• Die Bedingung in 7.2 für den vernachlässigbaren Rest ‘|pr(. . .)−pr(. . .)|< 1 ’ impliziert, dass diese Bedingung erhalten bleibt, wenn Unterscheidungsversuchemit D mit ‘vertretbarem’ Aufwand (d.h. polynomi-P(n)al oft) wiederholt werden.Kryptographisch sichere Pseudozufallsfolgen-Generatoren im obigen Sinnekönnen auch auf andere Weise charakterisiert werden.Sei dazu G ein deterministischer polynomialer Algorithmus mit Erweiterungsfunktionl :Æ→N, der aus 0-1-Folgen der Länge n 0-1-Folgen derLänge l(n) erzeugt.Für eine 0-1-Folge x, sei G(x) i das i-te Bit der 0-1-Folge G(x).7.4 DefinitionG besteht alle Next-Bit-Tests, falls für jeden probabilistischen polynomialenAlgorithmus A, der für jede endliche 0-1-Folge als Input den Wert 0 oder 1ausgibt, <strong>und</strong> jedes positive Polynom P ∈[x] für alle genügend großen ngilt:pr(A(G(x) 1 G(x) 2 . . . G(x) i ) = G(x) i+1 |x ← Ω n ) ≤ 1 2 + 1P(n)für alle 0 ≤ i < l(n).7.5 Bedeutung von Definition 7.4• Der Algorithmus A versucht aus der Kenntnis der ersten i Bits derFolge G(x) das (i + 1)-te Bit von G(x) vorauszusagen.• G besteht alle Next-Bit-Tests, wenn mit vertretbarem Aufwand ( ∧ = polynomialemprobabilistischem Algorithmus) das nächste Bit i.W. nichtbesser bestimmt werden kann als durch Münzwurf (Wahrscheinlichkeit12 ).• Wie zu Definition 7.2 kann man sich auch hier überlegen, dass es nichtpolynomialeAlgorithmen A gibt, die für gewisse Stellen i das nächsteBit mit größerer Wahrscheinlichkeit als 1 + 1 voraussagen können.2 P(n)Ebenso kann man zeigen, dass es immer polynomiale Algorithmen Agibt, die für gewisse Stellen i das nächste Bit mit Wahrscheinlichkeit≥ 1 + 1 voraussagen können.2 2 n112
7.6 Satz (Yao; 1982)Genau dann ist G ein krytographisch sicherer Pseudozufallsfolgen-Generator,wenn G alle Next-Bit-Tests besteht.Beweisidee:=⇒ :Wenn G nicht alle Next-Bit-Tests besteht, so gibt es einen probabilistischenAlgorithmus A, ein positives Polynom Q <strong>und</strong> eine unendliche Teilmenge Kvon N, so dass A für jedes n ∈ K für jeweils eine Position i n < l(n) aus derKenntnis von G(x) 1 , . . .,G(x) in das nächste Bit G(x) in+1 mit Wahrscheinlichkeit> 1 2 + 1Q(n)voraussagen kann. Bei zufälliger Wahl einer Folge ausΩ l(n) lässt sich deren (i n + 1)-tes Bit aber nicht mit Wahrscheinlichkeit > 1 2voraussagen.Definiere einen probabilistischen polynomialen Algorithmus D durch{1, falls A(z1 , . . .,zD(z 1 , . . .,z l(n) ) =in ) = z in+10, sonstfür (z 1 , . . .,z l(n) ) ∈ {0, 1} l(n) , n ∈ K. (Für alle übrigen Längen von {0, 1}-Folgen kann man z.B. D(z 1 , . . ., z m ) = 0 definieren.)Dann ist anschaulich klar (<strong>und</strong> kann mit etwas Rechnung auch präzise nachgewiesenwerden), dass mit diesem D die Bedingung eines kryptographischsicheren Pseudozufallsfolgen-Generators verletzt ist.⇐= :Ang., G ist kein kryptographisch sicherer Pseudozufallsfolgen-Generator. Dannexistiert ein probabilistischer polynomialer Algorithmus D, ein positives PolynomQ(x) <strong>und</strong> eine unendliche Teilmenge K von N, so dass| pr(D(G(x)) = 1 | x ←− Ω n ) − pr(D(z)) = 1 | z ←− Ω l(n) | ≥ 1Q(n) füralle n ∈ K.Sei p i die Gleichverteilung auf {0, 1} i , d.h. ({0, 1} i , p i ) = Ω i . Für jedes n ∈ Kdefinieren wir jetzt Wahrscheinlichkeitsverteilungen ˜p 0 , . . ., ˜p l(n) auf {0, 1} l(n)in folgender Weise:˜p 0 ((b 1 , . . .,b l(n) )) = p l(n) ((b 1 , . . .,b l(n) )) = 12 l(n)˜p 1 ((b 1 , . . .,b l(n) )) = pr(G(x) 1 = b 1 |x ← Ω n ) · p l(n)−1 (b 2 , . . .,b l(n) ))˜p 2 ((b 1 , . . .,b l(n) )) = pr(G(x) 1 = b 1 , G(x) 2 = b 2 |x ← Ω n ) · p l(n)−2 ((b 3 , . . .,b l(n) )).˜p l(n) ((b 1 , . . .,b l(n) )) = pr(G(x) 1 = b 1 , . . .,G(x) l(n) = b l(n) |x ← Ω n )Also: ˜p 0 Gleichverteilung auf {0, 1} l(n) , ˜p l(n) die durch G(Ω n ) erzeugte Ver-113
- Seite 1:
Universität TübingenWilhelm-Schic
- Seite 5 und 6:
Abbildungsverzeichnis1 Grundschema
- Seite 7 und 8:
EinleitungKryptologie: Wissenschaft
- Seite 9 und 10:
1 GrundbegriffeKlartext (plaintext)
- Seite 11 und 12:
Bei symmetrischen Verschlüsselungs
- Seite 13 und 14:
• Uneingeschränkt sicher:Auch be
- Seite 15 und 16:
werden permutiert. Zeichen bleiben
- Seite 17 und 18:
2.2 Kryptoanalyse monoalphabetische
- Seite 19 und 20:
Buchstabe Anzahl Häufigkeit Buchst
- Seite 22 und 23:
1 2 n.. . . . . . ... .. . .. .. f(
- Seite 24 und 25:
Eine solche Chiffrierung heißt pol
- Seite 26 und 27:
Also entspricht die Häufigkeit ein
- Seite 28 und 29:
alle drei Monate, dann jeden Tag, d
- Seite 30 und 31:
EEIYWX JLNRRU UYVCJC BELDHZ YVSKFE
- Seite 32 und 33:
erzeugten Texten.(zum Vergleich: κ
- Seite 34 und 35:
d ≈0, 0377l(l − 1)κ(c) − 0,
- Seite 36 und 37:
kommt allerdings der in deutschen T
- Seite 38 und 39:
Zur Verdeutlichung dieser Tatsache
- Seite 40 und 41:
Dies ist eine bedingte Wahrscheinli
- Seite 42 und 43:
4 Symmetrische BlockchiffrenWir bet
- Seite 44 und 45:
Das haben wir schon in 2.1(b) über
- Seite 46 und 47:
Die Dechiffrierung von w = vA + b e
- Seite 48 und 49:
δ > 0.Bei einem Chosen-Plaintext-A
- Seite 50 und 51:
4.5 Feistel-ChiffrenFeistel-Chiffre
- Seite 52 und 53:
(L ′ r−1 , R′ r−1 ) = (R 1,
- Seite 54 und 55:
an den Positionen 8, 16, 24, . . .,
- Seite 56 und 57:
Schlüsselpermutation57 49 41 33 25
- Seite 58 und 59:
S-Box 47 13 14 3 0 6 9 10 1 2 8 5 1
- Seite 60 und 61:
die S-Boxen in Runde i + 1 sorgt.)W
- Seite 62 und 63: Sicherheit erhöhen können. Dies w
- Seite 64 und 65: Die 2 56 DES -Verschlüsselungsfunk
- Seite 66 und 67: Da S-Boxen nichtlinear sind, kann g
- Seite 68 und 69: auftreten. Die Nichtlinearität wä
- Seite 70 und 71: ten; die S-Box verhält sich für s
- Seite 72 und 73: Nur 2 Möglichkeiten für ( ¯B 1 ,
- Seite 74 und 75: Wendet man mit solchen Klartextblö
- Seite 76 und 77: Wie oben geschildert ist x 13 +x 11
- Seite 78 und 79: Als Element von2 8 ist also x2 das
- Seite 80 und 81: ) Rijndael ist eine iterierte Block
- Seite 82 und 83: ⎛⎜⎝1 0 0 0 1 1 1 11 1 0 0 0 1
- Seite 84 und 85: Wende auf b, c, d, a die SubBytes-T
- Seite 86 und 87: Als Beispiel sei genannt:M. Gorski,
- Seite 88 und 89: 5 Betriebsarten von BlockchiffrenBl
- Seite 90 und 91: sind nur m i und m i+1 beeinflusst,
- Seite 92 und 93: solange aus, bis der fehlerhafte Bl
- Seite 94 und 95: 6.2 Selbstsynchronisierende Stromch
- Seite 96 und 97: 6.3 SchieberegisterDef.:Ein (rückg
- Seite 98 und 99: Beispiele:Sei K =2.a) f(x 3 , x 2 ,
- Seite 100 und 101: Es gilt: Es gibt genau ϕ(2n −1)n
- Seite 102 und 103: C m v 0 = v m . Daher:v m , . . .,v
- Seite 104 und 105: mit den am Ende von 6.6 beschrieben
- Seite 106 und 107: 6.8 Spezielle Stromchiffrena) A5-Fa
- Seite 108 und 109: Ein anderer Punkt ist außerdem von
- Seite 110 und 111: (3) Für jeden probabilistischen po
- Seite 114 und 115: teilung auf {0, 1} l(n) . D kann ˜
- Seite 116 und 117: a) Kryptographisch sichere Pseudozu
- Seite 118 und 119: (a) Informationsverlust von f (d.h.
- Seite 120 und 121: Für alle x ∉ L : pr[M(x) = 0]
- Seite 122 und 123: [14] Leonore Blum, Manuel Blum and
- Seite 124: [45] Michael Welschenbach. Kryptogr