Kryptologie und Datensicherheit

Universität Tübingen
Wilhelm-Schickard-Institut
Arbeitsbereich Diskrete Mathematik
Leitung: Prof. Dr. Peter Hauck
Vorlesung WS 2006/2007
Stand: 15. Juni 2007
Kryptologie und Datensicherheit
Herstellung der TeX-Fassung des Vorlesungsskripts: Jürgen Sommer
Inhaltsverzeichnis
1 Grundbegriffe
9
2 Klassische symmetrische Verschlüsselungsverfahren
2.1
14
Substitutionschiffren . . . . . . . . . . . . . . . . . . . . . . . 15
2.1.a
Monoalphabetische Substitutionschiffren . . . . . . . . 15
2.1.b
Homophone Substitutionschiffren . . . . . . . . . . . . 16
2.1.c
Kryptoanalyse monoalphabetischer und homophoner
Substitutionschiffren . . . . . . . . . . . . . . . . . . . 18
2.1.d
Polyalphabetische Verschlüsselungen und
Lauftextverschlüsselungen . . . . . . . . . . . . . . . . 24
2.1.e
Kryptoanalyse periodischer polyalphabetischer
Verschlüsselungen . . . . . . . . . . . . . . . . . . . . . 30
2.2
Transpositionschiffren . . . . . . . . . . . . . . . . . . . . . . . 38
2.3
Affin lineare Chiffren . . . . . . . . . . . . . . . . . . . . . . . 42
2.3.a
Lineare Algebra über kommutativen Ringen . . . . . . 42
2.3.b
Affin lineare Blockchiffren . . . . . . . . . . . . . . . . 44
3 Blockchiffren und ihre Betriebsarten
47
3.1
Allgemeine Vorbemerkungen . . . . . . . . . . . . . . . . . . . 47
3.2
Feistel-Chiffren . . . . . . . . . . . . . . . . . . . . . . . . . . 50
3.3
Eine vereinfachte Version des DES-Algorithmus . . . . . . . . 52
3.4
Der ’Data Encryption Standard’ DES
3.5
Andere Blockchiffren . . . . . . . . . . . . . . . . . . . . . . . 74
3.6
Der Advanced Encryption Standard (AES)
Das Rijndael-Verfahren . . . . . . . . . . . . . . . . . . . . . . 75
3.7
Betriebsarten von Blockchiffren . . . . . . . . . . . . . . . . . 85
2
. . . . . . . . . . . . . 66
4 Stromchiffren und Pseudozufallsfolgen
89
4.1
Synchrone Stromchiffren . . . . . . . . . . . . . . . . . . . . . 89
4.2
Selbstsynchronisierende (asynchrone) Stromchiffren . . . . . . 90
4.3
Schieberegister . . . . . . . . . . . . . . . . . . . . . . . . . . 92
4.4
Lineare Schieberegister . . . . . . . . . . . . . . . . . . . . . . 93
4.5
Lineare Komplexität und Bestimmung von Schieberegisterfolgen aus Teilfolgen . . . . . . . . . . . . . . . . . . . . . . . 96
4.6
Schieberegister zur Schlüsselstromerzeugung . . . . . . . . . . 98
4.7
Andere Stromchiffren . . . . . . . . . . . . . . . . . . . . . . . 101
4.8
Pseudozufallsfolgen . . . . . . . . . . . . . . . . . . . . . . . . 102
4.9
4.8.a
Die Golomb-Postulate . . . . . . . . . . . . . . . . . . 102
4.8.b
Statistische Tests . . . . . . . . . . . . . . . . . . . . . 105
4.8.c
Kolmogorov-Komplexität . . . . . . . . . . . . . . . . . 110
4.8.d
Kryptographisch sichere Pseudozufallsfolgen . . . . . . 110
Kryptographisch sichere Pseudozufallszahlen-Generatoren
und Einwegfunktionen . . . . . . . . . . . . . . . . . . . . . . 115
4.10 Die Frage nach der Existenz von Einwegfunktionen . . . . . . 119
5 Public-Key-Kryptographie
121
5.1
Die Grundidee . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
5.2
Modulare Potenzen und das RSA-Verfahren . . . . . . . . . . 122
5.3
Sicherheit des RSA-Verfahrens . . . . . . . . . . . . . . . . . . 128
5.4
Effizienz des RSA-Verfahrens
5.5
Primzahltests . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
5.6
Diskrete Logarithmen und das Schlüsselaustauschverfahren
von Diffie und Hellman . . . . . . . . . . . . . . . . . . . . . . 137
5.7
Sicherheit des Diffie-Hellman-Verfahrens . . . . . . . . . . . . 139
3
. . . . . . . . . . . . . . . . . . 134
5.8
Das ElGamal-Verschlüsselungsverfahren . . . . . . . . . . . . . 140
5.9
Erweiterungen der Diffie-Hellman und ElGamal-Verfahren . . 142
5.10 Modulares Quadrieren, das Verfahren von Rabin und der
Blum-Blum-Shub Pseudozufallsfolgengenerator . . . . . . . . . 143
6 Digitale Signaturen und kryptographische Hashfunktionen 145
6.1
Grundidee digitaler Signaturen
. . . . . . . . . . . . . . . . . 145
6.2
Kryptographische Hashfunktionen . . . . . . . . . . . . . . . . 146
6.3
Signaturen mit Hashfunktionen . . . . . . . . . . . . . . . . . 150
6.4
RSA-Signaturen . . . . . . . . . . . . . . . . . . . . . . . . . . 151
6.5
ElGamal-Signatur . . . . . . . . . . . . . . . . . . . . . . . . . 153
6.6
Der Digital Signature Algorithm (DSA) . . . . . . . . . . . . . 156
6.7
Blinde Signaturen . . . . . . . . . . . . . . . . . . . . . . . . . 157
7 Authentifizierung und Zero-Knowledge-Beweise
159
7.1
Passwörter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
7.2
Challenge-Response-Authentifizierung . . . . . . . . . . . . . . 160
7.3
7.2.a
Verwendung von symmetrischen Verschlüsselungsverfahren . . . . . . . . . . . . . . . . . . . . . . . . . 160
7.2.b
Verwendung von Public-Key-Signaturverfahren
. . . . 160
Zero-Knowledge-Beweise . . . . . . . . . . . . . . . . . . . . . 161
4
Abbildungsverzeichnis
1
Grundschema einer Verschlüsselung zwischen Alice und Bob .
2
Die Teildisziplinen Kryptographie und Kryptoanalyse . . . . . 12
3
Strom- vs Block-, Substitutions- vs Transpositionschiffre . . . 14
4
Zuordnung bei homophoner Substitutionschiffre . . . . . . . . 17
5
Glättung der Buchstabenhäufigkeiten bei VigenèreVerschlüsselung . . . . . . . . . . . . . . . . . . . . . . . . . . 26
6
Schematischer Signallaufplan ENIGMA . . . . . . . . . . . . . 28
7
Schematischer Ablauf einer Feistel-Chiffrierung . . . . . . . . . 50
8
Expansion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
9
Vereinfachtes DES: Expansion, Rundenschlüsseladdition,
Substitution . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
10
Rundenschlüsselerzeugung . . . . . . . . . . . . . . . . . . . . 67
11
Schematische Darstellung der Berechnung von fKi (R) . . . . . 70
12
Schematischer Ablauf des Rijndael-Verfahrens . . . . . . . . . 80
13
Transformationen . . . . . . . . . . . . . . . . . . . . . . . . . 81
14
Verschlüsselung selbstsynchronisierender Stromchiffren . . . . 90
15
Entschlüsselung selbstsynchronisierender Stromchiffren . . . . 90
16
Rückgekoppeltes Schieberegister . . . . . . . . . . . . . . . . . 92
17
Binäres lineares Schieberegister der Länge n . . . . . . . . . . 93
18
Nichtlineare Kombination von linearen Schieberegistern . . . . 99
19
Nichtlineare Filtergeneratoren . . . . . . . . . . . . . . . . . . 100
20
Stop-and-Go-Generator . . . . . . . . . . . . . . . . . . . . . . 100
21
Wahrscheinlichkeitsfunktion p(X = i) der binomialverteilten
Zufallsgröße X für n = 6 . . . . . . . . . . . . . . . . . . . . . 106
5
9
22
23
Ablehnungsbereich einer binären 0-1-Folge der Länge 20
hinsichtlich der Zufallsvariablen Anzahl der Einsen“ . . . . . 107
”
Wahrscheinlichkeitsfunktion der Zufallsvariablen X1 für
n = 6 und n = 20 . . . . . . . . . . . . . . . . . . . . . . . . . 108
6
Tabellenverzeichnis
1
Häufigkeitsverteilung der Buchstaben in deutschsprachigen
Texten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
2
Häufigste Digramme in deutschsprachigen Texten . . . . . . . 19
3
Exemplarische Zeichenfolgeabstände, Ermittlung v. d nach
Kasiski . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
4
Teiltexte 1-5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
5
Alle 8 Input- u. Output-Differenzen zu geg. A′ = (1010) u. S1
57
6
Alle 8 Input- u. Output-Differenzen zu geg. A′ = (0011) u. S1
57
7
Alle 8 Input- u. Output-Differenzen zu geg. A′ = (1011) u. S2
58
8
Alle 8 Input- u. Output-Differenzen zu geg. A′ = (1100) u. S2
58
9
Die 8 S-Boxen des DES, repräsentiert durch 8 4 × 16 Matrizen 69
7
Einleitung
Kryptologie: Wissenschaft von der sicheren Übermittlung (oder Speicherung)
von Daten.
Übermittlung erfolgt über Kanäle: Kupferleitung, Glasfaser, drahtlose Kommunikation, etc.
Folgende Beeinträchtigungen sind möglich:
• zufällige Störungen
• systematische (physikalisch bedingte Störungen)
• passive Beeinträchtigungen (Abhören von Telefongesprächen, Lesen von
Speichermedien)
• aktive Beeinflussung (Fälschen von Daten, Nachrichten)
Die ersten beiden Punkte sind Thema der Codierungstheorie und der Signalverarbeitung. Die letzten beiden betreffen die Kryptologie.
Praktisch alle kryptologischen Verfahren haben die Aufgabe, eine (oder mehrere) der folgenden vier Anforderungen an die Übermittlung bzw. Speicherung von Nachrichten zu gewährleisten:
• Geheimhaltung (Lesen der Nachricht für Unbefugte unmöglich bzw.
schwierig zu machen)
• Authentifizierung (Identitätsbeweis des Senders der Nachricht gegenüber dem Empfänger, d.h. Empfänger kann sicher sein, dass die Nachricht nicht von einem anderen (unbefugten) Absender kommt.)
• Integrität (Nachricht darf während ihrer Übermittlung nicht (von Unbefugten) verändert werden, ohne dass dies bemerkt wird.)
• Verbindlichkeit (Der Sender kann später nicht leugnen, die Nachricht
abgeschickt zu haben)
Früher: Vor allem Geheimhaltung wichtig; hauptsächlich im militärischen
Bereich; Bsp.: Strategische Bedeutung der legendären Chiffriermaschine ENIGMA während des 2. Weltkrieges; führende Beteiligung Alan
Turings am Brechen des Algorithmus.
8
Heute: Zivile Anwendungen noch wichtiger, insbesondere wegen des enormen
Wachstums netzgestützter Kommunikation (Internet).
Inhalt der Vorlesung
• Klassische (symmetrische) Verschlüsselungsverfahren
• Asymmetrische Verschlüsselungsverfahren (Public Key Systeme)
• Kryptologische Hash-Funktionen
• Digitale Signaturen und Authentifizierung
• Zero-Knowledge Beweise
1
Grundbegriffe
Klartext (plaintext)
Zeichenfolge über Alphabet R
Sender
(Alice)
Verschlüsselung
Chiffrierung
(encryption)
Schlüssel
Geheimtext, Chiffretext(ciphertext), Kryptogramm:
Zeichenfolge über Alphabet S (ggf. R=S)
Empfänger
(Bob)
Entschlüsselung
Dechiffrierung
(decryption)
Schlüssel
Klartext
Abbildung 1: Grundschema einer Verschlüsselung zwischen Alice und Bob
Die Verschlüsselung geschieht mit einem Verschlüsselungsverfahren, Chiffrieralgorithmus.
Die Verschlüsselung eines Klartextes durch diesen Algorithmus erfolgt mit
Hilfe eines Schlüssels ke (key, encryption key).
9
Das Verschlüsselungsverfahren ist dann eine Funktion E, die jedem beliebigen Klartext m (message) einen Chiffretext c in Abhängigkeit vom Chiffrierschlüssel ke zuordnet:
c = E(m, ke )
Dabei muss gelten: Für jeden Schlüssel ke ist
E(m1 , ke ) 6= E(m2 , ke )
falls m1 6= m2
Schlüssel sind ebenfalls Zeichenfolgen (Passwort, Geheimzahl, Bitfolge . . . ).
Die Entschlüsselung des Chiffretextes c erfolgt dann mit einem zum Verschlüsselungsverfahren gehörenden Entschlüsselungsverfahren mit Hilfe eines
Dechiffrierschlüssels kd (decryption key), der von ke abhängt.
Entschlüsselungsfunktion D:
D(c, kd ) = m
Ist kd = ke (oder lässt sich kd leicht aus ke bestimmen) so spricht man von
symmetrischen Verschlüsselungsverfahren, ansonsten von asymmetrischen Verschlüsselungsverfahren.
Die Gesamtheit aus Verschlüsselungsverfahren und aller Schlüssel wird Kryptosystem genannt.
Beispiel:
A = B = {0, 1, . . . 25}
Verfahren: Verschiebeschiffre (Shift Cipher)
Verschlüsselung: x ∈ A, x → x + i mod 26 für ein i ∈ {0, 1, . . . 25}
Schlüssel: i
Entschlüsselung: x → x − i mod 26
(Symmetrisches Verfahren)
Ist m = k1 . . . kr , ki ∈ A,
so E(m, i) = ((k1 + i) mod 26) . . . ((kr + i) mod 26) = l1 . . . lr = c
D(C, i) = ((l1 − i) mod 26) . . . ((lr − i) mod 26) = m.
(Caesarchiffre: i = 3)
10
Ein Verschlüsselungsverfahren beinhaltet i.a. sehr viele verschiedene Verschlüsselungsmöglichkeiten, die jeweils durch einen Schlüssel festgelegt sind.
Kommunikationspartner müssen sich grundsätzlich über das Verschlüsselungsverfahren einigen und vor der Übertragung die Schlüssel vereinbaren.
Geheimgehalten werden muss der Schlüssel kd (d.h. bei symmetrischen Verfahren der gemeinsame Schlüssel). Das Verfahren lässt sich i.a. nicht geheimhalten (und sollte auch nicht geheimgehalten werden).
Kerkhoff ’sches Prinzip:
Die Sicherheit eines Verschlüsselungsverfahrens darf nur von der Geheimhaltung des Schlüssels abhängen, nicht jedoch von der Geheimhaltung des
Algorithmus.
Bei symmetrischen Verschlüsselungsverfahren muss daher der Schlüssel k(=
ke = kd ) auf sicherem Weg übermittelt werden.
Weshalb dann nicht gleich die ganze Nachricht auf sicherem Wege übermitteln?
• Nachricht lang, Schlüssel kurz
• Zeitpunkt der Schlüsselübergabe ist frei wählbar.
• Mehrere Nachrichten können mit gleichem Schlüssel verschlüsselt werden.
Mit Hilfe sog. Public-Key-Verfahren (asymmetrische Verfahren) hat man die
Möglichkeit, die Schlüssel ohne Gefahr auszutauschen.
Beispiel:
Biryukov, Shamir und Wagner haben 1999 den Verschlüsselungsalgorithmus
(A5) geknackt, der GSM-Handy-Telefonate auf der Funkstrecke zur Mobiltelefon-Basisstation schützt. GSM-Association hat den Algorithmus geheimgehalten (GSM-Group Special Mobile Standard für Funktelefone).
11
Kryptologie
Kryptographie
Kryptoanalyse
untersucht, wie Verschlüsselungsverfahren
zu brechen sind
beschäftigt sich mit
dem Entwurf von Verschlüsselungsverfahren
Abbildung 2: Die Teildisziplinen Kryptographie und Kryptoanalyse
Die Kryptoanalyse prüft, wie schwer ein Kryptosystem zu knacken ist. Hinsichtlich der Schwere eines Angriffs können folgende qualitative Unterscheidungen in absteigender Reihenfolge getroffen werden:
• Vollständiges Aufbrechen:
Schlüssel kd wird gefunden. Dann kann jede Nachricht, die mit dem
zugehörigen Schlüssel ke verschlüsselt wurde, entschlüsselt werden.
• Globale Deduktion:
Finden einer zu D(., kd ) äquivalenten Funktion ohne Kenntnis des Schlüssels.
• Lokale Deduktion:
Finden des Klartextes für nur einen abgefangenen Chiffretext.
Wichtige Arten von Angriffen:
(Angreifer heisst oft Mallory (malicious) - aktiv, oder Eve (eavesdropper,
Lauscher) - passiv.)
• Ciphertext-Only-Attack:
Der Kryptoanalytiker verfügt über eine bestimmte Menge Chiffretext.
• Known-Plaintext-Attack:
Der Kryptoanalytiker kennt zusätzlich den zum Chiffretext gehörenden
Klartext.
• Chosen-Plaintext-Attack:
Der Kryptoanalytiker kann einen beliebigen Klartext vorgeben und hat
die Möglichkeit, den zugehörigen Chiffretext zu erhalten (relevant v.a.
bei Public-Key-Systemen).
• Angriffe mit Gewalt, Bestechung, Erpressung o.ä.
12
Letztere Angriffe sind sehr wirkungsvoll. Der Besitzer des Schlüssels stellt
(neben fehlerhaften Implementierungen von Verschlüsselungsverfahren) die
größte Sicherheitsgefahr dar.
Ein Angriff, bei dem alle möglichen Schlüssel durchprobiert werden, heisst
Brute-Force-Angriff.
Daher: Menge der Schlüssel sollte möglichst groß sein (d.h. Schlüssellänge
muss genügend groß sein!)
Unterschied zwischen sicheren und uneingeschränkt sicheren Kryptosystemen:
• Uneingeschränkt sicher:
Auch bei Kenntnis von beliebig viel Chiffretext kann (beweisbar!) nicht
genug Information gewonnen werden, um daraus den Klartext oder den
Schlüssel zu rekonstruieren (theoretisch sicher ).
• Sicher:
Aufwand zur Entschlüsselung ist mit vertretbaren Kosten, Speicherkapazität, Zeitdauer zu groß (komplexitätstheoretisch sicher oder auch
nur praktisch sicher beim Stand der jetzigen Kenntnis).
Beispiel:
Schlüssellänge 128 Bit. 2128 ≈ 2, 5 · 1038 Schlüssel.
Seien 1012 Schlüssel pro Sekunde testbar.
Ang. 50 % der Schlüssel müssen getestet werden.
Aufwand: 1, 25 · 1026 Sek. ≈ 4 · 1018 Jahre
Rechenzeit dauert etwa 400 Millionen mal länger als das Alter des Universums (≈ 1010 Jahre).
13
2
Klassische symmetrische Verschlüsselungsverfahren
Klassisch: Verfahren vor 1970
Es gibt zwei Typen von Unterscheidungen symmetrischer Verschlüsselungsverfahren:
1. Unterscheidung:
Stromchiffren (stream ciphers)
Blockchiffren (block ciphers)
in Verbindung
mit
2. Unterscheidung:
Substitutionschiffren
Transpositionschiffren
Permutationschiffren
Abbildung 3: Strom- vs Block-, Substitutions- vs Transpositionschiffre
Stromchiffre:
Jedes Zeichen (oder jeder kurze Block) des Klartextes wird einzeln verschlüsselt.
Blockchiffre:
Klartext wird in Blöcke einer festen (i.a. nicht zu kleinen) Länge n zerlegt,
und jeder Block wird einzeln verschlüsselt. (Es gibt auch Verfahren mit variabler Blocklänge.)
Stromchiffren lassen sich nach dieser Definition als Blockchiffren mit der
Länge 1 auffassen. In der Regel spricht man aber nur von Blockchiffren,
wenn die Blöcke größere Länge haben.
Darüber hinaus sind Stromchiffren in der Regel dadurch gekennzeichnet, dass
aus einem Ausgangsschlüssel k ein Schlüsselstrom ki , k2 , . . . erzeugt wird,
wobei in einem Klartext m = m1 m2 . . . dann m1 mit k1 , m2 mit k2 , . . .
verschlüsselt wird.
Zweite Unterscheidungsmöglichkeit symmetrischer Verfahren:
Substitutionschiffre:
Jedes Zeichen des Klartextes wird durch ein Zeichen des Geheimtextalphabets ersetzt, die Position bleibt unverändert. Substitutionschiffren kommen
sowohl als Stromchiffren als auch als Blockchiffren vor.
Transpositionschiffre:
Der Klartext wird in Blöcke zerlegt, und die Zeichen innerhalb des Blocks
14
werden permutiert. Zeichen bleiben also unverändert, Positionen werden verändert. Transpositionschiffren sind in der Regel Blockchiffren. (Es gibt allerdings auch Transpositionschiffren, die ohne Blockzerlegung den gesamten
Klartext permutieren.)
Substitutionschiffren und Transpositionschiffren sind die Urtypen symmetrischer Verfahren. Es gibt Verallgemeinerungen, die sich keiner dieser beiden
Typen mehr zuordnen lassen, und Kombinationen dieser beiden Typen.
2.1
Substitutionschiffren
Eine Substitutionschiffre heißt monoalphabetisch, wenn jedes Klartextzeichen
aus A immer auf dasselbe Chiffretextzeichen aus B abgebildet wird und diese
Zuordnung injektiv ist. Ansonsten spricht man von polyalphabetischen Substitutionschiffren.
2.1.a
Monoalphabetische Substitutionschiffren
Wir nehmen der Einfachheit halber A = B an (keine wesentliche Einschränkung).
|A| = n
(z.B. n = 26, natürlichsprachiges Alphabet)
Chiffrierverfahren:
Anwendung einer Permutation σ von A auf die Buchstaben des Klartextes:
m1 . . . mk → σ(m1 ) . . . σ(mk )
Schlüssel: Permutation σ
Also gibt es z.B. 26! ≈ 4 · 1026 monoalphabetische Chiffrierungen über dem
natürlichen Alphabet A = {a, b, . . . z} (bzw. A = {0, 1, . . . 25}).
Sei A = {0, 1, . . . n − 1}.
Häufig wird nicht die gesamte Schlüsselmenge benutzt.
Verschiebechiffre1 :
m → m + i mod n
n verschiedene Schlüssel (nämlich alle i ∈ {0, 1, . . . n − 1}.)
1
s. Kap. 1
15
Tauschchiffren (affine Chiffre) sind eine Verallgemeinerung von Verschiebechiffren:
m → am + b mod n,
a, b ∈ {0, 1, . . . n − 1}
Damit diese Zuordnung bijektiv ist, muss ggT (a, n) = 1 sein.
(Z.B. n = 26, a = 2, b = 0
13 → 2 · 13 = 0
0 → 0 · 13 = 0)
Damit hat man ϕ(n) Möglichkeiten für a und insgesamt n·ϕ(n) viele Schlüssel
(a, b).
n = 26 :
12 · 26 = 312 viele Schlüssel
Beispiel:
A= {0,1,. . .25}
xx x x
x
  

   codiere

A= {a, b ,. . . z }
m → 7m + 12 mod 26
codiere
chif f riere
decodiere
TEXT −−−−→ 19, 4, 23, 19 −−−−−−→ 15, 14, 17, 15 −−−−−→ PORP
Monoalphabetische Verschlüsselungen natürlichsprachiger Texte sind kryptologisch nicht sicher, selbst unter der schwächsten Annahme einer Ciphertextonly-attack.
Dies liegt an der charakteristischen Häufigkeitsverteilung der Buchstaben
in natürlichsprachigen Texten. Diese Häufigkeitsverteilung insgesamt ändert
sich bei monoalphabetischen Verfahren nicht (es ändert sich nur die Häufigkeit der einzelnen Buchstaben), und das erlaubt in der Regel die Rekonstruktion der Klartexte schon aus Chiffretexten mit ca. 500 Buchstaben.
Noch einfacher ist die Analyse bei Verschiebe- oder Tauschchiffren: Hier
genügt die Identifikation eines bzw. zweier Buchstaben, um den Schlüssel
zu knacken.
Wir werden in Kürze auf die Kryptoanalyse monoalphabetischer Verfahren
genauer eingehen.
2.1.b
Homophone Substitutionschiffren
Homophone Substitutionschiffren lassen sich als spezielle polyalphabetische
Chiffren auffassen, also solche, in denen nicht jeder Klartextbuchstabe jeweils
16
auf denselben Chiffretextbuchstaben abgebildet wird.
Homophone Chiffren wurden entwickelt, um den Nachteil der charakteristischen Häufigkeitsverteilung bei monoalphabetischen Chiffren zu beheben.
Homophone Substitutionschiffre:
Abb. f , die jedem Klartextbuchstaben a ∈ A eine Teilmenge f (a) ⊆ B des
Chiffretextalphabets zuordnet.
Forderung: a1 , a2 ∈ A, a1 6= a2 , so f (a1 ) ∩ f (a2 ) = ∅
.
a1
.
. .
.f(a )
.
. .f(a. ) ..
.
1
a2
2
. . . ..
an
.
.
. .. . .f(a ) ..
.
. . .
.
.
.
n
Abbildung 4: Zuordnung bei homophoner Substitutionschiffre
Verfahren: Ein Klartext m = a1 a2 . . . wird chiffriert in c = c1 c2 . . .,
wobei ci zufällig aus f (ai ) gewählt wird.
Schlüssel: Abb. f , d.h. {f (a)|a ∈ A}
(Dieses Verfahren wurde schon um 1400 in Italien verwendet.)
Vorteil der homophonen Substitution:
Die Häufigkeitsverteilung der Klartextbuchstaben wird zerstört.
Ist a ∈ A und p(a) die Häufigkeit, in der a im Klartext auftaucht, wählt man
f (a) so groß, dass
p(a)
≈ c Konstante, unabhängig von a
|f (a)|
Man benötigt dazu ein großes Alphabet B.
In einem Chiffretext treten dann alle Buchstaben aus ∪ f (a) etwa gleich
a∈A
oft auf. Damit ist keine direkte Häufigkeitsanalyse mehr möglich.
Durch homophone Substitution ist es auch möglich, ein Chiffrierverfahren mit
folgender Eigenschaft anzugeben: Zu jedem empfangenen Chiffretext c gibt
17
es (mindestens) zwei verschiedene Schlüssel, die c in zwei sinnvolle Klartexte
dechiffrieren (Hammer 1981).
Wir beschreiben kurz die Konstruktion:
Chiffretextalphabet B = {1, . . . n2 }
Klartextalphabet A, |A| = n
K sei eine n × n - Matrix. Spalten und Zeilen seien mit den Elementen aus
A (in gegebener Reihenfolge) indiziert.
Einträge von K: Die natürlichen Zahlen von 1 . . . n2 (d.h. die Elemente von
B) in zufälliger Anordnung (jede genau einmal).
Definiere zwei homophone Substitutionen f1 , f2 :
a∈A:
f1 (a) = Menge der Zahlen in Zeile mit Index a
f2 (a) = Menge der Zahlen in Spalte mit Index a
Sei nun ein Klartext m = a1 a2 . . . ak zu verschlüsseln. Wähle einen anderen
sinnvollen Klartext x = a′1 a′2 . . . a′k derselben Länge wie m.
Verschlüssele m in c = c1 c2 . . . ck , wobei {ci } = f1 (ai ) ∩ f2 (a′i )
a′i
ai
ci
..
.
Unter Schlüssel f1 wird c in korrektes m dechiffriert, unter Schlüssel f2 wird
c in sinnvolles, aber nicht korrektes x dechiffriert.
Brute-Force-Angriffe sind damit wirkungslos, wenn der Angreifer nicht entscheiden kann, welcher der Texte m bzw. x der korrekte ist. (Beachte jedoch,
dass hier alle f1 (a), a ∈ A gleich groß sind, ebenso alle f2 (a), a ∈ A).
2.1.c
Kryptoanalyse monoalphabetischer und homophoner
Substitutionschiffren
Die Kryptoanalyse monoalphabetischer und homophoner Substitutionschiffren beruht auf der Häufigkeitsanalyse von Chiffretextzeichen bzw. -digrammen (Digramm: Paar aufeinander folgender Zeichen).
18
Natürliche Sprachen haben eine charakteristische Häufigkeitsverteilung von
Buchstaben und Digrammen (siehe Tabellen 1 u. 2).
Buchstabe
E
N
I
R
S
A
T
D
H
U
L
G
C
O
M
Häufigkeit
17,5 %
9,8 %
7,7 %
7,2 %
7,1 %
6,5 %
6,1 %
4,9 %
4,5 %
4,3 %
3,5 %
3,0 %
2,9 %
2,7 %
2,5 %
27 %
35 %
28 %
Buchstabe
B
F
W
K
Z
P
V
J
Y
X
Q
Häufigkeit
1,9 %
1,7 %
1,7 %
1,3 %
1,1 %
0,9 %
0,8 %
0,3 %
zus.
0,1 %
Tabelle 1: Häufigkeitsverteilung der Buchstaben in deutschsprachigen Texten
Paar
en
er
ch
de
te
nd
ei
ie
in
es
Häufigkeit (unter den 262 = 676 Paaren)
jeweils
3,5 - 4,5 %
2,5 - 3 %
jeweils
1,5 - 2,5 %
Tabelle 2: Häufigste Digramme in deutschsprachigen Texten
Bei monoalphabetischen Substitutionen bleiben diese Häufigkeitsverteilungen
als Ganzes erhalten und erlauben die Rekonstruktion von Klartexten aus
schon relativ kurzen Chiffretexten (ca. 500 Buchstaben).
19
Beispiel:
Gesucht wird ein Klartext in deutscher Sprache, der mittels monoalphabetischer Substitution verschlüsselt wurde:
upu ovkt hpe puvkjskvikwiku zkseswdzku nvwi, qkt gpsiik. akcsww cstq qkt
jkwkt bktwiokuqusw qoypkt zovku, qoww sdz ktwi ksueoj ksusak vkektfpuaku pkvkt puwkt hcksipuvkjskvikwikw nvwi, qku fpktvsw, eodzk. qskwku
jskvi lo wdzskt uskeouq. su untqoektsfo swi kw pkvjsdz, se nfinvkt fpktvswwk
bnt wksuk zopwipktk hp jkaku, pe qku opinyoztktu hp wsauojswsktku, qoww
kw nfinvkt swi. hp zojjnckku znji eou wsk qouu suw zopw puq jokwwi wsk
puikt ouiksjuozek qkt aouhku yoesjsk yksktjsdz bktyopjku. upt undz ksusak itoqsisnuojswiku eodzku wsdz qsk epkzk, fpktvswintik hp vodfku, ckjdzk
qouu su ojpesuspeynjsk akcsdfkji su qku fpkzjwdztouf akakvku cstq, pe qouu
ksusak cndzku wxokikt esi atnwwke zojjn puq sasii ajksdzyojjw su qku ovyojj
hp couqktu.
Zur Kryptoanalyse werden die Häufigkeitsverteilung der Buchstaben und Digramme in deutschsprachigen Texten mit der Verteilung im vorliegenden
Chiffretext verglichen.
Buchstabe
K
U
S
W
O
T
P
I
J
Q
Z
V
E
Anzahl
102
62
59
44
40
36
33
32
29
24
24
20
19
Häufigkeit
16,60%
10,10%
9,60%
7,20%
6,50%
5,90%
5,40%
5,20%
4,70%
3,90%
3,90%
3,30%
3,10%
Buchstabe
N
D
A
F
C
H
Y
B
G
L
X
M
R
Anzahl
18
15
14
11
9
8
8
3
1
1
1
-
Buchstabenhäufigkeiten im Chiffretext
Im Chiffretext sind 503 Digramme enthalten.
Aus der Buchstabenhäufigkeit entnimmt man:
K wird dechiffriert zu E.
20
Häufigkeit
2,90%
2,40%
2,30%
1,80%
1,50%
1,30%
1,30%
0,50%
0,20%
0,20%
0,20%
-
Digramm
KU
KS
KW
KO
KT
KP
KI
Anzahl
20
10
8
26
1
Häufigkeit
4,00%
2,00%
1,60%
5,20%
0,20%
Digramm
UK
SK
WK
OK
TK
PK
IK
Anzahl
1
13
6
3
3
9
10
Häufigkeit
0,20%
2,60%
1,20%
0,60%
0,60%
1,80%
2,00%
Häufigkeit der relevanten Digramme, die den Buchstaben K enthalten
Ferner zeigt sich, dass sehr wahrscheinlich U oder S zu N dechiffriert wird.
Da bei den Digrammen KU doppelt so häufig vorkommt wie KS, nehmen wir
an:
U wird dechiffriert zu N.
Unter allen relevanten Digrammen, die K enthalten, treten einzig im Paar
(KS,SK) beide Digramme mit einer Häufigkeit von jeweils mindestens 2 %
auf. Es ist daher plausibel anzunehmen:
S wird dechiffriert zu I.
Aus der Digrammhäufigkeit von KT ergibt sich:
T wird dechiffriert zu R.
Ersetzt man im Chiffretext die Chiffretextbuchstaben k,u,s,t durch die ihnen
vermutlich zugeordneten Klartextbuchstaben E,N,I,R, so ergibt sich:
NpN ovER hpe pNvEjIEviEwiEN zEIeIwdzEN nvwi, qER gpIiiE. aEcIww
cIRq qER jEwER bERwioENqNIw qoypER zovEN, qoww Idz ERwi EINeoj
EINIaE vEeERfpNaEN pEvER pNwER hcEIipNvEjIEviEwiEw nvwi, qEN
fpERvIw, eodzE. qIEwEN jIEvi lo wdzIER NIEeoNq. IN NnRqoeERIfo Iwi
Ew pEvjIdz, Ie nfinvER fpERvIwwE bnR wEINE zopwipERE hp jEaEN, pe
qEN opinyozRERN hp wIaNojIwIEREN, qoww Ew nfinvER Iwi. hp zojjncEEN znji eoN wIE qoNN INw zopw pNq joEwwi wIE pNiER oNiEIjNozeE
qER aoNhEN yoeIjIE yEIERjIdz bERyopjEN. NpR Nndz EINIaE iRoqIiInNojIwiEN eodzEN wIdz qIE epEzE, fpERvIwinRiE hp vodfEN, cEjdzE
qoNN IN ojpeINIpeynjIE aEcIdfEji IN qEN fpEzjwdzRoNf aEaEvEN cIRq,
pe qoNN EINIaE cndzEN wxoEiER eIi aRnwwEe zojjn pNq IaIii ajEIdzyojjw IN qEN ovyojj hp coNqERN.
Nun ergeben sich unmittelbar weitere Ersetzungen:
21
P wird dechiffriert zu U, W wird dechiffriert zu S, O wird dechiffriert zu A,
etc.
Es ist dann einfach, die vollständige Dechiffrierung vorzunehmen:
Chiffretext
A
B
C
D
E
F
G
H
I
J
K
L
(M)
Klartext
G
V
W
C
M
K
Q
Z
T
L
E
J
Chiffretext
N
O
P
Q
(R)
S
T
U
V
W
X
Y
Z
Klartext
O
A
U
D
I
R
N
B
S
P
F
H
Der dechiffrierte Text lautet also:
Nun aber zum unbeliebtesten heimischen Obst, der Quitte. Gewiss wird der
Leser Verstaendnis dafuer haben, dass ich erst einmal einige Bemerkungen
ueber unser zweitunbeliebtestes Obst, den Kuerbis, mache. Diesen liebt ja
schier niemand. In Nordamerika ist es ueblich, im Oktober Kuerbisse vor seine Haustuere zu legen, um den Autofahrern zu signalisieren, dass es Oktober
ist. Zu Halloween holt man sie dann ins Haus und laesst sie unter Anteilnahme der ganzen Familie feierlich verfaulen. Nur noch einige Traditionalisten
machen sich die Muehe, Kuerbistorte zu backen, welche dann in Aluminiumfolie gewickelt in den Kuehlschrank gegeben wird, um dann einige Wochen
spaeter mit grossem Hallo und Igitt gleichfalls in den Abfall zu wandern.2
Aufgabe:
Der folgende Text wurde vor längerer Zeit abgefangen. Es ist bekannt, dass
es sich um einen monoalphabetisch verschlüsselten deutschsprachigen Text
handelt. Leider wurden Wortzwischenräume und Satzzeichen weggelassen.
(Die Aufteilung in 5er- Blöcke dient nur der besseren Übersicht.)
wzzsv uwgof uwsgs vpbfu lgyso wfuho pvsws vohvb ifuss heloj qrwsi ysplf
uhjqu lxsgp sggli owugg qgpsv svohs lgonv lgyai bysvj elvjq vqsfd plwuz
2
aus: M. Goldt, Quitten für die Menschen zwischen Emden und Zittan [17]
22
qivwf uzwhs wgszo fuily lqaod wggjq rbvys dbzzs gelvl xsvps vjesw hspsv
xiwhj ofugs iiplg lfuul shhss vispw yhesv psgzq soosg eqvps rbgps valqo hgqvg
bfuys ohvsw ahpsg gwgje wofus gulhh sswgu wsxrb guwgh sgzwh swgsz ofues
vsgys ysgoh lgpqi vwfuo dbnax swglu sjsvo nvsgy h
a) Wie lautet der Klartext ?
b) Wer ist Alice ?
Bei homophonen Substitutionen wird die Häufigkeitsanalyse von Buchstaben
nicht helfen (per Konstruktion). Dennoch werden auch hier z.B. Digramme
zur Kryptoanalyse verwendet.
Wir machen dies an einem Beispiel klar:
Angenommen die homophone Substitution f eines deutschsprachigen Textes
wurde so gewählt, dass im Chiffretext alle Buchstaben mit etwa gleicher
Häufigkeit vorkommen.
D.h. |f (Buchstabe)| ∼ Häufigkeit des Buchstabens in Texten der deutschen
Sprache.
Ist z.B. |f (c)| = α ∈ N, so folgt aus der Häufigkeit von e, n, r, h in deutschsprachigen Texten, dass annähernd Folgendes gilt:
|f (e)| = 6α, |f (n)| = 3, 5α, |f (r) = 2, 5α, |f (h)| = 1, 5α
Das Digramm ’en’ wird also auf 21α2 viele Arten als Digramm eines Buchstaben aus f (e) und eines aus f (n) chiffriert, und bei zufälliger Auswahl treten
diese Digramme im Chiffretext etwa gleich häufig auf.
Dagegen wird das Digramm ’ch’ nur auf 1, 5α2 viele Arten chiffriert. Da
’en’ im Klartext etwa 4% aller Digramme ausmacht und ’ch’ etwa 2, 75%,
tritt jetzt jedes Digramm im Chiffretext, welchen ’en’ verschlüsselt, mit einer
4
Häufigkeit von 21
% ≈ 0, 2% auf. Jedes Digramm im Chiffretext, welches ’ch’
verschlüsselt, tritt dagegen mit einer Häufigkeit von 2,75
% ≈ 1, 8% auf. Keine
1,5
anderen Digramme im Chiffretext treten mit einer derartig hohen Häufigkeit
auf (Digramme, die ’nd’ verschlüsseln, sind die zweit häufigsten). Auf diese
Weise lassen sich die Mengen f (c) und f (h) bestimmen. Der Grund hierfür
ist also, dass die Einzelhäufigkeiten von ’c’ und ’h’ relativ gering, die Digrammhäufigkeit von ’ch’ aber relativ hoch ist, während bei allen anderen
häufigen Digrammen auch die Häufigkeit wenigstens eines beteiligten Buchstabens relativ hoch ist.
23
Mit ähnlichen Methoden der Digrammanalyse (und geschicktem Raten) lassen sich auch die Teilmengen des Chiffretextalphabets B, die anderen Klartextbuchstaben zugeordnet sind, ermitteln.
Allerdings: Man benötigt deutlich längere Chiffretexte für diese Analysen
als es bei Texten der Fall ist, die mittels monoalphabetischer Substitution
verschlüsselt wurden.
2.1.d
Polyalphabetische Verschlüsselungen und Lauftextverschlüsselungen
Bei polyalphabetischen Verschlüsselungen wird ein Klartextzeichen durch
verschiedene Chiffretextzeichen verschlüsselt, und ein und dasselbe Chiffretextzeichen kann für verschiedene Klartextzeichen stehen (in Abhängigkeit
von ihrer Position im Text).
Sei A das Klartextalphabet, B0 , . . . Bd−1 Chiffretextalphabete.
fj : A → Bj bijektive Abbildungen (j = 0, . . . d − 1) und
h: N→ {0, . . . d − 1} (i.a. h(x) = x mod d)
Klartext m = a1 . . . at (ai ∈ A) wird verschlüsselt in
Chiffretext c = fh(1) (a1 ) fh(2) (a2 ) . . . fh(t) (at ).
Schlüssel = h, f0 , . . . fd−1
Man sagt: h erzeugt den Schlüsselstrom fh(1) , fh(2) , . . .
Eine solche Chiffrierung heißt polyalphabetische Substitution (im engeren Sinne). Es handelt sich um eine Stromchiffre. Sie ist also eine Folge von monoalphabetischen Substitutionen mit wechselnden Schlüsseln, die durch die
Auswahlfunktion h bestimmt werden.
Ist h(x) = x mod d, so wiederholen sich die Schlüssel nach jeweils d verschlüsselten Klartextzeichen. Man nennt die Chiffre dann periodisch. Dann
sind f0 , . . . fd−1 die Schlüssel, die periodisch angewendet werden.
Annahme für diesen Abschnitt: A = B0 = B1 = . . . = Bd−1
Beispiel (Vigenère-Chiffre 3 ):
A = {0, 1, . . . n − 1} (z.B. n = 26)
h(x) = x mod d
fj (a) = (a + kj ) mod n,
kj ∈ A fest (Caesarchiffre)
3
nach Blaise de Vigenère, 1523-1596
24
Schlüssel: k0 , . . . kd−1
Man nennt ko k1 . . . kd−1 auch Schlüsselwort.
Insgesamt gibt es also nd viele verschiedene Schlüsselworte.
konkretes Beispiel:
A = {0, 1, . . . 25}
(Codierung von {A, B, C, . . . Z})
Schlüsselwort:
codiert
KRYPTO −−−−→ 10, 17, 24, 15, 19, 14
(d = 6)
Klartext:
codiert
KOMMEMORGENNICHT −−−−→ 10, 14, 12, 12, 4, 12, 14, 17, 6, 4, 13, 13, 8, 2, 7, 19
Die periodische Addition (modulo 26) des Schlüsselworts wird meist in folgender Weise geschrieben:
- 10
Schlüsselwort
: 10
fortlaufender
Klartext in
Zeilen der
XXX
X
z
X
Länge d = 6
20
14
24
8
18
17 24 15 19 14
14 12 12 4 12
X
XXX
5 10 1 23 0 y
X fortlaufender
17 6 4 13 13
Chiffretext
8 4 19 6 1 in Zeilen der
2 7 19
Länge d = 6
9
19 5 8
Decodiert: UFKBXAYIETGBSTFI
Beachte: Es ist die Regel, dass der gleiche Chiffretextbuchstabe für verschiedene Klartextbuchstaben steht (z.B. 1 für 12 und 13). Ebenso wird ein und
derselbe Klartextbuchstabe i.a. in verschiedene Chiffretextbuchstaben verschlüsselt (z.B. 12 in 0, 1, 10).
Polyalphabetische Substitutionen führen i.a. zur Glättung der Buchstabenhäufigkeiten. Wir machen dies am Beispiel der Vigenère-Chiffre von Seite 24
plausibel, indem wir den Chiffretextbuchstaben I analysieren:
Hat das Schlüsselwort d′ ≤ d verschiedene Buchstaben, so kann jeder Chiffretextbuchstabe aus d′ verschiedenen Klartextbuchstaben entstehen.
∧
Chiffretextbuchstabe 8 = I
25
enstanden aus Klartextbuchstaben
8
8
8
8
8
8
in
in
in
in
in
in
der
der
der
der
der
der
1.
2.
3.
4.
5.
6.
Spalte
Spalte
Spalte
Spalte
Spalte
Spalte
∧
Y=
∧
R=
∧
K=
∧
T=
∧
P=
∧
U=
24 = 8 − 10
17 = 8 − 17
10 = 8 − 24
19 = 8 − 15
15 = 8 − 19
20 = 8 − 14
(mod 26)
(mod 26)
(mod 26)
(mod 26)
(mod 26)
(mod 26)
Bei längeren Klartexten kann man davon ausgehen, dass sich die Häufigkeit
der Buchstaben im Klartext der Häufigkeit der Klartextbuchstaben in den
einzelnen Spalten annähert. (Das sind in der ersten Spalte die Buchstaben
an Position 1, d + 1, 2d + 1, . . . des Klartextes, in der zweiten Spalte die an
Position 2, d + 2, 2d + 2, . . .)
Also entspricht die Häufigkeit eines Chiffretextbuchstabens der durchschnittlichen Häufigkeit von d′ vielen verschiedenen Klartextbuchstaben. Diese mittelt sich aus.
In obigem Beispiel entspricht die Häufigkeit von I im Chiffretext der durchschnittlichen Häufigkeit von Y, R, K, T, P, U im Klartext, also von relativ
selten vorkommenden Buchstaben wie Y, P, K und relativ häufigen wie R,
T und U.
Abbildung 5: Glättung der Buchstabenhäufigkeiten bei Vigenère-Verschlüsselung mit Schlüsselwort aus d verschiedenen Buchstaben
26
Zur Kryptoanalyse periodischer polyalphabetischer Verschlüsselungen ist es
zunächst notwendig, die Periodenlänge d (also bei Vigenère-Chiffren die Schlüsselwortlänge) zu bestimmen. Wie das möglich ist, werden wir im nächsten
Abschnitt beleuchten.
Ist d bekannt, so sind d viele monoalphabetische Substitutionschiffren zu entschlüsseln. Dies geht, falls Chiffretexte genügend groß (im Vergleich zur Periodenlänge d) sind, wie in Unterkapitel 2.1.c beschrieben. Bei der VigenèreChiffre sind die zu entschlüsselnden, monoalphabetisch verschlüsselten Texte
die in jeder Spalte. Sie beruhen auf Caesar-Chiffren und sind deshalb besonders einfach zu knacken. Man beachte jedoch: Die Klartexte in den Spalten
sind keine sinnvollen Texte (diese ergeben sich zeilenweise).
Bevor wir auf nicht-periodische polyalphabetische Verschlüsselungen eingehen, sei ein historisches Beispiel vorgestellt:
Beispiel (ENIGMA):
Chiffriermaschine, von der deutschen Wehrmacht im 2. Weltkrieg eingesetzt,
die 1920 von Arthur Scherbius zunächst für den zivilen Bereich entwickelt
wurde. Sie beruht auf polyalphabetischer Verschlüsselung.
Funktionsprinzip:
• Der Klartext wird über eine Tastatur eingegeben, die mittels elektrischer Kontakte Signale an das Steckbrett weiter gibt.
• Auf dem Steckbrett kann jede Permutation, die aus 5 (disjunkten) 2er
Zyklen besteht, geschaltet werden (andere Versionen wurden ebenfalls
konstruiert). Damit existieren
26 24 22 20 18
≈ 6 · 1011 viele Steckbrettmöglichkeiten.
2
2
2
2
2
• Auf jeder Walze ist eine Permutation verdrahtet. Nach Eingabe eines
Zeichens dreht sich die 1. Walze um eine Position, so dass eine neue
Permutation entsteht. Nach 26 Drehschritten geht sie wieder in ihre
ursprüngliche Position und die 2. Walze dreht sich um eine Position.
Nach 26 Drehschritten der 2. Walze beginnt die 3. Walze sich um eine
Position zu drehen. (Auch andere Versionen mit 4 und 5 Walzen)
• Der Reflektor ist eine fest verdrahtete Permutation von 13 disjunkten
2er Zyklen.
27
• Auf dem Rückweg werden die Permutationen der 3., 2., 1. Walze nochmals durchlaufen. Dadurch wird kein Klartextzeichen auf sich abgebildet.(Das stellte sich als Schwachpunkt heraus.)
Periodenlänge: 26 · 26 · 26 = 17576
• Die Ausgabe erfolgt über ein leuchtendes Buchstabenlämpchen.
Steckbrett
1. Walze
2. Walze
3. Walze
Reflektor
Abbildung 6: Schematischer Signallaufplan ENIGMA
Je nach Steckbrettverschaltung und Ausgangsstellung der Walzen gibt es damit 17576 · 602350749000 ≈ 1, 06 · 1017 viele Schlüssel. Diese wurden zunächst
alle drei Monate, dann jeden Tag, dann alle acht Stunden gewechselt. Bei der
großen Periodenlänge (in der Regel größer als die Klartextlänge) waren die
im nächsten Abschnitt dargestellten kryptoanalytischen Verfahren nicht anwendbar.
Dennoch wurde die ENIGMA-Verschlüsselung von den Briten durch die Gruppe um Alan Turing in Bletchley Park geknackt. (Entwicklung der BOMB erster elektromagnetischer Computer, später COLOSSUS - erster programmierbarer Computer)4
Nichtperiodische polyalphabetische Verschlüsselungen
Nichtperiodische polyalphabetische Verschlüsselungsverfahren, auch Lauftextverschlüsselungen genannt, erfüllen die Eigenschaft
Länge Schlüsselfolge ≥ Länge Klartext.
Man bezeichnet sie auch als Vernam-Chiffren 5 , insbesondere wenn das Alphabet {0, 1} zugrunde liegt.
Wird eine Vigenère-Chiffre mit genügend langem ’Schlüsselwort’gewählt (d.h.
Länge Schlüsseltext ≥ Länge Klartext), so bestehen kryptoanalytische Möglichkeiten, falls das Schlüsselwort ein sinnvoller Text ist (z.B. fortlaufender
Text eines Buches; als auszutauschenden Schlüssel benötigt man dann nur
4
Einzelheiten hierzu in den Werken von Bauer und Kahn [5], [20] [21] oder in der
Turing-Biographie von A. Hodges [18]
5
nach G. Vernam (AT&T)
28
Seite, Zeile und Position des ersten Schlüsselwortbuchstabens in der Zeile). Dies beruht auf einer Beobachtung des Kryptologen William Friedman
(1891 – 1969), dass in diesem Fall ein hoher Anteil der Geheimtextbuchstaben durch Addition häufig auftretender Klartextbuchstaben mit häufig
auftretenden Schlüsseltextbuchstaben entsteht.6
In jedem Fall sollten daher bei Lauftextverschlüsselungen durch Addition von
Schlüsseltexten Zufallsfolgen von Buchstaben als Schlüsseltexte genommen
werden.7
Bei der Wahl von Zufallsfolgen als Schlüsseltexte lassen sich tatsächlich theoretisch sichere Kryptosysteme konstruieren.
Zur Verdeutlichung dieser Tatsache nehmen wir an, dass alle Nachrichten
binär kodiert sind, d.h. A = {0, 1}, und der ’Schlüsseltext’ ebenfalls eine Folge
von Bits ist. Die Verschlüsselung erfolgt dann durch stellenweise Addition
modulo 2 (XOR, ⊕) von Klartextbits und Schlüsseltextbits.
Ist der Schlüsseltext eine echte Zufallsfolge, so nennt man dieses Verfahren
one-time-pad. Es bietet absolute Sicherheit.
Was heißt Zufallsfolge von Bits?
(an )n∈N , an ∈ {0, 1} heißt Zufallsfolge, falls die Werte 0, 1 jeweils mit dem
Wahrscheinlichkeitswert 12 vorkommen und aus der Kenntnis eines beliebig
langen Anfangsstücks der Folge (etwa Länge m) keine Informationen über
am+1 ableitbar sind.
(Präziser: Folge statistisch unabhängiger, symmetrisch verteilter binärer Zufallsvariablen)
Es ist anschaulich klar, dass bei Addition einer solchen Zufallsfolge zu einer
beliebigen (Klartext-) Bitfolge eine Folge entsteht, in der an jeder Stelle 0, 1
mit einer Wahrscheinlichkeit von 12 vorkommt und die Kenntnis der ersten
m Chiffretextglieder keine Information über das (m + 1)-te gibt.
Für jeden Klartext ist jede Bitfolge gleicher Länge wie der Klartext gleich
wahrscheinlich als Chiffretext.
Daraus lässt sich mit der Bayes’schen Formel leicht folgern:
(∗) p(m|c) = p(m)
für jeden Klartext m und jeden Chiffretext c;
6
siehe z.B. Bauer [5]
Auf die Problematik der Erzeugung von Zufallsfolgen werden wir an späterer Stelle
eingehen.
7
29
d.h. die Wahrscheinlichkeit, dass m Klartext ist, wenn man den Chiffretext c
kennt, ist genauso groß wie die Wahrscheinlichkeit, dass m Klartext ist, ohne
dass man c kennt.
∗ ist die Bedingung für perfekte (uneingeschränkte) Sicherheit eines Kryptosystems.
2.1.e
Kryptoanalyse periodischer polyalphabetischer Verschlüsselungen
Bei der Kryptoanalyse sind zwei Schritte erforderlich:
a) Bestimmung der Periode d
b) Kryptoanalyse der monoalphabetisch verschlüsselten Teiltexte, die durch
die Buchstaben des Chiffretextes gegeben sind, die an der Stelle
1, d + 1, 2d + 1, . . .
2, d + 2, 2d + 2, . . .
..
.
d, 2d, 3d, . . .
stehen.
Ist der Chiffretext genügend lang, so lässt sich der zweite Schritt wie in Unterkapitel 2.1.c behandeln. Insbesondere bei Vigenère-Verschlüsselungen, wo
die monoalphabetischen Verschlüsselungen Verschiebechiffren sind, ist dies
besonders einfach.
Wir kümmern uns also jetzt um den ersten Schritt, wie man die Periode d
bestimmen kann.
1. Methode
Man teste nacheinander d = 1, 2, . . . solange, bis sich in den Teiltexten aus
Schritt 2 eine Häufigkeitsverteilung ergibt, die der Häufigkeitsverteilung eines
natürlichsprachigen (etwa deutschen) Textes entspricht. Ist der Chiffretext
im Vergleich zur Periodenlänge genügend groß und ist d relativ klein, so funktioniert diese Methode (insbesondere mit Computerunterstützung) gut. Bei
einer falschen Wahl von d entstehen Teiltexte mit Häufigkeitsverteilungen,
die in der Regel deutlich glatter sind als die Häufigkeitsverteilung in einem
natürlichsprachigen Text.8
8
Visualisierungen dieses Verfahrens sind daher oft hilfreich. Siehe z.B. http://math.
uscd.edu/∼crypto/ (Java Applet)
30
Die nächsten beiden Methoden geben Hinweise auf die Größe von d und
können sinnvoll in Kombination mit Methode 1 eingesetzt werden.
2. Methode (Kasiski-Test9 )
Dieser Test beruht auf folgender Überlegung:
Wiederholt sich eine Zeichenfolge im Klartext mit einem Abstand, der ein
Vielfaches der Periodenlänge ist, so werden diese Zeichenfolgen gleich verschlüsselt, so dass sich Wiederholungen von Zeichenfolgen im Chiffretext ergeben, deren Abstand ein Vielfaches der Periodenlänge ist.
Solche Wiederholungen von Zeichenfolgen können im Chiffretext natürlich
auch zufällig auftreten, wobei der Abstand dann kein Vielfaches der Periodenlänge ist. Dies tritt aber deutlich seltener auf als die erstgenannten
Wiederholungen.
Der Kasiski-Test beruht nun darin, den Chiffretext auf Wiederholungen von
Zeichenfolgen mit mindestens drei Zeichen zu untersuchen und die jeweiligen
Abstände zu bestimmen. Bei längeren Texten gibt dies deutliche Hinweise
auf die Periodenlänge. In aller Regel bleiben nur wenige Möglichkeiten, die
dann näher zu untersuchen sind.
Beispiel:
Mit Vigenère-Chiffrierung verschlüsselter deutschsprachiger Text (die Aufteilung in Blöcke dient nur der besseren Übersicht):
FSGEXV
PGIAVI
EHKCJS
EEIYWX
UGYFSP
JGEIZU
MEFSSR
EVIISA
KJSWLT
WLFEEL
JLNRRU
IIGABV
ZOIZOE
KBXORU
MGYFNX
IIZJIJ
JIBNTS
UYVCJC
VOGYRL
LFVLAH
TEGEEU
EJTMUR
ELXVOT
VTIMGY
BELDHZ
FGYRUL
RKFNMT
IEDLCE
MPNYME
YBKMEC
JSNECT
YVSKFE
AHKVOK
IBCBIQ
NVRDHN
FMPSIH
GYUELW
IBRQVE
IUERXV
FEIUER
VUHXVS
IE
EFIXUE
RHEHOR
HXJDHF
TGCFKF
XRVFTY
SOGOFN
HQFOOU
ONIFVS
YVTSYP
IHIZOF
XFHIII
ILEFSY
l = 320 Buchstaben
9
Diese Methode stammt in Ansätzen von dem englischen Mathematiker und Ökonom
Charles Babbage (1792-1871) aus dem Jahr 1854. Sie wurde 1863 von dem preußischen
Major Friedrich Kasiski (1805- 1881) veröffentlicht.
31
Kasiski-Test:
Zeichenfolge
MGY
GYF
YMEF
JSWL
TIB
KFEIUERX
IZO
GYR
LAH
EFS
Position 1
13
14
28
56
126
172
189
207
216
280
Position 2
118
194
288
101
264
222
249
212
256
285
105
180
260
45
138
50
60
40
Abstand
= 3·5·7
= 22 · 32 · 5
= 22 · 5 · 13
= 32 · 5
= 2 · 3 · 23
= 2 · 52
= 22 · 3 · 5
5
= 23 · 5
5
Tabelle 3: Exemplarische Zeichenfolgeabstände, Ermittlung v. d nach Kasiski
Da die lange Zeichenfolge KFEIUERX mit großer Wahrscheinlichkeit sich
nicht zufällig wiederholt, kann man davon ausgehen, dass die Schlüsselwortlänge ein Teiler von 50 ist. Da 5 in neun Fällen die auftretenden Abstände
teilt, 2 aber nur in sechs Fällen (und 25 überhaupt nur in einem Fall), ist es
plausibel anzunehmen, dass das Schlüsselwort Länge d = 5 hat. Die Zeichenfolge TIB hätte sich dann als einzige zufällig wiederholt.
3. Methode (Friedman-Test10 )
Zentral für den Friedman-Test ist der sog. Koinzidenzindex.
Koinzidenzindex I = I(m) einer Zeichenfolge m über einem Alphabet A
(|A| = n) ist die Wahrscheinlichkeit, dass an zwei zufälligen Positionen des
Textes die Zeichen gleich sind.
Sei A = {a1 , . . . an }. Sei l die Länge der Zeichenfolge m und li die Häufigkeit
des Auftretens von ai in m.
Also: l =
n
P
li
i=1
Gesamtzahl aller (ungeordneten) Paare von Positionen in m ist
l
2
=
l(l−1)
.
2
Gesamtzahl aller (ungeordneten) Paare von Positionen mit gleichen Zeichen
n
n
P
P
li (li −1)
li
.
=
ist
2
2
i=1
i=1
10
William Frederic Friedman (1891-1969) hat statistische Methoden in die Kryptologie
eingeführt.
32
Die Wahrscheinlichkeit, dass an zwei zufällig gewählten Positionen in m der
gleiche Buchstabe steht, ist also:
I = I(m) =
n
P
i=1
li (li − 1)
l(l − 1)
Wir nehmen jetzt n = 26 an, A = {0, 1, . . . 25} als Codierung für {A, . . . Z}.
In langen deutschsprachigen Texten ist I ≈ Id := 0, 0762 (ergibt sich aus den
Buchstabenhäufigkeiten in deutschen Texten).
Für lange Texte mit l1 = l2 = . . . l26 (Zufallstexte) gilt:
I=
=
26
P
( li )2
lgroß i=1 l
≈
=
26
P
i=1
26
P
li (li − 1)
=
l(l − 1)
li2
l
i=1
1 −
2
l (1 − l ) l(l −
26
P
1 2
1
( 26
) = 26
i=1
1)
=
≈
26
P
i=1
li2
26
P
li
i=1
−
l(l − 1) l(l − 1)
26
P
li2
l
1
· i=12 −
l−1
l
l−1
0, 0385 =: Iz
(z für zufällig)
Also: In deutschsprachigen Texten treten gleiche Buchstaben an zwei zufällig
(unabhängig) gewählten Positionen etwa doppelt so häufig auf wie in zufällig
erzeugten Texten.
Was hilft der Koinzidenzindex zur Bestimmung der Periode d einer polyalphabetischen Verschlüsselung?
Zerlege den Chiffretext c in die d monoalphabetisch verschlüsselten Teiltexte:
(Pos. 1, d + 1, 2d + 1, . . . Pos. 2, d + 2, 2d + 2, . . . Pos. d, 2d, 3d, . . .)
Wir nehmen an, daß diese verschieden monoalphabetisch verschlüsselt wurden. (Bei Vigenère bedeutet dies, dass das Schlüsselwort aus lauter verschiedenen Buchstaben besteht.) Wählt man zwei Positionen innerhalb eines solchen Teiltextes, so ist die Wahrscheinlichkeit für zwei gleiche Buchstaben
≈ Id = 0, 0762. Wählt man zwei Positionen, die in verschiedenen Teiltexten
liegen, so ist die Wahrscheinlichkeit für zwei gleiche Buchstaben annähernd
die eines Zufallstextes, also ≈ Iz = 0, 0385.
33
[Anmerkung: Letztere Aussage trifft nur zu, wenn die Permutationen, die die
monoalphabetischen Substitutionen bewirken, die Häufigkeit jedes Buchstaben insgesamt gleichmäßig verteilen, d.h. für jedes a ∈ A soll gelten:
1 X
1
,
p(σ −1 (a)) ≈
|M | σ∈M
26
wobei M die Menge der auftretenden Permutationen und p(b) für b ∈ A die
relative Häufigkeit des Buchstabens b in (langen) deutschsprachigen Texten
bezeichnet.
Begründung:
Sei M = {σ1 , . . . σd }, also |M | = d. Die Wahrscheinlichkeit für zwei gleiche
Buchstaben in zwei zufällig gewählten Positionen in verschiedenen Teiltexten
ist:
=
≈
V or.
=
=
1
d(d − 1)
1
d(d − 1)
1
d(d − 1)
1
d(d − 1)
1
d(d − 1)
d
d
X X
X
−1
−1
(
p(σi (a))p(σj (a)) −
p(σi−1 (a))2 )
a∈A i,j=1
a∈A
i
j
X
1
1
·d·
−
p(σi−1 (a))2 )
(d ·
26
26
i
a∈A
d2 X X
−1
[ −
p(σi (a))2 ]
26
i a∈A
d2 X X
[ −
p(a)2 ]
26
i a∈A
| {z }
X
2
≈
i=1
X X
X
X
((
p(σi−1 (a)) ·
p(σj−1 (a)) −
p(σi−1 (a))2 )
i
2
≈Id ≈ 26
d
2d
d−2 1
1
[ − ]=
·
d(d − 1) 26 26
d − 1 26
≈
1
für große d. ]
26
Sei nun l die Länge des Chiffretextes c, sein Koinzidenzindex I(c). Da es d
Teiltexte mit je etwa dl vielen Zeichen gibt, gibt es insgesamt ungefähr
l(l − d)
1 l l
· ( − 1) · d =
2 d d
2d
viele (ungeordnete) Paare von Positionen innerhalb der Teiltexte und
34
1
·
2
l2 (d − 1)
l
)=
·( l−
2d
| {z d}
Mögl.
l
|{z}
Anz.
an 1. Pos.
Anz. Mögl.
an 2. Pos.
viele (ungeordnete) Paare von Positionen aus verschiedenen Teiltexten. Die
Zahl der (ungeordneten) Paare von Positionen innerhalb c mit gleichen Buchstaben ist danach ungefähr:
l(l − d)
l2 (d − 1)
· 0, 0762 +
· 0, 0385
2d
2d
aller (ungeordneten) Paare, so
Dividiert man durch die Gesamtzahl l(l−1)
2
erhält man eine Approximation von I(c):
I(c) ≈
l−d
l(d − 1)
· 0, 0762 +
· 0, 0385
(l − 1)d
(l − 1)d
Diese Gleichung“ läßt sich nach d auflösen. Es ergibt sich
”
d≈
0, 0377l
(l − 1)I(c) − 0, 0385l + 0, 0762
Da sich
I(c) =
26
P
i=1
li (li − 1)
l(l − 1)
, li = Anzahl des Buchstabens ai in c,
berechnen lässt, erhält man damit eine Abschätzung für d. Diese Abschätzung
gibt jedenfalls die Größenordnung von d an und kann mit den beiden anderen
Methoden zur Bestimmung von d kombiniert werden.
35
Beispiel:
Wir verwenden wieder den Text von Seite 31 und bestimmen die Häufigkeitsverteilung der Buchstaben.
Häufigkeitsverteilung der Buchstaben:
Buchstabe
A
B
C
D
E
F
G
H
I
J
K
L
M
Anzahl
l0 − l12
5
8
8
4
32
22
13
14
30
11
9
13
9
rel.
Häufigkeit
1,60%
2,50%
2,50%
1,30%
10,00%
6,90%
4,10%
4,40%
9,40%
3,40%
2,80%
3,10%
2,80%
Buchstabe
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
Anzahl
l13 − l25
10
13
5
3
15
16
11
14
19
4
11
15
6
rel.
Häufigkeit
3,10%
4,10%
1,60%
0,90%
4,70%
5,00%
3,40%
4,40%
5,90%
1,30%
3,40%
4,70%
1,90%
Koinzidenzindex des verschlüsselten Textes c:
X
I(c) = (
li (li − 1))/l(l − 1) = 0, 048
Es handelt sich also nicht um einen monoalphabetisch verschlüsselten Text
(d.h. die Länge des Schlüsselworts ist größer als 1).
Die Anwendung der Friedman-Formel
d ≈ 0, 0377 · l/((l − 1) · I(c) − 0, 0385 · l + 0, 0762)
auf den Chiffretext von Seite 31 mit den Werten l = 320 und I(c) = 0, 048
liefert die Abschätzung d ≈ 3, 93.
Wir nehmen jetzt d = 5 an und ermitteln die Buchstabenhäufigkeiten der
fünf Teiltexte, die sich aus den Buchstaben an den Positionen i, d+i, 2d+i, . . .
für i = 1, 2, 3, 4, 5 ergeben.
Da der Gesamttext mit Vigenère-Chiffrierung verschlüsselt wurde, entstanden die Teiltexte durch Verschiebe-Chiffren aus den entsprechenden Teiltexten des Klartextes.
36
Tabelle 4: Teiltexte 1-5
Teiltext 1: Offenbar steht F für den Klartextbuchstaben E. Verschiebung
∧
um 1 = B.
Teiltext 2: Aus der Häufigkeit von E entnimmt man, dass hier keine Ver∧
schiebung, d.h. Verschiebung um 0 = A vorliegt. (Ist das der Fall, so
kommt allerdings der in deutschen Texten relativ häufige Buchstabe R
in dem zweiten Klartextstück überhaupt nicht vor.)
Teiltext 3: Dieser Teiltext hat keine typische Häufigkeitsverteilung. Kandidaten für den Klartextbuchstaben E sind die Chiffretextbuchstaben H
oder Y. Im ersten Fall würde Q für N stehen, d.h. der zweithäufigste
Buchstabe in deutschen Texten würde in diesem Klartextstück nicht
auftauchen. Die Wahl von Y für E ist plausibler. Dann Verschiebung
∧
um 20 = U.
Teiltext 4: Offenbar steht I für den Klartextbuchstaben E. Verschiebung
∧
um 4 = E.
Teiltext 5: Offenbar steht V für den Klartextbuchstaben E. Verschiebung
∧
um 17 = R.
Demnach ist das Schlüsselwort BAUER und der Klartext lautet (mit Satzzeichen):
37
Es mag ueberraschen, dass man von einem vorgelegten monoalphabetisch chiffrierten Text leichter sagen kann, ob er englisch
oder franzoesisch ist, als ihn zu entschluesseln. Dies gilt natuerlich auch fuer Klartext: es gibt ein einfaches Verfahren, genuegend
langen Klartext auf Zugehoerigkeit zu einer bekannten Sprache
zu untersuchen, ohne seine Syntax oder Semantik zu betrachten.
(Aus: F.L.Bauer, Entzifferte Geheimnisse [5])
Aufgabe:
Der folgende Chiffretext entstand durch polyalphabetische periodische Verschlüsselung eines deutschsprachigen Texts. Versuchen Sie ihn zu entschlüsseln.
GQGOEQ
XYGDHJ
RYGPTW
CVCLET
WMROCV
MJXIFZ
CTRIFF
DQWCBS
XYGBWT
TICRTT
BYGPTV
GQGOCJ
EGTGBE
UAHDPE
CQGBDJ
2.2
RYZOEJ
OYZEHY
GTCRHT
CTEHVI
NCVRWA
WYEFUF
GOVOOT
OTUPKY
NEYRDF
XZTRQG
UBVRQZ
OPCRUG
OBCHTH
SLREWT
D
DJGBGT
GOVVIT
FYZCWF
YOUUWT
MBRKTZ
ZYXVZT
UCRVBL
GQXNWT
FECRQT
SLTCEF
DYEYDB
DJKVWV
XMCGBT
UBCJVI
OPCBDJ
XOKVHT
DLVRJZ
HLCHVI
SEZVTT
BYGDPT
YOYMDG
HMCJFT
UEVLQT
GORREL
GPJAEN
XEVLBJ
HYPKTG
HJCJUT
WAHYHT
ULRIFI
PYYUDJ
DORIFF
UMCRIT
XOCRGH
DVCADQ
OPXOTW
XYGBDJ
HYZJDT
ZBAOAW
OBIDPT
GTCRXT
HZCGBT
WPCYHT
MBWPTW
HEYOAF
WYHGZH
OBLSTA
GKZOTW
RZTRET
UEHVDZ
WAHYHT
HYGGHI
GOAOTQ
XOCRQG
RYGLEL
OLVRJZ
FYZCWF
MMVGVI
RYZFPF
XVCMWC
DMCJUC
RYZEDG
YPXOAT
TEGRKH
WPCYJT
GEVLQT
REGRGG
GSCHQT
HPAOAW
NYJAEQ
DLVRJG
REXGWZ
GLCFBO
CBRTOJ
CLVOUZ
DWVRCF
XGKDBV
XMKJJK
WWCHVI
XJCFZG
UXEHVI
XPVNDJ
GOXHDQ
OPWOTW
WBCJDG
OXTPHN
OYWYWC
OPIBEZ
GLKSUF
RYZREC
UYGFDZ
DYZDDQ
GTIHUF
QKCRGT
GQGCEL
QKCLUZ
OAHVQK
MTKRJT
Transpositionschiffren
Bei Transpositionschiffren (oder Permutationschiffren) werden Klartextzeichen nicht durch andere ersetzt, sondern ihre Stellung innerhalb des Textes
wird nach einer festen Regel verändert.
Daher bleiben bei der Verschlüsselung die individuellen Buchstabenhäufigkeiten erhalten. Daran ist oft leicht zu erkennen, dass eine Transpositionschiffre
angewandt wurde. Kryptoanalytische Methoden, die sich auf charakteristische Häufigkeitsverteilungen von Buchstaben in natürlichsprachigen Texten
38
beziehen, helfen bei Transpositonschiffren nicht. Ggf. können aber Häufigkeiten von Digrammen nützlich sein.11
Block-Transposition
Klartext wird in Blöcke einer festen Länge n eingeteilt (evtl. Blendbuchstaben einfügen). Diese Blöcke werden jeweils derselben Permutation der
Positionen unterworfen (Block Chiffre).
Block: a1 . . . an → aσ(1) . . . aσ(n)
Beispiel:
Klartext:
KRYPTO|LOGIEU|NDDATE|NSICHE|RHEITZ|
Permutation: σ = (153642) , n = 6
Chiffretext:
TKORYP|ELKOGI|TNEDDA|HNESIC|TRZHEI|
Kryptoanalytische Methoden für Block-Transpositonschiffren versuchen zunächst die Blocklänge zu ermitteln (Teiler der Nachrichtenlänge). Anschließend wird analysiert, ob sich aus den Buchstabenfolgen in den Blöcken sinnvolle Klartextstücke bilden lassen (jeweils durch Anwenden derselben Permutation) mit Hilfe von Anagrammen.
Bei kurzen Blocklängen ist dies i.d.R. kein Problem und Mehrdeutigkeiten
in einem Block (die bei längeren Blocklängen oft auftreten) lassen sich meist
dadurch beseitigen, dass bei allen Blöcken dieselbe Permutation angewandt
wird.
Spalten-Transposition
Der Klartext wird zeilenweise in ein Rechteck mit einer festen Spaltenzahl n
geschrieben (Zeilenanzahl hängt von Klartextlänge ab; evtl. Blendbuchstaben
hinzufügen). Danach werden die Spalten mit einer Permutation σ ∈ Sn vertauscht und der Text wird spaltenweise gesendet.(Bei Block-Transpositionen
wird er zeilenweise gesendet.)
Beachte: Bei Spalten-Transpositionen ist der gesamte Klartext zu verschlüsseln,
bevor er gesendet werden kann. Sie eignen sich daher nur für kürzere Klartexte. Spalten-Transpositionen sind weder Block- noch Stromchiffren.
11
Zur Häufigkeit von Digrammen in deutscher Sprache siehe Abbildung 2 auf S. 19.
39
Beispiel (Klartext wie Beispiel in Block-Transposition):
K
L
N
N
R
R
O
D
S
H
Y
G
D
I
E
P T O
T
I E U
E
P erm.
A T E −−−→ T
C H E
H
I T Z
T
K
L
N
N
R
O R
U O
E D
E S
Z H
Y
G
D
I
E
P
I
A
C
I
Chiffretext: TETHTKLNNROUEEZRODSHYGDIEPIACI
Block- und Spalten-Transpositionen stellen typische Vertreter von Transpositionschiffren dar. Jede für sich genommen ist relativ leicht zu knacken (Beispiel für Spalten- Transposition am Ende dieses Unterkapitels).
Es gibt allerdings viele Variationen und vor allem Hintereinanderausführungen von Block bzw. Spalten-Transpositionen. Diese sind dann deutlich schwieriger für eine Kryptoanalyse. Z. B. wurde die Hintereinanderausführung von
zwei Spalten-Transpositionen häufig für militärische Geheimhaltungszwecke
eingesetzt.
Kryptoanalyse von Spalten-Transpositionen:
1. Schritt: Schätzung der Spaltenlänge s = l teilt n (n = Anzahl der Spalten,
l = Länge des Chiffretextes)
(s/l; i.d.R. relativ großer Teiler von l, da n i.d.R. nicht zu groß)
2. Schritt: Bestimmung der Spaltenpermutation durch Herausfinden benachbarter Spalten: Häufige Digramme, Ausschluss seltener Digramme, etc.
Beispiel:
Kryptoanalyse einer Spalten-Transposition
Chiffretext:
IAEEKCWENUCETOEEKRAMDEZNEDNZAIFATRWNIRR SUBSNWKREELNTEURERKNSIKZIMIKFVNUHANENK
Länge: 77 Zeichen
Mögliche Spaltenlängen: 7 oder 11
40
I
A
E
E
K
C
W
E
N
U
C
E
T
O
E
E
K
R
A
M
D
E
Z
N
E
D
N
Z
A
I
F
A
T
R
W
N
I
R
R
S
U
B
S
N
W
K
R
E
E
L
N
T
E
U
R
E
R
K
N
S
I
K
Z
I
M
I
K
F
V
N
U
H
A
N
E
N
K
I
A
E
E
K
C
W
E
N
U
C
E
T
O
E
E
K
R
A
M
D
E
Z
N
E
D
N
Z
A
I
F
A
T
R
W
N
I
R
R
S
U
B
S
N
W
K
R
E
E
L
N
T
E
U
R
E
R
K
N
S
I
K
Z
Im zweiten Rechteck enthält die vorletzte Zeile 9 Konsonanten und 2 Vokale,
mit denen kein sinnvoller Klartext herstellbar erscheint. Wir gehen daher
zunächst von Spaltenlänge 11, also dem ersten Rechteck, aus.
I
A
E
E
K
C
W
E
N
U
C
K
F
V
N
U
H
A
N
E
N
K
Die erste Spalte enthält zweimal den Buchstaben C. Da C sehr
selten als Endbuchstabe eines Wortes auftaucht und innerhalb eines
Wortes im Deutschen fast immer vor einem H oder K steht, liegt
es nahe, dass im Klartext die erste und letzte Spalte des obigen
Rechtecks aufeinander folgen.
Falls die hintere der beiden Spalten nicht letzte Spalte im Klartextrechteck ist, zeigen schon die ersten drei Positionen (IK, AF,
EV), dass sich nur die mit ET beginnende Spalte anschließen kann.
Da wahrscheinlich mindestens vor einem der beiden Digramme CH
und CK ein Vokal stehen wird, liegt es nahe, dass vor der ersten
der beiden Spalten die mit ER beginnende Spalte steht.
Die verbleibenden drei Spalten lassen sich jetzt
leicht einordnen: Die schon zusammengestellten
vier Spalten bilden die 3. - 6. Spalte des Klartextrechteckes, die mit Z beginnende Spalte steht
an der ersten Stelle, die mit W beginnende Spalte
an der zweiten und die mit R beginnende an der
letzten Stelle. Damit ergibt sich folgender sinnvoller Klartext:
ZWEI KERNKRAFTWERKE, VON DENEN EINES KUERZLICH KRANK WAR, SITZEN AUF
EINEM BAUM UND STRICKEN.
41
E
R
K
N
S
I
K
Z
I
M
I
I
A
E
E
K
C
W
E
N
U
C
K
F
V
N
U
H
A
N
E
N
K
E
T
O
E
E
K
R
A
M
D
E
I
M
I
K
F
V
N
U
H
A
N
E
N
K
2.3
Affin lineare Chiffren
Üblicherweise lassen sich die Alphabete, die in der Kryptologie verwendet
werden, als (endliche) kommutative Ringe auffassen.
Beispiel:
∧
{0, 1} = Z/2Z
∧
{A, B, . . . Z} = {0, 1, . . . 25} ∼
= Z/26Z
Dies hat den Vorteil, dass man die Elemente des Alphabets addieren und
multiplizieren kann. Insbesondere von der Addition haben wir in Kapitel 2.1
häufig Gebrauch gemacht.
Affine lineare Chiffren sind Verschlüsselungsverfahren von Texten über Alphabeten, welche kommutative Ringe sind. Sie beruhen auf Operationen, die
aus der linearen Algebra bekannt sind, nur dass die dort auftretenden Körper
auch kommutative Ringe sein können. Wir stellen daher zunächst einmal die
wesentlichen Hilfsmittel aus der linearen Algebra über kommutativen Ringen
zusammen, wobei wir auf Beweise verzichten.
2.3.a
Lineare Algebra über kommutativen Ringen
Im folgenden sei R immer ein kommutativer Ring mit 1. D.h. R erfüllt alle
Axiome eines Körpers, nur müssen die von 0 verschiedenen Elemente von R
nicht notwendig ein Inverses bezüglich Multiplikationen besitzen. Diejenigen
Elemente, die ein multiplikatives Inverses besitzen, nennt man Einheiten von
R. Die Menge aller Einheiten des Rings R bezeichnet man mit R∗ .
Beispiele:
a)
Z ist kommutativer
Z∗ = {1, −1}.
Ring mit 1. Die Einheiten sind 1 und −1, also
b) Sei n eine natürliche Zahl.
Z/nZ
= Zn ist der Ring der ganzen Zahlen modulo n. Man kann ihn
auffassen als Menge der Restklassen {a + nZ|a ∈ Z} von Z bzgl. des
Ideals nZ. Die verschiedenen Restklassen sind gerade {0 + nZ, 1 + nZ,
. . . (n − 1) + nZ}.
Üblicherweise schreibt man Zn als {0, 1, . . . n−1} und addiert und multipliziert modulo n: Addition (Multiplikation) wie in Z, dann Division
42
durch n mit Rest r, 0 ≤ r ≤ n − 1; außerdem −i = n − i, der Rest ist
das Ergebnis der Addition (Multiplikation) in Zn .
Welches sind die Einheiten in
Zn ?
a Einheit ⇔ ∃b, k ∈ Z:
a · b = k · n + 1 ⇔ ggT(a, n) = 1
Z.B.: Einheiten in Z10 : Z∗10 = {1, 3, 7, 9}
Ist n = p, so sind alle von 0 verschiedenen Elemente Einheiten: Zp ist Körper.
Wie über Körpern kann man über Ringen Vektoren und Matrizen bilden:
Rn = {(r1 , . . . rn )|ri ∈ R}
R(n,k)




= 





r11 . . . r1k


..
 | rij ∈ R .
.


rn1 . . . rnk
Also: Rn = R(1,n)
Matrizenaddition und -multiplikation wie über Körpern.
Ebenso kann man die Determinante einer quadratischen Matrix berechnen:
n=1:
A = (a11 ) = (a) : det(a) = a
n
P
(−1)i+j aij det Ai,j ∈ R
n ≥ 1 : A ∈ R(n,n) :
det A =
j=1
(Entwicklung nach der i-ten Zeile)
Ai,j entsteht aus A durch Streichen der i-ten Zeile und j-ten Spalte.
Ebenso:
det A =
n
P
(−1)i+j aij det Ai,j (Entwicklung nach der j-ten Spalte)
i=1
Beispiel: R = Z6


0 2 5
A= 1 3 1 
4 0 1
Rechne über Z, reduziere dann modulo 6.
43
1 3
1 1
3 1
+ 5 · det
− 2 · det
det A = 0 · det
4 0
4 1
0 1
= −2 · (4 − 1) + 5 · (0 − 12) = −2 + 8 − 60 = −54 ≡ 0 (mod 6)
det A = 0
Wann besitzt eine Matrix A ∈ R(n,n) eine Inverse A−1 ?
Forderung:


A · A−1 = A−1 · A = En = 
1
0
...
0
1



Kriterium: A ∈ R(n,n) besitzt Inverse ⇔ det A ist Einheit in R.
Setzt man bij = (−1)i+j det Aj,i , Aj,i wie oben, B = (bij ),
so gilt A−1 = (det A)−1 · B.
Beispiel: R = Z6
1 3
A=
3 2
2 − 9 = −7 ≡ 5 (mod 6) ,
d.h. A ist invertierbar in R(2,2) .
(det A)−1 = 5
−1
A
2.3.b
=5·
2 −3
−3
1
=5·
2 3
3 1
=
4 3
3 5
Affin lineare Blockchiffren
Klartexte seien codiert in einem Alphabet Zk für ein k ∈ N. Klartexte werden
zerlegt in Blöcke der Länge n, d.h. in Elemente aus Znk . Die Blöcke werden
einzeln in derselben Weise verschlüsselt:
Eine affin lineare Blockchiffre ordnet jedem v = (v1 , . . . vn ) ∈ Znk das Element
(n,n)
vA + b ∈ Znk zu, wobei A ∈ Zk , b ∈ Znk . Schlüssel ist das Paar (A, b).
Damit die Chiffrierung v 7→ vA+b injektiv ist, muss die Matrix A in Zk
invertierbar sein, d.h. det A muss eine Einheit in Zk sein (also ggT(det A, k) = 1).
Die Dechiffrierung von w = vA + b erfolgt dann durch
(n,n)
v = (w − b)A−1 .
44
Wird der Schlüsselraum eingeschränkt auf alle (A, b) mit b = 0 (v 7→ vA,
A Schlüssel), so spricht man von linearen Blockchiffren. Sie werden auch
Hill-Chiffren genannt.12
Beachte:
(Affin) lineare Blockchiffren sind weder Substitutions- noch Transpositionschiffren: Ist w = vA + b = (w1 , . . . wn ), so hängt jedes wi i.d.R. von allen
v1 , . . . vn ab; die vi lassen sich nicht einzeln verschlüsseln, sondern nur der
gesamte Block (v1 , . . . vn ).
Beispiele:
a) Die Vigenère-Chiffre ist eine affin lineare Blockchiffre über
Schlüssel werden sämtliche (En , b), b ∈ Zn26 verwendet:
v 7→ v + b
Z26 .
Als
(b ist das Schlüsselwort“)
”
b) Block-Transpositionen sind lineare Blockchiffren:
Sei σ eine Permutation von {1, . . . n}.
Sei Pσ = (pij ) die folgende Permutationsmatrix.
0 für i 6= σ(j)
pij =
1 für i = σ(j)
(v1 , . . . vn )Pσ = (vσ(1) , . . . vσ(n) )
Pσ−1 = Pσ−1 (gilt über jedem Ring R, z.B. R = Z26 )
Vigenère-Chiffren und Block-Transpositionen natürlichsprachiger Texte (also
über Z26 ) lassen sich mit einer ciphertext-only-attack brechen, wie wir in
Kapitel 2.1 und 2.2 gesehen haben (vorausgesetzt der Chiffretext ist genügend
lang). Wir zeigen jetzt, wie allgemein affin lineare Chiffren durch eine knownplaintext-attack gebrochen werden können.
Kryptoanalyse affin linearer Blockchiffren
Known-plaintext-attack (R = Zk )
Ausgangssituation: Schlüssel (A, b) ist festgelegt worden.
12
Lester S. Hill (1891-1961), 1929
45
Verschlüsselungsfunktion: v 7→ vA + b, v ∈ Znk
(A ∈ Zk
(n,n)
, b ∈ Znk )
Angreifer will (A, b) bestimmen.
Wir gehen davon aus, dass er n + 1
gehörigen chiffrierten Blöcke c0 , . . . cn

w1 − w0

..
Wir nehmen an, dass det 
.
wn − w0
Klartextblöcke w0 , . . . wn und die zukennt.


 eine Einheit in
Zk
ist.
= 1 und nϕ(n)
(Das passiert häufig, da lim ϕ(n)
1−δ → ∞ für alle δ > 0
n




c1 − c0
w1 − w0




(n,n)
..
..
C=
Setze W = 
 ∈ Zk
,
.
.
cn − c0
wn − w0
Dann gilt: W A = C. Da det W eine Einheit in
Zk
13
)
ist, existiert W −1 .
Es folgt:
A = W −1 C und b = c0 − w0 A
(Ist die Chiffre sogar linear, so benötigt man nur w1 , . . . wn und bestimmt a
wie oben (mit w0 = co = 0).)
Beispiel:
Ang.: Blocklänge n = 2, k = 26
Angenommen wir wissen, dass der Klartext HERBST in den Chiffretext
SOMMER verschlüsselt wurde.
D.h.:
W =
7 4 17 1 18 19 −→ 18 14 12 12 4 17
w0
w1
w2
c0
c1
c2
w1 − w0
w2 − w0
=
10 23
11 15
C=
c1 − c0
c2 − c0
10 · 15 − 23 · 11 = 150 − 253 = −103 ≡ 1 (mod 26),
15 3
15 −23
−1
=
W =
−11
10
15 10
13
siehe z.B. K. Chandrasekharan [11], S. IV.20
46
=
20 24
12 3
det W = 1 in
Z26
−1
A = W
C
24 5
300 + 36 360 + 9
20 24
15 3
=
=
=
4 0
300 + 120 360 + 30
12 3
15 10
b = c0 −w0 A = (18, 14)−(7, 4)
Test:
w1 A+b = (17, 1)
w2 A+b = (18, 19)
3
3.1
24 5
4 0
24 5
4 0
24 5
4 0
= (18, 14)−(−14+16, 35) = (16, 5)
+(16, 5) = (−34+4, 85)+(16, 5) = (12, 12) = c1
+(16, 5) = (−36+76, 90)+(16, 5) = (4, 17) = c2
Blockchiffren und ihre Betriebsarten
Allgemeine Vorbemerkungen
Wir betrachten im Folgenden Blockchiffren über dem Alphabet Z2 = {0, 1}.
Klartexte sind also Bitfolgen (z.B. durch Codierung mit ASCII-Code entstanden), die in Blöcke einer festen Länge n zerlegt werden. Diese Blöcke
werden verschlüsselt.
Wir betrachten zunächst die Situation, dass zwei gleiche Blöcke des Klartextes auch gleich verschlüsselt werden (d.h. dies entspricht einer monoalphabetischen Substitution über dem Alphabet Zn2 ). Es gibt andere Betriebsarten
von Blockchiffren, bei denen die Verschlüsselung eines Blocks von der Verschlüsselung der vorangehenden Blöcke abhängt (also von seiner Position im
Text; vgl. polyalphabetische Verschlüsselungen). Auf diese Betriebsarten von
Blockchiffren werden wir später eingehen.
Wir nehmen im Folgenden ferner an, dass Blöcke der Länge n über Z2 wieder
in Blöcke der Länge n über Z2 verschlüsselt werden. Dann gibt es also (2n )!
viele Blockchiffren (mit Blöcken der Länge n über Z2 ).
Wenn man alle diese Permutationen der 2n vielen möglichen Klartextblöcke
über F2 zur Verschlüsselung zulässt, so besteht die Schlüsselmenge aus allen (2n )! dieser Permutationen. Die Codierung einer Permutation (also eines
Schlüssels) erfordert dann mindestens s viele Bits, wobei 2s = (2n )!.
47
Nach der Stirling-Approximation ist (2n )! ≈
√
n
n
π · 2n+1 ( 2e )2 , also
√
n
n
s ≈ log2 ( π · 2n+1 · ( 2e )2 )
= 12 (n + 1) + 21 log2 π + 2n (n − log2 e)
≈ 2n (n − 1, 44)
[ Die übliche Codierung eines Schlüssels (= Permutation der 2n vielen Blöcke)
wäre, die Permutation so anzugeben, dass zunächst das Bild des Blockes
(0, . . . 0) angegeben wird (n Bits), dann das Bild des Blockes (0, . . . 0, 1), . . .,
←n→
schließlich das Bild des Blockes (1, . . . 1). Dies erfordert n · 2n viele Bits. ]
Bei der in der Praxis üblichen Blocklänge von n = 64 oder n = 128 (oder
sogar mehr) sind solche Schlüssellängen natürlich illusorisch.
Bsp.: n = 64
Schlüssellänge: s = 264 · 26 = 270 ≈ 1021 Bits
Zur Speicherung eines Schlüssels werden mehr als 109 Festplatten mit einer
Kapazität von je 100 GByte benötigt.
Daher beschränkt man sich in der Praxis auf kleine Teilmengen von Blockchiffren, für die die Schlüssel (also die Permutationen) mit geringer Bitlänge
codiert werden können.
Bsp.: lineare Chiffren, n = 64
Schlüssel A
64 × 64 -Matrix über Z2 mit Determinante 1
Schlüssellänge: 642 = 212 = 4096 Bits
(falls man die Matrix als 64 × 64 -array speichert.)
Anzahl der Schlüssel: |GL(64, 2)| = (264 − 1)(264 − 2) . . . (264 − 263 )
≈ 0, 29 · 24096
64
21
[Winzig im Vergleich zu 264 ! ≈ 22 ·62,56 ≈ 210 ]
(Deshalb könnte man die Schlüssel auch mit ⌈log2 (0, 29·24096 )⌉ = 4095 vielen
Bits kodieren; keine große Ersparnis)
Die Sicherheit von Blockchiffren kann erhöht werden, indem mehrere Blockchiffren hintereinander ausgeführt werden (Produkt von Blockchiffren, Überchiffrierung). Wichtig dabei ist, dass die Hintereinanderausführung zweier Blockchiffren nicht wieder eine Blockchiffre derselben Art ist (Gruppeneigenschaft darf nicht erfüllt sein). Z.B. ist die Hintereinanderausführung
zweier (affin) linearer Blockchiffren wieder eine (affin) lineare Blockchiffre;
hier bringt die Hintereinanderausführung nichts.
Oft werden z.B. Substitutionschiffren (auch solche, die kleinere Blöcke durch
48
Blöcke entsprechender Größe substituieren) und Permutationschiffren alternierend hintereinander eingesetzt.
Ziel solcher Hintereinanderschachtelungen ist es u.a., zwei Eigenschaften von
Blockchiffren sicherzustellen, die Claude Shannon in einer seiner grundlegenden Arbeiten zur Kryptographie 1949 als wesentlich für die Sicherheit von
(Block-)Chiffren formuliert hat14 :
Diffusion:
Die nderung eines Bits im Klartextblock ändert mehrere Bits im Chiffretextblock und umgekehrt (Nachteil: Ein kleiner Fehler im Klartext führt zu
großem Fehler im Chiffretext!)
Konfusion:
Der Chiffretext hängt nicht in einfacher Weise mit dem Schlüssel zusammen.
Jedes Bit des Chiffretextes sollte von mehreren Bits des Schlüssels abhängen.
Beispiel:
Lineare Chiffren: v → vA, A n × n-Matrix als Schlüssel.
Lineare Chiffren haben die Eigenschaft der Diffusion.
Konfusion: Chiffretextbit an Stelle i hängt von allen Einträgen der i-ten
Spalte von A ab (schwache Form der Konfusion).
Eine der wichtigsten Typen von Blockchiffren, die durch Hintereinanderschachtelungen mehrerer einfacherer Blockchiffren (nämlich Substitution und
Transposition) entstehen, behandeln wir im folgenden Abschnitt.
14
Claude Shannon, 1916 - 2001, Bell-Laboratories, MIT
49
3.2
Feistel-Chiffren
Feistel-Chiffren sind benannt nach dem IBM-Ingenieur Horst Feistel, der
1971 einen Chiffrieralgorithmus namens LUCIFER entwickelte, welcher als
Vorläufer des DES (Data Encryption Standard) anzusehen ist. Das typische Konstruktionsprinzip von LUCIFER
ist in der Definition von Feistel-Chiffren beinhaltet. Auf
den DES werden wir im nächsten bzw. übernächsten AbL
R
schnitt eingehen.
K
Klartextblock
v
0
0
1
+
Feistel-Chiffren sind die Prototypen aller moderner Blockchiffren. Sie realisieren den Vorschlag Shannons, alternierende Folgen von Substitutionen und Transpositionen zur
Diffusions- und Konfusionserzeugung zu verwenden, und
beruhen außerdem auf der Idee, aus einem (kurzen) Ausgangsschlüssel eine Folge von Schlüsseln für die Substitutionen zu erzeugen.
f
L1
R1
K2
+
f
L2
Zutaten für eine Feistel-Chiffre:
Blockchiffre über Z2 , Blocklänge t, K zugehörige Schlüsselmenge; Verschlüsselungsfunktion zum Schlüssel K sei fK ,
also fK : Zt2 → Zt2
R2
L r-1
R
r-1
Konstruktion der Feistel-Chiffre (zur gegebenen Blockchiffre):
Feistel-Chiffre ist Blockchiffre über Z2 , Blocklänge 2t.
Festlegung einer Rundenzahl r ≥ 1 und eines Schlüsselraums KF (i.a. KF 6= K)
Kr
+
f
Lr
Rr
Chiffretextblock
E k (v)
Abbildung
7:
Schematischer Ablauf einer FeistelChiffrierung
Wahl einer Methode, die aus einem Schlüssel k ∈ KF eine
Folge K1 , . . . Kr ∈ K von Rundenschlüsseln erzeugt.15
Verschlüsselungsfunktion Ek (zum Schlüssel k ∈ KF ) der
Feistel-Chiffre:
Sei v ein Klartextblock der Länge 2t (d.h. v ∈ Z2t
2 ).
Teile v in zwei Hälften der Länge t auf:
v = (L0 , R0 )
↑ ↑
linke Hälfte rechte Hälfte
15
Wie eine solche Methode realisiert werden kann, sehen wir in den nächsten Abschnit-
ten.
50
Konstruiere eine Folge (Li , Ri ), i = 1, . . . r − 1 nach folgender Vorschrift:
(Li , Ri ) = (Ri−1 , Li−1 ⊕ fKi (Ri−1 ))
[Also:
Substitution des linken Teilblocks durch Addition des
Schlüsselworts“ fK (Ri−1 )
(Li−1 , Ri−1 ) −”−−−−−−−−−−−−−i−−−−→
Transposition
(Vertauschen der
beiden Teilblöcke)
−−−−−−−−−−−−→
(Li−1 ⊕ fKi (Ri−1 ), Ri−1 )
(Ri−1 , Li−1 ⊕ fKi (Ri−1 )) = (Li , Ri ) ]
Schließlich in der r-ten Runde:
(Lr , Rr ) = (Lr−1 ⊕ fKr (Rr−1 ), Rr−1 )
[Hier keine Transposition mehr.]
Ek (v) = (Lr , Rr ), Chiffretextblock
Entschlüsselung:
Wie Verschlüsselung, nur mit der Schlüsselfolge (Kr , Kr−1 , . . . K1 ).
Begründung: Wir setzen L′0 = Lr , R0′ = Rr , Ki′ = Kr+1−i , i = 1, . . . r.
Wir verschlüsseln (L′0 , R0′ ) mit der Folge (K1′ , . . . Kr′ ) und betrachten die Zwischenresultate (L′i , Ri′ ), i = 1, . . . r.
1. Runde:
(L′1 , R1′ ) =
=
(R0′ , L′0 ⊕ fK1′ (R0′ )) = (Rr , Lr ⊕ fKr (Rr ))
(Rr−1 , Lr−1 ⊕ fKr (Rr−1 ) ⊕ fKr (Rr−1 )
| {z }
| {z } |
{z
}
Rr
Rr
Lr
|
2. Runde:
= (Rr−1 , Lr−1 )
{z
(0,...0)
←−t−→
}
(L′2 , R2′ ) = (R1′ , L′1 ⊕ fK2′ (R1′ )) = (Lr−1 , Rr−1 ⊕ fKr−1 (Lr−1 ))
=
(Rr−2 , Lr−2 ⊕ fKr−1 (Rr−2 ) ⊕ fKr−1 (Rr−2 )) = (Rr−2 , Lr−2 )
| {z } |
| {z }
{z
}
Lr−1
Lr−1
Rr−1
51
Am Ende der (r − 1)-ten Reihe hat man dann:
′
(L′r−1 , Rr−1
) = (R1 , L1 )
r-te Runde:
′
′
(L′r , Rr′ ) =
(L′r−1 ⊕ fKr′ (Rr−1
), Rr−1
)
= (R1 ⊕ fK1 (L1 ), L1 )
= (L0 ⊕ fK1 (R0 ) ⊕fK1 ( R0 ), R0 ) = (L0 , R0 ) = v
|{z} |{z}
|
{z
}
=R1
L1
L1
Beachte:
Man muss bei Feistel-Chiffren dafür sorgen, dass nicht alle Substitutionen
(Li−1 , Ri−1 ) → (Li−1 ⊕ fKi (Ri−1 ), Ri−1 ) (affin) linear sind, denn sonst ist die
gesamte Feistel-Chiffre affin linear (Transpositionen sind linear nach Beispiel
b) auf Seite 45). Dies bedeutet, dass nicht alle Ri−1 → fKi (Ri−1 ) affin linear
sind. Denn:
Ist
fKi (Ri−1 ) = Ri−1 Ai + bi , Ai ∈ Zt2 ,
so ist


(Li−1 ⊕ fKi (Ri−1 ), Ri−1 ) = (Li−1 , Ri−1 ) · 
3.3
1
...
Ai

0
1
1
...

 + (bi , 0, . . . 0).
←−t−→
1
Eine vereinfachte Version des DES-Algorithmus16
Bevor wir im nächsten Abschnitt den eigentlichen DES-Algorithmus beschreiben, wollen wir hier eine vereinfachte Form (mit kürzerer Blocklänge und
einfacherem Design) darstellen. An diesem Beispiel lassen sich dann auch gewisse kryptoanalytische Verfahren (z.B. differentielle Kryptoanalyse) leichter
darstellen.
Wir beschreiben eine Feistel-Chiffre mit Blocklänge 12 (also t = 6). Der
Ausgangsschlüssel k hat 9 Bits, die Rundenschlüssel K1 , . . . Kr haben 8 Bits.
16
nach W. Trappe, L.C. Washington [31]
52
Die Rundenzahl r ist zunächst beliebig. Zur Kryptoanalyse werden wir später
r = 3 oder r = 4 wählen.
Wir haben zu beschreiben, wie die Schlüssel K1 , . . . Kr erzeugt werden und
wie die Verschlüsselungsfunktion fKi : Z62 → Z62 aussieht.
1) Erzeugung der Schlüssel K1 , . . . Kr ∈ Z82 :
k hat 9 Bits, d.h. k ∈ Z92
Ki erhält man aus k, indem man als erstes Bit das von k an Stelle i
(i modulo 9 gerechnet) nimmt und dann die folgenden 7 Bits in k. Ist
i ≥ 3, so fährt man am Anfang von k fort, wenn man das Ende von k
erreicht hat:
k = (a1 . . . a9 ), so Ki = (ai . . . ai+7 ) (Indizes > 9 modulo 9 lesen)
(Beachte: Ki = Ki+9l , l ∈ N0 )
[Bsp.: k = (010011001), so K4 = (01100101) ]
2) Beschreibung der Funktion fK , K ∈ {K1 , . . . K9 }:
Sei T ∈ Z62 .
1. Schritt: Expansion e : Z62 → Z82
1
2
1
2
4
3
4
3
4
3
5
6
5
6
Abbildung 8: Expansion
Dies ist so zu verstehen: Die ersten beiden Bits von T bleiben erhalten,
das dritte Bit von T wird an die 4. und 6. Stelle von e(T ) geschrieben,
das 4. Bit von R wird an die 3. und 5. Stelle von e(T ) geschrieben, das
5. und 6. Bit von R werden zum 7. und 8. Bit von e(T ).
[Bsp.: T = (101011), so e(T ) = (10010111)]
Beachte: e ist lineare Abb.: e(T1 ⊕ T2 ) = e(T1 ) ⊕ e(T2 ), denn


1 0 0 0 0 0 0 0
 0 1 0 0 0 0 0 0 


 0 0 0 1 0 1 0 0 


e(T ) = T · 

0
0
1
0
1
0
0
0


 0 0 0 0 0 0 1 0 
0 0 0 0 0 0 0 1
53
2. Schritt: e(T ) ⊕ K ∈ Z82
3. Schritt (Hauptschritt):
Substitution mit Hilfe zweier S-Boxen S1 , S2 .
4 0 6 5 7 1 3 2
5 2 1 6 3 4 7 0
, S2 =
S1 =
5 3 0 7 6 2 1 4
1 4 6 2 0 7 5 3
Jede S-Box besteht aus zwei Zeilen. Jede Zeile enthält die Zahlen von 0 bis
7 in einer gewissen Reihenfolge.
Input für eine S-Box ist eine Folge von vier Bits. Das erste Bit gibt die Zeile
∧
∧
der S-Box an: 0 = 1. Zeile, 1 = 2. Zeile. Die letzten drei Bits beschreiben eine
∧
∧
Zahl zwischen 0 und 7, die die Spalte bestimmt: 000 = 1. Spalte,. . . 111 = 8.
Spalte.
Output ist die Binärdarstellung der Zahl, die an der entsprechenden Stelle
der S-Box steht.
Wir können also die Si als Funktion Z42 → Z32 auffassen.
Beispiel.:
S1 ( x
1 0 1 1} ) = 0 1 0
 | {z
x

2. Zeile
4. Spalte
Im 3. Schritt wird e(T ) ⊕ K ∈ Z82 in zwei Hälften (A, B) zu je 4 Bits geteilt.
fk (T ) = (S1 (A), S2 (B)) ∈ Z62
Beispiel:
k = (010011001), T = (101011)
Was ist fK4 (T )?
K4 = (01100101)
e(T ) ⊕ K4 = (10010111) ⊕ (01100101) = (11110010)
S1 ( x
1 1 1 1} ) = 0 1 1
 | {z
x

2. Zeile
S2 ( x
0 0 1 0} ) = 1 1 0
 | {z
x

1. Zeile
8. Spalte
3. Spalte
fK4 (T ) = (011110)
54
6
2
T
E
e (T)
8
2
+
K
4
A
S
4
2
B
2
8
2
S2
1
f K (T) = (S 1 (A))(S 2 (B))
Abbildung 9: Vereinfachtes DES: Expansion, Rundenschlüsseladdition, Substitution
Wie sieht nun z.B. die 4. Runde des vereinfachten DES aus?
Ang.:
Also:
(L3 , R3 )
(L4 , R4 )
L3 ⊕ fK4 (R3 )
(L4 , R4 )
s.o.
(001111, 101011) ∈ Z12
2
(R3 , L3 ⊕ fK4 (R3 ))
(falls r > 4)
(001111) ⊕ (011110) = (010001)
=
(101011010001)
=
=
=
(T =R3 )
Differentielle Kryptoanalyse
Das Verfahren der Differentiellen Kryptoanalyse wurde von Biham und Shamir 1990 vorgestellt. Es wurde zur Schlüsselbestimmung des DES entworfen,
kann aber auch auf andere ähnliche Verfahren angewandt werden. Offensichtlich war die Differentielle Kryptoanalyse auch den Designern des DES
bei IBM bekannt. Nach einem Mitglied des Teams, D. Coppersmith, wurde
der DES (d.h. dessen S-Boxen; s. Kapitel 3.4) so konzipiert, dass er möglichst
wenig Angriffsmöglichkeiten für die Differentielle Kryptoanalyse bietet.
Die Differentielle Kryptoanalyse ist eine Choosen-Plaintext-Attack. Wir verdeutlichen sie am Beispiel des vereinfachten DES mit wenigen Runden.
Dem Angreifer ist das Verfahren (also die S-Boxen, Expansion e, Transposition, Rundenschlüsselerzeugung) bekannt. Nur der Schlüssel k = (a1 , . . . a9 )
55
ist unbekannt. Er soll bestimmt werden.
Der Angreifer kann einen beliebigen Klartextblock (L0 , R0 ) wählen und erhält
das verschlüsselte (Lr , Rr ). Versucht er, die r Verschlüsselungsrunden zu verfolgen, so endet er (bei größeren r) schnell in komplexen Situationen, die
nicht mehr zu analysieren sind; denn in jeder Runde werden 8 Bits des unbekannten Schlüssels zum expandierten Ergebnis der vorangegangenen Runde
addiert.
Die Differentielle Kryptoanalyse beruht auf der Analyse von Differenzen
(= Summe modulo 2) von Klartextblöcken (L0 , R0 ), (L∗0 , R0∗ ), also (L0 ⊕
L∗0 , R0 ⊕ R0∗ ) und der Differenz der verschlüsselten Blöcke (Lr ⊕ L∗r , Rr ⊕ Rr∗ ).
Es sind im Wesentlichen zwei Gründe, die dies zu einem erfolgversprechenden
Ansatz zur Kryptoanalyse des DES machen:
1) Differenzen ändern sich nicht, wenn zu jedem der Blöcke ein gleicher
Block (im DES der Rundenschlüssel) addiert wird.
2) Die S-Boxen des vereinfachten DES (wie auch die des nicht vereinfachten DES) haben die Eigenschaft, dass für manche D ∈ Z42 viele
Input-Paare mit dieser Differenz D auch eine gleiche Differenz beim
Output haben. (Diese Eigenschaft spielt v.a. bei der Analyse größerer
Rundenzahlen eine wichtige Rolle.)
Nun zur genauen Erläuterung:
Wir betrachten eine der beiden S-Boxen, etwa S1 .
Für Inputs A, A∗ ∈ Z42 dieser S-Box nennen wir A ⊕ A∗ die Input-Differenz.
Analog heißt S1 (A) ⊕ S1 (A∗ ) ∈ Z42 die Output-Differenz.
Sei A′ ∈ Z42 . Für alle {A, A∗ } mit A ⊕ A∗ = A′ kann man die OutputDifferenzen S1 (A) ⊕ S1 (A∗ ) bestimmen und die Verteilung in einer Tabelle
festhalten.
Beachte: Ist A′ 6= (0000), so gibt es genau 8 solche Mengen {A, A∗ }, nämlich
alle {A, A ⊕ A′ } für A ∈ Z42 .
Wie geben exemplarisch zwei solcher Tabellen für die S-Box S1 an und zwei
weitere für die S-Box S2 (Diese werden wir später auch verwenden.):
5 2 1 6 3 4 7 0
S1 =
1 4 6 2 0 7 5 3
56
A′ = (1010)
{A, A∗ }
(0000), (1010)
(0001), (1011)
(0010), (1000)
(0011), (1001)
(0100), (1110)
(0101), (1111)
(0110), (1100)
(0111), (1101)
S1 (A) ⊕ S1 (A∗ )
(101) ⊕ (110) = (011)
(010) ⊕ (010) = (000)
(001) ⊕ (001) = (000)
(110) ⊕ (100) = (010)
(011) ⊕ (101) = (110)
(100) ⊕ (011) = (111)
(111) ⊕ (000) = (111)
(000) ⊕ (111) = (111)
(111)
(000)
(010)
(011)
(110)
(001)
(100)
(101)
3×
2×
1×
1×
1×
−
−
−
Tabelle 5: Alle 8 Input- u. Output-Differenzen zu geg. A′ = (1010) ∈
S-Box S1
Z42
u.
Z42
u.
A′ = (0011)
{A, A∗ }
(0000), (0011)
(0001), (0010)
(0100), (0111)
(0101), (0110)
(1000), (1011)
(1001), (1010)
(1100), (1111)
(1101), (1110)
S1 (A) ⊕ S1 (A∗ )
(101) ⊕ (110) = (011)
(010) ⊕ (001) = (011)
(011) ⊕ (000) = (011)
(100) ⊕ (111) = (011)
(001) ⊕ (010) = (011)
(100) ⊕ (110) = (010)
(000) ⊕ (011) = (011)
(111) ⊕ (101) = (010)
(011) 6×
(010) 2×
Rest −
Tabelle 6: Alle 8 Input- u. Output-Differenzen zu geg. A′ = (0011) ∈
S-Box S1
A′ = (0011) ist eine Differenz, bezüglich der die S-Box S1 die unter 2) oben
erwähnte Eigenschaft hat.
4 0 6 5 7 1 3 2
S2 =
5 3 0 7 6 2 1 4
57
A′ = (1011)
{A, A∗ }
(0000), (1011)
(0001), (1010)
(0010), (1001)
(0011), (1000)
(0100), (1111)
(0101), (1110)
(0110), (1101)
(0111), (1100)
S2 (A) ⊕ S2 (A∗ )
(100) ⊕ (111) = (011)
(000) ⊕ (000) = (000)
(110) ⊕ (011) = (101)
(101) ⊕ (101) = (000)
(111) ⊕ (100) = (011)
(001) ⊕ (001) = (000)
(011) ⊕ (010) = (001)
(010) ⊕ (110) = (100)
Tabelle 7: Alle 8 Input- u. Output-Differenzen zu geg. A′ = (1011) ∈
S-Box S2
Z42
u.
Z42
u.
A′ = (1100)
{A, A∗ }
(0000), (1100)
(0001), (1100)
(0010), (1110)
(0011), (1111)
(0100), (1000)
(0101), (1001)
(0110), (1010)
(0111), (1011)
S2 (A) ⊕ S2 (A∗ )
(100) ⊕ (110) = (010)
(000) ⊕ (010) = (010)
(110) ⊕ (001) = (111)
(101) ⊕ (100) = (001)
(111) ⊕ (101) = (010)
(001) ⊕ (011) = (010)
(011) ⊕ (000) = (011)
(010) ⊕ (111) = (101)
Tabelle 8: Alle 8 Input- u. Output-Differenzen zu geg. A′ = (1100) ∈
S-Box S2
Diese Tabellen erstellt man für alle fünfzehn A′ ∈ Z42 \ {0} und für die beiden
S-Boxen S1 , S2 .
Wir betrachten nun die Situation in Runde i bei der Chiffrierung zweier Klartextblöcke (L0 , R0 ), (L∗0 , R0∗ ). Der entscheidende Schritt dort ist die Bildung
∗
von fKi (Ri−1 ) und fKi (Ri−1
).
58
Runde i:
Schlüssel
Ki = (KiL , KiR )
Ri−1
↓
e(Ri−1 ) = (Ã, B̃)
↓
e(Ri−1 ) ⊕ Ki = (Ã ⊕ KiL , B̃ ⊕ KiR )
| {z } | {z }
A
B
↓
↓
S1 (A)
S2 (B)
∗
Ri−1
↓
∗
e(Ri−1 ) = (Ã∗ , B̃ ∗ )
↓
∗
e(Ri−1 ) ⊕ Ki =
(Ã∗ ⊕ KiL , B̃ ∗ ⊕ KiR )
| {z } | {z }
A∗
B∗
↓
↓
S1 (A∗ )
S2 (B ∗ )
Wichtig:
A ⊕ A∗ = (Ã ⊕ KiL ) ⊕ (Ã∗ ⊕ KiL ) = Ã ⊕ Ã∗ (und analog B ⊕ B ∗ = B̃ ⊕ B̃ ∗ )
Durch die Schlüsseladdition ändert sich die Differenz nicht!
[Aber: Die Output-Differenz S1 (A) ⊕ S1 (A∗ ) hängt natürlich vom Schlüssel
Ki ab! Nichtlinearität der Boxen: S1 (Ã ⊕ KiL ) ist i. a. von S1 (Ã) ⊕ S1 (KiL )
verschieden.]
Ang.:
Wir kennen Ã, Ã∗ und die Output-Differenz S1 (A) ⊕ S1 (A∗ ).
A, A∗ haben Input-Differenz A′ = A ⊕ A∗ = Ã ⊕ Ã∗ , bekannt
A, A∗ haben Output-Differenz C ′ = S1 (A) ⊕ S1 (A∗ ), bekannt
Also tauchen {A, A∗ } in der Tabelle zur Input-Differenz A′ auf, und man
kennt alle Möglichkeiten für {A, A∗ }, so dass die Output-Differenz gerade
das bekannte C ′ ist.
Da A = Ã ⊕ KiL und Ã bekannt ist, erhält man damit eine Einschränkung
der Möglichkeiten für KiL .
Bsp.:
Ã = (0100), Ã∗ = (0111), S1 (A) ⊕ S1 (A∗ ) = (010)
59
Input-Differenz: A ⊕ A∗ = Ã ⊕ Ã∗ = (0011)
Tabelle: A ∈ {(1001), (1010), (1101), (1110)}
Folglich: KiL = Ã ⊕ A ∈ {(1101), (1110), (1001), (1010)} (Es ist Zufall, dass
hier die Möglichkeiten für A und für KiL übereinstimmen.)
Wiederholt man jetzt das Verfahren mit zwei anderen Klartextblöcken (weiterhin unter der Annahme, dass man den Output nach der (i − 1)-ten und
die Output-Differenz nach der i-ten Runde kennt), so erhält man wieder
eine Menge von Möglichkeiten für KiL , und der richtige Schlüssel liegt im
Durchschnitt dieser beiden Mengen. Man fährt solange fort, bis KiL eindeutig bestimmt ist. Entsprechend für KiR .
Wir zeigen jetzt, dass diese Überlegungen schon ausreichen, um das vereinfachte DES mit r = 3 Runden zu berechnen.
Differentielle Kryptoanalyse für drei Runden
Wir beginnen mit zwei Klartextblöcken (L0 , R0 ), (L∗0 , R0∗ ) und kennen die
zugehörigen Chiffretextblöcke (L3 , R3 ), (L∗3 , R3∗ ).
L3 = L2 ⊕ fK3 (R2 ) = R1 ⊕ fK3 (R2 ) = L0 ⊕ fK1 (R0 ) ⊕ fK3 (R2 )
r=3
Analog:
L∗3 = L∗0 ⊕ fK1 (R0∗ ) ⊕ fK3 (R2∗ ).
Wir wählen die Klartextblöcke so, dass R0 = R0∗ .
Dann:
L3 ⊕ L∗3 = Lo ⊕ L∗0 ⊕fK3 (R2 ) ⊕ fK3 (R2∗ )
| {z } | {z }
=:L′3
=:L′0
L′3 ⊕L′0 = fK3 (R2 )⊕fK3 (R2∗ ) = fK3 (R3 )⊕fK3 (R3∗ ), da R2 = R3 und R2∗ = R3∗ .
Wir kennen also R2 = R3 , R2∗ = R3∗ und daher auch e(R2 ), e(R2∗ )
| {z } | {z }
(Ã,B̃)
K3L )
∗
K3L )
sowie S1 (Ã ⊕
⊕ S1 (Ã ⊕
(= linke Hälfte von fK3 (R3 ) ⊕ fK3 (R3∗ ) = L′3 ⊕ L′0 )
| {z }
bekannt
[und entsprechend S2 (B̃ ⊕ K3R ) ⊕ S2 (B̃ ∗ ⊕ K3R )]
60
(Ã∗ ,B̃ ∗ )
Wir sind also genau in der Situation der Vorbemerkung und können jetzt
versuchen, K3R , K3L – und dann auch k – zu bestimmen. [Benötigt wird also
nur: L0 ⊕ L∗0 , L3 ⊕ L∗3 , R3 , R3∗ , R0 = R0∗ ]
Wir führen dies durch an einem Beispiel:
(L0 , R0 ) = (000111011011)
(L3 , R3 ) = (100101000011)
(L∗0 , R0∗ ) = (101110011011)
(L∗3 , R3∗ ) = (011000100100)
(beachte R0 = R0∗ )
Ziel:
Bestimmung von k (oder wenigstens Einschränkung der Möglichkeiten für
k) aus Kenntnis dieser beiden (und ggf. weiterer) Klartext-ChiffretextblockPaare.
e(R2 ) = (0000
|{z})
|{z}, 0011
R2 = R3 = (000011)
R2∗
=
R3∗
e(R2∗ )
= (100100)
Ã
B̃
= (1010
|{z})
|{z}, 1000
Ã∗
B̃ ∗
Input-Differenz in S-Box S1 : Ã ⊕ Ã∗ = (1010)
Output-Differenz von S-Box S1 = linke Hälfte von L′3 ⊕ L′0
L′3 = (100101) ⊕ (011000) = (111101)
L′0 = (000111) ⊕ (101110) = (101001)
L′3 ⊕ L′0 = (010100)
Output-Differenz von S-Box S1 = (010)
Aus Tabelle 5 von Seite 57:
A ∈ {(0011), (1001)}, also K3L = A ⊕ Ã ∈ {(0011), (1001)}
Input-Differenz in S-Box S2 : B̃ ⊕ B̃ ∗ = (1011)
Output-Differenz von S-Box S2 = rechte Hälfte von L′3 ⊕ L′0 = (100)
Mit Tabelle 7 von Seite 58 sieht man: K3R ∈ {(1111), (0100)}
Damit gibt es 4 Möglichkeiten für K3 und 8 Möglichkeiten für k (aus 29 = 512
vielen).
61
Um die Möglichkeiten für K3 weiter einzuschränken, wiederholt man diese
Prozedur mit zwei weiteren Klartext-Chiffretextblock-Paaren, z.B.:
(L0 , R0 ) = (010111011011)
(L3 , R3 ) = (001010001011)
(L∗0 , R0∗ ) = (101110011011)
(L∗3 , R3∗ ) = (011000100100)
(wieder R0 = R0∗ )
Analoge Analyse wie vorher zeigt: K3L ∈ {(0011), (1000)}
K3R ∈ {(0100), (1011)}
Damit bleibt für K3 nur die Möglichkeit K3 = (00110100)
Wie erhält man k?
k = (0?0011010)
Überprüfe mit den beiden Möglichkeiten für ?, ob L0 R0 zu L3 R3 verschlüsselt
wird.
Nur bei ? = 1 ist das der Fall, d.h. k = (010011010).
Differentielle Kryptoanalyse für vier Runden
Hier nutzen wir das Phänomen aus, dass die S-Boxen bei manchen InputDifferenzen häufig die gleiche Output-Differenz liefern. Bei S-Box S1 erhält
man z.B. bei den acht ungeordneten Paaren von Viererblöcken mit InputDifferenz (0011) in sechs Fällen Ouput-Differenz (011) (siehe Tabelle 6 auf
S. 57).
Bei S-Box S2 erhält man bei den acht ungeordneten Paaren mit InputDifferenz (1100) in vier Fällen Output-Differenz (010) (s. Tabelle 8).
Wir wählen jetzt Paare von Klartextblöcken (L0 , R0 ), (L∗0 , R0∗ ) mit folgenden
Eigenschaften:
1) R0′ = R0 ⊕ R0∗ = (001100)
Bei der Bildung von fK1 (R0 ), fK1 (R0∗ ) in der ersten Runde gilt dann:
e(R0 ) ⊕ e(R0∗ ) = (00111100), d.h. die Input-Differenz für S1 ist (0011)
und die Input-Differenz für S2 ist (1100).
Wir erwarten also mit einer Wahrscheinlichkeit von 43 eine OutputDifferenz (011) bei S1 und mit einer Wahrscheinlichkeit von 21 eine
Output-Differenz (010) bei S2 .
Sind die Ouputs der beiden S-Boxen unabhängig, so erwarten wir mit
einer Wahrscheinlichkeit von 43 · 12 = 83 eine Gesamt-Output-Differenz
fK1 (R0 ) ⊕ fK1 (R0∗ ) = (011010)
62
[Da die Expansionsfunktion e die Bits 3 und 4 von R0 bzw. R0∗ in beide
S-Boxen schickt, haben wir allerdings keine Unabhängigkeit; dennoch
ist 38 eine sinnvolle Wahrscheinlichkeitsabschätzung.]
2) L′0 = L0 ⊕ L∗0 = (011010)
Da R1 = L0 ⊕ fK1 (R0 ), R1∗ = L∗0 ⊕ fK1 (R0 ),
folgt im Falle fK1 (R0 ) ⊕ fK1 (R0∗ ) = (011010),
dass R1 ⊕ R1∗ = L0 ⊕ L∗0 ⊕ fK1 (R0 ) ⊕ fK1 (R0∗ ) = (000000), d.h. R1 = R1∗ .
Wegen R1 = R0 , L∗1 = R0∗ , gilt also mit einer Wahrscheinlichkeit von
3
, dass (L1 , R1 ) und (L∗1 , R1∗ ) die Eigenschaft R1 = R1∗ haben und
8
(L1 , R1 ) ⊕ (L∗1 , R1∗ ) = (R0 ⊕ R0∗ , 0 . . . 0) = (001100, 000000) gilt.
Die Strategie für die 4-Runden-Kryptoanalyse ist nun folgende:
Wähle mehrere Klartext-Paare (L0 , R0 ), (L∗0 , R0∗ ) mit der Summe (011010,
001100) und bestimme (L4 , R4 ), (L∗4 , R4∗ ). Wir nehmen jetzt in jedem dieser
Fälle an, dass R1 ⊕ R1∗ = (000000). Dann haben wir alle Zutaten, um eine
3-Runden-Kryptoanalyse der Runden 2, 3, 4 durchzuführen.
In 83 dieser Fälle (dort wo die Annahme R1 ⊕ R1∗ = (000000) korrekt war)
erhalten wir also eine Menge möglicher Schlüssel, in denen K4 vorkommt
(genauer je zwei, die K4L und K4R enthalten). In den übrigen 85 der Fälle
liefert die 3-Runden-Kryptoanalyse irgendwelche Mengen von zufälligen 8Bit-Strings. Da es keinen Grund gibt, dass hier ein 8-Bit-String besonders
häufig vorkommt, kann man davon ausgehen, dass der richtige Schlüssel K4
insgesamt deutlich häufiger vorkommt als alle übrigen 8-Bit-Folgen.
Wir geben ein Beispiel aus dem Buch von Trappe und Washington. Sie testeten (bei festem Schlüssel) ein vereinfachtes DES mit 100 Paaren (L0 , R0 ),
(L∗0 , R0∗ ), so dass L0 ⊕ L∗0 = (011010) und R0 ⊕ R0∗ = (001100).
Beachte: Es gibt
212
2
= 2048 viele solcher ungeordneten Paare.
63
Sie erhielten mit der beschriebenen Methode folgende Häufigkeiten der Kandidaten für K4L und K4R :
0000
0001
0010
0011
0100
0101
0110
0111
1000
1001
1010
1011
1100
1101
1110
1111
Anzahl bei ersten 4 Bits
(Kand. für K4L )
12
7
8
15
4
3
4
6
33
40
35
35
59
32
28
39
Anzahl bei letzten 4 Bits
(Kand. für K4R )
14
6
42
10
27
10
8
11
8
16
8
18
8
23
6
17
Vermutung: K4L = (1100), K4R = (0010)
Also: k = (10?110000)
Teste, ob einer der beiden Schlüssel mit ? = 0 oder ? = 1 einen Block (L0 , R0 )
so in (L4 , R4 ) verschlüsselt wie das untersuchte 4-Runden DES. Wenn ja,
so hat man höchstwahrscheinlich den Schlüssel. Wenn nein, so teste die
Schlüsselmöglichkeiten mit anderen rechten und linken Hälften, die in der
obigen Tabelle besonders häufig vorkommen.
Differentielle Kryptoanalyse bei größeren Rundenzahlen
Die Strategie bei größeren Rundenzahlen wird durch das Verfahren bei 4
Runden nahegelegt. Man gibt gewisse L0 , R0 , . . . L′t , Rt′ vor und berechnet
Wahrscheinlichkeiten pi folgendermaßen:
∗
Falls nach der Runde i − 1 zwei Blöcke (Li−1 , Ri−1 ), (L∗i−1 , Ri−1
) mit Li−1 ⊕
∗
′
∗
′
Li−1 = Li−1 und Ri−1 ⊕ Ri−1 = Ri−1 in Runde i chiffriert werden, so ist die
Wahrscheinlichkeit, dass Li ⊕ L∗i = L′i und Ri ⊕ Ri∗ = Ri′ gilt, gerade pi .
64
Die Liste L′0 , R0′ , L′1 , R1′ , p1 , . . . L′t , Rt′ , pt nennt man eine t-Runden Charakteristik.
Unter der Voraussetzung, dass alle pi voneinander unabhängig sind,17 ist
dann p1 . . . pt die Wahrscheinlichkeit, dass für zwei Blöcke (L0 , R0 ), (L∗0 , R0∗ )
mit L0 ⊕ L∗0 = L′0 , R0 ⊕ R0∗ = R0′ nach jeder Runde i, i = 1, . . . t, Blöcke
(Li , Ri ), (L∗i , Ri∗ ) entstanden sind mit Li ⊕ L∗i = L′i , Ri ⊕ Ri∗ = Ri′ .
Insbesondere ist dies dann mindestens die Wahrscheinlichkeit nach der Runde
t Blöcke (Lt , Rt ), (L∗t , Rt∗ ) mit Lt ⊕ L∗t = L′t und Rt ⊕ Rt∗ = Rt′ zu erhalten.
Wie im Fall r = 4 wählt man bei beliebiger Rundenzahl r eine (r − 3)Runden-Charakteristik mit möglichst großem p1 . . . pr−3 und wendet dann
die differenzielle Kryptoanalyse für die letzten drei Runden an (diese muss
∗
etwas modifiziert werden, da Rr−3 = Rr−3
nicht mehr gelten muss). Dies
wird für eine genügend große Anzahl von Klartextblöcken mit der Differenz
L′0 , R0′ durchgeführt:
Man kennt Lr , Rr , L∗r , Rr∗ und vermutet mit einer Wahrscheinlichkeit von p =
∗
′
p1 . . . pr−3 , dass (Lr−3 , Rr−3 ), (L∗r−3 , Rr−3
) die Differenz (L′r−3 , Rr−3
) haben.
Die Ermittlung von Kr (wie bei r = 4) erfolgt durch Häufigkeitsanalysen.
Klar: Je größer r, desto kleiner p, desto mehr Tests mit Klartextblöcken
notwendig. Bei genügend großem r ist dann die vollständige Durchsuchung
des Schlüsselraums effektiver.
17
Die Voraussetzung ist nicht streng erfüllt, da die Rundenschlüssel K1 , . . . Kt nicht
unabhängig sind.
65
3.4
Der ’Data Encryption Standard’ DES
DES ist (leicht modifizierte) Feistel-Chiffre. Klartextblöcke und Chiffretextblöcke bestehen aus 64 Bits.
Schlüssellänge k hat 56 Bits, wird aber als 64-Bit-String beschrieben; die Bits
an den Positionen 8, 16, 24, . . . 64 werden so gewählt, dass die 8 Teilblöcke
zu 8 Bits jeweils ungerade Anzahl von Einsen enthalten (Fehlerentdeckende
Codierung). Damit gibt es 256 ≈ 7, 2 · 1016 verschiedene Schlüssel.
Rundenschlüssel Ki haben jeweils 48 Bits.
Die Modifikation des DES im Vergleich zu reiner Feistel-Chiffre besteht darin,
dass der Klartextblock zunächst einer festen Eingangspermutation IP (initial permutation) unterworfen wird, dann eine Feistel-Chiffre mit 16 Runden
durchgeführt wird und schließlich eine Schlusspermutation IP−1 (Inverse der
Eingangspermutation) angewandt wird.
58
60
62
64
57
59
61
63
Eingangspermutation IP 18
50 42 34 26 18 10
52 44 36 28 20 12
54 46 38 30 22 14
56 48 40 32 24 16
49 41 33 25 17 9
51 43 35 27 19 11
53 45 37 29 21 13
55 47 39 31 23 15
2
4
6
8
1
3
5
7
40
39
38
37
36
35
34
33
Schlusspermutation IP−1
8 48 16 56 24 64
7 47 15 55 23 63
6 46 14 54 22 62
5 45 13 53 21 61
4 44 12 52 20 60
3 43 11 51 19 59
2 42 10 50 18 58
1 41 9 49 17 57
32
31
30
29
28
27
26
25
IP und IP−1 haben keine kryptologische Bedeutung. (Sie wurden möglicherweise gewählt, um Chips effizienter auszulasten; um 1970 war das von Bedeutung.)
Zur Beschreibung des DES fehlen jetzt nur noch
1. Erzeugung der Rundenschlüssel
2. Angabe der fK
1. Rundenschlüsselerzeugung
Sei k ∈ Z64
2 der DES-Schlüssel (mit den Parity-Bits wie oben beschrieben).
18
Diese und folgende Tabellen sind zeilenweise von links oben nach rechts unten zu
lesen. Steht eine Zahl z an der Position i, so heißt das, dass das Bit an der Position z im
Eingabestring auf die Position i im Ausgabestring abgebildet wird.
66
Def. zunächst vi für 1 ≤ i ≤ 16 durch
1 für i = 1, 2, 9, 16
vi =
2 sonst
Zu Beginn wird k durch eine
Schlüsselpermutation auf einen
56-Bit-String verkürzt. (Man
spricht von Permutation, da die
8 Parity-Bits von k an der Stelle 8, 16, . . . 64 unberücksichtigt
bleiben und die übrigen 56 Positionen permutiert werden.)
Dieser 56-Bit-String wird in 2
28-Bit Hälften geteilt: (C0 , D0 ).
Schlüsselpermutation
Eingabe Runde 1:
C0
D0
56
2
Eingabe Runde i:
C i-1
Di-1
56
2
zykl. Linksshift
um vi Stellen
zykl. Linksshift
um vi Stellen
In Runde i (i = 1, . . . 16) werden aus Ci−1 , Di−1 ∈ Z28
2 neue
Ci , Di ∈ Z28
erzeugt,
aus
die2
sen wird dann der Rundenschlüssel Ki ∈ Z48
2 erzeugt.
Ci entsteht aus Ci−1 durch zyklischen Linksshift um vi Stellen. Di entsteht aus Di−1 in
der gleichen Weise.
64
2
k
Di
Ci
Kompressionsabb.
Ki
fKi
Eingabe Runde i+1:
Ci
48
2
Di
56
2
(Also: In Runde 1, 2, 9, 16 Linksshift um eine Stelle, in den übrigen Runden um zwei.)
Abbildung 10: Rundenschlüsselerzeugung
Auf (Ci , Di ) ∈ Z56
2 wird eine Kompressionsabbildung angewandt, die aus
(Ci , Di ) den Rundenschlüssel Ki ∈ Z48
2 herstellt. [Die Kompressionsabb.
wählt 48 der 56 Bits von (Ci , Di ) aus und permutiert diese.]
57
58
59
60
31
30
29
Schlüsselpermutation
49 41 33 25 17 9 1
50 42 34 26 18 10 2
51 43 35 27 19 11 3
52 44 36 63 55 47 39
23 15 7 62 54 46 38
22 14 6 61 53 45 37
21 13 5 28 20 12 4
14
15
26
41
51
34
67
Kompressionsabbildung
17 11 24 1 5 3 28
6 21 10 23 19 12 4
8 16 7 27 20 13 2
52 31 37 47 55 30 40
45 33 48 44 49 39 56
53 46 42 50 36 29 32
2. Beschreibung der Verschlüsselungsfunktion fKi
Wie bei jeder Feistelchiffre wird aus der Ausgabe (Li−1 , Ri−1 ) ∈ Z64
2 der
64
(i − 1)-ten Runde die Ausgabe (Li , Ri ) ∈ Z2 der i-ten Runde erhalten durch:
Li = Ri−1
Ri = Li−1 ⊕ fKi (Ri−1 )
[Ausnahme Runde 16; dort R16 = R15 , L16 = L15 ⊕ fK16 (R15 ).]
48
Sei also R ∈ Z32
2 , Ki ∈ Z2 der Rundenschlüssel für Runde i.
Expansionsabbildung
32 1 2 3 4
5
4
5 6 7 8
9
8
9 10 11 12 13
12 13 14 15 16 17
16 17 18 19 20 21
20 21 22 23 24 25
24 25 26 27 28 29
28 29 30 31 32 1
1. Schritt:
Anwendung der Expansionsabbildung
48
e : Z32
2 → Z2 :
R → e(R)
2. Schritt:
Schlüsseladdition: e(R) ⊕ Ki = (B1 , B2 , . . . B8 ) ∈ Z48
2
Bi ∈ Z62 , i = 1, . . . 8
3. Schritt:
8 S-Boxen S1 , . . . S8 . Jede S-Box besteht aus vier Zeilen, jede der Zeilen
enthält die Zahlen {0, 1, . . . 15} in einer gewissen Reihenfolge.
Bi ist Input für die S-Box Si . Ist Bi = (b1 b2 b3 b4 b5 b6 ), so wird durch b1 b6 die
Zeile von Si festgelegt: b1 b6 ist die Binärdarstellung einer Zahl a ∈ {0, 1, 2, 3}.
Wähle die (a + 1)-te Zeile von Si . b2 b3 b4 b5 legt den Eintrag in der gewählten
Zeile fest. b2 b3 b4 b5 ist die Binärdarstellung einer Zahl b ∈ {0, . . . 15}.
Wähle (b + 1)-te Position in der betreffenden Zeile.
Schreibe den Eintrag an der ausgewählten Position binär. Dies ist Ci =
Si (Bi ) ∈ Z42 , die S-Box-Substitution von Bi .
4. Schritt:
(C1 , C2 , . . . C8 ) ∈ Z32
2 wird abschließend einer sogenannten
P-Box-Permutation unterworfen;
das Ergebnis ist fKi (R) ∈ Z32
2 .
P-Box-Permutation
16 7 20 21 29 12 28 17
1 15 23 26 5 18 31 10
2 8 24 14 32 27 3 9
19 13 30 6 22 11 4 25
68
14 4 13
0 15 7
4 1 14
15 12 8
1
4
8
2
2
14
13
4
15 1
3 13
0 14
13 8
8 14 6
4 7 15
7 11 10
10 1 3
10 0
13 7
13 6
1 10
9 14
0 9
4 9
13 0
6
3
8
6
7 13
13 8
10 6
3 15
14
11
9
0
0
6
12
10
3
5
0
6
2 12 4 1 7
14 11 2 12 4
4 2 1 11 10
11 8 12 7 1
12 1 10 15
10 15 4 2
9 14 15 5
4 3 2 12
9
7
2
9
4 11 2 14
13 0 11 7
1 4 11 13
6 11 13 8
15
4
12
1
13 2 8
1 15 13
7 11 4
2 1 14
6
10
9
4
4
8
1
7
S-Box 1
15 11 8 3
2 13 1 10
6 2 11 15
9 1 7 5
S-Box 2
11 3 4 9
2 8 14 12
4 13 1 5
15 4 2 11
S-Box 3
3 15 5 1
4 6 10 2
15 3 0 11
9 8 7 4
S-Box 4
6 9 10 1
15 0 3 4
11 7 13 15
1 13 8 9
S-Box 5
10 11 6 8
7 13 1 5
13 7 8 15
14 2 13 6
S-Box 6
2 6 8 0
12 9 5 6
8 12 3 7
5 15 10 11
S-Box 7
0 8 13 3
9 1 10 14
3 7 14 10
4 10 7 9
S-Box 8
15 11 1 10
3 7 4 12
12 14 2 0
10 8 13 15
10 6 12 5
6 12 11 9
12 9 7 3
11 3 14 10
9
5
10
0
0
3
5
6
7
0
8
6
0
9
3
5
5 10
11 5
2 15
14 9
13 12 7 11 4
8 5 14 12 11
1 2 12 5 10
15 14 3 11 5
2 8
15 1
14 7
2 12
2
7
1
4
4 15
14 9
8 4
2 14
2 13 12
1 10 6
12 6 9
7 12 0
8
2
3
5
5 11 12
12 1 10
14 5 2
11 12 7
5 3 15 13
0 15 10 3
9 12 5 6
15 0 9 10
0
9
3
4
7
8
0
13
14 9
8 6
0 14
5 3
13 3 4 14 7 5 11
1 13 14 0 11 3 8
0 4 10 1 13 11 6
14 1 7 6 0 8 13
12
3
15
5
9
5
6
0
9 3
5 6
6 10
12 9
7 5
12 2
8 0
15 14
14
11
13
0
10
15
5
2
6
8
9
3
1
6
2
12
5 0 12 7
0 14 9 2
15 3 5 8
3 5 6 11
Tabelle 9: Die 8 S-Boxen des DES, repräsentiert durch 8 4 × 16 Matrizen
69
32
R
ZZ 2
e
Expansionsabb.
48
e(R)
ZZ2
+
Ki
48
ZZ 2
B 1 B2 B 3 B 4 B 5 B6 B 7 B 8
S-Boxen
S1
S2
S3
S4
S5
S6
C1 C2 C3 C4 C5 C 6 C 7 C 8
P-Box
fKi (R)
Bi
S7
Ci
6
ZZ 2
S8
4
ZZ 2
P-Box-Permutation
32
ZZ 2
Abbildung 11: Schematische Darstellung der Berechnung von fKi (R)
Sicherheit des DES
1) Bei vollständiger Durchsuchung des Schlüsselraums müssen im schlimmsten Fall (bei einem ciphertext-only Angriff) 256 Schlüssel ausprobiert
werden. Der DES hat jedoch folgende Symmetrieeigenschaft:
Sei m ein Klartextblock, k ein Schlüssel, c = Ek (m) der durch DES
verschlüsselte Block. Bezeichnet man mit m′ , k ′ , c′ die zu m, k und
c komplementären Blöcke (Nullen und Einsen vertauschen), so gilt
c′ = Ek′ (m′ ). Daher muss man beim Brute-Force-Angriff nur max. 255
Schlüssel testen.
70
Zur Zeit der Einführung des DES (1975) war eine vollständige Schlüsselsuche kaum denkbar. Dennoch zeigten W. Diffie und M. Hellman in
einer Arbeit 1977, dass es möglich ist, für 20 Millionen US-$ eine Maschine zu bauen, die einen DES-Schlüssel innerhalb eines Tages ermitteln würde. (Kritik von Diffie und Hellman: Kurze Schlüssellänge von
56 Bits)
1997: RSA Data Security bot 10.000 US-$ demjenigen, der zuerst einen
DES-chiffrierten Tex knacken würde. Nach fünf Monaten wurde der
Schlüssel von R. Vesper ermittelt. Methode: Tausende über das Internet
verbundene Rechner arbeiteten zusammen. (25 % des Schlüsselraums
mussten durchsucht werden.)
1998: Zweites DES-Challenge durch RSA Data Security. Nach 39 Tagen
wurde der Schlüssel von Distributed Computing Technologies ermittelt
(85 % des Schlüsselraums wurden durchsucht).
1998/1999: DES-Cracker von Electronic Frontier Foundation (EEF):
1536 parallel arbeitende spezielle Chips (40 MHz). Benötigt im Schnitt
viereinhalb Tage, um DES-Schlüssel zu ermitteln.19
2) Es gibt vier sog. schwache Schlüssel beim DES. Sie haben die Eigenschaft, dass alle erzeugten Rundenschlüssel gleich sind. Die schwachen Schlüssel sind: (00000001)8 , (11111110)8 , (00011111)4 (00001110)4 ,
(11100000)4 (11110001)4
Genau für die schwachen Schlüssel gilt: Ek (Ek (m)) = m
Schwache Schlüssel müssen vermieden werden. Außerdem gibt es insgesamt 12 Schlüssel, die nur zwei verschiedene Rundenschlüssel erzeugen.
Diese heißen semischwache Schlüssel und sollten ebenfalls vermieden
werden. Diese 12 Schlüssel lassen sich in 6 Paare (k1 , k2 ) aufteilen, so
dass Ek1 (Ek2 (m)) = m. (Dadurch sind die semischwachen Schlüssel
auch charakterisiert.)20
3) 16-Runden-DES ist gegen differentielle Kryptoanalyse sicher, da diese
Methode den Entwicklern bekannt war. S-Boxen wurden entsprechend
konstruiert. Z.B. gilt Folgendes:
Für jede S-Box Si und jede Input-Differenz A′ ∈ Z62 hat höchstens ein
Viertel der ungeordneten Paare {A, A∗ } mit A ⊕ A∗ = A′ die gleiche
Output-Differenz Si (A) ⊕ Si (A∗ ).
Bei einem Chosen-Plaintext-Angriff mit diff. Kryptoanalyse benötigt
man 247 Klartextblöcke. Wendet man differentielle Kryptoanalyse als
19
20
Einzelheiten siehe Trappe und Washington [31], S. 118-122
Details siehe P. Horster [19]
71
Known-Plaintext-Angriff an (was auch möglich ist), so benötigt man
255 Klartextblöcke. Dies entspricht einem Brute-Force-Angriff (Durchsuchen des gesamten Schlüsselraums). Bei weniger als 16 Runden ist
diff. Kryptoanalyse (als Known-Plaintext-Angriff) besser als vollständige Schlüsselsuche. Dies ist der Grund für die Wahl von 16 Runden.
4) Keine der S-Boxen beschreibt eine (affin-) lineare Funktion, ebensowenig wie das gesamte DES als (affin-) lineare Funktion (bei gegebenem
Schlüssel) beschrieben werden kann. Der DES ist also gegen die einfachen Angriffe, die bei (affin-) linearen Blockchiffren möglich sind, sicher.
Auch gegen kryptoanalytische Angriffe, die darauf beruhen, das Verschlüsselungsverfahren (bei festem Schlüssel) durch eine lineare Funktion zu approxmieren – sogenannte lineare Kryptoanalyse (Known-plaintext-Angriff)21 – erwies sich DES als ausreichend sicher: Für das 16Runden DES werden 243 Klartext-Chiffretextblockpaare benötigt, um
mit dieser Methode den Schlüssel zu bestimmen. Allerdings ist sie besser als differentielle Kryptoanalyse und vollständige Durchsuchung des
Schlüsselraums.
Beachte: Die Methode der linearen Kryptoanalyse war den Designern
von DES nicht bekannt. Die S-Boxen sind bezüglich linearer Kryptoanalyse nicht optimiert.
5) Beim DES sind die Prinzipien der Diffusion und Konfusion verwirklicht.
• Die nderung eines Input-Bits einer S-Box ändert den Output der
S-Box um mindestens zwei Bits.
• Jedes Output-Bit hängt nach 5 Runden von jedem Klartextbit
und jedem Schlüsselbit ab (Lawineneffekt).
(Dazu trägt auch die P-Box-Permutation bei, die für eine gleichmäßige Verteilung der Output-Bits der S-Boxen in Runde i auf
die S-Boxen in Runde i + 1 sorgt.)
6) Jedes Chiffretextverfahren, das die Gruppeneigenschaft besitzt, wo also
die Hintereinanderausführung zweier Verschlüsselungen mit den Schlüsseln
k1 , k2 einer Verschlüsselung mit einem Schlüssel k3 entspricht, hat eine
gewisse innere Symmetrie, die für kryptoanalytische Angriffe nutzbar
gemacht werden kann. Das DES hat jedoch nicht diese Eigenschaft, d.h.
für die Schlüssel k1 , k2 ist i.a. Ek1 ◦ Ek2 6= Ek3 für alle Schlüssel k3 .
21
M. Mitsui; Linear cryptoanalysis method for DES cipher, Adv. in CryptologyEUROCRYPT ’93, Springer LNCS 765, 1994, S. 386-397.
72
Die 256 vielen DES -Verschlüsselungsfunktionen erzeugen also eine größere Gruppe (innerhalb der Gruppe S264 aller Permutationen der 264 vielen Blöcke der Länge 64 über Z2 ). Tatsächlich folgt aus Arbeiten von
Coppersmith (1992) und Campbell/Wiener (1993), dass die von den
DES-Verschlüsselungsfunktionen erzeugte Gruppe mindestens Ordnung
20
1, 94 · 102499 hat. (Beachte: |S264 | = (264 )! > 10(10 ) .)
7) Aufgrund von 6) kann man die Sicherheit des DES erhöhen, indem
man (mit verschiedenen Schlüsseln) einen Klartext mehrmals chiffriert.
Allerdings bringt doppelte DES-Verschlüsselung kaum mehr Sicherheit. Tatsächlich hat der Schlüsselraum jetzt zwar die Größe 2112 , aber
man kann ein Schlüsselpaar (k1 , k2 ) mit 257 vielen einfachen DESVerschlüsselungen ermitteln (mit einem enormen Aufwand an Speicherplatz). Dies geschieht mit Hilfe der sog. Meet-in-the-Middle Attack, die für alle Mehrfachhintereinanderausführungen symmetrischer
Verschlüsselungsverfahren funktioniert.
Wir beschreiben sie kurz:
Angenommen: Eve kennt Klartext m und doppelt chiffrierten Text
c = Ek1 (Ek2 (m)). Sie will (k1 , k2 ) bestimmen.
Sie berechnet und speichert alle Ek (m) für alle Schlüssel k. Dann berechnet und speichert sie alle Dk (c).
(Dk (c) = Entschlüsselung von c; bei DES: verwende die durch k erzeugten Rundenschlüssel k1 , . . . k16 in umgekehreter Reihenfolge.)
Dann vergleicht sie die beiden Listen. Ist Ek2 (m) = Dk1 (c), so ist
Ek1 (Ek2 (m)) = c. Erhält man mehrere mögliche Paare (k1 , k2 ), so wähle
weiteres Klartext-Chiffretextpaar und teste, welches der Schlüsselpaare
(k1 , k2 ) den Klartext auf den Chiffretext abbildet.
Bei N Schlüsseln (N = 256 bei DES) sind also 2N Berechnungen erforderlich (+N 2 viele Vergleiche durchzuführen). Dies ist deutlich weniger
aufwändig als N 2 viele Berechnungen für vollständige Schlüsselsuche.
8) Aufgrund von 7) wird zur Erhöhung der Sicherheit in der Praxis oft
das Triple-DES benutzt.
Zwei typische Varianten:
Ek1 ◦ Ek2 ◦ Ek3 für drei Schlüssel k1 , k2 , k3
Ek1 ◦ DK2 ◦ Ek1 für zwei Schlüssel k1 , k2
(Bei k1 = k2 hat man wieder das einfache DES.)
Meet-in-the-Middle Attack erfordert jetzt etwa 2113 viele Berechnungen, und der benötigte Speicherplatz ist exorbitant.
73
3.5
Andere Blockchiffren
Neben dem DES gibt es eine Reihe weiterer gebräuchlicher Blockchiffren.
Wir beschreiben knapp die wichtigsten, bevor wir auf den neuen Advanced
Encryption Standard (AES) eingehen.
1) IDEA
Anfang der 90er Jahre von Xuejia Lai und James Massey entwickelt
(IDEA wird auch von PGP verwendet)
Länge Klartext-/Chiffretextblöcke 64 Bit
Schlüssellänge 128 Bit
Funktionsweise:
Aufteilen der 64 Bits eines Klartextblocks auf vier Blöcke 16 Bit.
Diese vier Blöcke werden in acht Runden bearbeitet. In jeder dieser
Runden werden aus den vier Eingabeblöcken und jeweils sechs Teilschlüsseln der Länge 16 mittels 4 Additionen (modulo 216 ) und 4 Multiplikationen22 (modulo 216 + 1) die vier Eingabeblöcke für die nächste
Runde erzeugt. Am Ende nochmals je zwei weitere Additionen und
Multiplikationen mit 16 Bit-Schlüsseln und Zusammensetzen der resultierenden 4 Blöcke zum Chiffretextblock. IDEA ist keine Feistel-Chiffre.
IDEA hat bisher keine Sicherheitsrisiken aufgewiesen und ist etwa doppelt so schnell wie DES.23
2) RC2, RC5, RC6
Wichtige Blockverschlüsselungsverfahren aus der RC-Familie, entwickelt
von Ron Rivest (vertrieben von RSA Data Security).
RC2 (Anfang der 90’er Jahre entwickelt, 1997 veröffentlicht)
Variable Schlüssellänge (40 Bits bis 1024 Bits), Blocklänge 64 Bit, wird
unter anderem im S/MIME-Standard verwendet.24
RC5 (1995 veröffentlicht)
Variable Schlüssellänge, Klartextblocklänge, Rundenzahl (z.B. Klartextblocklänge 32 Bit, Schlüssellänge 128 Bit, 12 Runden)
Kombiniert Add. mod 2w (w = Klartextblocklänge), binäre Add. XOR,
zyklische Shifts (abhängig von Klartextblöcken). RC5 scheint gegen differentielle Kryptoanalyse und lineare Kryptoanalyse sicher zu sein.25
22
genauer: modifizierte Multipliktion modulo 216 +1; 0 muss gesondert behandelt werden
Details siehe Schmeh [28], S. 84-85
24
Details: http://www.faqs.org/rfcs/rfc2268.html
25
Details siehe Menezes, van Oorschott, Vanstone [26], S. 269-270
23
74
RC6 (1998 veröffentlicht)
erreichte die Auswahlrunde der letzten AES-Kandidaten. Schnell und
einfach zu implementieren. Variable Schlüssellänge (128, 192, 256 Bit),
Blocklänge 128 Bit.
3) Blowfish, Twofish
Blowfish (1994) und Twofish (1998) sind von B. Schneier entwickelte
Feistel-Chiffren.
Blowfish hat variable Schlüssellänge (bis 448 Bit), S-Boxen sind schlüsselabhängig , 16 Runden, Blocklänge 64. Rundenschlüssel und S-Boxerstellung ist recht aufwändig. Dennoch ist Blowfish ein schneller und
einfach zu implementiernder Algorithmus (da nur XOR und + von 32
Bit-Worten). Blowfish gilt als sehr sicher.
Twofish erreichte die Auswahlrunde der letzten fünf AES-Kandidaten.
Schlüssellänge und Blocklänge wie bei RC6. Twofish ist Feistel-Chiffre.
8 × 8 S-Boxen, arithmetische Operationen z.T. in F28 .
4) Weitere gebräuchliche Blockchiffren sind
• SAFER (Massey, 1995)
• CAST (C. Adams, S. Tavares 1990; 1997. Wird auch von PGP
verwandt.)
• SKipjack (NSA, 1990; veröffentlicht 1998)
• MISTY (Fa. Mitsubishi, 1996) Weiterentwicklung: KASUMI; vorgesehen für die symmetrische Verschlüsselung bei UMTS (Universal Mobile Telecommunication System)26
3.6
Der Advanced Encryption Standard (AES) - Das
Rijndael-Verfahren
1997: US-Standardisierungsbehörde NIST (National Institute of Standards
and Technology) startet öffentliche Ausschreibung für Nachfolgeverfahren des
DES.
Anforderungen: öffentlich, lizenzfrei, weltweit verfügbar, schneller als TRIPLEDES. Blocklänge mind. 128 Bit, variable Schlüssellängen von 128, 192, 256
Bit.
26
Infos: http://www.infoserversecurity.org oder Buch von Schneier [29]
75
1998: 15 AES-Kandidaten werden eingereicht (darunter ’Magenta’, Deutsche
Telekom) und begutachtet.
1999: Auswahl von 5 Algorithmen für die letzte Runde:
• Twofish (s. 3.5)
• RC6 (s. 3.5)
• MARS (IBM, D. Coppersmith)
• Serpent (R. Anderson, E. Biham, L. Knudsen; 32-Runden Feistel-Chiffre,
DES-ähnlich)
• Rjndael (J. Daemen, V. Rijmen)
2000: Wahl von Rijndael als neuen AES (vor Twofish und Serpent)
Mai 2002: AES (Rijndael) wird zum Federal Information Processing Standard
(FIPS) in den USA.
Zur Beschreibung des Rijndael-Algorithmus benötigen wir (auch für spätere
Zwecke) einen kurzen
Exkurs über endliche Körper
1) Endliche Körper haben immer Primzahlpotenzordnung pa und es gilt
1 + . . . + 1 = 0.
←−p−→
2) Zu jeder Primzahlpotenz gibt es (bis auf Isomorphie) genau einen Körper.
3) Die Körper von Primzahlordnung sind gerade Zp = Z/pZ, auch bezeichnet als Fp .
4) Um einen Körper der Ordnung pa zu konstruieren, benötigt man ein
irreduzibles Polynom m(x) = xa + ba−1 xa−1 + . . . + b1 x + b0 über Fp
(also in Fp [x]) vom Grad a.
Irreduzibel: m(x) ist nicht Produkt zweier Polynome vom Grad ≥ 1.
Fp
lässt sich dann auffassen als Menge aller Polynome über Fp vom
Grad ≤ a − 1, wobei Addition und Multiplikation folgendermaßen definiert sind:
a
Addition komponentenweise
76
Multiplikation: Polynommultiplikation, dann Division durch m(x) mit
Rest r(x); r(x) ist das Ergebnis der Multiplikation in Fpa .
Bsp.: Konstruktion von F28 :
m(x) = x8 + x4 + x3 + x + 1 ist irreduzibel über
F2
8
F2 .
= {a7 x7 + a6 x6 + . . . a1 x + a0 | ai ∈ F2 = {0, 1}}
(x6 + x4 + x2 + x + 1)
Mult. in
F
(x7 + x + 1):
⊙
↑
28
(später nur·)
Zunächst normale Polynommultiplikation:
(x6 + x4 + x2 + x + 1) · (x7 + x + 1)
= x13 + x11 + x9 + x8 + x7 + x7 + x5 + x3 + x2 + x + x6 + x4 + x2 + x + 1
= x13 + x11 + x9 + x8 + x6 + x5 + x4 + x3 + 1
Jetzt Division mit Rest durch m(x):
(x13 +x11 +x9 + x8 + x6 +x5 +x4 + x3 +1) : (x8 + x4 + x3 + x + 1) = x5 + x3
x13
+x9 + x8 + x6 +x5
Rest x7 + x6 + 1
x11
x11
7
+x + x
6
+x4 + x3 +1
+x4 + x3 +1
x7 + x6
+1
Also:
(x6 + x4 + x2 + x + 1) ⊙ (x7 + x + 1) = x7 + x6 + 1
Oft schreibt man die Elemente aus Fpa auch als a-Tupel über Fp
(ba−1 xa−1 + . . . b1 x + b0 ↔ (ba−1 , . . . b1 , b0 )). Addition dann komponentenweise, aber Multiplikation nach obiger Regel.
Also in
F82 (mit obigem m(x)):
(0, 1, 0, 1, 0, 1, 1, 1) ⊙ (1, 0, 0, 0, 0, 0, 1, 1) = (1, 1, 0, 0, 0, 0, 0, 1)
Beachte:
Wählt man ein anderes irreduzibles Polynom m̃(x) vom Grad a, so ist
das Ergebnis der Multiplikation (modulo m̃(x)) zweier Polynome vom
Grad ≤ a−1 ein anderes. Die entstehenden Körper sind aber isomorph.
77
5) Die multiplikativen Inversen eines Elements 6= 0 in Fpα berechnet man
mit dem erweiterten Euklidischen Algorithmus in Fp [x]:
g(x) 6= 0
(vom Grad ≤ a − 1)
g(x) und m(x) sind teilerfremd.
(d.h es gibt kein Polynom vom Grad ≥ 1,
das g(x) und m(x) in Fp [x] teilt,
denn m(x) ist irreduzibel.)
Dann ex. u(x), v(x) ∈ Fp [x] mit g(x)u(x) + m(x)v(x) = 1 und
Grad u(x) ≤ a − 1 (Berechnung siehe 6))
Dann g(x) ⊙ u(x) = 1
6) Der erweiterte Euklidische Algorithmus in Fp [x] funktioniert wie der in
Z.
Ist a(x) = s(x) · b(x) + r(x), Grad r(x) ≤ Grad b(x) (Grad 0 = −1)
(Division mit Rest), so schreibe: s(x) = a(x) div b(x), r(x) = a(x) mod
b(x)
Erweiterter Euklidischer Algorithmus zur Bestimmung von u(x), v(x)
mit a(x)u(x) + b(x)v(x) = ggT (a(x), b(x)) ← normiert
o.b.d.A. a(x), b(x) normiert, Grad a(x) ≥ Grad b(x).
(1) Setze
1 0
a(x)
p(x)
und A : =
:=
0 1
b(x)
q(x)
(2) Solange q(x) 6= 0, wiederhole:
0
1
A:=A·
1 −(p(x) div q(x))
q(x)
p(x)
=
p(x) mod q(x)
q(x)
1
u(x)
=A·
(3) Setze d(x) = p(x) und
0
v(x)
Dann d(x) = ggT (a(x), b(x)) = u(x) · a(x) + v(x) · b(x)
78
Bsp:
a(x) = x8 + x4 + x3 + x + 1 , b(x) = x7 + x6 + x3 + x + 1 über
p(x)
q(x)
A
1 0
(1) x8 + x4 + x3 + x + 1 x7 + x6 + x3 + x + 1
(2) x7 + x6 + x3 + x + 1
x6 + x2 + x
1
x6 + x2 + x

0

d(x) u(x) v(x)
 01 
0 1 
1
x
+1

1  0 1 
1 x +1
1 x
+1
1 x + 1
=
x
+
1 x2
0
1
F2

1
x
+
1
0
1



2
6
2
x+ 1 x
1 x + x + x
x + 1 x7 + x6 + x3 + x + 1
=
x2 x8 + x4 + x3 + x + 1
(3)
1
x + 1 x2
Teste: (x + 1)(x8 + x4 + x3 + x + 1) + x2 (x7 + x6 + x3 + x + 1) = 1
Ist F28 bzgl. m(x) = x8 + x4 + x3 + x + 1 (= a(x) oben) definiert, so
ist (11001011)−1 = (00000100),
denn x2 (x7 + x6 + x3 + x + 1) = (x + 1)m(x) + 1,
d.h. x2 ⊙ (x7 + x6 + x3 + x + 1) = 1.
7) Algebraisch ist Fpa =
˜ Fp [x]/(m(x)), wobei (m(x)) das von m(x) erzeugte
Ideal ist. Die Polynome vom Grad ≤ a − 1 bilden ein vollständiges
Vertretersystem der Restklassen modulo (m(x)).
Nun zur Beschreibung des Rijndael-Algorithmus:
Rijndael ist eine iterierte Blockchiffre, aber keine Feistel-Chiffre. Blocklänge
b und Schlüssellänge k können unabhängig voneinander auf einen der Werte
128, 192, 256 Bit gesetzt werden. Die Zahl der Runden r ist abhängig von
diesen Werten 10, 12 oder 14.
Im FIPS-Standard ist b = 128, k = 128, r = 10.
(Wir verwenden im Folgenden auch diese Parameter.)
79
Klartextblock
Schlüssel
128 Bit
Schlüsselexpansion
128 Bit
auf 128 * 11
= 1408 Bit
K0
+
128 Bit
S0
128 Bit
Runde 1
+
K1
128 Bit
S1
128 Bit
Runde 2
K3
+
128 Bit
S9
128 Bit
Runde 10
K10
+
128 Bit
Chiffretextblock
128 Bit
Abbildung 12: Schematischer Ablauf des Rijndael-Verfahrens
80
Der Ablauf des Rijndael-Verfahrens ist auf Seite 80 skizziert. Die Zwischenergebnisse S0 , S1 , . . . S9 werden in Rijndael Zustände genannt.
Jede Runde, bis auf die zehnte, besteht aus drei Layern:
ByteSub-Transformation: Nichtlineare Transformation; dient dem Schutz
gegen differentielle und lineare Kryptoanalyse.
ShiftRow-Transformation: Dient der Diffusion
MixColumn-Transformation: Dient ebenfalls der Diffusion
In Runde 10 werden nur die ByteSub-Transformation
und die ShiftRow-Transformation vorgenommen (s. Abb. unten):
S
Die Schlüsseladdition (bin.Add.,XOR) AddRoundKey wird als 4. Layer berechnet.
i-1
ByteSub
Runde i
Wir beschreiben nun die 3 Layer ByteSub,
ShiftRow, MixColumn und danach die Rundenschlüsselerzeugung.
Zunächst aber zwei Vorbemerkungen:
Die Klar- und Chiffretextblöcke und sämtliche Zustände in Rijndael werden als 4x4
Matrizen geschrieben, wobei jeder Eintrag
ein Byte, d.h. einen 8-Bit-String ist:

a00
 a10

 a20
a33
a01
a11
a21
a31
a02
a12
a22
a32

a03
a13 

a23 
a33
ShiftRow
entfällt für
i = 10
MixColumn
+
Ki
Si
Abbildung 13: Transformationen
Die Bytes sind spaltenweise zu lesen, d.h. der Block hat die Form:
a00 a10 a21 a20 a01 . . . a33
An einigen Stellen muss man Bytes (d.h. 8-Bit-Strings) als Elemente in F28
auffassen: (b7 b6 . . . b0 ) ↔ b7 x7 +b6 x6 +. . . b0 . Addition entspricht XOR, Multiplikation Körpermultiplikation. In Rijndael ist F28 bezüglich des irreduziblen
Polynoms x8 + x4 + x3 + x + 1 gegeben.
81
ByteSub-Transformation
Eingabe:


b00 . . . b03

..  , b Bytes
Zustand Si =  ...
.  ij
b30 . . . b33
Jedes Byte bij wird einzeln verändert; dies liefert eine neue 4 × 4-Matrix, die
Ausgabe der ByteSub-Transformation.
Sei g = b7 b6 . . . b0 ein Byte.
Die ByteSub-Transformation umfasst zwei Schritte:
1. Schritt: Fasse g als Element in F28 auf und berechne g −1 in
g 6= 00 . . . 0. Falls g = 0 . . . 0, so bleibt g ungeändert.
F2
8
, falls
2. Schritt: Fasse das nach dem ersten Schritt erzeugte Byte c7 c6 . . . c0 als
Bit-Folge (also Element in Z82 ) auf und unterwerfe es der folgenden affinen
Transformation des Z82 :












1
1
1
1
1
0
0
0
0
1
1
1
1
1
0
0
0
0
1
1
1
1
1
0
0
0
0
1
1
1
1
1
1
0
0
0
1
1
1
1
1
1
0
0
0
1
1
1
1
1
1
0
0
0
1
1
1
1
1
1
0
0
0
1























c0
c1
c2
c3
c4
c5
c6
c7


 
 
 
 
 
+
 
 
 
 
 
1
1
0
0
0
1
1
0


 
 
 
 
 
=
 
 
 
 
 
d0
d1
d2
d3
d4
d5
d6
d7












d7 d6 d5 d4 d3 d2 d1 d0 ist dann das Ergebnis der ByteSub-Transformation von
g = b7 b6 . . . b0 .
Bsp.:
g = (11001011)

1
1

1

1

1

0

0
0
g −1 = (00000100)
0
1
1
1
1
1
0
0
0
0
1
1
1
1
1
0
0
0
0
1
1
1
1
1
1
0
0
0
1
1
1
1
1
1
0
0
0
1
1
1
1
1
1
0
0
0
1
1

1
1

1

1

0

0

0
1
(siehe S. 79)












82
0
0
1
0
0
0
0
0


 
 
 
 
 
+
 
 
 
 
 
1
1
0
0
0
1
1
0


 
 
 
 
 
=
 
 
 
 
 
1
1
1
1
1
0
0
0












Also: (11001011) → (00011111)
In Rijndael ist die ByteSub-Transformation durch eine S-Box beschrieben.
Die S-Box ist eine 16×16 Matrix, deren Einträge die Zahlen von 0 bis 255 (in
einer gewissen Reihenfolge) sind. Ein Byte b7 . . . b0 bestimmt durch b7 b6 b5 b4
die Zeile und durch b3 b2 b2 b0 die Spalte (Zeilen u. Spalten mit 0, . . . 15 nummeriert). Der Eintrag an der entsprechenden Stelle ist die Zahl, die binär
codiert die ByteSub-Transformation von b7 . . . b0 angibt. (Schneller als jedesmal Inverse und affine Transformation zu berechnen.)
In ByteSub wird durch g → g −1 die Nichtlinearität (über F2 ) sicherstellt. Die
Einfachheit dieser Abbildung könnte ggf. kryptoanalytische Angriffe ermöglichen; daher ist eine affine Abbildung nachgeschaltet. Sie sorgt auch dafür,
dass der Output von ByteSub nie mit dem Input oder dem Komplement des
Inputs übereinstimmt (Byte-weise).
ShiftRow-Transformation
Jede der vier Zeilen der 4 × 4-Matrix, die man nach ByteSub erhält, werden
zyklisch verschoben:
Die 1. Zeile bleibt unverändert, die 2. Zeile wird um eine Stelle nach links,
die 3. Zeile um zwei Stellen nach links und die 4. Zeile um drei Stellen nach
links verschoben.
MixColumn-Transformation
Jedes der Bytes in der Input 4 × 4-Matrix wird als Element in F28 aufgefasst.
Diese 4 × 4-Matrix wird von links mit


0 0 0 0 0 0 1 0 0 0 0 0 0 0 1 1 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 1
0 0 0 0 0 0 0 1 0 0 0 0 0 0 1 0 0 0 0 0 0 0 1 1 0 0 0 0 0 0 0 1
0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 1 0 0 0 0 0 0 1 0 0 0 0 0 0 0 1 1
0 0 0 0 0 0 1 1 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 1 0 0 0 0 0 0 1 0
multipliziert; die Eintäge dieser Matrix sind auch als Elemente von
zufassen. Die Matrizenmultiplikation erfolgt über F28 .
F2
8
auf-
Schlüsselerzeugung
Ausgangsschlüssel hat 128 Bit. Er wird als 4 × 4-Matrix von Bytes geschrieben, spaltenweise zu lesen. Seien w(0), w(1), w(2), w(3) diese Spalten. Es wer83
den 40 weitere Spalten vier Bytes definiert.
Sei w(i − 1) schon definiert.
Ist i 6≡ 0 (mod 4), so w(i) = w(i − 4) ⊕ w(i − 1)
Ist i ≡ 0 (mod 4) , so w(i) = w(i − 4) ⊕ T (w(i − 1)),
wobei T folgende Transformation ist:
 
a
b

a, b, c, d Bytes
Sei w(i − 1) = 
c ,
d
Wende auf b, c, d, a die ByteSub-Transformation an.
Dies liefert vier Bytes, e, f, g, h.
i−4
Berechne r(i) = (00000010) 4 in F28 (beachte i ≡ 0 (mod 4))


e ⊕ r(i)
 f 

Dann T (w(i − 1)) = 
 g 
h
Der Rundenschlüssel Ki besteht dann aus der 4 × 4-Matrix
(w(4i), w(4i + 1), w(4i + 2), w(4i + 3)), i = 0, 1, . . . 10
Entschlüsselung
Alle einzelnen Transformationen in Rijndael sind invertierbar. Kehre Algorithmus um und ersetze alle Transformationen durch ihre Inverse.
Entschlüsselung ist um ca. 30% langsamer als Verschlüsselung, da die Einträge in der inversen Matrix von MixColumn komplexer sind als die der zur
Verschlüsselung genutzten Matrix.
Sicherheit
Nach zwei Runden hat man vollständige Diffusion: Jedes der 128 Output-Bits
nach Runde 2 hängt von jedem der 128 Klartextblockbits ab. Rijndael ist
gegen alle bekannten kryptoanalytischen Angriffe sicher; insbesondere wurde
ShiftRow eingefügt, um gegen zwei relativ neue kryptoanalytische Angriffe
( truncated differentials“und Square-attack“ – ’Square’ war ein Vorläufer
”
”
von Rijndael) – sicher zu sein.
Alle bekannten Angriffe sind bei mehr als sechs Runden nicht besser als
Brute Force. Die Schlüsselerzeugung mittels ByteSub soll verhindern, dass
bei Kenntnis von Teilen des Schlüssels die übrigen Bits einfach zu ermitteln
84
sind. Außerdem sorgt dies dafür, dass verschiedene Ausgangsschlüssel nie
viele Rundenschlüssel gemeinsam haben.
Schnelligkeit
Rijndael ist deutlich schneller als DES (bei Software-Implementierung). Auf
1 GHz-Rechner sind Verschlüsselungen (abhängig vom C-Compiler) von ca.
200 MBit/sec. möglich (zum Vergleich: DES ca. 80 MBit/sec.). Bei HardwareImplementierung über 1 GBit/sec.
3.7
Betriebsarten von Blockchiffren
Blockchiffren können bei der Verschlüsselung längerer Klartexte in verschiedenen Weisen eingesetzt werden. Wir beschreiben im Folgenden die wichtigsten dieser Betriebsarten (’modes of operation’).
Sei also eine Blockchiffre gegeben, die Klartextblöcke der Länge n über Alphabet A verschlüsselt. Schlüsselmenge K, k ∈ K, so Ek Verschlüsselungsfunktion, Dk Entschlüsselungsfunktion.
Electronic Codebook Mode (ECB Mode)
Beliebig langer Klartext wird in Blöcke der Länge n zerlegt. Ggf. Klartext
ergänzen, dass durch n teilbare Länge n entsteht (z.B. zufällige Zeichen am
Ende, padding). Chiffrierter Text ist dann Folge der chiffrierten Blöcke. (Für
feste Schlüssel könnte man eine Tabelle der Klartext-Chiffretext-Paare anlegen: electronic codebook; daher diese Bezeichnung.)
Probleme:
• Regelmäßigkeiten des Klartextes führen zu Regelmäßigkeiten des chiffrierten Textes. Kann die Kryptoanalyse erleichtern; z.B. wenn Klartextnachrichten immer in der gleichen Weise beginnen (z.B. e-mail).
• Angreifer kann die Nachricht ändern, indem er Chiffretext einfügt, der
mit dem gleichen Schlüssel verschlüsselt worden ist; oder er kann die
Reihenfolge der Chiffretextblöcke ändern.
Man kann die Sicherheit des ECB Mode steigern, wenn Blöcke nur teilweise
aus dem Klartext und teilweise aus zufälligen Zeichen gebildet werden.
85
Cipherblock Chaining Mode (CBC Mode)
Diese Betriebsart wurde erfunden, um einige der Probleme des ECB Mode
zu beseitigen.
Im CBC Mode hängt die Verschlüsselung eines Blocks auch von den vorhergegangenen Blöcken ab (kontextabhängige Verschlüsselung).
Es sei A = {0, 1}.
CBC Mode benötigt festen Initialisierungsvektor IV ∈ {0, 1}n
Verschlüsselung:
Klartextblöcke m1 , . . . mt
Setze c0 = IV , cj = Ek (cj−1 ⊕ mj ).
Chiffretextblöcke c1 , . . . ct
Entschlüsselung:
Gegeben c1 . . . ct
Setze c0 = IV .
Dann mj = cj−1 ⊕ Dk (cj )
Vorteile:
Gleiche Klartextblöcke in unterschiedlichem Kontext werden i.a. verschieden
verschlüsselt. Man erkennt beim Entschlüsseln, ob Chiffretextblöcke geändert
oder in der Reihenfolge verändert worden sind.
Übertragungsfehler in einem Block cj macht sich bei der Entschlüsselung
höchstens bei mj und mj+1 bemerkbar. Selbst bei Verwendung unterschiedlicher Initialisierungsvektoren kann der Empfänger höchstens den ersten Block
nicht korrekt entschlüsseln.
Wie bei ECB besteht auch bei CBC der Nachteil, dass (ohne Verwendung
von padding) stets abgewartet werden muss, bis ein vollständiger Block der
Länge n vorhanden ist, bevor verschlüsselt werden kann. CBC ist also v.a.
bei Verschlüsselungen langer Klartexte gut geeignet.
Cipher Feedback Mode (CFB Mode)
Hier wieder A = {0, 1}.
CFB Mode ist eine stromchiffreähnliche Betriebsart von Blockchiffren, die
eine Verschlüsselung von Klartexten ermöglicht, ohne abwarten zu müssen,
86
bis ein Block der Länge n vorliegt. Dies ist insbesondere bei interaktiver
Computerkommunikation nützlich.
Der Klartext wird in Blöcke p1 , p2 , . . . der Länge r für ein festes r mit
1 ≤ r ≤ n aufgeteilt (typisch: r = 8). Benötigt wird außerdem ein Initialisierungsvektor IV ∈ {0, 1}n .
Setze I1 = IV .
Dann für j = 1, 2, 3, . . .
cj = pj ⊕ Lr (Ek (Ij )) ∈ {0, 1}r
Ij+1 = Rn−r (Ij )|cj ∈ {0, 1}n
Dabei bedeutet Lr (X) die r linksstehenden Bits eines Blocks X der Länge
n, Rn−r (X) die n − r rechtsstehenden Bits von X.
X|Y ist das Hintereinanderschreiben der Strings X und Y .
c1 , c2 , c3 , . . . sind die verschlüsselten p1 , p2 , p3 , . . . .
Entschlüsselung:
I1 = IV
Dann für j = 1, 2, . . .
pj = cj ⊕ Lr (Ek (Ij ))
(keine Entschlüsselung mit Dk !)
Ij+1 = Rn−r (Ij )|cj
(Beachte: cj ⊕ Lr (Ek (Ij )) = pj ⊕ Lr (EK (Ij )) ⊕ Lr (EK (Ij )) = pj )
Man sieht an der Beschreibung, dass der CBC Mode wie eine Stromchiffre
(auf r-Bit Strings) funktioniert, wobei der Schlüsselstrom mittels Blockchiffrierung aus I1 und den vorher verschlüsselten r-Bits erzeugt wird.
CFB Mode ist sehr schnell und kann von Sender und Empfänger fast simultan
ausgeführt werden. Sobald cj vorliegt, kann der Empfänger Ij+1 und dann
Lr (Ek (Ij+1 )) berechnen und dann bei Empfang von cj+1 sofort durch XOR
pj+1 entschlüsseln.
Übertragungsfehler in einem Chiffretextblock wirken sich solange aus, bis der
fehlerhafte Block aus Ij herausgeschoben wurde, d.h. auf die nächsten ⌈ nr ⌉
Blöcke. Beachte: CFB Mode hängt nur von der Geschwindigkeit der Blockverschlüsselung (nicht Entschlüsselung) ab. Bei AES beispielsweise macht
sich also die geringere Entschlüsselungsgeschwindigkeit nicht bemerkbar.
Da Sender und Empfänger nur über die Verschlüsselungsfunktion Ek verfügen
müssen, ist der CFB Mode bei Public-Key-Systemen (siehe später) nicht
anwendbar, denn dort ist Ek als öffentlicher Schlüssel jedem bekannt. CFB
Mode wird häufig im Internet eingesetzt.
87
Output Feedback Mode (OFB Mode)
Wieder A = {0, 1}.
Analog zu CFB, nur wird Ij+1 = Ek (Ij ) gesetzt.
Der Schlüsselstrom Lr (Ek (Ij )) hängt also nur von IV und k ab. Die Verschlüsselung von Klartextblöcken hängt daher nur von der Position und nicht
von den vorhergehenden Klartextblöcken ab. Daher können nach OFB Mode
verschlüsselte Nachrichten leichter manipuliert werden als im CFB Mode.
Vorteil:
Übertragungsfehler in einem cj machen sich bei der Entschlüsselung nur bei
cj und bei keinem anderen Chiffretextblock bemerkbar.
88
4
Stromchiffren und Pseudozufallsfolgen
In Abschnitt 2.1.d hatten wir polyalphabetische Substitutionen, insbesondere
Lauftextverschlüsselungen (z.B. One-Time-Pad) als Beispiele von Stromchiffren kennen gelernt.
Wir wollen jetzt Stromchiffren etwas genauer betrachten. Sie spielten (und
spielen) in militärischen Anwendungen eine große Rolle, werden aber auch
für zivile Zwecke häufig verwendet.
Man unterscheidet zwei Typen: synchrone und selbstsynchronisierende (asynchrone) Stromchiffren.
4.1
Synchrone Stromchiffren
Sie sind dadurch gekennzeichnet, daß der Schlüsselstrom unabhängig von
Klar- und Chiffretext erzeugt wird.
Beschreibung:
Ausgangsschlüssel k
Funktion zur Erzeugung des Schlüsselstroms g(i, k) = ki (i = 0, 1, 2, . . .)
Verschlüsselungsfunktion E: E(ki , mi ) = ci
(verschlüsselt Klartextbit resp. Klartextblock mi mit ki zu Chiffretextbit
resp. Chiffretextblock ci )
Notwendig:
Sender und Empfänger müssen synchronisiert sein. Geht die Sychronisation
verloren (z.B. weil Chiffretextbits während der Übermittlung verloren gehen),
so schlägt die Entschlüsselung fehl (allerdings tritt sehr viel häufiger die
Änderung eines Bits als ein Verlust auf!).
Fehlerfortpflanzung:
Die Änderung eines Chiffretextbits bei der Übertragung hat keine Auswirkungen auf die korrekte Entschlüsselung der folgenden Bits.
Falls Bits durch binäre Addition (XOR) mit Schlüsselbits ki verschlüsselt
werden (d.h. E(ki , mi ) = ki ⊕ mi ), so spricht man von binären additiven
Stromchiffren (Bsp. One-Time-Pad).
(Synchrone Stromchiffren entsprechen ECB bzw. OFB Mode bei Blockchiffren.)
89
4.2
Selbstsynchronisierende (asynchrone) Stromchiffren
Sie sind dadurch gekennzeichnet, dass der Schlüsselstrom als Funktion des
Ausgangsschlüssels und einer festen Zahl vorheriger Chiffretextbits (oder blöcke) erzeugt wird.
Beschreibung:
Ausgangsschlüssel k
z0 = (c−t , c−t+1 , . . . c−1 ) Anfangszustand (nicht geheim)
zi = (ci−t , ci−t+1 , . . . ci−1 )
i≥1
ki = g(k, zi ) Funktion zur Erzeugung des Schlüsselstroms
ci = E(ki , mi ) Verschlüsselungsfunktion
mi = D(ki , ci ) Entschlüsselungsfunktion
zi
c
i-t
c
ki
g
k
c i-1
...
i-t+1
.
E
ci
mi
Abbildung 14: Verschlüsselung
zi
c
i-t
c
c i-1
...
i-t+1
.
ci
k
ki
g
Abbildung 15: Entschlüsselung
90
D
mi
Typische Vertreter selbstsynchronisierender Stromchiffren sind Blockchiffren
im 1-Bit CFB Mode (d.h. r = 1 im CFB Mode; s. Abschnitt 3.7; die Funktion
g wird durch die Blockchiffre realisiert. E ist dann einfach XOR.)
Selbstsynchronisation:
Geht ein Chiffretextbit bei der Übertragung verloren, so synchronisiert sich
das System selber; nur ein Klartextbit geht verloren und t viele werden falsch
entschlüsselt.
Bsp: t = 2
Verschl.:
... m
m
8
9
k =g(k,c ,c ) 
6 7 y·
y8
. . . c8
c9
m10

y·
c///
10
|{z}
geht verloren
...
Entschl.:
c8
c9 c11
k =g(k,c ,c ) 
g(k,c ,c )
6 7 y·
8 9
y8
y
. . . m8
m9 m
e 11
m11 m12 m13



y· y· yk13 =g(k,c11 ,c12 )
c11 c12 c13
c12
g(k,c ,c )
9 11
y
m
e 12
c13
k =g(k,c ,c )
11 12
y 13
m13
Diese Selbstsynchronisation hat aber auch zur Folge, dass Einfügen und Entfernen von Chiffretextbits durch Angreifer schwerer erkannt werden (anders
als bei synchronen Stromchiffren).
Fehlerfortpflanzung:
Wird ein ci bei der Übertragung verändert, so wird nur die Entschlüsselung
der nächsten t Bits ggf. verfälscht, danach wird wieder korrekt entschlüsselt.
(Bei synchronen Stromchiffren wird sofort das nächste Bit wieder korrekt entschlüsselt; daher lassen sich – speziell bei größeren t – absichtliche Änderungen von Chiffretextbits durch einen Angreifer bei selbstsynchronisierenden
Stromchiffren leichter erkennen.)
Sowohl bei synchronen als auch bei selbstsynchronisierenden Stromchiffren ist
die Schlüsselstromerzeugung (beschrieben durch die Funktion g) die entscheidende Komponente. In vielen Systemen spielen bei der Schlüsselstromerzeugung Schieberegister eine wichtige Rolle. Wir geben im Folgenden eine kurze
Beschreibung.
91
4.3
Schieberegister
Def.:
Ein (rückgekoppeltes) Schieberegister (feedback shift register) über dem endlichen Körper F ist eine Maschine, die aus n vielen Verzögerungsgliedern
S0 , . . . Sn−1 (stages) besteht, die einen Input und eine Output besitzen und
ein Element aus F speichern können; einer Uhr, die den Transport der Daten
(= Elemente aus F) kontrolliert; und einer Recheneinheit, die eine fest vorgegebene Funktion f : Fn → F berechnet. n heißt Länge des Schieberegisters.
Recheneinheit
f( a j-1 , a j-2
a
a j-1
j
.
S n-1
, ... , a j-n )
S n-2
a j-n
a j-n+1
a j-2
.
.
S1
S0
.
Output
Verzögerungsglieder
Abbildung 16: Rückgekoppeltes Schieberegister
Während jeder Zeiteinheit werden folgende Operationen durchgeführt:
• Der Inhalt von S0 wird ausgegeben und ist Teil der Output-Folge.
• Der Inhalt von Si wird an Si−1 weitergegeben, i = n − 1, . . . 1.
• Der neue Inhalt von Sn−1 ist aj = f (aj−1 , . . . aj−n ), wobei aj−i der
frühere Inhalt von Sn−i ist, i = 1, . . . n (Rückkopplung).
Zu Beginn enthält jedes Si einen Anfangswert ai , i = 0, . . . n − 1; (a0 , . . . an−1 )
heißt der Anfangszustand des Schieberegisters.
Die Inhalte (aj−n+1 , aj−n+2 , . . . aj ) der Si (im (j − n + 1)-ten Zeittakt)
j = n + 1, n + 2, . . . heißen die Zustände des Schieberegisters.
Also: Inhalt von
Sn−1
Sn−2
0. Zeittakt
an−1
an−2
1. Zeittakt an = f (an−1 , . . . a0 ) an−1
2. Zeittakt an+1 = f (an , . . . a1 ) an
92
...
...
...
...
S1
a1
a2
a3
S0
a0
a1 → Output a0
a2 → Output a1 a0
Die Outputfolge ist also eindeutig bestimmt durch den Anfangszustand
(a0 , . . . an−1 ) und die Rekursionsvorschrift aj = f (aj−1 , . . . aj−n ).
Schieberegister mit n Verzögerungsgliedern sind also nichts anderes als eine
maschinelle Veranschaulichung von Rekursionen (der Ordnung n).
Zu jedem Zeitpunkt befindet sich ein Schieberegister der Länge n in einem
von |F|n vielen möglichen Zuständen.
Daher gibt es Zeitpunkte t1 < t2 , in denen sich das Schieberegister in den
gleichen Zuständen befindet. Dann stimmt die Outputfolge betrachtet ab
Zeitpunkt t1 mit der ab Zeitpunkt t2 überein.
Also:
Die Outputfolge eines Schieberegisters ist ab einem aj0 periodisch mit Periode
p, d.h. ai = ai+p für alle i ≥ j0 .
4.4
Lineare Schieberegister
Def.:
Ist in einem Schieberegister der Länge n die Funktion f von der Form
f (xn−1 , . . . x0 ) = cn−1 xn−1 + . . . + c0 x0 für feste cn−1 , . . . c0 ∈ F, so heißt
das Schieberegister ein lineares Schieberegister (LSR).
(Die cj heißen dann auch Rückkopplungskoeffizienten.)
Es gilt also: aj =
n−1
P
ci aj−n+i
i=0
Im wichtigsten Fall F = F2 lässt sich ein lineares Schieberegister also folgendermaßen darstellen (binäres LSR):
XOR-Gatter
aj
c n-2
c n-1
a j-1
S n-1
.
S n-2
.
c1
a j-2
S1
.
c0
a j-n+1
S0
.a
j-n
Output
AND-Gatter
(sind nur dort
erforderlich,
wo c i =1)
i
Abbildung 17: Binäres lineares Schieberegister der Länge n
93
Bsp.:
f (x3 , x2 , x1 , x0 ) = x2 + x0
Anfangszustand (a0 , a1 , a2 , a3 ) = (1011)
t S3 S2 S1 S0 Output
0 1 1 0 1
1 0 1 1 0
1
2 1 0 1 1
0
3 1 1 0 1
1
← wie Anfangszustand
Output-Folge ist periodisch mit Periode 3: 101101101 . . .
Eigenschaften von linearen Schieberegistern:
1) Bei einem LSR der Länge n gilt:
Ist c0 = 0, so stimmt die Output-Folge (bis auf a0 ) mit der des LSR der
Länge n−1 überein, das gegeben ist durch f (xn−2 , . . . x0 ) = cn−1 xn−2 +
. . . + c1 x0 ) und Anfangszustand (a1 , . . . an−1 ).
Wir nehmen im Folgenden daher stets c0 6= 0. Solche LSR heißen dann
nicht-singulär.
2) Ein (nicht-singuläres) LSR ist periodisch, d.h. es ex. p mit at = at+p für
alle t ≥ 0. Das kleinste solche p heißt Periode des LSR.
[Wähle j minimal mit aj+t = aj+t+p für alle t ≥ 0.
Ang. j > 0. Dann aj−1 6= aj−1+p
Es ist aj−1+n = c0 aj−1 + c1 aj + . . . + cn−1 aj−2+n
und aj −1+n = aj−1+n+p = c0 aj−1+p + c1 aj+p + . . . + cn−1 aj−2+n+p
|{z}
| {z }
|{z}
≥0
aj
aj−2+n
Also c0 aj−1 = c0 aj−1+p und wegen c0 6= 0 dann aj−1 = aj−1+p , Widerspruch.]
3) Kommt unter den Zuständen eines LSR einmal (0, . . . 0) vor, so verbleibt das LSR immer im Zustand (0, . . . 0).
Also nach 2): Ein nicht singuläres LSR der Länge n mit dem Anfangszustand 6= (0, . . . 0) hat eine Periode ≤ |F|n − 1, im binären Fall also
≤ 2n − 1.
4) Man ist interessiert daran, LSR mit möglichst großer Periode zu konstruieren. Wir beschränken uns jetzt auf den binären Fall (der Fall
allgemeiner endlicher Körper ist analog).
94
Es stellt sich heraus, dass es für jedes n binäre LSR gibt, die die Periode
2n − 1 haben. Welche sind das?
Dazu betrachtet man das sog. charakteristische Polynom des binären
LSR:
p(x) = c0 + c1 x + . . . + cn−1 xn−1 + xn
Es gilt:
Satz: Genau dann hat das (nicht singuläre) binäre LSR der Länge n
Periode 2n − 1, wenn sein charakteristisches Polynom primitiv ist.
Was bedeutet Primitivität von p(x)?
Primitiv bedeutet:
1) p(x) ist irreduzibel
2) Im Körper F2n , der durch das irreduzible Polynom p(x) definiert
wird (siehe Seite 76), hat das Element x die Eigenschaft:
2n −1
xr 6= 1 für 1 ≤ r < 2n − 1
|x {z } = 1, |{z}
Potenzen in F2n
(x ist ein erzeugendes Element der zykl. Gruppe F2n \ {0}.)
Das läßt sich in F2 [x] auch so beschreiben:
n
p(x) | x2 −1 − 1 , p(x) ∤ xr − 1 für alle 1 ≤ r < 2n − 1
Es gibt genau
Φ(2n −1)
n
n
viele primitive Polynome über
F2 von Grad n.
[F2n \ {0} hat Φ(2 − 1) viele Erzeugende; mit α bestimmen auch
n−1
α, α2 , α4 , . . . α2
das gleiche primitive Polynom.27 ]
5) Ein binäres LSR der Länge n mit primitivem charakteristischen Polynom erzeugt für jeden Anfangszustand 6= (0, . . . 0) eine periodische
Folge mit Periode 2n − 1. Solche Folgen heißen m-Folgen (m = maximale Periode).
6) m-Folgen haben gute statistische Eigenschaften hinsichtlich der Eigenschaft als Pseudozufallsfolgen zu gelten (dazu später mehr).
Für kryptographische Zwecke sind sie dennoch nicht tauglich. Aus einer
Teilfolge der Länge 2n (deutlich kleiner als die Periode 2n −1) lässt sich
nämlich die gesamte Folge ermitteln.
27
Beweis: z.B. Lidl, Niederreiter: Introduction to Finite Fields and their applications
[25]
95
4.5
Lineare Komplexität und Bestimmung von Schieberegisterfolgen aus Teilfolgen
Ist (a0 , a1 , . . .) eine binäre Folge mit Periode p, so gibt es immer mindestens
ein binäres LSR, das diese Folge erzeugt:
Wähle LSR von Länge p, c0 = 1, c1 = . . . = cp−1 = 0
Anfangszustand (a0 , a1 , . . . ap−1 )
[Im allgemeinen gibt es mehrere: Bsp. von Seite 94: Outputfolge wird auch
erzeugt von LSR der Länge 2 mit f (x1 , x0 ) = x1 + x0 , Anfangszustand
(a0 , a1 ) = (10)]
Man kann zeigen: Ist (a0 , a1 , . . .) eine binäre periodische Folge, so gibt es ein
eindeutig bestimmtes binäres LSR von minimaler Länge n, so dass (a0 , a1 , . . .)
als Outputfolge dieses LSR (mit Anfangszustand (a0 , a1 , . . . an−1 )) auftritt.
Man sagt auch: n ist die lineare Komplexität von (a0 , a1 , . . .).
[Beachte: Erzeugt ein LSR der Länge n eine Folge der Periode 2n − 1, so hat
die Folge lineare Komplexität n.]
Dieses binäre LSR minimaler Länge lässt sich folgendermaßen beschreiben:
Hat (a0 , a1 , . . .) Periode p, so setze
a(x) = a0 + a1 x + . . . + ap−1 xp−1
und
q(x) =
xp + 1
ggT(a(x), xp + 1)
Ist Grad q(x) = n, so ist p(x) = xn q( x1 ) (das reziproke Polynom von q) das
charakteristische Polynom des LSR von minimaler Länge (= Grad p(x) = n),
das (a0 , a1 , . . .) erzeugt.28
Es gilt nun:
Satz:
Sei (a0 , a1 , . . .) eine periodische binäre Folge der linearen Komplexität n.
Dann sind n aufeinanderfolgende ‘Zustandsvektoren’ der Länge n
(am , am+1 , . . . am+n−1 ), . . . , (am+n−1 , am+n , . . . am+2n−2 )
28
Literatur z.B. H. Beker, F. Pieper, Cipher Systems, Northwood Books, 1982
96
(m ∈ N0 beliebig) linear unabhängig.
Beweis:
Für t ≥ 0 sei vt = (at , at+1 , . . . , at+n−1 ).
Ist p(x) = c0 + c1 x + . . . + cn−1 xn−1 + xn das charakteristische Polynom des
LSR kürzester Länge n, das (a0 , a1 , . . .) erzeugt, so setze

0

1

C=
0
.
 ..
0
0
..
.
..
.
0
1
0
0 0
...
co
c1
..
.
..
.
0
1 cn−1








Det C = c0 . Klar: c0 = 1.
Dann vt+1 = vt C für alle t.
Genau dann sind vm , . . . vm+n−1 linear unabhängig,
wenn v0 = vm C −m , . . . vn−1 = vm+n−1 C −m linear unabhängig sind.
Ang. v0 , . . . vn−1 sind linear abhängig. Wähle t ≤ n − 1 minimal mit v0 , . . . vt
linear abhängig.
Dann existiert d0 , . . . dt ∈ F2 mit d0 v0 + . . . + dt vt = 0, dt = 1.
Also: vt =
t−i
P
dj vj
j=0
Dann gilt für alle i ≥ 0 : vt+i = vt C i =
Daher: at+i =
t−i
P
j=0
t−i
P
j=0
dj vj C i =
t−i
P
dj vj+i
j=0
dj aj+i für alle i ≥ 0 (1. Komponente betrachten).
Also wird (a0 , a1 , . . .) von einem LSR der Länge t ≤ n − 1 erzeugt, Widerspruch, q.e.d.
Sei nun (a0 , a1 , . . .) eine binäre periodische Folge der linearen Komplexität
n. (Beachte: Die Periode kann dann maximal 2n − 1 betragen.)
Bekannt seien ar , ar+1 , . . . ar+2n−1 .
Man möchte die Rückkopplungskoeffizienten c0 , . . . cn−1 des minimalen LSR
bestimmen , das (a0 , a1 , . . .) erzeugt.
97
Es gilt: at+n =
n−1
P
i=0
ci at+i , t = r, r + 1, . . . r + n − 1, d.h.
(*) (ar+n , . . . ar+2n−1 ) = (c0 , . . . cn−1 ) · A mit

ar
ar+1
..
.
...
...

ar+n−1
ar+n 

.. 
. 


A=

ar+n−1 . . . ar+2n−2
Die linke Seite und die Matrix A sind bekannt. Man kann daher (*) als
lineares Gleichungssystem für c0 , . . . cn−1 betrachten. Nach dem vorigen Satz
sind die Spalten von A linear unabhängig, d.h. A ist invertierbar.
Damit lässt sich (c0 , . . . cn−1 ) = (ar+n , . . . ar+2n−1 ) · A−1 bestimmen.
Es bleibt allerdings folgendes Problem:
Wenn der Angreifer ein Teilstück der Schieberegisterfolge kennt, so kann er
i.a. nicht wissen, ob dieses Teilstück mindestens Länge 2n, n lineare Komplexität der Schieberegisterfolge, hat oder nicht. Und selbst wenn das Teilstück
mindestens Länge 2n besitzt, so kennt er zunächst einmal n nicht. Hierfür
gibt es jedoch eine Lösung:
Man kann auch für endliche Bitfolgen (a0 , . . . ar ) den Begriff der linearen
Komplexität definieren: Dies ist die kleinste Länge eines LSR, dessen OutputFolge mit (a0 , . . . ar ) beginnt. Es gibt einen Algorithmus von Berlekamp und
Massey, der zu gegebener Bitfolge (a0 , . . . ar ) deren lineare Komplexität mit
O(r2 ) Bit-Operationen bestimmt. Ist also r ≥ 2n, so ist (nach obigem Verfahren) n auch die lineare Komplexität der gesamten Schieberegisterfolge und
das minimale LSR kann bestimmt werden.29
4.6
Schieberegister zur Schlüsselstromerzeugung
Wir hatten in Unterkapitel 4.5 gesehen, dass LSR zur Erzeugung von Schlüsselströmen kaum geeignet sind. Dies ist insbesondere bei additiven binären
Stromchiffren der Fall, wo Mallory bei einer Known-Plaintext-Attack bei
genügend langem Klartext (Länge ≥ 2·lineare Komplexität der Schieberegisterfolge) durch mi ⊕ ci (m1 , m2 , . . . Klartextfolge, c1 , c2 , . . .zugehörige Chiffretextfolge) einen Teil des Schlüsselstroms ermitteln kann, der ausreicht, um
29
Literatur: Lidl, Niederreiter [25]
98
mit den am Ende von 4.5 beschriebenen Methoden das (minimale) LSR für
den gesamten Schlüsselstrom zu ermitteln.
Statt LSR könnte man Schieberegister mit einer nicht-linearen Rückkopplungsfunktion f verwenden. Solche nicht-lineare Schieberegister sind aber
bis auf Ausnahmefälle mathematisch nur schwer, wenn überhaupt, zu analysieren, so dass dieser Weg kaum beschritten wird.
Stattdessen werden in der Praxis folgende Möglichkeiten (und Variationen
hiervon) verwendet:
• Nichtlineare Kombination von linearen Schieberegistern
LSR 1
LSR 2
f
Schlüsselstrom
LSR
Abbildung 18: Nichtlineare Kombination von linearen Schieberegistern
f ist nicht-lineare Funktion
Zk2 → Z2
f muss allerdings sorgfältig gewählt werden, um das System gegen sogenannte Korrelationsangriffe sicher zu machen. Diese bestehen darin, Zusammenhänge (Korrelationen) zwischen dem Schlüsselstrom und
den Outputfolgen einzelner LSR zu ermitteln (statistische Methoden).
Die lineare Komplexität einer solchen nicht-linearen Kombination kann
sehr groß gemacht werden.
• Nichtlineare Filtergeneratoren
f erzeugt aus den Zuständen des LSR den Schlüsselstrom, ist also eine
nicht-lineare Funktion f : Zn2 → Z2 . (siehe Abbildung 19)
99
a j = c 0 a j-n + ... + c n-1 aj-1
LSR:
aj
a j-1
S n-1
a j-2
a j-n
a j-n+1
S1
S n-2
S0
f
Schlüsselstrom
Abbildung 19: Nichtlineare Filtergeneratoren
• Takt-gesteuerte Generatoren
In den beiden bisher genannten Ansätzen sind alle Systemkomponenten
gleich getaktet. Takt-gesteuerte Generatoren erzeugen Nichtlinearität
auf folgende Weise: Der Output eines LSR bestimmt den Takt eines
anderen LSR.
Wir beschreiben ein Beispiel, den alternierenden Stop-and-Go-Generator:
3 LSR unterschiedlicher Länge
LSR 2 wird getaktet, wenn LSR 1 Output 1 liefert.
LSR 3 wird getaktet, wenn LSR 1 Output 0 liefert.
Ausgabe des Generators ist XOR-Verknüpfung von LSR 2 und LSR 3:
LSR 2
Uhr (Taktgeber)
.
LSR 1
Output
NOT Gatter
LSR 3
AND Gatter
Abbildung 20: Stop-and-Go-Generator
Dieser Typ von Generatoren ist gegen Korrelationsangriffe relativ sicher
und hat i.d.R. große Periode und große lineare Komplexität.
100
4.7
Andere Stromchiffren
Es gibt eine Vielzahl von Stromchiffren, die nicht auf Schieberegistern beruhen, z.B. A5 (Verschlüsselung von Verbindungen zwischen Handy und Basisstation bei GSM-Standard), SEAL (Software-optimized Encryption Algorithm, entwickelt von IBM im Jahr 1993) oder RC 4.
Wir beschreiben RC 4 etwas genauer:
Entwickelt 1987 von Ron Rivest, bis 1994 geheimgehalten (dann von unbekanntem Urheber im Internet veröffentlicht).
Ausgangsschlüssel (Schlüssellänge variabel). Dieser bestimmt eine Permutation S0 , . . . , S255 der Zahlen 0, . . . , 255 (dargestellt als Bytes), die gleich
beschrieben wird.
Die durch den Schlüssel erzeugte Anfangsfolge S0 , . . . , S255 (seed) wird mit
folgender Fortschaltfunktion bearbeitet:
Initialisierung: i := 0; j := 0. Wiederhole:
i := i + 1
i0 := i mod 256
j := (j + Si0 ) mod 256
vertausche Si0 und Sj
t := (Si0 + Sj ) mod 256
ki := St
Das Byte ki wird mit dem i-ten Byte des Klartextes XOR- verknüpft.
Erzeugung von S0 , . . . S255 aus dem Ausgangsschlüssel:
Initialisiere Si := i
Schreibe Schlüssel byteweise als Zahlenfolge b0 , b1 , . . . b255 . Ist der Schlüssel
kleiner als 8×256 = 2048 Bit, so wird er mehrfach hintereinander geschrieben.
Danach: j := 0
Für i = 0 bis 255:
j := j + Si + bi mod 256
Vertausche Si und Sj .
RC 4 ist einfach und sehr schnell. Kryptoanalytische Schwächen sind nicht
bekannt (bei ausreichend langer Schlüssellänge, z.B. 128 oder 256 Bit).30
30
Einzelheiten zu den o.g. Stromchiffren und anderen: B. Schneier, Angewandte Kryptographie [29]
101
4.8
Pseudozufallsfolgen
Wie beschränken uns im Folgenden auf binäre Folgen, also Folgen von Bits.
Für Stromchiffren (aber auch in anderen kryptologischen Zusammenhängen)
werden häufig ‘Zufallsfolgen’ von Bits benötigt.
Frage: Was versteht man unter einer Zufallsfolge?
Eine Zufallsfolge stellt man sich vor als Folge von Werten unabhängiger,
gleich verteilter Boolescher Zufallsvariablen, d.h. als Output einer Quelle,
die mit gleicher Wahrscheinlichkeit Bits 0 und 1 unabhängig von den schon
erzeugten Bits ausgibt (binäre symmetrische Quelle).
Dann sind aber zwei Bitfolgen gleicher (endl.) Länge gleich wahrscheinlich.
Da wir es stets nur mit endlichen Folgen zu tun haben, legt dieser Befund
nahe, dass man den Begriff endlicher Zufallsfolgen nicht sinnvoll definieren
kann.
Andererseits folgt aus dem Gesetz der großen Zahl, dass bei genügend langen
Folgen, die von einer binären symmetrischen Quelle erzeugt werden, z.B.
annähernd gleich viele Einsen und Nullen vorkommen oder dass die Paare
00, 01, 10, 11 annähernd gleich oft auftreten, etc. Dementsprechend würde
man 00 . . . 0 oder 0101 . . . 01 nicht als Zufallsfolgen bezeichnen.
Ein anderer Punkt ist außerdem von Bedeutung:
In aller Regel werden ‘Zufallsfolgen’ algorithmisch erzeugt (vgl. Schieberegisterfolgen). Was immer man auch unter ‘Zufall’ versteht, eine deterministische Erzeugung wird man nicht als zufällig ansehen. Aus diesem Grund
spricht man in diesem Fall von Pseudozufallsfolgen. Es bleibt aber die Frage,
was man unter Pseudozufallsfolgen verstehen soll.
4.8.a
Die Golomb-Postulate
Einer der ersten Versuche, notwendige Bedingungen für Pseudozufallsfolgen
anzugeben, stammt von S.W. Golomb (1967). Er postulierte drei Bedingungen, die von einer Folge erfüllt sein müssen, damit sie als Pseudozufallsfolge
angesehen werden kann.
Diese Bedingungen spiegeln statistische Eigenschaften wider, die eine genügend
lange Folge, welche von einer binären symmetrischen Quelle erzeugt wird, mit
großer Wahrscheinlichkeit erfüllt (nach dem Gesetz der großen Zahl).
102
Diese sog. Golomb-Postulate sind heute eher von historischem Interesse; sie
sind dennoch instruktiv und sollen hier daher kurz dargestellt werden.
Golomb betrachtet periodische Folgen (wie sie z.B. von Schieberegistern erzeugt werden) und untersucht die ‘Zufälligkeit’ einer Periode.
Sei also s = s0 s1 s2 . . . eine unendliche Bitfolge mit Periode p.
Wir benötigen zur Formulierung der Golomb-Postulate einige Begriffe:
• Ein run ist eine Folge si si+1 . . . sk aufeinanderfolgender Elemente der
Folge, die alle gleich sind, si−1 6= si (falls i > 0) und sk 6= sk+1 . Die
Anzahl k − i + 1 der Elemente des runs heißt Länge des runs. Runs aus
Einsen heißen Blöcke (blocks), runs aus Nullen heißen Lücken (gaps).
Bsp.: 0111001
Lücke der Länge 1, gefolgt von Block der Länge 3, gefolgt von Lücke
der Länge 2
• Sei 0 ≤ t < p
Vergleiche die ersten p Terme von s0 s1 . . . sp−1 mit den ersten p Termen
der um t Positionen verschobenen Folge st st+1 . . . st+p−1 .
Sei At die Anzahl der Positionen, an denen diese beiden Folgen übereinstimmen, und Dt = p − At die Anzahl der Positionen, wo sie nicht
übereinstimmen.
Also: At − Dt =
p−1
P
(−1)si +si+t
i=0
Die Autokorrelationsfunktion C(t) ist definiert durch
C(t) =
At − Dt
p
Ist t = 0, so C(0) = 1. Ansonsten: −1 ≤ C(t) < 1.
Je größer C(t), desto größer die Übereinstimmung der Periode der Ausgangsfolge mit der verschobenen; je kleiner, desto geringer.
Bsp.:
10110
01101
11010
10101
01011
C(1) = − 53
C(2) = − 51
C(3) = 51
C(4) = − 53
103
Golomb-Postulate
(R1) In s0 , . . . sp−1 gilt: |Anzahl Nullen − Anzahl Einsen| ≤ 1
(d.h. = 0, falls p gerade; = 1, falls p ungerade)
(R2) In s0 , . . . sp−1 gilt:
Hälfte der runs hat Länge 1
Viertel der runs hat Länge 2
..
.
Der
1
-te
2i
Teil der runs hat Länge i (solange es mind. 2i viele runs gibt)
Ferner: Für jede dieser Längen gibt es gleich viele Blöcke wie Lücken (±1).
(R3) Die Autokorrelationsfunktion ist konstant für t 6= 0, d.h. C(t) = C(t′ )
für alle 0 < t, t′ < p.
Bedeutung der Golomb-Postulate:
(R1) Beschreibt Gleichverteilung von Nullen und Einsen.
(R2) Nach einer ununterbrochenen Folge von Nullen oder von Einsen (der
Länge i) ist die Wahrscheinlichkeit 50 %, dass die Folge mit 0 (bzw. 1)
fortgesetzt wird.
(R3) Beschreibt Unabhängigkeit der Folgenglieder. [Tatsächlich wird man
erwarten, dass At und Dt etwa gleich groß sind, C(t) also klein ist.]
Periodische Folgen, die die Golomb-Postulate erfüllen, werden pn-Folgen
(pseudo noise) genannt.
Man kann zeigen:
m-Folgen (d.h. Schieberegisterfolgen der Periode 2n − 1, die von LSR der
Länge n erzeugt werden) erfüllen die Golomb-Postulate, wobei die Autokorrelationsfunktion den Wert C(t) = 2n−1
für 0 < t < 2n − 1 hat.31
−1
Damit ergibt sich:
m-Folgen sind, jedenfalls nach den Golomb-Postulaten, gute Pseudozufallsfolgen, nach den Ergebnissen von Kapitel 4.5 aber kryptologisch untauglich.
31
Beweis: s. Beker, Piper, Cipher Systems [6]
104
4.8.b
Statistische Tests
Die Golomb-Postulate werden heute kaum für Pseudozufallsfolgentests verwendet. Zum einen sind die Forderungen an die Anzahlen der Nullen und Einsen bzw. der runs und die Autokorrelationsfunktion zu rigide; eine Folge, die
(R1),(R2),(R3) erfüllt, ist hinsichtlich der dadurch getesteten Gleichverteilungs- und Unabhängigkeitsbedingungen schon fast zu ‘perfekt zufällig’. Zum
anderen gibt es weitere Eigenschaften, die man von Pseudozufallsfolgen erwarten würde, die durch (R1),(R2),(R3) nicht abgedeckt werden.
Aus diesen Gründen werden häufig Verfahren der statistischen Testtheorie
angewandt, um Folgen auf ‘Zufälligkeit’ zu testen.
Wie geschieht dies?
Wir betrachten 0-1-Folgen der Länge n. Eine binäre symmetrische Quelle
erzeugt jede 0-1-Folge der Länge n mit gleicher Wahrscheinlichkeit ( 21 )n . Wir
betrachten also den Wahrscheinlichkeitsraum Ωn der 0-1-Folgen der Länge
n mit der Gleichverteilung. Auf Ωn untersuchen wir Zufallsvariablen (d.h.
Funktionen X : Ωn → R) und betrachten deren Verteilung auf Ωn .
Z.B. Zufallsvariable X : Anzahl der Einsen in einer Folge.
X ist binomialverteilt.
Bsp.: n = 6
Wert von X Anzahl der Folgen =
0
1
1
6
2
15
20
3
4
15
5
6
6
1
n
i
105
p(X = i) = ni · ( 12 )n
0, 016
0, 094
0, 234
0, 313
0, 234
0, 094
0, 016
p(X = 3) ≈ 0, 31
p(2 ≤ X ≤ 4) ≈ 0, 78
p(1 ≤ X ≤ 5) ≈ 0, 97
Abbildung 21: Wahrscheinlichkeitsfunktion p(X = i)
der binomialverteilten Zufallsgröße X für n = 6
Wenn wir jetzt eine gegebene 0-1-Folge auf Pseudozufälligkeit testen, könnte
ein Test darin bestehen, ob die Anzahl der Einsen untypisch für eine zufällig
gewählte 0-1-Folge ist.
Sollte unsere Folge nur aus Nullen bestehen, so ist die Wahrscheinlichkeit nur
1,5%, dass eine zufällig gewählte 0-1-Folge diese Eigenschaft hat. Dann wird
man wohl sagen, dass sie den Test auf Pseudozufälligkeit nicht bestanden hat.
Anders ausgedrückt: Die Wahrscheinlichkeit, dass wir diese Folge als nichtzufällig abgelehnt haben, obwohl sie tatsächlich von einer binären Quelle
erzeugt worden ist, beträgt 1,5%.
Bleiben wir bei der binomialverteilten Zufallvariablen ‘Anzahl der Einsen’. In
der Testtheorie geht man nun so vor, dass man eine Wahrscheinlichkeit α (das
Signifikanzniveau des Tests) festlegt (z.B. α = 5%) und in der Dichtefunktion der Binomialverteilung links und rechts jeweils den Bereich markiert, in
den ein Anteil von α2 aller 0-1-Folgen fallen. Dies ist der sog. Ablehnungsbereich: Fällt eine zu testende 0-1-Folge in diesen Bereich, so lehnen wir sie als
‘Pseudozufallsfolge’ ab (und nehmen dabei einen Fehler von α – hier 5% –
in Kauf, dass es sich doch um eine durch eine binäre symmetrische Quelle
erzeugte Folge gehandelt hat).
α = 5%:
n = 6: Ablehnungsbereich: n1 = 0 oder n1 = 6
106
(n1 = # der Einsen)
n = 20: Ablehnungsbereich: 0 ≤ n1 ≤ 5 oder 15 ≤ n1 ≤ 20
Abbildung 22: Ablehnungsbereich einer binären 0-1-Folge der Länge 20 hinsichtlich der Zufallsvariablen Anzahl der Einsen“
”
(Test: Nullhypothese H0 : ‘Folge ist zufällig’ wird auf Signifikanzniveau α
abgelehnt.)
Die Berechnung der Binomialverteilung wird für große n immer beschwerlicher. Man kann dies umgehen, indem man die Binomialverteilung für große
n durch eine Normalverteilung approximiert.
Tatsächlich verwendet man beim Test bzgl. der Häufigkeit von Einsen eine
andere Zufallsvariable:
n0 = # der Nullen
(n0 − n1 )2
X1 =
n
n1 = # der Einsen
n = n0 + n1
Es ist klar, dass bei grossen n die meisten 0-1-Folgen kleine X1 -Werte haben.
Große X1 -Werte sind unwahrscheinlich.
Der Vorteil der Verwendung der obigen Zufallsvariablen (oder Statistik) X1
liegt darin, dass sich X1 für große n durch eine stetige Verteilungsfunktion
gut approximieren lässt, die sog. χ2 -Verteilung mit 1 Freiheitsgrad ; diese ist
unabhängig von n.
107
Beim Test einer 0-1-Folge auf Pseudozufälligkeit bzgl. der Anzahl der Einsen
berechnet man deren X1 -Wert und vergleicht diesen mit dem Wert, der bei
geg. α in Tabellen der χ2 -Verteilung als Ablehnungsschwelle Vα angegeben
ist; ist der Wert von X1 größer als Vα , so wird die 0-1-Folge als nicht-zufällig
abgelehnt. (Einseitiger Test)
Für α = 5% beträgt Vα = 3, 84.
n= 6:
n = 20 :
n0
0
1
2
3
4
5
6
X1 > 3, 84 ⇔ n0 = 0 oder n0 = 6
X1 > 3, 84 ⇔ 0 ≤ n1 ≤ 5 oder 15 ≤ n1 ≤ 20
(15−5)2
(14−6)2
=
5,
=
3,
2
20
20
X1
6
2, 66
0, 66
0
0, 66
2, 66
6
Abbildung 23: Wahrscheinlichkeitsfunktion der Zufallsvariablen X1 für n = 6
und n = 20
108
Wir halten fest:
Im Gegensatz zu den Golomb-Postulaten, wo eine 0-1-Folge der Periode p
dann als Pseudozufallsfolge akzeptiert wird, wenn z.B. die Anzahl der Einsen innerhalb der Periode genau dem Erwartungswert der entsprechenden
Zufallsvariablen auf Ωp entspricht, wird bei dem beschriebenen Test eine
Folge nur dann abgelehnt, wenn ihre Anzahl von Einsen extrem vom Erwartungswert abweicht.
Um eine 0-1-Folge als Pseudozufallsfolge zu akzeptieren, werden daher in der
Praxis mehrere Tests bzgl. anderer Eigenschaften durchgeführt.
Z.B.:
• Untersuchung der Verteilung der Paare 00, 01, 10, 11 innerhalb der
Folge (2-Bit-Test). Als Teststatistik wird hier
X2 =
4
2
(n200 + n201 + n210 + n211 ) − (n20 + n21 ) + 1
n−1
n
verwendet, die für große n durch eine X 2 -Verteilung mit zwei Freiheitsgraden approximiert wird.
• Untersuchung der Anzahlen der runs
• Autokorrelationstests,
etc.32
Dabei ist es natürlich relativ willkürlich, welche Eigenschaften man testet.
Eine Folge kann viele Tests bestehen, einen weiteren vielleicht nicht. Auf
diese Weise bleibt eine Unsicherheit hinsichtlich der Frage, wann man von
einer Pseudozufallsfolge sprechen kann.
Eine letzte Bemerkung:
In der Regel testet man nicht eine Folge, sondern einen Algorithmus (Generator), der 0-1-Folgen produziert. Wendet man daher statistische Tests an,
so sollte man überprüfen, ob sich der Algorithmus ähnlich wie eine binäre
symmetrische Quelle verhält. D.h. auch, dass man mehrere von diesem Algorithmus produzierten Folgen auf Pseudozufälligkeit testen sollte.
32
Einzelheiten z.B.: Knuth, The Art of Computer Programming, Vol. 2 Chap. 3 [22]
oder Menezes, van Oorschot, Vanstone, Handbook of Applied Cryptography [26]
109
4.8.c
Kolmogorov-Komplexität
Eine andere Möglichkeit, Zufälligkeit einer endlichen Folge zu definieren, wurde von Solomonov (1964), Kolmogorov (1965) und Chaitin (1966, 1969) eingeführt und beruht auf der Berechenbarkeitstheorie.
Die Kolmogorov-Komplexität einer 0-1-Folge ist die Länge eines kürzesten
Programms für eine fest vorgegebene universelle Maschine, die gegebene Folge zu erzeugen.
Eine 0-1-Folge heißt dann (Kolmogorov-) zufällig, falls das kürzeste Programm in etwa dieselbe Länge wie die Folge hat (d.h. die Folge einzulesen
und auszugeben).33
Obwohl theoretisch interessant, ist dieser Zugang praktisch von geringer Bedeutung, da die Kolmogorov-Komplexität eine praktisch nicht zu berechnende Funktion ist.
4.8.d
Kryptographisch sichere Pseudozufallsfolgen
Der hier vorzustellende Ansatz, Pseudozufälligkeit in einer für die Kryptologie geeigneten Weise zu definieren, hat seine Wurzeln in der Komplexitätstheorie; er wurde in Arbeiten von Goldwasser/Micali, Blum/Micali und Yao
im Jahr 1982 begründet.
Grundidee: Die von einem 0-1-Folgen-Generator erzeugte Verteilung von 01-Folgen wird als pseudozufällig angesehen, wenn sie sich von der Gleichverteilung nicht durch einen effizienten Algorithmus unterscheiden lässt.
Effiziente Algorithmen sind Algorithmen, die polynomiale Zeitkomplexität
haben. Neben deterministischen polynomialen Algorithmen betrachten wir
auch probabilistische Algorithmen mit polynomialer Zeitkomplexität.
Probabilistische Algorithmen können bei gegebenem Input während der Berechnung des Outputs endlich oft Zufallswahlen (Münzwurf) ausführen, so
dass der nächste Schritt des Algorithmus vom Ausgang dieses Zufallsexperiments abhängt. Daher: Bei gleichem Input kann ein probabilistischer Algorithmus verschiedene Outputs liefern.
33
Vgl. dazu den ähnlichen Begriff der linearen Komplexität aus Kapitel 4.5; im Kolmogorov’schen Sinne sind also m-Folgen (die per Definition eine sehr kleine lineare Komplexität
haben) besonders nicht-zufällig.
110
Probabilistische Algorithmen mit polynomialer Zeitkomplexität sind solche,
für die die Anzahl der Schritte (jeder Münzwurf zählt als ein Schritt) durch
ein Polynom in der Länge des Inputs beschränkt ist.
Wir benötigen jetzt noch einige wahrscheinlichkeitstheoretische Bezeichnungsweisen.
Ist p eine Wahrscheinlichkeitsverteilung auf {0, 1}n , dem Raum der 0-1p
Folgen der Länge n, so bedeutet x ← {0, 1}n , dass Elemente x ∈ {0, 1}n
zufällig bezüglich der Wahrscheinlichkeitsverteilung p ausgewählt werden.
{0, 1}n mit der Gleichverteilung (p(x) = ( 21 )n ) bezeichnen wir mit Ωn und
schreiben x ← Ωn , wenn Elemente x zufällig und mit gleicher Wahrscheinlichkeit aus {0, 1}n ausgewählt werden.
Ist B: {0, 1}n → {0, 1}, p eine Wahrscheinlichkeitsverteilung auf {0, 1}n , so
schreiben wir
P
p
pr(B(x) = 1| x ← {0, 1}n ) für p({x ∈ {0, 1}n | B(x) = 1}) =
p(x).
x∈{0,1}n
B(x)=1
Also: pr(B(x) = 1| x ← Ωn ) =
|{x∈{0,1}n | B(x)=1}|
2n
Wir haben auch den Fall zu betrachten, dass B keine Funktion (bei uns
immer beschrieben durch einen deterministischen Algorithmus) sondern ein
probabilistischer Algorithmus ist.
P
p
In diesem Fall steht pr(B(x) = 1| x ← {0, 1}n ) für
p(x)·pr(B(x) = 1),
x∈{0,1}n
wobei pr(B(x) = 1) die Wahrscheinlichkeit angibt, dass B bei Input x den
Wert 1 ausgibt. Diese Wahrscheinlichkeit ist über die Gleichverteilung der
Zufallswahlen in B gegeben.
Hierzu ein Bemerkung: Bei gegebenem x kann die Anzahl der Zufallswahlen vom Ausgang vorheriger Zufallswahlen abhängen. Sie ist aber in jedem
Fall durch eine Konstante tx beschränkt. Indem ggf. Zufallswahlen zusätzlich
durchgeführt werden, die keinen Einfluss auf den Ablauf des Algorithmus
haben, wird die Gleichverteilung auf {0, 1}tx betrachtet.
Definition:
Ein kryptographisch sicherer Pseudozufallsfolgen-Generator ist ein deterministischer Algorithmus G mit einer Erweiterungsfunktion l : N → N (d.h.
l(n) > n für alle n), wobei für jedes n ∈ N gilt:
G : {0, 1}n → {0, 1}l(n) .
111
Dabei soll Folgendes gelten:
Für jeden probabilistischen polynomialen Algorithmus D, der für jede endliche 0-1-Folge als Input den Wert 0 oder 1 ausgibt, und jedes positive Polynom
P ∈ Z[x] (d.h. P (a) > 0, falls a > 0) gilt für genügend große n:
|pr(D(G(x)) = 1| x ← Ωn ) − pr(D(z) = 1| z ← Ωl(n) )| <
1
P (n)
Bedeutung:
• Der Pseudozufallsfolgen-Generator, beschrieben durch den deterministischen Algorithmus G, soll effizient sein, d.h. G ist polynomialer Algorithmus.
• Die Erweiterungsfunktion l beschreibt, dass der Algorithmus G aus 01-Folgen der Länge n (den ‘seeds’) 0-1-Folgen der (größeren) Länge l(n)
produziert. Beachte: l(n) ist polynomial beschränkt, da G deterministischer polynomialer Algorithmus.
• Ein Angreifer kann bei Einsatz eines beliebigen probabilistischen polynomialen Algorithmus D die von G erzeugte Verteilung G(Ωn ) auf
{0, 1}l(n) (bis auf einen vernachlässigbaren Rest) nicht von der Gleichverteilung auf {0, 1}l(n) , also Ωl(n) , unterscheiden.
Beachte: Natürlich sind G(Ωn ) und Ωl(n) Wahrscheinlichkeitsräume mit
unterschiedlicher Verteilung, denn G, als deterministischer Algorithmus, produziert aus den 2n vielen 0-1-Folgen in Ωn nur 2n viele 0-1Folgen der Länge l(n). Also haben 2l(n) − 2n viele 0-1-Folgen der Länge
l(n) unter der durch G erzeugten Wahrscheinlichkeitsverteilung Wahrscheinlichkeit 0. Dieser Unterschied lässt sich entsprechend der Def. mit
beschränkten Ressourcen (d.h. probabilistischem polynomialem Algorithmus) nicht (d.h. in nicht vernachlässigbarer Weise) aufklären. Mit
größerem Aufwand allerdings schon. Das wird als kryptologisch nicht
relevant angesehen.
• Die Algorithmen D können als statistische Tests aufgefasst werden,
die die Gleichverteilung auf Ωl(n) und die durch G(Ωn ) erzeugte Verteilung zu unterscheiden versuchen (falls sie als probabilistische Algorithmen mit polynomialer Laufzeit implementiert werden können; z.B.
X 2 -Tests).
112
• Die Bedingung für den vernachlässigbaren Rest ‘|pr(. . .) − pr(. . .)|
1
< P (n)
’ impliziert, dass diese Bedingung erhalten bleibt, wenn Unterscheidungsversuche mit D mit ‘vertretbarem’ Aufwand (d.h. polynomial oft) wiederholt werden.
Kryptographisch sichere Pseudozufallsfolgen-Generatoren im obigen Sinne
können auch auf andere Weise charakterisiert werden.
Sei dazu G ein deterministischer polynomialer Algorithmus mit Erweiterungsfunktion l : N → N , der aus 0-1-Folgen der Länge n 0-1-Folgen der
Länge l(n) erzeugt.
Für eine 0-1-Folge x, sei G(x)i das i-te Bit der 0-1-Folge G(x).
Definition:
G besteht alle next-bit-Tests, falls für jeden probabilistischen polynomialen
Algorithmus A, der für jede endliche 0-1-Folge als Input den Wert 0 oder 1
ausgibt, und jedes positive Polynom P ∈ Z[x] für alle genügend großen n
gilt:
pr(A(G(x)1 G(x)2 . . . G(x)i ) = G(x)i+1 |x ← Ωn ) ≤
1
1
+
2 P (n)
für alle 0 ≤ i < l(n).
Bedeutung:
• Der Algorithmus A versucht aus der Kenntnis der ersten i Bits der
Folge G(x) das (i + 1)-te Bit von G(x) vorauszusagen.
∧
• G besteht alle next-bit-Tests, wenn mit vertretbarem Aufwand (= polynomialem probabilistischem Algorithmus) das nächste Bit i.w. nicht
besser bestimmt werden kann als durch Münzwurf (Wahrscheinlichkeit
1
).
2
113
Satz (Yao, 1982)
Genau dann ist G ein krytographisch sicherer Pseudozufallsfolgen-Generator,
wenn G alle next-bit-Tests besteht.
Beweisidee:
=⇒ :
Wenn G nicht alle next-bit-Tests besteht, so gibt es einen probabilistischen
Algorithmus A, ein positives Polynom Q und eine unendliche Teilmenge K
von N, so dass A für jedes n ∈ K für jeweils eine Position in < l(n) aus der
Kenntnis von G(x)1 , . . . G(x)in das nächste Bit G(x)in +1 mit Wahrscheinlich1
keit > 12 + Q(n)
voraussagen kann. Bei zufälliger Wahl einer Folge aus Ωl(n)
lässt sich deren (in + 1)-tes Bit aber nicht mit Wahrscheinlichkeit > 21 voraussagen.
Definiere einen probabilistischen
polynomialen Algorithmus D durch
1, falls A(z1 , . . . zin ) = zin +1
D(z1 , . . . zl(n) ) =
0, sonst
für (z1 , . . . zl(n) ) ∈ {0, 1}l(n) , n ∈ K. (Für alle übrigen Längen von {0, 1}Folgen kann man z.B. D(z1 , . . . zm ) = 0 definieren.)
Dann ist anschaulich klar (und kann mit etwas Rechnung auch präzise nachgewiesen werden), dass mit diesem D die Bedingung eines kryptographisch
sicheren Pseudozufallsfolgen-Generators verletzt ist.
⇐= :
Ang., G ist kein kryptographisch sicherer Pseudozufallsfolgen-Generator. Dann
existiert ein probabilistischer polynomialer Algorithmus D, ein positives Polynom Q(x) und eine unendliche Teilmenge K von N, so dass
1
| pr(D(G(x)) = 1 | x ←− Ωn ) − pr(D(z)) = 1 | z ←− Ωl(n) | ≥ Q(n)
für
alle n ∈ K.
Sei pi die Gleichverteilung auf {0, 1}i , d.h. ({0, 1}i , pi ) = Ωi . Für jedes n ∈ K
definieren wir jetzt Wahrscheinlichkeitsverteilungen p̃0 , . . . p̃l(n) auf {0, 1}l(n)
in folgender Weise:
p̃0 ((b1 , . . . bl(n) )) = pl(n) ((b1 , . . . bl(n) )) =
1
2l(n)
p̃1 ((b1 , . . . bl(n) )) = pr(G(x)1 = b1 |x ← Ωn ) · pl(n)−1 (b2 , . . . bl(n) ))
p̃2 ((b1 , . . . bl(n) )) = pr(G(x)1 = b1 , G(x)2 = b2 |x ← Ωn ) · pl(n)−2 ((b3 , . . . bl(n) ))
..
.
p̃l(n) ((b1 , . . . bl(n) )) = pr(G(x)1 = b1 , . . . G(x)l(n) = bl(n) |x ← Ωn )
Also: p̃0 Gleichverteilung auf {0, 1}l(n) , p̃l(n) die durch G(Ωn ) erzeugte Verteilung auf {0, 1}l(n) . D kann p̃0 und p̃l(n) unterscheiden (im obigen Sinne).
114
Sei pr(D(G(x)) = 1 | x ←− Ωn ) ≥ pr(D(z) = 1 | z ←− Ωl(n) ) (ansonsten
betrachte man im Folgenden die umgekehrten Differenzen).
Man sieht dann leicht, dass
pr(D(G(x)) = 1 | x ←− Ωn ) − pr(D(z) = 1 | z ←− Ωl(n) ) =
Pl(n)−1
p̃j
p̃j+1
(pr(D(z) = 1 | z ←− {0, 1}l(n) ) − pr(D(z) = 1 | z ←− {0, 1}l(n) )).
j=0
Also existiert zu jedem n ∈ K ein in , 0 ≤ in < l(n), mit
p̃i
p̃i
n
n
{0, 1}l(n) )| ≥
{0, 1}l(n) ) − pr(D(z) = 1 | z ←−
| pr(D(z) = 1 | z ←−
1
.
Q(n)l(n)
Beachte, dass l(n) durch ein positives Polynom nach oben beschränkt ist, da
G ein polynomialer Algorithmus ist.
Es folgt, dass D für z = (G(x)1 , . . . G(x)in , b, bin +2 , . . . bl(n) ) mit b = G(x)in +1
den Wert 1 mit nicht-vernachlässigbarer höherer Wahrscheinlichkeit liefert,
als wenn b zufällig (mit Wahrscheinlichkeit 21 ) gewählt wird.
Damit kann man dann aus D leicht einen probabilistischen polynomialen
Algorithmus A konstruieren, so dass G den next-bit-Test bzgl. dieses Algorithmus nicht besteht.34
+1
Offen bleibt die Frage: Gibt es kryptographisch sichere PseudozufallsfolgenGeneratoren? Damit beschäftigen wir uns in den nächsten beiden Abschnitten.
4.9
Kryptographisch sichere Pseudozufallszahlen-Generatoren und Einwegfunktionen
Einwegfunktionen sind Funktionen, die leicht zu berechnen, aber schwierig
zu invertieren sind.
Def.: Eine Funktion f : {0, 1}∗ → {0, 1}∗ heißt Einwegfunktion, falls gilt:
1) Es existiert ein deterministischer polynomialer Algorithmus F , der bei
Input x ∈ {0, 1}∗ den Wert f (x) ausgibt (d.h. F (x) = f (x)).
2) Für jeden probabilistischen polynomialen Algorithmus A und jedes positive Polynom P ∈ Z[x] gilt für alle genügend großen n:
pr(A(f (x), 1n ) ∈
34
1
f −1 (f (x)) |x ← Ωn ) <
| {z }
P (n)
Urbild von f (x)
Ausführlicher Beweis bei Delfs, Knebl, Introduction to Cryptography [13], Goldreich,
Foundations of Cryptography [16] oder Stinson, Cryptography-Theory and Practice [30]
115
Bemerkung: Der Hilfs-Input 1n bei A, der die Länge des gewünschten Urbilds
angibt, dient dazu, gewisse Funktionen als Einwegfunktionen auszuschließen.
Ausgeschlossen werden solche Funktionen f , bei denen die Länge von f (x) so
drastisch gesenkt wird, dass A keine Chance hat, ein Urbild in polynomialer
Zeit in der Größe des Inputs f (x) auszugeben.
Bsp:
x ∈ {0, 1}n , f (x) = Binärdarstellung von n (der Länge von x)
Dann f (x) ∈ {0, 1}⌈log2 n⌉
Kein polynomialer Algorithmus kann f (x) invertieren; aber natürlich kann
man in polynomialer Zeit in n ein Urbild zu f (x) ∈ {0, 1}⌈log2 n⌉ hinschreiben,
z.B. 0 . . . 0.
←n→
Einer der wichtigsten Sätze der komplexitätstheoretisch orientierten Kryptologie, der frühere Ergebnisse von Blum/Micali, Yao, Goldreich/Krawcyk/
Luby verallgemeinert, ist der Folgende:
Satz (Håstad, Impagliazzo, Levin, Luby; 1999)
Genau dann existieren kryptographisch sichere Pseudozufallsfolgen-Generatoren, wenn Einwegfunktionen existieren.
Der Beweis dieses Satzes ist kompliziert, vor allem die Richtung, wie man aus
Einwegfunktionen kryptographisch sichere Pseudozufallsfolgen-Generatoren
gewinnt.
Wir beschreiben einige wesentliche Punkte:
1) Kryptographisch sichere Pseudozufallsfolgen-Generatoren ⇒ Einwegfunktionen:
Wir nehmen der Einfachheit halber an, dass G ein kryptographisch
sicherer Pseudozufallsfolgen-Generator ist mit Erweiterungsfunktion
l(n) = 2n.
S
S
Dann definiert man eine Funktion f :
{0, 1}2n →
{0, 1}2n
n∈
N
n∈
N
n
durch f (x, y) = G(x) für x, y ∈ {0, 1} .
Dann erfüllt f die Bedingung einer Einwegfunktion:
Polynomiale Berechenbarkeit folgt aus der von G.
Ang. f ist keine Einwegfunktion. Dann existiert probabilistischer polynomialer Algorithmus und positives Polynom Q, so dass
pr(A(f (x), 12n ) ∈ f −1 (f (x))| x ← Ω2n ) >
116
1
Q(2n)
für unendlich viele n.
Man benötigt jetzt einen probabilistischen polynomialen Algorithmus
D, der Ω2n und G(Ωn ) ‘unterscheidet’.
Bei Eingabe von α ∈ {0, 1}2n nutzt D den Algorithmus A. D gibt 1
aus, falls A ein Urbild von F zu α findet, sonst 0.
Wegen f (Ω2n ) = G(Ωn ) [denn für β ∈ {0, 1}2n ist
|{α ∈ {0, 1}2n |f (α) = β}| = 2n · |{γ ∈ {0, 1}n |G(γ) = β}|] ist
pr(D(G(x)) = 1|x ← Ωn ) =
pr(D(f (z)) = 1|z ← Ω2n ) =
pr(A(f (z), 12n ) ∈ f −1 (f (z))|z ← Ω2n ) >
1
Q(2n)
für unendlich viele n.
Andererseits gibt es nur maximal 2n viele Elemente in {0, 1}2n , die
Urbilder unter f haben können (denn G hat nur 2n viele Bilder in
{0, 1}2n ); also wird D nur bei maximal 2n vielen Elementen aus {0, 1}2n
n
Wert 1 ausgeben. Also pr(D(z) = 1| z ← Ω2n ) ≤ 222n = 21n
Damit: pr(D(G(x)) = 1| x ← Ωn ) − pr(D(z) = 1| z ← Ω2n )
≥
1
Q(2n)
−
1
2n
≥
1
2Q(2n)
für unendlich viele n, Widerspruch.
Man kann schließlich mit einfachen Techniken, auf die hier nicht eingegangen wird, aus f eine Funktion f ′ : {0, 1}∗ → {0, 1}∗ konstruieren,
die eine Einwegfunktion ist.35
2) Einwegfunktionen ⇒ kryptographisch sichere Pseudozufalls-Generatoren:
Zunächst Begriff des Hard-Core-Prädikats einer Einwegfunktion.
Bei einer Einwegfunktion f ist es nicht immer möglich ein Urbild x
aus y = f (x) mit einem effizienten Algorithmus zu bestimmen. Dennoch tritt oft der Fall auf, dass einzelne Bits von x leicht zu berechnen
sind. (Z.B. g Einwegfunktion; für x = (x1 , . . . , xn ) sei f (x, xn+1 ) =
(g(x), xn+1 ). Dann f Einweg, aber xn+1 leicht zu bestimmen.) Andererseits sollte es bei einer Einwegfunktion einzelne Bits von x oder,
allgemeiner, Eigenschaften von x, die als Boolesche Prädikate formuliert werden können, geben, die sehr schwierig zu bestimmen sind. Dies
ist die Idee der Hard-Core-Prädikate.
Def.:
Sei b : {0, 1}∗ → {0, 1} durch einen deterministischen polynomialen
Algorithmus berechenbar. b heißt Hard-Core-Prädikat einer Funktion
f : {0, 1}∗ → {0, 1}∗ , falls für jeden probabilistischen polynomialen
35
s. Goldreich [16], S. 36ff.
117
Algorithmus A (Input Elemente aus {0, 1}∗ , Output 0 oder 1) und
jedes positive Polynom P für alle genügend großen n gilt:
pr(A(f (x)) = b(x)| x ← Ωn ) ≤
1
1
+
2 P (n)
Bedeutung:
• Beachte zunächst:
Die Bedingung pr(A(f (x)) = b(x)| x ← Ωn ) ≤ 21 + P (n) und die
entsprechende Bedingung für den Algorithmus A′ = 1 + A implizieren, dass |pr(b(x) = 0| x ← Ωn ) − pr(b(x) = 1| x ← Ωn )|
vernachlässigbar klein ist, d.h. b verhält sich fast wie Münzwurf
auf Ωn .
Daher besagt die Bedeutung von Hard-Core-Prädikaten, dass die
Bestimmung von b(x) aus f (x) durch einen effizienten Algorithmus bis auf einen vernachlässigbaren Rest nicht besser ist als b(x)
durch Münzwurf zu ‘raten’.
• Für die Existenz eines Hard-Core-Prädikats kann es zwei Gründe
geben:
(a) Informationsverlust von f (d.h. f ist nicht injektiv)
z.B. f (z1 . . . zn ) = 0z2 . . . zn , b(z1 , . . . zn ) = z1
(b) f ist Einwegfunktion
Wir sind am zweiten Fall interessiert.
Es gilt nun:
Satz (Goldreich, Levin; 1989)
Sei f : {0, 1}∗S→ {0, 1}∗ eine Einwegfunktion.
Definiere g :
{0, 1}2n → {0, 1}∗ durch g(x, y) = (f (x), y), x, y ∈ {0, 1}n .
n∈N
P
Ist x = (x1 , . . . xn ), y = (y1 , . . . yn ), so sei b(x, y) = xi yi mod 2.
Dann ist g eine Einwegfunktion und b ist ein Hard-Core-Prädikat für g.36
[Es ist nicht schwierig, aus g eine Einwegfunktion g̃ : {0, 1}∗ → {0, 1}∗ zu
konstruieren, die ein Hard-Core-Prädikat besitzt.]
Wir können also annehmen, dass wir eine Einwegfunktion mit Hard-CorePrädikat b vorliegen haben.
36
s. Goldreich [16], S. 66 ff.
118
Wir beschreiben die Konstruktion eines kryptographisch sicheren Zufallszahlen-Generators jetzt nur für den Fall, dass f eine bijektive und längenerhaltende (d.h. x ∈ {0, 1}n ⇒ f (x) ∈ {0, 1}n für alle n ∈ N) Einwegfunktion
ist.
Sei l ein Polynom mit l(n) > n für alle n.
Definiere G auf folgende Weise: Sei s0 ∈ {0, 1}n (seed ).
Für j = 1, . . . l(n) : sj = f (sj−1 ), σj = b(sj )
G(s0 ) = σ1 σ2 . . . σl(n) ∈ {0, 1}l(n)
Dann ist G kryptographisch sicherer Zufallsfolgen-Generator.
Dazu zeigt man, dass G alle next-bit-Tests besteht (hier von rechts nach
links!). Dies ist einsichtig: Kann man b(si ) aus b(si+1 ), . . . b(sl(n) ) vorhersagen
1
(mit Wahrscheinlichkeit > 21 + Q(n)
), so kann man b(si ) aus f (si ) vorhersagen
(denn f (si ) = si+1 , . . . f (sl(n)−1 ) = sl(n) sind aus f (si ) berechenbar, und daher
erhält man b(si+1 ), . . . b(sl(n) )). Dies widerspricht aber der Tatsache, dass b
ein Hard-Core-Prädikat für f ist.
Die Behauptung folgt dann mit dem Satz von Yao (siehe Kapitel 4.8).37
4.10
Die Frage nach der Existenz von Einwegfunktionen
Es bleibt die Frage, ob Einwegfunktionen existieren. Dies ist nicht bekannt.
Eine notwendige Bedingung für die Existenz von Einwegfunktionen ist P 6=
N P . (Ob dies gilt, ist eines der berühmtesten offenen Probleme der Komplexitätstheorie.)
Sei nämlich f eine polynomial berechenbare Funktion. Dann kann man in
polynomialer Zeit entscheiden, ob für gegebene x und y gilt: f (x) = y. Ist
also P = N P , so lässt sich jede polynomial berechenbare Funktion auch in
polynomialer Zeit invertieren.
Tatsächlich ist bei unserer Definition von Einwegfunktionen, in der die Invertierung (bis auf einen vernachlässigbaren Rest) auch durch probabilistische
polynomiale Algorithmen unmöglich sein muss, sogar eine weitergehende Bedingung notwendig, nämlich N P * BP P .
BP P steht für Bounded-Probability Polynomial Time.
BP P ist die Klasse aller Sprachen, die von einer probabilistischen, polyno37
Details zum Beweis: Goldreich [16], S. 128 ff.
119
mial laufzeitbeschränkten Turing-Maschine M (also von einem polynomial
probabilistischen Algorithmus) erkannt werden. Dies bedeutet:
Für alle x ∈ L : pr[M (x) = 1] ≥
2
3
Für alle x 6∈ L : pr[M (x) = 0] ≥
2
3
(bounded: Wahrscheinlichkeit wegbeschränkt von 12 )
Äquivalent:
1
, |x| = Länge von x.
Ersetze 32 durch 1 − 2|x|
1
(sogar 1 − 2p(|x|) , p positives Polynom)
Klar: P ⊆ BP P .
Also: N P * BP P ⇒ N P 6= P . Nicht bekannt ist auch, ob BP P ⊆ N P .
Die obige Forderung verbietet die umgekehrte Inklusion.
P 6= N P bedeutet nur, dass es N P -Probleme gibt, die Instanzen besitzen,
die nicht effizient (deterministisch) lösbar sind (worst case).
Wir benötigen Funktionen, die im Durchschnitt nicht effizient zu invertieren
sind. Aber auch bei Annahme von N P * BP P ist nicht bekannt, ob daraus
die Existenz von Einwegfunktionen folgt. Im nächsten Kapitel werden wir
Kandidaten für Einwegfunktionen kennenlernen.
120
5
Public-Key-Kryptographie
5.1
Die Grundidee
Die Idee für Public-Key-Kryptographie stammt von W. Diffie und M.E. Hellman, dargelegt in der berühmten Arbeit New Directions in Cryptography.38
In einem Public-Key-Verschlüsselungssystem gibt es keinen gemeinsamen geheimen Schlüssel, der von zwei Kommunikationspartnern (Alice und Bob)
benutzt wird (wie bei den symmetrischen Verfahren).
Stattdessen: Jeder Teilnehmer B hat ein Paar von Schlüsseln:
• geheimer Schlüssel (private key) GB
• öffentlicher Schlüssel (public key) PB
GB ist nur B bekannt, PB wird öffentlich gemacht. Zu jedem öffentlichen
Schlüssel PB gehört eine Verschlüsselungsfunktion EPB (= E(., PB )). Diese
ist auch öffentlich bekannt.
Will Alice (A) an Bob (B) eine Nachricht m senden, so verschlüsselt Alice
die Nachricht m mit Bobs öffentlichem Schlüssel
m → EPB (m) =: c
und sendet c an Bob.
Ein solches System kann nur sicher sein, wenn zwei Bedingungen erfüllt sind:
1) m darf mit realistischem Aufwand nicht aus EPB berechenbar sein: EPB
ist eine injektive Einwegfunktion. (EPB soll natürlich effizient berechenbar sein.)
2) B muss m aus c = EPB (m) effizient berechnen können. Dies gelingt mit
Hilfe seines geheimen Schlüssels GB . Diese Zusatzinformation ermöglicht
eine effiziente Entschlüsselung m = DGB (c) (= EP−1
(c)).
B
Injektive Einwegfunktionen, die mit einer Zusatzinformation effizient zu invertieren sind, heißen Falltürfunktionen (trapdoor function). Bedingungen 1)
und 2) implizieren:
38
in IEEE Transactions on Information Theory, IT-22, pp. 644-654, 1976 [14]
121
3) GB darf aus PB nicht effizient berechenbar sein.
Nach 4.10 ist nicht bekannt, ob Einwegfunktionen existieren; dies gilt umso
mehr für Falltürfunktionen.
Dennoch gibt es einige Klassen von Funktionen, die als Kandidaten für
Falltürfunktionen angesehen werden, da bis heute kein (probabilistischer) polynomialer Algorithmus zur Invertierung (in einer nicht vernachlässigbaren
Anzahl von Fällen) bekannt ist.
Die wichtigsten zwei Klassen solcher Funktionen und die darauf fußenden
Public-Key-Verfahren werden wir im Folgenden besprechen.
5.2
Modulare Potenzen und das RSA-Verfahren
1977 stellten R. Rivest, A. Shamir und L. Adleman ein Public-Key-Verfahren
(RSA-Verfahren) vor,39 das bis heute zu den populärsten Public-Key-Verfahren gehört. Es beruht auf folgender Funktionenklasse, die zur Verschlüsselung
verwendet wird:
Sei n das Produkt zweier verschiedener Primzahlen p und q und sei e teilerfremd zu ϕ(n).
Zn → Zn RSA-Funktionen (Z = Z/nZ Ring)
Def. RSAe :=
n
x 7→ xe
Satz:
Unter den obigen Voraussetzungen an n und e ist RSAe eine bijektive Funktion, d.h. eine Permutation auf Zn . Die inverse Abbildung zu RSAe ist gegeben durch RSAd , wobei d (eindeutig) bestimmt ist durch 0 < d < ϕ(n) und
ed ≡ 1 mod ϕ(n).
Beweis:
Sei m irgendeine natürliche Zahl. Wie in 2.3.a beschrieben wurde, sind die
Einheiten von Zm = Z/mZ, also die bezüglich der Multiplikation invertierbaren Elemente, gerade die a + mZ mit ggT(a, m) = 1.
Für m = ϕ(n) folgt also wegen ggT(e, ϕ(n)) = 1, dass es ein d + ϕ(n)Z gibt
mit ed + ϕ(n)Z = (e + ϕ(n)Z)(d + ϕ(n)Z) = 1 + ϕ(n)Z, d.h. ed ≡ 1 mod ϕ(n).
Dabei kann man 0 < d < ϕ(n) wählen und d ist dann eindeutig bestimmt.
39
erschienen im Aufsatz On Digital Signatures and Public Key Cryptosystems [2]
122
Beachte: ggT(d, ϕ(n)) = 1, da auch d + ϕ(n)Z invertierbar ist. Also existiert
RSAd .
Wir haben zu zeigen: RSAe ist bijektiv und RSA−1
e = RSAd .
ed
Dazu haben wir zu zeigen: x = x für alle x ∈ Zn .
Sei zunächst x ∈ Z∗n . Z∗n hat Ordnung ϕ(n) (s.o.).
Der Satz von Euler besagt: xϕ(n) = 1 (in Zn ).
(Dies lässt sich leicht direkt beweisen oder aus folgender einfachen Konsequenz des Satzes von Lagrange ablesen: Ist G eine endliche Gruppe, g ∈ G,
so g |G| = 1. Die Ordnung von g teilt |G|.40 )
Da ed ≡ 1 mod ϕ(n), d.h. ed = 1 + kϕ(n) für ein k ∈ N0 ,
folgt xed = x1+kϕ(n) = x · (xϕ(n) )k = x.
Sei nun x 6∈ Z∗n , d.h. x = a + nZ, ggT(a, n) 6= 1. Da n = pq, folgt p | a oder
q | a. Falls pq | a, so x = 0 und trivialerweise xed = x.
Es gelte: p | a, q ∤ a. a ≡ 0 mod p, also aed ≡ 0 ≡ a mod p.
Es ist ϕ(n) = ϕ(pq) = (p − 1)(q − 1).
Es ist aq−1 ≡ 1 mod q (|Z∗q | = q − 1).
Aus ed = 1 + kϕ(n) = 1 + k(p − 1)(q − 1) folgt damit
aed = a1+k(p−1)(q−1) ≡ a mod q. Da p, q verschiedene Primzahlen sind, ist
aed ≡ a mod n, d.h. xed = x. Der Fall p ∤ a, q | a folgt analog.
Bemerkung:
RSA-Funktionen sind effizient zu berechnen. Man berechnet ae mod n mit
der Methode der iterierten Quadrierung:
Schreibe e in Binärdarstellung. Sei l = ⌊log2 e⌋ + 1, d.h. e ist l-Bit-Zahl,
e = 2l−1 el−1 + . . . + 20 e0 (ei ∈ {0, 1}, el−1 = 1)
= (. . . ((2el−1 + el−2 ) · 2 + el−3 ) · 2 + . . . + e1 ) · 2 + e0
ae = ((. . . ((a2 · ael−2 )2 · ael−3 )2 . . .)2 · ae1 )2 · ae0
Also kann ae in l − 1 Schritten berechnet werden. Jeder Schritt besteht aus
einer Quadrierung und gegebenenfalls einer weiteren Multiplikation. Zur Berechnung von ae mod n nimmt man nach jeder Quadrierung und ggf. Multiplikation den Rest modulo n.
40
siehe z.B. 2.11 in Buchmann, Einführung in die Kryptographie [9]
123
RSA-Verfahren:
1) Schlüsselerzeugung:
a) Wähle große Primzahlen p, q, p 6= q und berechne n = p · q.
b) Wähle e mit ggT(e, ϕ(n)) = 1.
öffentlicher Schlüssel: P = (n, e)
c) Berechne d mit 0 < d < ϕ(n) und ed ≡ 1 mod ϕ(n).
Geheimer Schlüssel: G = (n, d)
(p, q und ϕ(n) werden ebenfalls geheimgehalten, besser gelöscht. Nach
Bestimmung von e und d werden sie nicht mehr benötigt.)
2) Verschlüsselung:
Wir verschlüsseln alle Zahlen m mit 0 ≤ m < n (andere Form später).
Der Klartext m wird mit dem öffentlichem Schlüssel (n, e) mit Hilfe
der RSAe -Funktion verschlüsselt:
c = me mod n
(Jeder, der den öffentlichen Schlüssel eines Teilnehmers kennt, kann
diesem eine verschlüsselte Nachricht senden.)
3) Entschlüsselung:
Entschlüsselung mit dem geheimen Schlüssel (n, d) und der RSAd Funktion:
m = cd mod n
Korrektheit der Entschlüsselung auf Grund des vorangegangenen
Satzes.
Wie werden p, q, e und d bestimmt?
1) Bestimmung von p und q. Hierzu mehr im Abschnitt 5.5.
2) Wahl von e:
In der Praxis wird e häufig als kleine Zahl gewählt, damit die Verschlüsselung besonders effizient möglich ist. Wegen ggT(e, ϕ(n)) = 1
und ϕ(n) = (p − 1)(q − 1), muss e ungerade sein.
Bei Wahl von e = 3 ist z.B. zur Berechnung von me mod n eine Quadrierung und eine Multiplikation modulo n durchzuführen. Sehr kleine Exponenten e bergen aber gewisse Sicherheitsrisiken (dazu später
mehr).
124
Daher werden auch gelegentlich Exponenten e der Form 2k + 1 verwendet. Hier sind zur Berechnung von me mod n nur k Quadrierungen
und eine Multiplikation modulo n erforderlich. Eine typische Wahl ist
e = 216 + 1 = 65537 (Primzahl).
3) Bestimmung von d:
d wird mit Hilfe des erweiterten Euklidischen Algorithmus aus e und
ϕ(n) bestimmt.
Beachte: ϕ(n) = (p − 1)(q − 1) ist bei Kenntnis von p und q leicht zu
berechnen.
(ggT(e, ϕ(n)) = 1. Erweiterter Euklidischer Algorithmus (s.u.) liefert
s, t ∈ Z mit es + ϕ(n)t = 1. Sei s = d + ϕ(n) · u, 0 ≤ d < ϕ(n). Dann
ed = es − ϕ(n)eu = 1 − ϕ(n)(eu − t) ≡ 1 mod ϕ(n))
Erweiterter Euklidischer Algorithmus
Gegeben: natürliche Zahlen a und b, a > b.
Zu bestimmen: g = ggT(a, b) und ganze Zahlen u, v mit g = au + bv.
Bezeichnung: Sind x und y natürliche Zahlen, x = sy +r, 0 ≤ r < y (Division
mit Rest), so ist s = x div y und r = x mod y.
1 0
a
x
, A=
=
(1) Setze
0 1
b
y
(2) Solange y 6= 0, wiederhole:
0
1
Setze A = A ·
1 −(x div y)
y
x
=
Setze
x mod y
y
1
u
=A·
(3) Setze g = x und
0
v
Dann g = ggT(a, b) = au + bv.
125
Beispiel zur RSA-Verschüsselung:
p = 13, q = 23 (unrealistisch klein), n = pq = 299, ϕ(n) = 12 · 22 = 264 =
8 · 3 · 11, e = 5 (kleinstmögliches e); öffentlicher Schlüssel (n, e) = (299, 5).
Bestimmung von d mit ed ≡ 1 mod ϕ(n).
Erweiterter Euklidischer Algorithmus mit ϕ(n) = 264 und e = 5:
x y A
1 0
264 5
(264 = 52 · 5 + 4)
0 1 0 1
5 4
(5 = 4 · 1 + 1)
1 −52 0 1
0 1
1 −1
·
=
4 1
(4 = 4 · 1 + 0)
−52 53 1 −52 1 −1 0 1
1 −1
−1
5
·
=
1 0
1 −4
−52 53
53 −264
1 =ggT(264, 5) = 264 · (−1) + 5 · 53, d = 53 (ed = 5 · 53 ≡ 1 mod 264)
Geheimer Schlüssel (n, d) = (299, 53)
Der Klartext sei m = 212.
Zur Verschlüsselung muss man m5 mod 299 berechnen.
2122 ≡ 44944 ≡ 94 mod 299
2124 ≡ 942 ≡ 8836 ≡ 165 mod 299
2125 ≡ 165 · 212 ≡ 34980 ≡ 296 mod 299
Verschlüsselter Text ist c = 296.
Zur Entschlüsselung wird c53 mod 299 berechnet.
53 = 25 + 24 + 22 + 20 , daher 29653 = ((((2962 · 296)2 )2 · 296)2 )2 · 296
2962 ≡ (−3)2 ≡ 9 mod 299
2962 · 296 ≡ 9 · (−3) ≡ −27 mod 299
(−27)2 ≡ 729 ≡ 131 mod 299
(−27)4 ≡ 1312 ≡ 17161 ≡ 118 mod 299
(−27)4 · 296 ≡ 118 · (−3) ≡ −354 ≡ 244 mod 299
2442 ≡ (−55)2 ≡ 3025 ≡ 35 mod 299
2444 ≡ 352 ≡ 29 mod 299
29 · 296 ≡ 8584 ≡ 212 mod 299
Die Entschlüsselung liefert also wieder den Klartext m = 212.
126
Realisierung der RSA-Verschlüsselung in Blockchiffren-ähnlicher Weise
Das zugrundeliegende Klartextalphabet Σ bestehe aus N Zeichen. Diesen
werden die Zahlen 0, 1, . . . N − 1 zugeordnet.
Sei (n, e) der öffentliche Schlüssel des Teilnehmers B.
Setze k = ⌊logN n⌋.
Ein Klartext (mit Zeichen in 0, 1, . . . N − 1) wird in Blöcke der Länge k
aufgeteilt, die einzeln verschlüsselt werden:
m1 , . . . mk sei ein solcher Block.
k
P
mi N k−i . (N -adische Zahldarstellung)
Bilde m =
i=1
Dann: 0 ≤ m ≤ (N − 1)
k
P
i=1
N k−i = N k − 1 < n
m wird verschlüsselt zu c = me mod n.
Schreibe Zahl c wieder zur Basis N . Die N -adische Darstellung von c kann
Länge k + 1 haben (wenn N k ≤ c < n).
Schlüsselblock ist dann c = c0 c1 . . . ck , 0 ≤ ci ≤ N − 1. Das RSA-Verfahren
bildet dann Blöcke der Länge k injektiv auf Blöcke der Länge k + 1 ab.
In dieser Form kann man das Verfahren wie eine Blockchiffre im ECB-Mode
oder im CBC-Mode (mit leichter Modifikation) anwenden.
Bsp:
P
= { 0, a, b, c }
↓ ↓ ↓ ↓
0 1 2 3
n = 299, e = 5, d = 53
N = 4, k = ⌊log4 299⌋ = 4
Zu verschlüsselnder Klartextblock: caa0 → 3110
m = 3 · 43 + 1 · 42 + 1 · 4 + 0 · 1 = 192 + 16 + 4 = 212
Verschlüsselung: 2125 mod 299. Also c = 296 (siehe voriges Beispiel)
296 = 1 · 44 + 0 · 43 + 2 · 42 + 2 · 41 + 0 · 40
Also Schlüsseltextblock: a0bb0
127
5.3
Sicherheit des RSA-Verfahrens
a) Die Sicherheit des RSA-Verfahrens beruht auf der Annahme, dass die
Funktionen RSAe : Zn → Zn Einwegfunktionen sind. Dies ist für manche Wahlen von n = p · q nicht der Fall (siehe später). Daher wird die
Einwegfunktionsannahme nicht für eine spezielle RSA-Funktion, sondern für die gesamte Familie gemacht:
Sei Ik = {(n, e)|n = p · q, p 6= q Primzahlen, 0 < e < ϕ(n),
ggT(e, ϕ(n)) = 1, |n| = k}
Sei P (x) ∈ Z[x] ein positives Polynom und A(n, e, y) ein polynomialer
probabilistischer Algorithmus.
Dann existiert k0 ∈ N, so dass
∗
pr(A(n, e, y) = RSA−1
e (y) | (n, e) ← Ik , y ← Zn ) ≤
1
Q(k)
für alle k ≥ k0 .
Dabei ist die Gleichverteilung auf Ik und auf Z∗n angenommen, bezüglich
derer (n, e) bzw. y zufällig ausgewählt werden. Dies nennt man die
RSA-Annahme. (Unter dieser Annahme kann man zeigen, dass das
niedrigste Bit von x ein Hard-Core-Prädikat für RSAe (x) ist.)
Wir werden im Folgenden einige Gründe für die RSA-Annahme benennen und außerdem einige Sicherheitsvorkehrungen bei der Wahl von
p, q uns e für praktische Anwendungen beschreiben.
b) Klar ist, dass die RSAe -Funktionen leicht zu invertieren ist, wenn man
den geheimen Schlüssel d kennt. Unbekannt ist, ob man zur effizienten
Invertierung von RSAe tatsächlich d benötigt.
c) Es gilt:
Satz:
Gibt es für eines der folgenden Probleme einen polynomialen (probabilistischen) Algorithmus, so auch für jedes der anderen:
Gegeben: (n, e), 0 < e < ϕ(n), ggT(e, ϕ(n)) = 1 (n = p · q)
(1) Bestimme Faktorisierung von n.
(2) Bestimme ϕ(n).
(3) Bestimme d mit ed ≡ 1 mod ϕ(n).
Beweis:
(1) ⇒ (2) Sind p, q mit n = p · q bekannt, so ϕ(n) = (p − 1)(q − 1).
(2) ⇒ (3) Sind ϕ(n), e bekannt, so bestimmt man mit dem Erweiterten
128
Euklidischen Algorithmus d.
(3) ⇒ (1) Hierzu geht man folgendermaßen vor:
Sei 2s die größte Zweierpotenz, die ed − 1 teilt, und k =
ed − 1
.
2s
Ist dann a ∈ N, ggT(a, n) = 1, d.h. a + nZ ∈ Z∗n ,
so ist o(ak + nZ) ∈ {2i |0 ≤ i ≤ s},
s
denn (ak )2 + nZ = aed−1 + nZ = 1 + nZ,
da ed − 1 ≡ 0 mod ϕ(n) (vgl. Punkt 2) auf Seite 130 ( Ordnungen von
”
Elementen endlicher Gruppen“).
Für ein solches a ist natürlich auch a + pZ ∈ Z∗p und a + q Z ∈ Z∗q .
Ang. o(ak + pZ) 6= o(ak + q Z), o.E. o(ak + pZ) > o(ak + q Z). Auch
die Ordnungen von ak + pZ bzw. ak + q Z liegen in {2i |0 ≤ i ≤ s}. Sei
t
t
o(ak + q Z) = 2t . Dann t < s und ak·2 ≡ 1 mod q, aber ak·2 6≡ 1 mod p;
t
daher ggT(a2 k − 1, n) = q.
Um also n zu faktorisieren, wählt man zufällig und gleichverteilt
a ∈ {1, . . . n − 1} und berechnet g=ggT(a, n).
Ist g > 1, so ist g ein echter Teiler von n, fertig.
t
Ist g = 1, so berechne ggT(a2 k − 1, n) t = 0 . . . s − 1.
Findet man dabei einen Teiler von n, so fertig; wenn nicht, wählt man
ein neues a.
Wir werden gleich im Anschluss zeigen, dass gilt:
|{a|a ∈ {0, . . . n−1}, ggT(a, n) = 1, o(ak +pZ) 6= o(ak +q Z)}| ≥
(p−1)(q−1)
2
Daher ist die Wahrscheinlichkeit, ein a mit o(ak + pZ) 6= o(ak + q Z) –
und damit einen echten Teiler von n – zu finden, mindestens 12 .
Nach r Iterationen ist die Wahrscheinlichkeit also mindestens 1 − 21r ,
einen Teiler von n zu finden; also ist z.B. für r = log(n) die Wahrscheinlichkeit mindestens 1 − n1 . Jede Iteration erfordert wegen s < log(ed) <
log(n2 ) = 2 log n maximal 2 log n viele ggT-Bestimmungen (die auch
polynomial in log n durchführbar sind).
Für die noch zu beweisende Anzahlaussage im vorangegangenen Beweis
benötigen wir zwei Hilfsmittel.
Chinesischer Restsatz:
Seien m1 , . . . , mn paarweise teilerfremde natürliche Zahlen und seien
a1 , . . . , an ganze Zahlen.
n
Q
mi mit x ≡ aj mod mj
Dann gibt es genau eine Zahl x mit 0 ≤ x ≤
i=1
für alle j = 1, . . . n.
129
Beweis:
Setze m =
n
Q
mi und Mj = m/mj für j = 1, . . . , n.
i=1
Dann ist ggT(mj , Mj ) = 1 für j = 1, . . . , n.
Mit dem Erweiterten Euklidischen Algorithmus kann man daher natürliche Zahlen yj bestimmen, so dass yj Mj ≡ 1 mod mj für alle
j = 1, . . . , n. Dann folgt auch aj yj Mj ≡ aj mod mj für j = 1, . . . , n. Da
für i 6= j die Zahl mj ein Teiler von Mi ist, gilt auch ai yi Mi ≡ 0 mod mj
für alle i, j = 1, . . . , n, i 6= j.
n
P
ai yi Mi mod m, so folgt daher x ≡ aj mod mj
Setzt man x =
i=1
für alle j = 1, . . . , n.
Sind x, x′ zwei Lösungen mit 0 ≤ x, x′ ≤ m, so ist x ≡ aj ≡ x′ mod mj
für alle j = 1, . . . , n. Da die mj paarweise teilerfremd sind, folgt dann
auch x ≡ x′ mod m, also x = x′ .
Ordnungen von Elementen endlicher Gruppen
Ist G eine endliche Gruppe, g ∈ G, so ist die Ordnung von g, o(g), die
kleinste natürliche Zahl n mit g n = 1.
Die folgenden Aussagen sind leicht zu verifizieren:
1) Es ist o(g) = | < g > |, wobei < g >= {1, g, g 2 , . . . g o(g)−1 } die von
g erzeugte (zyklische) Untergruppe von G ist. Nach dem Satz von
Lagrange ist o(g) ein Teiler von |G|.
2) Ist g m = 1, so ist o(g) ein Teiler von m.
3) Ist o(g) = 2h u, wobei u ungerade ist, und ist t ungerade, so ist
o(g t ) = 2h u′ und u′ teilt u.
Wir können jetzt noch die im Beweisteil (3) ⇒ (1) des Satzes auf Seite
129 offen gebliebene Anzahlaussage beweisen.
Satz:
Sei n, p, q, e, d wie im RSA-Verfahren. Sei 2s die größte Zweierpotenz,
.
die ed − 1 teilt, k = (ed−1)
2s
Dann ist die Anzahl der zu n teilerfremden Zahlen a mit 1 ≤ a ≤ n − 1,
für die o(ak + pZ) 6= o(ak + q Z) gilt, wenigstens (p−1)(q−1)
.
2
(Die Ordnungen beziehen sich auf die Gruppen Z∗p bzw. Z∗q .)
Beweis:
Z∗p und Z∗q sind zyklische Gruppen der Ordnung p − 1 bzw. q − 1. Sei
v ∈ {1, . . . , p − 1} mit < v >= Z∗p (d.h. o(v + pZ) = p − 1) und sei
130
w ∈ {1, . . . q − 1} mit < w >= Z∗q .
Nach dem Chinesischen Restsatz existiert ein h, 1 ≤ h ≤ n = pq mit
h ≡ v mod p und h ≡ w mod q. Dann ist also o(h + pZ) = p − 1 und
o(h + q Z) = q − 1.
1. Fall: o(hk + pZ) > o(hk + q Z)
Da p − 1 ein Teiler von ϕ(n) und ϕ(n) ein Teiler von ed − 1 ist, ist
s
s
ed − 1 = (p − 1)r für ein r ∈ N. Es folgt (hk + pZ)2 = (h + pZ)k·2
= (h + pZ)ed−1 = (h + pZ)(p−1)r = 1. Also ist o(hk + pZ) = 2i mit i ≤ s
(siehe oben, 2)). Analog ist o(hk + q Z) = 2j mit j < i.
Sei x eine ungerade Zahl in {1, . . . p−1} und y ∈ {0, . . . q−2}. Nach dem
Chinesischen Restsatz gibt es ein a, 1 ≤ a < n = pq, mit a ≡ hx mod p
und a ≡ hy mod q.
Dann ist o(ak + pZ) = o(hxk + pZ), also o(ak + pZ) = o(hk + pZ) (siehe
oben, 3)).
Andererseits ist (ak + q Z)2 = ak·2 + q Z = hyk·2 + q Z = 1 + q Z, d.h.
o(ak +q Z) ≤ o(hk +q Z) (siehe oben, 2)). Also ist o(ak +pZ) > o(ak +q Z).
j
j
j
Es ist klar, dass für jede der (p−1)(q−1)
möglichen Wahlen von (x, y) die
2
zugehörigen Zahlen a < n paarweise verschieden sind. Damit folgt die
Behauptung in diesem Fall.
2. Fall: o(hk + pZ) < o(hk + q Z)
Analog zum ersten Fall.
3. Fall: o(hk + pZ) = o(hk + q Z)
Wie zu Beginn des ersten Falles sieht man, dass
o(hk + pZ) = o(hk + q Z) = 2i , i ≤ s.
Dabei ist i ≥ 1 (siehe oben, 3)), da k ungerade ist und p − 1 oder q − 1
gerade ist (in unserem Fall dann sogar beide).
Ist x eine ungerade Zahl in {0, . . . p − 2} und y eine gerade Zahl in
{0, . . . q − 2}, so existiert nach dem Chinesischen Restsatz ein a,
1 ≤ a ≤ n = pq, mit a ≡ hx mod p und a ≡ hy mod q. Wie im ersten Fall sieht man, dass o(ak + pZ) = o(hk + pZ).
Andererseits ist (ak +q Z)2 = (hyk +q Z)2 = (hk +q Z)y·2
da y gerade und daher 2i ein Teiler von y2i−1 ist.
i−1
i−1
i−1
= 1+q Z,
Also ist o(ak + q Z) < o(ak + pZ).
Wählt man x als gerade Zahl in {0, . . . p − 2} und y als ungerade
Zahl in {0, . . . q − 2}, so verläuft das Argument analog. Für jede dieser
131
insgesamt (p−1)(q−1)
möglichen Wahlen von (x, y) sind die zugehörigen
2
Zahlen a < n verschieden.
Damit ist der Beweis vollständig.
d) In Folge von c) stellt sich die Frage, wie schnell sich eine Zahl n = p · q
faktorisieren lässt.
Es gibt eine Reihe guter Faktorisierungsalgorithmen, auf die wir aber
in dieser Vorlesung nicht eingehen können. Keiner von ihnen ist ein
polynomialer Algorithmus, und es ist unbekannt, ob Faktorisierung in
polynomialer Zeit möglich ist. Die besten derzeit bekannten Algorithmen ( Zahlkörpersieb“) haben eine Komplexität von
”
1
2
O(ec(log n) 3 (log log n) 3 ),
c geeignete Konstante (c ≤ 3).
Seit 1991 (in etwas anderer Form seit 1977) gibt es von der Firma RSA
Security die sogenannte RSA-Challenge, bei der große RSA-Zahlen
(Produkt zweier Primzahlen) faktorisiert werden sollen. Die größte faktorisierte Zahl besaß bisher 155 Dezimalstellen (faktorisiert in vier Monaten Rechenzeit parallel auf 296 PCs und Workstations mit Taktfrequenz ∼ 400 MHz).
Im Moment gilt eine Bitlänge von 1024 Bit für n als sicher.41
e) Es gibt eine Reihe von Algorithmen, die bei speziellen Eigenschaften
von p und q schnell eine Faktorisierung liefern. Z.B. sollten p und q nicht
die gleiche
Bitlänge haben, da ansonsten Algorithmen, die in der Nähe
√
von n nach Faktoren suchen, erfolgreich sind. Andererseits sollten p
und q beide groß sein. Eine kleine Differenz der Bitlänge von p und q
ist daher die beste Wahl.
Andere Eigenschaften, die häufig gefordert werden:

1. p − q besitzt einen großen Primfaktor, r 
2. r − 1 besitzt einen großen Primfaktor
(sog. starke Primzahlen)

3. p + 1 besitzt einen großen Primfaktor
(analog für q)
f) Wie vorne erwähnt, wird aus Effizienzgründen oft ein kleiner Exponent
e, z.B. e = 3, für das Verschlüsseln verwendet. Das birgt aber eine
41
Näheres über Faktorisierungsalgorithmen: H. Riesel, Prime Numbers and Computer
Methods for Faktorisation [27], J. Buchmann, Einführung in die Kryptographie [9], Kapitel
8 oder R. Crandall, C. Pomerance, Prime Numbers – A Computational Perspective [12]
132
Gefahr in sich, wenn A ein und dieselbe Nachricht an mehrere Benutzer
mit den öffentlichen Schlüsseln (n1 , 3), (n2 , 3), (n3 , 3) schickt. Ist m der
Klartext, so sendet A
ei = m3 mod ni , i = 1, 2, 3.
Wie nehmen m < ni an!
Lauscherin Eve fängt c1 , c2 , c3 ab. Mit Hilfe des Chinesischen Restsatzes
findet sie ein a, 0 ≤ a < n1 n2 n3 , mit
a ≡ c1 mod n1
a ≡ c2 mod n2
a ≡ c3 mod n3
Dieses a ist eindeutig bestimmt. Wegen m3 < n1 n2 n3 ist a = m3 . Eve
kann m durch Ziehen der Kubikwurzel aus a erhalten.
Lösung: Entweder größere e.
Oder: An m wird eine zufällig erzeugte Bitfolge geeigneter Länge (z.B.
64 Bit) vor der Chiffrierung angehängt (’Salting’, ’Padding’, Maskierung). Für jedes i muss ein anderer Bitstring gewählt werden.
g) Auch für kleine d gibt es Unsicherheiten.
Hier gibt es einen Angriff, der auf M.J. Wiener (1990) zurückgeht.42
Dann kann man durch Kettenbruchzerlegung von
e
1
= a0 +
n
a1 + a 2 + 1
1
a3 +...
n 1/4
) den geheimen Exponent d schnell ermitteln.
im Fall d < ( 18
Von D. Boneh, G. Durfee u. Y. Frankel (1998) wurde dieser Angriff
ausgedehnt auf den Fall, dass d < n0,293 .
Aus diesem Grund wird gelegentlich empfohlen, bei der Wahl von e
und d zunächst d geeignet zu wählen und daraus e mit dem erweiterten
Euklidischen Algorithmus zu bestimmen. (Aus Effizienzgründen – e
wird i.d.R. groß sein – wird dies in der Praxis aber selten gemacht.)
h) Angriffe auf Grund von Laufzeiteffekten bei modularer Potenzierung
(Paul Kocher, 1995). Möglich falls physikalischer Angriff auf Rechner.43
42
Einzelheiten siehe: M.J. Wiener, Cryptanalysis of short RSA exponents, IEEE Transactions on Information Theory 36 (1990), pp. 553-558 [33]
43
s. Trappe, Washington [31], S. 143-145 und Ertel [15], S. 84-85
133
5.4
Effizienz des RSA-Verfahrens
Die aus Sicherheitsgründen empfohlene Wahl von Zahlen n mit der Bitlänge
von 1024 Bit impliziert, dass das RSA-Verfahren zeitaufwändig ist (bei Verund mehr noch bei Entschlüsselung). Vergleiche dazu die Schlüssellänge von
DES und AES.
Software-Implementierungen von RSA sind derzeit ca. 100 mal langsamer als
DES. (Verschlüsseln ca. 15-20 kbit/sec., Entschlüsseln ca. 3-5 kbit/sec.)
Die Hardware-Implementierungen von RSA sind etwa 1000 mal langsamer
als Hardware-Implementierungen von DES (Durchsatz ca. 64 kbit/sec.; in
Planung sind Chips mit 1 Mbit/sec.)
Daher wird das RSA-Verfahren häufig nur zur Chiffrierung beim Schlüsselaustausch für symmetrische Verfahren eingesetzt.
5.5
Primzahltests
Zur Schlüsselerzeugung beim RSA-Verfahren werden große Primzahlen benötigt, etwa von Bitlänge 500, also in Dezimalstellung ca. 150-stellige Primzahlen.
Dazu geht man so vor, dass durch Zufallswahlen Zahlen im gewünschten
Größenbereich gewählt werden. Zunächst wird überprüft, ob eine so gewählte
Zahl durch eine kleine Primzahl (z.B. bis 106 , Liste) teilbar ist. Wenn dies
nicht der Fall ist, wird ein Primzahltest durchgeführt (dazu gleich Näheres).
Sollte sich herausstellen, dass die gewählte Zahl keine Primzahl ist, wird eine
weitere Zufallswahl durchgeführt.
Wann kann man dabei erwarten, eine Primzahl gefunden zu haben?
Der Primzahlsatz (Hadamard, de la Vall Poussin44 ) besagt, dass
π(x) ∼
x
,
ln x
π(x) = # Primzahlen ≤ x.
Man kann also erwarten, nach ln(10150 ) = 150 · ln10 ≈ 350 vielen Versuchen
eine Primzahl zu finden.
(Achtung: Aus dem Primzahlsatz kann man nicht entnehmen, dass in jedem
Fall zwischen x und x + ln x eine Primzahl liegt. Tatsächlich gilt nämlich
44
vgl. Chandrasekharan [11]
134
π(x) > lnxx für x ≥ 17 und π(x) < 1, 26· lnxx (Rosser, Schoenfeld), und hieraus
ergibt sich qualitativ nicht viel Besseres als das, was schon das sogenannte
Bertrand’sche Postulat (ein bewiesener Satz) besagt, dass nämlich zwischen
x und 2x eine Primzahl liegt.)
Wie sehen Primzahltests aus?
√
Die naheliegende Probedivision mit allen Zahlen ≤ n ist zu aufwändig. Wir
suchen Tests, deren Laufzeit polynomial in log n ist (wenn möglich).
Die meisten Primzahltests beruhen auf dem Satz von Fermat:
n ∈ N, n ≥ 2.
Dann: n Primzahl ⇔ an−1 ≡ 1 mod n für alle 2 ≤ a < n
Findet man ein a mit an−1 6≡ 1 mod n, so ist n zusammengesetzt.
Wenn aber n eine Primzahl ist, wieviele a muss man testen?
Im Prinzip alle. Wenn aber für zusammengesetzte n der Anteil a ∈ {2, ... n−1}
groß wäre (z.B. ≥ 12 ), für die an−1 6≡ 1 mod n, so könnte man nach genügend
vielen (etwa 100) Wahlen von a, die stets an−1 ≡ 1 mod n ergeben haben,
davon ausgehen, dass n eine Primzahl ist, denn eine zusammengesetzte Zahl
1
sich nicht als zusammenwürde nur mit einer Wahrscheinlichkeit ≤ 2100
gesetzte Zahl zu erkennen geben. Man hätte dann einen probabilistischen
Primzahltest. Tatsächlich funktioniert dieser Fermat-Test für viele Zahlen n.
Aber leider gibt es zusammengesetzte Zahlen n, für die das nicht der Fall
ist. Sie haben die Eigenschaft, dass nur für diejenigen a mit ggT(a, n) 6= 1
tatsächlich an−1 6≡ 1 mod n gilt, für die übrigen a (also ϕ(n) viele; das
ist die große Mehrzahl: lim ϕ(n)
= 1; Abschätzung nach Rosser, Schoenfeld:
n
n
ϕ(n) ≥ 6ln(ln(n)) für alle n ≥ 5), aber stets an−1 ≡ 1 mod n. Solche Zahlen
heißen Carmichael-Zahlen.
Zwar sind Carmichael-Zahlen selten (z.B. gibt es zwischen 1 und 100.000 nur
16 Carmichael-Zahlen; 561 ist die kleinste), aber es gibt unendlich viele.45
Um den Fall der Carmichael-Zahlen auszuschließen, muss man den FermatTest verfeinern. Eine solche Verfeinerung stellt der Miller-Rabin-Test dar. Er
ist auch ein probabilistischer Primzahltest, den wir jetzt kurz vorstellen. Er
beruht auf folgendem
Satz Sei n ∈ N ungerade, 2s die höchste Zweierpotenz, die n−1 teilt, k =
Ist n eine Primzahl und a ∈ N mit ggT(a, n) = 1, so gilt
45
siehe den Beweis von Alford, Granville und Pomerance, [3]
135
n−1
.
2s
entweder
oder
ak
r
a2 ·k
≡
1 mod n
≡ −1 mod n
für ein r ∈ {0, 1, . . . s − 1}
Findet man also eine Zahl a mit ggT(a, n) = 1, für die ak 6≡ 1 mod n und
r
a2 ·k 6≡ −1 für alle r ∈ {0, 1, . . . s − 1} gilt, so ist n zusammengesetzt. Eine
solche Zahl heißt Zeuge gegen die Primzahleigenschaft von n.
Nun kann man zeigen:
Ist n zusammengesetzt, n ≥ 3 ungerade, so gibt es in der Menge {1, . . . n−1}
höchstens n−1
Zahlen, die zu n teilerfremd sind und keine Zeugen gegen die
4
Primzahleigenschaft von n sind.
Miller-Rabin-Test:
Sei n ungerade, k wie oben.
Wähle a ∈ {2, 3 . . . n − 1} zufällig, gleichverteilt.
Ist ggT(a, n) 6= 1, so n zusammengesetzt.
s−1
Ist ggT(a, n) = 1, berechne ak , a2k , . . . a2 k .
i
Ist ak 6≡ 1 mod n und a2 k 6≡ −1 mod n, i = 1, . . . , s − 1, so ist n zusammengesetzt.
Andernfalls ist a kein Zeuge gegen die Primzahleigenschaft. Wähle neues a.
Dass man für eine zusammengesetzte Zahl n nach r Iterationen keinen Zeugen
gegen die Primzahleigenschaft von n gefunden hat, ist dann nur mit einer
Wahrscheinlichkeit ≤ 41r möglich.
Als probabilistischer Primzahltest wird der Miller-Rabin-Test so angewandt,
dass ein geeignetes r für die Anzahl der Iterationen festgelegt wird. Hat man
nach r Wahlen von a keinen Zeugen gegen die Primzahleigenschaft gefunden,
so wird n ist Primzahl“ausgegeben. Testet man Zahlen n unterhalb einer
”
Schranke N , so ist die Wahrscheinlichkeit, dass n eine Primzahl ist, wenn der
)
. Dies ist eine bedingte
Miller-Rabin-Test dies ausgibt, mindestens 1 − ln(N
4r
Wahrscheinlichkeit. Man erhält die angegebene Abschätzung, wenn man beN
nutzt, dass die Anzahl der Primzahlen ≤ N etwa ln(N
ist (Primzahlsatz).
)
Da der Euklidische Algorithmus polynomial in log(n) ist, s ≤ log n, überlegt
man sich leicht, dass der Miller-Rabin-Test ein probabilistischer polynomialer
Algorithmus für den Test auf Primzahleigenschaft ist.
Bis vor kurzem war es eine offene Frage, ob es deterministische polynomiale
Algorithmen zur Entscheidung, ob eine Zahl n eine Primzahl ist oder nicht,
gibt. Im August 2002 fanden Magrawal, N. Kayal, N. Saxena in Kanpur,
Indien eine positive Antwort.
136
Ihr Algorithmus beruht auf folgender Kennzeichnung von Primzahlen:
n prim ⇔ (x + a)n = xn + a in Zn [x] für alle a mit ggT(a, n) = 1
Rechne modulo xr − 1 mit kleinem Grad r.
Man braucht dann nur O(poly(log n)) viele Paare (r, a) zu testen. Algorithmus elementar. Zur Gültigkeit braucht man eine tiefen Satz der analytischen
Zahlentheorie (Goldfeld, 1969) über die Anzahl von Primzahlen p ≤ x, für
die p − 1 ebenfalls einen großen Primteiler besitzt.46 )
5.6
Diskrete Logarithmen und das Schlüsselaustauschverfahren von Diffie und Hellman
Wir betrachten jetzt eine andere Klasse von Funktionen, die als Kandidaten
für Einwegfunktionen angesehen werden, nämlich die ’diskreten’ LogarithmusFunktionen:
Sei p eine ungerade Primzahl, g eine Primitivwurzel mod p, d.h. < g >= Z∗p .
Zp−1 = {0, . . . p − 2} → Z∗p
Expp,g :
x 7→ g x
Inverse:
Logp,g :
Z∗p → Zp−1
y 7→ Logp,g (y)
Man kennt bis heute keine probabilistischen polynomialen Algorithmen zur
Berechnung von Logp,g . Sie gelten daher als Kandidaten für Einwegfunktionen; dies wird explizit gemacht durch die sogenannte Diskrete-LogarithmusAnnahme.
Sei Ik = {(p, g)| |p| = k, p ungerade Primzahl, g Primitivwurzel mod p}, k ∈
N. Sei P (x) ein positives Polynom und A(p, g, y) ein polynomialer probabilistischer Algorithmus. Dann existiert k0 ∈ N, so dass
pr(A(p, g, y) = Logp,g (y) | (p, g) ← Ik , y ← Z∗p ) ≤
1
P (k)
für alle k ≥ k0 .
Dabei ist die Gleichverteilung auf Ik und auf Z∗p angenommen, bezüglich derer
(p, g) und y zufällig ausgewählt werden.
46
s. http://www.cse.iitk.ac.in/news/primality.html und http://cr.yp.to/
papers.html
137
Die Nutzung des diskreten Logarithmus in der Kryptographie geschah zunächst nicht zur Konstruktion eines Verschlüsselungsverfahrens, sondern eines Verfahrens zum Schlüsselaustausch für symmetrische Verfahren.
Diffie-Hellman-Verfahren (Schlüsselaustausch)
Situation: Alice und Bob wollen sich auf einen Schlüssel K einigen, haben
aber nur eine Kommunikationsverbindung zur Verfügung, die abgehört werden kann.
Lösung: Bob und Alice einigen sich auf eine Primzahl p (p > gewünschter
Schlüssel K) und eine Primitivwurzel g mod p (2 ≤ g ≤ p − 2). (p und g
können öffentlich bekannt sein.)
1) Alice wählt zufällig a ∈ {2, . . . p − 2}.
Sie berechnet x = g a mod p und sendet x an Bob (a hält sie geheim).
2) Bob wählt zufällig b ∈ {2, . . . p − 2}.
Er berechnet y = g b mod p und sendet y an Alice (b hält er geheim).
3) Alice berechnet y a mod p = K.
Bob berechnet xb mod p = K.
K ist der gemeinsame Schlüssel (für ein symmetrisches Verfahren).
Gültigkeit des Verfahrens:
y a ≡ g ba ≡ g ab ≡ xb mod p
Beispiel:
p = 17, g = 3
(Beachte: 32 = 9 6≡ 1 mod 17
34 = 81 ≡ 13 6≡ 1 mod 17
38 ≡ 132 ≡ −1 mod 17
316 ≡ 1 mod 17)
Alice wählt a = 11.
311 = (34 · 3)2 · 3
34 ≡ 13 mod 17, 34 · 3 ≡ 5 mod 17, 52 ≡ 8 mod 17, 52 · 3 ≡ 7 mod 17
x ≡ 311 ≡ 7 mod 17
Bob wählt b = 4.
y = 34 ≡ 13 mod 17
138
Alice: K = y a = 1311 ≡ 4 mod 17
Bob: K = xb = 74 ≡ 4 mod 17
K=4
Wie berechnet man p und g?
Zur Bestimmung von Primzahlen, siehe Kapitel 5.5.
Wie bestimmt man Primitivwurzel g modulo p?
Ein g ∈ {2, . . . p − 2} ist genau dann eine Primitivwurzel modulo p, wenn
g p−1 ≡ 1 mod p, aber g i 6≡ 1 mod p für alle 1 ≤ i < p − 1. Tatsächlich genügt
es zu zeigen, dass g p−1
6≡ 1 mod p für alle Primteiler q von p − 1. Sind diese
q
also bekannt, so kann man schnell entscheiden, ob g Primitivwurzel ist.
Ohne die Faktorisierung von p − 1 zu kennen, ist kein schnelles Verfahren
bekannt, das testet, ob ein gegebenes g eine Primitivwurzel modulo p ist.
Es bleibt die Frage: Wenn man g zufällig aus {2, . . . p − 2} wählt, wie groß
ist die Chance, dass g Primitivwurzel modulo p ist?
Z∗p ist eine zyklische Gruppe und hat daher ϕ(p − 1) viele Erzeuger. Wir
p−1
hatten in Kapitel 5.5 gesehen, dass ϕ(p − 1) groß ist, ϕ(p − 1) ≥ 6 ln(ln(p−1))
.
D.h. bei Zufallsvariablen wird man relativ schnell eine Primitivwurzel modulo
p finden.
5.7
Sicherheit des Diffie-Hellman-Verfahrens
a) Ein Angreifer kennt p, g, x = g a mod p und y = g b mod p. Er will
den geheimen Schlüssel K = g ab mod p berechnen. Die einzig bekannte
Methode dafür ist, a aus x oder b aus y zu bestimmen, d.h. diskrete
Logarithmen mod p zu berechnen. Es ist aber nicht bekannt, ob die
Berechnung von K tatsächlich äquivalent zur Bestimmung von a oder
b ist.
b) Es gibt eine Reihe bekannter Algorithmen zur Bestimmung diskreter
Logarithmen. Die besten haben die gleiche Komplexität (in p) wie die
besten Faktorisierungsalgorithmen (in n). Daher gehen die Empfehlungen wie bei RSA dahin, Primzahlen mit 1024 Bit Länge zu wählen.
c) Ein anderes Risiko beim Diffie-Hellman-Verfahren (wie bei anderen zum
Schlüsselaustausch auch) besteht im sogenannten Man-in-the-middleAngriff.
Mallory wählt Exponent c ∈ {0, 1, . . . p − 2}.
Er fängt g a und g b ab.
139
Er sendet g c an Alice und Bob (die glauben g b bzw. g a erhalten zu
haben).
Alice berechnet KA = g ca und Bob berechnet KB = g cb . Sie denken,
dies ist ihr gemeinsamer Schlüssel.
Mallory kann (g a )c = g ca und (g b )c = g cb berechnen.
Schickt Alice an Bob eine mit KA verschlüsselte Nachricht, so kann
Mallory sie entschlüsseln (denn er kennt KA und KA ist ein Schlüssel
für ein symmetrisches Verfahren), lesen, ggf. verändern und mit KB
verschlüsselt an Bob schicken. Bob kann die empfangene Nachricht
entschlüsseln (er erhält ja eine mit dem ihm bekannten Schlüssel KB
verschlüsselte Nachricht) und schöpft keinen Verdacht.
Diesem Angriff kann nur durch Authentifizierungsmethoden begegnet
werden, auf die wir in Kürze zu sprechen kommen.
5.8
Das ElGamal-Verschlüsselungsverfahren
T. El Gamal (1984)
Das ElGamal-Verfahren zur Verschlüsselung beruht auf der Sicherheit des
Diffie-Hellman-Verfahrens.
Schlüsselerzeugung:
Alice wählt Primzahl p und eine Primitivwurzel mod p, g.
Sie wählt zufällig und gleichverteilt a ∈ {2, . . . p − 2}.
Sie berechnet x = g a mod p.
öffentlicher Schlüssel: (p, g, x)
Geheimer Schlüssel: a
Verschlüsselung:
Klartextraum {0, 1, . . . p − 1}
Bob will Alice den Klartext m senden. Bob wählt Zufallszahl b ∈ {2, . . . p−2}
und berechnet y = g b mod p. Dann bestimmt er f = xb m mod p.
Chiffretext ist (y, f )
Entschlüsselung:
Alice hat von Bob Schlüsseltext (y, f ) erhalten.
Sie berechnet s = p − 1 − a; 1 ≤ s ≤ p − 3.
Sie berechnet dann y s f mod p. Dies ist der ursprüngliche Klartext m.
Korrektheit der Entschlüsselung:
y s · f ≡ g bs xb m ≡ g b(p−1)−ba g ba m ≡ m mod p
140
Beispiel:
Schlüssel von Alice: p=17 , g = 3, a=11
x = 311 mod 17 = 7
(Siehe Beispiel zum Diffie-Hellman-Verfahren auf S. 138.)
öffentlicher Schlüssel von Alice: (p = 17, g = 3, x = 7)
Geheimer Schlüssel von Alice: a = 11
Bob will Klartext m verschlüsselt an Alice senden. m = 10
Bob wählt b = 4.
y ≡ 34 mod 17, also y = 13.
f ≡ xb m ≡ 74 · 10 ≡ 4 · 10 ≡ 6 mod 17
Chiffretext ist (13, 6).
Entschlüsselung durch Alice:
s = p − 1 − a = 5.
y s f = 135 · 6 ≡ 13 · 6 ≡ 10 mod 17.
Klartext lautet 10.
Eiffizienz des Verfahrens:
Zum Verschlüsseln sind zwei modulare Exponentiationen modulo p (xb mod
p, g b mod p) erforderlich. Dabei ist die Größenordnung von p ebenso groß
wie die Größenordnung von n bei RSA-Verfahren (1024 Bit). RSA benötigt
aber nur eine Exponentation. Aber: xb mod p, g b mod p können im Voraus
berechnet werden und müssen dann nur sicher gespeichert werden (Chipkarte). Voraussetzung ist dabei die Kommunikation mit einem festen Partner (z.B. Bank). Dann erfordert die Verschlüsselung nur eine Multiplikation
mod p (dies birgt aber Sicherheitsrisiken). Effizienznachteil: Die verschlüsselte Nachricht ist doppelt so lang wie der Klartext.
Sicherheit des Verfahrens:
• ElGamal ist genauso schwer zu knacken wie Diffie-Hellman:
Ang. Mallory kann ElGamal knacken, d.h. aus (p, g, x) und (y, f ) kann
er m bestimmen (für jede Nachricht m).
Dann kann er aus p, g, x = g a mod p, y = g b mod p auch K = g ab mod
p bestimmen:
Er wendet ElGamal-Entschlüsselung auf (p, g, x) und (y, 1) an.
Er erhält eine Nachricht m.
Er weiß: 1 = g ab m mod p. Dann g ab ≡ m−1 mod p.
Umgekehrt: Ang. Mallory kann Diffie-Hellman knacken, d.h. aus Kenntnis von (p, g, x, y) auf K = g ab mod p schließen.
141
Ang. Mallory erhält ElGamal Chiffretext (y, f ) (öffentlicher Schlüssel
(p, g, x)).
Er kann K = g ab mod p bestimmen. Da f = g ab · m mod p, kann er
durch K −1 f mod p den Klartext m bestimmen.
• b sollte bei jeder Verschlüsselung neu gewählt werden. Das so randomisierte Verschlüsselungsverfahren erschwert z.B. die Anwendung statistischer Tests zur Kryptoanalyse.
Es macht auch folgenden Angriff wirkungslos:
Ang. Angreifer kennt einen Klartext m und chiffrierten Text (y, f ), der
mit (p, g, x) und y = g b mod p verschlüsselt wurde. Wird zum Verschlüsseln eines zweiten Klartextes m′ das gleiche b, d.h das gleiche y
verwendet, f ′ = xb m′ mod p, so gilt:
f ′ f −1 ≡ m′ m−1 mod p
Damit lässt sich m′ ≡ f ′ f −1 m mod p ermitteln.
5.9
Erweiterungen der Diffie-Hellman und ElGamalVerfahren
Die beiden Verfahren lassen sich übertragen auf andere Gruppen G als auf
Z∗p . Man wählt dann g ∈ G und hat dann das diskrete Logarithmus-Problem
in < g > zu lösen. Dazu muss man in G (bzw. der Untergruppe < g >) effizient rechnen können, das diskrete Logarithmus-Problem muss aber schwer
zu lösen sein.
Ein in letzter Zeit vorgeschlagener und inzwischen auch schon implementierter Kandidat für G ist die Punktgruppe einer elliptischen Kurve über einem
endlichen Körper (Miller 1985; Koblitz 1987). Die entsprechenden ellipticcurve-cryptosystems sind offenbar mindestens so sicher wie diejenigen, die
auf dem diskreten logarithmischen Problem in Z∗p beruhen, wobei man mit
deutlich kleineren Schlüssellängen auskommt.
[Elliptische Kurven sind die Lösungsmengen von Gleichungen der Form y 2 =
x3 + ax + b (dies ist etwas vereinfacht).
Auf diesen Lösungsmengen kann man eine Gruppenoperation definieren.47 ]
47
Einzelheiten siehe z.B. Koblitz, Algebraic Aspects of Cryptography [24], Chapter 6
oder Trappe, Washington, Introduction to Cryptography and Coding Theory [31], Chapter
15
142
5.10
Modulares Quadrieren, das Verfahren von Rabin
und der Blum-Blum-Shub Pseudozufallsfolgengenerator
M. Rabin hat 1979 ein Verschlüsselungsverfahren vorgeschlagen, das darauf
beruht, dass modulares Quadrieren modulo n einfach, das Quadratwurzelziehen modulo n aber, falls n Prudukt zweier (großer) Primzahlen ist, schwierig
ist.
Konkret wird bei diesem Verfahren n = p · q gewählt, wobei p, q ≡ 3 mod 4.
Die Abbildung
∗
Zn → Z∗n ist dann ein Kandidat für eine Einwegfunktion.
Quad :
x 7→ x2
(Beachte: Quad ist weder surjektiv noch injektiv; insbesondere hat ein Quadrat immer vier Quadratwurzeln. Man kann diese Funktion aber bijektiv
machen , indem man sie auf die Menge der Quadrate in Z∗n (den quadratischen Resten modulo n) einschränkt.)
Man kann zeigen, dass das Berechnen der Quadratwurzeln modulo n genauso
schwierig ist wie die Faktorisierung von n (beachte Unterschied zum RSAVerfahren).
Das Verschlüsselungsverfahren von Rabin besteht gerade in der Anwendung
der Funktion Quad. Kennt man p und q, so kann man die Quadratwurzeln
von einem y leicht berechnen:
±y
p+1
4
+ pZ ,
±y
q+1
4
+ qZ
sind die beiden Quadratwurzeln modulo p bzw. modulo q. Mit dem Chinesischen Restsatz erhält man daraus die vier Quadratwurzeln modulo n.
[Man muss dann noch sicherstellen, dass der Empfänger erkennen kann, welches die richtige Wurzel ist.48 ]
Das Rabin-Verfahren ist gegen einen Typ von Choosen-Ciphertext-Angriff
nicht sicher, und wird daher in der Praxis nicht häufig eingesetzt.
Wie bei den anderen Kandidaten für Einwegfunktionen (RSA-Funktionen,
Exponentialfunktionen) kann auch Quad verwendet werden, um Pseudozufallsfolgen-Generatoren zu konstruieren. Dieser ist besonders populär und
48
Details siehe Buchmann, Einführung in die Kryptographie [9], Kapitel 7.4
143
wird nach seinen Erfindern Blum-Blum-Shub-Generator (BBS-Generator) genannt49 . Entsprechend den Überlegungen in Kapitel 4.9 benötigt man dazu
ein Hard-Core-Prädikat für Quad.
Man kann zeigen, dass das niedrigste Bit von x ein Hard-Core-Prädikat für
Quad ist.50
Der BBS-Generator arbeitet daher folgendermaßen:
’Initial seed’ x. x0 = x2 mod n.
Zufallsfolge b1 , b2 , . . . erzeugt durch:
1) xj = x2j−1 mod n
2) bj = niedrigstes Bit von xj (least significant bit)
49
Publikation: Blum, Blum and Shub (1986), A Simple Unpredictable Random Number
Generator [8], pp. 364-383
50
siehe z.B. Delfs, Knebel [13], Kapitel 7.3
144
6
Digitale Signaturen und kryptographische
Hashfunktionen
6.1
Grundidee digitaler Signaturen
Die Anforderungen an die digitale Signatur eines elektronischen Dokuments
sind die gleichen wie bei gewöhnlichen Unterschriften:
Niemand kann ein Dokument mit der Signatur einer Person A
signieren, selbst wenn er Signaturen von A aus anderen Dokumenten kennt.
Daher kann auch A nicht abstreiten, ein Dokument signiert zu haben.
Ferner: Signatur lässt sich nicht vom Dokument entfernen.
Also: Digitale Signatur muss einen unauflösbaren Zusammenhang zu
• dem Unterzeichner des Dokuments (Identitätseigenschaft) und
• dem signiertem Dokument (Echtheitseigenschaft)
besitzen.
Ferner: Jeder Empfänger muss die digitale Signatur verifizieren können (Verifikationseigenschaft).
Signaturschema (vereinfachte Form):
Jedem Teilnehmer A des Systems wird eine Signaturfunktion sA und eine
Verifikationsfunktion vA zugeordnet.
sA ist geheim (also nur A bekannt).
vA ist öffentlich.
Aus vA lässt sich praktisch nicht sA bestimmen.
A signiert die Nachricht m folgendermaßen:
A berechnet sA (m) und sendet (m, sA (m)).
Der Empfänger kann mit vA die Echtheit der Signatur prüfen.
Oft: vA ist Umkehrfunktion zu sA , d.h. vA (sA (m)) = m. Aus der Identitätseigenschaft folgt dann, dass vA eine Einwegfunktion sein muss. Daher werden
Signaturschemata häufig mit Mitteln der Public-Key-Kryptographie realisiert. Ein Beispiel werden wir anhand der ElGamal-Signatur auf Seite 153
angeben.
145
Notwendig für dieses Signaturschema ist ferner, dass das Verzeichnis der
öffentlichen Verifikationsfunktion vor Veränderungen durch Unbefugte geschützt ist. Andernfalls könnte ein Betrüger die öffentliche Verifikationsfunktion eines Teilnehmers durch seine eigene ersetzen und dann in dessen Namen
Signaturen (mit seiner Signaturfunktion, also der des Betrügers) erzeugen.
Dies führt zur Notwendigkeit von Trusted Centers oder Certification Authorities (Zertifizierungsstellen), die einen wichtigen Bestandteil der sogenannten
Public-Key-Infrastruktur darstellen. Hierauf werden wir in dieser Vorlesung
nicht eingehen.51
Werden Signaturschemata mit Public-Key-Systemen realisiert, so ist i.a. die
Signatur sA (m) der Nachricht m ebenso lang wie m. Dies ist nicht sehr effizient. Aus diesem Grund, aber auch aus Sicherheitsgründen, auf die wir bei
den speziellen Signaturverfahren noch eingehen, wird i.a. nicht die Nachricht
m, sondern ein Hashwert H(m) von m signiert (H öffentlich). Wir gehen
daher zunächst auf kryptographische Hashfunktionen ein.
6.2
Kryptographische Hashfunktionen
Definition: Eine Hashfunktion ist eine Abbildung H : Σ∗ → Σn (n ∈ N )
(Σ Alphabet; Σ∗ = Menge aller endlichen Strings über Σ, Σn = Menge aller
Strings der Länge n.)
Also: Hashfunktionen sind nie injektiv.
Beispiel: Quersumme mod 2, Σ = {0, 1}, n = 1
Hashfunktionen können mit Hilfe von Kompressionsfunktionen erzeugt werden:
K : Σm → Σn
(n, m ∈ N), wobei m > n
Hashfunktionen und Kompressionsfunktionen werden häufig in der Informatik verwendet. Dabei sind immer zwei Dinge wichtig:
• H (bzw. K) muss schnell berechenbar sein
• Der Fall H(x) = H(x′ ) für x 6= x′ sollte nicht zu häufig auftreten
(analog für K). Eine solche Situation nennt man Kollision. Sie ist nicht
vermeidbar, da H (bzw. K) nicht injektiv ist.
51
Näheres dazu z.B. in ausführlicher Darstellung in Schmeh, Kryptografie [28], knapp in
Buchmann, Einführung in die Kryptografie [9]. Standardwerk: Adams und Lloyd, Understanding Public-Key Infrastructure [1], Auszüge unter http://www.pkiforum.com/
books/adams\ understandingpki.html
146
Für kryptographische Zwecke ist aber eine weitere Eigenschaft wichtig:
Wenn eine Nachricht m mit dem signierten Hashwert sT (H(m)) von T versandt wird, so kann jeder Angreifer H(m) ermitteln.
Gelingt es ihm, eine Nachricht m′ zu finden mit H(m) = H(m′ ), so wird
(m′ , sT (H(m))) = (m′ , sT (H(m′ ))) vom Empfänger als eine korrekt signierte
Nachricht angesehen. Dies führt zu folgenden Forderungen an kryptographische Hashfunktionen:
(1) H ist effizient berechenbar.
(2) H ist eine Einwegfunktion.
(3) H ist schwach kollisionsresistent, d.h. für ein gegebenes x ist es nicht
effektiv möglich (polynomialer Algorithmus), ein x 6= x′ zu finden mit
H(x′ ) = H(x).
Einer Verschärfung von (3) ist
(3’) H ist stark kollisionsresistent, d.h. es ist nicht effektiv möglich, x 6= x′
zu finden mit H(x) = H(x′ ).
(Werte von kryptographischen Hashfunktionen werden auch digital fingerprints oder message digests genannt.)
Klar: (3’) ⇒ (3). Man kann auch zeigen: (3’) ⇒ (2).
(Hat man einen Invertierungsalgorithmus A für H (d.h einen, der Urbilder
findet), so liefert A zu gegebenem x ein Element x′ = A(H(x)). Ist die
Menge der Urbilder zu H(x) größer als 1 – und das ist bei einer Hash- bzw.
Kompressionsfunktion im Durchschnitt der Fall – so ist die Chance, dass
x′ 6= x im Durchschnitt mindestens 12 . Dies führt zu einem probabilistischen
Algorithmus zur Erzeugung von Kollisionen.)
Man ist also in der Kryptographie an stark kollisionsresistenten Hashfunktionen interessiert. Dabei gilt:
Satz (Merkle)
n
Aus einer stark kollisionsresistenten Kompressionskunktion Zm
2 → Z2 lässt
sich eine stark kollisionsresistente Hashfunktion Z∗2 → Zn2 konstruieren.52
52
Beweis bei Buchmann [9], Kapitel 10.4. und bei Stinson [30], Kapitel 7.5
147
Da die Existenz stark kollisionsresistenter Hashfunktionen (oder Kompressionsfunktionen) die Existenz von Einwegfunktionen impliziert, weiß man
derzeit nicht, ob solche Hashfunktionen existieren (vgl. 4.10).
Daher benutzt man in der Praxis Hashfunktionen, deren Kollisionsresistenz
bisher noch nicht widerlegt wurde. Im allgemeinen beruhen diese auf Verschlüsselungsverfahren, die als sicher gelten:
Sei n die gewünschte Länge des Hashwertes.
Benötigt wird ein Verschlüsselungsverfahren, dessen Klartextmenge, Schlüsselmenge und Chiffretextmenge Zn2 ist. Sei Ek : Zn2 → Zn2 , k ∈ Zn2 , die Verschlüsselungsfunktion zum Schlüssel k.
Dann kann man eine Hashfunktion H : Z∗2 → Zn2 folgendermaßen definieren:
Sei x = x1 . . . xe , xi ∈ Zn2 . (ggf. muss man x durch geeignetes ’Padding’ auf
eine Länge vergrößern, die ein Vielfaches von n ist).
Wähle einen Eingangswert k0 ∈ Zn2 .
n
Setze ki = f (xi , ki−1 ), wobei f : Z2n
2 → Z2 eine geeignete Funktion ist, die
die Verschlüsselungsfunktion involviert.
Sei schließlich H(x) = ke .
Viele Wahlen von f führen trotz sicheren Verschlüsselungsverfahren zu unsicheren Hashfunktionen. Vier Typen scheinen allerdings nach jetzigem Stand
sicher zu sein (falls die Verschlüsselungsfunktion sicher ist):
ki
ki
ki
ki
= Eki−1 (xi ) ⊕ xi
= Eki−1 (xi ) ⊕ xi ⊕ ki−1
= Eki−1 (xi ⊕ ki−1 ) ⊕ xi
= Eki−1 (xi ⊕ ki−1 ) ⊕ xi ⊕ ki−1
Wie groß sollte bei einer Hashfunktion die Länge n des Hashwertes gewählt
werden?
Natürlich nicht zu groß, denn darin liegt der Sinn von Hashfunktionen. Andererseits führen zu kleine n zu einer Auffälligkeit bezüglich starker Kollisionsresistenz.
Dies ist der Ansatzpunkt der sogenannten Geburtstagsattacke, die auf dem
sogenannten Geburtstagsparadox beruht.
Satz (Geburtstagsparadox):
Ein Merkmal komme in m verschiedenen Ausprägungen vor. Jede Person besitze genau√eine dieser Merkmalsausprägungen.
√
2)
Ist k ≥ (1+ 1+8m·ln
m, so ist die Wahrscheinlichkeit, dass unter k
≈
1,
18
2
148
Personen zwei die gleiche Merkmalsausprägung haben, mindestens 21 .
(Speziell: Merkmalsausprägung = Geburtstagsdatum, m = 365: Bei 23 Personen ist die Wahrscheinlichkeit mindestens 21 , dass zwei am gleichen Tag
Geburtstag haben.)
Beweis: Wir beschreiben die Merkmalsausprägungen mit den Zahlen 1, . . . m
und betrachten den Wahrscheinlichkeitsraum {1, . . . m}k mit Gleichverteilung. Jedes Elementarereignis (g1 , . . . gk ) ∈ {1, . . . m}k hat also die Wahrscheinlichkeit m1k .
Das Elementarereignis (g1 , . . . gk ) tritt ein, wenn die i-te Person die Merkmalsausprägung gi besitzt.
Wir groß ist die Wahrscheinlichkeit q, dass k Personen alle verschiedene Merkmalsausprägungen haben?
|{(gi , . . . gk )| alle gi verschieden}|
q=
=
mk
k−1
Q
i=0
(m − i)
mk
=
k−1
Y
i=0
(1 −
i
)
m
Es ist ex ≥ 1 + x für alle x ∈ R. Also gilt:
q≤
k−1
Y
i
−m
e
−
=e
k−1
P
i=0
i
m
= e−
k(k−1)
2m
i=0
Damit:
−
e
k(k−1)
2m
1
k(k − 1)
1+
≤ ⇔−
≤ − ln 2 ⇔ k ≥
2
2m
√
1 + 8m · ln 2
2
Daraus folgt die Behauptung des Satzes.
Wie sieht nun die Geburtstagsattacke aus?
Sei Σ = Z2 .
H : Z∗2 → Zn2 Hashfunktion.
Ein Angreifer erzeugt möglichst viele Hashwerte. Diese werden nach Kollision
nen untersucht. Nach dem Satz ist bei etwas mehr als 2 2 vielen Hashwerten
die Wahrscheinlichkeit mindestens 21 , dass eine Kollision vorliegt. Daran sieht
man, dass z.B. n = 64 keine ausreichende Sicherheit bietet (232 ≈ 4 · 109 ).
Verwendet man also eine Hashfunktion, die, wie oben beschrieben, auf einem Verschlüsselungsverfahren beruht, so ist eine Schlüssellänge von n = 64
nicht ausreichend. Heutzutage wählt man n ≥ 128, für Hashfunktionen mit
digitalen Signaturen n ≥ 160.
149
Die in der Praxis am häufigsten benutzten kryptographischen Hashfunktionen beruhen in der Regel nicht auf Verschlüsselungsverfahren, sondern sind
speziell für kryptographische (insbesondere Signatur-) Zwecke konstruiert.
Sehr verbreitet war lange die Hashfunktion MD4 (Message Digest 4) von Ron
Rivest. Mit Angriffsmethoden, die in den letzten Jahren entwickelt wurden,
ist es aber relativ einfach, Kollisionen bei MD4 zu erzeugen.
Eine Weiterentwicklung ist MD5, das auch heute noch oft benutzt wird, obgleich H. Dobbertin (Bundesamt für Sicherheit in der Informationstechnik)
auch hier eine Schwäche in der Kollisionsresistenz bei der Kompressionsfunktion innerhalb MD5 gefunden hat. Diese Schwachstelle hat sich bisher nicht
auf das ganze Verfahren übertragen lassen, aber hat zu Unsicherheitsgefühlen
geführt. MD5 liefert Hashwerte von 128 Bit. Daher wird heute vermehrt die
kryptographische Hashfunktion SHA-1 (Secure Hash Algorithm One) verwendet,53 die von der NSA entwickelt wurde. Bei ihr sind bisher noch keine
Schwächen entdeckt worden. SHA-1 liefert Hashwerte von 160 Bit (wird in
PGP 7.0.3 verwendet).54
Beachte:
Anwenden einer Hashfunktion H auf Dokument m liefert keine digitale Signatur. Zwar wird die Echtheitseigenschaft des Dokuments gewährleistet (da
man H(m) aus dem öffentlich bekannten H selbst berechnen kann und mit
dem gesuchten Hashwert vergleichen kann), nicht aber die Identitätseigenschaft: Jeder kann H(m) herstellen.
6.3
Signaturen mit Hashfunktionen
Gegeben sei ein Signaturschema mit Signaturfunktionen sA und öffentlichen
Verifikationsfunktionen vA (für jeden Teilnehmer A). Ferner sei eine öffentlich
bekannte kryptographisch sichere Hashfunktion H gegeben.
A will Nachricht m an B senden und Signatur anfügen. Zur Signatur berechnet A den Hashwert x = H(m) von m. Sie signiert x : sA (x) und sendet
(m, sA (x)) an B.
53
Z.B. in S/MIME (Secure/Multipurpose Internet Mail Extensions), einem hierarchischen Zertifizierungsmodell, bei dem die Echtheit übermittelter Daten von einer übergeordneten Instanz bestätigt wird.
54
Einzelheiten über die Funktionsweise von SHA-1 u. MD5 siehe z.B. Schmeh, Kryptographie [28], Schneier, Angewandte Kryptographie [29] und Menezes, van Oorschott,
Vanstone, Handbook of Applied Cryptography [26].
150
Verifikation der Signatur durch B:
B berechnet H(m) = x und verifiziert mit vA , ob sA (x) die Signatur von x
ist. Ist dies der Fall, wird die Signatur akzeptiert.
Kann ein Angreifer m zu m′ ändern und mit der Signatur von A versehen?
Er hat zwei Möglichkeiten:
• Er müsste Signatur von A von H(m′ ) anfertigen. sA ist aus vA aber
praktisch nicht berechenbar.
• Er müsste m′ finden mit sA (H(m′ )) = sA (H(m)) (dann würde (m′ , sA (x))
akzeptiert). Das bedeutet, er müsste Kollision von H erzeugen (sogar
zu vorgegebenem m). Dies ist aber wegen der Kollisionsresitsenz von
H praktisch nicht möglich.
6.4
RSA-Signaturen
Vereinfachte Version (ohne Hashfunktion)
Wie bei RSA-Verschlüsselung hat jeder Teilnehmer A einen öffentlichen Schlüssel
(n, e) und einen geheimen Schlüssel d. Diese werden wie im RSA-Verfahren
erzeugt.
Erzeugung der Signatur einer Nachricht m ∈ {0, 1, . . . n − 1}:
A berechnet s = md mod n. s ist die Signatur von m.
A sendet (m, s) an B.
Verifikation durch B:
B berechnet se mod n.
Stimmt das Ergebnis mit m überein, wird die Signatur akzeptiert. Denn B
sieht daran, dass s mit dem geheimen Schlüssel von A erzeugt wurde, den nur
A kennt. Damit sind Echtheitseigenschaft und Identitätseigenschaft gewährleistet. (Bei sprachlichen Nachrichten m wird oft auch nur s = md mod n
gesendet; liefert se mod n einen sinnvollen Text, so wird dieser als m akzeptiert.)
Sicherheit:
• Solange das RSA-Verfahren sicher ist, kann niemand ohne Kenntnis
von d die Signatur s von m erzeugen.
151
• Die beschriebene einfache Version der RSA-Signatur birgt jedoch die
Gefahr der sogenannten existentiellen Fälschung (existential forgery):
Mallory wählt s ∈ {0, . . . n − 1} und behauptet, dies sei eine Signatur
von Alice. Wer das verifizieren will, berechnet m = se mod n mit dem
öffentlichen Schlüssel von Alice und glaubt, Alice habe m signiert. In
aller Regel wird m ein sinnloser Text sein, aber bei kurzen Mitteilungen
von Zahlenwerten besteht hier eine Gefahr.
• Sind m1 , m2 ∈ {0, . . . n − 1} und s1 = md1 mod n und s2 = md2 mod n
die zugehörigen Signaturen, so kennt man die Signatur von m1 m2 (falls
m1 m2 < n): (m1 m2 )d mod n = s1 s2 mod n.
Aus zwei gültigen Signaturen lässt sich eine gültige dritte gewinnen
(Multiplikativität).
Es gibt verschiedene Möglichkeiten, den beiden genannten Gefahren zu begegnen. Eine ist die Verwendung von Signaturen eines Hashwertes, die zudem
Effizienzvorteile bringt.
RSA-Signatur mit Hashfunktion
Sei m ein beliebiger Text (m ∈ Z∗2 ). Zur Signatur von m verwendet A öffentm
lich bekannte, kollisionsresistente Hashfunktion H : Z∗2 → Zm
2 (2 ≤ n, n aus
dem RSA-Verfahren) und verfährt wie in 6.3 beschrieben. Man sieht leicht,
dass mit diesem Verfahren die oben genannten Angriffe unmöglich gemacht
werden.
In der Praxis konstruiert man H mit einer kollisionsresistenten Hashfunktion,
die z.B. einen 160-Bit-String erzeugt und wendet darauf eine Expansionsfunktion an, die den 160-Bit-String auf einen m-Bit-String abbildet.
Einzelheiten sind in einem Public Key Cryptography Standard (PKCS) festgelegt, in diesem Fall in PKCS#1. PKCS#1 beschreibt Verfahren der Datenaufbereitung für RSA-Verschlüsselung und -Signatur. (Die bisher existierenden PKCS#1 bis PKCS#15 sind von der Firma RSA Security entwickelte
Standards, die hauptsächlich Datenformate für die Public-Key-Kryptographie
festlegen.55 )
55
Näheres zu diesen Standards in: K. Schmeh, Kryptographie [28]
152
6.5
ElGamal-Signatur
Das ElGamal-Verschlüsselungsverfahren ist nicht unmittelbar für Signaturen anwendbar (wie RSA), da die Entschlüsselung von einer Zufallswahl des
Absenders abhängt; Entschlüsselung und Verschlüsselung sind nicht einfach
vertauschbar. Das ElGamal-Signaturverfahren muss daher anders konstruiert
werden:
Wie beim ElGamal-Verschlüsselungsverfahren hat jeder Teilnehmer A einen
öffentlichen Schlüssel (p, g, x) und einen geheimen Schlüssel a (p Primzahl, g
Primitivwurzel mod p, a ∈ {2, . . . p − 2}, x = g a mod p).
Erzeugung der Signatur einer Nachricht m ∈ Z∗2 :
A benutzt öffentlich bekannte kollisionsresistente Hashfunktion H :
Z∗2 → {1, 2, . . . p − 2}. (Ist H : Z∗2 → Zn2 , so muss 2n ≤ p − 2 gelten, damit
die Hashwerte als Elemente in {1, 2, . . . p − 2} interpretiert werden können.)
A wählt Zufallszahl k ∈ {1, 2, . . . p − 2} mit ggT(k, p − 1) = 1.
Sie berechnet r = g k mod p und s = k −1 (H(m) − ar) mod (p − 1)
(k −1 Inverses von k mod (p − 1).)
Signatur sA (m) = (r, s). Gesendet wird (m, sA (m)).
Verifikation durch Empfänger:
B kennt öffentlichen Schlüssel (p, g, x) von A und die Hashfunktion H. Er
erhält von A die signierte Nachricht (m, sA (m)), wobei sA (m) = (r, s).
B verifiziert, dass 1 ≤ r ≤ p − 1. Falls dies nicht gilt, wird Signatur zurückgewiesen.
Falls 1 ≤ r ≤ p − 1, so überprüft B, ob xr rs ≡ g H(m) mod p gilt. Wenn ja, so
akzeptiert er die Signatur, sonst nicht.
Gültigkeit der Verifikation:
Ist (r, s) wie oben konstruiert worden, so gilt wegen r = g k mod p und s =
k −1 (H(m) − ar) mod (p − 1):
xr rs ≡ g ar g ks ≡ g ar g H(m)−ar ≡ g H(m) mod p.
Beispiel:
p = 17, g = 3, a = 11, x = 311 mod 17, also x = 7.
öffentlicher Schlüssel von A : (p, g, x) = (17, 3, 7)
Geheimer Schlüssel von A : a = 11
A will Nachricht m mit Hashwert H(m) = 10 signieren.
Sie wählt k ∈ {1, . . . 15} mit ggT(k, 16) = 1.
Etwa: k = 13.
153
Berechnung von k −1 mod 16 (mit erweitertem Euklidischen Algorithmus) liefert k −1 = 5 (13 · 5 = 65 ≡ 1 mod 16).
r = g k mod p : 313 ≡ 12 mod 17, also r = 12.
s = k −1 (H(m) − ar) mod (p − 1): 5 · (10 − 11 · 12) ≡ 14 mod 16, also s = 14.
Signatur von m : (12, 14).
Verifikation durch B:
B berechnet aus m den Hashwert H(m) = 10 und bestimmt dann g H(m)
modulo p : 310 ≡ 8 mod 17
Dann berechnet er xr rs mod p und vergleicht, ob dies das gleiche Ergebnis
wie g H(m) mod p liefert (also 8): 712 · 1214 ≡ 13 · 15 ≡ 8 mod 17
Signatur wird akzeptiert.
Sicherheit:
• Warum Überprüfung 1 ≤ r ≤ p − 1 ?
Wenn dies nicht geschieht, kann Angreifer Mallory, falls er eine gültige
Signatur (r, s) von A einer Nachricht m kennt, jede andere Nachricht
m′ mit der Signatur von A versehen (sofern ggT(H(m), p − 1) = 1):
Mallory berechnet u = H(m′ )H(m)−1 mod (p − 1) und daraus s′ =
su mod (p − 1).
Mit Hilfe des Chinesischen Restsatzes berechnet er dann r′ mit
1 ≤ r′ ≤ p(p − 1), so dass
r′ ≡ ru mod (p − 1) und
r′ ≡ r mod p.
Dann ist (r′ , s′ ) eine gültige Signatur (von A) der Nachricht m′ (wenn
man nicht 1 ≤ r′ ≤ p − 1 überprüft !):
′
′
′
′
′
′
′
xr r′s ≡ xr rs ≡ g ar g ks ≡ g u(ar+ks) ≡ g uH(m) ≡ g H(m ) mod p
(r′ verletzt den Test 1 ≤ r′ ≤ p − 1: r′ ≡ ru mod (p − 1). Wäre
ru ≡ r mod (p − 1), so H(m′ )H(m)−1 ≡ u ≡ 1 mod (p − 1). Dann
H(m′ ) = H(m), da 1 ≤ H(m′ ), H(m) ≤ p − 1. Dies widerspricht der
Kollisionsresistenz von H. Also: r′ 6≡ r mod (p − 1), aber r′ ≡ r mod p.
Daher r′ ≥ p.)
154
• Kann Mallory Signatur von A einer Nachricht m fälschen, ohne dass er
a kennt ?
1. Möglichkeit:
Er wählt r und versucht einen passenden Wert s zu finden. Dann muss
xr rs ≡ g H(m) mod p gelten, d.h. er muss den diskreten Logarithmus
von x−r g H(m) zur Basis r modulo p finden. Das ist schwierig.
2. Möglichkeit:
Er wählt s und versucht einen passenden Wert r zu finden. Dazu muss
er xr rs ≡ g H(m) mod p nach r auflösen“. Hierfür sind keine effizienten
”
Lösungsalgorithmen bekannt, obwohl das Problem nicht direkt mit der
Berechnung diskreter Logarithmen zusammenhängt.
Man kennt auch keine effektive Methode, (r, s) ohne Kenntnis von a
simultan zu bestimmen, so dass es eine gültige Signatur von m durch
A ist.
• Für die Sicherheit des ElGamal-Verfahrens ist die Verwendung einer
Hashfunktion notwendig. Würde nämlich eine Nachricht m direkt signiert, so lautet die Verifikationskongruenz
xr rs ≡ g m mod p.
Dann kann man (r, s, m) bestimmen, die diese Kongruenz erfüllen; allerdings kann man dabei m nicht vorgeben (existentielle Fälschung).
Man wählt u, v ∈ Z, wobei ggT(v, p − 1) = 1.
Man setzt r = g u xv mod p, s = −rv −1 mod (p − 1) und m = s u mod
(p − 1).
Dann gilt: xr rs ≡ xr g us xvs ≡ xr g us x−r ≡ g m mod p.
Bei Verwendung von Hashwerten kann man auf diese Weise nur die
Signatur eines Hashwertes erzeugen, aber dann nicht eine zugehörige Nachricht zu diesem Hashwert bestimmen (wegen der Einwegeigenschaft der Hashfunktion).
• Notwendig für die Sicherheit der ElGamal-Signatur ist auch, dass bei
jeder Signatur ein neues k zufällig aus {1, . . . p−2} (mit ggT(k, p−1) =
1) gewählt wird:
Angenommen für die Signatur zweier Nachrichten m1 , m2 wird das gleiche k, also auch das gleiche r = g k mod p verwendet.
Seien (r, s1 ), (r, s2 ) die beiden Signaturen von m1 , m2 .
Dann s1 − s2 ≡ k −1 (H(m1 ) − H(m2 )) mod (p − 1).
155
Ist ggT(H(m1 ) − H(m2 ), p − 1) = 1 (dies ist häufig der Fall), so kann
man hieraus k bestimmen (beachte 1 ≤ k ≤ p − 2).
Es ist s1 ≡ k −1 (H(m1 ) − ar) mod (p − 1). Da s1 , k, H(m1 ), r bekannt
sind, kann man hieraus den geheimen Schlüssel a bestimmen (beachte
2 ≤ a ≤ p − 2).
Effizienz des Verfahrens
Die Erzeugung der Signatur erfordert eine Anwendung des erweiterten Euklidischen Algorithmus zur Bestimmung von k −1 mod p − 1 und eine modulare
Exponentiation r = g k mod p.
Beide sind als Vorausberechnungen möglich (dann ist aber eine sichere Speicherung notwendig, bis eine Nachricht signiert wird). Die aktuelle Signatur
erfordert dann nur zwei modulare Multiplikationen, ist also sehr schnell.
Verifikation erfordert drei modulare Exponentiationen (mehr als bei RSASignatur).
Eine Beschleunigung ist möglich, indem man die Kongruenz g −H(m) xr rs ≡
1 mod p verifiziert und auf der linken Seite möglichst viele Exponentiationen
simultan durchführt.56
6.6
Der Digital Signature Algorithm (DSA)
Es gibt zahlreiche Varianten des ElGamal-Signatur-Verfahrens. Eine besonders effiziente wurde 1991 vom NIST (National Institute of Standards and
Technology) vorgeschlagen und 1994 zum Standard erklärt.
DSA arbeitet mit Primzahlen p mit Bitlängen zwischen 512 und 1024 Bit. Die
Exponentationen erfolgen in einer echten Untergruppe der multiplikativen
Gruppe von Zp , die Primzahlordnung q hat, q ≈ 2160 . Dadurch wird das
Verfahren sehr beschleunigt. Ob dadurch die Sicherheit beeinträchtigt ist, ist
unbekannt.
Darüberhinaus ist die Parameterwahl beim DSA viel genauer vorgeschrieben
als beim ElGamal-Verfahren.57
56
Einzelheiten zur Auswertung von Potenzprodukten siehe z.B. Buchmann, Einführung
in die Kryptographie [9], Abschnitt 2.13
57
Einzelheiten siehe z.B.: Buchmann, Einführung in die Kryptographie [9], 11.5
156
6.7
Blinde Signaturen
Es gibt Situationen, in denen es sinnvoll ist, Nachrichten zu signieren, ohne dass der Signierer deren Inhalt vollständig kennt. Man spricht dann von
blinden Signaturen.
Beispiel, wo blinde Signaturen eine wichtige Rolle spielen:
Simulation von Bargeld mit Softwaremitteln (elektronisches Geld, digital
cash). Das vorgestellte Verfahren (Protokoll) beruht auf Ideen von David
Chaum (1985, 1992).
Zweck:
Digitaler Geldschein muss von Bank signiert werden (sonst könnte jeder Geldscheine herstellen), aus Gründen des Datenschutzes sollte die Bank die Seriennummer des Geldscheins nicht kennen. Die Bank sollte also nicht in der
Lage sein, zu einem späteren Zeitpunkt feststellen zu können, für wen sie
den Geldschein signiert hat (Anonymität, im Gegensatz zu Kreditkartenund Kontensystemen).
Ziel:
Alice will digitalen 100-Euroschein von ihrer Bank erhalten.
Zu diesem Zweck wird folgendes Protokoll zwischen Alice und der Bank
durchgeführt:
1) Alice stellt zehn Geldscheine zu 100 Euro selbst her. Sie verwendet für
jeden Schein eine andere Zufallszahl als Seriennummer.
2) Sie verschlüsselt diese zehn Geldscheine mit einem symmetrischen Verfahren mit jeweils unterschiedlichem Schlüssel und sendet diese an die
Bank.
3) Die Bank wählt zufällig einen der zehn Geldscheine aus und signiert
ihn (blinde Signatur). Sie teilt Alice mit, welchen Schein sie signiert
hat.
4) Alice sendet die neun Schlüssel für die nicht-signierten Scheine an die
Bank.
5) Die Bank entschlüsselt die neun nicht-signierten Scheine und überprüft,
ob diese von Alice korrekt hergestellt wurden (insbesondere, ob sie alle den Wert 100 Euro haben). Ist dies der Fall, sendet die Bank den
signierten Geldschein an Alice.
157
Nach Durchführung dieses Protokolls besitzt Alice einen (allerdings verschlüsselten) von der Bank signierten 100-Euroschein. Die Bank kennt die
Seriennummer des Scheins nicht, kann aber mit 90%-iger Wahrscheinlichkeit davon ausgehen, dass es sich um einen 100-Euroschein handelt. Diese
Wahrscheinlichkeit lässt sich natürlich beliebig erhöhen.
Wird die Signatur mit dem RSA-Verfahren (ohne Hashfunktion) erstellt und
verwendet Alice eine symmetrische Verschlüsselung, die mit modularer Exponentiation vertauschbar ist, so kann Alice den Geldschein entschlüsseln und
hat eine gültige Signatur für den entschlüsselten Geldschein.
Zum Beispiel:
Alice wählt Zufallszahl k, verschlüsselt Schein s durch t = s · k e mod n (e, n
öffentlicher Schlüssel der Bank für die RSA-Signatur).
Bank signiert t : (t, td mod n).
Es ist td ≡ sd k ed ≡ sd k mod n, also k −1 td ≡ sd mod n. Dies ist die Signatur
von s.
Systeme für elektronisches Bargeld wurden auch in die Praxis umgesetzt,
allerdings bisher nicht mit großem Erfolg.58
58
Näheres siehe z.B.: W. Ertel, Angewandte Kryptographie [15], Kapitel 9, 10
158
7
Authentifizierung
Beweise
und
Zero-Knowledge-
Authentifizierung: Nachweis bzw. Überprüfung, dass jemand derjenige ist, der
er behauptet zu sein (manchmal wird hierfür auch der Begriff Identifizierung
gebraucht).
Im Wesentlichen gibt es drei Möglichkeiten:
Authentifizierung durch Wissen: A hat eine Information, die nur sie kennt
(und ggf. derjenige, gegenüber dem sie sich
ausweist), also ein Geheimnis.
Authentifizierung durch Besitz:
Es wird überprüft, ob A einen bestimmten
schwer zu fälschenden Gegestand besitzt
(z.B. Ausweis).
Authentifizierung durch persönliches Merkmal: Z.B. Fingerabdruck
Für uns ist nur die erste Möglichkeit von Interesse.
7.1
Passwörter
Passwort w wird von A ausgewählt. Im Rechner, gegenüber dem sich A authentifizieren muss, ist f (w) gespeichert, f Einwegfunktion (z.B. Zugang zu
UNIX-Systemen).
(Angreifer können in der Regel aus f (w) nicht auf w schließen!)
Wichtig: Passwortverzeichnis (also die f (w)) muss vor unberechtigten Schreibzugriffen gesichert sein.
Gefahren:
• Passwort wird oft unverschlüsselt über unsichere Netze zum Rechner
geschickt, der die Authentifizierung vornimmt.
• Oft werden einfache Passwörter w gewählt. Angreifer berechnen für
solche w die Werte f (w).
Gefahreneindämmung durch Einmal-Passwörter.
159
7.2
Challenge-Response-Authentifizierung
Bei diesem Verfahren teilt A demjenigen, gegenüber dem sie sich authentifizieren will (etwa B), nicht das Geheimnis mit (wie bei Passwörtern). Vielmehr erhält sie von B eine Aufgabe (’challenge’). die sie nur lösen kann, wenn
sie ein Geheimnis kennt. Die Lösung schickt A an B (’response’). B verifiziert
die Lösung und erkennt die Identität von A an, falls die Lösung korrekt ist.
Die einfachste Möglichkeit der Realisierung von Challenge-Response-Verfahren
ist die Verwendung von Verschlüsselungsverfahren.
7.2.a
Verwendung von symmetrischen Verschlüsselungsverfahren
A und B kennen beide den geheimen Schlüssel k eines symmetrischen Verschlüsselungsverfahrens. Will sich A gegenüber B ausweisen, teilt sie das B
mit.
B sendet Zufallszahl r an A.
A verschlüsselt r mit k und sendet c = Ek (r) an B.
B entschlüsselt c mit k und überprüft, ob Dk (c) und r übereinstimmen.
Falls ja, so ist die Identität von A anerkannt, sonst nicht.
Nachteil: B muss k kennen. Bei Verwendung dieses Verfahrens als Zugangsschutz zu Rechnernetz müssen die geheimen Schlüssel sicher gespeichert sein.
7.2.b
A
B
A
B
B
Verwendung von Public-Key-Signaturverfahren
will sich gegenüber B ausweisen.
sendet Zufallszahl an A.
signiert Zufallszahl mit ihrem geheimen Schlüssel.
verifiziert Signatur mit öffentlichem Schlüssel von A.
kennt also daher das Geheimnis von A nicht!
Gefahren: Ein böswilliger B könnte eine von C mit Hilfe des öffentlichen
Schlüssels von A verschlüsselte Nachricht für A abgefangen haben. Er sendet
(statt der Zufallszahl) diese an A. Bei der Authentifizierung durch Signatur
entschlüsselt A nun diese Nachricht für B!
Um dies zu verhindern, werden in jüngster Zeit vermehrt sogenannte ZeroKnowledge-Proof-Verfahren eingesetzt.
160
7.3
Zero-Knowledge-Beweise
Das Konzept der ’Zero-Knowledge-Proofs’ wurde 1985 von Goldwasser, Micali und Rackoff eingeführt.
Zero-Knowledge-Beweis-Systeme sind spezielle interaktive Beweissysteme. Bei
interaktiven Beweissystemen wird ein Protokoll zwischen Beweiser A und
dem Verifizierer B durchgeführt.
A kennt ein Geheimnis, B nicht.
• In dem Protokoll überzeugt der Beweiser den Verifizierer davon, dass
er das Geheimnis kennt.
• Ein Betrüger kann das nicht. (Diese Eigenschaften haben auch die
Public-Key-Verfahren zur Authentifizierung.)
Zusätzlich bei Zero-Knowledge-Beweis-Systemen ist folgende Forderung:
• Der Verifizierer erfährt nur, dass der Beweiser das Geheimnis kennt,
aber nichts weiter (gleichgültig, welche Strategie er anwendet).
Wir geben ein Beispiel, das sogenannte Fiat-Shamir-Verfahren (1986):
A, die Beweiserin, wählt p, q, große Primzahlen, bildet n = p · q.
Sie wählt s ∈ {1, . . . n − 1} zufällig mit ggT(s, n) = 1.
Sie berechnet v = s2 mod n. (v, n) ist öffentlich, s geheim.
(Beachte: s ist nur dann aus n zu bestimmen, wenn man die Faktorisierung
von n kennt.)
A beweist B, dass sie eine Quadratwurzel von v modulo n kennt.
Protokoll:
1) A wählt zufällig und gleichverteilt r ∈ {1, 2, . . . n − 1}. Sie berechnet
x = r2 mod n.
2) A sendet x an Verifizierer B.
3) B wählt zufällig mit Wahrscheinlichkeit
an A.(Challenge)
161
1
2
ein e ∈ {0, 1} und sendet e
4) Erhält A den Wert e = 0, so schickt sie r (die Wurzel von x) zurück.
Erhält A den Wert e = 1, so schickt sie y = rs mod n (also Wurzel von
xv) an B. (Response)
5) B verifiziert, dass r2 ≡ x mod n (im Fall e = 0) bzw. y 2 ≡ xv mod n
(im Fall e = 1).
Analyse:
a) Kennt A das Geheimnis, so kann sie jede der Fragen von B beantworten.
b) Ein Betrüger kann aus (n, v) das Geheimnis nicht entschlüsseln (Quadratwurzeln modulo n genauso schwierig wie Faktorisierung von n).
c) Was passiert, wenn ein Betrüger trotzdem das Protokoll mit B durchführt, um sich als A auszuweisen?
Er kann nicht beide möglichen Fragen beantworten, denn kennt er r
und rs, so auch s. Er hat also nur zwei Möglichkeiten:
• Er wählt r wie vorgesehen und sendet x = r2 mod n.
Sendet B e = 0, so antwortet er r, korrekt.
Sendet B e = 1, so kann er nicht antworten.
• Er wählt y vor und sendet x = y 2 v −1 mod n.
Bei e = 1 kann er jetzt korrekt antworten.
Bei e = 0 müsste er die Wurzel von v bestimmen. Kann er nicht.
Da er x angeben muss, bevor er e erhält, kann er mit einer Wahrscheinlichkeit von 12 richtig antworten. Nach k Wiederholungen ist die
Wahrscheinlichkeit 21k , dass er immer richtig antwortet.
Bei immer richtiger Antwort ist B mit einer Wahrscheinlichkeit von
1 − 21k überzeugt, dass A tatsächlich A ist.
d) Man kann zeigen, dass B aus diesem Beweissystem nichts über s erfährt,
außer dass A s kennt. (Gleichgültig, ob er sich dem Protokoll entsprechend verhält (e zufällig wählen) oder eine andere Strategie verfolgt.)
(Zero-Knowledge-Eigenschaft)
Man formalisiert dies dadurch, dass man fordert:
Ist die Behauptung des Beweises wahr, so kann die Interaktion zwischen
A und B in polynomialer Zeit (von B) simuliert werden, ohne dass eine
Interaktion mit dem Beweiser stattfindet.59
59
Details siehe Goldreich, Foundations of Cryptography - Basic Tools [16]
162
Literatur
[1] Charlisle Adams and Steve Lloyd. Understanding Public-Key Infrastructure. Technology Series. New Riders Publishing, Indianapolis, USA, 2
edition, 1999.
[2] Leonard Adleman, Ronald L. Rivest, and Adir Shamir. On Digital Signatures and Public Key Cryptosystems. MIT Laboratory for Computer
Science Technical Memorandum, (82), April 1977.
[3] William R. Alford, Andrew Granville, and Carl Pomerance. There are
infinitely many Carmichael numbers. Annals of Mathematics, (140):703–
722, 1994.
[4] Doris Baker and H. X. Mel. Cryptography decrypted. Addison Wesley,
Boston, 2001.
[5] Friedrich L. Bauer. Entzifferte Geheimnisse. Springer, 3 edition, 2000.
[6] Henry Beker and Fred Piper. Cipher Systems: The protection of communications. Northwood Books, London, 1982.
[7] Albrecht Beutelspacher, Jörg Schwenk, and Klaus-Dieter Wolfenstetter.
Moderne Verfahren der Kryptologie. Vieweg, Braunschweig, 4 edition,
2001.
[8] Leonore Blum, Manuel Blum, and Mike Shub. A Simple Unpredictable
Random Number Generator. SIAM Journal on Computing, (15):364–
383, 1986.
[9] Johannes Buchmann. Einführung in die Kryptographie. Springer, Berlin,
2 edition, 2001.
[10] Steve Burnett and Stephen Paine. Kryptographie. mitp, Bonn, 1 edition,
2001.
[11] Komaravolu Chandrasekharan. Einführung in die analytische Zahlentheorie. Lecture notes in mathematics ; 29. Springer, Berlin, 1966.
[12] Richard Crandall and Carl Pomerance. Prime Numbers - A Computational Perspective. Springer, New York, 2001.
[13] Hans Delfs and Helmut Knebl. Introduction to Cryptography. Springer,
Berlin, Heidelberg, 2002.
163
[14] Whitfield Diffie and Martin E. Hellman. New Directions in Cryptography. IEEE Transactions on Information Theory, 22:644–654, 1976.
[15] Wolfgang Ertel. Angewandte Kryptographie. Fachbuchverl. Leipzig im
Carl-Hanser-Verl., München, 2001.
[16] Oded Goldreich. Foundations of Cryptography - Basic Tools. Cambridge
University Press, Cambridge, 2001.
[17] Max Goldt. Quitten für die Menschen zwischen Emden und Zittan.
Haffmans Verlag, Zürich, 1993.
[18] Andrew Hodges. Alan Turing: the Enigma. Simon Schuster, New York,
1983.
[19] Patrick Horster. Kryptologie. Number 47 in Informatik. Bibliographisches Institut, Mannheim, 1985.
[20] David Kahn. The Codebreakers. MacMillan, New York, 1967.
[21] David Kahn. Seizing the Enigma. Houghton Miffin, Boston, 1991.
[22] Donald E. Knuth. The Art of Computer Programming, volume 2. Addison Wesley, Reading, Mass., 2 edition, 1998.
[23] Neal Koblitz. A course in number theory and cryptography. Springer,
New York, 2 edition, 1994.
[24] Neal Koblitz. Algebraic aspects of cryptography. Springer, Berlin u.a., 2
edition, 1999.
[25] Rudolf Lidl and Harald Niederreiter. Introduction to finite fields and
their applications. Cambridge University Press, Cambridge, 1986.
[26] Alfred J. Menezes, Paul C. van Oorschot, and Scott A. Vanstone. Handbook of Applied Cryptography. CRC Press, London, 1997.
[27] Hans Riesel. Prime Numbers and computer methods for factorizations.
Birkhäuser, Boston, 2 edition, 1994.
[28] Klaus Schmeh. Kryptografie und Public-Key-Infrastrukturen im Internet. dpunkt, Heidelberg, 2 edition, 2001.
[29] Bruce Schneier. Angewandte Kryptographie. Addison Wesley, Bonn u.a.,
1997.
164
[30] Douglas Stinson. Cryptography - Theory and Praxis. CRC Press, Boca
Raton, 1995.
[31] Wade Trappe and Lawrence C. Washington. Introduction to Cryptography with Coding Theory. Prentice Hall, New Jersey, 2002.
[32] Michael Welschenbach. Kryptographie in C und C++. Springer, Berlin
u.a., 2 edition, 2001.
[33] Michael J. Wiener. Cryptanalysis of short RSA secret exponents. IEEE
Transactions on Information Theory, 36(3):553–558, Mai 1990.
165