Kryptologie und Datensicherheit - Diskrete Mathematik - UniversitÃ¤t ...

Weitere Magazine

Empfehlungen

Info

(a) Informationsverlust von f (d.h. f ist nicht injektiv)z.B. f(z 1 , . . .,z n ) = (0, z 2 , . . .,z n ), h(z 1 , . . .,z n ) = z 1(b) f ist EinwegfunktionWir sind am zweiten Fall interessiert.Tatsächlich kann man zu jeder Einwegfunktion eine eng mit dieser verwandteEinwegfunktion konstruieren, die ein Hard-Core-Prädikat besitzt:Satz (Goldreich, Levin; 1989)Sei f : {0, 1} ∗ ⋃→ {0, 1} ∗ eine Einwegfunktion.Definiere g : 1}n∈Æ{0, 2n → {0, 1} ∗ durch g(x, y) = (f(x), y), x, y ∈ {0, 1} n .Ist x = (x 1 , . . .,x n ), y = (y 1 , . . .,y n ), so sei h(x, y) = ∑ x i y i mod 2.Dann ist g eine Einwegfunktion und h ist ein Hard-Core-Prädikat für g. 38[Es ist nicht schwierig, aus g eine Einwegfunktion ˜g : {0, 1} ∗ → {0, 1} ∗ zukonstruieren, die ein Hard-Core-Prädikat besitzt.]Wir können also annehmen, dass wir eine Einwegfunktion f mit Hard-Core-Prädikat h vorliegen haben.Wir beschreiben die Konstruktion eines kryptographisch sicheren Zufallszahlen-Generatorsjetzt nur für den Fall, dass f eine bijektive und längenerhaltende(d.h. x ∈ {0, 1} n ⇒ f(x) ∈ {0, 1} n für alle n ∈Æ) Einwegfunktionist.Sei l ein Polynom mit l(n) > n für alle n.Definiere G auf folgende Weise: Sei s 0 ∈ {0, 1} n ein Input für G (seed).Für j = 1, . . ., l(n) sei s j = f(s j−1 ).Definiere nun G(s 0 ) = (h(s 1 ), . . .,h(s l(n) )) ∈ {0, 1} l(n) .Wir zeigen, dass G ein kryptographisch sicherer Pseudozufallsfolgen-Generatorist.Dies beweist man, indem man nachweist, dass G alle Next-Bit-Tests besteht(und zwar von rechts nach links!).Angenommen, man kann bei zufällig und gleichverteiltem ‘seed‘ s 0 ∈ {0, 1} nfür unendlich viele n die Bits h(s in ) (für mindestens ein i n ∈ {1, . . ., l(n)})aus h(s in+1), . . .,h(s l(n) ) mit einer Wahrscheinlichkeit > 1 + 1 (für ein festespositives Polynom Q)2 Q(n)vorhersagen.38 s. Goldreich [24], S. 66 ff.118
Wir behaupten nun: Wenn s 0 zufällig und gleichverteilt aus {0, 1} n gewähltwird, so kann man h(s in ) aus f(s in ) mit Wahrscheinlichkeit > 1 + 1 vorhersagen:2 Q(n)Es sind nämlich f(s in ) = s in+1, . . .,f(s l(n)−1 ) = s l(n) aus f(s in ) berechenbar.Aus diesen erhält man h(s in+1), . . .,h(s l(n) ) und aus diesen ist nach obigerAnnahme h(s in ) mit Wahrscheinlichkeit > 1 + 1 vorhersagbar.2 Q(n)Da f längenerhaltend und bijektiv ist, gilt dies auch für f in , d.h. es istf in ({0, 1} n ) = {0, 1} n . Daher folgt aus s 0 ← Ω n auch s in = f in (s 0 ) ← Ω n .Damit widerspricht die vorher bewiesene Aussage der Definition des Hard-Core-Prädikats.Obige Annahme ist also nicht aufrechtzuhalten, d.h. G besteht alle Next-Bit-Tests (von rechts nach links). Nach dem Satz von Yao (siehe 7.6) ist G daherein kryptographisch sicherer Pseudozufallsfolgen-Generator.7.10 Die Frage nach der Existenz von EinwegfunktionenEs bleibt die Frage, ob Einwegfunktionen existieren. Dies ist nicht bekannt.Eine notwendige Bedingung für die Existenz von Einwegfunktionen ist P ≠NP. (Ob dies gilt, ist eines der berühmtesten offenen Probleme der Komplexitätstheorie.)Sei nämlich f eine polynomial berechenbare Funktion. Dann kann man inpolynomialer Zeit entscheiden, ob für gegebene x und y gilt: f(x) = y. Daherliegt die Berechnung eines Urbilds von y in NP (eine Lösung lässt sich inpolynomialer Zeit verifizieren). Ist also P = NP, so lässt sich jede polynomialberechenbare Funktion auch in polynomialer Zeit invertieren, und es gibtkeine Einwegfunktionen.Tatsächlich ist bei unserer Definition von Einwegfunktionen, in der die Invertierung(bis auf einen vernachlässigbaren Rest) auch durch probabilistischepolynomiale Algorithmen unmöglich sein muss, sogar eine weitergehende Bedingungnotwendig, nämlich NP BPP.BPP steht für Bounded-Probability Polynomial Time.BPP ist die Klasse aller Sprachen, die von einer probabilistischen, polynomiallaufzeitbeschränkten Turing-Maschine M (also von einem polynomialprobabilistischen Algorithmus) erkannt werden. Dies bedeutet:Für alle x ∈ L : pr[M(x) = 1] ≥ 2 3119
Seite 1:
Universität TübingenWilhelm-Schic
Seite 5 und 6:
Abbildungsverzeichnis1 Grundschema
Seite 7 und 8:
EinleitungKryptologie: Wissenschaft
Seite 9 und 10:
1 GrundbegriffeKlartext (plaintext)
Seite 11 und 12:
Bei symmetrischen Verschlüsselungs
Seite 13 und 14:
• Uneingeschränkt sicher:Auch be
Seite 15 und 16:
werden permutiert. Zeichen bleiben
Seite 17 und 18:
2.2 Kryptoanalyse monoalphabetische
Seite 19 und 20:
Buchstabe Anzahl Häufigkeit Buchst
Seite 22 und 23:
1 2 n.. . . . . . ... .. . .. .. f(
Seite 24 und 25:
Eine solche Chiffrierung heißt pol
Seite 26 und 27:
Also entspricht die Häufigkeit ein
Seite 28 und 29:
alle drei Monate, dann jeden Tag, d
Seite 30 und 31:
EEIYWX JLNRRU UYVCJC BELDHZ YVSKFE
Seite 32 und 33:
erzeugten Texten.(zum Vergleich: κ
Seite 34 und 35:
d ≈0, 0377l(l − 1)κ(c) − 0,
Seite 36 und 37:
kommt allerdings der in deutschen T
Seite 38 und 39:
Zur Verdeutlichung dieser Tatsache
Seite 40 und 41:
Dies ist eine bedingte Wahrscheinli
Seite 42 und 43:
4 Symmetrische BlockchiffrenWir bet
Seite 44 und 45:
Das haben wir schon in 2.1(b) über
Seite 46 und 47:
Die Dechiffrierung von w = vA + b e
Seite 48 und 49:
δ > 0.Bei einem Chosen-Plaintext-A
Seite 50 und 51:
4.5 Feistel-ChiffrenFeistel-Chiffre
Seite 52 und 53:
(L ′ r−1 , R′ r−1 ) = (R 1,
Seite 54 und 55:
an den Positionen 8, 16, 24, . . .,
Seite 56 und 57:
Schlüsselpermutation57 49 41 33 25
Seite 58 und 59:
S-Box 47 13 14 3 0 6 9 10 1 2 8 5 1
Seite 60 und 61:
die S-Boxen in Runde i + 1 sorgt.)W
Seite 62 und 63:
Sicherheit erhöhen können. Dies w
Seite 64 und 65:
Die 2 56 DES -Verschlüsselungsfunk
Seite 66 und 67:
Da S-Boxen nichtlinear sind, kann g
Seite 68 und 69: auftreten. Die Nichtlinearität wä
Seite 70 und 71: ten; die S-Box verhält sich für s
Seite 72 und 73: Nur 2 Möglichkeiten für ( ¯B 1 ,
Seite 74 und 75: Wendet man mit solchen Klartextblö
Seite 76 und 77: Wie oben geschildert ist x 13 +x 11
Seite 78 und 79: Als Element von2 8 ist also x2 das
Seite 80 und 81: ) Rijndael ist eine iterierte Block
Seite 82 und 83: ⎛⎜⎝1 0 0 0 1 1 1 11 1 0 0 0 1
Seite 84 und 85: Wende auf b, c, d, a die SubBytes-T
Seite 86 und 87: Als Beispiel sei genannt:M. Gorski,
Seite 88 und 89: 5 Betriebsarten von BlockchiffrenBl
Seite 90 und 91: sind nur m i und m i+1 beeinflusst,
Seite 92 und 93: solange aus, bis der fehlerhafte Bl
Seite 94 und 95: 6.2 Selbstsynchronisierende Stromch
Seite 96 und 97: 6.3 SchieberegisterDef.:Ein (rückg
Seite 98 und 99: Beispiele:Sei K =2.a) f(x 3 , x 2 ,
Seite 100 und 101: Es gilt: Es gibt genau ϕ(2n −1)n
Seite 102 und 103: C m v 0 = v m . Daher:v m , . . .,v
Seite 104 und 105: mit den am Ende von 6.6 beschrieben
Seite 106 und 107: 6.8 Spezielle Stromchiffrena) A5-Fa
Seite 108 und 109: Ein anderer Punkt ist außerdem von
Seite 110 und 111: (3) Für jeden probabilistischen po
Seite 112 und 113: • Die Bedingung in 7.2 für den v
Seite 114 und 115: teilung auf {0, 1} l(n) . D kann ˜
Seite 116 und 117: a) Kryptographisch sichere Pseudozu
Seite 120 und 121: Für alle x ∉ L : pr[M(x) = 0]
Seite 122 und 123: [14] Leonore Blum, Manuel Blum and
Seite 124: [45] Michael Welschenbach. Kryptogr
Alle anzeigen

Kryptologie und Datensicherheit - Diskrete Mathematik - UniversitÃ¤t ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?