Die Dechiffrierung von w = vA + b erfolgt dann durchv = (w − b)A −1 .Wird der Schlüsselraum eingeschränkt auf alle (A, b) mit b = 0 (v ↦→ vA,A Schlüssel), so spricht man von linearen Blockchiffren. Sie werden auchHill-Chiffren genannt. 12Beachte:Ist v = (r 1 , . . .,r n ), vA + b = (s 1 , . . .,s n ), so hängt jedes s i in der Regel vonallen r 1 , . . .,r n ab. Es handelt sich bei affinen Blockchiffren also nicht umSubstitutionschiffren, die jedes Element des Alphabetsk einzeln substituieren.Beispiel: R =6, n = 2( )1 3Wir wählen A = aus dem zweiten Beispiel am Ende von 4.1. A ist3 2( )4 3in(2,2)6 invertierbar, A −1 = . Sei b = (3, 5).3 5Verschlüsselung( des Klartextblockes ) v = (1, 2):1 3vA + b = (1, 2) + (3, 5) = (1, 1) + (3, 5) = (4, 0) = w.3 2Entschlüsselung:(w − b)A −1 = ((4, 0) − (3, 5))(4 33 5)(4 3= (1, 1)3 5)= (1, 2) = v.Wie groß ist die Anzahl der Schlüssel bei linearen Blockchiffren?Beispiel: R =2, n = 64Schlüssel A 64 × 64 -Matrix über2 mit Determinante 1Schlüssellänge: 64 2 = 2 12 = 4096 Bits(falls man die Matrix als 64 × 64 -array speichert.)Anzahl der Schlüssel: |GL(64, 2)| = (2 64 − 1)(2 64 − 2) . . .(2 64 − 2 63 )≈ 0, 29 · 2 4096[Winzig im Vergleich zu 2 64 ! ≈ 2 264·62,56 ≈ 2 1021 , der Anzahl aller Blockchiffrender Länge 64.]Einige spezielle Chiffrierverfahren lassen sich als affine Blockchiffren auffassen:12 Lester S. Hill (1891-1961), 192946
Beispiele:a) Die Vigenère-Chiffre ist eine affine Blockchiffre über26. Als Schlüsselwerden sämtliche (E n , b), b ∈n 26 verwendet:v ↦→ v + b(b ist das ”Schlüsselwort“,n ist die Periode der Vigenère-Chiffre.)b) Zu Beginn von Kapitel 2 hatten wir sog. (Block-) Transpositionschiffrenerwähnt. Der Schlüssel ist eine Permutation σ auf {1, . . ., n}. Ein Block(r 1 , . . ., r n ) wird verschlüsselt zu (r σ(1) , . . .,r σ(n) ). Diese Chiffren lassensich als lineare Blockchiffren auffassen:Sei P σ = (p ij ) die folgende Permutationsmatrix.p ij ={0 für i ≠ σ(j)1 für i = σ(j)Dann ist (r 1 , . . .,r n )P σ = (r σ(1) , . . .,r σ(n) )P −1σ = P σ −1 (gilt über jedem Ring R, z.B. R =26)4.3 Kryptoanalyse affiner BlockchiffrenDie Kryptoanalyse affiner Blockchiffren kann bei einem Ciphertext-only-Angriffschwierig sein. Bei einem Known-Plaintext-Angriff sind sie jedoch leichtzu knacken:Ausgangssituation: Schlüssel (A, b) ist festgelegt worden, A ∈(n,n)k, b ∈n k .Verschlüsselungsfunktion: v ↦→ vA + b, v ∈n kAngreifer will (A, b) bestimmen.Wir gehen davon aus, dass er n + 1 Klartextblöcke v 0 , . . .,v n <strong>und</strong> die zugehörigenchiffrierten Blöcke w 0 , . . .,w n kennt.⎛ ⎞v 1 − v 0⎜ ⎟Wir nehmen an, dass det ⎝ . ⎠ eine Einheit ink ist.v n − v 0(Das passiert häufig, da ϕ(k) = k ·∏p Primzahlp|kp−1p≥k6 ln(ln(k))für k ≥ 5 nacheinem Satz von Rosser <strong>und</strong> Schoenfeld; überdies ist limk→∞ϕ(k)k 1−δ = ∞ für jedes47
- Seite 1: Universität TübingenWilhelm-Schic
- Seite 5 und 6: Abbildungsverzeichnis1 Grundschema
- Seite 7 und 8: EinleitungKryptologie: Wissenschaft
- Seite 9 und 10: 1 GrundbegriffeKlartext (plaintext)
- Seite 11 und 12: Bei symmetrischen Verschlüsselungs
- Seite 13 und 14: • Uneingeschränkt sicher:Auch be
- Seite 15 und 16: werden permutiert. Zeichen bleiben
- Seite 17 und 18: 2.2 Kryptoanalyse monoalphabetische
- Seite 19 und 20: Buchstabe Anzahl Häufigkeit Buchst
- Seite 22 und 23: 1 2 n.. . . . . . ... .. . .. .. f(
- Seite 24 und 25: Eine solche Chiffrierung heißt pol
- Seite 26 und 27: Also entspricht die Häufigkeit ein
- Seite 28 und 29: alle drei Monate, dann jeden Tag, d
- Seite 30 und 31: EEIYWX JLNRRU UYVCJC BELDHZ YVSKFE
- Seite 32 und 33: erzeugten Texten.(zum Vergleich: κ
- Seite 34 und 35: d ≈0, 0377l(l − 1)κ(c) − 0,
- Seite 36 und 37: kommt allerdings der in deutschen T
- Seite 38 und 39: Zur Verdeutlichung dieser Tatsache
- Seite 40 und 41: Dies ist eine bedingte Wahrscheinli
- Seite 42 und 43: 4 Symmetrische BlockchiffrenWir bet
- Seite 44 und 45: Das haben wir schon in 2.1(b) über
- Seite 48 und 49: δ > 0.Bei einem Chosen-Plaintext-A
- Seite 50 und 51: 4.5 Feistel-ChiffrenFeistel-Chiffre
- Seite 52 und 53: (L ′ r−1 , R′ r−1 ) = (R 1,
- Seite 54 und 55: an den Positionen 8, 16, 24, . . .,
- Seite 56 und 57: Schlüsselpermutation57 49 41 33 25
- Seite 58 und 59: S-Box 47 13 14 3 0 6 9 10 1 2 8 5 1
- Seite 60 und 61: die S-Boxen in Runde i + 1 sorgt.)W
- Seite 62 und 63: Sicherheit erhöhen können. Dies w
- Seite 64 und 65: Die 2 56 DES -Verschlüsselungsfunk
- Seite 66 und 67: Da S-Boxen nichtlinear sind, kann g
- Seite 68 und 69: auftreten. Die Nichtlinearität wä
- Seite 70 und 71: ten; die S-Box verhält sich für s
- Seite 72 und 73: Nur 2 Möglichkeiten für ( ¯B 1 ,
- Seite 74 und 75: Wendet man mit solchen Klartextblö
- Seite 76 und 77: Wie oben geschildert ist x 13 +x 11
- Seite 78 und 79: Als Element von2 8 ist also x2 das
- Seite 80 und 81: ) Rijndael ist eine iterierte Block
- Seite 82 und 83: ⎛⎜⎝1 0 0 0 1 1 1 11 1 0 0 0 1
- Seite 84 und 85: Wende auf b, c, d, a die SubBytes-T
- Seite 86 und 87: Als Beispiel sei genannt:M. Gorski,
- Seite 88 und 89: 5 Betriebsarten von BlockchiffrenBl
- Seite 90 und 91: sind nur m i und m i+1 beeinflusst,
- Seite 92 und 93: solange aus, bis der fehlerhafte Bl
- Seite 94 und 95: 6.2 Selbstsynchronisierende Stromch
- Seite 96 und 97:
6.3 SchieberegisterDef.:Ein (rückg
- Seite 98 und 99:
Beispiele:Sei K =2.a) f(x 3 , x 2 ,
- Seite 100 und 101:
Es gilt: Es gibt genau ϕ(2n −1)n
- Seite 102 und 103:
C m v 0 = v m . Daher:v m , . . .,v
- Seite 104 und 105:
mit den am Ende von 6.6 beschrieben
- Seite 106 und 107:
6.8 Spezielle Stromchiffrena) A5-Fa
- Seite 108 und 109:
Ein anderer Punkt ist außerdem von
- Seite 110 und 111:
(3) Für jeden probabilistischen po
- Seite 112 und 113:
• Die Bedingung in 7.2 für den v
- Seite 114 und 115:
teilung auf {0, 1} l(n) . D kann ˜
- Seite 116 und 117:
a) Kryptographisch sichere Pseudozu
- Seite 118 und 119:
(a) Informationsverlust von f (d.h.
- Seite 120 und 121:
Für alle x ∉ L : pr[M(x) = 0]
- Seite 122 und 123:
[14] Leonore Blum, Manuel Blum and
- Seite 124:
[45] Michael Welschenbach. Kryptogr