Handout

Grundlagen der Sicherheit 

in Netzen und verteilten Systemen 

Stefan Ransom + Jürgen Koslowski 

2014-01-14

Kapitel 2 

Grundbegriffe der Kryptologie und 

klassische Verfahren 

S. Ransom + J. Koslowski: Grundlagen der Sicherheit in Netzen und verteilten Systemen

Überblick 

Einführung und historische Anmerkungen 

Erste Grundbegriffe 

Klassische Verfahren 

− Transpositionschiffren 

− Substitutionschiffren: Caesar, Vigenére u.ä. 

− One-Time-Pad und perfekte Geheimhaltung 

− Rotormaschinen (ENIGMA) 


Cryptographie und Cryptoanalyse 

Die Kryptologie umfaßt zwei Gebiete: 

Kryptographie 

die Wissenschaft vom Datenschutz durch Verschlüsselung 

Kryptoanalyse 

Die Kunst, ohne Kenntniss der Schlüssels an die geheimen 

Daten zu kommen. 

Kryptologie ist schon seit Tausenden von Jahren Gegenstand von 

Untersuchungen. Um sie ranken sich viele gehemnisvolle 

Geschichten – warum? 


Historie 

Crytpologie benötigt nicht-triviale Spezialkenntnisse: 

− früher: Schrift und Sprachkenntnisse; Umgang mit Zeichen und 

Alphabeten 

− heute: nicht-triviale zahlentheoretische Grundlagen 

Erste Beispiele im antiken Griechenland und in Rom 

Während der Renaissance wurden alte Verfahren 

wiederentdeckt und neue Verschlüsselungsverfahren erfunden. 

Bis in die 70’er Jahre des vergangenen Jahrhunderts war 

Cryptologie vorrangig Domäne von Regierungen, des Militärs 

und von Geheimdiensten 

Man vermutet, dass die nichtöffentliche Forschung schon immer 

weiter war und auch heute noch ist 

Heute ist auch das moderne Geschäftslebe ohne Cryptologie 

nicht mehr denkbar. 


Grundbegriffe 

Klartext: die zu verschlüsselnde Nachricht/Daten 

Chiffretext: die verschlüsselten Daten 

Chiffrieren: Anwendung eines Verschlüsselungsverfahrens 

Dechiffrieren: Anwendung eines Entschlüsselungsverfahrens 

Schlüssel: 

Informationsträger für die Ver-/Entschlüsselung 

kontrolliert die Ver-/Entschlüsselung 

chiffrieren 

Sender 

Klartext Schlüssel Chiffretext 

Empfänger 

dechiffrieren 


Prinzipien der Verschlüsselung 

symmetrische Verschlüsselung: 

− Sender und Empfänger haben entweder den gleichen Schlüssel, 

oder diese Schlüssel sich leicht auseinander bestimmbar; 

− folglich müssen diese Schlüssel geheim bleiben, was ihren 

Austausch erschwert. 

asymmetrische Verschlüsselung: 

− Sender und Empfänger haben verschiedene Schlüssel, die nur 

bei Kenntnis einer schwer bestimmbaren Zusatzinformation 

auseinander berechnet werden können; 

− dies ist die Voraussetzung für Public-Key-Cryptography 


Aspekte geheimer Kommunikation 

Geheime Kommunikation 

Steanographie 

(Verstecken) 

Kryptographie 

(Verschlüsseln) 

Transposition 

(Positionen 

vertauschen) 

Substitution 

(Zeichen 

ersetzen) 


Steganographie 

Idee: Nachrichten in scheinbar belanglosen Informationen verstecken, 

nach Vereinbarung eines Verfahrens zur ihrer Extraktion. 

Beispiel 

Postkarte: “Liebe Kolleginnen! Wir genießen nun endlich unsere 

Ferien auf dieser Insel vor Spanien. Wetter gut, Unterkunft auch, 

ebenso das Essen. Toll! Gruß, J.D.” 

Algorithmus: 

Buchstaben bis zum nächsten Leerzeichen zählen; 

gerade/ungerade Anzahl in binäre 1/0 umwandeln; 

Binärfolge in Blöcke der Länge 8 zerlegen und diese als 

ASCII-Zeichen interpretieren. 

Ergebnis: 0101 0011 , 0100 1111 und 0101 0011 liefern “SOS”. 


ein nicht mehr verfügbares Beispiel 

To the Members of the California State Assembly: 

I am returning Assembly Bill 1176 without my signature. 

For some time now I have lamented the fact that major issues are overlooked while many 

unnecessary bills come to me for consideration. Water reform, prison reform, and health 

care are major issues my Administration has brought to the table, but the Legislature just 

kicks the can down the alley. 

Yet another legislative year has come and gone without the major reforms Californians 

overwhelmingly deserve. In light of this, and after careful consideration, I believe it is 

unnecessary to sign this measure at this time. 

Sincerely, 

Arnold Schwarzenegger 

ursprünglich verfügbar auf der 

Webseite des Governeurs von Kalifornien 


Moderne Steganographie 

Moderne Verfahren codieren Nachrichten in verlustbehaftet 

komprimierten Mediendateien, typischerweise in Bildern (jpeg) oder 

Musikdateien (mp3). 

Naiv werden bei Bildern die am wenigsten signifikanten Bits der 

Farbwerte manipuliert. Das fällt zwar beim Betrachten 

praktisch nicht auf, ist aber mit einfachen statistischen 

Analysen leicht aufzuspüren: damit lassen sich verdächtige 

Bilder finden. 

Geschickere Methoden nutzen die Details des Kompressionsalgorithmus, 

etwa der diskreten Cosinus-Transformation beim 

JPEG-Verfahren, und nehmen dort Änderungen an 

insignifikanten Bits vor. Hier ist der Aufwand zur Entdeckung 

verdächtiger Bilder schon erheblich höher. 


Beispiele: Transposition und Substitution 

Klartext: “Dies ist ein einfaches Beispiel” 

Transposition mittels eines Zauns der Tiefe 3 (Schlüssel); 

Einlesen in Richtung des Zauns (zick-zack), Auslesen 

zeilenweise: 

D I I N H E I 

I S S E N I F C E B I P E ↦→ DIINHEIISSENIFCEBIPEETEASSL 

E T E A S S L 

Substitution gemäß Caesar: wähle k < 26 (Schlüssel); jeder 

Buchstabe des Alphabets wird um k Positionen zyklisch nach 

rechts verschoben. Für k = 3 etwa 

A ↦→ D , B ↦→ E . . . , Z ↦→ C 

was folgenden Chiffretext liefert: 

GLHVLVWHLQHLQIDFKHVEKLVSLHO 


Cryptographische Systeme (Wätjen) 

Definition 

Ein cryptographisches System besteht aus 5 Komponenten 

einem Klartextraum M ; 

einem Chiffretextraum C ; 

einem Schlüsselraum K ; 

einer Familie von Chiffrierfunktionen M E K 

C, K ∈ K ; 

einer Familie von Dechiffrierfunktionen C D K 

M, K ∈ K ; 

so dass für jedes M ∈ M und jedes K ∈ K gilt D K (E K (M)) = M 

Insbesondere ist jede der Funktionen E K 

Funktionen D K surjektiv. 

injektiv, und jede der 


Cryptographische Systeme: praktische Anforderungen 

Ein zufälliger Schlüssel K ∈ K soll leicht (algorithmisch) zu 

generieren sein 

Die Chiffrier- und Dechiffrierfunktionen E K bzw. D K sollen 

mit Hilfe eine einzigen Algorithmus E bzw. D für jeden 

Schlüssel K effizient berechenbar sein. 

Die Chiffrier- und Dechiffrierfunktionen E K bzw. D K sollen 

selber effizient berechenbare Funktionen sein. 

Die Sicherheit des Systems soll nur auf der Geheimhaltung des 

Schlüssels, und nicht auf der Geheimhaltung der Algorithmen 

beruhen. 

Es gibt zwei Anwendungsgebiete für Cryptosysteme: 

Geheimhaltung und Authentifizierung, 

die potentiell miteinander in Konflikt stehen. 


Anforderungen bei Geheimhaltung bzw. Authentifizierung 

Geheimhaltung: Folgendes ist praktisch nicht berechenbar: 

systematisch D K aus abgefangenen Chiffretexten C (auch 

nicht, wenn die Klartexte mit E K (M) = C bekannt sind), 

den Klartext M aus C . 

Authentifizierung: Folgendes ist praktisch nicht berechenbar: 

systematisch E K aus abgefangenen Chiffretexten C (auch 

nicht, wenn die Klartexte mit E K (M) = C bekannt sind), 

einen Chiffretext C ′ , so dass D K (C ′ ) ein gültiger Klartext in 

M ist (z.B. von Intresse bei numerischen oder anderen nicht 

kontextsensitiven Daten) 

Dabei bedeutet “praktisch nicht berechenbar”, dass es keinen 

besseren Algorithmus als brute force gibt, was bei gängiger 

Hardware unzumutbar lange dauert. 


Wahrscheinlichkeitstheoretische Grundlagen 

Definition 

p(A) : die W’keit, dass das Ereignis A eintritt; 

p(A, B) : die W’keit, dass A und B gleichzeitig eintreten; 

p(A|B) : die bedingte W’keit, dass A eintritt, unter der 

Voraussetzung, dass B stattgefunden hat. 

A und B heißen unabhängig, sofern p(A, B) = p(A) · p(B) . 

Rechenregel 

p(A, B) = p(A|B) · p(B) 

Proposition 

A , B unabhängig gdw p(A|B) = p(A) gdw p(B|A) = p(B) 


Perfekte Geheimhaltung 

Vereinbarungen 

Klartext M tritt mit W’keit p(M) auf; 

Chiffretext C wird mit W’keit p(C) empfangen; 

Schlüssel K wird mit W’keit p(K) gewählt. 

Definition 

Ein Kryptosystem unterliegt perfekter Geheimhaltung (ist absolut 

sicher), falls p(M|C) = p(M) für alle M ∈ M und C ∈ C gilt. 


Perfekte Geheimhaltung (2) 

M 0 

M 1 

M 2 

Schlüssel 

0 

C 

1 

0 

2 

3 

1 

2 

C 

3 

1 

0 

2 

3 

C 

0 

2 

1 

3 

0 

1 

M 3 

2 

C 3 

Klartext 

Chiffretext 

Schlüssel = 2 

p(M|C) = p(M) = 1 4 

p(C|M) = p(C) = 1 4 

Wird z.B. C 2 empfangen, ist der 

zugehörige Klartext völlig unklar. 

Notwendige Bedingung für 

perfekte Geheimhaltung: Die 

Anzahl der Schlüssel ist mindestens 

so groß wie die Anzahl der 

möglichen Klartexte. 


Perfekte Geheimhaltung (3): Caesar Chiffre 

Schlüssel 

Nachricht 

0 JXNWWYIJWRJSXHMXTQFSLJWXYWJGY 

1 IWMVVXHIVQIRWGLWSPERKIVWXVIFX 

2 HVLUUWGHUPHQVFKVRODQJHUVWUHEW 

3 GUKTTVFGTOGPUEJUQNCPIGTUVTGDV 

4 FTJSSUEFSNFOTDITPMBOHFSTUSFCU 

5 ESIRRTDERMENSCHSOLANGERSTREBT 

Perfekte Geheimhaltung ist nicht möglich, bei 26 Schlüsseln. 

Brechen duch Ausprobieren der Schlüssel, hier K = 5 . 

Für M = ”Es irrt der Mensch so lang er strebt” erhalten wir 

p(M|C) = 1 und p(M ′ |C) = 0 für M ′ ≠ M 

insbesondere also p(M|C) ≠ p(M) . 


Transposition, Beispiele (1) 

Beispiel (Transpositions-Chiffren) 

Wikipedia 

listet diverse Transpositions-Chiffren auf, etwa: 

Zaun, mit der Zaun-Tiefe als Schlüssel; 

Route, mit Gitter-Dimensionen und Route als Schlüssel; 

Spalten-Transposition, mit einer Spaltenzahl n und einer 

Permutation auf n als Schlüssel (Wort ohne wiederholte 

Buchstaben); Einlesen horizontal, Auslesen vertikal gemäß 

Schlüssel; regulär bei aufgefüllter letzter Zeile 

doppelte Spalten-Transposition; 

Myszkowski Transposition mit erlaubten Wiederholungen im 

Schlüsse; horizontales Auslesen der Spalten mit gleichem 

Schlüsselbuchstaben. 



Beispiel 

Bei Verwendung von 5 Spalten lesen wir den Klartext zeilenweise ein 

und spaltenweise je nach Schlüssel aus: 

VORLE 

SUNGS 

ICHER 

HEITI 

NNETZ 

ENUND 

13024 

31201 

OUCENN LGETTN VSIHNE RNHIEU ESRIZD 

LGETTN OEUSCREINZND RNHIEU OUCENN 

Als Schlüsselwörter eignen sich z.B. DRAHT bzw. SEIDE. 



Beispiel 

Ein historisches Beispiel bildet die im -5. Jahrundert in Sparta 

entwickelte Skytale 

Die Nachricht wird auf einen flexiblen Träger geschrieben 

Pergamentband, Lederrriemen), der spiralförmig um einen Holzstab 

gewickelt ist. Dessen Durchmesser dient als Schlüssel. Der 

abgewickelte Träger ist dann der Chiffretext. Wählt man als 

Querschnitt eine regelmäßiges n ¿- Eck, so lassen sich n Zeilen 

gleichzeitig verschlüseln. 


Erkennen einer Transpositionschiffre 

Ob eine Transpositionschiffre 

vorliegt sieht man leicht nach 

einer Häufigkeitsanalyse. 

Die Buchstaben des Alphabets 

sind in jeder Sprache 

charakteristisch verteilt. 

Dies ändert sich nicht bei 

ihrer Transposition. 

Quelle: http://home.nordwest.net/hgm/krypto/intro.htm 

Analog lassen sich Verteilungen für Buchstabenpaare (Digramme) 

und -tripel (Trigramme) angeben. Auch die Kenntnis verbotener 

Buchstabenkombinationen in der Zielsprache kann von Nutzen sein. 

Häufige Di- bzw. Trigramme in D(E): 

er, en, ch (th, en) bzw. ein, ich der (the, ing) 


Klassische Substitutionschiffren 

Klassisch unterscheidet man vier Typen von Substitutionschiffren: 

Einfache Substitution 

Homophone substitution 

Polyalphabetische Substitution 

Plogramm-Substitution 


Einfache Substitution 

Sind A das Klartext- und B das Chiffretextalphabet, basiert eine 

einfache Substitution auf einer injektiven Abbildung A f B. 

Beispiel 

Wir codieren das Klartextalphabet A = {A, B, . . . , Z} durch die 

Zahlen von 0 bis 25 : A ↦→ 0 , B ↦→ 1 , . . . Z ↦→ 25 

Verschiebechiffre (Caesar): f (a) = (a + k) mod 26 

Multiplikationschiffre: f (a) = (a · k) mod 26 , mit 

ggT(k, 26) = 1 

affine Transformation: f (a) = (a · k 1 + k 0 ) mod 26 mit 

ggT(k 1 , 26) = 1 

Die ggT ¿- Bedingungen sind notwendig, um die Decodierbarkeit zu 

garantieren. 


Einfache Substitution (2) 

Beispiel 

Natürlich kann man auch eine beliebige Permutation des 

Klartextalphabets verwenden, etwa 

A : A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 

C : C H I F R E N M T A S U B O D G J K L P Q V W X Y Z 

Dies chiffriert M = VORLESUNGEN zu E K (M) = VDKUURLQONRO . 

Knobelaufgabe 

Grabinschrift von 1794 auf den New Yorker Trinity-Friedhof: 


Probleme bei einfacher Substitution 

Die oben beschriebenen 

Verfahren sind unsicher. 

Häufigkeitsanalyse ist auch 

hier anwendbar: Die Häufigkeiten 

sind nur permutiert! 

Di- und Trigramme sowie 

verbotene Buchstabenkombinationen 

helfen hier 

auch weiter. 

Ggf. hilft auch Raten, 

zumindest wenn es sich um 

einen Text und nicht nur um 

Daten handelt. 

Zeichen erwartet in % aktuell in % 

A 6,43 6,85 ¤¤¤¤¤¤¤ 

B 1,85 1,85 ¤¤ 

C 3,26 2,52 ¤¤¤ 

D 5,12 4,63 ¤¤¤¤¤ 

E 17,74 17,30 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ 

F 1,56 1,59 ¤¤ 

G 2,69 2,90 ¤¤¤ 

H 5,22 3,78 ¤¤¤¤ 

I 7,60 8,45 ¤¤¤¤¤¤¤¤ 

J 0,23 0,38 

K 1,40 1,60 ¤¤ 

L 3,49 3,96 ¤¤¤¤ 

M 2,75 2,81 ¤¤¤ 

N 10,01 10,18 ¤¤¤¤¤¤¤¤¤¤ 

O 2,39 3,38 ¤¤¤ 

P 0,64 1,02 ¤ 

Q 0,01 0,03 

R 6,98 7,36 ¤¤¤¤¤¤¤ 

S 6,88 5,85 ¤¤¤¤¤¤ 

T 5,94 6,06 ¤¤¤¤¤¤ 

U 4,27 3,86 ¤¤¤¤ 

V 0,64 1,00 ¤ 

W 1,73 1,36 ¤ 

X 0,02 0,04 

Y 0,04 0,06 

Z 1,10 1,21 ¤ 

J eder ¤ reprÄasentiert 1% des aktuellen Textes 

Anzahl der Buchstaben des aktuellen Textes = 24961 


Homophone Substitution 

Ziel ist es, das Problem der permutierten Häufigkeiten zu lösen. 

Idee: Ordne jedem Klartextzeichen mehrere Chiffretextzeichen zu, 

aus denen beim Chiffrieren jeweils eins zufällig auszuwählen ist. 

Definition 

Für Alphabete A und C ist eine Chiffre mit homophoner 

Substitution durch eine surjektive Abbildung C g A gegeben. 

Beachte: Die g ¿- Urbilder der Klarextbuchstaben sind wegen der 

Surjektivität nicht leer, und automatisch paarweise disjunkt. 

Strategie: Versuche, durch geschickte Abbildung eine Gleichverteilung 

aller Chiffre-Zeichen zu erhalten, dann läuft die 

Häufigkeitsanalyse ins Leere. 


Homophone Substitution (2) 

Beispiel 

Chiffrealphabet: die Zahlen von 00 bis 99 ; 

Anzahl der Homophone: prozentuale Häufigkeit des Buchstabens, 

und alle Ziffern treten möglichst gleich häufig auf, etwa 

Buchstabe Häufigkeit Homophone 

E 17,74% 02 05 14 19 24 26 34 46 50 57 63 68 75 80 83 91 99 

I 7,60% 01 15 22 43 52 86 87 98 

K 1,40% 44 

L 3,49% 04 28 82 

N 10,01% 08 21 42 45 53 66 72 77 92 95 

P 0,64% 03 

R 6,98% 07 11 12 23 30 70 85 

S 6,88% 10 18 36 39 61 83 93 

K L E I N E S P I E L E R E I ↦→ 44 04 24 01 66 57 36 03 98 05 82 99 30 75 52 

Häufigkeitsanalyse von Einzelbuchstaben helfen kaum, von Di- und 

Trigrammen nur wenig mehr. Aber Known-Plaintext Angriffe sind 

wirksam. 


Recherche Aufgaben 

Betriebsmodi für Blockchiffren: CFB und OFB 

Quelle: D. Wätjen, Kryptographie, 2. Aufl, Spektrum Verlag. 

Die Stromchiffre RC 4: 

Quelle: W. Stallings, L. Brown: Computer Security Principles 

and Practice, Pearson 2008. 

http://en.wikipedia.org/wiki/RC4 


Kapitel 3 

Zahlentheoretische Grundlagen 


G. H. Hardy über Zahlentheorie. . . 

G. H. Hardy 1877 – 1947 (Quelle: Wikipedia) 

“Echte Mathematik hat keine Auswirkungen auf den Krieg. Bisher hat noch 

niemand einen kriegerischen Nutzen der Zahlentheorie entdeckt.“ 


Gauß über Zahlentheorie. . . 

Carl Friedrich Gauß (1777 – 1855) (Quelle: Wikipedia) 

“Die Mathematik ist die Königin der Wissenschaften und die Zahlentheorie 

ist die Königin der Mathematik.“ 


Überblick 

Teilbarkeit und Primzahlen 

Kongruenzen modulo n und Restklassenrechnung 

Schnelle Exponentiation modulo n 

Sätze von Euler und Fermat als Grundlage für RSA 

Euklidischer Algorithmus zur Bestimmung des Inversen modulo 

n 


Zahlenmengen 

N Menge der natürlichen Zahlen {0, 1, 2, 3, . . . } 

Z Menge der ganzen Zahlen {. . . , −3, −2, −1, 0, 1, 2, 3, . . . } 

Eigenschaften der ganzen Zahlen 

(a + b) + c = a + (b + c) a(bc) = (ab)c Assoziativität 

a + 0 = a a · 1 = a Neutrales Element 

a + b = b + a ab = ba Kommutativität 

a + (−a) = 0 

Additives Inverses 

Damit ist 〈Z, +, 0〉 eine kommutative Gruppe und 〈Z, ·, 1〉 ein 

kommutatives Monoid. 

a(b + c) = ab + ac 

Distributivität 

Damit ist 〈Z, +, 0, ·, 1〉 eine kommutativer Ring mit Null 0 

und Eins 1 . 


Teilbarkeit als Ordnungsrelation 

Die Teilbarkeitsrelation k | n ⇐⇒ ∃z ∈ Z : z · k = n ist eine 

Halbordnung auf den natürlichen Zahlen N : sie ist 

reflexiv, d.h., k | k für alle k ∈ N ; 

transitiv, d.h., k | n und n | r impliziert k | r ; 

antisymmetrisch, d.h., k | n und n | k impliziert k = n . 

(Auf den ganzen Zahlen Z entfällt die Antisymmetrie.) Bzgl. dieser 

Halbordnung für Elemente a, b ∈ N der größte gemeinsame Teiler 

ggT(a, b) und das kleinste gemeinsame Vielfache kgV(a, b) die 

größte untere, bzw. kleinste obere Schranke. Für solche Strukturen 

wurde der Begriff Verband geprägt. 

Weiterhin existiert bzgl. Teilbarkeit ein größtes Element, nämlich 0 

und ein kleinstes Element, nämlich 1 . 


Primzahlen 

Definition 

Eine Zahl p ∈ N heißt Primzahl oder prim, wenn sie im Teilbarkeitsverband 

〈Z, | , ggT, kgV, 1, 0〉 , ein oberer Nachbar des 

kleinsten Elements 1 ist (auch Atom genannt). 

Satz 

p ∈ N ist genau dann eine Primzahl, wenn eine der folgenden 

äquivalenten Bedingungen erfüllt ist: 

p ≠ 0, 1 und aus p | a · b folgt p | a oder p | b für a, b ∈ N . 

p ≠ 0, 1 und aus k | p folgt k ∈ {1, p} , für k ∈ N . 

p hat genau zwei Teiler (nämlich 1 und p ). 


Restklassenrechnung am Beispiel der Uhr 

Idee – Arithmetik der Uhr: 

usw. 

0 = 12 = 24 

1 = 13 = 25 

Statt mit Zahlen wird mit Resten bei Division 

durch 12 gerechnet, z.B: 

8 + 6 = 2 2 − 5 = 9 3 ∗ 5 = 3 

5 −1 = 5 da 5 ∗ 5 = 1 gilt 


Teilbarkeit und Kongruenz 

Definition 

Jede Zahl n ∈ N definiert auf Z eine Relation a ≡ n b durch 

n | (a − b) . Dann heißt a kongruent zu b modulo n . 

Satz 

≡ n 

ist Äquivalenzrelation auf Z , d.h. 

a ≡ n a 

a ≡ n b =⇒ b ≡ n a 

a ≡ n b, b ≡ n c =⇒ a ≡ n c 

(Reflexivität) 

(Symmetrie) 

(Transitivität) 

Ziel ist es, auf den Restklassen modulo n , also den Mengen 

[a] n = {b | b ≡ n a} , a ∈ Z , eine Ringstruktur einzuführen. 


Restklassenrechnung 

Naiver Ansatz: [a] n + [b] n := [a + b] n und [a] n · [b] n := [a · b] n 

Damit diese Definition funktioniert, brauchen wir den Nachweis, 

dass es sich bei ≡ n sogar um eine Kongruenzrelation handelt: 

Satz 

Für Zahlen n ∈ N und a, a ′ , b, b ′ ∈ Z gilt 

[a] + [b] = [a + b] und [a] · [b] = [a · b] 

Das Hantieren mit Mengen als Elementen ist wenig beliebt, also 

versucht man, aus den Restklassen möglichst kanonische 

Repräsentanten auszuwählen, etwa das jeweils kleinste 

nicht-negative Element. Das sind gleichzeitig die nicht-negativen 

Reste bei Division durch n . 


Restklassenrechnung (2) 

Definition 

Für n ∈ N bildet Z modn Z n ganze Zahlen auf ihren 

nichtnegativen Rest bei Division durch n ab. 

Satz 

Für jedes n ∈ N ist Z n = {0, 1, 2, . . . , n − 1} ein Ring unter 

a ⊕ b = (a + b) mod n 

a ⊙ b = (a · b) mod n 

Dadurch wird modn zu einem Ring-Homomorphismus von 

〈Z, +, 0, ·, 1〉 nach 〈Z n , ⊕, 0 mod n, ⊙, 1 mod n〉 . 

Korollar 

In 〈Z n , ⊕, 0 mod n, ⊙, 1 mod n〉 gelten dieselben Exponentiationsregeln 

wie in 〈Z, +, 0, ·, 1〉 . 


Exponentiation . . . 

. . . in der modularen Arithmetik: e t mod n = (e 

} 

· e 

{{ 

· · · e 

} 

) mod n 

t mal 

Beispiel 

Berechnung des Ausdrucks 3 5 

mod 7 auf zwei Arten: 

a 1 Quadriere 3: 3 · 3 = 9 

2 Quadriere das Ergebnis: 9 · 9 = 81 

3 Multipliziere mit 3: 81 · 3 = 243 

4 Reduziere modulo 7: 243 mod 7 = 5 

b 1 Quadriere 3: 3 · 3 mod 7 = 2 

2 Quadriere das Ergebnis: (2 · 2) mod 7 = 2 

3 Multipliziere mit 3: (4 · 3) mod 7 = 5 

Was ist besser und wieso? 


Schnelle Exponentiation 

Die naive Berechnung von a z mod n = (∏ i

Beispiel: Berechnung von 51 18479 mod 56350 

i ⌊z/2 i ⌋ z i 51 (2i ) mod 56350 

∏ 51 

(2 i )z i 

mod 56350 

0 18479 1 51 51 

1 9239 1 2601 19951 

2 4619 1 3201 18601 

3 2309 1 47051 23801 

4 1154 0 30501 23801 

5 577 1 28851 1551 

6 288 0 34351 1551 

7 144 0 22201 1551 

8 72 0 47301 1551 

9 36 0 7851 1551 

10 18 0 47651 1551 

11 9 1 50901 1101 

12 4 0 51501 1101 

13 2 0 14851 1101 

14 1 1 54651 45301 


Schnelle Exponentiation in Pseudocode 

Data: n, z ∈ N, a ∈ Z 

Result: x = a z mod n 

a 1 := a ; 

z 1 := z ; 

x := 1 ; 

// (x · a z 1 

1 ) mod n = az mod n 

while z 1 ≠ 0 do 

while (z 1 mod 2) = 0 do 

z 1 := z 1/2 ; 

a z := (a 1 · a 1) mod n ; 

end 

z 1 := z 1 − 1 ; 

x := (x · a z) mod n ; 

end 


Modulare Arithmetik 

Viele kryptographische Verfahren benötigen multiplikative odr 

modulare Inverse in Z n .Existiert ein solches für a ∈ Z n , so ist es 

eindeutig bestimmt (HA) und wird mit a −1 bezeichnet. 

Speziell sind in Z n Gleichungen der Form (a · x) mod n = b mit 

a, b ∈ Z n zu lösen. Das ist leicht, wenn man durch a teilen kann. 

Allgemeiner wollen wir für n ∈ N und a ∈ Z n 

Z n 

a ⊙ − Z n , x ↦→ (a · x) mod n 

d.h., die Multiplikation mit a , genauer analysieren. 

Diese läßt sich zerlegen als 

Z n 

a · − a · Z n ⊆ Z modn Z n 

die Abbildung 


Existenz multiplikativer Inverser 

Satz 

Für n ∈ N ist Z n 

a ⊙ − Z n genau dann injektiv, wenn a und n 

coprim oder teilerfremd sind, d.h., wenn gilt ggT(a, n) = 1 . 

Satz 

a −1 

existiert genau dann für a ∈ Z n , wenn ggT(a, n) = 1 gilt. 

Beweis. 

Z n ist endlich, daher ist a ⊙ − genau dann injektiv, wenn es 

surjektiv ist. In dem Fall ist das Urbild von 1 das gesuchte Inverse. 

Umgekehrt folgt aus der Existenz von a −1 , daß a ⊙ − invers zu 

a −1 ⊙ − , also injektiv ist. 


Der Fall ggT(a, n) = 1 

Veranschaulichung: a = 5 , n = 6 

Z modn Z n “wickelt” Z auf einen Kreis des Umfangs n . Für 

ggT(a, n) = 1 überdeckt das Bild von a · Z n genau den Kreis. 

3 

10 4 

15 20 2 

5 25 1 

−1 0 1 2 3 4 5 6 7 8 9 10 11 12 · · · 

Nun hat a · x mod n = b die eindeutige Lösung x = a −1 · b mod n . 

Folgerung 

Z n 

ist genau dann ein Körper, wenn n eine Primzahl ist. 


Euler’sche ϕ -Funktion 

Definition 

Z ∗ n := { a ∈ Z n : ggT(a, n) = 1 } heißt reduzierte Menge der Reste 

modulo n . |Z ∗ n| wird nach Euler mit ϕ(n) bezeichnet. 

Bzgl. ⊙ verhält sich Z ∗ n gut, es ist eine kommutative Gruppe, denn 

das Monoid 〈Z n , ⊙, 1 mod n〉 ist kommutativ und b −1 ⊙ a −1 ist 

das multiplikative Inverse zu a ⊙ b , für a, b ∈ Z ∗ n . 

Notation. 

Für teilerfremde Zahlen s, t ∈ N bezeichnet s −1 mod t das 

multiplikative Inverse von s mod t in Z ∗ t . 


Euler’sche ϕ -Funktion (2) 

Satz 

(0) ϕ(0) = 2 , ϕ(1) = 1 . 

(1) p prim und k > 0 impliziert ϕ(p k ) = p k−1 (p − 1) . 

(2) ggT(s, t) = 1 impliziert ϕ(s · t) = ϕ(s) · ϕ(t) . 

Satz (Euler bzw. Fermat im Falle von Primzahlen) 

Für n ∈ N erfüllt jedes a ∈ Z ∗ n die Bedingung a ϕ(n) ≡ n 1 . 

Beweis 

Da a ⊙ − bijektiv ist stimmen die Produkte in Z ∗ n überein: 

( ∏ ) ( ∏ ) 

x ≡ n a · x ≡ n 

(a ∏ ) 

ϕ(n) x 

x∈Z ∗ n 

x∈Z ∗ n 

x∈Z ∗ n 


Folgerungen aus dem Satz von Euler 

Dies liefert zunächst eine nützliche Rechenregel: 

Rechnet man in der Basis modulo n , 

so darf man im Exponenten modulo ϕ(n) rechnen 

Corollar 

Für n ∈ N , a ∈ Z ∗ n 

und r 0 , r 1 ∈ N gilt 

r 0 ≡ ϕ(n) r 1 impliziert a r 0 

≡ n a r 1 

Beweis. 

ObdA gelte r 1 ≤ r 0 . Nach Voraussetzung existiert k ∈ N mit 

r 0 = r 1 + k · ϕ(n) . Aufgrund der Exponentiationsregeln folgt nun 

( 

a r 0 

≡ n a r1+k·ϕ(n) ≡ n a r 1 

a ϕ(n)) k 

≡n a r 1 


Multiplikative Inverse 

Satz 

Für n ∈ N und a ∈ Z ∗ n gilt a −1 ≡ n a ϕ(n)−1 mod n . 

Beispiel 

Wegen 56350 = 2 · 5 2 · 7 2 · 23 folgt 

ϕ(56350) = 1 · (4 · 5) · (6 · 7) · 22 = 18480 

und somit nach dem Satz von Euler 

a −1 mod 56350 = a 18479 mod 56350 

für jedes a ∈ Z ∗ 56350 , speziell für a = 51 (siehe obiges Beispiel). 


Schnellere Inversenberechnung: Euklidischer Algorithmus 

Bekanntlich existieren für a, n ∈ Z Zahlen u, v ∈ Z mit 

au + nv = ggT(a, n) und damit au ≡ n ggT(a, n) 

ggT(a, n) = 1 impliziert dann a −1 ≡ n u . Finden kann man u 

durch “Aufdröseln” des Euklidischen Algorithmus: 

Beispiel (Berechnung von 51 −1 mod 56350 ) 

Man spielt die Berechnung des ggT , bis auf den überflüssigen 

letzten Schritt, nochmal mit den Startwerten 0 und 1 nach: 

56350 = 1104 · 51 + 46 

51 = 1 · 46 + 5 

46 = 9 · 5 + 1 

5 = 5 · 1 + 0 

0 = 1104 · 1 + (−1104) 

1 = 1 · (−1104) + 1105 

− (1104) = 9 · 1105 + (−11049) 

Damit erhalten wir 51 −1 ≡ 56350 −11049 ≡ 56350 = 45301 . 


Euklidischer Algorithmus in Pseudocode 

Data: a, n ∈ N 

Result: d = ggT(a, n) 

g 0 := n; g 1 := a; i := 1; 

while g i ≠ 0 do 

g i+1 := g i−1 mod g i ; 

i := i+1; 

end 

d := g i−1 ; 


Erweiterung zur Berechnung des Inversen 

Data: a, n ∈ N mit n > a und ggT(a, n) = 1 

Result: x = a −1 mod n 

g 0 := n ; g 1 := a ; 

u 0 := 1 ; v 0 := 0 ; 

u 1 := 0 ; v 1 := 1 ; i := 1 ; 

while g i ≠ 0 do 

y := g i−1 div g i ; 

g i+1 := g i−1 − y · g i ; 

u i+1 := u i−1 − y · u i ; 

v i+1 := v i−1 − y · v i ; 

i := i + 1 ; 

end 

x := v i−1 ; 

if x ≤ 0 then 

x := x+n 

end 


Bemerkungen 

Der Algorithmus funktioniert nur für positive a und n korrekt: 

Für a = −1 liefert er zum Beispiel inkorrekt x = 1 . 

Komplexität: Die durchschnittliche Anazhl von Divisionen ist 

0.843 · ln(n) + 1.47 

Das bedeutet, die durchschnittliche Laufzeit ist linear in der 

Bitlänge von n. 

Es reichen zweimal drei lokale Variablen 

g − , g, g + und v − , v, v + 

(denn die u ’s werden nur zur Berechnung von x verwendet) 


Der Fall ggT(a, n) ≠ 1 

Veranschaulichung: a = 4 , n = 6 

Hier überdeckt das Bild von a · Z n die von 0 aus in Schritten der 

Größe a/g erreichbaren n/g Kreiselemente je g -mal: 

16 

3 

4 28 

20 

5 1 

−1 0 1 2 3 4 5 6 7 8 9 10 11 12 · · · 

12 

Satz 

Für n ∈ N , a, b ∈ Z n und g := ggT(a, n) hat a · x mod n = b 

keine Lösung, falls b kein Vielfaches von g ist; 

g Lösungen der Form y + t(n/g) , t < g , wobei y die 

eindeutige Lösung von (a/g) · x mod (n/g) = (b/g) ist. 


Literatur 

Dietmar Wätjen: Kryptographie, 2. Aufl., Spektrum 

Akademischer Verlag, 2008. 

G. H. Hardy, E. M. Wright: An Introduction to the theory of 

numbers, Oxford University Press, 6. Aufl., 2008. 

K. H. Rosen, Elementary Number Theory and its Applications, 

5. Aufl., Pearson, 2005. 

Simon Singh: Fermat‘s last theorem, Fourth Estate, 2002. 


Kapitel 4 

Moderne symmetrische Verfahren 


Überblick 

Prinzipien in modernen symmetrischen Verfahren 

Konfusion und Diffusion 

Feistel-Netzwerke und der Data Encryption Standard (DES) 

Funktionsweise 

Sicherheit 

Betriebsmodi von Blockchiffren 

Cipher Block Chaining (CBC) 

Counter mode 

Advanced Encryption Standard (AES) 


Überblick 






Modernere Verschlüsselungsverfahren 

Wir wollen uns nun mit Verfahren beschäftigen, die moderner sind 

als die bisher betrachteten. Diese 

wurden seit Mitte der 1970er Jahre entwickelt; 

verwenden Bit- statt zeichenweise Verschlüsselung; 

wende “Konfusion” und “Diffusion” an; 

sind bishe außer “Brute-Force-Attacken” keinen bekannten 

Angriff ausgesetzt 


Bitweise Verschlüsselung 

Bisherige Verfahren waren zeichenorientiert 

Mit Computern kann man auf bitweise Verschlüsselung 

übergehen 

− damit werden Häufigkeitsanalysen schwierig 

− Wie sieht z.B. die Verteilung des 3. Bits aller Bytes eines Textes 

aus? 

Beispielsweise kann die bitweise XOR-Operation verwendet 

werden, um Schlüssel und Klartext zu verknüpfen 

− XOR ist einfach in Hardware 

zu implementieren 

− XOR ist leicht umkehrbar 

(einfach erneute Anwendung) 

⊕ 0 1 

0 0 1 

1 1 0 


Konfusion und Diffusion 

Zwei informelle Begriffe, deren streng mathematische Definition 

aber meist unterbleibt: 

Konfusion: Die statistische Verteilung der Chiffretexte hängt so 

kompliziert von der Verteilung der Klartexte ab, daß sich 

hieraus keine Angriffsmöglichkeit ergibt. Idealerweise sind die 

Chiffretexte fester Länge gleichverteilt. 

Diffusion: jedes Bit des Klartextes und jedes Bit des Schlüssels 

beeinflussen möglichst viele Bits des Chiffretextes, vergl. auch 

das Avalance Kriterium von Horst Feistel. 

Das strikte Avalance Kriterium (SAC) von Webser und Tavares 

(1985) fordert, daß bei Veränderung eines Klartext- oder 

Schlüssel-Bits jedes Chiffretext-Bit sich mit W’keit 1/2 ändert. 


Strom- vs. Blockchiffrierung 

Stromchiffirierung: 

Es wird eine Bitfolge erzeugt (Schlüsselstrom), mit der der 

Nachrichtenstrom verschlüsselt wird 

Optimal: Schlüsselstrom genauso lang wie Nachrichtenstrom 

Blockchiffrierung: 

Es werden Gruppen von Bits zusammengefasst und gemeinsam 

verschlüsselt, oft jede Gruppe mit demselben Schlüssel 

Einfaches Beispiel: einfache Substitution wie bei Caesear 

Allgemein: 

− Klartext: M = M 1 M 2 M 3 · · · (ggf. letzten Block auffüllen) 

− Chiffretext: E K (M) = E K (M 1 )E K (M 2 )E K (M 3 ) · · · 

Heute basieren praktisch alle guten Verfahren auf Blockchiffrierung. 


Überblick 






Feistel-Netzwerke 

. . . bilden die zentrale Komponente 

gängiger Kryptoverfahren 

− Entworfen von Horst Feistel 

(IBM) Anfang der 70er Jahre 

− Verschlüsselung erfolgt in 

mehreren Runden 

L i 

K i+1 

⊕ f ⊣ 

L i+1 = R i R i+1 

R i 

Zerlege Blöcke gerader Länge in gleichlange Hälften: B i = L i R i 

Chiffrierung und Dechiffrierung gehorchen einem einfachen Prinzip: 

L i+1 = R i 

R i+1 = L i ⊕ f (R i , K i+1 ) 

Damit braucht f nicht invertierbar zu sein! 

R i = L i+1 

L i = L i ⊕ f (R i , K i+1 ) ⊕ f (R i , K i+1 ) 

= R i+1 ⊕ f (R i , K i+1 ) 


Feistel-Netzwerke (2) 

Einzige Bedingung an f : ohne Kenntnis des Schlüssels K i+1 darf 

f (R i , K i+1 ) nicht leicht berechenbar sein. 

Da keine Invertierbarkeit gefordert ist, kann f beliebig komplex 

werden, solange es effizient berechenbar bleibt. 

Chiffren, die auf (modifizierten) Feistel-Netzwerken basieren: 

− DES & Triple-DES 

− Blowfisch 

− MARS 

− RC5 

− . . . 

Wir schauen uns jetzt DES im Detail an! 


Geschichte von DES 

DES: Data Encryption Standard 

− Ergebnis einer öffentlichen Ausschreibung des amerikanischen 

National Bureau of Standards (NDS) Mitte der 70er 

− Ziel: Entwurf eines einheitlichen, sicheren 

Verschlüsselungsalgorithmus 

Bester Vorschlag von IBM (Feistel, Coppersmith et al.) 

− Modifiziert von 112 auf 56 Bit Schlüssellänge unter Mitarbeit 

der berühmten NSA (National Security Agency) 

− Deswegen immer wieder Bedenken wegen möglicher Hintertüren, 

die nur die NSA kannte 

− Inzwischen haben Brute-Force-Angriffe Aussicht auf Erfolg 

Anwendung: 

− In den 80er und 90er Jahren offizieller Standard bei 

US-Behörden 

− Die Variante Triple-DES ist bis 2030 zugelassen. 


Der DES-Algorithmus 

Der symmetrische Data Encryption Standard (DES, IBM, 1977; 

Feistel, Coppersmith et al.) kombiniert Substitutions- und 

Transpositionschiffren in 16 Runden. 

Die Chiffrierung von 64-Bit Klartextblöcken T mit 56-Bit 

Schlüsseln K erfordert 48-Bit Rundenschlüssel K i , i < 16 . 

In der Praxis verwendet man 64-Bit Schlüssel ¯K , bei denen 

jedes der acht Bytes ungerade(!) Parität haben muß, was durch 

ein Paritätsbit am Ende sichergestellt wird. Dieses wird gleich 

zu Beginn der Konstruktion der Rundenschlüssel entfernt, so 

dass nur die vorderen sieben Bits jedes Bytes zum eigentlichen 

Schlüssel K beitragen. 

Um neben Permutationen von Bits auch deren Eliminierung 

oder Vervielfachung darstellen zu können, verwendet man 

Urbildliste der vorherigen Positionen der Bits (Start bei 1). 


Erzeugung der Rundenschlüssel: Übersicht 

¯K hat 64 Bits und wird 

durch die Transformation 

PC 1 auf 56 Bits reduziert. 

C i , D i sind 28 Bit Blöcke 

LS i sind zyklische 

Linksshifts um 1 oder 2 

Positionen. 

Die Transformation PC 2 

entfernt 8 der 56 Bits und 

permutiert die übrigen. 

Jeder Rundenschlüssel K i 

hat 48 Bits. 


Erzeugung der Rundenschlüssel: Details 

Folgende Transformation entfernt die Paritätsbits aus ¯K : 

PC 1 : 

57 49 41 33 25 17 9 

1 58 50 42 34 26 18 

10 2 59 51 43 35 27 

19 11 3 60 52 44 36 

63 55 47 39 31 23 15 

7 62 54 46 38 30 22 

13 5 60 52 44 36 28 

21 13 5 28 19 12 4 

Daher treten die Zahlen 8, 16, 24, 32, 40, 48, 56 und 64 nicht auf. 

Die beiden Hälften des 56-Bit Ergebnisses PC 1 ( ¯K) = CD , mit 

C, D ∈ {0, 1} 28 werden 16 Mal separat derselben zyklischen 

Linksverschiebung unterzogen, und zwar um eine oder zwei 

Positionen gemäß der Tabelle 

Iteration 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 

Links-Shift 1 1 2 2 2 2 2 2 1 2 2 2 2 2 2 1 


Das Ergebnis nach Iterationsschritt i bezeichnen wir mit C i D i . 

Dieses wird einer weiteren Transformation PC 2 unterzogen, wonach 

weitere 8 Bits in den Positionen 9, 18, 22, 25, 35, 38, 43 und 54 

eliminiert werden: 

PC 2 : 

14 17 11 24 1 5 

3 28 15 6 21 10 

23 19 12 4 26 8 

16 7 27 20 13 2 

41 52 31 37 47 55 

30 40 51 45 33 48 

44 49 39 56 34 53 

46 42 50 36 29 32 

Das Resultat ist der 48-Bit Rundenschlüssel K i . 


Struktur des DES 

Die einzelnen Bestandteile des DES: 

Klartext T 

Initiale Permutation IP(T ) = L 0 R 0 

Am Schluss invers IP −1 (L 16 R 16 ) 

Funktion 2 32 × 2 48 2 32 , wo 

die Rundenschlüssel eingehen 

16 Runden Feistel-Netzwerk: 

L i = R i−1 

R i = L i−1 ⊕ f (R i−1 , K i ) 

Nach Runde 16 werden R 16 und L 16 

nicht mehr vertauscht. 

f 

T 

IP 

L 0 R 0 

⌋⌊ 

L 0 K 0 

R 0 

⊕ f ⊣ 

R 1 

L 1 = R 0 K 1 

⊕ f ⊣ 

R 2 

L 2 = R 1 

. . . 

R 15 

L 15 = R 14 K 15 

⊕ f ⊣ 

R 16 L 16 = R 15 

⌉⌈ 

R 16 L 16 

IP −1 E K (T ) 


Die initiale Permutation und ihr Inverses 

Zur Ausführung der Permutation werden die Tabellen 

zeilenweise von lins nach rechts gelesen 

der (i, j) -Eintrag gibt die neue Position des j -ten Bits des 

i -ten Bytes eines 64-Bit Blockes an 

T = t 1 t 2 t 3 · · · t 64 

IP(T ) = t 58 t 50 t 42 · · · t 15 t 7 IP −1 (T ) = t 40 t 8 t 48 · · · t 57 t 25 


Die Funktion 2 32 × 2 48 

f 

2 32 , Übersicht 


Die Funktion f , Details 

B 1 B 2 · · · B 8 := E(R i−1 ) ⊕ K i 

f (R i−1 , K i ) := P(S 1 (B 1 )S 2 (B 2 ) · · · S 8 (B 8 )) 

1 32-Bit Halbblock R i−1 mit Transformation E auf 48 Bits erweitern 

2 Rundenschlüssel mit XOR verknüpfen 

3 Acht Substitutios-Boxen von 6 auf 4 Bit anwenden 

4 Permutation P auf 8 × 4 Bits anwenden 


Bit-Auswahl und Permutation 

Erweiterung auf 48 Bit durch Transformation E : 

− R i−1 zyklisch um eine Position nach reachts verschieben und 

gewisse Bit-Paare verdoppeln 

− Jede Zeile liefert 6 Bits 

Permutation P (analog zu IP ): 

− 8 × 4 = 32 Bits durch zeilenweises Lesen der Tabelle 

permutieren 


S-Boxen 

Eingabe: 6-Bit Block B = b 1 b 2 b 3 b 4 b 5 b 6 

Ausgabe: 4-Bit Block 

S(B) 

Jede S-Box ist durch eine 4 × 16 -Matrix M mit binären 

Einträgen von 0000 bis 1111 gegeben 

Dann gilt mit binären Zeilen- bzw. Spaltenindizes: 

S(B) := M[i, j] wobei i = (b 1 b 6 ) j = (b 2 b 3 b 4 b 5 ) 

Zeilenindex = 1. und 6. Bit, 

Spaltenindex = 2. bis 5. Bit 


Die S-Boxen (aus Platzgründen dezimal) 


Anmerkungen zum Design des DES-Verfahrens 

DES beschränkt sich auf sehr einfache Bitoperationen: 

XOR, Bitauswahl, Permutationen 

→ das Verfahren ist sehr gut in Hardware umsetzbar 

Auswahltabelle E: jede Änderung eines Klartextbits betrifft 

nach wenigen Runden alle Bits des erzeugten Chiffretextes 

Permutation P: jedes Klartextbit wirkt sich bei jeder Runde auf 

eine andere S-Box aus 

Also: E und P sorgen für Diffusion 


Design der S-Boxen 

S-Boxen sind so konstruiert, dass DES der so genannten 

differentiellen Kryptoanalyse standhält. 

Idee der differentiellen Kryptoanalyse: 

− Beobachte Auswirkungen von kleinen Differenzen in bekannten 

Klartexten auf die zugehörigen chiffretexte 

− Versuche daraus auf (Teiule des) Schlüssel(s) zu schließen 

Dieses Verfahren wurde 1992 durch E. Biham und A. Shamir 

veröffentlicht 

Es muss aber beim Design der S-Boxen schon bekannt gewesen 

sein ⇒ 20 Jahre Wissensvorsprung der NSA vor öffentlicher 

Forschung! 


Die DES Dechiffrierung. . . 

T 

IP 

L 0 R 0 

. . . durchläuft die 16 

Feistelnetzwerkrunden von 

unten nach oben 

Das entspricht der Verwendung 

der Rundenschlüssel in der 

umgekehrten Reihenfolge! 

Die Korrektheit lässt sich dann 

leicht nachweisen: 

D K (E K (T )) = T 

⌋⌊ 

L 0 K 0 

R 0 

⊕ f ⊣ 

R 1 

L 1 = R 0 K 1 

⊕ f ⊣ 

R 2 

L 2 = R 1 

. . . 

R 15 

L 15 = R 14 K 15 

⊕ f ⊣ 

R 16 L 16 = R 15 

⌉⌈ 

R 16 L 16 

IP −1 E K (T ) 


Sicherheit von DES 

Für einen festen Schlüssel K ist DES-Verschlüsselung 

insgesamt eine bijektive Funktion auf der Menge aller 

64-Bit-Blöcke 

− Wiederholte Anwendung liefert irgendwann den Klartext 

(Warum?) 

Zyklenlänge = kleinste Anzahl von Wiederholungen bis Klartext 

wiederholt 

− Es gibt 4 Schlüssel mit Zyklenlänge 2 

− Es ist sehr unwahrscheinlich, dass diese zufällig gewählt werden; 

dann sollte man nochmal wählen. 


Größte Schwäche von DES. . . 

. . . ist die kurze Schlüssellänge von nur 56 

Bits: 

− Mit Brute-Force-Methoden kann der 

Schlüssel heutzutage in kurzer Zeit 

ermittelt werden: 

1998: Electrinc Frontier Foundation (EFF) 

baut für $250.000 Deep Crack mit 1536 

speziellen Krypto-Chips 

− knackt DES in 56 Stunden 

2006: Forschungsgruppen aus Bochum 

Kiel bauen COPACOBANA 

− Spezialrechner für < $10.000 

− Knackt zusammen mit einem PC in 

durchschn. 6 Tagen DES-Schlüssel für 2 

Blöcke Klartext-Chiffretext-Paare 


Größere Sicherheit für DES 

1 Verdoppelung der Schlüssellänge auf 112 Bit 

Angeblich war dies der ursprüngliche Entwurf, der aber auf 

Betreiben der NSA modifiziert wurde 

2 Triple-DES: drei verschiedene Schlüssel K 1 , K 2 , K 3 

Schlüssellänge 168 Bits 

effektiv aber 112 Bits, denn: 

ein Angreifer benötigt 2 112 Schritte und 2 56 Blöcke Speicher 


Überblick 







5 Betriebsmodi für Blockchiffren wurden vom NIST definiert 

(ursprünglich für DES im Dezember 1980) 

Modus Beschreibung Anwendung 

Electronic Code Unabhängige Kodierung einzelner blöcke mit Sichere Übertragung einzelner 

Book (ECB) demselben Schlüssel 

Werte 

Cipher Block Kodierung von XOR-Verknüpfung mit letztem Block-orientierte Übertragung; 

Chaining (CBC) Chiffretextblock 

Authentifizierung 

Cipher Feedback Verschlüsselung wirkt auf ein Feedbackregister Block-orientierte Übertragung; 

(CFB) 

der Länge n; zur Kodierung werden r Bits (r < Authentifizierung 

n) des Registers mit den Klartextblöcken verknüpft 

Output Feedback Ähnlich CFB; aber Eingabe der Verschlüsselung Strom orientierte Übertragung 

(OFB) 

ist vorherige Ausgabe 

(z.B. Satellit) 

Counter (CTR) Jeder Klartextblock wird mit einem verschlüsselten 

Block orientierte Übertragung; 

Zähler XOR-verknüpft 

hohe 

Geschwindigkeit 


Modus: Electronic Code Book (ECB) 

Klartext M wird in n-Bit Blöcke zerlegt: M = M 1 M 2 M 3 · · · 

Jeder Block wird mit demselben Schlüssel K verschlüsselt: 

E K (M) = E K (M 1 )E K (M 2 )E K (M 3 ) · · · 

Probleme: 

− Blöcke werden ggf. aufgefüllt (Padding) 

=⇒ Angriff mit bekanntem Klartext möglich 

− Replay: 

(z.B. in Datenbanken) 


ECB und Klartextmuster 

Klartext Mit ECB verschlüsselt Mit CBC verschlüsselt 

Mit ECB bleiben aufgrund der Verwendung des gleichen 

Schlüssels Muster im Klartext evtl. erhalten. 

Mit CBC werden Informationen über den gesamten Chiffretext 

verteilt → Ergebnis liefert Pseudorandom-Daten 

Vorsicht: Pseudorandom impliziert keine kryptographische 

Sicherheit! 


Modus: Cipher Block Chaining (CBC) 

Idee: Jeder Chiffretextblock wird aus dem zugehörigen 

Klartextblock und dem vorhergehenden Chiffretextblock 

berechnet. 

Eingabe: 

k-Bit Schlüssel K 

n-Bit Initialisierungsvektor IV 

n-Bit Klartextblöcke M 1 , . . . , M t 

Algorithm: Chiffrierung 

C 0 := IV; 

for i := 1 to t do 

C i := E K (M i ⊕ C i−1 ) ; 

end 

Algorithm: Dechiffrierung 

C 0 := IV; 


M i := C i−1 ⊕ D K (C i ) ; 

end 


Alternativdarstellung: ECB vs. CBC 

Chiffrierung (oben) und Dechiffrierung (unten): 

M 0 M 1 M 2 · · · 

M 0 M 1 M 2 · · · 

⊕ ⊕ ⊕ 

E K E K E K 

E K E K E K 

IV 

• • • 

C 0 C 1 C 2 · · · 

C 0 C 1 C 2 · · · 

C 0 C 1 C 2 · · · 

C 0 C 1 C 2 · · · 

IV 

• • • 

D K D K D K 

D K D K D K 

⊕ ⊕ ⊕ 

M 0 M 1 M 2 · · · 

M 0 M 1 M 2 · · · 


Eigenschaften von CBC 

Korrektheit ist leicht nachzuweisen 

Jeder Chiffretextblock ist abhängig von allen vorhergehenden 

Chiffretextblöcken 

Statistische Eigenschaften des Klartextes werden über den 

Chiffretext verteilt 

Reihenfolge der Chiffretextblöcke ist wichtig 

Dechiffrierung ist nur in der richtigen Reihenfolge möglich 

Der CBC-Modus ist selbstsynchronisierend: 

Ein Bitfehler in einem Chiffretextblock wirkt sich auf die 

folgenden beiden entschlüsselten Klartextblöcke aus 

Allerdings kann ein Angreifer an vorhersagbaren Stellen Bitfehler 

auslösen 


Record-Chaining (für Datensätze) 

Aufgabe: Datensätze D 1 , . . . , D m aus jeweils mehreren 

Datenblöcken sollen verschlüsselt werden. 

Vorgehen: das Feedback-Register behält seinen Wert über 

Grenzen von Datensätzen (wird also nicht neu initialisiert) 

Vorteile: 

Gleiche Felder in verschiedenen Datensätzen bleiben so 

verborgen 

Einfaches Replay wird ausgeschlossen 

Nachteile: 

Bei Lese-/ Schreibzugriff auf einen Datensatz benötigt man den 

letzten Chiffretextblock des vorhergehenden Datensatzes als IV 

Beim Schreiben müssen alle folgenden Datensätze neu 

verschlüsselt werden 


Modus: Counter (CTR) 

Idee: 

n-Bit Zähler wird verschlüsselt und im Klartext XOR-verknüpft 

Zähler wird für jeden Block inkrementiert modulo 2n 

Eingabe: 

k-Bit Schlüssel k 

n-Bit Initialisierungsvektor IV 

n-BitKlartextblöcke M 1, . . . , M n 

Algorithm: Chiffrierung 

Z := IV ; 


C i := M i ⊕ E K (Z) ; 

Z := Z + 1 mod 2 n ; 

end 

Algorithm: Dechiffrierung 

Z := IV ; 


M i := C i ⊕ E K (Z) ; 

Z := Z + 1 mod 2 n ; 

end 


Eigenschaften von CTR 

Effizienz: Blöcke können parallel bearbeitet werden 

→ höherer Durchsatz 

Preprocessing: Die Ausgabe der Chiffrierfunktion hängt nicht vom 

Klartext ab und kann deshalb schon (für mehrere Zähler) im Voraus 

berechnet werden. 

Random Access: Die Blöcke werden unabhängig voneinander 

verschlüsselt 

→ zum Ver-/Entschlüsseln wird nur der passende Zähler benötigt 

und kein Zugriff auf andere Blöcke 

Sicherheit: CTR ist mindestens so sicher wie die anderen 

Betriebsmodi 

Einfachheit Es wird nur die Chiffrierfunktion benutzt und nicht die 

Dechiffrierfunktion 



Eine unkonventionelle aber trotzdem überzeugende Darstellung, der 

wir auch folgen wollen, findet sich hier: A Stick Figure Guide to the AES . 

Ebenfalls empfehlenswert ist die AES Animation von Enrique Zabala. 

Geschichte des Verfahrens 

Bemerkungen zu den Grundlagen 

Grundlegende Begriffe und Bezeichnungen 

Ver-/Entschlüsselung 


AES: Geschichte 

National Institute of Standards and Technology (NIST) 

− DES ist veralteter Standard 

− Triple-DES de facto Standard 

− 1997: Ausschreibung eines Wettbewerbs für einen neuen Federal 

Information Processing Standard (FIPS) 

Ziel: Anforderungen an AES Kandidaten: 

− Symmetrische Verfahren mit 128, 192, 256 Bit Schlüssellängen 

− Lizenzfrei und frei verfügbar (public domain) 

− Weltweit exportierbar 


Verlauf der Auswahl 

1998/1999: 15 Vorschläge werden auf 2 Konferenzen vorgestellt 

August 1999: NIST wählt 5 Finalisten aus: 

− MARS: IBM (USA) 

− RC6: Ron Rivest (MIT), Erfinder von RSA und RC4 (USA) 

− Rijndael: Joan Daemen (Proton World International) Vincent 

Rijmen (Univ. Leuven) (Belgien) 

− Serpent: Ross Anderson, Eli Biham, Lars Knudsen (USA) 

− Twofish: Counterpane Internet Security, Inc. (USA) 

Kryptologen weltweit werden aufgefordert, die Finalisten auf 

Angriffsmöglichkeiten zu überprüfen 

Oktober 2000: eine weitere Konferenz findet statt. . . 


. . . and the winner is 

Riijndael 

November 2001: Ankündigung des AES-Standards 

Mai 2002: Einführung des neuen Standards 


Einsatzgebiete von AES 

IEEE 802.11i für Wireless LAN 

WPA2-Verschlüsselung beim Wi-Fi 

SSH, IPSec und VoIP: sowohl offene Protokolle als auch 

proprietäre Systeme wie Skype 

Mac OS: Standardverschlüsselung für Disk-Images 

Windows XP: transparente Verschlüsselung EFS 

Verschlüsselung komprimierter Archive: 7-Zip, RAR 

Verschlüsselungssoftware: Pretty Good Privacy (PGP), GnuPG 


Mathematischen Grundlagen (überblick) 

Zwecks Byte-weiser Verarbeitung beruht AES auf algebraischen 

Rechenoperationen im so genannten Galois-Körper GF(2 8 ) : 

− Polynome mit Koeffizienten aus Z 2 = {0, 1} 

− bilde Restklassen modulo des irreduzibilen Polynoms 

m(x) = x 8 + x 4 + x 3 + x + 1 

− Repräsentanten sind alle Polynome vom Grad ≤ 7 über 

Z 2 = {0, 1} ; diese bilden den endlichen Körper GF(2 8 ) 

Elemente von GF(2 8 ) lassen sich als Bytes (= 8 Bit) auffassen 

x 7 + x 6 + 1 = (1100 0001) = (c1) hex 

An einer Stelle des Algorithmus sind 4-Tupel von Bytes mit 

einer (4 × 4) -Matrix in GF(2 8 ) zu multiplizieren 

Weiterführende Details in der Vorlesung “Kryptologie 1+2” 


Rechenoperationen in GF(2 8 ) 

Addition: 

− Addition von Polynomen mit Koeffizienten in Z 2 = {0, 1} 

} 

(b 7 x 7 + · · · + b 1 x + b 0 ) 

= (b 

(b 7x ′ 7 + · · · + b 1x ′ + b 0) 

′ 7 ⊕b 7)x ′ 7 +· · ·+(b 1 ⊕b 1)x+(b ′ 0 ⊕b 0) 

′ 

− d.h. bitweises XOR, z.B. 

(57) ⊕ (83) = (1001 0111) ⊕ (1000 0011) = (0001 0100) = (14) 

Multiplikation: (Aufpassen: alle Koeffizienten sind über Z 2 ) 

− Polynome multiplizieren 

− Ergebnis reduziren modulo m(x) = x 8 + x 4 + x 3 + x + 1 

− Z.B. (57) × (83) = (c1) 

− effizienter mittels Logarithmen bzgl. des Erzeugers x + 1 der 

multiplikativen Gruppe von GF(2 8 ) Look-Up Tabellen 


Grundkonzepte AES 

Ein- und Ausgabebllöcke haben 128 Bits, d.h., 16 Bytes 

Der Algorithmus operiert auf (4 × 4) - Byte-Matrizen (sog. 

Zuständen) die spaltenweise befüllt werden: 

in 0 in 4 in 8 in 12 

in 1 in 5 in 9 in 13 

=⇒ 

in 2 in 6 in 10 in 14 

in 3 in 7 in 11 in 15 

s 0,0 s 0,1 s 0,2 s 0,3 

s 1,0 s 1,1 s 1,2 s 1,3 

=⇒ 

s 2,0 s 2,1 s 2,2 s 2,3 

s 3,0 s 3,1 s 3,2 s 3,3 

out 0 out 4 out 8 out 12 




Schlüssellänge: 128 Bits (192, 256 werden hier nicht behandelt) 

− der Schlüssel wird zu einem Key schedule erweitert: ein Array 

w[i] der Länge 44 aus 32-Bit Worten (insgesamt 176 Bytes) 

− Jeweils 4 Wörter (128 Bits) werden als Rundenschlüssel 

benutzt; diese können alternativ (und einfacher) auch direkt 

aus den vorangegangenen Rundenschlüsseln gewonnen werden, 

wobei eine Rundenkonstante zu berücksichtigen ist 


AES: Ablauf 


AES: Bemerkungen 

der AES hat keine Feistel-Struktur: 

− hier werden keine Halbblöcke benutzt, die einander modifizieren 

− der ganze Block wird in jeder Runde permutiert und 

substitutiert 

4 wesentliche Operationen: 

− Sub(stitute) Bytes ist eine S-Box 

− Shift Rows: einfache Permutation auf Zeilen der 

Zustandsmatrix 

− Mix Columns: substituiert jedes Byte einer Spoalte durch eine 

Funktion aller Bytes der Spalte 

− AddRoundKey: Bitweises XOR des Zustands mit dem 

entsprechenden Runden Schlüssel 

=⇒ nur hier wird der Schlüssel benutzt 


AES: Weitere Bemerkungen 

Shift Rows, Mix Columns, Sub Bytes sind unabhängig vom 

Schlüssel 

Sicherheit des Verfahrens beruht auf dem Zusammenspiel der 

Operationen mit AddRoundKey 

Jede der Operationen ist umkehrbar 

Der Dechiffrieralgorithmus benutzt die Rundenschlüssel in 

umgekehrter Reihenfolge 

Dechiffrierung ist nicht identisch mit der Chiffrierung 


AES: Ablauf einer Runde 


Details: Substitute Bytes 

S-Box, Substitutionswerte für das Byte ( xy ) 


AES: Hintergrund der Substitutions-Box 

Ausgehend von einem Byte b = b 7 b 6 b 5 b 4 b 3 b 2 b 1 b 0 erfolgt die 

Berechnung von S-Box(b) = b ′′ in zwei Schritten: 

1 b ≠ (00) wird das multiplikative Inverse b ′ = b −1 von b in 

GF(2 8 ) berechnet, für b = (00) wird b ′ = (00) gesetzt. 

2 b ′ wird einer affinen Z 2 -Transformation unterzogen: 

⎛ 

b ′′ ⎞ ⎛ 

⎞ ⎛ 

7 1 1 1 1 1 0 0 0 b ′ ⎞ ⎛ ⎞ 

b 6 

′′ 

7 0 

b 5 

′′ 

0 1 1 1 1 1 0 0 

b ′ 6 

0 0 1 1 1 1 1 0 

b ′ 1 

b 4 

′′ 

5 

1 

b 3 

′′ 

= 

0 0 0 1 1 1 1 1 

b ′ 4 

1 0 0 0 1 1 1 1 

b ′ ⊕ 

0 

⎜b 2 

′′ 

3 

0 

⎟ ⎜1 1 0 0 0 1 1 1 

⎟ ⎜b 2 

′ ⎟ ⎜0 

⎟ 

⎝ ⎠ ⎝1 1 1 0 0 0 1 1⎠ 

⎝ ⎠ ⎝1⎠ 

1 1 1 1 0 0 0 1 

1 

b 1 

′′ 

b 0 

′′ 

Diese Matrix ist invertierbar über Z 2 ! 

b ′ 1 

b ′ 0 


Details: SubBytes - Inverse S-Box 

Inverse S-Box, Substitutionswerte für das Byte ( xy ) 


Details: ShiftRows 

ShiftRows(s) = s ′ 

s 

s ′ 

s 3,0 s 3,1 s 3,2 s 3,3 

s 0,0 s 0,1 s 0,2 s 0,3 

s 1,0 s 1,1 s 1,2 s 1,3 

s 2,0 s 2,1 s 2,2 s 2,3 

s 0,0 s 0,1 s 0,2 s 0,3 

s 1,1 s 1,2 s 1,3 s 1,0 

s 2,2 s 2,3 s 2,0 s 2,1 

s 3,3 s 3,0 s 3,1 s 3,2 


Details: MixColumn 

Operiert separat auf jeder Spalte eines Zustands 

Anwendung einer invertierbaren Substitutionsfunktion f auf die 

Spalten des Zustandes: 

f : Byte 4 → Byte 4 

s 0,c 

s 1,c 

s 2,c 

s 3,c 

f 

↦−→ 

s ′ 0,c 

s ′ 1,c 

s ′ 2,c 

s ′ 3,c 

87 F 2 4D 97 

6E 4C 90 EC 

46 E7 4A C3 

A6 8C D8 95 

f 

↦−→ 

47 40 A3 4C 

37 D4 70 9F 

94 E4 3A 42 

ED A5 A6 BC 

Die Funktion f ist eine Matrix-Multiplikation über GF(2 8 ) 

Designkriterium: gutes Mischen der Bytes jeder Spalte 

Zusammen mit ShiftRows bewirkt dies nach einigen Runden 

den Lawineneffekt 


Details: MixColumns als Matrixmultiplikation 

f : Byte 4 → Byte 4 

s 0,c 

s 1,c 

s 2,c 

s 3,c 

f 

↦−−→ 

s ′ 0,c 

s ′ 1,c 

s ′ 2,c 

s ′ 3,c 

Über GF(2 8 ) berechne 

⎛ ⎞ ⎛ ⎞ ⎛ 

2 3 1 1 s 0,c s ′ ⎞ 

0,c 

⎜1 2 3 1 

⎟ 

⎝1 1 2 3⎠ · 

⎜s 1,c 

⎟ 

⎝s 2,c 

⎠ = ⎜ 

s ′ 1,c⎟ 

⎝s ′ ⎠ 

2,c 

3 1 1 2 s 3,c s 3,c 

′ 

Also zum Beispiel: s ′ 1,c = s 0,c ⊕ (02) • s 1,c ⊕ (03) • s 2,c ⊕ s 3,c 

f −1 : Byte 4 → Byte 4 

s ′ 0,c 

s ′ 1,c 

s ′ 2,c 

s ′ 3,c 

f −1 

↦−−→ 

s 0,c 

s 1,c 

s 2,c 

s 3,c 

Über GF(2 8 ) berechne 

⎛ 

⎞ ⎛ 

e b d 9 s ′ ⎞ ⎛ ⎞ 

0,c s 0,c 

⎜9 e b d 

⎟ 

⎝d 9 e b⎠ · 

⎜ 

s 1,c 

′ ⎟ 

⎝s 2,c 

′ ⎠ = ⎜s 1,c 

⎟ 

⎝s 2,c 

⎠ 

b d 9 e s 3,c 

′ s 3,c 


Details: AddRoundKey 

Bitweises XOR des Zustandes mit dem Rundenschlüssel 

s 0,0 ′ s 0,1 ′ s 0,2 ′ s 0,3 

′ 

s 1,0 ′ s 1,1 ′ s 1,2 ′ s 1,3 

′ 

s 2,0 ′ s 2,1 ′ s 2,2 ′ s 2,3 

′ 

s 3,0 ′ s 3,1 ′ s 3,2 ′ s 3,3 

′ 

= 

r 0 r 1 r 2 · · · r 15 := w[i . . . (i + 3)] 

s 0,0 s 0,1 s 0,2 s 0,3 

s 1,0 s 1,1 s 1,2 s 1,3 

⊕ 

s 2,0 s 2,1 s 2,2 s 2,3 

s 3,0 s 3,1 s 3,2 s 3,3 

{ 

i = 0 

r 0 r 4 r 8 r 12 

r 1 r 5 r 9 r 13 

r 2 r 6 r 10 r 14 

r 3 r 7 r 11 r 15 

bei erstem Schritt 

i = 4 · j in Runde j = 1, . . . , 10 

Gilt für Chiffrierung - bei Dechiffrierung umgekehrt! 


AES: Angriffsversuche 

N. Ferguson, R. Schroeppel und D. Whiting 

− geschlossene Formel für AES als Kettenbruch mit 250 Termen 

N. Courtois und J. Pieprzyk 

− Beschreibung von AES durch Systeme quadratischer 

Gleichungen 

− Starke Vereinfachungen mit der XSL-Methode (da mehr 

Gleichungen als Unbekannte; viele Koeffizienten 0; reguläre Struktur) 

− Ein Angriff mit 287 Rechenschritten könnte möglich sein (statt 

im Mittel zum Durchprobieren der Schlüssel 2127) 

A. Osvik, A. Shamir, E. Tromer: Side-Channel-Angriffe 

− Zugriffsmuster auf den Cache über Prozessgrenzen hinweg 

beobachten und zur Kryptoanalyse ausnutzen 

− Unter Umständen Gewinnung des Schlüssels in wenigen 

Sekunden 


Literatur 

Dietmar Wätjen: Kryptographie, 2. Aufl., Spektrum 

Akademischer Verlag, 2008. 

Stallings, William, Brown, Lawrie: Computer Security: 

Principles and Practice. Prentice Hall 2008, ISBN-10: 

0136004245; ISBN-13: 9780136004240. 

Referenzen zu konkreten Artikeln der erwähnten Autoren 

befinden sich in Herrn Wätjens Buch 

Jeff Moser: A Stick Figure Guide to the Advanced Encryption 

Standard (AES) 


Kapitel 5 

Public Key Cryptography und das 

RSA-Verfahren 


Verteilung geheimer Schlüssel 

Problem bei symmetrischen Verfahren 

− Wie tauschen die beiden Kommunikationspartner ihre(n) 

Schlüssel aus, bevor sie kommunizieren können? 

− Über denselben Kanal geht es offensichtlich nicht - extreme 

Unsicherheit! 

Andere Verfahren 

− Telefon 

− Brief 

− Kurier 

− Persönliches Treffen 

Wie steht’s mit der Sicherheit und Anwendbarkeit? 


Verteilung geheimer Schlüssel (II) 

Traut man zum Schlüsselaustausch einem Kanal nicht, wählt 

man eine Kombination aus mehreren 

Beispiel 

− 64-Bit-Schlüssel in 4 Teile teilen, je einen Teil über einen Kanal 

Frage: wie teilt man den Schlüssel? 

− Warum ist eine Aufteilung in 4 16-Bit-Blöcke nicht gut? 

− Besser: 

Schlüssel = Summe von vier 64-Bit-Zahlen, von denen drei 

zufällig sind 

− Warum ist das besser? 


Schlüsselverteilzentren 

Populäre Variante 

− Schlüsselverteilzentren (key distribution centers, KDC) 

− Generieren on-demand einen Sitzungsschlüssel für die 

Kommunikationspartner 

Vorteile 

− schnell, flexibel 

Nachteile 

− Mit dem Schlüsselzentrum muss auch zunächst ein vertraulicher 

Schlüssel etabliert werden 

− Das Schlüsselzentrum muss 100% vertrauenswürdig sein 


Asymmetrische Verfahren 

Wegen diverser Nachteile: Suche nach neuen Verfahren zur 

Schlüsselverwaltung 

Bahnbrechende Neuerung Mitte der Siebziger Jahre 

− Idee des Public-Key-Kryptosystems 

− Basiert auf zwei unterschiedlichen Schlüsseln, die miteinander 

mathematisch zusammenhängen 

− Das Verfahren ist asymmetrisch in dem Sinne, dass ein Schlüssel 

veröffentlicht werden kann (s.u.) 

− alle bisherigen Verfahren waren symmetrisch; der oder die 

Schlüssel waren geheimzuhalten 

− Entwickelt von Diffie und Hellman 1976 


Die Idee von Diffie und Hellman 

Bei asymmetrischen Verschlüsselungsverfahren 

besitzt jeder Kommunikationspartner zwei Schlüssel 

− einen privaten Schlüssel, der geheim gehalten 

werden muss 

− einen öffentlichen Schlüssel, der jedem zur 

Verfügung steht 

Es ist praktisch unmöglich, 

− den einen Schlüssel aus dem anderen abzuleiten, 

− obwohl die beiden mathematisch voneinander 

abhängen 

Authentizität und Integrität müssen für den 

öffentlichen Schlüssel garantiert sein, 

Vertraulichkeit ist nicht erforderlich 

Whitfield Diffie 

Martin Hellman 


Anwendung asymmetrischer Verfahren 

Asymmetrische Schlüsselverfahren können nach diesem Prinzip drei 

unterschiedliche Anwendungen haben: 

Schlüsselaustausch für symmetrische Verfahren 

Verschlüsselung und Entschlüsselung “normaler” Nachrichten 

Digitale Signaturen 


Protokoll für digitale Verschlüsselung 

Szenario 

− Alice will Bob eine verschlüsselte Nachricht M schicken 

Vorgehen 

1 Zunächst erzeugt Bob ein asymmetrisches Schlüsselpaar 

→ 

→ 

öffentliche Chiffretransformation E B 

private Dechiffriertransformation D B 

2 Alice verschlüsselt die Nachricht mit Bobs öffentlichem 

Schlüssel: M ↦→ E B (M) = C 

3 Wenn Bob diese Nachricht bekommt, entschlüsselt er sie mit 

seinem privaten Schlüssel: C ↦→ D B (C) = D B (E B (M)) = M 

Voraussetzung 

− Hier kommt die Grundannahme kryptopgraphischer Systeme 

zum Tragen: D B ◦ E B = id M 


Protokoll für digitale Signatur 

Szenario: 

− Alice will Bob eine von ihr unterzeichnete Nachricht M senden 

Vorgehen: 

1 Zunächst erzeugt Alice ein asymmetrisches Schlüsselpaar 

→ 

→ 

öffentliche Chiffretransformation E A 

private Dechiffriertransformation D A 

2 Alice versendet M zusammen mit C = D A (M) 

3 Bob vergleicht M mit E A (C) = E A (D A (M)) ; bei Übereinstimmung 

kann niemand als Alice ihm 〈M, C〉 geschickt haben. 

(Wird nur C verschickt, identifiziert Bob nur im Falle eines 

“sinnvollen Klartextes” E A (C) Alice als Absenderin.) 

4 In einem Streitfall zwischen Alice und Bob kann ein neutraler 

Richter überprüfen, ob E A (C) = M gilt. 

Voraussetzung 

− Hier ist zusätzlich C = M und E A ◦ D A = id C anzunehmen! 


Kombination: Geheimhaltung + Authentizität? 

Szenario 

− Alice will an Bob eine verschlüsselte und unterschriebene 

Nachricht M schicken 

Naive Idee: 

− Alice und Bob brauchen je ein asymmetrisches Schlüsselpaar mit 

Transformationen E A und D A , bzw. E B und D B 

Bemerkungen: 

− Problematisch beim RSA-Verfahren (siehe später) 

− Manche Verfahren haben unterschiedliche Algorithmen für 

Verschlüsselung und Signatur (z.B. ElGamal) 


Probleme des einfachen Signaturprotokolls 

Datenauthentizität ist gewährleistet, aber nicht die 

Authentizität des Senders Alice: 

− Gehören E A und D A tatsächlich zu Alice? 

− Schlüssel müssen zertifiziert werden! 

Rechenaufwand ist bei direkter Durchführung des 

Signaturprotokolls bei den meisten Verfahren zu hoch 

− Man verwendet “Hashfunktionen”, um nur sogenannte 

Fingerabdrücke der Klartexte zu signieren 

Einige Anwendungen sind komplizierter: 

− Bei einer Vertragsunterzeichnung müssen zwei (oder mehr) 

Teilnehmer ihre digitale Unterschrift quasi “gleichzeitig” leisten. 


Anforderungen an einen Algorithmus 

Bisher fehlt die entscheidende Komponente: 

Ein Kryptoalgorithmus, der dieses Verfahren realisiert! 

Diffie und Hellman hatten selbe keinen Vorschlag, aber sie 

konnten sagen, welche Bedingungen er erfüllen müsste: 

1 Es ist für jeden Teilnehmer X leicht (“computationally easy”) 

− Transformationen E X und D X zu finden, 

− d.h. ein Paar aus öffentlichem und privatem Schlüssel zu 

erzeugen 

2 Es ist für die Senderin Alice leicht, mit Hilfe des öffentlichen 

Schlüssels von Bob und der Nachricht M den Geheimtext 

C = E B (M) zu erzeugen 

3 Für den Empfänger Bob ist es ebenfalls leicht, die erhaltene 

Nachricht zu entschlüsseln: M = D B (C) = D B (E B (M)) 


Anforderungen (II) 

4 Es ist schwer (“computationally infeasible”) aus dem 

öffentlichen Schlüssel den privaten Schlüssel abzuleiten: d.h., 

aus E B kann man D B nicht bestimmen 

5 Es ist schwer, aus dem öffentlichen Schlüssel und dem 

Geheimtext C die Originalnachricht M abzuleiten 

6 Die Ver- und Entschlüsselungsalgorithmen können in beliebiger 

Reihenfolge angewendet werden (insbesondere muß C = M 

gelten): 

M = E B (D B (M)) = D B (E B (M)) 

Diese Anforderungen erfüllen heute nur zwei bekannte 

Algorithmen: 

− RSA und Elliptic Curve 

Manche Verfahren verzichten auf 6, verwendendafür 

verschiedenen Algorithmen für Chiffrierung und Signierung: 

− z.B. ElGamal- und Rabin-Verfahren 


One-Way Functions 

Diese Anforderungen an einen Algorithmus lassen sich durch 

die Verwendung von Trap-door One-Way-Funktionen erfüllen 

Eine One-Way Function (Einwegfunktion) ist eine Funktion, die 

jedes Element aus dem Definitionsbereich auf ein Element des 

Bildbereiches abbildet, dass 

− der Funktionswert ein eindeutiges Inverses besitzt 

− 

Y = f(X ) leicht zu berechnen ist und 

− 

X = f −1 (Y ) nicht effizient berechenbar 


Trap-Door One-Way Functions 

Trap-Door Function (Falltürfunktion): Eigenschaften wie bei 

Einwegfunktion, aber Urbilder sind leicht zu berechnen, wenn 

weitere Infos bekannt sind: 

Unter einer (parametrisierten) Trap-Door One-Way Funktion 

versteht man eine Familie invertierbarer Funktionen f k , für die 

gilt: 

− Y = f k (X ) ist bei bekanntem k und X leicht zu berechnen 

− X = f −1 

k 

(Y ) ist bei bekanntem k und Y leicht zu berechnen 

− X = f −1 

k 

(Y ) ist bei bekanntem Y und unbekanntem k nicht 

effizient berechenbar 


RSA 

1977 wurde der erste Algorithmus, der die oben postulierten 

Eigenschaften erfüllte, entwickelt und veröffentlicht von 

Leonard Adleman Ron Rivest Adi Shamir 

Der Algorithmus wurde bereits 1973 von Clifford 

Cocks am britischen General Communications 

Headquarter (GCHQ) erfunden: 

GCHQ wusste nichts damit anzufangen und 

hielt die Entdeckung bis 1997 (!) geheim 

Clifford Cocks 


Eigenschaften von RSA 

Blockchiffrieralgorithmus 

− Klar- und Geheimtextblöcke werden als große ganze Zahlen 

aufgefasst, ebenso der Schlüssel 

Die Schlüssellänge ist variabel 

− Typisch heute: 1024, 2048, 4096 Bit 

RSA basiert auf den Eigenschaften von Primzahlen und 

modularer Arithmetik 

− Es wird ausgentzt, dass es berechnungsmäßig schwer ist, das 

Produkt zweier großer Primzahlen zu faktorisieren. 


Schlüsselerzeugung für RSA 

Zusammenfassung: 

− Alice erzeugt sich einen öffentlichen und einen zugehörigen 

privaten Schlüssel 

Vorgehen: 

1 Alice erzeugt zwei große Primzahlen p und q von ungefähr 

gleicher Länge ( → wird später noch behandelt) 

2 Alice berechnet n = pq und den Wert der Euler’schen Funktion 

ϕ(n) = (p − 1)(q − 1) . 

3 Alice wählt eine Zahl e ∈ Z ∗ ϕ(n) 

, d.h., e < ϕ(n) und 

ggT(e, ϕ(n)) = 1 . 

4 Mit Hilfe des erweiteren euklidischen Algorithmus berechnet 

Alice d = e −1 mod ϕ(n) . 

5 Der öffentliche Schlüssel von Alice ist (n, e) , der private ist d . 


RSA-Verschlüsselung 


− Bob chiffriert eine Nachricht M für Alice, die diese dechiffriert 

Vorgehen: 

− Zur Chiffrierung führt Bob die folgenden Schritte aus: 

1 Bob besorgt sich den authentischen öffentlichen Schlüssel 

(n, e) von Alice. 

2 Bob stellt M als Zahl in Z n dar. 

3 Bob berechnet C = M e mod n mit Hilfe der schnellen 

Exponentiation. 

4 Bob übermittelt E A (M) = C an Alice. 

− Zur Dechiffrierung führt Alice den folgenden Schritt aus: 

1 Mit ihrem privaten Schlüssel d berechnet sie 

M = D A (C) = C d mod n . 


RSA-Signaturverfahren 


− Alice signiert die Nachricht M für Bob, der die Signatur verifiziert 

Vorgehen: 

− Zur Signierung führt Alice die folgenden Schritte aus: 

1 Alice stellt M als Zahl in Z n dar. 

2 Alice berechnet C = M d mod n mit Hilfe der schnellen 

Exponentiation. 

3 Alice sendet ( M und) die Signatur D A (M) = C an Bob. 

− Zur Verifikation und zum Erhalt der Nachricht führt Bob die 

folgenden Schritte aus: 

1 Bob besorgt sich den authentischen öffentlichen Schlüssel 

(n, e) von Alice. 

2 Bob berechnet E A (C) = C d mod n . Wenn C e mod n kein 

vernünftiger Klartext ist, wird die Signatur abgelehnt, anderenfalls 

wird sie akzeptiert und C e mod n als M anerkannt. (Bob 

vergleicht M mit E A (C) = C d mod n und akzeptiert bei 

Übereinstimmung Alice als Senderin) 


Diagrammische Darstellung 

RSA Verschlüsselung, Bob an Alice 

M = C d mod n A 

A 

A 

C = M e mod n A 

B 

B 

M ∈ Z nA 

RSA Authentifizierung/Signierung, Alice an Bob 

M ∈ Z nA 

A 

A 

C = M d mod n A 

〈M, C = M d mod n A 〉 

B 

B 

M ? = C e mod n A 

bzw. sinnvoll? 


Warum funktionert das RSA-Verfahren? 

Satz (Korrektheit von RSA) 

Für ungleiche Primzahlen p und q setze n = p · q . Erfüllen 

e, d ∈ Z ϕ(n) die Bedingung ed mod ϕ(n) = 1 , so gilt für jede 

Nachricht M ∈ Z n 

(M e mod n) d mod n = M 

Bemerkung: Testet Bob die Nachricht M auf 

ggT(M, n) ? ∈ {p, q} 

kann er mit geringer Wahrscheinlichkeit Alices Modulus n 

faktorisieren, dann ϕ(n) berechnen und duch Invertierung von e 

ihren geheimen Schlüssel d bestimmen. 


Kleines Zahlenbeispiel mit RSA 

Modulus: p = 47 q = 67 n = pq = 47 · 67 = 3149 

ϕ(n) = (p − 1)(q − 1) = 46 · 66 = 3036 

Schlüssel: e = 563 mit ggT(e, ϕ(n)) = 1 

d = 563 −1 mod 3036 = 2459 

Verschlüsselung: 

− Klartext: M = VORLESUNGEN 

− Codierung: A = 00, B = 01, . . . , Z = 25, = 26 

V O R L E S U N G E N 

21 14 17 11 04 18 20 13 06 04 13 26 

2114 563 mod 3149 = 1503 1711 563 mod 3149 = 358 etc. 

− Chiffretext: C = 1503 0358 0457 0527 1609 1479 


Geheimhaltung + Authentizität bei RSA 

Alice sendet eine signierte und chiffrierte Nachricht an Bob: 

C = E B (D A (M)) 

Problem: verschiedene Moduli n A > n B 

Dechiffrierfehlern führen: 

n 

Fehlerwahrscheinlichkeit: A −n B 

n A 

Warum ist Folgendes keine Lösung? 

können zu 

C = D A (E B (M)) 

Lösung: 

− Jeder Teilnehmer X hat zwei Paare (E X 0 , D X 0 ) und 

(E X 1 , D X 1 ) zum Signieren bzw. Verschlüsseln, wobei der 

Signaturmodulus n A0 kleiner ist als der Chiffriermoduli n B1 , 

für alle Teilnehmer A und B . 

− Z.B. könnten die Signaturmoduli höchstens t Bits und die 

Chiffriermoduli mindestens t + 1 Bits haben 


Zeitbedarf von RSA 

Im Vergleich zu symmetrischen Verfahren (DES, IDEA, AES) 

ist RSA aufgrund der Arithemetik bei großen Zahlen langsamer 

Schnelle Übertragung von großen Datenmengen ist nicht 

möglich: 

− Datendurchsat RSA: einige Mbps 

− Datendurchsatz DES: einige Gbps (Hardware) 

Lösung: Hybride Verfahren 

− RSA (bzw. asymmetrisches Verfahren) wird nur zur 

Übertragung eines AES-Sitzungsschlüssels verwendet 

− RSA-Signaturen werden nur auf kurze Fingerabdrücken der 

Nachrichten angewendet (damit muß die Original-Nachricht mit 

übertragen werden, da sie aus der Signatur nicht mehr 

rekonstruierbar ist!) 


Faktorisierung und Sicherheit von RSA 

Die Sicherheit von RSA beruht auf der Schwierigkeit des 

Faktorisierungsproblems: 

− Eingabe: natürliche Zahlen 

− Aufgabe: finde einen Primfaktor von n 

Gemäß der Schlüsselerzeugung ist bei bekannter Faktorisierung 

n = p · q und gewähltem e ∈ Z ϕ(n) das Inverse d = e −1 mod n 

leicht zu bestimmen. Es gilt sogar 

Satz 

Die Bestimmung des privaten Schlüssel d aus dem öffentlichen 

Schlüssel 〈n, e〉 ist berechnungsmäßig äquivalent zur Faktorisierung 

von n . 


Bemerkung zur Wahl des RSA-Modulus n 

− Die Differenz p − q sollte nicht zu klein sein 

− Sonst teste Teilbarkeit von n durch ungerade Zahlen in der 

Nähe von √ n 

− Günstig ist es p und q als starke Primzahlen mit einer kleinen 

Differenz in der Bitlänge zu wählen 

→ dann haben p und p − q dieselbe Größenordnung 

Definition 

Eine Primzahl p heißt stark, wenn 

p − 1 hat einen großen Primfaktor r ; 

p + 1 hat einen großen Primfaktor; 

r − 1 hat einen großen Primfaktor. 


Fortschritte bei Faktorisierung 

1977: Ronald Rivest veröffentliche einen kurzen mit 428-Bit Schlüssel 

chiffrierten Text als Rätsel für ein paar Dollar Preisgeld. Rivests 

Vermutung: 40 × 1024 Jahre zum Brechen nötig 

1994: 1600 Rechner faktorisieren die Zahl in 8 Monaten und 

ermitteln so den Klartext. 512 Bits dauern noch 100 mal so lange 

1999: 300 Rechner faktorisieren eine 512-Bit Zahl in 7,4 Monaten 

2005: 80 Rechner faktorisieren eine 640-Bit Zahl in 5 Monaten 

2007: Die Mersenne-Zahl 2 1039 − 1 wird faktorisiert (1039 Bits) 

2009: 80 Rechner faktorisieren eine 768-Bit Zahl in ca. 7 Monaten 

2012: Die Mersenne-Zahl 2 1061 − 1 wird faktorisiert (1061 Bits) von 

Anfang 2011 bis 4.8.2012 

Schlüssellängen von ≥ 2048 gelten heute (noch) als sicher 


Erzeugung großer Primzahlen 

Ergebnis aus der Zahlentheorie: 

1 

− Dichte der Primzahlen um die Zahl n : 

ln n 

− Also: unter ln(n) zufälligen Zahlen ist ca. eine Primzahl 

Heuristisches Vorgehen: 

− Erzeuge zufällig eine ungerade k-stellige Binärzahl 

m = b 1 b 2 · · · b k mit b 1 , b k = 1 

− Teste für i = 0, 1, 2, . . . ob m + 2i eine Primzahl ist 

− Wenn innerhalb von 2k Versuchen keine Primzahl gefunden ist, 

wähle ein neues m 

Denn: die Dichte der Primzahlen um n = 2k erfüllt: 

1 

ln n > 1 

log 2 n = 1 k 


Primzahltests - Sieb des Erathosthenes 


− Findet alle Primzahlen von 2 bis n 

Vorgehen: 

− Streiche alle Vielfache von 2, 3, 5, 7, 11, . . . aus der Liste 2 . . . n 

var prim: boolean[ 2 . . . n ] = [ true, . . . , true ]; 

i := 2; 

while i ≤ √ n do 

j := i · i ; 

while j ≤ n do 

prim [j] = false; 

j := j+i; 

end 

i := nächster Index j mit prim [j] = true; 

end 

Problem: Laufzeit und Speicherbedarf linear in n , d.h. 

exponentiell in der Bitlänge 


1. Primzahltest für n mit dem Satz von Fermat 

Definition 

− wähle zufällig 1 < a < n 

− teste ob a n−1 mod n ≠ 1 

− falls “ja”: n ist keine Primzahl; falls “nein”: ? 

Eine Carmichael-Zahl ist eine zusammengesetzte Zahl n mit der 

Eigenschaft, dass für alle Zahlen 0 < a < n gilt: a n−1 mod n = 1 . 

Satz 

Ist n zusammengesetzt und keine Carmichael-Zahl, gilt gilt für eine 

Mehrheit der Zahlen 0 < a < n : a n−1 mod n ≠ 1 . 

561 = 3 ∗ 11 ∗ 17 ist die kleinste Carmichael-Zahl 

Es gibt nur 255 Carmichael-Zahlen im Bereich 2 . . . 10 8 


Verbesserung von Rabin-Miller (1976) 

Definition 

− schreibe n − 1 als 2 s · d mit d ungerade 

− für zufälliges 1 < a < n betrachte die Folge 

(a d mod n), (a 2d mod n), (a 4d mod n), . . . , (x al d mod n) 

Eine Zahl n mit n − 1 = 2 l · m heißt starke Pseudoprimzahl zur 

Basis 0 < a < n , wenn ggT(x, n) = 1 gilt und entweder 

x m mod n = 1 , oder x 2r d mod n = n − 1 für ein 0 ≤ r < m . 

Satz (5.3, ohne Beweis) 

Es sei n eine zusammengesetzte Zahl und 1 < a < n sei zufällig 

gewählt. Dann ist die Wahrscheinlichkeit, dass n eine starke 

Pseudoprimzahl zur Basis a ist, ≤ 1 4 . 


(Pseudo-)Primzahltest von Rabin und Miller 

Data: n > 1 ungerade, wobei n − 1 = 2 l · m ( m ungerade) 

Result: “ n zusammengesetzt” oder “ n Primzahl” (unsicher) 

Wähle zufällig ein x mit 1 ¡ x ¡ n; 

x 0 := x m mod n ; 

if x 0 = 1 or x 0 = n − 1 then 

return “ n ist eine Primzahl”; 

end 

for i := 1 to l − 1 do 

x i := xi−1 2 mod n ; 

if x i = n − 1 then 

return “ n ist eine Primzahl”; 

else 

if x i = 1 then 

return “ n ist zusammengesetzt”; 

end 

end 

end 

return “ n ist zusammengesetzt”; 


Analyse 

Satz (5.4) 

Der obige Algorithmus benötigt höchstens 4 log 2 n 

Berechnungsschritte. Wenn n eine Primzahl ist, dann ist die 

Aussage des Algorithmus immer richtig. Ist dagegen n 

zusammengesetzt, so ist die Wahrscheinlichkeit einer falschen 

Antwort ≤ 1 4 . 

Bemerkung. 

− Nach k Durchläufen des Tests ist die Wahrscheinlichkeit einer 

k-maligen falschen Antwort ≤ 4 −k 

− Nach 100 Durchläufen ist es wahrscheinlicher, dass 10 mal 

hintereinander im Lotto dieselben Zahlen kommen, als dass die 

Antwort des Algorithmus falsch ist. 


Exakte Primzahltests 

Das Primzahlproblem: 

− Eingabe: natürliche Zahl n 

− Aufgabe: entscheiden, ob n eine Primzahl ist 

Vaughan Pratt (1970er): das Problem liegt in NP. 

Erster subexponentieller Algorithmus: 

− 1983 von L.M. Adleman, C. Pomerance und R.S. Rumely 

O(log log log n) 

− Zeitkomplexität: (log n) 

Polynomialzeitalgorithmus: 

− 2002 von M. Agrawal, N. Kayal, N. Saxena O(log 12 n) 

− 2005 von H.W. Lenstra, C. Pomerance O(log 6+ɛ n) 


Literatur 

Dietmar Wätjen: Kryptographie, 2. Aufl, Spektrum 

Akademischer Verlag, 2008 

J. Buchmann, Einführung in die Kryptographie, 2. Aufl. 

Springer, 2001 

Referenzen zu konkreten Artikeln der erwähnten Autoren 

befinden sich in Herrn Wätjens Buch 


Kapitel 6 

Authentifizierung 


Überblick 

Motivation 

Authentifizierungsverfahren für Nachrichten 

− Verschlüsselung 

− Hash-Funktionen- und Algorithmen (MD5, SHA-1) 

− Message Authentication Codes (MAC) 


− DSS und DSA 


Motivation (1) 

Welche Sicherheitsprobleme kennen Sie, die sich durch nicht 

authentifizierte Nachrichten ergeben? 

Mögliche Sicherheitsprobleme: 

− Tarnung: Nachrichten werden von fremden Quellen eingeschleust 

− Änderung des inhalts einer Nachricht 

− Änderung der Nachrichtenreihenfolge 

− Änderung des zeitlichen Verhaltens von Nachrichten 

(Verzögerung, Replay) 

− Leungnen des Sendens bzw. Empfangs einer Nachricht 


Motivation (2) 

Unter Authentifizierung (auch Authentisierung) versteht man 

− eine Prozedur, durch deren Hilfe ein Empfänger sicher ist, dass 

eine Nachicht tatsaechlich von der angegebenen Quelle stammt 

Unter Integrität versteht man 

− eine Prozedur, durch deren Hilfe ein Empfänger sicher ist, dass 

eine Nachricht nicht modifiziert wurde 

Unter einer “Digitalen Signatur” versteht man 

− eine Authentifizierungstechnik, die Authentifizierung und 

Integrität bietet und zusätzlich das Leugnen des Absendens 

einer Nachricht (gegenüber Dritten) verhindert 


Techniken 

Zur Authentisierung werden heute meist die folgenden dei Techniken 

(in Kombination) eingesetzt 

Nachrichtenverschlüsselung: 

− der Chiffretext selbst dienst als Authentisierungsmerkmal; dabei 

ist für symmetrische und asymmetrische Verfahren 

unterschiedlich vorzugehen 

Hash-Funktionen: 

− bilden Nachrichten beliebiger Länge auf einen sog. Hash-Wert 

fester Länge ab, der dann zur Sicherung der Integrität dient 

Message Authentication Code (MAC): 

− durch Schlüssel parametrisierte Hash-Funktionen 

(Authentifizierung und Integrität) 


Symmetrische Nachrichtenverschlüsselung 

Hauptzweck von Verschlüsselung: Vertraulichkeit, aber: 

− Empfänger Bob kann sicher sein, dass Nachricht von der 

Senderin Alice kommt, da nur Alice und Bob den Schlüssels 

kennen. 

− Die Nachricht kann nicht geändert worden sein, da man dazu 

den Schlüssel benötigt 

Allerdings klappt das nur, wenn der Klartext “lesbar” ist 

− Ist es eine beliebige Bit- oder Zahlen-Folge, dann ist die 

(automatische) Prüfung schwierig, denn der entschlüsselte Text 

ergibt keinen offensichtlichen Sinn 

Mögliche Lösung: 

− Anhängen einer Frame Check Sequence (FCS) an die Nachricht, 

die mit verschlüsselt wird; diese kann dann beim Empfänger 

geprüft werden 


Überblick symmetrische Verfahren 


Asymmetrische Nachrichtenverschlüsselung 

“Umgekehrte” Anwendung der Schlüssel (wie in Kapitel 5) 

− Sender signiert mit seinem privaten Schlüssel 

− Empfänger prüft mit dem öffentlichen Schlüssel des Senders 

Ähnliches Problem wie oben bei nicht unmittelbar lesbaren 

Nachrichten 

Das Verfahren bietet prinziliell sogar digitale Signaturen 

− Nur der Sender besitzt den geheimen, privaten Schlüssel 

− Empfänger und Dritte können die Signatur prüfen 

− Wegen der besprochenen Probleme dieser einfachen Signaturen 

werden digitale Signaturen aber anders konstruiert (später) 


Hash-Funktionen 

Eine Hash-Funktion erzeugt einen 

− “Fingerabdruck” der Nachricht 

− Jedes Bit der Nachricht soll in diesen Fingerabdruck eingehen, 

dies ermöglicht die Prüfung der Integrität: 

− Änderung der Nachricht führt zu Änderung des Hash-Werts 

Verfahren, um damit zu authentifizieren: 

− gemeinsame Verschlüsselung von Nachricht und Hash-Code, 

oder nur Verschlüsselung des Hash-Codes 


Gängige Anwendungsvarianten (1) 

a 

b 

c 

Nachricht + Hashwert symmetrisch verschlüsselt 

− Authentifizierung, Integrität und Vertraulichkeit 

nur Hashwert symmetrisch verschlüsselt 

− reduzierte Prozessorlast, Authentisierung + Integrität aber keine 

Vertraulichkeit 

nur Hashwert asymmetrisch verschlüsselt 

− Nicht nur Authentisierung und Integrität, sondern auch digitale 

Unterschrift (tatsächlich funktionieren digitale 

Signaturverfahren so) 


graphische Darstellung (1) 


Gängige Anwendungen (2) 

d 

e 

f 

Nachricht symmetrisch und Hashwert asymmetrisch 

verschlüsselt 

=⇒ allg. gebräuchliches Verfahren 

Keine Verschlüsselung, aber die beiden Partner besitzen 

gemeinsames Geheimnis S , das via Konkatenation in die 

Berechnung des Hashwerts eingeht 

Ansatz (e) plus Verschlüsselung von Hash Code und Nachricht 

=⇒ zusätzlich Vertraulichkeit 


graphische Darstellung (2) 


Auswahl des Verfahrens 

Wenn Vertraulichkeit nicht erforderlich ist, haben (b) und (c) 

Vorteile, da weniger Berechnungen nötig sind 

Die Variante (e) ist im Vorteil, wenn Verschlüsselung komplett 

vermieden werden soll, denn 

− Verschlüsselung ist langsam 

− Verschlüsselung ist teuer 

− Verschlüsselung kann verboten sein 


Anforderungen an Hash-Funktionen (1) 

Die Hash-Funktion h möge Hashwerte h(M) produzieren 

Für h müssen die folgenden Bedingungen gelten: 

− h kann auf Datenblöcke beliebiger Bitlänge angewandt werden, 

− h erzeugt Ausgaben fester Bitlänge, 

− h(M) ist leicht zu berechnen für jedes M . 

Formal also Σ ∗ h 

Σ k für ein Alphabet Σ 

Dies ist wichtig für die praktische Anwendbarkeit 


Anforderungen an Hash-Funktionen (2) 

4 Für jedes x ist es sehr schwierig, ein M mit h(M) = x zu 

finden (vergl. one-way- oder preimage resistant Funktionen) 

− insbes. für Verfahren (e) wichtig, da so das Geheimnis S nicht 

berechnet werden kann. 

5 Für jedes M ist es sehr schwierig, ein M ′ ≠ M mit 

h(M) = h(M ′ ) zu finden (weak collision resistance) 

− wichtig, um Betrug in den Fällen (b) und (c) zu vermeiden, da 

ansonsten alternative Nachrichten für den gegebenen Hashwert 

generiert werden könnten 

6 Es ist schwierig ein beliebiges Paar (M, M ′ ) mit 

h(M) = h(M ′ ) zu finden (strong collision resistance) 

− wichtig, um eine bestimmte Klasse von Angriffen zu vermeiden 

(sog. Geburtstagsangriff → Übung!) 

Diese Bedingungen sind auch für Kompressionsfunktionen sinnvoll. 


Bekannte Hash-Verfahren 

Message Digest: MD-4, MD-5; 

Secure Hash Algorithm: SHA-1, SHA-2 (Sammelbezeichnung 

für SHA-256, SHA-384, SHA-512), SHA-3 (Keccack) 

RIPEMD-160 

Bemerkungen: 

− Diese werden in der Praxis oft eingesetzt, jedoch sind hier die 

one-way, weak collision resistance und strong collision resistance 

nicht mathematisch bewiesen 

− Eine beweisbar stark kollisionsfreie Kompressions-Funktion 

wurde von Chaum, van Heijst, Pfitzmann 1991 vorgestellt 

=⇒ Vorlesung Kryptologie 1 


MD5 

Entwickelt von Ronald Rivest und in RFC 1321 spezifiziert 

Nachfolger von MD2, MD4 

Produziert einen 128-bit Hash-Wert 

Grundlegende Struktur einer iterierten Kompressionsfunktion 

(Merkle-Damgård-Konstruktion) 

Lange Zeit der am häufigsten benutzte Algorithmus 

Es gibt einige bekannte Angriffe 

− 2004: erfolgreich gebrochen mittels Geburtstagsangriff 

− 2005: X.509 Zertifikate mit unterschedlichen öffentlichen 

Schlüsseln aber gleichem MD5 Hash 

− 2006: effizienter Algoritmus zur Kollisionsfindung 

( < 1 Minute) 


Secure Hash Algorithm (SHA) 

SHA wurde 1993 von NIST und NSA entwickelt und 1995 noch 

einmal revidiert zu SHA-1 mit Bitlänge 160 (RFC 3174) 

− Basiert stark auf MD4 (RFC 1320), mit dem wesentlichen 

Unterschied der größeren Länge des Hash-Wertes 

Auch hier Zweifel an der Sicherheit: 

− 2005: Angriff, der eine Kollision in 2 69 Schritten findet 

Empfehlung der Bundesnetzagentur: 

− Nutzung von SHA-1 bis Ende 2009 

− Danach bis Ende 2011 Úbergang zu SHA-2 (FIPS 180-2) (4 

Hashfunktionen mit Bitlängen von 224, 256, 384, 512) 

NIST Hash-Funktions-Wettbewerb für SHA-3 

− Gewinner ist Keccak (seit 2. Oktober 2012) 

− wird SHA-2 vorerst nicht ablösen - aber alternativer Algorithmus 


SHA-512 Überblick 

Verarbeitet 1024-Bit Blöcke (hintereinander) 

− Auffüllen der Nachricht, so dass ihre Länge einem Vielfachen 

von 1024 Bit entspricht M||1||0 d ||L , wobei 

d =(896 − (|M| + 1)) mod 1024) 

L =|M| mod 2 128 

Länge von M als 128 Bit Zahl 

Initialisiere acht 64-Bit Variablen (1024-bit) (a,b,c,d,e,f,g,h) 

a = 0x6a09e667f3bcc908 e = 0x510e527fade682d1 

b = 0xbb67ae8584caa73b f = 0x9b05688c2b3e6c1f 

c = 0x3c6ef372fe94f82b g = 0x1f83d9abfb41bd6b 

d = 0xa54ff53a5f1d36f1 h = 0x5be0cd19137e2179 

Dies sind jeweils die erste 64 Bits der Nachkommastellen der 

Wurzeln der ersten 8 Primzahlen 2, 3, 5, 7, 11, 13, 17, 19 


SHA-512 Kompressionsschleife 

Bildquelle: Stallings & Brown: Computer Security, 

Principles and Practice, Pearson Education 2008. 


SHA-512 Kompressionsfunktion F 

Bildquelle: Stallings & Brown: Computer Security, 

Principles and Practice, Pearson Education 2008. 


SHA-512 Runde t 

Ch(x, y, z) = xy ⊕ xz 

Ma(x, y, z) = xy ⊕ xz ⊕ yz 

Σ 0(x) = (x ↩→ 28) ⊕ (x ↩→ 34) ⊕ (x ↩→ 39) 

Σ 1(x) = (x ↩→ 14) ⊕ (x ↩→ 18) ⊕ (x ↩→ 41) 


SHA-512: Message Schedule und Konstanten 

Die Konstanten K 0 , . . . , K 79 sind: 

− K 0 = 0x428a2f 98d728ae22 . . . 

− K i = erste 64-Bit der Nachkommastellen der Kubikwurzel der 

i -ten Primzahl 

Message Schedule: 

− Am Anfang: Register mit 1024-Bit Block von M laden: 

W 0 , . . . , W 15 sind 64 Bit Blöcke 

σ 0 (x) = (x ↩→ 1) ⊕ (x ↩→ 8) ⊕ (x ≫ 7) 

σ 1 (x) = (x ↩→ 19) ⊕ (x ↩→ 61) ⊕ (x ≫ 6) 


Bemerkungen 

MD4, MD5, SHA-1 und SHA-2 (aber nicht SHA-3/Keccak) 

folgen der Merkle-Damgård Konstruktion von 1989: 

− aus einer Kompressionsfunktion Z k K 

2 Z 

n 

2 mit k > n 

gewinnt man eine Hashfunktion Z ∗ H 

2 Z 

n 

2 

− schwache/starke Kollisionsfreiheit vererbt sich von K auf H 

ABER auch: 

− Kollisionen der Kompressionsfunktion liefern Kollisionen der 

Hashfunktion 

Anwendungsbereich von SHA-2: 

− Implementiert in einigen häufig benutzten Anwendungen und 

Protokollen: TLS, SSL, PGP, SSH, S/Mime, Bitcoin und IPSec 


Message Authentication Codes (MACs) 

Ziel: 

− Während Hash-Funktionen allein nur die Integrität sichern, aber 

nicht die Authentizität 

− sollen MACs beides liefern (sie ersetzen aber noch nicht die 

Digitale Signatur) 

Idee: 

− Alice erzeugt aus der Nachricht und einem beiden Partnern 

bekannten geheimen Schlüssel eine kryptographische 

Prüfsumme (MAC), 

− die zusammen mit der Nachricht M an Bob verschickt wird 

− Bob führt mit der empfangenen Nachricht und dem Schlüssel 

denselben Algorithmus aus und vergleiche die berechnete 

Prüfsumme mit der Übertragenen 


MAC-Verfahren 


Anforderungen an MAC-Funktionen 

Ein MAC ist eine Familie von Hash-Funktionen {h K |K ∈ K} 

wobei K eine Schlüsselfamilie ist. 

Unter der Annahme, dass 

− der Angreifer die Beschreibung der MAC-Funktion kennt, aber 

nicht den Schlüssel 

muss C dann folgende Eigenschaften haben: 

1 Für jeden Schlüssel K ist h K (M) leicht zu berechnen. 

2 h K bildet Eingaben beliebiger Bitlänge auf Ausgaben fester 

Bitlänge ab (Kompressionseigenschaft) 

3 Falls einige Text-Mac-Paare (M i , h K (M i )) bekannt sind, ist es 

unmöglich ohne Kenntnis von K ein weiteres Text-MAC-Paar 

(x, h K (x)) zu berechnen. (Fälschungsresistenz) 

4 h K (M) soll gleichverteilt sein, also 

p(h K (M) = h K (M ′ )) = 2 − n für eine MAC-Länge von n Bits 


Eigenschaften 

Sicherheit, dass die Nachricht nicht modifiziert wurde, da 

ansonsten berechneter und überprüfter MAC ungleich wären 

(wie bei Hash-Funktion) 

Nachricht ist mit überwältigender Sicherheit vom angegebenen 

Sender (niemand sonst sollte über den Schlüssel verfügen) 

die Reihenfolge von Nachrichten kann durch Mitcodierung von 

Sequenznummern geschützt werden 

Die Nachricht an sich braucht nicht verschlüsselt zu werden 

− wird das doch benötigt, kann unabhängig vom MAC ein 

Verschlüsselungsverfahren eingesetzt werden 


Warum MAC? 

Wenn MAC ähnlich funktioniert wie symmetrische 

Verschlüsselung, warum dann nicht einfach nur 

Verschlüsselung? 

Verschiedene Situationen, in denen eine Trennung sinnvoll ist: 

− Entschlüsselung dauert lange und ist manchmal unnötig 

− Oft genügt es, die Authentizität in einem weiteren nach- oder 

parallel geschalteten Prozess festzustellen und erst einmal die 

Nachricht zu verarbeiten. Das ist bei verschlüsselten 

Nachrichten nicht möglich. 

− Trennung von Authentifizierung und Verschlüsselung erlaubt 

mehr architektonische Freiheiten der Ansiedlung der Funktionen 


Konkrete MACs (1) 

MD5-MAC: Modifikation von MD5 wobei ein Schlüssel K der 

Bitlänge ≤ 128 verwendet wird 

CBC-MAC: Kombination aus Blockchiffre und CBC 

− Padding der Nachricht M auf volle Blocklänge 

M||1||0 n = M 1 M 2 . . . M t 

− Blöcke M 2 , . . . , M t mit CBC verschlüsseln mit E K (M 1 ) als 

Initialisierungsvektor 

− MAC-Wert = Ausgabe der letzten Iteration von CBC 


Konkrete MACs (2) 

MACs aus Hashfunktionen: Verschiedene Varianten existieren; 

empfohlen: 

Gegeben ist eine Hashfunktion h und ein Schlüssel K : 

HMAC(M) = h K (M) = h((K ⊕ opad)||h((K ⊕ ipad)||M))) 

− K hat Bitlänge entsprechend der verwendeten Hashfunktion 

(z.B. 512 bei SHA-512) 

− opad = 0x5c5c5c . . . 5c 

ipad = 0x363636 . . . 36 

− Gemäß RFC 2104 



Bisherige Verfahren 

− Schutz von zwei kommunizierenden Partnern vor einem 

übelwollenden Dritten 

− ABER: wie weit können sich die beiden vertrauen? 

Beispiel: eCommerce 

− Ein Kunde könnte behaupten, er hätte eine bestimmte 

Bestellung nicht abgeschickt 

− Ein Händler könnte Bestellungen fälschen 

Lösung: Digitale Signaturen 


Gewünschte Eigenschaften 

Der Autor sowie Datum und Uhrzeit der Unterschrift müssen 

eindeutig überprüfbar sein 

Der Inhalt zum Zeitpunkt der Unterschrift muss eindeutig 

überprüfbar sein 

Diese Eigenschaften müssen von Dritten überprüfbar sein, um 

Konflikte auflösen zu können 


Anforderungen 

Damit ergeben sich die folgenden Anforderungen: 

− Unterschrift muss ein von der Nachricht abhängiges Bitmuster 

sein 

− Unterschrift muss auf Information basieren, die nur der Sender 

kennt 

− Sie muss relativ leicht zu erzeugen sein 

− Die Prüfung muss relativ leicht sein 

− Es muss praktisch unmöglich sein, digitale Signaturen zu 

fälschen (weder durch Erzeugen einer neuen Nachricht noch 

durch Erzeugen einer neuen Unterschrift) 

− Es sollte möglich sein, digitale Unterschriften elektronisch im 

Rechner vorzuhalten (aus praktischen Erwägungen) 

Algorithmen unter Verwendung von sicheren Hash-Funktionen 

und asymmetrischer Verschlüsselung können diese 

Anforderungen erfüllen 


Direct Digital Signature 

Nur zwischen den beiden kommunizierenden Partnern 

− Empfänger kennt öffentlichen Schlüssel des Senders 

− Signatur durch verschlüsselte Nachricht oder verschlüsselten 

Hashcode 

Im Streitfall prüft ein Dritter Nachricht und Signatur 

Schwäche: Sicherheit hängt von Geheimhaltung des privaten 

Schlüssels des Senders ab 

− Sender kann immer behaupten, dass Schlüssel gestohlen wurde 

− Für diesen Fall müssen weitere administrative Maßnahmen 

getroffen werden 


Arbitrated Digital Signature 

Generelles Prinzip: 

− Jede von X signierte Nachricht an Y geht zuerst an einen 

neutralen Vermittler (Notar), der die Nachricht und die 

Unterschrift einigen Tests unterzieht 

− Anschließend: Datierung und Senden an Y mit dem zusätzlich 

vom Vermittler signierten Hinweis, dass die Nachricht geprüft 

wurde 

Großes Vertrauen in den Vermittler notwendig 

Eine Reihe von Verfahren ist verfügbar 


Digital Signature Standard 

FIPS-186 

− Amerikanischer Digital-Signature-Standard von 1993, basiert 

auf SHA und ElGamal-Signatur-Verfahren 

− Erweitert 2000 um Algorithmen auf der Basis von RSA und 

Elliptic Curve 

Original-DSS-Algorithmus (DSA): 

− Basiert auf diskreten Logarithmen 

− Verwendet einen privaten Schlüsel des Senders sowie einen 

bekannten öffentlichen Gruppenschlüssel zur Produktion zweier 

Werte r und s 

− Diese werden dann beim Empfänger mittels des 

Gruppenschlüssels und des öffentlichen Schlüssels des Senders 

überprüft 


Digital Signature Algorithm (DSA) 

Kernstück von DSS 

Generiert eine 320 Bit signatur 

Kleiner und schneller als RSA 

Kann allerdings nur digital signieren (keine Verschlüsselung) 


DSA - Mathematische Grundlagen 

Definition: Es sei n ∈ N . Die Ordnung eines Elementes a ∈ Z ∗ n 

ist kleinste natürliche Zahl k mit 

a k mod n = 1. 

Existenz der Ordnung ist durch den Satz von Euler gesichert. 

Satz 6.1. (ohne Beweis) Es seien p und q Primzahlen mit 

q|(p − 1) . Dann existieren Elemente g ∈ Z ∗ p mit der Ordnung 

q . 

Bemerkungen: 

− So ein g lässt sich algorithmisch leicht finden. 

− Die Menge {g x mod b|0 ≤ x < q} hat genau q Elemente. 

Satz 6.2. Es sei g ein Element der Ordnung q ∈ Z ∗ p und es 

seien r 1 , r 2 ∈ N mit r 1 mod q = r 2 mod q . Dann gilt: 

a r 1 

mod p = a r 2 

mod p . 


DSA - Vorgehen 

Schlüsselerzeugung 

− p und q sind große Primzahlen mit q|p(−1) 

− g ist ein Element der Ordnung q aus Z ∗ p 

− x ist Zufallszahl aus {1, . . . , q − 1}, y = g x mod p . 

− öffentlicher Schlüssel: (p, q, g, y) , privater Schlüssel: x 

s = f 1 (H(M), k, x, r, q) 

= (k −1 (H(M) + xr)) mod q 

r = f 2 (k, p, q, g) 

= (g k mod p) mod q 

w = f 3 (s ′ , q) = (s ′ ) −1 mod 

v = f 4 (y, q, g, H(M), w, r ′ ) 

= (g H(M)w mod q · y r′ w mod q mod p) mod q 


Gegenüberstellung: RSA vs DSS 

privater Schlüssel von X; PUX: öffentlicher Schlüssel von X 

S. Ransom + J. Koslowski: Grundlagen der Sicherheit in Netzen und verteilten Systemen PRX:

Literatur 

Dietmar Wätjen: Kryptographie, 2. Aufl., Spektrum Akademischer 

Verlag, 2008. 

Überblickspaper: B. Preneel: ” 

The State of Cryptographic Hash 

Functions“, EUROCRYPT, Springer, 1996. 

Klassisches Paper zu digitalen Unterschriften: S. Akl: ” 

Digital 

Signatures: a Tutorial Survey“. Computer, Feb. 1983 

Dietmar Wätjen: Kryptographie, 2. Aufl., Spektrum Akademischer 

Verlag, 2008. 

William Stallings, Lawrie Brown: Computer Security: Principles and 

Practice, Pearson Education 2008 


Kapitel 7 

Schlüsselaustausch und Zertifikate 


Überblick 

Die Vereinbarung eines gemeinsamen geheimen Schlüssels über 

einen unsichern Kanal dient das Diffie-Hellman-Verfahren. Sein 

Hauptnachteil besteht in der mangelnden Authentifizierung der 

Kommunikatonspartner. 

Um dieses Problem zu beheben, werden zwei neue Konzepte 

ins Spiel gebracht, sog. “Vertrauenswürdige Instanzen” und 

“Zertifikate”. Mit ihrer Hilfe läßt sich das obige Verfahren zum 

Station-to-Station Protokoll von Diffie, van Oorschot und 

Wiener ausbauen. 

Dies ist nur eine von meheren Möglichkeiten, das Problem des 

Diffie-Hellman-Verfahrens zu beheben, alternativ wären noch 

die MTI-Verfahren von T. Matsumoto, Y. Takashima und H. 

Imai, das Konzept des selbst-zertifizierenden Schlüssels und der 

Schlüsselaustausch nach Girault zu nennen, die aber den 

Rahmen dieser Vorlesung sprengen würden. 


Problemstellung 

Soll man den symmetrischen Schlüssel über denselben Kanal senden, 

über den später die verschlüsselte Kommunikation stattfinden soll? 

Alte Lösung: Zum Schlüsselaustausch kann man ein (langsameres) 

asymmetrisches Verfahren verwenden (RSA, ElGamal,. . . ) 

Alice wählt einen symmetrischen Sitzungsschlüssel K ; 

sie verschlüsselt K mit Bobs öffentlichem asymmetrischen 

Verfahren und sendet das Ergebnis E B (K) and Bob; 

Bob erhält K = D B (E B (K)) . 

Potentielle Nachteile: 

die Wahl des symmetrischen Sitzungsschlüssels obliegt nur 

einem der Teilnehmer; der andere hat keinen Einfluß auf die 

Qualität der Wahl (wie zufällig der Schlüssel wirklich ist); 

Der Schlüssel wird über das Netz geschickt, wenn auch in 

chiffrierter Form. 


Diffie-Hellman-Verfahren 

Das erste Verfahren zum direkten Schlüsselaustausch über 

einen unsicheren Datenkanal wurde 1976 veröffentlicht von 

− Whitfield Diffie 

− Martin Hellman 

Whitfield Diffie 

Das Verfahren war bereits zuvor (1975) von Malcolm 

Williamson beim britischen GCHQ entwickelt worden: 

Martin Hellman 

− James Ellis entwickelte bis 1969 

Public-Key-Kryptographie 

− Malcolm Williamson entdeckt 

das DHV bei der Suche nach 

einem Fehler in Clifford Cocks 

Public-Key-Verfahren. 

James Ellis 

Malcolm Williamson 


Diffie-Hellman: Mathematische Grundlagen 1 

Definition 

Für p prim heißt g ∈ Z ∗ p primitive Wurzel modulo p , falls die 

Potenzen g i mod p , i 

Alternativ heißt g auch Erzeuger von Z ∗ p . 

Beispiel 

3 eine primitive Wurzel modulo 5 , denn 

3 0 mod 5 = 1 , 3 1 mod 5 = 3 , 3 2 mod 5 = 4 , 3 3 mod 5 = 2 

Dagegen sind 1 und p − 1 für Primzahlen > 3 niemals Erzeuger 

(warum?). 


Diffie-Hellman: Mathematische Grundlagen 2 

Das Problem des diskreten Logarithmus besteht darin, für eine 

primitive Wurzel g modulo p und für a ∈ Z ∗ p den Exponenten x 

mit g x mod p = a zu finden. 

− Für dieses Problem ist kein effizienter Algorithmus bekannt. 

− Der Algorithmus von Shanks hat Laufzeit- und Speicherbedarf 

in der Größenordnung von √ p , was immer noch exponentiell 

in der Bitlänge von p ist (umseitig). 

Das Problem des diskreten Logarithmus stellt sich in jeder 

hinreichend komplizierten zyklischen Gruppe, d.h., einer Gruppe, die 

von einem Element erzeugt werden kann. Dazu gehören etwa die 

multiplikativen Gruppen endlicher Körper, sowie bestimmte Untergruppen 

sog. “elliptischer Kurven” (siehe Crypto 3). In zyklischen 

Gruppen der Form 〈Z n , +, 0〉 ist das Problem hingegen trivial. 


Algorithmus von Shanks für k mit g k mod p = a 

|Z ∗ p| = ϕ(p) = p − 1 ; setze r := ⌈ √ p − 1⌉ . Der unbekannte 

Logarithmus k 

Darstellung k = αr + β mit α, β < r . Nun gilt 

g k mod p = a gdw g αr mod p = a · g −β mod p 

Zwecks Lösung der rechten Gleichung werden 

die giant steps g i·r = (g r ) i , i < r , berechnet und gespeichert, 

die baby steps ag −j mod p , j < r berechnet und mit den 

gespeicherten giant steps verglichen, bis eine Übereinstimmung 

g i·r mod p = a · g −j mod r auftritt. 

Bei bis zu √ p − 1 “baby steps” verbietet sich eine lineare Suche in 

der Liste der “giant steps”. Jede Binärsuche benötigt größenordnungsmäßig 

lg(p − 1) Schritte, braucht aber eine sortierte Liste der 

“giant steps”, wozu ca. √ p − 1 lg(p − 1) Schritte erforderlich sind. 


Wie findet man primitive Wurzeln? 

Satz (ohne Beweis) 

(1) Die Anzahl primitiver Wurzeln modulo p ist ϕ(p − 1) . 

(2) g ∈ Z ∗ p ist genau dann primitive Wurzel modulo p , wenn für 

alle Primfaktoren q von p − 1 gilt 

g (p−1)/q mod p ≠ 1 

Auswahl der Parameter für das Diffie-Hellman-Verfahren: 

Wähle eine große zufällige Primzahl q , so dass p = 2q + 1 

ebenfalls prim ist (dann nennt man p sichere Primzahl); 

Wähle g ∈ Z p−1 − {0, 1} solange zufällig, bis g 2 mod p ≠ 1 

und g q mod p ≠ 1 gilt (weitere Tests sind nach Voraussetzung 

nicht notwendig); es existieren ϕ(2q) = q − 1 Erzeuger. 


Das Diffie-Hellman-Verfahren 

Protokoll 8.1 (Schlüsselaustausch nach Diffie und Hellman) 

Gegeben: Primzahl p und primitive Wurzel g modulo p , bekannt 

Zusammenfassung: Alice und Bob vereinbaren einen gemeinsamen 

geheimen Schlüssel aus Z ∗ p . 

x A ∈ Z p−1 − Z 2 

A 

A 

y A = g x A mod p 

B 

B 

x B ∈ Z p−1 − Z 2 

k y B = g x BA = y x A 

B 

B mod p mod p 

k AB = y x B 

A mod p 

A 

Die Wahl der Exponenten x A und x B erfolgt zufällig. Der 

gemeinsame Schlüssel ist nun k BA = k AB = g x Ax B 

mod p . Zwecks 

Geheimhaltung desselben sind die Werte 0 und 1 als Exponenten 

auszuschließen! 

S. Ransom + J. Koslowski: Grundlagen der Sicherheit in Netzen und verteilten Systemen 

B

Die Sicherheit des Verfahrens 

Die Sicherheit des Verfahrens beruht auf der 

Einweg-Eigenschaft des diskreten Logarithmus: 

− Ein Angreifer kann zwar die Potenzen y A und y B abhören, 

aber daraus nicht die geheimen Exponenten x A bzw. x B 

berechnen, also auch nicht den gemeinsamen Schlüssel. 

Schwachstelle des Verfahrens: 

− Die Authentizität der Teilnehmer ist nicht ewährleistet. 

− Das ermöglicht einen Man-or-Woman-in-the-Middle-Angriff: 

←→ 

←→ 

Ein Angreifer unterpricht die Verbindung zwischen Alice und 

Bob und vereinbart mit beiden Parteien je einen gemeinsamen 

Schlüssel, wobei er sich als die jeweils andere Partei ausgibt. 

Dann kann er die geheime Kommunikation belauschen. 


Abhilfe gegen Man-in-the-Middle 

Alice und Bob müssen zusätzlich auch sicher sein, dass beide 

mit demselben Schlüssel arbeiten (key confirmation) 

Dabei könnten in einer idealen Welt “vertrauenswürdige 

Instanzen” (Trusted Authorities – TAs) helfen 

− stellen einen beweisbaren Zusammenhang zwischen der Identität 

einer Person und ihrem Schlüssel her 

− haben die Form von Schlüsselverteilzentren (key distribution 

centers) oder Zertifizierungsstellen (certification authorities) 

− erteilen auf Wunsch Zertifikate für die Schlüssel der Benutzer 

− solche Zertifikate können zeitlich beschränkt gültig sein 

− der im Zertifikat enthaltene authentische Schlüssel wird zumeist 

nur für die Vereinbarung eines Sitzungsschlüssels verwendet. 


Station-to-Station Protokoll 1 

Das Station-to-Station Protokoll (Diffie, van Oorschot, Wiener 1992, 

plus Vorarbeiten seit 1987) zielt darauf ab, den Schlüsselaustausch 

nach Diffie-Hellman um eine Authentifizierung der Teilnehmer zu 

erweitern. Dabei kommen Zertifikate und Signaturen zum Einsatz, 

zulasten der parallelen Natur von DH. Voraussetzungen: 

ein symmetrisches Ziel-Kryptosystem 〈E, D〉 ; 

öffentliche und private RSA-Schlüssel 〈n X , e X 〉 bzw. d X pro 

Teilnehmer X ; 

eine Hashfunktion h mit Werten < n X für alle Nutzer X ; 

ein Public-Key Kryptosystem 〈E TA , D TA 〉 der TA ; 

Zertifikate Z(X ) = 〈ID X , 〈n X , e X 〉, D TA (h(ID X |〈n X , e X 〉))〉 

für alle Nutzer X ; 

Signaturen der Form S X (M) := (h(M)) d X 

mod n X ; 

eine Primzahl p und eine primitive Wurzel g modulo p . 


Protokoll 8.7 (Station-to-Station) 

x A ∈ Z p−1 − Z 2 

A 

A 

A 

K := y x A 

B mod p A 

teste Z(B) 

A 

y A 

〈y B , Z(B), m B 〉 

B 

B 

B 

x B ∈ Z p−1 − Z 2 

K := y x B 

A 

mod p 

y A := g x A mod p 

y B := g x B mod p 

m B := E K (S B (y B ||y A )) 

m A := E K (S A (y A ||y B )) 

teste m B 

A 

〈Z(A), m A 〉 

B 

B 

B 

teste Z(A) 

teste m A 

Der Test von m B überprüft (D K (m B )) e ? 

B 

mod n B = h(y B |y A ) . 


Bemerkungen 

Alice könnte Z(A) zusammen mit y A versenden, was ggf. zu 

einem früheren Abbruch führt. 

Die Symmetrie des Originalverfahrens geht verloren, da Alice 

die Testnachricht m A zur Schlüsselbestätigung nicht 

zusammen mit y A verschicken kann, denn zu dem Zeitpunkt 

kennt sie K noch nicht. (Bei den MTI-Protokollen, die nur 

Zertifiate aber keine Signaturen verwenden, bleibt die 

Symmetrie erhalten.) 

Die Kenntnis von K erfordert die Kenntnis von x A und y B , 

bzw. x B und y A . 

Ein Man-or-Woman-in-the-Middle-Angriff scheitert an der 

Unfähigkeit des Angreifers bzw. der Angreiferin, mangels d A 

bzw. d B den Klartext S A (y A |y B ) bzw. S B (y B |y A ) der 

korrekten Testnachricht zu bestimmen. 


Anwendung von DH: Das ElGamal Verfahren (1) 

Algorithmus 7.4 (ElGamal Schlüsselerzeugung) 

Zusammenfassung: Alice erzeugt einen geheimen und einen 

zugehörigen öffentlichen Schlüssel. 

p ∈ P, 〈g〉 = Z ∗ p 

x A ∈ Z p−1 − Z 2 

A 

A 

A 

〈p, g, y A = g x A mod p〉 

Diesmal obliegt Alice auch die Auswahl der Primzahl p und des 

Erzeugers g ∈ Z ∗ p . Diese sind zusammen mit y A bekanntzugeben, 

somit bildet 〈p, g, y A 〉 den öffentlichen Schlüssel, während x A als 

privater Schlüssel wie zuvor geheim bleibt. Die Veröffentlichung von 

〈p, g, y A 〉 kann als Kommunikation mit allen anderen Teilnehmern 

aufgefaßt werden. 

alle 



Algorithmus 7.5 (ElGamal Verschlüsselung) 

Zusammenfassung: Bob chiffriert M für Alice, die M dechiffriert. 

b · y p−1−x A 

B 

A 

〈yB = g x B 

mod p 

A 

mod p, b = M · y x B 

A 

mod p〉 

B 

B 

B 

M ∈ Z p 

x B ∈ Z p−1 − Z 2 

Bob kennt y A , wenn er x B wählt, kann mit dem gemeinsamen 

DH-Schlüssel k AB = k BA = g x Ax B 

mod p also gleich M maskieren 

und das Ergebnis zusammen mit y B versenden. Das verdoppelt den 

Chiffretext gegenüber dem Klartext. Speziell kann die Dechiffrierung 

nicht injektiv sein. (Im Buch wird y B mit a und y p−1−x A mod p mit z bezeichnet.) 

B 



Ein wesentliches Merkmal des ElGamal-Chiffrierverfahrens ist die 

Randomisierung mittels x B . Derartige probabilistische Elemente 

vergrößern effektiv den Klartextraum; 

erschweren Angriffe mit gewähltem Klartext 

erschweren statistische Angriffe, indem die W’verteilung der 

Eingaben der Gleichverteilung angenähert wird. 

Auch hier existiert ein Signierverfahren, das aber den Rahmen dieser 

VL sprengen würde. 

Beim DH-Schlüsselaustausch wie auch beim ElGamal-Chiffrierverfahren 

und bei der ElGamal Signierung kann ohne weiteres eine 

abstrakte zyklische Gruppe G der Ordnung m anstelle von Z ∗ p 

verwendet werden, wo m = p − 1 gilt. Die Zufallsexponenten x A 

und x B sind dann aus dem Ring Z m zu wählen, wobei die Werte 0 

und 1 wie bisher aus praktischen Gründen vermieden werden sollten. 


Literatur 

Dietmar Wätjen: Kryptographie, 2. Aufl, Spektrum 

Akademischer Verlag, 2008 

William Stallings und Lawrie Brown: Computer Security: 

Principles and Practice, Prentice Hall 2008, ISBN-10: 

0136004245; ISBN-13: 9780136004240.

Handout

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?