4: Stromchiffren

Stefan Lucks Krypto und Mediensicherheit (2009) 4: Stromchiffren 

4: Stromchiffren 

Zwei Grundbausteine der symmetrischen Kryptographie: 

Stromchiffren 

Verschlüsseln “beliebig langer Klartexte”, 

interner Zustand 

Blockchiffren 

Verschlüsseln von Blocks einer festen Größe, 

zustandslos 

In der Praxis: 

◮ “Betriebsarten” für Blockchiffren erlauben das 

Verschlüsseln “beliebig langer” Klartexte 

◮ Stromchiffren eher für ressourcenbeschränkte 

Einsatzgebiete, z.B. Mobilkommunikation 

– 43 –


In diesem Kapitel: 

◮ Was sind Stromchiffren? 

◮ Praktische Bausteine 

(LFSRs). 

◮ Präsentation einer 

speziellen Stromchiffre 

(des A5 aus dem GSM 

Mobilfunknetz). 

◮ Erklärung eines Angriffs 

auf den A5! 

◮ Etwas Theorie. 

– 44 –


Synchrone Stromchiffre 

 

 

Schlüssel 

✲ 

✛✘ 

f ✛ 

✚✙ 

✻ 

Zustand 

✛✘ ❄ 

✲ 

g 

✚✙ 

Klartext 

 

✛✘ ✠ 

✲ 

✚✙ 

❅ 

❅❘ 

Chiffretext 

– 45 –


Synchrone Stromchiffre (2) 

◮ Synchronisation zwischen Sender und Empfänger 

muss gewährleistet sein. 

(→ ggf. zusätzl. 

Maßnahmen) 

◮ Es gibt auch andere selbstsynchronisierende 

Stromchiffren, die wir in der Vorlesung aber nicht 

weiter behandeln. 

◮ Änderung eines Chiffretext-Blocks ⇔ Änderung eines 

Klartext-Blocks. (→ kein Schutz der Authentitzität) 

– 46 –


Katastrophaler Fehler bei Synchronen 

Stromchiffren: 

◮ Mehrfache Verwendung eines Startzustandes. 

◮ Genauso schlimm (und dumm) wie bei der 

Vernam-Chiffre. 

◮ Diesen Fehler trifft man in der Praxis erstaunlich oft 

an!!! 

Beispiel: 

Christiane Rütten, “Verschusselt statt verschlüsselt” 

16.02.2008, 11:57 

http://www.heise.de/security/artikel/print/103093 

– 47 –


Synchrone Stromchiffre (3) 

Häufigster Spezialfall: Binäre additive Flußchiffre. 

Pseudozufälliger Bitstrom, erzeugt mit Hilfe eines 

Pseudozufallsbitgenerators (PZBG): 

Schlüssel 

✲ 

PZBG 

Klartext 

✓✏ 

✠ 

✲ 

✒✑ 

❅ ❅❘ 

Chiffretext 

Der mit dem PZBG erzeugte Schlüsselstrom wird zum 

Verschlüsseln bit-weise zum Klartext addiert, zum 

Entschlüsseln bit-weise vom Chiffretext subtrahiert. 

(In beiden Fällen die gleiche Operation: XOR.) 

– 48 –


Abstrakte PZBGs 

Schlüssel 

Klartext 

01001010 

PZG 

Schlüsselstrom 

11010001 

Chiffretext 

10011011 

Ein PZBG ist kryptographisch sicher, wenn man den 

Schlüsselstrom ohne Kenntnis des Schlüssels nicht von 

einem zufälligen Bit-Strom („Würfe mit einer fairen 

Münze“) unterscheiden kann. 

– 49 –


4.1: Schieberegister 

Einfaches SR: 

Funktion 

SR mit Rückkopplung: 

4.1: Schieberegister – 50 –


LFSR 

Ist die Rückkopplungsfunktion linear, dann sprechen wir 

von einem „linearen rückgekoppelten Schieberegister“ 

oder einem linearen Feedback-Shiftregister (LFSR). 

Beispiel: 



Eigenschaften von LFSR: 

◮ „Lokale Zufälligkeit“ 

◮ Effizient, insbesondere in Hardware 

◮ Große Periode (n-bit Register: maximal 2 n − 1) 

(Warum nicht größer?) 

◮ Lösbar durch lineare Gleichungen 



Allgemeine LFSR 

x3 x2 

x 1 x 0 

a3 

a2 

a1 a0 



Allgemeine LFSR (2) 

PZBG g : {0, 1} n → {0, 1} n+1 , definiert durch 

g(x n−1 , . . . , x 0 ) = (x 0 , f an−1 ,...a 0 

(x n−1 , . . . , x 0 ), x n−1 , . . . , x 1 ) 

mit der Feedback-Funktion 

f an−1 ,...a 0 

(x n−1 , . . . , x 0 ) = ⊕ 

0≤i


Allgemeine LFSR (3) 

Die Theorie der LFSR ist mathematisch gut verstanden. 

Es ist nicht schwierig, das Feedback-Polynom so zu 

wählen, daß ein maximales LFSR vorliegt. 

Umgekehrt sind known plaintext Angriffe auf LFSR sogar 

dann einfach, wenn das Feedback-Polynom unbekannt, 

also Teil des Schlüssels, ist (was i.d.R. nicht der Fall ist). 

Beispiel: n = 4, Bitfolge 00011110. 

LFSR sind . . . linear. (∗ Welche Überraschung! ∗) 

⇒ Ein LFSR bildet einen sehr schlechten PZBG! 

Aber: LFSR werden gerne als Bausteine für PZBGs 

genutzt, in Verbindung mit nichtlinearen Bausteinen. 



4.2: A5-PZBG im GSM Mobilfunknetz 

Das GSM Sicherheitsprotokoll 

Ki 

 

 

 

Nutzerkennung 

Zufallszahl RAND 

¤¡¤¡¤¡¤¡¤¡¤¡¤¡¤ ¥¡¥¡¥¡¥¡¥¡¥¡¥¡¥ ¦¡¦¡¦¡¦¡¦¡¦¡¦¡¦ 

£¡£¡£¡£¡£¡£¡£¡£¡£ 

Ki 

£¡£¡£¡£¡£¡£¡£¡£¡£ ¤¡¤¡¤¡¤¡¤¡¤¡¤¡¤ ¦¡¦¡¦¡¦¡¦¡¦¡¦¡¦ ¥¡¥¡¥¡¥¡¥¡¥¡¥¡¥ 

¦¡¦¡¦¡¦¡¦¡¦¡¦¡¦ ¥¡¥¡¥¡¥¡¥¡¥¡¥¡¥ 

¤¡¤¡¤¡¤¡¤¡¤¡¤¡¤ £¡£¡£¡£¡£¡£¡£¡£¡£ 

£¡£¡£¡£¡£¡£¡£¡£¡£ ¤¡¤¡¤¡¤¡¤¡¤¡¤¡¤ ¥¡¥¡¥¡¥¡¥¡¥¡¥¡¥ ¦¡¦¡¦¡¦¡¦¡¦¡¦¡¦ 

¤¡¤¡¤¡¤¡¤¡¤¡¤¡¤ ¥¡¥¡¥¡¥¡¥¡¥¡¥¡¥ ¦¡¦¡¦¡¦¡¦¡¦¡¦¡¦ 

£¡£¡£¡£¡£¡£¡£¡£¡£ 

¥¡¥¡¥¡¥¡¥¡¥¡¥¡¥ ¦¡¦¡¦¡¦¡¦¡¦¡¦¡¦ 

¤¡¤¡¤¡¤¡¤¡¤¡¤¡¤ ¡¡¡¡¡ ¡¡¡¡¡ ¡¡¡¡¡ ¡¡¡¡¡ 

£¡£¡£¡£¡£¡£¡£¡£¡£ 

¡¡¡¡¡ ¡¡¡¡¡ ¡¡¡¡¡ ¡¡¡¡¡ ¦¡¦¡¦¡¦¡¦¡¦¡¦¡¦ ¥¡¥¡¥¡¥¡¥¡¥¡¥¡¥ 

¤¡¤¡¤¡¤¡¤¡¤¡¤¡¤ £¡£¡£¡£¡£¡£¡£¡£¡£ 

¤¡¤¡¤¡¤¡¤¡¤¡¤¡¤ ¥¡¥¡¥¡¥¡¥¡¥¡¥¡¥ ¦¡¦¡¦¡¦¡¦¡¦¡¦¡¦ 

£¡£¡£¡£¡£¡£¡£¡£¡£ 

¡¡¡¡¡ ¡¡¡¡¡ ¡¡¡¡¡ ¡¡¡¡¡ 

SRES := A3(Ki,RAND) 

SRES = 

? 

A3(Ki,RAND) 

£¡£¡£¡£¡£¡£¡£¡£¡£ ¤¡¤¡¤¡¤¡¤¡¤¡¤¡¤ ¥¡¥¡¥¡¥¡¥¡¥¡¥¡¥ ¦¡¦¡¦¡¦¡¦¡¦¡¦¡¦ 

¡¡¡¡¡ ¡¡¡¡¡ ¡¡¡¡¡ ¡¡¡¡¡ 

¡¡¡¡¡¡¡¡¡ ¡¡¡¡¡¡¡¡¡ ¡¡¡¡¡¡¡¡¡ 

¡¡¡¡¡¡¡¡¡¡ 

¦¡¦¡¦¡¦¡¦¡¦¡¦¡¦ 

£¡£¡£¡£¡£¡£¡£¡£¡£ 

¡¡¡¡¡¡¡¡¡¡ 

¥¡¥¡¥¡¥¡¥¡¥¡¥¡¥ 

¡¡¡¡¡¡¡¡¡ ¡¡¡¡¡¡¡¡¡ ¡¡¡¡¡¡¡¡¡ 

¤¡¤¡¤¡¤¡¤¡¤¡¤¡¤ 

£¡£¡£¡£¡£¡£¡£¡£¡£ 

¡¡¡¡¡¡¡¡¡¡ 

¤¡¤¡¤¡¤¡¤¡¤¡¤¡¤ 

¡¡¡¡¡¡¡¡¡ 

¦¡¦¡¦¡¦¡¦¡¦¡¦¡¦ 

¡¡¡¡¡¡¡¡¡ ¡¡¡¡¡¡¡¡¡ 

¥¡¥¡¥¡¥¡¥¡¥¡¥¡¥ 

¡¡¡¡¡¡¡¡¡ 

¦¡¦¡¦¡¦¡¦¡¦¡¦¡¦ 

¡¡¡¡¡¡¡¡¡ 

¤¡¤¡¤¡¤¡¤¡¤¡¤¡¤ 

¡¡¡¡¡¡¡¡¡ 

¥¡¥¡¥¡¥¡¥¡¥¡¥¡¥ 

¡¡¡¡¡¡¡¡¡¡ 

£¡£¡£¡£¡£¡£¡£¡£¡£ 

¡¡¡¡¡¡¡¡¡ ¡¡¡¡¡¡¡¡¡ 

¡¡¡¡¡¡¡¡¡ ¡¡¡¡¡¡¡¡¡¡ 

¦¡¦¡¦¡¦¡¦¡¦¡¦¡¦ ¥¡¥¡¥¡¥¡¥¡¥¡¥¡¥ 

¤¡¤¡¤¡¤¡¤¡¤¡¤¡¤ £¡£¡£¡£¡£¡£¡£¡£¡£ 

£¡£¡£¡£¡£¡£¡£¡£¡£ ¤¡¤¡¤¡¤¡¤¡¤¡¤¡¤ ¦¡¦¡¦¡¦¡¦¡¦¡¦¡¦ 

§¡§¡§¡§¡§¡§¡§¡§¡§¡§¡§¡§¡§¡§¡§ 

¨¡¨¡¨¡¨¡¨¡¨¡¨¡¨¡¨¡¨¡¨¡¨¡¨¡¨ ¥¡¥¡¥¡¥¡¥¡¥¡¥¡¥ 

©¡©¡©¡©¡©¡©¡©¡©¡©¡©¡©¡©¡©¡©¡© 

¡¡¡¡¡¡¡¡¡¡¡¡¡ 

¦¡¦¡¦¡¦¡¦¡¦¡¦¡¦ ¥¡¥¡¥¡¥¡¥¡¥¡¥¡¥ 

¤¡¤¡¤¡¤¡¤¡¤¡¤¡¤ £¡£¡£¡£¡£¡£¡£¡£¡£ 

¡¡¡¡¡¡¡¡ 

¢¡¢¡¢¡¢¡¢¡¢¡¢¡¢¡¢¡¢ 

¨¡¨¡¨¡¨¡¨¡¨¡¨¡¨¡¨¡¨¡¨¡¨¡¨¡¨ 

©¡©¡©¡©¡©¡©¡©¡©¡©¡©¡©¡©¡©¡©¡© 

¡¡¡¡¡¡¡¡¡¡¡¡¡ 

§¡§¡§¡§¡§¡§¡§¡§¡§¡§¡§¡§¡§¡§¡§ 

Kc := A8(Ki,RAND) 

Kc := A8(Ki,RAND) 

Verschlüsselte Sprachdaten 

A5(Kc) 

¤¡¤¡¤¡¤¡¤¡¤¡¤¡¤ ¥¡¥¡¥¡¥¡¥¡¥¡¥¡¥ ¦¡¦¡¦¡¦¡¦¡¦¡¦¡¦ 

§¡§¡§¡§¡§¡§¡§¡§¡§¡§¡§¡§¡§¡§¡§ 

¨¡¨¡¨¡¨¡¨¡¨¡¨¡¨¡¨¡¨¡¨¡¨¡¨¡¨ 

©¡©¡©¡©¡©¡©¡©¡©¡©¡©¡©¡©¡©¡©¡© 

¡¡¡¡¡¡¡¡¡¡¡¡¡ 

£¡£¡£¡£¡£¡£¡£¡£¡£ 

¡¡¡¡¡¡¡¡ 

¢¡¢¡¢¡¢¡¢¡¢¡¢¡¢¡¢¡¢ 

¤¡¤¡¤¡¤¡¤¡¤¡¤¡¤ ¥¡¥¡¥¡¥¡¥¡¥¡¥¡¥ ¦¡¦¡¦¡¦¡¦¡¦¡¦¡¦ 

§¡§¡§¡§¡§¡§¡§¡§¡§¡§¡§¡§¡§¡§¡§ 

¨¡¨¡¨¡¨¡¨¡¨¡¨¡¨¡¨¡¨¡¨¡¨¡¨¡¨ 

©¡©¡©¡©¡©¡©¡©¡©¡©¡©¡©¡©¡©¡©¡© 

¡¡¡¡¡¡¡¡¡¡¡¡¡ 

£¡£¡£¡£¡£¡£¡£¡£¡£ 

4.2: A5-PZBG im GSM Mobilfunknetz – 56 –


Der A5-PZBG 

Takt− 

kontrolle 

LFSR1 

LFSR2 

LFSR3 

Takt 

LSFR1: 19 bit, LFSR2: 22 bit, LFSR3: 23 bit, 

gesamt: 64 bit 



Der A5-PZBG (2) 

Die Feedback-Polynome der drei LFSR sind bekannt. 

Die „mittleren“ Bits m 1 , m 2 und m 3 der LFSR dienen als 

Input für die Taktkontrollfunktion t : {0, 1} 3 → {0, 1} 3 . 

Deren Verhalten hängt von der Summe s = m 1 + m 2 + m 3 

(nicht mod 2) ab: 

{ (m1 , m 

t(m 1 , m 2 , m 3 ) = 

2 , m 3 ) falls s ≥ 2 

(m 1 , m 2 , m 3 ) sonst. 

Also werden immer mindestens 2, manchmal alle drei 

LFSR getaktet – im Durchschnitt werden 2 1 4 Register 

getaktet. 



Der A5 PZBG (Beobachtungen) 

◮ Jedes Register wird im Durchschnitt etwa 3/4-mal 

pro Ausgabebit getaktet. 

◮ Es gibt „schwache Schlüssel“, bei denen mindestens 

eines der LFSR konstant Null ist. 

Der Anteil der schwachen Schlüssel ist > 2 −19 . 

◮ Die Zykluslänge ist unbekannt. Experimente deuten 

darauf hin, dass sie im Durchschnitt etwa 2 23 beträgt. 



Der A5 PZBG (Arbeitsweise) 

◮ Einsatz des A5 zur Verschlüsselung digitalisierter 

(Sprach-)Daten. 

◮ GSM sendet in kurzen Abständen Datenblöcke 

(“Frames”). 

◮ Ein Frame enthält bis zu 228 Datenbits (114 für jede 

Kommunikationsrichtung bei “full duplex” 

Arbeitsweise). 

◮ Zu jedem Frame gehört eine (öffentlich bekannte) 

Frame-Nummer (22 bit). 



Der A5 PZBG (Arbeitsweise 2) 

◮ Resynchronisation vor jedem Frame: 

Setze A5 auf Initialzustand (=Schlüssel) 

Generiere aus Initialzustand und Frame-Nummer den 

Startzustand für den Frame. 

◮ Vermutlich Schlüsselwechsel bevor Frame-Nummern 

sich wiederholen. 

(Darauf wird in der mir bekannten Literatur nicht 

eingegangen. Es dauert einige Stunden, bis nach 2 22 

Frames ein Schlüsselwechsel nötig wird.) 



Ein Angriff auf den A5 PZBG 

Known Plaintext Angriff: 

Gegeben: 64 bit b 0 , b 1 , . . . , b 63 des Schlüsselstroms. 

Gesucht: Startzustand der LFSRs: x 18 , . . . x 0 (LFSR1), 

y 21 , . . . u 0 (LFSR2) z 22 , . . . z 0 (LFSR3). 

(→ Tafel) 



Folgerungen für die Sicherheit des A5 

PZBG 

Von einer „guten“ Chiffre mit einem 64 bit Schlüssel 

würde man erwarten, daß ein Angriff im Durchschnitt 

etwa 2 63 Schritte erfordert, wie bei einem Brute-Force 

Angriff. Der A5 Schlüsselstromgenerator ist in diesem 

Sinne kein „guter“ Algorithmus. 

Das Abhören der (mit dem A5 Algorithmus 

verschlüsselten) Luftschnittstelle im GSM Mobilfunknetz 

ist mit dem in dieser Vorlesung geschilderten Angriff zwar 

nicht trivial, aber möglich. 

Weitere verbesserte Angriffe machen das Abhören der 

Luftschnittstelle sogar sehr einfach. 



4.3: Theorie: Die Sicherheit eines PZBGs 

als Stromchiffre 

Satz 3 

PZBG kryptographisch sicher ⇒ Binäre additive 

Stromchiffre sicher. 

Beweis-Idee: 

Wenn die Schlüsselstrom-Bits „echt zufällig“ sind, ist die 

Chiffre sicher (→ Vernam-Chiffre). 

Kann man die Chiffre „knacken“, dann hat man auch ein 

Kriterium, den Schlüsselstrom von einem Strom „echt 

zufälliger“ Bits zu unterscheiden. 

4.3: Theorie: Die Sicherheit eines PZBGs als Stromchiffre – 64 –


Was heisst hier „sicher“? 

Ein Kryptosystem gilt als sicher gegen eine bestimmte 

Klasse von Angriffen, wenn es keine effizienten 

Algorithmen gibt, die bei einem derartigen Angriff mit 

signifikanter Wahrscheinlichkeit erfolgreich sind. 

Die Begriffe effizient und signifikante 

Wahrscheinlichkeit lassen sich grundsätzlich mit 

konkreten Vorstellungen identifizieren („10 25 MIPS-Jahre“, 

“Wahrscheinlichkeit kleiner als 10 −25 ”). 

Die Begriffe haben aber auch eine streng formale 

Definition in der Komplexitätstheorie. (→ Tafel) 



PZBG (Definition) 

Ein Pseudozufallsbitgenerator (PZBG) ist eine Familie 

von effizient berechenbaren Funktionen 

mit l(k) ≥ k. 

f k : {0, 1} k → {0, 1} l(k) 

Intention: Nimm einen „kurzen“ k-bit Schlüssel als Input 

für f , um einen „langen“ l(k)-bit Schlüsselstrom zu 

erzeugen. In der Regel ist l(k) ≫ k. 



PZBG (Angreifer) 

Ein Angreifer auf einen PZBG ist ein effizienter 

Algorithmus, der einen l(k)-bit Schlüsselstrom als 

Eingabe hat und ein Bit ausgibt. 

Sei x 0 ∈ {0, 1} l(k) ein mit dem PZBG unter einem 

zufälligen Schlüssel erzeugter Schlüsselstrom, 

x 1 ∈ {0, 1} l(k) sei das Ergebnis von l(k) unabhängigen 

Würfen mit einer fairen Münze. 

Der Vorteil eines Angreifers (auf einen PZBG) ist 

∣ Pr[A gibt „0“ aus|x 0] − Pr[A gibt „0“ aus|x 1 ] 

∣ . 



PZBG (Definition der Sicherheit) 

Ein PZBG ist sicher, wenn es keinen effizienten Angreifer 

gibt, der einen signifikanten Vorteil erreicht. 

Intention: Der Vorteil gibt an, ob man zwischen einem 

pseudozufälligen und einem zufälligen Schlüsselstrom 

unterscheiden kann. Bei einem sicheren PZBG soll dies 

eben praktisch unmöglich sein. 



PZBGs aus PZBGs 

Sei λ ≥ 0. Wir definieren eine Familie {f λ k } k∈IN von 

Funktionen 

f λ k : {0, 1} k → {0, 1} k+λ , 

mit Hilfe einer Familie {f k } k∈IN von Funktionen 

f k : {0, 1} k → {0, 1} k+1 . 



PZBGs aus PZBGs (2) 

Algorithmus zur Berechnung von f λ k : 

Eingabe: (x 1 , . . . , x k ) ∈ {0, 1} k und λ ≥ 0. 

Ausgabe: (z 1 , . . . , z k+λ ) ∈ {0, 1} k . 

Für i := 1 bis λ: 

Berechne (z i , x 1 , . . . , x k ) := f k (x 1 , . . . , x k ). 

Setze (z λ+1 , . . . , z λ+k ) := (x 1 , . . . , x k ). 



Das „Ein-Bit-ist-genug Theorem“ 

Satz 4 (Ein-Bit-ist-genug) 

Sei λ = λ(k) ≥ 0 durch ein Polynom in k beschränkt. 

Dann gilt: 

Beweis: 

(→ Tafel) 

a) Wenn {f k } k∈IN effizient berechenbar ist, dann 

ist auch {fk λ} k∈IN effizient berechenbar. 

b) Wenn {f k } k∈IN sicher ist, dann ist auch 

{fk λ} k∈IN sicher.

4: Stromchiffren

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?