RSA (cryptografie)

RSA is een asymmetrisch encryptiealgoritme, dat veel gebruikt wordt voor elektronische handel (beveiliging van transacties en dergelijke). Het formele algoritme werd in 1977 ontworpen door Ron Rivest, Adi Shamir en Len Adleman (vandaar de afkorting RSA).

Clifford Cocks, een Britse wiskundige, die voor het Government Communications Headquarters (GCHQ) werkte, heeft in 1973 een gelijkwaardig algoritme beschreven in een intern document, dat pas in 1997 boven water is gekomen, omdat het als topgeheim geclassificeerd was.

De veiligheid van RSA steunt op het probleem van de ontbinding in factoren (bij heel grote getallen): op dit moment is het bijna onmogelijk de twee oorspronkelijke priemgetallen $p$ en $q$ te achterhalen als alleen hun product $pq$ bekend is en $p$ en $q$ groot genoeg zijn; het zou te veel tijd in beslag nemen. Nieuwe ontwikkelingen op dit gebied zouden RSA onbruikbaar kunnen maken.

MIT heeft in 1983 in de V.S. het algoritme gepatenteerd. Het patent liep op 21 september 2000 af. Omdat het algoritme gepubliceerd werd vóór de patentaanvraag, kon het niet worden gepatenteerd in andere landen.

Werking

Sleutels

Veronderstel dat Alice ervoor wil zorgen dat Bob haar een geheim bericht kan zenden over een onveilig medium (telefoon, internet, post, ...). Alice doet het volgende om een publieke sleutel en een geheime sleutel te maken:

Ze kiest willekeurig twee grote priemgetallen $p$ en $q\neq p$ en berekent $N=pq$ .
Ze berekent het totiëntgetal (Eulerindicator) $\varphi (N)$ van $N$ . Omdat $N$ een product is van twee priemgetallen $p$ en $q$ geldt dan $\varphi (N)=\varphi (p)\varphi (q)=(p-1)(q-1)$ .
Ze kiest een geheel getal $e$ dat tussen 1 en $\varphi$ ligt: $1<e<\varphi (N)$ . Het getal $e$ moet verder ook relatief priem zijn ten opzichte van $\varphi (N)$ . Dat wil zeggen, en $e$ en $\varphi (N)$ hebben geen gemeenschappelijke deler anders dan 1: $\mathrm {ggd} (e,(p-1)(q-1))=1$ .
Ze berekent $d$ zodat $ed\equiv 1{\bmod {\varphi }}(N)$ , dus $ed=k\varphi (N)+1$ voor zekere gehele $k$ .

(Alice kan de stappen 2 en 3 uitvoeren met het uitgebreid Euclidisch algoritme; zie modulair rekenen.)

Het getallenpaar $(e,N)$ , bestaande uit de getallen $e$ en $N$ , vormt de publieke sleutel. Het getallenpaar $(d,N)$ is de geheime sleutel. Daarin is alleen $d$ dus geheim, want $N$ is bekend. Alice stuurt $N$ en $e$ naar Bob via een mogelijkerwijs onveilig medium en ze houdt $d$ geheim.

Versleutelen

Veronderstel dat Bob een bericht $m$ naar Alice wil zenden. Hij kent $N$ en $e$ (publieke sleutel), want die heeft Alice hem gezonden. Hij zet de klare tekst $m$ om in een getal $n<N$ met $\mathrm {ggd} (n,N)=1$ , gebruikmakend van een eerder afgesproken, omkeerbaar en niet-geheim protocol. Bijvoorbeeld, elk teken in een bericht kan worden omgezet in zijn ASCII-code, en de codes samengevoegd tot een enkel getal. Als het nodig is kan $m$ worden opgesplitst en elk stuk afzonderlijk vercijferd. Dan berekent hij de cijfertekst (versleutelde tekst) $c$ met behulp van de vergelijking:

c\equiv n^{e}{\bmod {N}}

Dit kan snel gedaan worden door machtsverheffing door kwadrateren. Bob verzendt dan $c$ naar Alice.

Ontsleutelen

Alice ontvangt $c=n^{e}$ van Bob, en ze kent haar geheime sleutel $d$ . Ze kan $n$ (de boodschap in numerieke vorm) te weten komen door $c$ tot de macht $d$ te verheffen en dan de volgende ontsleutelingsrelatie toe te passen:

c^{d}\equiv n{\bmod {N}}

Omdat $ed\equiv 1{\bmod {\varphi }}(N)$ , lijkt voor de ontsleuteling de relatie $c^{d}=n^{ed}\equiv n{\bmod {\varphi }}(N)$ voor de hand te liggen, maar merk op dat de ontsleutelingsrelatie niet modulo $\varphi (N)$ is, maar modulo $N$ .

Het formele bewijs van de ontsleutelingsrelatie wordt in de volgende sectie gegeven.

Als de complexiteit die het modulo rekenen met zich meebrengt even vergeten wordt, lijkt de ontsleutelingsrelatie triviaal. Immers, omdat $ed=1$ en $e$ uit de publieke sleutel bekend is, volgt eenvoudigweg voor de geheime sleutel $d=1/e$ . De corresponderende modulovergelijking voor $d$ daarentegen: $ed\equiv 1{\bmod {(}}p-1)(q-1)$ , vraagt de waarden van $p$ en $q$ afzonderlijk om $d$ uit $e$ te verkrijgen. Zoals al in de inleiding is opgemerkt, zijn $p$ en $q$ zeer moeilijk uit $N$ terug te rekenen en daarom geeft de modulovergelijking een moeilijk te kraken waarde voor $d$ .

Als laatste stap verkrijgt Alice de boodschap $m$ in tekstvorm door op de numerieke vorm $n$ van de boodschap het afgesproken, niet-geheime, protocol in omgekeerde richting toe te passen.

Bewijs ontsleutelingsrelatie

Het bewijs gebruikt Fermats kleine stelling. Die stelt dat voor $p$ priem, $n$ geheel en $\mathrm {ggd} (p,n)=1$ geldt dat:

n^{p-1}\equiv 1{\bmod {p}}

Gegeven is:

ed\equiv 1{\bmod {(}}p-1)(q-1)

Dus

ed-1=k(p-1)(q-1)

voor zekere gehele $k$ . Neemt men aan dat $\mathrm {ggd} (p,n)=1$ , dan volgt:

n^{ed}=n^{ed-1}n=n^{k(p-1)(q-1)}n=(n^{p-1})^{k(q-1)}n\equiv 1^{k(q-1)}n=n{\bmod {p}}

Als $\mathrm {ggd} (p,n)\neq 1$ en omdat $p$ priem is, geldt $n\equiv 0{\bmod {p}}$ , en in totaal

n^{ed}\equiv n{\bmod {p}}\Longrightarrow n^{ed}-n\equiv 0{\bmod {p}}

Analoog:

n^{ed}\equiv n{\bmod {q}}\Longrightarrow n^{ed}-n\equiv 0{\bmod {q}}

Dus is voor zekere gehele $s$ :

n^{ed}-n=sp

en is dit ook een veelvoud van $q$ . Omdat $p$ geen veelvoud van $q$ is moet $s$ dit wel zijn, $s=tq$ voor zekere gehele $t$ . Dus geldt

n^{ed}-n=tpq\Longrightarrow n^{ed}\equiv n{\bmod {p}}q,

,

en omdat $N=pq$ en $n^{ed}=c^{d}$ , is de ontsleutelingsrelatie bewezen.

Voorbeeld

Als voorbeeld kiest Alice de priemgetallen $p=11$ en $q=29$ . Dan is $N=pq=11\times 29=319$ . Voor de publieke sleutel neemt ze $e=3$ . Het getal 3 is relatief priem ten opzichte van $\varphi (319)=(p-1)(q-1)=10\times 28=280$ . Alice stuurt Bob haar publieke sleutel 3 en 319. Zij berekent haar geheime sleutel $d$ zo, dat

ed=3d=k\cdot 280+1

Voor $k=2$ volgt $d=187$ .

Als Bob de letter 'Y', met ASCII-code 89, naar Alice wil sturen, versleutelt hij deze, en berekent de code:

89^{3}{\bmod {3}}19=298

Bob stuurt de codetekst voor de letter 'Y', het getal 298, naar Alice. Om de tekst te decoderen met de geheime sleutel, berekent Alice:[1]

298^{187}{\bmod {3}}19=89

,

wat inderdaad weer de ASCII-code van de letter 'Y' is.

Ondertekenen

RSA kan ook worden gebruikt om een bericht te ondertekenen. Veronderstel dat Alice een ondertekend bericht wil zenden naar Bob. Ze berekent dan een hashwaarde uit het bericht, vercijfert die met haar geheime sleutel, en voegt dat als een "handtekening" bij het bericht. Deze handtekening kan alleen worden ontcijferd met haar publieke sleutel. Wanneer Bob het ondertekende bericht ontvangt, ontcijfert hij de handtekening met Alices publieke sleutel, en vergelijkt de aldus bekomen hashwaarde met de eigenlijke hashwaarde van het bericht. Als die gelijk zijn, weet hij dat de auteur van het bericht de geheime sleutel van Alice bezit (dus normaal gezien Alice is), en dat het bericht na verzending niet meer veranderd is.

Veiligheid

Veronderstel dat Charlotte, een afluisteraar, de publieke sleutel $N$ en $e$ , en de cijfertekst $c$ onderschept. Ze kan niet rechtstreeks aan de geheime sleutel $d$ komen, omdat Alice die geheimhoudt. De meest voor de hand liggende manier voor Charlotte om $n$ te vinden uit $c$ , is om $N$ in de factoren $p$ en $q$ te ontbinden, zodat ze $(p-1)(q-1)$ kan berekenen en $d$ kan vinden uit $e$ . Er is nog geen methode gevonden om getallen in polynomiale tijd in factoren te ontbinden met een gewone computer (de benodigde tijd wordt veel sneller groter dan bij lineair groter wordende getallen), maar het is niet bewezen dat er geen bestaat; zie priemfactor.

Het is ook niet bewezen dat de enige manier om $n$ uit $c$ te berekenen, is om $N$ in factoren te ontbinden, maar er is nog geen gemakkelijkere manier ontdekt (tenminste geen publiekelijk bekende). Daarom wordt algemeen verondersteld dat Charlotte het bericht niet kan terugvinden als $N$ groot genoeg is.

Als $N$ uit 256 of minder bits bestaat, kunnen de factoren in een paar uur gevonden worden met een personal computer, gebruik makende van software die vrij toegankelijk is op het internet. Als $N$ 512 bits of korter is, kan, sinds 1999, de ontbinding uitgevoerd worden door enkele honderden computers (in een aanvaardbare tijd). Het is tegenwoordig aan te raden $N$ ten minste 1024 bits lang te kiezen.

In 1994 heeft Peter Shor aangetoond dat een kwantumcomputer in principe de factorisatie in polynomiale tijd zal kunnen uitvoeren. Als (of wanneer) kwantumcomputers werkelijkheid worden, zal het algoritme van Shor RSA en andere soortgelijke algoritmes onbruikbaar maken. Als een efficiënte methode voor ontbinding in factoren met een gewone computer zou worden gevonden, of als een kwantumcomputer zou worden gemaakt, dan kunnen nog langere sleutels een tijdelijke oplossing bieden, maar zo'n veiligheidslek in RSA zou wel retroactief zijn: de publieke sleutel en de cijfertekst kunnen worden bijgehouden totdat het mogelijk wordt om het bericht te ontcijferen. Daarom is het niet veilig om lange-termijn geheimen uit te wisselen met RSA.

Praktische bedenkingen

Sleutels

Om de grote priemgetallen $p$ en $q$ te vinden, worden meestal eerst willekeurige getallen van de juiste grootte gekozen. Die getallen worden dan getest met snelle methoden, die de meeste niet-priemgetallen uitsluiten. Als dan een "waarschijnlijk priemgetal" is gevonden, kan op een zekere (maar langzamere) manier worden nagegaan of het getal inderdaad priem is.

De priemgetallen $p$ en $q$ mogen niet te dicht bij elkaar liggen, want anders zou de fermatfactorisatie voor $N$ succesvol kunnen zijn. Bovendien kan, als $p-1$ of $q-1$ alleen kleine priemfactoren hebben, $N$ snel in factoren worden ontbonden, zodat deze waarden voor $p$ en $q$ ook moeten worden gemeden.

Er mag geen methode om priemfactoren te zoeken worden gebruikt die een eventuele aanvaller enige informatie geeft over de priemgetallen. Een goede toevalsgenerator moet worden gebruikt. Coppersmith heeft in 1997 aangetoond dat als iemand de helft van de cijfers van $p$ of $q$ kan raden, hij gemakkelijk de andere helft kan berekenen.

Het is belangrijk dat de geheime sleutel $d$ groot genoeg is. Wiener heeft in 1990 aangetoond dat als $p$ tussen $q$ en $2q$ ligt (wat veel voorkomt) en $d<N^{1/4}/3$ , $d$ op een efficiënte manier kan worden berekend uit $N$ en $e$ .

Snelheid

RSA is veel trager dan DES en andere symmetrische encryptiealgoritmes. In de praktijk vercijfert Bob gewoonlijk zijn bericht met een symmetrisch algoritme en de symmetrische sleutel (kort in vergelijking met het bericht) met RSA. Het symmetrisch vercijferd bericht en de met RSA vercijferde sleutel worden dan beiden verstuurd naar Alice.

Deze methode zorgt voor bijkomende veiligheidsmoeilijkheden. De methode voor symmetrische encryptie moet veilig zijn (niet gemakkelijk te kraken zonder de sleutel) en de symmetrische sleutel moet gemaakt worden met een goede toevalsgenerator, want anders zou Charlotte om RSA heen kunnen door de symmetrische sleutel te raden.

Sleutelverdeling

Zoals bij alle encryptiemethoden, is het belangrijk hoe de publieke sleutels verspreid worden. We moeten ons bewust zijn van de mogelijkheid van een man-in-the-middle-aanval. Veronderstel dat Charlotte de communicatie tussen Alice en Bob kan onderscheppen. Ze ontvangt dan een publieke sleutel van Alice, maakt zelf een nieuwe publieke en geheime sleutel en stuurt haar eigen publieke sleutel naar Bob, die denkt dat hij de publieke sleutel van Alice ontvangt. Dan kan ze verdere berichten van Bob (vercijferd met haar publieke sleutel) ontvangen, ontcijferen met haar geheime sleutel, en (eventueel veranderd) weer geëncrypteerd met de eerder ontvangen publieke sleutel naar Alice sturen (Alice denkt dat het bericht rechtstreeks van Bob komt). In principe kunnen Alice en Bob niet merken dat Charlotte ertussen zit. Verdedigingen tegen zo'n aanval zijn meestal gebaseerd op digitale certificaten of andere onderdelen van een Public Key Infrastructure. Uiteraard is de beste oplossing dat Alice en Bob de sleutels (of een checksum) vergelijken tijdens een "echte" ontmoeting (als dat mogelijk is).

Tijdsgebaseerde aanvallen

Kocher beschreef een ingenieuze nieuwe aanval op RSA in 1995: als Charlotte de hardware van Alice kent en de tijd nodig voor het ontcijferen van verschillende bekende cijferteksten kan meten, kan ze de geheime sleutel $d$ snel vinden[2]. Om deze aanval af te slaan, moeten de wiskundige operaties in een constante tijd gebeuren.

Vergelijkbare aanvallen zijn mogelijk door precies het stroomverbruik van implementaties te meten, deze aanvallen staan bekend als Power Analysis aanvallen.

Aangepast gekozen cijfertekst aanvallen

In 1996 beschreef Daniel Bleichenbacher de eerste praktische aangepast gekozen cijfertekst aanval tegen met RSA vercijferde berichten met de PKCS #1 v1 redundantiefunctie (een redundantiefunctie voegt structuur toe aan een RSA-bericht, zodat het mogelijk is om te weten of een gedecrypteerd bericht goed is). Omwille van zwakke plekken in het PKCS #1 schema kon Bleichenbacher een aanval tegen de RSA-implementatie van het SSL protocol opzetten, en mogelijk de sessie-sleutels te weten komen. Daarom raden cryptografen nu aan om bewijsbaar veilige redundantietesten zoals OAEP te gebruiken, en RSA Laboratories heeft nieuwe versies van PKCS #1 vrijgegeven, die niet gevoelig zijn voor deze aanvallen.

Voetnoten

Gebruik modpow(298,187,319) op de site: "bigint - large integer package"
Paul C. Kocher, Advances in Cryptology — CRYPTO ’96. Springer Berlin Heidelberg, Berlin, Heidelberg (1996), “Timing Attacks on Implementations of Diffie-Hellman, RSA, DSS, and Other Systems”, 104–113. ISBN 9783540615125.

Zie ook

Externe links

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.

[1] Gebruik modpow(298,187,319) op de site: "bigint - large integer package"

[2] Paul C. Kocher, Advances in Cryptology — CRYPTO ’96. Springer Berlin Heidelberg, Berlin, Heidelberg (1996), “Timing Attacks on Implementations of Diffie-Hellman, RSA, DSS, and Other Systems”, 104–113. ISBN 9783540615125.