Kryptologie/RSA-Kryptosystem

Das RSA-Kryptosystem ist ein asymmetrisches Kryptosystem aus den 70er Jahren des letzten Jahrhunderts^[5]. Es beruht auf der Annahme, dass die Potenzierung modulo ${\displaystyle N}$  unter bestimmten Voraussetzungen eine Falltür-Funktion ist^[6]. Das Kryptosystem kann zur Realisierung all unserer bekannten Sicherheitsziele genutzt werden: Vertraulichkeit oder Authentizität und Verbindlichkeit. Das RSA-Kryptosystem, kann also als Verschlüsselungsverfahren oder als digitale Signatur verwendet werden^[5]. Es gilt als eines der aktuell besten Kryptosysteme^[7] und kommt als Verschlüsselungsverfahren oder digitale Signatur in unterschiedlichen Einsatzgebiete vor^[8]. Zwei von vielen Beispielen hierfür sind Bankkarten zum Geld abheben und bargeldlosem Bezahlen^[9] und S/MIME, einem Standard für Verschlüsselung und Signatur von Emails, der den RSA-Algorithmus als Verfahren zur digitalen Signatur verwendet^[10].

Wir beschreiben den RSA-Algorithmus anhand des RSA-Verschlüsselungsverfahrens. Die Berechnungen finden dabei alle im Restklassenring ${\displaystyle (\mathbb {Z} /N\mathbb {Z} ,\oplus ,\odot )}$  statt^[11].

1. Schlüsselerzeugungsalgorithmus
   • Berechnung des RSA-Modul ${\displaystyle N=p\cdot q}$  aus zwei Primzahlen ${\displaystyle p,q}$  definierter Größenordnung
   • Wahl eines zu ${\displaystyle \varphi (N)=(p-1)\cdot (q-1)}$  teilerfremden Verschlüsselungsexponenten ${\displaystyle e}$ 
   • Berechnung des Entschlüsselungsexponenten ${\displaystyle d}$  aus der Gleichung ${\displaystyle e\cdot d\equiv 1{\bmod {\varphi (N)}}}$  mittels erweitertem euklidischen Algorithmus
   • Privaten Schlüssel ${\displaystyle (d,N)}$  und öffentlichen Schlüssel ${\displaystyle (e,N)}$  bilden^[18][19]
   • Bemerkung: Die Wahl der Primzahlen geschieht aus Sicherheitsgründen zufällig, wobei eine gewisse Größenordnung vorausgesetzt wird. In der Praxis wählt man eine zufällige Zahl dieser Größenordnung und testet dann mit einem Primzahltest, ob die Zahl prim ist^[20].
2. Verschlüsselungsalgorithmus
   • ${\displaystyle c\equiv m^{e}{\bmod {N}}}$  mit Klartext ${\displaystyle m\in \mathbb {Z} /N\mathbb {Z} }$ , Geheimtext ${\displaystyle c\in \mathbb {Z} /N\mathbb {Z} }$  und dem öffentlichen Schlüssel ${\displaystyle (e,N)}$ ^[18][21]
3. Entschlüsselungsalgorithmus
   • ${\displaystyle m\equiv c^{d}{\bmod {N}}}$  mit ${\displaystyle m\in \mathbb {Z} /N\mathbb {Z} }$ , ${\displaystyle c\in \mathbb {Z} /N\mathbb {Z} }$  und dem privaten Schlüssel ${\displaystyle (d,N)}$ ^[18][21]

Bemerkung: Die Algorithmen der RSA-Signatur sind zu denen des RSA-Verschlüsselungsverfahrens fast identisch. Sie unterscheiden sich in der Notation und in der Reihenfolge des zweiten und dritten Schritts^[21].

Wir wollen den Klartext ${\displaystyle m=7}$  mit dem Verschlüsselungsalgorithmus verschlüsseln und anschließend mit dem Entschlüsselungsalgorithmus entschlüsseln.

Schritt 1: Schlüsselerzeugung

Seien ${\displaystyle p=11}$  und ${\displaystyle q=13}$ 

Wir bestimmen zunächst den RSA-Modul ${\displaystyle N=p\cdot q=11\cdot 13=143}$ .

Dann ist

${\displaystyle \varphi (N)=(p-1)\cdot (q-1)=10\cdot 12=120}$ .

Wähle ${\displaystyle e}$  mit ${\displaystyle ggT(e,\varphi (N))=1}$ , dann sei ${\displaystyle e=23}$ .

Nun berechnen wir das multiplikative Inverse ${\displaystyle d}$  mit ${\displaystyle e\cdot d\equiv 1{\bmod {\varphi (N)}}}$ :

${\displaystyle 23\cdot d\equiv 1{\bmod {120}}}$ 

Wir wenden den erweiterten euklidischen Algorithmus an:

• Teil 1: Berechnung des ${\displaystyle ggT}$ 

Gleichung 1: ${\displaystyle 120=5\cdot 23+5}$ 

Gleichung 2: ${\displaystyle 23=4\cdot 5+3}$ 

Gleichung 3: ${\displaystyle 5=1\cdot 3+2}$ 

Gleichung 4: ${\displaystyle 3=1\cdot 2+1}$ 

Gleichung 5: ${\displaystyle 2=2\cdot 1+0}$ 

${\displaystyle \Rightarrow ggT(23,120)=1}$ , da der hintere Summand in der vorletzten Gleichung ${\displaystyle 1}$  ist

• Teil 2: Berechnung zweier ganzer Zahlen ${\displaystyle s}$  und ${\displaystyle t}$ , welche die Gleichung ${\displaystyle \operatorname {ggT} (23,120)=s\cdot 23+t\cdot 120}$  erfüllen

${\displaystyle 1=3-1\cdot 2}$ 

${\displaystyle \Leftrightarrow 1=(23-4\cdot 5)-1\cdot (5-3)}$ , wegen Gleichung 2 und 3

${\displaystyle \Leftrightarrow 1=23-5\cdot 5+3}$ 

${\displaystyle \Leftrightarrow 1=23-5\cdot 5+(23-4\cdot 5)}$ , wegen Gleichung 1 und 2

${\displaystyle \Leftrightarrow 1=23-5\cdot (120-5\cdot 23)+(23-4\cdot (120-5\cdot 23))}$ , wegen Gleichung 1

${\displaystyle \Leftrightarrow 1=23-5\cdot 120+25\cdot 23+23-4\cdot 120+20\cdot 23}$ 

${\displaystyle \Leftrightarrow 1=47\cdot 23-9\cdot 120}$ 

${\displaystyle \Rightarrow s=47}$  und ${\displaystyle t=-9}$ 

Es folgt wegen der Kongruenz ${\displaystyle 23\cdot d\equiv 1{\bmod {120}}}$ , dass ${\displaystyle d=s=47}$ .

Nun bilden wir den privaten und öffentlichen Schlüssel

• Private Schlüssel ${\displaystyle (d,N)=(47,143)}$ 
• Öffentliche Schlüssel ${\displaystyle (e,N)=(23,143)}$ 

Schritt 2: Verschlüsseln des Klartextes ${\displaystyle m=7}$  mit ${\displaystyle c\equiv m^{e}{\bmod {N}}}$ 

${\displaystyle c\equiv 7^{23}\equiv 7^{21}\cdot 7^{2}\equiv (7^{7})^{3}\cdot 7^{2}\equiv 6^{3}\cdot 7^{2}\equiv 73\cdot 49\equiv 2{\bmod {1}}43}$ , da ${\displaystyle 7^{7}=5759\cdot 143+6}$ 

${\displaystyle \Rightarrow c=2}$ 

Schritt 3: Entschlüsseln des Geheimtextes ${\displaystyle c=2}$  mit ${\displaystyle m\equiv c^{d}{\bmod {N}}}$ 

${\displaystyle m\equiv 2^{47}\equiv 2^{6}\cdot 2^{7}\cdot 2^{5}\equiv 64\cdot 128\cdot 32\equiv 7{\bmod {1}}43}$ 

${\displaystyle \Rightarrow m=7}$ ^[24]

Die Sicherheit des RSA-Algorithmus beruht heute vor allem auf dem RSA- bzw. Faktorisierungsproblem^[25].

RSA-Problem

Gegeben sind der öffentliche Schlüssel ${\displaystyle (e,N)}$  sowie der Geheimtext ${\displaystyle c}$ . Gesucht wird der Klartext ${\displaystyle m}$  wobei gilt: ${\displaystyle m^{e}\equiv c{\bmod {N}}}$ . Das Problem liegt hier in der Schwierigkeit die ${\displaystyle e}$ -te Wurzel modulo ${\displaystyle N}$  zu ziehen oder das multiplikative Inverse von ${\displaystyle e}$  zu bestimmen^[18][25].

RSA-Annahme

Es ist bisher nicht klar wie schwer es tatsächlich ist das RSA-Problem zu lösen. Es wird jedoch angenommen, dass das Problem (bei ausreichend großem RSA-Modul ${\displaystyle N}$ ) unverhältnismäßig schwer zu lösen ist. Diese Annahme heißt RSA-Annahme^[25].

Faktorisierungsproblem

Dass das RSA-Problem schwer zu lösen ist, wird auch durch das Faktorisierungsproblem bekräftigt. Das Faktorisierungsproblem besteht schon seit Jahrhunderten^[26]. Die Problemstellung besteht darin, für eine zusammengesetzte Zahl ${\displaystyle n}$  einen anderen Teiler als ${\displaystyle 1}$  und ${\displaystyle n}$  zu finden^[25]. Wir werden in einer späteren Lerneinheit zur Sicherheit des RSA-Kryptosystems sogar zeigen, dass das RSA-Problem höchstens so schwer zu lösen ist, wie das Faktorisierungsproblem^[25].

Zukunft der Sicherheit des RSA-Algorithmus

Ob der RSA-Algorithmus auch noch in einigen Jahrzehnten als sicher gilt, ist fraglich. Möglicherweise gelingt es bis dahin einen Faktorisierungsalgorithmus zu finden, der das Faktorisierungsproblem löst oder es gibt eine andere Möglichkeit, um den RSA-Algorithmus unabhängig von der Faktorisierung von ${\displaystyle N=p\cdot q}$  zu brechen und somit das RSA-Problem zu lösen^[25]. Ein solcher effizienter Faktorisierungsalgorithmus ist bereits beschrieben worden, jedoch setzt dieser den Einsatz von Quantencomputern voraus^[27].

Angriffe auf das RSA-Kryptosystem

In einigen Spezialfällen kann ein Angreifer einen Geheimtext entschlüsseln^[18][8]. Diese Angriffsszenarien basieren jedoch auf einer falschen Verwendung des RSA-Kryptosystems^[28]. Ein solches Beispiel behandeln wir in der Lerneinheit Angriff auf das RSA-Verschlüsselungsverfahren.

1. ↑ Menezes, A. J., van Oorschot, P. C., & Vanstone, S. A. (1997). Handbook of Applied Cryptography. 5. S. 15.
2. ↑ ^{2,0 2,1 2,2 2,3} Diffie, W., & Hellman, M. (1976). New directions in cryptography. IEEE Transactions on Information Theory, 22(6) (S. 644–654). S. 644.
3. ↑ Diffie, W., & Hellman, M. (1976). New directions in cryptography. IEEE Transactions on Information Theory, 22(6) (S. 644–654). S. 645.
4. ↑ Rivest, R. L., Shamir, A., & Adleman, L. (1978). A method for obtaining digital signatures and public-key cryptosystems. Communications of the ACM, 21(2) (S. 120–126). S. 121.
5. ↑ ^{5,0 5,1} Rivest, R. L., Shamir, A., & Adleman, L. (1978). A method for obtaining digital signatures and public-key cryptosystems. Communications of the ACM, 21(2) (S. 120–126). S. 120.
6. ↑ Rivest, R. L., Shamir, A., & Adleman, L. (1978). A method for obtaining digital signatures and public-key cryptosystems. Communications of the ACM, 21(2) (S. 120–126). S. 126.
7. ↑ Singh, G., & Supriya, S. (2013). A Study of Encryption Algorithms (RSA, DES, 3DES and AES) for Information Security. International Journal of Computer Applications, 67(19) (S. 33–38). S. 35.
8. ↑ ^{8,0 8,1} Boneh, D. (1999). Twenty Years of Attacks on the RSA Cryptosystem. 46(2), 11. S. 203.
9. ↑ Kunjadić, G., & Jović, Z. (2016). Bitcoin—Banking and Technological Challenges. Proceedings of the International Scientific Conference FINIZ 2016 (S. 185–189). S. 188.
10. ↑ Raji, M. A., Amiri, F., & Ahmadian, M. (2016). A New secure email scheme Using Digital Signature with S/MIME. 8. S. 56.
11. ↑ Beutelspacher, A., Neumann, H. B., & Schwarzpaul, T. (2010). Kryptografie in Theorie und Praxis: Mathematische Grundlagen für Internetsicherheit, Mobilfunk und elektronisches Geld (2., überarb. Aufl). Vieweg + Teubner. S. 121.
12. ↑ Buchmann, J. (2016). Einführung in die Kryptographie (6. Aufl.). Berlin, Heidelberg: Springer. S. 157.
13. ↑ Kryptologie - Mathematische Vertiefung (PH Freiburg SS 2017). (5. Dezember 2019). Wikiversity, . Abgerufen am 8. Januar 2020, 12:14 von https://de.wikiversity.org/w/index.php?title=Kryptologie_-_Mathematische_Vertiefung_(PH_Freiburg_SS_2017)&oldid=605650. (Formulierung verändert)
14. ↑ ^{14,0 14,1} Stroth, G., & Waldecker, R. (2019). Elementare Algebra und Zahlentheorie (2. Aufl.). Birkhäuser Basel. S. 77.
15. ↑ Seite „Eulersche Phi-Funktion“. In: Wikipedia, Die freie Enzyklopädie. Bearbeitungsstand: 24. August 2019, 16:52 UTC. URL: https://de.wikipedia.org/w/index.php?title=Eulersche_Phi-Funktion&oldid=191644019 (Abgerufen: 7. Januar 2020, 09:45 UTC; Formulierung verändert)
16. ↑ ^{16,0 16,1} Lehman, E., Leighton, T., & Meyer, A. R. (2010). Mathematics for computer science. Technical report, 2006. Lecture notes. S. 249.
17. ↑ ^{17,0 17,1} Kurzweil, H. (2008). Endliche Körper: Verstehen, rechnen, anwenden (2., überarb. Aufl). Springer. S. 57.
18. ↑ ^{18,0 18,1 18,2 18,3 18,4} Seite „RSA-Kryptosystem“. In: Wikipedia, Die freie Enzyklopädie. Bearbeitungsstand: 15. Dezember 2019, 19:39 UTC. URL: https://de.wikipedia.org/w/index.php?title=RSA-Kryptosystem&oldid=194933568 (Abgerufen: 28. Dezember 2019, 16:29 UTC; Formulierung verändert)
19. ↑ Rivest, R. L., Shamir, A., & Adleman, L. (1978). A method for obtaining digital signatures and public-key cryptosystems. Communications of the ACM, 21(2) (S. 120–126). S. 122f.
20. ↑ Beutelspacher, A., Neumann, H. B., & Schwarzpaul, T. (2010). Kryptografie in Theorie und Praxis: Mathematische Grundlagen für Internetsicherheit, Mobilfunk und elektronisches Geld (2., überarb. Aufl). Vieweg + Teubner. S. 118.
21. ↑ ^{21,0 21,1 21,2} Rivest, R. L., Shamir, A., & Adleman, L. (1978). A method for obtaining digital signatures and public-key cryptosystems. Communications of the ACM, 21(2) (S. 120–126). S. 122.
22. ↑ Buchmann, J. (2016). Einführung in die Kryptographie (6. Aufl.). Berlin, Heidelberg: Springer. S. 43.
23. ↑ Buchmann, J. (2016). Einführung in die Kryptographie (6. Aufl.). Berlin, Heidelberg: Springer. S. 37.
24. ↑ Kryptologie - Mathematische Vertiefung (PH Freiburg SS 2017). (5. Dezember 2019). Wikiversity, . Abgerufen am 8. Januar 2020, 12:14 von https://de.wikiversity.org/w/index.php?title=Kryptologie_-_Mathematische_Vertiefung_(PH_Freiburg_SS_2017)&oldid=605650.
25. ↑ ^{25,0 25,1 25,2 25,3 25,4 25,5} Hinek, M. J. (2009). Cryptanalysis of RSA and Its Variants. CRC Press. S. 8.
26. ↑ Buchmann, J. (2016). Einführung in die Kryptographie (6. Aufl.). Springer. S. 172.
27. ↑ Shor, P. W. (1994). Algorithms for quantum computation: Discrete logarithms and factoring. Proceedings 35th Annual Symposium on Foundations of Computer Science (S. 124–134). S. 130.
28. ↑ Moore, J. H. (1988). Protocol failures in cryptosystems. Proceedings of the IEEE, 76(5) (S. 594–602). S. 594.