FACHARBEIT RSA-VERSCHLSSELUNG

von: Artur Faltenberg

Finsterwalder-Gymnasium Rosenheim

Kollegstufenjahrgang 2008 / 2010

FACHARBEIT aus dem Leistungskurs Mathematik

Thema: Verfasser: Leistungskurs: Kursleiter: Abgabetermin:

RSA-Verschlsselung Artur Faltenberg 3M1 OStR Manfred Mauler .............................................

Schriftliche Arbeit: Erzielte Punkte: In Worten: .................................... ....................................

Mndliche Prfung: .................................... ....................................

Gesamtergebnis: Erzielte Punkte: In Worten:

Einfache Wertung: .................................... ....................................

Doppelte Wertung: .................................... ....................................

Unterschrift des Kursleiters:

.............................................

INHALTSVERZEICHNIS

Vorwort ......................................................................................................................... 3 1. Mglichkeiten der geheimen Nachrichtenbertragung ...................................... 4 1.1 Symmetrische Verschlsselung .......................................................................... 5 1.2 Asymmetrische Verschlsselung ........................................................................ 6 1.3 Hybride Verschlsselung .................................................................................... 7 1.4 Digitale Signatur .................................................................................................. 7 2. Geschichte der Kryptographie ............................................................................... 9 2.1 Caesar-Verschiebung .......................................................................................... 9 2.2 Kryptographie im Mittelalter .............................................................................. 10 2.3 Vigenre-Chiffre ................................................................................................ 10 2.4 Kryptographie der Neuzeit ................................................................................ 12 2.5 Enigma die Geheimwaffe der Nazis ............................................................... 13 2.6 Kryptographie im digitalen Zeitalter .................................................................. 14 3. Funktionsweise von RSA ..................................................................................... 15 3.1 Mathematische Grundlagen .............................................................................. 15 3.1.1 Modul-Arithmetik ...................................................................................... 15 3.1.2 Eulersche -Funktion .............................................................................. 16 3.1.3 Erweiterter Euklidischer Algorithmus ....................................................... 16 3.2 Schlsselerzeugung .......................................................................................... 17 3.3 Problematik bei der Schlsselerzeugung ......................................................... 17 3.4 Verschlsselung und Entschlsselung einer Nachricht .................................... 18 3.5 Binre Exponentiation ....................................................................................... 19 3.6 Signieren mit RSA ............................................................................................. 20 3.7 Korrektheit von RSA .......................................................................................... 20 3.8 Sicherheit der RSA-Verschlsselung ................................................................ 22 Schlussbemerkung ................................................................................................... 24 Anhang ....................................................................................................................... 25 [Anhang 1 UTF-8-Zeichentabelle] ........................................................................ 25 [Anhang 2 Primzahlentabelle] .............................................................................. 26 [Anhang 3 Biographien der Erfinder von RSA] .................................................... 27 [Anhang 4 Hufigkeitsanalyse] ............................................................................ 29 [Anhang 5 Funktionsweise der Enigma] .............................................................. 31 Glossar ....................................................................................................................... 33 Abbildungsverzeichnis ............................................................................................. 36 Quellenverzeichnis .................................................................................................... 37 Erklrung .................................................................................................................... 39

-3-

Vorwort
Verschlsselung dieses Wort wird von den meisten Menschen in der Regel mit Spio nage, Geheimdiensten und Krieg assoziiert. Dies kommt nicht von ungefhr, wurden Verschlsselungen doch lange Zeit hauptschlich vom Militr eingesetzt. Dabei reicht die Geschichte der Kryptologie, der Wissenschaft vom Chiffrieren und Dechiffrieren, mehrere Jahrtausende zurck und sie ist somit eine der ltesten Wissenschaften berhaupt. Bereits in der Antike gab es erste Verfahren, um Botschaften zu verschlsseln, wie die von den Spartanern benutzte Skytale ein Holzstab mit einem um ihn gewundenem Le derband, auf welches die Nachricht geschrie ben wurde. Beim Abwickeln des Bandes ent stand ein Wirrwarr aus Buchstaben, die Nachricht konnte folglich ohne eine gleich dicke Skytale nicht mehr entziffert werden.[1]
[Abb. 1]: Skytale

Seitdem hat sich die Kryptographie, die Wissenschaft des Verschlsselns, im Laufe der Zeit stark weiterentwickelt. Die Suche nach immer mchtigeren Verschlsselungs methoden wurde vor allem vom Militr vorangetrieben insbesondere whrend des 1. Weltkrieges mit dem Einsatz des Funkverkehrs zur Nachrichtenbertragung. Mit dem kommerziellen Einsatz des Computers war die Kryptographie nicht lnger nur dem Staat vorbehalten, sondern wurde zunehmend eingesetzt, um Daten von Firmen und Banken vor unberechtigten Zugriffen zu schtzen. Und heute, im Zeitalter des In ternets, wo das Abfangen von Daten so leicht ist wie nie zuvor, ist unsere moderne Gesellschaft mehr denn je auf Verschlsselungen angewiesen. Auch wenn die Krypto graphie noch immer ein Schattendasein im ffentlichen Bewusstsein fristet, ist sie in nahezu jedem elektronischen Gert anzutreffen: E-Mails und Telefonate knnen bin nen Sekunden vor wissbegierigen Augen bzw. Ohren geschtzt werden, Computer und Router kommunizieren per WLAN miteinander und verschlsseln den Nachrich tenverkehr, ohne dass wir davon etwas mitbekommen, und viele Internetdienste, wie Online-Banking oder Online-Shops, wren ohne geeignete Kryptographieverfahren undenkbar. Sogar Autos knnen heute mit einer kryptographischen Wegfahrsperre ausgestattet werden, in Zukunft wird das zur Serienausstattung gehren. Es gibt heute viele verschiedene Verschlsselungsverfahren. Eines davon ist die RSA-Verschlsselung benannt nach den Entwicklern Ronald Rivest, Adi Shamir und Leonard Adleman. Die Funktionsweise und die Sicherheit von RSA darzustellen ist das Hauptziel dieser Arbeit. Daneben mchte ich einen umfassenden Einblick in grundlegende Verschlsselungsmethoden und in die lange Geschichte der Kryptologie geben.

[1]

[3] S. 23

-4-

1. Mglichkeiten der geheimen Nachrichtenbertragung

[Abb. 2]: Arten der geheimen Nachrichtenbertragung

Es gibt prinzipiell zwei Mglichkeiten, um eine Nachricht einem Menschen geheim zu bermitteln: Die Steganographie und die Kryptographie. Mit Hilfe der Steganographie wird versucht die bloe Existenz einer Nachricht zu verbergen. Dabei kann die Nach richt berall versteckt werden wie z.B. in Alltagsgegenstnden, Gemlden, Kleidung oder Bchern. Auch unsichtbare Tinten gehren zum Repertoire eines Steganogra phen ebenso wie Mikropunkte (Dokumente oder Bilder, die auf Punktgre verkleinert und dann als Satzzeichen eingesetzt werden). Auch heute werden noch steganogra phische Methoden benutzt, auch in Kombination mit Verschlsselungen (z.B. versteck te Nachrichten in Musik- oder Bilddateien). Die Kryptographie liefert dagegen Verfahren, die eine Nachricht mit Hilfe von Algo rithmen, auch Schlssel genannt, fr Auenstehende unverstndlich machen sollen. Nur der rechtmige Empfnger kann die Botschaft wieder entziffern und lesen, da er im Besitz des richtigen Schlssels ist. Schlssel Klartext Verschlsselung
Ich bin geheim.
[Abb. 3]: Prinzip einer Verschlsselung

Schlssel Geheimtext Entschlsselung

Klr sa dubiums. Ich bin geheim.

Klartext

In der Kryptoanalyse wird versucht ohne die Kenntnis des Schlssels an die Nach richt zu gelangen. Dies erfordert viel Geschick und Zeit. Die Kryptographie liefert zwei Wege, um eine Botschaft zu verschlsseln. Bei der Transposition bleiben die Buchstaben der Nachricht erhalten, doch tauschen sie in nerhalb dieser nach einem ausgeklgelten System ihre Pltze, wie im Fall der Skytale. Das Gegenstck zur Transposition ist die Substitution, die die Basis vieler Kryptogra phieverfahren bildet. Beim Chiffrieren behalten die Buchstaben ihren Platz innerhalb des Textes, doch werden sie durch andere Buchstaben, Zahlen oder auch Zeichen er setzt. Natrlich knnen Transposition und Substitution zugleich benutzt werden.

-5-

In der Substitution wird zwischen monoalphabetischen Verfahren[1], bei denen nur ein einziges Geheimalphabet zur Verschlsselung verwendet wird, und polyalphabe tischen Verschlsselungsmethoden[2], bei denen mehrere Geheimalphabete zur Verfgung stehen, zwischen denen in einer festgelegten Reihenfolge gewechselt wird, unterschieden. Darber hinaus ist es in der Kryptographie heutzutage blich zwischen symmetrischen und asymmetrischen Verfahren zu differenzieren.

1.1 Symmetrische Verschlsselung

Bei einem symmetrischen Kryptographieverfahren wird eine Mitteilung mit nur einem Schlssel chiffriert und dechiffriert, daher auch der Name. Meist ist der Schlsselalgo rithmus einfach gestaltet, was zur Folge hat, dass der Verschlsselungsvorgang schnell abluft.

Wenn Du den bes ten Zug gefunden hast, suche einen besseren. Shogi-Weisheit

Wenn Du den bes ten Zug gefunden hast, suche einen besseren. Shogi-Weisheit

Klartext Alice

Geheimtext Bob

Klartext

[Abb. 4]: Funktionsweise symmetrischer Verschlsselungsmethoden

Allerdings haben symmetrische Verschlsselungen einen gravierenden Nachteil: das Schlsselverteilungsproblem. Am besten stellt man sich drei Personen vor, z.B. Alice, Bob und Eve. Alice mchte Bob eine Nachricht schicken, whrend Eve versucht diese Nachricht abzufangen. Ali ce und Bob wissen, dass ihre Nachrichten unterwegs ausspioniert werden und so be schlieen sie, ihren Nachrichtenverkehr zu verschlsseln. Jedes Mal wenn Alice an Bob eine Nachricht sendet, codiert sie diese mit einem Schlssel und jedes Mal muss sie einen neuen Schlssel whlen, wenn sie sicher gehen mchte, dass Eve die Nachricht nicht entziffert.[3] Wie soll Alice nun den Schlssel an Bob bermitteln, damit er ihre Nachricht lesen kann? Selbstverstndlich kann sie den Schlssel nicht per E-Mail, Brief, etc. verschi cken, da sie nie sicher sein kann, dass Eve ihn nicht abfngt. Sie kann sich natrlich mit Bob treffen und den Schlssel austauschen, am besten vorsorglich gleich einige. Auf Dauer ist das jedoch ziemlich aufwendig. Schlimmer wird es noch, wenn Alice und Bob sich nicht nur miteinander unterhalten wollen, sondern auch mit James. Dann brauchen sie drei Schlssel, wenn sie jeweils voneinander geheim kommunizieren wollen. Bei vier Personen werden schon sechs Schlssel bentigt und bei 100 Teilnehmern fast 5000.
[1] [2] [3] siehe Kapitel 2.1 zur Funktionsweise siehe Kapitel 2.3 zur Funktionsweise vgl. [3] S. 433

-6-

Allgemein brauchen n Personen n = 0,5n n1 Schlssel, da bei n Personen je 2 zwei miteinander kombiniert werden und einen gemeinsamen Schlssel besitzen.[1] Alles in allem stellt die Schlsselbergabe ein Risiko dar, die Verwaltung der Schlssel kostet obendrein Zeit und Geld. Viel besser wre es doch den Schlssel mitsamt der Nachricht zu verschicken. Lange Zeit schien das ein Ding der Unmglichkeit zu sein, bis...

1.2 Asymmetrische Verschlsselung

... bis Whitfield Diffie und Martin Hellman das Schlsselverteilungsproblem lsten, in dem sie in Betracht zogen, ein Schlsselpaar anstatt eines Schlssels zu verwenden. Einer der Schlssel ist jedem zugnglich (ffentlicher Schlssel daher nennt man solche Kryptoverfahren auch Public-Key-Verschlsselungen) und dient nur dem Co dieren einer Nachricht. Der andere Schlssel bildet das passende Gegenstck und decodiert den Geheimtext. Selbstverstndlich ist er nur dem Empfnger bekannt (pri vater Schlssel).

ffentlicher Schlssel von Bob

Wenn Du den bes ten Zug gefunden hast, suche einen besseren. Shogi-Weisheit

privater Schlssel von Bob

Wenn Du den bes ten Zug gefunden hast, suche einen besseren. Shogi-Weisheit

Klartext Alice

Geheimtext Bob

Klartext

[Abb. 5]: Funktionsweise asymmetrischer Chiffriermethoden

Im Beispiel besitzen Alice und Bob jeweils einen ffentlichen Schlssel und einen Pri vaten. Mchte Alice eine Nachricht an Bob schicken, so entnimmt sie seinen ffentli chen Schlssel aus einer zentralen Datenbank oder Bob schickt diesen zuvor an Alice. Wenn dieser Schlssel Eve in die Hnde gert, so kann sie damit nichts anfangen, denn er dient ja nur dem Chiffrieren. Nachdem Alice die codierte Nachricht an Bob ge schickt hat, kann er mit seinem privaten Schlssel das Chiffre entziffern und die Bot schaft lesen. Danach kann er wiederum an Alice schreiben, indem er ihren ffentlichen Schlssel zum Verschlsseln benutzt. Eve hat somit das Nachsehen und kann an die Nachricht nur mittels der Kryptoanalyse gelangen. Nun mchte James ebenfalls mit Alice und Bob kommunizieren. Wie viele Schlssel brauchen die Drei dieses Mal? Sechs, also mehr als bei der symmetrischen Krypto graphie. Schon anders sieht es bei zehn Personen aus. Whrend in der Public-KeyKryptographie nur zehn Schlsselpaare, also insgesamt 20 Schlssel, bentigt wer den, sind es in der symmetrischen Verschlsselung ganze 45. Allgemein sind in der asymmetrischen Verschlsselung bei n Personen 2n Schlssel, jeweils ein ffentli cher und ein Privater, ntig.
[1] vgl. [3] S. 311f.

-7-

Darber hinaus lassen sich die Schlssel besser verwalten und mssen nicht aufwen dig untereinander getauscht werden. Dies spart Zeit und Geld. Sicherheit in offenen Netzen, wie dem Internet, wre ohne asymmetrische Kryptographie extrem teuer und komplex![1] Bei allen Vorteilen der asymmetrischen Kryptographieverfahren, sollten die Nachteile nicht vllig vergessen werden. Die Sicherheit dieser Verschlsselungen beruht auf komplexen mathematischen Funktionen. Deswegen dauert es vor allem bei lngeren Texten erheblich lnger eine Nachricht zu chiffrieren als bei einem symmetrischen Ver fahren.

1.3 Hybride Verschlsselung

Um die Vorteile der symmetrischen und asymmetrischen Kryptographie zu vereinen, werden heute in der Praxis oft hybride Verfahren eingesetzt. Hierbei wird die Nachricht symmetrisch verschlsselt und der dazugehrige Schlssel mit einem asymmetri schen Verfahren chiffriert. Der Geheimtext und der codierte symmetrische Schlssel werden dann an den Empfnger geschickt, der dann den symmetrischen Schlssel decodieren und diesen zum Entziffern der Botschaft einsetzen kann. So wird eine schnelle Codierung erreicht und zugleich das Schlsselverteilungsproblem umgangen.

ffentlicher Schlssel von Bob

privater Schlssel von Bob

Wenn Du den bes ten Zug gefunden hast, suche einen besseren. Shogi-Weisheit

Wenn Du den bes ten Zug gefunden hast, suche einen besseren. Shogi-Weisheit

Klartext Alice

Geheimtext Bob

Klartext

[Abb. 6]: Funktionsweise hybrider Verschlsselungen

1.4 Digitale Signatur

Asymmetrische Verschlsselungsverfahren knnen nicht nur zum Chiffrieren einge setzt werden, sondern auch um digitale Signaturen zu erzeugen. Eine Signatur lsst sich mit einer digitalen Unterschrift vergleichen. Enthlt eine Nach richt von Alice eine digitale Signatur, so wei Bob, dass sie Urheberin der Botschaft ist. Fehlt sie dagegen, so muss sie nicht zwingend von Alice verschickt worden sein, denn auch Eve kann sich als Alice ausgeben und an Bob eine chiffrierte Nachricht schicken, da sie seinen ffentlichen Schlssel kennt.

[1]

[7] S. 19

-8-

Um eine digitale Signatur zur erzeugen wird meist aus einer Nachricht ein Hash-Wert eine Art Fingerabdruck, der fr jede Anzahl von Bits und Bytes (Buchstaben und Zahlen sind fr den Computer ja nichts anderes) einzigartig ist mit einer Einwegfunk tion, einer nicht umkehrbaren Funktion, erzeugt und mit dem privaten Schlssel des Senders codiert. Dieser Wert wird dann gemeinsam mit der zuvor asymmetrisch ver schlsselten Nachricht an den Empfnger gesendet. Er kann die Nachricht mit seinem Privaten und den Hash-Wert mit dem ffentlichen Schlssel des Senders entziffern und danach den Hash-Wert der erhaltenen Botschaft erzeugen. Unterscheiden sich die beiden Hash-Werte, so wei der Empfnger, dass jemand die Nachricht unterwegs abgefangen und manipuliert hatte, denn jede noch so kleinste Vernderung einer elektronischen Datenmenge hat eine gravierende nderung des Hash-Wertes zur Folge. Sind die Werte dagegen gleich, so kann man sich sicher sein, dass die Nachricht tatschlich vom Sender stammte, da es fast unmglich ist, aus dem Hash-Wert die Nachricht, aus der er erzeugt wurde, zu erschlieen.[1]

ffentlicher Schlssel von Bob

Wenn Du den bes ten Zug gefunden hast, suche einen besseren. Shogi-Weisheit

privater Schlssel von Bob

Wenn Du den bes ten Zug gefunden hast, suche einen besseren. Shogi-Weisheit

Klartext

Geheimtext

Klartext

Alice

Bob

101001001010011 111001011101010 101011010100110 101010101111010 110100100100110 101010010010011

Hash-Wert

=?
101001001010011 111001011101010 101011010100110 101010101111010 110100100100110 101010010010011 B7B7247A5F21A4C 009051A5F200A66 37A6637B9069542 B49B796D5A4C009 051A5F200A6637B A4C0009051A5F21 101001001010011 111001011101010 101011010100110 101010101111010 110100100100110 101010010010011

Hash-Wert

codierter Hash

Hash-Wert

privater Schlssel von Alice

ffentlicher Schlssel von Alice

[Abb. 7]: Funktionsweise einer Signatur [1] [3] S. 361ff.

-9-

2. Geschichte der Kryptographie

Die erste Erwhnung von Geheimschriften ist bei Herodot aus dem 5. Jhd. v. Chr. zu finden. Er beschrieb, wie ein in Persien lebender Grieche den spartanischen Knig Leonidas vor dem geplanten Angriff des Perserknigs Xerxes warnen wollte. Damals war es unter Gelehrten blich auf Wachstafeln, deren Rckwand aus Holz bestand, zu schreiben. So gravierte er die Warnung in das Holz ein und berdeckte sie mit Wachs. Ohne an der Grenze aufzufallen kam die Tafel bei Leonidas an und nach einiger Zeit fanden die Griechen die versteckte Botschaft. Daraufhin bereiteten sie sich auf die Schlacht vor und besiegten die weit berlegene Flotte der Perser in der Bucht von Salamis.[1] Bei dieser Methode, Nachrichten heimlich zu bermitteln, handelt es sich um eine ste ganographische Methode, denn die Botschaft wird lediglich versteckt. Eine der ersten kryptographischen Mittel war die bereits geschilderte Skytale, eine ein fache Form der Transposition, die es bereits um 400 v. Chr. gab. [2] Substitutionsverfah ren wurden in Europa erst um Christi Geburt erfunden, andere Kulturen wie die Inder verfgten schon viel frher ber solche Verschlsselungsmethoden. Ein Verfahren erlangte in Europa eine besonders hohe Bekanntheit und Verbreitung und war bis in die Neuzeit Basis vieler anderer Substitutionsverfahren. Benannt wurde es nach einem rmischen Feldherrn, der sie sehr ausgiebig einsetzte. Die Rede ist von der Caesar-Verschiebung.[3]

2.1 Caesar-Verschiebung
Die Caesar-Verschiebung ist wohl die simpelste Substitutionsmethode, die es gibt. Zur Nachrichtenverschlsselung werden zwei Alphabete bereinandergelegt, wobei das untere, das Geheimalphabet (zur besseren Auseinanderhaltung meist gro geschrie ben), um n Stellen gegenber dem oberen Klartextalphabet (in Kleinbuchstaben ge schrieben) verschoben ist. Nun wird jeder Buchstabe des Klartextes im oberen Alpha bet gesucht und mit dem Pendant aus dem Geheimalphabet ersetzt. Im Endeffekt wird jeder Buchstabe der Nachricht durch einen Buchstaben ersetzt, der n Stellen weiter im Alphabet steht. Somit gibt es bei der Caesar-Verschiebung im lateinischen Alphabet nur 25 Mglichkeiten einen Schlssel zu erzeugen. Durch stures Ausprobieren smtli cher Verschlsselungsmglichkeiten, der Brute-Force-Methode, ist eine caesar-ver schobene Nachricht recht schnell entziffert.[4]
Beispiel:

Er kam, sah und siegte. a b c d e f g h i j k l m n o p q r s t u v w x y z N O P Q R S T U V W X Y Z A B C D E F G H I J K L M REXNZFNUHAQFVRTGR

[1] [2] [3] [4]

[3] S. 18f. [3] S. 24 [3] S. 24 25 [3] S. 25f.

- 10 -

Um die Sicherheit zu erhhen, kann man Wortzwischenrume und die Interpunktion entfernen. Zur Verwirrung knnten auch Buchstaben aus fremden Sprachen oder an dere Zeichen verwendet werden. Benutzt man statt dem verschobenen Alphabet ein willkrlich verwirbeltes Geheimalphabet, so erhht sich die Anzahl der mglichen 26 Schlssel drastisch auf 26 ! 410 . [1] Eine solche allgemeine Substitution wird dann als monoalphabetische Substitution bezeichnet. Man knnte glauben, dass die schier unendliche Anzahl an Schlsseln es dem Krypto analytiker unmglich macht, den Geheimtext zu entziffern. In Wirklichkeit aber ist die se Verschlsselungsmethode eine der Schwchsten. Mit der Hufigkeitsanalyse[2] kann jede derart verschlsselte Nachricht rasch dechiffriert werden, sofern sie eine gengend groe Buchstabenmenge besitzt, um damit eine hinreichend gute statisti sche Analyse durchfhren zu knnen.

2.2 Kryptographie im Mittelalter

Seit die Araber vermutlich um ca. 900 n. Chr. die Hufigkeitsanalyse erfanden, waren monoalphabetische Verschlsselungen nicht mehr sicher. Europa befand sich damals noch tief im Mittelalter und die Suche nach neuen Kryptoverfahren wurde nur langsam vorangetrieben. Erst mit Beginn der Renaissance im 15. Jhd. gab es in Europa be deutsame Kryptologen.[3] Immer trickreichere Methoden wurden erfunden, so z.B. Ver schlsselungen mit Fllern bedeutungslosen Zeichen, die willkrlich im Geheimtext verteilt werden, um die Hufigkeitsanalyse zu erschweren. Nichtsdestotrotz wurden nahezu alle neuen Methoden schon sehr bald entschlsselt. Erst die nach dem Franzosen Blaise de Vigenre benannte Kryptographiemethode brachte die erwnschte Sicherheit. Sein Chiffre ist das bekannteste unter allen polyal phabetischen Algorithmen.

2.3 Vigenre-Chiffre
Die Anfnge der Vigenre-Verschlsselung reichen bis 1460 zurck. Damals kam der italienische Mathemati ker, Maler, Dichter und Philosoph Leon Battista Alberti auf die Idee, mehrere Geheimalphabete hintereinander zu verwenden und zwischen ihnen zu wechseln.[4] Doch erst der franzsische Diplomat Blaise de Vigenre soll te 1586 dieses Verfahren mit seinem Werk Tracti des Chiffres zur Vollendung bringen.[5] Sein Chiffre besteht aus 26 je um eins gegeneinander caesar-verschobenen Alphabeten und bildet so eine zweidimensionale Matrix. Mchte Alice Bob eine Nach richt senden, so vereinbart sie mit ihm zunchst ein Codewort als Schlssel, z.B. RSA. Dann entnimmt sie die entsprechenden Zeilen aus dem Vigenre-Quadrat,
[1] [2] [3] [4] [5] [3] S. 28 siehe [Anhang 4 Hufigkeitsanalyse] [3] S. 42 45 [3] S. 65f. [3] S. 68

[Abb. 8]: Blaise de Vigenre

- 11 -

also die Zeilen 17, 18 und 26, die ihre Geheimalphabete bilden. Nach dem Prinzip der Caesar-Verschiebung verschlsselt Alice nun jeden Buchstaben ihrer Nachricht, wobei sie den ersten Buchstaben mit dem Geheimalphabet aus Zeile 17 chiffriert, den Zwei ten mit dem aus Zeile 18, den Dritten mit dem Alphabet aus Zeile 26, den Nchsten mit dem aus Zeile 17, usw. Zur Entschlsselung geht Bob analog vor: den ersten Buchstaben des Geheimtextes liest er aus dem Geheimalphabet der Zeile 17 aus und bersetzt ihn zurck, usw. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 a B C D E F G H I J K L M N O P Q R S T U V W X Y Z A b C D E F G H I J K L M N O P Q R S T U V W X Y Z A B c D E F G H I J K L M N O P Q R S T U V W X Y Z A B C d E F G H I J K L M N O P Q R S T U V W X Y Z A B C D e F G H I J K L M N O P Q R S T U V W X Y Z A B C D E f G H I J K L M N O P Q R S T U V W X Y Z A B C D E F g H I J K L M N O P Q R S T U V W X Y Z A B C D E F G h I J K L M N O P Q R S T U V W X Y Z A B C D E F G H i J K L M N O P Q R S T U V W X Y Z A B C D E F G H I j K L M N O P Q R S T U V W X Y Z A B C D E F G H I J k L M N O P Q R S T U V W X Y Z A B C D E F G H I J K l M N O P Q R S T U V W X Y Z A B C D E F G H I J K L m N O P Q R S T U V W X Y Z A B C D E F G H I J K L M n O P Q R S T U V W X Y Z A B C D E F G H I J K L M N o P Q R S T U V W X Y Z A B C D E F G H I J K L M N O p Q R S T U V W X Y Z A B C D E F G H I J K L M N O P q R S T U V W X Y Z A B C D E F G H I J K L M N O P Q r S T U V W X Y Z A B C D E F G H I J K L M N O P Q R s T U V W X Y Z A B C D E F G H I J K L M N O P Q R S t U V W X Y Z A B C D E F G H I J K L M N O P Q R S T u V W X Y Z A B C D E F G H I J K L M N O P Q R S T U v W X Y Z A B C D E F G H I J K L M N O P Q R S T U V w X Y Z A B C D E F G H I J K L M N O P Q R S T U V W x Y Z A B C D E F G H I J K L M N O P Q R S T U V W X y Z A B C D E F G H I J K L M N O P Q R S T U V W X Y z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

[Abb. 9]: Vigenre-Quadrat Beispiel:

Nur weil die Klugen immer nachgeben, regieren die Dummen die Welt. a b c 17 R S T 18 S T U 26 A B C d U V D e V W E f W X F g X Y G h Y Z H i Z A I j A B J k B C K l C D L m D E M n E F N o F G O p G H P q H I Q r I J R s J K S t K L T u L M U v M N V w N O W x O P X y P Q Y z Q R Z

EMRNWICVIVCLLYEEAMDWRESXYYESWNIWGZWRVFDLEMVNUAENWLK

Im Beispiel fllt sofort auf, dass der Buchstabe e oft als W verschlsselt wird. Doch je lnger der Schlssel ist, desto sicherer wird das Chiffre. Ist das Schlsselwort ge nauso lang wie die Nachricht, so ist die Vigenre-Verschlsselung kryptoanalytisch nicht entzifferbar, also absolut sicher.

- 12 -

2.4 Kryptographie der Neuzeit

Es ist eine Ironie der Geschichte, dass die Vigenre-Verschlsselung sich trotz ihrer hohen Sicherheit erst 200 Jahre spter durchsetzen konnte. Vielen galt sie als zu kompliziert und umstndlich. Ihrer Einfachheit wegen gegenber polyalphabetischen Kryptosystemen wurden stattdessen vermehrt homophone Verschlsselungen, eine Sonderform der monoalphabetischen Substitution, eingesetzt.[1]
Beispiel:

Gott belohnt die Narren. a b c d e f g h i j k l m n o p q r s t u v w x y z

09 78 48 13 45 25 39 65 83 51 84 22 58 71 95 29 35 40 76 49 12 92 81 41 79 23 50 68 88 27 59 91 94 42 86 69 33 62 14 56 32 93 18 00 77 96 75 47 01 16 70 15 05 80 17 85 53 03 24 73 04 07 11 20 97 67 44 26 54 19 30 08 46 37 72 36 43 55 58 90 57 99 64 38 74 82 87 98 10 31 06 61 89 28 21 52 66 63 34 60

3995496978452294657175138379910940421491 Im 17. Jahrhundert entstand aus der Kryptologie ein blhendes Gewerbe. Jedes euro pische Land besa Schwarze Kammern, die dazu dienten, den Nachrichtenverkehr zu berwachen. Die Kryptoanalytiker der Schwarzen Kammern konnten Geheimtexte binnen kurzer Zeit entziffern. Erst jetzt begann, da monoalphabetische Verfahren in all ihren Variationen nicht mehr als sicher galten, der Siegeszug der Vigenre-Verschls selung. Diese Sicherheit wurde umso mehr bentigt, als erste Telegraphen Ende des 18. Jhd. zur Nachrichtenbermittlung eingesetzt wurden.[2] Der Siegeszug der Chiffre indchiffrable[3], wie das Vigenre-Chiffre im 18. und 19. Jhd. genannt wurde, dauerte jedoch nicht lange. Schon 1854 gelang Charles Babba ge, einem englischen Genie, Mathematiker und Erfinder, das schier unmgliche: Die Kryptoanalyse der unentzifferbaren Verschlsselung. Dazu bediente er sich ausgekl gelter statistischer Methoden und berlegungen, wobei an dieser Stelle belassen wer den soll.[4] Alsdann wurde eine neue, noch sicherere Verschlsselung bentigt, denn der Funk verkehr wurde beim Militr zur Nachrichtenbertragung eingesetzt. An sich ist das praktisch Offiziere knnen Befehle schnell an die Einheiten durchgeben, allerdings kann auch der Feind sie mithren. Im 1. Weltkrieg hatten die Franzosen die besten Kryptoanalytiker ganz Europas in ihren Reihen und so wundert es nicht, dass sie je den Funkspruch der Deutschen entziffern konnten.
[1] [2] [3] [4] [3] S. 73ff. [3] S. 81f. [3] S. 65 [3] S. 86, 90ff., 103f.

- 13 -

2.5 Enigma die Geheimwaffe der Nazis

1918 wurde die Enigma, die erste Verschlsselungsmaschine der Geschichte, vom deutschen Erfinder Arthur Scherbius entwickelt, die an Sicherheit alle bisherigen Ver schlsselungen in den Schatten stellte.[1] An dieser Stelle sei erklrt, dass die Enigma die eingegebenen Buchstaben mit Hilfe sich rotie render Walzen verschlsselt. Zum Dechiffrieren wird eine baugleiche Enigma bentigt, die in die gleiche Einstellung gebracht werden muss wie die Enigma des Verschlsslers. Diese Einstel lung wurde mittels Codebchern bermittelt.[2] Anfangs erfolglos setzte sich die Enigma ab 1926 im deutschen Militr durch. Erst jetzt hat ten die Deutschen einen kryptologischen Vor sprung gegenber den Alliierten etwas, was ihnen vorher unwichtig erschien. Frankreich und England ihrerseits, berauscht vom Sieg im Ers ten Weltkrieg, machten sich nach der Niederla ge Deutschlands kaum die Mhe, den Nachrich tenverkehr zu knacken. Marian Rejewski, ein Mathematiker und fhrender Kryptoanalytiker aus Polen, war es, der die Enigma bereits nach [Abb. 10]: Enigma einem Jahr entschlsseln konnte. An dieser Stelle muss erwhnt werden, dass der Bruder des Erfinders der Enigma Plne ebendieser an die Alliierten verkauft hatte, sodass sie eine Enigma nachbauen konnten. Ohne einen Nachbau knnten die Verschlsselungen nie entziffert werden.[3] Als der Zweite Weltkrieg ausbrach hatten die Westmchte zwar Nachbauten der Enig ma, doch konnten sie den Nachrichtenverkehr der Reichswehr nicht dechiffrieren. Noch vor dem berfall auf Polen wurden die Alliierten von dem Erfolg Rejewskis in Kenntnis gesetzt. Darauf aufbauend grndeten die Englnder den Bletchley Park, der die Arbeitssttte von vielen Kryptoanalytikern, Mathematikern und Linguisten wurde. Mit sogenannten Bomben, die schon Rejewski erfunden hatte, konnten die Einstellun gen fr die Enigma, die jeden Tag gewechselt wurden, rasch gefunden werden. Jede Bombe war in Prinzip eine Enigma, deren drei Walzen in einer der mglichen Walzen folgen angeordnet waren, und berprfte smtliche Walzstellungen, bis eine berein stimmung mit dem Geheimtext gefunden wurde. Selbst als die Reichswehr die Anzahl der Walzen und der Steckverbindungen erhhte, konnte Bletchley Park die Tages schlssel finden und die Geheimtexte entziffern.[4] Nach und nach decodierten sie die Funknetze der deutschen Luftwaffe, der Armee in Nordafrika und auch der Marine, deren Enigma sogar auf acht Walzen basierte und noch komplizierter aufgebaut war! Mit dem Wissen ber die Befehle der deutschen Befehlshaber hatten sie einen enormen Vorteil im Weltkrieg. Als der Krieg vorbei war, wurde der Bletchley Park geschlossen, doch dessen Helden wurde erst in den 70ern, nach jahrelangem Schweigen, die Ehre zuteil, die ihnen gebhrte.[5]
[1] [2] [3] [4] [5] [3] S. 160f. Die genaue Funktionsweise wird in [Anhang 5 Funktionsweise der Enigma] behandelt. [3] S. 180ff. [3] S. 194, S. 199 204 vgl. [3] S. 228ff.

- 14 -

2.6 Kryptographie im digitalen Zeitalter

In der Nachkriegszeit wurden bald die ersten Computer erfunden, wobei die Bomben aus dem Bletchley Park als deren Vorlufer angesehen werden knnen. Von da an wurden sie von den Kryptologen eingesetzt, um den eigenen Nachrichtenverkehr si cherer zu gestalten und den der Feinde zu knacken. Als die Computer kleiner und handlicher wurden, wurden sie auch von Firmen und Banken eingesetzt. Jetzt wurde das Problem der Schlsselverteilung brisanter den je. Zum sicheren Nachrichtentrans port zwischen Firmen und Kunden wurden Schlssel ber Mittelsmnner verteilt, sp ter spezialisierten sich Firmen darauf, tausende von Schlsseln quer durchs Land zu transportieren. Dieses Vorgehen war sehr teuer.[1 1976 bewiesen Whitfield Diffie und Mar tin Hellman, dass ein Schlsselaus tausch nicht unbedingt ntig ist. Ihr asymmetrisches Verfahren war jedoch noch nicht praxistauglich. Erst das von Rivest, Shamir und Adleman 1977 er fundene RSA-Verfahren sollte die erste asymmetrische Verschlsselung sein, die sich gegenber herkmmlichen Ver fahren durchsetzen konnte.

[Abb. 12]: Martin Hellman

[Abb. 11]: Whitfield Diffie

Heute existieren verschiedenste Kryptographieverfahren. RSA und AES[2], der symme trische Partner von RSA bei der hybriden Verschlsselung, sind nur zwei davon. Da neben gibt es verschiedene Stromchiffren[3], die bei der Sicherung des WLAN einge setzt werden, und sogar visuelle Kryptographie[4], bei der mehrere nur ein Rauschen darstellende Bilder pltzlich eine Nachricht darstellen, wenn sie bereinander gelegt werden. Zur Zeit haben Kryptographen einen Vorsprung gegenber Kryptoanalytikern, doch wie schon so oft in der Geschichte der Kryptologie, whrt diese berlegenheit nur vor bergehend. Kryptoanalytiker holen die Kryptographen immer wieder ein und zwingen sie, neue, noch mchtigere Verfahren zu entwickeln. Momentan setzt die Kryptoanaly se alles auf den Quantencomputer, der, wenn er tatschlich gebaut werden knnte, auch die lngsten Schlssel mhelos entziffern soll. Zwar ist ein solcher Computer heute nur in der Theorie vorhanden, doch in diesem Bereich wird krftig geforscht.[5] Kryptographen hoffen ihrerseits in Zukunft Nachrichten mit Hilfe von Lichtteilchen ver schlsseln zu knnen. Die Quantenkryptographie[6] wre absolut sicher und wrde den stndigen Kampf um die Nachrichten zugunsten der Verschlssler beenden. Erste Versuche in dieser Richtung funktionieren bereits.[7]

[1] [2] [3] [4] [5] [6] [7]

vgl. [3] S. 295 306 siehe [2] S. 78 siehe [15] und [20] siehe [21] [3] S. 387 siehe [3] S. 400 421 [2] S. 80

- 15 -

3. Funktionsweise von RSA

3.1 Mathematische Grundlagen
Die Basis der RSA-Verschlsselung bildet eine Falltr-Funktion. Falltr-Funktionen (auch Trapdoor-Funktionen genannt) sind leicht auszufhren, doch ihre Umkehrung ist nur schwer mglich. Viele solcher Funktionen findet man in der Modul-Arithmetik.[1] Daneben sollen im diesen Kapitel auch die Eulersche -Funktion und der Erweiterte Euklidische Algorithmus erlutert werden, da sie eine wichtige Rolle bei der Schlsse lerzeugung spielen.

3.1.1 Modul-Arithmetik
Modulo ist eine Funktion, die den Rest bei einer Division zweier natrlichen Zahlen an gibt. Als Beispiel sollen hier die Reste untersucht werden, die bei der Division natrli cher Zahlen durch 10 entstehen. 0 = 0100 1 = 0101 2 = 0102 3 = 0103 4 = 0104 5 = 0105 6 = 010 6 7 = 0107 8 = 0108 9 = 0109 10 = 1100 11 = 1101 12 = 1102 13 = 1103 14 = 1104 15 = 1105 16 = 1106 17 = 1107 18 = 1108 19 = 1109 20 = 2100 21 = 2101 22 = 2102 23 = 2103 24 = 2104 25 = 2105 26 = 2106 27 = 2107 28 = 2108 29 = 2109

Es fllt auf, dass sich die Reste bei der Division durch 10 fr alle Zahlen a wie derholen und nur Werte aus der Menge W = {0 ; 1 ; ... ;101} annehmen.
Definition:
[2]

Zwei Zahlen a und b sind kongruent modulo n, wenn gilt: ab = kn a ,b , k ,n . Man schreibt: a b mod n . Also sind 8, 18 und 28 kongruent modulo 10, da sie den gleichen Rest haben. Fr den Modulo-Operator gelten folgende Rechenregeln:[3] 1. a mod nb mod nmod n = ab mod n 2. a mod n mod nmod n = abmod n b b b 3. a mod n mod n = a mod n 4. a mod n mod n = a mod n 5. a mod n = a an 6. n mod n = 0

[1] [2] [3]

[3] S. 316 [1] S. 26 [8] S. 10; [9] S. 16

- 16 -

3.1.2 Eulersche -Funktion

Die Eulersche -Funktion gibt zu jeder Zahl n die Anzahl der natrlichen Zahlen a [1; n[ an, die zu n teilerfremd sind.[1]
Definition:

Gibt es eine grte natrliche Zahl c mit cab sodass gilt: a 0 mod c und b 0 mod c , so nennt man c den grten gemeinsamen Teiler von a und b, kurz: ggT a ,b. Ist c = 1, so heien a und b teilerfremd.
Beispiel:[2]

n (n)

1 1

2 1

3 2

4 2

5 4

6 2

7 6

8 4

9 6

10 4

11 10

12 4

13 12

Es fllt auf, dass fr eine Primzahl p gilt: p = p1. Dies resultiert aus der Tatsache, dass alle Zahlen ap zu p teilerfremd sind. Fr das Produkt zweier Primzahlen p und q gilt: pq = p1q1. [3]

3.1.3 Erweiterter Euklidischer Algorithmus

Ursprnglich wurde der Euklidischen Algorithmus dazu verwendet den ggT a ,b zu berechnen. Beim RSA-Verfahren wird dieser Algorithmus bentigt, um die folgende Gleichung zu lsen: ed 1 mod N. Die Berechnung erfolgt nach folgendem Schema:[4] a = r 0 ; b = r1 r 0 = q 1r 1 r 2 r 1 = q2r 2 r 3 r n2 = q n1r n1 r n r n1 = q nr n r n1 0r 1 r 0 0r 2 r 1 0r 3 r 2 0r n r n1 r n1 = 0 ; r n = ggT a ,b a = 366 ; b = 31 336 = 113125 31 = 1256 25 = 461 6 = 610 ggT 366,31 = 1

Nach Lemma von Bzout[5] ist auch eine Vielfachsummendarstellung des ggT a ,b mglich: ggT a ,b = xayb. x und y ergeben sich, wenn der Euklidi sche Algorithmus rckwrts gerechnet wird. Im Beispiel also: 1 = 2546 = = 254 31125 = 525431 = = 5 3661131431 = 53665931 ggT 366,31 = 53665931 Euklidischer Algorithmus und Vielfachsummendarstellung werden zusammen als der Erweiterte Euklidische Algorithmus bezeichnet.

[1] [2] [3] [4] [5]

[1] S. 122f. Die Zahl 8 und die zu ihr teilerfremden Zahlen sind farbig markiert. [19] S. 6 [1] S. 284; [13]/rsa_euklid.html [1] S. 284f.

- 17 -

3.2 Schlsselerzeugung
RSA ist ein asymmetrisches Verfahren. Zum Chiffrieren und Dechiffrieren wird ein Schlsselpaar, bestehend aus einem ffentlichen Schlssel So = e ,N und einem pri vaten Schlssel S p = d , N , bentigt. Sie werden fr jeden Gesprchspartner folgen dermaen erzeugt:[1] 1. Whle zwei zufllige Primzahlen p und q 2. Berechne N = pq und N 3. Whle eine zufllige natrliche Zahl e, wobei gilt: ggT e , N = 1 eN 4. Berechne d aus der Gleichung ed 1 mod N mit Hilfe des Erweiterten Euklidischen Algorithmus 5. ffentlicher Schlssel So = e ,N ; privater Schlssel S p = d ,N
Beispiel:

1. p = 13 ; q = 19 [2] 2. N = pq = 247 N = p1q1 = 1218 = 216 3. e = 175 e = 557 ; N = 222333 ggt e , N = 1 4. Erweiterter Euklidischer Algorithmus zu ed 1 mod N: 216 = 117541 175 = 44111 41 = 3118 11 = 183 8 = 232 3 = 121 2 = 210 1 = 312 = = 31823 = 3318 = = 3 111818 = 31148 = = 3114 41311 = 1511441 = = 15 175441441 = 151756441 = = 1517564 2161175 = = 7917564216

d =79 Probe: ed mod N = 17579 mod 216 = 1 5. So = e ,N = 175,247 ; S p = d ,N = 79,247 Im Beispiel von Alice und Bob haben beide jeweils einen privaten und einen ffentli chen Schlssel. Die Schlssel von Alice seien fortan S A = e A ,N A und S A = d A ,N A , die von Bob seien SB = eB ,N B und SB = d B ,N B .

3.3 Problematik bei der Schlsselerzeugung

Wird d mit Hilfe des Erweiterten Euklidischen Algorithmus berechnet, so kommt es re gelmig vor, dass d negativ ist. Dies ist an sich nicht falsch, die Verschlsselung funktioniert fr negative d jedoch nicht, da der Algorithmus mit Ganzzahlen arbeitet. Ist d negativ, so liefert die Formel M ' = C d mod N , mit der die Nachricht entschlsselt wird, eine nicht natrliche Zahl und diese kann nicht in ein Zeichen umgewandelt wer den.[3]
[1] [2] [3] [1] S. 279; [3] S. 436 entnommen aus [Anhang 2 Primzahlentabelle] vgl. [Anhang 1 UTF-8-Zeichentabelle]

- 18 -

Das folgende Beispiel soll so einen Fall verdeutlichen. Dabei sind d, C und N willkr lich gewhlt. S p = d ,N = 79,247 C = 4 ' d 79 48 48 M = C mod N = 4 mod 247 = 2,7410 mod 247 = 2,7410 X M' kann nicht in ein Zeichen umgewandelt werden. Falls dieser Fall eintritt, ist folgendermaen vorzugehen: d ' := d d = d ' N ; da d ' N ist d 0 Es gilt immer noch: ed 1 mod N.
Beweis:[1]

1 = ed mod N <=> ' 1 = [ e d N ] mod N <=> 1 = [ ed ' eN ] mod N <=> 1 = [ ed mod N eN mod N ] mod N <=>
'

1 = [ e mod N d mod N e mod N N mod N ] mod N <=>

'

1 = [ e mod N d mod N ] mod N <=>

'

1 = [ ed ' mod N ] mod N <=> 1 = ed ' mod N

ed mod N = ed ' mod N

Das neu erhaltene d wird nun bei der Verschlsselung verwendet.
Beispiel:

S p = d ,N = 79,247 C = 4 d = 79216 = 137 M ' = Cd mod N = 4 137 mod 247 = 244

3.4 Verschlsselung und Entschlsselung einer Nachricht

Bevor Alice eine RSA-verschlsselte Nachricht verschicken will, muss sie diese erst in eine Zahl umwandeln. Dazu dienen verschiedene Zeichenstze, die jedem Buchsta ben und Zeichen eine eindeutige Zahl zuordnen. Da Alice in Deutschland wohnt, nutzt sie natrlich auch die Umlaute. Der passende Zeichensatz fr Alice ist UTF-8. Es ord net jedem Zeichen eine 8 Bit groe Zahl zu.[2] Nachdem Alice alle Zeichen ihrer Mitteilung in Zahlen umgewandelt hat, kann sie jede einzelne Zahl M i M i N mit Bobs ffentlichen Schlssel SB = eB ,N B und der For mel C = M e mod N chiffrieren. Bob entziffert die erhaltenen Chiffrate Ci mit seinem pri ' d vaten Schlssel SB = d B ,N B und M = C mod N . Wenn er Alice etwas senden will, so nimmt er zum Chiffrieren ihren ffentlichen Schlssel und Alice nutzt ihren Privaten, um Bobs Nachricht wieder zu entschlsseln.[3]
[1] [2] [3] siehe Kapitel 3.1.1 fr die Rechenregeln der Modulo-Funktion zu entnehmen aus [Anhang 1 UTF-8-Zeichentabelle] [1] S. 279f.

- 19 Beispiel:
[1]

So = e ,N = 175,247 ; S p = d ,N = 79,247 Nachricht M R 82

82
175

S 83
83
175

A 65
65
175

C = M e mod N
M ' = C d mod N Nachricht

mod 247 = 4

mod 247 = 216

mod 247 = 65

479 mod 247 = 82 R

216 79 mod 247 = 83 S

65 79 mod 247 = 65 A

3.5 Binre Exponentiation

Da sowohl d als auch e in der Praxis sehr gro sind, dauert es entsprechend lange, M so oft mit sich selbst zu multiplizieren. Damit die Verschlsselung schneller arbeitet, gibt es den folgenden Algorithmus, der sich die Binre Exponentiation oder auch der Square-and-Multiply-Algorithmus nennt. Dabei wird der Exponent e bzw. d in die Sum me seiner Zweierpotenzen (Binrdarstellung) zerlegt. Auf diese Weise wird das Ge samtprodukt in Teilprodukte mit Zweierpotenzen im Exponenten aufgespalten, welche danach wieder miteinander multipliziert werden.[2]
Beispiel:[3], [4]

So = e ,N = 175,247 M = 82 e 175 C = M mod N = 82 mod 247 Square-and-Multiply-Algorithmus: 0 1 2 3 5 7 175 = 2 2 2 2 2 2 = 124832128 82 1 82 mod 247 2 82 = 6724 55 mod 247 82 4 61 mod 247 82 8 82 4 mod 247 824 mod 247 mod 247 mod 247 82 8 612 mod 247 16 mod 247 82 32 82 8 mod 247 82 8 mod 247 mod 247 mod 247 82 32 16 4 mod 247 81 mod 247 82 128 82 32 mod 247 8232 mod 247 mod 247 mod 247 128 4 82 81 mod 247 55 mod 247 C = 82 175 mod 247 = 82 182 282482 882 3282 128 mod 247 C = 825561168155mod 247 = 275110 mod 24771280 mod 247 mod 247 C = 199144 mod 247 = 28656 mod 247 = 4
4 4 2

[1] [2] [3] [4]

Werte mit Windows Taschenrechner berechnet. [1] S. 283f. vgl. Beispiel aus Kapitel 3.4 siehe Kapitel 3.1.1 fr die Rechenregeln der Modulo-Funktion

- 20 -

3.6 Signieren mit RSA

Alice kann mit RSA ihre Nachricht auch signieren, damit Bob sicher sein kann, dass diese von ihr versendet wurde und nicht etwa von Eve. Hierzu kann sie die gesamte Nachricht in eine Signatur umwandeln. Schneller und eleganter ist es, wenn sie den Hash-Wert der Nachricht erzeugt und diesen als digitale Signatur zusammen mit ihrer Botschaft an Bob verschickt. Um die Signatur Sig zu erzeugen, verschlsselt Alice den Hash-Wert H der Nachricht mit ihrem privaten Schlssel S A = d A ,N A . Bob kann den Wert auslesen, wenn er das Chiffrat mit dem ffentlichen Schlssel S A = e A ,N A von Alice decodiert. Alternativ kann sie ihre gesamte Nachricht zunchst mit ihrem privaten Schlssel und dann mit Bobs ffentlichen Schlssel chiffrieren. Bob verfhrt bei der Dechiffrierung entgegengesetzt, nutzt also zunchst seinen Privaten und danach den ffentlichen Schlssel von Alice. Dies dauert in der Praxis allerdings erheblich lnger.
Beispiel:

So = e ,N = 175,247 ; S p = d ,N = 79,247 H = 125 Sig = H d mod N = 125 79 mod 247 = 239 H ' =Sig e mod N =239175 mod 247=125 H ' =H

3.7 Korrektheit von RSA

Jedes Kryptographieverfahren ist nutzlos, wenn es nicht fehlerfrei arbeitet, sprich: wenn der Empfnger nicht genau die Nachricht entschlsselt, die ihm vom Sender bermittelt wurde. Fr die Korrektheit von RSA ist der Satz von Euler von groer Wichtigkeit:[1] Fr zwei Zahlen a und n mit ggT a ,n = 1 gilt: a
n

1mod n.

' ed Damit das Verfahren korrekt arbeitet, muss gelten: M = M mod N , da: M ' = C d mod N = M e mod Nd mod N = M ed mod N. Aus Kapitel 3.2 ist bekannt, dass fr e und d gilt: ed 1 mod N. Dies ist quivalent zu ed = k N1 ; k .

M = M

'

k N 1

mod N

Um diese Gltigkeit zu beweisen, mssen folgende drei Flle, die auftreten knnen, unterschieden werden:[2] 1. ggt M , p = 1 ggT M ,q = 1, d.h. M ist teilerfremd zu p und q und somit zu N. 2. M 0 mod p ggT M , q = 1, d.h. M ist ein Vielfaches von p (oder q). 3. M 0 mod p M 0 mod q , d.h. M ist ein Vielfaches von p und q und damit von N.

[1] [2]

Beweis in [1] S. 286f. [1] S. 287

- 21 -

Fall 1:
Beweis:
[1]

M ' M k N 1 mod N <=> M ' M k N M mod N <=> M ' M N kM mod N Aus dem Satz von Euler folgt: M ' 1kM mod N <=> M ' M mod N M ' = M

Fall 2:
Beweis:
[2],[ 3]

Da M und q teilerfremd sind, gilt: M q = M q1 1mod q. Da M ein Vielfaches von p ist, gilt: M 0 mod p. M ' M k N 1 mod N <=> M ' M k p1 q11 mod pq <=> M ' [ M k p1 q1M ] mod pq <=> M ' = kpqMM k p1 q1 ; k <=> M' M k p1 q1 M' M k p1 q1 = kq M M mod q <=> <=> p p p p k p1 M' M mod q M q1 mod q mod q mod q p p

Aus dem Satz von Euler folgt:

M' M mod q1k p1 mod q mod q. p p ' ' M M M M 1 mod q <=> = sq ; s <=> M ' = spqM <=> p p p p ' M M mod pq

M M mod N M ' = M

'

Fall 3:
Beweis:

Da M ein Vielfaches von p und q ist, gilt: M = kN ; k . Per Definition aber gilt fr M: 0M N. Die Gleichung M 0 mod N wird daher nur fr M = 0 erfllt. e ' d ' Aus C = 0 mod N = 0 und M = 0 mod N = 0 folgt somit: M = M.

Fazit: Es gilt fr alle M mit 0M N : M ' = M. Die RSA-Verschlsselung arbeitet in je dem Fall korrekt.

[1] [2] [3]

vgl. [8] S. 16 vgl. [8] S. 16 Fall 2.b; [1] S. 287 Fall 2.(b) siehe Kapitel 3.1.1 fr die Rechenregeln der Modulo-Funktion

- 22 -

3.8 Sicherheit der RSA-Verschlsselung

Zunchst sei gesagt, dass es heutzutage fr einen Kryptoanalytiker keinen effiziente ren Weg gibt den Geheimtext zu dechiffrieren als N zu faktorisieren. Andere Metoden, wie die Formel C = M e mod N nach M aufzulsen oder d aus ed 1 mod N zu be rechnen, sind nicht mglich. Interessanterweise ist es nicht einmal bewiesen, dass das Decodieren des Geheimtextes ohne den entsprechenden privaten Schlssel nicht funktioniert.[1] Vielleicht wird in Zukunft ein mglicher Algorithmus gefunden. Heute bleibt einem Angreifer nichts anderes brig, als N zu faktorisieren, um dann d auszu rechnen und das Chiffrat zu entschlsseln. Allerdings ist die Faktorisierung einer zusammengesetzten Zahl in ihre Primzahlen nicht so einfach. Was bei 247 = 1319 noch leicht durch Ausprobieren mglich ist, dauert bei einer Zahl wie 21270463 erheblich lnger. Zwar gibt es verschiedene Algo rithmen[2], die die Faktorisierung ein wenig beschleunigen, dennoch dauert es mitunter Monate bis eine Zahl faktorisiert ist. Heute werden bei RSA Schlssellngen von 1024 Bit und mehr verwendet das sind Zahlen mit mehr als 300 Stellen! Solche Zahlen knnen von Computern relativ schnell erzeugt werden, doch ihre Faktorisierung dauert extrem lange. Dabei spielt die Wahl der richtigen Primzahlen eine nicht vernachlssigbare Rolle, denn verschiedene Algorithmen faktorisieren besonders effektiv, wenn p und q den fol genden Anforderungen nicht entsprechen:[3] 1. p und q drfen nicht zu nah beieinander liegen, aber auch nicht zu fern. 2. p und q drfen nicht zu nah an N liegen, da die Suche oft aus dieser Richtung er folgt. 3. p1 und q1 mssen mglichst wenige kleine Teiler haben. Um solch groe Schlssel zu erzeugen, mssen auch entsprechend groe Primzah len fr p und q gewhlt werden. Da es unendlich viele Primzahlen gibt, gibt es auch sehr viele Primzahlen mit der entsprechenden Lnge, um 1024-Bit-Schlssel zu er zeugen. Sie mssen blo gefunden werden. Die Suche nach Primzahlen wird mit ver schiedenen Algorithmen schon seit der Antike (z.B. Sieb von Erastothenes) betrieben, aber das ist ein Kapitel fr sich. Da die Sicherheit von RSA so stark von dem Produkt der zwei Primzahlen abhngt, ist es nicht verwunderlich, dass RSA Security Inc. Preise fr die Faktorisierung von spe ziellen Zahlen ausgesetzt hat.[4] 1999 wurde der Preis fr die Faktorisierung von RSA140 (die Zahl hat eine Lnge von 140 Bits bzw. 42 Stellen) ausgezahlt. 2003 ge lang die Faktorisierung von RSA576 (174 Stellen), 2005 wurde RSA640 (193 Stellen) und am 12. Dezember 2009 RSA768 (232 Stellen) faktorisiert. Die Faktoren waren 3347807169895689878604416984821269081770479498371376 8568912431388982883793878002287614711652531743087737814467999489 und 36746043666799590428244633799627952632279158164343087642676032283815 739666511279233373417143396810270092798736308917 und das Produkt war 123018668453011775513049495838496272077285356959533479219732245215172 64005072636575187452021997864693899564749427740638459251925573263034 537315482685079170261221429134616704292143116022212404792747377940806 65351419597459856902143413.[5]
[1] [2] [3] [4] [5] vgl. [1] S. 291 siehe [13]/rsa_diskussion.html vgl. [1] S. 282 [18] [14]

- 23 -

Die nchsten Zahlen wren RSA896 (200 Stellen), RSA1024 (309 Stellen), RSA1536 (463 Stellen) und RSA2048 (617 Stellen). 2007 wurde der von RSA Security Inc. ausgesetzte Wettbewerb eingestellt. Wie hoch soll nun die Schlssellnge sein? Zum einen ist sie stark von der Wichtigkeit der Nachricht und vom Sender abhngig. Firmen und Banken nutzten lngere Schls sel als Privatpersonen. Regierungen und das Militr verwenden noch lngere Schls sel. Je wichtiger und vertraulicher eine Mitteilung ist, desto hher ist die zu benutzen de Schlssellnge. E-Mails werden mit kleinen Schlsseln chiffriert, wichtige oder brisante Dokumente mit lngeren. Meine persnliche Schtzung gibt die folgende Ta belle an:[1] Jahr 2005 2010 2015 2020 Privatpersonen 1024 1024 1536 2048 Firmen 1536 2048 2048 4096 Regierungen 2048 3072 4096 4096 oder hher

Natrlich sind das nur grobe Schtzungen. Wer wei, ob in zehn Jahren Computer 2048 Bit lange Schlssel binnen Sekunden faktorisieren knnen? Bei dieser rasanten technologischen Entwicklung, die wir momentan erleben, ist das durchaus mglich. Fr Privatpersonen reichen heute aber 1024 Bit vollkommen aus (selbst die Bundes wehr verschlsselt ihren E-Mail-Verkehr mit 1024 Bit)[2]. Dass RSA768 faktorisiert wur de, stellt noch keine groe Bedrohung dar. Die Faktorisierung hat 2,5 Jahre gedauert und wurde in einem Verbund von mehr als 100 Computern bewerkstelligt. Bei Privat personen wird niemand diesen Aufwand betreiben, um an deren Nachrichten zu ge langen. An dieser Stelle mchte ich noch hinzufgen, dass es eine neuere Version von RSA gibt, die mit drei Primzahlen und mehr arbeitet. Dadurch wird die Schlssellnge dras tisch erhht und damit auch die Sicherheit der Verschlsselung.[3]

[1] [2] [3]

beruhend auf [13]/rsa_diskussion.html [6] Kapitel 4.1.1 fr weitere Informationen siehe [12] (Englisch)

- 24 -

Schlussbemerkung
Seit der Erfindung der asymmetrischen Kryptographie in den 70ern stellt sich immer fter die Frage, wie viel Sicherheit einem Brger erlaubt sein darf. Staatliche Organi sationen, als negatives Beispiel sei die NSA in Amerika zu nennen, sehen es ber haupt nicht gerne, wenn Brger ihre Nachrichten und Daten verschlsseln, insbeson dere wenn es mit dermaen groen Schlsseln geschieht (wie mit dem Programm PGP von Phil Zimmermann, das schon mehrere Male, darunter nach dem Terroran schlag am 11. September, aufs Schrfste kritisiert wurde), dass sie viel Aufwand be treiben mssten, um an die Nachrichten zu gelangen.[1] Heute knnen wir beobachten, wie die Privatsphre und die Freiheit des Einzelnen im mer mehr eingeschrnkt wird durch immer strengere Kontrollen an Flughfen, Vi deoberwachung, Abgabe von Fingerabdrcken fr Reisepsse, Vorratsdatenspeiche rung, Bundestrojanern, usw. mit der Begrndung, es diene unserer Sicherheit und der Bekmpfung von Kriminalitt und Terrorismus.[2] In den 1790er Jahren [...] konnten zwei beliebige Leute sich ganz privat unter halten mit einer Sicherheit, die heute niemand mehr geniet , einfach indem sie ein paar Schritte die Strae entlang gingen und sich vergewisserten, da sich niemand in den Bschen versteckte. Es gab keine Aufzeichnungsgerte, Richtmikrophone [...]. Wie man sieht, hat die Zivilisation das berlebt.[3] (Whitfield Diffie) Wieso braucht dann der Staat heute diese berwachungsmanahmen? Um Kriminelle zu berfhren? Um Terroranschlge zu vereiteln? Frher ging das doch ohne dieses Misstrauen gegenber jedem einzelnen Brger. Wenn wir dermaen bezichtigt wer den kriminell zu sein, dann stellt sich fr mich zwangslufig die Frage, ob wir unserer seits so einem Staat wirklich trauen knnen. Ob wir vertrauen knnen, dass die Daten, die ber uns gesammelt werden, nicht an Dritte weitergereicht werden, ob sie nicht missbraucht werden. Ironischerweise klagen wir die Methoden an, die Stasi, Gestapo und Co. einst verwendet haben, bersehen aber dabei, dass unsere Freiheit, die un sere Vorfahren in zum Teil blutigen Kmpfen ber Jahrhunderte hinweg erkmpfen mussten, immer strker eingeschrnkt wird und wir langsam zu einem berwachungs staat werden. Eine Mglichkeit seine Privatsphre zu schtzen sind Verschlsselungen. Doch wie lange wird es noch dauern bis diese eingeschrnkt werden? Schon beim nchsten Terroranschlag? Seit dem 11. September 2001 wurden in vielen Lndern immer str kere Kontrollen und berwachungsmethoden eingefhrt und die Gesellschaft so all mhlich an diese gewhnt. Was wird wohl nach dem nchsten Attentat eingeschrnkt? Wie schon Benjamin Franklin gesagt hatte: Wer die Freiheit aufgibt, um Sicherheit zu gewinnen, der wird am Ende beides verlieren.

[1] [2] [3]

vgl. [3] S. 353 380 siehe auch http://www.youtube.com/watch?v=SGD2q2vewzQ&feature=related [3] S. 370

- 25 -

ANHANG

[Anhang 1 UTF-8-Zeichentabelle] UTF-8 ist ein Zeichensatz, der jedem Schriftzeichen eine 8 Bit groe Zahl (als Binr zahl aus Nullen und Einsen geschrieben hat sie eine Lnge von 8 Ziffern) festlegt. Es 8 knnen damit also 2 = 256 verschiedene Zeichen codiert werden. In der nachfolgen den Tabelle sind die jeweiligen Zeichen mit den entsprechenden Dezimalzahlen aufge listet. Nicht-druckbare, in der Schriftsprache weniger gebruchliche, sowie im Deut schen nicht vorhandene Zeichen sind der bersicht halber ausgelassen. Weitere Zei chen knnen hier nachgeschaut werden: http://www.utf8-zeichentabelle.de/unicodeutf8-table.pl. A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 a b c d e f g h i j k l m n o p q r s t u v w x y z 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 0 1 2 3 4 5 6 7 8 9 196 228 214 246 220 252 223 48 49 50 51 52 53 54 55 56 57 ! ? . , : ; " ' ( ) _ / % @ 32 33 63 46 44 58 59 34 39 40 41 45 95 47 37 64 167

- 26 -

[Anhang 2 Primzahlentabelle] Die folgende Liste enthlt die ersten 640 Primzahlen (Angaben ohne Gewhr), die fr die meisten Beispiele mehr als ausreichend sein sollten. Weitere Primzahlen knnen unter dem folgenden Link herunterladen werden: http://primes.utm.edu/lists/small/millions.
2 59 137 227 313 419 509 617 727 829 947 1051 1171 1289 1427 1523 1621 1753 1879 2011 2131 2269 2381 2521 2659 2749 2879 3019 3169 3307 3433 3547 3673 3803 3929 4073 4217 4339 4483 4637 3 61 139 229 317 421 521 619 733 839 953 1061 1181 1291 1429 1531 1627 1759 1889 2017 2137 2273 2383 2531 2663 2753 2887 3023 3181 3313 3449 3557 3677 3821 3931 4079 4219 4349 4493 4639 5 67 149 233 331 431 523 631 739 853 967 1063 1187 1297 1433 1543 1637 1777 1901 2027 2141 2281 2389 2539 2671 2767 2897 3037 3187 3319 3457 3559 3691 3823 3943 4091 4229 4357 4507 4643 7 71 151 239 337 433 541 641 743 857 971 1069 1193 1301 1439 1549 1657 1783 1907 2029 2143 2287 2393 2543 2677 2777 2903 3041 3191 3323 3461 3571 3697 3833 3947 4093 4231 2363 4513 4649 11 73 157 241 347 439 547 643 751 859 977 1087 1201 1303 1447 1553 1663 1787 1913 2039 2153 2293 2399 2549 2683 2789 2909 3049 3203 3329 3463 3581 3701 3847 3967 4099 4241 4373 4517 4651 13 79 163 251 349 443 557 647 757 863 983 1091 1213 1307 1451 1559 1667 1789 1931 2053 2161 2297 2411 2551 2687 2791 2917 3061 3209 3331 3467 3583 3709 3851 3989 4111 4243 4391 4519 4657 17 83 167 257 353 449 563 653 761 877 991 1093 1217 1319 1453 1567 1669 1801 1933 2063 2179 2309 2417 2557 2689 2797 2927 3067 3217 3343 3469 3593 3719 3853 4001 4127 4253 4397 4523 4663 19 89 173 263 359 457 569 659 769 881 997 1097 1223 1321 1459 1571 1693 1811 1949 2069 2203 2311 2423 2579 2693 2801 2939 3079 3221 3347 3491 3607 3727 3863 4003 4129 4259 4409 4547 4673 23 97 179 269 367 461 571 661 773 883 1009 1103 1229 1327 1471 1579 1697 1823 1951 2081 2207 2333 2437 2591 2699 2803 2953 3083 3229 3359 3499 3613 3733 3877 4007 4133 4261 4421 4549 4679 29 101 181 271 373 463 577 673 787 887 1013 1109 1231 1361 1481 1583 1699 1831 1973 2083 2213 2339 2441 2593 2707 2819 2957 3089 3251 3361 3511 3617 3739 3881 4013 4139 4271 4423 4561 4691 31 103 191 277 379 467 587 677 797 907 1019 1117 1237 1367 1483 1597 1709 1847 1979 2087 2221 2341 2447 2609 2711 2833 2963 3109 3253 3371 3517 3623 3761 3889 4019 4153 4273 4441 4567 4703 37 107 193 281 383 479 593 683 809 911 1021 1123 1249 1373 1487 1601 1721 1861 1987 2089 2237 2347 2459 2617 2713 2837 2969 3119 3257 3373 3527 3631 3767 3907 4021 4157 4283 4447 4583 4721 41 109 197 283 389 487 599 691 811 919 1031 1129 1259 1381 1489 1607 1723 1867 1993 2099 2239 2351 2467 2621 2719 2843 2971 3121 3259 3389 3529 3637 3769 3911 4027 4159 4289 4451 4591 4723 43 113 199 293 397 491 601 701 821 929 1033 1151 1277 1399 1493 1609 1733 1871 1997 2111 2243 2357 2473 2633 2729 2851 2999 3137 3271 3391 3533 3643 3779 3917 4049 4177 4297 4427 4597 4729 47 127 211 307 401 499 607 709 823 937 1039 1153 1279 1409 1499 1613 1741 1873 1999 2113 2251 2371 2477 2647 2731 2857 3001 3163 3299 3407 3539 3659 3793 3919 4051 4201 4327 4463 4603 4733 53 131 223 311 409 503 613 719 827 941 1049 1163 1283 1423 1511 1619 1747 1877 2003 2129 2267 2377 2503 2657 2741 2861 3011 3167 3301 3413 3541 3671 3797 3923 4057 4211 4337 4481 4621 4751

- 27 -

[Anhang 3 Biographien der Erfinder von RSA] Ronald Linn Rivest wurde 1947 im Bundesstaat New York geboren und studierte an der Universitt von Yale. 1974 promovierte er in Stanford, einer weiteren Eliteuni versitt der Vereinigten Staaten. Heute ist Ronald Rivest immer noch als Professor fr Computerwissenschaften und Elektrotechnik am MIT (Massachusetts Institute of Technology) in Cambridge t tig und hat daneben den Titel eines Ehrendoktors an der Universitt von Rom inne. Neben RSA entwickelte er weitere Kryptoverfahren, dar unter die sog. Stromchiffren[1] wie RC4, welche die Basis der WLAN-Verschlsselung WEP bilden, und Algorithmen zur Erzeugung von Hash-Werten.[2]
[Abb. 13]: Ronald Rivest

Adi Shamir wurde am 6. Juli 1952 in Tel-Aviv geboren. Nach dem Studium in Tel-Aviv und dem Doktor 1977 am Weizmann-Institut, wechselte er zum MIT, wo er in Kon takt zu Ronald Rivest und Leonard Adleman kam. Nach der Entwicklung des nach ihnen benannten RSA-Verfah rens, kehrte er wieder in seine Heimat zurck und ist bis heute als Professor am Weizmann-Institut eingestellt. Sei ne Erfolge liegen in der Begrndung der visuellen Krypto graphie[3] und der differenziellen Kryptaanalyse[4], womit ihm ein erfolgreicher Angriff auf Rivests RC4 gelang.[5]

[Abb. 14]: Adi Shamir

Leonard Max Adleman wurde am 31. Dezember 1945 in San Francisco geboren und studierte Informatik an der Universitt von Kalifornien, die er 1968 mit dem Bachelor abschloss. 1976 promovierte er und wurde drei Jahre sp ter Professor am MIT. 1983 wurde er Prsident in der ge meinsam mit Shamir und Rivest gegrndeten Firma RSA Data Security Incorporation, die 1996 verkauft und in RSA Security Inc. umbenannt wurde. Bis heute ist RSA Security Inc. fr die Sicherheit von RSA verantwortlich und hat Preise fr die ausgestellt, denen es gelingt, das Pro dukt zweier bestimmter Primzahlen zu faktorisieren. Neben Kryptosystemen befasste Adleman sich mit Compu terviren, noch bevor es sie gab (der Erfinder der Viren, Fred Cohen, promovierte bei ihm 1986). Darber hinaus setzte er sich mit dem Rckgang von Abwehrzellen bei Aids, der Molekularbiologie, dem DNA-Computer, und ma
[1] [2] [3] [4] [5] siehe http://www.at-mix.de/stromchiffre.htm [17], [10] siehe http://www2-fs.informatik.uni-tuebingen.de/~reinhard/krypto/visual/ siehe http://www.nwn.de/hgm/krypto/glossar.htm#d [11]

[Abb. 15]: Leonard Adleman

- 28 -

thematischen Beweisen auseinander. Bis heute arbeitet er an der Universitt von Kali fornien, wo er mit seiner Frau und drei Kindern lebt.[1] 2002 erhielten Ronald Rivest, Adi Shamir und Leonard Adleman den Turingpreis fr die RSA-Verschlsselung. Fr Informatiker ist dieser Preis mit dem Nobelpreis ver gleichbar.[2]

[Abb. 16]: Rivest, Shamir und Adleman (v.l.n.r.) im Jahr 2003

[Abb. 17]: Shamir, Rivest und Adleman um 1977

[1] [2]

[4]; [5]; [16] [17]

- 29 -

[Anhang 4 Hufigkeitsanalyse] Beim Analysieren einer Sprache fllt auf, dass die Buchstaben des Alphabets ver schieden oft gebraucht werden. Die Auswertung eines ca. zwei Seiten langen Textes reicht dabei aus, um die relative Hufigkeit eines jeden Buchstaben ziemlich genau anzugeben. Natrlich entstehen dabei Durchschnittswerte. Die Hufigkeiten unter scheiden sich bei verschiedenen Texten ein wenig. Fr die deutsche Sprache ergibt sich die folgende prozentuale Hufigkeitsverteilung:[1] A 6,51 N 9,78 B 1,89 O 2,41 C 3,06 P 0,79 D 5,08 Q 0,02 E 17,4 R 7,00 F 1,66 S 7,27 G 3,01 T 6,15 H 4,76 U 4,35 I 7,55 V 0,67 J 0,27 W 1,89 K 1,21 X 0,03 L 3,44 Y 0,04 M 2,53 Z 1,13

[Abb. 18]: Hufigkeitsverteilung der Buchstaben des deutschen Alphabets in %

18 16 14 12 10 8 6 4 2 0 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
[Abb. 19]: Diagramm der Hufigkeitsverteilung, Werte in %

Mit diesem Wissen kann ein chiffrierter Text leicht entziffert werden. Dazu wird vom Chiffrat eine Hufigkeitsverteilung erstellt und mit der oben stehenden Tabelle vergli chen. Ist der hufigste Buchstabe des Geheimtextes zum Beispiel das S, so darf an
[1] [3] S. 35ff.

- 30 -

genommen werden, dass dies ein e in der unverschlsselten Nachricht war. So ver fhrt man analog mit weiteren, besonders hufigen Buchstaben. Oft knnen Buchsta ben in Wrtern erraten werden. Hier spielt das logische Denkvermgen des Krypto analytikers eine entscheidende Rolle. Auerdem ist es hilfreich Bigramme und Trigramme, Kombinationen aus zwei bzw. drei Buchstaben, ebenfalls auszuwerten. So knnen sehr hufige Wrter wie Artikel oder Suffixe bzw. Prfixe leicht dechiffriert werden (wie z.B. in, ei, un, ch, qu, ge, sch, ion, ung, der, die, das). Die Hufigkeitsanalyse arbeitet bei monoalphabetischen Verschlsselungen effektiv. Bei polyalphabetischen Kryptographieverfahren sind die Hufigkeiten der einzelnen Buchstaben auf Grund der Verwendung mehrerer Geheimalphabete in der Regel aus geglichen. Dies trifft auch auf homophone Verschlsselungen zu, wo besonders hufi ge Buchstaben wie e, n oder s durch mehrere Zeichen ersetzt werden knnen. Bei diversen Chiffren dient das Zusammenfassen mehrerer Buchstaben zu einem Block dem Schutz gegen diese Art der Kryptoanalyse. Transpositionsverschlsselun gen sind logischerweise gegen die Hufigkeitsanalyse unanfllig.

- 31 -

[Anhang 5 Funktionsweise der Enigma] Die Enigma besteht aus drei Kernelementen: der Tastatur fr die Eingabe des Klartextes, ei ner Verschlsselungseinheit und einem Lam penfeld, wo die chiffrierten Buchstaben auf leuchten. Der wichtigste Bestandteil der Maschi ne ist natrlich die Verschlsselungseinheit, die aus dem Steckbrett, drei Walzen und einem Re flektor besteht ([Abb. 20], [Abb. 21]).[1] Jede Walze besteht im Inneren aus einem wir ren Drahtgeflecht, welches den Strom von den 26 Eingngen auf der einen Seite der Walze zu den 26 Ausgngen auf der anderen Seite wei terleitet. Die einzelnen Walzen sind durch Kon takte miteinander verbunden ([Abb. 22]).

[Abb. 20]: Enigma

An der letzten Walze wird der Strom in einen Reflektor geleitet und auf einem an deren Weg durch die Walzen zurckge schickt. Schlielich kommt der Strom am Lampenfeld an. Der entsprechende Ge heimbuchstabe leuchtet auf. Nach jedem Stromdurchfluss dreht sich die letzte Wal ze um eine Position, die anderen Walzen drehen sich nach dem Tachometerprinzip.
[Abb. 21]: Walzwerk der Enigma

Da sich das Walzwerk, auch Rotor ge nannt, nach jeder Eingabe um eine Positi on dreht, wird jeder Buchstabe auf einem anderen Weg verschlsselt. Die Hufig keitsanalyse funktioniert dadurch nicht. Zum Decodieren wird eine baugleiche Enigma bentigt, die in die selbe Aus gangsposition gebracht werden muss, wie die Enigma des Senders bei seiner ersten [Abb. 22]: Eine Walze der Enigma Eingabe. Diese Ausgangsposition wurde mittels identischen Codebchern beim Sender und Empfnger geregelt (Schlsselver teilungsproblem!). Wegen des Reflektors verschlsselt die Enigma nicht nur, sondern entziffert gleichzei tig. Wenn also ein A des Klartextes auf ein R abgebildet wurde, so bewirkt die Ein gabe des R das Aufleuchten des Buchstaben A auf dem Lampenfeld unter der Vor aussetzung, dass die Enigma identisch konfiguriert und eingestellt ist.[2]
[1] [2] [3] S. 160 [3] S. 160 166

- 32 -

Wozu braucht die Enigma noch das Steckbrett? Diese Frage ist leicht zu beantworten zur Sicherheit. Die verschieden verdrahteten Walzen haben jeweils 26 Positionen und knnen zudem in einer beliebigen Reihenfolge in Reihe geschaltet werden. Es er geben sich also nur 3 !262626 = 105456 mgliche Einstellungen. Ein Kryptoanaly tiker knnte durch die Brute-Force-Methode, durch stures Ausprobieren aller Mglich keiten also, die richtige Einstellung bald finden und danach das Chiffre entziffern. Das Steckbrett ist eine Zwischeninstanz zwischen der Tastatur und der ersten Walze, ber das man jeweils zwei Buchstaben miteinander vertauschen kann, ehe der Stro mimpuls durch das Walzwerk wandert. Bei der ersten Enigma gab es sechs Steckver bindungen, es konnten demzufolge sechs Buchstaben miteinander vertauscht werden. 26 ! Es gibt 2 10 !6! Mglichkeiten fr die Steckverbindungen. Somit hat solch eine Enig ma insgesamt knapp 16 Trillionen verschiedene Schlssel 26 2 10!!6 ! 3 !26 3 = 15.896.255.521.782.636.000 . [1] Spter wurde die Anzahl der Steckverbindungen und die Anzahl der Walzen erhht und demzufolge auch der Schlsselraum vervielfacht. Es war praktisch unmglich alle Mglichkeiten durchzuprobieren. Deswegen war die Enigma die sicherste Verschlsselung schlechthin.
10 10

[1]

siehe [15]

- 33 -

GLOSSAR

Asymmetrische Verschlsselung Bei solchen Kryptographie-Verfahren werden zwei verschiedene Schlssel bentigt. Der ffentliche Schlssel dient dem Verschlsseln und ist jeder mann zugnglich, der private Schlssel dient dem Empfnger zum Dechif frieren. Solche Verfahren werden auch als Public-Key-Kryptographie be zeichnet. ( Symmetrische Verschlsselung) Brute-Force-Methode Bei diesem kryptoanalytischen Mittel wird eine Botschaft durch simples Ausprobieren aller Mglichkeiten entschlsselt. Je mehr Mglichkeiten ein Verschlsselungsverfahren besitzt, desto sicherer ist sie gegenber dieser Art der Kryptoanalyse. Digitale Signatur Eine Art elektronische Unterschrift. Dient zum Nachweis, dass eine Nach richt tatschlich vom angegebenen Sender stammte. Meist codiert er die Nachricht oder den Hash-Wert dieser mit seinem privaten Schlssel. Einweg-Funktion Eine Funktion, die nicht umkehrbar ist. Wird in Verfahren eingesetzt, um Hash-Werte aus einer Datenmenge zu erzeugen. Es ist sehr schwer aus der Kenntnis eines Hash-Wertes auf die Urprungsdaten zurckzuschlieen und diese zu rekonstruieren. Falltr-Funktion Eine Funktion, die leicht auszufhren, aber schwer umzukehren ist. Wird bei asymmetrischer Verschlsselung genutzt. Hash-Wert Mit speziellen Verfahren, wie bspw. RC4 von Ronald Rivest, werden aus ei ner bestimmten Datenmenge, Hash-Werte erzeugt. Wie jeder Mensch einen einzigartigen Fingerabdruck besitzt, besitzt auch jede elektronische Datenmenge einen einzigartigen Hash-Wert. Hufigkeitsanalyse Jeder Buchstabe wird in einer Sprache verschieden oft gebraucht. Dieser Umstand wird bei diesem kryptoanalytischen Verfahren ausgenutzt, um eine Nachricht zu entschlsseln. ber Jahrhunderte hinweg war und ist die Hufigkeitanalyse eines der Standardmittel der Kryptoanalyse.

- 34 -

Homophone Verschlsselung Eine Sonderform der monoalphabetischen Verschlsselung. Um die Hu figkeitsanalyse zu erschweren, stehen fr hufig vorkommende Buchstaben mehrere Zeichen zur Verfgung, mit denen sie ersetzt werden knnen. So kommen im Endeffekt alle Zeichen mit der gleichen relativen Hufigkeit im Geheimtext vor. Kryptoanalyse Die Wissenschaft, die sich mit dem Entschlsseln von Nachrichten ohne die Kenntnis des Schlssels beschftigt. Dazu werden die Schwachstellen ei ner kryptographischen Methode analysiert und diese dann gezielt angegrif fen, um an die Nachricht zu gelangen. Kryptographie Die Wissenschaft, die sich mit dem Verschlsseln von Nachrichten befasst. Im Laufe der Menschheitsgeschichte wurden immer neuere und strkere Verschlsselungsverfahren bentigt, da viele entweder zu kompliziert fr eine breite Verwendung waren oder geknackt wurden. Kryptologie Der Oberbegriff von Kryptographie und Kryptoanalyse. Befasst sich nur mit der Verschleierung des Inhalts einer Nachricht, nicht aber mit dessen Exis tenz. ( Steganographie) Monoalphabetische Verschlsselung Ein Chiffrierverfahren, bei dem sich der Geheimtextalphabet im Laufe des Verschlsselungsprozesses nicht ndert. ( Polyalphabetische Verschls selung) ffentlicher Schlssel Auch public key genannt. Vom Sender in der Public-Key-Kryptographie zum Chiffrieren verwendeter Schlssel, der seitens des Empfngers fr alle f fentlich zur Verfgung gestellt wird. ( Privater Schlssel) Polyalphabetische Verschlsselung Ein Chiffrierverfahren, bei dem sich das Geheimtextalphabet im Laufe der Verschlsselung in einer festgelegten Reihenfolge ndert. ( Monoalpha betische Verschlsselung) Public-Key-Kryptographie siehe Asymmetrische Verschlsselung Privater Schlssel Auch private key genannt. Wird bei der asymmetrischen Verschlsselung vom Empfnger eines Geheimtextes zu dessen Dechiffrierung verwendet. Schlssel Ein Algorithmus, mit dessen Hilfe eine Nachricht chiffriert wird. Ohne Kennt nis des richtigen Schlssels kann der Geheimtext nicht oder nur sehr schwer decodiert werden.

- 35 -

Steganographie Die Wissenschaft, die sich mit dem Verschleiern und Verstecken einer Nachricht befasst. ( Kryptologie) Substitution Ein Codierverfahren, bei der jeder Buchstabe einer Nachricht durch einen anderen Buchstaben (oder ein Zeichen) ersetzt wird. Seine Stellung inner halb der Mitteilung bleibt erhalten. ( Transposition) Symmetrische Verschlsselung Eine Chiffriermethode, bei der nur ein Schlssel zum Ver- und Entschls seln einer Nachricht vorhanden ist. Dieser muss dem Empfnger vorher bermittelt werden. Transposition Eine Verschlsselungsmethode, bei der jeder Buchstabe einer Nachricht seine Stellung innerhalb der Botschaft ndert, sonst aber gleich bleibt. ( Substitution) Trapdoor-Funktion siehe Falltr-Funktion

- 36 -

ABBILDUNGSVERZEICHNIS

[Abb. 0]: http://www.buha.info/mirror/2006-07-facharbeit-rsa.zip ..................................... 0 [Abb. 1]: Skytale, http://www.cryptool-online.org/images/stories/cto/Skytale.png ............ 3 [Abb. 2]: Arten der geheimen Nachrichtenbertragung, [3] S. 48 ................................. 4 [Abb. 3]: Prinzip einer Verschlsselung ......................................................................... 4 [Abb. 4]: Funktionsweise symmetrischer Verschlsselungsmethoden, http://commons.wikimedia.org/wiki/File:Chiave_standard.jpg, http://www.schulbilder.org/notizen-t10114.jpg ................................................... 5 [Abb. 5]: Funktionsweise asymmetrischer Chiffriermethoden, http://www.klangspiel.ch/schluessel/images/20040219_163041_schluessel.jpg, http://www.schulbilder.org/notizen-t10114.jpg ................................................... 6 [Abb. 6]: Funktionsweise hybrider Verschlsselungen, http://www.klangspiel.ch/schluessel/images/20040219_163041_schluessel.jpg, http://www.schulbilder.org/notizen-t10114.jpg, http://commons.wikimedia.org/wiki/File:Chiave_standard.jpg ............................ 7 [Abb. 7]: Funktionsweise einer Signatur, http://www.klangspiel.ch/schluessel/images/20040219_163041_schluessel.jpg, http://www.schulbilder.org/notizen-t10114.jpg ................................................... 8 [Abb. 8]: Blaise de Vigenre, http://upload.wikimedia.org/wikipedia/commons/1/1a/Vigenere.jpg ................. 10 [Abb. 9]: Vigenre-Quadrat, [3] S. 69 .......................................................................... 11 [Abb. 10]: Enigma, http://upload.wikimedia.org/wikipedia/commons/a/ae/Enigma.jpg ... 13 [Abb. 11]: Whitfield Diffie, http://i.zdnet.com/blogs/shamir.jpg ....................................... 14 [Abb. 12]: Martin Hellman, http://upload.wikimedia.org/wikipedia/commons/d/d4/Martin-Hellman.jpg ..... 14 [Abb. 13]: Ronald Rivest, http://people.csail.mit.edu/rivest/photos/mvc-127y.jpg .......... 27 [Abb. 14]: Adi Shamir, http://i.zdnet.com/blogs/shamir.jpg ............................................ 27 [Abb. 15]: Leonard Adleman, http://www.usc.edu/dept/molecular-science/pictures/fi-len-mankin-pic.jpg ..... 27 [Abb. 16]: Rivest, Shamir und Adleman (v.l.n.r.) im Jahr 2003, http://enigma.wikispaces.com/file/view/RSAnew.jpg/30625184/RSAnew.jpg . 28 [Abb. 17]: Shamir, Rivest und Adleman um 1977, http://enigma.wikispaces.com/[...]/rsa-photo.jpg/30620095/rsa-photo.jpg ...... 28 [Abb. 18]: Hufigkeitsverteilung der Buchstaben des deutschen Alphabets in % ...... 29 [Abb. 19]: Diagramm der Hufigkeitsverteilung, Werte in % ....................................... 29 [Abb. 20]: Enigma, http://upload.wikimedia.org/wikipedia/commons/a/ae/Enigma.jpg ... 31 [Abb. 21]: Walzwerk der Enigma, http://www.jproc.ca/crypto/enigma_rotors_a9949.jpg .................................... 31 [Abb. 22]: Eine Walze der Enigma, http://people.csail.mit.edu/rivest/photos/mvc-127y.jpg ................................... 31

- 37 -

QUELLENVERZEICHNIS

Literaturquellen: [1] [2] [3] Behrends E., Gritzmann P., Ziegler G. M., und Co. Kaleidoskop der Mathematik, Berlin, 2008 Mller C., Private Daten sichern in CHIP Internet Magazin, Ausgabe 05/2009 Singh S., Geheime Botschaften Die Kunst der Verschlsselung von der Antike bis in die Zeiten des Internets, Mnchen, 20045

Internetquellen: [4] http://www.usc.edu/dept/molecular-science/fm-adleman-vitae.htm, Adleman L., Vitae of Leonard M. Adleman (Download: 11.01.2010) http://de.wikipedia.org/wiki/Ronald_L._Rivest, Birkner S., Ronald L. Rivest Wikipedia (Download: 11.01.2010) [6] https://www.bsi.bund.de/cae/servlet/contentblob/605250/publicationFile/ 34852/2009-07-10_Musterkryptokonzept_pdf.pdf, BSI Sicherheitsberatung, Musterkryptokonzept (Download: 21.01.2010) http://www.cryptool.org/download/CrypToolPresentation-de.pdf, Prof. Esslinger B., Kryptologie mit Cryptool (Download: 16.11.2009) http://www.yimin-ge.com/doc/mathematik_von_rsa.pdf, Ge Y., Die Mathematik von RSA (Download: 14.10.2009) http://www.buha.info/mirror/2006-07-facharbeit-rsa.zip, Haag M., Kryptologie (Download: 06.07.2009) http://www.mathe.tu-freiberg.de/~dempe/schuelerpr_neu/rivest.htm, Henkel K., Helbig S., Kriener J., Sichere Datenbertragung 8.8 Ronald L. Rivest (Download: 11.01.2010)

[5]

[7]

[8]

[9]

[10]

- 38 -

[11]

http://www.mathe.tu-freiberg.de/~dempe/schuelerpr_neu/shamir.htm, Henkel K., Helbig S., Kriener J., Sichere Datenbertragung 8.9 Adi Shamir (Download: 11.01.2010) http://www.cacr.math.uwaterloo.ca/techreports/2006/cacr2006-16.pdf, Hinek M. J., On the Security of Multi-prime RSA (Download: 23.01.2010) http://mathematik.de/ger/information/wasistmathematik/rsa/rsa.html, Prof. Dr. Koepf W., mathematik.de | RSA Verschlsselungsverfahren (Download: 23.06.2009)
http://www.scienceblogs.de/mathlog/2010/01/232stellige-zahl-faktorisiert.php, Kuessner T., 232-stellige Zahl faktorisiert | Mathlog | ScienceBlogs.de Wissenschaft, Kultur, Politik (Download: 17.01.2010)

[12]

[13]

[14]

[15]

http://www.staff.unimainz.de/pommeren/Kryptologie/Klassisch/4a_ZylRot/ EnigmaMath.html, Pommerening K., Kryptologie: Enigma mathematisch (Download: 19.12.2009)

[16]

http://www.focus.de/wissen/wissenschaft/forschung-und-technik-ja-ron-daskoennte-funktionieren_aid_200818.html, Ricadela A., Forschung und Technik Ja, Ron, das knnte funktionieren Wissenschaft FOCUS Online (Download: 12.01.2010) http://people.csail.mit.edu/rivest/bio.html, Rivest R., Ronald L. Rivest: Biographical Information (Download: 11.01.2010) http://www.rsa.com/rsalabs/node.asp?id=2093, RSA Laboratories., RSA Laboratories The RSA Challenge Numbers (Download: 17.01.2010) http://bwir.de/downloads/Facharbeit.pdf, Wirmer B., Kryptologie: Die RSA-Verschlsselung (Download: 30.10.2009)

[17]

[18]

[19]

- 39 -

ERKLRUNG

Ich erklre hiermit, dass ich die Facharbeit ohne fremde Hilfe angefertigt und nur die im Quellenverzeichnis angefhrten Quellen und Hilfsmittel benutzt habe.

........................................, den ....................................

Ort Datum

.....................................................................
Unterschrift