Cryptography Reference
In-Depth Information
H
bildet mit seinem
b
den vermeintlich geheimen Schlüssel
g
a
b
.
Weil
M
sowohl
g
a
als auch
g
b
als auch die Größen
a
,
b
kennt, kann
M
eben-
falls die Schlüssel
g
b
a
und
g
a
b
bilden.
M
kann und
muss
jeden Geheimtext von
D
mit
g
b
a
entschlüsseln, und mit
g
a
b
wieder verschlüsselt an
H
weiterreichen. Analog verfährt er mit Nachrichten
von
H
an
D
.
Wenn demMann
M
in der Mitte ein Text entgeht, so fliegt er wahrscheinlich auf.
g
a
g
a
D
M
H
g
b
a
g
b
g
b
g
a
b
Bemerkung
Varianten dieses Angriffs sind eine Bedrohung für jedes Verfahren der asymme-
trischen Kryptografie. Schwachstelle ist die Übergabe des öffentlichen Schlüssels.
Wenn sich hier jemand dazwischen schalten kann, ist die gesamte Kommunika-
tion ungesichert. Für dieses Problem ist keine mathematische Lösung bekannt
(vielleicht auch gar nicht möglich). Es ist nur durch besondere Sorgfalt der Be-
nutzer einzudämmen.
9.1.4 Weitere Gruppen für das Diffie-Hellman-Verfahren
Das Diffie-Hellman-Verfahren kann offenbar in jeder endlichen zyklischen Grup-
pe
G
=
implementiert werden. UmEffizienz und Sicherheit zu gewährleisten,
sind solche Gruppen zu wählen, in denen die Gruppenoperationen
leicht
durch-
führbar sind, das diskrete Logarithmenproblem (eigentlich das Diffie-Hellman-
Problem) aber
schwer
zu lösen ist.
Günstige
Gruppen sind die bereits benutzten
zyklischen Gruppen
•
g
Z
p
mit einer Primzahl
p
und
•
zyklische Untergruppen von elliptischen Kurven (diese werden wir in Ka-
pitel 13 behandeln).
Ungünstig
sind die (additiven) zyklischen Gruppen
•
Z
n
mit
n
∈
N
.
In der additiven zyklischen Gruppe
Z
n
ist das Berechnen diskreter Logarithmen
effizient möglich. Wir begründen das. Man beachte zuerst, dass
Potenzen
wegen
der additiven Schreibweise zu
Vielfachen
werden. Nach Korollar 6.3 (a) gilt:
g
=
Z
n
⇔
ggT
(
g
,
n
)=
1.