Überblick über die Vorlesung 4 Symmetrische Verfahren ...

4 Symmetrische Verfahren – Differentielle Kryptoanalyse
n-Runden-Charakteristik Ω (1)
Ω = (Ω m , Ω Λ , Ω c )
Ω Λ = (Λ 1 , Λ 2 , …, Λ n )
mit: Λ i = (λ Ii , λ Oi )
Ω m = m’ = (L Ω m ,R Ω m )
Ω c = c’ = (L Ω c ,R Ω c )
λ Ii = x i ’, λ Oi = y i ’
Es gilt:
λ I1 = R Ω m
λ I2 = L Ω m ⊕ λ O1
λ In = R Ω c
λ On = L Ω c ⊕ λ In-1
Klartext m
k 1
y 1 x 1
f
k 2
x 2
f
. . .
f
y 16
y 2
x 16
k 15
y 15 x 15
f
k 16
2 ≤ i ≤ n-1: λ Oi = λ Ii-1 ⊕ λ Ii+1
Schlüsseltext c
Kryptographie und Kryptoanalyse 154
4 Symmetrische Verfahren – Differentielle Kryptoanalyse
n-Runden-Charakteristik Ω (2)
• Wahrscheinlichkeit p iΩ der Runde i einer Charakteristik
p iΩ = P(λ Ii → λ Oi )
• Wahrscheinlichkeit p Ω einer n-Runden-Charakteristik
p
Ω n
Ω
= ∏ p i
i=
1
• Richtiges Paar bzgl. einer n-Runden-Charakteristik und eines
unabhängigen Schlüssels k:
– m’ = Ω m
– für die ersten n Runden der Berechnung gilt:
x i ’= λ Ii y i ’= λ Oi
• Übrige Paare: falsche Paare
Kryptographie und Kryptoanalyse 155
4 Symmetrische Verfahren – Differentielle Kryptoanalyse
1-Runden-Charakteristik mit p Ω = 1
einziger möglicher Fall: λ Ii = (00 00 00 00)
Ω m = (L Ω m , 00 00 00 00)
p Ω = 1
y 1 ‘ = (00 00 00 00)
f
x 1 ‘ = (00 00 00 00)
k 1
Ω c = ( L Ω m , 00 00 00 00)
Kryptographie und Kryptoanalyse 156
23