Cryptography Reference
In-Depth Information
12.2
RSA als Signaturverfahren
Klar ist, dass
a
und
x
voneinander abhängen. Weniger klar ist dagegen, wie man
diese Funktionen wählt, damit das Ganze nicht nur funktioniert, sondern auch
sicher ist. Es ist nicht einmal offensichtlich, dass es überhaupt brauchbare digitale
Signaturen gibt.
12.2.1
Funktionsweise
Zum Glück gibt es brauchbare Verfahren für digitale Signaturen, und verblüffen-
derweise muss ich Ihnen dazu nicht einmal ein neues Verfahren vorstellen. Für
digitale Signaturen können Alice und Bob nämlich das in Abschnitt 11.3
beschriebene RSA-Verfahren einsetzen, wenn sie dazu lediglich die Verwendung
der Schlüssel vertauschen. Will Alice eine Nachricht signieren, so »entschlüsselt«
sie diese mit ihrem geheimen RSA-Schlüssel
d
(obwohl die Nachricht unver-
schlüsselt ist). Der resultierende »Klartext« ist die digitale Signatur. Bob verifi-
ziert diese, indem er sie mit den Werten
e
und
n
per RSA »verschlüsselt«. Erhält
er so die ursprüngliche Nachricht zurück, dann ist die digitale Signatur echt.
Es ist nicht ohne weiteres einzusehen, dass diese Anwendung von RSA als Sig-
naturverfahren funktioniert. Den Beweis dafür möchte ich Ihnen an dieser Stelle
jedoch ersparen, es genügt, wenn Sie sich merken: RSA kann sowohl zum Ver-
schlüsseln als auch zum Signieren eingesetzt werden. Auch unabhängig von RSA
hängen Signaturverfahren eng mit Public-Key-Verschlüsselungsverfahren zusam-
men, weshalb sie auch zur asymmetrischen Kryptografie gezählt werden. Leider
haben Signaturverfahren auch die gleichen Nachteile wie asymmetrische Ver-
schlüsselungsverfahren: Es gibt nur wenige, und diese sind recht langsam.
RSA hat unter den Signaturverfahren eine ähnliche Vormachtstellung wie
unter den asymmetrischen Verschlüsselungsverfahren. In den über 30 Jahren sei-
nes Bestehens hat sich das RSA-Verfahren damit zum wichtigsten Eckpfeiler der
Kryptografie überhaupt entwickelt. Kein anderes asymmetrisches Verfahren ist
gleichzeitig so vielseitig verwendbar, so gut erforscht und so einfach zu imple-
mentieren. RSA wird uns daher im Verlauf dieses Buchs noch öfter begegnen.
12.2.2
Sicherheit von RSA-Signaturen
Was ich in Abschnitt 11.3 über die Sicherheit des RSA-Verfahrens berichtet habe,
gilt auch, wenn dieses zur digitalen Signatur verwendet wird. Mallory kann es
also mit einer vollständigen Schlüsselsuche oder mit einem Faktorisierungsangriff
versuchen, um Alices privaten Schlüssel zu ermitteln. Wenn allerdings mindestens
1.024 Bit für den Modulus zum Einsatz kommen, dann sollte dies nicht funktio-
nieren. Für Paranoide sind 2.048 Bit angebracht. Auch gegen eine Low-Expo-
nent-Attacke können RSA-Signaturen anfällig sein.
