RSA
RSA (iniciály autorů Rivest, Shamir, Adleman) je šifra s veřejným klíčem, jedná se o první algoritmus, který je vhodný jak pro podepisování, tak šifrování. Používá se i dnes, přičemž při dostatečné délce klíče je považován za bezpečný.
Princip
Bezpečnost RSA je postavena na předpokladu, že rozložit velké číslo
na součin prvočísel (faktorizace) je velmi obtížná úloha. Z čísla n = pq je tedy
v rozumném čase prakticky nemožné zjistit činitele p a q, neboť není znám žádný
algoritmus faktorizace, který by pracoval v polynomiálním čase vůči velikosti
binárního zápisu čísla n. Naproti tomu násobení dvou velkých čísel je
elementární úloha.
Popis
činnosti algoritmu
Alice a Bob chtějí komunikovat prostřednictvím otevřeného
(nezabezpečeného) kanálu a Bob by chtěl Alici poslat soukromou zprávu.
Tvorba klíčového páru
Nejprve si bude Alice muset vyrobit pár veřejného a
soukromého klíče:
Zvolí
dvě různá velká náhodná prvočísla p a q.
Spočítá jejich součin n = pq.
Spočítá hodnotu Eulerovy funkce φ(n) = (p − 1)(q − 1).
Zvolí celé číslo e
menší než φ(n), které je s φ(n) nesoudělné.
Nalezne číslo d tak, aby platilo
de ≡ 1 (mod φ(n)), kde symbol ≡ značí kongruenci zbytkových tříd.
Jestli e je
prvočíslo tak d = (1+r*φ(n))/e, kde r = [(e-1)φ(n)^(e-2)]
Veřejným klíčem je
dvojice (n, e), přičemž n se označuje jako modul, e jako šifrovací či veřejný
exponent. Soukromým klíčem je dvojice (n, d), kde d se označuje jako dešifrovací
či soukromý exponent. V praxi se klíče uchovávají v mírně upravené formě, která
umožňuje rychlejší zpracování. Veřejný klíč poté Alice uveřejní, respektive
zcela otevřeně pošle Bobovi. Soukromý klíč naopak uchová v tajnosti.
V bodě 5. používáme rozšířený Eukleidův algoritmus na e a φ(n), čímž nalezneme d a c do rovnice de+cφ(n)=1.
Zašifrování zprávy
Bob nyní chce Alici zaslat zprávu M. Tuto zprávu převede
nějakým dohodnutým postupem na číslo m (m < n). Šifrovým textem odpovídajícím
této zprávě pak je číslo
c = me mod n
Tento šifrový text poté zašle nezabezpečeným kanálem Alici.
Dešifrování zprávy
Alice od Boba získá šifrovaný text c. Původní zprávu m
získá následujícím výpočtem:
m = cd mod n.
Fakt, že tímto výpočtem získáme původní zprávu, je důsledek
následující rovnosti:
cd
≡ (me)d ≡ med (mod n).
A jelikož ed ≡ 1 (mod p − 1) a ed ≡ 1 (mod q − 1),
díky malé Fermatově větě platí, že
med ≡ m1+c(p-1) ≡ m1(mp-1)c ≡ m.1c ≡ m (mod p)
a zároveň
med ≡ m (mod q)
Jelikož p a q jsou různá prvočísla, pomocí čínské věty o
zbytcích je dáno
med ≡ m
(mod pq).
Tudíž
cd ≡
m (mod n).
Na vysvětlení dodejme, že hodnoty m (mod p) ani m (mod q) se při
dešifrování nepočítají, slouží pouze pro důkaz správnosti dešifrování spolu s
čínskou větou o zbytcích. Kongruence platí i pro m>p a m>q.
Příklad
V tomto příkladu jsou pro jednoduchost použita extrémně malá čísla, v
praxi se používají o mnoho řádů větší.
p = 61; q = 53 (dvě náhodná prvočísla, soukromá)
n = pq = 3233 (modul,
veřejný)
e = 17 (veřejný, šifrovací exponent – číslo menší a nesoudělné s
φ(n)=60×52=3120)
d = 2753 (soukromý, dešifrovací exponent – tak aby de ≡ 1
(mod φ(n)))
Pro zašifrování zprávy 123 probíhá výpočet:
šifruj(123) = 12317 mod 3233 = 855
Pro dešifrování pak:
dešifruj(855) = 8552753 mod 3233 = 123
Útoky proti RSA
Pokud je pro
šifrování použita nízká hodnota exponentu e (např.: e=3) a nízké hodnoty m
výsledek me je nižší než n. V tomto případě může být odšifrovaný text získán
jako e-tá odmocnina zašifrovaného textu.
Pokud je stejná nezašifrovaná zpráva
po zašifrování poslána e nebo více příjemcům a příjemci mají stejné e, ale jiné
p, q, a tím pádem i n, potom je možné původní zprávu snadno dešifrovat pomocí
Čínské věty o zbytcích. Johan Håstad zjistil, že tento útok je možný i v
případě, že zprávy nejsou stejné, ale útočník zná lineární vztah mezi nimi.
Tento útok byl dále vylepšen Donem Coppersmithem.
Protože šifra RSA je
deterministický šifrovací algoritmus (tj. nemá žádnou náhodnou část) útočník
může zašifrovat pravděpodobné texty pomocí veřejného klíče a porovnávat je se
zašifrovaným textem. Šifra je nazývána sémanticky bezpečnou, pokud útočník není
schopen rozlišit od sebe dva zašifrované texty i když zná (nebo zkouší) původní
text. Šifra RSA bez náhodného doplnění není sémanticky bezpečná.
Vlastností
RSA je, že násobek dvou zašifrovaných textů je roven zašifrování násobku dvou
jejich původních textů. Tedy m1em2e ≡ (m1m2)e (mod n). Kvůli této vlastnosti je
možný útok pomocí luštění se znalostí vybraných původních textů. T.j. útočník,
který chce zjistit obsah zašifrovaného textu c ≡ me (mod n) může požádat
držitele soukromého klíče aby odšifroval nevině vypadající zašifrovaný text c′ ≡
cre (mod n) pro nějakou hodnotu r vybranou útočníkem. Kvůli této vlastnosti c′
je zašifrování mr (mod n). Tedy pokud je útočník při tomto útoku úspěšný, dozví
se mr (mod n) z čehož může odvodit zprávu m násobením mr modulární inverzí r
modulo n.
Náhodná čísla nejsou náhodná. Ovlivněním generátoru pseudonáhodných
čísel lze dosáhnout prolomení.
Schéma doplnění
Aby se předešlo problémům,
tak se v praktické implementaci RSA používají nějaké strukturované náhodné
posunutí hodnoty m než je zašifrována. Toto posunutí zaručuje, že m nebude
spadat do rozsahu nebezpečných původních textů, a že se daná zpráva po posunutí
zašifruje do různých možných zašifrovaných textů.
Standardy jako PKCS#1 byly pečlivě navrženy, aby bezpečně posunuly zprávu před RSA zašifrováním. Protože tato schémata posunují nezašifrovaný text m nějakým množstvím přidaných bitů, velikost neposunuté zprávy M musí být o tolik menší. Schémata pro RSA posunutí musí být pečlivě navržena, aby zabránila sofistikovaným útokům, které by mohly být založené na předvídatelné struktuře zprávy. Rané verze standardu PKCS#1 (do verze 1.5) užívaly konstrukci, která vypadala jako sémanticky bezpečná, ale na Eurokriptu 2000 Coron et al. ukázal, že pro některé typy zpráv toto doplnění neposkytuje dostatečnou úroveň zabezpečení. Navíc na Crypto 1998 Bleichenbacher ukázal, že tato verze je náchylná k praktickému adaptivnímu útoku se znalostí vybraných otevřených textů. Pozdější verze používají Optimal Asymmetric Encryption Padding (OAEP), aby předešly tomuto typu útoku. Z toho důvodu by OAEP mělo být použito ve všech nových aplikacích a PKCS#1 v1.5 doplňování by mělo být nahrazeno kdekoli je to možné. PKCS#1 standard také obsahuje schémata navržená tak, aby poskytovala dodatečnou bezpečnost pro RSA podpisy.
Vygenerování chybného klíče
Hledání velkých prvočísel p a q se provádí
testováním náhodných čísel správné velikosti pomocí Testů prvočíselnosti (např.
Millerův-Rabinův), které rychle eliminují prakticky všechna neprvočísla.
Čísla p a q by neměla být "příliš blízko", jinak je Fermatova faktorizace pro n úspěšná, pokud p−q, například je méně než 2n1/4 (což i pro malé 1024bitové hodnoty n je 3×1077) řešení pro p a q je triviální. Navíc, pokud p−1 nebo q−1 jsou násobky pouze malých prvočísel, n může být rychle rozloženo Pollardovým p-1 algoritmem, a tyto hodnoty p nebo q by tedy neměly být použity. Nejsou známy žádné útoky proti malé hodnotě veřejného exponentu jako např. e=3, pokud je použito správné doplnění. Ale pokud doplnění použito není nebo je špatně implementováno, malý veřejný exponent způsobuje větší riziko. Běžně používaná hodnota e je 65537, což je považováno za kompromis mezi ochranou proti potenciálnímu útoku proti malému exponentu a efektivitou šifrování (nebo podpisu).
Digitální
podpis
Algoritmus RSA lze snadno využít pro digitální podpis. Základním
principem takového využití je „opačné“ použití šifry – pokud Alice chce poslat
Bobovi podepsanou zprávu, připojí k ní číslo získané jakoby „dešifrováním“ haše
své zprávy pomocí svého soukromého klíče. Bob poté jakoby zpětně „zašifruje“
tento podpis pomocí Alicina veřejného klíče a porovná výsledek s hašem zprávy.
Pokud zpráva nebyla změněna, vyjde stejná hodnota, neboť algoritmus je z
hlediska šifrování i dešifrování symetrický (lze zaměnit e a d). Jelikož jediný,
kdo zná tajný klíč Alice, je Alice, je tím zaručeno, že ho zašifrovala Alice.