztend lich rekonstruieren , können auch hier folgend e Aktionen nicht aus geschlossen werden:
G e h elmn lsrekons tr-ukt .ion: • Die Teilnehmer weigern sich. die Teilgeheimnisse pr eiszugeben . • Die Tcilnclnuer geben einen falschen Wert prei s. Offensicht lich muss m a ll bei Sha mirs Schwellen schema seh r st a rkes Vertrauen in de n Deale!' set zen, aber a uch die Teilnehmer müssen sich in diesem Schema korrek t verhalten.
256
20 Xlu lt ip arty-Comput at ions
Für d en prakt ischen Einsat z ist dies keine realist ische Annahme. Daher forciert man. dass ein solches System auch dann noch robust sein so ll. d as heif,t ZU lIl gewü nschten Ziel ftihrt , \\'{'11Il sic h eine relat iv klei ne Xlcngo von Tcllnclnncrn n icht kooperativ verhäl t . Es gibt za h lre iche Variant en de s Shamir-Schwcllcnvcrfahrcns . Dazu werden vers chiedene Modelle herangezogen. Die unterschiedlichen Systeme bieten Schut z gegen: • einen betrügerischen Dcek-r, • n icht zu gro ße Teilmengen von be t rügerischen Teilnehmern .
20 .2 .2
Ve r ifizierba r e Oeheim nisau ft ei lu ng
E ine sehr einfa che Lösu ng. di e weni gst ens eine Kont ro lle da rüber erlau bt. ob sich Teilnehmer und Dealer rich tig verha lt en oder nicht , ist d ie so gena nnte veri fizie r bare G e heimn isaufteilu ng (vcrifia bl« sen d sha ring - VSS ). Das ents cheid ende Hilfsm ittel ist eine homomorphc Einwegfunktion E. di e d ie G ruppe (C . + ) a uf (H, $ ) a bbildet , d as heiß t ein G ruppenhomomorphismus von (C, +) auf (H, ffi), der d ie Einwegeigenschaft erfüllt. Wi r be trachten das Ga nze an Ha nd eines vereinfachten Bcls plcls: Der Dea ler te ilt d a.s Geheimnis s zwische n zwei Teilnclnncrn A u nd B auf. Nur d iese beiden sollen das Geheimnis a uch rekons t ruieren können. Das Geheim nis s sei ein Element d er Gruppe' C , a uf d er die Verk nüpfung '+' operiert. Da nn gesch ieht di e Auft eilu ng durch zwei weitere Gru ppcnclcmcute: 8 = '';1 + s2 . Der Dealer veröffentlicht d ie Wert e E (s ), E (s d un d E ("'2). Da E eine Einwegfunkt ion ist. kan n niemand a us diesen Werten d a." Geheim ni s oder eines der Teilgeheimnisse berechnen . J eweils eines d er Teilgeh eimnisse se ndet er ver tra uli ch a n A bzw. B (vgl . Abbildun g 20 .5). Du rch dieses Verfahren können bcide festst ellen. ob d as Teilgchcinmis , d as sie erha lten haben , auch zu d en veröffentl ich ten Werren pass t . Bcide kön nen w"gt'n der Homomorphic d er Fu nkti on E d ie öffentlichen Wert e überprüfen und som it feststellen . ob das Cchcinmis auch korrekt a ufgeteilt worden ist. Aukordcm kön nen bcide zu jed er Zeit kontrollieren , o b der j ewei ls andere auch das richt ige Teilgehoin mis preis gegeben ha t. Dieses Verfa hren lässt sich in einfacher Weise auch a uf n Teiln eh mer verallgemein ern. Da zu betracht en wir als konkret es Beispi el ein (t, 11)-Schwellensd lema . Als 110 mo morphe Einwegfu nkt ion dient d ie d isk rete Ex poneunalfuuk tion in Zp zur Ba sis !J. Der D('81"r wählt ein Polyno m vom G rad t - 1. in d em er zufällige Kocfflzicnteu (/0 , (lJ • . . . , ll t - 1 wählt . Das Geheimnis ist 8 = f (O). Der Dealer veröffent licht zunä chst !J" i mod P. für i = 0, ... . t - 1. Anschließend berec hnet er d ie Teilgcheinmisse Sj = f( :rd für d ie zufä llig gewä hlten :rj, i = 1. . . . , n und p ub liziert säm tliche ;I'j sowie g!(:r;) . An d ie Teilnehm er send et er vert raulich die Teilgeheimnisse S i = f (:1;d . .Jeder d er Teilnehmer kann Folgendes fest stellen:
257
20. :l Thrcs hold-Signa t urvcrfahron
E (s ), E h ), E (s2
§)
A bbild ung 20.5 Verifizierbare Cchuinuusanfteilung • Da Teiln ehmer Pi den Wert f(.r d kenn t , kann er fest st ellen , oh g ! (x . ) Dea ler korrekt berechnet wu rde.
• Pi kann für a lle Teilgeheimnisse prü fen , ob n~:~ (y(1j y; j ==
!l! (x ;) mod p
VO III
gilt .
Der Dealer hat damit praktisch keine Betrugsm öglichkeit mehr. Denn a lle von ihm berechneten Werte sind für die Teilnehmer verifizierb a r. Das gilt abe r auch bei der Reko nst ruktion des Geheimnisses. Alle Bet eiligten können festst ellen. ob ein Teilneh mer das korrekte Teilgeheimnis preisgegeben ha t oder nicht , da für a lle Teilgeheim nisse der Wert g ! (x ;) öffent lich ist.
20 .3
Thrcshold-Si gnatllrve rfahrcll
Die beschriebenen Sccret-S ha ring-Vcrfahr on ha ben einen Xa chtcil: Zur Rcko nst ruknon (Ies Geh enunisses müssen die Teiln ehmer ihr e Teilgeheimnisse wiede r preisgeben. In vielen Anwendungen soll a ber gerade dies verm ieden werden . Zum Beispiel sollen ZUl U Signieren ei ner Xachricht t Personen aus einer Gruppe von Ir Personell ben öt ig t werden (t ~ n) . Wenn inan d en Sig nat ursch lüss el mit tels eines (t , n )-Schwd lenschemas a uf die n Teilneh me r a ufteilt , kennen nach de r Wiederherstelluug des Sign aturschlüssels t Personen den Signa t ursch l üssel. Das !lPißt , nach der Rekonst rukt ion kann jeder d er l Personen Xachrichtcn signieren. Es müsste also ein neuer Schl üssel gene riert und a ufgeteilt werden . ein für den praktischen Einsa tz Z l l ineffizienter Lösungsans at z.
258
20 Xl ultipa rty- Co mp u ta tions
Signa turschemata. bei denen d ie beteiligten Person en ihr Teilgeheimnis nicht p reisgeben müssen . werden a uch a ls (t, n)-T h r c s h o ld - S ig n a t u l'v c r fa h r c n lIezeichnet. Wie bei einein Schwellenschema teilt ein Dealer d en geheimen Sch lüssel auf n Person en auf. Zum Signieren eine r Nach richt sind t :::; n Personen nötig. Jede d ieser t Pers onen ers te llt eine Teilsigna tur. D iese werden da nn du rch einen so genannten C o m b i ne r . ein e weiteren vertra uenswürdige Instan z. zu einer Signa t u r zusa m mengefügt. Im Folgenden wird ein (t. n )-Threshold-Sigllat Ul'verfahreu ILH LI vorgest ellt , d as a uf d em ElG am al-Sign at llrschemil lx-ruht : Zun ächs t wird wie bei einein Schwellenschema das Sicherhei tsniveau des 'Ihreshold- Signaturver fa h rens fes tgelegt. Dies geschieht d ad urch, d ass sich d ie Tcil nehmcr a uf eine kollisio nsresistente Hashfuukt lon H lind zwei P rimzahlen P. q mit (}I(1' - 1) festlegen. Ferner wähl en sie zufällig einen G ene ra tor !J de r eindeutigen zy klischen Unte rg ru p pe G'I von 1'..; . An schließend legt sich d er Dealer a uf d as Polynom j (J:) = ao + (JIJ~ + ... + IIt _ I Xt - 1 fest , ind em er zufä llige Koeffizienten Ua, ... , UI _1 E 1'..'1 wäh lt. Der gehei me Schlüssel aHN Tellnolnuor ist k = /(0) , lind der öffent liche Schlüssel ist y = rlmod 1'. Zur Fcstl egung der Teilgeheim nisse der ei nzelnen Teilnehmer wählt der Dealer zufällige \Vert e ll i au s Z~ und berechnet S i = U i + / (;rd , i = 1, .... n, Die X i werden veröffentl icht . Anschließend berechnet der Dealer fü r j ede PeI"SOII Pi d ie öffent lichen Schlüssel Y i = r/' mod l' 1I11d Z i = g ilt tnod P. UIII eine Xachricht 111 zu signieren . wä hl t zunächst jed e d er Personen Pi zufällig k i E 1'.." u nd beroclmct Ti es t mod 1'- Der Wert Ti wird a n die a ndere n Personen d er Gruppe ges end et. Ha ben sich t Personen ZII einer G ru p pe B zusa nimengcfundcn . berechnet jede d er Pers onen Pi:
i·
R=
rr
ri
-= r/L.f't
E8
k;
mod l'
Pt EB
so wie
E = 1i (111, R) mod fJ und d ie daraus res ulti ere nde Teilsign a tur d er Nachricht
+ ks : E
mod
1/1;
I}.
D ie Teilsig na turon werden d a n n zum Combincr ges ch ickt , der diese veri fiziert :
Wenn alle Verifikationen gelingen , berechnet der Combincr
o
-=
L I', EB
('1 mod
I}.
20 .4 Der Mün zwurf a m Telefon Die Signat ur d er Xa chricht berechnet man :
T=
'/11
259 ist (B, R, (7). Um eine Signat ur zu verifizieren .
rr
Pi ER
sowie
E es 1t (m., R) mod q un d pr üft , o b die Kon gruenz !Ja es yT R ß' mo d l' gilt.
Be m erkungen 1. Um eine Signa t ur verifiziere n zu können. müssen d ie an de r Signet urcrstcllung be teiligt en P ersonen au s ß beka nnt sein. 2. Sowohl Dealer a ls a uch Combincr können wie bei de n (t , n j-Schwcllcn schcma ta , in ihrem Verhalten vom Prot okoll a bweichen. In d er P rax is muss man sieh also je nach Anwendung d agegen a bsichern.
:t Wen n sich eine Person d er Gr uppe nicht kor rek t verhält . sn kan n das Fehlverhalt en anhand der Verifikat ion d er ent sprechende n Teilsignat ur durch den Combiuer fest gest ellt werden , un d d ie Teilsigna t ur kann gegebenenfalls vernachläss igt werde n. 4. Auch für die RSA-Sign B.t ur ex istieren (t, n )-T hres hold-Va rianten. siehe zum Beispiel IDF 91] . 5. Im praktis chen Einsa t z ka nn a uf den Combincr verz ichtet werd en . d a d ie Signa t ur a uch oh ne eine n Com bin er erstellt werde n kann . Beispielsweise könn en d ie beteiligten Personen ihre Teil sig na tu ren berechnen und d iese tib cr einen Broa d cast kana l an d ie and er en Pers onen senden.
20 .4
Der M ü nzw urf a m Te le fon
Der M ünzwu rf am Telefon ist ein Verfahren . das zur Generierung von Sitz u ngsschliisscl u verwendet werden kann . Das Prot okoll ermög licht es zwei Per sonen einen zu fä lligen Sch lüssel zu generiere n, de ssen Struk tur von keine r d er bei de n Personen manipuliert werde n kan n. Dazu m öge folgendes Belspie l dienen: Zwei Personen A u nd ß , d ie miteinan der te lefonieren, möcht en einen Termin vereinba ret). können sich aber nich t a uf einen gemeinsamen Treffpu nk t einigen. A schlägt vor. eine m M ünzwurf di e Entscheidung zu überlassen. Da ß d en Aus gan g des M ün zwurfs nich t überprüfe n k an n und a uch von A 's Ehrlichkeit nicht iibe rzeugt ist , ha t er na tü rlich Beden ken. Schließlich möchte ß sic herge he n, d a..,,~ er d ie gleiche Erfolgswa hrs che in lichkei t wie A ha t. Kry prog ra flsch Hisst. sic h d as P ro blem de s fairen Mün zwurfs zum Beispiel mi t de m im Folgenden beschriebenen P rotokoll lösen.
2GO
20 Xl ult iparty-Comput a tions
Teilne hmer A b eginn t , indem er zwei Pri mza hlen p u nd q wäh lt u nd das P rodukt 11 = ])(j be rechnet . Die Spielregel ist d ie folgen de : B hat gewonnen , wenn er a m Ende des Spiels n fuktorisiercn kann. A gewinnt , wenn B d ie Zahl 11 n icht faktorisieren ka nn. A sol lte d a her eine Zahl wä h len, die schwer ZlI fakt o n sicrcn ist . Das heißt , die P rimzah len sollten hinreichend gl'O(~ sei n. A sendet n an ß. ß wäh lt ei ne Zu fallszahl r aus Zn ' Er quadriert sie modulo n und sen det das Ergebnis k = 1'2 mod 11 an A . Da A die Fa kro risicrung VOll TI. kennt , kan n er d ie vier Quadratwurzeln ±x und ±y VOll k bestimmen , vgl. Ka pitel 12.:}' Xlan bea chte , das s entweder :r == ±r mod 11 oder y == ±r mod 11 gilt. A wählt eine der Q uadra t wurzel n a us, d ie im
Folgenden mit J ' bezeichnet wird, und sen det sie an B. ß überprüft, ob er die Q uad rat wurzel J ' schon ken nt. Wcn nz == ±r mod 11 ist , ha t A gen au d ie Q uadratwurzel a usgewählt , die B bereits ka nn te, das heißt , er hat nicht s ge wonnen . Er kan n TI nac h wie vor nicht faktorisicrcn . Wenn .1: == ±r mod TI jedoch nicht gilt , kennt B jetzt alle vier Wurzeln und kann som it nach Satz 12.1 TI fa ktorisicrcn. Fa lls A den Mod ul TI hinreichend groß wählt , ist die Erfolgswah rschein lichk eit VOll A (ebenso wie d ie von ß ) gleich 1/ 2. O bwohl A d urch die Wa hl des Modul n im Vorteil zu sein scheint, da A dadurch das Sicherheitsniveau des Spiels bestimmt , be t r ägt die Ge win nwahrschei nlichkeit für A höchstens 1/ 2. Den n wäh lt A den Mod ul 11. schlecht aus. so ist B ga r nicht da ra uf angewiesen , d ie fehlende Q uad ratwurzel Z II bekommen . sonde rn kan n andere Algori thmen wie das quadratische Sieb a nwenden. Also stehen die Chancen für A schlechter a ls 1/2. Jusofern ist da s Spiel fair: A legt zwar das Sicherheitsniveau fes t, k ann aber durch eine ungesch ickte \ Va hl um sieh selbst schaden .
20.5
Obf ivious-Trnnsfer
Ein Obli vl ous-Trnusfe r , a uf de utsch et wa ..uubomorktc Übertragung" . beschreibt folgende Sin Hit ion: Teilnehmer A möchte Teilnehmer B eine Xachri cht m schicken . Dabei forde rt. A , d ass B die Xachricht nur mit einer Wahrschei nlichkeit von 1/ 2 erhalten soll . B akzeptiert. dies e Forderung . fordert ,,1)('1' seinerseits. dass A nicht erfa hren da rf welcher der beiden F älle einget reten ist, das ln-ilst, A da rf am Ende nicht WiSSPll, oh B d ie Xuch ncht '/11 kennt. P rotokolle, d ie dies e Eigenscha ft erfüllen . bezeich net man als Obli vi ous- Transfe r (OT) . Wen n B a m Ende des im vorhe rigen Abschnitt vorgestellten P rotokoll A nicht mitteilt , ob er 1/. fakto nsicron kann uud gcgobcncufal ls da s Geheimnis VOll A ken nt , so kan n man das Prot okoll auch wie folgt interpretieren: Teilnehmer A ist im Besitz eine r Nachricht .e. Xach Ablauf des P rotokolls ist Teilnehmer B mit eine r Wahrscheinlichkeit von 1/2 im Besitz von ;1:, lind A weiß
20.5 Oblivious-Transfer
261
wiihlt zwei Prhnza hlon p. 't lx-n-clmet 11 = pr/
lx-rechnet die vier Quadratwurzeln ±.r , ± JI von k mod n wählt eine Quadratwurzel ;/" davon a us
n
wäh lt eine Zufallszahl r lx-rechnet k: = ,,2 mod n
k
-
.r
Ist x = ± r mod Ist r -I- ±r mod
11, 11,
ver fier t B . gewinnt ß .
A b b ild u ng 20.6 Münzwurf am Telefon
nich t, welcher de r beiden Fälle ein getrete n ist. Die beiden Teilnehmer führen also ein en Oblivious- Transfer d urch. Eine weitere pra kt ische Variante des OT ist der so gena nnte l -aus-2 -0bliviousTransfer ( O~), bei dem Teilnehmer A im Besitz zweier Geheimnisse So lind SI ist . Ein O~ -P rn t o ko ll erfüllt folgende Eigenschaften: • Am En de des P rotokolls erh ält B gcn au eines der beiden Ge heimnisse und erfährt nichts üb er das a ndere.
• A weiß nicht , welches Gehei mnis ß erhalten ha t. Ein Beispiel für ein en OJ ist da s folgende P rotokoll: Teilnehme r A kennt zwei Geheimnisse So u nd 81. öffentlich bekannt sei ein Gt.)ncrator 9 VOll sowie ein Element c a us Z;, dessen diskreter Loga rit hmus zur Basis !l keinem der beiden Teilneh mer bekannt ist. Angenommen B möcht e das Geh eim nis '''1 von A erha lten . Dazu wählt er eine Zufa llszahl :1' a ns Z;. berechnet
'1.;
und schickt di e Ix-iden Werte an A. Um ZII überprüfen . ob ß die beiden Werte richt ig berechnet ha t , verifiziert A. ob {JOß I = c mod p
262
20 Xl ult iparty-Comput a tions
g ilt. An schließend wä hl t A zufällig zwei Zah len Yo un d NI u nd berech net d ie DifficHellma n-Schl üssel i i = ßY' mod p. Mit d iesen Schlüss eln verschlüsselt A d ie hei d en Gehei mni sse zu "i > Sj ffi 7j ' Die versc hlüsselten Geheimnisse "0 , T ] sch ickt A zus a mmen m it Hj = g'Yj mod P a n ß. Mit Hilfe VO ll 0: \ kan n ß das C eheinmis .... \ entsch lüsseln, indem er zun ächst d en ge meinsamen Dif fie- Hellman-Schlüssel n f = g XY l = /ji 1 = )1 berechnet und an schließen d S] =q EB / l
entschlüssel t . kan n d as Geheimnis
n
"'0 nicht ent sch lüsseln . d a CI' d en Difflc- Hclhnan-Schl üssel = ßgu = {;YO (!J,T) -YU nicht berechnen ka n u. Denn d azu müsste B d CII dis kre ten Logarit hmus von c zur Basis 9 kennen.
'/0
prüft oh t~ ß I = C wählt Yo . YI a us Z;, berechnet n j = [ti .
,f). -- ß"j
wählt s: aus Z; lx-rechnet ßi = 9", ß l- i = C(gx) - I
,
I'j = '~j $ 'Yi
'Y;
=
nf
8i
=
1'j
ffi 'Yj
A bbild uug 20. 7 l -aus.z-Ublivious-Transfer
Es ist leicht zu zeig en . das s man aus eine m ()~ - P rot okoll immer ein O T - P rotokoll konstruieren ka nn. Die umgekehrte Richtung \\'111'(1(' in IC re8 7] gezeig t. Oblivious-Transfer-P rot okolle gib t PS in za hlreichen anderen Varianten . Eine d avon ist der l -aus-n-O blivious-'n-ansfer . Mau ka n n aber zeigen . d ass sie a lle äquivalent zu ei nand er sind. O'Tvf'rotokolle eigne n sic h g ut a b Ba ust ei ne für and ere kry pt ogra fisch e Verfahren . 1988 wu rd e sog a r gezeigt , dass m an di e gesam te K ryptogra fie Hilf der Basis des Oblivious-Transfcrs a ufbauen k ann [K881. l u d er P raxis worden O bli vious-T ra llsfer- Protokolle zum Beis piel b ei O nlinc-Auktioncn . siehe unter a nderem [JuSz], eingesetzt .
20.G Übungen
20 .6
Ü b u n gen
I . Entwerfen Sie ei n (:t G)-Sha mir-Schwelleuschcma ü ber Z7. 2. Ze-ige-n Sie , d ass Slnuuirs (t, n)- SchwellmschE'ma perfe kt ist. Ein (t, n)Schwellenschema hcikt JW1fekt, falls weniger a ls t Teilneh mer bei der Rekonstruktion keine Infor ma t ion ü ber d as Geheimnis erhalten. Die t Teilnclnucr können d as Gehei mnis als o nur mi t ein er Wahrscheinlichkeit von Ij p erraten. ;~ .
Entwerfen Sie mit Hilfe d es in 20.2.2 vorgestellten Verfahren ein verifizierbares Gchchnuisteilun gsvcrfuhrcn mi t t = :1 und 11 = f üb er Z7.
4. Zeigen Sie , d ass im Fa lle einer korrekten Durchfülnuug des in 20.:J vor gestellten P rotokoll, d ie Verifikat ion a m Ende des P rotokolls gelingt. 5. Interpre tieren Sie die folgende Abbildung a ls ei n O blivious- Tra nsfer-P rotokoll: Teilnehmer A wirft eine Kugel in oinc u Scha cht , d er eine Etage tiefer end et. A kann d CII Scha cht nicht einsehen . und B befindet sich in einem d er beide n Räume, d ie d urch ein e spit z zulaufende Xlaucr get ren nt wen lcu . so d ass B d en an deren Raum nicht betreten kan n . Die Ku gel wird mit einer \ \'a hrschoinlichkcit VOll in de n Rau m fallen. in de m sich B befindet .
1
6. Interpre t ieren Sie d ie folgende Abbildung als ein f-uus-z-Oblivious-TransfcrP rotokoll. Teilnehmer A wirft j e eine Kugel in d ie beid en Schä chte, die von A nicht eingesehen werden . Die Kugeln fallen in zwei R äume eine Etage ti efer. In einem der beid en R äu me befindet sich B, Der a ndere Ra um ist für B nicht zugä ng lich.
264
20 Xlu lt ip arty-Comput a tions
~·'X~L 0
0
26»
21
Anonymität
Die Anonymi t ät von Systemteilnehmern ist eine rela tiv Helle A ufga be der K ry ptogra fie. Anonymi tä t , 8 1ijO da s Verbergen einer Teilneh meridenti t ät . hat in einem Kon nnunika tionsnc tz verschie dene Aspek te: • Senderanonymi t ä t : Der Sender ein er Xachrlcht möchte seine Ident it ät vor dem Empfän ger der Xach richt vorborgen. Im Allt agsloben t ret en solche Sit ua tionen ZU lU Boispiel bei anonymen Hinweisen fü r d ie Polizei a uf. • E m p fä ngeranonymit äte Der Empfä nger einer Xa chricht möchte seine Identität vorbergen . Chiffre- An zeigen sind hierfür ein Beispiel. • Anonymität d er Kommunikc'1.t iollsbe zi e hun g : Sende r und Em pfä nger können eina nder eine Identi t ät zuordn en. möchten j edoch , dass d ie Ta tsache, da ss sie miteinander kommunizieren . vor d en anderen Systemteilnehmern verb orgen bleibt .
In kryprog ra flschcn Anwend ungen t ritt häufi g der Fa ll auf dass Teilneh mer innerhalb der Anwcncluug a nonym bleiben wollen . Dazu gehören beispielsweise clcktrouischc Wahlen oder elekt ronisches Bezahlen . Es gibt mi ttlerweile eine ga nze Reihe von kryptogra fischcn ),la Knahmen , d ie d ie An onym ität VO ll Teilnehmern umsetzen oder unt erstützen. Da zu gehö ren d ie so gena nnten MIX-N e t z e , blind e Signatu r en lind P seudonyme .
21.1
MI X- Ne t ze
Ein Ml X ha t zunächst die Aufgabe, d ie Konnnunikat lon sbcxichu ng zwischen einzclncn Teilucluuem zu versch leiern . Im P rinzip macht ein ),I1 X nichts an deres, a ls d ie Xach rich tcn. die innerh alb eines best immten Zei tinterval ls im Xctz versendet werden. ZII sammeln , zu mische n lind nach ein er gewissen Zeit weit erzusenden. Angenommen , Teilnehmer A will an ß eine Xachricht schicken , d iese Tat sache a be r geheim hal ten . ),[it Hilfe von Briefums chl ägen können wir uns da..,; wie folgt vorstellen: A adressiert seine Mit t eilung an B . indem er seinen Xamcu a uf ein en Um schlag schreibt, da nn steckt er d iesen in einen ande re n Umschl ag, der an de n ),[JX adressiert ist , und sendet ihu an den :\IIX. Der ),IIX ent fern t den iiuKerell Umschlag und se ndet den da rin en thalt enen in ner en Umschl ag a n ß . Kryptografisch lässt sich dieses Vorgehen leicht umse tzen . A verschlüsselt die Xnch richt 111 zunächs t so. dass nur B sie lesen k ann. In Abbild un g 21.2 wird dieses Chiffrat mit c: = fK (m ) bezeic hne t , wob ei [( ent weder ein gemein sa mer gehei mer
2GG
21 Anonymit ät
Cl I
rll:lil-! I BI An
»
Bob
Abbildung 2 1.5 .\!l X- Kaskade
21.1. 1
K r ypt ografi sche S icherheit e ines Mf Xes
Die einzige kryptografieehe ).laßua hllle, die ein :\IIX verwendet , ist ein P ublicKey- Verschlüsselungsverfahren. Der folgende Angriff, der erst la nge nach der Entwicklung des :\IIX-Konzeptcs entdeckt worden ist . zeigt , dass hier kein beliebiges Vers chlüssoluugsvcrfahren benutzt werd en ka nn . Angenommen, der Angreifer fängt alle Xechricht cn ab, die der :\IIX emp fängt und sendet . Da der öffen t liche Schlü ssel (I{,:, MfXcs auch dein Angreifer zug änglich ist ., verschlüsselt er alle vom :\Il X a usgehenden Xachricht cn pro beweise mit dem öffentlichen Schlüssel des :>. IIXcs und vergleicht das Ergebnis mit den vom :\[JX emp fangenen Nachrichten. Wenn das Vcrschlüsselu ugsverfa hrcn des Xll.Xcs det erminist isch ist , so ka nn der Angreifer jeder ausgehenden Nachricht die passende eingehende Xachricht zuordnen und damit die Anonymitä t der Kommunikationsb eziehu ng a ufhebe n. Das." dies ein ernst zu nehmender Angriff ist , kanu mall leicht sche u, wenn man e nninu ut , dass der :>. IIX den RSA-Algori t lunu s als Verschlü sselungsverfahren benutzt . wie dies in Abbildung 21.6 dargestell t ist.
269
21.1 )' IJX-Xe tze
111.\ mod n
= : CI
-c,
1112 1IIod 11 = :
c~
--2.........
1Il3 mod n = :
C3
--.S!...-
-
B
lIl~
~ ~
Abb ildu ng 21. 6 ).IIX mit (k m USA-Algorit hmus
Eine P robevers chlüsselung bedeutet h ier schli ch t das Anwend en d es öffen tli ch en Schl üssels auf d ie a usge he nde n Xa ch rich ten .
2
1n mod n
7
==
CI
C2
C3
Abbildung 2 1. 7 Probcvcrsehliisselung
E ntscheid end für di e Sicherheit eines ~ II Xes ist also d ie Vorwendung eines pro bebilis tischcn Verschlüssclu ngs vcr fahrens, vgl. Ka pit el lS. d as hei ßt , ma n IllUSS ein Verfahren verwenden, bei dem der gleiche Kla rt ext unter dem g leiche n öffentlichen Sch lüssel ste ts verschieden verschl üssel t wird .
21. 1.2
W e it er e Sicher heitsm a ßnah men
Man b raucht eine Reihe weiterer tech nischer ),Iaf,n
282
22 Jutcructsichcrhci t u nd Mobilfun k
d a dies er nach Erha lt der Xach richt ZU Ill n ächs ten Schrit t im Verbind u ngsaufbau übergehen kann . \Vellll der Server kein Zert ifika t lx-sit zt , M I ent hä lt diese Nach richt d ie Para mete r für eine DilIie- lI ellm HIl-Schliissei vereillb aru llg . Da s heißt. d er Server gib t eine P rimzahl und eine Bas is vor lind sendet a ußerd em seine n Diflic-HcllmanAnteil für d en lU' U (' l1 gemeinsamen sy m met rischen Schl üssel. \VeUIl der Server nur einen Signa turschlüssel ha t , da nn gener iert CI' einen öffcnt llchcn Schl üssel. der für die Verschlüsselu ng oder eitle Dilllo- Hcllm a n-Schlüsselv creinbarung geeigne t ist , u nd signie rt d iesen m it seinem Signa tursch lü ssel .
C lien t - C er t ifica te-N a ch r ich t Der Clicnt sendet sein Zcrriflkat , sofern CI' eines besitzt , d as d er Server a kzep tiert. Bes itzt de r Client kein Zertifika t. so sendet er an d ieser Stelle ein e Xe chricht ü ber di esen Sachver ha lt an den Server. Der Server kann d an n di ese Wa rnmeldung ign or ieren m it'!' di e Kommuni kanon abbrechen. C lien t - Key- Exch a nge J e nachdem, welche Form d er Authentifikation m öglich ist , ent hä lt dies e Xach richt u nterschiedliche Para met er: • Wenn cs keine Authcntiflkation wege n fehlender Zer ti fikate gibt. d ann sendet der Clicnt seinen An teil für eine nichtaut hent ifizierte Diffie- HelhuanSchlüsselve reinba rung.
• Wenn UHr der Serve r ein Zert ifikat besitzt , so wä hlt d er Clicn t eine Zufallsza hl, d as so gen an nte pl'e m aster seo-er , d as als Ausga ngswer t d er kry ptogra fischen Schlü ssel verwendet wird. Dies e Zufalls zahl verschlüssel t d er Clicnt mit d em öffent lichen Schlüssel d es Server s. We nn d er zerti fi zierte Sch l üssel des Ser ver s um für ei ne Dll fie-Hellmau-Schliisselvereinba ruug geeignet ist , de nn sendet der Client se inen Ant eil der Sch lüssclvcrcinbarung an den Server. • Wenn bcidc Part ner Zer ti fika te für eine DiHie-H ellm llu-Sch lib sel\'ereinbanmg besit zen. wird d ie in Ka pit el 19.:l vor ges tellt e Variante d er Schlüsselve reinbarung d urchgef ührt . Nachdem d iese Xachricht gese ndet wu rde , kön ne n sowohl d er Serve r als a uch d er Cl icut d as so ge na nnte mastcr _ secret berechne n . Als pre _ ma .~f e l' _ .~ (xret d ient. entwed er d ie VOIII Clleut gewählte Zufallszahl oder der während d er Diffie.. Hellm an..Sch IüssclvereintJa rung berechnetu gomcinsa nie Schlüssel . Für die Berechnung des 11!asfer _";ecr ets werd en ankerdem die in den HclloNachrichten gesendete n Zufallszahlen verwendet . d ie im Folgenden mit Cliont .rand em u nd Scrvcr. ra nd om bezeichnet werden. In Abhä ngigkei t dieser P aramet er und eintgor Konsta nt en wird mit tels des ~ I D 5- ulld d es S HA-Al gori thlHus ein Hashwcr t berechnet , de r als master eccrct dient .
22.1 Secure Sockets Layer (SSL) C ertificate- Verify-Nachricht Xlit de m ü bermitt eln des Clicn t-Zcrt ifikat s ist d ie Au t hcnt iflkation des Clicnts noch nicht abgeschlossen. Der Clic nt muss noch na chweisen. da ss er im Besitz des privat en Schl üssels ist , der zu dem im Zert ifikat augegebeneu öffentl ichen Schlüsse l gehört. Dies geschieht in der Cert ificat eVcrflfy-Nach richt . Der Clicn t se ndet eine n Hashwcrt von Da ten, die sowohl de m Server als a uch dem Clicnt vorliegen . und signiert diesen mit seine m privaten Schlüssel. In den Hashwcrt geh en a lle Ha ndsha kc-Xnch richtcn von der ClicntHcllo-Xachrich t bis zu d ieser (a ber a usschließlich dies er} Xachricht ein. Dies ist a uch der G rumt wa rtun d ie Ccrtifica te- Verify-X achrieb t nicht gleich im Anschl uss a n das Zertifikat versc hickt wird. Sie ent häl t noch die In forma t ionen. die in de r Client- Key -Exchange- Xac hricht a usgetauscht werden . Ha ndelt es sich bei dem Zerti fikat um ein Zertifikat für einen RSA-Signa tur schl üsseL so werden ein ~ I D5 und d u SHA-Hashwt' l"t kombiniert und signie rt. Wenn das Zert ifika t für einen DSA-Signa t ursch lüssel au sgestellt ist , wird nur ein SIl A- \\'ert berech net lind sign iert.
22 .1.2
C ha llge- C iph er-Sp ec-Nachric h t
Nachdem d ie Hands ha ke..-Ph a.'. ie erfolgreich a bgeschlossen ist , können bcidc Part eien die a usgeh a ndelte sy mmet rische Kommunikat ion lx-ginneu . Dies er Übergang zu verschlüsselter Komm un ikat ion ist proble ma tisch , da bcidc Pa rteien ihn im richtigeil Mome nt vollzieh en müs sen. Die Schlüssel zur sy mme t rischen Verschl üsselu ng lind für dCII ~ I A C- A lgor it h mus werden j eweils mitt els Has hfun kt ioncn in A bhängigkeit des master_ seo-ets berechnet . F ür jede Konnnunikat lo nsrichtu ng können unterschiedliche Schl üssel. aber auch verschiedene Verfahren genutzt werden . Daher sind in SSL für bck lc Pa rteien sowohl ein .rcad stare'' a ls au ch ein .w rite stete" de finie rt . Das .rcad statc" gibt d ie Sichcrhel tsinfo nuat ioncn für empfan gene Xach rk-htcn, das .ovrit o st nte" für gese ndete Nachrichte n einer Pa rtei a n. Die Schlüssel können von beiden Kon unuulk ationspa rt ucrn zu un tcrschicdlichcn Zeitpunkton berec hnet worden. Vor der Cha nge-Cipher-Spcc- Xach richt sind diese Schlüsse l inaktiv, da s heiß t , dass sie zwa r a ls Daten vo rliegen. all erdings noch nicht benutzt werden.. Xlit dem Sende n der C hangc-Ciphcr-Spcc-Xach rieht gibt de r jeweilige Kom munikation spart uer an , dass d iese Werte für ihn in einen aktiven Zusta nd gewechselt sind . das bedeu tet , da ss er sie ab jetzt zur Kommunikation benutzen wird . Dieser P ro tokollschri tt gewährleistet a lso, dass beid c Kcnnnunikat lo nspa rt ucr wissen . in welchem Stad iu m sich der jeweils a ndere befindet . F inis h ed-Nachricht Unmittelbar na ch der Cha uge-Cipher-S p pc-i\achricht sendet j ede Pa rt ei ein e F lnis hcd-Xuchricht um a nz uzeigen. (lass a lle Xaclu-ichtcn. die für diese Pa rtei ZU Ill Handshake-Protokoll gehö ren, vers chickt worden sind. Es ist d ie erste Nachricht, die mit de n a usgeha ndelten synnuctrische n Verfah ren
22 Jut cructsichcrhci t u nd Mobilfun k
284
finished (:ha ll~e
cip he r
S ])(,C
finislu-d
A bbild u ng 22.2 Das SSL-Cha llgc-Ciplwr-Sp{'c-P rotokoll
und Schlüsseln verschickt wird . \Ve1l1l et was bei der Vereinbaru ng der Schlü ssel oder Verfahren nicht fun ktio niert hat . kann der Empfänger d ie Finished- Xachricht nicht eilt schlüsscln oder die Aut hentizit ät nicht feststellen . Die Fluishcd- Xachrlcht ent hä lt den ex ak ten In ha lt a ller vorhergehenden Ha ndsha kc-Xachrichteu von der Client-Hcllo-Xachricht bis Z II {a ber ausschließlich) der Fini shcd-Nechricht . Die Challge- Ci pher-Spl'c-Xa chricht ist for ma l keine Ha ndshake-Nach richt und wird d aher mich nicht mi t verarbeit et .
22 .1.3
R ecor d- Layer-Prot okoll
Nach der Durchfüh ru ng des Handshake- und Change-C iph er-Sp ee-P rotoknlb könneu d ie Konunu nikationspartner d ie ver trauliche UIU! aut hentische K ommunikat ion aufne hm en. Die Durchfüh run g de r Kommunikation wird d urch das HccordLaycr- P rotokoll fes tgeleg t . Das Protokoll schrei bt vor , dass für j ede Xach rich t zunächst ein Mes sage A ut hcntication Cod e berechnet wird . Dazu wird au f d ie Nachricht und den outspro... ehenden Schlüssel eine H ashfuuktion a ng ewendet und auf das E rgebnis zusam men mi t dem Schlüssel noch einm a l dies elbe Hash fun kt ion a ngewendet . Diese r ).IAC wird z usa m men mit den Da ten verschlüsselt und an den E m pfänger gesendet. 2 2 . 1. 4
A lert-Prot o koll
Wen n das Sys tem einen Fehler oder ein e \ Va rn ung signalisiere n will . so gesc hieht d ies mit dem Aler t-Protokoll. Dieses gi bt vor , in welchein Forma t d ie Fehler oder Wa rnungen gese ndet werden müs sen . Xa chrichtcn . die einen Alarm anzeigen , ]H}stehen a us zwei Felder n: Das erst e Feld gibt d ie Schwere des Fehlcrs an, wobei nur zwischen Wa rnungen und fataleil Fehlern. die zum Ab bruch (In Kommunikation
22.1 Seeure Sockets Layer (SSL)
28:>
füh ren. un terschied en wird, und das zweite Feld spczifiaiort d ie Art des Fehlers. Ein ungültiges Zertifikat löst beispielsweise nur eine Warnung a us . wohingegen Nachri cht en im falschen Forma t oder ung ültige :\ [e~"age Aut hcntlcatlon Co des fa tale Fehler sind .
22 .1.5
A naly se d es S SL- P rotoko lls Version 3.0
Im Handshake-P rotokoll werden mitt els P ublic-Kcy-Vcrfahrcn zwei verschiedene , una bhängige sy nnnctrische Sitzungsschlüssel a usgetauscht . Alle einleitenden Ha ndsha ke..Xach richten werden zwar unvcrschlüsselt und nicht authcnnflzicrt gcsendet , Änderungen a n d iesen Nach richten werden aber spätestens durch die Fi uished- Nachricht en erkannt. d ie einen f.lAC aHN vorangehenden Xech richt en mit Ausnahme de r Cha ngc-Ciphcr-Spcc-Xachricht enthält. Die master _.'wcr' ets werden genutzt . U Ill Sitz ungsschlüssel von diesen abzuleiten , so dass sel bst bei Kom promit t lcruug der Sitzungsschlüssel das mfl8ter _",{x-nd gehei m bleibt. Wenn lx-idc Konununi kationsparmcr ü ber öffentl iche Schlüssel und d ie zugehörigen Zer.. tiflkate verfügen , so ist das SSL-Pl'Otokoll sicher gegen Rcplay-At ta cken . lm pcrson a tioucn und Ma n-in -the-mlddle-Angriffe. Eine Schwäc he dt":; SSL..P rotokolls besteht da rin, dass das Feld . das de n Schlüssclaustauschulgoritlnn us spezi fiziert , nicht geschützt wird. H ier bietet sich die Mög lichkeit eines Xlau..in-t hc- middlc..Angriffs. Der Angreifer könnte d en Ser ver dazu bringen , die Diffic-H eUmHlI-Sch lüsselvel'c iullal'1lug a ls Schlüsselaustauscha lgorit hmus zu benut zen , während der Clicnt davon a usge ht , dass eint' R SAVariante verwendet wird. Dur ch den unterschiedlichen Aufbau de r Algorithmen kann de r Angreifer d ie Key-Exch a nge-Xachrichtcn von Clien t und Server a bfangcn. verändern und sich in Besit z des pre - mlu;fer _.'i(~c.,.et.'i bringen. Aus de m pr!! - munter _ .'i(~cr d kann sich der Ang reifer anschließend das nuister _ secrot berechnen, und somit wäre keinerlei kryptografieeher Schutz meh r vor ha nden. Dies en Angriff kau u man bei sorgfältiger Implement ierung VOll SSL aber umgehen , indem Inan d ie Län ge des Server-Parameter..Feldes ü berprüft. Da a uch d ie Versionsnu mmer der SS L-Version in de n Helle... Xachrichtcn n ngesch ützt versendet wird . besteht d ie Xlöglichkcit eines Ang riffes auf dieses Nach.. richtenfeld. Wen n ein a ktiver An greifer d ie Version a uf SSL 2.0 setzt , könnten d ie Konunuuikat io ns pa rt uer da zu gebracht werden , d ie Sitz ung auf de r etw as schwiichcrcn Version SSL 2.0 a ufzubauen. Die Sicherheit des p rc _loJecrets uud des T/lasttT _SelTets ist eine wichtige Vora usse tz ung für die Sicherheit der Sitz ungss chlüssel und der folgenden Kornnm nikation . Es besteht die :\Iöglichkc·it. dass ein Ang reifer eine Vielza hl VOll Verbind ungen a ufhaut , jedo ch bei keiner bezeichnet wird , ode r im ange reg te n Zust an d , de r d ur ch 11> bezeichnet wird . Dur ch da s Zuführen von Energie kann ein Elek tron , ähnlich wie im obigen Exp erim ent a m Dopp elspal t . in eine so gen a nnte S uperposition geb ra cht werden. Dies ist ein Zust and, in dem man ohn e eine Messun g nich t entscheid en kann , ob sich das Elek tron im Grundzust an d oder im ange regten Zus tand befindet . Es befindet sich in einer Superposition beider Zustände. Xlathcmansch beschreibt man eine solche Sit ua tio n folgenderma ßen: Der neu e Zustand In> wird best immt durch la >= « [ü > + {JI1 '>, wobei n lind ß komplexe Zahlen sind und n:.! die Wa hrscheinlichkeit bes chreibt , mit der bei einer Xlcs sung der Zustand [0 > gemessen wird . und {32 die Wahrscheinli chkeit , dnss 11> gemessen wird.
298
2:l Quaut enk ry ptogrnfic und Quanten Comp ut ing
Wen n mau ein Syst em von zwei Qubit s be trachtet , so kan n ma ll a uch bokle una bhängig voneinander in eine Su per posit ion bringen:
(10> +li ll » EIl (10> +ßll » ~ ' 100> +ßIOl > +ßl lO > +ß'l ll > . D iese Superposition ste llt also alle vier klassischen Zus t ände .,00", .JJl" , ..Hf' und .,11" gleichzeit ig dar. Verallgem einert man d ies a uf n Qu bit s , so lassen sieh Z" Zust ände parallel zueina nde r betrachten. Die Schreibweise 100 > bedeutet hierbei. dass es sich um zwei vorsch ränkte Q u bit s ha ndelt , während d ie Schreibweise 10 > 10 > fiir zwei unabhä ngige Qubi ts st eht.
23.2.2
Q uaute ncomputer
Q ubits lassen sich aber nicht nur unabh än gig von eina nder in eine Supcrposit iOll bringen . sonde rn man kann ihre Zust ände a uch miteinander verschrän ke n. Dies kann mall sich zum Beispiel mit dem berühmten Gcdnukcnexporimcnt VOll Sch rödinger veransch aulichen: Eine Katze , eine für d ie Ka tze tödliche Chemikalie und ein radioa kti ves Atom befinden sich in einer Kiste. deren Inneres von a ußen nicht beobacht et werden kan n . Die Anordnung ist dabei SO , da ss nu r ein Zerfall des radioakt iven At om s d ie töd liche Ch em ikalie freiset zt. Da s rad ioa kti ve Ato m befindet sich. sola nge de r Zerfall nich t von a ußen bcobachtet wird . in der Superposi tion au s den Zust ändcn "nicht zerfa llen" (10 )) und .zer fall cn'' (11 » . Da mit befindet sieh a uch d ie Kat ze in eine r Superposition a us den Zust änden .Icbcndig" (1 0)) und .,tor; (1 1 )). Das C esamtsystem kann jed och nicht vier Zustände annoln ucn , sonelern nu r zwei: Den n entweder ist das Atom nicht zerfal len. und d ie Katze lebt noch , da s ents pricht de m Zust and 100 > , oder das Atom ist zerfa llen , und d ie Kat ze ist tot (1 11)). Dieses P hänom en ka nn mau a us nu t zen, 11m ma t hem at ische O pera tio nen a uf Qu bits zu simulieren : In Abhängigkeit von bisherigen Zuständen kann ma ll neue Zustä nde herbeiführen. Durch bestimmte physikalische O perationen kan n man a lso a uf einem 11Q ubit-Sysrcm mathematische Fu nk t ionen ausführen :
\\'e111l d ie Q ubit s verschrä nkt si nd . k ann ma n a uf ihnen gleichzeitig und parallel zueinander Funktionen berechnen . Dies ist ein großer Vort eil gegenü be r klassischen Rech nern. d ie in einein Schritt stets nur eine Ei nga be ma nipulieren können . Xlau kann zeigen. dass sich al le ma themat ischen O pera t ionen. d ie man mit ei ner Turing-Maschi ne durchführen kann . auch mi t einem Quantencom put er herechnen las sen . Zusa mmen mit der parallelen Ausfüh rbarkeit von Funktionell a uf vers chrä nkten Qubits werden Q ua ntenco m puter da mit zu einem l ns t ruu ient , das nicht nu r a lle A ufgabe n eine r Turing-Xlaschinc bewä ltigen kann , sondern das d iese auch noch deut lich effizient er durchfüh ren kann .
2 ;~.2
Quanten C ompu tin g
299
Eine mathematisch e Fu n ktion ist für Qubits so wicht ig , dass sie hier ausdrücklieh erwä hnt werden so ll: d ie Quant ell-Fourier-TI·ullsforma tion . QUCl ntonmechanisch Hiss t sie sich folgendennaßen b esch rei ben: Fü r a lle 0 :::; x < '1 = 2" ist '1-1
1 """'"'
1:1:>-- l'72 L )e>·e 21riq rc • '1
c= ü
Am de utlichsten erkennt man den E ffizienzvort eil der Q ua ntencomput er am Beispi el d er Fa ktonsicruug. bei dem auch d ie Fourier- T ra nsform a ti on zum E insa t z kommt. Au f einer Turi ng-M aschine kan n man E xp onent iat ionen nur nacheinander a us fü h ren. DeI" folgende Abschnit t zeigt. d ass mall mi t ei nem Qu an tencomput er viele Exponentt a t ionen g leichzeit ig berochneu kann. Dadurch wird d ie Fa ktort sierung ga nzer Za hlen a uf einem Quantencomput er zu einem effizient zu lösende n
P rob lein.
23 .2 .3
Faktor- lsle rung mi t Quant e n comput eru
Das wicht igs te Beis p iel fü r d ie Bedeut u ng der Quantencomputer st ammt VO ll P. Shor. [Sh !)4]. EI' konnt e lUD4 zeigen , wie sich ein Quant encomputer zur Lösu ng des Fakto risiorungsproblcms benu t zen läs st . Der Algori thm us ge ht d abei fü r ein e gegebene ganze Za hl 11. folg eudennaken vo r: Er sucht zwei Zahlen x u nd s m it den folgenden Eigen sch aften:
es 1 (m od n) und
.1'2$
r" =1=- 1 (m odn ). Dan n kann man n faktorisiere n , denn es gilt ;[.28 - 1 es 0 (mod n), also folgt ( X"~ + 1) (:r~ - 1) == 0 (m od 1/). Die Zahl 1/ ist d aher ei n Teil er d es P rod u ktes. wegen der zweiten geford er ten Eigenschaft teilt 11. a ber keinen der beiden Fa ktoren . Mittels d es Euklidischen Algorithmus kann man n da mit faktorisicrcn. Um so lche Zahlenc und .'I zu finden . wird eine beliebige ga nze Zahl .1: aus Z;' gewählt. Im Folgenden b ezeichnet r d ie O rdnung von .1:, d ie all erdings unbekannt is t. Als ers tes bes tim mt m an zwei ganze Zahlen '1 und (/ m it der Eigenschaft 2 :::; q < 21/. 2 , wobei q = 2'/ gilt. Dann initialisiert m an ei n Syste m mit zwei 11. Qubit-Rcgistcm der Läng e '1'. Die Eint rä ge d es ersten Registers si nd un abhängig vo neinander, wa hrend di e E int räge des zweiten Regi st ers mit d en jeweilig entsprcehenden Ei n trägen des ersten Regis ters ver schränkt sind . Zu nä ch st b ringt m an d as ers te Regis ter in eine Su p er p osi tion VO ll allen Zahlen O :::; a < q:
1 q-I 1/2
'1
I: In> 10 > . Il =O
Da n n b erechnet man im zweiten Reg is ter fü r a lle Eint rä ge di e c-tc P otenz
VO ll .1':
:lOO
2:l Quautenk ry ptogrnfic lind Qu anten Co mp ut ing
1
q- l
17'2 L: la> I:r" mod n> . q
a=O
Im letzten Schritt wendet mau die Fouri er-Tran sfonna tion Huf das erste Registe r an:
!L
L (~ l"-~" C je> I:r" mod n.> .
q-I q - I
fJ
a =ü c= ()
Schli eßlich m isst mau den Zusta nd in beiden Reg istern . Xli t der Messun g geh t n at ürlich di e Su perposition d er Zust ände in den einzel nen Regist ereinträgen ver loren . Die Fra gen . d ie sich dami t stellen. lauten : \Velche!' Zust and besitzt bei d iese r Xles s un g di e größte Wahrscheinlichkeit , und welch e R ückschlüsse kann ma n
d araus ziehen? Wir besch äftigen U Il S zunächst m it d er ersten Frage . Daz u best immen wir di e Wa hrscheinlichkeit für den Zustand [c> l;l,k mod n > . Diese Wahr scheinlich keit. ka nu ma n berechnen d ur ch 2
P (lc» =
q- l
1
L
q
2 .. ;,,~
e •
(I = {) XII
es x k'
1110 (111
Um diesen Aus druck zu vereinfachen, ers etzen wir zwa r unbeka nnt , d en noch wis sen wir, das s es
Cl
+ k, Die Zahl r ist ei ne ga nze Zahl b m it d er
durch br
gCllIHi
gcwtinschten Eigen scha ft gibt. Da mit kan n man umformen: 1
P (lc » =
~ ~
fJ
2
19- 1- kJ e
2,,.;(brtOc q
b= O
Der Exponentialtenn lässt sieh d enn wie folgt vereinfachen: 2
wob ei [rc], eint' Ab kü rzun g für rc mod q ist.
Man kann leicht nach rechnen . dass diese Sunuuc maximal wird, falls folgende Unglck-hn ng erfüllt ist :
r
r
- -2 < -. - [rc] 'i < - 2 Anders form ulier t heißt da s . das s derjenige Zus tand [c > die größt e Wah rscheinlich kcit hat , gemessen zu werden . für den es e-in d gibt mi t;
2 ;~"2
Quanten C ompu tin g
:lOl r
--2 < -
rr: - d(!
1"
< -. - 2
Dies ist äquiva len t zu der Forderung, das s es eine rationale Zahl dI r gibt mit 11 und
,.
. für den es eine ra t ionale Zah l dl" gibt. so das s r < TI. und
gilt . Dies e rat iona le Zahl kann man berechnen . wod urch ma n die Ordnung r der Zahl :r gefunden ha t. Wenn die Zahl r gerade ist , dann kann man mit dem Euklidischen Algorithmus aus (:rr f 2 - 1) und 11 ein en der P rim fa ktore n von 11 besti mmen. Der Erfolg des Algorithmus hängt a lso davon a b. ob mall den richtigen Zust a nd misst lind ob die Zah l r eine gerade Ord nung ha t. Xla n kann zeigen , dass beides mit hinreichend hohcr \Vah rsdwinlichkeit a uft ritt , um den Algo rit hmus nich t allzu oft durchführen zu müssen . Der Algorithmus VO ll Sho r war das erste Beispiel für da s enorme Potent ia l der Quantencomput er. ShO!" konnte a ußerdem zeigen , dass die Faktorisierung nicht das einz ige ma th em atische P roble m ist , da s sich mit Q ua ntencom putern effizient lösen lässt : Auch da s P robk-m des diskreten Logari thmus lässt sich mit ei nem ähnlichen Algori t hmus effizient lösen .
23 .2 .4
A u swir ku n gen a u f d ie Kryptografie
Shors Quantenalgorit hmus zur Fa ktorisicnmg ga nzer Zahlen zeigt , (lass die Entwicklung von Q uantencomputern eine n erheblichen Einfluss auf die Kryptografie ha ben wird" P ra ktisch alle heute eingesetzten Algori thmen der Pub lic- K cyKryptogra fie kön nen nicht mehr a ls sicher gelt en, wenn Qu antencomputer rechnisch rea lisier t werden können . Bis heute ist unklar, ob es sich hier um ein g runds ätzliches P hä nomen haudclt. a lso P ublic-Key-K ryptografi e pr inz ipiell nicht mehr m öglich ist , wenn es Quantencomput er gibt . Es lässt sich a be r zeigen. dass die Auswirk ungen a uf die symmetrische Krv ptografl e weniger grav ierend sind. Da..
IGG ~184 ] O . Coldreich. S. Coldwasser . S. Xllcali , .Ou
IG HR9!J] R. Gcnna ro , S . Halcvi aud T . Rabin , .S ccure Has h- a nd-Sign Signaturcs wit ho ut thc Rundom O ra cle". Advanccs in Cryptology - Eu rocrypt '09, Loct urc Xotcs in Computer Scicncc 15!J2, Sp ringer- Verla g I G ~ 184 1 S. Goldwasser. S. Xlicali, .P roba bilistic Encry p tion'', Journal of Computer
FInd System Seiences . vol. 28 , 1984 S. Go ldwasser, S. Xlicali. R . Rivcs t., ,.A Digita l Signet ure Scheine Sec ure Against Ada ptive Chosen-Mess age Att ncks", SIA:\ [ J ourn a l of Compu tiug, vol. 17. no. 2. 1988
I G ~ IR8 81
IG ).[R891 S. Goldwasser. S. :\ lica Ii. C . Rackoff', "T he Knowlcd ge Complcxity of interactive P roof Syst PIIlS", Proc. of 17 th Au nnal AC). I sy mposium on Thoory of computing (ST OC), S lA~ 1 Hl8!J I G ~ [ S 741 E.
Gilbcrt , F .
~ lac\V ill i alll s , ~ . Sloa nc , "Codes wit h detcct deccption'',
n-n. Syst . Tech. J ou rn a l 5:~,
UJ74
IG :\[\V8ö l O . C old reich . S. :\Iieali, A. Widgcrson , .P roofs tha t Yield Nothing Bu t thcir Validity au d a Xlct hodology of Cryptographic Protocol Design", Founda tion s Co mputer Sdt!I1CC, J98ö
ur
2:J Lit era t ur verzeichnis
:1l2
IGQ901 L. Cuillou..1. Q uisqu at cr, ..How to cxplain Zcro -K nowlcd gc t o yo ur Childrcn'', Adva nces in Cryptology .. Cry pto '89. Lccturc Xot es in Com puter Scicncc ·n t"). Springer-V{'rlng IGSV!Js l O. Goldreich. A . Sa hai. S. Vadhan ..H onest Vcrific r Stat istical ZeroKn owled ge equa ls General Statistical Zero-Kuowledge", Proc of ;m1l1 Ammal
AC ).I Sy mposium
Oll
T hecrv of Computing (ST O C). 1!JüH
11-1 ('801 :\1. Hell ma n. ,,A cryptanalyti c t imc- mcmory t radc-off", IEEE Transactions O ll Infor mation T lwory. 26. 1980 IHP S98] .1. Hoffst ein , ,J. P iphcr, .).1-1 . Silvcrman , .S T RU: a ring bascd p ublic kcy cry p tosyst cm," P roc. or AXTS H I, Lccturc Xotes in Com p uter Scionce 142:!. Sp ringe r-Verlag, 1!JD8 IIKC);3j T . Iwa ta . K K urosawa ,,O:\IAC: One- Key ene ),tAC', P rocccdi ngs of Fast Softw are Eucryption . F SE 2 ()0:~ , Lectu rc Xotcs in Com p uter Scicnce 2887, Sp ringer Verlag IISO I IE C l Ol 18-41.J nform a tion teclmology - Sccurlty tec hniqucs - Hash- funct ions - PartS : Hash-funct ions using modular a rit hmctic'', draft , 1996
p .JOOj E . .la ulmcs , A. .Io ux . ,,A Chosen- Ciphcrtext At tack against XT RU" , Advances in Cryp tolog y - Crypto 2000, Lect ure Xot cs in Com p uter Sciencc 1880, Sp ringer-Verlag p uSzl A. .I uols . ~ 1. Sxydlo, .,A Two - Scrvcr Scaled- Bid Auction P rotocol''. F tna ncial Cryptog ra phy '02, Lect ure Xo tes in Compu ter Scicncc 22S 7 2002. SpringerVerlag 1Ker92]
.G. Kcrs tcn . .S ha rcd Sccrct Schemas aus Geo met rischer Siehe ', de m ~ Iat h. Sem inar Gi csscu , Heft 208 (1992 )
xuu. a us
IK88] .J. Kili an..Foundiug Cry pt og ra phy O ll O blivious Tra nsfer", Proc. of 20 th Annua l AC~ I Symposium O ll T hco ry of Comput lug (STOC). 1988 IK!J4] L. Knudson . .B lock Clphcrs - Ana lys is, Design and A ppllca tions", P hD Thesis, Aarhus . Dänema rk. 191)4 [KrOl l H. Krawcxy k , "T he Order of Encrypt ion a nd Au t hcn t ica t lou for P roteeri ng C onnnuuications (0 1': How Secure Is SSL'!Y-. Advanccs in Crypt ology - Crypt o '0 1, Leer u re ;\otes in Computer Scic ncc 2 1:39. S pr inger -Verlag
[K102J K.Kob ara . H. Im ai. "OAE P + +
: A Vcry Simple \Vay to Apply OAE P to Dcterminist ic OW-CPA P rimiti ves", r-P rrnt a rchivc 2002/ 1:Ul. ht t p:/ / cprint.iacr .org
[KL95] .1. Kilian . T . Lcighton, .Fair C ryptosystcms. Rcvis tcd'', Adva nccs in Cryptology - Cr ypto '95 . Lechire Xo tes in Computer Scicncc 96:3 . Springer- Verl a g
lJo n 1941 R. Kom mcrc r. C. Xlcadows, .1. )'lillen , "T hrcss Systems for Cryptographic P rot ocol Analysis", Journal of Cryptology, vol . 7. no. 2, 1994
IKYOO] J . Ka tz. ),1. Yung.. .Com plctc Cha ract crixati on of Sccu rity Xot ions for P roba bllistic P riva tc-Kcy En cry pt lo n", P roc. of :32" d An nua l AC~ I Sy mposium on T hcory of Com puting (ST O C), 2000 ILLL82] A. Leu st ra . H. Lenst rn . L. Lova äsz. "Fa ctoring pclyn omials with ra t iona l coc fficients". Ma t hem a tische An na len , vol. 261. 1982 ILVOO] A. Lenstra , E. Verheu l. .Thc XT R public key systcm" . Advances in Cryptology - Crypto 2000. Lcc t ure Xotes in Com put er Scic ncc 1880, Springe rVorlag ILHL] C.~ L Li. T . HWIIllg, X.Y. Lee . "T hrl's hold- )'Iult b igllat ure Sd WllWS whcre sus poctcd Forgery hu plies Tra ccability of advcrsari a l Sharcho ldcrs", Advanccs in Cryptology - Eu rocrypt '94. Leetute Xotcs in Co mpu ter Sciencc 950. Springer-Verlag IL\V8R] O. Leng, A. Wigdcrson , ,.T he Discrete Loga rithm hides O(l og n) ßits'\ SIA ),I J ourn a l of Computing . vol. 17, no.z , 1988 1),I!Jl I S. Xlatyas , .Kcy proccssing with control vcctors", J ourna l of Cryptology, vol. ;3, no.z , Spri nge r-Verlag. ( 19Dl) U.),1. Maurer, .Fust Ocncrat lon of P rime Xumbcrs a nd Secure P ublic Key Cryptog ra phic Para meters", J ourn a l of Cry ptology, vol. R. no.S . SpringerVerlag, 1995
I ~I95 1
I)'Ic78] R. ~ Ic El i ecc , ,A public-key cryptosystcm basc d on algcbraic co ding theory", OSX progres s rcport , 42-44, Jet P ropulsion La bora tory, Pasaden a , USA. 1978 1).le8:31 ),1. Merri t ...C ry p togra phic P ro tocols", P h .d . t hcsis, Ocorgi a Instit ute of Tcclmology, 1 9l~:3
I)'I!J2] S. Xlicali. .F air P ublic-Kcy Cry pt osystem s", Adva ncos in Cry pt ology Crypto '92, Lee t ute Xotes in Com puter Sch-nee 740. Springer -Verlag 1)'1i7ßI G. Miller ...Riema n n's hypot hesis und teste for prim ali ty'. Jou rnal of Computcr ans System Seiences. 1:3, 197G 1),1H7,s] R . Xle rkle, ),1. Hellma n. .Hiding information au d signa t ures in trapdoor knapsacks". IEEE Transact ion s ou Inform a tion Thcory, 24 (1978)
R . Xlcrkle , ),1. Hell man . .Ou thc sccu rity of m ult iple cncry ption", Commnuica tions of t hc AC ),1. voL 24, 1981
I ~ IH 8 1 1
2:J Literat urverzeichnis
.J .L. Massey, .Cas cade Ciphers: T he import a ncc of Bcing First ', Jo urna l of Cryptology, vol. 6. no. 1, Springer-Verlag. 19fn
[~n l9;J I U. Maurer,
S. Xla tyas , C . Mcycr . .1. OS('a..-;, •.Generating streng one-way fun ctions with cryptogra p hic algorithm", 1ß ~1 Tccl mlcal Disclosure Bulletin . 27 ( 1985)
[ ~D. I085]
[), IP RROül F . Mendcl . X . P ra ms tal lcr. C . Rechbcrgcr. V . Rij mcu ..O Il the Collision Hcsist uuce of RJP E),ID-160", Inform a tion Security ISC ' 06. Lect ure Xotes iu Computer Scicnce 4176. Springer- Verlag [), IR R07[ F . Xlcndcl . C . Rcchberger, V . Rlj men .Updat c ou Ru mp Session
S HA ~l " .
Cry pt o '07
S . Xlicali . C . Reckoff . B. Sioa n , ..T he notion of Security fo r p ro babili stic cry p tosystums", SIA), I Journal of Com puting . vol . 17. no. 2. 1988
[~ mSRR]
[XJST8 001 .R ccommendat ion for ßloek Cipher ),Iod es of O perat ion: T he C},I AC Xlodo for Authcntication". XIST Special Publiest ion 80 Q-;{Sn , Xlay 2005 [:'\S78] R. Xccdham. ),[. Schrocdcr, .Using Encryption for Authcnt ication in Largo Xctworks of Comput ers". C on unuuications of thc AC), I, vol. 21, uo . 12. 1978 [Xy 9; ~J I; von Fermat , 12:1 Kuapsack-Verschlüsselung, 156 Kuowk-dgc E xf ractor, 204 Known niessage at t ack . 188 Kuown plaintext at tnck . 24 Known siguat ure at tack. WS Kollision , 177 Kollisiousfreiheit , 177 Kollisiousresisreuz, 110, 177 - schwache , 177 - st arke, 177 Kollisionstest , [)4 Kom munikatiousband c Zül Kom plexität , 46 Komplexit ht st heoric, 45. 48 Konipn-ssiousfunkt ion, 176 Kcmprountttcruug des Schlüssels. l G8 Konfusion . 71 Korrekt hei t , 195 , 198 , 200 , 201 Korrelationstest , 54 Kryptoanalyse, :1, 228 Kryptogreft schc Hashfunktion , 177 Kryptografi eeher Umschlag. 111 Kr y pt ologie, :1 Kr yptosystem , 2:1 Lemport-Verfahren. vtü Langzoitsclrlüssol, 228 Laufzeit , 46 Lawincnoffckt, 71 Lem ma von Bezou t , 121 Lineare Komplexit ät . 64 Lineares Sc'lnebercgister , 51 , 54 - 56
Index
:12l
XT HU- \ '('rsd lliis.'il·lu ug. 157 )' l ii ll:t~'iysh' lII X umber Held sieve, 118 - faires. 27:J Xyberg- Ruc ppel-S igua t ur. t-n ).IAC. 176. 187. 188.221. 222. 278 -280. 28-1 )'l av;isdlt>Tür. 196 Men-tn-tbe- middle- Angntl, 219 221. 225 . 230 . Oblivious-Transfer. 260 2:\:1. 2.tO. 279. 2~ O Fß-).Iodlls . 9:1. 100 Öffplltlidlt'r Sch lüssel. 10.'", )' IAS H I- Algor it hums. 185 Ü ne-Timc- Pad . .tO. 51 , 5:1. 238 )' IASH2-Al gorithmus. 185 ).11t..'i tN-SNret. 282. 285 O pe ra t ion. ..6 ).la tya...... ).I(')w-Ost'a...... V('rfal m·ll. 182 O rakel. 25 )'kE)j('('(,- Verschlüsselung . I f,CI Otway-R cos-Prot okoll . 23 7, 2.t5 Ou tput-Fccdbeck-Xlodus. !Ja. 100 )'1Il.t- Algorit h lIll1s. 183 ).11).'",-Algorit h llll1s. 183. Hl:I )'Il't't -ill-t lw- mid d le-Allgri ff. !)I p . .t8 Xh-hr-I'urtcicu- Boreclmung, 2·HJ Paddiug, G7 )' (Phr fllchw'rseh liissd u ug, !JO I)ai1lit-r-Sigrmturvorfahn-n . 155 ).!t'Ssngl' Autbenricat lon Code, 17n. li!>7, 188, Puillicr-Vcrsch lüssolungsver fah rcu. 15.. ,. 221, 222. 278--280, 28" Passiver Angreifer, 22 ).I('ss ag(· Autheut lcaüou Co de P IAC), 7 Passwort . 217. 2 1S. 220 . 2:\0. 287 ). l t'S.'illgselldozu fa llsgeueratol'. 125 HSA-Sigua t ur. 168, 169. 185 Hun-Test , 54
Pscudozufall szahl , 52. 12f, Pseudozufallsae hlenfolge. 55 , 100
S-I3ox, 75, 76 Sj)' IL\IE , 289 Sa t z von E uler, 116. 121. 1:J:! Sa tz von Fernt at - kleiner , 1 2 :~ Schachgrokmeistorangriff , 2:iO, 2:i4 Sd üelleregistN, 55 Schlüssel, 3, 2:1 Schlüsseletablierung . 217, 228. 2:1-4. 2:lG Schiiisseletablicrungsprot oko ll. 228 Schlüsselra um . H9 Sch lüss elt ransport protokoll. 228, 2:14. 2:16.
222
Public Key Hing, 288 Public- Key-E igen schaft , G. 107 Puhlic-Key-I nfra st ruk t ureu, 211 Public-Koy- Kryptogr afie , 4, 105 Public-Kcy- Kryp tosystem. 105 Public-Kcy-Sign a turschcma , 167
Public-Key-Verschlfisselungsvorfahren , l OG, 107, 159, zn . 2:10. 2GB Publtc-Key-Zcrt tt ikat v zl z
Quad ra t ischer Xtcht res t , 152, 197 Quad ratischer Hes t , 152, 197, 201 , 205 quadra t isches Sieh, 118 Quanten Comput tng , 296 Quanteu-Fourier-Transformat Ion, 2!J!) Quantenbit . 297 Que utcnk aual , 29:1 O ue nten kry pt ogra ftc, 29:J Qubit , 29 7 I(ückfl.( lresse - anonyme , 268 R ück kop pluugsfuu kt ion. Bö Rückkcp pluugspo lyn om. Bs Hik kru fiist e . 2 14 Ra hin -Signa t ur , 154 Ha bin, Verschlüssclungsvcrfahn-u , 153 Ra ndom-Or acle..)'lol ld l, 186 Rechuerjscher Zcro- Know ledge- Beweis , 20:~ Record- Layer- P ro tokol l. 279
2. 0 Schlüsse!veI"e illbaru llgspro tokoll, 228, 240 Sch lüsselverwalt u ng. 207, 287 Schrö d iugers Kat ze, 298 Schwach kollisionsn-sist cn t , 177 Schwelleus che ma. 25:1. 254 Secret-Sharing-Verfe hre u. 252 Secu re Sockets Luyer , 278 Selbst sy nchronis ierend. 9fi. 98 - 100 Selec tive forge ry, IG8 Selektives F älsche n. I G8 Semantisch siche r, 1m , Hi3 Somant ische Sicher heit , 28, HiO, Hi2, Hi4 Scndcrano nyuntät , 265 Scr tennnnnner, 22:1 Server , 278 Sess ion key, 94, 228 S HA- I- Algor it h mns , 184 . 19;1. 287 Shift How, 8:1, 86 Sho r-Algorit hmus, 2!)9
Index Shottest. vcctor probletu. 157 Shrtuking- Ccuerator, {)2. 64 Sicher im Sinne der polynomlellen U nunterscheidbarkclr , 49 Sicher im Sinlle der Ununtors cheidbarkcit , 28, 4 1
Sicherheit - perfekt , 28 - perfekte. 28 - semant ische, 28 , lGO. 1{)2 Siclu-rhcitsalgoritlunuaD Sichcrhcitxdleust vIl Sichcrhci ts mechauis mus, 9 Sicherheitsparameter. 5a. 20 1 Signa t ur, 221 , 224 , 270 , 279 , 287 - beweisbar sichere, 170 , 187 - blinde , 2{)5 , 270 - d igita le, 167 , 176 , 185 Stgna t ur algor lt luuus, )67 Signa t ur verfa hren. ) W ) , 222 , zn. zso. 27 1 SilV('r-Poh lig-Hellmall-Al gorit hmus. l :lG Simulation. 1%. 20Z. 204 Sing ulä r, 146 Sitaungsschlilssol , 94 , 228 , 2:14. 2:lG, 2:18, 240 Soundness, 201
Sprache, 201 Sq uaro- and-Xlultiply-Algo rit lnuus, 119 SSL, I!J:l, 278 St ark kollisiousn-sistent , 177 st a rke Primza hl. 118 st a rke HS A-Alilla h llle, 128 St at ist ischer Test , 5:t 54 St at ist ischer Zero-Kuowlcd ge-Bewels. 20:1 Stegauogre fic, 9 Stromcluttre, ;I!. \):1 St romoricnt tcrt, \):1. 9rl, 97 Subß yt es . 8:1. 85 , 87 Substitution . 14 Substit utionsbox. 75 Summationsgenerator. (i2 Su perposit ion, 29 7 Symmctrischo Kryptografie , 10r) Sy nchron, 98 , 100 Sy nchronis a tion, 2:18
TAX. 219 'Icilucluucra ut hcutifikat jon, 216 , 228
'Ieilnchmcra ut hentixit iit., 2. 8 Tciluehmcridcntifikation, 21 G Thres hcld-Sigua turverfuhren , 257 T hreshold-Verfa hren .25:1 Ttmc-Mcmory-Tradcoft. fi9 T:\ I:\-Protokoll, 2:18, 245 Total break, HiS Transakt ious uumnicrv älü Tr ansposition. 13 Trapdoor-Einwegfunktion. 112 , 128 Triple-DES-Algorit hmlls, 182 ,286 Trust Center, 212 'I'rustrd third party, 229 TT P, 229 . 2:J4 'Iu r tng- xtesclune, 4~ , 200. 299 Two- Key-Triple-DES, 92 Unülx-rtragbarkeit , 217, 218, 22:1 Uuebhäu gigkett. :la Unbedingt e Sicherheit , 45 Un cigcutltchcr P unk t , 1--18 Unendlich ferner Punkt , 1-18 Unerhebliche Funktion . 29 Universal forgrry, HiS Universell fälschbar. I G9 Universelle Falschba rkeit , l {i8 Ununterschcidbarkcit , 49 - polyuomielle, HiO, IG1
Verbindlichkeit , 2. toB -1 11, 279 Vorfügbarkcit., 9, 244 Verifier, 200 , 216 Veri fikat ion, 198 , 199 Ver ifikationsa lgorithmus. lß7 Veruachliissigbar c Funkt ion . 29 , 20 1 Vcrnaiu-Clnffro. :m Versc hiebechiffre . l :t :J--1. 35 Versc hlüs selung. 2:1, 221. 27!J - probab ilisti schc, IG2 Verschlüsseluugsfun ktion. 2:1 Vcrschlüs seluu gsverfe hrcn . 2:1, 220 , 221. 244 , 280 proba billstlsches. 2mJ Vel'schrällku llg. 2!J8 Ver t ra ulichkeit , 2. 22. IO!J, 111, 279, 2K6 Viclfachsuuuneudarst elluug. 120, 121 Vigcm-re-C hi ffre, 15, :In Vollständige Schliissclsuehe, I:J
-
Ind ex Vollst a ud ige Suche, 67 Vorhersagbarkelt vou liucaren Schieben-gist erfcl gen, 62 Vorper lode . 54 Vor tei l. 2n \Yör terblld mtta, ke, 2 1H \\'a hk ll - elektronische , 276 \ Vahrscheinlichkeit - a postrriori. :t1 - a priori. :12 Web of Tr ust. 289 \\'('chsc lcode-Vcrfahn'll, 217, 2 19, 221, 225 \\'pch se!m dl'- Verfahn-uiuit geheimem Sch liisscl. 220 \ Vechsek odc- Verfahren m it Passwor t , 220 \\'('rtet abelle, G8, 70 wesentlich verschieden. 20!) witness, 20--1 Wi t uess indistinguishahle, 20fl witncss-Hldtng-P rotokotlv äü.t Wnrld Wide W(,b. 278 \Vorst -casp-L allfzeit , 46 Wort , 2:1. 201 Zähler, 220 Zahlk örp ersleb. 118 Zeichen, 2:J Zeit atempul, 189, 220,22:1, zu . 2--12 Zeitstompeldienst. , 21--1 Zero Knowk-dgc Proofs of Knowh-dge , 201,
20' Zero Knowk-dgu Proofs of Xlemberslup , 201 Zcro-Kuowlcdgc- Bcweis, 195, 217, 22:1. 225 - perfekter, 202 , 20:1 - rcc hncrtscher. 20:J - st a tist ischer, 20:1 Zel"O-l( lIowlt,dg('- EigeIlSd lll.ft , 196. 198, 200, 202.20--1 Zer tifikat , 22:t 225, 2:10, 2:n , 240, 27G, 281. 289 Zortt nztcrungslnstenz . 2 12. 22:J, 276 Zeuge, 20-1 Znfallsbaud , 201 Zugangsko nt rolle, 2 17 Zyklus, 5--1
