## Kryptologie

Die **Kryptologie** ist die Wissenschaft von der sicheren Übermittlung (auch Speicherung) von Information (Daten).
Üblich ist eine Unterteilung in **Kryptographie** (wie erstellt man eine Chiffre, d.h. ein Verschlüsselungssystem) und in **Kryptoanalyse** (wie knackt man eine Chiffre).


#### Sicherheitsziele  

* **Vertraulichkeit**: Die Nachricht, die man erhält, ist nicht von dritten Personen gelesen worden.
* **Integrität**: Die Nachricht, die man erhält, ist von keiner dritten Person manipuliert worden.
* **Authentizität**: Die Nachricht, die man erhält, stammt wirklich von der Person, die als Absender angegeben ist.
* **Verbindlichkeit**: Der Urheber kann nachträglich nicht bestreiten, die Nachricht verfasst zu haben.

#### Ausgangssituation und Rollen
**Alice** will **Bob** eine Nachricht schicken. Dazu wandelt sie den **Klartext** in einen **Geheimtext** um (**Chiffrierung**) und verschickt den Geheimtext. Bob wandelt den Geheimtext wieder in einen Klartext um (**Dechiffrierung**).

**Angreifer**: **Eve** will den Text mitlesen (ohne ihn zu verändern). **Mallory** will die verschickte Nachricht verändern.



#### Vorbereitung des Klartexts
In unseren Beispielen wandeln wir den Klartext zunächst in einen Text um, der keine Umlaute hat, keine Satzzeichen, keine Leerzeichen und der nur aus Großbuchstaben besteht. Dazu verwenden wir die Funktion *prepare*

In [None]:
def prepare(s):
    '''
    s: Klartext
    returns: String, Klartext ohne Umlaute, Satzzeichen, Leerzeichen, nur Großbuchstaben
    '''
    s = s.upper()
    s = s.replace('Ö','OE').replace('Ü','UE').replace('Ä','AE').replace('ß','SS')
    return ''.join([c for c in s if c.isalpha()]) 

In [None]:
def prepare1(s):
    '''
    s: Klartext
    returns: String, Klartext ohne Umlaute, Satzzeichen, Leerzeichen, nur Großbuchstaben
    '''
    s = s.upper()
    s = s.replace('Ö','OE').replace('Ü','UE').replace('Ä','AE').replace('ß','SS').replace('\n',' ')
    return ''.join([c for c in s if c.isalpha() or c==' ']).strip()

In [None]:
s = """
Dies ist mein geheimer Text.
Er muss gut verschlüsselt werden.
"""
print(prepare(s))

#### Cäsar-Chiffre

Die Cäsar-Chiffre gehört zu den **monoalphabetischem Substitutionschiffren**: Jeder Klartextbuchstabe wird durch immer denselben Geheimtextbuchstaben ersetzt. Bei der Cäsar-Chiffre geschieht die Ersetzung durch Verschiebung im Alphabet um einen festen Betrag.



[Cäsar-Chiffre](https://kryptografie.de/kryptografie/chiffre/caesar.htm)

Für die Cäsar-Chiffre gibt es nur 25 verschiedene Schlüssel. Der **key-space** hat die Größe 25. Mit einem **brute-force-Angriff** lässt sich eine Cäsar-Chiffre brechen.

Ein konkretes Verschlüsselungsverfahren besteht aus dem Verschlüsselungsalgorithmus und einem Schlüssel, z.B. Cäsar-Chiffre mit Schlüssel 3.

#### Kerckhoffs' Prinzip

Das Kerckhoffs’sche Prinzip ist ein im Jahr 1883 von Auguste Kerckhoffs formulierter Grundsatz der modernen Kryptographie, welcher besagt, dass die Sicherheit eines Verschlüsselungsverfahrens auf der Geheimhaltung des Schlüssels beruht und nicht auf der Geheimhaltung des Verschlüsselungsalgorithmus.

#### Monoalphabetische Substitution

Dabei wird ein Buchstabe durch einen anderen ersetzt. Es muss nicht mehr eine feste Verschiebung sein (wie bei Cäsar), sondern kann eine beliebige Permutation sein.
Der Schlüssel ist diese Permutation.

In [None]:
import random
s = 'ABCDEFGHIJKLMNOPQRSTUVWXYZ'
a = list(s)
random.shuffle(a)
s1 = ''.join(a)
print(s)
print(s1)

[Monoalphabetische Substitution](https://kryptografie.de/kryptografie/chiffre/monoalphabetische-substitution.htm)

Der *key-space* besteht aus allen Permutationen der 26 Buchstaben. Ein brute-force Angriff ist nicht mehr möglich.

In [None]:
import math
a = math.factorial(26)
print(f'{a}, {a:5.2e}')

Mit einer Häufigkeitsanalyse lassen sich monoalphabetische Substitutionen brechen.

#### Übung

Ermittle mit diesem [Solver-Tool](https://kryptografie.de/kryptografie/kryptoanalyse/solver-tool-zum-manuellen-knacken-von-monoalphabetischen-substitutions-chiffren.htm) den Klartext mit einer Häufigkeitsanalyse:


ZUTSWULL OBA ROTR BQNDAUDA WRO SRD CJRO IUTTBYZUMART IOA FR BORWRT BQORLRDT BRYZB MRLSBQORLRD PTS ROT ANDJUDA XRXRTROTUTSRD BQORLRT SUB CORL SRB BQORLB WRBARZA SUDOT SRT ZUTSWULL OT SUB XRXTRDOBYZR ANDCP JRDMRT PTS SUIOA ROT AND CP RDCORLRT RB XRJOTTA SOR IUTTBYZUMA SOR TUYZ UWLUPM SRD BQORLCROA CJROIUL  IOTPART WRO FPXRTSIUTTBYZUMART VPRDCRDR BQORLCROART SOR IROBART ANDR RDCORLA ZUA TRWRT SRI ZULLRTZUTSWULLIROBA UWXRVPRDCA ZUTSWULL XRTUTTA XOWA RB TNYZ CJRO JROARDR HUDOUTART SRT MDPRZRD JRBRTALOYZ ZURPMOXRD XRBQORLART MRLSZUTSWULL PTS SRT WRUYZZUTSWULL SRD BOYZ JUYZBRTSRD WRLORWAZROA RDMDRPA

#### Vigenere-Chiffre
Die Vigenere-Chiffre gehört zu den polyalphabetischen Substitutionschiffren. Derselbe Klartextbuchstabe kann durch unterschiedliche Geheimtextbuchstaben ersetzt werden. Es kommt auf seine Position im Text an.
Sender und Empfänger vereinbaren ein Schlüsselwort. Oft schreibt man es mit Wiederholungen unter den Klartext. Der Schlüsselbuchstabe bestimmt dann, mit welchem Alphabet der Klartextbuchstabe verschlüsselt wird. Häufig verwendet man dazu ein **Vigenere-Quadrat**.


<img src='vigenere.png' width='600'>





[Vigenere](https://kryptografie.de/kryptografie/chiffre/vigenere.htm)

Die Vigenere-Chiffre wurde um 1500 entwickelt und galt ca. 350 Jahre als sicher. Das Hauptproblem beim Brechen der Chiffre ist die Bestimmung der Schlüssellänge. Zwei Verfahren zur Bestimmung der Schlüssellänge sind der **Kasiski-Test** und der **Friedman-Test**. Beide benötigen einen nicht zu kurzen Geheimtext.

[Kasiski-Test](https://kryptografie.de/kryptografie/kryptoanalyse/kasiski-test.htm)

Wenn häufig vorkommende Buchstabenfolgen zufällig auf dieselbe Schlüsselposition fallen, wiederholen sich auch gleichartige Sequenzen im Geheimtext. Der Abstand dieser Sequenzen ist also ein Vielfaches der Schlüssellänge.

<img src='kasiski.png' width='450'>

[Friedman-Test](https://kryptografie.de/kryptografie/kryptoanalyse/friedman-test.htm)

Der Friedman-Test nutzt den **Friedmanschen Koinzidenzindex**. 
Der Koinzidenzindex einer Zeichenfolge ist die Wahrscheinlichkeit, an zwei zufällig gewählten Positionen den gleichen Buchstaben zu finden.

Für einen hinreichend langen deutschen Text können wir den Koinzidenzindex $K_d$ mit den Daten der Häufigkeitstabelle *hf_deutsch* bestimmen.

In [None]:
hf_deutsch = {'E': 17.40, 'N': 9.78, 'I': 7.55, 'S': 7.27, 'R': 7.00, 'A': 6.51, 'T': 6.15, 'D': 5.08, 
              'H': 4.76, 'U': 4.35, 'L': 3.44, 'C': 3.06, 'G': 3.01, 'M': 2.53, 'O': 2.51, 'B': 1.89, 
              'W': 1.89, 'F': 1.66, 'K': 1.21, 'Z': 1.13, 'P': 0.79, 'V': 0.67, 'J': 0.27, 'Y': 0.04, 'X': 0.03, 'Q': 0.02}

<img src='friedmann1.png' width='801'>

In [None]:
Kd = 0
for c in hf_deutsch:
    Kd += (hf_deutsch[c]/100)**2
print(f'Koinzidenzindex für deutschen Text {Kd:5.3}')

Auch den Koinzidenzindex $K_r$ für einen (random)-Text aus Zufallsbuchstaben können wir berechnen.

In [None]:
Kr = 1/26
print(f'Koinzidenzindex für Zufalltext {Kr:5.3}')
 

Für einen gegebenen Geheimtext können wir den Koinzidenzindex durch Auszählen der Häufigkeiten berechnen

<img src='friedmann2.png' width='700'>

In [None]:
gt = 'JZS ZVREAHXV JIEDCUOAVGWRWUAJ OJH IVY KYDYJWWPSEF YKITEUCEA GKI YVLATBJXRDLVP DNV OD GIPSZRKTKSR WLHEKAERIEE EAWCZQORWT JXXUS MUC HNXVKAIEVMNO OJH HVP NHWFLBK RTNRV YTVPHPSFHRNCVGPS QDY WIIE PIAH SVVVSLCUH BVFWPSIREAEU HRC BHFNJHEOPN FRXXH HVPS HQZVFWPSEVGKK GMR GOA HOETEPSEA PUECEYAHNEKKWWPSEA PKKVSQPN JLK USV PLEFDX TVMSQRR EKZ RIE UEQHX SIGUDTNEK USW XWAEWKOHIF DTRWY LA HVP GYHOTVI NYZNKR RB WGPLYHT ZA EYAHNEKK JIEDCURHVB AVCD  OHO USV ITGRQKIS QREHBGK NWVQ OAF VIYZYRDSROCFFX JTEQHXYCPG FNGHX USR XWAEWKOH KRDCUUOVPIA MIF HY UWI TWEVFNV ZERYGR ZOV RMR YAPKXZQLG SAG MKUSV OFCUVZRPI QPS XOGIHIKEEF ZOIR HNYN HP JZS TBDIGLUE RIF UEJHOCWKRY BHFNJHEOPNF DAJ RIZ DCUOAVGWRWWBUZ ZA EYAHNEKK JIEDCURHVB HNOUEFN VFKVMT FLIY SMAP PBOERZTULBRWOJQLR GEEVIYZYRDSROAEU HVP EVQK ISKRWMNHYJWKR MUPKYKOFRYHNHAWWKXPIGVGEOPLDE RUYTVARCT  RLT SSMFAIRO GEUIAZMZHT USV XWAEWKOH MFE DNVOJHIVYTRVZ LBH QLS FFNCIIFDEYZUIH PNFTRW YTVPHPSFHR QIIEDT JLXU REF DCUOAVGWRWWBUZ LSFRC DRQ QCOVGPXG JKCSKG FNQ ZOVRIESOYW  JRGMFEEVQZVGX FNHYXKJGIYDCU  QAE KMEO JRGKI PYPSSGDHV RIF VLNUZVLXRD UZ GOV DSFTTVRT USW RYTFSXVQLRYDRQ YTVPHPSFHRSIGUDTNEKEG ZRCSPKUSSR QLBRL YKSLG L FHHX VWRR GEEVIYWIOFNT XS EIPY M FHHX VWRR GEEVIYWIOFNT XS VWRF N FHHX VWRR GEEVIYWIOFNT XS QKIV FNQ VU NSMGPR JHTE RIE DCUOAVGWRWBHFNJHEOP AYVU J WWG HIEG JVF OYLRGHDKPYPSSGDHV IQ RTNR HTKGTEPCUHTUS EAKAUO GE GXRWLRQ BVFWPSOOHT  WFYRSEE JGCH HVP VVJKESVR NHVILIS EYD NVFNK NY XYAPNKE GMR HUEGK JCKNC AYV RV QLVQFEH OERIPSISIXRPPR MEMHOTVRRE WNV YF JMRW BRGKLHIG HIR GOV IRRYTFFNCIIFDEYEGIS GUTFSUK UCGU TM AHAENIUYTRQ PRVVUFNQHXK SRGHIPNKCHI QPR QHAKGGUP MNWNVAEGTKRU LIWIQCIPK QRGMFVI RLTV AIGSOQH AD RMR GEEVIYZYRDSROAEU DH MRRFNVB WRTNR DTRZCFP BNVOVFX QLRNXL NWIQPRXHNISRQP MHVZVF MZ REUHODHIKE ZH LJVBXVQIMLKISR HX DVH RRSRTP DRV YTVPHPSFHRNCVGPS MX HVGXVXMRQ NRH QNY DVH RRSRTP EEVZ VWRZLL UHXRIWTPFHQJVB ONYN ZDT USR TPHRLSKSBG TN RLTQSPAP CNHYRF GUTFSUKE OYSEEVOKE IRQ PNGVIYZYRDSROT  YSYGP WVUJ UWI ITGRQKIS ZRCSPKRLSWFPLHQM EWGUE MRKX WIIE DIPKKIS OBXMHQOBOXVZN THTLHDG OA ZRJVFRR NOZSAKSV FTE FFNESPY VNNFQVB OBPNAHT USRAZCU ERVWFG DIR HOE KMPSTVJKJ PIVDPVHR WIIE OIR HTKKMPVLHQM USV XCYCWUXFECSIR VOV NIVRT JLK UWI FTCUHXYSMG OUEFN GCPLLLCKGSSXVDCUH BVFWPSLHHYJSPHYG IHXSSWFPRG ZKIRIA VAAQ AER AVP MHVZVFEALLLVKE NYE PNGVIYZYRDSROAEU ZRCWRQJVH ARCDRQ  GLQL VY DRU SFRIEYEA NXPDXBRRNSNZS WCTEYHT RSLAWIPKK GFMAKICLKE SMAP RBORV JIEQAUUKE KMR OIR VEDAIGCIFFNV JIEDCUOAVGWRWUAJ SZH PNYGRQ YTVPHPSFHRE CHRC DVH TLHDHYG IRT GGIHOOMXLRZPFKAUOKE PEHPN NXL USR VOERQ JVF ZVREAHXV JIEDCUOAVGWRWUAJ GLT WVP SVQJ RZPRCDVQMJ RIHELVFN JWGUPRRU JR GMR PIAH YVVV TCOFVK RBDNSL ZRKXZMPSEE VIYZYRDSRO HZSXRY  FHHX JQLHPLRU AER IVYSGHOXSV VY DVH QIMTGZGEDVYWI VDT QLK MWKRYEEH BVFWPSLHHYJSPHYG RLTV ORFNHNXRZQLR XEGKUUS YZ OIR SXZBDVAIRQ JVF ZRCSPKRLSWFPLHQM LBH RYTFFNCIIFDEYXTX NY IPRFWKYSR FTE RUSFSKYTCUW VIOOGTSPKK LSFHYGRQ HVW HRYEA QGTVVVNHGHT MSV HYD RQZJQLYFEFVKCH ARCDRQ QFSRAPN QDHVW DRTGG VOTV AVP SPKRLSWFPLJRXKS HVP SVFNVFLRTT OHKZBJYFSFHT LBH JLRHP KZBI NFSEHOTVIAO LNQMV IRQ KUSDKCZMTP ZRLIYSRSZLTH LLSV RTNRQ YZQLRCEA VIYZYRDSRO CZQLGTG VVZ'
gt

In [None]:
from collections import Counter
def getKoinzidenzindex(s):
    hf = Counter(s)
    anz = 0               
    for c in s:
        if c in hf_deutsch:
            anz+=1
    
    Kg = 0
    for c in hf_deutsch:
        Kg += hf[c] * (hf[c]-1)
    return Kg/(anz * (anz-1)), anz

Kg, anz = getKoinzidenzindex(gt)
print(f'Koinzidenzindex = {Kg:5.3}, Länge = {anz}')


Den Koinzidenzindex des gegebenen Textes können wir auch darstellen als Summe zweier Wahrscheinlichkeiten. Daraus ergibt sich eine Gleichung, die wir nach der Schlüssellänge d auflösen können.

<img src='friedmann3.png' width='1001'>

In [None]:
def getSchluessellaenge(Kg, l):
    return 0.0377*l/((l-1)*Kg-0.0385*l+0.0762)

getSchluessellaenge(Kg,anz)

#### Brechen einer Vigenere Chiffre

Zum Brechen einer Vigenere-Chiffre gehen wir wie folgt vor
* Mit Kasiski-Text und Friedmann-Text stellen wir eine Vermutung über die Schlüssellänge d auf
* Über die Häufigkeitsverteilungen jedes d-ten Zeichens ermitteln wir die Verschiebelängen für die ersten d Zeichen

[Kasiski-Test](https://kryptografie.de/kryptografie/kryptoanalyse/kasiski-test.htm) <br>
[Friedmann-Test](https://kryptografie.de/kryptografie/kryptoanalyse/friedman-test.htm) <br>
[Schlüsselrekonstruktion](https://kryptografie.de/kryptografie/kryptoanalyse/2-3-2-brechen-von-vigenere-mittels-schluesselrekonstruktion.htm)

Wenn die Häufigkeitsverteilung plausibel aussieht, können wir mit der Funktion getZeichen, den entsprechenden Buchstaben des Schlüssels ermitteln.

In [None]:
def getZeichen(c):
    ''' c - Buchstabe mit größter Häufigkeit in einer Cäsar-Chiffre 
    returns: zugehöriger Buchstabe des Vignere-Schlüsselworts '''
    c = c.upper()
    d = (ord(c)-ord('E'))%26
    return chr(ord('A')+d)

In [None]:
getZeichen('V')

#### One Time Pad

Das One Time Pad können wir uns vorstellen wie eine Vigenere-Chiffre, bei dem der Schlüssel genauso lang ist wie die zu verschlüsselnde Nachricht und bei der die Buchstabenreihenfolge des Schlüssels zufällig ist. Das One Time Pad ist absolut sicher, denn bei unbekanntem Schlüssel ist zu einem gegebenen Geheimtext jeder Klartext gleich wahrscheinlich.

Das One Time Pad ist aber auch äußerst unpraktisch, denn der unter Umständen sehr lange Schlüssel muss ja irgendwie zwischen den Kommunikationspartnern ausgetauscht werden - er lässt sich wegen der Zufälligkeit der Buchstabenfolge in der Regel auch nicht "auswendig lernen".

### Rechnen in Restklassenringen

Um moderne kryptologische Verfahren zu verstehen, schauen wir uns zuvor das Rechnen in Restklassenringen an.

#### Rest bei Division

Was ist der Rest bei Division einer ganzen Zahl durch eine natürliche Zahl?



<img src='rest01.png' width='700'>

Auch wenn eine negative Zahl ganzzahlig dividiert wird, ist der Rest (nach Definition) immer positiv oder Null.

<img src='modulo02.png' width='700'>

In [None]:
-5//7, -5%7 

In [None]:
-13//7, -13%7

#### Der Restklassenring

Mit $Z_7$ bezeichnen wir den *Restklassenring modulo 7*.



<img src='modulo01.png' width='600'>

Wir fassen alle Zahlen als gleich auf, die bei der Division von 7 denselben Rest ergeben und fassen sie zur einer Restklasse zusammen. <br>
Wir nutzen folgende Schreibweisen:

<img src='modulo03a.png' width='700'>

Rechnen im Restklassenring

<img src='modulo04.png' width='801'>



In [None]:
(3+6)%7

In [None]:
(4-6)%7

In [None]:
(4*3)%7

Rechnen als Bewegung im Restklassenring:

$3+6$: wir wandern erst Kreisbogen 3, dann Kreisbogen 6, beides im Uhrzeigersinn. <br>
$4-6$: wir wandern erst Kreisbogen 4 im Uhrzeigersinn, dann Kreisbogen 6 gegen Uhrzeigersinn <br>
$4*3$: wir setzen den Kreisbogen 4 dreimal hintereinander.



<img src='division01.png' width='700'>









In [None]:
for i in range(1,7):
    print(i,2*i%7)

In [None]:
# was ist 1/5 in Z8?
# was ist 1/2 in Z8?
for i in range(1,8):
    print(i,2*i%8)



Es gilt: Wenn $p$ Primzahl, dann sind Brüche in $Z_p$ wohldefiniert.

<img src='division02.png' width='600'>

In [None]:
for i in range(1,7):
    print(i,5*i%7)


<img src='potenzen.png' width='700'>












In [None]:
(4**5)%7

**Außer dem diskreten Logarithmus** lassen sich alle Operationen  auch für sehr große Zahlen effektiv durchführen.

#### Primitivwurzel

Eine Zahl k in $Z_p$ heißt *Primitivwurzel*, wenn man durch potenzieren von k alle Zahlen in  $Z_p$ außer der Null erreichen kann.

<img src='primitivwurzel.png' width='700'>

Beispiel: 3 ist Primitvwurzel in $Z_7$, 2 nicht.

In [None]:
n = 11
k = 9
for i in range(1,n+1):
    print(i,k**i%n)

<img src='fermat.png' width='601'>

Beim Rechnen im Restklassenring können wir Zwischenergebnisse durch kleinere Zahlen in derselben Restklasse ersetzen. 

In [None]:
(7050 * 495 + 1208 * 67) % 7 

#### Das Powermod Verfahren

Für die Exponentiation nutzen wir das *Powermod-Verfahren*. Wir berechnen die Bestandteile des Ergebnisses durch fortgesetztes Quadrieren. Die Umwandlung des Exponenten in eine Dualzahl gibt an, welche Teilergebnisse wir miteinander multiplizieren müssen.

<img src='powermod.png'>

In [None]:
19**123%7

#### Erweiterter Euklidscher Algorithmus 

Zum Berechnen von $1/k$ nutzen wir den *erweiterten Euklidschen Algorithmus*

Satz: Seien a, b natürliche Zahlen, dann gibt es ganze Zahlen x, y mit: $a*x + b*y = ggT(a,b)$. Der erweiterte euklidsche Algorithmus ist ein effektives Verfahren, um die beiden Zahlen x und y zu finden.

Beispiel: $a = 110, b = 32$

<img src='ggt.png' width='600'>


In [None]:
110*7 + 32*(-24)

<img src='bruch.png' width='600'>

In [None]:
13*16%29

#### Diffie-Hellman Schlüsselaustausch

Symmetrische Verschlüsselungsverfahren (z.B. AES-256) setzen voraus, dass beide Kommunikationspartner denselben Schlüssel besitzen. Beim Diffie-Hellmann Verfahren wird mit öffentlicher Kommunikation ein geheimer Schlüssel ausgetauscht.

<img src='diffie02.png' width='500'>

Beispiel:

<img src='diffie01.png'>

<img src='diffie03.png' width='400'>


Alice und Bob vereinbaren eine Primzahl $p$ und eine Generatorzahl $g \in \{1,2,...p-1\}$, am besten eine Primitivwurzel in 
$\mathbb{Z}_p$. Alice wählt geheim eine Zahl $a$ aus, Bob geheim eine Zahl $b$ mit $a,b \in \{1,2,...p-1\}$.  
Alice berechnet $A = g^a \text{ mod } p$, Bob berechnet $B = g^b \text{ mod } p$.  Dann tauschen beide $A$ und $B$ aus.  Das bedeutet, 
$p,g,A,B$ sind öffentlich bekannt, $a$ kennt nur Alice, $b$ nur Bob.  

Beide können nun den gemeinsamen Schlüssel $K$ berechnen: <br>
Alice: $B^a = (g^b)^a = g^{ba} = K \text{ mod } p$ <br>
Bob: $A^b = (g^a)^b = g^{ab} = K \text { mod }p$ 



#### Man-in-the-middle Angriff auf Diffie-Hellman

Mallory kontrolliert das Netzwerk. Er gibt sich gegenüber Alice als Bob aus und gegenüber Bob als Alice. Mit beiden vereinbart er getrennte Schlüssel $g^{am}$ und $g^{bm}$.

<img src='middleMan.png'>

#### RSA-Verfahren

Das RSA-Verfahren gehört zu den asymmetrischen Verschlüsselungsverfahren. Die beiden Schlüssel für die Kommunikationspartner sind nicht gleich.



<img src='rsa01.png' width='901'>

Beispiel:

<img src='rsa02.png' width='900'>

Nebenrechnungen:

<img src='rsa03.png' width='900'>

Alice wählt zwei Primzahlen $p$ und $q$ und berechnet $m = p \cdot q$ und $\tilde{m} = (p-1)(q-1)$.
Alice wählt Verschlüsselungsexponent $e$ mit $1 < e < \tilde{m}$ und $\text{ggT}(e,\tilde{m}) = 1$ und berechnet
Entschlüsselungsexponent $d$ mit  $d$ mit $d = \dfrac{1}{e}$ in $\mathbb{Z}_{\tilde{m}}$.

Dann ist der öffentliche Schlüssel  $(m,e)$ und der private Schlüssel $(m,d)$.

Für die zu verschlüsselnde Nachricht $n$ muss gelten: $0<n<m$.

Bob verschlüsselt $n: N = n^e \text{ mod } m$ <br>
Alice entschlüsselt $N:  n = N^d\text{ mod } m$ 



Die Sicherheit des Verfahrens hängt davon ab, dass der Angreifer das öffentlich bekannte $m$ nicht in die beiden
Primfaktoren $p$ und $q$ zerlegen kann. Sonst könnte er $\tilde{m}$ berechnen und dann auch das Inverse zu dem öffentlichen $e$ in $\mathbb{Z}_{\tilde{m}}$. 

**Aufwand für die Faktorensuche**

Wenn wir versuchen, die Faktoren einer Zahl mit 300 Stellen zu finden, testen wir nur Primzahlen, die kleiner als
$\sqrt{10^{300}} = 10^{150}$ sind. Nach der Abschätzung von Euler gilt für große $n$, dass es ca. $\frac{n}{\ln(n)}$ Primzahlen unterhalb von $n$ gibt.


$\ln(10^{150}) = 150 \cdot \ln(10) \approx 150 \cdot 2.3 = 345.4$. Also müssen wir $\frac{10^{150}}{345.5} \approx 3 \cdot 10^{147}$ Kandidaten testen.

Annahme: 1 Computer schafft $10^{12}$ Prüfungen pro Sekunde (1 Million Millionen). Das sind im Dauerbetrieb pro Jahr: 
$10^{12} \cdot 60 \cdot 60 \cdot 24 \cdot 365 \approx 3 \cdot 10^{19}$ Prüfungen. Das bedeutet $\frac{3 \cdot 10^{147}}{3 \cdot 10^{19}} = 10^{128}$ Jahre für alle Prüfungen (Alter des Weltalls: ca. $10^{10} Jahre)$.



#### Kryptographische Hashfunktionen 

Hashfunktionen bilden Eingabewerte (z.B. ein Text oder eine Datei) auf einen Wert fester Länge ab, den **Hash** der Eingabe.  Beispiel: SHA-256 bildet Eingaben auf eine Bitfolge der Länge 256 ab.  

Kryptographische Hashfunktionen sind kollisionsresistene Einwegfunktionen. Kollisionsresistent bedeutet, es ist praktisch unmöglich, zwei Eingaben zu finden, die denselben Hash ergeben. Einwegfunktion bedeutet, es ist praktisch unmöglich, aus dem Hashwert den Eingabewert zu rekonstruieren.

In [10]:
from hashlib import sha256 
hash = sha256(b"Dies ist eine geheime Botschaft").hexdigest()
hash

'e61000e5186a1e65c85ad713d438f85a3b2028eb1c7b9cfe69c1954c3976146a'

In [11]:
bin(int(hash,16))    # Dezimal in Binär

'0b1110011000010000000000001110010100011000011010100001111001100101110010000101101011010111000100111101010000111000111110000101101000111011001000000010100011101011000111000111101110011100111111100110100111000001100101010100110000111001011101100001010001101010'

In [12]:
len(bin(int(hash,16))[2:])    # Die Binärdarstellung des hash-Wertes hat 256 Ziffern

256

#### Digitale Signatur

Mit dem RSA-Verfahren und einer kryptographischen Hashfunktion kann eine digitale Signatur erstellt werden. 

<img src='signatur.png'>

Beim Diffie-Hellman Schlüsselaustausch werden die öffentlichen Informationen von Alice und Bob mit einer digitalen Signatur versehen. Dadurch ist das Verfahren vor einem Man-in-the-middle-Angriff geschützt.  


#### Public Key Infrastruktur (PKI)

Ein Problem des RSA-Verfahrens ist die *Authentizität* des öffentlichen Schlüssels, also die Frage, ob der öffentliche Schlüssel wirklich zu der Person gehört, die ihn (z.B. auf einer Internetseite) präsentiert. Um dies sicherzustellen, muss der öffentliche Schlüssel von einem anerkannten Vertrauensbüro, einen Trust-Center, zertifiziert werden. Der prinzipielle Ablauf:

<img src='zertifizierung.png'>

[youtube](https://www.youtube.com/watch?v=0ctat6RBrFo)