Einführung[Bearbeiten]

Motivation[Bearbeiten]

Schon seit dem Altertum bestehen Wunsch und Notwendigkeit, Nachrichten vor dem Zugriff unbefugter Dritter zu schützen. Schon die Spartaner und später auch Cäsar sollen bei ihren Feldzügen Mitteilungen mit einfachen Chiffren vor dem Feind verborgen haben.
Lag das Hauptanwendungsgebiet kryptographischer Algorithmen noch vor 60 Jahren in der Hauptsache beim Militär und vielleicht vereinzeilt bei heimlichen Liebespaaren, ist eine sichere Datenübertragung nicht zuletzt mit der Verbreitung des Internets auch im täglichen Leben ein entscheidender Faktor geworden. Vom Einkauf bis zum Bankgeschäft werden heute viele Dinge online erledigt, ohne dass man sich Gedanken darüber macht, wer Zugriff auf die versendeten Daten hat. Dabei steigt mit wachsender Internetnutzung und der damit verbundenen, vermehrten Übertragung sensibler Daten die Gefahr, dass Kriminelle private Kommunikation abhören und gesammelte Informationen für ihre Zwecke missbrauchen. Mit Hilfe kryptographischer Verfahren verschlüsselte Kommunikation ist daher im Bereich sicherheitskritischen Informationsaustausches unerlässlich.

Kryptosysteme[Bearbeiten]

Das Prinzip kryptographischer Verfahren ist denkbar einfach: Person A möchte eine wichtige Nachricht an Person B schicken, ohne dass eine andere Person an den Inhalt gelangen kann. Dazu verschlüsselt Person A den Text mit einem Schlüssel und sendet den Geheimtext an Person B, die als einzige in der Lage ist, den Text mit dem passenden Schlüssel wieder zu entschlüsseln.
Solche Verfahren zur sicheren Datenübertragung lassen sich auf verschiedenste Arten umsetzen. Um diese näher beschreiben zu können, werden einige Definitionen benötigt:

Definition (Schlüssel)[Bearbeiten]

Ein Schlüsselpaar ${\displaystyle K=(K_{E},K_{D})}$ besteht aus dem Chiffrierungsschlüssel
${\displaystyle K_{E}\in {\mathcal {K_{E}}}}$ und dem Dechiffrierungsschlüssel ${\displaystyle K_{D}\in {\mathcal {K_{D}}}}$, wobei ${\displaystyle {\mathcal {K_{D}}}}$ die Menge aller De-, ${\displaystyle {\mathcal {K_{E}}}}$ die Menge aller Chiffrierungsschlüssel beschreibt. Die Mächtigkeit des Schlüsselraums ${\displaystyle {\mathcal {K}}}$ ist ein wichtiges Indiz für die Sicherheit eines Verfahrens. Die Menge der Schlüssel muss notwendigerweise so groß, sein, dass ein Angreifer nicht durch einfaches Ausprobieren den Klartext zurückgewinnen kann.

Definition (Verschlüsselungsfunktion)[Bearbeiten]

Eine Verschlüsselungsfunktion ${\displaystyle E:{\mathcal {P}}\times {\mathcal {K_{E}}}{\xrightarrow {}}{\mathcal {C}}}$ beschreibt die Abbildung aus der Menge ${\displaystyle {\mathcal {P}}}$ der Klartexte in die Menge ${\displaystyle {\mathcal {C}}}$ der Chiffren, die Entschlüsselungsfunktion ${\displaystyle D:{\mathcal {C}}\times {\mathcal {K_{D}}}{\xrightarrow {}}{\mathcal {P}}}$ die Abbildung der Geheimtexte auf die Klartexte.
Für ein gegebenes Schlüsselpaar ${\displaystyle K}$ gilt ${\displaystyle P=D(E(P,K_{E}),K_{D})}$.

Definition (Kryptosystem)[Bearbeiten]

Ein Kryptosystem ist ein 5-Tupel ${\displaystyle ({\mathcal {P}},{\mathcal {C}},{\mathcal {K}},E,D)}$ bestehend aus den Mengen aller Klar- und Geheimtexte, dem Schlüsselraum, sowie der Verschlüsselungs- und der Entschlüsselungsfunktion.
Im Allgemeinen lassen sich die kryptographischen Verfahren in zwei Gruppen einteilen: Die so genannten symmetrischen Verfahren , bei denen sowohl für die Ver- als auch die Entschlüsselung der gleiche, geheim zu haltende Schlüssel genutzt wird, und die asymmetrischen Verfahren , die zur Dechiffrierung einen anderen Schlüssel nutzen als bei der Chiffrierung.

Definition (symmetrisches Verfahren)[Bearbeiten]

Ein Kryptoverfahren heißt symmetrisch , wenn ${\displaystyle K_{E}=K_{D}}$ gilt. Man spricht dann kurz vom Schlüssel ${\displaystyle K}$ und identifiziert ${\displaystyle K}$ mit ${\displaystyle K_{E}}$.

Beispiel (Caesar-Chiffre)[Bearbeiten]

Das einfachste symmetrische Verschlüsselungsverfahren ist die so genannte Caesar-Chiffre, die auf monoalphabetischer Substitution beruht. Die Klartexte ${\displaystyle P}$ bestehen aus einer endlichen Folge ${\displaystyle (p_{i})_{i\geq 1},p_{i}\in [0,\ldots ,n-1]}$. Für den Schlüssel ${\displaystyle K}$ wählt man ${\displaystyle K_{E}=K_{D}\in [1,\ldots ,n-1]}$. ${\displaystyle n}$ ist hierbei die Mächtigkeit des verwendeten Alphabets. Es gilt ${\displaystyle c_{i}=E(p_{i},K)=p_{i}+K\mod n}$ und ${\displaystyle p_{i}=D(c_{i},K)=c_{i}-K\mod n}$, womit das Verfahren vollständig beschrieben ist.

Dass das Caesar-Verfahren sehr unsicher ist, springt sofort ins Auge. Die Größe des Alphabets übersteigt selten 100 Buchstaben, so dass sogar ein ungeübter Taschenrechner schnell alle möglichen Schlüssel testen und den Geheimtext so entschlüsseln kann. Das ist natürlich nur der Einfachheit des Beispiels geschuldet und kein generelles Problem der symmetrischen Verfahren.

Symmetrische Verfahren haben bei der Kommunikation über das Internet dennoch entscheidende Nachteile:

• Beide Kommunikationspartner müssen den geheimen Schlüssel kennen, der für die Verschlüsselung genutzt wird. Will also zum Beispiel eine Person eine sichere Bestellung bei einem Internet-Händler aufgeben, muss der Händler zunächst den Schlüssel sicher zum Kunden übertragen, ein sich selbst bedingendes Vorhaben.
• Zudem muss der Empfänger für jeden Kommunikationspartner einen eigenen Schlüssel generieren, da ansonsten jede andere Person (insbesondere ein Angreifer) die Nachrichten anderer Teilnehmer mitlesen könnte.
  
  

Um diese Probleme zu umgehen, werden die so genannten asymmetrischen Verfahren genutzt. Sie verwenden für Ver- und Entschlüsselung jeweils eigene Schlüssel ${\displaystyle K_{E}}$ und ${\displaystyle K_{D}}$. Der Chiffrierungs-Schlüssel ${\displaystyle K_{E}}$ soll hierbei sogar öffentlich bekannt gegeben werden, damit er von allen Beteiligten, die dem Schlüsseleigner eine Nachricht senden wollen, zur Chiffrierung verwendet werden kann. Diese Verfahren werden aus diesem Grund auch Public-Key-Verfahren genannt. Um Sicherheit und Anwendbarkeit gewährleisten zu können, werden einige Forderungen an die Verfahren gestellt:

• Die Funktionen ${\displaystyle D}$ und ${\displaystyle E}$ müssen effizient berechenbar sein.
• ${\displaystyle K_{E}}$ und ${\displaystyle K_{D}}$ müssen mit angemessenem Aufwand erzeugbar sein.
• Aus einem gegebenen Geheimtext und dem Schlüssel ${\displaystyle K_{E}}$ darf sich nicht der ursprüngliche Klartext ermitteln lassen.
• Die Bestimmung von ${\displaystyle K_{D}}$ aus ${\displaystyle K_{E}}$ darf bei gegebenem, frei gewählten Klartext nicht möglich sein.

Die Funktionen für Ver- und Entschlüsselung sind bei den asymmetrischen Verfahren so genannte Einwegfunktionen mit Falltür . Darunter versteht man injektive Funktionen ${\displaystyle f:X{\xrightarrow {}}Y}$, für die ${\displaystyle y=f(x)}$ leicht zu bestimmen ist, ${\displaystyle x=f^{-1}(y)}$ jedoch schwer, solange keine weiteren Parameter bekannt sind.

Das RSA-Verfahren[Bearbeiten]

Eines der ersten Public-Key-Verfahren ist RSA , dessen Algortihmus 1977 von Ron Rivest, Adi Shamir und Leonard Adleman vorgestellt und zum Patent angemeldet wurde. RSA verwendet als Verschlüsselungsfunktion das Potenzieren in Restklassen. Seine Sicherheit bezieht das Verfahren dabei aus der Tatsache, dass derzeit kein Verfahren existiert, mit dem man die Primfaktorzerlegung einer Zahl mit geringem Aufwand bestimmen kann.
Im Folgenden soll nun zunächst ein Blick darauf geworfen werden, wie das RSA-Verfahren funktioniert und wie RSA-Schlüssel erzeugt werden. Anschließend wird das eigentliche Verfahren der Chiffrierung und Dechiffrierung betrachtet und zum Schluss noch einmal auf die Sicherheit des Verfahrens eingangen.

Bestandteile des Kryptosystems[Bearbeiten]

Alphabet und Schlüssel[Bearbeiten]

Für die Beschreibung des Kryptosystems RSA wird zuallererst eine natürliche Zahl ${\displaystyle n=pq}$ benötigt, deren einzige aus Sicherheitsgründen verschiedenen Primfaktoren ${\displaystyle p}$ und ${\displaystyle q}$ sind. Sie legt alle wichtigen Eigenschaften von RSA fest.

${\displaystyle n}$ bestimmt die Mächtigkeit des Alphabets, aus dem die Klar- und Geheimtexte bestehen. Es gilt wie schon bei der Caesar-Chiffre gesehen, dass die Klartexte ${\displaystyle P}$ aus einer endlichen Folge bestehen, wobei

${\displaystyle (p_{i})_{i=1}^{k},p_{i}\in \mathbb {Z} /(n)}$

gilt. Speziell könnte man noch 0 und 1 aus dem Definitionsbereich ausschließen, da diese identisch abgebildet werden. Die Wahrscheinlichkeit, dass sie auftreten, ist in der Praxis jedoch so gering, dass darauf auch verzichtet werden kann.
Die Geheimtexte ${\displaystyle C}$ sind ebenfalls endliche Folgen über dem gleichen Alphabet, es gilt also

${\displaystyle (c_{i})_{i=1}^{k},c_{i}\in \mathbb {Z} /(n)}$

.

Zur Verschlüsselung wird die Funktion ${\displaystyle E:P\times K_{E}\rightarrow C}$ mit

${\displaystyle c_{i}=(p_{i})^{e}\mod n}$

verwendet.
Die Entschlüsselungsfunktion ${\displaystyle D:C\times K_{D}\rightarrow P}$ bildet wie folgt ab:

${\displaystyle p_{i}=(c_{i})^{d}\mod n}$

Der Schlüssel für die Chiffrierung muss also offensichtlich aus zwei Bestandteilen bestehen, nämlich ${\displaystyle e}$ und ${\displaystyle n}$. Für ${\displaystyle D}$ benötigt man neben dem Geheimtext die Bestandteile ${\displaystyle d}$ und ${\displaystyle n}$. Zusammenfassend lässt sich also sagen:

${\displaystyle K=(K_{E},K_{D})=((e,n),(d,n))}$

Korrektheit des Verfahrens[Bearbeiten]

Bevor die Korrektheit von RSA nachgewiesen werden kann, seien noch einmal einige grundlegende Begriffe für den kommutativen Ring ${\displaystyle \mathbb {Z} /(n)}$ wiederholt:

Satz (Einheit in ${\displaystyle \mathbb {Z} /(n)}$)[Bearbeiten]

Eine Zahl ${\displaystyle a}$ ist genau dann Einheit in ${\displaystyle \mathbb {Z} /(n)}$, wenn ${\displaystyle a}$ und ${\displaystyle n}$ teilerfremd sind.

Beweis[Bearbeiten]

Der Beweis folgt direkt aus dem Lemma von Bézout . Sind ${\displaystyle a}$ und ${\displaystyle n}$ teilerfremd, so gibt es eine Darstellung ${\displaystyle xa+yn=1}$ und damit ${\displaystyle xa\equiv 1\mod n}$ und ${\displaystyle a}$ Einheit. Ist ${\displaystyle a}$ umgekehrt Einheit, so existiert ein ${\displaystyle g\in \mathbb {Z} /(n)}$ mit ${\displaystyle ga\equiv 1\mod n}$ und somit wiederum eine Vielfachendarstellung ${\displaystyle ga+hn=1}$.${\displaystyle \square }$

Definition (Einheitengruppe)[Bearbeiten]

Die Einheiten von ${\displaystyle \mathbb {Z} /(n)}$ bilden die Einheitengruppe ${\displaystyle \mathbb {Z} /(n)^{\times }}$. Die Anzahl der Elemente in ${\displaystyle \mathbb {Z} /(n)^{\times }}$ wird gegeben durch die Eulersche ${\displaystyle \varphi }$-Funktion: ${\displaystyle \varphi (n)=|\mathbb {Z} /(n)^{\times }|}$. Es gilt im Falle von RSA

${\displaystyle \varphi (n)=\varphi (p\cdot {q})=\varphi (p)\cdot \varphi (q)=(p-1)\cdot (q-1)}$,

da ${\displaystyle \varphi }$ als zahlentheoretische Funktion multiplikativ ist und ${\displaystyle p}$ und ${\displaystyle q}$ als Primzahlen zweifelsohne teilerfremd sind.

Damit ${\displaystyle D}$ und ${\displaystyle E}$ wirklich kryptographische Funktionen sind, also ${\displaystyle P=D(E(P,K_{E}),K_{D})}$ gilt, ist die Wahl von ${\displaystyle e}$ und ${\displaystyle d}$ nicht frei. Folgende Forderungen werden an die beiden Exponenten gestellt:

• Wähle ${\displaystyle e}$, ${\displaystyle 1<e<\varphi (n)=(p-1)(q-1)}$ teilerfremd zu ${\displaystyle \varphi (n)}$
• Bestimme ${\displaystyle d}$ so, dass ${\displaystyle ed\equiv 1\mod \varphi (n)}$
  
  

Der wichtigste Bestandteil im Beweis, dass RSA auf die so definierte Weise korrekt arbeitet, ist der

Satz von Euler[Bearbeiten]

Sei ${\displaystyle n}$ eine natürliche Zahl. Dann gilt für jede zu ${\displaystyle n}$ teilerfremde Zahl ${\displaystyle a}$ die Beziehung

${\displaystyle a^{\varphi (n)}\equiv 1\mod n}$.

Beweis[Bearbeiten]

Die zu ${\displaystyle n}$ teilerfremden Zahlen bilden die Einheitengruppe von ${\displaystyle \mathbb {Z} /(n)}$. Der Satz von Lagrange sagt nun gerade aus, dass die Ordnung jedes Elements ein Teiler der Gruppenordnung ist. Diese ist ${\displaystyle m=\operatorname {ord} (\mathbb {Z} /(n)^{\times })=|\mathbb {Z} /(n)^{\times }|=\varphi (n)}$, also gilt für alle Elemente ${\displaystyle a:a^{m}=1}$. ${\displaystyle \square }$

Die Anforderung an ${\displaystyle d}$ und ${\displaystyle e}$ war nun gerade, dass ${\displaystyle ed\equiv 1\mod \varphi (n)}$ ist, oder anders ausgedrückt ${\displaystyle ed=k\varphi (n)+1}$, wobei ${\displaystyle k}$ eindeutig bestimmt ist. Setzt man diese Formel ein, so ergibt sich ohne Umschweife

${\displaystyle a\equiv 1\cdot a\equiv a^{k\varphi (n)}\cdot a\equiv a^{k\varphi (n)+1}\equiv a^{ed}\equiv {(a^{e})}^{d}\mod n}$.

Nun gilt der Satz von Euler nur bei zu ${\displaystyle n}$ teilerfremden Zahlen. Zusätzlich müssen also auch noch die Nullteiler betrachtet werden. O.B.d.A gelte ${\displaystyle p\mid a\neq 0\mod n}$, denn der Fall, dass ${\displaystyle a}$ von ${\displaystyle q}$ geteilt wird, läuft vollkommen analog ab.

Die multiplikative Eigenschaft der eulerschen ${\displaystyle \varphi }$-Funktion liefert schnell folgende

Bemerkung[Bearbeiten]

Gilt ${\displaystyle ed\equiv 1\mod \varphi (pq)}$ für zwei Primzahlen ${\displaystyle p}$ und ${\displaystyle q}$, so folgt

${\displaystyle ed\equiv 1\mod (p-1)}$ und ${\displaystyle ed\equiv 1\mod (q-1)}$.

Bemerkung[Bearbeiten]

Auf ${\displaystyle a}$ kann nun wiederum der Satz von Euler angewandt werden. Es ergeben sich die folgenden beiden Kongruenzen:

• ${\displaystyle a\equiv a^{u(q-1)+1}\equiv a^{ed}\mod q}$ für ein ${\displaystyle u\in \mathbb {Z} }$
• ${\displaystyle a\equiv a^{p}\equiv a^{ed}\mod p}$

Beweis[Bearbeiten]

Die erste Kongruenz gilt offensichtlich, da ${\displaystyle a\neq 0}$ teilerfremd zu ${\displaystyle q}$ ist und die Voraussetzungen des Satzes von Euler erfüllt sind. Ebenso trivial ist auch 2., weil ${\displaystyle a}$ ein Vielfaches von ${\displaystyle p}$ ist. Es ergibt sich ${\displaystyle a=zp\equiv 0\equiv 0^{p}\equiv (zp)^{p}\equiv a^{p}\mod p}$.${\displaystyle \square }$

Um von hier aus zum Ziel zu kommen, wird der chinesische Restsatz benötigt, der die Beziehung zwischen ${\displaystyle \mathbb {Z} /(n)}$, ${\displaystyle \mathbb {Z} /(p)}$ und ${\displaystyle \mathbb {Z} /(q)}$ herstellt.
Die folgende Version des chinesischen Restsatzes ist in allgemeiner Version bereits bekannt:

Chinesischer Restsatz[Bearbeiten]

Seien ${\displaystyle p,q\in \mathbb {P} }$ verschiedene Primzahlen und ${\displaystyle n=pq}$. Dann induzieren die kanonischen Ringhomomorphismen ${\displaystyle {\mathbb {Z} }/(n)\rightarrow {\mathbb {Z} }/({p})}$ und ${\displaystyle {\mathbb {Z} }/(n)\rightarrow {\mathbb {Z} }/({q})}$ einen Isomorphismus ${\displaystyle {\mathbb {Z} }/(n)\cong {\mathbb {Z} }/({p})\times {\mathbb {Z} }/({q})}$ .
Insbesondere gibt es zu gegebenen ganzen Zahlen ${\displaystyle a_{p},a_{q}}$ also genau eine natürliche Zahl ${\displaystyle a<n}$, die die simultanen Kongruenzen ${\displaystyle a=a_{p}\mod p,a=a_{q}\mod q}$ löst.

Beweis[Bearbeiten]

Da die endlichen Ringe ${\displaystyle {\mathbb {Z} }/(n)}$ und ${\displaystyle {\mathbb {Z} }/({p})\times {\mathbb {Z} }/({q})}$ die gleiche Anzahl von Elementen haben, nämlich ${\displaystyle n}$, genügt es, die Injektivität der induzierten Abbildung zu zeigen. Sei ${\displaystyle x}$ eine natürliche Zahl, die in ${\displaystyle {\mathbb {Z} }/({p})\times {\mathbb {Z} }/({q})}$ zu null wird, also modulo ${\displaystyle pq}$ den Rest null hat. Dann ist ${\displaystyle x}$ ein Vielfaches von ${\displaystyle pq}$, d.h., in der Primfaktorzerlegung von ${\displaystyle x}$ muss ${\displaystyle p}$ und ${\displaystyle q}$ vorkommen. Also muss ${\displaystyle x}$ nach Teilbarkeitskriterium ein Vielfaches des Produktes sein, also ein Vielfaches von ${\displaystyle n}$. Damit ist ${\displaystyle x\equiv 0\in {\mathbb {Z} }/(n)}$ und die Abbildung ist injektiv. ${\displaystyle \square }$

Auf Grundlage der ersten Bemerkung gilt

${\displaystyle (a_{1},a_{2})^{ed}\equiv (a_{1},a_{2})}$ für alle ${\displaystyle (a_{1},a_{2})\in {\mathbb {Z} }/({p})\times {\mathbb {Z} }/({q})}$.

Mit dem eben erhaltenen Isomorphismus ist die Korrektheit des RSA-Verfahrens bewiesen.

Erzeugung von RSA-Schlüsselpaaren[Bearbeiten]

Mit der Definition einer gültigen Chiffrierfunktion ist ein wichtiger Schritt zum praktikablen Kryptoverfahren getan. Im Folgenden soll nun darauf eingegangen werden, wie die Schlüsselparameter ${\displaystyle d}$, ${\displaystyle e}$ und ${\displaystyle n}$ bestimmt werden.
Es ist nachvollziehbar, dass dabei auch ein Auge darauf geworfen werden sollte, inwiefern sich der Aufwand für die Schlüsselerzeugung in einem akzeptablen Rahmen bewegt.

Um neben den notwendigen mathematischen Grundlagen und Algorithmen auch die Anwendung vorzuführen, wird nach jedem Abschnitt ein kurzes Beispiel folgen.

Beispiel[Bearbeiten]

Angela hat vor Kurzem Barack kennen gelernt. Weil sie nicht möchte, dass ihre Kommunikation von anderen Personen mitgehört werden kann, plant sie, sich ein RSA-Schlüsselpaar zu generieren, mit dem Barack ihr Nachrichten zukommen lassen kann. Angelas Bemühungen werden im weiteren Verlauf als durchgehendes Beispiel dienen, um den Weg von zwei Primzahlen bis zur ersten Nachricht von Barack an Angela zu verfolgen.

Bestimmung des RSA-Moduls ${\displaystyle n}$[Bearbeiten]

Zu Beginn der RSA-Schlüsselerzeugung wird zunächst der Modul bestimmt, der die Restklassen festlegt. Dazu wählt man zwei große Primzahlen ${\displaystyle p,q}$ bestimmter Länge und setzt

${\displaystyle n=p\cdot q}$.

Mit ${\displaystyle n}$ ist gleichzeitig der Raum der Klar- und Geheimtexte festgelegt: Er wird, wie schon erwähnt, repräsentiert durch die Menge der Elemente im Restklassenring ${\displaystyle \mathbb {Z} /(n)}$.

Da RSA ein Kryptoverfahren ist, das aufgrund seiner Komplexität die Verwendung von Computern verlangt, wird die Länge der Primzahl in Bit angegeben. ${\displaystyle p}$ und ${\displaystyle q}$ haben im Binärsystem eine feste Anzahl Ziffern, üblicherweise ${\displaystyle 2^{9}=512}$ Bit, in besonders sicherheitskritischen Bereichen häufig auch 1024 oder sogar 2048 Bit.

Was in der Theorie einfach klingt, stellt in der Praxis ein relativ großes Problem dar. Wie aus der Zahlentheorie-Vorlesung bekannt ist, besagt das Betrandsche Postulat , dass sich in Intervallen ${\displaystyle [n,2n],n\in \mathbb {N} }$ immer eine Primzahl finden lässt. Ein nicht triviales Verfahren zur Bestimmung dieser Primzahl existiert hingegen nicht.

Lemma (Aufwand der Primzahlbestimmung)[Bearbeiten]

Der Aufwand, eine Primzahl ${\displaystyle p}$ der Länge ${\displaystyle k=\log _{2}(p)}$ in einem gegebenem Intervall ${\displaystyle [2^{\lfloor \log _{2}(p)\rfloor },2^{\lceil \log _{2}(p)\rceil }]}$ zu finden, ist in der Komplexitätsklasse ${\displaystyle {\mathcal {O}}(kR)}$, wobei ${\displaystyle R}$ der Aufwand ist, eine Zahl auf Primalität zu testen.

Beweis[Bearbeiten]

Der Primzahlsatz von Hadamard und de la Vallée Pousin liefert eine grobe Abschätzung für die Anzahl der Primzahlen, die kleiner als eine gegebene Zahl ${\displaystyle n}$ sind. Für die die Primzahlfunktion ${\displaystyle \pi (n):=|\{x<n:x}$ prim${\displaystyle \}|}$ gilt demnach die Abschätzung

${\displaystyle \pi (n)\sim {\frac {n}{\ln(n)}}}$.

Für Zahlen der festen Länge ${\displaystyle k}$ aus dem Intervall ${\displaystyle [2^{k-1},2^{k})}$ ergibt sich aus dieser Formel durch Einsetzen:

${\displaystyle \pi (2^{k})-\pi (2^{k-1})\approx {\frac {2^{k}}{k\cdot \ln(2)}}-{\frac {2^{k-1}}{(k-1)\cdot \ln(2)}}={\frac {(k-1)2^{k}-k2^{k-1}}{k(k-1)\ln(2)}}>{\frac {(k-1)2^{k}-k2^{k-1}}{k^{2}}}}$.

Der Anteil der Primzahlen unter den ${\displaystyle 2^{k-1}}$ Binärzahlen der Länge ${\displaystyle k}$ liegt also etwa bei

${\displaystyle {\frac {(k-1)2^{k}-k2^{k-1}}{k^{2}2^{k-1}}}={\frac {2(k-1)-k}{k^{2}}}={\frac {k-2}{k^{2}}}}$.

Zum Finden einer solchen Primzahl benötigt man also durchschnittlich etwa

${\displaystyle {\frac {k^{2}}{k-2}}\approx {k}}$

Versuche.${\displaystyle \square }$

Beispiel[Bearbeiten]

Angela entscheidet sich der Übersichtlichkeit wegen für Zahlen der Länge 8 im Binärsystem. Die Primzahlen ${\displaystyle p=151}$ und ${\displaystyle q=251}$ entnimmt sie einer Primzahltabelle. Ihr RSA-Modul ist also ${\displaystyle n=151\cdot 251=37901}$.

Bestimmung des Verschlüsselungs-Exponenten ${\displaystyle e}$[Bearbeiten]

Nach der Bestimmung des Moduls erfolgt als nächstes die Wahl des Verschlüsselungsexponenten ${\displaystyle e}$. Dieser muss teilerfremd zur Mächtigkeit von ${\displaystyle \mathbb {Z} /(n)^{\times }}$ und kleiner als dieselbe sein.
Da sich ${\displaystyle e}$ innerhalb der gegebenen Beschränkungen frei wählen lässt, wird in der Praxis häufig ${\displaystyle e=2^{16}+1=65537}$ verwendet.
Ist das ${\displaystyle e}$ relativ klein, hat dies den Vorteil, dass die Verschlüsselung schneller ist, da weniger Zeit zum Potenzieren aufgewendet werden muss. Zudem wird bei größerem ${\displaystyle e}$ der Aufwand größer, die Teilerfremdheit von ${\displaystyle e}$ und ${\displaystyle \varphi (n)}$ sicherzustellen.

Beispiel[Bearbeiten]

Angela sucht also ein ${\displaystyle e\in \mathbb {Z} }$ mit ${\displaystyle 1<e<\varphi (n)}$ und ${\displaystyle \operatorname {ggT} (e,\varphi (n))=1}$.
Sie berechnet ${\displaystyle \varphi (n)=\varphi (37901)=\varphi (151)\cdot \varphi (251)=150\cdot 250=37500}$ und wählt als dazu teilerfremdes ${\displaystyle e}$ die Zahl ${\displaystyle e=91}$.

Bestimmung des Entschlüsselungs-Exponenten ${\displaystyle d}$[Bearbeiten]

Ist ${\displaystyle e}$ bestimmt, kann der Dechiffrier-Exponent ${\displaystyle d}$ berechnet werden. Während ${\displaystyle n}$ und ${\displaystyle e}$ wegen der wenigen Anforderungen, die an sie gestellt wurden, noch recht einfach zu bestimmen waren, ist die Bestimmung von ${\displaystyle d}$ ungleich aufwendiger und benötigt einige Vorbereitung.

Der Entschlüsselungs-Exponent soll das Inverse von ${\displaystyle e}$ in ${\displaystyle \mathbb {Z} /(n)^{\times }}$ sein. Um ${\displaystyle d}$ zu ermitteln, wird wieder das bereits erwähnte Lemma von Bézout benötigt.
Die allgemeine Version wurde in der Vorlesung behandelt. Im Speziellen wird die Aussage für zwei teilerfremde Elemente in ${\displaystyle \mathbb {Z} }$ benötigt.

Lemma (Lemma von Bézout)[Bearbeiten]

Zwei Elemente ${\displaystyle a_{1},a_{2}\in \mathbb {Z} }$ besitzen stets einen größten gemeinsamen Teiler ${\displaystyle g}$, und dieser lässt sich als Linearkombination von ${\displaystyle a_{1}}$ und ${\displaystyle a_{2}}$ darstellen, d.h. es gibt Elemente ${\displaystyle r_{1},r_{2}\in \mathbb {Z} }$ mit ${\displaystyle r_{1}a_{1}+r_{2}a_{2}=g}$.
Insbesondere besitzen teilerfremde Elemente ${\displaystyle a_{1},a_{2}}$ eine Darstellung der 1.

Beweis[Bearbeiten]

Sei ${\displaystyle I=(a_{1},a_{2})}$ das von den Elementen erzeugte Ideal. Da ${\displaystyle \mathbb {Z} }$ ein Hauptidealring ist, handelt es sich um ein Hauptideal. Es gibt also ein Element ${\displaystyle g}$ mit ${\displaystyle I=(g)}$. Wir behaupten, dass ${\displaystyle g}$ ein größter gemeinsamer Teiler von ${\displaystyle a_{1}}$ und ${\displaystyle a_{2}}$ ist. Weil sowohl ${\displaystyle a_{1}\in I=(g)}$ als auch ${\displaystyle a_{2}\in I=(g)}$ ist, muss ${\displaystyle g}$ beide teilen. Sei nun ${\displaystyle h}$ ein weiterer gemeinsamer Teiler von ${\displaystyle a_{1}}$ und ${\displaystyle a_{2}}$. ${\displaystyle h}$ teilt dann alle Elemente in ${\displaystyle I}$, speziell also auch ${\displaystyle g\in I}$. Aus ${\displaystyle g\in I=(a_{1},a_{2})}$ folgt unmittelbar auch die Existenz der gesuchten Darstellung.
Im teilerfremden Fall ist ${\displaystyle I=(a_{1},a_{2})=(g)=\mathbb {Z} }$ wegen ${\displaystyle g=1}$.${\displaystyle \square }$

Da ${\displaystyle \varphi (n)}$ und ${\displaystyle e}$ teilerfremd gewählt wurden, muss für das gesuchte ${\displaystyle d}$ gelten:

${\displaystyle d\cdot e+k\cdot \varphi (n)=1}$ für ein ${\displaystyle k\in {\mathbb {Z} }}$.

Um ${\displaystyle d}$ und ${\displaystyle k}$ zu bestimmen, wird der erweiterte euklidische Algorithmus verwendet. Dazu wird zunächst ein Blick auf die euklidische Restfolge und ihre Eigenschaften geworfen:

Definition[Bearbeiten]

Seien zwei Elemente ${\displaystyle a,b\neq 0}$ eines euklidischen Bereichs ${\displaystyle R}$ mit euklidischer Funktion ${\displaystyle \delta }$ gegeben. Dann nennt man die durch die Anfangsbedingungen ${\displaystyle a_{0}=a}$ und ${\displaystyle a_{1}=b}$ und die mittels der Division mit Rest ${\displaystyle a_{i}=q_{i}a_{i+1}+a_{i+2}}$ rekursiv bestimmte Folge ${\displaystyle (a_{i})}$ die Folge der euklidischen Reste.

Satz (Eigenschaften der euklidischen Restfolge)[Bearbeiten]

Seien zwei Elemente ${\displaystyle a_{0}=a,a_{1}=b\neq 0}$ eines euklidischen Bereichs ${\displaystyle R}$ mit euklidischer Funktion ${\displaystyle \delta }$ gegeben. Dann besitzt die Folge ${\displaystyle (a_{i})_{i\geq 0}}$ der euklidischen Reste folgende Eigenschaften:

1. Es ist ${\displaystyle a_{i+2}=0\,\,{\mbox{ oder }}\,\,\delta (a_{i+2})<\delta (a_{i+1})\,}$.
2. Es gibt ein (minimales) ${\displaystyle k\geq 2}$ mit ${\displaystyle a_{k}=0}$.
3. Es ist ${\displaystyle \mathrm {ggT} (a_{i+1},a_{i})=\mathrm {ggT} (a_{i},a_{i-1})}$.
4. Sei ${\displaystyle k\geq 2}$ der erste Index derart, dass ${\displaystyle a_{k}=0}$ ist. Dann ist ${\displaystyle \mathrm {ggT} (a,b)=a_{k-1}}$.

Beweis[Bearbeiten]

1. Ist eine direkte Folgerung aus der Definition der Division mit Rest.
2. Folgt direkt aus 1., da ${\displaystyle \delta (a_{i})}$ immer kleiner wird, also null erreichen muss.
3. Wenn ${\displaystyle g}$ ein gemeinsamer Teiler von ${\displaystyle a_{i+1}}$ und ${\displaystyle a_{i+2}}$ ist, so ist ${\displaystyle g}$ wegen ${\displaystyle a_{i}=q_{i}a_{i+1}+a_{i+2}}$ auch ein Teiler von ${\displaystyle a_{i}}$ und damit ein gemeinsamer Teiler von ${\displaystyle a_{i+1}}$ und ${\displaystyle a_{i}}$. Entsprechend folgt auch die Umkehrung.
4. Folgt aus 3. durch die Verkettung

${\displaystyle \mathrm {ggT} (a,b)=\mathrm {ggT} (b,a_{2})=\mathrm {ggT} (a_{2},a_{3})=\ldots =\mathrm {ggT} (a_{k-1},a_{k})=\mathrm {ggT} (a_{k-1},0)=a_{k-1}}$.

Um nun zu ${\displaystyle a}$ und ${\displaystyle b}$ die passenden Koeffizienten nach Bézout zu ermitteln, werden zwei weitere Folgen ${\displaystyle (x_{i})_{i\geq 0}}$ und ${\displaystyle (y_{i})_{i\geq 0}}$ benötigt:

Satz (Erweiterter euklidischer Algorithmus)^[1][Bearbeiten]

Es seien ${\displaystyle a}$, ${\displaystyle b}$ und ${\displaystyle (a_{i})_{i\geq 0}}$ wie eben. Man setze

${\displaystyle x_{0}=1}$, ${\displaystyle x_{1}=0}$, ${\displaystyle y_{0}=0}$, ${\displaystyle y_{1}=1}$.

Für ${\displaystyle i\geq 1}$ gelte:

${\displaystyle x_{i}=q_{i}x_{i+1}+x_{i+2}}$
${\displaystyle y_{i}=q_{i}y_{i+1}+y_{i+2}}$

Ist ${\displaystyle k+1}$ der erste Index, so dass ${\displaystyle a_{k+1}=0}$, dann ist

${\displaystyle \operatorname {ggT} (a,b)=a_{k}=x_{k}\cdot a+y_{k}\cdot b}$

Beweis[Bearbeiten]

Es reicht, per Induktion zeigen, dass für alle Glieder der euklidischen Restfolge ${\displaystyle (a_{i})_{i\geq 0}}$ gilt ${\displaystyle a_{i}=x_{i}a+y_{i}b}$.
Die getroffene Wahl von ${\displaystyle a_{i},x_{i},y_{i}}$ für ${\displaystyle i\in \{0,1\}}$ ergibt die Induktionsverankerung:

${\displaystyle a=a_{0}=x_{0}a+y_{0}b=1a+0b=a}$
${\displaystyle b=a_{1}=x_{1}a+y_{1}b=0a+1b=b}$

Der Induktionsschritt für ${\displaystyle a_{i+2}}$ folgt durch wiederholtes Einsetzen:

${\displaystyle a_{i+2}=a_{i}-q_{i}a_{i+1}=(x_{i}a+y_{i}b)-q_{i}(x_{i+1}a+y_{i+1}b)=(x_{i}-q_{i}x_{i+1})a+(y_{i}-q_{i}y_{i+1})b=x_{i+2}a+y_{i+2}b\square }$

Beispiel[Bearbeiten]

Angela hatte ${\displaystyle \varphi (n)=37500}$ berechnet und ${\displaystyle e=91}$ bestimmt. Jetzt muss sie also mit ${\displaystyle d\cdot e+k\cdot \varphi (n)=1}$ das ${\displaystyle d}$ bestimmen:

${\displaystyle d\cdot e+k\cdot \varphi (n)=1\Rightarrow d\cdot 91+k\cdot 37500=1}$

Der Effizienz wegen wählt sie ${\displaystyle a_{0}=37500,a_{1}=91}$. Die ${\displaystyle q_{i}}$ ergeben sich aus ${\displaystyle q_{i}={\lfloor {\frac {a_{i}}{a_{i+1}}}\rfloor }}$. So nähert sich Angela Schritt für Schritt ihrem gesuchten ${\displaystyle d}$ an:

${\displaystyle i}$	${\displaystyle a_{i}}$	${\displaystyle q_{i}}$	${\displaystyle x_{i}}$	${\displaystyle y_{i}}$
0	37500	412	1	0
1	91	11	0	1
2	8	2	1	-412
3	3	1	-11	4533
4	2	2	23	-9478
5	1	-	-34	14011
6	0	-	-	-

Da ${\displaystyle x_{i}}$ der Koeffizient von ${\displaystyle \varphi (n)}$ war und ${\displaystyle y_{i}}$ der von ${\displaystyle e}$, folgt also ${\displaystyle d=y_{5}=14011}$. Angelas Proberechnung ergibt ${\displaystyle ed=91\cdot 14.011=1.275.001\equiv 1\mod 37500}$, das ${\displaystyle d}$ ist also tatsächlich das multiplikative Inverse von ${\displaystyle e\mod \varphi (n)}$.

Mit der Berechnung von ${\displaystyle d}$ ist die Schlüsselerzeugung abgeschlossen. Nun kann der öffentliche Schlüssel ${\displaystyle K_{E}=(e,n)}$ bekannt gegeben werden, so dass andere Personen dem Schlüsseleigner verschlüsselte Nachrichten zukommen lassen können.
Es ist essentiell wichtig, dass kein anderer der zuvor verwendeten Parameter bekannt wird, da sonst problemlos ein Angriff auf das Kryptosystem möglich ist. Diese Restriktion gilt nicht nur für ${\displaystyle d}$, sondern in gleichem Maße auch für ${\displaystyle \varphi (n)}$ und natürlich für ${\displaystyle p}$ und ${\displaystyle q}$, wie im Abschnitt über die Sicherheit noch einmal kurz beleuchtet wird.

Kommunikation mit RSA[Bearbeiten]

Ist der RSA-Schlüssel veröffentlich worden, kann die eigentliche Kommunikation mittels RSA erfolgen. Diese zerfällt im Wesentlichen in fünf einzelne Schritte:

1. Umwandlung der Nachricht in eine Zahlenfolge
2. Berechnung der Chiffre-Folge
3. Datenübertragung
4. Dechiffrierung der Chiffre
5. Rückgewinnung der Nachricht aus der Zahlenfolge

Besonderes Augenmerk wird hier auf die Chiffrierung und Dechiffrierung gelegt, da diese noch zum Kernbereich des RSA-Systems gehören.
Die Erzeugung gut gewählter Zahlenfolgen und die Übertragung der Daten ist zwar ebenfalls ein interessantes Teilgebiet der Algebra und algebraischen Zahlentheorie, allerdings ist sie unabhängig vom RSA-Algorithmus und würde den Rahmen dieser Arbeit bei weitem sprengen. Daher soll im weiteren Verlauf davon ausgegangen werden, dass die fehlerfreie Übermittlung einer verschlüsselten Nachricht sichergestellt ist und der Empfänger eines Chiffretextes diesen so erhält, wie ihn der Absender losgeschickt hat. Eine Einführung in das Thema Kodierungstheorie bietet zum Beispiel R.-H. Schulz^[2].

Abbildung einer Nachricht auf eine Zahlenfolge[Bearbeiten]

Um eine Nachricht mit RSA verschlüsseln zu können, muss sie als Folge ${\displaystyle (p_{i})_{i\geq 0}}$ von natürlichen Zahlen aus dem Intervall ${\displaystyle [0,n-1]}$ vorliegen. Dieses Problem ist mehr theoretischer Natur als eine echte Hürde in der Praxis.
Da in der elektronischen Datenverarbeitung ohnehin alle Daten in einer Binärkodierung vorliegen, kann ${\displaystyle (p_{i})}$ ohne zusätzlichen Aufwand gebildet werden. Man unterteilt die Bitsequenz schlicht sukzessive von vorne nach hinten, so dass jeder Abschnitt ${\displaystyle p_{i}}$ kleiner ist als ${\displaystyle n}$.

Selbstverständlich muss diese Zuordnung aus der Menge der Texte nach ${\displaystyle [0,n-1]}$ injektiv sein, damit der Empfänger der Nachricht diese am Ende wieder eindeutig in den originalen Klartext übersetzen kann. Andererseits sollte sie den Bildraum möglichst gut ausschöpfen, um keinen Angriffspunkt zu bieten.

Beispiel[Bearbeiten]

Angela und Barack wollen ihre Nachrichten einfach halten. Sie beschränken sich auf die Kleinbuchstaben a bis z, die sie mit 1 bis 26 durchnummerieren, dazu ein \glqq,\grqq (27), den \glqq.\grqq (28) und das Leerzeichen (29). Ein schnelles Nachrechnen ergibt ${\displaystyle 30^{3}=27000}$, die einzelnen Folgenglieder ${\displaystyle k_{i}}$ bestehen daher aus drei Buchstabenwerten ${\displaystyle k_{i,1},k_{i,2},k_{i,3}}$ und die beiden setzen ${\displaystyle k_{i}=k_{i,1}+k_{i,2}\cdot 30+k_{i,3}\cdot 30^{2}}$.

So vorbereitet kann Barack seine erste Nachricht an Angela vorbereiten: hello angie, it works. love, barack

Abschnitt	1	2	3	4	5	6
Text	hel	lo	ang	ie,	it	wo
${\displaystyle p_{i}}$	10958	26562	6721	24459	18299	14219
Abschnitt	7	8	9	10	11	12
Text	rks	. l	ove	, b	ara	ck
${\displaystyle p_{i}}$	17448	11698	5175	2697	1441	333

Verschlüsseln von Texten mit ${\displaystyle e}$ und ${\displaystyle n}$[Bearbeiten]

Der Ersteller einer verschlüsselten Nachricht verfügt über die Kenntnis des Schlüssels ${\displaystyle K_{E}=(e,n)}$. Wie bereits erwähnt bildet man die Chiffre ${\displaystyle c}$ eines Klartextes ${\displaystyle p}$ durch ${\displaystyle c\equiv p^{e}\mod n}$.
Es steht außer Frage, dass diese Berechnung bei einem Exponenten im Bereich von ${\displaystyle e=2^{512}}$ auf den ersten Blick jeden Rahmen sprengt. Selbst modernste Rechner können nur etwa ${\displaystyle 2^{40}}$ Operationen in der Sekunde durchführen, ${\displaystyle e}$-maliges Multiplizieren von ${\displaystyle p}$ führt also nicht zum Ziel.

Um die Berechnung zu beschleunigen, verwendet man daher einen optimierten Algorithmus zur Potenzierung, den Square-and-Multiply -Algorithmus. Dieser nutzt aus, dass jede Zahl eindeutig als Summe von Zweierpotenzen darstellbar ist:

Bemerkung[Bearbeiten]

Sei ${\displaystyle e}$ eine natürliche Zahl und ${\displaystyle l=\lfloor \log _{2}e\rfloor }$. Dann gibt es eine Darstellung von ${\displaystyle e}$ wie folgt:

${\displaystyle e=\sum \limits _{i=0}^{l}{e_{i}2^{i}}}$.

Dabei ist ${\displaystyle e_{i}\in \{0,1\}}$ die Charakteristik, die angibt, ob die Potenz ${\displaystyle 2^{i}}$ in der Summendarstellung von ${\displaystyle e}$ vorkommt.
Diese Bemerkung ist lediglich eine Verklausulierung der Binärdarstellung einer Zahl.

Square-and-Multiply[Bearbeiten]

Gegeben seien natürliche Zahlen ${\displaystyle p}$ und ${\displaystyle e}$. Gesucht ist ${\displaystyle c=p^{e}}$. Bestimme ${\displaystyle c}$ rekursiv durch

${\displaystyle c=p^{e}={\begin{cases}1&{\text{, wenn }}e=0\\p\cdot (p^{\lfloor {\frac {e}{2}}\rfloor })^{2}&{\text{, wenn }}e{\text{ ungerade}}\\(p^{\frac {e}{2}})^{2}&{\text{ sonst}}\end{cases}}}$

Benutzt man für die Darstellung von ${\displaystyle e}$ die Form aus der vorhergehenden Bemerkung, ergibt sich

${\displaystyle p^{e}=p^{e_{0}}\cdot p^{2e_{1}}\cdot \ldots \cdot p^{2^{l}e_{l}}}$

und durch Ausklammern folgt

${\displaystyle p^{e}=p^{e_{0}}\cdot (p^{e_{1}}\cdot (\ldots \cdot (p^{e_{l}})^{2})\ldots )^{2})^{2}}$,

was der Beschreibung des Algorithmus entspricht, weil ${\displaystyle p^{e_{i}}=p}$ ist, wenn ${\displaystyle e_{i}=1}$, und ${\displaystyle p^{e_{i}}=1}$ ist, wenn ${\displaystyle e_{i}=0}$.

Es ist schnell zu erkennen, dass auf diese Weise ${\displaystyle l}$ Quadrierungen und zusätzlich ${\displaystyle |\{e_{i}|e_{i}=1,i=0,\cdots l\}|}$ Multiplikationen durchgeführt werden müssen, was in etwa ${\displaystyle \log _{2}e}$ Operationen entspricht. Bei Anwendung in RSA erfolgt nach jedem Schritt noch die Modulo-Berechnung zum Modul ${\displaystyle n}$, so dass sich eine Laufzeit von ${\displaystyle {\mathcal {O}}(l\cdot \log _{2}(n)^{2})}$ ergibt.

Beispiel[Bearbeiten]

Barack hat Angelas Chiffrier-Schlüssel ${\displaystyle K_{E}^{A}=(91,37901)}$ erhalten und bestimmt als erstes die Darstellung von ${\displaystyle e}$ als Binärzahl, was ihm die Folge von ${\displaystyle e_{i}}$ gibt. ${\displaystyle e=91_{10}=1011011_{2}}$, wobei das höchstwertige Bit an erster Stelle für ${\displaystyle i=l}$ steht. Nun kann er die Potenzierungen vornehmen:
${\displaystyle c_{1}\equiv 10958^{91}\equiv 10958\cdot 10958^{2}\cdot 10958^{8}\cdot 10958^{16}\cdot 10958^{64}\mod 37901}$
${\displaystyle 10958^{2}\equiv 7396\mod 37901}$
${\displaystyle 10958^{4}\equiv 7396^{2}\equiv 9673\mod 37901}$
${\displaystyle 10958^{8}\equiv 7396^{4}\equiv 9673^{2}\equiv 27261\mod 37901}$
${\displaystyle 10958^{16}\equiv 7396^{8}\equiv 9673^{4}\equiv 27261^{2}\equiv 37214\mod 37901}$
${\displaystyle 10958^{32}\equiv 7396^{16}\equiv 9673^{8}\equiv 27261^{4}\equiv 37214^{2}\equiv 17157\mod 37901}$
${\displaystyle 10958^{64}\equiv 7396^{32}\equiv 9673^{16}\equiv 27261^{8}\equiv 37214^{4}\equiv 17157^{2}\equiv 23483\mod 37901}$
${\displaystyle \Rightarrow c_{1}\equiv 10958^{91}\equiv 10958\cdot 7396\cdot 27261\cdot 37214\cdot 23483\equiv 1578\mod 37901}$

${\displaystyle {\begin{array}{c|c|c|c|c|c|c}i&1&2&3&4&5&6\\\hline p_{i}&10958&26562&6721&24459&18299&14219\\c_{i}&1578&36622&13694&35126&26869&37497\\i&7&8&9&10&11&12\\\hline p_{i}&17448&11698&5175&2697&1441&333\\c_{i}&329&7209&17540&12095&26624&26899\\\end{array}}}$

So sendet Barack schließlich seinen Geheimtext, der aus der Folge seiner ${\displaystyle c_{i}}$ besteht, an Angela:

${\displaystyle C=(1578,36622,13694,35126,26869,37497,329,7209,17540,12095,26624,26899)}$

Entschlüsseln von Nachrichten mit ${\displaystyle d}$ und ${\displaystyle n}$[Bearbeiten]

Grundsätzlich funktioniert die Entschlüsselung einer Nachricht ebenso wie die Verschlüsselung. Die einzelnen Folgeglieder ${\displaystyle c_{i}}$ werden mit ${\displaystyle d}$ potenziert und am Ende erhalten wir ${\displaystyle {\tilde {p_{i}}}\equiv c_{i}^{d}\mod n}$. Da die Korrektheit des Verfahrens bereits bewiesen wurde und von einer fehlerfreien Übertragung ausgegangen wird, ist ${\displaystyle {\tilde {p_{i}}}=p_{i}}$.

Mit kleinen Modifikationen kann die Berechnung von ${\displaystyle c^{d}\mod n}$ allerdings noch spürbar verbessert werden. Da die entschlüsselnde Person Kenntnis von den Primzahlen ${\displaystyle p}$ und ${\displaystyle q}$ hat, die dem RSA-Modul ${\displaystyle n}$ zugrunde liegen, kann die Potenzierung auf die Restklassen modulo ${\displaystyle p}$ und modulo ${\displaystyle q}$ zurückgeführt werden. Statt also ${\displaystyle p_{i}\equiv c_{i}^{d}\mod n}$ zu berechnen, bestimmt sie ${\displaystyle p_{i,p}\equiv c_{i}^{d}\mod p}$ und ${\displaystyle p_{i,q}\equiv c_{i}^{d}\mod q}$.
Um daraus das korrekte ${\displaystyle p_{i}}$ zu bestimmen, wird die Folgerung des chinesischen Restsatzes benutzt, dass ein System simultaner Kongruenzen teilerfremder Moduln eine eindeutige Lösung modulo des Produkts besitzt:

Chinesischer Restsatz^[3][Bearbeiten]

Gegeben seien ${\displaystyle a,b\in \mathbb {Z} }$ und ${\displaystyle p,q\in \mathbb {P} }$ verschieden. Sei ${\displaystyle n=pq}$ und ${\displaystyle y,z\in \mathbb {Z} }$ so, dass ${\displaystyle yp+zq=1}$.
Zu den simultanen Kongruenzen ${\displaystyle x\equiv a\mod p}$ und ${\displaystyle x\equiv b\mod q}$ gibt es genau eine Lösung. Diese ist äquivalent zu der einfachen Kongruenz

${\displaystyle x\equiv a-yp(a-b)\mod p}$.

Beweis[Bearbeiten]

Die Existenz und Eindeutigkeit der Lösung wurde bereits an früherer Stelle durch den induzierten Isomorphismus ${\displaystyle {\mathbb {Z} }/(n)\cong {\mathbb {Z} }/({p})\times {\mathbb {Z} }/({q})}$ nachgewiesen. Auch die sich ergebende Formel sei noch schnell motiviert:
Es gilt ${\displaystyle yp+zq=1}$, Multiplikation mit ${\displaystyle (a-b)}$ ergibt ${\displaystyle yp(a-b)+zq(a-b)=(a-b)}$. Umstellen liefert ${\displaystyle x:=b+zq(a-b)=a-yp(a-b)}$, wobei ${\displaystyle x\mod p}$ äquivalent zu ${\displaystyle a}$ ist und ${\displaystyle x\mod q}$ äquivalent zu ${\displaystyle b}$ ist. ${\displaystyle \square }$

Beispiel[Bearbeiten]

Angie hat Baracks Geheimtext ${\displaystyle C}$ erhalten. Nun muss sie nur noch jedes Folgenglied mit ihrem Entschlüsselungsexponenten potenzieren und weiß, was ihr neuer Bekannter geschrieben hat. Zuerst bestimmt sie mit dem erweiterten euklidischen Algorithmus ${\displaystyle y,z\in \mathbb {Z} }$, so dass ${\displaystyle yp+zq=1}$. Sie erhält ${\displaystyle y=-123}$ und ${\displaystyle z=74}$.

${\displaystyle {\begin{array}{c|c|c|c|c|c|c}i&1&2&3&4&5&6\\\hline c_{i}&1578&36622&13694&35126&26869&37497\\p_{i,p}&86&137&77&148&28&25\\p_{i,q}&165&207&195&112&227&163\\p_{i}&10958&26562&6721&24459&18299&14219\\i&7&8&9&10&11&12\\\hline c_{i}&329&7209&17540&12095&26624&26899\\p_{i,p}&83&71&41&130&82&31\\p_{i,q}&129&152&155&187&186&82\\p_{i}&17448&11698&5175&2697&1441&333\\\end{array}}}$

Aus Freude über die netten Worte beschließt sie, von nun an in engem Kontakt zu Barack zu bleiben und wartet darauf, dass auch er einen RSA-Schlüssel veröffentlicht.

Sicherheit[Bearbeiten]

Faktorisierungsalgorithmen[Bearbeiten]

Wie man bei der Konstruktion der RSA-Schlüssel gesehen hat, ist das Wissen über die Primzahlen ${\displaystyle p}$ und ${\displaystyle q}$ eine wesentliche Voraussetzung, um den Entschlüsselungsexponenten ${\displaystyle d}$ zu ermitteln. Die Sicherheit von RSA beruht darauf, dass derzeit kein Algorithmus bekannt ist, mit dem man in akzeptabler (das heißt polynomieller) Laufzeit die Primfaktorzerlegung einer gegebenen Zahl ${\displaystyle n}$ finden kann. Ob ein solcher Algorithmus allerdings wirklich nicht existieren kann, ist eine unbewiesene Annahme.
Auch wenn derzeit kein Algorithmus bekannt ist, der eine natürliche Zahl effizient faktorisieren kann, wurden in den letzten Jahrzehnten große Fortschritte auf dem Gebiet der Faktorisierungsalgorithmen erzielt. Viele dieser Erfolge sind auf John M. Pollard zurückzuführen, von dem unter anderem der Pollard-p-1-Algorithmus auf Grundlage des kleinen Satzes von Fermat stammt. Auch das so genannte Zahlkörpersieb stammt von Pollard. Mit dieser Methode wurde unter anderem 1992 die Fermat-Zahl ${\displaystyle F_{9}}$ komplett faktorisiert, die einen 49- und einen 99-stelligen Primfaktor besitzt. Ebenfalls wurde mit einer Version des Zahlkörpersiebs im Jahre 2005 ein 200-stelliger RSA-Modul faktorisiert. Aus diesem Grund gelten heute nur noch RSA-Schlüssel als sicher, deren zu Grunde liegenden Primzahlen eine Länge von mindestens 512 Bit besitzen.

Angriffe auf ${\displaystyle \varphi (n)}$ und ${\displaystyle d}$[Bearbeiten]

Es liegt auf der Hand anzunehmen, dass man statt der Faktorisierung von ${\displaystyle n}$ einen direkten Angriff auf ${\displaystyle \varphi (n)}$ oder ${\displaystyle d}$ starten könnte. Es lässt sich allerdings recht einfach zeigen, dass aus der Kenntnis von ${\displaystyle \varphi (n)}$ oder ${\displaystyle d}$ mit wenig Aufwand auch die Primfaktorzerlegung von ${\displaystyle n}$ folgt, die Bestimmung von ${\displaystyle \varphi (n)}$ oder ${\displaystyle d}$ also nicht leichter sein kann als die Faktorisierung.
Der einfache Fall ist die Kenntnis von ${\displaystyle \varphi (n)}$. Es ergeben sich die beiden Gleichungen

${\displaystyle n=pq}$ und ${\displaystyle \varphi (n)=(p-1)(q-1)}$,

wobei sowohl ${\displaystyle n}$ als auch ${\displaystyle \varphi (n)}$ bekannt sind. Es ergibt sich nach der Substitution ${\displaystyle q={\frac {n}{p}}}$ die quadratische Gleichung

${\displaystyle p^{2}-(n-\varphi (n)+1)p+n=0}$,

deren Lösung schnell bestimmt werden kann. Die Bestimmung von ${\displaystyle \varphi (n)}$ ist also nicht leichter als die Zerlegung von ${\displaystyle n}$ in Primfaktoren.
Ebenfalls leicht einzusehen ist der Fall von bekanntem ${\displaystyle d}$. Der Beweis ist allerdings um einiges komplizierter, daher soll hier nur eine kurze Idee angeführt werden. Grundlage ist ein probalistischer Algorithmus, der eine Menge von Zahlen aus ${\displaystyle \mathbb {Z} /(n)}$ testet, ob für sie oder eine ihrer Potenzen die Kongruenz ${\displaystyle x^{2}\equiv 1\mod n,x\neq -1}$ erfüllt ist.

Lemma[Bearbeiten]

Sei ${\displaystyle n=pq}$ eine natürliche Zahl mit den ungeraden Primfaktoren ${\displaystyle p,q\in \mathbb {P} }$ und ${\displaystyle 1<x<n-1}$ eine nicht triviale Lösung von ${\displaystyle x^{2}\equiv 1\mod n}$. Dann sind

${\displaystyle \mathrm {ggT} (x-1,n)}$ und ${\displaystyle \mathrm {ggT} (x+1,n)}$

die beiden Primfaktoren von n.

Beweis[Bearbeiten]

Es gilt ${\displaystyle x^{2}\equiv 1^{2}\mod {n}}$ sowie ${\displaystyle x\neq \pm 1\mod n}$. Es folgt direkt ${\displaystyle x^{2}-1^{2}\equiv (x+1)(x-1)\equiv 0\mod n}$, oder anders ausgedrückt ${\displaystyle kn=(x+1)(x-1)}$ für ein ${\displaystyle k\in \mathbb {Z} }$. Da ${\displaystyle x-1<x+1<n}$, müssen echte Teiler von ${\displaystyle n}$ existieren, so dass ${\displaystyle 1<\mathrm {ggT} (x-1),n)<n}$ und ${\displaystyle 1<\mathrm {ggT} <n}$. Der größte gemeinsame Teiler von ${\displaystyle x-1}$ und ${\displaystyle x+1}$ kann maximal 2 sein, also teilt jeder der Faktoren ${\displaystyle p,q}$ genau einen der Faktoren ${\displaystyle (x-1),(x+1)}$. ${\displaystyle \square }$

Für den Faktorisierungsalgorithmus muss nun noch eine Faktorzerlegung von ${\displaystyle de-1}$ der Form ${\displaystyle 2^{s}t}$ erzeugt werden, so dass ${\displaystyle t}$ eine ungerade Zahl ist. Der Algorithmus wählt nun zufällig eine Zahl ${\displaystyle 1<w<n}$ aus und bestimmt den größten gemeinsamen Teiler von ${\displaystyle w}$ und ${\displaystyle n}$. Ist dieser ungleich 1, wurde bereits ein Primfaktor gefunden und der Algorithmus war erfolgreich. Ansonsten wird ${\displaystyle w^{t}\mod n}$ berechnet. Solange das folgende Zahl Ergebnis ungleich 1 ist, wird es quadriert. Gilt ${\displaystyle (w^{t})^{2^{k}}\equiv 1\mod n}$ und ${\displaystyle (w^{t})^{2^{(k-1)}}\neq -1\mod n}$, so war der Algorithmus ebenfalls erfolgreich, da nun das vorangegangene Lemma angewendet werden kann. Ansonsten bestimmt er ein neues ${\displaystyle w}$ und beginnt erneut.Die Erfolgswahrscheinlichkeit des Algorithmus liegt bei 50%.

Ein weiteres Risiko ist die Festlegung eines zu kleinen ${\displaystyle d}$, speziell ${\displaystyle 3d<{\sqrt[{4}]{n}}}$. In diesem Fall existiert ein auf Kettenbrüchen basierender Angriffsalgorithmus, den Michael J. Wiener beschrieben hat^[4]. Es wird hier noch einmal deutlich, dass die Wahl von ${\displaystyle e}$ (und damit auch von ${\displaystyle d}$) nicht völlig willkürlich erfolgen sollte.

Andere Angriffe auf RSA[Bearbeiten]

Die Public-Key-Kryptosysteme haben auch vollkommen neue Arten von Angriffen auf die Algorithmen hervorgebracht. So ist es möglich, eine grobe Abschätzung der Größe von ${\displaystyle d}$ vorzunehmen, wenn ein Angreifer in der Lage ist, die aufgewendete Zeit für eine Entschlüsselung zu bestimmen.
Da die Geschwindigkeit des Square-and-Multiply-Verfahrens von der Länge des Exponenten abhängig ist, lässt sich leicht erkennen, dass die Dechiffrierung bei kleinem ${\displaystyle d}$ weniger Zeit in Anspruch nimmt als bei einem ${\displaystyle d}$, dessen Länge in der Nähe des RSA-Moduls liegt. Solche Timing attacks , die zuerst von Paul C. Kocher beschrieben wurden^[5], sind im Allgemeinen allerdings schwer zu kontrollieren, da sie nicht ausschließlich von ${\displaystyle d}$ abhängen, sondern auch von der eigentlichen Implementation der Algorithmen und der genutzten Hardware.

Andere Angriffe entfernen sich von der Idee, RSA an sich zu brechen, und wenden sich der umgebenden Architektur zu. Der bekannteste unter ihnen ist der Man-in-the-middle-Angriff, der sich die Problematik zunutze macht, zum Beispiel im Internet eine eindeutige Identifizierung des Gegenübers vorzunehmen.
So ist es zum Beispiel denkbar, dass Barack, der mit Angie kommunizieren möchte, in Wirklichkeit Hugos öffentlichen Schlüssel untergeschoben bekommt, da sich Hugo Barack gegenüber als Angie ausgibt und umgekehrt. So kann Hugo die eigentlich für Angie bestimmten Nachrichten mit seinem eigenen Schlüssel dechiffrieren, nach Belieben verändern und dann erst an Angie weiterleiten.

Nachteile und Grenzen von Public-Key-Systemen[Bearbeiten]

Public-Key-Kryptosysteme wie RSA haben in der Praxis zwei entscheidende Nachteile:

• Die Berechnung der Geheim- und Klartexte ist extrem langsam
• Es muss zweifelsfrei sichergestellt werden, dass der Besitzer eines Schlüssels die Person ist, die er vorgibt zu sein

Aktuelle, in der Praxis eingesetzte Verfahren, die symmetrisch arbeiten, sind etwa um den Faktor 1000 schneller als RSA, weil die dort meistens eingesetzten nichtlinearen Substitutionen und Permutationen effizienter umzusetzen sind als Potenz- und Modulo-Operationen. Entsprechend ist es praktisch unmöglich, RSA in zeitkritischen Anwendungen einzusetzen, zum Beispiel bei der Telekommunikation. Abhörsichere Telefonleitungen sind in der Regel also nicht durch asymmetrische Verschlüsselung zu schützen.

Es ist häufig so, dass die Kommunikation über einen asymmetrisch gesicherten Kanal so kurz wie möglich ausfallen soll. In der Praxis ist es üblich, für den eigentlichen Datenaustausch ein symmetrisches Verfahren wie AES oder RC4 zu verwenden und Public-Key-Verfahren wie RSA lediglich zum Austausch der genutzten Schlüssel einzusetzen.
Es wird also eine sichere Verbindung mit RSA aufgebaut, der geheime Schlüssel für das symmetrische Verfahren übertragen und die weitere Kommunikation dann darüber abgewickelt.

Noch schwieriger ist das Problem der Authentifizierung des Schlüsselinhabers. Im Internet kann man nur selten davon ausgehen, dass es sich beim Gegenüber wirklich um die Person handelt, die sie zu sein vorgibt.
Entsprechend reicht es nicht aus, mit ihr sicher zu kommunizieren, man muss zuallererst klären, mit wem man es eigentlich zu tun hat. Dafür gibt es so genannte Trust Center, die mit der Verwaltung der öffentlichen Schlüssel betraut sind. Ein vertrauenswürdiger Kommunikationspartner authentifiziert sich dort und hinterlegt dann seinen persönlichen Schlüssel, womit sichergestellt ist, dass seine Identität geklärt ist.

Quellen und Weiterführendes[Bearbeiten]

1. ↑ Müller-Stach, Piontkowski: Elementare und algebraische Zahlentheorie, vieweg, 2006, S. 16, ISBN 978-3834802118
2. ↑ R.-H. Schulz: Codierungstheorie: Eine Einführung, vieweg, 2003, ISBN 978-3528164195
3. ↑ Müller-Stach, Piontkowski: Elementare und algebraische Zahlentheorie, vieweg, 2006, S. 22f, ISBN 978-3834802118
4. ↑ M.J. Wiener: Cryptanalysis of short RSA secret exponents, IEEE Transaction on Information Theory, Vol. 36, 1990
5. ↑ Paul C. Kocher: Timing Attacks on Implementations of Diffie-Hellman, RSA, DSS, and Other Systems, CRYPTO 1996, S.104ff.