Benutzer:Didia/RSA

RSA-Kryptosystem

Eine Einwegfunktion ist eine mathematische Funktion, die komplexitätstheoretisch „leicht“ berechenbar, aber „schwer“ umzukehren ist.^[1] Eine mathematische Einwegfunktion ${\displaystyle f:X\to Y}$ muss folgende Eigenschaften aufweisen:

• Die Berechnung des Funktionswerts ${\displaystyle y=f(x)}$ ist „einfach“, d. h. es existiert ein Algorithmus, der ihn in Polynomialzeit berechnen kann.
• Die Berechnung der Umkehrfunktion zu einem gegebenen Funktionswert Fehler beim Parsen (SVG (MathML kann über ein Browser-Plugin aktiviert werden): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „http://localhost:6011/de.wikipedia.org/v1/“:): {\displaystyle y} , d. h. einem ${\displaystyle x}$, sodass ${\displaystyle f^{-1}(y)=x}$, ist allerdings „schwer“, d. h. es existiert kein „schneller“ Algorithmus für dieses Problem. „Schnell“ meint hier einen probabilistischen Algorithmus, der in Polynomialzeit läuft.

Einen anschaulichen Vergleich bietet ein klassisches Papier-Telefonbuch einer größeren Stadt: Die auszuführende Funktion ist die, einem Namen die entsprechende Telefonnummer zuzuordnen. Da die Namen alphabetisch geordnet sind, lässt sich dies ziemlich schnell durchführen. Aber ihre Invertierung, also die Zuordnung eines Namens zu einer gegebenen Telefonnummer, ist offensichtlich viel schwieriger.^[2]

Man kann zeigen, dass Einwegfunktionen genau dann existieren, wenn P ≠ NP, die berühmte Vermutung aus der Komplexitätstheorie, gilt (siehe P-NP-Problem). Obwohl die Einwegfunktionen in der Kryptographie eine wichtige Rolle spielen, ist also bis heute nicht bekannt, ob sie im streng mathematischen Sinne überhaupt existieren.^[3]

Eine Variante der Einwegfunktionen sind Trapdoor-Einwegfunktionen, auch Falltürfunktionen genannt. Diese lassen sich nur dann effizient umkehren, wenn man eine gewisse Zusatzinformation besitzt. Eine Metapher für Falltürfunktionen ist die Funktion eines Briefkastens: Jeder kann einen Brief einwerfen. Das Herausholen ist dagegen sehr schwierig – es sei denn, man ist im Besitz des Schlüssels.

Der Diffie-Hellman-Merkle-Schlüsselaustausch verwendet beispielsweise die diskrete Exponentialfunktion als Einwegfunktion (mit dem diskreten Logarithmus als schwer zu berechnende Umkehrfunktion). Zu dieser existiert keine Falltür. Im Gegensatz dazu verwendet das RSA-Kryptosystem mit der Faktorisierung eine Einwegfunktion mit Falltür.

Das RSA-Kryptosystem basiert darauf, dass das Multiplizieren zweier Primzahlen eine Einwegfunktion ist. Sei also eine Funktion ${\displaystyle f}$ mit zwei Primzahlen ${\displaystyle p}$ und ${\displaystyle q}$ als Argumente gegeben, die eine Multiplikation durchführt:

${\displaystyle f(p,q)=p\cdot q}$

Diese Primzahl-Multiplikation ist mit moderner Computerunterstützung auch bei „grösseren“ Zahlen „einfach“ durchführbar.^[4][5]

Die Umkehrfunktion ${\displaystyle f^{-1}}$ entspricht der Faktorisierung. Für eine gegebene Zahl ${\displaystyle n}$ sollen die Faktoren ${\displaystyle p}$ und ${\displaystyle q}$ berechnet werden:

${\displaystyle f^{-1}(n)=(p,q)}$

Es ist bis heute kein effizientes Verfahren bekannt, mit dem aus dem Produkt zweier Primzahlen die beiden Faktoren bestimmt werden können. In diesem Zusammenhang spricht man auch vom Faktorisierungsproblem. Auch wenn sich nicht beweisen lässt, dass die Primzahl-Multiplikation eine Einwegfunktion ist, so spricht doch alles dafür.^[5]

Klaus Schmeh macht zur Veranschaulichung das folgende kleine Experiment: „Berechnen Sie im Kopf das Resultat der Multiplikation ${\displaystyle 13\cdot 17}$. Dann bestimmen Sie zum Vergleich die beiden Primzahlen, die miteinander multipliziert 217 ergeben (natürlich auch im Kopf). Damit können Sie sich in etwa vorstellen, warum die Primzahl-Multiplikation als Einwegfunktion gilt.“^[6]

Der nächste entscheidende Schritt besteht darin, zur Primzahl-Multiplikation als Einwegfunktion eine Falltürfunktion zu „basteln“.

Die Eulersche φ-Funktion (Eulersche Phi-Funktion) gibt für jede natürliche Zahl ${\displaystyle n}$ an, wie viele zu ${\displaystyle n}$ teilerfremde natürliche Zahlen es gibt, die nicht größer als ${\displaystyle n}$ sind. Zur Zahl ${\displaystyle 6}$ sind beispielsweise genau die Zahlen ${\displaystyle 1}$ und ${\displaystyle 5}$ teilerfremd, also ist ${\displaystyle \operatorname {\varphi } (6)=2}$. Zur Primzahl ${\displaystyle 13}$ ist jede der ${\displaystyle 12}$ Zahlen von ${\displaystyle 1}$ bis ${\displaystyle 12}$ teilerfremd, also ist ${\displaystyle \operatorname {\varphi } (13)=12}$.

Da eine Primzahl ${\displaystyle p}$ nur durch 1 und sich selbst teilbar ist, ist sie zu den Zahlen 1 bis ${\displaystyle p-1}$ teilerfremd. Weil sie größer als 1 ist, ist sie außerdem nicht zu sich selbst teilerfremd. Es gilt daher

${\displaystyle \varphi (p)=p-1}$.

Die Phi-Funktion ist eine multiplikative zahlentheoretische Funktion, sodass für teilerfremde Zahlen ${\displaystyle m}$ und ${\displaystyle n}$

${\displaystyle \varphi (m\cdot n)=\varphi (m)\cdot \varphi (n)}$

gilt. Zum Beispiel ist ${\displaystyle \varphi (18)=\varphi (2)\cdot \varphi (9)=1\cdot 6=6}$

Man geht davon aus, dass die Berechnung der ${\displaystyle \varphi }$-Funktion mindestens so aufwändig ist wie die Faktorisierung. Allerdings kann man ${\displaystyle \operatorname {\varphi } (n)}$ einfach berechnen, wenn es sich dabei um das Produkt zweier Primzahlen ${\displaystyle p}$ und ${\displaystyle q}$ handelt. Dann gilt nämlich

${\displaystyle \operatorname {\varphi } (n)=\operatorname {\varphi } (p)\cdot \operatorname {\varphi } (q)=(p-1)\cdot (q-1)}$.

Allerdings muss man für diese Berechnung ${\displaystyle p}$ und ${\displaystyle q}$ tatsächlich kennen, denn es ist wiederum schwierig, zwei Primzahlen ${\displaystyle p}$ und ${\displaystyle q}$ zu bestimmen, von denen man nur das Produkt ${\displaystyle n}$ kennt (siehe Abschnitt „Primzahl-Multiplikation und Faktorisierung“).^[7]

Eine wichtige Anwendung findet die Phi-Funktion im Satz von Fermat-Euler:

Wenn zwei natürliche Zahlen a und m teilerfremd sind, ist m ein Teiler von ${\displaystyle a^{\varphi (m)}-1:}$

${\displaystyle \operatorname {ggT} (a,m)=1\Rightarrow m\mid a^{\varphi (m)}-1}$

Etwas anders formuliert:

${\displaystyle \operatorname {ggT} (a,m)=1\Rightarrow a^{\varphi (m)}\equiv 1{\pmod {m}}}$

Da für prime Moduli ${\displaystyle p}$ gilt ${\displaystyle \operatorname {\varphi } (p)=p-1}$, geht für sie der Satz von Fermat-Euler in den kleinen Satz von Fermat über:

${\displaystyle a^{p-1}\equiv 1{\pmod {p}}}$

Eine Gruppe ist ein Paar ${\displaystyle (G,*)}$, bestehend aus einer Menge ${\displaystyle G}$ und einer assoziativen Verknüpfung ${\displaystyle *}$ auf ${\displaystyle G}$, die ein neutrales Element hat und für die jedes Element von ${\displaystyle G}$ ein inverses Element besitzt. Beispielsweise bildet die Menge der ganzen Zahlen mit der Addition als Verknüpfung die (abelsche) Gruppe ${\displaystyle (\mathbb {Z} ,+)}$. Das neutrale Element der Addition ist die ${\displaystyle 0}$ (Null) und das additiv Inverse einer Zahl Fehler beim Parsen (SVG (MathML kann über ein Browser-Plugin aktiviert werden): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „http://localhost:6011/de.wikipedia.org/v1/“:): {\displaystyle a} ist ihre Gegenzahl ${\displaystyle -a}$. Die ganzen Zahlen ${\displaystyle \mathbb {Z} }$ sind bezüglich der Addition wiederum eine Untergruppe der rationalen Zahlen ${\displaystyle \mathbb {Q} }$. Demgegenüber bilden die rationalen (und ganzen) Zahlen zusammen mit der Multiplikation keine Gruppe, weil die Zahl ${\displaystyle 0}$ kein inverses Element bezüglich der Multiplikation besitzt. Wenn man jedoch ${\displaystyle 0}$ aus ${\displaystyle \mathbb {R} }$ entfernt, erhält man die (abelsche) Gruppe ${\displaystyle (\mathbb {R} -\{0\},\cdot )}$.

1. ↑ Ertel: Angewandte Kryptographie. 4. Aufl., 2012, S. 98–99; Buchmann: Einführung in die Kryptographie. 3. Aufl., 2004, S. 192.
2. ↑ Beutelspacher, Schwenk, Wolfenstetter: Moderne Verfahren der Kryptographie. 8. Aufl., 2015, S. 16.
3. ↑ Beutelspacher, Schwenk, Wolfenstetter: Moderne Verfahren der Kryptographie. 8. Aufl., 2015, S. 17 mit Verweis auf Jose L. Balcazar, Josep Diaz, Josep, Joaquim Gabarró: Structural Complexity I. Springer: Heidelberg, Berlin, 1988.
4. ↑ Freiermuth u.a.: Einführung in die Kryptologie. 2. Aufl., 2014, S. 289-290.
5. ↑ ^{a b} Schmeh: Kryptografie. 5. Aufl., 2013, S. 184.
6. ↑ Schmeh: Kryptografie. 5. Aufl., 2013, S. 185.
7. ↑ Schmeh: Kryptografie. 5. Aufl., 2013, S. 180-181 und S. 190.