Table Of ContentKarin Freiermuth | Juraj Hromkoviˇc | Lucia Keller | Björn Steffen
Einführung in die Kryptologie
Karin Freiermuth | Juraj Hromkoviˇc|Lucia Keller
Björn Steffen
Einführung
in die Kryptologie
Lehrbuch für Unterricht und Selbststudium
STUDIUM
Bibliografische Information der Deutschen Nationalbibliothek
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der
Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über
<http://dnb.d-nb.de> abrufbar.
Karin Freiermuth
Studium der Informatik an der ETH Zürich. Absolviert die Ausbildung zum Lehrdiplom für Maturitäts-
schulen in Informatik an der ETH Zürich. 2007 –2009 Mitarbeiterin des ABZ. Seit 2009 tätig bei Full
Speed Systems AG.
Prof. Dr. Juraj Hromkovicˇ
Studium der Mathematischen Informatik an der Komenský Universität, Bratislava. Promotion (1986)
und Habilitation (1989) in Informatik an der Komenský Universität. 1990 – 1994 Gastprofessor an der
Universität Paderborn, 1994 – 1997 Professor für Parallelität an der CAU Kiel. 1997 – 2003 Professor
für Algorithmen und Komplexität an der RWTH Aachen. Seit 2001 Mitglied der Slowakischen Akade-
mischen Gesellschaft und der Gesellschaft der Gelehrten der Slowakischen Akademie. Seit Januar
2004 Professor für Informatik an der ETH Zürich. Gründer und Leiter des Ausbildungs- und Beratungs-
zentrums für Informatikunterricht (ABZ).
Lucia Keller
Studium der Mathematik an der ETH Zürich. Didaktischer Ausweis in Mathematik an der ETH Zürich.
Seit Frühling 2009 Doktorandin für Informatik an der ETH Zürich. Mitarbeiterin des ABZ.
Björn Steffen
Studium der Informatik an der Hochschule für Technik, Rapperswil und an der ETH Zürich. Absolviert
die Ausbildung zum Lehrdiplom für Maturitätsschulen in Informatik an der ETH Zürich. Seit 2008
Doktorand an der ETH Zürich. Mitarbeiter des ABZ.
1. Auflage 2010
Alle Rechte vorbehalten
© Vieweg+Teubner Verlag|Springer Fachmedien Wiesbaden GmbH 2010
Lektorat: Ulrich Sandten | Kerstin Hoffmann
Vieweg+Teubner Verlag ist eine Marke von Springer Fachmedien.
Springer Fachmedien ist Teil der Fachverlagsgruppe Springer Science+Business Media.
www.viewegteubner.de
Das Werk einschließlich aller seiner Teile ist urheberrechtlich ge schützt. Jede
Verwertung außerhalb der engen Grenzen des Ur heber rechts ge set zes ist ohne
Zustimmung des Verlags unzuläss ig und strafb ar. Das gilt insb es ondere für
Vervielfältigungen, Über setzun gen, Mikro verfil mungen und die Ein speiche rung
und Ver ar beitung in elek tro nischen Syste men.
Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk
berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im
Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher
von jedermann benutzt werden dürften.
Umschlaggestaltung: KünkelLopka Medienentwicklung, Heidelberg
Druck und buchbinderische Verarbeitung: MercedesDruck, Berlin
Gedruckt auf säurefreiem und chlorfrei gebleichtem Papier.
Printed in Germany
ISBN 978-3-8348-1005-2
Vorwort
Die Kryptologie als Lehre der Geheimschriften ist eine der faszinierendsten Wissen-
schaftsdisziplinen der Gegenwart. Sie ist voll von spannenden Puzzle-Aufgaben und
pfiffigenLösungen.BeiderSuchenachLösungenbringtsieunerwarteteWendungenund
öffnet–ähnlichwieesunsdiePhysiköftersvorgeführthat–Türen,diedasUnmögli-
chemöglichmachen.UndbeiallendiesenbesonderenGedankenexperimentenhatdie
KryptologiekeinenlangenWegvomAbstraktenzurPraxis.DiemeistenEntdeckungen
könnendirektfürdenEntwurfvonsicherenKommunikationssystemverwendetwerden.
DerheutigeelektronischeHandel,Online-ShoppingoderOnline-Bankingwärenohne
diemodernenKonzeptederKryptologieunmöglich.
DiesesGebietzumeisternerforderteinigenTiefgang,undinsbesonderefürdenUnter-
richtanHochschulenwurdenindenletztenJahrenmehrereLehrbüchergeschrieben.Das
ZieldiesesBuchesisteinanderes.EssollfüralleAnfängerimSelbststudiumzugänglich
sein, sogar auch ohne Vorwissen aus den Gebieten der Mathematik wie Algebra und
Zahlentheorie,diemaßgebendfürdieEntwicklungmodernerKryptosystemesind.
Somit eignet sich das Buch für Schülerinnen, Schüler und Studierende aller Art,
von der Sekundarstufe II bis zum Universitätsstudium, sowie für Lehrpersonen, die
Kryptologieselberunterrichtenwollen.DieSchwerpunktedesdidaktischenVorgehens
sinddiefolgenden:
1. PräziseBegriffsbildungundkonsequenteVerwendungderFachsprache,diedem
aktuellenStandderSchülerinnenundSchülerentspricht.
2. LangsamesundleitprogrammartigesVorgeheninkleinenSchritten,diesofortdurch
zahlreicheAufgaben(auchmitLösungenundBeschreibungenderÜberlegungen
undStrategien)gefestigtwerden.
3. FokusaufderinnerenPhilosophiederDisziplinmittelsSchilderungdergeschicht-
lichenEntwicklungderwichtigstenIdeenundKonzepte.Damitvermittelnwirein
tiefesVerständnisfürdenKontextdiesesWissenschaftsgebiets.
4. HinweisefürdieLehrpersonenzumUmgangmitdiesemLehrmittel,demStoff,den
möglichenSchwierigkeitenbeidessenÜbermittlungsowiezusätzlichefachliche
HintergründesindandenentsprechendenStellenimLehrbuchverzeichnet.
5. Mittelsvielenpuzzle-artigenAufgabenstellungenundüberraschendenLösungs-
ideensowieEinblickenindieGeschichteunterschiedlicherKryptosystemewird
fürSpannunggesorgtunddieMotivationzurweiterenVertiefunggeweckt.
4
FachlichvermitteltdasLehrbuchdieGrundlagenderklassischenKryptographieund
derentsprechendenKryptoanalysesowiedieFundamentederPublic-Key-Kryptographie
mit ausgewählten Anwendungen. Der rote Faden durch das ganze Buch ist die Ent-
wicklung des Begriffes eines sicheren Kryptosystems. Wir beginnen mit den naiven
GeheimschriftenderAntikeunddesMittelalters,fahrenmitdemKerkhoffs-Prinzipder
Sicherheit und der perfekten Sicherheit im statistischen Sinn fort und enden mit dem
komplexitätstheoretischenSicherheitskonzeptdermodernenKryptosysteme.
DasBuchbestehtauselfLektionen,jedeumfasst4bis12Unterrichtsstunden.DasBuch
bietetLehrpersoneneinegroßeAuswahl.MehrereLektionensindoptionalundkönnen
ohne Konsequenzen für das Verständnis der nachfolgenden Lektionen übersprungen
werden. Jede Lektion bietet mehrere Stufen der Vertiefung, so dass auch nur gewisse
TeileimUnterrichtbehandeltwerdenkönnen.AlledieseAuswahlmöglichkeitenwerden
inHinweisenandieLehrpersonangegeben.
FüreinminimaleszugeschnittenesProgrammbrauchtmankeinVorwissen.Fürvertie-
fendePassagensetzenwirelementareMathematikkenntnisseausderKombinatorik,der
WahrscheinlichkeitstheorieunddieFähigkeitlineareGleichungssystemezulösenvoraus.
AlleanderenKenntnissederAlgebraundderZahlentheoriewerdenmittelsentsprechen-
derkryptographischerMotivationdirektimLehrbuchvermittelt.Somiteignetsichdas
LehrbuchfürdenInformatik-sowiedenMathematikunterrichtinderSekundarstufeII.
DasselbegiltfürdieStudiengängederInformatikundMathematikanderHochschule,
insbesonderefürdasLehramtsstudium.
Es war eine didaktische Herausforderung den Weg zur Public-Key-Kryptographie
zugänglichzumachen.ErvermitteltzuerstdiegrundlegendenKonzepteohnemathemati-
schesVorwissenundpräsentiertdanninderVertiefungeinfunktionsfähigesPublic-Key-
Kryptosystemso,dassmanesnichtnurzuverwendenversteht,sonderndassmanes–
esvollkommenverstehend–selberbauenundseineSicherheitmathematischbeweisen
kann.DasistdasersteMal,dassmaneinesolcheanspruchsvolleZielsetzungsogaran
Gymnasienzuerfüllenversucht.Wiegutunsdiesgelungenist,habenunsereLeserinnen
undLeserzubeurteilen.
AndieserStellemöchtenwirunsganzherzlichbeiFrauLeaBurgerfürdieausgezeich-
neteUnterstützungbeidensprachlichenKorrekturenundbeiHerrnUlrichSandtenfür
seine–wieimmer–großeGeduldunddiesehrkonstruktiveundfreundlicheZusammen-
arbeitbedanken.
Zürich,März2010
KarinFreiermuth
JurajHromkovicˇ
LuciaKeller
BjörnSteffen
Inhaltsverzeichnis
1 VonGeheimschriftenzuKryptosystemen 9
GeschichteundGrundbegriffe . . . . . . . . . . . . . . . . . . . . . . . . . 10
Funktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Codierungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Kryptosysteme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Zusammenfassung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
2 DieSuchenachSicherheitundmodularesRechnen 37
KryptoanalyseundderBegriffderSicherheit . . . . . . . . . . . . . . . . . 38
ModulareAddition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
AlgebraischeStrukturen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
ModulareMultiplikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Monoide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Gruppen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
VerallgemeinerungenvomKryptosystem CAESAR . . . . . . . . . . . . . . 62
Zusammenfassung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
3 EntwurfundKryptoanalysevonmonoalphabetischenKryptosystemen 81
DerBegriffdermonoalphabetischenKryptosysteme . . . . . . . . . . . . . . 81
KryptoanalysevonmonoalphabetischenKryptosystemen . . . . . . . . . . . 84
VerbesserungzumonoalphabetischenKryptosystemen . . . . . . . . . . . . 90
Zusammenfassung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
4 PolyalphabetischeKryptosystemeundderenKryptoanalyse 101
DaspolyalphabetischeKryptosystem VIGENÈRE . . . . . . . . . . . . . . . 101
Kryptoanalysevon VIGENÈRE . . . . . . . . . . . . . . . . . . . . . . . . . 106
StatistischeKryptoanalysevon VIGENÈRE . . . . . . . . . . . . . . . . . . . 112
DerEuklidischeAlgorithmus . . . . . . . . . . . . . . . . . . . . . . . . . . 130
HomophoneKryptosysteme. . . . . . . . . . . . . . . . . . . . . . . . . . . 137
Zusammenfassung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
5 PerfekteSicherheitunddas ONE-TIME-PAD-Kryptosytem 145
DieEntwicklungdes ONE-TIME-PAD-Kryptosystems. . . . . . . . . . . . . 145
DasmathematischeKonzeptderperfektenSicherheit . . . . . . . . . . . . . 150
6 Inhaltsverzeichnis
SicherheitsgradeinesKryptosystems . . . . . . . . . . . . . . . . . . . . . . 160
Zusammenfassung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
6 Die ENIGMAundmoderneKryptosysteme 171
DieGeschichteder ENIGMA . . . . . . . . . . . . . . . . . . . . . . . . . . 172
KryptographieimZeitalterderComputer . . . . . . . . . . . . . . . . . . . 182
ModerneKryptosysteme . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186
Zusammenfassung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
7 DergeheimeSchlüsselaustauschunddas DIFFIE-HELLMAN-Protokoll 193
SchlüsselaustauschmiteinerverschließbarenTruhe . . . . . . . . . . . . . . 194
DigitaleUmsetzungdesSchlüsselaustauschs . . . . . . . . . . . . . . . . . . 195
ModularesPotenzierenunddieschnelleExponentiation . . . . . . . . . . . . 201
Das DIFFIE-HELLMAN-Kommunikationsprotokoll . . . . . . . . . . . . . . 206
Zusammenfassung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
8 KomplexitätstheoretischeKonzepteundSicherheit 215
MessungderBerechnungskomplexitätvonAlgorithmen . . . . . . . . . . . . 218
VergleichderEffizienzunterschiedlicherAlgorithmen . . . . . . . . . . . . . 221
ZeitkomplexitätvonalgorithmischenProblemen . . . . . . . . . . . . . . . . 225
BeispielevonschwerenProblemen . . . . . . . . . . . . . . . . . . . . . . . 226
Zusammenfassung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240
9 DasKonzeptderPublic-Key-Kryptographie 245
EineschwerberechenbareGrapheigenschaftalsGeheimnis . . . . . . . . . . 251
DasUntersummen-ProblemalsGrundlagefüreinPublic-Key-Kryptosystem . 267
EinPublic-Key-KryptosystemzumVerschickeneinesBits . . . . . . . . . . 284
Zusammenfassung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289
10 ZahlentheoretischePublic-Key-Kryptosystemeund RSA 297
DasPublic-Key-Kryptosystem RABIN . . . . . . . . . . . . . . . . . . . . . 298
KorrektheitundEffizienzvon RABIN . . . . . . . . . . . . . . . . . . . . . 306
Sicherheitvon RABIN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323
EffizienterAufbaudesKryptosystems RABIN . . . . . . . . . . . . . . . . . 325
DasPublic-Key-Kryptosystem RSA . . . . . . . . . . . . . . . . . . . . . . 326
Korrektheitvon RSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328
Zusammenfassung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331
11 AnwendungenderPublic-Key-KryptographieundProtokolle 337
DigitaleUnterschriftvonDokumenten . . . . . . . . . . . . . . . . . . . . . 338
VergesslicheÜbertragungoderMünzwurfüberdasTelefon . . . . . . . . . . 340
VergleichvonzweigeheimenZahlen . . . . . . . . . . . . . . . . . . . . . . 345
Inhaltsverzeichnis 7
Zero-Knowledge-Beweissysteme . . . . . . . . . . . . . . . . . . . . . . . . 348
TeilenvonGeheimnissen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358
Zusammenfassung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362
A LösungenzuausgewähltenAufgaben 367
Lektion 1
Von Geheimschriften zu Kryptosystemen
SprachensindausdemBedürfnisherausentstanden,jemandemetwasmitzuteilen.Wir
Menschen machen diese Erfahrung bereits früh im Leben. Erinnert euch zurück: Als
KleinkindversuchtenwirverzweifeltmitwortähnlichenLautenaufunsaufmerksamzu
machen. Oft wurden unsere Äußerungen dabei aber missverstanden. Um Irrtümer zu
vermeidenbliebunsnichtsanderesübrigalssprechenzulernen.Wirkonntennunalso
unsererUmgebungunsereBedürfnissemitteilen.Gleichzeitigverstandenwirauch,was
dieLeuteunsmitteilenwollten,undwirkonntenihreGesprächemitverfolgen.
Baldmerktenwiraber,dassesdanocheineweitereHürdezuüberwindengab.Wir
verstandenzwar,waswirhörten,aberdiekomischenZeichen,diedieälterenKinderund
Erwachsenenbenutzten,konntenwirnichtentziffern.
SeitdemerstenSchultagbegannsichdiesesProblemallmählichvonganzalleinzu
lösen: Wir zeichneten Buchstaben, reihten sie aneinander und bildeten daraus Wörter,
SätzeundganzeTexte.SpäterlerntenwirsogarfremdeSprachenzuverstehenundzu
sprechen.WirkonntenunsalsomitimmermehrPersonenaustauschen.
NureinkleinesProblemgabesnoch:Alles,waswireinerPersonmitteilten,konnte
auchvonanderenPersonenverfolgtwerden.ManchmalwarendieseLeutenichtbefugt
dieMitteilungzuhören.WirmusstenalsonacheinerMöglichkeitsuchen,denanderen
heimlichNachrichtenzukommenzulassen,beispielsweiseindemwirdieNachrichtfür
Dritteunleserlichmachten.DagabesvieleMöglichkeiten.Vielleichtkenntihrnochden
TrickmitderZitroneunddemBügeleisen?MitZitronensaftkannmaneineunsichtbare
NachrichtaufeinBlattPapierschreiben.UmdieNachrichtzulesen,mussmanmitdem
BügeleisenüberdasBlattPapierfahren.DieWärmebewirkt,dassderZitronensaftbraun
und dadurch sichtbar wird. Der Nachteil dieser Methode ist, dass jeder, der den Trick
kennt,dieseNachrichtabfangenundlesenkann.
Ihr kennt aber sicher auch noch andere Möglichkeiten, um Nachrichten für andere
unleserlichoderunverständlichzumachen.VielleichtwerdetihrsogarParallelenzuden
MethodenindiesemBucherkennen.ZuvorwerdenwiraberkurzindieGeschichteder
KryptographieeintauchenundunseinenfürdieKryptographiegeeignetenWortschatz
aneignen.
10 Lektion1 VonGeheimschriftenzuKryptosystemen
Geschichte und Grundbegriffe
MitderEntdeckungderSchriftenwurdenerstmalsschriftlicheMitteilungenzuElementen
einerArtGeheimsprache.LesenundSchreibenunterrichtetenmeistensPriesterunter-
schiedlicher Religionen, und deren Unterricht glich nicht selten einer Einweihung in
dietieferenGeheimnissedesPriester-oderBeamtentums.DerRomanDerFünfteBerg
vonCoelho[3]stellteineschönebelletristischeBearbeitungdiesesThemasdar.
JedeSchriftbasiertaufeinerendlichen,nichtleerenMengevonausgewähltenZeichen,
dieAlphabetgenanntwird.DieZeichendesAlphabetsnennenwirauchSymboleoder
Buchstaben. Ursprünglich stellten viele Zeichen Gegenstände und Tiere dar, mit der
Zeitwurdendieseimmerstärkervereinfacht,bissieschließlichsymbolischenCharakter
annahmen.DieschriftlichenMitteilungenerhältman,wennmandieSymboleineiner
Folgeanordnet.DieseSymbolfolgennennenwirTexte.
AlsTextebetrachtenwireinerseitseinzelneBuchstabenundWörterauseinerSprache,
anderseitsaberauchbeliebiglangeAufsätzewiebeispielsweisedenInhalteinesBuches.
Für uns ist aber auch XXYAAPQR ein Text, obwohl diese Folge von Buchstaben in einer
natürlichenSprachekeineBedeutunghat.SobaldessichaberumdieCodierungeiner
geheimenInformationhandelt,kannderTexteineBedeutunghaben.
Mit der sozialen Entwicklung der Gesellschaften war der Fortschritt in Bezug auf
Lese- und Schreibkenntnisse dann aber nicht mehr zu bremsen, und der Anteil der
BevölkerungmitSchreibfähigkeitstiegstarkan.IndieserZeitentstandauchderBedarf
anderEntwicklungderGeheimschriften.
AuszugausderGeschichte UntereinerSchriftverstehtmaneinSystemvongraphischenZei-
chen,daszurKommunikationverwendetwird.DieErfindungderSchriftbetrachtenwiralseine
derfundamentalstenEntwicklungenderMenschheit,dieErhaltungundÜberlieferungvonWissen
zuverlässigüberlangeZeitabschnitteermöglichthat.AusdieserSichtkannmandieGeschichte
derSprachenauchalsdieGeschichtederEntwicklungvonZeichen(Symbolen)sehen.
DieVorgängerderZeichenwarenAbbildervonTierenundMenschen.DieältestenFundesind
rund20000Jahrealt.EinederbekanntestenFundstellenistdieHöhlevonLascauxinFrank-
reich.MancheForscherfandendortschonabstrakteZeichenmitsymbolischemCharakter,die
bereitsdieAbstraktionsfähigkeitzeigten,diespäterzurEntwicklungvonZeichensystemenführte.
DiebekanntenHochkulturenwiedieSumerer,ÄgypterunddasReichderMitteentwickelten
bereitseigeneSchriften.DieältestenSchriftfundesind6000JahrealtundstammenausUrukin
Mesopotamien.
DieSchriftdientederVerwaltungdesReichsimwirtschaftlichenSinn.DieerstenSchriften
waren Bilderschriften, in der die Gegenstände durch ihre Formen dargestellt wurden. Über
Wortschriften sprechen wir dann, wenn ein Wort einem Zeichen entspricht, das nicht mehr
„künstlerisch“denentsprechendenGegenstanddarstellt.SoentwickeltensichdieSchriftenim
altenÄgypten,diederMayasundderEskimoszudenSilbenschriften,beideneneinzelneZeichen
ganzenSilbenentsprechen.DieEntwicklunghatihrenUrsprungvermutlichinderVerwendung
voneinsilbigenWörtern.DieheuteammeistenverwendeteBuchstabenschriftordneteinzelnen
ZeichenbestimmteLautezu.
