Merkles Puzzle

Merkles Puzzle ist das erste Schlüsselaustauschprotokoll, bei dem die beiden Parteien nicht bereits einen geheimen Schlüssel mit der jeweils anderen oder einer dritten Partei teilen müssen. Es wurde im Jahr 1974 von Ralph Merkle entdeckt, aber erst 1978 veröffentlicht.[1] Die Existenz eines solchen Protokolls wurde lange für unmöglich gehalten, und seine Entdeckung kann als Beginn der Public-Key-Kryptographie gesehen werden.

Beschreibung

Wenn Alice mit Bob einen Schlüssel austauschen möchte, legt sie zuerst eine Tabelle mit $m$ zufälligen Schlüsseln $K_{i}$ der gewünschten Länge an. Für ein gegebenes symmetrisches Verschlüsselungsverfahren $E$ wählt sie nun $m$ zufällige Schlüssel $k_{i}$ mit einer nicht zu großen Länge von $n$ Bit und verschlüsselt mit jedem dieser Schlüssel einen Tabelleneintrag zusammen mit seinem Index in der Tabelle. Die $m$ Chiffrate $E_{k_{i}}(i,K_{i})$ sendet sie in zufälliger Reihenfolge an Bob.

Bob wählt ein zufälliges Chiffrat aus und entziffert es, indem er alle möglichen Schlüssel durchprobiert. Dafür braucht er höchstens $2^{n}$ Versuche, im Mittel $2^{n}/2$ . Er merkt sich den Schlüssel $K_{i}$ und sendet den Index $i$ zurück an Alice. Damit haben die beiden den gemeinsamen Schlüssel $K_{i}$ vereinbart, mit dem sie nun z. B. über eine symmetrische Verschlüsselung Nachrichten austauschen können.

In der Praxis müssen die Chiffrate auch redundante Information enthalten, damit Bob das richtige Dechiffrat erkennen kann. Alice könnte beispielsweise einen Text $T$ ausreichender Länge wählen und an alle Tabelleneinträge anhängen. $T$ wird im Klartext zusammen mit den $E_{k_{i}}(i,K_{i},T)$ an Bob gesendet. Oder man macht das Feld für den Index $i$ genügend groß (ausreichend für Zahlen bis über $m^{2}$ ), dann kann man einen falschen Schlüssel daran erkennen, dass ein Index größer als $m-1$ herauskommt.

Sicherheit

Ein Angreifer, der die Kommunikation der beiden belauscht, sieht zuerst die $m$ Chiffrate, die Alice an Bob schickt, dann den Index, den Bob zurückschickt, der aber von der Reihenfolge, in der die Chiffrate gesendet wurden, unabhängig ist. Es bleibt ihm also nichts anderes übrig, als so lange Chiffrate zu entziffern, bis er dasjenige findet, das den Index $i$ enthält. Dafür muss er im Mittel $m/2$ Chiffrate entziffern. Bei jeweils $2^{n}/2$ Versuchen, den richtigen Schlüssel zu finden, sind es insgesamt im Mittel $m\cdot 2^{n}/4$ Versuche. Bei $m=2^{n}$ ist seine Laufzeit also quadratisch in der von Alice und Bob.

Angenommen, Bob kann pro Sekunde $2^{25}$ Schlüssel durchprobieren. Dann braucht er bei $n=25$ maximal eine, im Mittel 1/2 Sekunde, um ein Chiffrat zu entziffern. Ein Angreifer mit derselben Rechenleistung bräuchte bei $m=2^{25}$ jedoch im Durchschnitt drei Monate. Allerdings kann ein Angreifer den Schlüssel mit Glück auch deutlich früher erraten.

In der theoretischen Kryptologie wird heutzutage in der Regel angenommen, dass die Laufzeit des Angreifers polynomial in einem Sicherheitsparameter ist. Nach dieser Definition reicht ein quadratischer Unterschied in der Laufzeit zwischen den Benutzern und dem Angreifer nicht aus, der Angreifer könnte alle Chiffrate durchprobieren. Das Verfahren ist in einem solchen Modell also nicht sicher.

Einzelnachweise

Ralph Merkle: Secure Communications over Insecure Channels. In: Communications of the ACM. Band 21, Nr. 4, April 1978, S. 294–299, doi:10.1145/359460.359473.

Weblinks

Ralph Merkle, Secure Communications over Insecure Channels (1974): Paper und Interview mit Ralph Merkle
Ralph Merkle, 1974 project Publishing a new idea Geschichte der Entdeckung und Scan der Ideenskizze

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. The authors of the article are listed here. Additional terms may apply for the media files, click on images to show image meta data.

[Merkle78-1] Ralph Merkle: Secure Communications over Insecure Channels. In: Communications of the ACM. Band 21, Nr. 4, April 1978, S. 294–299, doi:10.1145/359460.359473.