Kryptologie/Sicherheit des RSA-Kryptosystems

Einleitung

RSA-Problem und multiplikative Inverse
RSA-Problem
Gegeben sind der öffentliche Schlüssel ${\displaystyle (e,N)}$ sowie der Geheimtext ${\displaystyle c}$. Gesucht wird der Klartext ${\displaystyle m}$ wobei gilt: ${\displaystyle m^{e}\equiv c{\bmod {N}}}$. Das Problem liegt hier in der Schwierigkeit, ${\displaystyle e}$-te Wurzeln modulo ${\displaystyle N}$ zu ziehen oder das multiplikative Inverse von ${\displaystyle e}$ zu bestimmen[1][2].
Multiplikative Inverse
Die Restklasse ${\displaystyle [a]_{m}}$ ist genau dann invertierbar in ${\displaystyle \mathbb {Z} /m\mathbb {Z} }$, wenn gilt ${\displaystyle ggT(a,m)=1}$ und die Lösung ${\displaystyle [s]_{m}}$ der Kongruenz ${\displaystyle as\equiv 1{\bmod {m}}}$ ist eindeutig bestimmt und wir nennen diese multiplikative Inverse von ${\displaystyle [a]_{m}}$[3].

Im Gegensatz zur Korrektheit des RSA-Kryptosystems, können wir die Sicherheit des RSA-Kryptosystems nicht beweisen^[4]. Wie bereits auf der Übersichtsseite zum RSA-Kryptosystem besprochen, beruht die Sicherheit des RSA-Kryptosystems zunächst auf dem RSA-Problem^[2].

Wir wollen nun zeigen, dass das Bestimmen des multiplikativen Inversen ${\displaystyle d}$ von ${\displaystyle e}$ ebenso schwer ist, wie das Faktorisierungsproblem.

Faktorisierungsproblem

Das Faktorisierungsproblem besteht seit Jahrhunderten^[5]. Bei diesem sollen für eine zusammengesetzte Zahl ${\displaystyle n}$ Teiler gefunden werden, die weder ${\displaystyle 1}$ noch ${\displaystyle n}$ sind^[2]. Es gibt bisher jedoch keinen effizienten Faktorisierungsalgorithmus zum Lösen des Faktorisierungsproblems für beliebige ${\displaystyle n}$^[6].

Die Sicherheit des RSA-Algorithmus beruht heute vor allem auf dem RSA- bzw. Faktorisierungsproblem^[2]. Könnte ein Angreifer die Primfaktoren des RSA-Modul ${\displaystyle N=p\cdot q}$ berechnen, so könnte dieser den kompletten Schlüsselerzeugungsalgorithmus des Empfängers nachvollziehen^[4]. Der Angreifer benötigt hierfür zwar den Verschlüsselungsexponenten ${\displaystyle e}$, aber diesen hat der Empfänger beim RSA-Verschlüsselungsverfahren öffentlich zur Verfügung gestellt^[7].

Bemerkung: Es gibt unterschiedliche Faktorisierungsalgorithmen, die effizient versuchen Teiler von ${\displaystyle n}$ zu finden und dabei entweder von den Größe von ${\displaystyle n}$ oder dessen Teilern abhängen^[8]. Beispiele für solche Algorithmen sind Pollard-${\displaystyle p-1}$-Methode^[9][10], das Quadratisches Sieb^[11][12] und die Methode der elliptischen Kurven^[13].

Sicherheit des privaten Schlüssels ${\displaystyle (d,N)}$

Um die Sicherheit des privaten Schlüssels zu untersuchen, wollen wir zeigen, dass das RSA-Kryptosystem die Public-Key-Eigenschaft erfüllt, d.h. dass es praktisch unmöglich ist von dem öffentlichen auf den privaten Schlüssel zu schließen^[14]. Wir orientieren uns dabei an den Bezeichnungen des RSA-Verschlüsselungsverfahrens.

Wie im Abschnitt Faktorisierungsproblem thematisiert, beruht die Sicherheit des RSA-Verschlüsselungsverfahrens vor allem auf der Schwierigkeit große Zahlen, wie ${\displaystyle N}$, zu faktorisieren und der Schwierigkeit vom öffentlichen Verschlüsselungsexponenten ${\displaystyle e}$ auf den privaten Entschlüsselungsexponenten ${\displaystyle d}$ zu schließen^[15]. Es stellt sich nun die Frage, welche der beiden Herausforderungen im Allgemeinen schwerer zu bewerkstelligen ist. Wir beantworten diese Frage, indem wir zeigen, dass beide Probleme äquivalent zueinander sind. Die Berechnung des Entschlüsselungsexponenten ${\displaystyle d}$ ist also nicht leichter als die Faktorisierung von ${\displaystyle N}$.

Wir zeigen folgende Äquivalenz:

Seien ${\displaystyle N}$ und der öffentliche Verschlüsselungsexponent ${\displaystyle e}$ gegeben, dann sind für einen effizienten Angreifer folgenden Aussagen äquivalent

1. Der Angreifer kann die Primfaktoren ${\displaystyle p}$ und ${\displaystyle q}$ berechnen
2. Der Angreifer kann den privaten Entschlüsselungsexponenten ${\displaystyle d}$ mit ${\displaystyle de\equiv 1{\bmod {\varphi }}(N)}$ berechnen^[16]

Gelingt es uns diese Äquivalenz zu zeigen, dann wissen wir, dass nur ein Angreifer den privaten Entschlüsselungsexponenten ${\displaystyle d}$ berechnen kann, der auch ${\displaystyle N}$ faktorisieren kann. Nach dem Faktorisierungsproblem gehen wir jedoch davon aus, dass für ausreichend große und zufällige Primzahlen kein effizienter Algorithmus zur Faktorisierung von ${\displaystyle N}$ bekannt ist. Folglich ist auch kein Algorithmus zur Bestimmung des Entschlüsselungsexponenten ${\displaystyle d}$ bekannt, der ohne ${\displaystyle \varphi (N)}$ auskommt. Die Bestimmung des privaten Schlüssels ${\displaystyle (d,N)}$ aus ${\displaystyle N}$ und ${\displaystyle e}$ ist somit genauso schwierig, wie Faktorisierung von ${\displaystyle N}$^[17].

Achtung! Die Äquivalenz beweist nicht, dass das RSA-Kryptosystem sicher ist! Das Faktorisierungsproblem besteht seit mehreren Jahrhunderten, aber es ist denkbar, dass es gelöst wird. Außerdem könnte eine weitere Möglichkeit entdeckt werden, die unabhängig von dem Faktorisierungsproblem ist und das RSA-Kryptosystem knackt^[5].

Beweis der Äquivalenz

${\displaystyle 1.\Rightarrow 2.:}$

Voraussetzung

Seien ${\displaystyle N}$, ${\displaystyle e}$, ${\displaystyle p}$ und ${\displaystyle q}$ bekannt.

Zu zeigen

Wir können den privaten Entschlüsselungsexponenten ${\displaystyle d}$ mit ${\displaystyle d\cdot e\equiv 1{\bmod {\varphi }}(N)}$ berechnen.

Beweis

Nach Schritt 5 des Schlüsselerzeugungsalgorithmus wissen wir, dass der private Schlüssel ${\displaystyle (d,N)}$ durch Lösen der Kongruenz ${\displaystyle de\equiv 1{\bmod {\varphi }}(N)}$ berechnet werden kann, wenn die Primfaktoren ${\displaystyle p}$ und ${\displaystyle q}$ und der öffentliche Verschlüsselungsexponent ${\displaystyle e}$ bekannt sind.

${\displaystyle 2.\Rightarrow 1.:}$

Voraussetzung

Seien ${\displaystyle N}$, ${\displaystyle e}$, und ${\displaystyle d}$ bekannt.

Zu zeigen

Wir können die Primfaktoren ${\displaystyle p}$ und ${\displaystyle q}$ berechnen.

Beweis

Wir beschreiben einen Algorithmus, der mit den Informationen ${\displaystyle N}$, ${\displaystyle e}$ und ${\displaystyle d}$ in der Lage ist, ${\displaystyle p}$ bzw. ${\displaystyle q}$ zu bestimmen.

Wir setzen zunächst

${\displaystyle j=max\{v\in \mathbb {N} :2^{v}\mid (ed-1)\}}$

und

${\displaystyle k={\frac {ed-1}{2^{j}}}}$^[16]

und zeigen folgenden Hilfssatz, den wir später im Satz Bestimmung eines Primfaktors aus ${\displaystyle N}$, ${\displaystyle e}$ und ${\displaystyle d}$ nutzen.

Hilfssatz

Für alle Zahlen ${\displaystyle a\in \mathbb {Z} }$ mit ${\displaystyle ggT(a,N)=1}$ gilt ${\displaystyle ord([a^{k}]_{N})\in \{2^{i}{\text{ mit }}0\leq i\leq j\}}$^[16].

Korrektheit des RSA-Kryptosystems, (Satz zur) Ordnung von Elementen in Gruppen
Korrektheit des RSA-Kryptosysems
Seien ${\displaystyle p,q}$ prim, ${\displaystyle N=p\cdot q}$, ${\displaystyle m\in \mathbb {Z} /N\mathbb {Z} }$, ${\displaystyle e\in (\mathbb {Z} /\varphi (N)\mathbb {Z} ,\odot )}$ und ${\displaystyle e\cdot d\equiv 1{\bmod {\varphi (N)}}}$, dann gilt für alle ${\displaystyle m\in \mathbb {Z} /N\mathbb {Z} }$: ${\displaystyle c^{d}\equiv (m^{e})^{d}\equiv m^{e\cdot d}\equiv (m^{d})^{e}\equiv m{\bmod {N}}}$[18]
Ordnung von Elementen in Gruppen
Seien ${\displaystyle a\in G}$ und ${\displaystyle e\in \mathbb {N} }$. Wenn es ein ${\displaystyle {\ce {e}}}$ gibt, sodass ${\displaystyle a^{e}=1}$ gilt, dann heißt die kleinste derartige Zahl Ordnung von ${\displaystyle a}$ in ${\displaystyle G}$ und wird als ${\displaystyle ord_{G}(a)}$ geschrieben[19].
Satz zur Ordnung von Elementen in Gruppen
Seien ${\displaystyle a\in G}$ und ${\displaystyle e\in \mathbb {Z} }$. Es gilt ${\displaystyle a^{e}=1}$ genau dann, wenn ${\displaystyle ord_{G}(a)\mid e}$[19].

Wir betrachten nun einen Satz, welcher die Grundlage für einen Algorithmus bildet, mit dem man aus ${\displaystyle N}$, ${\displaystyle e}$ und ${\displaystyle d}$ einen Primfaktor von ${\displaystyle N=p\cdot q}$ bestimmen kann.

Satz Bestimmung eines Primfaktors aus ${\displaystyle N}$, ${\displaystyle e}$ und ${\displaystyle d}$

Sei ${\displaystyle a\in \mathbb {Z} }$ mit ${\displaystyle ggT(a,N)=1}$.

Wenn ${\displaystyle ord(a^{k}{\bmod {p}})\neq ord(a^{k}{\bmod {q}})}$, dann gilt ${\displaystyle 1<ggT(a^{2^{v}k}-1,N)<N}$ für ein ${\displaystyle v\in \{0,1,2,\dots ,j-1\}}$^[16].

Beweis Bestimmung eines Primfaktors aus ${\displaystyle N}$, ${\displaystyle e}$ und ${\displaystyle d}$

Voraussetzung

Sei ${\displaystyle a\in \mathbb {Z} }$ mit ${\displaystyle ggT(a,N)=1}$ und ${\displaystyle ord(a^{k}{\bmod {p}})\neq ord(a^{k}{\bmod {q}})}$, wobei

${\displaystyle j=max\{v\in \mathbb {N} :2^{v}\mid (ed-1)\}}$ und ${\displaystyle k={\frac {ed-1}{2^{j}}}}$

Zu zeigen

${\displaystyle 1<ggT(a^{2^{v}k}-1,N)<N}$ für ein ${\displaystyle v\in \{0,1,2,\dots ,j-1\}}$

Beweis

Betrachten wir zunächst ${\displaystyle a^{k}{\bmod {p}}}$ und ${\displaystyle a^{k}{\bmod {q}}}$.

Da ${\displaystyle ggt(a,N)=ggT(a,p\cdot q)=1}$, wissen wir, dass ${\displaystyle ggT(a,p)=1=ggT(a,q)}$ und wir können den Hilfssatz anwenden:

${\displaystyle ord(a^{k}{\bmod {p}})\in \{2^{i}{\text{ mit }}0\leq i\leq j\}}$

und

${\displaystyle ord(a^{k}{\bmod {q}})\in \{2^{i}{\text{ mit }}0\leq i\leq j\}}$.

Hilfssatz Sicherheit des RSA-Kryptosystems, (Satz zur) Ordnung von Elementen in Gruppen
Hilfssatz Sicherheit des RSA-Kryptosystems
Für alle Zahlen ${\displaystyle a\in \mathbb {Z} }$ mit ${\displaystyle ggT(a,N)=1}$ gilt ${\displaystyle ord([a^{k}]_{N})\in \{2^{i}{\text{ mit }}0\leq i\leq j\}}$[16].
Ordnung von Elementen in Gruppen
Seien ${\displaystyle a\in G}$ und ${\displaystyle e\in \mathbb {N} }$. Wenn es ein ${\displaystyle {\ce {e}}}$ gibt, sodass ${\displaystyle a^{e}=1}$ gilt, dann heißt die kleinste derartige Zahl Ordnung von ${\displaystyle a}$ in ${\displaystyle G}$ und wird als ${\displaystyle ord_{G}(a)}$ geschrieben[19].
Satz zur Ordnung von Elementen in Gruppen
Seien ${\displaystyle a\in G}$ und ${\displaystyle e\in \mathbb {Z} }$. Es gilt ${\displaystyle a^{e}=1}$ genau dann, wenn ${\displaystyle ord_{G}(a)\mid e}$[19].

Sei nun nach Voraussetzung ${\displaystyle ord(a^{k}{\bmod {p}})\neq ord(a^{k}{\bmod {q}})}$, genauer

${\displaystyle ord(a^{k}{\bmod {q}})<ord(a^{k}{\bmod {p}})}$

und

${\displaystyle ord(a^{k}{\bmod {q}})=2^{v}}$.

Dann folgt ${\displaystyle v<j}$ bzw. ${\displaystyle v\in \{0,1,2,\dots ,j-1\}}$.

Wir zeigen nun, dass ${\displaystyle a^{2^{v}k}\equiv 1{\bmod {q}}}$ und ${\displaystyle a^{2^{v}k}\not \equiv 1{\bmod {p}}}$.

Nach Definition der Ordnung von Elementen in Gruppen gilt

${\displaystyle a^{2^{v}}\equiv 1{\bmod {q}}}$

und nach Potenzieren mit ${\displaystyle k}$ folgt

${\displaystyle a^{2^{v}k}\equiv 1{\bmod {q}}}$, da ${\displaystyle (a^{2^{v}})^{k}=a^{2^{v}k}}$ und ${\displaystyle 1^{k}=1}$.

Da ${\displaystyle ord(a^{k}{\bmod {q}})<ord(a^{k}{\bmod {p}})}$, folgt

${\displaystyle a^{2^{v}k}\not \equiv 1{\bmod {p}}}$

Wir können ${\displaystyle a^{2^{v}k}\equiv 1{\bmod {q}}}$ umstellen und erhalten

${\displaystyle a^{2^{v}k}-1\equiv 0{\bmod {q}}}$.

Es folgt

${\displaystyle ggT(a^{2^{v}k}-1,N)=q}$^[16].

Wir haben somit gezeigt, dass man mit den Informationen ${\displaystyle N}$, ${\displaystyle e}$ und ${\displaystyle d}$ in der Lage ist, einen Primfaktor von ${\displaystyle N}$ zu bestimmen.

Der zugehörige Algorithmus geht wie folgt vor:

1. Wir wählen ein zufälliges ${\displaystyle a\in \{1,2,\dots ,N-1\}}$
2. Wir berechnen ${\displaystyle ggT(a,N)}$
3. Fallunterscheidung
   1. Ist ${\displaystyle ggT(a,N)\neq 1}$
      • Dann ist ${\displaystyle ggT(a,N)}$ ein Primfaktor von ${\displaystyle N}$
      • Der Algorithmus bricht ab und ${\displaystyle ggT(a,N)}$ wird ausgegeben
   2. Ist ${\displaystyle ggT(a,N)=1}$
      • Dann fährt der Algorithmus mit Schritt 4 fort
4. Wir berechnen ${\displaystyle ggT(a^{2^{v}k}-1,N)}$ für alle ${\displaystyle v\in \{j-1,j-2,\dots ,0\}}$
5. Fallunterscheidung
   1. Ist ${\displaystyle ggT(a^{2^{v}k}-1,N)\neq 1}$,
      • Dann ist ${\displaystyle ggT(a^{2^{v}k}-1,N)}$ ein Primfaktor von ${\displaystyle N}$
      • Der Algorithmus bricht ab ${\displaystyle ggT(a^{2^{v}k}-1,N)}$ wird ausgegeben
   2. Ist ${\displaystyle ggT(a^{2^{v}k}-1,N)=1}$ für alle ${\displaystyle v\in \{j-1,j-2,\dots ,0\}}$
      • Dann hat der Algorithmus in diesem Durchlauf keinen Primfaktor von ${\displaystyle N}$ gefunden
      • Der Algorithmus wird mit einem neuen ${\displaystyle a\in \{1,2,\dots ,N-1\}}$ wiederholt

Bemerkung: Die Erfolgswahrscheinlichkeit des Algorithmus ist pro Durchführung mindestens 50%, sodass wir durch mehrfaches Ausführen des Algorithmus einen Primfaktor von dem RSA-Modul ${\displaystyle N}$ finden^[20]. Da der Beweis der Erfolgswahrscheinlichkeit weitere neue Grundlagen benötigt^[21], beschränken wir uns hier auf die Anwendung des Algorithmus'.

Da ${\displaystyle N=p\cdot q}$ können wir den unbekannten Primfakor durch Einsetzen von ${\displaystyle N}$ und dem bekannten Primfakor leicht berechnen■^[16]

Bemerkung: Nach dem RSA-Problem, könnte die Berechnung der ${\displaystyle e}$-ten Wurzel das RSA-Kryptosystem ebenfalls knacken. Es wird aktuell angenommen, dass dies etwa so schwer ist, wie das Faktorisierungsproblem zu lösen. Ein Beweis steht jedoch noch aus^[22][23].

Lernempfehlung

Literatur

1. ↑ Seite „RSA-Kryptosystem“. In: Wikipedia, Die freie Enzyklopädie. Bearbeitungsstand: 15. Dezember 2019, 19:39 UTC. URL: https://de.wikipedia.org/w/index.php?title=RSA-Kryptosystem&oldid=194933568 (Abgerufen: 27. Januar 2020, 14:29 UTC; Formulierung verändert)
2. ↑ ^{2,0 2,1 2,2 2,3} Hinek, M. J. (2009). Cryptanalysis of RSA and Its Variants. CRC Press. S. 8.
3. ↑ Buchmann, J. (2016). Einführung in die Kryptographie (6. Aufl.). Berlin, Heidelberg: Springer. S. 43.
4. ↑ ^{4,0 4,1} Rivest, R. L., Shamir, A., & Adleman, L. (1978). A method for obtaining digital signatures and public-key cryptosystems. Communications of the ACM, 21(2) (S. 120–126). S. 125.
5. ↑ ^{5,0 5,1} Buchmann, J. (2016). Einführung in die Kryptographie (6. Aufl.). Springer. S. 172.
6. ↑ Rothe, J. (2008). Komplexitätstheorie und Kryptologie: Eine Einführung in Kryptokomplexität. Springer. S. 376.
7. ↑ Rivest, R. L., Shamir, A., & Adleman, L. (1978). A method for obtaining digital signatures and public-key cryptosystems. Communications of the ACM, 21(2) (S. 120–126). S. 122.
8. ↑ Yan, S., Y. (2009). Primality Testing and Integer Factorization in Public-Key Cryptography (2. Aufl.). Springer Science+Business Media, LLC. S. 208.
9. ↑ Seite „Pollard-p − 1-Methode“. In: Wikipedia, Die freie Enzyklopädie. Bearbeitungsstand: 22. Januar 2020, 19:04 UTC. URL: https://de.wikipedia.org/w/index.php?title=Pollard-p_%E2%88%92_1-Methode&oldid=196076553 (Abgerufen: 27. Januar 2020, 13:21 UTC)
10. ↑ PL1
11. ↑ Seite „Quadratisches Sieb“. In: Wikipedia, Die freie Enzyklopädie. Bearbeitungsstand: 27. Dezember 2019, 16:04 UTC. URL: https://de.wikipedia.org/w/index.php?title=Quadratisches_Sieb&oldid=195259282 (Abgerufen: 27. Januar 2020, 13:22 UTC)
12. ↑ PL2
13. ↑ 2
14. ↑ Diffie, W., & Hellman, M. (1976). New directions in cryptography. IEEE Transactions on Information Theory, 22(6) (S. 644–654). S. 644.
15. ↑ Rivest, R. L., Shamir, A., & Adleman, L. (1978). A method for obtaining digital signatures and public-key cryptosystems. Communications of the ACM, 21(2) (S. 120–126). S. 120.
16. ↑ ^{16,0 16,1 16,2 16,3 16,4 16,5 16,6 16,7} Buchmann, J. (2016). Einführung in die Kryptographie (6. Aufl.). Springer. S. 173.
17. ↑ Beutelspacher, A., Neumann, H. B., & Schwarzpaul, T. (2010). Kryptografie in Theorie und Praxis: Mathematische Grundlagen für Internetsicherheit, Mobilfunk und elektronisches Geld (2., überarb. Aufl). Vieweg + Teubner. S. 125.
18. ↑ Rivest, R. L., Shamir, A., & Adleman, L. (1978). A method for obtaining digital signatures and public-key cryptosystems. Communications of the ACM, 21(2) (S. 120–126). S. 123.
19. ↑ ^{19,0 19,1 19,2 19,3} Buchmann, J. (2016). Einführung in die Kryptographie (6. Aufl.). Springer. S. 47.
20. ↑ Douglas R. Stinson. (1995). Cryptography. Theory and Practice. CRC Press LLC. S. 141.
21. ↑ Buchmann, J. (2016). Einführung in die Kryptographie (6. Aufl.). Springer. S. 174.
22. ↑ Rivest, R. L., Shamir, A., & Adleman, L. (1978). A method for obtaining digital signatures and public-key cryptosystems. Communications of the ACM, 21(2) (S. 120–126). S. 126.
23. ↑ Boneh, D. (1999). Twenty Years of Attacks on the RSA Cryptosystem. 46(2). S. 204.