C m v 0 = v m . Daher:v m , . . .,v m+n−1 linear unabhängig⇔ C −m v } {{ m , . . .,C −m v }m+n−1 linear unabhängig} {{ }= v 0 = v n−1Angenommen v 0 , . . .,v n−1 sind linear abhängig.Wähle t ≤ n − 1 minimal mit v 0 , . . .,v t linear abhängig. Dann existierend 0 , . . .,d t ∈2 mit d 0 v 0 + . . . + d t v t = 0, d t = 1.Also: v t = t−1 ∑j=0d j v j .Dann gilt für alle i ≥ 0 : v t+i = C i v t = t−1 ∑Daher: a t+i = t−1 ∑j=0j=0d j C i v j = t−1 ∑j=0d j v j+i .d j a j+i für alle i ≥ 0 (1. Komponente betrachten).Also wird (a 0 , a 1 , . . .) von einem LSR der Länge t ≤ n − 1 erzeugt, Widerspruch.(2) ⇒ (1): Angenommen nicht. Sei g(x 0 , . . .,x r−1 ) = r−1 ∑des kürzesten LSR, das (a 0 , a 1 , . . .) erzeugt. Also d 0 ≠ 0.Es ist a r+i = r−1 ∑j=0abhängig sind, Widerspruch.j=0d j x j die Funktiond j a j+i für alle i ≥ 0. Das bedeutet, dass v m , . . ., v m+r linear6.6.2 SatzSei (a 0 , a 1 , . . .) eine binäre periodische Folge der linearen Komplexität n (alsoPeriode maximal 2 n − 1).Dann lässt sich das zugehörige minimale Schieberegister der Länge n ausbeliebigen 2n aufeinanderfolgenden Folgengliedern bestimmen.Beweis:Bekannt seien a r , a r+1 , . . .,a r+2n−1 . Seien c 0 , . . .,c n−1 die Koeffizienten desminimalen LSR, das die Folge erzeugt.102
Dann ist a t+n = n−1 ∑c i a t+i , t = r, r + 1, . . ., r + n − 1, d.h.i=0⎛ ⎞ ⎛⎞ ⎛ ⎞a r+n a r . . . a r+n−1 c 0⎜⎝ . ⎟⎠ = a r+1 . . . a r+n⎜⎟ ⎜⎝ . . ⎠ ⎝ . ⎟⎠a r+2n−1 a r+n−1 . . . a r+2n−2 c n−1} {{ }=: ADie Matrix A ist bekannt <strong>und</strong> nach 6.6.1 invertierbar.⎛ ⎞ ⎛ ⎞c 0 a r+n⎜ ⎟Damit lässt sich ⎝ . ⎠ = A −1 ⎜ ⎟⎝ . ⎠ bestimmen.c n−1 a r+2n−1Es bleibt allerdings folgendes Problem:Wenn der Angreifer ein Teilstück der Schieberegisterfolge kennt, so kanner i. Allg. nicht wissen, ob dieses Teilstück mindestens Länge 2n, n lineareKomplexität der Schieberegisterfolge, hat oder nicht. Und selbst wenn dasTeilstück mindestens Länge 2n besitzt, so kennt er zunächst einmal n nicht.Für das letztgenannte Problem gibt es jedoch eine Lösung:Man kann auch für endliche Bitfolgen (a 0 , . . .,a r ) den Begriff der linearenKomplexität definieren: Dies ist die kleinste Länge eines LSR, dessen Output-Folge mit (a 0 , . . ., a r ) beginnt. Es gibt einen Algorithmus von Berlekamp <strong>und</strong>Massey, der zu gegebener Bitfolge (a 0 , . . ., a r ) deren lineare Komplexität mitO(r 2 ) Bit-Operationen bestimmt. Ist also r ≥ 2n, so bestimmt der Berlekamp-Massey-Algorithmusnach 6.6.2 auch die lineare Komplexität der gesamtenSchieberegisterfolge <strong>und</strong> das minimale LSR kann bestimmt werden. 346.7 Schieberegister zur SchlüsselstromerzeugungWir hatten in Unterkapitel 6.6 gesehen, dass LSR zur Erzeugung von Schlüsselströmenkaum geeignet sind. Dies ist insbesondere bei additiven binärenStromchiffren der Fall, wo Mallory bei einer Known-Plaintext-Attack beigenügend langem Klartext (Länge ≥ 2·lineare Komplexität der Schieberegisterfolge)durch m i ⊕c i (m 1 , m 2 , . . . Klartextfolge, c 1 , c 2 , . . . zugehörige Chiffretextfolge)einen Teil des Schlüsselstroms ermitteln kann, der ausreicht, um34 Literatur: Lidl, Niederreiter [36] oder Menezes et al. [37]103
- Seite 1:
Universität TübingenWilhelm-Schic
- Seite 5 und 6:
Abbildungsverzeichnis1 Grundschema
- Seite 7 und 8:
EinleitungKryptologie: Wissenschaft
- Seite 9 und 10:
1 GrundbegriffeKlartext (plaintext)
- Seite 11 und 12:
Bei symmetrischen Verschlüsselungs
- Seite 13 und 14:
• Uneingeschränkt sicher:Auch be
- Seite 15 und 16:
werden permutiert. Zeichen bleiben
- Seite 17 und 18:
2.2 Kryptoanalyse monoalphabetische
- Seite 19 und 20:
Buchstabe Anzahl Häufigkeit Buchst
- Seite 22 und 23:
1 2 n.. . . . . . ... .. . .. .. f(
- Seite 24 und 25:
Eine solche Chiffrierung heißt pol
- Seite 26 und 27:
Also entspricht die Häufigkeit ein
- Seite 28 und 29:
alle drei Monate, dann jeden Tag, d
- Seite 30 und 31:
EEIYWX JLNRRU UYVCJC BELDHZ YVSKFE
- Seite 32 und 33:
erzeugten Texten.(zum Vergleich: κ
- Seite 34 und 35:
d ≈0, 0377l(l − 1)κ(c) − 0,
- Seite 36 und 37:
kommt allerdings der in deutschen T
- Seite 38 und 39:
Zur Verdeutlichung dieser Tatsache
- Seite 40 und 41:
Dies ist eine bedingte Wahrscheinli
- Seite 42 und 43:
4 Symmetrische BlockchiffrenWir bet
- Seite 44 und 45:
Das haben wir schon in 2.1(b) über
- Seite 46 und 47:
Die Dechiffrierung von w = vA + b e
- Seite 48 und 49:
δ > 0.Bei einem Chosen-Plaintext-A
- Seite 50 und 51:
4.5 Feistel-ChiffrenFeistel-Chiffre
- Seite 52 und 53: (L ′ r−1 , R′ r−1 ) = (R 1,
- Seite 54 und 55: an den Positionen 8, 16, 24, . . .,
- Seite 56 und 57: Schlüsselpermutation57 49 41 33 25
- Seite 58 und 59: S-Box 47 13 14 3 0 6 9 10 1 2 8 5 1
- Seite 60 und 61: die S-Boxen in Runde i + 1 sorgt.)W
- Seite 62 und 63: Sicherheit erhöhen können. Dies w
- Seite 64 und 65: Die 2 56 DES -Verschlüsselungsfunk
- Seite 66 und 67: Da S-Boxen nichtlinear sind, kann g
- Seite 68 und 69: auftreten. Die Nichtlinearität wä
- Seite 70 und 71: ten; die S-Box verhält sich für s
- Seite 72 und 73: Nur 2 Möglichkeiten für ( ¯B 1 ,
- Seite 74 und 75: Wendet man mit solchen Klartextblö
- Seite 76 und 77: Wie oben geschildert ist x 13 +x 11
- Seite 78 und 79: Als Element von2 8 ist also x2 das
- Seite 80 und 81: ) Rijndael ist eine iterierte Block
- Seite 82 und 83: ⎛⎜⎝1 0 0 0 1 1 1 11 1 0 0 0 1
- Seite 84 und 85: Wende auf b, c, d, a die SubBytes-T
- Seite 86 und 87: Als Beispiel sei genannt:M. Gorski,
- Seite 88 und 89: 5 Betriebsarten von BlockchiffrenBl
- Seite 90 und 91: sind nur m i und m i+1 beeinflusst,
- Seite 92 und 93: solange aus, bis der fehlerhafte Bl
- Seite 94 und 95: 6.2 Selbstsynchronisierende Stromch
- Seite 96 und 97: 6.3 SchieberegisterDef.:Ein (rückg
- Seite 98 und 99: Beispiele:Sei K =2.a) f(x 3 , x 2 ,
- Seite 100 und 101: Es gilt: Es gibt genau ϕ(2n −1)n
- Seite 104 und 105: mit den am Ende von 6.6 beschrieben
- Seite 106 und 107: 6.8 Spezielle Stromchiffrena) A5-Fa
- Seite 108 und 109: Ein anderer Punkt ist außerdem von
- Seite 110 und 111: (3) Für jeden probabilistischen po
- Seite 112 und 113: • Die Bedingung in 7.2 für den v
- Seite 114 und 115: teilung auf {0, 1} l(n) . D kann ˜
- Seite 116 und 117: a) Kryptographisch sichere Pseudozu
- Seite 118 und 119: (a) Informationsverlust von f (d.h.
- Seite 120 und 121: Für alle x ∉ L : pr[M(x) = 0]
- Seite 122 und 123: [14] Leonore Blum, Manuel Blum and
- Seite 124: [45] Michael Welschenbach. Kryptogr