Einwegfunktion
In der Informatik ist eine Einwegfunktion eine mathematische Funktion, die komplexitätstheoretisch „leicht“ berechenbar, aber „schwer“ umzukehren ist. In einem erweiterten Sinn werden auch Funktionen so bezeichnet, zu denen bisher keine in angemessener Zeit praktisch ausführbare Umkehrung bekannt ist.
Ein anschauliches Beispiel wäre ein klassisches Papier-Telefonbuch einer größeren Stadt: Kennt man den Namen, dann findet man sehr schnell die dazugehörige Telefonnummer. Kennt man jedoch nur die Telefonnummer, so ist es sehr aufwändig, den zugehörigen Namen zu finden.
Einwegfunktionen bilden die Grundlage asymmetrischer Kryptosysteme.
Definition
BearbeitenEine mathematische Einwegfunktion muss folgende Eigenschaften aufweisen:
- Die Berechnung des Funktionswerts zu gegebenem ist „einfach“, d. h., es existiert ein Algorithmus, der ihn in Polynomialzeit berechnet.
- Die Berechnung der Umkehrung der Funktion, d. h. eines Urbildes zu einem gegebenen so dass , ist allerdings schwierig, d. h., es existiert kein probabilistischer Algorithmus , der in Polynomialzeit läuft und mit nicht vernachlässigbarer Wahrscheinlichkeit zu dem eingegebenen Bild ein Urbild ausgibt.
Genauer gilt für jeden probabilistischen Algorithmus mit geeignetem Ein- und Ausgabeformat: für jedes ist bei genügend großem für ein zufällig gleichverteilt aus gewähltes die Wahrscheinlichkeit kleiner als , dass erfolgreich ein Urbild von bestimmt:
.
Problem der Existenz der Einwegfunktionen
BearbeitenEs ist nicht bekannt, ob es Funktionen gibt, die die Einweg-Bedingungen erfüllen. Tatsächlich würde der Beweis ihrer Existenz gleichzeitig den Beweis für P≠NP bedeuten.[1] Umgekehrt folgt aus P≠NP nicht die Existenz von Einwegfunktionen: Zur Umkehrung der Funktion darf auch ein probabilistischer Algorithmus eingesetzt werden. Damit die Umkehrung also ausreichend ineffizient ist, darf zusätzlich NP keine Teilmenge der Komplexitätsklasse BPP sein.
Anwendungen
BearbeitenEinwegfunktionen sind vor allem für Anwendungen in der Kryptologie interessant. Für einen solchen Einsatz ist komplexitätstheoretisch aber noch eine weitere Forderung nötig: Die genannten Komplexitätsklassen betrachten den jeweils schlechtesten Fall (Worst Case), die längste Laufzeit eines Algorithmus. Für die kryptographische Anwendung muss der Algorithmus auch im Durchschnittsfall (Average Case) ineffizient sein.
Direkte Anwendung einer Einwegfunktion gibt es bei Passwörtern. Diese werden häufig nicht direkt abgespeichert, sondern als Ausgabe einer kryptographischen Hashfunktion, der das Passwort eingegeben wird (meist noch mit Salt ergänzt). Die Prüfung beim Login erfolgt dann nicht durch Vergleich der Passwörter im Klartext, sondern der Hashwerte. Dadurch kann ein Administrator oder ein Unberechtigter mit Systemzugang nie die Passwörter der Benutzer lesen. Er kann allenfalls mit einem Programm wie Crack mögliche Passwörter durchprobieren. Eine kryptographische Hashfunktion verhält sich wie eine Einwegfunktion, genauer: es ist kein Weg bekannt, eine Eingabe zu einer gegebenen Ausgabe effizient zu berechnen (Preimage-Angriff).
In der Praxis kennt man Funktionen, die die Anforderungen an eine Einwegfunktion bislang ausreichend erfüllen. Es konnte jedoch bisher nicht der Beweis erbracht werden, ob es wirklich „schwierig“ ist, sie zu invertieren. Ein Beispiel für eine solche Funktion ist die Multiplikation von zwei großen Primzahlen, da man annimmt, dass eine Primfaktorzerlegung ein „schwieriges“ Problem darstellt. Ein weiteres Beispiel ist die modulare Exponentiation und deren Inverse, der diskrete Logarithmus.
Einwegfunktionen mit Falltür (Trapdoor-Einwegfunktionen)
BearbeitenEine Variante der Einwegfunktionen sind Trapdoor-Einwegfunktionen, auch Falltürfunktionen genannt. Diese lassen sich nur dann effizient umkehren, wenn man eine gewisse Zusatzinformation besitzt. Falltürfunktionen werden in asymmetrischen Verschlüsselungsverfahren wie zum Beispiel RSA verwendet. Ein Vergleich für Falltürfunktionen ist die Funktion eines Tresors: Jeder kann einen Gegenstand im Tresor einschließen. Das Herausholen ist dagegen nahezu unmöglich – es sei denn, man ist im Besitz des Schlüssels / der Schlüsselkombination.
Bekannte Einwegfunktionen im erweiterten Sinn
BearbeitenAls Einwegfunktionen im erweiterten Sinn werden folgende Funktionen genannt, zu denen derzeit keine effiziente Umkehrung bekannt ist:
- die kryptographischen Hashfunktionen wie SHA-2
- die Multiplikation zweier Primzahlen bzw. zweier ganzer Zahlen ist einfach, während die Umkehrung, die Primfaktorzerlegung, schwierig ist
- die Berechnung der n-ten Potenz eines Elementes einer endlichen Gruppe ist bei geeigneter Wahl der Gruppe einfach, während das Auffinden eines Exponenten durch Berechnung des diskreten Logarithmus aufwändig ist
Literatur
Bearbeiten- Jonathan Katz, Yehuda Lindell: Introduction to Modern Cryptography: Principles and Protocols. Chapman & Hall/CRC, 2007.
- Rüdiger Reischuk, Markus Hinkelmann: One-Way Functions. Mind the Trap – Escape Only for the Initiated. In Algorithms Unplugged, S. 131–139. Springer, 2011.
Einzelnachweise
Bearbeiten- ↑ Oded Goldreich (2001). Foundations of Cryptography: Volume 1, Basic Tools, S. 70. (Entwurf verfügbar auf Autoren-Webseite). Cambridge University Press. ISBN 0-521-79172-3. Siehe auch wisdom.weizmann.ac.il.