Kryptologie und Datensicherheit - Diskrete Mathematik - UniversitÃ¤t ...

Weitere Magazine

Empfehlungen

Info

Die 2 56 DES -Verschlüsselungsfunktionen erzeugen also eine größereGruppe (innerhalb der Gruppe S 2 64 aller Permutationen der 2 64 Blöckeder Länge 64 über2). Tatsächlich folgt aus Arbeiten von Coppersmith(1992) und Campbell/Wiener (1993), dass die von den DES-Verschlüsselungsfunktionen erzeugte Gruppe mindestens Ordnung 1, 94·10 2499 hat. (Beachte: |S 2 64| = (2 64 )! > 10 (1020) .)h) Aufgrund von g) kann man die Sicherheit des DES erhöhen, indem man(mit verschiedenen Schlüsseln) einen Klartext mehrmals chiffriert. Allerdingsbringt doppelte DES-Verschlüsselung kaum mehr Sicherheit.Tatsächlich hat der Schlüsselraum jetzt zwar die Größe 2 112 , aber mankann ein Schlüsselpaar (k 1 , k 2 ) mit 2 57 einfachen DES-Verschlüsselungenermitteln (mit einem enormen Aufwand an Speicherplatz). Diesgeschieht mit Hilfe des sog. Meet-in-the-Middle Angriffs, der für alleMehrfachhintereinanderausführungen symmetrischer Verschlüsselungsverfahrenfunktioniert.Wir beschreiben ihn kurz:Angenommen: Eve kennt Klartext m und doppelt chiffrierten Textc = E k1 (E k2 (m)). Sie will (k 1 , k 2 ) bestimmen.Sie berechnet und speichert alle E k (m) für alle Schlüssel k. Dann berechnetund speichert sie alle D k (c).(D k (c) = Entschlüsselung von c; bei DES: verwende die durch k erzeugtenRundenschlüssel k 1 , . . .k 16 in umgekehreter Reihenfolge.)Dann vergleicht sie die beiden Listen. Ist E k2 (m) = D k1 (c), so istE k1 (E k2 (m)) = c. Erhält man mehrere mögliche Paare (k 1 , k 2 ), so wähleweiteres Klartext-Chiffretextpaar und teste, welches der Schlüsselpaare(k 1 , k 2 ) den Klartext auf den Chiffretext abbildet.Bei N Schlüsseln (N = 2 56 bei DES) sind also 2N Berechnungen erforderlich(+N 2 Vergleiche durchzuführen). Dies ist deutlich wenigeraufwändig als N 2 Berechnungen für vollständige Schlüsselsuche. Derbenötigte Speicherplatz ist allerdings extrem groß. 18i) Aufgrund von h) wird zur Erhöhung der Sicherheit in der Praxis oftdas Triple-DES benutzt.Zwei typische Varianten:E k1 ◦ E k2 ◦ E k3 für drei Schlüssel k 1 , k 2 , k 3E k1 ◦ D k2 ◦ E k1 für zwei Schlüssel k 1 , k 2(Bei k 1 = k 2 hat man wieder das einfache DES.)18 Für Überlegungen zum Time-Space-Tradeoff vgl. Stinson [42]64
Meet-in-the-Middle Angriff erfordert jetzt etwa 2 113 Berechnungen, undder benötigte Speicherplatz ist exorbitant.4.6.4 Effizienz der DES-VerschlüsselungBei Software-Implementation ist (abhängig vom jeweils verwendeten Compiler)eine Verschlüsselungsrate von ca. 100 Mbit/sec möglich. Hardware-Implementationen sind ca. um einen Faktor 10 schneller.(∗) 4.7Differentielle Kryptoanalyse am Beispiel des DESa) Die Differentielle Kryptoanalyse ist ein Chosen-Plaintext-Angriff, der vonE. Biham und A. Shamir 1990 vorgestellt wurde ([11], [12]), aber offenbarden Entwicklern des DES schon bekannt war (siehe [18] 19 ). Wir stellen dasVerfahren zunächst für den DES mit wenigen Runden vor (ohne IP, IP −1 )und zeigen dann, wie es auf größere Rundenzahlen ausgedehnt werden kann.Wir beschreiben zunächst die Grundüberlegung.Da affin-lineare Chiffren leicht zu brechen sind (vgl. 4.3), enthält der DESnicht-lineare Anteile. In jeder Runde ist die einzige Nichtlinearität (bis aufdie Rundenschlüsseladdition - diese ist aber affin) in den S-Boxen enthalten,d.h. im Allgemeinen giltS i (B ⊕ B ∗ ) ≠ S i (B) ⊕ S i (B ∗ ).Dennoch ist die Betrachtung der binären Summen (=binären Differenzen)B ⊕ B ∗ sinnvoll. Der Grund ist folgender: In einer Runde des DES ist derRundenschlüssel K für den Angreifer die einzige Unbekannte. Kennt er denInput R ∈322 (vgl. Abbildung 9, S. 59), so auch E = e(R), aber nichtE⊕K, und daher auch nicht den Input für die S-Boxen, die P-Box, die nächsteRunde. Betrachtet man jedoch Inputs R, R ∗ und deren “Differenz“ R⊕R ∗ , sokennt man e(R)⊕e(R ∗ ) = e(R⊕R ∗ ) und e(R)⊕K⊕e(R ∗ )⊕K = e(R)⊕e(R ∗ ),d.h. für die Differenz spielt die Schlüsseladdition keine Rolle.Also:R ⊕ R ∗ bekannt ⇔B i ⊕ Bi ∗ , i = 1, . . .,8 bekannt(B i , Bi ∗ Input von S-Box S i )(α)19 online unter http://www.research.ibm.com/journal/rd/383/coppersmith.pdf65
Seite 1:
Universität TübingenWilhelm-Schic
Seite 5 und 6:
Abbildungsverzeichnis1 Grundschema
Seite 7 und 8:
EinleitungKryptologie: Wissenschaft
Seite 9 und 10:
1 GrundbegriffeKlartext (plaintext)
Seite 11 und 12:
Bei symmetrischen Verschlüsselungs
Seite 13 und 14: • Uneingeschränkt sicher:Auch be
Seite 15 und 16: werden permutiert. Zeichen bleiben
Seite 17 und 18: 2.2 Kryptoanalyse monoalphabetische
Seite 19 und 20: Buchstabe Anzahl Häufigkeit Buchst
Seite 22 und 23: 1 2 n.. . . . . . ... .. . .. .. f(
Seite 24 und 25: Eine solche Chiffrierung heißt pol
Seite 26 und 27: Also entspricht die Häufigkeit ein
Seite 28 und 29: alle drei Monate, dann jeden Tag, d
Seite 30 und 31: EEIYWX JLNRRU UYVCJC BELDHZ YVSKFE
Seite 32 und 33: erzeugten Texten.(zum Vergleich: κ
Seite 34 und 35: d ≈0, 0377l(l − 1)κ(c) − 0,
Seite 36 und 37: kommt allerdings der in deutschen T
Seite 38 und 39: Zur Verdeutlichung dieser Tatsache
Seite 40 und 41: Dies ist eine bedingte Wahrscheinli
Seite 42 und 43: 4 Symmetrische BlockchiffrenWir bet
Seite 44 und 45: Das haben wir schon in 2.1(b) über
Seite 46 und 47: Die Dechiffrierung von w = vA + b e
Seite 48 und 49: δ > 0.Bei einem Chosen-Plaintext-A
Seite 50 und 51: 4.5 Feistel-ChiffrenFeistel-Chiffre
Seite 52 und 53: (L ′ r−1 , R′ r−1 ) = (R 1,
Seite 54 und 55: an den Positionen 8, 16, 24, . . .,
Seite 56 und 57: Schlüsselpermutation57 49 41 33 25
Seite 58 und 59: S-Box 47 13 14 3 0 6 9 10 1 2 8 5 1
Seite 60 und 61: die S-Boxen in Runde i + 1 sorgt.)W
Seite 62 und 63: Sicherheit erhöhen können. Dies w
Seite 66 und 67: Da S-Boxen nichtlinear sind, kann g
Seite 68 und 69: auftreten. Die Nichtlinearität wä
Seite 70 und 71: ten; die S-Box verhält sich für s
Seite 72 und 73: Nur 2 Möglichkeiten für ( ¯B 1 ,
Seite 74 und 75: Wendet man mit solchen Klartextblö
Seite 76 und 77: Wie oben geschildert ist x 13 +x 11
Seite 78 und 79: Als Element von2 8 ist also x2 das
Seite 80 und 81: ) Rijndael ist eine iterierte Block
Seite 82 und 83: ⎛⎜⎝1 0 0 0 1 1 1 11 1 0 0 0 1
Seite 84 und 85: Wende auf b, c, d, a die SubBytes-T
Seite 86 und 87: Als Beispiel sei genannt:M. Gorski,
Seite 88 und 89: 5 Betriebsarten von BlockchiffrenBl
Seite 90 und 91: sind nur m i und m i+1 beeinflusst,
Seite 92 und 93: solange aus, bis der fehlerhafte Bl
Seite 94 und 95: 6.2 Selbstsynchronisierende Stromch
Seite 96 und 97: 6.3 SchieberegisterDef.:Ein (rückg
Seite 98 und 99: Beispiele:Sei K =2.a) f(x 3 , x 2 ,
Seite 100 und 101: Es gilt: Es gibt genau ϕ(2n −1)n
Seite 102 und 103: C m v 0 = v m . Daher:v m , . . .,v
Seite 104 und 105: mit den am Ende von 6.6 beschrieben
Seite 106 und 107: 6.8 Spezielle Stromchiffrena) A5-Fa
Seite 108 und 109: Ein anderer Punkt ist außerdem von
Seite 110 und 111: (3) Für jeden probabilistischen po
Seite 112 und 113: • Die Bedingung in 7.2 für den v
Seite 114 und 115:
teilung auf {0, 1} l(n) . D kann ˜
Seite 116 und 117:
a) Kryptographisch sichere Pseudozu
Seite 118 und 119:
(a) Informationsverlust von f (d.h.
Seite 120 und 121:
Für alle x ∉ L : pr[M(x) = 0]
Seite 122 und 123:
[14] Leonore Blum, Manuel Blum and
Seite 124:
[45] Michael Welschenbach. Kryptogr
Alle anzeigen

Kryptologie und Datensicherheit - Diskrete Mathematik - UniversitÃ¤t ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?