Merkle-Hellman-Kryptosystem

Das Merkle-Hellman-Kryptosystem (MH) ist ein 1978 veröffentlichtes, asymmetrisches Verschlüsselungsverfahren, das auf dem Rucksackproblem basiert. Es wurde 1983 gebrochen.

Beschreibung[Bearbeiten | Quelltext bearbeiten]

Das Merkle-Hellman-Kryptosystem ist eines der ersten asymmetrischen Verschlüsselungsverfahren und wurde von Ralph Merkle und Martin Hellman entwickelt.^[1] Anders als bei manchen anderen Verschlüsselungsverfahren (bspw. dem RSA-Kryptosystem) gibt es hier kein analoges Verfahren zur digitalen Signatur. Da es sich um ein asymmetrisches Verfahren handelt, wird zur Verschlüsselung ein öffentlicher Schlüssel benutzt, der von dem zur Entschlüsselung benutzten geheimen Schlüssel verschieden ist.

Das Merkle-Hellman-Kryptosystem basiert auf dem Rucksackproblem. Da das allgemeine Rucksackproblem ein NP-schweres Problem ist, eignet es sich, um daraus eine Einwegfunktion zu konstruieren. Dabei dient eine Menge aus Gegenständen unterschiedlichen Gewichts, die solch ein allgemeines Rucksackproblem beschreiben, als öffentlicher Schlüssel. Der geheime Schlüssel besteht auch aus einer solchen Menge von Gewichten, welche aber ein einfaches Rucksackproblem beschreiben. In dem geheimen Schlüssel bilden die Gewichte einen stark steigenden Vektor ${\displaystyle a}$, für den ${\displaystyle a_{i}>\sum _{k=1}^{i-1}a_{k}}$ für alle ${\displaystyle i}$ gilt. Ein so beschriebenes Rucksackproblem ist einfach durch einen Greedy-Algorithmus in Linearzeit lösbar. Der öffentliche Schlüssel berechnet sich aus dem geheimen Schlüssel.

Schlüsselerzeugung[Bearbeiten | Quelltext bearbeiten]

Im Merkle-Hellman-Kryptosystem sind die Schlüssel Mengen aus Gegenständen mit einem bestimmten Gewicht. Der öffentliche Schlüssel formuliert ein 'schweres', der private ein 'einfaches' Rucksackproblem. Kombiniert man den privaten Schlüssel mit zwei Zahlen, dem Multiplikator und dem Modul, kann man aus dem einfachen Rucksackproblem ein schweres konstruieren. Da diese beiden Zahlen auch gebraucht werden, um aus dem schweren Problem das einfache zu gewinnen, gehören diese beiden Zahlen auch zum privaten Schlüssel. Diese Transformation gelingt in Polynomialzeit.

Aus dem privaten Schlüssel ${\displaystyle A}$, dem Multiplikator ${\displaystyle n}$ und dem Modul ${\displaystyle m}$ erhält man den öffentlichen Schlüssel ${\displaystyle B}$ folgendermaßen: ${\displaystyle B_{i}=\left(A_{i}\cdot n\right)\mod {m}}$

Dabei sollten der Multiplikator ${\displaystyle n}$ und der Modul ${\displaystyle m}$ teilerfremd sein. Am einfachsten erreicht man dies dadurch, dass man als Modul eine Primzahl wählt. Außerdem sollte der Modul eine Zahl sein, die größer ist als die Summe der Elemente des Rucksackes.

Verschlüsselung[Bearbeiten | Quelltext bearbeiten]

Um eine Nachricht zu verschlüsseln, verwendet man den öffentlichen Schlüssel. Wir nehmen an, dass die zu verschlüsselnde Nachricht in einem Binärformat vorliegt. Diese wird dann in Blöcke ${\displaystyle b_{i}=(x_{1},\ldots ,x_{\left\vert B\right\vert })}$ geteilt, deren Größe der Größe der Menge an Gegenständen im öffentlichen Schlüssel entspricht. Jeder dieser Blöcke wird einzeln mit dem öffentlichen Schlüssel verschlüsselt. Korrespondiert nun ein Element im Schlüssel mit einer ${\displaystyle 1}$ im Block, dann werden diese Elemente zum Ergebniswert addiert.

${\displaystyle C_{i}=\sum _{k=1}^{\left\vert B\right\vert }B_{k}\cdot {b_{i}}_{k}}$

Die Werte ${\displaystyle C_{i}}$ ergeben dann den Geheimtext.

Entschlüsselung[Bearbeiten | Quelltext bearbeiten]

Die Entschlüsselung ist möglich, weil der Multiplikator und der Modul, die für die Erzeugung des öffentlichen Schlüssels benutzt wurden, auch dazu benutzt werden können, den Geheimtext ${\displaystyle C_{i}}$ in eine Summe von Elementen ${\displaystyle D_{i}}$ des einfachen Rucksackproblems zu transformieren. Daraufhin kann dann ein naiver Greedy-Algorithmus verwendet werden, um zu bestimmen, welche Elemente des privaten Schlüssels in der Summe vorkommen.

${\displaystyle D_{i}=\sum _{k=1}^{\left\vert A\right\vert }A_{k}\cdot {b_{i}}_{k}}$

Um die ${\displaystyle D_{i}}$ zu berechnen, braucht man das Inverse ${\displaystyle n^{-1}}$ des Multiplikators ${\displaystyle n}$, so dass ${\displaystyle n\cdot n^{-1}\equiv 1\mod {m}}$. Dieses Inverse lässt sich mit dem erweiterten Euklidischen Algorithmus berechnen.

${\displaystyle D_{i}=\left(C_{i}\cdot n^{-1}\right)\mod {m}}$

Der Klartext entsteht dann wieder aus den Bits, die zu den Elementen aus dem privaten Schlüssel korrespondieren und die Summe ${\displaystyle D_{i}}$ ergeben.

Beispiel[Bearbeiten | Quelltext bearbeiten]

Schlüsselerzeugung[Bearbeiten | Quelltext bearbeiten]

Wählen eines privaten Schlüssels. Dieser muss ein stark wachsender Vektor sein.

${\displaystyle A=\left\{2,3,6,13,27,52\right\}}$

Weiterhin werden noch der Multiplikator ${\displaystyle n}$ und der Modulo ${\displaystyle m}$ benötigt.

${\displaystyle n=31}$

${\displaystyle m=105}$

Nun kann man sich den öffentlichen Schlüssel berechnen:

${\displaystyle {\begin{aligned}\left(2\cdot 31\right)\mod {105}&=62\\\left(3\cdot 31\right)\mod {105}&=93\\\left(6\cdot 31\right)\mod {105}&=81\\\left(13\cdot 31\right)\mod {105}&=88\\\left(27\cdot 31\right)\mod {105}&=102\\\left(52\cdot 31\right)\mod {105}&=37\\\end{aligned}}}$

Damit ergibt sich der öffentliche Schlüssel als:

${\displaystyle B=\left\{62,93,81,88,102,37\right\}}$

Verschlüsselung[Bearbeiten | Quelltext bearbeiten]

Soll ein Text verschlüsselt werden, so wird dieser in Blöcke derselben Länge wie die des Schlüssels zerlegt. Für das Beispiel nutzen wir den Text 011000 110101 101110.

${\displaystyle b=011000110101101110}$

${\displaystyle b_{1}=011000}$

${\displaystyle b_{2}=110101}$

${\displaystyle b_{3}=101110}$

${\displaystyle B=\left\{62,93,81,88,102,37\right\}}$

Nun bestimmt ein Bit aus dem Block ${\displaystyle b_{1}}$, ob das korrespondierende Element aus dem Schlüssel in den Geheimtext einfließt:

Block ${\displaystyle b_{2}}$

Block ${\displaystyle b_{3}}$

Der Geheimtext ${\displaystyle C}$ ist dann 174, 280, 333.

Entschlüsselung[Bearbeiten | Quelltext bearbeiten]

Zum Entschlüsseln eines Geheimtextes brauchen wir den privaten Schlüssel sowie den Multiplikator ${\displaystyle n}$ und den Modul ${\displaystyle m}$. Aus dem Multiplikator und dem Modul berechnet sich das Inverse ${\displaystyle n^{-1}}$. Dies geht mit dem erweiterten Euklidischen Algorithmus. Für die gegebenen Werte von ${\displaystyle n}$ und ${\displaystyle m}$ ergibt sich ${\displaystyle n^{-1}=61}$

${\displaystyle n^{-1}=61}$

${\displaystyle \left(174\cdot 61\right)\mod {105}=9}$

${\displaystyle \left(280\cdot 61\right)\mod {105}=70}$

${\displaystyle \left(333\cdot 61\right)\mod {105}=48}$

${\displaystyle D=\left\{9,70,48\right\}}$

Dazu werden einfach die ${\displaystyle D_{i}}$ als Summe von Elementen des privaten Schlüssels betrachtet. Nun ziehen wir von dieser Summe das größte Element aus dem Schlüssel ab, welches kleiner oder gleich der Summe ${\displaystyle D_{i}}$ ist. Wenn wir die Liste durch sind, sollte die Summe ${\displaystyle 0}$ ergeben. Tut sie das nicht, wurde versucht, den Text mit einem falschen Schlüssel zu entschlüsseln. Die Elemente, die wir von ${\displaystyle D_{i}}$ abgezogen haben, werden als ${\displaystyle 1}$ gewertet, die, die nicht gebraucht werden, werden dagegen mit ${\displaystyle 0}$ gewertet.

Für den Block ${\displaystyle D_{1}}$ lässt sich der Klartext dann folgendermaßen wiederherstellen:

Block ${\displaystyle D_{2}}$

Block ${\displaystyle D_{3}}$

Der Klartext lautet also 011000 110101 101110.

Geschichte[Bearbeiten | Quelltext bearbeiten]

Das auch unter dem Namen Knapsack-Algorithmus bekannte Verfahren wurde 1978 von Ralph Merkle und Martin Hellman erfunden. Es schien sich als Konkurrenz zu RSA und dem Diffie-Hellman-Algorithmus zu etablieren, wurde aber 1983 von Adi Shamir und Richard Zippel in Theorie und Praxis (auf einem Apple II) gebrochen.^[2] Selbst ein iteriertes Verfahren, bei dem die Gewichte mehrfach mit unterschiedlichen Paaren von Multiplikatoren und Moduln transformiert werden, um das 'schwierige' Rucksackproblem zu generieren, kann erfolgreich mit polynomialem Aufwand angegriffen werden.^[3]

Literatur[Bearbeiten | Quelltext bearbeiten]

• Bruce Schneier: Applied Cryptography: protocols, algorithms, and source code in C. 2. Auflage. John Wiley & Sons, New York 1995, ISBN 0-471-11709-9, S. 462–466.

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

1. ↑ Ralph Merkle, Martin Hellman: Hiding information and signatures in trapdoor knapsacks. In: Information Theory, IEEE Transactions. Vol. 24, No. 5, Sep 1978, S. 525–530. (online auf: ieeexplore.ieee.org)
2. ↑ Adi Shamir: A polynomial-time algorithm for breaking the basic Merkle - Hellman cryptosystem. In: Information Theory, IEEE Transactions Ausgabe. Band 30, Nr. 5, 1984, S. 699–704, doi:10.1109/SFCS.1982.5. 
3. ↑ Leonard M. Adleman: On Breaking the Iterated Merkle-Hellman Public-Key Cryptosystem. In: Advances in Cryptology: Proceedings of CRYPTO '82. Plenum Press, 1982, S. 303–308.