Rabin-Kryptosystem

Das Verfahren entstand Mitte der 1970er Jahre. Entwickelt wurde es von Michael Rabin. Das Rabin-Kryptosystem war das erste asymmetrische Kryptosystem, dessen Sicherheit auf mathematischem Weg bewiesen werden konnte.

Wie alle asymmetrischen Kryptosysteme verwendet auch das Rabin-Kryptosystem einen öffentlichen und einen geheimen Schlüssel. Der öffentliche dient später der Verschlüsselung und kann veröffentlicht werden, während der geheime nur den Empfängern der Nachricht bekannt sein darf.

Es folgt nun eine genaue mathematische Beschreibung der Schlüsselerzeugung:

Seien ${\displaystyle p}$  und ${\displaystyle q}$  zwei möglichst große Primzahlen, also ${\displaystyle p,q\in \mathbb {P} }$ , für die eine bestimmte Kongruenzbedingung gelten muss (s. unten). Der öffentliche Schlüssel ${\displaystyle n}$  berechne sich durch Multiplikation, also ${\displaystyle n=p\cdot q}$ . Der geheime Schlüssel ist das Paar ${\displaystyle (p,q)}$ . Anders ausgedrückt: Wer nur ${\displaystyle n}$  kennt, kann ver- aber nicht entschlüsseln, wer dagegen ${\displaystyle p}$  und ${\displaystyle q}$  kennt, kann damit auch entschlüsseln.

Seien beispielhaft ${\displaystyle p=7}$ , ${\displaystyle q=11}$ . Daraus ergibt sich der öffentliche Schlüssel ${\displaystyle n=p\cdot q=77}$ 

Um später schnell entschlüsseln zu können, wird im Rabin-Kryptosystem eine bestimmte Kongruenzbedingung ausgenutzt. Nachfolgend wird sie beschrieben:

Für ${\displaystyle p}$  und ${\displaystyle q}$  muss die Kongruenzbedingung

${\displaystyle p\equiv q\equiv 3\,mod\,4}$ 

gelten (${\displaystyle mod}$  steht hierbei wie üblich für den Modulo-Operator, s. dort für eine Erläuterung solcher Kongruenzbedingungen).

Allgemein gilt nämlich für ${\displaystyle r\in \mathbb {P} }$  mit ${\displaystyle r\equiv 3\,mod\,4}$  und ${\displaystyle a\in \mathbb {Z} }$  mit ${\displaystyle a\equiv b^{2}\,mod\,r}$ :

${\displaystyle a^{\frac {(r+1)}{4}}\equiv {\sqrt {a}}\,mod\,r}$  (Beweis).

Diese Eigenschaft wird uns später die Entschlüsselung erleichtern.

Wegen ${\displaystyle 7\equiv 11\equiv 3\,mod\,4}$  ist die Kongruenzbedingung für das Beispiel erfüllt.

Nebenstehende Abbildung veranschaulicht die Verschlüsselung von Klartexten mit asymmetrischen Kryptosystemen wie dem in diesem Artikel beschriebenen. Ein Klartext wird in einen Geheimtext unter Verwendung eines öffentlichen Schlüssels verwandelt.

Für das Rabin-Kryptosystem wird nachfolgend dieser Prozess auf mathematischem Weg präzisiert:

Sei nun ${\displaystyle P=\{0,...,n-1\}}$  der Klartextraum (er besteht also aus Zahlen) und ${\displaystyle m\in P}$  der Klartext. Nun lässt sich der Geheimtext ${\displaystyle c}$  durch

${\displaystyle c=m^{2}\,mod\,n}$ 

bestimmen. Im praktischen Einsatz bietet sich die Verwendung von Blockchiffre an.

In unserem Beispiel sei ${\displaystyle P=\{0,...,76\}}$  der Klartextraum, ${\displaystyle m=20}$  der Klartext. Der Geheimtext ist hierbei nun ${\displaystyle c=m^{2}\,mod\,n=15}$ .

Auch die Entschlüsselung in asymmetrischen Kryptosystemen im Allgemeinen und im Rabin-Kryptosystem im Speziellen ist nebenstehend in einer Abbildung dargestellt. Der zuvor durch Verschlüsselung entstandene Geheimtext wird unter Verwendung des geheimen Schlüssels wieder in den Klartext gewandelt.

Das genaue mathematische Vorgehen wird nun beschrieben:

Seien allgemein ${\displaystyle c}$  und ${\displaystyle r}$  bekannt, gesucht wird ${\displaystyle m\in \{0,...,n-1\}}$  mit ${\displaystyle m^{2}\equiv c\,mod\,r}$ . Für zusammengesetzte ${\displaystyle r}$  (beispielsweise unsere ${\displaystyle n}$ ) existiert kein effizientes Verfahren zur Bestimmung von ${\displaystyle m}$ . Ansonsten, wenn also ${\displaystyle r\in \mathbb {P} }$  (in unserem Fall ${\displaystyle p}$  und ${\displaystyle q}$ ), dann lässt sich jedoch der chinesische Restsatz ausnutzen.

In unserem Fall sind nun die Quadratwurzeln

${\displaystyle m_{p}={\sqrt {c}}\,mod\,p}$ 

und

${\displaystyle m_{q}={\sqrt {c}}\,mod\,q}$ 

gesucht.

Wegen obiger Kongruenzbedingung gilt:

${\displaystyle m_{p}=c^{\frac {(p+1)}{4}}\,mod\,p}$ 

und

${\displaystyle m_{q}=c^{\frac {(q+1)}{4}}\,mod\,q}$ .

In unserem Beispiel ergeben sich ${\displaystyle m_{p}=1}$  und ${\displaystyle m_{q}=9}$ .

Mit dem erweiterten euklidischen Algorithmus bestimme man ${\displaystyle y_{p}}$  und ${\displaystyle y_{q}}$  mit ${\displaystyle y_{p}\cdot p+y_{q}\cdot q=1}$ . In unserem Beispiel erhalten wir ${\displaystyle y_{p}=-3}$  und ${\displaystyle y_{q}=2}$ .

Nun werden unter Ausnutzung des chinesischen Restsatzes die vier Quadratwurzeln ${\displaystyle +r}$ , ${\displaystyle -r}$ , ${\displaystyle +s}$  und ${\displaystyle -s}$  von ${\displaystyle c+n\mathbb {Z} \in \mathbb {Z} /n\mathbb {Z} }$  berechnet (${\displaystyle \mathbb {Z} /n\mathbb {Z} }$  steht hierbei wie üblich für die Menge der Restklassen modulo ${\displaystyle n}$ ; die vier Quadratwurzeln liegen in der Menge ${\displaystyle \{0,...,n-1\}}$ ):

${\displaystyle r=(y_{p}\cdot p\cdot m_{q}+y_{q}\cdot q\cdot m_{p})\,mod\,n}$ 

und

${\displaystyle s=(y_{p}\cdot p\cdot m_{q}-y_{q}\cdot q\cdot m_{p})\,mod\,n}$ .

Eine dieser Quadratwurzeln ${\displaystyle mod\,n}$  ist wieder der anfängliche Klartext ${\displaystyle m}$ . Im Beispiel gilt ${\displaystyle m\in \{64,\mathbf {20} ,13,57\}}$ .

Die Entschlüsselung liefert zusätzlich zum Klartext drei weitere Ergebnisse, das richtige Ergebnis muss daher erraten werden. Dies ist der große Nachteil des Rabin-Kryptosystems.

Man kann aber Klartexte mir spezieller Struktur wählen. Hierdurch geht jedoch die Äquivalenz zum Faktorisierungsproblem verloren, wie sich zeigen lässt. Das System wird dadurch also geschwächt.

Bei der Verschlüsselung muss eine Quadrierung ${\displaystyle mod\,n}$  durchgeführt werden. Das ist effizienter als RSA mit dem Exponenten 3.

Die Entschlüsselung erfordert die Anwendung des chinesischen Restsatzes und je eine modulare Exponenziation ${\displaystyle mod\,p}$  und ${\displaystyle mod\,q}$ . Die Effizienz der Entschlüsselung ist mit RSA vergleichbar.

Der große Vorteil des Rabin-Kryptosystems ist, dass man es nur dann brechen kann, wenn man das beschriebene Faktorisierungsproblem effizient lösen kann.

Anders als etwa bei RSA lässt sich zeigen, dass das Rabin-Kryptosystem genauso schwer zu brechen ist wie das Faktorisierungsproblem, auf dem es beruht. Es ist somit sicherer. Wer also das Rabin-Verfahren brechen kann, der kann auch das Faktorisierungsproblem lösen und umgekehrt. Es gilt daher als sicheres Verfahren, solange das Faktorisierungsproblem ungelöst ist. Vorausgesetzt ist dabei wie bereits beschrieben aber, dass die Klartexte keine bestimmte Struktur aufweisen.

Da man auch außerhalb der Kryptologie bemüht ist Faktorisierungsprobleme zu lösen, würde sich eine Lösung rasch in der Fachwelt verbreiten. Doch das ist bislang nicht geschehen. Man kann also davon ausgehen, dass das zugrundeliegende Faktorisierungsproblem derzeit unlösbar ist. Ein Angreifer, der nur belauscht, wir daher derzeit nicht in der Lage sein, das System zu brechen.

Ein aktiver Angreifer aber kann das System mit einem Angriff mit frei wählbarem Geheimtext (englisch chosen-ciphertext attack) brechen, wie sich mathematisch zeigen lässt. Aus diesem Grund findet das Rabin-Kryptosystem in der Praxis kaum Anwendung.

• Johannes Buchmann: Einführung in die Kryptographie, 2., erweiterte Auflage. Springer, Berlin u. a. 2001 ISBN 3540412832 (S. 125 ff.)
• Michael O. Rabin: Digitalized Signatures and Public-Key Functions as Intractable as Factorization. MIT-LCS-TR 212, MIT Laboratory for Computer Science, Januar 1979 (englischer Originalaufsatz)