Elementare Zahlentheorie und Kryptographie

Weitere Magazine

Empfehlungen

Info

26 Anschläge weiter und der langsame (linke) Rotor nur (im Mittel) bei jedem 26 2 -ten Anschlag. Details regelt die Ringstellung r ∈ A 3 (vgl. den obigen exemplarischen Schlüsselbucheintrag). An jedem Rotor kann vor dem Einlegen in den Schacht durch einen verstellbaren Ring die Position einer Kerbe eingestellt werden. Ich habe Widersprüchliches über die genaue Auswirkung der Ringstellung gelesen. Bei manchen Modellen scheint es so gewesen zu sein: Bei Ringstellung r = (r 1 , r 2 , r 3 ) zieht der schnelle Rotor den mittleren Rotor mit, nachdem im Sichtfenster r 3 zu lesen war. Der mittlere Rotor zieht den langsamen Rotor mit, wenn er ab r 2 umspringt. Die Einstellung r 1 am langsamen Rotor ist irrelevant; die UKW ist ja nicht drehbar. In Buchstabennotation ergibt sich die folgende Folge von Grundstellungen, wenn man mit Grundstellung QKF bei Ringstellung UXI auf einer solchen Enigma tippt: QKF → QKG → QKH → QKI → QLJ → QLK → QLL → QLM → · · · · · · QXH → QXI → RY J → RY K → · · · . Wenn g die Grundstellung und r die Ringstellung ist, so bezeichnen wir mit g ⊕ r n die Grundstellung nach n Anschlägen. Die Enigma verschlüsselt also bei Walzlage p, UKW u, Grundstellung g, Ringstellung r und Steckbrett-Permutation S einen Text X = x 0 x 1 x 2 · · · zu ENIGMA p,u,g,r,S (X ) = E p,u,g,S (x 0 )E p,u,g⊕r1,S(x 1 )E p,u,g⊕r2,S(x 2 ) · · · Satz 1.5.3 a) ENIGMA p,u,g,r,S ist involutorisch: Sei Y ein Enigma-Chiffrat, das bei Ausgangstellung (Schlüssel) k = (p, u, g, r, S) erzeugt wurde. Wenn man dann die Maschine erneut in die Ausgangsstellung k bringt und den Geheimtext Y eingibt, dann erhält man den Klartext zurück! Das ist natürlich sehr benutzerfreundlich. b) Die Enigma-Verschlüsselung ist fixpunktfrei: Kein Buchstabe wird jemals in sich selbst überführt. (Dies wird sich als eine entscheidende kryptologische Schwäche herausstellen!) Dies folgt leicht aus 1.5.2. Die kryptologische Stärke liegt in dem Stromchiffrencharakter: Jeder Buchstabe wird mit einer anderen Permutation verschlüsselt. Dies zerstört die Häufigkeitsverteilung des Klartextes und schleift Muster ab: Z.B. wird ANNA nicht zu OTTO verschlüsselt. Größe des Schlüsselraumes der Enigma Teilschlüssel Möglichkeiten in Bit Walzlage (incl. UKW) 5 · 4 · 3 · 2 = 120 ≈ 7 Grundstellung 26 3 ≈ 14 Ringstellung 26 2 ≈ 9 Steckbrett ≈ 150 · 10 12 ≈ 47 19
Mit insgesamt 77 Bit ist der Schlüsselraum für damalige Verhältnisse (ohne Computer!) riesig; ein reiner Brute-Force-Angriff von Hand wurde zurecht für völlig unmöglich gehalten. Zum Vergleich: DES hat einen 56-Bit Schlüssel, galt bis in die 90er Jahre als sicher und wird zum Teil heute noch verwendet. Der Löwenanteil von 47 Bit kommt allerdings von dem Steckbrett und das ist das “weniger intelligente” Bauteil. Ein alleine betriebenes Steckbrett bewirkt nur eine monoalphabetische Substitution, ist also kryptologisch recht schwach. Kurz: Die Steckbrett-Permutation ändert sich während dem Tippen auf der Enigma nicht. Das kryptologisch sehr ausgeklügelte Hauptbauteil (der Walzsatz) macht nur 30 Bit aus. Solange einem Angreifer die innere Verdrahtung der Walzen nicht bekannt ist, kommen im Prinzip noch weitere ca. 300 Bit hinzu. Ich zähle dies aber nicht zu dem Schlüsselraum, weil sich die innere Verdrahtung nicht von Tag zu Tag ändert und somit als ein Teil der Maschine bzw. des Algorithmus und nicht als Teil des einstellbaren Schlüssels anzusehen ist. In der Tat wurde die innere Verdrahtung der fünf Rotoren von dem polnischen Dechiffrierbüro um Rejewski bereits Anfang der 30er Jahre durch eine “kryptologische Meisterleistung” aufgedeckt. Hierbei wurden sowohl abgehörte Nachrichten als auch von dem Agenten Hans-Thilo Schmidt beigebrachte, streng vertrauliche Dokumente über die Enigma benutzt. Später wurden drei weitere Rotoren eingeführt, aber auch deren innere Verdrahtung blieb nicht lange geheim, denn schon bald fielen den Engländern beim Aufbringen von deutschen U-Booten gesamte Rotorensätze in die Hände. Dies ist eine eindrucksvolle Bestätigung des Kerkhoffschen Prinzips: Man sollte niemals hoffen, den Verschlüsselungs- Algorithmus (hier: den inneren Aufbau der Maschine) dauerhaft geheimhalten zu können. Welchman schreibt, es sei in der Zeit in Bletchley Park sein Alptraum gewesen, die Deutschen könnten irgendwann zu steckbaren Walzen übergehen, deren innere Verdrahtung sich von Tag zu Tag ändern läßt. Diese Angst läßt sich leicht nachvollziehen, denn dies hätte den Schlüsselraum wirklich um weitere 300 Bit vergrößert. In der Tat scheint es in Deutschland gegen Kriegsende Pläne für eine steckbare UKW gegeben zu haben, aber diese Pläne wurden nicht mehr realisiert. Dienstvorschrift für das Aufbereiten des Klartextes Weitgehend dauerhaft scheint die folgende Dienstvorschrift für die Aufbereitung des Klartextes vor dem Verschlüsseln gegolten zu haben: 1. Entferne SPACE und ersetze Satzzeichen durch X. 2. Zahlen werden ziffernweise ausgeschrieben. 3. Ersetze CH durch Q, außer bei Eigennamen. (Ich halte es kryptologisch durchaus für klug, das sehr häufige Bigramm CH zu vermeiden.) 4. Eigennamen sind zu verdoppeln und in X eizuschließen. (Dies ist m.E. 20
Seite 1 und 2: Elementare Zahlentheorie und Krypto
Seite 3 und 4: ithmische Zahlentheorie” abgedeck
Seite 5 und 6: 3.2 Der Miller-Rabin-Primzahltest .
Seite 7 und 8: Beispiele: Das klassische Beispiel
Seite 9 und 10: X = x 1 · · · x N der Länge N w
Seite 11 und 12: Bevor wir zur Kryptoanalyse der Vig
Seite 13 und 14: 1.4 Permutationen und monoalphabeti
Seite 15 und 16: War II” genannt, weil er bei der
Seite 17 und 18: hat auf beiden Seiten 26 Anschlüss
Seite 19: Schlüsselbucheinträge für die En
Seite 23 und 24: 1.6 Kryptoanalyse der Enigma Wie ge
Seite 25 und 26: Aus dem Übergangsgraphen lassen si
Seite 27 und 28: Elementen 0, 1 ∈ R derart, dass f
Seite 29 und 30: von a und b genannt, wenn g ein gr
Seite 31 und 32: Satz 2.2.2 (Z, | |) ist ein euklidi
Seite 33 und 34: Beispiel: Wir wollen ggT(51, 33), a
Seite 35 und 36: p die einzigen nicht-negativen Teil
Seite 37 und 38: Arbeiten mit Kongruenzen ist es rec
Seite 39 und 40: Sei wieder (G, +) eine abelsche Gru
Seite 41 und 42: 1. Genau dann ist [x] eine Einheit
Seite 43 und 44: ist die Menge der Nicht-Einheiten v
Seite 45 und 46: nach 2.6.1, Teil 1. Algorithmus 2.6
Seite 47 und 48: Beweis: Weil a zu N teilerfremd ist
Seite 49 und 50: werden. Dann benutzt man die Formel
Seite 51 und 52: [a m20 ] ≠ [1] muß t ≥ 1 gelte
Seite 53 und 54: von der Länge ca. 1024 Bit (d.h. c
Seite 55 und 56: Es wird vermutet, daß es keinen Po
Seite 57 und 58: Beweis. Sei wieder x := 1 2 (p + q)
Seite 59 und 60: Kapitel 4 Diskreter Logarithmus 4.1
Seite 61 und 62: Beweis: Sei n := ord(x). Offenbar g
Seite 63 und 64: für alle x, y ∈ G. Man beachte:
Seite 65 und 66: Bemerkung 4.1.8 Sei G eine endliche
Seite 67 und 68: d.h. mit x j = f j (x 0 ), wobei f
Seite 69 und 70: ereitgestellt. Dies ist wesentlich
Seite 71 und 72:
Kapitel 5 Public-Key-Verfahren, die
Seite 73 und 74:
Satz 5.1.2 (Primzahlen in arithmeti
Seite 75 und 76:
Der Nachrichtenraum des Verfahrens
Seite 77 und 78:
Beispiel: Betrachten wir die Usergr
Seite 79 und 80:
a) Ein Angreifer Oskar möchte auch
Seite 81 und 82:
Erzeugung der ElGamal-Signatur: Um
Seite 83 und 84:
Sei T (Trustcenter) ein User, desse
Seite 85 und 86:
( Für zwei Zahlen a, b ∈ Z mit a
Seite 87 und 88:
3. Für b, c ∈ N ungerade und u
Seite 89 und 90:
) /* Ende while if(a=0, s:=0); Ausg
Seite 91 und 92:
Algorithmus 6.2.6 (Algorithmus für
Seite 93 und 94:
Wir erinnern an die Hauptergebnisse
Seite 95 und 96:
Daraus 2 folgt, daß (∗) keine L
Seite 97 und 98:
schickt. Oskar überlegt sich, was
Alle anzeigen

Elementare Zahlentheorie und Kryptographie

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?