Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

100 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 99 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 3.7.5 Die Teilschlüsselerzeugung Zwar ist die Wahl der Verschlüsselungsfunktion f für die Umkehrbarkeit bei Kenntnis des Schlüssels ohne Belang. Für die Sicherheit, d.h. die Nichtumkehrbarkeit für alle, die den Schlüssel nicht kennen, aber essentiell. Deshalb wird ihr grober Aufbau kurz beschrieben. Wie Bild 3-37 zeigt, werden aus dem 64-Bit-Schlüssel durch die permutierende Auswahlfunktion PC-1 (PC: permuted choice) 56 Bits ausgewählt und auf die beiden 28-Bit-Blöcke C0 und D0 aufgeteilt. Man erhält Ci und Di (i = 1, .., 16), indem man die Bits in Ci-1 und Di-1 um 1 oder 2 Stellen (abhängig von i) für die Verschlüsselung nach links rotiert (zyklischer Linksshift LSi ). Die Teilschlüssel Ki gewinnt man dann, indem man Ci und Di konkateniert und mit PC-2 daraus 48 Bits auswählt. 3.7.4 Die Verschlüsselungsfunktion Der erste Parameter der in Bild 3-36 dargestellten Verschlüsselungsfunktion, ein 32-Bit-Block, wird durch die Expansionspermutation E auf 48 Bit erweitert. (Eine Permutation vertauscht einzelne Bits, ohne ihre Werte oder Anzahl zu ändern. Bei einer Expansionspermutation hingegen treten manche Eingabebits in der Ausgabe mehrfach auf.) 64-Bit-Schlüssel (nur 56 Bits verwendet) PC-1 R i-1 f 32 D 0 C 0 E Aufblähen 48 LS 1 LS 1 i K 48 ⊕ Schlüssel eingehen lassen 48 D 1 C 1 K 1 PC-2 S 2 S 3 S 4 S 5 S 6 S 7 S 8 S 1 LS 2 LS 2 Nichtlinearität schaffen (alle anderen Operationen sind linear) D 2 C 2 32 K 2 PC-2 P Mischen 32 D 16 C 16 K 16 PC-2 f(R , K ) i-1 i Bild 3-36: Verschlüsselungsfunktion f von DES Bild 3-37: Teilschlüsselerzeugung von DES Bei DES wird für die Verschlüsselung in 12 der 16 Iterationsrunden um 2 Bit nach links rotiert, in den anderen 4 Iterationsrunden um 1 Bit, so daß insgesamt um 28 Bit rotiert wird und damit am Schluß der gleiche Zustand wie am Anfang vorliegt, d.h. C0 = C16 und D0 = D16 . Folglich besteht eine Möglichkeit, die Teilschlüssel für die Entschlüsselung zu generieren darin, einfach um die entsprechenden (d.h. in ihrer Reihenfolge umgedrehten) Bitanzahlen nach rechts zu rotieren. 3.7.6 Komplementaritätseigenschaft von DES Bei Wahl dieser Verschlüsselungsfunktion und Teilschlüsselerzeugung gibt es bei DES eine einzige einfache Regelmäßigkeit, die sogenannte Komplementaritätseigenschaft: DES(k, x) = DES(k, x) Werden Klartextblock und Schlüssel bitweise komplementiert (jede 0 durch eine 1 ersetzt und umgekehrt), so ergibt sich der komplementäre Schlüsseltext, denn Anschließend wird der zweite Parameter, ein 48-Bit-Block (nämlich einer der Teilschlüssel) hinzuaddiert (bitweise modulo 2). Die Summe wird in acht 6-Bit-Blöcke aufgeteilt, mit denen jeweils ein 4-Bit-Wert aus einer Substitutionsbox Sj , (j = 1,..., 8) ausgewählt wird. (Die Substitutionsboxen arbeiten nicht bitweise, sondern ordnen Werten von Bit-Blöcken Werte von Bit-Blöcken zu. Sie schaffen so Nichtlinearität, während bei Permutationen und Addieren-modulo-2 jeweils Invertieren eines Eingabebits ein inverses Ausgabebit bewirkt. Wäre DES linear, könnte z.B. bei einem Klartext-Schlüsseltext-Angriff der Wert des Schlüssels Bit für Bit bestimmt werden, vgl. Aufgabe 3-17 f).) Die acht 4-Bit-Werte werden zu einem 32-Bit-Block zusammengefaßt. Auf diesen wird die Permutation P angewandt, wodurch man das Funktionsergebnis erhält. P mischt die Ausgaben der Substitutionsboxen, damit in der nächsten Iterationsrunde die Ausgaben jeder Substitutionsbox in mehrere Substitutionsboxen eingehen. So wird mit acht kleinen Substitutionsboxen mit je 26 Einträgen von je 4 Bit, insgesamt also einem Speicheraufwand von 8•26•4 Bit = 28 Byte, näherungsweise eine große Substitution mit 248 Einträgen von je 32 Bit realisiert, für die insgesamt ein Speicheraufwand von 248•32 Bit = 250 Byte nötig wäre.
102 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 101 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr Komplement R i-1 f 32 E 48 Komplement i K 48 ⊕ 48 Original Permutationen erhalten die Komplementarität, insbesondere also PC-1 und PC-2 sowie IP und IP-1 , Rotationen erhalten die Komplementarität, so daß bei komplementärem Schlüssel auch die Teilschlüssel komplementär sind, jede Iterationsrunde erhält die Komplementarität, da nach der Expansionspermutation E zum komplementären Wert der komplementäre Teilschlüssel modulo 2 addiert wird, so daß sich vor den Substitutionen die Komplementarität weghebt (da 0⊕0 = 1⊕1 und 1⊕0 = 0⊕1), nach den Substitutionen aber durch die Addition modulo 2 von Li-1 wieder hergestellt wird, und da das Kopieren von Ri-1 nach Li trivialerweise die Komplementarität erhält, Vertauschen von linker und rechter Hälfte erhält die Komplementarität. S 8 S 7 S 6 S 5 S 4 S 3 S 2 S 1 Die Bilder 3-38 und 3-39 verdeutlichen zusammen den Erhalt der Komplementarität in jeder Iterationsrunde. 32 P Komplement Komplement 32 Original R i-1 L i-1 f(R , K ) i-1 i Bild 3-39: Komplementarität in der Verschlüsselungsfunktion f von DES Komplement Ki f Original ⊕ Iterationsrunde i Diese Regelmäßigkeit kann genutzt werden, um den Aufwand der Suche durch den Schlüsselraum nahezu zu halbieren: Liegen zu zwei komplementären Klartextblöcken die zugehörigen Schlüsseltextblöcke vor (etwa als Ergebnis eines gewählten Klartext-Schlüsseltext-Angriffs), dann wird einer der Klartextblöcke solange mit anderen Schlüsseln verschlüsselt, bis entweder der zugehörige Schlüsseltextblock oder das Komplement des anderen Schlüsseltextblocks entsteht. Im 1. Fall wurde der Schlüssel gefunden. Im 2. Fall wurde das Komplement des Schlüssels gefunden, da Komplement des Klartextblocks mit Komplement des Schlüssels verschlüsselt das Komplement des Schlüsseltextes ergibt. In beiden Fällen kann noch mit sehr geringer Wahrscheinlichkeit die Situation eingetreten sein, daß zu einem einzelnen Klartext-Schlüsseltext-Paar mehrere Schlüssel passen, so daß die Richtigkeit des Schlüssels in beiden Fällen noch an weiteren Klartext-Schlüsseltext-Paaren geprüft werden muß. Dies gilt – unabhängig von der Komplementaritätseigenschaft – allgemein für DES. L i:= R i-1 R i := L i-1⊕ f(R i-1,K i ) Komplement Komplement Bild 3-38: Komplementarität in jeder Iterationsrunde von DES 3.7.7 Verallgemeinerung von DES: G-DES Die Sicherheit von DES wird seit langem aus zwei Gründen kritisiert: • Der Schlüssel ist mit 56 Bit Länge inzwischen für Anwendungen, die Sicherheit auch bei massiven Angriffen (etwa durch Geheimdienste) erfordern, zu kurz: Mit einem Klartext-Schlüsseltext-Angriff wurde DES im Januar/Februar 1998 vollständig gebrochen. Während ihrer Leerlaufzeit durchsuchten 22000 Rechner über das Internet koordiniert brute-force den Schlüsselraum. Innerhalb von 39 Tagen wurden dabei etwa 85% aller möglichen Schlüssel ausprobiert, bis der richtige gefunden wurde [CZ_98]. Alternativ zu diesem software-basierten, nahezu kostenlosen Angriff wird der Bau von Spezialmaschinen diskutiert [Schn_96 Seite 152-157]: Bei der 1995 verfügbaren Technologie sei das Produkt aus Kosten der Maschine in US$ und durchschnittlicher Zeit in
Seite 1 und 2:
A. Pfitzmann: Datensicherheit und K
Seite 3 und 4:
VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6: X A. Pfitzmann: Datensicherheit und
Seite 7 und 8: 2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10: 6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12: 10 A. Pfitzmann: Datensicherheit un
Seite 55: 98 A. Pfitzmann: Datensicherheit un
Seite 59 und 60: 106 A. Pfitzmann: Datensicherheit u
Seite 107 und 108:
202 A. Pfitzmann: Datensicherheit u
Seite 109 und 110:
Seite 111 und 112:
Seite 113 und 114:
Seite 115 und 116:
Seite 117 und 118:
Seite 119 und 120:
Seite 121 und 122:
Seite 123 und 124:
Seite 125 und 126:
Seite 127 und 128:
Seite 129 und 130:
Seite 131 und 132:
Seite 133 und 134:
Seite 135 und 136:
Seite 137 und 138:
Seite 139 und 140:
Seite 141 und 142:
Seite 143 und 144:
Seite 145 und 146:
Seite 147 und 148:
Seite 149 und 150:
Seite 151 und 152:
Seite 153 und 154:
Seite 155 und 156:
Seite 157 und 158:
Seite 159 und 160:
Seite 161 und 162:
Seite 163 und 164:
Seite 165 und 166:
Seite 167 und 168:
Seite 169 und 170:
Seite 171 und 172:
Seite 173 und 174:
Seite 175 und 176:
Seite 177 und 178:
Seite 179 und 180:
Seite 181 und 182:
Seite 183 und 184:
Seite 185 und 186:
Seite 187 und 188:
Seite 189 und 190:
Seite 191 und 192:
Seite 193 und 194:
Seite 195 und 196:
Seite 197 und 198:
Seite 199 und 200:
Seite 201 und 202:
Seite 203 und 204:
Seite 205 und 206:
Seite 207 und 208:
Seite 209 und 210:
Seite 211 und 212:
Seite 213 und 214:
Seite 215 und 216:
Seite 217 und 218:
Seite 219 und 220:
Seite 221 und 222:
Seite 223 und 224:
Seite 225 und 226:
Seite 227 und 228:
Seite 229 und 230:
Seite 231 und 232:
A. Pfitzmann: Datensicherheit und K
Seite 233 und 234:
Seite 235 und 236:
Seite 237 und 238:
Seite 239 und 240:
Seite 241 und 242:
Seite 243 und 244:
Seite 245 und 246:
Seite 247 und 248:
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?