Rabin-Verschlüsselungsverfahren

Das Rabin-Kryptosystem ist innerhalb der Kryptologie ein asymmetrisches Kryptosystem, das auf dem Faktorisierungsproblem beruht und mit RSA verwandt ist. Es lässt sich prinzipiell auch zur Signatur verwenden. In der Praxis findet das Verfahren allerdings wegen bestimmter Angriffsmöglichkeiten kaum Anwendung.

Geschichte

Das Verfahren wurde im Januar 1979 von Michael O. Rabin veröffentlicht. Das Rabin-Kryptosystem war das erste asymmetrische Kryptosystem, dessen Sicherheit – das Faktorisierungsproblem als nicht effizient lösbar vorausgesetzt – auf mathematischem Weg bewiesen werden konnte.

Schlüsselerzeugung

Wie alle asymmetrischen Kryptosysteme verwendet auch das Rabin-Kryptosystem einen öffentlichen und einen geheimen Schlüssel. Der öffentliche dient später der Verschlüsselung und kann veröffentlicht werden, während der geheime nur den Empfängern der Nachricht bekannt sein darf.

Es folgt nun eine genaue mathematische Beschreibung der Schlüsselerzeugung:

Seien $p$ und $q$ zwei möglichst große Primzahlen, häufig kurz als $p, q \in \mathbb{P}$ geschrieben, für die eine bestimmte Kongruenzbedingung gelten muss (s. unten). Der öffentliche Schlüssel $n$ wird durch Multiplikation der beiden Zahlen erzeugt, also $n = p \cdot q$ . Der geheime Schlüssel ist das Paar $(p, q)$ . Anders ausgedrückt: Wer nur $n$ kennt, kann ver- aber nicht entschlüsseln, wer dagegen $p$ und $q$ kennt, kann damit auch entschlüsseln. Zum Erzeugen des öffentlichen Schlüssels müssen die Zahlen $p$ und $q$ bekannt sein: Der öffentliche Schlüssel lässt sich nur genau aus den beiden Primzahlen erzeugen.

Wären $p$ und $q$ keine Primzahlen, so ließe sich das Verfahren nicht anwenden.

Seien beispielhaft $p = 7$ , $q = 11$ (in der praktischen Anwendung handelt es sich um sehr viel größere Zahlen, um die Entschlüsselung durch Dritte so schwierig wie möglich zu machen). Daraus ergibt sich der öffentliche Schlüssel $n = p \cdot q = 77$ .

Kongruenzbedingung

Im Rabin-Kryptosystem werden die Primzahlen p und q normalerweise so gewählt, dass die Kongruenzbedingung $p\equiv q\equiv 3\pmod{4}$ gilt.

Diese Bedingung vereinfacht und verschnellert die Entschlüsselung. Allgemein gilt nämlich: Sei r eine Primzahl mit $r \equiv 3 \pmod{4}$ und $a \in \mathbb{Z}$ mit $a \equiv b^2 \pmod{ r}$ dann findet man eine Quadratwurzel s von a mit

$s\equiv a^{\frac{(r+1)}{4}}\pmod{r}$ .

Es gilt also $s^2\equiv a\pmod{r}$ .

Da r eine Primzahl ist gilt zudem entweder $s\equiv b\pmod{r}$ oder $s\equiv -b\pmod{r}$ .

Wegen $7 \equiv 11 \equiv 3 \pmod{4}$ ist die Kongruenzbedingung im Beispiel bereits erfüllt.

Verschlüsselung

Mit dem Rabin-Verfahren lassen sich beliebige Klartexte $m$ aus der Menge $\{0, \ldots, n-1 \}$ verschlüsseln. Alice, die einen solchen Klartext verschlüsseln will, muss dazu nur den öffentlichen Schlüssel $n$ des Empfängers Bob kennen. Sie berechnet dann den Geheimtext $c$ nach der Formel

$c = m^2 \, \bmod \, n$

Im praktischen Einsatz bietet sich die Verwendung von Blockchiffre an.

In unserem Beispiel sei $P = {0,...,76}$ der Klartextraum, $m = 20$ der Klartext. Der Geheimtext ist hierbei nun $c = m^2 \, \bmod \, n = 15$ .

Dabei muss man beachten, dass für genau vier verschiedene $m$ das $c$ den Wert 15 aufweist, nämlich für $m \in \{ 13, 20, 57, 64 \}$ . Jeder quadratische Rest $c$ hat genau vier verschiedene Quadratwurzeln modulo $n = p q$ .

Entschlüsselung

Bei der Entschlüsselung wird aus dem Geheimtext unter Verwendung des geheimen Schlüssels wieder der Klartext berechnet.

Das genaue mathematische Vorgehen wird nun beschrieben:

Seien allgemein $c$ und $r$ bekannt, gesucht wird $m \in \{ 0, ..., n-1 \}$ mit $m^2 \equiv c \, \bmod \, r$ . Für zusammengesetzte $r$ (beispielsweise unsere $n$ ) existiert kein effizientes Verfahren zur Bestimmung von $m$ . Ansonsten, wenn also $r \in \mathbb{P}$ (in unserem Fall $p$ und $q$ ), dann lässt sich jedoch der chinesische Restsatz ausnutzen.

In unserem Fall sind nun die Quadratwurzeln

$m_p = \sqrt{c} \, \bmod \, p$

und

$m_q = \sqrt{c} \, \bmod \, q$

gesucht.

Wegen obiger Kongruenzbedingung gilt:

$m_p = c^{\frac{(p+1)}{4}} \, \bmod \, p$

und

$m_q = c^{\frac{(q+1)}{4}} \, \bmod \, q$ .

In unserem Beispiel ergeben sich $m p = 1$ und $m q = 9$ .

Mit dem erweiterten euklidischen Algorithmus werden nun $y p$ und $y q$ , mit $y_p \cdot p + y_q \cdot q = 1$ , bestimmt. In unserem Beispiel erhalten wir $y p = - 3$ und $y q = 2$ .

Nun werden unter Ausnutzung des chinesischen Restsatzes die vier Quadratwurzeln $+ r$ , $- r$ , $+ s$ und $- s$ von $c + n \mathbb{Z} \in \mathbb{Z} / n \mathbb{Z}$ berechnet ( $\mathbb{Z} / n \mathbb{Z}$ steht hierbei wie üblich für die Menge der Restklassen modulo $n$ ; die vier Quadratwurzeln liegen in der Menge ${0,..., n - 1}$ ):

$\begin{align} r &amp;amp;= ( y_p \cdot p \cdot m_q + y_q \cdot q \cdot m_p) \, \bmod \, n \\ -r &amp;amp;= n-r \\ s &amp;amp;= ( y_p \cdot p \cdot m_q - y_q \cdot q \cdot m_p) \, \bmod \, n \\ -s &amp;amp;= n-s \end{align}$

Eine dieser Quadratwurzeln $\mod \, n$ ist wieder der anfängliche Klartext $m$ . Im Beispiel gilt $m \in \{ 64, \mathbf{20}, 13, 57 \}$ .

Bewertung

Effektivität

Die Entschlüsselung liefert zusätzlich zum Klartext drei weitere Ergebnisse, das richtige Ergebnis muss daher erraten werden. Dies ist der große Nachteil des Rabin-Kryptosystems.

Man kann aber Klartexte mit spezieller Struktur wählen. Hierdurch geht jedoch die Äquivalenz zum Faktorisierungsproblem verloren, wie sich zeigen lässt. Das System wird dadurch also geschwächt.

Effizienz

Bei der Verschlüsselung muss eine Quadrierung $\mod \, n$ durchgeführt werden. Das ist effizienter als RSA mit dem Exponenten 3.

Die Entschlüsselung erfordert die Anwendung des chinesischen Restsatzes und je eine modulare Exponentiation $\mod \, p$ und $\mod \, q$ . Die Effizienz der Entschlüsselung ist mit RSA vergleichbar.

Sicherheit

Der große Vorteil des Rabin-Kryptosystems ist, dass man es nur dann brechen kann, wenn man das beschriebene Faktorisierungsproblem effizient lösen kann.

Anders als etwa bei RSA lässt sich zeigen, dass das Rabin-Kryptosystem genauso schwer zu brechen ist wie das Faktorisierungsproblem, auf dem es beruht. Es ist somit sicherer. Wer also das Rabin-Verfahren brechen kann, der kann auch das Faktorisierungsproblem lösen und umgekehrt. Es gilt daher als sicheres Verfahren, solange das Faktorisierungsproblem ungelöst ist. Vorausgesetzt ist dabei wie bereits beschrieben aber, dass die Klartexte keine bestimmte Struktur aufweisen.

Da man auch außerhalb der Kryptologie bemüht ist Faktorisierungsprobleme zu lösen, würde sich eine Lösung rasch in der Fachwelt verbreiten. Doch das ist bislang nicht geschehen. Man kann also davon ausgehen, dass das zugrundeliegende Faktorisierungsproblem derzeit unlösbar ist. Ein Angreifer, der nur belauscht, wird daher derzeit nicht in der Lage sein, das System zu brechen.

Ein aktiver Angreifer aber kann das System mit einem Angriff mit frei wählbarem Geheimtext (englisch chosen-ciphertext attack) brechen, wie sich mathematisch zeigen lässt. Aus diesem Grund findet das Rabin-Kryptosystem in der Praxis kaum Anwendung.

Durch Hinzufügen von Redundanz, z. B. Wiederholen der letzten 64 Bit, wird die Wurzel eindeutig. Dadurch ist der Angriff vereitelt (weil der Entschlüssler nur noch die Wurzel zurück liefert, die der Angreifer schon kennt). Dadurch ist die Äquivalenz der Sicherheit zum Rabin-Kryptosystem nicht mehr beweisbar. Allerdings, laut dem Handbook of Applied Cryptography von Menezes, Oorschot und Vanstone, hält die Äquivalenz unter der Annahme, dass das Wurzelziehen ein zweigeteilter Prozess ist (1. Wurzel $\mod\ p$ und Wurzel $\mod\ q$ ziehen und 2. Chinesischen Restsatzalgorithmus anwenden).

Da bei der Kodierung nur die quadratischen Reste verwendet werden (im Beispiel $n = 77$ sind das nur 23 der 76 möglichen Zustände) ist das Verfahren zusätzlich angreifbar.

Literatur

Johannes Buchmann: Einführung in die Kryptographie, 2., erweiterte Auflage. Springer, Berlin u. a. 2001 ISBN 3-540-41283-2 (S. 125 ff.)
Michael O. Rabin: Digitalized Signatures and Public-Key Functions as Intractable as Factorization. MIT-LCS-TR 212, MIT Laboratory for Computer Science, Januar 1979 (englischer Originalaufsatz)

Wikimedia Foundation.

Игры ⚽ Поможем написать реферат

Schlagen Sie auch in anderen Wörterbüchern nach:

Rabin-Kryptosystem — Das Rabin Kryptosystem ist innerhalb der Kryptologie ein asymmetrisches Kryptosystem, dessen Sicherheit beweisbar auf dem Faktorisierungsproblem beruht und das mit RSA verwandt ist. Es lässt sich prinzipiell auch zur Signatur verwenden. In der… … Deutsch Wikipedia
RSA-Verschlüsselungsverfahren — RSA ist ein asymmetrisches Kryptosystem, das sowohl zur Verschlüsselung als auch zur digitalen Signatur verwendet werden kann. Es verwendet ein Schlüsselpaar bestehend aus einem privaten Schlüssel, der zum Entschlüsseln oder Signieren von Daten… … Deutsch Wikipedia
Asymmetrisches Verschlüsselungsverfahren — Ein asymmetrisches Kryptosystem ist ein Kryptosystem, bei dem jeder der kommunizierenden Parteien ein Schlüsselpaar besitzt, das aus einem geheimen Teil (privater Schlüssel) und einem nicht geheimen Teil (öffentlicher Schlüssel) besteht. Der… … Deutsch Wikipedia
Michael O. Rabin — 2009 Michael Oser Rabin (hebräisch ‏מיכאל עוזר רבין‎; * 1. September 1931 in Breslau, damals Deutsches Reich, heute Polen) ist ein israelischer Informatiker. Er hat sich besonders im Bereich der Kryptologie … Deutsch Wikipedia
Elgamal-Verschlüsselungsverfahren — Das Elgamal Kryptosystem (auch al Dschamal Kryptosystem) ist ein Schema zur Verschlüsselung, das auf dem mathematischen Problem des diskreten Logarithmus beruht. Elgamal ist ein asymmetrischer Verschlüsselungsalgorithmus aufbauend auf der Idee… … Deutsch Wikipedia
ElGamal-Verschlüsselungsverfahren — Das Elgamal Kryptosystem (auch al Dschamal Kryptosystem) ist ein Schema zur Verschlüsselung, das auf dem mathematischen Problem des diskreten Logarithmus beruht. Elgamal ist ein asymmetrischer Verschlüsselungsalgorithmus aufbauend auf der Idee… … Deutsch Wikipedia
RSA-Algorithmus — RSA ist ein asymmetrisches Kryptosystem, das sowohl zur Verschlüsselung als auch zur digitalen Signatur verwendet werden kann. Es verwendet ein Schlüsselpaar bestehend aus einem privaten Schlüssel, der zum Entschlüsseln oder Signieren von Daten… … Deutsch Wikipedia
RSA-Kryptologiesystem — RSA ist ein asymmetrisches Kryptosystem, das sowohl zur Verschlüsselung als auch zur digitalen Signatur verwendet werden kann. Es verwendet ein Schlüsselpaar bestehend aus einem privaten Schlüssel, der zum Entschlüsseln oder Signieren von Daten… … Deutsch Wikipedia
RSA-Schema — RSA ist ein asymmetrisches Kryptosystem, das sowohl zur Verschlüsselung als auch zur digitalen Signatur verwendet werden kann. Es verwendet ein Schlüsselpaar bestehend aus einem privaten Schlüssel, der zum Entschlüsseln oder Signieren von Daten… … Deutsch Wikipedia
RSA-Verfahren — RSA ist ein asymmetrisches Kryptosystem, das sowohl zur Verschlüsselung als auch zur digitalen Signatur verwendet werden kann. Es verwendet ein Schlüsselpaar bestehend aus einem privaten Schlüssel, der zum Entschlüsseln oder Signieren von Daten… … Deutsch Wikipedia