Full paper (pdf) - CDC
Full paper (pdf) - CDC
Full paper (pdf) - CDC
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
mit dem öffentlichen Exponenten e potenziert. Es ergibt sich der Schlüsseltext<br />
c, den der Empfänger mit seinem geheimen Exponenten d entschlüsseln kann:<br />
c = m e<br />
(mod N) und m = c d = (m e ) d = m ed = m 1 = m (mod N).<br />
Durch die Interpretation der Nachricht m als natürliche Zahl kleiner als N ergibt<br />
sich, daß die Bitlänge der Nachricht nicht länger als die des RSA-Moduln sein<br />
kann. In der Tat verschlüsselt man längere Nachrichten dann auch mit einem<br />
symmetrischen Verfahren und verschlüsselt nur den symmetrischen Schlüssel<br />
(der je nach Verfahren zwischen 50 und 200 Bits lang ist) mit RSA. Außerdem<br />
bietet es sich aus Sicherheitsgründen an, alle Nachrichten mit einigen Zufallsbits<br />
auf eine feste Länge zu bringen (Padding), so daß unter anderem jede Nachricht<br />
zu immer neuen Schlüsseltexten führt.<br />
Neben Verschlüsselungen sind auch Signaturen möglich. Um eine Signatur<br />
für eine Nachricht m zu erzeugen, die wieder als natürliche Zahl zwischen 1<br />
und N − 1 angesehen wird, potenziert der Absender die Nachricht m mit seinem<br />
privaten Exponenten d. Es ergibt sich eine Signatur s, von der mit dem<br />
öffentlichen Schlüssel (e, N) überprüft werden kann, ob sie zu der Nachricht<br />
gehörte:<br />
s = m d<br />
(mod N) und m = s e = (m d ) e = m de = m 1 = m (mod N).<br />
Auch hier ist wieder anzumerken, daß Nachrichten üblicherweise größer sind<br />
als die RSA-Moduln, so daß anstelle der Nachricht m nur eine Prüfsumme<br />
h(m) signiert wird, die mithilfe einer kryptographischen Hashfunktion gewonnen<br />
werden kann. Dadurch wird es allerdings unmöglich, aus der Signatur<br />
die Nachricht zurückzugewinnen. Vielmehr muß die Nachricht zusammen mit<br />
der Signatur übertragen werden. Ein Padding mit Zufallszahlen ist bei RSA-<br />
Signaturen nicht angezeigt, so daß die Signatur ein deterministisches Verfahren<br />
bleibt (dies ermöglicht die in den folgenden Abschnitten beschriebenen verteilten<br />
RSA-Signaturen).<br />
3.4 Einfaches RSA-Key-Sharing<br />
Das RSA-Verfahren hat die erstaunliche Eigenschaft, daß es auf einem Problem<br />
beruht, daß sehr einfach zu erklären, aber offenbar sehr schwer zu lösen ist.<br />
Der größte Vorteil, der sich daraus ergibt, sind die sehr soliden Argumente für<br />
die Sicherheit von RSA, die wesentlich besser fundiert sind als diejenigen für<br />
weniger transparente Verfahren, wie etwa die symmetrische DES-Chiffre. Ein<br />
anderer Vorteil ist die Möglichkeit, andere Kryptosysteme auf RSA aufzubauen,<br />
zum Beispiel das in diesem Abschnitt vorgestellte RSA-Key-Sharing.<br />
Schlüsselerzeugung Um einen geheimen RSA-Schlüssel (d, p, q) auf n Teilnehmer<br />
aufzuteilen, die ihn dann nur gemeinsam verwenden können, wählt der<br />
Geber für jeden Teilnehmer i zufällige Exponenten di aus der Menge {1 . . . (p −<br />
1)(q − 1)}, deren Summe (modulo (p − 1)(q − 1)) wieder den eigentlichen Exponenten<br />
d ergibt:<br />
�<br />
di = d (mod (p − 1)(q − 1)).<br />
i<br />
21