Kryptologie/Sicherheit des RSA-Kryptosystems

Im Gegensatz zur Korrektheit des RSA-Kryptosystems, können wir die Sicherheit des RSA-Kryptosystems nicht beweisen^[4]. Wie bereits auf der Übersichtsseite zum RSA-Kryptosystem besprochen, beruht die Sicherheit des RSA-Kryptosystems zunächst auf dem RSA-Problem^[2].

Wir wollen nun zeigen, dass das Bestimmen des multiplikativen Inversen ${\displaystyle d}$ von ${\displaystyle e}$ ebenso schwer ist, wie das Faktorisierungsproblem.

Das Faktorisierungsproblem besteht seit Jahrhunderten^[5]. Bei diesem sollen für eine zusammengesetzte Zahl ${\displaystyle n}$ Teiler gefunden werden, die weder ${\displaystyle 1}$ noch ${\displaystyle n}$ sind^[2]. Es gibt bisher jedoch keinen effizienten Faktorisierungsalgorithmus zum Lösen des Faktorisierungsproblems für beliebige ${\displaystyle n}$^[6].

Die Sicherheit des RSA-Algorithmus beruht heute vor allem auf dem RSA- bzw. Faktorisierungsproblem^[2]. Könnte ein Angreifer die Primfaktoren des RSA-Modul ${\displaystyle N=p\cdot q}$ berechnen, so könnte dieser den kompletten Schlüsselerzeugungsalgorithmus des Empfängers nachvollziehen^[4]. Der Angreifer benötigt hierfür zwar den Verschlüsselungsexponenten ${\displaystyle e}$, aber diesen hat der Empfänger beim RSA-Verschlüsselungsverfahren öffentlich zur Verfügung gestellt^[7].

Bemerkung: Es gibt unterschiedliche Faktorisierungsalgorithmen, die effizient versuchen Teiler von ${\displaystyle n}$ zu finden und dabei entweder von den Größe von ${\displaystyle n}$ oder dessen Teilern abhängen^[8]. Beispiele für solche Algorithmen sind Pollard-${\displaystyle p-1}$-Methode^[9][10], das Quadratisches Sieb^[11][12] und die Methode der elliptischen Kurven^[13].

Um die Sicherheit des privaten Schlüssels zu untersuchen, wollen wir zeigen, dass das RSA-Kryptosystem die Public-Key-Eigenschaft erfüllt, d.h. dass es praktisch unmöglich ist von dem öffentlichen auf den privaten Schlüssel zu schließen^[14]. Wir orientieren uns dabei an den Bezeichnungen des RSA-Verschlüsselungsverfahrens.

Wie im Abschnitt Faktorisierungsproblem thematisiert, beruht die Sicherheit des RSA-Verschlüsselungsverfahrens vor allem auf der Schwierigkeit große Zahlen, wie ${\displaystyle N}$, zu faktorisieren und der Schwierigkeit vom öffentlichen Verschlüsselungsexponenten ${\displaystyle e}$ auf den privaten Entschlüsselungsexponenten ${\displaystyle d}$ zu schließen^[15]. Es stellt sich nun die Frage, welche der beiden Herausforderungen im Allgemeinen schwerer zu bewerkstelligen ist. Wir beantworten diese Frage, indem wir zeigen, dass beide Probleme äquivalent zueinander sind. Die Berechnung des Entschlüsselungsexponenten ${\displaystyle d}$ ist also nicht leichter als die Faktorisierung von ${\displaystyle N}$.

Wir zeigen folgende Äquivalenz:

Seien ${\displaystyle N}$ und der öffentliche Verschlüsselungsexponent ${\displaystyle e}$ gegeben, dann sind für einen effizienten Angreifer folgenden Aussagen äquivalent

1. Der Angreifer kann die Primfaktoren ${\displaystyle p}$ und ${\displaystyle q}$ berechnen
2. Der Angreifer kann den privaten Entschlüsselungsexponenten ${\displaystyle d}$ mit ${\displaystyle de\equiv 1mod\phi (N)}$ berechnen^[16]

Gelingt es uns diese Äquivalenz zu zeigen, dann wissen wir, dass nur ein Angreifer den privaten Entschlüsselungsexponenten ${\displaystyle d}$ berechnen kann, der auch ${\displaystyle N}$ faktorisieren kann. Nach dem Faktorisierungsproblem gehen wir jedoch davon aus, dass für ausreichend große und zufällige Primzahlen kein effizienter Algorithmus zur Faktorisierung von ${\displaystyle N}$ bekannt ist. Folglich ist auch kein Algorithmus zur Bestimmung des Entschlüsselungsexponenten ${\displaystyle d}$ bekannt, der ohne ${\displaystyle \phi (N)}$ auskommt. Die Bestimmung des privaten Schlüssels ${\displaystyle (d,N)}$ aus ${\displaystyle N}$ und ${\displaystyle e}$ ist somit genauso schwierig, wie Faktorisierung von ${\displaystyle N}$^[17].

Achtung! Die Äquivalenz beweist nicht, dass das RSA-Kryptosystem sicher ist! Das Faktorisierungsproblem besteht seit mehreren Jahrhunderten, aber es ist denkbar, dass es gelöst wird. Außerdem könnte eine weitere Möglichkeit entdeckt werden, die unabhängig von dem Faktorisierungsproblem ist und das RSA-Kryptosystem knackt^[5].

${\displaystyle 1.\Rightarrow 2.:}$

Voraussetzung

Seien ${\displaystyle N}$, ${\displaystyle e}$, ${\displaystyle p}$ und ${\displaystyle q}$ bekannt.

Zu zeigen

Wir können den privaten Entschlüsselungsexponenten ${\displaystyle d}$ mit ${\displaystyle d\cdot e\equiv 1mod\phi (N)}$ berechnen.

Beweis

Nach Schritt 5 des Schlüsselerzeugungsalgorithmus wissen wir, dass der private Schlüssel ${\displaystyle (d,N)}$ durch Lösen der Kongruenz ${\displaystyle de\equiv 1mod\phi (N)}$ berechnet werden kann, wenn die Primfaktoren ${\displaystyle p}$ und ${\displaystyle q}$ und der öffentliche Verschlüsselungsexponent ${\displaystyle e}$ bekannt sind.

${\displaystyle 2.\Rightarrow 1.:}$

Voraussetzung

Seien ${\displaystyle N}$, ${\displaystyle e}$, und ${\displaystyle d}$ bekannt.

Zu zeigen

Wir können die Primfaktoren ${\displaystyle p}$ und ${\displaystyle q}$ berechnen.

Beweis

Wir beschreiben einen Algorithmus, der mit den Informationen ${\displaystyle N}$, ${\displaystyle e}$ und ${\displaystyle d}$ in der Lage ist, ${\displaystyle p}$ bzw. ${\displaystyle q}$ zu bestimmen.

Wir setzen zunächst

${\displaystyle j=max\{v\in \mathbb{N}:2^v\mid (ed-1)\}}$

und

${\displaystyle k=\frac{ed-1}{2^j}}$^[16]

und zeigen folgenden Hilfssatz, den wir später im Satz Bestimmung eines Primfaktors aus ${\displaystyle N}$, ${\displaystyle e}$ und ${\displaystyle d}$ nutzen.

Für alle Zahlen ${\displaystyle a\in \mathbb{Z}}$ mit ${\displaystyle ggT(a,N)=1}$ gilt ${\displaystyle ord([a^k{]}_N)\in \{2^i\text{ mit }0\le i\le j\}}$^[16].

Wir betrachten nun einen Satz, welcher die Grundlage für einen Algorithmus bildet, mit dem man aus

,

und

einen Primfaktor von

bestimmen kann.

Sei ${\displaystyle a\in \mathbb{Z}}$ mit ${\displaystyle ggT(a,N)=1}$.

Wenn ${\displaystyle ord(a^{k}modp)\ne ord(a^{k}modq)}$, dann gilt ${\displaystyle 1<ggT(a^{2^{v}k}-1,N)<N}$ für ein ${\displaystyle v\in \{0,1,2,\dots ,j-1\}}$^[16].

Voraussetzung

Sei ${\displaystyle a\in \mathbb{Z}}$ mit ${\displaystyle ggT(a,N)=1}$ und ${\displaystyle ord(a^{k}modp)\ne ord(a^{k}modq)}$, wobei

${\displaystyle j=max\{v\in \mathbb{N}:2^v\mid (ed-1)\}}$ und ${\displaystyle k=\frac{ed-1}{2^j}}$

Zu zeigen

${\displaystyle 1<ggT(a^{2^{v}k}-1,N)<N}$ für ein ${\displaystyle v\in \{0,1,2,\dots ,j-1\}}$

Beweis

Betrachten wir zunächst ${\displaystyle a^{k}modp}$ und ${\displaystyle a^{k}modq}$.

Da ${\displaystyle ggt(a,N)=ggT(a,p\cdot q)=1}$, wissen wir, dass ${\displaystyle ggT(a,p)=1=ggT(a,q)}$ und wir können den Hilfssatz anwenden:

${\displaystyle ord(a^{k}modp)\in \{2^i\text{ mit }0\le i\le j\}}$

und

${\displaystyle ord(a^{k}modq)\in \{2^i\text{ mit }0\le i\le j\}}$.

Sei nun nach Voraussetzung ${\displaystyle ord(a^{k}modp)\ne ord(a^{k}modq)}$, genauer

${\displaystyle ord(a^{k}modq)<ord(a^{k}modp)}$

und

${\displaystyle ord(a^{k}modq)=2^v}$.

Dann folgt ${\displaystyle v<j}$ bzw. ${\displaystyle v\in \{0,1,2,\dots ,j-1\}}$.

Wir zeigen nun, dass ${\displaystyle a^{2^{v}k}\equiv 1modq}$ und ${\displaystyle a^{2^{v}k}\equiv ̸1modp}$.

Nach Definition der Ordnung von Elementen in Gruppen gilt

${\displaystyle a^{2^v}\equiv 1modq}$

und nach Potenzieren mit ${\displaystyle k}$ folgt

${\displaystyle a^{2^{v}k}\equiv 1modq}$, da ${\displaystyle (a^{2^v}{)}^k=a^{2^{v}k}}$ und ${\displaystyle 1^k=1}$.

Da ${\displaystyle ord(a^{k}modq)<ord(a^{k}modp)}$, folgt

${\displaystyle a^{2^{v}k}\equiv ̸1modp}$

Wir können ${\displaystyle a^{2^{v}k}\equiv 1modq}$ umstellen und erhalten

${\displaystyle a^{2^{v}k}-1\equiv 0modq}$.

Es folgt

${\displaystyle ggT(a^{2^{v}k}-1,N)=q}$^[16].

Wir haben somit gezeigt, dass man mit den Informationen ${\displaystyle N}$, ${\displaystyle e}$ und ${\displaystyle d}$ in der Lage ist, einen Primfaktor von ${\displaystyle N}$ zu bestimmen.

Der zugehörige Algorithmus geht wie folgt vor:

1. Wir wählen ein zufälliges ${\displaystyle a\in \{1,2,\dots ,N-1\}}$
2. Wir berechnen ${\displaystyle ggT(a,N)}$
3. Fallunterscheidung
   1. Ist ${\displaystyle ggT(a,N)\ne 1}$
      • Dann ist ${\displaystyle ggT(a,N)}$ ein Primfaktor von ${\displaystyle N}$
      • Der Algorithmus bricht ab und ${\displaystyle ggT(a,N)}$ wird ausgegeben
   2. Ist ${\displaystyle ggT(a,N)=1}$
      • Dann fährt der Algorithmus mit Schritt 4 fort
4. Wir berechnen ${\displaystyle ggT(a^{2^{v}k}-1,N)}$ für alle ${\displaystyle v\in \{j-1,j-2,\dots ,0\}}$
5. Fallunterscheidung
   1. Ist ${\displaystyle ggT(a^{2^{v}k}-1,N)\ne 1}$,
      • Dann ist ${\displaystyle ggT(a^{2^{v}k}-1,N)}$ ein Primfaktor von ${\displaystyle N}$
      • Der Algorithmus bricht ab ${\displaystyle ggT(a^{2^{v}k}-1,N)}$ wird ausgegeben
   2. Ist ${\displaystyle ggT(a^{2^{v}k}-1,N)=1}$ für alle ${\displaystyle v\in \{j-1,j-2,\dots ,0\}}$
      • Dann hat der Algorithmus in diesem Durchlauf keinen Primfaktor von ${\displaystyle N}$ gefunden
      • Der Algorithmus wird mit einem neuen ${\displaystyle a\in \{1,2,\dots ,N-1\}}$ wiederholt

Bemerkung: Die Erfolgswahrscheinlichkeit des Algorithmus ist pro Durchführung mindestens 50%, sodass wir durch mehrfaches Ausführen des Algorithmus einen Primfaktor von dem RSA-Modul ${\displaystyle N}$ finden^[20]. Da der Beweis der Erfolgswahrscheinlichkeit weitere neue Grundlagen benötigt^[21], beschränken wir uns hier auf die Anwendung des Algorithmus'.

Da ${\displaystyle N=p\cdot q}$ können wir den unbekannten Primfakor durch Einsetzen von ${\displaystyle N}$ und dem bekannten Primfakor leicht berechnen■^[16]

Bemerkung: Nach dem RSA-Problem, könnte die Berechnung der ${\displaystyle e}$-ten Wurzel das RSA-Kryptosystem ebenfalls knacken. Es wird aktuell angenommen, dass dies etwa so schwer ist, wie das Faktorisierungsproblem zu lösen. Ein Beweis steht jedoch noch aus^[22][23].