Kryptographie und Kryptoanalyse

Kryptographie und Kryptoanalyse 

Überblick über die Vorlesung 

SS 2012 

Dr.-Ing. Elke Franz 

Elke.Franz@tu-dresden.de 

Organisatorisches 

• Vorlesung: Mittwoch, 3. DS, INF/E09 

• Übung: Mittwoch, 1. DS, INF/E07 

(2. Woche, Beginn: 18.04.2012) 

• Art der Prüfung: mündliche Prüfung / Modulprüfung / 

Schein 

• Lehrmaterialien: Folienskript, Übungsaufgaben 

Literaturhinweise 

• Webseite: dud.inf.tu-dresden.de 



Ziele dieser Vorlesung 

(Studium Lehrveranstaltungen 

Sommersemester) 

• Vermittlung grundlegender Aspekte der Kryptographie 

– Was kann man mit Kryptographie erreichen? 

– Wie kann man es prinzipiell erreichen? 

– Wie kann man das Erreichte beurteilen? 

• Vermittlung vertiefter Kenntnisse über kryptographische 

Verfahren und deren Sicherheit 

– Ausgewählte kryptographische Verfahren 

– Ansätze zur Analyse dieser Verfahren 

– Anforderungen an die sichere Verwendung unter Beachtung 

möglicher Angriffe 


1 

2 

3 

1


1. Einführung 

– Begriffe 

– Bedrohungen 

– Schutzziele 

2. Grundlagen 

– Mathematische Beschreibung 

– Typen kryptographischer Systeme 

– Überblick über Angriffe 

– Sicherheit kryptographischer Systeme 

3. Klassische Verfahren 

– Transpositionen 

– MM-Substitutionen 

– PM-Substitutionen 



3. Symmetrische Verfahren 

– Blockchiffren 

– Feistel-Chiffre 

– Kryptographische Güte 

– DES / 3-DES 

– AES 

– Betriebsarten 

4. Asymmetrische Verfahren 

– Grundlagen 

– Diffie-Hellman-Schlüsselaustausch 

– ElGamal 

– RSA 

– Kryptosysteme auf Basis elliptischer Kurven 


1 Einführung – Begriffe 


Kryptologie 

Kryptographie Kryptoanalyse 

Kryptographie (griech. „kryptos“+ „graphein“) 

Wissenschaft von den Methoden der Ver- und 

Entschlüsselung von Informationen. 

Kryptoanalyse (griech. „kryptos“+ „analyein“) 

Wissenschaft vom Entschlüsseln von Nachrichten ohne 

Kenntnis dazu notwendiger geheimer Informationen. 

4 

5 

6 

2

1 Einführung – Begriffe 

Einordnung von Kryptographie als Schutzmechanismus 

• IT-Sicherheit 

– IT-System soll sich trotz unerwünschter Ereignisse so verhalten 

wie erwartet 

Schutz vor unerwünschten Ereignissen 

Unbeabsichtigte 

Fehler und 

Ereignisse 

1 Einführung – Bedrohungen 

Unerwünschte Ereignisse 

Mögliche Bedrohungen durch Angriffe 


Beabsichtigte 

Angriffe 

• Unbefugte Kenntnisnahme der Informationen 

• Verfälschen von Informationen (bei Nachrichten auch von 

deren Absendern) 

• Stören der Verfügbarkeit 

1 Einführung – Schutzziele 

Charakteristik der Bedrohungen 

• Unbefugter Informationsgewinn 

Verlust der Vertraulichkeit 

• Unbefugte Modifikation 

der Information 

Verlust der Integrität 

• Beeinträchtigung der 

Funktionalität 

Verlust der Verfügbarkeit 


Nicht erkennbar, 

aber verhinderbar 

Nicht verhinderbar, 

aber erkennbar 

8 

9 

3


Unterteilung der Schutzziele 

Unerwünschtes 

verhindern 

Erwünschtes 

leisten 



Inhalte Umstände 

Vertraulichkeit 

Verdecktheit 

Anonymität 

Unbeobachtbarkeit 

Integrität Zurechenbarkeit 

Verfügbarkeit 

Erreichbarkeit 

Verbindlichkeit 

Mittels Kryptographie erreichbare Schutzziele 

• Vertraulichkeit 

Informationen werden nur Berechtigten bekannt. 

• Integrität 

Informationen können nicht unerkannt modifiziert werden. 

• Zurechenbarkeit 

Dem Sender einer Nachricht kann das Senden (auch gegenüber 

Dritten) nachgewiesen werden. 

(Nachweis des Empfangs sowie des Zeitpunktes des 

Sendens/Empfangens erfordert weitere Maßnahmen.) 


1 Einführung - Schutzziele 

Einordnung von Kryptographie in das Modell der 

gestörten Informationsübertragung 

Quelle 

Senke 

Quellenkodierung 

Quellendekodierung 


Kryptographie 

Kanalkodierung 

Kanaldekodierung 

Kanal 

10 

11 

Störung 

12 

4




– Mathematische Beschreibung 

– Typen kryptographischer Systeme 

– Überblick über Angriffe 

– Sicherheit kryptographischer Systeme 





2 Grundlagen – Mathematische Beschreibung 

Vertrauensbereich 

des Senders (Alice) 

Nachricht 

m M 

Hallo, ... 

Schlüssel 

ke K 

Verschlüsselungsfkt. 

enc ENC 


Unsicherer 

Kanal: 

Angriffsbereich 

Schlüsseltext 

c C 

c = enc(ke,m) g9b02... 

Nachricht 

Hallo, ... 

13 

Vertrauensbereich des 

Empfängers (Bob) 

Schlüssel 

k d K 

Entschlüsselungsfkt. 

dec DEC 


Kryptosystem (M, C, K, Enc, Dec) 

• Nachrichtenraum M: 

endliche Menge möglicher Nachrichten 

(Klartexte; messages) 

• Schlüsseltextraum C: 

endliche Menge möglicher Schlüsseltexte 

(Kryptogramme, Chiffrate, Chiffretexte; ciphertexts) 

• Schlüsselraum K: 

endliche Menge möglicher Schlüssel (keys) 

• Funktionsräume 

Enc (Verschlüsselung, encryption) 

und Dec (Entschlüsselung, decryption) 


m = dec(k d,c) 

14 

15 

5


Alphabet 

• endliche, nichtleere, totalgeordnete Menge 

A = {a 0, a 1, a 2, …, a l-1} 

Alphabet mit l Elementen 

a i : Zeichen bzw. Buchstaben 

m = (m 0m 1m 2 … m n-1) mit m i A, m A n 

Wort der Länge n über dem Alphabet A 

A n : Menge aller Wörter über A mit der max. Länge n 

• Nachrichten, Schlüsseltexte, Schlüssel: 

endliche Folgen bzw. Worte über den zugrunde liegenden 

Alphabeten A M, A C, A K 



Funktion 

• allgemein f: X Y; f(x) = y 

X: Definitionsbereich, Y: Wertebereich 

• Eigenschaften 

–injektiv: " x, x’ X. f(x)= f(x’) x = x’ 

–surjektiv: " y Y .$ x X f(x)= y 

– bijektiv: injektiv und surjektiv 

• Umkehrfunktion bzw. inverse Funktion 

f bijektiv inverse Funktion g = f -1 : 

" y Y. g(y) = x mit x X und f(x) = y 



Ver- und Entschlüsselungsfunktionen 

• n, l N; A, B Alphabete 

• m M = A n Nachricht, c C = B l Schlüsseltext 

• Verschlüsselung: c = enc(ke,m) bzw. c = enck (m) 

enc Enc: M μ K C bzw. An x K Bl e 

• Entschlüsselung: m = dec(kd,c) bzw. m = deck (c) 

dec Dec: C μ K M bzw. Bl x K An d 

Verhältnis l/n: Expansionsfaktor 

n = l: Kryptofunktion heißt längentreu 


16 

17 

18 

6


Kerckhoffs-Prinzip 

Die Sicherheit eines Verfahrens darf nicht von der 

Geheimhaltung des Verfahrens abhängen, sondern nur von 

der Geheimhaltung des Schlüssels. 

[Auguste Kerkhoffs: La Cryptographie militaire. Journal des 

Sciences Militaires, Januar 1883.] 

• Keine „Security by Obscurity“ 

• Annahme: Angreifer kennt das Verfahren und die öffentlichen 

Parameter 

• Sicherheit des Verfahrens begrenzt durch 

– Sicherheit der Schlüsselgenerierung und 

– Sicherheit des Schlüsselaustauschs 


2 Grundlagen – Einteilung kryptographischer Systeme 

Kriterien für eine Einteilung 

• Zweck 

– Konzelationssysteme 

Systeme zum Schutz der Vertraulichkeit der Daten 

– Authentikationssysteme 

Systeme zum Schutz der Integrität der Daten 

- digitale Signatursysteme (spezielle Authentikationssysteme) 

Systeme zur Realisierung von Zurechenbarkeit von Daten 

• Schlüsselverteilung 

– Symmetrische Verfahren: k e = k d 

– Asymmetrische Verfahren: k e k d 

Notation: 

k A,B: symmetrischer Schlüssel für Kommunikation 

zwischen Teilnehmern A und B 

k e,A/k d,A: Schlüssel zur Ver-/Entschlüsselung des Teilnehmers 

A (asymmetrisches System) 


2 Grundlagen – Typen kryptographischer Systeme 

Symmetrisches Konzelationssystem 

geheimer 

Schlüssel 

k A,B 



c 

c ú enc(kA,B,m) Zufallszahl r 

Schlüssel- kA,B ú 

generierung keygen(r) 

Alice Bob 

Nachricht 

m 

Verschlüsselung 

enc 


Sicherer Kanal für Schlüsselaustausch 


Entschlüsselung 

dec 

geheimer 

Schlüssel 

k A,B 

19 

20 

Nachricht 

m ú dec(kA,B,c) öffentlich bekannter Algorithmus 

21 

7


Symmetrisches Konzelationssystem 

Alice Bob 



• Schlüsselaustausch 

– Notwendig: sicherer Kanal für Schlüsselaustausch 

– Offenes System: Sender und Empfänger können sich nicht 

vorab treffen 

Lösung: Schlüsselverteilzentrale X 

• Jeder Teilnehmer (z.B. A) meldet sich an und tauscht einen 

geheimen Schlüssel k A,X mit X aus 

• Kommunikation mit Teilnehmer B: Anfrage an X nach 

geheimem Schlüssel k A,B 

• X generiert Schlüssel k A,B und sendet ihn an A und B 

• Problem: X kann alle Nachrichten lesen 

• Verbesserung: verschiedene Schlüsselverteilzentralen 

verwenden und geheime Schlüssel lokal berechnen 



Symmetrisches 

Authentikationssystem 

Alice 

geheimer 

Schlüssel 

kA,B Nachricht 

m 

MAC 

berechnen 

auth 


Sicherer Kanal für Schlüsselaustausch 



Nachricht, MAC 

(message authentication 

code) 

m, MAC 

MAC ú auth(kA,B,m) Zufallszahl r 

Schlüsselgenerierung 

k A,B ú 

keygen(r) 

geheimer 

Schlüssel 

k A,B 

22 

23 

Bob 

? 

auth(kA,B,m) = 

MAC testen 

MAC 

öffentlich bekannter Algorithmus 

24 

8


Asymmetrisches 

Konzelationssystem 

Nachr. m 

öffentlicher 

Schlüssel 

k e,B 

Zufallsz. r’ 


enc 




c 

c ú enc(ke,B,m, r’) 


dec 

Zufallszahl r 


(k e,B, k d,B)ú 

keygen(r) 

Alice Bob 

privater 

Schlüssel 

k d,B 

Nachricht 

m ú dec(k d,B,c) 

Vertrauensbereich öffentlich bekannter Algorithmus 



– Jeder Teilnehmer generiert eigenes Schlüsselpaar – kein (gegen 

Abhören) sicherer Kanal für Schlüsselaustausch notwendig 

– Verteilung der öffentlichen Schlüssel: veröffentlichen 

Andere Möglichkeit: Öffentliches Schlüsselregister R 

• Jeder Teilnehmer (z.B. A) trägt seinen öffentlichen Schlüsel 

ein (k e,A) 

• Teilnehmer B will mit A kommunizieren: bittet R um 

öffentlichen Schlüssel k e,A von A 

• B erhält k e,A, beglaubigt durch die Signatur von R; 

R beglaubigt Zusammenhang zwischen A und k e,A 

• Problem: einzelnes Register R hat Möglichkeit für aktiven Angriff 

• Verbesserung: verschiedene Register verwenden 



Asymmetrisches Authentikationssystem 

(Digitales Signatursystem) 


Zufallszahl r 


(k s,B, k t,B) := 

keygen(r) 

Alice Bob 

öffentlicher 

Schlüssel 


privater 

Schlüssel 

kt,B ks,B test(kt,B ,m, s) 

{true, false} 

Testen 

test 

Nachricht, Signatur 

m, s 

s := sign(ks,B,m, r’) 

Signieren 

sign 

Nachr. m 

Zufallsz. r’ 

Vertrauensbereich öffentlich bekannter Algorithmus 

25 

26 

27 

9



– Jeder Teilnehmer generiert eigenes Schlüsselpaar – kein (gegen 

Abhören) sicherer Kanal für Schlüsselaustausch notwendig 

– Direkter Schlüsselaustausch nicht ausreichend für 

Zurechenbarkeit ( Schlüsselzertifikat, Zertifizierungsinstanz / 

certification authority, CA) 

– Weitere Anforderung: Konsistenz 

– Konsistenz unterstützen: 

Teilnehmer, der Schlüsselzertifikat für seinen öffentlichen 

Schlüssel möchte, weist Kenntnis des zugehörigen privaten 

Schlüssels nach 



Hybrides Konzelationssystem 

geheimer Schlüssel 

(session key) k A,B 

Nachricht 

m 

enc 

c 2 

enc 


öffentlicher 

Schlüssel 

ke,B c1 dec 

c 1, c 2 

c 1 = enc(k e,B,k A,B), c 2 = enc(k A,B,m) 

privater 

Schlüssel 

k d,B 


Sicherer Kanal für 

Schlüsselaustausch 

erforderlich? 


Symmetrische 

Verfahren 

Ja 

dec 

Asymmetrische 

Verfahren 

28 

k A,B = dec(k d,B,c 1) 

Nachricht 

m = dec(k A,B,c 2) 

Nein (allerdings: 

Zuordnung der 

öffentlichen Schlüssel) 

Performance In der Regel sehr gut Weniger gut 

Mögliche Einsatzgebiete 

Konzelation 


Symmetrische 

Authentikation (MAC) 

Integrität 

Konzelation 


Digitale Signatursysteme 

Integrität 

Zurechenbarkeit 

29 

30 

10

2 Grundlagen – Überblick über Angriffe 

Generelle Aspekte der Kryptoanalyse 

• Ziel und Erfolg des Angriffs 

• Klassifizierung von Angriffen 

• Nicht Gegenstand der Kryptoanalyse: 

– Implementierung und Einsatz des Verfahrens 

– Organisatorische Sicherheit 

… aber natürlich relevant für die Sicherheit 

• Angriffserfolg ganz allgemein 

– Konzelationssysteme: Vertraulichkeit verletzt 

(Inhalt/Informationen über verschlüsselte Nachricht ermittelt) 

– Authentikationssysteme: Nachricht unentdeckt modifiziert 

(gültigen MAC bzw. Signatur für modifizierte/selbst gewählte 

Nachricht generiert) 



Ziel und Erfolg des Angriffs 

• Finden des geheimen Schlüssels (vollständiges Brechen, 

total break) 

• Finden eines zum Schlüssel äquivalenten Verfahrens 

(universelles Brechen, universal break) 

• Brechen nur für manche Nachrichten (nachrichtenbezogenes 

Brechen): 

– für eine selbstgewählte Nachricht (selective break) 

– für irgendeine Nachricht (existential break) 

• Unterscheidung für universelles und nachrichtenbezogenes 

Brechen von Konzelationssystemen: 

– Komplette Entschlüsselung 

– Partielle Entschlüsselung 



Generell: Kein Schutz vor einem allmächtigen Angreifer! 

Ein allmächtiger Angreifer … 

• kann alle ihn interessierenden Daten erfassen 

• kann Daten unbemerkt ändern 

• kann die Verfügbarkeit des Systems durch physische Zerstörung 

beeinträchtigen 

Angreifermodell 

Angabe der maximal berücksichtigten Stärke eines Angreifers, d.h., 

Stärke des Angreifers, gegen die ein bestimmter 

Schutzmechanismus gerade noch sicher ist 


31 

32 

33 

11


Inhalt des Angreifermodells 

• Rollen des Angreifers 

(Nutzer, Außenstehender, …) 

• Verbreitung des Angreifers 

(kontrollierte Subsysteme, Leitungen, …) 

• Verhalten des Angreifers 

(passiv/aktiv, beobachtend/verändernd) 

• Rechenkapazität 

(komplexitätstheoretisch (un)beschränkt) 

• Verfügbare Mittel 

(Zeit, Geld) 



Annahmen über Wissen und Möglichkeiten des Angreifers 

Passiver Angreifer Aktiver Angreifer 

Algorithmus 

System 

Protokoll 

Implementierung der Implementierung der 

geheimen Operation öffentlichen Operation 

Beobachtung (unsicherer Kanal) 

Zugriff auf Schnittstellen 

der Implementierung 

der geheimen 

Operation 

Kenntnis des Angreifers wird vorausgesetzt 

Vertrauensbereich – nicht zugänglich für Angreifer 

Angreifer hat vollen Zugriff (Kenntnis und Benutzung) 

Angreifer hat Zugriff auf die Schnittstellen (ggf. beschränkt) 




34 

Algorithmus 

System 

Protokoll 

Implementierung der Implementierung der 

geheimen Operation öffentlichen Operation 

Beobachtung (unsicherer Kanal) 

Zugriff auf Schnittstellen 

der Implementierung 

der geheimen 

Operation 

Klassifizierung von Angriffen (Konzelationssysteme) 

• Passive Angriffe 

– Reiner Schlüsseltext-Angriff 

ke kd (ciphertext-only attack) 

– Klartext-Schlüsseltext-Angriff 

(known-plaintext attack) 

m 

enc 

c 

dec 

m 

• Aktive Angriffe 

– Gewählter Klartext-Schlüsseltext-Angriff 

(chosen-plaintext attack CPA; „Verschlüsselungsorakel“) 

– Gewählter Schlüsseltext-Klartext-Angriff 

(chosen-ciphertext attack; „Entschlüsselungsorakel“) 

CCA1 (auch als „lunchtime“, „lunch-break“ oder „midnight 

attack“ bezeichnet) 

• Weiteres Kriterium: Adaptivität 

CCA2 

35 

36 

12


Übersicht über die Angriffstypen 

Angreifer kennt 

System und ... 

Passive Angriffe 

Aktive Angriffe 


Konzelationssysteme Authentikationssysteme 

symmetrisch asymmetrisch symmetrisch asymmetrisch 

c c; k e m, a m, s; k t 

Key only attack Key only attack 

Ciphertext only attack 

Known plaintext attack Known message attack 

Chosen 

plaintext attack 

Chosen message attack 

Chosen ciphertext attack 

2 Grundlagen – Sicherheit kryptographischer Systeme 

Klassifizierung von Kryptosystemen nach ihrer Sicherheit 

• informationstheoretisch sicher 

Auch einem unbeschränkten Angreifer gelingt es nicht, das 

System zu brechen. 

(„unconditional security“, „perfect secrecy“) 

• beste erreichbare Sicherheit 

• Verschiedene Begriffe zur Bewertung der Sicherheit der 

übrigen Systeme 

• Annahmen über Möglichkeiten des Angreifers, Betrachtung 

der Sicherheit unter bestimmten Angriffen 



Informationstheoretische (perfekte) Sicherheit 

[Claude Shannon: Communication Theory of Secrecy Systems. Bell 

Systems Technical Journal, 28(1949), 656-715.] 

• Informelle Beschreibung (bzgl. Konzelationssystem): 

Selbst ein unbeschränkter Angreifer gewinnt aus seinen 

Beobachtungen keinerlei zusätzliche Informationen über 

Klartext oder Schlüssel. 

• „unbeschränkt“: beliebiger Rechen- und Zeitaufwand 

• „zusätzliche Informationen“: nicht besser als bloßes Raten 


37 

38 

39 

13


Definition der informationstheoretischen Sicherheit 

• a priori Wissen p(m): 

Wissen des Angreifers über mögliche Nachrichten vor einer 

Beobachtung (als bekannt vorausgesetzt) 

• a posteriori Wissen p(m|c): 

Wissen des Angreifers über mögliche Nachrichten nach der 

Beobachtung des gesendeten Schlüsseltexts 

Ein System heißt informationstheoretisch sicher, wenn für 

alle Nachrichten und Schlüsseltexte gilt, dass die a posteriori 

Wahrscheinlichkeiten p(m|c) der möglichen Nachrichten nach 

Beobachtung eines gesendeten Geheimtextes gleich der a 

priori Wahrscheinlichkeiten p(m) dieser Nachrichten sind: 



" m M " c C: p(m|c) = p(m). 


• Berechnung der a posterioi Wahrscheinlichkeiten p(m|c) nach 

dem Theorem von Bayes: 

p 

| 

mc p 

mpc| m 

p 

c 

Notwendige und hinreichende Bedingung für 

informationstheoretische Sicherheit: 

" m M " c C: p(c|m) = p(c). 

Nachrichten und Schlüsseltexte müssen stochastisch 

unabhängig voneinander sein. 


• Berechnung der Wahrscheinlichkeiten p(c j|m i), p(c j) 

Nachrichten 

p(c0|m0) m0 Schlüsseltexte 

c0 Wahrscheinlichkeit p(cj|mi), Schlüsseltext cj bei 

Verschlüsselung der 

Nachricht mi zu erhalten: 

m 1 

. 

mi . 

mn-1 p(c j|m i) 


c 1 

. 

cj . 

cn-1 c | m pk 

p 

j 

i 

 

kK: 

c enck, 

m 

Wahrscheinlichkeit des 

Schlüsseltextes c j : 

n 1 

c pmpc| 

m 

p 

j 

 

i0 

i 

j 

j 

i 

i 

40 

41 

42 

14


Bedingungen für informationstheoretische Sicherheit 

Beispiel 1: 

Nachrichten Schlüsseltexte Verschlüsselung 

00 

01 

10 

11 

nicht informationstheoretisch sicher 

Anforderungen an die Anzahl der Schlüssel notwendig! 


00 

01 

10 

11 

enc(00, m) 

enc(01, m) 


(1) Anzahl der Schlüssel 

• Verschlüsselung injektiv: m 1 = m 2 ñ enc(k, m 1) = enc(k, m 2) 

– Verschlüsselung n verschiedener Nachrichten m 0, m 1, …, m n-1 

mit einem Schlüssel k liefert n verschiedene Schlüsseltexte 

c 0, c 1, …, c n-1 

– Bedingung gilt für jeden der möglichen Schlüssel 

|C| ¥ |M| 

• Sicherheit des Systems: 

– Jeder Schlüsseltext muss das Ergebnis der Verschlüsselung 

jeder möglichen Nachricht sein können 

– Für eine Nachricht m und n verschiedene Schlüsseltexte muss es 

n verschiedene Schlüssel k 0, k 1, …, k n-1 geben 

|K| ¥ |C| 


|K| ¥ |C| ¥ |M| 


Beispiel 2: 

Nachrichten Schlüsseltexte Verschlüsselung 

m 0 = 00 

m 1 = 01 

m 2 = 10 

m 3 = 11 

als bekannt vorausgesetzt: 


c 0 = 00 

c 1 = 01 

c 2 = 10 

c 3 = 11 

p(m 0) = 0,15 

p(m 1) = 0,05 

p(m 2) = 0,50 

p(m 3) = 0,30 

enc(k0 = 00, m) 

enc(k1 = 01, m) 

enc(k 2 = 10, m) 

enc(k 3 = 11, m) 

p(k 0) = 0,20 

p(k 1) = 0,70 

p(k 2) = 0,05 

p(k 3) = 0,05 

43 

44 

45 

15


• resultierende Wahrscheinlichkeiten der Schlüsseltexte: 

p(c 0) = 0,1050 

p(c 1) = 0,1925 

p(c 2) = 0,3200 

p(c 3) = 0,3825 

• resultierende a posteriori Wahrscheinlichkeiten: 

p(m 0|c 0) = 0,286 

p(m 0|c 1) = 0,545 

p(m 0|c 2) = 0,023 

p(m 0|c 3) = 0,020 


Anforderungen an Wahrscheinlichkeiten der Schlüssel notwendig! 


p(m 1|c 0) = 0,333 

p(m 1|c 1) = 0,013 

p(m 1|c 2) = 0,008 

p(m 1|c 3) = 0,026 

p(m 2|c 0) = 0,238 

p(m 2|c 1) = 0,130 

p(m 2|c 2) = 0,312 

p(m 2|c 3) = 0,915 

p(m 3|c 0) = 0,143 

p(m 3|c 1) = 0,312 

p(m 3|c 2) = 0,656 

p(m 3|c 3) = 0,039 


(2) Wahrscheinlichkeiten der Schlüssel (für |K| = |C| = |M|) 

Nachrichten Schlüsseltexte 

m 0 = 00 

m 1 = 01 

m 2 = 10 

m 3 = 11 

Schlüssel müssen mit gleicher Wahrscheinlichkeit verwendet 

werden 

Resultierende Schlüsseltexte sind ebenfalls gleichwahrscheinlich 


c 0 = 00 

c 1 = 01 

c 2 = 10 

c 3 = 11 

Es gilt: 

" m M " c C: p(c|m) = p(c) 

z.B. für c 0 : 

p(c 0|m 0) = p(c 0|m 1) = p(c 0|m 2) = p(c 0|m 3) 


Beispiel 3: 

Nachrichten Schlüsseltexte 

m 0 = 00 

m 1 = 01 

m 2 = 10 

m 3 = 11 

informationstheoretisch sicher 


c 0 = 00 

c 1 = 01 

c 2 = 10 

c 3 = 11 

p(m 0) = 0,15; p(m 1) = 0,05; p(m 2) = 0,5; p(m 3) = 0,3 


enc(k0 = 00, m) 

enc(k1 = 01, m) 

enc(k 2 = 10, m) 

enc(k 3 = 11, m) 

p(k i) = p(k) = 0,25 

46 

47 

48 

16


Beispiel 4: (Nutzung des Kryptosystems aus Beispiel 3) 

Verschlüsselung von zwei Nachrichten mit ein und demselben 

Schlüssel; Angreifer beobachtet: 0111 = c1c3 Nachrichten Schlüsseltexte Verschlüsselung 

m 0 = 00 

m 1 = 01 

m 2 = 10 

m 3 = 11 

Nur vier mögliche Nachrichten: 


c 0 = 00 

c 1 = 01 

c 2 = 10 

c 3 = 11 

k 0: 1101 = m 3m 1 

k 1: 0010 = m 0m 2 

enc(k0 = 00, m) 

enc(k1 = 01, m) 

enc(k 2 = 10, m) 

enc(k 3 = 11, m) 

p(m 0) = 0,15; p(m 1) = 0,05; 

p(m 2) = 0,50; p(m 3) = 0,30 

k 2: 0111 = m 1m 3 

k 3: 1000 = m 2m 0 


• Wahrscheinlichkeiten der Nachrichten: 

p(m 3m 1) = 0,015 

p(m 0m 2) = 0,075 

• resultierende a posteriori Wahrscheinlichkeiten: 

p(m 3m 1|c 1c 3) = 0,0833 

p(m 0m 2|c 1c 3) = 0,4167 


(3) Wahl der Schlüssel 

– Zufällige Wahl des Schlüssels für Verschlüsselung jedes „Blocks“ 

– Einer Folge von Nachrichten muss eine Zufallsfolge von 

Schlüsseln entsprechender Länge zugeordnet sein 


p(m 1m 3) = 0,015 

p(m 2m 0) = 0,075 

p(m 1m 3|c 1c 3) = 0,0833 

p(m 2m 0|c 1c 3) = 0,4167 


Zusammenfassung der Anforderungen 

• Notwendige Bedingung für informationstheoretische 

Sicherheit: 

Nachrichten und Schlüsseltexte müssen stochastisch 

unabhängig voneinander sein, d.h., die Wahrscheinlichkeit 

für einen Schlüsseltext darf nicht von der verschlüsselten 

Nachricht abhängen. 

Resultierende Anforderungen an die Schlüssel: 

(1) |K| ¥ |C| ¥ |M| 

(2) Bei einem System mit |K| = |C| = |M| müssen die Schlüssel 

gleichwahrscheinlich sein. 

(3) Die Wahl des Schlüssels muss jeweils zufällig erfolgen. 

Aussagen bzgl. Sicherheit gelten nur für den Algorithmus! 


49 

50 

51 

17


Anmerkungen zur informationstheoretischen Sicherheit 

• Informationstheoretische Sicherheit kann nur von 

symmetrischen Systemen erreicht werden 

• Systeme, die ein und denselben Schlüssel mehrfach 

verwenden, können nicht informationstheoretisch sicher sein 

• Betrachtet wurde zunächst passiver Angriff 

(ciphertext only attack) 

• Informationstheoretisch sicheres System ist jedoch auch 

gegen aktive Angriffe sicher 

• Keine Annahmen über die zu verarbeitenden Nachrichten 

notwendig 



• Schlüsselmanagement problematisch: 

– jede neue Nachricht erfordert einen neuen Schlüssel 

– Schlüssel symmetrischer Systeme müssen über sicheren Kanal 

ausgetauscht werden und geheim gehalten werden 

• Schutzziel „Zurechenbarkeit“ kann nicht mit symmetrischen 

System erbracht werden 

Verwendung von nicht informationstheoretisch sicheren 

Systemen notwendig 

Annahmen über den Angreifer notwendig (notwendige 

Berechnungen des Angreifers sind nicht effizient möglich) 



Weitere Sicherheitsbegriffe 

• „beweisbar sicher“ (provable security) 

Beweis besteht in Reduktion auf mathematisches Problem 

(Zielstellung: Wenn der Angreifer das System bricht, kann er 

das schwierige mathematische Problem lösen.) 

Wesentliche Probleme mit „beweisbarer Sicherheit“ 

– Betrachtet nur Angriffe spezieller Art; sagt nichts aus über 

mögliche andere Angriffe 

– Bedingte Aussagen von der Art „unter der Annahme, dass 

niemand einen effizienten Algorithmus für dieses mathematische 

Problem findet“ 

Sicherheit gegen bestimmte Angriffe 


52 

53 

54 

18


Semantische Sicherheit [GoMi_84] 

Ein System heißt semantisch sicher, wenn alles, was bei Kenntnis 

des zugehörigen Schlüsseltextes effizient über den Klartext 

berechnet werden kann, auch effizient ohne Kenntnis des 

Schlüsseltextes berechnet werden kann. 

• „effizient“: (polynomiell) beschränkter Angreifer 

• Vorteil des Angreifers betrachtet (nicht besser als bloßes Raten) 

Ununterscheidbarkeit („polynomielle Sicherheit“) [GoMi_84] 

Angreifer ist nicht in der Lage, zwei beliebige Nachrichten zu 

finden, so dass er die Verschlüsselung einer dieser Nachrichten 

korrekt der Nachricht zuordnen kann. 

• äquivalent zu semantischer Sicherheit (s. [NaYu_90, KoMe_04] f. 

Referenzen) 

• „Charakterisierung von semantischer Sicherheit“ [BeSa_99] 



• Semantische Sicherheit bietet intuitive Beschreibung von Sicherheit 

(Geheimhaltung) 

• Ursprünglich eingeführt für CPA, später aber auch unter aktiven 

Angriffen betrachtet [BDPR_98] 

• Ununterscheidbarkeit oft in Sicherheitsbeweisen verwendet 

• Begründet die Notwendigkeit indeterministischer Verschlüsselung 

(semantisch sicheres System sicher gegen vollständige Suche eines 

polynomiell beschränkten Angreifers) 

• Semantisch sicheres Kryptosystem in [GoMi_84] vorgestellt 

– basiert auf dem Problem zu entscheiden, ob eine Zahl ein quadratischer 

Rest ist (QRP) 

– Nachteil: Expansion (Verschlüsselung eines Bits liefert k Bit langen 

Schlüsseltext) 



Ununterscheidbarkeit unter CPA 

Alice / Entschlüsselungsorakel Angreifer 

Schlüsselgenerierung: 

k d, k e keygen(param) 

wählt zufällig b {0,1} 

verschlüsselt m b 


k e 

m 0, m 1 

c b = enc(k e, m b) 

kennt k e 

wählt m 0, m 1 M 

mit length(m 0) = length(m 1) 

Entscheidung: b = 0 oder b = 1 

55 

56 

57 

19


Ununterscheidbarkeit unter CCA1 




entschlüsselt c i 




k e 

c i 

m i = dec(k d, c i) 

m 0, m 1 


kennt k e 

beliebig oft 





Ununterscheidbarkeit unter CCA2 









k e 

c i 


m 0, m 1 


c i c b 


kennt k e 

beliebig oft 



beliebig oft 



Non-Malleability [DoDN_91] 

Ein System bietet Sicherheit gegen adaptive aktive Angriffe (Non- 

Malleability), wenn es für einen polynomiell beschränkten Angreifer 

nicht einfacher ist, bei Kenntnis eines Schlüsseltextes einen 

weiteren Schlüsseltext zu generieren, so dass die zugehörigen 

Klartexte in Relation zueinander stehen, als ohne Kenntnis dieses 

Schlüsseltextes. 

• Motivation: contract bidding 

• Beispiel für ein Kryptosystem: System von Cramer und Shoup 

[CrSh_98] 

Erweiterung des ElGamal-Kryptosystems 

Basiert auf dem Diffie-Hellman Entscheidungsproblem 


58 

59 

60 

20





– Mathematische Grundlagen 

– Transpositionen 

– MM-Substitutionen 

– PM-Substitutionen 




3 Klassische Verfahren – Mathematische Grundlagen 

Modulare Arithmetik 

• Endliche Strukturen (z.B. Gruppen), basierend z.B. auf den 

natürlichen oder ganzen Zahlen 

• n = {0,1,2, …, n-1} Restklassenring modulo n 

• Kongruenz 

a, b ; n -{0}: n|(a-b) a, b kongruent 


a b mod n 

• Restklasse ā zu jedem a : ā ú {b | a b mod n} 

3 Klassische Verfahren – Transpositionen 

Transpositionen 

• Verwürfeln der Klartextzeichen, Permutation der Stellen 

des Klartextes (Permutationschiffren) 

• Beispiel: Skytala 

• Formale Beschreibung: 

M=C = A l 

m = (m 1m 2m 3 … m l), m i A, l N 

Permutation 

enc k(m) = enc k(m 1m 2m 3 … m l) = (m p(1)m p(2)m p(3) … m p(l)) 


1 2 ... l 

P 

p 1 p2 ... p l 

61 

62 

63 

21

3 Klassische Verfahren – Transpositionen 

Beispiel 

1 2 3 4 5 6 7 

P 

3 1 4 2 7 5 6 

• Matrixtranspositionen 

Beispiel: Spaltenpermutation 

Schlüssel: 5x7 Matrix 

P = (1,4)(2,5,3,7,6) 

P -1 = (4,1)(5,2,6,7,3) 


3 Klassische Verfahren – MM-Substitutionen 

MM-Substitution (monoalphabetisch, monographisch) 

A M 

a i 

a 3 

M K C 

a 0 

a 2 

AM, AC Alphabete, enc: A l 

M AC 

l 

m = (m0m1m2 … ml-1), mi AM, m A l 

M ,l N 

enck(m) = enck(m0)enck(m1) … enck(ml-1) Kryptographie und Kryptoanalyse 


• Verschiebechiffre (Additive Chiffre) 

A M = A C = {A:Z} 

Schlüssel: s {0:n-1}, n = 26 

enc s(m i) = -1 [((m i)+s) mod n], (m i) {0:n-1} 

dec s(c i) = -1 [((c i)-s) mod n] 

Cäsarchiffre für s = 3 

k 

k 

k 

k 

Nachricht a b c d e f g … x y z 

Schlüsseltext D E F G H I J … A B C 


b 1 

b 3 

b 0 

b j 

A C 

64 

65 

66 

22


Beispiel 

n = 26, A = {A:Z}, s = 3 

: 

A B C D E F G H I J K L M N 

0 1 2 3 4 5 6 7 8 9 10 11 12 13 

O P Q R S T U V W X Y Z 

14 15 16 17 18 19 20 21 22 23 24 25 



Kryptoanalyse der Verschiebechiffre 

• Nur 26 verschiedene Schlüssel 

• Vollständige Suche möglich 

Durchprobieren aller möglichen Schlüssel 

Beispiel: 

c = 

FMTKOJVIVGTNZDNOYVNOCZHVYZMCZPODBZIQJMGZNPIB 



s m 

0 FMTKOJVIVGTNZ 

1 ELSJNIUHUFSMY 

2 DKRIMHTGTERLX 

3 CJQHLGSFSDQKW 

4 BIPGKFRERCPJV 

5 AHOFJEQDQBOIU 

6 ZGNEIDPCPANHT 

7 YFMDHCOBOZMGS 

8 XELCGBNANYLFR 

9 WDKBFAMZMXKEQ 

10 VCJAEZLYLWJDP 

11 UBIZDYKXKVICO 

12 TAHYCXJWJUHBN 


s m 

13 SZGXBWIVITGAM 

14 RYFWAVHUHSFZL 

15 QXEVZUGTGREYK 

16 PWDUYTFSFQDXJ 

17 OVCTXSEREPCWI 

18 NUBSWRDQDOBVH 

19 MTARVQCPCNAUG 

20 LSZQUPBOBMZTF 

21 KRYPTOANALYSE 

22 JQXOSNZMZKXRD 

23 IPWNRMYLYJWQC 

24 HOVMQLXKXIVPB 

25 GNULPKWJWHUOA 

s = 21 ergibt den einzigen sinnvollen Text s = 21 

67 

68 

69 

23


• Schema von Polybios 

A M = {A:Z} 

A C = {ij | i, j {1, 2, 3, 4, 5}} 

enc: 

i 

j 1 2 3 4 5 

1 A B C D E 

2 F G H I J 

3 K L M N O 

4 P Q R S T 

5 U V W X/Y Z 

Beispiel 



• Allgemeine Substitution: Permutation des Alphabets 

Beispiel 

A M = A C = {A:Z} 

P = (A,G)(B,J,Y,R,N,L,E,W)(C,K,H,Q,T,U,I,X)(D,M,O,F,P,S,Z,V) 

P -1 = (G,A)(B,W,E,L,N,R,Y,J)(C,X,I,U,T,Q,H,K)(D,V,Z,S,P,F,O,M) 

• Freimaurerchiffre (Kreuzchiffre) 

Beispiel 

W K C 

R A E 

L Z V 



B 

X J 

U 

I S H 

D 

P O Y G N 

F M Q 

T 


Statistische Analysen 

• Möglichkeiten der vollständigen Suche sind eingeschränkt 

• Aufwand für eine allgemeine Substitution: |A|! 

• Angriffspunkt: MM-Substitutionen übertragen statistische 

Eigenschaften der Klartexte in die Schlüsseltexte 

Polybios: 

m = B E I S P I E L 

c = 12 15 24 44 41 24 15 32 

Permutation (Bsp. F. 66): c = J W X Z S X W E 

Verschiebechiffre (s = 3): c = E H L V S L H O 

70 

71 

72 

24


Struktur der Sprache 

• unterschiedliche Auftrittswahrscheinlichkeiten der Zeichen 

• Redundanz R 

– nicht alle Zeichenfolgen der Länge l sind gleichwahrscheinlich 

– Unterschied zwischen Entropie des Alphabets H(X) und 

zugehöriger maximaler Entropie H0(X) (bei Gleichwahrscheinlichkeit 

der N Zeichen des Alphabets): 

R = H0(X) –H(X); 

 

N 1 1 

H X p xi 

ld ; H 0 X ld N 

p x 

– Natürliche Sprachen weisen bereits für l = 1 eine relativ hohe 

Redundanz auf 

– Redundanz wächst mit der Länge der betrachteten 

Zeichenfolgen 

– Einfache Substitutionschiffren (deutsche oder englische 

Nachricht) können i. Allg. bereits ab ca. 30 Zeichen 

entschlüsselt werden 



i0 i 


Zeichenhäufigkeiten (%) 

Deutsch Englisch 

* 15.15 - 19.25 - 

a 4.58 5.40 6.60 8.17 

b 1.60 1.89 1.21 1.49 

c 2.67 3.15 2.25 2.78 

d 4.39 5.17 3.43 4.25 

e 15.35 18.10 10.26 12.70 

f 1.36 1.60 1.80 2.23 

g 2.67 3.15 1.63 2.02 

h 4.36 5.14 4.92 6.09 

i 6.38 7.52 5.63 6.97 

j 0.16 0.19 0.12 0.15 

k 0.96 1.13 0.62 0.77 

l 2.93 3.45 3.25 4.03 

m 2.13 2.51 1.94 2.41 

Deutsch Englisch 

n 8.84 10.42 5.45 6.75 

o 1.90 2.24 6.06 7.51 

p 0.50 0.59 1.56 1.93 

q 0.01 0.01 0.08 0.10 

r 6.86 8.08 4.84 5.99 

s 5.39 6.35 5.11 6.33 

t 4.73 5.57 7.31 9.06 

u 3.48 4.10 2.23 2.76 

v 0.72 0.87 0.77 0.96 

w 1.42 1.67 1.91 2.36 

x 0.01 0.01 0.12 0.15 

y 0.02 0.02 1.59 1.97 

z 1.42 1.67 0.06 0.07 


Zeichenhäufigkeiten (deutsch) 

Häufigkeiten 

* a b c d e f g h i j k l m n o p q r s t u v w x y z 


73 

74 

75 

25


Einteilung der Zeichen in Gruppen 

Gruppe Deutsch Englisch 

I e e 

II n r i s t d h a t a o i n s h r 

III u l c g d l 

IV m o b z w f c u m w f g y p b 

V k v p j y q x v k j x q z 



Häufigkeiten von Bi- und Trigrammen 

Rang 

1 EN TH EIN THE 

2 ER HE ICH ING 

3 CH IN NDE AND 

4 ND ER DIE HER 

5 EI AN UND ERE 

6 DE RE DER ENT 

7 IN ED CHE THA 

8 ES ON END NTH 

9 TE ES GEN WAS 

10 IE ST SCH ETH 

11 UN EN CHT FOR 

12 GE AT DEN DTH 

13 ST TO INE HAT 

14 IC NT NGE SHE 

15 HE HA NUN ION 


Rang 

16 NE ND UNG INT 

17 SE OU DAS HIS 

18 NG EA HEN STH 

19 RE NG IND ERS 

20 AU AS ENW VER 

21 DI OR ENS TTH 

22 BE TI IES TER 

23 SS IS STE HES 

24 NS ET TEN EDT 

25 AN IT ERE EST 

26 SI AR LIC THI 

27 UE TE ACH HAD 

28 DA SE NDI OTH 

29 AS HI SSE ALL 

30 NI OF AUS ATI 


• Analyse von MM-Substitutionen 

- Analyse der Häufigkeiten einzelner Buchstaben 

- Analyse der Häufigkeiten von Bi- und Trigrammen 

- Nutzung der Redundanz zur Ermittlung fehlender 

Zeichen 

- bei bekannten Wortgrenzen: Identifikation kurzer 

Wörter, Vorsilben, Endungen, Anfangs- und 

Endbuchstaben 


Deutsch 

Englisch 

Beispiel: 

QOTC RQXVUXZX FXAFX SHXVVXV KOZTCQOB DHV KXV 

TCQZQSFXZWBFWBTCXV XWUXVBTCQJFXV KXZ DXZLXVKXFXV 

BEZQTCX QGLXWTCXV QRRXZKWVUB WBF XB WY 

QRRUXYXWVXV VWTCF YHXURWTC NXKX 

TCQZQSFXZWBFWBTCX XWUXVBTCQJF XWVXZ BEZQTCX MO 

DXZYXWKXV OVK BWTC KXVVHTC WV KWXBXZ BEZQTCX 

QOBMOKZOXTSXV 

76 

77 

78 

26


Analyse von Transpositionen 

• statistische Eigenschaften des Klartextes nur teilweise 

erhalten 

• einfache Analyse bei Klartext-Schlüsseltext-Angriff 

• ansonsten: Rekonstruktion der Bi- und Trigramme 

• zunächst Ermittlung der Blocklänge 

Beispiel 

CESVLRHEESUUSLLGANOSGMIHRSTU 

CESVLRH EESUUSL LGANOSG MIHRSTU 

Reduktion der möglichen Kombinationen: 

EVLRSCH, EVRLSCH, …, VELRSCH, ... 


3 Klassische Verfahren – PM-Substitutionen 

PM-Substitution (1) (polyalphabetisch, monographisch) 

A M 

a i 

a 3 

M K C 

a 0 

a 2 


k 1 

k 2 

k r 

b 14 

A M, A C1, A C2, …, A Cr Alphabete, 

enc: A M l (AC1 » A C2 » … » A Cr) l 

m = (m 1m 2 … m l), m i A M, m A M l ,l N 

enc k(m) = enc k (m 0)enc k (m 1) … enc k (m l), k j {1:r} 

0 1 l 


PM-Substitution (2) 

A M 

ai a3 M K C 

a 0 

a 2 


k 1 k 2 

k r 

k 3 

A C1 

b 1 

b 3 

b j 

b 0 

b 20 

A C 

b r1 

79 

A C2 

A Cr 

80 

81 

27


• Vigenère-Chiffre (1) 

klassische Darstellung: Vigenère-Tableau 



a b c d e f … z 

A A B C D E F … Z 

B B C D E F G … A 

C C D E F G H … B 

D D E F G H I … C 

E E F G H I J … D 

F F G H I J K … 

… 

E 

… … … … … … … … … … … 

Z Z A B C D E … Y 


• Vigenère-Chiffre (2) 

A M = A C = {A:Z} 

Schlüssel: K = {k|k = (k 0k 1 … k r-1) k i {A:Z}} 

enc k(m) = enc (m 0)enc (m 1) … enc (m i)enc (m i+1) … enc (m l-1) 

mit 

enc (mi) = -1 [( (mi)+ (kj)) mod n], (mi), (kj) {0:n-1} 

dec (ci) = -1 kj [( (ci)- (kj)) mod n] 

k j 

Beispiel 

k0 k1 kr-1 k0 k (l-1) mod r 


• Binäre Vigenère-Chiffre 

A = {0,1} 

n = 2 

Klartextbuchstabe m i, Schlüsselbuchstabe k i: 

c i = (m i+k i) mod 2 bzw. c i = m i k i 

m i = (c i+k i) mod 2 bzw. m i = c i k i 

• Schlüssel 

– sollten Zufallsfolgen sein 

– kürzer als Klartext: periodische Wiederholung 

– Autokey-Verfahren 


82 

83 

84 

28


• Vernam-Chiffre (one-time pad) 

– Schlüssellänge und Länge des Klartextes sind gleich 

– Weitere Bedingungen: 

• Jeder Schlüssel wird nur einmal verwendet und 

• Schlüssel sind zufällig. 

Einzige informationstheoretisch sicheres Chiffre. 

• Binäre Vernam-Chiffre 

A = {0,1}; n = 2 

enck(m) = enc (m0)enc (m1) … enc (ml-1) mit 

enc k(mi) = mi k 

i 

i 

dec (ci) = ci ki k i 


k 0 


k 1 

Analyse von PM-Substitutionen 

• statistische Eigenschaften des Klartextes werden nicht in 

den Schlüsseltext übertragen 

• unter bestimmten Bedingungen sicher (Schlüssellänge!) 

2 Schritte: 

1. Ermittlung der 

Schlüssellänge r 

Vereinfachung der 

Analyse auf Analyse 

von r MM-Substitutionen 

2. Analyse der 

MM-Substitutionen 


k l-1 

Schlüssel k 0 k 1 k 2 … k r-1 

Schlüsseltext c 0 c 1 c 2 … c r-1 

c r c r+1 c r+2 … c r+(r-1) 

c 2r c 2r+1 c 2r+2 … c 2r+(r-1) 

… … … … … 

MM-Substitution mit 

Schlüssel k 0 


• Kasiski-Test 

– 1863 von Friedrich Wilhelm Kasiski publiziert 

– Suche nach identischen Abschnitten im Schlüsseltext 

– Annahme: identische Abschnitte im Klartext mit 

denselben Schlüsselzeichen verschlüsselt 

– Rückschlüsse auf Schlüssellänge: ggT der Abstände 

– zufällige Wiederholungen möglich 

untersuchte Folgen sollten mindestens die Länge 3 

haben 


85 

86 

87 

29


m = A L B E R T I S K R E I S S C H E I B E N S I N D 

k = K E Y K E Y K E Y K E Y K E Y K E Y K E Y K E Y K 

c = K P Z O V R S W I B I G C W A R I G L I L C M L N 

m ... E I N E V E R B E S S E R T E F O R M D E R V E R 

k ... E Y K E Y K E Y K E Y K E Y K E Y K E Y K E Y K E 

c ... I G X I T O V Z O W Q O V R O J M B Q B O V T O V 

m ... S C H I E B E C H I F F R E N 

k ... Y K E Y K E Y K E Y K E Y K E 

c ... Q M L G O F C M L G P J P O R 

Wiederholungen durch Verschlüsselung identischer Klartextabschnitte 

zufällige Wiederholungen 

Abstände: ‚OVR‘: 33 = 3 11 

‚TOV‘: 18 = 2 3 

‚MLG‘: 6 

‚CML‘: 35 

2 

= 2 3 

= 5 7 



ggT(Abstände) = 3 


• Friedman-Test 

– von William F. Friedman veröffentlicht 

– analysiert die Redundanz des Schlüsseltextes 

– basiert auf dem Koinzidenzindex I (1922, Friedman) 

– Länge der Nachricht m: length(m) = N 

– Länge des Schlüssels k: length(k) = r 

Wiederum 2 Schritte: 

1. Ermittlung der Schlüssellänge r 

2. Ermittlung des Schlüssels durch Analyse der 

MM-Substitutionen 


Koinzidenzindex I 

• Wahrscheinlichkeit, dass zwei unabhängig voneinander 

gewählte Zeichen a i übereinstimmen 

n1 

2 

i , 

i0 

i ( i), i 

I p p p a a A 

• I minimal, wenn alle Zeichen gleichwahrscheinlich: 

1 1 

pi , i0,1,..., n1 : Imin 

 

n n 

A = {A:Z}: n = 26, I min = 1/26 = 0,0385 

• I „maximal“ für Texte in natürlichen Sprachen: 

Nachricht in deutscher Sprache: I max = 0,0762 

Nachricht in englischer Sprache: I max = 0,0655 


88 

89 

90 

30


Koinzidenzindex für Beispieltexte (deutsch, nur “A” – “Z”) 

I max = 0,0762 


─ r = 1 r = 4 r = 12 r = 26 

N = 110 038 0,07379 0,07379 0,04769 0,04030 0,03847 

N = 10 090 0,07226 0,07226 0,04714 0,04009 0,03856 

N = 2 059 0,08002 0,08002 0,04936 0,04107 0,04094 


Einordnung des Schlüsseltextes in eine Tabelle 

Schlüssel k 0 k 1 k 2 … k r-1 

Schlüsseltext c 0 c 1 c 2 … c r-1 


c r c r+1 c r+2 … c r+(r-1) 

c 2r c 2r+1 c 2r+2 … c 2r+(r-1) 

c 3r c 3r+1 c 3r+2 … c 2r+(r-1) 

… … … … … 

I max = 0,0762 



I min = 0,0385 

Wahrscheinlichkeit, ein Paar gleiche Zeichen auszuwählen: 

Anzahl von Buchstabenpaaren 

• aus einer gleichen Spalte: 

• aus verschiedenen Spalten: 

• insgesamt: 

I 

 

anz I 

n 1 

2 gl max 

pi 

 

i0 anzbp 

anz I 

v 

min 

N 

N 1 

r 

anzgl 

 

 

2 

N 

NN 

r 

anzv 

 

 

2 

NN 1 

anzbp 

 

2 

91 

I min = 0,0385 

92 

93 

31


Einsetzen und Umformen nach r liefert: 

( Imax Imin ) N 0,0377N 

r 

( N 1) I Imax Imin N ( N 1) I 0,0762 0,0385N 

0,0377 

r 

I 0,0385 

anz( a ) 1 

I p anz a 

n1 n1 2 n1 

2 i 

2 

i ( ) 

2 2 

i 

i0 i0 N N i0 



für N >> 1 


• Analyse einer PM-Substitution ohne periodische 

Wiederholung des Schlüssels 

– Methode von Friedman 1918 vorgestellt 

– Voraussetzung: Schlüssel und Klartext entstammen einer 

natürlichen Sprache 

– Basis: eine relativ kleine Menge von Buchstaben macht bereits 

einen großen Teil des Textes aus (ca. 75% des Englischen oder 

Deutschen bestehen aus den jeweils 10 häufigsten Buchstaben) 


Vigenère-Tableau für die 10 häufigsten Buchstaben (D): 

e n r i s t d h a u 

E I R V M W X H L E Y 

N R A E V F G Q U N H 

R V E I Z J K U Y R L 

I M V Z Q A B L P I C 

S W F J A K L V Z S M 

T X G K B L M W A T N 

D H Q U L V W G K D X 

H L U Y P Z A K O H B 

A E N R I S T D H A U 

U Y H L C M N X B U O 

Ermittlung sinnvoller Kombinationen, Ausschluss … 


94 

95 

96 

32


Mögliche Zusammensetzung der Schlüsseltextbuchstaben 

A B C D E F G H I J K L M 

a+a i+t i+u a+d a+e n+s d+d a+h e+e r+s s+s e+h t+t 

n+n h+u n+r n+t e+d r+r d+h i+d e+i 

i+s n+u a+i r+t s+t s+u 

h+ t r+u 

N o P Q R S T U V W X Y Z 

a+n h+h h+i i+i a+r a+s a+t a+u d+s d+t d+u e+u i+r 

t+u u+u d+n e+n d+r e+r e+s e+t h+r h+s 

h+n i+n 



• Beispiel 

m = E I N B I L D V E R A R B E I T U N G S … 

k = D I E S T E G A N O G R A P H I E E R M … 

c = H Q R T B P J V R F G I B T P B Y R X E … 

H: (a+h), (e+d), (n+u) 

Q: (i+i), (d+n) 

R: (a+r), (e+n) 

T: (a+t) 

B: (i+t), (h+u) 

P: (h+i) 


3 Klassische Verfahren 

insgesamt 6 · 3 · 4 = 72 

Möglichkeiten, darunter (die, ein) 

insgesamt 2 · 4 · 2 = 16 

Möglichkeiten, keine sinnvolle 

Kombination darunter 

Zusammenfassung 

• MM-Substitutionen erhalten alle Gesetzmäßigkeiten des 

Klartextes – Angriffe mittels statistischer Analysen 

• PM-Substitionen beseitigen diesen Nachteil durch 

Anwendung unterschiedlicher Schlüsselzeichen; relevant für 

die Sicherheit: Schlüssellänge und Wahl des Schlüssels 

• Transpositionen erhalten Einzelwahrscheinlichkeiten, aber 

nicht die Wahrscheinlichkeiten von Zeichenfolgen 

• Ansatzpunkt für die vorgestellten Analysen: erhaltene 

Redundanz des Klartextes 

Kryptoanalyse m. H. eines reinen Schlüsseltext-Angriffs 

für Klartext „ohne“ Redundanz nicht möglich; 

Reduktion der Redundanz erschwert Kryptoanalyse 


97 

98 

99 

33






– Blockchiffren 

– Feistel-Chiffre 

– Kryptographische Güte einer Verschlüsselungsfunktion 

– DES 

• Differentielle Kryptoanalyse 

• Lineare Kryptoanalyse 

– AES 

– Betriebsarten 



4 Symmetrische Verfahren – Blockchiffren 

Blockchiffren 

• Verschlüsselung von Nachrichten fester Länge 

(Stromchiffren: Verschlüsselung von Nachrichten beliebiger 

Länge) 

• Nachricht m in b Blöcke der Länge l unterteilt: 

m = m 1m 2 … m b, m i = m i1m i2 … m il, m ij {0, 1} 

• Verschlüsselung der Nachrichtenblöcke mit k K: 


c i = enc(k, m i) 

praktischer Einsatz: Betriebsarten 

• längentreue Verfahren: length(m i) = length(c i) 

• Anforderungen an enc k : Sicherheit und Performance 


Sicherheitsanforderungen an enc k 

• Diffusion und Konfusion 

[Claude Shannon: Communication Theory of Secrecy Systems. Bell 

Systems Technical Journal, 28(1949), 656-715.] 

• Ziel: Erschweren statistischer Angriffe 

• Diffusion: im Klartext enthaltene Redundanz wird im 

Schlüsseltext „verteilt“ 

• Konfusion: Beziehungen zwischen Schlüsseltexten und 

Schlüsseln so komplex wie möglich 

• Produktchiffre: Kombination von Verschlüsselungsverfahren 


100 

101 

102 

34


• Produktchiffre als Kombination von 

Substitution ( Konfusion) und Transposition ( Diffusion) 

bietet Möglichkeit der effizienten Konstruktion 

entsprechender Verschlüsselungsfunktionen 

Substitutions-Permutations-Netzwerk (SP-Netzwerk) 

• Iterierte Blockchiffren 

– Verschlüsselung erfolgt in mehreren Runden 

c = enc n(k n, enc n-1(k n-1, ... enc 2(k 2, enc 1(k 1, m)) ... )) 

– Verwendung von Rundenschlüsseln 

– Algorithmus zur Generierung der Runden- bzw. Teilschlüssel 

– Verschlüsselungsfunktion muss im Allgemeinen invertierbar sein 

– Anwendung der Rundenschlüssel bei Entschlüsselung in 

umgekehrter Reichenfolge 

m = dec 1(k 1, dec 2(k 2, ... dec n-1(k n-1, dec n(k n, c)) ... )) 



Allgemeine Ansätze zur Kryptoanalyse von Blockchiffren 

• Unabhängig von der internen Struktur 

• Vollständige Schlüsselsuche 

– Klartext-Schlüsseltext-Angriff 

– Aufwand abhängig vom Schlüsselraum 

• Zugriff auf eine vorab berechnete Tabelle 


– Aufwand abhängig vom Schlüsselraum 

• Time-Memory-Tradeoff 

• Kodebuchanalyse 


– Ziel: Rekonstruktion des Klartextes 

– Aufwand abhängig von Struktur und Redundanz des Klartextes 


4 Symmetrische Verfahren – Feistel-Chiffre 

Feistel-Chiffre 

• Forschungsprogramm „Lucifer“ in den späten 60er Jahren 

• Feistel-Chiffre 1973 von Horst Feistel veröffentlicht 

• Permutationen und Substitutionen 

• Iterierte Blockchiffre 

• Struktur dieser Chiffre gehört zu den grundlegenden 

Konzepten der Kryptographie 

• Anwendung des Prinzips z.B. in DES, 3-DES, Blowfish, CAST, 

FEAL und Twofish 


103 

104 

105 

35


• Zerlegung des Nachrichtenblocks m i A l in zwei Teilblöcke: 

m i = (L 0, R 0) 

c i = (L n, R n) 

• Schema ist selbstinvers: Ver- und Entschlüsselung geschieht 

mit den gleichen Funktionen, nur Reihenfolge der 

Rundenschlüssel wird umgekehrt 

• Rundenfunktion f muss nicht bijektiv sein 

• Verarbeitung von Teilblöcken ermöglicht effiziente 

Implementierung 

• f bestimmt kryptographische Sicherheit des Verfahrens 



Verschlüsselung in einer Runde 

enc(k i, (L i-1, R i-1)) = R i-1, f(R i-1, k i) L i-1 = L i, R i 

Runde 1: L0 R0 Kryptographie und Kryptoanalyse 

L 1 

f 

R 1 

k 1 

enc(k 1, (L 0, R 0)) = R 0, f(R 0, k 1) L 0 = L 1, R 1 


Entschlüsselung in einer Runde 

dec(k i, (L i, R i)) = f(L i, k i) R i, L i = L i-1, R i-1 

Runde 1: L1 R1 k 1 


f 

L 0 

R 0 

dec(k 1, (L 1, R 1)) = f(L 1, k 1) R 1, L 1 = L 0, R 0 

106 

107 

108 

36

4 Symmetrische Verfahren – Kryptographische Güte 

Kryptographische Güte einer Verschlüsselungsfunktion 

• Kryptographisch entscheidende Funktion f muss bestimmten 

Anforderungen genügen ( Konfusion und Diffusion) 

• Merkmale zur Beurteilung von f: Designkriterien 

• Beispiele: 

– Vollständigkeit 

– Avalanche 

– Nichtlinearität 

– keine Informationen über Outputbits ohne Wissen über 

Inputbits ( Korrelationsimmunität) 



Vollständigkeit 

Eine Funktion f: {0,1} n {0,1} m heißt vollständig, wenn 

jedes Bit des Outputs von jedem Bit des Inputs abhängt. 

Grad der Vollständigkeit k/n: im Mittel hängen k Output-Bits 

von den n Inputbits ab 

Beispiel: S Bsp 

y 1 = x 1x 2 x 1x 3 x 2x 3 x 2 x 3 1 

y 2 = x 1x 2 x 1x 3 x 2x 3 x 1 x 3 1 

y 3 = x 1x 2 x 1x 3 x 2x 3 x 1 x 2 1 

kein hinreichendes Kriterium 



y 1 = x 1x 2 x 1x 3 x 2x 3 x 2 x 3 1 

y 2 = x 1x 2 x 1x 3 x 2x 3 x 1 x 3 1 

y 3 = x 1x 2 x 1x 3 x 2x 3 x 1 x 2 1 

Input Output 

x3 x2 x1 y3 y2 y1 0 0 0 1 1 1 

0 0 1 0 0 1 

0 1 0 0 1 0 

0 1 1 0 1 1 

1 0 0 1 0 0 

1 0 1 1 0 1 

1 1 0 1 1 0 

1 1 1 0 0 0 


6 von 8 möglichen 

Belegungen des Inputs 

werden identisch 

ausgegeben! 

109 

110 

111 

37


Beispiel: Vollständigkeit der Feistel-Chiffre (f vollst.) 

Outputbit 

j 

Outputbit 

j 

7 

6 

5 

4 

3 

2 

1 

0 

7 

6 

5 

4 

3 

2 

1 

0 

c 0 = m = L 0, R 0 

01234567 

c 2 = L 2, R 2 

01234567 



Inputbit i 

Inputbit i 

Outputbit 

j 

Outputbit 

j 

7 

6 

5 

4 

3 

2 

1 

0 

7 

6 

5 

4 

3 

2 

1 

0 

c 1 = L 1, R 1 

01234567 

c 3 = L 3, R 3 

01234567 

Inputbit i 

Inputbit i 


Avalanche 

Eine Funktion f: {0,1} n {0,1} m besitzt dann den 

Avalanche-Effekt, wenn die Änderung eines Input-Bits im 

Mittel die Hälfte aller Output-Bits ändert. 

Wird durch Änderung eines Input-Bits jedes Output-Bit mit 

einer Wahrscheinlichkeit von 50% verändert, erfüllt f das 

strikte Avalanche-Kriterium. 

Erfüllt f das strikte Avalanche-Kriterium, so ist f stets 

vollständig. 


Beispiel (S Bsp) 

m 

m2 1 000 001 010 011 100 101 110 111 

000 2 2 2 6 

001 2 1 1 4 

010 2 1 1 4 

011 1 1 2 4 

100 2 1 1 4 

101 1 1 2 4 

110 1 1 2 4 

111 2 2 2 6 

Gesamtzahl der geänderten Bits 36 


112 

113 

114 

38


Linearität 

Eine Funktion f: {0,1} n {0,1} m ist dann linear, wenn jedes 

Output-Bit y i linear von den Input-Bits x i abhängt: 

y i = a j,1 x 1 + a j,2 x 2 + … + a j,n x n + b j 

Wenn wenigstens ein Output-Bit linear von den Input-Bits 

abhängt, ist f partiell linear. 

weiteres Maß: Grad der Übereinstimmung von f mit ihrer 

besten linearen Approximation g 

Güte der Approximation: Anteil der Funktionswerte, in denen 

f und g übereinstimmen 



Korrelationsimmunität 

f(x1, x2, …, xn) boolesche Funktion in n Variablen 

Die Funktion f heißt dann k-korrelationsimmun, wenn man 

aus Kenntnis von k beliebigen Eingangswerten keine 

Information über den resultierenden Ausgangswert erhalten 

kann und umgekehrt. 



Abhängigkeitsmatrix AM 

• Beurteilungsmethode für die Gütekriterien Vollständigkeit, 

Avalanche, Nichtlinearität/partielle Nichtlinearität 

[W. Fumy, H. Rieß: Kryptographie: Einsatz, Entwurf und Analyse 

symmetrischer Kryptoverfahren. 2. akt. u. erw. Aufl., Oldenburg, 1994.] 

• Die AM einer Funktion f: {0,1} n {0,1} m ist eine 

(n x m)-Matrix, deren Einträge a i,j die Wahrscheinlichkeit 

angeben, dass bei einer Änderung des i-ten Eingabebits das 

j-te Ausgabebit komplementiert wird. 

• Eigenschaften von AM: 

– AM(f = const): Nullmatrix 

– AM(f: Permutation): Permutationsmatrix 

– AM(f) = AM(1 f) 


115 

116 

117 

39


Eigenschaften von f (x i: Inputbits, y j: Outputbits) 

a i,j = 0 y j nicht von x i abhängig; f ist nicht vollständig 

Anzahl a i,j mit a i,j > 0: Grad der Vollständigkeit 

a i,j > 0 f ist vollständig 

a i,j = 1 y j ändert sich bei jeder Änderung von x i 

y j hängt linear von x i ab 

j. i. a i,j {0,1} f ist partiell linear (Spalte a j binärer Vektor) 

i. j. a i,j {0,1} f ist linear (AM binäre Matrix) 

m n 1 1 

ai, 

j 0, 

5 

m n i1 

j1 

f besitzt Avalanche-Effekt 

i. j.ai,j 0,5 f erfüllt striktes Avalanche-Kriterium 



Berechnung der Abhängigkeitsmatrix 

exakte Berechnung nur für kleine n, m möglich 

näherungsweise Berechnung 

i. j. a i,j := 0 

für „hinreichend viele“ X 

wähle zufälligen n-Bit Vektor X 

für alle i von 1 bis n 

Bestimme X i (unterscheidet sich von X genau im Bit i) 

V i = f(X) f(X i) 

a i,j := a i,j + V i,j 

Division aller a i,j durch Anzahl der Vektoren X 



Beispiel (S Bsp) 

X = 000 

X = 001 … 

x 1 

x 2 

x 3 


y 1 y 2 y 3 

0 04 0,5 0 1 14 

0,5 0 1 14 

0,5 

0 1 14 0,5 0 04 

0,5 0 1 14 

0,5 

0 01 40,5 0 01 

40,5 

0 04 

0,5 

X1 = 001 

X2 = 010 

V1 = 111 001 = 110 

V2 = 111 010 = 101 

X3 = 100 V3 = 111 100 = 011 

118 

119 

120 

40


Designkriterien – Zusammenfassung 

• Kriterien sind zwar notwendig, aber nicht hinreichend 

• Teilweise gegenläufig 

• Optimierung notwendig 

• Notwendig: 

– Höchstmaß an Vollständigkeit, Avalanche, Nichtlinearität 

und Korrelationsimmunität, 

– Geringhaltung der Existenz linearer Faktoren der 

Verschlüsselungsfunktion 

• Gewünscht: 

– Gute Implementierbarkeit, Schnelligkeit, Längentreue, 

Minimierung der Fehlerfortpflanzungsmöglichkeiten 


4 Symmetrische Verfahren – DES 

DES (Data Encryption Standard) 

• 1973 Ausschreibung des National Bureau of Standards (NBS) der 

USA für ein standardisiertes kryptographisches Verfahren 

• 1974 erneute Ausschreibung 

• 1975 Veröffentlichung der Einzelheiten des Algorithmus im Federal 

Register 

• 1976 zwei Workshops zur Evaluierung des Algorithmus 

• 1977 vom NBS als Standard publiziert (FIPS PUB 46) 

• Überprüfung der Sicherheit aller 5 Jahre 

• 1992 differenzielle Kryptoanalyse (Biham, Shamir) 

• 1994 lineare Kryptoanalyse (Matsui) 

• 1999 Brute-Force-Angriff (Deep Crack und weitere Rechner): 22 

Stunden, 15 Minuten 

• 1999 FIPS 46-3: Empfehlung 3-DES 

• 2001 Veröffentlichung des AES (FIPS 197) 

• 2002 AES tritt in Kraft 



Überblick über den Algorithmus 

• grundlegende Struktur: Feistel-Chiffre mit n = 16 Runden 

• Einteilung der Nachricht in l Blöcke der Länge 64: 

m = m1m2 … ml, mi {0, 1} 64 

c = c1c2 … cl, ci {0, 1} 64 

• Schlüssel der Länge 64 Bits: 

k {0,1} 64 , davon jedoch nur 56 Elemente frei wählbar 

Teilschlüssel ki, i = 1, …, 16 aus k erzeugt (Länge ki : 48 Bit) 

• Permutation vor der ersten und nach der letzten Runde (IP 

bzw. IP -1 ) (kryptographisch nicht relevant) 


121 

122 

123 

41


Struktur des DES 

m i 

c i 

64 

64 

L 0 

L 1 

L 16 


IP 

R 0 

Iterationsrunde 1 

R 1 


L2 . 

R2 L15 R15 Iterationsrunde 16 

IP -1 

R 16 


Eingangspermutation IP 

58 

60 

62 

64 

Folge der Klartextbits: 

50 

52 

54 

56 

42 

44 

46 

48 

34 

36 

38 

40 

26 

28 

30 

32 

18 

20 

22 

24 

linke Hälfte 

10 

12 

14 

16 

2 

4 

6 

8 


1 

9 

17 

25 

33 

41 

49 

57 

2 

10 

18 

26 

34 

42 

50 

58 

3 

11 

19 

27 

35 

43 

51 

59 

48 

48 

48 

4 

12 

20 

28 

36 

44 

52 

60 

57 

59 

61 

63 


. 

5 

13 

21 

29 

37 

45 

53 

61 

49 

51 

53 

55 

Iterationsrunde i: Rundenfunktion f 

f 


E 

P 

R i-1 

32 

48 

32 

k 1 

k 2 

k 16 

6 

14 

22 

30 

38 

46 

54 

62 

41 

43 

45 

47 

7 

15 

23 

31 

39 

47 

55 

63 

33 

35 

37 

39 

64 

Teilschlüsselgenerierung 

8 

16 

24 

32 

40 

48 

56 

64 

25 

27 

29 

31 

k 

(56 Bit wählbar) 

17 

19 

21 

23 

rechte Hälfte 

48 

6 6 6 

S1 S2 … 

S8 

4 4 

4 

9 

11 

13 

15 

k i 

1 

3 

5 

7 

f(R i-1,k i) = P(S(E(R i-1) k i)) 

124 

125 

126 

42


Expansionsabbildung E 

1 2 3 4 

32 1 2 3 4 5 


32 

4 

8 

12 

16 

20 

24 

28 

1 

5 

9 

13 

17 

21 

25 

29 

2 

6 

10 

14 

18 

22 

26 

30 

5 6 7 8 

3 

7 

11 

15 

19 

23 

27 

31 

4 5 6 7 8 9 


Substitutionsboxen Si 

b 5b 4b 3b 2b 1b 0 

6-Bit Wert 

vor der 

Substitution 

S1: 

S2: 

. 

0 

1 

2 

3 

0 

1 

2 

3 

0 

1 

2 

3 

0 

14 

0 

4 

15 

15 

3 

0 

13 


1 

4 

15 

1 

12 

1 

13 

14 

8 

2 

13 

7 

14 

8 

8 

4 

7 

10 

3 

1 

4 

8 

2 

14 

7 

11 

1 

4 

2 

14 

13 

4 

6 

15 

10 

3 

4 

8 

12 

16 

20 

24 

28 

32 

5 

15 

2 

6 

9 

11 

2 

4 

15 

5 

9 

13 

17 

21 

25 

29 

1 

6 

11 

13 

2 

1 

3 

8 

13 

4 

… 

7 

8 

1 

11 

7 

4 

14 

1 

2 

8 

3 

10 

15 

5 

9 

12 

5 

11 

S8: 10 

13 

1 

7 

2 

2 

15 

11 

1 

8 

13 

4 

14 

4 

8 

1 

7 

6 

10 

9 

4 

15 

3 

12 

10 


Permutation P 

16 

1 

2 

19 

7 

15 

8 

13 

20 

23 

24 

30 

21 

26 

14 

6 

29 

5 

32 

22 

12 

0 

15 

9 

10 

6 

12 

11 

7 

0 

8 

6 

9 

5 

6 

12 

29 30 31 32 

28 29 30 31 32 1 

S1 S2 S3 S4 S5 S6 S7 S8 Kryptographie und Kryptoanalyse 

129 

12 

18 

27 

11 

11 

7 

14 

8 

28 

31 

3 

4 

1 

4 

2 

13 

. . 

17 

10 

9 

25 

10 

6 

12 

9 

3 

2 

1 

12 

7 

3 

6 

10 

9 

11 

12 

11 

7 

14 

13 

10 

6 

12 

14 

11 

13 

0 

12 

5 

9 

3 

10 

12 

6 

9 

0 

5 

0 

15 

3 

13 

9 

5 

10 

0 

0 

9 

3 

5 

0 

14 

3 

5 

S 1 S 2 S 3 S 4 S 5 S 6 S 7 S 8 

14 

0 

3 

5 

6 

5 

11 

2 

14 

12 

9 

5 

6 

127 

15 

7 

8 

0 

13 

10 

5 

15 

9 

7 

2 

8 

11 

128 

43



k i 

48 


PC-2 


1 

9 

17 

25 

33 

41 

49 

57 

2 

10 

18 

26 

34 

42 

50 

58 

3 

11 

19 

27 

35 

43 

51 

59 

k 

64 

PC-1 

56 

28 28 

C 

D 

Schlüsselpermutation PC-1 (Permuted Choice) 

externer Schlüssel k: 

57 49 41 33 25 17 9 1 

58 50 42 34 26 18 10 2 

59 51 43 35 27 19 11 

60 52 44 36 

C 

3 



Anzahl der Shifts 

Verschlüsselung: Links-Shifts 

Entschlüsselung: Rechts-Shifts 

Runde 

Anzahl Links-Shifts: 

Anzahl Rechts-Shifts: 

1 

1 

0 

2 

1 

1 


3 

2 

2 

Schlüsselauswahl: PC-2 

14 

15 

26 

41 

51 

34 

4 

2 

2 

17 

6 

8 

52 

45 

53 

5 

2 

2 

11 

21 

16 

31 

33 

46 

6 

2 

2 

24 

10 

7 

37 

48 

42 

4 

12 

20 

28 

36 

44 

52 

60 

63 

62 

61 

7 

2 

2 

1 

23 

27 

47 

44 

50 

5 

13 

21 

29 

37 

45 

53 

61 

55 

54 

53 

8 

2 

2 

5 

19 

20 

55 

49 

36 

6 

14 

22 

30 

38 

46 

54 

62 

47 

46 

45 

9 

1 

1 

3 

12 

13 

30 

39 

29 

7 

15 

23 

31 

39 

47 

55 

63 

39 

38 

37 

10 

2 

2 

28 

4 

2 

40 

56 

32 

D 

8 

16 

24 

32 

40 

48 

56 

64 

31 

30 

29 

28 

11 

2 

2 

23 

22 

21 

20 

12 

2 

2 

Paritätsbits 

15 

14 

13 

12 

13 

2 

2 

14 

2 

2 

7 

6 

5 

4 

15 

2 

2 

16 

1 

1 

130 

131 

132 

44


Bewertung der Schlüssel 

Bis auf wenige Ausnahmen liefert das Verfahren für jede 

Runde einen anderen Teilschlüssel. 

4 schwache Schlüssel, die jeweils 16 identische Teilschlüssel 

erzeugen: 

01 

FE 

1F 

E0 

externer Schlüssel k 

01 

FE 

1F 

E0 

01 

FE 

1F 

E0 

01 

FE 

1F 

E0 

01 

FE 

0E 

F1 

01 

FE 

0E 

F1 

01 

FE 

0E 

F1 


01 

FE 

0E 

F1 

0 

F 

0 

F 

0 

F 

0 

F 

0 

F 

0 

F 

C 

0 

F 

0 

F 


12 semi-schwache Schlüssel, die jeweils nur 2 verschiedene 

Teilschlüssel erzeugen: 

01 

FE 

1F 

E0 

01 

E0 

1F 

FE 

01 

1F 

E0 

FE 

externer Schlüssel k 

FE 

01 

E0 

1F 

E0 

01 

FE 

1F 

1F 

01 

FE 

E0 

01 

FE 

1F 

E0 

01 

E0 

1F 

FE 

01 

1F 

E0 

FE 

FE 

01 

E0 

1F 

E0 

01 

FE 

1F 

1F 

01 

FE 

E0 

01 

FE 

0E 

F1 

01 

F1 

0E 

FE 

01 

0E 

F1 

FE 

FE 

01 

F1 

0E 

F1 

01 

FE 

0E 

0E 

01 

FE 

F1 

01 

FE 

0E 

F1 

01 

F1 

0E 

FE 

01 

0E 

F1 

FE 


FE 

01 

F1 

0E 

F1 

01 

FE 

0E 

0E 

01 

FE 

F1 

A 

5 

A 

5 

A 

5 

A 

5 

0 

0 

F 

F 

A 

5 

A 

5 

A 

5 

A 

5 

0 

0 

F 

F 

A 

5 

A 

5 

A 

5 

A 

5 

0 

0 

F 

F 

A 

5 

A 

5 

A 

5 

A 

5 

0 

0 

F 

F 


Eigenschaften des DES 

• Vollständig: jedes Output-Bit hängt von jedem Input-Bit ab 

(nach ca. 5 Durchläufen), Avalanche, Nichtlinearität 

• Problem schwacher und semischwacher Schlüssel 

(explizit ausschließen) 

• Komplement-Eigenschaft: 


enc(k, m) = enc(k, m) 

ermöglicht Einschränkung des Schlüsselraums: 

Angriff bei Kenntnis von zwei Klartext-Schlüsseltextpaaren 

(m 1, c 1) und (m 2, c 2) mit m 2 = m 1 

C 

0 

F 

0 

F 

A 

5 

A 

5 

A 

5 

A 

5 

0 

0 

F 

F 

0 

F 

0 

F 

A 

5 

A 

5 

A 

5 

A 

5 

0 

0 

F 

F 

0 

F 

0 

F 

A 

5 

A 

5 

A 

5 

A 

5 

0 

0 

F 

F 

0 

F 

F 

0 

A 

5 

5 

A 

0 

0 

F 

F 

A 

5 

A 

5 

0 

F 

F 

0 

A 

5 

5 

A 

0 

0 

F 

F 

A 

5 

A 

5 

0 

F 

F 

0 

A 

5 

5 

A 

0 

0 

F 

F 

A 

5 

A 

5 

D 

0 

F 

F 

0 

D 

A 

5 

5 

A 

0 

0 

F 

F 

A 

5 

A 

5 

0 

F 

F 

0 

A 

5 

5 

A 

0 

0 

F 

F 

A 

5 

A 

5 

0 

F 

F 

0 

A 

5 

5 

A 

0 

0 

F 

F 

A 

5 

A 

5 

0 

F 

F 

0 

133 

A 

5 

5 

A 

0 

0 

F 

F 

A 

5 

A 

5 

134 

135 

45


3-DES 

• Schlüssellänge heute zu kurz 

• Erhöhung der Sicherheit durch mehrmalige Verschlüsselung 

(Kaskadenverschlüsselung) 

Meet-in-the-Middle-Angriff: 

Sicherheitsgewinn bei Doppelverschlüsselung: 1 Bit 

• 3-DES (Triple-DES): 

Verbesserung der Sicherheit durch 3-fache Anwendung 

• Verschiedene Varianten, häufig EDE 


c = enc(k 1, (dec(k 2, (enc(k 1, m))) 

4 Symmetrische Verfahren – Kryptoanalyse des DES 

Kryptoanalyse des DES 

• Allgemeine Angriffe auf Blockchiffren: 

– Vollständige Schlüsselsuche 

– Zugriff auf eine vorab berechnete Tabelle 

– Time-Memory-Tradeoff 

– Kodebuchanalyse 

• Angriffe auf DES, auch relevant für andere Blockchiffren: 

– Differentielle Kryptoanalyse 

– Lineare Kryptoanalyse 


4 Symmetrische Verfahren – Differentielle Kryptoanalyse 

Differentielle Kryptoanalyse 

• E. Biham and A. Shamir: Differential Cryptanalysis of DESlike 

Cryptosystems. Advances in Cryptology – CRYPTO '90. 

Springer-Verlag. 2-21. 

• Gewählter Klartext-Schlüsseltext Angriff 

• Aufwand für DES lt. Standard, 16 Runden: 

ca. 2 47 Klartextpaare bei ca. 2 37 Verschlüsselungsschritten 

• Anwendbar für iterierte Blockchiffren 

• Prinzip: 

– Verwendung von beliebigen Klartextpaaren mit bestimmten 

Differenzen 

– Analyse der Auswirkungen der Klartext-Differenzen auf die 

Differenzen der resultierenden Schlüsseltextpaare 

– Ermittlung wahrscheinlicher Schlüssel 


136 

137 

138 

46


Notation (1) 

• Eingangs- und Ausgangspermutation 

haben keinen 

Einfluss – weggelassen 

• L m, R m: linke bzw. rechte 

Hälfte des Klartextes 

• L c, R c: linke bzw. rechte 

Hälfte des Schlüsseltextes 

• x i / y i: Input / Output der 

Rundenfunktion in Runde i 

• x, x*: zusammengehörige 

Zwischenwerte 

• x‘ = x x*: Differenz 



Klartext m = (L m, R m) 

y 1 

y 2 

y 16 

f 

f 

. . . 

f 

x 1 

x 2 

x 16 

Schlüsseltext c = (L c, R c) 


Notation (2) 

f 

xi 32 

E 

48 

S1Ei S2Ei S3Ei … S8Ei S1Ki S2Ki S3Ki … S8Ki S1 Ii 

S2 Ii 

6 6 6 

S1 S2 … 

S8 

4 4 

4 

P 

32 

k i 

S8 Ii 

S1 Oi S2 Oi S8 Oi 


Einfluss der Operationen auf die XOR-Differenzen 

• Expansionsabbildung E: 

E(x) E(x*) = E(x x*) 

• Bitweise Addition mit Rundenschlüssel k: 

(x k) (x* k) = x x* 

• Permutation P: 

P(x) P(x*) = P(x x*) 

• Verknüpfung von Zwischenwerten 

(Input und Output aufeinander 

folgender Rundenfunktionen): 

(x y) (x* y*) = 

y1 

f 

(x x*) (y y*) 

y2 

f 


y i 

48 

Klartext m = (L m, Rm) 

. . . 

x 1 

x 2 

k 1 

k 2 

k 16 

139 

140 

k 1 

k 2 

141 

47


• Substitutionsboxen Si 

– Nichtlinear komplexe Beziehungen zwischen Eingabeund 

Ausgabedifferenzen 

Differenz: 

Eingabe: 

Ausgabe: 

Si I 

Si O 

Si 

–2 6 ·2 4 mögliche Tupel von Eingabe- und 

Ausgabedifferenzen 

– nicht alle möglichen Ausgabedifferenzen Si O‘ existieren 

–existierende Si O‘ sind nicht gleichwahrscheinlich 



6 

4 

Si I* 

Si O* 

Si 

6 

4 

Si I‘ = Si I Si I* 

Si O‘ = Si O Si O* 


Beschreibung der Differenzen – Differenzentabelle 

Differenzentabelle für S1, Eingabediff. S1I‘ = 1101002 = 34x S1I S1I* = 

S1I S1I‘ 0000 0001 

S1O‘ = S1O S1O* 0010 0011 … 1101 1110 1111 

000000 110100 

000001 110101 

1 

. 

. 

. 

. 

. 

. 

. 

. 

. 

. 

. 

. 

. 

. 

. 

. 

. 

. 

. 

. 

. 

. 

. 

. 

111110 001010 1 

111111 001011 1 

Differenzenverteilung: 0 8 16 6 … 8 0 6 

S1: 

0 

1 

2 

3 

0 

14 

0 

4 

15 

1 

4 

15 

1 

12 

2 

13 

7 

14 

8 

3 

1 

4 

8 

2 

4 

2 

14 

13 

4 

5 

15 

2 

6 

9 

6 

11 

13 

2 

1 


7 

8 

1 

11 

7 

8 

3 

10 

15 

5 

9 

10 

6 

12 

11 

Differenzenverteilungstabelle von S1 

Eingabediff. 

S1 I ’ 

0 

1 

2 

3 

. 

33 

34 

35 

. 

0 

64 

0 

0 

14 

4 

0 

2 

1 

0 

0 

0 

4 

4 

8 

2 

2 

0 

0 

0 

2 

6 

16 

4 

3 

0 

6 

8 

2 

2 

6 

0 

4 

0 

0 

0 

10 

10 

2 

8 

5 

0 

2 

4 

6 

6 

0 

4 

4 

4 

7 

0 

4 

4 

2 

8 

0 

0 

0 

6 

9 

0 

10 

6 

4 

10 

6 

12 

9 

3 

Ausgabedifferenzen S1 O ’ 

8 

0 

0 

A 

0 

12 

8 

4 

11 

12 

11 

7 

14 

B 

0 

4 

6 

0 

12 

5 

9 

3 

10 

C 

0 

10 

12 

2 

13 

9 

5 

10 

0 

3D 0 8 6 2 2 6 0 8 4 4 0 4 0 12 4 4 

3E 0 8 2 2 2 4 4 14 4 2 0 2 0 8 4 4 

3F 4 8 4 2 4 0 2 4 4 2 4 8 8 6 2 2 

S1 ‘ 

I S1O ‘ , z.B.: 34x 1x, 34x 2x,34x 5x Kryptographie und Kryptoanalyse 

4 

0 

0 

. 

2 

12 

0 

. 

4 

6 

14 

0 

0 

4 

2 

0 

6 

2 

0 

8 

4 

0 

0 

D 

0 

6 

6 

2 

6 

8 

2 

14 

0 

3 

5 

6 

E 

0 

2 

4 

2 

0 

4 

14 

15 

7 

8 

0 

13 

F 

0 

4 

2 

0 

4 

6 

0 

142 

143 

144 

48


Analyse der Rundenfunktion (1) 

f 

S1 I‘ 


E 

S1E S2E S3E … S8E S1K S2K S3K … S8K S2 I‘ S8 I‘ 

S1 S2 

S8 

S1O, S1 * 

O S2O , S2 * 

O 

S1 O‘ 


gewählt: x, x* x‘ gesucht: k 

S1 E‘, S2 E‘, …, S8 E‘ 

S2 O‘ 

P 

… 

S8 O , S8 O * 

S8 O‘ 

beobachtet: y, y* y‘ 


Analyse der Rundenfunktion (2) 

• Gewählt: Inputpaar x, x* ( x’) 

• Beobachtet: y, y* Outputdifferenz y’ 

1. Schritt: 

Bestimmung von Kandidaten für die Belegung der Input- 

Vektoren der S-Box 

2. Schritt: 

Ermittlung möglicher Schlüsselbits mit Hilfe der ermittelten 

Input-Vektoren 

• Wiederholen dieser Schritte zur weiteren Einschränkung des 

Schlüsselraums 

• Vollständige Suche über eingeschränkten Schlüsselraum 

Beispiel: S1 E = 01 x, S1 E* = 35 x; S1 O‘ = 0D x 


Mögliche Inputpaare für S1 I‘ = 34 x 

Outputdifferenzen 

S1 O‘ 


Eingabepaare für S1 I‘ = 34 x 

1 03, 37; 0F, 3B; 1E, 2A; 1F, 2B 

2 04, 30; 05, 31; 0E, 3A; 11, 25; 12, 26; 14, 20; 

1A, 2E; 1B, 2F 

3 01, 35; 02, 36; 15, 21 

4 13, 27 

7 00, 34; 08, 3C; 0D, 39; 17, 23; 18, 2C; 1D, 29 

8 09, 3D; 0C, 38; 19, 2D 

D 06, 32; 10, 24; 16, 22; 1C, 28 

F 07, 33; 0A, 3E; 0B, 3F 

145 

146 

147 

49


Mögliche Schlüsselbits S1 K 

1. Paar: 

S1E = 01x, S1 * 

E = 35x 

S1I‘ = 34x S1O‘ = 0Dx 2. Paar: 

S1 E = 21 x, 

S1 E * = 15x 

S1 I‘ = 34 x 

S1 O‘ = 03 x 



S1I, S1 * 

I Mögliche Schlüsselbits 

06, 32 07, 33 

10, 24 11, 25 

16, 22 17, 23 

1C, 28 1D, 29 

S1I, S1 * 

I Mögliche Schlüsselbits 

01, 35 20, 14 

02, 36 23, 17 

15, 21 34, 00 

4 Symmetrische Verfahren – Lineare Kryptoanalyse 

Analyse des DES mit 3 Runden 

Outputdifferenz der 

3. Runde bestimmen: 

L C = y 3 x 2 

L C = y 3 L m y 1 

y 3 = L c L m y 1 

y 3 * = Lc * Lm * y1 * 

y 3‘ = L c‘ L m‘ y 1‘ 

R m‘ = 0 y 1‘ = 0 


y 1 

y 2 

y 3 

m = (L m, R m) 

f 

f 

f 

c = (L c , R c) 

x1 = R m 

x 2 

x 3 = R c 


Analyse des DES 

• Bei mehr als 5 Runden kann die Ausgabedifferenz der letzten 

Runde nicht mehr berechnet werden 

• Betrachtung der einzelnen S-Boxen: 

Inputdifferenz Si I’ liefert Outputdifferenz Si O’ mit 

P(Si, Si I’ Si O’ ) (Differenzenverteilungstabelle) 

• Analyse der Input- und Output-Differenzen der 

Rundenfunktion m. H. der Input- und Output-Differenzen der 

S-Boxen: 

P( 

f , x' 

y') 

 

8 

 

i1 

P( 

Si, 

Si ' 

Si ') 

• Verfolgen von Differenzen und Wahrscheinlichkeiten über 

mehrere Runden: Charakteristik 

I 

O 

148 

k 1 

k 2 

k 3 

149 

150 

50


n-Runden-Charakteristik (1) 

= ( m, , c) 

= ( 1, 2, …, n) 

mit: i = ( Ii, Oi) 

m= m’ = (L m ,R m ) 

c = c’ = (L c ,R c ) 

Ii = x i’, Oi = y i’ 

Es gilt: I1 = R m 

I2 = L m O1 

In = R c 

On= L c In-1 

2 i n-1: Oi = Ii-1 Ii+1 


y1 

y2 

y16 

Klartext m 

f 

f 

. . . 

f 

Schlüsseltext c 


n-Runden-Charakteristik (2) 

• Wahrscheinlichkeit p i der Runde i einer Charakteristik 

p i = P(Ii Oi) 

• Wahrscheinlichkeit p einer n-Runden-Charakteristik 

p 

n 

 

 

i1 


p 

 

i 

• Richtiges Paar bzgl. einer n-Runden-Charakteristik und eines 

unabhängigen Schlüssels k: 

– m’ = m und c’ = c – für die ersten n Runden der Berechnung gilt: 

xi’ = Ii ⁄ yi’ = Oi • Übrige Paare: falsche Paare 


1-Runden-Charakteristik mit p = 1 

einziger möglicher Fall: Ii = (00 00 00 00) 

p = 1 


m = (L m, 00 00 00 00) 

y 1‘ = (00 00 00 00) 

f 

c = ( L m 

, 00 00 00 00) 

y15 

x 1‘ = (00 00 00 00) 

f 

k 1 

x 1 

x 2 

x 15 

x 16 

k 1 

k 2 

k 15 

k 16 

151 

152 

153 

51


1-Runden-Charakteristik mitIi ∫ 0 

• Ziel: p möglichst groß 

– SiI’ 0 für nur eine S-Box: nur die mittleren Bits dürfen mit 1 

belegt sein 

S1 E: 


32 

1 2 3 4 

1 2 3 4 

Si I’ = 000100 001000 001100 = 04 x 08 x 0C x 

– Wahrscheinlichkeit für Si I’ Si O’ maximal (S1: bei 0C x E x) 

• 1-Runden-Charakteristik mit p 14 

= für 

64 

14 

S1: 0Cx Ex mit Wahrscheinlichkeit 

64 

S2, …, S8: 00x 0x mit Wahrscheinlichkeit 1 


1-Runden-Charakteristik mit p = 14 

64 


m = (L m, 60 00 00 00) 

14 y1‘ = (00 80 82 00) 

p 

64 

= P(E0 00 00 00) 

= f 

c = (L m 00 80 82 00, 60 00 00 00) 

P(E0 00 00 00): 16 

1 

2 

19 

7 

15 

8 

13 

5 

x 1‘ = (60 00 00 00) 


20 

23 

24 

30 

21 

26 

14 

6 

29 

5 

32 

22 

12 

18 

27 

11 

28 

31 

3 

4 

17 

10 

9 

25 

Konkatenation von n-Runden Charakteristiken 

a = ( m,a, ,a, c,a) sei n-Runden-Charakteristik, 

b = ( m,b, ,b, c,b) sei m-Runden-Charakteristik 

m,a = (L m,a, R m,a), c,a = (L c,a, R c,a) etc. 

a und b können verbunden werden, falls 

L c,a = R m,b und R c,a = L m,b 

= a b = ( m,a, , c,b) 

mit = ( a1, a2, …, an, b1, b2, …, bm) 


k 1 

154 

155 

156 

52


3-Runden-Charakteristik mit p 2 

14 

= 0,05 

64 


m = (00 80 82 00 60 00 00 00) 

14 y1‘ = (00 80 82 00) 

p 

64 

= f 

1 

y2‘ = (00 00 00 00) 

p = 1 f 

2 

14 y3‘ = (00 80 82 00) 

p 

64 

= f 

3 

x 1‘ = (60 00 00 00) 

x 2‘ = (00 00 00 00) 

x 3‘ = (60 00 00 00) 

c = (00 80 82 00 60 00 00 00) 


Iterative Charakteristik = ( m, , c) 

• L m = R c ⁄ R m = L c 

• basiert auf Si I’ Si O’ mit Si I’ 0 ⁄ Si O’ = 0 

• kann zur Konstruktion von n-Runden-Charakteristiken 

verwendet werden mit begrenzter Verringerung von p 


m = (L m,00 00 00 00) 

y1‘ = (00 00 00 00) 

p = 1 

1 

f 

p 2 

y 2‘ = (00 00 00 00) 

f 

c = (00 00 00 00, L m) 

x 1‘ = (00 00 00 00) 

x 2‘ = (L m) 


• Falsche Paare liefern nicht notwendigerweise den richtigen 

Teilschlüssel 

Betrachten der Schnittmenge i. Allg. nicht möglich 

• Richtiger Teilschlüssel jedoch häufiger vertreten (mit 

Wahrscheinlichkeit p von den richtigen Paaren geliefert, 

dazu kommt zufälliges Auftreten in falschen Paaren) 

• DES: Erschweren der differentiellen Kryptoanalyse durch 

entsprechende Designkriterien für die Substitutionen und 

Permutationen 

Don Coppersmith: The Data Encryption Standard and its strength 

against attacks. IBM Journal of Research and Development 38/3, 

1994, 243-250. 

• Wichtiges Designkriterium: 

möglichst hohe Anzahl aktiver S-Boxen pro Runde 


k 1 

k 2 

k 1 

k 2 

k 3 

157 

158 

159 

53


Lineare Kryptoanalyse 

• Matsui, M.: Linear Cryptanalysis Method for DES Cipher. 

Advances in Cryptology – EUROCRYPT '93, LNCS 765, 

Springer-Verlag, 386-397. 

• Klartext-Schlüsseltext Angriff 

• Anwendbar für iterierte Blockchiffren 

• Aufwand: ca. 2 43 Klartextblöcke erforderlich 

• Prinzip: 

– Ziel: Approximation der Chiffrierfunktion durch eine lineare 

Abbildung 

– Suche nach Approximationsgleichungen mit möglichst hoher 

Güte 

– Untersuchung genügend vieler Klartext-Schlüsseltext-Paare 

liefert Schlüsselbits 



Grundlagen 

• Körper: 

Menge F2 = {0, 1}, Addition , Multiplikation · 

• Vektorraum: 

n 

Menge F2 {( b1, 

b2,..., 

bn 

) | bi 

F2} 

Addition: 

(b1, b2, …, bn) (c1, c2, …, cn) = (b1 c1, b2 c2, …, bn cn) Skalare Multiplikation: 

a · (b1, b2, …, bn) = (a · b1, a · b2, …, a · bn) • U, V Vektorräume über K; L: U V Abbildung 

• L linear, wenn für alle u, u 1, u 2 U und k K gilt: 

– L(u 1 + u 2) = L(u 1) + L(u 2) 

– L(k· u) = k· L(u) 



• Matrixdarstellung einer linearen Abbildung 

L : F F ; e ( e e e e e e ) F 

; a ( a a a a ) F 

a1 

l11 

 

a2 

l21 

L( 

e) 

 

a 

3 l31 

 

 

a4 

l41 

l12 

l22 

l32 

l42 

l13 

l23 

l33 

l43 

l14 

l24 

l34 

l44 

l15 

l25 

l35 

l45 

e1 

 

 

l16 

e2 

 

 

l 

26 e3 

 

 

l 

36 e4 

 

 

l 

46 

e5 

 

 

e6 

 

6 4 

6 

4 

2 2 1 2 3 4 5 6 2 1 2 3 4 2 

l11e1 

l e 

 

l21e1 

l e 

l31e1 

l e 

 

 

l41e1 

l e 


12 2 

22 2 

32 2 

42 2 

 

 

 

 

... l16e6 

 

 

... l26e6 

 

... l 

36e6 

 

... l 

46e6 

 

160 

161 

162 

54


Vorüberlegungen zur linearen Kryptoanalyse 

• DES: Substitutionen sind die einzigen nicht-linearen 

Abbildungen 

• Lineare Abhängigkeit einzelner Ausgabebits einer S-Box 

SiO[i]? 6 

gesucht: Funktionen : F F mit 

Si O[i] = (Si I) = l 1Si I[1] l 2Si I[2] … l 6Si I[6] 

Paritätsfunktionen (alle Bits: Parität; nur Berechnung über 

bestimmte Bits: gewichtete Parität) 

• Kennzeichnung der verwendeten Bits mittels 

Auswahlvektor w: w T Si I 

Indexmenge: Angabe der verwendeten Positionen Si I [p1, p2, …] 



Untersuchung der Substitutionsboxen 

• Paritätsfunktionen bzgl. der Eingabe SiI nicht vorhanden 

• Paritätsfunktionen bzgl. Eingabe SiI und Ausgabe SiO Auswahlvektoren u = (u1u2u3u4u5u6) und v = (v1v2v3v4) mit u T SiI = v T Si(SiI) = v T SiO nicht vorhanden (Ausnahme u = 000000, v = 0000) 

• Affine Abbildungen 


2 

Auswahlvektoren u, v, bei denen u T SiI und v T SiO stets unterschiedlich 

Nutzen für Analyse: u T SiI = v T SiO 1 

nicht vorhanden 

Approximation notwendig 

Güte p A der Approximation der Funktion S: Anteil der Argumente, 

in denen die Funktionswerte übereinstimmen 


Beste lineare Approximation von S5 O[1] 

Substitution Lineare Abbildung (Auswahlvektor u) 

S5I S5O 000000 000001 … 110111 … 111110 111111 

000000 0010 0 0 … 0 … 0 0 

000001 1110 0 1 … 1 … 0 1 

000010 1100 0 0 … 1 … 1 1 

000011 1011 0 1 … 0 … 1 0 

000100 0100 0 0 … 1 … 1 1 

. . . . . . . 111101 0101 0 1 … 0 … 0 1 

111110 1110 0 0 … 0 … 1 1 

111111 0011 0 1 … 1 … 1 0 

Häufigkeit: 32 32 … 44 … 34 34 


2 

163 

164 

165 

55


Approximationsmatrix von S5 

Ausw.vektor 

u 

000000 

000001 

000010 

000011 

. 

001111 

010000 

010001 

. 

111101 

111110 

111111 

0 

64 

32 

32 

32 

32 

32 

32 

32 

32 

32 

1 

32 

32 

36 

32 

30 

34 

34 

36 

28 

28 

2 

32 

32 

30 

30 

30 

30 

30 

34 

36 

28 



3 

32 

32 

34 

38 

40 

32 

32 

34 

28 

28 

4 

32 

32 

30 

30 

38 

32 

36 

36 

34 

46 

5 

32 

32 

34 

30 

36 

30 

34 

36 

34 

38 

Auswahlvektor v 

6 

32 

32 

28 

36 

32 

26 

30 

30 

30 

26 

7 

32 

32 

32 

28 

34 

34 

30 

8 

32 

32 

36 

32 

. 

34 

24 

28 

. 

34 

32 

36 

9 

32 

32 

32 

32 

36 

30 

34 

A 

32 

32 

34 

30 

40 

30 

34 

B 

32 

32 

30 

38 

30 

28 

32 

C 

32 

32 

34 

30 

40 

32 

24 

D 

32 

32 

30 

30 

26 

34 

26 

E 

32 

32 

32 

36 

34 

42 

34 

F 

32 

32 

28 

28 

32 

12 

36 

30 42 32 32 34 34 36 32 

34 30 30 30 36 28 32 36 

34 30 38 30 32 32 28 32 


Bestimmung von Schlüsselbits 

m 

6 

6 S5I S5 

S5O 4 

c 

k 

mit p A = 0,81: 

(010000) T m (010000) T k 

= (1111) T c 1 

bzw. 

m [2] k [2] = c [1,2,3,4] 1 

Umstellen nach k [2] : 

k [2] = m [2] c [1,2,3,4] 1 

Analyse von genügend Klartext- 

Schlüsseltext-Paaren liefert k [2] 


Analyse der DES-Rundenfunktion 

• Verwendung der Approximationsfunktion 

• Einbeziehung der Expansionsabbildung E 

und der Schlüsseladdition 

• Berücksichtigung der Permutation P 


16 

1 

2 

19 

7 

15 

8 

13 

Approximationsgleichung für Rundenfunktion 

32 

4 

8 

12 

16 

20 

24 

28 

20 

23 

24 

30 

1 

5 

9 

13 

17 

21 

25 

29 

21 

26 

14 

6 

2 

6 

10 

14 

18 

22 

26 

30 

29 

5 

32 

22 

3 

7 

11 

15 

19 

23 

27 

31 

12 

18 

27 

11 

4 

8 

12 

16 

20 

24 

28 

32 

28 

31 

3 

4 

5 

9 

13 

17 

21 

25 

29 

1 

17 

10 

9 

25 

166 

167 

168 

56


Allgemeines Vorgehen 

Vorbereitung: 

Auswahlvektoren u, v, w bestimmen mit: 

w T k = u T m v T c oder 

w T k = u T m v T c 1 

Güte der Approximation pA > 0,5 

1. Schritt: 

Untersuchung von N Klartext-Schlüsseltext-Paaren 

Z: Anzahl von Paaren, für die die rechte Seite der entsprechenden 

Gleichung 0 ist 

2. Schritt: 

Z > N/2: w T k = 0 

Z < N/2: w T k = 1 



Analyse des DES mit 3 Runden 

k [26] = 

1 

x 

1 1 

[17] y [3,8,14,25] 1 

k [26] = 

3 

x 

3 3 

[17] y [3,8,14,25] 1 


y 1 = L m x 2 

y 2 

y 3 = L c x 2 

4 Symmetrische Verfahren – AES 

m = (L m, R m) 

f 

f 

f 

c = (L c , R c) 

x1 = R m 

x 2 

x 3 = R c 

AES (Advanced Encryption Standard) 

• 1997 Ausschreibung eines öffentlichen Wettbewerbs für die 

Einreichung eines kryptographischen Algorithmus “AES” als 

Nachfolger des DES durch das National Institute of 

Standards and Technology (NIST) der USA 

• Kriterien: 

– Sicherheit (bestmöglich, resistent gegen alle bekannten 

Angriffe) 

– Kosten (weltweit ohne Einschränkungen und Lizenzgebühren 

verfügbar) 

– Performance (effiziente Realisierbarkeit in Hard- und Software) 

– Algorithmische Eigenschaften (klar strukturiert, flexibel, für 

möglichst viele Anwendungen einsetzbar) 

• Einreichungsfrist bis zum 15.6.1998 

• 15 Algorithmen erfüllten formale Kriterien und wurden in 

einer ersten Verfahrensrunde begutachtet 


169 

k 1 

k 2 

k 3 

170 

171 

57


August 1999: 5 Finalisten 

• MARS (IBM, USA): 

komplexes Verfahren mit 32 Runden, aus Feistel-Chiffre abgeleitet 

• RC6 (Ron Rivest u.a., RSA Labs, USA): 

“Rons Code”, Weiterentwicklung von RC5, basiert auf Feistel- 

Netzwerk mit 20 Runden 

• Rijndael (Vincent Rijmen und Joan Daemen, Belgien): 

SP-Netzwerk mit wahlweise 10, 12 oder 14 Runden; 

Weiterentwicklung von SAFER 

• Serpent (Ross Anderson/UK, Eli Biham/Israel, Lars 

Knudsen/Norwegen): 

SP-Netzwerk mit 32 Runden 

• Twofish (Bruce Schneier u.a., USA): 

Weiterentwicklung von Blowfish, Feistel-Algorithmus mit 16 Runden 



Sieger des Wettbewerbs: Rijndael 

• Entscheidung Oktober 2000 

• Begründung: 

Beste Kombination von Sicherheit, Leistungsfähigkeit, 

Effizienz und Implementierbarkeit sowohl in Software als 

auch in Hardware. 

• Publikation als Standard im Herbst 2001 (FIPS Standard 

„Specification for the Advanced Encryption Standard“, FIPS 

197) 

• 2002 trat AES in Kraft 

• Einsatz z.B.: Verschlüsselungsstandard 802.1 für Wireless 

LAN bzw. für Wi-Fi WPA2, SSH, IPSec, 7-Zip, PGP 



Überblick über den Algorithmus 

• Verschlüsselung von Klartextblöcken der Länge 128 Bit 

(vorgeschlagene Längen von 192 und 256 Bits nicht 

standardisiert) 

• Schlüssellänge wahlweise 128, 192 oder 256 Bits 

• Mehrere Runden, jeweils Substitutionen, Permutationen und 

Schlüsseladdition 

• Anzahl der Runden r hängt von Schlüssel- und Klartextlänge 

ab: 

Schlüssel- Blocklänge des Klartextes n b 

länge nk 128 Bit 192 Bit 256 Bit 

128 Bit 10 12 14 

192 Bit 12 12 14 

256 Bit 14 14 14 


172 

173 

174 

58


Struktur des AES 

m i 



. 

Iterationsrunde r 

c i 



Struktur der Iterationsrunden 


s i 

s i,a 

SubByte 

s i,b 

ShiftRow 

s i,c 

MixColumn 

s i,d 

s i+1 

n b 

n b 

Runde i, i = 1, 2, …, r-1 


k i 

nb 

nb 

nb 

nb 

. 

k 0 

k 1 

k 2 

k r 

k n k 


Notation 

• Darstellung eines Bytes als Folge von Bits: 

a = {a 7a 6a 5a 4a 3a 2a 1a 0} 2, a i {0,1} 

• Darstellung als Polynom: 

a 

 

7 

i 

aix 

i0 

• Darstellung als Hexadezimalzahl 


s r 

s r,a 

SubByte 

s r,b 

ShiftRow 

s r,c 

Runde r 

k r 

175 

176 

177 

59


Darstellung der Operanden 

Byte-Matrizen mit 4 Zeilen und N b (N k) Spalten 

mit N b (N k): Blocklänge n b (Schlüssellänge n k) / 32 

a 0,0 a 0,1 a 0,2 a 0,3 a 0,4 a 0,5 a 0,6 a 0,7 

a 1,0 a 1,1 a 1,2 a 1,3 a 1,4 a 1,5 a 1,6 a 1,7 

a 2,0 a 2,1 a 2,2 a 2,3 a 2,4 a 2,5 a 2,6 a 2,7 

a 3,0 a 3,1 a 3,2 a 3,3 a 3,4 a 3,5 a 3,6 a 3,7 

Schlüssel für 

Schlüssellänge 

128 , 192 , 256 

Bit 



Matrix (state) für 

Blocklänge 

128 , 192 , 256 

Bit 

k0,0 k0,1 k0,2 k0,3 k0,4 k0,5 k0,6 k0,7 k1,0 k1,1 k1,2 k1,3 k1,4 k1,5 k1,6 k1,7 k2,0 k2,1 k2,2 k2,3 k2,4 k2,5 k2,6 k2,7 k3,0 k3,1 k3,2 k3,3 k3,4 k3,5 k3,6 k3,7 Mathematische Grundlagen 

• Alle Verschlüsselungsschritte basieren auf Operationen in 

endlichen Körpern 

• Alle Bytes als Elemente des Körpers GF(2 8 ) interpretierbar: 

a 7x 7 + a 6x 6 + a 5x 5 + a 4x 4 + a 3x 3 + a 2x 2 + a 1x + a 0 mod m(x) 

mit m(x) = x 8 + x 4 + x 3 + x + 1 (irreduzibles Polynom) 

• Addition : 

a = {a 7a 6a 5a 4a 3a 2a 1a 0}, b = {b 7b 6b 5b 4b 3b 2b 1b 0} 

c = a b mit c i = a i b i 

• Multiplikation : 

c = a b = a · b mod m(x) 


 


• Polynome dritten Grades mit Koeffizienten aus GF(2 8 ): 

Polynomring GF(2 8 )[x]/(x 4 +1) 

a(x) = a 3x 3 + a 2x 2 + a 1x + a 0 mit a i 


GF(2 8 ) 

• Addition : 

c(x) = a(x) b(x) = 

(a 3 b 3)x 3 + (a 2 b 2)x 2 + (a 1 b 1)x + (a 0 b 0) 

• Multiplikation : 

c(x) = a(x) b(x) = a(x) · b(x) mod (x4 +1) 

 

 

178 

179 

180 

60


c(x) = c 6x 6 + c 5x 5 + c 4x 4 + c 3x 3 + c 2x 2 + c 1x + c 0 

 

 

c0 = (a0 b0) c1 = (a1 b0) (a0 b1) c2 = (a2 b0) (a1 b1) (a0 b2) c3 = (a3 b0) (a2 b1) (a1 b2) (a0 b3) c4 = (a3 b1) (a2 b2) (a1 b3) c5 = (a3 b2) (a2 b3) c6 = (a3 b3) mit xi mod (x4 +1) = xi mod 4 : d(x) = d3x3 + d2x2 

 

 

 

+ d1x + d0 

d0 = (a0 b0) (a3 b1) (a2 b2) (a1 b3) d1 = (a1 b0) (a0 b1) (a3 b2) (a2 b3) d2 = (a2 b0) (a1 b1) (a0 b2) (a3 b3) d3 = (a3 b0) (a2 b1) (a1 b2) (a0 b3) (oftmals Matrixschreibweise) 




 

 

Schritt 1: SubByte 

• Alle Bytes einer Matrix werden unabhängig voneinander 

substituiert 

• Nichtlinearität 

s i,a = 

a0,0 a0,1 a0,2 a0,3 a1,0 a 1,1 a1,2 a1,3 a2,0 a2,1 a2,2 a2,3 a3,0 a3,1 a3,2 a3,3 Kryptographie und Kryptoanalyse 

 

b i,j := S 8(a i,j) 


Substitutionsbox S 8(a 7a 6a 5a 4a 3a 2a 1a 0) 

a 7a 6a 5a 4 

0 

1 

2 

3 

4 

5 

6 

7 

. 

C 

D 

E 

F 

0 

63 

CA 

B7 

04 

09 

53 

D0 

51 

BA 

70 

E1 

8C 

1 

7C 

82 

FD 

C7 

83 

D1 

EF 

A3 

78 

3E 

F8 

A1 

2 

77 

C9 

93 

23 

2C 

00 

AA 

40 

25 

B5 

98 

89 

3 

7B 

7D 

26 

C3 

1A 

ED 

FB 

8F 

2E 

66 

11 

0D 

 

181 

b0,0 b0,1 b0,2 b0,3 b1,0 b2,0 b 1,1 1,1 b1,2 b2,1 b2,2 b1,3 b2,3 = si,b b3,0 b3,1 b3,2 b3,3 a3a2a1a0 4 5 6 7 8 9 A B C D E F 

F2 6B 6F C5 30 01 67 2B FE D7 AB 76 

FA 59 47 F0 AD D4 A2 AF 9C A4 72 C0 

36 3F F7 CC 34 A5 E5 F1 71 D8 31 15 

18 96 05 9A 07 12 80 E2 EB 27 B2 75 

1B 6E 5A A0 52 3B D6 B3 29 E3 2F 84 

20 FC B1 5B 6A CB BE 39 4A 4C 58 CF 

43 4D 33 85 45 F9 02 7F 50 3C 9F A8 

92 9D 38 F5 BC B6 DA 21 10 FF F3 D2 

1C 

48 

69 

BF 

A6 

03 

D9 

E6 

B4 

F6 

8E 

42 

. . 

C6 

0E 

94 

68 

E8 

61 

9B 

41 

DD 

35 

1E 

99 

74 

57 

87 

2D 

1F 

B9 

E9 

0F 

4B 

86 

CE 

B0 

BD 

C1 

55 

54 

8B 

1D 

28 

BB 

8A 

9E 

DF 

16 

182 

183 

61


Schritt 2: ShiftRow 

• Zyklische Verschiebung der Zeilen nach links 

• Diffusion 

s i,b = 

b0,0 b0,1 b0,2 b0,3 b1,0 b1,1 b1,2 b1,3 b2,0 b2,1 b2,2 b2,3 b3,0 b3,1 b3,2 b3,3 Kryptographie und Kryptoanalyse 



Zeile 0 1 2 3 

Nb = 4 0 1 2 3 

Nb = 6 0 1 2 3 

Nb = 8 0 1 3 4 

c0,0 c0,1 c0,2 c0,3 c1,0 c2,0 c1,1 c2,1 c1,2 c2,2 c1,3 c2,3 = si,c c3,0 c3,1 c3,2 c3,3 Schritt 3: MixColumn 

• Operiert jeweils auf Spalten der Matrix (32-Bit Substitution) 

• Diffusion 

s i,c = 

c0,0 c 0,1 

c0,2 c0,3 c1,0 c 1,1 

c1,2 c1,3 c2,0 c 2,1 2,1 c2,2 c2,3 c3,0 c 3,1 

c3,2 c3,3 Kryptographie und Kryptoanalyse 

d i := a(x) c i mod (x 4 + 1) 


d i := a(x) c i mod (x 4 +1) 

a(x) = {03} x 3 + {01} x 2 + {01} x + {02} 

d0,i d1,i d 

= 

2,i 

d3,i 02 03 01 01 

01 02 03 01 

01 01 02 03 

03 01 01 02 

c0,i c1,i c2,i c3,i 184 

d0,0 d 0,1 

d0,2 d0,3 d1,0 d2,0 d 1,1 

d 2,1 2,1 

d1,2 d2,2 d1,3 d2,3 = si,d d3,0 d 3,1 

d3,2 d3,3 d 0,i = ({02}·c 0,i) ({03}·c 1,i) c 2,i c 3,i 

d 1,i = c 0,i ({02}·c 1,i) ({03}·c 2,i) c 3,i 

d 2,i = c 0,i c 1,i ({02}·c 2,i) ({03}·c 3,i) 

d 3,i = ({03}·c 0,i) c 1,i c 2,i ({02}·c 3,i) 

185 

186 

62


Schritt 4: AddRoundKey 

• Macht Iterationsrunden schlüsselabhängig 

• Länge des Rundenschlüssels k i: n b 

s i,d 

d 0,0 d 0,1 d 0,2 d 0,3 

d 1,0 d 1,1 d 1,2 d 1,3 

d 2,0 d 2,1 d 2,2 d 2,3 

d 3,0 d 3,1 d 3,2 d 3,3 



k i 

k 0,0 k 0,1 k 0,2 k 0,3 

s i+1,a 

a 0,0 a 0,1 a 0,2 a 0,3 

k1,0 k1,1 k1,2 k1,3 a1,0 a1,1 a1,2 a1,3 = 

k2,0 k2,1 k2,2 k2,3 a2,0 a2,1 a2,2 a2,3 k 3,0 k 3,1 k 3,2 k 3,3 


a 3,0 a 3,1 a 3,2 a 3,3 


• Expansion des AES-Schlüssels, abhängig von n b und n k 

• n b bestimmt Länge der Rundenschlüssel 

• n b und n k bestimmen Anzahl der Runden Anzahl der 

Rundenschlüssel 

• Länge des expandierten Schlüssels in Byte = 4N b(r+1): 


Schlüssel- Blocklänge des Klartextes n b 

länge nk 128 Bit 192 Bit 256 Bit 

128 Bit 16·11 24·13 32·15 

192 Bit 16·13 24·13 32·15 

256 Bit 16·15 24·15 32·15 



• Verschiedene Expansionsalgorithmen für Nk = 4, 6 

und Nk = 8 

• Expandierter Schlüssel: Folge von 4-Byte Blöcken wi w0 w1 w2 … wi … wN b*(r+1)-1 

• Auswahl der Rundenschlüssel: 

w 0 w 1 w 2 … w N -1 w N w N +1 … 

k 0 

b b b 

k 1 

187 

188 

189 

63


Schlüsselexpansion für N k = 4 

w 0 

w 4 

k[0:3] 

w 1 

w 5 

k[4:7] 


w 2 

w 6 

k[8:11] 

w 3 

w 7 

… … … … 



k[12:15] 

Rot 

Rot 

Schlüsselexpansion – Verwendete Funktionen 

• Rot: zyklische Verschiebung 

Rot([a 0, a 1, a 2, a 3]) = [a 1, a 2, a 3, a 0] 

SubWord 

SubWord 

Rcon[1] 

Rcon[2] 

• SubWord: byteweise Substitution unter Nutzung von S 8 

SubWord([a 0, a 1, a 2, a 3]) = [S 8(a 0), S 8(a 1), S 8(a 2), S 8(a 3)] 

• Rcon: Konstante für die betreffenden Runden 

Rcon[j = i/N k] = [x j-1 , {00}, {00}, {00}] 



• Umgekehrte Reihenfolge, inverse Funktionen 

ShiftRow 

si -1 

sr,c sr,b SubByte-1 sr,a sr Runde r Runde i, i = r-1, r-2, …, 1 

• Zum Schluss Addition des Rundenschlüssels k 0 


k r 

s i+1 

s i,d 

MixColumn -1 

s i,c 

ShiftRow-1 si,b SubBytes -1 

si,a si k i 

190 

191 

192 

64


Inverse Funktionen 

• ShiftRow -1 : 

zyklische Verschiebung nach rechts 

• SubByte -1 : 

Anwendung der inversen Substitution a i,j := S 8 -1 (bi,j) 

• MixColumn -1 : 

Multiplikation mit dem multiplikativen Inversen mod (x 4 + 1) 

a -1 (x) = ({03} x 3 + {01} x 2 + {01} x + {02}) -1 mod (x 4 + 1) 

= {0b} x 3 + {0d} x 2 + {09} x + {0e} 



Entschlüsselung in äquivalenter Reihenfolge 

• SubByte(ShiftRow(s i)) = ShiftRow(SubByte(s i)) 

und 

SubByte -1 (ShiftRow -1 (s i)) = ShiftRow -1 (SubByte -1 (s i)) 

• MixColumn(s i k i) = MixColumn(s i) MixColumn(k i) 

und 

MixColumn -1 (s i k i) = MixColumn -1 (s i) MixColumn -1 (k i) 

Reihenfolge der Abarbeitung wie bei Verschlüsselung 

k i’ = MixColumn -1 (k i), i = 1, 2, …, r-1 



Entschlüsselung in äquivalenter Reihenfolge 

• Addition des Rundenschlüssels k r 

s i+1 

s i,a 

SubByte -1 

s i,b 

ShiftRow -1 

s i,c 

MixColumn -1 

s i,d 

Runde i, i = r-1, r-2, …, 1 


s i 

k i‘ 

s 1 

s 1,a 

SubByte -1 

s 1,b 

ShiftRow -1 

s 1,c 

k 0 

193 

194 

195 

65


Analyse des AES 

• Darstellung als algebraische Formel 2001 [FeSW_01] 

(für nk = 128 ca. 250 Terme, für nk = 256 ca. 270 Terme) 

• XSL-Angriff (Extended Sparse Linearisation) [CoPi_02] 

(Darstellung mit Hilfe eines quadratischen Gleichungssystems; für 

n k = 128: 8000 Gleichungen mit 1600 Variablen) 

• Weitere Angriffe wie z.B. Collision attacks, Related-key 

attacks und Seitenkanalangriffe 

• Übersicht über Angriffe z.B. unter: 

http://www.cryptosystem.net/aes/ 

http://www.iaik.tugraz.at/content/research/krypto/aes/ 


4 Symmetrische Verfahren – Betriebsarten 

Betriebsarten 

Verschlüsselung längerer Nachrichten, Authentikation 

Beispiele für Betriebsarten: 

– Verschlüsselung: 

• Electronic Code Book (ECB) 

1981 für DES 

• Cipher Block Chaining (CBC) 

standardisiert 

• Cipher Feedback (CFB) 

(FIPS 81) 

• Output Feedback (OFB) 

• Counter Mode (CTR) 

– Authentikation: 

• Cipher-based MAC (CMAC) 

– Authentikation und Verschlüsselung: 

• Counter with CBC-MAC (CCM) 

• Galois/Counter Mode (GCM bzw. GMAC) 



• Anwendung der Betriebsarten erlaubt die Konstruktion von 

synchronen oder selbstsynchronisierenden „Stromchiffren“ 

aus Blockchiffren 

(zugrunde liegendes Alphabet wird dabei teilweise gewechselt) 

– Synchrone Stromchiffre: Verschlüsselung eines Zeichens ist 

abhängig von der Position bzw. von vorhergehenden Klartextoder 

Schlüsselzeichen 

– Selbstsynchronisierende Stromchiffre: Verschlüsselung ist nur 

von begrenzter Anzahl vorhergehender Zeichen abhängig 

• ECB, CBC und CFB: selbstsynchronisierende Stromchiffre 

• OFB, CTR: synchrone Stromchiffre 


196 

197 

198 

66


• Betrachtung von Fehlerauswirkungen / Manipulationen 

– Zeitpunkt des Fehlers / der Manipulation 

• während der Übertragung (Speicherung) 

• während der Ver- bzw. Entschlüsselung (transient) 

Sender Empfänger 

enc 

dec 

– Art des Fehlers / der Manipulation 

• Additive Fehler: Verfälschung einzelner Bits („Addition 

eines Fehlermusters“); Blockgrenzen bleiben erhalten 

• Synchronisationsfehler: Hinzufügen bzw. Verlust von 

Blöcken / Bits (letzteres ändert die Blockgrenzen) 



Electronic Codebook (ECB) 

Verschlüsselung Entschlüsselung 

mi l 

l ci enc 

ci = enc(k, mi), 1 

mi = dec(k, ci), 1 

c = enc(k, m1) enc(k, m2) ... enc(k, mn) m = dec(k, c1) dec(k, c2) ... dec(k, cn) Kryptographie und Kryptoanalyse 

k 


l l 

dec 

Electronic Codebook (ECB) – Eigenschaften 

• Selbstsynchronisierend (Abhängigkeit von 0 Blöcken) 

• Länge der verarbeiteten Einheiten: entsprechend Blockgröße 

der Blockchiffre (DES: l = 64 Bit) 

• Keine Abhängigkeiten zwischen den Blöcken 

– Direktzugriff auf einzelne Schlüsseltextblöcke möglich 

– gleiche Klartextblöcke liefern gleiche Schlüsseltextblöcke 

ggf. Kodebuchanalysen möglich 

• Fehlerauswirkungen 

– additive Fehler: keine Fehlerfortpflanzung 

– Synchronisationsfehler bzgl. ganzer Blöcke: keine 

Fehlerfortpflanzung 

gezieltes Einfügen und Entfernen von Blöcken möglich 

– Synchronisationsfehler bzgl. Bits: Entschlüsselung fehlerhaft, 

bis Blockgrenzen erneut festgelegt 


c i 

k 

m i 

199 

200 

201 

67


Cipher Block Chaining (CBC) – Verschlüsselung 

m i 

l 

c i-1 IV 


k 

enc 

c i 

1 l 

… 

Speicher für 

Schlüsseltextblock 

ci-1 bzw. IV 

c1 = enc(k, (m1 IV )); IV: Initialisierungsvektor 

ci = enc(k, (mi ci-1)), 1 

c = enc(k, (m1IV)) enc(k, (m2c1)) enc(k, (m3c2)) … enc(k, (mncn-1)) 4 Symmetrische Verfahren – Betriebsarten 

Cipher Block Chaining (CBC) – Entschlüsselung 

k 

c i 

l 

m 1 = dec(k, c 1) IV 

m i = dec(k, c i) c i-1, 1 


dec 

1 l 

… 

m = dec(k, c 1) IV dec(k, c 2) c 1 dec(k, c 3) c 2 … dec(k, c n ) c n-1 



l 

l 

c i-1 IV 

m i 

202 

Speicher für 


c i-1 bzw. IV 

Cipher Block Chaining (CBC)– Eigenschaften 

• Selbstsynchronisierend (Abhängigkeit von 1 Block) 

• Länge der verarbeiteten Einheiten: entsprechend Blockgröße 

der Blockchiffre (DES: l = 64 Bit) 

• Abhängigkeiten zwischen den Blöcken 

– kein Direktzugriff auf einzelne Schlüsseltextblöcke möglich 

– gleiche Klartextblöcke liefern unterschiedliche 

Schlüsseltextblöcke 

Kodebuchanalysen erschwert 

• Initialisierungsvektor IV muss Sender und Empfänger 

bekannt sein 

203 

204 

68



– Fehler während der Übertragung 

• additive Fehler: Fehlerfortpflanzung in den Folgeblock 

• Synchronisationsfehler bzgl. ganzer Blöcke: 2 Blöcke 

betroffen 

• Synchronisationsfehler bzgl. Bits: Entschlüsselung fehlerhaft, 

bis Blockgrenzen erneut festgelegt 

– Fehler während der Verschlüsselung 

• ab Fehlerstelle wird ein anderer Schlüsseltext erzeugt 

• Entschlüsselung: nur ein Klartextblock betroffen 

Verfahren eignet sich zur Authentikation: Manipulationen, 

Einfügen und Entfernen von Blöcken erkennbar 



CBC zur Authentikation (CBC-MAC) 

m i 

c i-1 IV 


k 

enc 

c i 

1 

… 

l 

IV = 0…0 

205 

letzter 


c n 

letzter Schlüsseltextblock wird als MAC angehängt: m 1 m 2 m 3 … m n c n 

Empfänger berechnet ebenfalls c n und vergleicht mit erhaltenem c n 


Cipher Feedback (CFB) – Verschlüsselung 

m i 

r 


l r+1 r 

… … 

enc 

l 1 

… 

r 

… 

1 

Schieberegister A 

a i Inhalt zum Zeitpunkt i 

a 1 = IV 

k 

206 

Ausgabeblock B 

bi Ausgabe zum Zeitpunkt i 

r ci c i = m i b i[1:r] = m i enc(k, a i)[1:r] 

für l = 64, r = 8: a i = c i-8 c i-7 c i-6 … c i-2 c i-1; a 1 = IV = c -7 c -6 c -5 … c 1 c 0 

207 

69


Cipher Feedback (CFB) – Entschlüsselung 

c i 

r 


l r+1 r 

… … 

… 

r 

enc 

l 1 

… 

1 

Schieberegister A 


a 1 = IV 

k 



r mi m i = c i b i[1:r] = c i enc(k, a i)[1:r] 

für l = 64, r = 8: a i = c i-8 c i-7 c i-6 … c i-2 c i-1; a 1 = IV = c -7 c -6 c -5 … c 1 c 0 


Cipher Feedback (CFB) – Eigenschaften 

l 

• Selbstsynchronisierend (Abhängigkeit von Einheiten; l: 

r 

 

Blockgröße der Chiffre; DES: l = 64) 

• Länge der verarbeiteten Einheiten: r < b, frei wählbar (z.B. 

8 Bit, also byteweise Verarbeitung) 

• Abhängigkeiten zwischen den Blöcken 





bekannt sein 

• Nur Verschlüsselungsfunktion verwendet – es entsteht 

immer eine symmetrische Chiffre 




– Fehler während der Übertragung 

• additive Fehler und Synchronisationsfehler bzgl. ganzer 

Blöcke: Fehlerfortpflanzung entsprechend der 

Abhängigkeiten von vorherigen Blöcken 

• Synchronisationsfehler bzgl. Bits: Entschlüsselung fehlerhaft, 

bis Blockgrenzen erneut festgelegt; durch geeignete Wahl 

von r können Verschiebungen der Blockgrenzen verhindert 

werden 

– Fehler während der Verschlüsselung entsprechend CBC 

Verfahren eignet sich zur Authentikation (verschlüsselten 

letzten Block c n als MAC): Manipulationen, Einfügen und 

Entfernen von Blöcken erkennbar 


208 

209 

210 

70


Output Feedback (OFB) – Ver-/Entschlüsselung 

mi ci l 

c i = m i b i = m i enc(k, a i) 

m i = c i b i = c i enc(k, a i) 


l 

… 

enc 

l 1 



… 

1 

Eingabeblock A 


a 1 = IV 

k 



l ci mi Anmerkung: in FIPS 81 Länge der 

verarbeiteten Einheiten frei wählbar 

Output Feedback (OFB) – Eigenschaften 

• Synchron 

• Abhängigkeit von Position der verarbeiteten Einheit 





bekannt sein; darf bzgl. eines Schlüssels nur einmal 

verwendet werden 





– anfällig gegen Synchronisationsfehler 


Counter Mode (CTR) – Ver-/Entschlüsselung 

mi ci c i = m i b i = m i enc(k, T i) 

m i = c i b i = c i enc(k, T i) 


l 

… 

enc 

l 1 

… 

1 

T i Zähler zum Zeitpunkt i 

T 1 Startwert des Zählers 

T i = inc(T i -1) 

k 

ci mi 211 

212 


b i Ausgabe zum Zeitpunkt i 

213 

71


Counter Mode (CTR) – Eigenschaften 

• Synchron 

• Abhängigkeit von Position der verarbeiteten Einheit 



• Direktzugriff auf einzelne Schlüsseltextblöcke möglich 

• Zähler muss Sender und Empfänger bekannt sein, darf 

bzgl. eines Schlüssels nur einmal verwendet werden 





– anfällig gegen Synchronisationsfehler 

• Vorteil: Effizienz 



Cipher-based MAC (CMAC) 

• Bietet auch Sicherheit für Nachrichten beliebiger Länge 

• Schlüssel k1 und k2 werden mit Hilfe des geheimen Schlüssels 

k ermittelt (abhängig von Blocklänge) und mit letztem 

Nachrichtenblock XOR-verknüpft 

• Berechnung des MAC ansonsten wie mit CBC (IV = 0…0); 

Auswahl der Tlen MSBs (most significant bits) als MAC 

k 

m 1 m 2 m n * 

enc 


k 

enc 

… 


k 

enc 

ggf. aufgefüllt 

c n[1:Tlen] 

214 

k1 , falls m* n 

kompletter 

Block / 

k2 sonst 

Counter with CBC-MAC (CCM) 

• Vertraulichkeit und Integrität für die Nachricht (payload P) 

• Integrität für zusätzliche Daten (assigned data A) 

• Zufallszahl (nonce N; verschieden für verschiedene Paare 

(A,P)) 

• Generieren & Verschlüsseln: 

– MAC berechnen für P, A und N mittels CBC-MAC (IV = 0) 

– Verschlüsselung von N, P und MAC mittels CTR 

• Entschlüsseln & Prüfen: 

– Entschlüsselung mittels CTR N, P, MAC 

– Berechnung des MAC für P, A und N mittels CBC-MAC und 

Vergleich mit entschlüsseltem MAC 


215 

216 

72


Galois/Counter Mode (GCM bzw. GMAC) 

• Vertraulichkeit und Integrität für die Nachricht 

• Integrität für zusätzliche Daten 

• Initialisierungsvektor IV (darf nur einmal verwendet werden) 

• GMAC: zu verschlüsselnde Nachricht der Länge 0 

• Verschlüsselung: 

– CTR mit spezieller inc-Funktion (nur ein Teil der Bits des 

Zählers werden inkrementiert) 

– erster Wert des Zählers von IV abgeleitet 

• Berechnung des MAC: 

– Hashfunktion GHASH: Multiplikation mit einem festen 

Parameter H (hash subkey) in einem endlichen Körper 

– H = enc(k, 0 128 ) 


217 

73

Kryptographie und Kryptoanalyse

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?