Benutzer:Didia/RSA

RSA-Kryptosystem

Mathematische Grundlagen[Bearbeiten | Quelltext bearbeiten]

Einwegfunktionen mit Falltür[Bearbeiten | Quelltext bearbeiten]

Eine Einwegfunktion ist eine mathematische Funktion, die komplexitätstheoretisch „leicht“ berechenbar, aber „schwer“ umzukehren ist.^[1] Eine mathematische Einwegfunktion ${\displaystyle f:X\to Y}$ muss folgende Eigenschaften aufweisen:

• Die Berechnung des Funktionswerts ${\displaystyle y=f(x)}$ ist „einfach“, d. h. es existiert ein Algorithmus, der ihn in Polynomialzeit berechnen kann.
• Die Berechnung der Umkehrfunktion zu einem gegebenen Funktionswert ${\displaystyle y}$, d. h. einem ${\displaystyle x}$, sodass ${\displaystyle f^{-1}(y)=x}$, ist allerdings „schwer“, d. h. es existiert kein „schneller“ Algorithmus für dieses Problem. „Schnell“ meint hier einen probabilistischen Algorithmus, der in Polynomialzeit läuft.

Einen anschaulichen Vergleich bietet ein klassisches Papier-Telefonbuch einer größeren Stadt: Die auszuführende Funktion ist die, einem Namen die entsprechende Telefonnummer zuzuordnen. Da die Namen alphabetisch geordnet sind, lässt sich dies ziemlich schnell durchführen. Aber ihre Invertierung, also die Zuordnung eines Namens zu einer gegebenen Telefonnummer, ist offensichtlich viel schwieriger.^[2]

Man kann zeigen, dass Einwegfunktionen genau dann existieren, wenn P ≠ NP, die berühmte Vermutung aus der Komplexitätstheorie, gilt (siehe P-NP-Problem). Obwohl die Einwegfunktionen in der Kryptographie eine wichtige Rolle spielen, ist also bis heute nicht bekannt, ob sie im streng mathematischen Sinne überhaupt existieren.^[3]

Eine Variante der Einwegfunktionen sind Trapdoor-Einwegfunktionen, auch Falltürfunktionen genannt. Diese lassen sich nur dann effizient umkehren, wenn man eine gewisse Zusatzinformation besitzt. Eine Metapher für Falltürfunktionen ist die Funktion eines Briefkastens: Jeder kann einen Brief einwerfen. Das Herausholen ist dagegen sehr schwierig – es sei denn, man ist im Besitz des Schlüssels.

Der Diffie-Hellman-Merkle-Schlüsselaustausch verwendet beispielsweise die diskrete Exponentialfunktion als Einwegfunktion (mit dem diskreten Logarithmus als schwer zu berechnende Umkehrfunktion). Zu dieser existiert keine Falltür. Im Gegensatz dazu verwendet das RSA-Kryptosystem mit der Faktorisierung eine Einwegfunktion mit Falltür.

Primzahl-Multiplikation und Faktorisierung[Bearbeiten | Quelltext bearbeiten]

Das RSA-Kryptosystem basiert darauf, dass das Multiplizieren zweier Primzahlen eine Einwegfunktion ist. Sei also eine Funktion ${\displaystyle f}$ mit zwei Primzahlen ${\displaystyle p}$ und ${\displaystyle q}$ als Argumente gegeben, die eine Multiplikation durchführt:

${\displaystyle f(p,q)=p\cdot q}$

Diese Primzahl-Multiplikation ist mit moderner Computerunterstützung auch bei „grösseren“ Zahlen „einfach“ durchführbar.^[4][5]

Die Umkehrfunktion ${\displaystyle f^{-1}}$ entspricht der Faktorisierung. Für eine gegebene Zahl ${\displaystyle n}$ sollen die Faktoren ${\displaystyle p}$ und ${\displaystyle q}$ berechnet werden:

${\displaystyle f^{-1}(n)=(p,q)}$

Es ist bis heute kein effizientes Verfahren bekannt, mit dem aus dem Produkt zweier Primzahlen die beiden Faktoren bestimmt werden können. In diesem Zusammenhang spricht man auch vom Faktorisierungsproblem. Auch wenn sich nicht beweisen lässt, dass die Primzahl-Multiplikation eine Einwegfunktion ist, so spricht doch alles dafür.^[5]

Klaus Schmeh macht zur Veranschaulichung das folgende kleine Experiment: „Berechnen Sie im Kopf das Resultat der Multiplikation ${\displaystyle 13\cdot 17}$. Dann bestimmen Sie zum Vergleich die beiden Primzahlen, die miteinander multipliziert 217 ergeben (natürlich auch im Kopf). Damit können Sie sich in etwa vorstellen, warum die Primzahl-Multiplikation als Einwegfunktion gilt.“^[6]

Der nächste entscheidende Schritt besteht darin, zur Primzahl-Multiplikation als Einwegfunktion eine Falltürfunktion zu „basteln“.

Phi-Funktion[Bearbeiten | Quelltext bearbeiten]

Die Eulersche φ-Funktion (Eulersche Phi-Funktion) gibt für jede natürliche Zahl ${\displaystyle n}$ an, wie viele zu ${\displaystyle n}$ teilerfremde natürliche Zahlen es gibt, die nicht größer als ${\displaystyle n}$ sind. Zur Zahl ${\displaystyle 6}$ sind beispielsweise genau die Zahlen ${\displaystyle 1}$ und ${\displaystyle 5}$ teilerfremd, also ist ${\displaystyle \operatorname {\varphi } (6)=2}$. Zur Primzahl ${\displaystyle 13}$ ist jede der ${\displaystyle 12}$ Zahlen von ${\displaystyle 1}$ bis ${\displaystyle 12}$ teilerfremd, also ist ${\displaystyle \operatorname {\varphi } (13)=12}$.

Da eine Primzahl ${\displaystyle p}$ nur durch 1 und sich selbst teilbar ist, ist sie zu den Zahlen 1 bis ${\displaystyle p-1}$ teilerfremd. Weil sie größer als 1 ist, ist sie außerdem nicht zu sich selbst teilerfremd. Es gilt daher

${\displaystyle \varphi (p)=p-1}$.

Die Phi-Funktion ist eine multiplikative zahlentheoretische Funktion, sodass für teilerfremde Zahlen ${\displaystyle m}$ und ${\displaystyle n}$

${\displaystyle \varphi (m\cdot n)=\varphi (m)\cdot \varphi (n)}$

gilt. Zum Beispiel ist ${\displaystyle \varphi (18)=\varphi (2)\cdot \varphi (9)=1\cdot 6=6}$

Man geht davon aus, dass die Berechnung der ${\displaystyle \varphi }$-Funktion mindestens so aufwändig ist wie die Faktorisierung. Allerdings kann man ${\displaystyle \operatorname {\varphi } (n)}$ einfach berechnen, wenn es sich dabei um das Produkt zweier Primzahlen ${\displaystyle p}$ und ${\displaystyle q}$ handelt. Dann gilt nämlich

${\displaystyle \operatorname {\varphi } (n)=\operatorname {\varphi } (p)\cdot \operatorname {\varphi } (q)=(p-1)\cdot (q-1)}$.

Allerdings muss man für diese Berechnung ${\displaystyle p}$ und ${\displaystyle q}$ tatsächlich kennen, denn es ist wiederum schwierig, zwei Primzahlen ${\displaystyle p}$ und ${\displaystyle q}$ zu bestimmen, von denen man nur das Produkt ${\displaystyle n}$ kennt (siehe Abschnitt „Primzahl-Multiplikation und Faktorisierung“).^[7]

Satz von Fermat-Euler[Bearbeiten | Quelltext bearbeiten]

Eine wichtige Anwendung findet die Phi-Funktion im Satz von Fermat-Euler:

Wenn zwei natürliche Zahlen a und m teilerfremd sind, ist m ein Teiler von ${\displaystyle a^{\varphi (m)}-1:}$

${\displaystyle \operatorname {ggT} (a,m)=1\Rightarrow m\mid a^{\varphi (m)}-1}$

Etwas anders formuliert:

${\displaystyle \operatorname {ggT} (a,m)=1\Rightarrow a^{\varphi (m)}\equiv 1{\pmod {m}}}$

Da für prime Moduli ${\displaystyle p}$ gilt ${\displaystyle \operatorname {\varphi } (p)=p-1}$, geht für sie der Satz von Fermat-Euler in den kleinen Satz von Fermat über:

${\displaystyle a^{p-1}\equiv 1{\pmod {p}}}$

Gruppen und Körper[Bearbeiten | Quelltext bearbeiten]

Eine Gruppe ist ein Paar ${\displaystyle (G,*)}$, bestehend aus einer Menge ${\displaystyle G}$ und einer assoziativen Verknüpfung ${\displaystyle *}$ auf ${\displaystyle G}$, die ein neutrales Element hat und für die jedes Element von ${\displaystyle G}$ ein inverses Element besitzt. Beispielsweise bildet die Menge der ganzen Zahlen mit der Addition als Verknüpfung die (abelsche) Gruppe ${\displaystyle (\mathbb {Z} ,+)}$. Das neutrale Element der Addition ist die ${\displaystyle 0}$ (Null) und das additiv Inverse einer Zahl ${\displaystyle a}$ ist ihre Gegenzahl ${\displaystyle -a}$. Die ganzen Zahlen ${\displaystyle \mathbb {Z} }$ sind bezüglich der Addition wiederum eine Untergruppe der rationalen Zahlen ${\displaystyle \mathbb {Q} }$. Demgegenüber bilden die rationalen (und ganzen) Zahlen zusammen mit der Multiplikation keine Gruppe, weil die Zahl ${\displaystyle 0}$ kein inverses Element bezüglich der Multiplikation besitzt. Wenn man jedoch ${\displaystyle 0}$ aus ${\displaystyle \mathbb {R} }$ entfernt, erhält man die (abelsche) Gruppe ${\displaystyle (\mathbb {R} -\{0\},\cdot )}$. So ist beispielsweise das multiplikativ Inverse von ${\displaystyle 7}$ die rationale Zahl ${\displaystyle 1/7}$ (in den ganzen Zahlen hat ${\displaystyle 7}$ dagegen kein multiplikativ Inverses).

Die Modulo-Addition entspricht der Addition in ${\displaystyle \mathbb {N} }$, wobei man beim Ergabnis ${\displaystyle \geq n}$ anschliessend den Rest der Ganzzahldivision durch ${\displaystyle n}$ nimmt (also modulo n rechnet). Definiert man nun auf der Menge ${\displaystyle \mathbb {Z} _{n}:=\{0,1,2,...,n-1\}}$ eine Modula-Addition bezüglich des Moduls ${\displaystyle n}$, so entsteht eine (abelsche) Gruppe.

So gilt beispielsweise in ${\displaystyle \mathbb {Z} _{8}}$

${\displaystyle 1+2=3}$

${\displaystyle 3+5=8\ {\bmod {\ }}8=0}$

${\displaystyle 5+5=10\ {\bmod {\ }}8=2}$.

Bezüglich der Multiplikation modulo ${\displaystyle 8}$ als Verknüpfung bildet die Menge ${\displaystyle \mathbb {Z} _{8}}$ jedoch keine Gruppe, selbst wenn die ${\displaystyle 0}$ ausgenommen wird. Es gibt noch weitere Zahlen, die kein inverses Element haben, nämlich ${\displaystyle 2}$, ${\displaystyle 4}$ und ${\displaystyle 6}$. Dies sind genau die Zahlen, die einen echten Teiler mit ${\displaystyle 8}$ gemeinsam haben. Die verbleibenden Elemente bilden schließlich die Multiplikative Gruppe ${\displaystyle \mathbb {Z} _{8}^{*}}$.

Die prime Restklassengruppe ist somit die Gruppe der primen Restklassen bezüglich eines Moduls ${\displaystyle n}$. Sie wird als ${\displaystyle \mathbb {Z} _{n}^{*}}$ oder ${\displaystyle (\mathbb {Z} /n\mathbb {Z} )^{\times }}$ notiert. Sie sind genau die multiplikativ invertierbaren Restklassen und sind daher endliche abelsche Gruppen bezüglich der Multiplikation. In der Kryptographie sind vor allem jene Zahlen ${\displaystyle n}$ von Interesse, für die alle Zahlen zwischen ${\displaystyle 1}$ und ${\displaystyle n-1}$ ein inverses Element modulo ${\displaystyle n}$ haben. Dies ist genau dann der Fall, wenn ${\displaystyle n}$ eine Primzahl ist (weshalb man ${\displaystyle p}$ statt ${\displaystyle n}$ schreibt). Die Zahlen zwischen ${\displaystyle 1}$ und ${\displaystyle p-1}$ bilden also zusammen mit der Modulo-Multiplikation die Gruppe ${\displaystyle Z_{p}^{*}}$.

Ein Körper ist eine Menge ${\displaystyle K}$ versehen mit zwei inneren zweistelligen Verknüpfungen „${\displaystyle +}$“ und „${\displaystyle \cdot }$“, die meist „Addition“ und „Multiplikation“ genannt werden. Ein Körper ist bezüglich der Addition und der Multiplikation ohne Null eine Gruppe und es gelten die Distributivgesetze. Der bekannteste Körper ist die Menge der reellen Zahlen ${\displaystyle \mathbb {R} }$, auf der Addition und Multiplikation in üblicher Weise definiert sind. Für eine Primzahl ${\displaystyle p}$ bildet die Menge der Zahlen zwischen ${\displaystyle 0}$ und ${\displaystyle p-1}$ sowohl mit der Modulo-Addition also auch mit der Modulo-Multiplikation ohne Null eine Gruppe. Die Restklassen ganzer Zahlen modulo ${\displaystyle p}$, geschrieben ${\displaystyle \mathbb {F} _{p}}$ oder ${\displaystyle \operatorname {GF} (p)}$, bilden somit einen endlichen Körper (auch Galoiskörper, engl. Galois field).

Berechnung des multiplikativ Inversen modulo n[Bearbeiten | Quelltext bearbeiten]

Mit dem erweiterten euklidischen Algorithmus[Bearbeiten | Quelltext bearbeiten]

Die multiplikative Gruppe ${\displaystyle \mathbb {Z} _{n}^{*}}$ besteht aus den Elementen von ${\displaystyle \mathbb {Z} _{n}}$, die teilerfremd zu ${\displaystyle n}$ sind. Für jedes ${\displaystyle a\in \mathbb {Z} _{n}}$ gilt also

${\displaystyle \operatorname {ggT} (a,n)=1}$.

Das multiplikativ inverse Element ${\displaystyle a^{-1}}$ zu einer Zahl ${\displaystyle a}$ in ${\displaystyle \mathbb {Z} _{n}}$ erfüllt die Bedingung

${\displaystyle a\cdot a^{-1}=1\ ({\bmod {\ }}n)}$.

Das Lemma von Bézout besagt, dass sich der größte gemeinsame Teiler ${\displaystyle \operatorname {ggT} (a,n)}$ zweier ganzer Zahlen ${\displaystyle a}$ und ${\displaystyle n}$ als Linearkombination von ${\displaystyle a}$ und ${\displaystyle n}$ mit ganzzahligen Koeffizienten darstellen lässt:

Sei ${\displaystyle \operatorname {ggT} (a,n)=g}$: Dann gibt es ganze Zahlen ${\displaystyle s}$ und ${\displaystyle t}$ mit ${\displaystyle g=s\cdot a+t\cdot n}$.

Sind ${\displaystyle a}$ und ${\displaystyle b}$ teilerfremd (also ${\displaystyle g=1}$), dann existieren offensichtlich${\displaystyle s,t\in \mathbb {Z} }$, sodass

${\displaystyle 1=s\cdot a+t\cdot n}$

gilt. Modulo ${\displaystyle n}$ gerechnet ergibt sich nun

${\displaystyle 1=s\cdot a\ ({\bmod {\ }}n)}$,

da der zweite Summand den Faktor ${\displaystyle n}$ enthält und somit „wegfällt“. Die Multiplikation mit ${\displaystyle a^{-1}}$ ergibt

${\displaystyle a^{-1}=s\ ({\bmod {\ }}n)}$.

Somit ist also ${\displaystyle s\ {\bmod {\ }}n}$ das inverse Element von ${\displaystyle a}$ in ${\displaystyle \mathbb {Z} _{n}^{*}}$.

Die Koeffizienten ${\displaystyle s}$ und ${\displaystyle t}$ können mit dem erweiterten euklidischen Algorithmus effizient berechnet werden und damit auch das Inverse ${\displaystyle a^{-1}=s\ {\bmod {\ }}n}$.

Beispiel:

Gesucht sei das Inverse von ${\displaystyle a=25}$ in ${\displaystyle \mathbb {Z} _{29}^{*}}$. Da ${\displaystyle \operatorname {ggT} (25,29)=1}$ gilt, existiert dieses. Des weiteren existieren ${\displaystyle s}$ und ${\displaystyle t}$, die die Bedinung

${\displaystyle 1=s\cdot 25+t\cdot 29}$

erfüllen. Der erweiterte euklidische Algorithmus liefert nun die Zahlen ${\displaystyle s=7}$ und ${\displaystyle t=-6}$. Es lässt sich nun leicht überprüfen, dass gilt

${\displaystyle 1=s\cdot a+t\cdot n=7\cdot 25+(-6)\cdot 29}$.

Damit ist auch das Inverse ${\displaystyle a^{-1}=s\ {\bmod {\ }}29=7\ ({\bmod {\ }}29)}$ gefunden. Auch dies lässt sich überprüfen:

${\displaystyle a\cdot a^{-1}=25\cdot 7\ {\bmod {\ }}29=175\ {\bmod {\ }}29=1\ ({\bmod {\ }}29)}$.

Durch modulare Exponentiation[Bearbeiten | Quelltext bearbeiten]

TBD

1. ↑ Ertel: Angewandte Kryptographie. 4. Aufl., 2012, S. 98–99; Buchmann: Einführung in die Kryptographie. 3. Aufl., 2004, S. 192.
2. ↑ Beutelspacher, Schwenk, Wolfenstetter: Moderne Verfahren der Kryptographie. 8. Aufl., 2015, S. 16.
3. ↑ Beutelspacher, Schwenk, Wolfenstetter: Moderne Verfahren der Kryptographie. 8. Aufl., 2015, S. 17 mit Verweis auf Jose L. Balcazar, Josep Diaz, Josep, Joaquim Gabarró: Structural Complexity I. Springer: Heidelberg, Berlin, 1988.
4. ↑ Freiermuth u.a.: Einführung in die Kryptologie. 2. Aufl., 2014, S. 289-290.
5. ↑ ^{a b} Schmeh: Kryptografie. 5. Aufl., 2013, S. 184.
6. ↑ Schmeh: Kryptografie. 5. Aufl., 2013, S. 185.
7. ↑ Schmeh: Kryptografie. 5. Aufl., 2013, S. 180-181 und S. 190.