Kryptologie und Datensicherheit - Diskrete Mathematik - UniversitÃ¤t ...

Weitere Magazine

Empfehlungen

Info

Dies ist eine bedingte Wahrscheinlichkeit:pr(m|c) ===pr(“m und c“)pr(c)pr({(m, k) : k ∈ K} ∩ {(x, k) : x ∈ M, k ∈ K, E(x, k) = c})pr(c)pr({(m, k) : k ∈ K, E(m, k) = c})pr(c)Beispiel: Verschiebechiffre: m = HALLO, c = XRYTY. Dann pr(m|c) = 0.Bedingung für perfekte Sicherheit besagt:Wenn ich c kenne, ist die Wahrscheinlichkeit dafür, dass m der zugehörigeKlartext ist genauso groß wie sie es war, bevor ich c kannte. Kenntnis von cmacht keinen Klartext wahrscheinlicher oder unwahrscheinlicher.Satz von Bayes: Perfekte Sicherheit ⇔ pr(c) = pr(c|m) ∀ m ∀ c, Wahrscheinlichkeitvon c ist unabhängig vom Klartext.3.2 Satz (Shannon 11 , 1949)Die Bezeichnungen seien wie oben gewählt.Ist pr K die Gleichverteilung auf K und existiert zu jedem Klartext m undjedem Chiffretext c genau ein Schlüssel k ∈ K mit E(m, k) = c, so ist dasVerschlüsselungsverfahren perfekt sicher.(Ist pr M (m) > 0 ∀ m ∈ M und |K| = |C|, C die Menge aller Chiffretexte, sogilt auch die Umkehrung.)Beweis:Für jeden Klartext m und jeden Schlüsseltext c gibt es genau einen Schlüsselk = k(m, c) mit E(m, k) = c.pr(m)pr(c|m)pr(m|c) ==Bayes pr(c)= ∑pr(m)pr(x) = pr(m).x∈M11 Claude Shannon, 1916 - 2001, u.a. MIT∑x∈Mpr(m) 1|K|pr(x) pr(k(x, c))} {{ }1|K|□40
Ist das one-time-pad perfekt sicher? Nicht, wenn wir beliebige (ggf. nachoben beschränkte) Längen von Klartexten zulassen; denn ist l(m) ≠ l(c),so ist pr(m|c) = 0, egal welche Wahrscheinlichkeit m hatte. Halten wir dieKlartextlänge aber fest, so gilt perfekte Sicherheit.3.3 SatzSei n ∈Æ. Sei E n : {0, 1} n → {0, 1} n das Verschlüsselungsverfahren mit demone-time-pad, d.h. M ⊆ {0, 1} n , K = {0, 1} n = C.Wird bei der Verschlüsselung von Klartexten immer ein Schlüssel (aufs Neue)gleichverteilt zufällig gewählt, so ist das one-time-pad perfekt sicher.Beweis:Das folgt sofort aus 3.2.□Wichtig: Schlüssel darf nur einmal verwendet werden!Wird ein Schlüssel zweimal verwendet,m 1 ⊕ k = c 1m 2 ⊕ k = c 2 ,so ist c 1 ⊕c 2 = m 1 ⊕m 2 ; dies ist eine Vernam-Verschlüsselung eines sinnvollenTextes (m 1 ) mit einem sinnvollen Text (m 2 ), Ergebnis c 1 ⊕ c 2 bekannt. Diesliefert Angriffsmöglichkeiten (siehe 2.9).Außerdem:Bei Mehrfachverwendung des Schlüssels k wird das System bei einem Knownplaintext-Angriffsofort gebrochen: Ist m ⊕ k = c, m, c bekannt, so auchk = m ⊕ c bekannt.41
Seite 1: Universität TübingenWilhelm-Schic
Seite 5 und 6: Abbildungsverzeichnis1 Grundschema
Seite 7 und 8: EinleitungKryptologie: Wissenschaft
Seite 9 und 10: 1 GrundbegriffeKlartext (plaintext)
Seite 11 und 12: Bei symmetrischen Verschlüsselungs
Seite 13 und 14: • Uneingeschränkt sicher:Auch be
Seite 15 und 16: werden permutiert. Zeichen bleiben
Seite 17 und 18: 2.2 Kryptoanalyse monoalphabetische
Seite 19 und 20: Buchstabe Anzahl Häufigkeit Buchst
Seite 22 und 23: 1 2 n.. . . . . . ... .. . .. .. f(
Seite 24 und 25: Eine solche Chiffrierung heißt pol
Seite 26 und 27: Also entspricht die Häufigkeit ein
Seite 28 und 29: alle drei Monate, dann jeden Tag, d
Seite 30 und 31: EEIYWX JLNRRU UYVCJC BELDHZ YVSKFE
Seite 32 und 33: erzeugten Texten.(zum Vergleich: κ
Seite 34 und 35: d ≈0, 0377l(l − 1)κ(c) − 0,
Seite 36 und 37: kommt allerdings der in deutschen T
Seite 38 und 39: Zur Verdeutlichung dieser Tatsache
Seite 42 und 43: 4 Symmetrische BlockchiffrenWir bet
Seite 44 und 45: Das haben wir schon in 2.1(b) über
Seite 46 und 47: Die Dechiffrierung von w = vA + b e
Seite 48 und 49: δ > 0.Bei einem Chosen-Plaintext-A
Seite 50 und 51: 4.5 Feistel-ChiffrenFeistel-Chiffre
Seite 52 und 53: (L ′ r−1 , R′ r−1 ) = (R 1,
Seite 54 und 55: an den Positionen 8, 16, 24, . . .,
Seite 56 und 57: Schlüsselpermutation57 49 41 33 25
Seite 58 und 59: S-Box 47 13 14 3 0 6 9 10 1 2 8 5 1
Seite 60 und 61: die S-Boxen in Runde i + 1 sorgt.)W
Seite 62 und 63: Sicherheit erhöhen können. Dies w
Seite 64 und 65: Die 2 56 DES -Verschlüsselungsfunk
Seite 66 und 67: Da S-Boxen nichtlinear sind, kann g
Seite 68 und 69: auftreten. Die Nichtlinearität wä
Seite 70 und 71: ten; die S-Box verhält sich für s
Seite 72 und 73: Nur 2 Möglichkeiten für ( ¯B 1 ,
Seite 74 und 75: Wendet man mit solchen Klartextblö
Seite 76 und 77: Wie oben geschildert ist x 13 +x 11
Seite 78 und 79: Als Element von2 8 ist also x2 das
Seite 80 und 81: ) Rijndael ist eine iterierte Block
Seite 82 und 83: ⎛⎜⎝1 0 0 0 1 1 1 11 1 0 0 0 1
Seite 84 und 85: Wende auf b, c, d, a die SubBytes-T
Seite 86 und 87: Als Beispiel sei genannt:M. Gorski,
Seite 88 und 89: 5 Betriebsarten von BlockchiffrenBl
Seite 90 und 91:
sind nur m i und m i+1 beeinflusst,
Seite 92 und 93:
solange aus, bis der fehlerhafte Bl
Seite 94 und 95:
6.2 Selbstsynchronisierende Stromch
Seite 96 und 97:
6.3 SchieberegisterDef.:Ein (rückg
Seite 98 und 99:
Beispiele:Sei K =2.a) f(x 3 , x 2 ,
Seite 100 und 101:
Es gilt: Es gibt genau ϕ(2n −1)n
Seite 102 und 103:
C m v 0 = v m . Daher:v m , . . .,v
Seite 104 und 105:
mit den am Ende von 6.6 beschrieben
Seite 106 und 107:
6.8 Spezielle Stromchiffrena) A5-Fa
Seite 108 und 109:
Ein anderer Punkt ist außerdem von
Seite 110 und 111:
(3) Für jeden probabilistischen po
Seite 112 und 113:
• Die Bedingung in 7.2 für den v
Seite 114 und 115:
teilung auf {0, 1} l(n) . D kann ˜
Seite 116 und 117:
a) Kryptographisch sichere Pseudozu
Seite 118 und 119:
(a) Informationsverlust von f (d.h.
Seite 120 und 121:
Für alle x ∉ L : pr[M(x) = 0]
Seite 122 und 123:
[14] Leonore Blum, Manuel Blum and
Seite 124:
[45] Michael Welschenbach. Kryptogr
Alle anzeigen

Kryptologie und Datensicherheit - Diskrete Mathematik - UniversitÃ¤t ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?