LaTeX-examples/documents/facharbeit-rsa/Kapitel-7.tex

\section{RSA-Verfahren}
Das RSA-Verfahren ist ein asymmetrisches Kryptosystem, das von 
Ronald Linn \textbf{R}ivest, Adi \textbf{S}hamir und Leonard 
\textbf{A}dleman entwickelt und im August 1977 veröffentlicht wurde\footnote{[msri], S. 2}.

Da das RSA-Verfahren asymmetrisch ist, wird sowohl ein öffentlicher 
Schlüssel als auch ein privater Schlüssel benötigt. Der öffentliche 
Schlüssel dient der Verschlüsselung und besteht aus dem RSA-Modul $N$ 
und dem Verschlüsselungsexponenten $e$. Der private Schlüssel 
besteht aus dem Entschlüsselungsexponenten $d$ und dem selben RSA-Modul $N$.

Die Erzeugung dieser drei Zahlen $N$, $e$ und $d$ für das RSA-Verfahren 
kann, in An-lehnung an [wiki-RSA], in fünf Schritte unterteilt werden:

\begin{description}
    \item[Schritt 1:] Als erstes werden zwei große Primzahlen  gewählt. 
                      Je größer diese Primzahlen sind, desto sicherer 
                      ist die Verschlüsselung.
                     (vgl. Kapitel 7.4 "`Sicherheit des RSA-Verfahrens"')
    \item[Schritt 2:] In diesem Schritt wird RSA-Modul $N = p \cdot q$ 
                      berechnet, das ein Teil des öffentlichen 
                      Schlüssels ist.
    \item[Schritt 3:] Schritt 3: Nun wird der Wert der Eulerschen 
                      $\varphi$-Funktion bei $N$ berechnet. Da $p$ 
                      und $q$ Primzahlen sind, gilt $\varphi(N) = (p-1) \cdot (q-1)$ (vgl. Kapitel 4) % TODO
    \item[Schritt 4:] Nachdem $\varphi(N)$ ermittelt wurde, kann der 
                      zweite Teil des öffentlichen Schlüssel, der 
                      Verschlüsselungsexponent $e$, ermittelt werden. 
                      Folgende Bedingungen müssen für $e$ gelten:
                      $1 < e < \varphi(N) $  und $ggT(e, \varphi(N)) = 1$
    \item[Schritt 5:] Es folgt die Berechnung des Entschlüsselungsexponenten 
                      $d$ als multiplikativ Inverses von $e$ 
                      bezüglich des Modules $\varphi(N)$. Es soll 
                      also folgende Kongruenz gelten:
                      $e \cdot d \equiv 1 \imod{\varphi(N)}$

\end{description}


\subsection{Verschlüsselung mit dem öffentlichen Schlüssel}
Ein Text wird verschlüsselt, indem er in Zahlen umgewandelt wird. Für 
diese Umwandlung kann der ASCII-Code verwendet werden. Sobald man 
Zahlen hat, kann man den unverschlüsselten Klartext $K$ mit folgender 
Kongruenzgleichung in den verschlüsselten Geheimtext $G$ umwandeln: $G \equiv K^e \imod{N}$.\\
Die Zahl $N$ sollte deutlich größer sein als K\footnote{vgl. [Reiss], S. 288}.

In folgendem Beispiel wird der Klartext "`12"' verschlüsselt. Dazu 
werden als Erstes alle benötigten Variablen erzeugt oder berechnet:

\begin{description}
    \item[Schritt 1:] $p := 347$ und $q := 379$
    \item[Schritt 2:] $N = p \cdot q = 347 \cdot 379 = 131513$
    \item[Schritt 3:] $\varphi(N) = \varphi(131513) = (347 - 1) \cdot (379 - 1) = 346 \cdot 378 = 130788$
    \item[Schritt 4:] $1 < (e := 877) < \varphi(N) $
    \item[Schritt 5:] $877 \cdot d \equiv 1 \imod{130788}$
\end{description}

Um ein $d$ zu finden, das diese Kongruenz erfüllt, wird der 
erweiterte euklidische Algorithmus angewendet:

\begin{tabular}{lll}
\textbf{Schritt 1}: euklidischer Algorithmus & & \textbf{Schritt 2}: nach Rest auflösen\\
$130788 = 149 \cdot 877 + 115$    & $\rightarrow$     & $115 = 130788 - 149 \cdot 877$\\
$877= 7  \cdot 115 + 72$     & $\rightarrow$     & $72 = 877 - 7 \cdot 115$\\
$115= 1 \cdot 72 + 43$      & $\rightarrow$     & $43 = 115 - 72$\\
$72= 1 \cdot 43 + 29$      & $\rightarrow$     & $29 = 72 - 43$\\
$43= 1 \cdot 29 + 14$      & $\rightarrow$     & $14 = 43 - 29$\\
$29= 2 \cdot 14  + 1$      & $\rightarrow$     & $1 = 29 - 2 \cdot 14$
\end{tabular}

\textbf{Schritt 3}: so lange Reste einsetzen, bis eine Linearkombination der Form
$1 = x \cdot 877 + y \cdot 130788$ gefunden ist:

\begin{align*}
1 &= 29- 2 \cdot (43-29) \\
1 &= 3 \cdot 29 - 2 \cdot (115 - 72) \\
1 &= 3 \cdot (72 - 43) - 2 (130788-149 \cdot 877) + 2 \cdot (877 - 7 \cdot 115) \\
1 &= 3 \cdot (877 - 7 \cdot 115) -3 \cdot (115 - 72) - 2 \cdot 130788 + 300 \cdot 877 -14 \cdot 155 \\
1 &= 303 \cdot 877 - 2 \cdot 130788 - 38 \cdot 115 + 3 \cdot 72 \\
1 &= 303 \cdot 877 - 2 \cdot 130788 - 38 \cdot (130788-149 \cdot 877) + 3 \cdot (877 - 7 \cdot 115) \\
1 &= 5968 \cdot 877 - 40 \cdot 130788 - 21 \cdot (130788-149 \cdot 877) = 9097 \cdot 877 - 61 \cdot 130788
\end{align*}

$\rightarrow d = 9097$

Probe:

\[\frac{d \cdot e - 1}{\varphi(N)} = \frac{877 \cdot 9097 - 1}{130788} = 61\]

Nun wird der Geheimtext $G$ mit dem Verschlüsselungsexponenten $e$ 
aus dem Klartext $K$ berechnet: 

\begin{align*}
G &\equiv K^e \imod{N}\\
G &\equiv 12^877 \equiv 12 \cdot (12^6)^{2 \cdot 73} \equiv 12 \cdot 92698^{2 \cdot 73} \equiv 12 \cdot 122810^{73} \imod{131513} \\
G &\equiv 12 \cdot 122810 \cdot 122810^{2 \cdot 2 \cdot 2 \cdot 3 \cdot 3} \equiv 27077 \cdot 122234^{2 \cdot 2 \cdot 3 \cdot 3} \equiv 27077 \cdot 90339^{2 \cdot 3 \cdot 3} \imod{131513} \\
G &\equiv 27077 \cdot 95706^{9} \equiv 27077 \cdot 9189^{3} \equiv 27077 \cdot 56590 \imod{131513} \\
G &\equiv 29467 \imod{131513}
\end{align*}

\subsection{Entschlüsselung mit dem privaten Schlüssel}
\subsubsection{Entschlüsselung ohne den Chinesischen Restsatz}
Der Geheimtext wird entschlüsselt, indem man ihn mit $d$ potenziert 
und dann denn kleinsten positiven Repräsentanten der Restklasse $N$ 
berechnet: $K \equiv G^d \imod{N}$

Im Folgenden wird die Entschlüsselung auf das vorhergehende Beispiel 
angewendet:

\begin{align*}
G &= 29467 ~~~ N= 131513 ~~~ d = 9097 \\
K &\equiv G^d \imod{N}\\
K &\equiv 29467^{9097} \imod{131513}\\
K &\equiv 29467 \cdot (29467^2)^{2 \cdot 2 \cdot 3 \cdot 379} \equiv 29467 \cdot (55263^2)^{2 \cdot 3 \cdot 379} \equiv 29467 \cdot 4283^{2 \cdot 3 \cdot 379} \imod{131513} \\
K &\equiv 29467 \cdot 89937^{2 \cdot 3} \equiv 29467 \cdot 88417^3 \equiv 29467 \cdot 24587 \imod{131513} \\
K &\equiv 12 \imod{131513}
\end{align*}

\subsubsection{Entschlüsselung mit dem Chinesischen Restsatz}
Falls der Entschlüsselungsexponent $d$ sehr groß ist, kann das 
Potenzieren lange dauern. Dies kann mit dem Chinesischem Restsatz 
beschleunigt werden\footnote{[Paixão], S. 1}. 
Diese Idee wurde [Paixão] entnommen:

Der Geheimtext $G$ und der Exponent $d$ wird folgendermaßen geteilt:

\begin{tabular}{llll}
$\begin{aligned}
G_p &\equiv G \imod{p} \\
G_q &\equiv G \imod{q}
\end{aligned}$ & und &
$\begin{aligned}
d_p &\equiv d \imod{p-1} \\
d_q &\equiv d \imod{q-1}
\end{aligned}$ &, da $e \cdot d \equiv 1 \imod{(p-1) \cdot (q-1))}$
\end{tabular}

Dies funktioniert, da der folgende Hilfssatz gilt:

\begin{mdframed}[tikzsetting={draw=red,ultra thick}, innertopmargin=0.6cm]
$K^ed \equiv G \imod{p \cdot q} \Leftrightarrow K^{ed} \equiv G \imod{p} \land K^{ed} \equiv G \imod{q}$
\end{mdframed}

Nun wird dieser kleinere Teil von G mit den kleineren Exponenten "`entschlüsselt"':

\begin{align*}
K_p &\equiv {G_p} ^ {d_p} \imod{p}\\
K_q &\equiv {G_q} ^ {d_q} \imod{q}
\end{align*}

Der Chinesische Restsatz ermöglicht es nun, eine Lösung $K$ für die 
folgenden Kongruenzen zu finden:

\begin{align*}
K &\equiv K_p \imod{p}\\
K &\equiv K_q \imod{q}
\end{align*}

Dazu müssen die multiplikativ inversen Elemente ermittelt werden:
\begin{align*}
y_p \cdot p \equiv 1 \imod{q}\\
y_q \cdot q \equiv 1 \imod{p}
\end{align*}

Nun wird der Klartext zusammengesetzt:
\[K \equiv (K_p \cdot y_p \cdot q + K_q \cdot y_q \cdot p) \imod{N}\]

Diese Methode ist etwa vier mal schneller als die Entschlüsselung mit $d$\footnote{[Paixão], S. 2}.

\subsection{Entschlüsselung ohne den privaten Schlüssel}
Ist der Entschlüsselungsexponent $d$ unbekannt, so kann dieser durch
Faktorisierung von $N$ zurückgewonnen werden. Faktorisiert man $N$, so 
kann $\varphi(N)$ berechnet werden und die Kongruenz $e \cdot d \equiv 1 \imod{\varphi(N)}$ gelöst werden. 

Als praktische Arbeit wurde mir folgende Aufgabe gestellt:

\begin{mdframed}[tikzsetting={draw=black,very thick}, innertopmargin=0.6cm]
\begin{verbatim}
N := 65937_24735_90338_11941_75738_06421_27758_89771;
e := 47;
# geheime Botschaft:
y := 65087_24329_19692_65260_21005_67465_76581_27499;
\end{verbatim}
Wie lautet die Botschaft im Klartext?
\end{mdframed}

Um diese Aufgabe zu lösen, versucht man den privaten Schlüssel mit 
Hilfe des öffentlichen Schlüssels wiederherzustellen.

Der private Schlüssel $d$ muss die Kongruenzgleichung 
$e \cdot d \equiv 1 \imod{\varphi(N)}$ erfüllen, allerdings sind 
$\varphi(N)$ und $d$ nicht bekannt. Um $\varphi(N)$ zu berechnen, 
werden die Primfaktoren $p$ und $q$, aus denen $N$ besteht, benötigt. 
$N$ muss also faktorisiert werden. Sobald ein Faktor von $N$ bekannt 
ist, kann man $N$ durch diesen Faktor teilen und man erhält den 
zweiten Faktor. Dann kann man wie in Kapitel 7 vorgehen und $d$ % TODO link to kapitel
berechnen. Mit $d$ kann man wie in Kapitel 7.2 beschrieben die  % TODO link to kapitel
Geheimbotschaft entschlüsseln.

Wird das Aribas-Skript im Anhang ausgeführt, das diese Schritte 
ausführt, erhält man den Klartext "`\textbf{RSAribas}"'.


\subsection{Sicherheit des RSA-Algorithmus}
Der RSA-Algorithmus kann, wie oben beschrieben, "`geknackt"' werden, 
indem der öffentliche Schlüssel faktorisiert wird. Allerdings ist das 
bei großen Zahlen nahezu unmöglich, da die Algorithmen sehr lange 
Laufzeiten haben\footnote{[RSA-2190]}. 
Wie lange die Faktorisierung dauert hängt einerseits vom Algorithmus, 
andererseits von der Hardware ab. 

Um ein Gefühl dafür zu bekommen was "`sehr lange"' bedeutet, kann man 
die "`RSA Factoring Challenge"' als Beispiel betrachten. Eine 
193-stellige Zahl sollte Faktorisiert werden. Für diese Aufgabe 
wurde am 18. März 1991 ein Preisgeld von 20.000 US-Dollar 
ausgeschrieben. Ein Team des Instituts für Experimentelle Mathematik 
in Essen hat am 2. November 2005 diese Aufgabe gelöst und dafür 
über fünf Monate benötigt. Der Rechenaufwand betrug etwa 30 
2.2GHz-Opteron-CPU Jahre\footnote{[RSA-2964]}.

Das Faktorisieren wird zwar immer schneller, da man über bessere und 
billigere Computer sowie effizientere Algorithmen verfügt, allerdings 
steigt mit den Hardwareverbesserungen die Sicherheit des 
RSA-Algorithmus. Mit einer besseren Hardware können deutlich größere 
Primzahlen erzeugt werden und damit auch ein deutlich längerer 
öffentlicher Schlüssel generiert werden, der zur Verschlüsselung der 
Nachricht dient.

Ein verbesserter Faktorisierungsalgorithmus würde die Sicherheit des 
RSA-Kryptosystems gefährden. Es ist jedoch unwahrscheinlich, dass ein 
solcher Algorithmus gefunden wird, da das Problem als schwer 
angesehen wird.\footnote{[RSA-2191]}

Ein weiterer möglicher Angriff auf das RSA-Kryptosystem wäre die 
$e$-te Wurzel $\imod{n}$ zu finden. Da $G \equiv K^e \imod{N}$ ist, 
wäre $K \equiv \sqrt[e]{K^e} \imod{N}$. Allerdings ist kein Angriff, 
der so funktioniert, bekannt4. Um zu veranschaulichen, dass bei einer 
Kongruenzgleichung nicht wie gewohnt die Wurzel gezogen werden kann, 
betrachte man folgendes Beispiel: $4 \equiv 16 \imod{3}$, aber 
$\sqrt{4} \neq \sqrt{16} \imod{3}$.

\subsection{Warum der RSA-Algorithmus funktioniert}
Der Geheimtext $G$ wird durch potenzieren mit $e$ gewonnen ($G \equiv K^e \imod{N}$) 
und der Klartext durch potenzieren mit $d$ ($K \equiv G^d \imod{N}$).
Zu zeigen ist, dass
$K \equiv K^{e \cdot d} \imod{N}$ mit $ed \equiv 1 \imod{\varphi(N)}$ gilt. 

Es kann folgende Umformung durchgeführt werden:
\begin{align*}
ed &\equiv 1 \imod{\varphi(N)}\\
ed &= 1 + x \cdot \varphi(N) \text{mit } x \in \mathbb{Z}
\end{align*}

Daraus folgt:
\[K^{e \cdot d} = K^{1 + x \cdot \varphi(N)} = K \cdot K^{x \cdot \varphi(N)}\]

Nun wird der \textbf{Satz von Fermat-Euler} als Hilfssatz eingeführt:
\begin{mdframed}[tikzsetting={draw=red,ultra thick}, innertopmargin=0.6cm]
$K^{\varphi(N)} \equiv 1 \imod{N}$  für $K, N \in \mathbb{N}$ und $ggT(N, K) = 1$
\end{mdframed}

Beweis nach [Reiss], S. 218 f.:
\hangindent2em
\hangafter=0
Es gibt $\varphi(N)$ verschiedene, zu $N$ teilerfremde Reste. Da $K$ 
zu $N$ teilerfremd ist, muss auch jedes der Produkte 
$K \cdot r_1 , K \cdot r_2 , \dots, K \cdot r_{\varphi(N)}$ zu $N$ 
teilerfremd sein. 

Es gilt:
\begin{align*}
\prod_{i=1}^{n=\varphi(N)} K \cdot r_i &\equiv \prod_{i=1}^{n=\varphi(N)} r_i \imod{N}\\
K^{\varphi(N)} \prod_{i=1}^{n=\varphi(N)} r_i &\equiv \prod_{i=1}^{n=\varphi(N)} r_i \imod{N}
\end{align*}

Da alle $r_i$ teilerfremd zu N sind, kann man durch das Produkt teilen. Daraus ergibt sich: 
\[K^{\varphi(N)} \equiv 1 \imod{N}\]

Das bedeutet für den RSA-Algorithmus:
\[K \cdot K^{x \cdot \varphi(N)}  \equiv K \cdot (K^{\varphi(N)})^x \equiv K \cdot 1^x \equiv K \imod{N}\]
facharbeit hinzugefügt 2013-05-07 22:36:03 +02:00			`\section{RSA-Verfahren}`
			`Das RSA-Verfahren ist ein asymmetrisches Kryptosystem, das von`
			`Ronald Linn \textbf{R}ivest, Adi \textbf{S}hamir und Leonard`
			`\textbf{A}dleman entwickelt und im August 1977 veröffentlicht wurde\footnote{[msri], S. 2}.`

			`Da das RSA-Verfahren asymmetrisch ist, wird sowohl ein öffentlicher`
			`Schlüssel als auch ein privater Schlüssel benötigt. Der öffentliche`
			`Schlüssel dient der Verschlüsselung und besteht aus dem RSA-Modul $N$`
			`und dem Verschlüsselungsexponenten $e$. Der private Schlüssel`
			`besteht aus dem Entschlüsselungsexponenten $d$ und dem selben RSA-Modul $N$.`

			`Die Erzeugung dieser drei Zahlen $N$, $e$ und $d$ für das RSA-Verfahren`
			`kann, in An-lehnung an [wiki-RSA], in fünf Schritte unterteilt werden:`

			`\begin{description}`
			`\item[Schritt 1:] Als erstes werden zwei große Primzahlen gewählt.`
			`Je größer diese Primzahlen sind, desto sicherer`
			`ist die Verschlüsselung.`
			(vgl. Kapitel 7.4 "`Sicherheit des RSA-Verfahrens"')
			`\item[Schritt 2:] In diesem Schritt wird RSA-Modul $N = p \cdot q$`
			`berechnet, das ein Teil des öffentlichen`
			`Schlüssels ist.`
			`\item[Schritt 3:] Schritt 3: Nun wird der Wert der Eulerschen`
			`$\varphi$-Funktion bei $N$ berechnet. Da $p$`
			`und $q$ Primzahlen sind, gilt $\varphi(N) = (p-1) \cdot (q-1)$ (vgl. Kapitel 4) % TODO`
			`\item[Schritt 4:] Nachdem $\varphi(N)$ ermittelt wurde, kann der`
			`zweite Teil des öffentlichen Schlüssel, der`
			`Verschlüsselungsexponent $e$, ermittelt werden.`
			`Folgende Bedingungen müssen für $e$ gelten:`
			`$1 < e < \varphi(N) $ und $ggT(e, \varphi(N)) = 1$`
			`\item[Schritt 5:] Es folgt die Berechnung des Entschlüsselungsexponenten`
			`$d$ als multiplikativ Inverses von $e$`
			`bezüglich des Modules $\varphi(N)$. Es soll`
			`also folgende Kongruenz gelten:`
			$e \cdot d \equiv 1 \imod{\varphi(N)}$

			`\end{description}`


			`\subsection{Verschlüsselung mit dem öffentlichen Schlüssel}`
			`Ein Text wird verschlüsselt, indem er in Zahlen umgewandelt wird. Für`
			`diese Umwandlung kann der ASCII-Code verwendet werden. Sobald man`
			`Zahlen hat, kann man den unverschlüsselten Klartext $K$ mit folgender`
			`Kongruenzgleichung in den verschlüsselten Geheimtext $G$ umwandeln: $G \equiv K^e \imod{N}$.\\`
			`Die Zahl $N$ sollte deutlich größer sein als K\footnote{vgl. [Reiss], S. 288}.`

			In folgendem Beispiel wird der Klartext "`12"' verschlüsselt. Dazu
			`werden als Erstes alle benötigten Variablen erzeugt oder berechnet:`

			`\begin{description}`
			`\item[Schritt 1:] $p := 347$ und $q := 379$`
			`\item[Schritt 2:] $N = p \cdot q = 347 \cdot 379 = 131513$`
			`\item[Schritt 3:] $\varphi(N) = \varphi(131513) = (347 - 1) \cdot (379 - 1) = 346 \cdot 378 = 130788$`
			`\item[Schritt 4:] $1 < (e := 877) < \varphi(N) $`
			`\item[Schritt 5:] $877 \cdot d \equiv 1 \imod{130788}$`
			`\end{description}`

			`Um ein $d$ zu finden, das diese Kongruenz erfüllt, wird der`
			`erweiterte euklidische Algorithmus angewendet:`

			`\begin{tabular}{lll}`
			`\textbf{Schritt 1}: euklidischer Algorithmus & & \textbf{Schritt 2}: nach Rest auflösen\\`
			`$130788 = 149 \cdot 877 + 115$ & $\rightarrow$ & $115 = 130788 - 149 \cdot 877$\\`
			`$877= 7 \cdot 115 + 72$ & $\rightarrow$ & $72 = 877 - 7 \cdot 115$\\`
			`$115= 1 \cdot 72 + 43$ & $\rightarrow$ & $43 = 115 - 72$\\`
			`$72= 1 \cdot 43 + 29$ & $\rightarrow$ & $29 = 72 - 43$\\`
			`$43= 1 \cdot 29 + 14$ & $\rightarrow$ & $14 = 43 - 29$\\`
			`$29= 2 \cdot 14 + 1$ & $\rightarrow$ & $1 = 29 - 2 \cdot 14$`
			`\end{tabular}`

			`\textbf{Schritt 3}: so lange Reste einsetzen, bis eine Linearkombination der Form`
			`$1 = x \cdot 877 + y \cdot 130788$ gefunden ist:`

			`\begin{align*}`
			`1 &= 29- 2 \cdot (43-29) \\`
			`1 &= 3 \cdot 29 - 2 \cdot (115 - 72) \\`
			`1 &= 3 \cdot (72 - 43) - 2 (130788-149 \cdot 877) + 2 \cdot (877 - 7 \cdot 115) \\`
			`1 &= 3 \cdot (877 - 7 \cdot 115) -3 \cdot (115 - 72) - 2 \cdot 130788 + 300 \cdot 877 -14 \cdot 155 \\`
			`1 &= 303 \cdot 877 - 2 \cdot 130788 - 38 \cdot 115 + 3 \cdot 72 \\`
			`1 &= 303 \cdot 877 - 2 \cdot 130788 - 38 \cdot (130788-149 \cdot 877) + 3 \cdot (877 - 7 \cdot 115) \\`
			`1 &= 5968 \cdot 877 - 40 \cdot 130788 - 21 \cdot (130788-149 \cdot 877) = 9097 \cdot 877 - 61 \cdot 130788`
			`\end{align*}`

			$\rightarrow d = 9097$

			`Probe:`

			`\[\frac{d \cdot e - 1}{\varphi(N)} = \frac{877 \cdot 9097 - 1}{130788} = 61\]`

			`Nun wird der Geheimtext $G$ mit dem Verschlüsselungsexponenten $e$`
			`aus dem Klartext $K$ berechnet:`

			`\begin{align*}`
			`G &\equiv K^e \imod{N}\\`
			`G &\equiv 12^877 \equiv 12 \cdot (12^6)^{2 \cdot 73} \equiv 12 \cdot 92698^{2 \cdot 73} \equiv 12 \cdot 122810^{73} \imod{131513} \\`
			`G &\equiv 12 \cdot 122810 \cdot 122810^{2 \cdot 2 \cdot 2 \cdot 3 \cdot 3} \equiv 27077 \cdot 122234^{2 \cdot 2 \cdot 3 \cdot 3} \equiv 27077 \cdot 90339^{2 \cdot 3 \cdot 3} \imod{131513} \\`
			`G &\equiv 27077 \cdot 95706^{9} \equiv 27077 \cdot 9189^{3} \equiv 27077 \cdot 56590 \imod{131513} \\`
			`G &\equiv 29467 \imod{131513}`
			`\end{align*}`

			`\subsection{Entschlüsselung mit dem privaten Schlüssel}`
			`\subsubsection{Entschlüsselung ohne den Chinesischen Restsatz}`
			`Der Geheimtext wird entschlüsselt, indem man ihn mit $d$ potenziert`
			`und dann denn kleinsten positiven Repräsentanten der Restklasse $N$`
			`berechnet: $K \equiv G^d \imod{N}$`

			`Im Folgenden wird die Entschlüsselung auf das vorhergehende Beispiel`
			`angewendet:`

			`\begin{align*}`
			`G &= 29467 ~~~ N= 131513 ~~~ d = 9097 \\`
			`K &\equiv G^d \imod{N}\\`
			`K &\equiv 29467^{9097} \imod{131513}\\`
			`K &\equiv 29467 \cdot (29467^2)^{2 \cdot 2 \cdot 3 \cdot 379} \equiv 29467 \cdot (55263^2)^{2 \cdot 3 \cdot 379} \equiv 29467 \cdot 4283^{2 \cdot 3 \cdot 379} \imod{131513} \\`
			`K &\equiv 29467 \cdot 89937^{2 \cdot 3} \equiv 29467 \cdot 88417^3 \equiv 29467 \cdot 24587 \imod{131513} \\`
			`K &\equiv 12 \imod{131513}`
			`\end{align*}`

			`\subsubsection{Entschlüsselung mit dem Chinesischen Restsatz}`
			`Falls der Entschlüsselungsexponent $d$ sehr groß ist, kann das`
			`Potenzieren lange dauern. Dies kann mit dem Chinesischem Restsatz`
			`beschleunigt werden\footnote{[Paixão], S. 1}.`
			`Diese Idee wurde [Paixão] entnommen:`

			`Der Geheimtext $G$ und der Exponent $d$ wird folgendermaßen geteilt:`

			`\begin{tabular}{llll}`
			`$\begin{aligned}`
			`G_p &\equiv G \imod{p} \\`
			`G_q &\equiv G \imod{q}`
			`\end{aligned}$ & und &`
			`$\begin{aligned}`
			`d_p &\equiv d \imod{p-1} \\`
			`d_q &\equiv d \imod{q-1}`
			`\end{aligned}$ &, da $e \cdot d \equiv 1 \imod{(p-1) \cdot (q-1))}$`
			`\end{tabular}`

			`Dies funktioniert, da der folgende Hilfssatz gilt:`

			`\begin{mdframed}[tikzsetting={draw=red,ultra thick}, innertopmargin=0.6cm]`
			$K^ed \equiv G \imod{p \cdot q} \Leftrightarrow K^{ed} \equiv G \imod{p} \land K^{ed} \equiv G \imod{q}$
			`\end{mdframed}`

			Nun wird dieser kleinere Teil von G mit den kleineren Exponenten "`entschlüsselt"':

			`\begin{align*}`
			`K_p &\equiv {G_p} ^ {d_p} \imod{p}\\`
			`K_q &\equiv {G_q} ^ {d_q} \imod{q}`
			`\end{align*}`

			`Der Chinesische Restsatz ermöglicht es nun, eine Lösung $K$ für die`
			`folgenden Kongruenzen zu finden:`

			`\begin{align*}`
			`K &\equiv K_p \imod{p}\\`
			`K &\equiv K_q \imod{q}`
			`\end{align*}`

			`Dazu müssen die multiplikativ inversen Elemente ermittelt werden:`
			`\begin{align*}`
			`y_p \cdot p \equiv 1 \imod{q}\\`
			`y_q \cdot q \equiv 1 \imod{p}`
			`\end{align*}`

			`Nun wird der Klartext zusammengesetzt:`
			`\[K \equiv (K_p \cdot y_p \cdot q + K_q \cdot y_q \cdot p) \imod{N}\]`

			`Diese Methode ist etwa vier mal schneller als die Entschlüsselung mit $d$\footnote{[Paixão], S. 2}.`

			`\subsection{Entschlüsselung ohne den privaten Schlüssel}`
			`Ist der Entschlüsselungsexponent $d$ unbekannt, so kann dieser durch`
			`Faktorisierung von $N$ zurückgewonnen werden. Faktorisiert man $N$, so`
			`kann $\varphi(N)$ berechnet werden und die Kongruenz $e \cdot d \equiv 1 \imod{\varphi(N)}$ gelöst werden.`

			`Als praktische Arbeit wurde mir folgende Aufgabe gestellt:`

			`\begin{mdframed}[tikzsetting={draw=black,very thick}, innertopmargin=0.6cm]`
			`\begin{verbatim}`
			`N := 65937_24735_90338_11941_75738_06421_27758_89771;`
			`e := 47;`
			`# geheime Botschaft:`
			`y := 65087_24329_19692_65260_21005_67465_76581_27499;`
			`\end{verbatim}`
			`Wie lautet die Botschaft im Klartext?`
			`\end{mdframed}`

			`Um diese Aufgabe zu lösen, versucht man den privaten Schlüssel mit`
			`Hilfe des öffentlichen Schlüssels wiederherzustellen.`

			`Der private Schlüssel $d$ muss die Kongruenzgleichung`
			`$e \cdot d \equiv 1 \imod{\varphi(N)}$ erfüllen, allerdings sind`
			`$\varphi(N)$ und $d$ nicht bekannt. Um $\varphi(N)$ zu berechnen,`
			`werden die Primfaktoren $p$ und $q$, aus denen $N$ besteht, benötigt.`
			`$N$ muss also faktorisiert werden. Sobald ein Faktor von $N$ bekannt`
			`ist, kann man $N$ durch diesen Faktor teilen und man erhält den`
			`zweiten Faktor. Dann kann man wie in Kapitel 7 vorgehen und $d$ % TODO link to kapitel`
			`berechnen. Mit $d$ kann man wie in Kapitel 7.2 beschrieben die % TODO link to kapitel`
			`Geheimbotschaft entschlüsseln.`

			`Wird das Aribas-Skript im Anhang ausgeführt, das diese Schritte`
			ausführt, erhält man den Klartext "`\textbf{RSAribas}"'.


			`\subsection{Sicherheit des RSA-Algorithmus}`
			Der RSA-Algorithmus kann, wie oben beschrieben, "`geknackt"' werden,
			`indem der öffentliche Schlüssel faktorisiert wird. Allerdings ist das`
			`bei großen Zahlen nahezu unmöglich, da die Algorithmen sehr lange`
			`Laufzeiten haben\footnote{[RSA-2190]}.`
			`Wie lange die Faktorisierung dauert hängt einerseits vom Algorithmus,`
			`andererseits von der Hardware ab.`

			Um ein Gefühl dafür zu bekommen was "`sehr lange"' bedeutet, kann man
			die "`RSA Factoring Challenge"' als Beispiel betrachten. Eine
			`193-stellige Zahl sollte Faktorisiert werden. Für diese Aufgabe`
			`wurde am 18. März 1991 ein Preisgeld von 20.000 US-Dollar`
			`ausgeschrieben. Ein Team des Instituts für Experimentelle Mathematik`
			`in Essen hat am 2. November 2005 diese Aufgabe gelöst und dafür`
			`über fünf Monate benötigt. Der Rechenaufwand betrug etwa 30`
			`2.2GHz-Opteron-CPU Jahre\footnote{[RSA-2964]}.`

			`Das Faktorisieren wird zwar immer schneller, da man über bessere und`
			`billigere Computer sowie effizientere Algorithmen verfügt, allerdings`
			`steigt mit den Hardwareverbesserungen die Sicherheit des`
			`RSA-Algorithmus. Mit einer besseren Hardware können deutlich größere`
			`Primzahlen erzeugt werden und damit auch ein deutlich längerer`
			`öffentlicher Schlüssel generiert werden, der zur Verschlüsselung der`
			`Nachricht dient.`

			`Ein verbesserter Faktorisierungsalgorithmus würde die Sicherheit des`
			`RSA-Kryptosystems gefährden. Es ist jedoch unwahrscheinlich, dass ein`
			`solcher Algorithmus gefunden wird, da das Problem als schwer`
			`angesehen wird.\footnote{[RSA-2191]}`

			`Ein weiterer möglicher Angriff auf das RSA-Kryptosystem wäre die`
			`$e$-te Wurzel $\imod{n}$ zu finden. Da $G \equiv K^e \imod{N}$ ist,`
			`wäre $K \equiv \sqrt[e]{K^e} \imod{N}$. Allerdings ist kein Angriff,`
			`der so funktioniert, bekannt4. Um zu veranschaulichen, dass bei einer`
			`Kongruenzgleichung nicht wie gewohnt die Wurzel gezogen werden kann,`
			`betrachte man folgendes Beispiel: $4 \equiv 16 \imod{3}$, aber`
			`$\sqrt{4} \neq \sqrt{16} \imod{3}$.`

			`\subsection{Warum der RSA-Algorithmus funktioniert}`
			`Der Geheimtext $G$ wird durch potenzieren mit $e$ gewonnen ($G \equiv K^e \imod{N}$)`
			`und der Klartext durch potenzieren mit $d$ ($K \equiv G^d \imod{N}$).`
			`Zu zeigen ist, dass`
			`$K \equiv K^{e \cdot d} \imod{N}$ mit $ed \equiv 1 \imod{\varphi(N)}$ gilt.`

			`Es kann folgende Umformung durchgeführt werden:`
			`\begin{align*}`
			`ed &\equiv 1 \imod{\varphi(N)}\\`
			`ed &= 1 + x \cdot \varphi(N) \text{mit } x \in \mathbb{Z}`
			`\end{align*}`

			`Daraus folgt:`
			`\[K^{e \cdot d} = K^{1 + x \cdot \varphi(N)} = K \cdot K^{x \cdot \varphi(N)}\]`

			`Nun wird der \textbf{Satz von Fermat-Euler} als Hilfssatz eingeführt:`
			`\begin{mdframed}[tikzsetting={draw=red,ultra thick}, innertopmargin=0.6cm]`
			`$K^{\varphi(N)} \equiv 1 \imod{N}$ für $K, N \in \mathbb{N}$ und $ggT(N, K) = 1$`
			`\end{mdframed}`

			`Beweis nach [Reiss], S. 218 f.:`
			`\hangindent2em`
			`\hangafter=0`
			`Es gibt $\varphi(N)$ verschiedene, zu $N$ teilerfremde Reste. Da $K$`
			`zu $N$ teilerfremd ist, muss auch jedes der Produkte`
			`$K \cdot r_1 , K \cdot r_2 , \dots, K \cdot r_{\varphi(N)}$ zu $N$`
			`teilerfremd sein.`

			`Es gilt:`
			`\begin{align*}`
			`\prod_{i=1}^{n=\varphi(N)} K \cdot r_i &\equiv \prod_{i=1}^{n=\varphi(N)} r_i \imod{N}\\`
			`K^{\varphi(N)} \prod_{i=1}^{n=\varphi(N)} r_i &\equiv \prod_{i=1}^{n=\varphi(N)} r_i \imod{N}`
			`\end{align*}`

			`Da alle $r_i$ teilerfremd zu N sind, kann man durch das Produkt teilen. Daraus ergibt sich:`
			`\[K^{\varphi(N)} \equiv 1 \imod{N}\]`

			`Das bedeutet für den RSA-Algorithmus:`
			`\[K \cdot K^{x \cdot \varphi(N)} \equiv K \cdot (K^{\varphi(N)})^x \equiv K \cdot 1^x \equiv K \imod{N}\]`