Es gilt: Es gibt genau ϕ(2n −1)n. 32nprimitive Polynome über2 von Grade) Ein binäres LSR der Länge n mit primitivem charakteristischen Polynomerzeugt für jeden Anfangszustand ≠ (0, . . .,0) eine periodischeFolge mit Periode 2 n −1. Solche Folgen heißen m-Folgen (m = maximalePeriode).f) m-Folgen haben gewisse statistische Eigenschaften, die sie als Pseudozufallsfolgengeeignet erscheinen lassen. Z. B. sind Einsen <strong>und</strong> Nullen(annähernd) gleich verteilt, ebenso die Paare 00, 01, 10, 11 etc.Für kryptographische Zwecke sind sie dennoch nicht tauglich. Aus einerTeilfolge der Länge 2n (deutlich kleiner als die Periode 2 n −1) lässt sichnämlich die gesamte Folge ermitteln, wie wir in Kürze sehen werden(Unterkapitel 6.6).6.6 Lineare KomplexitätIst (a 0 , a 1 , . . .) eine binäre Folge mit Periode d, so gibt es immer mindestensein binäres LSR, das diese Folge erzeugt:Wähle LSR von Länge d, c 0 = 1, c 1 = . . . = c d−1 = 0Anfangszustand (a 0 , a 1 , . . .,a d−1 )[I. Allg. gibt es mehrere: siehe Bsp. von Seite 98]Man kann zeigen: Ist (a 0 , a 1 , . . .) eine binäre periodische Folge, so gibt es eineindeutig bestimmtes binäres LSR von minimaler Länge n, so dass (a 0 , a 1 , . . .)als Outputfolge dieses LSR (mit Anfangszustand (a 0 , a 1 , . . ., a n−1 )) auftritt.Man sagt auch: n ist die lineare Komplexität von (a 0 , a 1 , . . .).[Beachte: Erzeugt ein LSR der Länge n eine Folge der Periode 2 n − 1, so hatdie Folge lineare Komplexität n.]Dieses binäre LSR minimaler Länge lässt sich folgendermaßen beschreiben:Hat (a 0 , a 1 , . . .) Periode d, so setze[36]a(t) = a 0 + a 1 t + . . . + a d−1 t d−132 Beweis: z.B. Lidl, Niederreiter: Introduction to Finite Fields and their applications100
<strong>und</strong>q(t) =t d + 1ggT(a(t), t d + 1)Ist Grad q(t) = n, so ist p(t) = t n q( 1 ) (das reziproke Polynom von q) dastcharakteristische Polynom des LSR von minimaler Länge (= Grad p(t) = n),das (a 0 , a 1 , . . .) erzeugt. 33Es gilt nun:6.6.1 SatzSei (a 0 , a 1 , . . .) eine periodische binäre Folge, die von einem LSR der Längen erzeugt wird. Sei außerdem m ∈Æ0.Dann sind gleichwertig:(1) (a 0 , a 1 , . . .) hat lineare Komplexität n(2) Die n aufeinanderfolgenden ’Zustandsvektoren’(a m , a m+1 , . . ., a m+n−1 ), . . ., (a m+n−1 , a m+n , . . .,a m+2n−2 )der Länge n sind linear unabhängig.Beweis:(1) ⇒ (2): Sei f(x 0 , . . .,x n−1 ) = n−1 ∑c i x i die zum LSR der Länge n, das(a 0 , a 1 , . . .) erzeugt, gehörende Funktion. Setze⎛⎞ ⎛ ⎞0 1 0 . . . 0a i0 0 1 0 . . . 0..C =. .. . .. .<strong>und</strong> v i =⎜0 . . . 0 1 0.für i ≥ 0.⎟ ⎜ ⎟⎝ 0 . . . 0 1 ⎠ ⎝ . ⎠c 0 c 1 . . . c n−1 a n+i−1i=0Det C = + − c 0 <strong>und</strong> c 0 ≠ 0, da n minimal für die Erzeugung von (a 0 , a 1 , . . .).Also ist C invertierbar.33 Literatur z.B. H. Beker, F. Pieper, Cipher Systems, Northwood Books, 1982101
- Seite 1:
Universität TübingenWilhelm-Schic
- Seite 5 und 6:
Abbildungsverzeichnis1 Grundschema
- Seite 7 und 8:
EinleitungKryptologie: Wissenschaft
- Seite 9 und 10:
1 GrundbegriffeKlartext (plaintext)
- Seite 11 und 12:
Bei symmetrischen Verschlüsselungs
- Seite 13 und 14:
• Uneingeschränkt sicher:Auch be
- Seite 15 und 16:
werden permutiert. Zeichen bleiben
- Seite 17 und 18:
2.2 Kryptoanalyse monoalphabetische
- Seite 19 und 20:
Buchstabe Anzahl Häufigkeit Buchst
- Seite 22 und 23:
1 2 n.. . . . . . ... .. . .. .. f(
- Seite 24 und 25:
Eine solche Chiffrierung heißt pol
- Seite 26 und 27:
Also entspricht die Häufigkeit ein
- Seite 28 und 29:
alle drei Monate, dann jeden Tag, d
- Seite 30 und 31:
EEIYWX JLNRRU UYVCJC BELDHZ YVSKFE
- Seite 32 und 33:
erzeugten Texten.(zum Vergleich: κ
- Seite 34 und 35:
d ≈0, 0377l(l − 1)κ(c) − 0,
- Seite 36 und 37:
kommt allerdings der in deutschen T
- Seite 38 und 39:
Zur Verdeutlichung dieser Tatsache
- Seite 40 und 41:
Dies ist eine bedingte Wahrscheinli
- Seite 42 und 43:
4 Symmetrische BlockchiffrenWir bet
- Seite 44 und 45:
Das haben wir schon in 2.1(b) über
- Seite 46 und 47:
Die Dechiffrierung von w = vA + b e
- Seite 48 und 49:
δ > 0.Bei einem Chosen-Plaintext-A
- Seite 50 und 51: 4.5 Feistel-ChiffrenFeistel-Chiffre
- Seite 52 und 53: (L ′ r−1 , R′ r−1 ) = (R 1,
- Seite 54 und 55: an den Positionen 8, 16, 24, . . .,
- Seite 56 und 57: Schlüsselpermutation57 49 41 33 25
- Seite 58 und 59: S-Box 47 13 14 3 0 6 9 10 1 2 8 5 1
- Seite 60 und 61: die S-Boxen in Runde i + 1 sorgt.)W
- Seite 62 und 63: Sicherheit erhöhen können. Dies w
- Seite 64 und 65: Die 2 56 DES -Verschlüsselungsfunk
- Seite 66 und 67: Da S-Boxen nichtlinear sind, kann g
- Seite 68 und 69: auftreten. Die Nichtlinearität wä
- Seite 70 und 71: ten; die S-Box verhält sich für s
- Seite 72 und 73: Nur 2 Möglichkeiten für ( ¯B 1 ,
- Seite 74 und 75: Wendet man mit solchen Klartextblö
- Seite 76 und 77: Wie oben geschildert ist x 13 +x 11
- Seite 78 und 79: Als Element von2 8 ist also x2 das
- Seite 80 und 81: ) Rijndael ist eine iterierte Block
- Seite 82 und 83: ⎛⎜⎝1 0 0 0 1 1 1 11 1 0 0 0 1
- Seite 84 und 85: Wende auf b, c, d, a die SubBytes-T
- Seite 86 und 87: Als Beispiel sei genannt:M. Gorski,
- Seite 88 und 89: 5 Betriebsarten von BlockchiffrenBl
- Seite 90 und 91: sind nur m i und m i+1 beeinflusst,
- Seite 92 und 93: solange aus, bis der fehlerhafte Bl
- Seite 94 und 95: 6.2 Selbstsynchronisierende Stromch
- Seite 96 und 97: 6.3 SchieberegisterDef.:Ein (rückg
- Seite 98 und 99: Beispiele:Sei K =2.a) f(x 3 , x 2 ,
- Seite 102 und 103: C m v 0 = v m . Daher:v m , . . .,v
- Seite 104 und 105: mit den am Ende von 6.6 beschrieben
- Seite 106 und 107: 6.8 Spezielle Stromchiffrena) A5-Fa
- Seite 108 und 109: Ein anderer Punkt ist außerdem von
- Seite 110 und 111: (3) Für jeden probabilistischen po
- Seite 112 und 113: • Die Bedingung in 7.2 für den v
- Seite 114 und 115: teilung auf {0, 1} l(n) . D kann ˜
- Seite 116 und 117: a) Kryptographisch sichere Pseudozu
- Seite 118 und 119: (a) Informationsverlust von f (d.h.
- Seite 120 und 121: Für alle x ∉ L : pr[M(x) = 0]
- Seite 122 und 123: [14] Leonore Blum, Manuel Blum and
- Seite 124: [45] Michael Welschenbach. Kryptogr