Kryptologie und Datensicherheit - Diskrete Mathematik - UniversitÃ¤t ...

Weitere Magazine

Empfehlungen

Info

Sicherheit erhöhen können. Dies wurde aber 1975 nicht für notwendig(oder wünschenswert) gehalten.Als der DES später hard- und softwaremäßig weit verbreitet war, wareine solche Änderung schwierig. Man entschied sich daher dann für einvöllig neues Verfahren (AES).c) Bei vollständiger Durchsuchung des Schlüsselraums müssen im schlimmstenFall (bei einem Ciphertext-Only-Angriff) 2 56 Schlüssel ausprobiertwerden. Der DES hat jedoch folgende Symmetrieeigenschaft:Sei m ein Klartextblock, k ein Schlüssel, c = E k (m) der durch DESverschlüsselte Block. Bezeichnet man mit ¯m, ¯k, ¯c die zu m, k und ckomplementären Blöcke (Nullen und Einsen vertauschen), so gilt ¯c =E¯k( ¯m). Dies führt zu folgendem Angriff, bei dem nur 2 55 Schlüssel zutesten sind, wenn für einen Klartext m sowohl c = E k (m) als auch c ∗ =E k ( ¯m) bekannt sind (z.B. bei einem Chosen-Plaintext-Angriff). Mantestet dann 2 55 Schlüssel, wobei nie ein Schlüssel und sein Komplementgetestet werden (z.B. alle Schlüssel mit 0 als erstem Bit). Erhält manein ˜k mit E˜k(m) = c, so ist (sehr wahrscheinlich) k = ˜k; erhält man ein˜k mit E˜k(m) = ¯c ∗ , so ist (sehr wahrscheinlich) k = ¯˜k.d) Zur Zeit der Einführung des DES (1975) war eine vollständige Schlüsselsuchekaum denkbar. Dennoch zeigten W. Diffie und M. Hellman ineiner Arbeit 1977, dass es möglich ist, für 20 Millionen US-$ eine Maschinezu bauen, die einen DES-Schlüssel innerhalb eines Tages ermittelnwürde. (Kritik von Diffie und Hellman: Kurze Schlüssellänge von56 Bits)1997: RSA Data Security bot 10.000 US-$ demjenigen, der zuerst einenDES-chiffrierten Text knacken würde. Nach fünf Monaten wurde derSchlüssel von R. Vesper ermittelt. Methode: Tausende über das Internetverbundene Rechner arbeiteten zusammen. (25 % des Schlüsselraumsmussten durchsucht werden.)1998: Zweites DES-Challenge durch RSA Data Security. Nach 39 Tagenwurde der Schlüssel von Distributed Computing Technologies ermittelt(81 % des Schlüsselraums wurden durchsucht).1998/1999: DES-Cracker von Electronic Frontier Foundation (EEF):1536 parallel arbeitende spezielle Chips (40 MHz). Benötigt im Schnittviereinhalb Tage, um DES-Schlüssel zu ermitteln. 1515 Einzelheiten siehe Trappe und Washington [43], S. 118-12262
e) Es gibt vier sog. schwache Schlüssel beim DES. Sie haben die Eigenschaft,dass alle erzeugten Rundenschlüssel gleich sind. Die schwachenSchlüssel sind: (00000001) 8 , (11111110) 8 , (00011111) 4 (00001110) 4 ,(11100000) 4 (11110001) 4Für diese schwachen Schlüssel gilt: E k (E k (m)) = mSchwache Schlüssel müssen vermieden werden. Außerdem gibt es insgesamt12 Schlüssel, die nur zwei verschiedene Rundenschlüssel erzeugen.Diese heißen semischwache Schlüssel und sollten ebenfalls vermiedenwerden. Diese 12 Schlüssel lassen sich in 6 Paare (k 1 , k 2 ) aufteilen, sodass E k1 (E k2 (m)) = m.f) Keine der S-Boxen beschreibt eine (affin-) lineare Funktion, ebensowenigwie das gesamte DES als (affin-) lineare Funktion (bei gegebenemSchlüssel) beschrieben werden kann. Der DES ist also gegen die einfachenAngriffe, die bei (affin-) linearen Blockchiffren möglich sind, sicher.Auch gegen kryptoanalytische Angriffe, die darauf beruhen, das Verschlüsselungsverfahren(bei festem Schlüssel) durch eine lineare Funktionzu approximieren – sogenannte lineare Kryptoanalyse (Known-Plaintext-Angriff) 16 – erwies sich DES als ausreichend sicher: Für das16-Runden DES werden 2 43 Klartext-Chiffretextblockpaare benötigt,um mit dieser Methode den Schlüssel zu bestimmen 17 . Allerdings istsie besser als differentielle Kryptoanalyse (die wir in 4.10 behandeln)und vollständige Durchsuchung des Schlüsselraums. Man beachte: 2 43Blockpaare entsprechen ca. 140 TByte, das ist in etwa der Inhalt von200 Millionen Büchern.Beachte: Die Methode der linearen Kryptoanalyse war den Designernvon DES (im Gegensatz zur differentiellen Kryptoanalyse) nicht bekannt.Die S-Boxen sind bezüglich linearer Kryptoanalyse nicht optimiert.g) Jedes Chiffretextverfahren, das die Gruppeneigenschaft besitzt, wo alsodie Hintereinanderausführung zweier Verschlüsselungen mit den Schlüsselnk 1 , k 2 einer Verschlüsselung mit einem Schlüssel k 3 entspricht, hateine gewisse innere Symmetrie, die für kryptoanalytische Angriffe nutzbargemacht werden kann. Das DES hat jedoch nicht diese Eigenschaft,d.h. für die Schlüssel k 1 , k 2 ist i.a. E k1 ◦ E k2 ≠ E k3 für alle Schlüssel k 3 .16 M. Mitsui; Linear cryptoanalysis method for DES cipher, Adv. in Cryptology-EUROCRYPT ’93, Springer LNCS 765, 1994, S. 386-397.17 vgl. [38]63
Seite 1:
Universität TübingenWilhelm-Schic
Seite 5 und 6:
Abbildungsverzeichnis1 Grundschema
Seite 7 und 8:
EinleitungKryptologie: Wissenschaft
Seite 9 und 10:
1 GrundbegriffeKlartext (plaintext)
Seite 11 und 12: Bei symmetrischen Verschlüsselungs
Seite 13 und 14: • Uneingeschränkt sicher:Auch be
Seite 15 und 16: werden permutiert. Zeichen bleiben
Seite 17 und 18: 2.2 Kryptoanalyse monoalphabetische
Seite 19 und 20: Buchstabe Anzahl Häufigkeit Buchst
Seite 22 und 23: 1 2 n.. . . . . . ... .. . .. .. f(
Seite 24 und 25: Eine solche Chiffrierung heißt pol
Seite 26 und 27: Also entspricht die Häufigkeit ein
Seite 28 und 29: alle drei Monate, dann jeden Tag, d
Seite 30 und 31: EEIYWX JLNRRU UYVCJC BELDHZ YVSKFE
Seite 32 und 33: erzeugten Texten.(zum Vergleich: κ
Seite 34 und 35: d ≈0, 0377l(l − 1)κ(c) − 0,
Seite 36 und 37: kommt allerdings der in deutschen T
Seite 38 und 39: Zur Verdeutlichung dieser Tatsache
Seite 40 und 41: Dies ist eine bedingte Wahrscheinli
Seite 42 und 43: 4 Symmetrische BlockchiffrenWir bet
Seite 44 und 45: Das haben wir schon in 2.1(b) über
Seite 46 und 47: Die Dechiffrierung von w = vA + b e
Seite 48 und 49: δ > 0.Bei einem Chosen-Plaintext-A
Seite 50 und 51: 4.5 Feistel-ChiffrenFeistel-Chiffre
Seite 52 und 53: (L ′ r−1 , R′ r−1 ) = (R 1,
Seite 54 und 55: an den Positionen 8, 16, 24, . . .,
Seite 56 und 57: Schlüsselpermutation57 49 41 33 25
Seite 58 und 59: S-Box 47 13 14 3 0 6 9 10 1 2 8 5 1
Seite 60 und 61: die S-Boxen in Runde i + 1 sorgt.)W
Seite 64 und 65: Die 2 56 DES -Verschlüsselungsfunk
Seite 66 und 67: Da S-Boxen nichtlinear sind, kann g
Seite 68 und 69: auftreten. Die Nichtlinearität wä
Seite 70 und 71: ten; die S-Box verhält sich für s
Seite 72 und 73: Nur 2 Möglichkeiten für ( ¯B 1 ,
Seite 74 und 75: Wendet man mit solchen Klartextblö
Seite 76 und 77: Wie oben geschildert ist x 13 +x 11
Seite 78 und 79: Als Element von2 8 ist also x2 das
Seite 80 und 81: ) Rijndael ist eine iterierte Block
Seite 82 und 83: ⎛⎜⎝1 0 0 0 1 1 1 11 1 0 0 0 1
Seite 84 und 85: Wende auf b, c, d, a die SubBytes-T
Seite 86 und 87: Als Beispiel sei genannt:M. Gorski,
Seite 88 und 89: 5 Betriebsarten von BlockchiffrenBl
Seite 90 und 91: sind nur m i und m i+1 beeinflusst,
Seite 92 und 93: solange aus, bis der fehlerhafte Bl
Seite 94 und 95: 6.2 Selbstsynchronisierende Stromch
Seite 96 und 97: 6.3 SchieberegisterDef.:Ein (rückg
Seite 98 und 99: Beispiele:Sei K =2.a) f(x 3 , x 2 ,
Seite 100 und 101: Es gilt: Es gibt genau ϕ(2n −1)n
Seite 102 und 103: C m v 0 = v m . Daher:v m , . . .,v
Seite 104 und 105: mit den am Ende von 6.6 beschrieben
Seite 106 und 107: 6.8 Spezielle Stromchiffrena) A5-Fa
Seite 108 und 109: Ein anderer Punkt ist außerdem von
Seite 110 und 111: (3) Für jeden probabilistischen po
Seite 112 und 113:
• Die Bedingung in 7.2 für den v
Seite 114 und 115:
teilung auf {0, 1} l(n) . D kann ˜
Seite 116 und 117:
a) Kryptographisch sichere Pseudozu
Seite 118 und 119:
(a) Informationsverlust von f (d.h.
Seite 120 und 121:
Für alle x ∉ L : pr[M(x) = 0]
Seite 122 und 123:
[14] Leonore Blum, Manuel Blum and
Seite 124:
[45] Michael Welschenbach. Kryptogr
Alle anzeigen

Kryptologie und Datensicherheit - Diskrete Mathematik - UniversitÃ¤t ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?