Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
118<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
117<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
• Die Konstruktionen s<strong>in</strong>d sehr ähnlich – beide verwenden nur die Verschlüsselung der Blockchiffre<br />
zur Erzeugung e<strong>in</strong>es pseudozufälligen Zeichenstromes mit dem durch modulare Addition<br />
verschlüsselt <strong>und</strong> durch modulare Subtraktion entschlüsselt wird. In Bild 3-50 ist e<strong>in</strong>e<br />
allgeme<strong>in</strong>e Konstruktion Schlüsseltext- <strong>und</strong> Ergebnisrückführung angegeben (output<br />
cipher feedback, abgekürzt OCFB), die durch geeignete Wahl der Funktion h „Schlüsseltextrückführung“<br />
<strong>und</strong> „Ergebnisrückführung“ umfaßt. Wie <strong>in</strong> Bild 3-49 ist für die Entschlüsselung<br />
e<strong>in</strong>e Invertierung der Funktion h nicht nötig.<br />
• Aus dieser Ähnlichkeit resultieren gleiche Vor- <strong>und</strong> Nachteile. Die ambivalente Eigenschaft der<br />
Fehlererweiterung unterscheidet sich dar<strong>in</strong>, ob sie begrenzt (selbstsynchronisierende Stromchiffre)<br />
oder potentiell unbegrenzt ist (synchrone Stromchiffre). Die Fehlererweiterung kann<br />
dadurch potentiell unbegrenzt se<strong>in</strong>, daß die Funktion h das Ergebnis der Blockverschlüsselung<br />
verwenden kann, das wiederum vom gesamten vorherigen Schlüsseltextstrom abhängen kann.<br />
wo jeder Block <strong>in</strong> jedem der zwei Durchgänge jeweils mit der Blockchiffre transformiert<br />
werden muß, etwa die Hälfte des Aufwands e<strong>in</strong>.<br />
PCBC<br />
Alle L<strong>in</strong>ien führen der Blocklänge entsprechend viele Alphabetzeichen<br />
Addition, z.B. bitweise modulo 2<br />
Subtraktion, z.B. bitweise modulo 2<br />
h beliebige Funktion, z.B. Addition mod 2 Blocklänge<br />
Speicher für Speicher für<br />
Speicher für Speicher für<br />
KlartextSchlüsseltextSchlüsseltextKlartextblock n -1 block n -1<br />
block n -1 block n -1<br />
OCFB<br />
b Blocklänge<br />
a Länge der Ausgabee<strong>in</strong>heit, a ≤ b<br />
r Länge der Rückkopplungse<strong>in</strong>heit, r ≤ b<br />
Schlüssel<br />
h<br />
Schlüssel<br />
h<br />
Addition bezüglich passend gewähltem Modulus<br />
Subtraktion bezüglich passend gewähltem Modulus<br />
Entschlüsselung<br />
Verschlüsselung<br />
h beliebige Funktion<br />
KlartextSchlüsseltextKlartextblock<br />
n block n block n<br />
Schieberegister<br />
Schieberegister<br />
1 b<br />
1 b<br />
r<br />
r<br />
Bild 3-49: Konstruktion e<strong>in</strong>er symmetrischen bzw. asymmetrischen synchronen Stromchiffre aus e<strong>in</strong>er<br />
symmetrischen bzw. asymmetrischen Blockchiffre: Blockchiffre mit Blockverkettung über<br />
Schlüssel- <strong>und</strong> Klartext<br />
b<br />
b<br />
Schlüssel<br />
Verschlüsselung<br />
Wähle aus<br />
oder<br />
ergänze<br />
Wähle aus<br />
oder<br />
ergänze<br />
Verschlüsselung<br />
Schlüssel<br />
h h<br />
b<br />
b<br />
Wähle aus<br />
Wähle aus<br />
a<br />
a<br />
Vergleicht man „Blockchiffre mit Blockverkettung“ mit „Blockchiffre mit Blockverkettung über<br />
Schlüssel- <strong>und</strong> Klartext“ so fällt zweierlei auf:<br />
• Die Konstruktionen s<strong>in</strong>d sehr ähnlich – beide verwenden Ver- <strong>und</strong> Entschlüsselung der Blockchiffre<br />
<strong>und</strong> operieren <strong>in</strong>vertierbar auf dem „Klartext“. Genauer gesagt umfaßt die letztere Konstruktion<br />
die erstere (man wähle die Funktion h so, daß sie den e<strong>in</strong>gegebenen Schlüsseltextblock<br />
ausgibt <strong>und</strong> den Klartextblock ignoriert).<br />
• Aus dieser Ähnlichkeit resultieren gleiche Vor- <strong>und</strong> Nachteile. Die ambivalente Eigenschaft der<br />
Fehlererweiterung unterscheidet sich dar<strong>in</strong>, ob sie begrenzt (selbstsynchronisierende Stromchiffre)<br />
oder potentiell unbegrenzt ist (synchrone Stromchiffre). Die Fehlererweiterung kann<br />
dadurch potentiell unbegrenzt se<strong>in</strong>, daß die Funktion h den vorherigen Klartextblock verwenden<br />
kann, der beim Entschlüsseler wiederum von allen vorherigen Schlüsseltextblöcken abhängen<br />
kann.<br />
a<br />
a<br />
a<br />
a<br />
Klartextstrom<br />
Klartextstrom Schlüsseltextstrom<br />
Bild 3-49 ist so gezeichnet, daß PCBC <strong>und</strong> CBC möglichst leicht vergleichbar s<strong>in</strong>d. Für e<strong>in</strong>e Implementierung<br />
würde s<strong>in</strong>nvollerweise nicht sowohl Klartext- <strong>und</strong> Schlüsseltextblock n-1 gespeichert,<br />
sondern stattdessen das Ergebnis der auf diese Werte angewendeten Funktion h. Dies spart e<strong>in</strong>erseits<br />
Speicherplatz <strong>und</strong> andererseits Übertragungsaufwand bei der Initialisierung der Speicherglieder.<br />
Bild 3-50: Konstruktion e<strong>in</strong>er synchronen symmetrischen Stromchiffre aus e<strong>in</strong>er determ<strong>in</strong>istischen<br />
Blockchiffre: Schlüsseltext- <strong>und</strong> Ergebnisrückführung89 3.8.2.6 Schlüsseltext- <strong>und</strong> Ergebnisrückführung (OCFB)<br />
Entsprechendes wie für „Blockchiffre mit Blockverkettung“ <strong>und</strong> „Blockchiffre mit Blockverkettung<br />
über Schlüssel- <strong>und</strong> Klartext“ gilt für „Schlüsseltextrückführung“ <strong>und</strong> „Ergebnisrückführung“:<br />
89<br />
Die Konstruktion würde dadurch, daß man h als E<strong>in</strong>gabe auch noch den Klartext gibt, nicht allgeme<strong>in</strong>er, sondern nur<br />
unübersichtlicher: Die Funktion h kann aus ihren beiden Parametern jeweils den Klartext berechnen.