Albrecht Beutelspacher Jörg Schwenk Klaus-Dieter Wolfenstetter Moderne Verfahren der Kryptographie Von RSA zu Zero-Knowledge 8. Aufl age ModerneVerfahren derKryptographie Albrecht Beutelspacher (cid:2) Jörg Schwenk (cid:2) Klaus-Dieter Wolfenstetter Moderne Verfahren der Kryptographie Von RSA zu Zero-Knowledge 8.,überarbeiteteAuflage AlbrechtBeutelspacher JörgSchwenk MathematischesInstitut LehrstuhlfürNetz-undDatensicherheit UniversitätGießen Ruhr-UniversitätBochum Gießen,Deutschland Bochum,Deutschland Klaus-DieterWolfenstetter DeutscheTelekomAGLaboratories Berlin,Deutschland ISBN978-3-8348-1927-7 ISBN978-3-8348-2322-9(eBook) DOI10.1007/978-3-8348-2322-9 DieDeutscheNationalbibliothekverzeichnetdiesePublikationinderDeutschenNationalbibliografie;detailliertebibliografi- scheDatensindimInternetüberhttp://dnb.d-nb.deabrufbar. SpringerSpektrum ©SpringerFachmedienWiesbaden1995,1998,1999,2001,2004,2006,2010,2015 DasWerkeinschließlichallerseinerTeileisturheberrechtlichgeschützt.JedeVerwertung,dienichtausdrücklichvomUrhe- berrechtsgesetzzugelassenist,bedarfdervorherigenZustimmungdesVerlags.DasgiltinsbesonderefürVervielfältigungen, Bearbeitungen,Übersetzungen,MikroverfilmungenunddieEinspeicherungundVerarbeitunginelektronischenSystemen. DieWiedergabevonGebrauchsnamen,Handelsnamen,Warenbezeichnungenusw.indiesemWerkberechtigtauchohnebeson- dereKennzeichnungnichtzuderAnnahme,dasssolcheNamenimSinnederWarenzeichen-undMarkenschutz-Gesetzgebung alsfreizubetrachtenwärenunddahervonjedermannbenutztwerdendürften. DerVerlag,dieAutorenunddieHerausgebergehendavonaus,dassdieAngabenundInformationenindiesemWerkzumZeit- punktderVeröffentlichungvollständigundkorrektsind.WederderVerlagnochdieAutorenoderdieHerausgeberübernehmen, ausdrücklichoderimplizit,GewährfürdenInhaltdesWerkes,etwaigeFehleroderÄußerungen. GedrucktaufsäurefreiemundchlorfreigebleichtemPapier. SpringerFachmedienWiesbadenGmbHistTeilderFachverlagsgruppeSpringerScience+BusinessMedia (www.springer.com) Vorwort zur 8. Auflage Uns haben zwei Entwicklungen dazu bewogen, eine weitere Auflage des Bu- chesherauszubringen. Zum einen haben Popularitätund Bedeutung der Kryptographie seit den Mitte2013bekanntgewordenenEnthüllungenübergrenzenlosesAusspähen spürbarzugenommen. Dabeigenügtesnatürlichnicht, vielfältigekryptogra- fischbasierteSicherheitslösungenzurVerfügungzuhaben,diesemüssenauch inkonkretenAnwendungenimplementiertundschließlichauchgenutztwer- den. ZumanderenwirddasBuchderdurchweg positivenResonanzzufolgezu- nehmendalsLehrbuchderKryptographieherangezogen,nichtnurinHoch- schulen,sondernauchinentsprechendenVertiefungsfächernvonGymnasien. Dementsprechend haben wir den Stoff an einigen Stellen auf den neuesten Stand gebracht (Quantenkryptographie) und wichtige neue Themengebiete mitaufgenommen. KryptographiebasierendaufelliptischenKurvenistlängstschoninderPra- xis angekommen, sie wird in der Diffie-Hellman-Schlüsselvereinbarung und indigitalenSignaturverfahreneingesetzt.InAbschn.8.1werdensiekurzvor- gestellt. Aus der Theorieder elliptischenKurven heraus wurde in denletzten Jahren das Gebiet der Pairings basierten Kryptosysteme erschlossen: Pairings oderBilineareAbbildungenermöglichenes,vieleProblemederKryptographie aufüberraschend einfache Weisezu lösen,angefangenbei kurzen Signaturen überidentitätsbasierteKryptographiebishinzukomplexenBeweissystemen. Gießen,Bochum,Berlin,Juli2015 AlbrechtBeutelspacher JörgSchwenk Klaus-DieterWolfenstetter Vorwort zur 1. Auflage EsgibtzweiWeltenderKryptographie. Der einen Welt scheint, von außen betrachtet, ein Hauch von Abenteuer undRomantikanzuhaften.MandenktanSherlockHolmesundJamesBond, sieht Massen von Menschen mit Codebüchern operieren und lange Buch- stabenkolonnen statistisch untersuchen; es ist die Welt der ENIGMA und anderer Chiffriermaschinen, bei deren Anblick das Herz jedes Antiquitäten- sammlershöherschlägt.DiesistdieWeltder„klassischen“Kryptographie. Demgegenüber ist die andere Welt, die der modernen Kryptographie, be- stimmtdurchStichwortewiee-Commerce,Public-Key-Infrastruktur,digitale Signatur oder Chipkarte.Die Menschen, die man hier trifft, sind Medienex- perten,Banker,Mathematiker undInformatiker. DiesesBuchhandeltvondermodernenKryptographie. Die Unterscheidung in zwei Welten ist nicht nur äußerlich, sondern auch entscheidend durchdieinnereEntwicklung derKryptologiegeprägt.Fürdie moderneKryptographiesinddieJahreszahlen1976und1985wichtig. Im Jahre 1976 veröffentlichten Whitfield Diffie und Martin Hellman das Prinzip der Public-Key-Kryptographie. Mit ihrer bahnbrechenden Ar- beit (und dem zwei Jahre später veröffentlichten RSA-Algorithmus) wurde einjahrtausendealtes „unlösbares“Problemdenkbar elegant gelöst:Während in der Welt der alten Kryptologie je zwei Teilnehmer, die geheim mitein- ander kommunizieren wollten, schon vorher ein gemeinsames Geheimnis haben mussten (ihren „geheimen Schlüssel“), ist dies in der Public-Key- KryptographienichtmehrderFall:Jeder,auchjemand,dermitmirnochnie Kontakt hatte, kann mir eine verschlüsselte Nachricht schicken, die nur ich entschlüsselnkann. Das zweite wichtige Datum ist die Entdeckung der Zero-Knowledge- Protokolle durch Shafi Goldwasser, Silvio Micali und Charles Rackoff im Jahre 1985 (und die sich daran anschließende Veröffentlichung des Fiat- Shamir-Algorithmus). Diese Protokolle lösen ein noch paradoxer erschei- nendes Problem: Ich kann jedermann von der Existenz eines Geheimnisses überzeugen, ohne ihm das Geringste zu verraten. Anders gesagt: Ein Zero- Knowledge-Protokollisteine Unterhaltung, anderenEnde mein Gegenüber VIII ModerneVerfahrenderKryptographie davonüberzeugtist,dassicheinGeheimniskenne,sonstabernichtserfahren hat; insbesondereweißernichts,aberauchgarnichts überdasGeheimnis. Zero-Knowledge-VerfahrenbenutzenBasistechnikenderPublic-Key-Kryp- tographie;zumBeispielistdieverwendete Mathematikdiegleiche.Entschei- dendkommtaberjetztderProtokollaspekthinzu:IneinemZero-Knowledge- ProtokollmüssendiePartnernichtnuretwasberechnen, sondernsiemüssen sich gemäß genau festgelegter, ausgeklügelter Regeln unterhalten. Das Ziel wird nur durch diese Kombination erreicht: Die Mechanismen der Public- Key-Kryptographiesind die Bausteine, die Protokolle sind die Bauregeln für komplexeVerfahren. Kurz gesagt: Moderne Kryptologie ist „Public-Key, Zero-Knowledge und dieFolgen“.DavonhandeltdiesesBuch. Unser Ziel ist es, entscheidende Entwicklungen der letzten Jahre konzen- triert und verständlich darzustellen. Im Einzelnen geht es um folgende The- men: Kapitel1und2könnenalsschnelleEinführungindieKryptologiebetrach- tet werden. Diedortvorgestellten Begriffe und Ergebnisse sind für das ganze Buchwichtig. Im dritten Kapitel werden die grundlegenden („klassischen“) Protokolle der modernen Kryptographie dargestellt: Challenge-and-Response, Diffie- Hellman-Schlüsselvereinbarungund blindeSignaturen. Kapitel 4 ist zentral, denn dort werden nicht nur die berühmten Zero- Knowledge-Protokollevorgestellt,sondernauchdiedaraufaufbauendenEnt- wicklungen der letzten Jahre, wie etwa Witness-Hiding und nichtinteraktive Zero-Knowledge-Protokolle,präsentiert. Im fünften Kapitel geht es um Verfahren, wie zwei oder mehr Parteien etwas gemeinsam berechnen können, und zwar so, dass dabei niemand be- trügen kann. Zum Beispiel wird das Problem, mit verschlüsselten Daten zu rechnen, gelöst. Besonders spektakulär ist die Frage, ob es bei elektronischer Kommunikationauchmöglichist,Skatzuspielen,dasbedeutetdieKartenso zuverteilen,dasssichanschließendniemandbeschwerenkann. Das sechste Kapitel behandelt Fragen der Anonymität. Kann man über ComputeranonymkommunizierenoderistderComputernotwendigerweise der„BigBrother“,derallesbeobachtet? SchließlichwerdeninKap.7nocheinigewichtigeFragenstudiert,nämlich Schlüsselmanagement und „oblivioustransfer“. Nicht zuletzt findet sich hier aucheineEinführungindasfaszinierendeGebietderQuantenkryptographie. Im letzten Kapitel wird die benötigte Mathematik zusammengestellt und Bezeichnungsweisen festgelegt; in diesem Kapitel können Sie auch eventuell unklaremathematische Begriffenachlesen. Vorwortzur1.Auflage IX WieistdasBuchgeschrieben? Obwohl wir versuchen, den wissenschaftlichen Fortschritt der letzten Jahre vorzustellen,istdasBuchleichtundweitgehendohnespezielleVoraussetzun- genlesbar.Dazudienenvor allemdreiMittel. (cid:3) Zunächst werden alle benötigten Ergebnisse über Mathematik und Kryp- tologieinnerhalbdesBuchesbereitgestellt. (cid:3) Des Weiteren haben wir einen modularen Aufbau gewählt. Das bedeu- tet,dassdieeinzelnenKapitelweitgehendunabhängigvoneinandergelesen werdenkönnen.Esistsogarmöglich,einzelneAbschnitteherauszugreifen. DadurchkönnenSiesichschnellübereinbestimmtesStichwortinformie- ren. (cid:3) Schließlich haben wir die Themen auf verschiedenen Ebenen dargestellt, diejeweilsmitGewinngelesenwerdenkönnen.JedesThemawirdzunächst möglichstanschaulicherklärt.Dazugehöreninder Regeleinnichtmathe- matisches Beispiel, und häufig ein Bild. Die zweite Ebene ist die mathe- matischpräziseDarstellung,wobeiwirauchhierbeikeinemübertriebenen Formalismusfrönen.InsbesondereformulierenwirdieErgebnissenichtauf der sprachlichenEbeneder Turingmaschinen. Schließlicherfolgtinvielen FälleneineAnalyse,dieStärkenundSchwächendesbehandeltenProtokolls aufzeigt. FürwenistdiesesBuch? AusderobigenBeschreibungwirddeutlich,dasssichdasBuchfüreinegroße Leserschaft mit unterschiedlichen Ansprüchen, Zielen und Voraussetzungen eignet. (cid:3) Auf dem Weg in die Informationsgesellschaft sind vielfältige Sicherheits- problemezulösen.IndiesemBuchfindenTechniker,Manager,Anwender undanderetechnischundorganisatorischVerantwortlicheaufbereiteteIn- formationenüberdiewichtigstenEntwicklungen derletztenzehnJahre. (cid:3) Für Studierende der Mathematik, Informatik und Elektrotechnik ist das Buch eine ideale Ergänzung zum Standardlehrstoff; es zeigt deutlich, dass zurLösungpraktischerProblemeMathematikundtheoretischeInformatik mitErfolgeingesetztwerdenkönnen. (cid:3) Schließlich wendet sich das Buch an all diejenigen, die sich über eine der faszinierendsten Entwicklungen der Mathematik und Informatik der letz- tenJahrekundigmachenwollen. EinigeBemerkungenzumText Sie werden relativ häufig englische Ausdrücke finden: Zero-Knowledge, ob- livious transfer, challenge and response, ... Das liegt einfach daran, dass sich X ModerneVerfahrenderKryptographie dieseAusdrückeeingebürgerthaben,sodasssichjederVersucheinerÜberset- zunglächerlichanhört.WirbittenalleSprachpuristenumNachsicht. Um Nachsicht bitten wir auch in einer anderen Sache. Man kann sich stundenlang und erbittert streiten über mögliche Unterschiede der Begriffe „Kryptographie“und„Kryptologie“sowie„Authentikation“,„Authentifikati- on“, „Authentisierung“ usw. Wir machen diesen Streit nicht mit. In diesem BuchverwendenwirdieKr-BegriffeunddieAu-Begriffesynonym.Dieswird nichtzusachlichenSchwierigkeitenführen. Protokolle sind geregelte Unterhaltungen zwischen Personen oder Instan- zen. In vielen Fällen geht es um zwei Parteien, die sich manchmal vor einer gefährlichendrittenParteischützen wollen.InderenglischsprachigenLitera- turwerdendiezweioftmitAliceundBobbezeichnet;dabeiistAlicediejenige, die etwas sendet und Bob ist der Empfänger. Auch bei uns treten diese Per- sonenauf.Manchmal heißensienurAund B;aberauchdannistAweiblich und B männlich. Die böse dritte Partei ist meist männlich, manchmal aber auch(Gnade!)weiblich. DiesesBuchwäreohnedietatkräftigeUnterstützung zahlreicherKollegin- nen und Kollegen nicht, oder jedenfalls nicht so, zustande gekommen. Wir dankenganzbesondersKlaus-ClemensBecker,JörgEisfeld,KlausHuber,An- nette Kersten, Ute Rosenbaum, Frank Schaefer-Lorinser, Alfred Scheerhorn, Beate Schwenk, Friedrich Tönsing, Andreas Riedenauer, Mark Manulis und Petra Winkel für ihre aufmunternden, bösartigen, charmanten, detaillierten, emotionalen, fehlenden, globalen, hämischen, indiskutablen, jammervollen, kryptischen, langweiligen, mathematischen, nichts sagenden, offenen, posi- tiven, quälenden, ratlosen, soliden, treffenden, unsachlichen, vernichtenden, witzigenundzynischenBemerkungen. Abkürzungsverzeichnis FOCS IEEESymposiumontheFoundationsofComputerScience JCSS JournalofComputerandSystemSciences LNCS LectureNotesinComputerScience STOC ACMSymposiumonthe TheoryofComputing