Benutzer:Didia/DHM

Diffie-Hellman-Schlüsselaustausch

Beim Diffie-Hellman-Schlüsseltausch handelt es sich um das erste der sogenannten asymmetrischen Kryptoverfahren (auch Public-Key-Kryptoverfahren), das veröffentlicht wurde. Es löst das Schlüsseltauschproblem, indem es ermöglicht, geheime Schlüssel über nicht-geheime, also öffentliche Kanäle zu vereinbaren.

Den ersten Schritt zur Entwicklung asymmetrischer Verfahren machte Ralph Merkle 1974 mit dem nach ihm benannten Merkles Puzzle, das aber erst 1978 veröffentlicht wurde.^[1] Unter dem Einfluss dieser Arbeit entwickelten Whitfield Diffie und Martin Hellman im Jahr 1976 den Diffie-Hellman-Schlüsselaustausch. Sie veröffentlichten die Forschungsarbeit unter dem Titel „New Directions in Cryptography“.^[2] Das Verfahren sorgte für einen gewaltigen Schub in der Kryptographie, eine Wissenschaft, die damals noch nicht sehr lange öffentlich betrieben wurde.^[3] Ursprünglich nannten die Forscher das Verfahren ax1x2. Martin Hellman schlug 2002 vor, das Verfahren Diffie-Hellman-Merkle-Schlüsseltausch zu nennen, „wenn schon Namen damit verbunden werden“, in Anerkennung von Ralph Merkles Anteil an der Entwicklung asymmetrischer Verfahren.^[4]

Badach und Hoffmann beurteilen die Bedeutung dieser Entwicklung folgendermassen:

Whitfield Diffie und Martin Hellman prägten mit dem Verfahren auch einen neuen Sicherheitsbegriff in der Kryptographie, der darauf basiert, dass kein effizienter Algorithmus für die Kryptoanalyse existiert: Ein Kommunikationsprotokoll ist sicher, wenn dessen Kryptoanalyse so viel Zeit und Arbeit bedeutet, dass diese in der Praxis nicht ausgeführt werden kann.^[6] Die Sicherheit des Diffie-Hellman-Schlüsseltauschs beruht entscheidend darauf, dass die diskrete Exponentialfunktion eine Einwegfunktion (engl. one-way function) ist, d.h. eine Funktion, die „leicht“ berechenbar, aber nur „schwer“ umzukehren ist.

Die Forscher führten in der fundamentalen „New Directions“-Arbeit auch das Konzept einer digitalen Signatur ein: Ein Sender berechnet mit Hilfe eines geheimen Signaturschlüssels (dem Private Key) zu einer digitalen Nachricht (d. h. zu beliebigen Daten) einen Wert, der digitale Signatur genannt wird. Dieser Wert ermöglicht es jedem, mit Hilfe des öffentlichen Verifikationsschlüssels (dem Public Key) die nichtabstreitbare Urheberschaft und Integrität der Nachricht zu prüfen.^[7] So entstand als Weiterentwicklung des Diffie-Hellman-Schlüsseltauschs eine vielfältige Familie an digitalen Signaturen auf Basis des diskreten Logarithmus. Zu den Bekanntesten gehören das Elgamal-Signaturverfahren und der Digital Signature Algorithm.^[8]

Neben der Einwegfunktion entwickelten Whitfield Diffie und Martin Hellman auch das Konzept der Falltür (engl. trapdoor). Das ist eine „versteckte Abkürzung“ durch eine Zusatzinformation, mit der die ansonsten schwierige Umkehrung einfach gemacht wird. Auf der Basis von Falltürfunktionen lassen sich asymmetrische Verfahren entwickeln, bei denen die Übertragung eines gehemen Schlüssels nicht mehr notwendig ist. Damit leisteten sie auch wichtige Vorarbeiten zur Entwicklung des RSA-Kryptosystem. Ronald L. Rivest, Adi Shamir und Leonard Adleman versuchten eigentlich zu beweisen, dass es ebensolche Falltürfunktionen nicht geben kann. Bei den Beweisversuchen stiessen sie jedoch tatsächlich auf eine solche Einwegfunktion mit Falltür. Das führte 1977 zur Entwicklung des berühmtesten Public-Key-Algorithmus, des nach den Initialen seiner Erfinder so genannten RSA-Kryptosystems.^[9]

Unterschiedliche Varianten des Diffie-Hellman-Verfahrens werden heute für die Schlüsselverteilung in den Kommunikations- und Sicherheitsprotokollen des Internet eingesetzt, wie z.B. IPSec (Internet Protocol Security), IPv6 (Internet Protocol Version 6) und TLS (Transport Layer Security). Diese dienen zur Sicherung bei der Übertragung von Datenpaketen der IP-Protokollschicht bzw. von Daten der Anwendungsebene, beispielsweise in den Bereichen des elektronischen Handels. Dieses Prinzip der Schlüsselverteilung besitzt damit eine wichtige praktische Bedeutung.^[10] Der hier automatisch berechnete Schlüssel wird dann als Schlüssel für ein schnelles symmetrisches Verfahren wie Data Encryption Standard (DES) oder Advanced Encryption Standard (AES) verwendet.

Das Konzept der Public-Key-Kryptographie und einige spezifische Methoden waren bis 1997 durch die U.S. Patente 4'200'770 (Hellman, Diffie, Merkle, 1980) und 4'218'582 (Hellman, Merkle, 1980) geschützt, die der Stanford University gehören.^[11] Für die Entwicklung der Public-Key-Kryptographie und der digitalen Signatur erhielten Whitfield Diffie und Martin Hellman im Jahr 2015 den Turing Award verliehen, der als höchste Auszeichnung in der Informatik gilt, vergleichbar dem Nobelpreis oder der Fields-Medaille.^[12]

Wie erst 1997 bekannt wurde, hatte das britische Government Communications Headquarters (GCHQ) schon in den 1960er Jahren den Auftrag erteilt, zur Vermeidung der hohen Kosten bei der damals üblichen Schlüsselverteilung einen anderen Weg für die Schlüsselverteilung zu finden. Die hierzu von James H. Ellis, Clifford Cocks und Malcolm J. Williamson geäußerten Ideen ähnelten dem Diffie-Hellman-Verfahren. Das GCHQ hat einerseits wegen der Geheimhaltung, andererseits wegen des für die Briten aus Sicht der frühen 1970er Jahre fraglichen Nutzens nie ein Patent beantragt.^[13]

• 
  Ralph Merkle
• 
  Whitfield Diffie
• 
  Martin Hellman

Verschlüsselungsverfahren, bei denen zwei Teilnehmer denselben geheimen Schlüssel verwenden, nennt man symmetrische Verfahren. Seien Alice und Bob Sender und Empfänger von Nachrichten über einen abhörbaren Kanal und sei Mallory ein „Bösewicht“, der Nachrichten mitlesen und manipulieren kann. Bei einem guten Verschlüsselungsverfahren ist es für Mallory unmöglich, eine Nachricht ohne Kenntnis des Schlüssels zu entschlüsseln, selbst wenn er das Verschlüsselungsverfahren genau kennt. So besagt Kerckhoffs’ Prinzip, dass die Sicherheit eines Verfahrens allein auf der Geheimhaltung eines Schlüssels beruhen muss (und nicht auf der Geheimhaltung des Verschlüsselungsalgorithmus). Eine Nachricht, die Verschlüsselt wird, heisst Klartext, der verschlüsselte Text Geheimtext.^[14]

Wichtige Voraussetzung für eine sichere symmetrische Kommunikation ist also, dass der Schlüssel zwischen Alice und Bob bereits über einen sicheren Weg ausgetauscht wurde, beispielsweise durch einen vertrauenswürdigen Kurrier oder bei einem direkten Treffen. Beim Schlüsseltauschproblem stellt sich nun folgendes Problem: Alice will mit Bob, der sich beispielsweise in Übersee befindet, mit einem symmetrischen Verschlüsselungsverfahren kommunizieren. Die beiden sind über eine unsichere Leitung verbunden und haben noch keinen Schlüssel ausgetauscht. Wie tauscht nun Alice mit Bob über einen unsicheren Kanal einen Schlüssel aus?^[15]

Der manuelle Schlüsselaustausch hat ausserdem den Nachteil, dass er recht unübersichtlich wird, wenn eine grössere Anwendergruppe untereinander verschlüsselt kommunizieren will. Bei ${\displaystyle n}$ Kommunikationspartnern sind ${\displaystyle n*(n-1)/2}$ Schlüssel erforderlich, wenn jeder mit jedem kommunizieren will. Bei 50 Kommunikaitonspartnern wären somit insgesamt 1'225 Schlüssel nötig.^[16]

Das Deffie-Hellman-Verfahren liefert eine elegante Lösung für diese Probleme: Es erlaubt Alice und Bob, einen geheimen Schlüssel über die öffentliche, nicht gesicherte Leitung zu berechnen, ohne dass Mallory den Schlüssel erfährt.^[15]

Eine Einwegfunktion ist eine mathematische Funktion, die komplexitätstheoretisch „leicht“ berechenbar, aber „schwer“ umzukehren ist.^[17] Eine mathematische Einwegfunktion ${\displaystyle f:X\to Y}$ muss folgende Eigenschaften aufweisen:

• Die Berechnung des Funktionswerts ${\displaystyle y=f(x)}$ ist „einfach“, d. h. es existiert ein Algorithmus, der ihn in Polynomialzeit berechnen kann.
• Die Berechnung der Umkehrfunktion zu einem gegebenen Funktionswert ${\displaystyle y}$, d. h. einem ${\displaystyle x}$, sodass ${\displaystyle f^{-1}(y)=x}$, ist allerdings „schwer“, d. h. es existiert kein „schneller“ Algorithmus für dieses Problem. „Schnell“ meint hier einen probabilistischen Algorithmus, der in Polynomialzeit läuft.

Einen anschaulichen Vergleich bietet ein klassisches Papier-Telefonbuch einer größeren Stadt: Die auszuführende Funktion ist die, einem Namen die entsprechende Telefonnummer zuzuordnen. Da die Namen alphabetisch geordnet sind, lässt sich dies ziemlich schnell durchführen. Aber ihre Invertierung, also die Zuordnung eines Namens zu einer gegebenen Telefonnummer, ist offensichtlich viel schwieriger.^[18]

Man kann zeigen, dass Einwegfunktionen genau dann existieren, wenn die berühmte Vermutung aus der Komplexitätstheorie P ≠ NP gilt (siehe P-NP-Problem). Obwohl die Einwegfunktionen in der Kryptographie eine wichtige Rolle spielen, ist also bis heute nicht bekannt, ob sie im streng mathematischen Sinne überhaupt existieren.^[19]

Die Sicherheit des Diffie-Hellman-Schlüsseltauschs basiert auf der Verwendung des diskreten Logarithmus als Einwegfunktion. Es gibt auch keine Falltür, d.h. eine Zusatzinformation, mit der die Umkehrfunktion leicht zu berechnen wäre. Im Gegensatz dazu verwendet beispielsweise das RSA-Kryptosystem mit der Faktorisierung eine Einwegfunktion mit Falltür.

Die diskrete Exponentialfunktion

${\displaystyle b^{x}\ {\bmod {\ }}m}$

liefert den Rest bei Division von ${\displaystyle b^{x}}$ durch m. Die Umkehrung der diskreten Exponentialfunktion heißt diskreter Logarithmus.

Die diskrete Exponentialfunktion ist auch für große Exponenten effizient berechenbar. Selbst für über hundert Bit lange Zahlen ist bei geschickter Implementierung eine Sekunde auf einem PC ausreichend. Zur effizienten Berechnung kann der Satz von Euler und das Square & Multiply-Verfahren verwendet werden.

Für die Umkehrung, also die Berechnung des Exponenten ${\displaystyle x}$, bei gegebener Basis ${\displaystyle b}$, Modul ${\displaystyle m}$ und gewünschtem Ergebnis, ist allerdings bis heute kein schneller Algorithmus bekannt: Selbst mit grösstem Hardwareaufwand und den besten bekannten Algorithmen erreicht man bei mehreren Tausend Bit schnell Berechnungszeiten, die über die Lebensdauer unseres Universums hinausgehen.^[20]

Bei der diskreten Exponentialfunktion ${\displaystyle f(x)=b^{x}\ {\bmod {\ }}m}$ handelt es sich nach heutigem Kenntnisstand somit um eine Einwegfunktion. Da es jedoch keinen mathematischen Beweis für deren Existenz gibt, wäre es theoretisch möglich, dass eines Tages ein schnelles Verfahren zur Berechnung des diskreten Logarithmus gefunden wird. Da dies jedoch schon seit längerem erfolglos versucht wird, kann man annehmen, dass dieser Fall nie eintreten wird.^[21]

Beispiel:

Die diskrete Exponentialfunktion ${\displaystyle f(x)=3^{x}\ {\bmod {\ }}7}$ ordnet einem ${\displaystyle x}$ das Ergebnis von ${\displaystyle 3^{x}\ {\bmod {\ }}7}$ zu. Bei der Rechnung ${\displaystyle {\bmod {\ }}7}$ wird jeweils der Rest bezüglich des Moduls ${\displaystyle m=7}$ gebildet. Dadurch entsteht ein endlicher Zahlenraum ${\displaystyle [0,6]}$. Für die Werte ${\displaystyle x\neq 0}$ ist die Abbildung eindeutig. Der diskrete Logarithmus ist die Umkehrfunktion, also die Zuordnung von ${\displaystyle f(x)}$ nach ${\displaystyle x}$.

Eine Gruppe ist ein Paar ${\displaystyle (G,*)}$, bestehend aus einer Menge ${\displaystyle G}$ und einer assoziativen Verknüpfung ${\displaystyle *}$ auf ${\displaystyle G}$, die ein neutrales Element hat und für die jedes Element von ${\displaystyle G}$ ein inverses Element besitzt. Wenn für eine Gruppe zusätzlich das Kommutativgesetz gilt, spricht man von einer abelschen Gruppe. Eine Untergruppe ${\displaystyle (U,*)}$ einer Gruppe ${\displaystyle (G,*)}$ ist eine Teilmenge ${\displaystyle U}$ von ${\displaystyle G}$, die bezüglich der Verknüpfung ${\displaystyle *}$ selbst wieder eine Gruppe ist.

Beispielsweise bildet die Menge der ganzen Zahlen mit der Addition als Verknüpfung die (abelsche) Gruppe ${\displaystyle (\mathbb {Z} ,+)}$. Das neutrale Element der Addition ist die ${\displaystyle 0}$ (Null) und das additiv Inverse einer Zahl ${\displaystyle a}$ ist ihre Gegenzahl ${\displaystyle -a}$. Die ganzen Zahlen ${\displaystyle \mathbb {Z} }$ sind bezüglich der Addition wiederum eine Untergruppe der rationalen Zahlen ${\displaystyle \mathbb {Q} }$. Demgegenüber bilden die rationalen (und ganzen) Zahlen zusammen mit der Multiplikation keine Gruppe, weil die Zahl ${\displaystyle 0}$ kein inverses Element bezüglich der Multiplikation besitzt. Wenn man jedoch ${\displaystyle 0}$ aus ${\displaystyle \mathbb {R} }$ entfernt, erhält man die (abelsche) Gruppe ${\displaystyle (\mathbb {R} -\{0\},\cdot )}$.

Eine zyklische Gruppe ist eine Gruppe, deren Elemente als Potenz eines ihrer Elemente dargestellt werden können. Unter Verwendung der multiplikativen Notation lauten die Elemente einer zyklischen Gruppe

${\displaystyle \ldots ,a^{-3},a^{-2},a^{-1},e=a^{0},a,a^{2},a^{3},\ldots }$,

wobei ${\displaystyle a^{-2}=a^{-1}\cdot a^{-1}}$ meint und ${\displaystyle e}$ das neutrale Element der Gruppe bezeichnet. Das Element ${\displaystyle a}$ wird Erzeuger oder Primitivwurzel der Gruppe genannt. Eine zyklische Gruppe besteht also nur aus Potenzen des Erzeugers ${\displaystyle a}$:

${\displaystyle \left\langle a\right\rangle :=\lbrace a^{n}\mid n\in \mathbb {Z} \rbrace .}$

Die prime Restklassengruppe ist die Gruppe der primen Restklassen bezüglich eines Moduls ${\displaystyle n}$. Sie wird als ${\displaystyle \mathbb {Z} _{n}^{*}}$ oder ${\displaystyle (\mathbb {Z} /n\mathbb {Z} )^{\times }}$ notiert. Die primen Restklassen sind genau die multiplikativ invertierbaren Restklassen und sind daher endliche abelsche Gruppen bezüglich der Multiplikation. Die Menge ${\displaystyle \mathbb {Z} _{8}=\{0,...,7\}}$ bildet beispielsweise mit der Multiplikation modulo ${\displaystyle 8}$ als Verknüpfung keine Gruppe, selbst wenn die ${\displaystyle 0}$ ausgenommen wird. Es gibt noch weitere Zahlen, die kein inverses Element haben, nämlich ${\displaystyle 2}$, ${\displaystyle 4}$ und ${\displaystyle 6}$. Dies sind genau die Zahlen, die einen echten Teiler mit ${\displaystyle 8}$ gemeinsam haben. Die verbleibenden Elemente bilden schliesslich die Multiplikative Gruppe ${\displaystyle \mathbb {Z} _{8}^{*}}$.

In der Kryptographie sind vor allem jene Zahlen ${\displaystyle n}$ von Interesse, für die alle Zahlen zwischen ${\displaystyle 1}$ und ${\displaystyle n-1}$ ein inverses Element modulo ${\displaystyle n}$ haben. Dies ist genau dann der Fall, wenn ${\displaystyle n}$ eine Primzahl ist (weshalb man ${\displaystyle p}$ statt ${\displaystyle n}$ schreibt). Die Zahlen zwischen ${\displaystyle 1}$ und ${\displaystyle p-1}$ bilden also zusammen mit der Modulo-Multiplikation die Gruppe ${\displaystyle Z_{p}^{*}}$. Eine weitere Aussage, die sich beweisen lässt: Nimmt man ein beliebiges Element ${\displaystyle a}$ aus ${\displaystyle Z_{p}^{*}}$ und betrachtet die Menge ${\displaystyle \{a,a^{2},a^{3},...,a^{p-1}({\bmod {\ }}p)\}}$, dann erhält man eine Untergruppe (mit ${\displaystyle a}$ als Generator der Untergruppe). Jede Untergruppe von ${\displaystyle Z_{p}^{*}}$ hat mindestens einen Generator, und damit auch ${\displaystyle Z_{p}^{*}}$ selbst. Die Gruppe ${\displaystyle Z_{p}^{*}}$ ist also zyklisch.^[22] Zum Beispiel ist ${\displaystyle Z_{13}^{*}}$ eine zyklische Gruppe mit der ${\displaystyle 2}$ als Generator, denn jede Zahl von ${\displaystyle 1}$ bis ${\displaystyle 12}$ lässt sich als Potenz von ${\displaystyle 2}$ darstellen^[23]:

• ${\displaystyle 1=2^{12}\ {\bmod {\ }}13}$
• ${\displaystyle 2=2^{1}\ {\bmod {\ }}13}$
• ${\displaystyle 3=2^{4}\ {\bmod {\ }}13}$
• ${\displaystyle 4=2^{2}\ {\bmod {\ }}13}$
• ${\displaystyle 5=2^{9}\ {\bmod {\ }}13}$
• ${\displaystyle 6=2^{5}\ {\bmod {\ }}13}$
• ${\displaystyle 7=2^{11}\ {\bmod {\ }}13}$
• ${\displaystyle 8=2^{3}\ {\bmod {\ }}13}$
• ${\displaystyle 9=2^{8}\ {\bmod {\ }}13}$
• ${\displaystyle 10=2^{10}\ {\bmod {\ }}13}$
• ${\displaystyle 11=2^{7}\ {\bmod {\ }}13}$
• ${\displaystyle 12=2^{6}\ {\bmod {\ }}13}$

Für ${\displaystyle a=3}$ als Generator erhält man dagegen nur die Untergruppe mit den Elementen ${\displaystyle \{1,3,9\}}$:

• ${\displaystyle 1=3^{3}\ {\bmod {\ }}13=3^{6}\ {\bmod {\ }}13=3^{9}\ {\bmod {\ }}13=3^{12}\ {\bmod {\ }}13}$
• ${\displaystyle 3=3^{1}\ {\bmod {\ }}13=3^{4}\ {\bmod {\ }}13=3^{7}\ {\bmod {\ }}13=3^{10}\ {\bmod {\ }}13}$
• ${\displaystyle 9=3^{2}\ {\bmod {\ }}13=3^{5}\ {\bmod {\ }}13=3^{8}\ {\bmod {\ }}13=3^{11}\ {\bmod {\ }}13}$

Es lässt sich nun leicht nachvollziehen, dass die Gleichung ${\displaystyle a^{x}=b\ {\bmod {\ }}p}$ immer lösbar ist, wenn ${\displaystyle a}$ ein Generator von ${\displaystyle \mathbb {Z} _{p}^{*}}$ ist, wobei dann ${\displaystyle b}$ ein Element von ${\displaystyle \mathbb {Z} _{p}^{*}}$ ist (ausser ${\displaystyle 0}$). Der diskrete Logarithmus existiert also in ${\displaystyle Z_{p}^{*}}$ immer dann, wenn die Basis ein Generator von ${\displaystyle Z_{p}^{*}}$ ist.^[24] Stellt man die Zahlen in einem Kreis (Zyklus) der Potenzen dar, scheinen sie willkürlich verteilt zu sein. Dies gibt zumindest eine Vorstellung davon, weshalb der diskrete Logarithmus so aufwändig zu bestimmen ist.^[25]

Die beiden Kommunikationspartner Alice und Bob wollen über ein unsicheres Medium, etwa eine Kabel- oder Funkverbindung, verschlüsselt kommunizieren. Dazu soll ein symmetrisches Kryptosystem eingesetzt werden, für das beide jedoch zunächst einen gemeinsamen geheimen Schlüssel benötigen. Das Diffie-Hellman-Kommunikationsprotokoll sorgt dafür, dass sie einen geheimen Schlüssel berechnen können, ohne dass Dritte (Mallory) diesen erfahren können. Den auf diese Weise errechneten Schlüssel können sie dann in Zukunft verwenden, um verschlüsselt mit einem symmetrischen Kryptosystem zu kommunizieren.

1. Alice und Bob einigen sich zunächst öffentlich auf eine grosse Primzahl ${\displaystyle p}$ und eine natürliche Zahl ${\displaystyle g}$, die kleiner als ${\displaystyle p}$ ist. Sich öffentlich darauf einigen bedeutet, dass jeder diese beiden Zahlen kennen darf (also auch der potenzielle Lauscher Mallory). Idealerweise handelt es sich bei ${\displaystyle g}$ um einen Erzeuger der zyklischen Gruppe ${\displaystyle \mathbb {Z} _{p}}$, das Verfahren funktioniert aber auch, wenn ${\displaystyle g}$ einen anderen Wert kleiner ${\displaystyle p}$ annimmt. In der Praxis ist es ohnehin meist so, dass ${\displaystyle g}$ und ${\displaystyle p}$ vorgegeben sind und von vielen Anwendern verwendet werden.^[26]
2. Alice und Bob erzeugen jeweils eine geheimzuhaltende Zufallszahl (privater Schlüssel) ${\displaystyle a}$ bzw. ${\displaystyle b}$ aus der Menge ${\displaystyle \{1,\ldots ,p-1\}}$. ${\displaystyle a}$ und ${\displaystyle b}$ werden nicht übertragen, bleiben also dem jeweiligen Kommunikationspartner, aber auch potenziellen Lauschern, unbekannt. Nur Alice kennt die Zahl ${\displaystyle a}$ und nur Bob kennt die Zahl ${\displaystyle b}$.
3. Alice berechnet mit ihrer geheimen Zahl den öffentlichen Schlüssel ${\displaystyle A=g^{a}\ {\bmod {\ }}p}$ und schickt ${\displaystyle A}$ an Bob. Bob berechnet mit seiner geheimen Zahl den öffentlichen Schlüssel ${\displaystyle B=g^{b}\ {\bmod {\ }}p}$ und schickt ${\displaystyle B}$ an Alice.
4. Alice erhält ${\displaystyle B}$ von Bob und berechnet mit ihrem privaten Schlüssel ${\displaystyle a}$ die Zahl ${\displaystyle K_{1}=B^{a}\ {\bmod {\ }}p}$. Bob berechnet mit dem erhaltenen ${\displaystyle A}$ und seinem privaten Schlüssel ${\displaystyle b}$ ebenfalls die Zahl ${\displaystyle K_{2}=A^{b}\ {\bmod {\ }}p}$. Da ${\displaystyle K_{1}=K_{2}}$ gilt, haben beide die gleiche Zahl berechnet. Diese ist somit der gesuchte gemeinsame Schlüssel ${\displaystyle K}$.

Nur Alice und Bob kennen ${\displaystyle K}$. Mallory kann aus der abgehörten Kommunikation ${\displaystyle K}$ nicht berechnen. Dazu müsste er den diskreten Logarithmus lösen, was nach heutigem Kenntnisstand nicht möglich ist, wenn die Zahlen genug gross sind. Alice und Bob können also ${\displaystyle K}$ gefahrlos für eine symmetrische Verschlüsselung nutzen.^[27]

Dass beide Kommunikationspartner denselben Wert für ${\displaystyle K}$ berechnen, zeigen die folgenden beiden Restklassengleichungen^[28]:

${\displaystyle K_{1}=B^{a}\ {\bmod {\ }}p=(g^{b}\ {\bmod {\ }}p)^{a}\ {\bmod {\ }}p=(g^{b})^{a}\ {\bmod {\ }}p=g^{ba}\ {\bmod {\ }}p}$.

${\displaystyle K_{2}=A^{b}\ {\bmod {\ }}p=(g^{a}\ {\bmod {\ }}p)^{b}\ {\bmod {\ }}p=(g^{a})^{b}\ {\bmod {\ }}p=g^{ab}\ {\bmod {\ }}p}$.

Da die Multiplikation kommutativ ist, gilt des weiteren

${\displaystyle g^{ba}\ {\bmod {\ }}p=g^{ab}\ {\bmod {\ }}p}$

und somit

${\displaystyle K_{1}=K_{2}}$.

Alice und Bob erhalten also nach ihren jeweiligen Berechnungen die genau gleiche Zahl, nämlich den geheimen Schlüssel ${\displaystyle K=K_{1}=K_{2}}$.

Beispiel:

TBD

Angenommen, der Lauscher Mallory erfährt an der unsicheren Leitung die Zahlen ${\displaystyle p}$, ${\displaystyle g}$, ${\displaystyle A}$ und ${\displaystyle B}$, aber nicht die diskreten Logarithmen ${\displaystyle a}$ von ${\displaystyle A}$ und ${\displaystyle b}$ von ${\displaystyle B}$ zur Basis ${\displaystyle g}$. Mit der Kenntnis von ${\displaystyle a}$ und ${\displaystyle b}$ wäre es für ihn eine leichte Aufgabe, den Schlüssel ${\displaystyle K=g^{ab}\ {\bmod {\ }}p}$ zu bestimmen. Die Zahlen ${\displaystyle a}$ und ${\displaystyle b}$ herauszufinden ist jedoch sehr schwer, wenn die Zahlen ${\displaystyle p}$, ${\displaystyle a}$ und ${\displaystyle b}$ sehr gross sind, beispielsweise Zahlen mit mehreren hundert Dezimalstellen.^[29] Aus dieser Problemstellung ergibt sich das Computational-Diffie-Hellman-Problem:

Wenn ein Element ${\displaystyle g}$ einer Gruppe und die Werte ${\displaystyle A=g^{a}}$ und ${\displaystyle B=g^{b}}$ gegeben sind, welchen Wert hat dann ${\displaystyle K=g^{ab}}$, mit ${\displaystyle a,b}$ unbekannt ?

Da dieses Problem in bestimmten Gruppen nur mit enormem Rechenaufwand zu lösen ist, kann ein Angreifer aus den beiden beim Diffie-Hellman-Schlüsselaustausch übertragenen Nachrichten nicht den erzeugten Schlüssel berechnen.

Das Diffie-Hellman-Problem ist eng verwandt mit dem Diskreter-Logarithmus-Problem. Diskrete Logarithmen zu berechnen ist die einzige bekannte Methode, um das Diffie-Hellman-Verfahren zu brechen. Solange dies nicht in vertretbarer Zeit lösbar ist, ist es für einen Angreifer unmöglich, den geheimen Schlüssel zu bestimmen. Es ist allerdings nicht bewiesen, dass dies tatsächlich die einzige Methode ist, ob also jemand, der das Diffie-Hellman-Problem lösen könnte, auch diskrete Logarithem effizient berechnen könnte.^[30] Ueli Maurer hat gezeigt, dass beide Probleme zumindest unter bestimmten Voraussetzungen äquivalent sind.^[31]

Soll es für einen Angreifer unmöglich sein, aus den öffentlich verfügbaren Inforamtionen irgendwelche Informationen über den transportierten Schlüssel zu gewinnen, muss das Decisional-Diffie-Hellman-Problem (DDH) unangreifbar sein. Dieses Problem lässt sich folgendermassen beschreiben:

Ein Angreifer erhält drei Zahlen: ${\displaystyle A=g^{a}\ {\bmod {\ }}p}$, ${\displaystyle B=g^{b}\ {\bmod {\ }}p}$ und ${\displaystyle C=g^{c}\ {\bmod {\ }}p}$. Dabei wurden entweder ${\displaystyle a}$, ${\displaystyle b}$ und ${\displaystyle c}$ zufällig und gleichverteilt in ${\displaystyle \{0,...,p-2\}}$ gewählt oder ${\displaystyle c=ab\ {\bmod {\ }}(p-1)}$ gesetzt. Im zweiten Fall heisst ${\displaystyle (A,B,C)}$ Diffie-Hellman-Tripel. Der Angreifer muss entscheiden, ob ein solches Tripel vorliegt oder nicht. Kann er das nicht, ist es ihm unmöglich, aus ${\displaystyle g^{a}}$ und ${\displaystyle g^{b}}$ Rückschlüsse auf ${\displaystyle g^{ab}}$ zu ziehen.^[32]

Das Problem besteht also darin, bei gegebenem ${\displaystyle g^{a}\ {\bmod {\ }}p}$, ${\displaystyle g^{b}\ {\bmod {\ }}p}$ und ${\displaystyle g^{c}\ {\bmod {\ }}p}$ zu entscheiden, ob ${\displaystyle g^{c}=g^{ab}}$ ist.

Wer das Computational-Diffie-Hellman-Problem lösen kann, ist offensichtlich auch dazu in der Lage, das Decisional-Diffie-Hellman-Problem zu lösen. Für den umgekehrten Fall ist das nicht klar.

Bei einer Auswahl von ${\displaystyle g}$ als Primitivwurzel kann das Decisional-Diffie-Hellman-Problem angegriffen werden. Dies liegt in folgendem Theorem begründet:

Sei ${\displaystyle p}$ eine Primzahl, sei ${\displaystyle g}$ eine Primitivwurzel modulo ${\displaystyle p}$ und seien ${\displaystyle a,b\in \{0,...,p-2\}}$. Dann ist ${\displaystyle g^{ab}}$ genau dann ein quadratischer Rest modulo ${\displaystyle p}$, wenn ${\displaystyle g^{a}}$ oder ${\displaystyle g^{b}}$ ein quadratischer Rest ist modulo ${\displaystyle p}$.

Das Theorem folgt daraus, dass eine Potenz von ${\displaystyle g}$ genau dann ein quadratischer Rest modulo ${\displaystyle p}$ ist, wenn der Exponent gerade ist.^[33]

Ein Angreiffer kann also prüfen, ob das Kriterium aus diesem Theorem erfüllt ist. Er kann zwar nicht immer entscheiden, ob ein Diffie-Hellman-Tripel vorliegt, er antwortet aber zu 75% richtig. Sein Vorteil gegenüber reinem Raten beträgt also 50%.^[34]

Die Sicherheit des Verfahrens basiert nicht zuletzt auf der Länge der gewählten Zahlen. So muss die Primzahl ${\displaystyle p}$ dermassen gewählt werden, dass diskrete Logarithmen modulo ${\displaystyle p}$ mit derzeit bekannten Methoden nicht (effizient genug) berechnet werden können. Je grösser die verwendete Primzahl, desto sicherer das Verfahren, aber auch desto aufwendiger.^[35] Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt für ${\displaystyle p}$ eine Schlüssellänge von mindestens 2000 Bit (Stand 2016).^[36]

Die Diffie-Hellman-Primzahl ${\displaystyle p}$ muss zudem so gewählt werden, dass Algorithmen zur Berechnung des diskreten Logarithmus kein leichtes Spiel haben. So muss beispielsweise vermieden werden, dass ${\displaystyle p-1}$ nur kleine Primfaktoren hat. Ansonsten kann nämlich der Pohlig-Hellman-Algorithmus angewendet werden, der nicht von der Gruppenordnung, sondern vom größten Faktor der Gruppenordnung abhängt. Ausserdem sollte ${\displaystyle p}$ für das Zahlkörpersieb möglichst ungeeignet sein. Dies ist der Fall, wenn es ein irreduzibles Polynom vom Grad 5 gibt, das sehr kleine Koeffizienten und eine Nullstelle ${\displaystyle {\bmod {\ }}p}$ hat.^[37]

Die Zahl ${\displaystyle g}$ sollte so gewählt werden, dass alle Zahlen zwischen ${\displaystyle 1}$ und ${\displaystyle p-1}$ als Resultat der modularen Potenz ${\displaystyle g^{a}\ {\bmod {\ }}p}$ in Frage kommen. Erst dann ist es zu aufwändig, alle Zahlen durchzuprobieren, wenn ausserdem die Primzahl ${\displaystyle p}$ gross genug gewählt worden ist. Diese Eigenschaft erfüllt die Zahl ${\displaystyle g}$, wenn sie ein Generator der Gruppe ${\displaystyle \mathbb {Z} _{p}^{*}}$ ist.^[38] Wenn Alice und Bob beispielsweise ${\displaystyle g=1}$ wählen, so funktioniert das Verfahren zwar noch immer, doch der Schlüssel ${\displaystyle K}$ ist auf jeden Fall ${\displaystyle 1}$, denn ${\displaystyle 1}$ ist genau der Generator der Untergruppe von ${\displaystyle \mathbb {Z} _{p}^{*}}$ mit einem Element. Ähnlich unsicher ist das Verfahren, wenn Alice und Bob für ${\displaystyle g}$ einen Generator einer anderen kleinen Untergruppe wählen. Bei einem Generator einer grossen Untergruppe ist das Verfahren sicherer, am besten wird aber gleich ein Generator der ganzen Gruppe gewählt. Da die Hälfte aller Zahlen kleiner ${\displaystyle p}$ solche Generatoren sind, gibt es genug Auswahl.^[39]

Ein Seitenkanalangriff bezeichnet eine kryptoanalytische Methode, die die physische Implementierung eines Kryptosystems in einem Gerät (z. B. einer Chipkarte, eines Security-Tokens oder eines Hardware-Sicherheitsmoduls) oder in einer Software ausnutzt. Dabei wird nicht das kryptographische Verfahren selbst, sondern nur eine bestimmte Implementierung angegriffen. Das Prinzip beruht darauf, ein kryptographisches Gerät bei der Ausführung der kryptologischen Algorithmen zu beobachten und Korrelationen zwischen den beobachteten Daten und dem verwendeten Schlüssel zu finden.

Im Jahr 1995 veröffentlichte Paul Kocher eine neuartige Methode, mit der es ihm gelang, Implementierungen von Diffie-Hellman, RSA und DSA zu brechen: der Zeitangriff (timing attack).^[40]

Ziel des Zeitangriffs ist die diskrete Exponentialfunktion. Wenn eine Krypto-Implementierung ${\displaystyle g^{a}\ {\bmod {\ }}p}$ für irgendwelche grösseren Zahlen ${\displaystyle g}$, ${\displaystyle a}$ und ${\displaystyle p}$ berechnet, dann geschieht dies fast immer mit dem Square-and-Multiply-Algorithmus. Bei diesem ist für jedes Bit von ${\displaystyle a}$ eine Aktion festgesetzt: Hat das gerade bearbetete Bit den Wert ${\displaystyle 1}$, dann ist diese Aktion eine Multiplikation, ansonsten eine Quadrierung. Da die Rechenzeiten für die Multiplikationen länger dauern als für die Quadrierungen, kann Mallory aus Zeitmessungen Rückschlüsse auf die Zahl der Einsen in ${\displaystyle a}$ ziehen. Variiert er die Zahl ${\displaystyle g}$, reichen irgendwann die Informationen aus, um ${\displaystyle a}$ zu berechnen. Schon mit einigen Tausend Zeitmessungen lassen sich entsprechende Implementierungen mit 1024-Bit-Schlüsseln brechen.^[41]

Um solche Zeitangriffe zu verhindern, müssen jedoch bei der Implementierung lediglich Verzögerungen in den Ver- bzw. Entschlüsselungsprozess eingebaut werden. Mit dem als Blinding genannten Verfahren wird zum Beispiel an einer Stelle des Verfahrens eine Zufallszahl eingerechnet, die an anderer Stelle wieder herausgerechnet wird. Eine andere Möglichkeit besteht darin, den Prozess so zu gestalten, dass er unabhängig vom Eingabewert immer gleich lange dauert.^[42]

Im Jahr 1998 stellten Paul Kocher, Joshua Jaffe und Benjamin Jun erstmals das Konzept des Stromangriffs vor.^[43] Bei Stromangriffen wird nicht nur die Verarbeitungszeit gemessen, sondern mit einem Oszilloskop auch der Stromverbrauch. Besonders Smartcards sind gegenüber Stromangriffen anfällig, da diese auf eine externe Stromversorgung angewiesen sind. Ein Angreiffer misst die Ver- und Entschlüsselungsvorgänge und versucht bestimmte Stellen der Stromverbrauchskurve einzelnen Bestandteilen des Verfahrens zuzuordnen. Auch hier ist der Square-and-Multiply-Algorithmus ein geeignetes Ziel, da sich bei diesem Multiplikationen und Quadrierungen am Stromverbrauch oft gut unterscheiden lassen. Stromangriffe sind etwas aufwendiger in der Durchführung als Zeitangriffe, gelten jedoch als wirkungsvoller.^[44]

Als Gegenmassnahme gegen Stromangriffe kann der Hersteller von Krypto-Modulen den Stromverbrauch verschleiern, indem er Dummy-Operationen in einen Ver- bzw. Entschlüsselungsvorgang einbaut. Eine weitere Möglichkeit besteht darin, ein künstliches Stromrauschen zu erzeugen, das den eigentlichen Stromverbrauch überlagert.^[45]

Allgemeiner Überblick

• Klaus Schmeh: Kryptografie. Verfahren, Protokolle, Infrastrukturen. 5., aktualisierte Auflage, dpunkt.verlag: Heidelberg, 2013.

Fachartikel

• Dan Boneh: The Decision Diffie–Hellman Problem. In: Proceedings of the Third Algorithmic Number Theory Symposium (Lecture Notes in Computer Science, Vol. 1423) Springer-Verlag, 1998, S. 48-63. (Online)
• Whitfield Diffie, Martin E. Hellman: New Directions in Cryptography. In: IEEE Transactions on Information Theory 22, Nr. 6, 1976, S. 644–654. (Online)
• Martin E. Hellman: An overview of public key cryptography. In: IEEE Communications Magazine 40, Nr. 5, 2002, S. 42−49 (Online). Originalartikel: An overview of public key cryptography. In: IEEE Communications Magazine 16, Nr. 6, 1978, S. 24-32 (Online)
• Paul C. Kocher: Cryptanalysis of Diffie-Hellman, RSA, DSS, and Other Systems Using Timing Attacks. In: Advances in Cryptology, CRYPTO '95 (15th Annual International Cryptology Conference), Springer-Verlag, 1995, S. 27-31. (Online)
• Paul C. Kocher: Timing Attacks on Implementations of Diffie-Hellman, RSA, DSS, and Other Systems. In: Advances in Cryptology, CRYPTO '96 (Lecture Notes in Computer Science, Vol. 1109), Springer-Verlag, 1996, S. 104-113. (Online)
• Paul Kocher, Joshua Jaffe, Benjamin Jun: Introduction to Differential Power Analysis and Related Attacks. In: Advances in Cryptology—CRYPTO ’99, 19th Annual International Cryptology Conference. (Lecture Notes in Computer Science, Vol. 1666) Springer-Verlag: Berlin, 1999, S. 388-397. (Online)
• Ueli Maurer: Towards the equivalence of breaking the Diffie-Hellman protocol and computing discrete logarithms. In: Advances in Cryptology – Crypto '94. Springer-Verlag, 1994, S. 271–281. (Online)
• Ralph C. Merkle: Secure Communications over Insecure Channels. In: Communications of the ACM 21, Nr. 4, April 1978, S. 294–299. (Online)

1. ↑ Ralph Merkle: Secure Communications over Insecure Channels. In: Communications of the ACM 21, Nr. 4, April 1978, S. 294–299.
2. ↑ Whitfield Diffie, Martin Hellman: New Directions in Cryptography. In: IEEE Transactions on Information Theory.22, Nr. 6, 1976, S. 644–654.
3. ↑ Schmeh: Kryptografie. 5. Aufl., 2013, S. 185.
4. ↑ Martin E. Hellman: An overview of public key cryptography. In: IEEE Communications Magazine 40 (5), 2002, S. 42−49.
5. ↑ Badach, Hoffmann: Technik der IP-Netze. 3. Aufl., 2015, S. 53.
6. ↑ Freiermuth u.a.: Einführung in die Kryptologie. 2. Aufl., 2014, S. 200.
7. ↑ Beutelspacher: Geheimsprachen. 3. Aufl., 2002, S. 54.
8. ↑ Schmeh: Kryptografie. 5. Aufl., 2013, S. 204-209.
9. ↑ Beutelspacher: Geheimsprachen. 3. Aufl., 2002, S. 53.
10. ↑ Welschenbach: Kryptographie in C und C++. 2. Aufl., 2012.
11. ↑ Cryptographic apparatus and method, US 4200770 A und Public key cryptographic apparatus and method, US 4218582 A
12. ↑ Association for Computing Machinery: Cryptography Pioneers Receive ACM A.M. Turing Award (abgerufen am 1. Mai 2016).
13. ↑ Song Y. Yan: Number Theory for Computing. 2nd Edition, Springer: Berlin, Heidelberg, 2002, S. 350-351.
14. ↑ Schmeh: Kryptografie. 5. Aufl., 2013, S. 39-42.
15. ↑ ^{a b} Ertel: Angewandte Kryptographie. 4. Aufl., 2012, S. 77; Buchmann: Einführung in die Kryptographie. 3. Aufl., 2004, S. 153.
16. ↑ Schmeh: Kryptografie. 5. Aufl., 2013, S. 176.
17. ↑ Ertel: Angewandte Kryptographie. 4. Aufl., 2012, S. 98-99; Buchmann: Einführung in die Kryptographie. 3. Aufl., 2004, S. 192.
18. ↑ Beutelspacher, Schwenk, Wolfenstetter: Moderne Verfahren der Kryptographie. 8. Aufl., 2015, S. 16.
19. ↑ Beutelspacher, Schwenk, Wolfenstetter: Moderne Verfahren der Kryptographie. 8. Aufl., 2015, S. 17 mit Verweis auf Jose L. Balcazar, Josep Diaz, Josep, Joaquim Gabarró: Structural Complexity I. Springer: Heidelberg, Berlin, 1988.
20. ↑ Schmeh: Kryptografie. 5. Aufl., 2013, S. 184.
21. ↑ Schmeh: Kryptografie. 5. Aufl., 2013, S. 184.
22. ↑ Schmeh: Kryptografie. 5. Aufl., 2013, S. 181-183.
23. ↑ Freiermuth u.a.: Einführung in die Kryptologie. 2. Aufl., 2014, S. 202.
24. ↑ Schmeh: Kryptografie. 5. Aufl., 2013, S. 183.
25. ↑ Freiermuth u.a.: Einführung in die Kryptologie. 2. Aufl., 2014, S. 202-203.
26. ↑ Schmeh: Kryptografie. 5. Aufl., 2013, S. 185-186.
27. ↑ Schmeh: Kryptografie. 5. Aufl., 2013, S. 185-186.
28. ↑ Freiermuth u.a.: Einführung in die Kryptologie. 2. Aufl., 2014, S. 199.
29. ↑ Freiermuth u.a.: Einführung in die Kryptologie. 2. Aufl., 2014, S. 200.
30. ↑ Buchmann: Einführung in die Kryptographie. 6. Aufl., 2016, S. 190.
31. ↑ Ueli Maurer: Towards the equivalence of breaking the Diffie-Hellman protocol and computing discrete logarithms. In: Advances in Cryptology – Crypto '94. Springer-Verlag, 1994, S. 271–281.
32. ↑ Buchmann: Einführung in die Kryptogaphie. 6. Aufl., 2016, S. 190. Siehe ferner: Dan Boneh: The Decision Diffie–Hellman Problem. In: Proceedings of the Third Algorithmic Number Theory Symposium (Lecture Notes in Computer Science, Vol. 1423) Springer-Verlag, 1998, S. 48-63.
33. ↑ Buchmann: Einführung in die Kryptogaphie. 6. Aufl., 2016, S. 190.
34. ↑ Für einen Beweis siehe Buchmann: Einführung in die Kryptogaphie. 6. Aufl., 2016, S. 191-192.
35. ↑ Buchmann: Einführung in die Kryptogaphie. 6. Aufl., 2016, S. 192-193.
36. ↑ Bundesamt für Sicherheit in der Informationstechnik: BSI - Technische Richtlinien: Kryptographische Verfahren: Empfehlungen und Schlüssellängen Version 2016-01, Stand 15. Februar 2016. Für berechnete Mindestgrössen von p siehe auch ECRYPT II: European Network of Excellence in Cryptology II.
37. ↑ Buchmann: Einführung in die Kryptogaphie. 6. Aufl., 2016, S. 193.
38. ↑ Freiermuth, u.a.: Einführung in die Kryptologie. 2. Aufl., 2014, S. 202.
39. ↑ Schmeh: Kryptografie. 5. Aufl., 2013, S. 187.
40. ↑ Paul C. Kocher: Cryptanalysis of Diffie-Hellman, RSA, DSS, and Other Systems Using Timing Attacks. In: Advances in Cryptology, Crypto '95 (15th Annual International Cryptology Conference), Springer-Verlag, 1995, S. 27-31. (Online)
41. ↑ Schmeh: Kryptografie. 5. Aufl., 2013, S. 320-321.
42. ↑ Schmeh: Kryptografie. 5. Aufl., 2013, S. 321.
43. ↑ Paul Kocher, Joshua Jaffe, Benjamin Jun: Introduction to Differential Power Analysis and Related Attacks. In: Advances in Cryptology—CRYPTO ’99, 19th Annual International Cryptology Conference. (Lecture Notes in Computer Science, Vol. 1666) Springer-Verlang: Berlin, 1999, S. 388-397.
44. ↑ Schmeh: Kryptografie. 5. Aufl., 2013, S. 321-322.
45. ↑ Schmeh: Kryptografie. 5. Aufl., 2013, S. 323-324.