You are on page 1of 15

Kryptographie

Fabrykowski Lukas
20. September 2012
Inhaltsverzeichnis
1 Historischer Rckblick 3
2 Klassische Verschlsselungsverfahren - Tauschchiren 5
2.1 Verschiebechiren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2.2 Multiplikative Chiren . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2.3 Ane Chiren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.4 Kryptoanalyse aner Chiren . . . . . . . . . . . . . . . . . . . . . . . 7
2.5 Polyalphabetische Chiren - die Vigenre-Chire . . . . . . . . . . . . 8
2.6 One-Time-Pad-Verfahren . . . . . . . . . . . . . . . . . . . . . . . . . 9
3 Moderne Verschlsselungsverfahren 10
3.1 RSA-Verfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
3.2 Die-Hellman Schlsselaustausch . . . . . . . . . . . . . . . . . . . . . 13
4 Schlusswort 15
2
1 Historischer Rckblick
Verschlsselung war seit jeher wichtig.
Hat ein Steinzeitmensch einen jungen (aber schon ausgewachsenen) Mammut erlegt,
so konnte er durch entsprechende Zeichen (schriftliche - i.e. gezeichnete - oder akus-
tische) seinen Stammgenossen den Ort des Fleischberges verraten - ohne dass ein
Auenstehender den Ort erfhrt. Sobald der Mensch (homo sapiens) auf die intel-
ligente Idee kam sich gegenseitig umzubringen (und diese Erndung Krieg nannte)
war es auch von groem Nutzen, wenn der Gegner weder die eigenen Positionen, noch
die genauen Befehle, kannte.
So sollen zum Beispiel die Griechen bei ihren militrischen Eskapaden so genannte -
Scytale -
5. Jhd. v. Chr.
Scytale verwendet haben. Dieses Gert hatte folgende Funktionsweise:
Vorbereitung:
und vereinbaren einen gemeinsamen Stabdurchmesser und be-
reiten sich jeweils einen Stab dieses Durchmessers vor.
Verschlsselung:
Will nun eine Nachricht an schicken, so wickelt sie um ihren
Stab ein dnnes Lederband und schreibt darauf entlang der Stabsrichtung.
Nachdem die Nachricht aufgeschrieben war, rollt das Lederband aus und
sendet es an .
Entschlsselung:
Sobald ein beschriebenes Lederband von Alice bekommt kann er die-
ses um seinen Stab wickeln und so die Nachricht lesen.
Hinweis:
Der entrollte Lederriemen enthlt die Nachricht prinzipiell in Klartext, doch da
nicht entlang des Riemens sondern entlang der Stabes geschrieben hat,
erscheinen die Buchstaben vermischt.
Ebenso verwendeten die Rmer eine Chire um Befehle zu berbringen - genauge- Csar-Chire -
1. Jh. v. Chr. nommen soll es nach Sueton Julius Csar gewesen sein. Daher stammt auch der
Name dieser Verschlsselung: Csar-Chire. Diese Chire gehrt zur Familie der
anen Chiren (siehe Kapitel 2).
Vorbereitung: - (nicht ntig)
Verschlsselung:
Wenn ALICIA eine Nachricht an GAIUS senden will, so ersetzt sie jeden Buch-
staben in der Nachricht durch jenen Buchstaben, der drei Stellen weiter im
Alphabet steht (wobei das Alphabet zusammengebogen wird - der Nachfol-
ger von Z ist A).
3
Entschlsselung:
Wenn GAIUS eine Nachricht von ALICIA erhlt, so tauscht er wiederum je-
den Buchstaben gegen seinen 3-Vorgnger aus (wobei das Alphabet wiederum
zusammengebogen wird) und erhlt somit die ursprngliche Nachricht.
Doch nicht nur zu militrischen Zwecken wurde Verschlsselung angewandt - so wur- -
Atbasch -
6. Jh. v. Chr.
den zum Beispiel einige Teile (einzelne Wrter) des Alten Testamentes mit der so
genannten Atbasch-Geheimschrift aufgeschrieben. Das Prinzip war folgendes:
Vorbereitung: - (nicht ntig)
Verschlsselung:
Wenn eine Nachricht an senden will, so ersetzt sie in ihrer Nachricht
den ersten Buchstaben des Alphabets () durch den letzten (), den zweiten
() durch den vorletzten () - und so weiter.
Entschlsselung:
Wenn eine Nachricht von erhlt, so muss er nur dasselbe Verfahren,
wie bei der Verschlsselung angewandt, benutzen und erhlt so den Klartext.
1
Nach der Csar-Chire, die im ersten Jahrhundert vor unserer Zeitrechnung er-
funden wurde, gab es eine lngere Zeitspanne, in der keine neuen kryptologischen
Errungenschaften erreicht wurden. Erst in der Renaissance, als man sich wieder aktiv
der Mathematik zugewandt hatte, wurden neue Chiren erfunden. (In der Zeit des
Mittelalters waren eher Geheimschriften als Verschlsselungen in Gebrauch - z.B. das
Alphabetum Kaldeorum.)
1
mathematisch heit das, dass diese Verschlsselungs-Abbildung involutorisch ist.
4
2 Klassische Verschlsselungsverfahren -
Tauschchiren
Eines der ersten Unterscheidungsmerkmale, das aullt, ist die Anzahl der Schlssel, Schlsselzahl
die man zur Ver- und Entschlsselung braucht.
Alle vorhin beschriebenen Verfahren bentigen keinen Schlssel.
Etwas komplizierte (und somit mathematisch interessantere) Verfahren brauchen
einen Schlssel (welcher sowohl zur Verschlsselung als auch zur Entschlsselung
verwendet wird). Solche Verfahren werden in diesem Kapitel besprochen.
Moderne Chiren verwenden fr die Verschlsselung einen Schlssel und fr die Ent-
schlsselung einen anderen (es sin also zwei Schlssel ntig). Dabei wird der Schlssel
zur Verschlsselung Public-Key und der Schlssel zur Entschlsselung Private-
Key genannt. Verfahren dieser Art werden im nchsten Kapitel besprochen.
Vorbereitungen
Um in weiterer Folge nicht jedes Mal alles aus Neue zu denieren, wollen wir fr den
Rest dieser Arbeit folgende Denitionen festhalten:
Denition 2.1
Wir bezeichnen mit := A, B, . . . , Z die Buchstaben des Alphabets, ohne auf

Gro-/Kleinschreibung zu achten.
Weiters denieren wir folgende Abbildung:
Denition 2.2
Sei p : Z
26
auf folgende Weise deniert:
p(), p
i
0 A 1 B
2 C
25 Z
Fr p(i) werden wir auch p
i
schreiben.
Denition 2.3
Verschlsselung einzelner Buchstaben wird mit der Abbildung E : , Entschls-
E(), D()
selung (einzelner Buchstaben) mit der Abbildung D : durchgefhrt.
Denition 2.4
Die Verschlsselung von Wrtern wird mit der Abbildung E

durchgefht,
E

(), D

()
wobei E

wie folgt deniert wird:


E

() := E() fr
E

( ) := E

() E

() fr ,
+
D

wird analog zu E

deniert.
5
Permutation
des Alphabets
Bei Tauschchiren wird in einer Nachricht Buchstabe fr Buchstabe jedes Zeichen
gegen ein anderes - gem eines vorher gewhlten Algorithmus - getauscht. Da das
Verfahren auch umkehrbar sein muss, muss dieser Tausch auch eindeutig sein (was
nichts anderes bedeutet, als dass die Abbildung E eine Bijektion sein muss und
somit D := E
1
ist). Deshalb kann man die Verschlsselung auch als Permutation
des Alphabets ansehen.
2.1 Verschiebechiren
Verschiebechiren sind Verschlsselungsverfahren, die jeden Buchstaben um s Stellen
(im Alphabet) verschiebt. Somit wird die Verschlsselungsfunktion durch
E
s
(p
i
) := p
i+s
deniert, wobei s der Schlssel dieser Chire ist.
Die Entschlsselung erfolg oensichtlich durch ein Zurckschieben der Buchstaben
um s Stellen. Dabei kann dieses Zurckschieben auch als eine Verschiebung vorwrts
um s (also die additive Inverse von s) betrachtet werden. Dabei ist s = 26 s additive Inverse
(da s aus Z
26
ist).
Somit gilt
D
s
(p
i
) := E
s
(p
i
) = E
26s
(p
i
) = p(i + 26 s)
Ein Beispiel fr eine Verschiebechire ist die schon besprochene Csarchire: Sie ist
eine Verschiebechire mit s = 3.
Beispiel 2.5
Wendet man die Csarchire an, so wird das Wort
Csarchire
MATHEMATIK PDWKHPDWLN
Anmerkung 2.6
Aus der Denition und dem vorigen Beispiel geht hervor, dass ein Buchstabe p
i
immer
auf einen xen Buchstaben E
s
(p
i
) abgebildet wird. Diese Eigenschaft kann man sich
zu Nutze machen um den Schlssel s zu errechnen, was Kapitel 2.4 beschreibt.
2.2 Multiplikative Chiren
Eine weitere Mglichkeit das Alphabet zu permutieren ist eine invertierbare Multipli-
kation durchzufhren. (Die Invertierbarkeit ist wegen der Entschlsselung wichtig.)
Somit htte E die Form
E
t
(p
i
) := p
it
t Z

26
Die Zahlentheorie verrt uns auch sofort wie viele mgliche t es gibt - nmlich (26), (26)
also 12. Diese sind 1, 3, 5, 7, 9, 11, 15, 17, 19, 21, 23, 25 (alle Ungeraden bis auf 13).
Das Entschlsseln (durch die Funktion D
t
(p
i
)) erfolg (in Analogie zu den Verschie-
bechiren) durch das Hinzumultiplizieren der multiplikativen Inversen von t. Diese multiplikative
Inverse kann durch den umgekehrten Euklidischen Algorithmus berechnet werden.
Beispiel 2.7
Whlt man fr t den Wert 2, so sieht man, dass E
2
(C) = E
2
(p
2
) = p
22
= p
4
= E =
p
4
= p
215
= E
2
(p
15
) = E
2
(P), womit die Verschlsselung nicht eindeutig (und somit
nicht invertierbar) wre.
6
2.3 Ane Chiren
Kombiniert man Verschiebechiren mit multiplikativen Chiren, so erhlt man ane
Chiren. Diese Chiren haben als Schlssel keine Zahl, sondern ein Zahlenpaar (s, t),
und haben folgende Denition:
E
s,t
(p
i
) := p((i +s) t) s Z
26
, t Z

26
Somit gilt fr die Entschlsselung
D
s,t
(p
i
) := E
s,t
1(p
i
) = p((i + 26 s) t
1
) s Z
26
, t Z

26
Beispiel 2.8
Wenn man als Schlssel das Paar (15, 17) whlt, so wird aus dem Wort KRYPTO-
GRAPHIE die Zeichenfolge JYNQGZTYVQKBL.
Anmerkung 2.9
Aus der Denition aner Chiren folgt sofort, dass Verschiebechiren und multipli-
an = Verall-
gemeinerung
kative Chiren als Spezialflle von anen Chiren betrachtet werden knnen: Fr
Verschiebechiren wird t = 1 gesetzt, bei multiplikativen Chiren ist s = 0.
2.4 Kryptoanalyse aner Chiren
1
Die vorhin schon erwhnte Eigenschaft, dass ein gegebener Buchstabe immer auf zwei geknack-
te Buchstaben
gengen
einen anderen - aber xen - Buchstaben abgebildet wird, kann man sich (als Abhrer)
zu Nutze machen: Wie folgende Gleichungen zeigen, gengt es von zwei Buchstaben
ihr Chirat zu kennen, um das entsprechende Schlsselpaar zu berechnen: (Diese zwei
Buchstaben knnen zum Beispiel durch eine Hugkeitsanalyse gefunden werden.)
Seien (x, E(x)) und (y, E(y)) die Buchstabe-Chirat-Paare:
E(x) = (x +s) t E(y) = (y +s) t
E(x) t
1
= x +s E(y) t
1
= y +s (2.10)
(E(x) E(y)) t
1
= x y
t
1
= (E(x) E(y))
1
(x y) (2.11)
t = (x y)
1
(E(x) E(y)) (2.12)
s
(2.10)
= E(x) t
1
(2.11)
= E(x) (E(x) E(y))
1
(x y) x (2.13)
Die Gleichungen 2.12 und 2.13 zeigen wie einfach man aus den gegebenen Informa-
tionen das Schlsselpaar (s, t) berechnen kann.
1
Man bedenke immer, dass, obwohl hier die Rede von anen Chiren die Rede ist, Verschiebechif-
fren und multiplikative Chiren davon ebenso betroen sind! (siehe Anmerkung 2.9)
7
2.5 Polyalphabetische Chiren - die Vigenre-Chire
Um das Problem, das im vorigen Kapitel beschrieben wird, zu umgehen, hat man mehrere Alpha-
bete polyalphabetische Chiren entwickelt: Diese permutieren nicht ein Alphabet, wie
bei den anen Chiren, sondern es wird bei jedem Schritt ein anderes Alphabet
permutiert.
Eine Chire die eine solche Vorgehensweise hat ist die Vigenre-Chire:
Diese Chire verwendet zur Verschlsselung das Vigenre-Quadrat, das folgender- Vigenre-
Quadrat maen aussieht:
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
B C D E F G H I J K L M N O P Q R S T U V W X Y Z A
C D E F G H I J K L M N O P Q R S T U V W X Y Z A B
D E F G H I J K L M N O P Q R S T U V W X Y Z A B C
E F G H I J K L M N O P Q R S T U V W X Y Z A B C D
F G H I J K L M N O P Q R S T U V W X Y Z A B C D E
G H I J K L M N O P Q R S T U V W X Y Z A B C D E F
H I J K L M N O P Q R S T U V W X Y Z A B C D E F G
I J K L M N O P Q R S T U V W X Y Z A B C D E F G H
J K L M N O P Q R S T U V W X Y Z A B C D E F G H I
K L M N O P Q R S T U V W X Y Z A B C D E F G H I J
L M N O P Q R S T U V W X Y Z A B C D E F G H I J K
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Man sieht, dass man durch das Angaben eines Buchstabenpaares, welches fr den Buchstaben als
Buchstaben-
paar
Anfangsbuchstaben einer Zeile und einer Spalte steht, Buchstaben reprsentieren
kann - so reprsentiert zum Beispiel (F, P) den Buchstaben U.
Sei s = s
1
s
2
. . . s
n

+
ein Schlsselwort der Lnge n und w = w
1
w
2
. . . w
m

+
der Klartext der Lnge m. Dann sei R s
1
, s
2
, . . . , s
n
w
1
, w
2
, . . . , w
m
deniert
durch
R = (s
i
, w
qn+i
) [ 0 q

m
n

, 1 i n
Die Verschlsselung wird wie folgt durchgefhrt:
E(w
qn+i
) := (t
i
, w
qn+i
), 0 q

m
n

, 1 i n
Um auf das Vigenre-Quadrat zurckzukommen:
Beispiel 2.14
Sei unser Klartext SINGULAERWERTEZERLEGUNG und unser Schlssel LINALG.
Der erste verschlsselte Buchstabe ist (S, L) = D, der zweite (I, I) = Q, usw. ..., bis
zum sechsten Buchstaben, der (L, G) = R ist. Danach haben wir unseren Schlssel
ausgeschpft und fangen von neuem an: der siebente Buchstabe ist (A, L) = L, usw.
...
Somit lautet das Chirat DQAGFRLMEWPXEMMECRPOHNR.
Wie man schon am vorherigen Beispiel sieht wird der selbe Buchstabe an verschie- Ein Buchstabe
- mehrere Chif-
fren
denen Stellen der Klartextes zu verschiedenen Buchstaben im Chirat verschlsselt.
So wird das erste E zu einem M, das zweite jedoch zu einem P.
8
2.6 One-Time-Pad-Verfahren
Wenn bei der Vigenre-Chire ein krzerer Schlssel, als die Nachricht verwendet Schlssel bere-
chenbar wird, so kann man die Schlssellnge und schlielich auch den Schlssel mit Hilfe der
Hugkeitsanalyse von einzelnen Buchstaben errechnen.
Dieses Problem kann auf folgende Weise umgangen werden:
Hat man einen Klartext der Lnge n, so generiert man einen ebenso langen zufl ligen zuflliger
Schlssel Schlssel, sodass keinerlei statistische Annahmen ber den Schlssel gemacht werden
knnen. In diesem Fall kann ein Abhrer nie den Schlssel errechnen oder erraten
(eine solche Situation nennt man eine perfekte Sicherheit
2
). perfekte Sicher-
heit
Beispiel 2.15
Sei der Klartext INFORMATIKIST und der zufllige Schlssel RTASRMUZKDCRE.
Somit lautet das Chirat ZGFGIYUSSNKLX. Whlt man als Klartext NEUER-
COMPUTER und als Schlssel MKLKRWGGDTRFG, so ergibt sich als Chirat
ebenso ZGFGIYUSSNKJX! Somit kann man aus dem Chirat keinerlei Information
ber den Klartext gewinnen, da man in der Tat mit einem entsprechenden Schlssel
jeden beliebigen Klartext erhalten kann.
2
Es ist auch der einzige Fall in dieser Arbeit, wo man auch mathematisch besttigen kann, dass es
keine Lsung gibt - in den anderen Fllen bruchte man nur lange genug zu rechnen.
9
3 Moderne Verschlsselungsverfahren
Im vorigen Kapitel wurden Verschlsselungsverfahren besprochen, die einen einzigen Nachteil der
klassischen
Chiren
Schlssel sowohl fr die Ver- als auch Entschlsselung von Nachrichten verwenden.
Verwendet man die Vigenrechire oder eine Kombination von verschiedenen Chiren
(vor allem mit dem One-Time-Pad-Verfahren) so ist die Verschlsselung ziemlich
sicher - doch es ergibt sich ein essenzielles Problem: der verwendete Schlssel muss
sowohl dem Sender als such dem Empfnger bekannt sein.
Es gibt zwei Lsungsanstze zu diesem Problem, die hier besprochen werden:
Man verwendet ein Verschlsselungsverfahren, welches zwei verschiedene Schls-
sel jeweils zur Ver- und Entschlsselung verwendet.
Man tauscht den einzigen Schlssel zu den klassischen Verfahren aus ohne ihn
jemals zu nennen und ohne, dass er aus der Kommunikation errechnet werden
kann.
Wichtige Grundlage aller solchen Verfahren sind so genannte Einwegfunktionen - also Einwegfunktionen
Funktionen, von denen der Funktionswert ziemlich einfach berechnet werden kann -
die Umkehrung aber praktisch nicht ausfhrbar ist. Ein Beispiel fr eine solche Ein-
wegsfunktion wre die Potenzierung in einem Primkrper Z
p
, p P. Ebenso gilt die
Multiplikation von zwei Primzahlen als Einwegfunktion, da man diese Multiplikation
mit entsprechenden Algorithmen schnell durchfhren kann - das Faktorisieren von
greren Zahlen jedoch sehr rechen- und somit zeitaufwendig ist.
3.1 RSA-Verfahren
Dieses Verfahren folgt dem ersten oben genanntem Ansatz: es verwendet zwei ver-
schiedene Schlssel zum Ver- und Entschlsseln.
Der Name leitet sich von seinen Erndern ab: R. L. Rivest, A. Shamir und L. M. Namensherkunft
Adleman.
Beide vorhin beschriebenen Einwegfunktionen werden von diesem Verfahren ange-
wandt: die modulare Potenz und die Multiplikation von Primzahlen.
Das Prinzip der Chire basiert auf folgendem Satz:
Satz 3.1
Sei n = pq mit p, q P, p ,= q und sei e eine Zahl mit ((n), e) = 1 (wobei (n)
hier gleich dem kgV(p 1, q 1) ist). Dann gibt es ein d mit ed 1((n)) und fr
die Abbildungen E : Z
n
Z
n
und D : Z
n
Z
n
deniert durch E(m) := m
e
und
D(m) := m
d
gilt E(D(m)) = D(E(m)) = m fr alle m aus Z
n
.
Beweis
Es gilt folgende Behauptung zu beweisen:
E D = D E = id
Z
n
10
wobei man diese Gleichung in
h : m
h
m(n) m Z
n
umschreiben kann.
Hierzu zeigen wir, dass
a
1+k(p1)
a(p) k Z
Analog gilt dann, dass
a
1+k(q1)
a(q) k Z
woraus man auf
a
1+k(kgV(p1,q1))
a(n) k Z
schlieen kann:
Der Fall k = 0 stimmt trivialerweise.
k k + 1:
a
1+(k+1)(p1)
= a
k(p1)+p
= a
k(p1)
a
p
a
p
a(p) a
1+k(p1)
a(p)

Man sieht sofort, dass die im Satz erwhnten Funktionen sich bereits direkt als Ver-
und Entschlsselungsfunktion eignen.
Vorgangsweise bei RSA
Angenommen Alice will an Bob eine verschlsselte Nachricht senden. Wie das passiert
und wer was wann macht beschreibt folgende Zusammenstellung:
Vorbereitung:
Das Erste, was fr eine RSA-Verschlsselung ntig ist, sind zwei Schlssel (ge-
nau genommen zwei Schlsselpaare) - einer zum Verschlsseln (pulic key) und
der andere zum Entschlsseln (private key).
Da Bob derjenige ist, der eine Nachricht empfangen (und entschlsseln) will, Generierung
der Schlssel muss er die beiden Schlssel generieren: Dazu whlt er zunchst zwei ziemlich
groe Primzahlen
1
(etwa in der Grenordnung von 2
512
- ca. 154 Dezimal-
stellen lang) - p und q. Diese multipliziert er und legt dieses Produkt in n ab.
Danach berechnet er (n) := kgV(p 1, q 1) und whlt eine dazu teilerfrem-
de Zahl e. Von dieser berechnet er (z.B. mit dem umgekehrten euklidischen
Algorithmus) die multiplikative Inverse und nennt sie d.
Das Paar (d, n) ist nun sein private key. Dieses muss sorgfltig von Bob auf- private key
bewahrt werden und darf nicht weitergegeben werden. Das zweite Zahlenpaar,
(e, n), hingegen ist Bobs public key und muss somit von allen, die Bob schreiben public key
wollen, benutzt werden.
1
Die Primalitt kann ziemlich ezient mit und zuverlssig mit dem so genannten Miller-Rabin-
Test berprft werden. Alternativ knnte man auch einen deterministischen Test (also ohne
Fehlerquote) verwenden - wie zum Beispiel den im Jahre 2002 von Manindra Agrawal, Neeraj
Kayal und Nitin Saxena entwickelten AKS-Test.
11
Verschlsselung:
Sobald Alice eine Nachricht an Bob senden will, holt sie sich Bobs entlichen
Schlssel (public key) - (e, n).
Wird ihre Nachricht durch die Zahlenfolge (w
i
) reprsentiert
2
, so fhrt nun
Alice folgende Berechnung vor:
c
i
:= w
e
i
(n)
Die resultierende Folge (c
i
) bermittelt sie an Bob.
c
i
:= w
e
i
(n)
Entschlsselung:
Erhlt Bob eine Nachricht von Alice, so nimmt er sein Schlsselpaar (d, n) und
fhrt folgende (der Verschlsselung hnliche) Berechnung durch:
w
i
:= c
d
i
(n)
Nach dieser Berechnung liegt Bob nun die entschlsselte Nachricht vor.
w
i
:= c
d
i
(n)
Prinzipiell sieht dieses Verfahren ziemlich trivial aus und das ist auch das schne an
dieser Verschlsselungsmethode:
Jeder kennt das Prinzip, welches nur aus einer (dem Anschein nach) banalen Poten-
zierung besteht - und dennoch gibt es bis heute kein Verfahren, das in absehbarer
Zeit aus (e, n) den Schlssel zum Entschlsseln d berechnet
3
. (Ist der Schlssel lang
genug, so kann die Rckrechnung des Schlssels lnger dauern, als das Universum
alt ist!) Das Problem besteht darin, dass es uerst eektive Verfahren gibt, mit
denen man zwei groe Zahlen multiplizieren kann - doch das Verfahren zur Schls-
selberechnung msste dieses Produkt n wieder faktorisieren - und hierfr gibt es bis Faktorisieren
von Zahlen dato keinen ezienten Algorithmus.
Kryptoanalyse von RSA
Es stellt sich heraus, dass es einige Spezialflle in der RSA-Verschlsselung gibt, die
man ausnutzen und somit eine erfolgreiche Kryptoanalyse durchfhren kann:
Werden mehrere Schlsselpaare fr den selben Modul n erstellt, so kann man, Selber Modul
sobald man in Besitz eines Schlsselpaares (e, n) und (d, n) ist, n auf ezien-
te Weise (O((log
2
n)
3
)) faktorisieren und somit fr jeden beliebigen Schlssel
(e

, n) den entsprechenden Schlssel (d

, n) berechnen.
Ist n = pq mit q < p < 2q und d <
1
3
4

n. Bei gegebenem (e, n) kann d ezient Kleiner private


key ((n)) rekonstruiert werden
4
.
Ist e <

n, so kann man schon aus dem ersten Viertel der Bits von e (mit dem Kleiner public
key
ersten Viertel sind die ersten
log
2
n
4
| least signicant Bits gemeint) e ezient
((e log
2
e)) rckrechnen.
2
blicherweise werden einzelne Zeichen auf Computern mit dem ASCII-Code gespeichert. Dieser ist
jedoch nur acht Bit kurz, sodass der Modul a bei der Potenzierung bei weitem nicht vollstndig
ausgenutzt wird. Um dem entgegenzuwirken werden meistens die Bitfolgen mehrerer Zeichen
aneinandergehngt, sodass die resultierende Zahl gerade noch in den Modul a passt. Das Ergebnis
wird dann entsprechend von Links beziehungsweise Rechts mit einer Eins und Nullen aufgefllt,
wieder in 8-Bit Stcke aufgetrennt und wieder in ASCII zurckgewandelt.
3
Vorausgesetzt man wendet das Verfahren richtig an - das heit der private Schlssel darf nicht
kleiner sein, als
1
3
4

n, oder der entliche Schlssel darf nicht kleiner als



n sein - vergleiche
dazu den nchsten Abschnitt, ? und ?.
4
In ? wird suggeriert, dass es sogar bis d <

n gelten knnte.
12
Verwendet man bei der Verschlsselung ein naives Padding-Verfahren (z.B. das Naives Padding
Hinzufgen von zuflligen Bits am Anfang oder Ende der Nachricht), so knnte
folgende Situation auftreten:
Bob versucht eine Nachricht an Alice senden, aber Marvin fngt sie ab und
verhindert, dass die Nachricht Alice erreicht. Deshalb schickt Bob die Nachricht
noch ein Mal. Somit hat Marvin nun zwei verschiedene Nachrichten, die aus
der selben Nachricht verschlsselt wurden. Es stellt sich heraus, dass man in
diesem Fall ziemlich ezient die ursprngliche Nachricht rckrechnen kann.
Diese Attacke funktioniert jedoch nur fr kleinere entliche Schlssel; bli-
cherweise wird ein entlicher Schlssel von mindestens 65537 empfohlen - in
diesem Fall ist diese Attacke nutzlos.
Eine der verblendsten Attacken ist die so genannte Timer-Attacke: Timer-Attacke
Die meisten Computer verwenden fr dieMultiplikation ein Verfahren, das squa-
re and multiply heit. Bei diesem Verfahren werden Multiplikationen an jenen
Stellen durchgefhrt, wo der Schlssel in der Binrdarstellung eine Eins hat -
dadurch dauert ein Schleifendurchgang lnger. Misst man nun die Zeit, die die
jeweiligen Schleifendurchgnge bentigen (z.B. mit einem modizierten Karten-
lesegert fr Bankomatkarten), so kann man daraus die Bitfolge des Schlssels
herauslesen.
3.2 Die-Hellman Schlsselaustausch
In der Einleitung zu diesem Teil der Arbeit wurde auch eine weitere Methode ange- sicherer Schls-
selaustausch deutet, die es erlaubt symetrische Verschlsselungsverfahren (das heit, jene Verfah-
ren, die mit dem selben Schlssel entschlsseln) zu verwenden, ohne den gemeinsamen
Schlssel austauschen zu mssen.
Eine solche Mglichkeit bietet das Die-Hellman Verfahren, die es erlaubt einen
gemeinsamen Schlssel auf silche Weise zu vereinbaren, dass jemand, der alle Nach-
richten abhrt, dennoch den Schlssel nicht berechnen kann.
Vorgangsweise bei Die-Hellman
Alice und Bob wollen einen gemeinsamen Schlssel vereinbaren:
1. Sie vereinbaren ein p P und eine Primitivwurzel b modulo p, mit 2 b p2.
Dabei macht es keinen Unterschied, ob jemand p und b erfhrt, oder nicht.
2. Alice whlt ein x 1, 2, . . . , p 2, berechnet X := b
x
(p) und sendet X an
Bob.
3. Bob whlt wiederum ein y 1, 2, . . . , p 2, berechnet Y := b
y
(p) und teilt
Alice Y mit.
4. Der gemeinsame Schlssel ist K := Y
x
(p) = X
y
(p) = b
xy
(p).
Das gesamte Verfahren basiert auf der Tatsache, dass der diskrete Logarithmus u- diskreter Loga-
rithmus erst schwer zu berechnen ist.
Alles, was ein Lauscher bei Die-Hellman mitkriegen kann, sind p, b, X und Y .
Um x zu berechnen msste man jetzt den diskreten Logarithmus von X zur Basis b
13
berechnen. Ebenso msste man y berechnen. Doch eben dieser Logarithmus bereitet
derartige Schwierigkeiten, dass dieses Verfahren immer noch als sicher gilt.
Man-in-the-middle-Attacke
Obwohl das Die-Helmann-Verfahren prinzipiell sicher ist, gibt es eine relativ einfa-
che Methode, um doch die Nachrichten zwischen Alice und Bob lesen zu knnen, die
die folgende Grak darstellen soll:
Genaugenommen wird hier das Die-Hellman Verfahren einfach zwei Mal durchge- Die-Hellman
zwei Mal fhrt: ein Mal zwischen Alice und Mallory und ein zweites Mal zwischen Mallory
und Bob. Somit hat Mallory einen gemeinsamen Schlssel mit Alice und einen weite-
ren gemeinsamen Schlssel mit Bob, sodass er alle Nachrichten beider Parteien lesen
kann.
14
4 Schlusswort
In dieser Arbeit werden die wichtigsten (lies: die gebruchlichsten - in der Vergan-
genheit, oder in der Gegenwart) - ohne Vollstndigkeitsanspruch - Verschlsselungs-
verfahren besprochen.
Eine ernchternde Erkentnis ist, dass alle Verfahren (bis auf das One-time-pad-
Verfahren) letzten Endes ihre Sicherheit darauf aufbauen, dass die heutigen Com-
puter entsprechend langsam sind, beziehungsweise darauf, dass bis dato keine ent-
sprechend ezienten Algorithmen fr gewisse Fragestellungen gefunden worden sind.
Das Wort nden wird in diesem Satz gezielt verwendet, da es letzten Endes nur
eine Frage der Zeit ist, bis die Computer entsprechend schnell werden, oder bis ein
entsprechend schneller Algorithmus zu einer Fragestellung gefunden wird.
15