Kryptologie/RSA-Kryptosystem: Unterschied zwischen den Versionen

(Asymmetrische) Kryptosystem, Sicherheitsziele, Verschlüsselungsverfahren und digitale Signatur
Kryptosystem
Verfahren zur Umsetzung von Sicherheitszielen in der Kryptografie[1].
Asymmetrische Kryptosysteme
Kryptosystem, bei dem Sender und Empfänger über kein gemeinsamen geheimen Schlüssel verfügen[2].
Authentizität
Der Empfänger einer Nachricht kann sich davon überzeugen, dass die erhaltene Nachricht von einem eindeutigen Sender stammt[3].
Verbindlichkeit
Der Empfänger der Nachricht kann Dritten gegenüber nachweisen, dass die Nachricht von einem bestimmten Sender stammt[4].
Vertraulichkeit
Höchstens Sender und Empfänger können den Inhalt des Klartextes einer übermittelten Nachricht verstehen[2].
Verschlüsselungsverfahren
Kryptosystem zur Umsetzung von Vertraulichkeit[2].
Digitale Signatur
Kryptosystem zur Umsetzung von Authentizität und Verbindlichkeit[2].

Das RSA-Kryptosystem ist ein asymmetrisches Kryptosystem aus den 70er Jahren des letzten Jahrhunderts^[5]. Es beruht auf der Annahme, dass die Potenzierung modulo ${\displaystyle N}$ unter bestimmten Voraussetzungen eine Falltür-Funktion ist^[6]. Das Kryptosystem kann zur Realisierung all unserer bekannten Sicherheitsziele genutzt werden: Vertraulichkeit oder Authentizität und Verbindlichkeit. Das RSA-Kryptosystem, kann also als Verschlüsselungsverfahren oder als digitale Signatur verwendet werden^[5]. Es gilt als eines der aktuell besten Kryptosysteme^[7] und kommt als Verschlüsselungsverfahren oder digitale Signatur in unterschiedlichen Einsatzgebiete vor^[8]. Zwei von vielen Beispielen hierfür sind Bankkarten zum Geld abheben und bargeldlosem Bezahlen^[9] und S/MIME, einem Standard für Verschlüsselung und Signatur von Emails, der den RSA-Algorithmus als Verfahren zur digitalen Signatur verwendet^[10].

Wir beschreiben den RSA-Algorithmus anhand des RSA-Verschlüsselungsverfahrens. Die Berechnungen finden dabei alle im Restklassenring ${\displaystyle (\mathbb{Z}/N\mathbb{Z},\oplus ,\odot )}$ statt^[11].

Primzahltest, Eulersche ${\displaystyle \phi }$-Funktion und Erweiterter Euklidischer Algorithmus
Primzahltest
Test mit Ziel zu überprüfen, ob eine Zahl (mit hoher Wahrscheinlichkeit) prim ist[12].
Eulersche ${\displaystyle \phi }$-Funktion
Für die eulersche ${\displaystyle \phi }$-Funktion gilt: ${\displaystyle \phi (n):=\mid G_n\mid }$[13][14] mit ${\displaystyle G_n:=\{a\in \mathbb{N}|1\le a\le n\wedge \mathrm{ggT}(a,n)=1\}}$[15][14].
Erweiterte euklidische Algorithmus
Der erweiterte euklidische Algorithmus wird auf zwei Zahlen ${\displaystyle a,b\in \mathbb{N}}$ angewandt und besteht aus zwei Teilen: Berechnung des ${\displaystyle \mathrm{ggT}(a,b)=s\cdot a+t\cdot b}$ (auch als euklidischer Algorithmus bekannt[16]), Berechnung zweier ganzer Zahlen ${\displaystyle s}$ und ${\displaystyle t}$, welche die Gleichung ${\displaystyle \mathrm{ggT}(a,b)=s\cdot a+t\cdot b}$ erfüllen[17].

1. Schlüsselerzeugungsalgorithmus
   • Berechnung des RSA-Modul ${\displaystyle N=p\cdot q}$ aus zwei Primzahlen ${\displaystyle p,q}$ definierter Größenordnung
   • Wahl eines zu ${\displaystyle \phi (N)=(p-1)\cdot (q-1)}$ teilerfremden Verschlüsselungsexponenten ${\displaystyle e}$
   • Berechnung des Entschlüsselungsexponenten ${\displaystyle d}$ aus der Gleichung ${\displaystyle e\cdot d\equiv 1mod\phi (N)}$ mittels erweitertem euklidischen Algorithmus
   • Privaten Schlüssel ${\displaystyle (d,N)}$ und öffentlichen Schlüssel ${\displaystyle (e,N)}$ bilden^[18][19]
   • Bemerkung: Die Wahl der Primzahlen geschieht aus Sicherheitsgründen zufällig, wobei eine gewisse Größenordnung vorausgesetzt wird. In der Praxis wählt man eine zufällige Zahl dieser Größenordnung und testet dann mit einem Primzahltest, ob die Zahl prim ist^[20].
2. Verschlüsselungsalgorithmus
   • ${\displaystyle c\equiv m^{e}modN}$ mit Klartext ${\displaystyle m\in \mathbb{Z}/N\mathbb{Z}}$, Geheimtext ${\displaystyle c\in \mathbb{Z}/N\mathbb{Z}}$ und dem öffentlichen Schlüssel ${\displaystyle (e,N)}$^[18][21]
3. Entschlüsselungsalgorithmus
   • ${\displaystyle m\equiv c^{d}modN}$ mit ${\displaystyle m\in \mathbb{Z}/N\mathbb{Z}}$, ${\displaystyle c\in \mathbb{Z}/N\mathbb{Z}}$ und dem privaten Schlüssel ${\displaystyle (d,N)}$^[18][21]

Bemerkung: Die Algorithmen der RSA-Signatur sind zu denen des RSA-Verschlüsselungsverfahrens fast identisch. Sie unterscheiden sich in der Notation und in der Reihenfolge des zweiten und dritten Schritts^[21].

Wir wollen den Klartext ${\displaystyle m=7}$ mit dem Verschlüsselungsalgorithmus verschlüsseln und anschließend mit dem Entschlüsselungsalgorithmus entschlüsseln.

Schritt 1: Schlüsselerzeugung

Multiplikative Inverse, erweiterte euklidische Algorithmus und Kongruenz
Multiplikative Inverse
Die Restklasse ${\displaystyle [a{]}_m}$ ist genau dann invertierbar in ${\displaystyle \mathbb{Z}/m\mathbb{Z}}$, wenn gilt ${\displaystyle ggT(a,m)=1}$ und die Lösung ${\displaystyle [s{]}_m}$ der Kongruenz ${\displaystyle as\equiv 1modm}$ ist eindeutig bestimmt und wir nennen diese multiplikative Inverse von ${\displaystyle [a{]}_m}$[22].
Erweiterte euklidische Algorithmus
Der erweiterte euklidische Algorithmus wird auf zwei Zahlen ${\displaystyle a,b\in \mathbb{N}}$ angewandt und besteht aus zwei Teilen: Berechnung des ${\displaystyle \mathrm{ggT}(a,b)=s\cdot a+t\cdot b}$ (auch als euklidischer Algorithmus bekannt[16]), Berechnung zweier ganzer Zahlen ${\displaystyle s}$ und ${\displaystyle t}$, welche die Gleichung ${\displaystyle \mathrm{ggT}(a,b)=s\cdot a+t\cdot b}$ erfüllen[17].
Kongruenz
Seien ${\displaystyle a,b\in \mathbb{Z}}$ und ${\displaystyle m\in \mathbb{N}}$, dann gilt ${\displaystyle a\equiv bmodm\iff m\mid (a-b)}$[23].

Seien ${\displaystyle p=11}$ und ${\displaystyle q=13}$

Wir bestimmen zunächst den RSA-Modul ${\displaystyle N=p\cdot q=11\cdot 13=143}$.

Dann ist

${\displaystyle \phi (N)=(p-1)\cdot (q-1)=10\cdot 12=120}$.

Wähle ${\displaystyle e}$ mit ${\displaystyle ggT(e,\phi (N))=1}$, dann sei ${\displaystyle e=23}$.

Nun berechnen wir das multiplikative Inverse ${\displaystyle d}$ mit ${\displaystyle e\cdot d\equiv 1mod\phi (N)}$:

${\displaystyle 23\cdot d\equiv 1mod120}$

Wir wenden den erweiterten euklidischen Algorithmus an:

• Teil 1: Berechnung des ${\displaystyle ggT}$

Gleichung 1: ${\displaystyle 120=5\cdot 23+5}$

Gleichung 2: ${\displaystyle 23=4\cdot 5+3}$

Gleichung 3: ${\displaystyle 5=1\cdot 3+2}$

Gleichung 4: ${\displaystyle 3=1\cdot 2+1}$

Gleichung 5: ${\displaystyle 2=2\cdot 1+0}$

${\displaystyle \Rightarrow ggT(23,120)=1}$, da der hintere Summand in der vorletzten Gleichung ${\displaystyle 1}$ ist

• Teil 2: Berechnung zweier ganzer Zahlen ${\displaystyle s}$ und ${\displaystyle t}$, welche die Gleichung ${\displaystyle \mathrm{ggT}(23,120)=s\cdot 23+t\cdot 120}$ erfüllen

${\displaystyle 1=3-1\cdot 2}$

${\displaystyle \iff 1=(23-4\cdot 5)-1\cdot (5-3)}$, wegen Gleichung 2 und 3

${\displaystyle \iff 1=23-5\cdot 5+3}$

${\displaystyle \iff 1=23-5\cdot 5+(23-4\cdot 5)}$, wegen Gleichung 1 und 2

${\displaystyle \iff 1=23-5\cdot (120-5\cdot 23)+(23-4\cdot (120-5\cdot 23))}$, wegen Gleichung 1

${\displaystyle \iff 1=23-5\cdot 120+25\cdot 23+23-4\cdot 120+20\cdot 23}$

${\displaystyle \iff 1=47\cdot 23-9\cdot 120}$

${\displaystyle \Rightarrow s=47}$ und ${\displaystyle t=-9}$

Es folgt wegen der Kongruenz ${\displaystyle 23\cdot d\equiv 1mod120}$, dass ${\displaystyle d=s=47}$.

Nun bilden wir den privaten und öffentlichen Schlüssel

• Private Schlüssel ${\displaystyle (d,N)=(47,143)}$
• Öffentliche Schlüssel ${\displaystyle (e,N)=(23,143)}$

Schritt 2: Verschlüsseln des Klartextes ${\displaystyle m=7}$ mit ${\displaystyle c\equiv m^{e}modN}$

${\displaystyle c\equiv 7^{23}\equiv 7^{21}\cdot 7^2\equiv (7^7{)}^3\cdot 7^2\equiv 6^3\cdot 7^2\equiv 73\cdot 49\equiv 2mod143}$, da ${\displaystyle 7^7=5759\cdot 143+6}$

${\displaystyle \Rightarrow c=2}$

Schritt 3: Entschlüsseln des Geheimtextes ${\displaystyle c=2}$ mit ${\displaystyle m\equiv c^{d}modN}$

${\displaystyle m\equiv 2^{47}\equiv 2^6\cdot 2^7\cdot 2^5\equiv 64\cdot 128\cdot 32\equiv 7mod143}$

${\displaystyle \Rightarrow m=7}$^[24]

Die Sicherheit des RSA-Algorithmus beruht heute vor allem auf dem RSA- bzw. Faktorisierungsproblem^[25].

Gegeben sind der öffentliche Schlüssel ${\displaystyle (e,N)}$ sowie der Geheimtext ${\displaystyle c}$. Gesucht wird der Klartext ${\displaystyle m}$ wobei gilt: ${\displaystyle m^e\equiv cmodN}$. Das Problem liegt hier in der Schwierigkeit die ${\displaystyle e}$-te Wurzel modulo ${\displaystyle N}$ zu ziehen oder das multiplikative Inverse von ${\displaystyle e}$ zu bestimmen^[18][25].

Es ist bisher nicht klar wie schwer es tatsächlich ist das RSA-Problem zu lösen. Es wird jedoch angenommen, dass das Problem (bei ausreichend großem RSA-Modul ${\displaystyle N}$) unverhältnismäßig schwer zu lösen ist. Diese Annahme heißt RSA-Annahme^[25].

Dass das RSA-Problem schwer zu lösen ist, wird auch durch das Faktorisierungsproblem bekräftigt. Das Faktorisierungsproblem besteht schon seit Jahrhunderten^[26]. Die Problemstellung besteht darin, für eine zusammengesetzte Zahl ${\displaystyle n}$ einen anderen Teiler als ${\displaystyle 1}$ und ${\displaystyle n}$ zu finden^[25]. Wir werden in einer späteren Lerneinheit zur Sicherheit des RSA-Kryptosystems sogar zeigen, dass das RSA-Problem höchstens so schwer zu lösen ist, wie das Faktorisierungsproblem^[25].

Ob der RSA-Algorithmus auch noch in einigen Jahrzehnten als sicher gilt, ist fraglich. Möglicherweise gelingt es bis dahin einen Faktorisierungsalgorithmus zu finden, der das Faktorisierungsproblem löst oder es gibt eine andere Möglichkeit, um den RSA-Algorithmus unabhängig von der Faktorisierung von ${\displaystyle N=p\cdot q}$ zu brechen und somit das RSA-Problem zu lösen^[25]. Ein solcher effizienter Faktorisierungsalgorithmus ist bereits beschrieben worden, jedoch setzt dieser den Einsatz von Quantencomputern voraus^[27].

In einigen Spezialfällen kann ein Angreifer einen Geheimtext entschlüsseln^[18][8]. Diese Angriffsszenarien basieren jedoch auf einer falschen Verwendung des RSA-Kryptosystems^[28]. Ein solches Beispiel behandeln wir in der Lerneinheit Angriff auf das RSA-Verschlüsselungsverfahren.

Kursübersicht

Übergeordnete Lerneinheit
5: Asymmetrische Kryptosysteme
Vorherige Lerneinheit	Aktuelle Lerneinheit	Empfohlene Lerneinheit
5: Asymmetrische Kryptosysteme	6: RSA-Kryptosystem	7.1: Schlüsselerzeugung des RSA-Verschlüsselungsverfahrens
Grundlagen der empfohlenen Lerneinheit
7.1.1: Primzahl(-eigenschaften)	7.1.2: Probedivision (Primzahltest 1)	7.1.3: Fermat-Test (Primzahltest 2)
7.1.4: Miller-Rabin-Test (Primzahltest 3)	7.1.5: Erweiterter euklidischer Algorithmus	7.1.6: Eulersche φ-Funktion