Kryptologie und Datensicherheit - Diskrete Mathematik - UniversitÃ¤t ...

Weitere Magazine

Empfehlungen

Info

Nur 2 Möglichkeiten für ( ¯B 1 , ¯B 1 ∗) : (111010), [ (110011)(110011), (111010)Kandidaten für k 1 : ē 1 ⊕ ¯B 1 = (010011) ← nur dieser taucht(011010) auch oben aufAlso: k 1 = (010011).Dasselbe führt man für k 2 , . . ., k 8 durch. Dann ist der Rundenschlüssel Kbestimmt.c) Analyse des DES mit 3 Runden]L0 R0Man wählt Klartexte (L 0 , R 0 ) und (L ∗ 0 , R∗ 0 ) mit R 0 =R0, ∗ die zu (L 3 , R 3 ) bzw. (L ∗ 3, R3) ∗ verschlüsselt werden.+K1Ziel ist die Bestimmung des 56-Bit-Schlüssels k, aus demK 1 , K 2 und K 3 entstehen.L 1K2R1Tatsächlich benötigt man zur Bestimmung von K 3 (dasist das erste Ziel) nur die Kenntnis von L 0 ⊕L ∗ 0 , L 3 ⊕L ∗ 3 ,R 3 , R ∗ 3 und dass R 0 = R ∗ 0 (der Wert von R 0 wird nichtbenötigt).+Nun gilt:L 3 = L 2 ⊕ f K3 (R 2 ) = R 1 ⊕ f K3 (R 2 )= L 0 ⊕ f K1 (R 0 ) ⊕ f K3 (R 2 )L 2R 2+K3und analogL ∗ 3 = L ∗ 0 ⊕ f K1 (R ∗ 0) ⊕ f K3 (R ∗ 2).LR3 3Dann folgt (da R 0 = R ∗ 0):L 3 ⊕ L ∗ 3 = L} {{ } 0 ⊕ L ∗ 0 ⊕f} {{ }K3 (R 2 ) ⊕ f K3 (R2 ∗ )=: L ′ 3 =: L ′ 0bekannt bekanntDamit ist f K3 (R 2 ) ⊕ f K3 (R ∗ 2) bekannt und R 2 = R 3 , R ∗ 2 = R ∗ 3 sind bekannt.Die Analyse einer DES-Runde wie in b) (angewandt auf die 3. Runde) liefertjetzt den Schlüssel K 3 . (Dazu benötigt man geeignete R 2 , R2 ∗ ; daher verwendetman viele (L 0 , R 0 ), (L ∗ 0, R0), ∗ um geeignete R 2 = R 3 , R2 ∗ = R3 ∗ zuerhalten.)72
Vom 56-Bit-Schlüssel k sind damit (durch K 3 ) 48 Bit bestimmt. Die restlichen8 Bit erhält man durch 256 Versuche, indem man testet, wann (L 0 , R 0 ) auf(L 3 , R 3 ) abgebildet wird.d) Analyse des DES mit 4 RundenHier kommen nun die Nicht-Gleichverteilungen der Output-Differenzen derS-Boxen bei gegebener Input-Differenz zum Tragen. Daher ist jetzt die Wahlvon Klartextblöcken mit geeigneten Differenzen wichtig. Wir demonstrierendas Verfahren mit solch einer geeigneten Wahl.Wähle (L 0 , R 0 ) und (L ∗ 0, R ∗ 0) so, dass--R 0 ⊕ R0∗L 0 ⊕ L ∗ 0==(0100 ............ 0000)(0 ... 0 1↑230 . . .0 1↑310 ... 0)e(R 0 ) ⊕ e(R0 ∗ ) = (0010000 ... 0 ... 0 ... 0)Input-Differenzen für S-Boxen in der 1. Runde:S 1 : (001000)S i : (000000), i = 2, . . .8.Tabelle der Output-Differenzen von S 1 bei Input-Differenz (001000) :Mit Wahrscheinlichkeit 12 = 3 (relativ groß) ist Output-Differenz (0011).64 16Bei allen S i , i = 2, . . .8: Output-Differenz (0000).Anwendung P-Box Permutation:f K1 (R 0 ) ⊕ f K1 (R0) ∗ hat mit Wahrscheinlichkeit 3 an den Stellen 23 und 3116eine Eins, sonst Nullen. (An den Stellen 9, 17, 23, 31 stehen die Einträge derOutput-Differenz von S 1 .)Nach Addition von L 0 ⊕L ∗ 0 ergibt sich daher, dass R 1 ⊕R1 ∗ = (0, . . ., 0) (d.h.R 1 = R1 ∗) mit Wahrscheinlichkeit 3 gilt. 16Jede andere Kombination als 0011 an den Stellen 9, 17, 23, 31 tritt mitgeringerer Wahrscheinlichkeit auf. (An den Stellen ≠ 9, 17, 23, 31 stehen injedem Fall Nullen.)Auch mit anderer Input-Differenz R 0 ⊕ R0 ∗ und dazu passend gewähltenL 0 ⊕ L ∗ 0 kann man mit ähnlichen Wahrscheinlichkeiten R 1 ⊕ R1 ∗ = (0, . . .,0)erhalten.73
Seite 1:
Universität TübingenWilhelm-Schic
Seite 5 und 6:
Abbildungsverzeichnis1 Grundschema
Seite 7 und 8:
EinleitungKryptologie: Wissenschaft
Seite 9 und 10:
1 GrundbegriffeKlartext (plaintext)
Seite 11 und 12:
Bei symmetrischen Verschlüsselungs
Seite 13 und 14:
• Uneingeschränkt sicher:Auch be
Seite 15 und 16:
werden permutiert. Zeichen bleiben
Seite 17 und 18:
2.2 Kryptoanalyse monoalphabetische
Seite 19 und 20:
Buchstabe Anzahl Häufigkeit Buchst
Seite 22 und 23: 1 2 n.. . . . . . ... .. . .. .. f(
Seite 24 und 25: Eine solche Chiffrierung heißt pol
Seite 26 und 27: Also entspricht die Häufigkeit ein
Seite 28 und 29: alle drei Monate, dann jeden Tag, d
Seite 30 und 31: EEIYWX JLNRRU UYVCJC BELDHZ YVSKFE
Seite 32 und 33: erzeugten Texten.(zum Vergleich: κ
Seite 34 und 35: d ≈0, 0377l(l − 1)κ(c) − 0,
Seite 36 und 37: kommt allerdings der in deutschen T
Seite 38 und 39: Zur Verdeutlichung dieser Tatsache
Seite 40 und 41: Dies ist eine bedingte Wahrscheinli
Seite 42 und 43: 4 Symmetrische BlockchiffrenWir bet
Seite 44 und 45: Das haben wir schon in 2.1(b) über
Seite 46 und 47: Die Dechiffrierung von w = vA + b e
Seite 48 und 49: δ > 0.Bei einem Chosen-Plaintext-A
Seite 50 und 51: 4.5 Feistel-ChiffrenFeistel-Chiffre
Seite 52 und 53: (L ′ r−1 , R′ r−1 ) = (R 1,
Seite 54 und 55: an den Positionen 8, 16, 24, . . .,
Seite 56 und 57: Schlüsselpermutation57 49 41 33 25
Seite 58 und 59: S-Box 47 13 14 3 0 6 9 10 1 2 8 5 1
Seite 60 und 61: die S-Boxen in Runde i + 1 sorgt.)W
Seite 62 und 63: Sicherheit erhöhen können. Dies w
Seite 64 und 65: Die 2 56 DES -Verschlüsselungsfunk
Seite 66 und 67: Da S-Boxen nichtlinear sind, kann g
Seite 68 und 69: auftreten. Die Nichtlinearität wä
Seite 70 und 71: ten; die S-Box verhält sich für s
Seite 74 und 75: Wendet man mit solchen Klartextblö
Seite 76 und 77: Wie oben geschildert ist x 13 +x 11
Seite 78 und 79: Als Element von2 8 ist also x2 das
Seite 80 und 81: ) Rijndael ist eine iterierte Block
Seite 82 und 83: ⎛⎜⎝1 0 0 0 1 1 1 11 1 0 0 0 1
Seite 84 und 85: Wende auf b, c, d, a die SubBytes-T
Seite 86 und 87: Als Beispiel sei genannt:M. Gorski,
Seite 88 und 89: 5 Betriebsarten von BlockchiffrenBl
Seite 90 und 91: sind nur m i und m i+1 beeinflusst,
Seite 92 und 93: solange aus, bis der fehlerhafte Bl
Seite 94 und 95: 6.2 Selbstsynchronisierende Stromch
Seite 96 und 97: 6.3 SchieberegisterDef.:Ein (rückg
Seite 98 und 99: Beispiele:Sei K =2.a) f(x 3 , x 2 ,
Seite 100 und 101: Es gilt: Es gibt genau ϕ(2n −1)n
Seite 102 und 103: C m v 0 = v m . Daher:v m , . . .,v
Seite 104 und 105: mit den am Ende von 6.6 beschrieben
Seite 106 und 107: 6.8 Spezielle Stromchiffrena) A5-Fa
Seite 108 und 109: Ein anderer Punkt ist außerdem von
Seite 110 und 111: (3) Für jeden probabilistischen po
Seite 112 und 113: • Die Bedingung in 7.2 für den v
Seite 114 und 115: teilung auf {0, 1} l(n) . D kann ˜
Seite 116 und 117: a) Kryptographisch sichere Pseudozu
Seite 118 und 119: (a) Informationsverlust von f (d.h.
Seite 120 und 121: Für alle x ∉ L : pr[M(x) = 0]
Seite 122 und 123:
[14] Leonore Blum, Manuel Blum and
Seite 124:
[45] Michael Welschenbach. Kryptogr
Alle anzeigen

Kryptologie und Datensicherheit - Diskrete Mathematik - UniversitÃ¤t ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?