ten; die S-Box verhält sich für solche Input-Differenzen “etwas linearer“.Dazu muss für jede S-Box <strong>und</strong> jede Input-Differenz eine Tabelle entsprechendTabelle 6 erstellt werden (insgesamt 8 · 2 6 = 512 Tabellen).Wir zeigen jetzt, wie die differentielle Kryptoanalyse funktioniert <strong>und</strong> betrachtendazu zunächst einmal den DES mit wenigen R<strong>und</strong>en, weil hier dieSituation noch überschaubar ist.b) Analyse einer DES-R<strong>und</strong>eHier spielt die Abweichung der Output-Differenzen von der Gleichverteilung(bei gegebener Input-Differenz) noch keine Rolle.Der Chosen-Plaintext-Angriff versucht aus der Kenntnis von (R, f K (R)),(R ∗ , f K (R ∗ )), . . . auf den R<strong>und</strong>enschlüssel K zu schließen. Was man dazubenötigt ist die Kenntnis von R, R ∗ <strong>und</strong> von f K (R) ⊕ f K (R ∗ ) (evtl. für meherePaare (R, R ∗ )).Bekannt sind R, R ∗ , also auch(1) e(R) = (e 1 , . . .,e 8 ) <strong>und</strong> e(R ∗ ) = (e ∗ 1 , . . .,e∗ 8 )Außerdem(2) B 1 ⊕ B ∗ 1(= e 1 ⊕ e ∗ 1), . . ., B 8 ⊕ B ∗ 8(= e 8 ⊕ e ∗ 8)(aber nicht B 1 , . . .,B 8 , B ∗ 1 , . . .,B∗ 8 )(nach (α))<strong>und</strong>(3) c 1 ⊕ c ∗ 1 , . . .,c 8 ⊕ c ∗ 8 (nach (β))Der R<strong>und</strong>enschlüssel sei K = (k 1 , . . .,k 8 ), k i ∈6 2 .Es ist(4) k i = e i ⊕ B i = e ∗ i ⊕ B∗ i , i = 1, . . .,8(da B i = e i ⊕ k i , Bi ∗ = e ∗ i ⊕ k i )70
Betrachte i = 1:B ′ 1 := B 1 ⊕ B ∗ 1 bekannt.Das Paar (B 1 , B ∗ 1 ) taucht in der Tabelle für S 1 zur Input-Differenz B ′ 1 auf.Daher kennt man alle Möglichkeiten für (B 1 , B ∗ 1 ) mit Output-Differenz c 1 ⊕c ∗ 1 =: c ′ 1.Damit erhält man für jedes mögliche B 1 einen Kandidaten e 1 ⊕ B 1 für den↑bekanntTeilschlüssel k 1 (bei e ∗ 1 ⊕ B1 ∗ ergibt sich dasselbe).Damit sind die Möglichkeiten für die ersten 6 Bit von K (das ist k 1 ) eingeschränkt.Beispiel:Angenommen R = (00101∗. . .∗1), R ∗ = (10001∗. . .∗1) <strong>und</strong> c 1 ⊕c ∗ 1 = (0110).Danne 1 = (100101), e ∗ 1 = (110001)B 1 ⊕ B1 ∗ = e 1 ⊕ e ∗ 1 = (010100) Input-Differenzc 1 ⊕ c ∗ 1 = (0110) Output-DifferenzDer Tabelle 6 entnimmt man:Möglichkeiten für (B 1 , B1 ∗) : (100010),(110110),(101010),(111110),Kandidaten für k 1 : e 1 ⊕ B 1 = (000111)(010011)(001111)(011011)⎡⎢⎣⎫⎪⎬⎪⎭(110110)(100010)(111110)(101010)⎤⎥⎦einer davon istder richtige k 1Von 2 6 = 64 Kandidaten für k 1 sind nur 4 Möglichkeiten geblieben.Wiederholt man das für ein anderes Paar R, R ∗ , so erhält man eine weitereKandidatenmenge für k 1 , die ebenfalls den richtigen k 1 enthält. Nach wenigenVersuchen hat man im Allgemeinen nur noch eine Möglichkeit für k 1 .Fortsetzung Beispiel:Angenommen ¯R = (01001∗. . .∗1), ¯R∗ = (00000∗. . .∗1) <strong>und</strong> ¯c 1 ⊕ ¯c ∗ 1 = (0001).Dannē 1 = (101001), ē ∗ 1 = (100000)¯B 1 ⊕ ¯B ∗ 1 = ē 1 ⊕ ē ∗ 1 = (001001) 71
- Seite 1:
Universität TübingenWilhelm-Schic
- Seite 5 und 6:
Abbildungsverzeichnis1 Grundschema
- Seite 7 und 8:
EinleitungKryptologie: Wissenschaft
- Seite 9 und 10:
1 GrundbegriffeKlartext (plaintext)
- Seite 11 und 12:
Bei symmetrischen Verschlüsselungs
- Seite 13 und 14:
• Uneingeschränkt sicher:Auch be
- Seite 15 und 16:
werden permutiert. Zeichen bleiben
- Seite 17 und 18:
2.2 Kryptoanalyse monoalphabetische
- Seite 19 und 20: Buchstabe Anzahl Häufigkeit Buchst
- Seite 22 und 23: 1 2 n.. . . . . . ... .. . .. .. f(
- Seite 24 und 25: Eine solche Chiffrierung heißt pol
- Seite 26 und 27: Also entspricht die Häufigkeit ein
- Seite 28 und 29: alle drei Monate, dann jeden Tag, d
- Seite 30 und 31: EEIYWX JLNRRU UYVCJC BELDHZ YVSKFE
- Seite 32 und 33: erzeugten Texten.(zum Vergleich: κ
- Seite 34 und 35: d ≈0, 0377l(l − 1)κ(c) − 0,
- Seite 36 und 37: kommt allerdings der in deutschen T
- Seite 38 und 39: Zur Verdeutlichung dieser Tatsache
- Seite 40 und 41: Dies ist eine bedingte Wahrscheinli
- Seite 42 und 43: 4 Symmetrische BlockchiffrenWir bet
- Seite 44 und 45: Das haben wir schon in 2.1(b) über
- Seite 46 und 47: Die Dechiffrierung von w = vA + b e
- Seite 48 und 49: δ > 0.Bei einem Chosen-Plaintext-A
- Seite 50 und 51: 4.5 Feistel-ChiffrenFeistel-Chiffre
- Seite 52 und 53: (L ′ r−1 , R′ r−1 ) = (R 1,
- Seite 54 und 55: an den Positionen 8, 16, 24, . . .,
- Seite 56 und 57: Schlüsselpermutation57 49 41 33 25
- Seite 58 und 59: S-Box 47 13 14 3 0 6 9 10 1 2 8 5 1
- Seite 60 und 61: die S-Boxen in Runde i + 1 sorgt.)W
- Seite 62 und 63: Sicherheit erhöhen können. Dies w
- Seite 64 und 65: Die 2 56 DES -Verschlüsselungsfunk
- Seite 66 und 67: Da S-Boxen nichtlinear sind, kann g
- Seite 68 und 69: auftreten. Die Nichtlinearität wä
- Seite 72 und 73: Nur 2 Möglichkeiten für ( ¯B 1 ,
- Seite 74 und 75: Wendet man mit solchen Klartextblö
- Seite 76 und 77: Wie oben geschildert ist x 13 +x 11
- Seite 78 und 79: Als Element von2 8 ist also x2 das
- Seite 80 und 81: ) Rijndael ist eine iterierte Block
- Seite 82 und 83: ⎛⎜⎝1 0 0 0 1 1 1 11 1 0 0 0 1
- Seite 84 und 85: Wende auf b, c, d, a die SubBytes-T
- Seite 86 und 87: Als Beispiel sei genannt:M. Gorski,
- Seite 88 und 89: 5 Betriebsarten von BlockchiffrenBl
- Seite 90 und 91: sind nur m i und m i+1 beeinflusst,
- Seite 92 und 93: solange aus, bis der fehlerhafte Bl
- Seite 94 und 95: 6.2 Selbstsynchronisierende Stromch
- Seite 96 und 97: 6.3 SchieberegisterDef.:Ein (rückg
- Seite 98 und 99: Beispiele:Sei K =2.a) f(x 3 , x 2 ,
- Seite 100 und 101: Es gilt: Es gibt genau ϕ(2n −1)n
- Seite 102 und 103: C m v 0 = v m . Daher:v m , . . .,v
- Seite 104 und 105: mit den am Ende von 6.6 beschrieben
- Seite 106 und 107: 6.8 Spezielle Stromchiffrena) A5-Fa
- Seite 108 und 109: Ein anderer Punkt ist außerdem von
- Seite 110 und 111: (3) Für jeden probabilistischen po
- Seite 112 und 113: • Die Bedingung in 7.2 für den v
- Seite 114 und 115: teilung auf {0, 1} l(n) . D kann ˜
- Seite 116 und 117: a) Kryptographisch sichere Pseudozu
- Seite 118 und 119: (a) Informationsverlust von f (d.h.
- Seite 120 und 121:
Für alle x ∉ L : pr[M(x) = 0]
- Seite 122 und 123:
[14] Leonore Blum, Manuel Blum and
- Seite 124:
[45] Michael Welschenbach. Kryptogr