Kryptographie ● Motivation ● Theoretisches ● Symmetrische Verschlüsselung: RC4 ● Asymmetrische Verschlüsselung: RSA

Motivation ● bereits seit tausenden Jahren eingesetzt – Cäsar Chiffre ~50 v. Chr. – Nomenklator ~17. Jhd. – Elektromechanische Syteme, z.B. Enigma ~1930 – Moderne Systeme: DES, 3DES, AES, RSA ● Datensicherheit ● Authentizität

Theoretisches ● Kryptographisches System besteht aus Funktion f k (w), die aus Funktionenschar T ein g wählt und es auf w anwendet. – f k (w) ist in polynomieller Zeit berechenbar – Umkehrfunktion ist effizient zu berechnen, wenn k bekannt – Umkehrfunktion ist ohne Wissen um k “schwer” zu berechnen

Beispiel ● Funktionenschar abgebildet auf Funktionenliste in Haskell:

Theoretisches ● Eine randomisierte Turingmaschine, ist eine TM, die eine Wahrscheinlichkeits- verteilung nutzt, um zu entscheiden welchen Schritt sie als nächstes ausführt Münzwurf

Theoretisches ● Randomisierte Turingmaschinen akzeptieren Wörter nur mit einer bestimmten Wahrscheinlichkeit, auch wenn sie in der Sprache liegen

Theoretisches ● Sei M randomisierte, TM mit polynomieller Laufzeit. Schwer zu berechnen heißt ● Für ausreichend lange Wörter w ist die Wahrscheinlichkeit, dass M die Umkehrfunktion berechnet, beliebig klein

Theoretisches ● Funktionen, die diese Eigenschaften haben nennt man trapdoor-functions ● Lässt man die Umkehrbarkeit weg, bleiben one-way functions – Hashes wie MD5, SHA1 etc.

Theoretisches ● Für uns heißt das: Es gibt keine bessere Methode die Umkehrfunktion zu berechnen als alle Schlüssel durchzuprobieren. ● Entschlüsseln ohne Key liegt in NP. Zu zeigen, dass es nicht besser geht bedeutet P ungleich NP.

Theoretisches ● Nehme allgemein als schwierig anerkannte Probleme – Faktorisieren von Zahlen – Knapsack Problem –... ● Reduzieren auf Entschlüsseln ohne Schlüssel ● Achtung! Mittlerer Fall muss schwer sein

Symmetrische Verschlüsselung ● Schlüssel zum Ver- und Entschlüsseln ist identisch. ● Vorteile – Meist einfach zu berechnen – Sicher auch mit kurzen Schlüssellängen ● Nachteil: – Schlüssel müssen geheim bleiben – Schlüsselzahl steigt quadratisch mit den Personen

RC4 ● Sehr leicht zu implementieren ● Schnell in Software ● Gilt als nicht mehr sicher ● Wird verwendet in populären Protokollen – WEP – WPA – Bittorrent Verschlüsselung

RC4 ● Benutzt Pseudozufallszahlengenerator (PRNG), um Keystream zu erzeugen ● Nachricht und Keystream werden modulo 256 addiert ➔ Ist ein Teil der Nachricht bekannt, kann er von einem Angreifer ausgetauscht werden, ohne den Schlüssel zu kennen

Beispiel ● Nachricht: angriff morgen ● Verschlüsselt 0x65BA0C7755CE1D792C1D424D89F5 ● Angenommen es ist bekannt, dass die Nachricht mit angriff beginnt ● Ziehe angriff 0x616E ab ● Keystream war: 0x044BA504EC67B7 ● Addiere rückzug 0x72FC636B7A7567 0x E46DD1C792C1D424D89F5 ● Empfänger zieht sich zurück!

RC4 ● Verwalten ein Array S mit Zahlen 0, 1, 2,..., 255 ● Initialisierung:

Beispiel ● Angenommen Array wäre [0,1,2,3] und Passwort [2,3] ● i=0, S=[0,1,2,3], S[i]=0, K[i]=2 ➙ j+=0+2=2 ● i=1 S=[2,1,0,3], S[i]=1, K[i]=3 ➙ j+=1+3=6=2 ● i=2, S=[2,0,1,3], S[i]=1, K[i]=2 ➙ j+=1+2=5=1 ● i=3, S= [2,1,0,3], S[i]=3, K[i]=3 ➙ j+=3+3=7=3 ➔ [2,1,0,3]

RC4 ● Zufallsbyte wird in zwei Schritten erzeugt:

Beispiel ● Ang. Array hat nach Initialisierung die Einträge [3,1,0,2] – i=1, j=1 → [3,1,0,2], Ausgabe S[2]=0 – i=2, j=1 → [3,0,1,2], Ausgabe S[1]=0 – i=3, j=3 → [3,1,0,2], Ausgabe S[0]=3 – i=0, j=2 → [0,1,3,2], Ausgabe S[3]=2 – i=1, j=3 → [0,2,3,1], Ausgabe S[3]=1

RC4 ● Der Zufallszahlengenerator bildet die schwer umzukehrende Funktion ● Ohne Startzustand kann man den Keystream nicht reproduzieren ● Besser wäre echter Zufall (Schlüssellänge=Nachrichtenlänge!) – One Time Pad

Nachteile sym. Verschlüsselung ● Schlüsselzahl steigt quadratisch an ● Ungeeignet für große Teilnehmerzahlen – Internet! ● Geheimnisse müssen sicher ausgetauscht werden

Asymmetrische Verschlüsselung ● Unterschiedliche Schlüssel zum Ver- und Entschlüsseln ● Jeder Teilnehmer erzeugt ein Schlüsselpaar – öffentlicher Schlüssel zum Verschlüsseln – privater Schlüssel zum Entschlüsseln ● Der eine Schlüssel lässt sich nicht (leicht) aus dem anderen berechnen ➔ Schlüsselzahl nur noch linear in der Anzahl der Teilnehmer ➔ Keine Geheimnisse müssen ausgetauscht werden

Asymmetrische Verschlüsselung

Nachteile asym. Verschlüsselung ● Unsicher mit kurzen Schlüsseln (Schlüssel eine Größenordnung länger) ● Rechen- und Speicherintensiv – Ungeeignet z.B. für embedded Geräte ➔ Nur zum Austausch von Session Keys verwenden

RSA ● 1976 Rivest, Shamir, Adleman ● Bietet Sicherheit und Möglichkeit digitaler Signaturen ● Sicherheit verknüpft mit der Faktorisierung von Zahlen

Schlüsselerzeugung

● Primzahlen finden mit probablistischen Primzahltests (z.B. Miller-Rabin) – Je größer, desto besser – Nicht zu nah beieinander wählen ● e nicht zu klein wählen ● d mit dem erweiterten euklidischen Algorithmus finden

Ver- und Entschlüsseln ● Zum Verschlüsseln wird: Beispiel: mod 391 = 14 ● Zum Entschlüsseln macht man: Beispiel: mod 391 = 40

Korrektheit An die Tafel kucken

Sicherheit ● RSAP: Bestimme Klartext mit öffentlichem Schlüssel und Geheimtext ● RSAP*: Bestimme privaten Schlüssel mit öffentlichem

Sicherheit ● Es gilt ● Wenn man N faktorisieren kann, kann man mit p,q den privaten Schlüssel bestimmen ● Umgekehrt geht es auch, es gibt einen randomisierten Algorithmus ● Ob RSAP so schwer ist wie FACTORING, ist unbekannt

Signaturen ● RSA lässt sich benutzen, um digitale Signaturen zu erstellen ● Man kann mit dem privaten Schlüssel verschlüsseltes mit dem öffentlichen wieder entschlüsseln ➔ Sender berechnet Hash, verschlüsselt ihn mit seinem Schlüssel, hängt Ergebnis an die Nachricht an

Quellen ● M. Sipser: Introduction to the Theory of Computation ● A. Konheim: Cryptography: A Primer ● Wikipedia: RC4, RSA ● MafI III Skript WiSe 05/06, Dr. Klaus Kriegel