RSA-Kryptosystem

Der Vorteil asymmetrischer Verfahren besteht in der Vereinfachung der Schlüsselverteilung. Bei symmetrischen Verfahren ist der Austausch eines geheimen Schlüssels erforderlich, den Sender und Empfänger gemeinsam nutzen. Der Austausch muss dabei sicher erfolgen. Dies bedeutet, der Austausch muss abhörsicher sein. Es ist jedoch auch sicher zu stellen, dass der Schlüssel tatsächlich von der Person stammt, mit der geheime Nachrichten ausgetauscht werden sollen.

Durch Public-Key-Systeme entfällt die Notwendigkeit, den Schlüsselaustausch gegen Abhören zu härten, da nur der öffentliche Schlüssel ausgetauscht werden muss. Es bleibt aber ein wesentliches Problem, da weiterhin sicherzustellen ist, dass der öffentliche Schlüssel tatsächlich von der Person stammt, mit der geheime Botschaften ausgetauscht werden sollen. In Praxis ist dies oft nur dann möglich, wenn zugleich auch die Geheimhaltung gewährleistet werden kann.

Falls die Kommunikation zwar nicht abhörsicher ist, aber kein Zweifel über die Identität des Partners besteht und die Nachricht nicht von einem Dritten verändert werden kann, ist der Schlüsselaustausch beim Public-Key-Verfahren problemlos. Allerdings ist dies auch mit anderen Verfahren möglich.

Dazu kann der Schlüssel aus vielen Teilschlüsseln zusammengesetzt werden. Eine Hashfunktion wie SHA-1 erlaubt es, aus vielen längeren Teilschlüsseln ein Komprimat zu errechnen, welches als Schlüssel für die symmetrische Verschlüsselung benutzt werden kann. Die Teilschlüssel können zu unterschiedlichen Zeiten und mit höchst unterschiedlichen Methoden ausgetauscht werden.

Der Schlüsselaustausch ist eine logistische Schwachstelle und hat bei mehreren zwischenstaatlichen Auseinandersetzungen und Kriegen den Ausgang (mit-)entschieden, so zum Beispiel durch Aktivitäten von Alan Turing und anderen in Bletchley Park im Zweiten Weltkrieg. Daher wurde Anfang der 1970er Jahre im Government Communications Headquarters von Ellis, Cocks und Williamson ein dem späteren Verfahren von Diffie-Hellman ähnliches asymmetrisches Verfahren entwickelt, welches aber keine große praktische Bedeutung hatte und aus Geheimhaltungsgründen nicht (wissenschaftlich) publiziert wurde. RSA konnte daher zum Patent angemeldet werden, obgleich es nicht das erste Verfahren dieser Art war.

RSA ist im Vergleich zu 3DES, AES und SHA-1 um mindestens einen Faktor 1.000 langsamer. Für die Verschlüsselung größerer Datenmengen werden daher symmetrische Verfahren eingesetzt. Es genügt jedoch, RSA zum Austausch eines Schlüssels für die symmetrische Verschlüsselung zu nutzen. Entsprechend genügt es, beim Signaturverfahren einen SHA-1-Wert statt der gesamten Nachricht zu signieren. Es werden daher praktisch immer hybride Verfahren eingesetzt.

Nachdem Whitfield Diffie und Martin Hellman eine Theorie zur Public-Key-Kryptografie veröffentlicht hatten, versuchten die drei Mathematiker Rivest, Shamir und Adleman, die Annahmen von Diffie und Hellmann zu widerlegen. Nachdem sie den Beweis bei verschiedenen Verfahren durchführen konnten, stießen sie schließlich auf eines, bei dem sie keinerlei Angriffspunkte fanden. Hieraus entstand dann RSA.

Das Verfahren wurde 1977 entwickelt und basiert auf dem aktuellen Wissensstand, dass die Faktorisierung einer großen Zahl, also ihre Zerlegung in ihre Primfaktoren, eine sehr aufwändige Angelegenheit ist, während das Erzeugen einer Zahl durch Multiplikation zweier Primzahlen recht einfach ist. Wenn nun eine Nachricht einem Empfänger verschlüsselt zugeleitet werden soll, generiert dieser einen öffentlichen Schlüssel. Der Nachrichtenabsender verwendet diesen öffentlich bekanntgemachten Schlüssel, indem er damit seine Botschaft verschlüsselt. Nur der Empfänger kann diese „dekodieren“, da nur er die „Zusammensetzung“ des von ihm erzeugten (öffentlichen) Schlüssels kennt.

Funktionen wie die Multiplikation/Faktorisierung, bei denen eine Richtung leicht, die andere schwierig zu berechnen ist, bezeichnet man als Einwegfunktionen (engl. one way function). Um allerdings die Entschlüsselung tatsächlich möglich zu machen, muss es sich um Falltürfunktionen (engl. trap door function) handeln, die mit Hilfe einer Zusatzinformation auch rückwärts leicht zu berechnen sind.

Das Verfahren ist mit dem Rabin-Verschlüsselungsverfahren verwandt.

1. Wähle zufällig und stochastisch unabhängig zwei Primzahlen ${\displaystyle p\neq q}$ , und berechne das Produkt ${\displaystyle N=p\cdot q}$ .
   In der Praxis werden diese Primzahlen durch Raten einer Zahl und darauf folgendes Anwenden eines Primzahltests bestimmt.
2. Berechne ${\displaystyle \varphi (N)=(p-1)\cdot (q-1)}$ , wobei ${\displaystyle \varphi }$  für die Eulersche φ-Funktion steht.
3. Wähle eine Zahl ${\displaystyle e}$ , für die gilt ${\displaystyle 1<e<\varphi (N)}$ , die teilerfremd zu ${\displaystyle \varphi (N)}$  ist.
4. Berechne die Zahl Fehler beim Parsen (SVG (MathML kann über ein Browser-Plugin aktiviert werden): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „http://localhost:6011/de.wikipedia.org/v1/“:): {\displaystyle d} so, dass das Produkt ${\displaystyle e\cdot d}$  kongruent 1 bezüglich des Modulus ${\displaystyle \varphi (N)}$  ist, dass also ${\displaystyle e\cdot d\equiv 1{\pmod {\varphi (N)}}}$  gilt.
   
   Der öffentliche Schlüssel (public key) besteht dann aus
   • ${\displaystyle N}$ , dem Primzahlprodukt sowie
   • ${\displaystyle e}$ , dem öffentlichen Exponenten.
   
   Der private Schlüssel (private key) besteht aus
   • ${\displaystyle d}$ , dem privaten Exponenten sowie
   • ${\displaystyle N}$ , welches allerdings bereits durch den öffentlichen Schlüssel bekannt ist.
   
   ${\displaystyle p}$ , ${\displaystyle q}$  und ${\displaystyle \varphi (N)}$  werden nicht mehr benötigt und sollten nach der Schlüsselerstellung auf sichere Weise gelöscht werden.

Ein Zahlenbeispiel:

1. Für die beiden Primzahlen ${\displaystyle p}$  und ${\displaystyle q}$  wählt man ${\displaystyle p=11}$  und ${\displaystyle q=13}$ . Damit wird ${\displaystyle N=143}$ .
2. Die eulersche φ-Funktion nimmt damit den Wert ${\displaystyle \varphi (N)=\varphi (143)=(p-1)(q-1)=120}$  an.
3. Für die zu ${\displaystyle \varphi (143)=120}$  teilerfremde neue Zahl ${\displaystyle e}$  wählt man ${\displaystyle e=23}$ .
4. Mit dem erweiterten euklidischen Algorithmus berechnet man nun die Zahl ${\displaystyle d=47}$  mit ${\displaystyle e\cdot d\equiv 1{\pmod {\varphi (N)}}}$ . Damit wird ${\displaystyle d=47}$  der private Schlüssel, ${\displaystyle e=23}$  und ${\displaystyle N=143}$  der öffentliche Schlüssel.

Um eine Nachricht ${\displaystyle K}$  zu verschlüsseln, verwendet der Absender die Formel

und erhält so aus dem Klartext ${\displaystyle K}$  den Geheimtext ${\displaystyle C}$ .

Es soll die Zahl 7 verschlüsselt werden.
Der Nachrichtenabsender benutzt den veröffentlichten Schlüssel ${\displaystyle N=143}$ , ${\displaystyle e=23}$  und rechnet

Zur Berechnung von ${\displaystyle 7^{23}{\bmod {1}}43}$  kann die Kongruenzarithmetik verwendet werden. Mit Hilfe der modularen Exponentiation berechnet man schnell:
${\displaystyle 7^{23}\ \operatorname {mod} \ 143\ =\ (((7^{2})^{2}\cdot 7)^{2}\cdot 7)^{2}\cdot 7\ \operatorname {mod} \ 143=2}$ 

Dabei wendet man nach jedem Rechenschritt auf die zu handhabenden Zahlen die Modulo-Operation (kurz: mod) an, um die Ergebnisse möglichst "klein" zu halten.

Aus dem Klartext 7 ist somit der Geheimtext 2 geworden.

Der Geheimtext ${\displaystyle C}$  kann durch modulare Exponentiation wieder zum Klartext ${\displaystyle K}$  entschlüsselt werden. Der Empfänger benutzt die Formel

mit dem nur ihm bekannten Wert ${\displaystyle d}$  sowie ${\displaystyle N}$ .

${\displaystyle K\equiv 2^{47}{\bmod {1}}43=((((2^{2})^{2}\cdot 2)^{2}\cdot 2)^{2}\cdot 2)^{2}\cdot 2{\bmod {1}}43=7}$ 

Aus ${\displaystyle C=2}$  wird also wieder ${\displaystyle K=7}$ .

Siehe auch Schnelles Potenzieren

Um eine Nachricht ${\displaystyle K}$  zu signieren, wird diese mit dem eigenen privaten Schlüssel verschlüsselt. Zum Prüfen der Signatur entschlüsselt der Empfänger die Nachricht mit dem öffentlichen Schlüssel des Senders und vergleicht diese mit dem empfangenen ${\displaystyle K}$ . Wenn sie nicht übereinstimmen, ist die Signatur ungültig. Ist die Signatur gültig, dann kann sich der Empfänger sicher sein, dass derjenige, der das Dokument signiert hat, auch den privaten Schlüssel besitzt und dass niemand seit der Signierung das Dokument geändert hat. Es wird also die Integrität und Authentizität garantiert, vorausgesetzt der private Schlüssel ist wirklich geheim geblieben.

Da asymmetrische Verfahren nicht geeignet sind, um größere Datenmengen zu verschlüsseln, wird in der Praxis nicht die Nachricht selbst mit dem privaten Schlüssel verschlüsselt. Stattdessen wird der Hashwert ${\displaystyle H}$  der Nachricht berechnet. Dieser bildet, meist zusammen mit einigen technisch notwendigen Informationen, wie zum Beispiel das verwendete Hashverfahren, die Eingabe ${\displaystyle K^{*}}$  der Verschlüsselung mit dem privaten Schlüssel. Diese liefert die eigentliche Signatur. Der Empfänger kann nun mit dem öffentlichen Schlüssel und der Signatur ${\displaystyle K^{*}}$  bestimmen. Anschließend kann er selber den Hashwert der Nachricht bestimmen und mit dem in ${\displaystyle K^{*}}$  gespeicherten vergleichen. Wenn die beiden Werte übereinstimmen, kann mit hoher Sicherheit davon ausgegangen werden, dass die Nachricht fehlerfrei übertragen wurde und nicht gefälscht ist.

Siehe auch Elektronische Unterschrift

Public-Key-Verfahren wie RSA werden in der Praxis immer als hybride Verfahren in Verbindung mit symmetrischen Verfahren verwendet. Bei der Analyse der Sicherheit muss die Sicherheit des Public-Key-Verfahrens und die praktische Sicherheit des Gesamtsystems betrachtet werden.

Angenommen, der Angreifer kennt lediglich den öffentlichen Schlüssel, also die Werte ${\displaystyle N}$  und ${\displaystyle e}$ . Um den Geheimtext zu entschlüsseln, benötigt er zusätzlich ${\displaystyle d}$  oder einen zu ${\displaystyle d}$  modulo ${\displaystyle \varphi (N)}$  kongruenten Wert.

Wenn der Angreifer ${\displaystyle \varphi (N)}$  kennen würde, könnte er ${\displaystyle d}$  leicht berechnen. Eine Möglichkeit dazu ist die Zerlegung von ${\displaystyle N}$  in seine beiden Primfaktoren ${\displaystyle p}$  und ${\displaystyle q}$ . Diese Primfaktorzerlegung ist für große Zahlen mit den heute bekannten Verfahren praktisch nicht durchführbar. Es ist aber nicht bewiesen, dass es sich bei der Primfaktorzerlegung um ein prinzipiell schwieriges Problem handelt. Im Gegenteil, mit dem Quadratischen Sieb wurden bereits Zahlen mit über 100 Stellen faktorisiert. So gelang es zum Beispiel Mathematikern der Universität Bonn 2005, im Rahmen eines Wettbewerbs eine einzelne von den RSA Laboratories vorgegebene 200-stellige Dezimalzahl zu faktorisieren. Die Faktorisierung begann Ende 2003 und dauerte bis Mai 2005. Unter anderem kam ein Rechnerverbund von 80 handelsüblichen Rechnern an der Universität Bonn zum Einsatz. Dies ist noch ein gutes Stück von den mindestens 300 Dezimalstellen heute üblicher Schlüssel entfernt. Im November 2005 zahlten RSA Laboratories für die Faktorisierung von RSA-640, einer Zahl mit 640 Bits bzw. 193 Dezimalstellen, eine Prämie von 20.000 US-Dollar. Für die Faktorisierung von RSA-1024 (309 Dezimalstellen) oder gar RSA-2048 (617 Dezimalstellen) sind 100.000 $ bzw. 200.000 $ ausgelobt. Die wachsende Rechenleistung moderner Computer stellt für die Sicherheit von RSA kein Problem dar, zumal diese Entwicklung vorhersehbar ist: Der Nutzer kann bei der Erzeugung seines Schlüsselpaares darauf achten, dass die zu zerlegende Zahl groß genug ist, um während der Dauer der beabsichtigten Verwendung nicht berechnet werden zu können. Nicht vorhersehbare Entwicklungen wie zum Beispiel die Fertigstellung eines leistungsfähigen Quantencomputers oder die Entdeckung eines wirklich neuen hocheffizienten Algorithmus sind dabei unerheblich. Beides ist kurzfristig gesehen sehr unwahrscheinlich.

Wir haben bereits gesehen, dass es nicht zwingend notwendig ist das Faktorisierungsproblem zu lösen, um eine Nachricht zu entschlüsseln. Tatsächlich genügt es ${\displaystyle \varphi (N)}$  oder genauer ein Vielfaches des kgV von p-1 und q-1 zu kennen. Daraus lässt sich völlig analog wie bei der Schlüsselgenerierung ein passender Exponent d berechnen, da bei dieser Berechnung mittels des erweiterten Euklidischen Algorithmus die Primfaktorzerlegung nicht benötigt wird.

Angenommen zu einem N würden mehrere Paare von Exponenten (e,d) bzw. (e',d') verwendet. Dann könnte ein solches Vielfaches leicht aus irgendeinem Paar (e',d') berechnet werden.

In diesem Spezialfall wäre die Entschlüsselung weit weniger schwierig als das Faktorisierungsproblem. Es ist offen, ob dies auch im allgemeinen Fall gilt. Das System von Rabin ist im Gegensatz zu RSA ein Public-Key-System, für das bewiesen ist, dass es mindestens so schwierig ist wie das Faktorisierungsproblem.

RSA wird in der Regel in Hybridverfahren mit symmetrischen Verschlüsselungsverfahren kombiniert. Dabei wird zufällig ein Sitzungsschlüssel für eine symmetrische Verschlüsselung generiert, der dann per RSA verschlüsselt und zusammen mit der Nachricht übertragen wird.

Bei der Signatur wird nicht die gesamte Nachricht sondern nur ein Hashwert signiert. Der symmetrische Schlüssel bzw. der Hashwert sind dabei relativ kurz. Für den symmetrischen Schlüssel gilt also

${\displaystyle K_{sym}<N=p\cdot q}$ .

Daher kann der symmetrische Schlüssel mit einer einzigen RSA-Verschlüsselung verschlüsselt werden. Für die Sicherheit von RSA sind Primzahlen mit über 100 Stellen erforderlich. Daher könnte ein symmetrischer Schlüssel mit über 200 Stellen verschlüsselt werden.

Als sehr sicher eingestufte Algorithmen zur symmetrischen Verschlüsselung gelten 3DES und AES. Diese verwenden 112, 128 oder maximal 168 Bit oder etwa 40 Dezimalstellen. Damit ist eine Brute-Force-Angriff faktisch auszuschließen. Eine sichere Hashfunktion wie SHA-1 erzeugt Funktionswerte mit lediglich 160 Bit entsprechend etwa 50 Dezimalstellen bzw. 40 Hexadezimalziffern. Damit lassen sich Signaturverfahren mittels RSA realisieren, die nur einen Verschlüsselungsschritt benötigen.

Die Sicherheit und die Performance des Gesamtsystems werden durch die Sicherheit des Public-Key-Verfahrens limitiert, sofern nur als sicher eingestufte Algorithmen verwendet werden und die Wahl des Schlüssel als hinreichend zufällig betrachtet werden kann.

Um die Korrektheit des RSA-Verfahrens zu zeigen, muss folgende Kongruenz bewiesen werden:

${\displaystyle a^{ed}\equiv a\mod N}$  für alle ${\displaystyle a}$  mit ${\displaystyle 0\leq a<N}$ 

Dabei ist

• ${\displaystyle a}$  der Klartext, der ver- und danach wieder entschlüsselt wird,
• ${\displaystyle N=pq}$  das Produkt zweier Primzahlen ${\displaystyle p\neq q}$ ,
• ${\displaystyle e}$  der Verschlüsselungsexponent mit ${\displaystyle \operatorname {ggT} (e,\varphi (N))=1}$ ,
• ${\displaystyle d}$  der eindeutige Entschlüsselungsexponent mit ${\displaystyle ed\equiv 1\mod {\varphi (N)}}$ .

Die Aussage, dass ${\displaystyle ed\equiv 1\mod {\varphi (N)}}$  gilt, ist gleichbedeutend mit der Existenz einer ganzen Zahl ${\displaystyle u}$  mit ${\displaystyle u\varphi (N)=ed-1}$ . Außerdem ist ${\displaystyle \varphi (N)=(p-1)(q-1)}$  wegen der Multiplikativität von ${\displaystyle \varphi }$ .

Nach Wahl von ${\displaystyle a}$  und ${\displaystyle N}$  ist nun ${\displaystyle \operatorname {ggT} (a,N)\in \{1,p,q\}}$ , denn für ${\displaystyle a\equiv 0\mod N}$  ist nichts zu zeigen.

Im Fall ${\displaystyle \operatorname {ggT} (a,N)=1}$  gilt

${\displaystyle a^{ed}\equiv a^{u\,\varphi (N)+1}\equiv (a^{\varphi (N)})^{u}a\equiv a\mod N}$ ,

da ${\displaystyle a^{\varphi (N)}\equiv 1\mod N}$  nach dem Satz von Euler.

Im Fall ${\displaystyle \operatorname {ggT} (a,N)\neq 1}$  dürfen wir ohne Einschränkung annehmen, dass ${\displaystyle \operatorname {ggT} (a,N)=p}$ . Wir erhalten folgende zwei Kongruenzen:

• ${\displaystyle a^{ed}\equiv a\mod p}$ , da ${\displaystyle a\equiv 0\mod p}$  wegen ${\displaystyle p|a}$ 
• ${\displaystyle a^{ed}\equiv a^{u\,\varphi (N)+1}\equiv a^{u(p-1)(q-1)+1}\equiv (a^{q-1})^{u(p-1)}a\equiv a\mod q}$ , da ${\displaystyle a^{q-1}\equiv 1\mod q}$  nach dem kleinen Satz von Fermat

Mit dem chinesischem Restsatz folgt nun ${\displaystyle a^{ed}\equiv a\mod N}$ .

Es ist nicht notwendig ${\displaystyle e}$  derart zu bestimmen, dass die Kongruenz ${\displaystyle \operatorname {ggT} (e,\varphi (n))=1}$  erfüllt wird.

Vielmehr reicht es aus ${\displaystyle e}$  derart zu bestimmen, dass die Kongruenz ${\displaystyle \operatorname {ggT} (e,\operatorname {kgV} (p-1,q-1))=1}$  erfüllt wird. Der Vorteil bei diesem Verfahren liegt in der Größe des Modulus für die Berechnung von ${\displaystyle d}$ , weil dieser nun kleiner geworden ist und dadurch die Berechnung von ${\displaystyle d}$  schneller durchgeführt werden kann.

Für die Zahlen ${\displaystyle p=11}$  und ${\displaystyle q=13}$  ergibt ${\displaystyle \varphi (p\cdot q)}$  120. Das kleinste gemeinsame Vielfache von ${\displaystyle p-1}$  und ${\displaystyle q-1}$  ist lediglich 60 (es muss ja ein Teiler von 120 sein) und somit maximal halb so groß wie das Ergebnis der φ-Funktion, da ${\displaystyle p-1}$  und ${\displaystyle q-1}$  zumindest den Faktor 2 gemeinsam haben. In Binärdarstellung ist somit das kgV zumindest um ein Bit kürzer.

Beweis

Der Beweis läuft großteils analog zum Beweis für das originale RSA-System. Es existiert lediglich folgender Unterschied.

Da das kgV ein Vielfaches von ${\displaystyle p-1}$  und ${\displaystyle q-1}$  ist, gelten folgende zwei Regeln:

• ${\displaystyle \operatorname {kgV} (p-1,q-1)=r\cdot (p-1)}$ 
• ${\displaystyle \operatorname {kgV} (p-1,q-1)=s\cdot (q-1)}$ 

Wir unterscheiden drei Fälle.

Fall 1: ${\displaystyle \operatorname {ggT} (a,n)=1}$ 

Hierbei erhalten wir zwei Kongruenzen:

• ${\displaystyle a^{e\cdot d}\equiv a^{u\cdot \operatorname {kgV} (p-1,q-1)+1}\equiv a^{u\cdot \operatorname {kgV} (p-1,q-1)}\cdot a\equiv a^{u\cdot (p-1)\cdot r}\cdot a\equiv a\mod p}$ , nach dem kleinen Satz von Fermat
• ${\displaystyle a^{e\cdot d}\equiv a^{u\cdot \operatorname {kgV} (p-1,q-1)+1}\equiv a^{u\cdot \operatorname {kgV} (p-1,q-1)}\cdot a\equiv a^{u\cdot s\cdot (q-1)}\cdot a\equiv a\mod q}$ , nach dem kleinen Satz von Fermat

Nach dem chinesischem Restsatz folgt nun ${\displaystyle a^{e\cdot d}\equiv a\mod n}$ .

Fall 2: ${\displaystyle p|a}$ 

• ${\displaystyle a^{e\cdot d}\equiv 0\equiv a\mod p}$ , da ${\displaystyle a}$  von ${\displaystyle p}$  geteilt wird.
• ${\displaystyle a^{e\cdot d}\equiv a^{u\cdot \operatorname {kgV} (p-1,q-1)+1}\equiv a^{u\cdot \operatorname {kgV} (p-1,q-1)}\cdot a\equiv a^{u\cdot s\cdot (q-1)}\cdot a\equiv a\mod q}$ , nach dem kleinen Satz von Fermat

Nach dem Chinesischen Restsatz folgt wiederum ${\displaystyle a^{e\cdot d}\equiv a\mod n}$ .

Fall 3: ${\displaystyle q|a}$ 

analog zu Fall 2

${\displaystyle \Rightarrow q.e.d}$ 

Wenn ${\displaystyle p}$  und ${\displaystyle q}$  Primzahlen sind, funktioniert das RSA-Verfahren. Umgekehrt kann aber aus dem funktionierenden RSA-Verfahren nicht geschlossen werden, dass ${\displaystyle p}$  und ${\displaystyle q}$  Primzahlen sind, denn bei Carmichael-Zahlen funktioniert das Verfahren, obwohl Carmichael-Zahlen keine Primzahlen sind.

Beweis

Gegeben:

• ${\displaystyle n=p\cdot c}$ , wobei ${\displaystyle c=\prod q_{i}}$  eine Carmichael-Zahl ist
• ${\displaystyle q_{i}-1|c-1}$ , Eigenschaft von Carmichael-Zahlen
• ${\displaystyle \varphi (n)=(p-1)(c-1)}$ , fälschliche Annahme, da angenommen wird, dass ${\displaystyle c}$  eine Primzahl ist
• ${\displaystyle (p-1)(c-1)=(q_{i}-1)\cdot b_{i}}$ , weil ${\displaystyle c-1}$  von ${\displaystyle q_{i}-1}$  geteilt wird
• ${\displaystyle \operatorname {ggT} (e,(p-1)(c-1))=1}$ 
• ${\displaystyle d\cdot e\equiv 1\mod {(p-1)(c-1)}}$ 

Zu zeigen:

${\displaystyle a^{d\cdot e}\equiv a\mod n}$ 

Betrachten wir nun den Primteiler ${\displaystyle p}$ 

Fall 1: ${\displaystyle p|a}$ 

${\displaystyle a^{d\cdot e}\equiv 0\equiv a\mod p}$ 

Fall 2: ${\displaystyle p\nmid a}$ 

${\displaystyle a^{d\cdot e}\equiv a^{(p-1)(c-1)}\cdot a\equiv a\mod p}$ 

Betrachten wir nun die Primteiler ${\displaystyle q_{i}}$  von ${\displaystyle c_{i}}$ 

Fall 1: ${\displaystyle q_{i}|a}$ 

${\displaystyle a^{d\cdot e}\equiv 0\equiv a\mod {q_{i}}}$ 

Fall 2: ${\displaystyle q_{i}\nmid a}$ 

${\displaystyle a^{d\cdot e}\equiv a^{(q_{i}-1)(b_{i})}\cdot a\equiv a\mod {q_{i}}}$ 

Unabhängig von der Zahl ${\displaystyle a}$  folgt aus dem dem chinesischem Restsatz, dass ${\displaystyle a^{e\cdot d}\equiv a\mod n}$ .

${\displaystyle \Rightarrow q.e.d}$ 

Dieser Beweis hält offensichtlich auch dann stand, wenn ${\displaystyle n}$  das Produkt von zwei Carmichael-Zahlen ist.

Die oben genannten Schritte sollen nun an einem vollständigen Beispiel erläutert werden. Um einen Text zu verschlüsseln, müssen zunächst Buchstaben in Zahlen umgewandelt werden. Dazu verwendet man in der Praxis zum Beispiel den ASCII-Code. Hier sei willkürlich die folgende Zuordnung gewählt:

A=01 B=02 C=03 usw. (00 = Leerzeichen)

Darüberhinaus sei angenommen, dass jeweils drei Zeichen zu einer Zahl zusammengefasst werden. Die Buchstabenfolge AXT wird also zu 012420. Die kleinste zu verschlüsselnde Zahl ist dann 000000 (drei Leerzeichen), die größte 262626 (ZZZ). Der Modulus ${\displaystyle N=p\cdot q}$  muss also größer 262626 sein.

Klartext:  W I K  I P E  D I A
Kodierung: 230911 091605 040901

Zunächst werden geheim zwei Primzahlen gewählt, beispielsweise ${\displaystyle p=307}$  und ${\displaystyle q=859}$ . Damit ergibt sich:

${\displaystyle N=p\cdot q=263713}$ 

${\displaystyle \varphi (N)=(p-1)\cdot (q-1)=262548}$ 

${\displaystyle e=1721}$  (zufällig, teilerfremd zu ${\displaystyle \varphi (N)}$ )

${\displaystyle d=1373}$  (das multiplikative Inverse zu ${\displaystyle e{\bmod {\varphi }}(N)}$  mit Hilfe des Erweiterten euklidischen Algorithmus)

Öffentlicher Schlüssel: ${\displaystyle e=1721}$  und ${\displaystyle N=263713}$ 

Geheimer Schlüssel: ${\displaystyle d=1373}$  und ${\displaystyle N=263713}$ 

Cn = Kne mod N   für n=1,2,3(,...)
C1 = 2309111721 mod 263713
C1 = 001715
C2 = 0916051721 mod 263713
C2 = 184304
C3 = 0409011721 mod 263713
C3 = 219983

Kn = Cnd mod N   für n=1,2,3(,...)
K1 = 0017151373 mod 263713
K1 = 230911
K2 = 1843041373 mod 263713
K2 = 091605
K3 = 2199831373 mod 263713
K3 = 040901

Cn = Knd mod N
C1 = 2309111373 mod 263713
C1 = 219611
C2 = 0916051373 mod 263713
C2 = 121243
C3 = 0409011373 mod 263713
C3 = 138570

Kn = Cne mod N
K1 = 2196111721 mod 263713
K1 = 230911
K2 = 1212431721 mod 263713
K2 = 091605
K3 = 1385701721 mod 263713
K3 = 040901

• Internet- und Telefonie-Infrastruktur: X.509-Zertifikate
• Übertragungs-Protokolle: IPSec, TLS, SSH, WASTE
• E-Mail-Verschlüsselung: PGP, S/MIME
• Authentifizierung französischer Telefonkarten
• Kartenzahlung: EMV

• Tabelle mathematischer Symbole

• Übersicht über erfolgreiche Faktorisierungen im RSA-Wettbewerb
• Erklärung von RSA vom Fachbereich Mathematik der Universität Wuppertal
• Skript zu Zahlentheorie bis RSA
• Bekannte Attacken auf RSA-Verfahren (in englischer Sprache)
• Zahlentheoretische Arbeit über RSA

==

==