S =(s e )modn. s =(S d )modn. s =(s e ) d mod n.

Transkript

1 DAT 060 Laboration 3 Säkerhet på nätet eller kan någon komma åt mitt konto på internetbanken? Institutionen för datavetenskap 27 juni 2002 Dagens laboration kommer att beröra en mycket viktig aspekt av Internetanvändning, nämligen säkerheten. Många av oss använder Internet för att utföra bankärenden. Några av oss handlar på nätet och skickar med numren på sina kreditkort för att betala för varorna. Snart kommer vi att kunna lämna deklarationen elektroniskt, med digital signatur som garanti för vår identitet. Alla dessa tjänster kan användas eftersom vi har rimlig garanti att transaktionerna eller överföringen av data mellan våra datorer och servrarna som utför tjänsterna är säkra. Vad innebär detta? I princip betyder det att ingen kan läsa det vi skickar till tjänsteutövaren eller det vi läser därifrån. Men hur vet vi det? Vad betyder det att vi har en rimlig garanti? Idag kommer vi att titta lite närmare på grunderna som kan ge oss denna garanti. Man kan tänka sig att det måste vara väldigt svårt att förstå en sådan mekanism μ eftersom vi pratar om krypteringen och ogenomträngligheten av transaktionerna, så måste det väl betyda att systemet är väldigt komplicerat för att förhindra avlyssning? Tvärtom! Konceptet bygger på mycket enkla grunder från matematiken, grunder som vi alla kan förstå och inse att det inte finns någon rimlig möjlighet att avlyssna eller tjuvläsa ett sådant krypterat meddelande. Vi kommer att illustrera dessa grunder med ett enkelt exempel på säker kryptering (kodning), digitala signaturer och t.o.m. forcering av en sådan krypteringsmekanism. Idéerna bakom publiknyckel-kryptering 1 och digitala signaturer har hittats på så sent som Men redan nu spelar de en mycket viktig roll i vårt samhälle när det gäller privat säker kommunikation mellan två parter. Vad som kanske är intressant är att det är enkla matematiska grunder som ligger till grund för snabba krypteringsalgoritmer. Effektiv exponentiering och snabb testning av primalitet (diskuterade i sektionerna i kursboken) är huvuddelarna i RSA-algoritmen μ den mest använda metoden för att implementera publiknyckel-kryptering. Vi skall implementera en version av RSA algoritmen som, fast den är enkel, har väldigt stor betydelse i praktiken. Avsnitt 1 betraktar huvudidéerna bakom RSA systemet. Avsnitt 2 ställer frågor som bör hjälpa dig att förstå problemet. Avsnitt 3 ger grunden till labbuppgifterna, medan avsnitt 4 innehåller det som du bör klara på labben. Det är viktigt att förberedda sig i förväg till denna labb! I synnerhet, avsnitt och är av ytterst vikt för uppgiften. Troligen är detta den svåraste labben på hela kursen - å andra sidan är den knuten till ett mycket hett forsknings- och applikationsområde och jag hoppas att det därför också blir den mest intressanta labben. Ett stort tack till Camilla Kirkegaard och Julian Togelius Ekwall för språkhjälp. Alla fel som fortfarande finns är förstås mina. Jacek Malec. This lab assignment has been prepared on the basis of the MIT's RSA, available on the SICP homepage 1 Det finns en alternativ översättning av public-key encryption, nämligen öppennyckel-kryptering eller, lite mer generellt, öppennyckel infrastruktur. 1

2 Institutionen för datavetenskap, DAT060, Laboration 3 2 RSA systemet Man har använt kryptering av information sedan antiken. Det är därför förvånande att man inte förrän 1976 har uppfunnit en helt ny metod för att chiffrera (kryptera) och dechiffrera (dekryptera) hemlig information - publiknyckel-baserad kryptografi. Upphovsmännen till idéen var Whitfield Diffie och Martin Hellman från Stanford universitetet. Kryptografiska system är baserade på användning av nycklar för chiffrering och dechiffrering. En chiffreringsnyckel specificerar metoden för omvandling av ursprungsmeddelandet till en kodad version, läsbar endast för de som kan dechiffreringsnyckeln för att kunna göra den omvända operation. I traditionella kryptografiska system är krypterings- och dekrypteringsnycklarna antigen identiska eller så kan en lätt produceras ur den andra. Som konsekvens, om du vet hur du krypterar ett meddelande så vet du också hur du dekrypterar ett meddelande krypterat med denna nyckel. Diffie och Hellmans ide är baserat på insikten att det kan finnas kryptografiska system i vilka kunskapen om krypteringsnyckeln inte räcker för dekryptering av ett meddelande, d.v.s. där det är praktiskt omöjligt att få fram dekrypteringsnyckeln utifrån en krypteringsnyckel. Detta har mycket stora praktiska konsekvenser. I traditionella system kan du få ett krypterat meddelande endast om avsändaren och du delar samma hemliga krypteringsnyckel. Om någon får tag på nyckeln så är säkerheten inte längre garanterad. Därför brukar krypteringsnycklarna bevaras under sträng kontroll och transporteras med mycket omfattande säkerhetsåtgärder, annars riskerar man att de blir stulna. I Diffie och Hellmans system kan du sprida din krypteringsnyckel till vem som helst, utan några säkerhetsåtgärder alls! Även om alla visste din krypteringsnyckel, kunde ingen dekryptera meddelande som skickats till dig, eftersom de måste dekrypteras med din dekrypteringsnyckel som du håller hemlig och otillgänglig. Diffie och Hellman kallar detta system ett publiknyckel-krypteringssystem. Några månader efter att Diffie och Hellman publicerade idéen, hade Ronald Rivest, Adi Shamir och Leonard Adelman på MIT hittat en effektiv algoritm för att implementera den. Deras system, RSA, verkar vara en av de mest populära i dagens säkra digitala system. En intressant händelse värd att påpeka här är att européer inte skulle kunna använda säker kryptering baserad på publiknyckelkryptering utan Phil Zimmermann, skapare av PGP (Pretty Good Privacy) - en öppenkällkod-implementation av publiknyckel-kryptering. Den skulle man inte ha kunnat exportera från USA utan att referera till det första tillägget till den amerikanska konstitutionen som garanterar yttrandefrihet i alla former. Man har publicerat koden till PGP som en bok och som sådan kunde man föra ut koden ur USA. Det tog många år och mycket lagligt strul innan de amerikanska domstolarna beslutade att det som Phil Zimmermann gjorde inte var brottsligt. Mer om detta kan ni säkert hitta på nätet. Leta efter PGP och Zimmermann (se t.ex. En bra implementation av PGP idéen har nyligen skapats inom GNU projektet. Mjukvaran heter GnuPG. Se eller direkt på Teorin bakom RSA RSA använder heltal för att representera tecken eller grupper av tecken 2 och speciella funktioner som omvandlar heltal till heltal. I publiknyckelkryptografi väljer man två stora primtal, p och q. Sedan kan man definiera: n = pq (1) m =(p 1)(q 1) (2) Man väljer också ett tal e sådant att gcd(e, m) =1. Din publika nyckel som du kan fritt sprida är då paret < e,n >. Varje person som vill skicka dig ett hemligt meddelande s (representerat som ett heltal) krypterar den enligt följande RSA-transformation definierad av n och e: krypterat meddelande = s upphöjd till potens e, modulo n 2 T.ex. koden som används för att representera tecken i våra datorer, ISO , använder 8 bitar för att koda ett tecken. I denna labbuppgift använder vi heltal med 32 bit för att representera 4 tecken i ISO koden.

3 Institutionen för datavetenskap, DAT060, Laboration 3 3 eller S =(s e )modn. Om du får ett krypterat meddelande S så kan du dekryptera det m.h.a. en annan RSA transformation som baseras på n och ett särskilt tal d: s = krypterat meddelande upphöjt till potens d, modulon eller s =(S d )modn. Talet d är valt på så sätt att s = s för varje meddelande s, 3 d.v.s. s =(s e ) d mod n. Man kan visa att talet d som har denna egenskap är sådant att de =1modm (3) d.v.s. d är en multiplikativ invers av e modulo m. 4 Det visar sig att det är lätt att beräkna d effektivt om man känner e och m =(1 p)(1 q). För att generera ett par av RSA nycklar väljer man två primtal p och q, beräknar n = pq, väljer e och använder det för att beräkna d. Sedan annonserar man paret n och e som sina publika nycklar, men behåller d hemlig som den privata nyckeln. Man kan få meddelande från andra, som är krypterade med paret <n,e>. Då kan man dekryptera de m.h.a. paret <n,d>. Säkerheten i denna metod är baserat på följande observation: Även om någon känner talen e och n (den publika nyckeln) så den effektivaste metoden att dekryptera ett meddelande krypterat med denna nyckeln är att faktorisera (hitta alla delare) n för att hitta p och q, sedan använda de för att beräkna m och slutligen använda e och m för att hitta d. Med andra ord, att knäcka RSA kryptering är lika svårt som att faktorisera talet n till sina faktorer p och q 5.Även om det finns många intressanta algoritmer inom denna område så är faktorisering av stora tal inte möjligt med dagens datorer inom rimlig tid. T.ex. för att faktorisera n = pq där p och q är primtal med 200 siffror var, även om man använder dagens snabbaste algoritmer och datorer, skulle det kräva mer än 100 år av beräkningar 6. Digitala signaturer, kryptering och underskrift Diffie och Hellman föreslog i sitt papper från 1976 användning av publiknyckelkryptering för att lösa ett annat problem med säker kommunikation. Problemet är följande: Anta att du vill skicka ett meddelande med e-post. Hur kan de som mottar ditt meddelande vara säkra att det verkligen kommer från dig och inte från någon annan μ att någon inte har förfalskat det 7. Vad som behövs är en möjlighet att markera ett meddelande på ett sådant sätt som inte kan förfalskas. En sådan markering heter digital signatur eller digital underskrift. Diffie och Hellmans förslag var att göra följande steg: ta ditt meddelande och använd en publik komprimeringsfunktion 8 (som i andra sammanhang kan också heta blandningsfunktion, eller från engelska hashfunktion), som alla är överens om och som producerar ett unikt, ganska litet tal. Ett och samma meddelande 3 Detta är sant endast om gcd(s, n) =1.Omn är en produkt av två stora primtal, så nästan alla s<nkommer att uppfylla detta. 4 Det är en av satserna inom talteorin. Vi kommer inte att försöka förklara det närmare. 5 Det finns inget bevis för detta påstående, men å andra sidan vi känner ingen annan metod för att knäcka RSA kryptering, åtminstone inte än. 6 En möjlig ändring på detta område kan komma med kvantdatorer. 7 En intressant debattartikel om den svenska lagen som (inte) reglerar detta finns i DN från söndagen 23 juni Man brukar skilja mellan komprimeringsfunktioner, vilka ger resultat som kan användas för att återskapa ursprungsmeddelande, och blandningsfunktioner, som är tänkta att ge olika resultat för olika meddelande, men som inte tillåter att återskapa ursprungsmeddelandet. Här kommer vi använda bägge ord i den andra betydelsen.

4 Institutionen för datavetenskap, DAT060, Laboration 3 4 kommer alltid att översättas till samma tal. Å andra sidan, kommer det att finnas många meddelande som resulterar i samma värde av komprimeringsfunktionen. Använd nu din privata nyckel för att transformera detta tal. Det transformerade värde på komprimeringsfunktionsresultat är din digitala underskrift, som du kommer att skicka tillsammans med meddelandet. Varje person som mottar ditt meddelande kan kolla din signerings autenticitet genom att omvandla den m.h.a. din publiknyckel och jämföra resultatet med komprimeringen av det ursprungliga meddelande. Detta fungerar eftersom varje person som vill skapa ett meddelande med din (förfalskade) signatur måste hitta ett tal som, omvandlat med din publiknyckel, ger värde på komprimeringsfunktions resultat. Varje person kan beräkna detta värde, eftersom komprimeringsfunktionen ju är publik. Men eftersom det är endast du som känner till din privata nyckel, kan endast du skapa ett tal som omvandlat med din publiknyckel ger det rätta resultat. Om någon skulle vilja förfalska din signatur, vore han eller hon tvungen att gissa din privata nyckel, vilket troligen är exakt lika svårt som att knäcka RSA-krypteringen. En vidareutveckling av denna ide är följande: anta att Annika vill skicka Göran ett signerat brev som endast Göran ska kunna läsa. Hon krypterar brevet med Görans publiknyckel. Sedan signerar hon det krypterade resultatet med sin privata nyckel. När Göran får ett brev från Annika, använder han först hennes publiknyckel för att kolla autenticiteten avbrevet och sedan dekrypterar han meddelandet med sin privata nyckel. Bilden 1 nedan illustrerar metoden. Observeravad denna metod uppnår: Göran kan vara säker att det endast kan vara någon med Annikas privata nyckel som kunde skicka meddelandet. Annika kan vara säker på att endast någon med Görans privata nyckel som kan läsa meddelandet. Detta resultat kan fås utan att utväxla någon hemlig information mellan Annika och Göran. Det är denna möjlighet att garantera säker kommunikation utan att utväxla hemliga nycklar som gör att publiknyckel-kryptering är en så viktig teknik. Att implementera RSA Den första biten vi behöver för att implementera RSA är den snabba exponentieringsalgoritmen (avsnitt i kursboken): (define (expmod b e m) (cond ((zero? e) 1) ((even? e) (remainder (square (expmod b (/ e 2) m)) m)) (else (remainder (* b (expmod b (- e 1) m)) m)))) Vi antar att en RSA-nyckel representeras som ett par μ modulus och exponent: (define make-key cons) (define key-modulus car) (define key-exponent cdr) Den grundläggande RSA-transformation blir då: (define (RSA-transform number key) (expmod number (key-exponent key) (key-modulus key))) Att generera primtal För att kunna generera RSA-nycklar behöver vi först och främst kunna generera primtal. Den enklaste metoden är att välja slumpmässigt något tal inom ett önskat intervall och börja testa alla följande tal i tur och ordning tills vi hittar ett primtal. Följande procedur börjar söka fr.o.m. ett slumpmässigt valt tal från intervallet start och start+range: (define (choose-prime smallest range) (let ((start (+ smallest (choose-random range)))) (search-for-prime (if (even? start) (+ start 1) start)))) (define (search-for-prime guess) (if (fast-prime? guess 2) guess (search-for-prime (+ guess 2))))

5 Institutionen för datavetenskap, DAT060, Laboration 3 5 unencrypted message encrypt with recipient s public key encrypted message compress with hash function unencrypted signature encrypt with sender s private key encrypted signature decrypt with recipient s private key decrypted message compress with hash function unencrypted signature decrypt with sender s public key number that should match unencrypted signature Figur 1: Kryptering med digital underskrift.

6 Institutionen för datavetenskap, DAT060, Laboration 3 6 (define choose-random ;; restriction of Scheme RANDOM primitive (let ((max-random-number )) (lambda (n) (random (floor->exact (min n max-random-number)))))) Vi testar primaliteten m.h.a. Fermats test (avsnitt i kursboken): (define (fermat-test n) (let ((a (choose-random n))) (= (expmod a n n) a))) (define (fast-prime? n times) (cond ((zero? times) true) ((fermat-test n) (fast-prime? n (- times 1))) (else false))) Att generera RSA-nyckelpar Nu kan vi generera en publik RSA-nyckel och den motsvarande privata (hemliga) nyckeln. De kommer representeras som ett par: (define make-key-pair cons) (define key-pair-public car) (define key-pair-private cdr) Följande procedur genererar ett RSA-nyckelpar. Den väljer primtal p och q i intervallet 2 16 till 2 17 så att n = pq är i intervallet 2 32 till 2 34 som är tillräckligt stort för att representera fyra tecken per tal (8 bit 4tecken = 32) 9. När primtalen finns beräknar proceduren n och m enligt ekvationerna (1) och (2). Sedan väljer den en exponent e och hittar ett tal d som uppfyller ekvation (3). (define (generate-rsa-key-pair) (let ((size (expt 2 16))) (let ((p (choose-prime size size)) (q (choose-prime size size))) (if (= p q) ;check that we haven't chosen the same prime twice (generate-rsa-key-pair) ;(VERY unlikely) (let ((n (* p q)) (m (* (- p 1) (- q 1)))) (let ((e (select-exponent m))) (let ((d (invert-modulo e m))) (make-key-pair (make-key n e) (make-key n d))))))))) Exponenten e är ett godtyckligt slumptal 0 < e < m sådant att gcd(e, m) = 1(storsta gemensamma delare - greatest common divisor, gcd). Proceduren gcd finns i boken i avsnitt 1.2.5, fast den är också Schemes primitiv. (define (select-exponent m) (let ((try (choose-random m))) (if (= (gcd try m) 1) ;if gcd is not 1, then try again try (select-exponent m)))) Att beräkna den multiplikativa inversen Talet d som krävs för RSA-nyckeln måste uppfylla de =1modm Det betyder att d måste satisfiera följande ekvation km + de =1 9 Vi använder så små tal eftersom vi vill att du provar kodknäckning för RSA-systemet. Om du valde större slumptal i början skulle du få ett system som är verkligen säkert.

7 Institutionen för datavetenskap, DAT060, Laboration 3 7 för något (negativt) heltal k (Det är en direkt följd av definitionen på likhet modulo m). Man kan visa att lösningar till denna ekvation finns om och endast om gcd(e, m) =1. Följande procedur returnerar ett värde på d under förutsättningen att det finns en annan procedur som, givet två tal a och b, returnerar ett par av sådana heltal (x, y) att ax + by =1 10. (define (invert-modulo e m) (if (= (gcd e m) 1) (let ((y (cdr (solve-ax+by=1 m e)))) (modulo y m)) ;take y modulo m, in case y was negative (error gcd not 1" e m))) Lösningen på ax + by = 1 kan fås genom ett snyggt rekursivt trick som är besläktat med rekursiv beräkning av GCD, beskriven i avsnit av kursboken. Låt q vara kvoten av a delad med b, ochlåtr vara resten av delningen, så att a = bq + r Nu kan man rekursivt lösa ekvationen och använda x och ȳ för att räkna ut x och y 11. b x + rȳ =1 Kryptering och dekryptering av meddelande Som den sista pusselbit behöver vi kunna omvandla strängar till heltal och tillbaka. Koden för uppgiften innehåller procedurerna string->intlist och intlist->string som omvandlar teckensträngar till listor med tal och listor med heltal till strängar. Varje heltal på listan kodar 4 tecken från meddelandet. Om antalet tecken i meddelandet är inte delbar med 4 så adderas blanktecken i slutet. > (string->intlist Detta är en sträng") ( ) > (intlist->string '( )) Detta är en sträng " Hur de två procedurerna fungerar är inte så viktig, fast du kan förstås kika påkoden för att se hur man kan manipulera strängar i Scheme. För att kryptera ett meddelande omvandlar vi ett meddelande till en lista med heltal och sedan transformerar vi listan m.h.a. RSA-kodning som utnyttjar en av nycklarna i ett nyckelpar. (define (RSA-encrypt string key1) (RSA-convert-list (string->intlist string) key1)) Det enklaste sättet att transformera en lista med heltal vore att transformera varje tal var för sig och samla resultat i en ny lista. Men detta fungerar inte på ett tillfredställande sätt (se fråga 4 nedan). Istället tar vi det första talet och krypterar det, sedan subtraherar vi det från det andra talet (modulo n) och krypterar resultatet, som subtraheras från det tredje talet och krypteras, o.s.v., så att varje tal i den resulterande listan beror på alla tidigare tal och deras krypteringsresultat. (define (RSA-convert-list intlist key) (let ((n (key-modulus key))) (define (convert l sum) (if (null? l) '() (let ((x (RSA-transform (modulo (- (car l) sum) n) key))) (cons x (convert (cdr l) x))))) (convert intlist 0))) Du skall implementera den motsvarande RSA-unconvert-list proceduren som avslöjar den ursprungliga listan m.h.a. den andra nyckeln från nyckelparet. Då kan vi använda (define (RSA-decrypt intlist key2) (intlist->string (RSA-unconvert-list intlist key2))) 10 Primitivproceduren modulo som vi använder för att garantera ett positivt resultat, är samma som remainder förutom negativa argument: (remainder 12-7) är -5, medan (modulo 12 7) är 2. (modulo a b) har alltid samma tecken som b, medan (remainder a b) har alltid samma tecken som a. 11 Du måste själv komma på detaljerna μ det är en av labbuppgifterna.

8 Institutionen för datavetenskap, DAT060, Laboration 3 8 Slutligen, för att generera digitala underskrifter för krypterade meddelande använder vi en standard packningsfunktion. I vårt fall 12 kommer vi att helt enkelt addera heltal modulo (define (compress intlist) (define (add-loop l) (if (null? l) 0 (+ (car l) (add-loop (cdr l))))) (modulo (add-loop intlist) (expt 2 32))) Frågor Följande frågor bör hjälpa dig att förstå problemet. Du bör kunna svara på dem innan du kommer till labben. Fråga 1: Vad är det för skillnad mellan följande två definitioner av choose-prime? (define (choose-prime smallest range) (search-for-prime (+ smallest (choose-random range)))) (define choose-prime (lambda (smallest range) (search-for-prime (+ smallest (choose-random range))))) Fråga 2: Rita strukturen (m.h.a. boxdiagram) av entypisk resultat som returneras av generate-rsa-keypair. Läs först ovan om hur generate-rsa-key-pair fungerar. Fråga 3: Metoden att skicka säkra signerade meddelande kräver att man först krypterar meddelandet och sedan signerar resultatet. Vore det inte bättre att först signera meddelandet och sedan kryptera resultatet? Fråga 4: Proceduren RSA-encrypt vore mycket enklare om man kunde kryptera varje tal i listan separat: (define (RSA-encrypt intlist key1) (map (lambda (int) (RSA-transform int key1)) intlist)) Hur skulle den motsvarande RSA-decrypt proceduren se ut? Varför är detta inte tillräcklig för en säker kryptering? Bakgrundsinformation Under de senaste åren har regeringen jobbat hårt för att introducera säker kommunikation mellan ministrarna. Systemet omfattar också alla övriga partiledare för att garantera krisberedskap. Systemet sjösattes nyligen, men eftersom det var skapat av ett stort företag (M$bolaget AB) så har man hittat oundvikliga fel. Regeringsmedlemmarnas publika nycklar finns alltid på regeringens hemsida, så att alla kan skicka krypterade och signerade brev till dem. Tyvärr, av en ren slarv, har man under en mycket kort tid visat också de privata nycklarna. Detta räckte för Urban Hackare att komma på en rad privata nycklar för personer i regeringskretsen. Under tiden har SÄPO identifierat de felaktiga modulerna i systemet. Tyvärr visar det sig att Schemekunskaperna är inte så utbredda som de borde. Därför gick förfrågan att fixa systemet till dem som på sommartid finns tillgängliga (alla övriga svenska Scheme-programerare semestrar i Antarktis så här dags) och samtidigt besitter nödvändiga kunskaper. Lunds universitet räddar säkerheten i riket Iverkligheten använder man mer komplicerade packning och blandningsfunktioner än denna. Du får gärna tänka på frågan: Varför?

9 Institutionen för datavetenskap, DAT060, Laboration 3 9 Labbuppgifterna Börja med att ladda koden för labbet, lab3.ss. Denna fil innehåller alla de korrekta och verifierade modulerna från regeringens krypteringssystem. För att börja med, evaluera (define test-publiknyckel1 (key-pair-public test-nyckelpar1)) (define resultat1 (rsa-encrypt "Hur många öar finns här!" test-publiknyckel1)) Som resultat1 bör du få en lista ( ) test-nyckelpar1 är ett exemplariskt RSA-nyckelpar som genererades i förväg. Kom ihåg att alla tecken i strängen har betydelse - strängen måste se exakt likadant ut! Uppgift 1: Tyvärr saknas det en av de viktigaste procedurerna: RSA-unconvert-list som är nödvändig G för att dekryptera ett meddelande. Implementera den. Proceduren bör ta två argument: en lista med heltal att dekryptera och dekrypteringsnyckel, och bör returnera en lista med heltal i sin ursprungsform (d.v.s. innan den krypterades m.h.a. RSA-convert-list). OBS! Proceduren liknar vädigt mycket den andra proceduren, RSA-convert-list. Om din kod är mer komplicerat så är du på fel spår. Fråga då labbassistenten om hjälp. För att provköra din procedur evaluera följande kod: (define test-privatnyckel1 (key-pair-private test-nyckelpar1)) (RSA-unconvert-list resultat1 test-privatnyckel1) Detta bör resultera i: ( ) Om detta fungerar så bör du kunna evaluera (RSA-decrypt resultat1 test-privatnyckel1) för att få det ursprungliga meddelandet. Det finns också ett annat testpar med RSA-nycklar, som du kan få genom att evaluera (define test-publiknyckel2 (key-pair-public test-nyckelpar2)) (define test-privatnyckel2 (key-pair-private test-nyckelpar2)) Visa din kod, kryptering och dekryptering av testmeddelandet och några prov med en annan text (använd både test-nyckelpar1 och test-nyckelpar2 i dina experiment) för labbassistenten. Uppgift 2: Implementera metoden för kryptering och signering av meddelande som beskrevs i första av- G snittet. Börja med att skapa en (väldigt) enkel datastruktur som heter signerat-meddelande och som består av en meddelande-del och en signatur-del. Definiera nu en procedur encrypt-and-sign som som argument tar meddelandet att kryptera och signera, avsändares privatnyckel och mottagares publiknyckel. Proceduren bör kryptera ett meddelande, beräkna dess digitala signatur och sätta ihop dem i ett signerat-meddelande. Prova nu: (define resultat2 (encrypt-and-sign "Ett brev från person 1 till person 2." test-privatnyckel1 test-publiknyckel2)) Du bör få ett signerat meddelande med ( ) som meddelandedel och med som signaturdel. Implementera nu en procedur authenticate-and-decrypt som utför den omvanda processen. Den tar som sina argument det mottagna signerade meddelande, avsändares publiknyckel och mottagares privatnyckel.

10 Institutionen för datavetenskap, DAT060, Laboration 3 10 Om signaturen är äkta bör proceduren resultera i dekrypterat meddelande. Om signaturen är förfalskad bör proceduren meddela detta. Du kan testa din procedur med att evaluera följande uttryck: (authenticate-and-decrypt resultat2 test-publiknyckel1 test-privatnyckel2) för att få det ursprungliga meddelande. Vilket resultat får du när du evaluerar följande uttryck: (authenticate-and-decrypt resultat2 test-publiknyckel1 test-privatnyckel1) Varför 13? Visa din kod för labbassistenten och provkör den för att bevisa att den fungerar. Bl.a. bör du visa att din procedur hittar oäkta signaturer. Uppgift 3: På regeringens hemsida finns följande publika nycklar offentliggjorda: G (define göran-perssons-publik-nyckel (make-key )) (define bo-lundgrens-publik-nyckel (make-key )) (define gudrun-schymans-publik-nyckel (make-key )) (define lars-leijonborgs-publik-nyckel (make-key )) (define alf-svenssons-publik-nyckel (make-key )) (define åsa-domeijs-publik-nyckel (make-key )) (define maud-olofssons-publik-nyckel (make-key )) (define thomas-östross-publik-nyckel (make-key )) (define bosse-ringholms-publik-nyckel (make-key )) (De finns också med i filen lab3.ss.) Igår fick Göran Persson följande meddelande: ( ) och signaturen var (De värdena finns i labbfilen definierad som hemligt-meddelande och hemlig-underskrift.) Som sagt, Urban Hackare lyckades hitta Göran Perssons privatnyckel: (define göran-perssons-privat-nyckel (make-key )) Dekryptera meddelandet och identifiera avsändaren. Visa för din labbassistent. Uppgift 4: Tyvärr saknar procedurerna som genererar RSA-nyckelpar en viktig del, nämligen funktionen G som löser ekvationen ax+by =1. (M$bolaget ABs programmerare lyckades inte att få den korrekt.) Definiera denna procedur, som bör heta solve-ax+by=1. Den bör ta två argument a och b sådana att deras GCD är lika med 1. Proceduren returnerar ett par med heltal x och y. Visa att din procedur fungerar genom att hitta en lösning (x, y) till ekvationen Glöm inte att testa ditt svar! x y =1 Om du har en fungerande solve-ax+by=1 så bör du kunna evaluera generate-rsa-key-pair (en procedur utan argument) som skapar slumpmässiga nyckelpar. Generera ett nyckelpar för dig själv. Visa din solve-ax+by=1 för labbassistenten, tillsammans med värdena på x och y. Visa också att ditt nyckelpar kan användas för att kryptera och dekryptera meddelande. Uppgift 5: Nu har du en fungerande, komplett implementation av RSA kryptografiskt system, tillsam- G mans med möjligheten att kryptera, dekryptera, digitalt signera, testa autenticitet och skapa nya nycklar. Eftersom implementationen utnyttjar små primtal så bör du kunna också knäcka systemet. För att kunna göra det måste du faktorisera modulus n i dess primfaktorerna p och q. Du kan göra det m.h.a. proceduren smallest-divisor som finns med i labbkoden 14. Skriv en procedur knäck-rsa som tar en publiknyckel som argument och returnerar motsvarande privatnyckel. Testa din procedur på test-nyckelpar1 och test-nyckelpar2 för att visa att din implementation fungerar. 13 Troligen är resultatet korrekt, även om i början käns det konstigt. 14 När du har hittat en primfaktor p så är den andra q = n/p.

11 Institutionen för datavetenskap, DAT060, Laboration 3 11 Uppgift 6: Skapa ett antal meddelande mellan personerna vilkas publika nycklar finns i uppgift 3. Dina meddelande bör verka autentiska för proceduren authenticate-and-decrypt. Uppgift 7: RSA-systemet som vi har implementerat är så lätt att knäcka eftersom primtalen vi använder är små: n = pq är en produkt av två primtal med 5-6 siffror var. Du kan prova använda inbyggd procedur time för att bedöma tiden som är nödvändig för att hitta faktorer m.h.a. smallest-divisor. Prova detpå uttrycket: (time (smallest-divisor )) Hitta dokumentationen som beskriver vad varje tal i utskriften betyder. Kolla hur mycket tid tar det att faktorisera några av de n som skapades m.h.a. generate-rsa-key-pair. Försök bedöma hur mycket tid skulle det ta att faktorisera ett tal n (d.v.s. knäcka RSA-nycklar) om man använder primtal med 20, 50 och 100 siffror. Uttryck svaret i sekunder, minuter, dagar eller år μ detta mått du hittar lämpligast. Tack för idag.