Wendet man mit solchen Klartextblöcken die 3-R<strong>und</strong>en-Kryptoanalyse aufdie R<strong>und</strong>en 2, 3, 4 an (beachte: L 1 = R 0 , L ∗ 1 = R∗ 0 , L 4, L ∗ 4 , R 4, R4 ∗ bekannt)[dort wird vorausgesetzt, dass R 1 = R1, ∗ 3was in ca. der Fälle16zutrifft], so erhalten wir Kandidatenmengen, die in etwa 3 der Fälle den16richtigen R<strong>und</strong>enschlüssel K 4 enthalten. In den übrigen 13 der Fälle liefert16die 3-R<strong>und</strong>en-Kryptoanalyse irgendwelche Kandidatenmengen von zufälligen48-Bit-Strings.Daher: Bei genügend vielen Versuchen tritt K 4 deutlich häufiger auf als alleübrigen 48-Bit-Strings <strong>und</strong> wird erkannt.e) Differentielle Kryptoanalyse bei größeren R<strong>und</strong>enzahlenMan gibt gewisse L ′ 0, R ′ 0, . . .,L ′ t, R ′ t vor <strong>und</strong> berechnet Wahrscheinlichkeitenp i folgendermaßen:Falls nach R<strong>und</strong>e i−1 zwei Blöcke (L i−1 , R i−1 ), (L ∗ i−1, Ri−1) ∗ mit L i−1 ⊕L ∗ i−1 =L ′ i−1 <strong>und</strong> R i−1 ⊕ Ri−1 ∗ = R′ i−1 in R<strong>und</strong>e i verschlüsselt werden, so ist dieWahrscheinlichkeit, dassgilt, gerade p i .L i ⊕ L ∗ i = L′ i <strong>und</strong> R i ⊕ R ∗ i = R′ iDie Liste L ′ 0, R ′ 0, L ′ 1, R ′ 1, p 1 , . . .,L ′ t, R ′ t, p t heißt t-R<strong>und</strong>en-Charakteristik.Sind die p i unabhängig voneinander (nicht streng erfüllt, da R<strong>und</strong>enschlüsselnicht voneinander unabhängig), so ist ∏ ti=1 p i die Wahrscheinlichkeit, dassaus L ′ 0 , R′ 0 am Ende L′ t , R′ t entsteht.Wähle bei R<strong>und</strong>enzahl r eine (r − 3)-R<strong>und</strong>en-Charakteristik mit möglichsthohem p = ∏ r−3i=1 p i <strong>und</strong> wende 3-R<strong>und</strong>en-Kryptoanalyse auf die letzten 3R<strong>und</strong>en an.Macht man das mit sehr vielen Klartext-Chiffretext-Paaren, sollte der letzteR<strong>und</strong>enschlüssel in den Kandidatenmengen häufiger auftauchen als dieübrigen 48-Bit-Strings.Beachte: Je größer r, desto kleiner p, also umso mehr Paare erforderlich.Bei r = 16 ist differentielle Kryptoanalyse nicht (wesentlich) effektiver alsvollständige Schlüsselsuche. Dies zeigt auch, dass das Design der S-Boxen<strong>und</strong> die R<strong>und</strong>enanzahl von den Entwicklern der DES aufgr<strong>und</strong> der Kenntnisder differentiellen Kryptoanalyse gewählt wurde (vgl. [18]).74
(Mit geeigneten Verbesserungen benötigt man 2 47 gewählte Klartexte; diesist besser als 2 55 Versuche bei vollständiger Schlüsselsuche.)Weitere Einzelheiten: [13], [27, Kapitel 3.4] 20 , [38, Kapitel 5].Zur Beschreibung des AES benötigen wir einige Hilfsmittel über endlicheKörper.4.8 Endliche Körpera) Ein Körper K ist ein kommutativer Ring mit Eins, in dem jedes Elementb ≠ 0 ein Inverses b −1 bezüglich der Multiplikation besitzt.b) Ist |K| endlich, so ist |K| = p a , p eine Primzahl. Dann ist 1 + . . . + 1←− p −→0.c) Zu jeder Primzahlpotenz gibt es genau einen Körper dieser Ordnung(bis auf Isomorphie).d) Für |K| = p ist K ∼ =p.e) Konstruktion von Körpern der Ordnung p a , a > 1 (Bezeichnung:p a):Sei m(x) ∈p[x] ein (überp) irreduzibles Polynom vom Grad a.Ein Körper mit p a Elementen ist dannp a = {Polynome inp[x] vomGrad < a}, versehen mit der üblichen Addition. Die Multiplikation ⊙geschieht wie üblich, mit anschließender Reduktion mod m(x); dabeiliefert die Reduktion eines Polynoms a(x) (mod m(x)) den Rest r(x)bei der Division von a(x) durch m(x): Ist also a(x) = q(x) · m(x) +r(x), Grad r(x) < Grad m(x) (wobei Grad 0 = −1), dann ist r(x) =a(x) mod m(x).Beispiel: Konstruktion von2 8:m(x) = x 8 + x 4 + x 3 + x + 1 ist irreduzibel über2.(x 6 + x 4 + x 2 + x + 1) ⊙ (x 7 + x + 1)= x 13 + x 11 + x 9 + x 8 + x 7 + x 7 + x 5 + x 3 + x 2 + x ++ x 6 + x 4 + x 2 + x + 1 mod m(x)= x 13 + x 11 + x 9 + x 8 + x 6 + x 5 + x 4 + x 3 + 1 mod m(x)20 dort werden auch Design-Prinzipien für S-Boxen angegeben: Kapitel 3.6=75
- Seite 1:
Universität TübingenWilhelm-Schic
- Seite 5 und 6:
Abbildungsverzeichnis1 Grundschema
- Seite 7 und 8:
EinleitungKryptologie: Wissenschaft
- Seite 9 und 10:
1 GrundbegriffeKlartext (plaintext)
- Seite 11 und 12:
Bei symmetrischen Verschlüsselungs
- Seite 13 und 14:
• Uneingeschränkt sicher:Auch be
- Seite 15 und 16:
werden permutiert. Zeichen bleiben
- Seite 17 und 18:
2.2 Kryptoanalyse monoalphabetische
- Seite 19 und 20:
Buchstabe Anzahl Häufigkeit Buchst
- Seite 22 und 23:
1 2 n.. . . . . . ... .. . .. .. f(
- Seite 24 und 25: Eine solche Chiffrierung heißt pol
- Seite 26 und 27: Also entspricht die Häufigkeit ein
- Seite 28 und 29: alle drei Monate, dann jeden Tag, d
- Seite 30 und 31: EEIYWX JLNRRU UYVCJC BELDHZ YVSKFE
- Seite 32 und 33: erzeugten Texten.(zum Vergleich: κ
- Seite 34 und 35: d ≈0, 0377l(l − 1)κ(c) − 0,
- Seite 36 und 37: kommt allerdings der in deutschen T
- Seite 38 und 39: Zur Verdeutlichung dieser Tatsache
- Seite 40 und 41: Dies ist eine bedingte Wahrscheinli
- Seite 42 und 43: 4 Symmetrische BlockchiffrenWir bet
- Seite 44 und 45: Das haben wir schon in 2.1(b) über
- Seite 46 und 47: Die Dechiffrierung von w = vA + b e
- Seite 48 und 49: δ > 0.Bei einem Chosen-Plaintext-A
- Seite 50 und 51: 4.5 Feistel-ChiffrenFeistel-Chiffre
- Seite 52 und 53: (L ′ r−1 , R′ r−1 ) = (R 1,
- Seite 54 und 55: an den Positionen 8, 16, 24, . . .,
- Seite 56 und 57: Schlüsselpermutation57 49 41 33 25
- Seite 58 und 59: S-Box 47 13 14 3 0 6 9 10 1 2 8 5 1
- Seite 60 und 61: die S-Boxen in Runde i + 1 sorgt.)W
- Seite 62 und 63: Sicherheit erhöhen können. Dies w
- Seite 64 und 65: Die 2 56 DES -Verschlüsselungsfunk
- Seite 66 und 67: Da S-Boxen nichtlinear sind, kann g
- Seite 68 und 69: auftreten. Die Nichtlinearität wä
- Seite 70 und 71: ten; die S-Box verhält sich für s
- Seite 72 und 73: Nur 2 Möglichkeiten für ( ¯B 1 ,
- Seite 76 und 77: Wie oben geschildert ist x 13 +x 11
- Seite 78 und 79: Als Element von2 8 ist also x2 das
- Seite 80 und 81: ) Rijndael ist eine iterierte Block
- Seite 82 und 83: ⎛⎜⎝1 0 0 0 1 1 1 11 1 0 0 0 1
- Seite 84 und 85: Wende auf b, c, d, a die SubBytes-T
- Seite 86 und 87: Als Beispiel sei genannt:M. Gorski,
- Seite 88 und 89: 5 Betriebsarten von BlockchiffrenBl
- Seite 90 und 91: sind nur m i und m i+1 beeinflusst,
- Seite 92 und 93: solange aus, bis der fehlerhafte Bl
- Seite 94 und 95: 6.2 Selbstsynchronisierende Stromch
- Seite 96 und 97: 6.3 SchieberegisterDef.:Ein (rückg
- Seite 98 und 99: Beispiele:Sei K =2.a) f(x 3 , x 2 ,
- Seite 100 und 101: Es gilt: Es gibt genau ϕ(2n −1)n
- Seite 102 und 103: C m v 0 = v m . Daher:v m , . . .,v
- Seite 104 und 105: mit den am Ende von 6.6 beschrieben
- Seite 106 und 107: 6.8 Spezielle Stromchiffrena) A5-Fa
- Seite 108 und 109: Ein anderer Punkt ist außerdem von
- Seite 110 und 111: (3) Für jeden probabilistischen po
- Seite 112 und 113: • Die Bedingung in 7.2 für den v
- Seite 114 und 115: teilung auf {0, 1} l(n) . D kann ˜
- Seite 116 und 117: a) Kryptographisch sichere Pseudozu
- Seite 118 und 119: (a) Informationsverlust von f (d.h.
- Seite 120 und 121: Für alle x ∉ L : pr[M(x) = 0]
- Seite 122 und 123: [14] Leonore Blum, Manuel Blum and
- Seite 124:
[45] Michael Welschenbach. Kryptogr