Überblick über die Vorlesung 4 Symmetrische Verfahren ...

Überblick über die Vorlesung 

1. Einführung 

2. Grundlagen 

3. Klassische Verfahren 

4. Symmetrische Verfahren 

– Blockchiffren 

– Feistel-Chiffre 

– Kryptographische Güte einer Verschlüsselungsfunktion 

– DES 

• Betriebsarten 

• Differentielle Kryptoanalyse 

• Lineare Kryptoanalyse 

– IDEA 

– AES 

5. Asymmetrische Verfahren 

Kryptographie und Kryptoanalyse 88 

4 Symmetrische Verfahren – Blockchiffren 

Blockchiffren 

• Verschlüsselung von Nachrichten fester Länge 

(Stromchiffren: Verschlüsselung von Nachrichten beliebiger 

Länge) 

• Nachricht m in b Blöcke der Länge l unterteilt: 

m = m 1 

m 2 

… m b 

, m i 

= m i1 

m i2 

… m il 

, m ij 

∈ {0, 1} 

• Verschlüsselung der Nachrichtenblöcke mit k ∈ K: 

c i 

= enc(k, m i 

) 

praktischer Einsatz: Betriebsarten 

• längentreue Verfahren: length(m i 

) = length(c i 

) 

• Anforderungen an enc k : Sicherheit und Performance 



Sicherheitsanforderungen an enc k 

• Diffusion und Konfusion 

[Claude Shannon: Communication Theory of Secrecy Systems. Bell 

Systems Technical Journal, 28(1949), 656-715.] 

• Ziel: Erschweren statistischer Angriffe 

• Diffusion: im Klartext enthaltene Redundanz wird im 

Schlüsseltext „verteilt“ 

• Konfusion: Beziehungen zwischen Schlüsseltexten und 

Schlüsseln so komplex wie möglich 

• Produktchiffre: Kombination von Verschlüsselungsverfahren 


1


• Produktchiffre als Kombination von 

Substitution ( Konfusion) und Transposition ( Diffusion) 

bietet Möglichkeit der effizienten Konstruktion 

entsprechender Verschlüsselungsfunktionen 

Substitutions-Permutations-Netzwerk (SP-Netzwerk) 

• Iterierte Blockchiffren 

– Verschlüsselung erfolgt in mehreren Runden 

c = enc n (k n , enc n-1 (k n-1 , ... enc 2 (k 2 , enc 1 (k 1 , m)) ... )) 

– Verwendung von Rundenschlüsseln 

– Algorithmus zur Generierung der Runden- bzw. Teilschlüssel 

– Verschlüsselungsfunktion muss im Allgemeinen invertierbar sein 

– Anwendung der Rundenschlüssel bei Entschlüsselung in 

umgekehrter Reichenfolge 

m = dec 1 (k 1 , dec 2 (k 2 , ... dec n-1 (k n-1 , dec n (k n , c)) ... )) 



Allgemeine Ansätze zur Kryptoanalyse von Blockchiffren 

• Unabhängig von der internen Struktur 

• Vollständige Schlüsselsuche 

– Klartext-Schlüsseltext-Angriff 

– Aufwand abhängig vom Schlüsselraum 

• Zugriff auf eine vorab berechnete Tabelle 

– Gewählter Klartext-Schlüsseltext-Angriff 

– Aufwand abhängig vom Schlüsselraum 

• Time-Memory-Tradeoff 

• Kodebuchanalyse 

– Gewählter Klartext-Schlüsseltext-Angriff 

– Ziel: Rekonstruktion des Klartextes 

– Aufwand abhängig von Struktur und Redundanz des Klartextes 


4 Symmetrische Verfahren – Feistel-Chiffre 

Feistel-Chiffre 

• Forschungsprogramm „Lucifer“ in den späten 60er Jahren 

• Feistel-Chiffre 1973 von Horst Feistel veröffentlicht 

• Permutationen und Substitutionen 

• Iterierte Blockchiffre 

• Struktur dieser Chiffre gehört zu den grundlegenden 

Konzepten der Kryptographie 

• Anwendung des Prinzips z.B. in DES, 3-DES, Blowfish, CAST, 

FEAL und Twofish 


2


• Zerlegung des Nachrichtenblocks m i ∈ A l in zwei Teilblöcke: 

m i = (L 0 , R 0 ) 

c i 

= (L n 

, R n 

) 

• Schema ist selbstinvers: Ver- und Entschlüsselung geschieht 

mit den gleichen Funktionen, nur Reihenfolge der 

Rundenschlüssel wird umgekehrt 

• Rundenfunktion f muss nicht bijektiv sein 

• Verarbeitung von Teilblöcken ermöglicht effiziente 

Implementierung 

• f bestimmt kryptographische Sicherheit des Verfahrens 



Verschlüsselung 

enc(k i , (L i-1 , R i-1 )) = R i-1 , f(R i-1 , k i ) ⊕ L i-1 = L i , R i 

Runde 1: L 0 

R 0 

f 

k 1 

L 1 

R 1 

enc(k 1 

, (L 0 

, R 0 

)) = R 0 

, f(R 0 

, k 1 

) ⊕ L 0 

= L 1 

, R 1 



Entschlüsselung 

dec(k i 

, (L i 

, R i 

)) = f(L i 

, k i 

) ⊕ R i 

, L i 

= L i-1 

, R i-1 

Runde 1: L 1 

R 1 

k 1 

f 

L 0 

R 0 

dec(k 1 

, (L 1 

, R 1 

)) = f(L 1 

, k 1 

) ⊕ R 1 

, L 1 

= L 0 

, R 0 


3

4 Symmetrische Verfahren – Kryptographische Güte 

Kryptographische Güte einer Verschlüsselungsfunktion 

[J.A. Gordon, H. Retkin: Are Big S-Boxes Best? Springer LNCS 149, 

1983, 257-262.] 

• Kryptographisch entscheidende Funktion f muss bestimmten 

Anforderungen genügen ( Konfusion und Diffusion) 

• Merkmale zur Beurteilung von f (Designkriterien): 

– Vollständigkeit 

– Avalanche 

– Nichtlinearität 

– keine Informationen über Outputbits ohne Wissen über 

Inputbits ( Korrelationsimmunität) 



Vollständigkeit 

Eine Funktion f: {0,1} n {0,1} m heißt vollständig, wenn 

jedes Bit des Outputs von jedem Bit des Inputs abhängt. 

Grad der Vollständigkeit k/n: im Mittel hängen k Output-Bits 

von den n Inputbits ab 

‣ Beispiel: S Bsp 

y 1 = x 1 x 2 ⊕ x 1 x 3 ⊕ x 2 x 3 ⊕ x 2 ⊕ x 3 ⊕ 1 

y 2 = x 1 x 2 ⊕ x 1 x 3 ⊕ x 2 x 3 ⊕ x 1 ⊕ x 3 ⊕ 1 

y 3 = x 1 x 2 ⊕ x 1 x 3 ⊕ x 2 x 3 ⊕ x 1 ⊕ x 2 ⊕ 1 

kein hinreichendes Kriterium 



y 1 = x 1 x 2 ⊕ x 1 x 3 ⊕ x 2 x 3 ⊕ x 2 ⊕ x 3 ⊕ 1 

y 2 = x 1 x 2 ⊕ x 1 x 3 ⊕ x 2 x 3 ⊕ x 1 ⊕ x 3 ⊕ 1 

y 3 = x 1 x 2 ⊕ x 1 x 3 ⊕ x 2 x 3 ⊕ x 1 ⊕ x 2 ⊕ 1 

Input 

Output 

x 3 

x 2 

x 1 

y 3 

y 2 

y 1 

0 

0 

0 

1 

1 

1 

0 

0 

1 

0 

0 

1 

0 

0 

1 

1 

1 

1 

0 

0 

0 

1 

0 

1 

0 

0 

1 

1 

1 

1 

0 

0 

0 

1 

0 

1 

6 von 8 möglichen 

Belegungen des Inputs 

werden identisch 

ausgegeben! 

1 

1 

0 

1 

1 

0 

1 

1 

1 

0 

0 

0 


4


‣ Beispiel: Vollständigkeit der Feistel-Chiffre (f vollst.) 

Outputbit 

j 

7 

6 

5 

4 

3 

2 

1 

0 

c 0 = m = L 0 , R 0 

01234567 

Inputbit i 

Outputbit 

j 

7 

6 

5 

4 

3 

2 

1 

0 

c 1 = L 1 , R 1 

01234567 

Inputbit i 

Outputbit 

j 

7 

6 

5 

4 

3 

2 

1 

0 

c 2 = L 2 , R 2 

01234567 

Inputbit i 

Outputbit 

j 

c 3 = L 3 , R 3 

01234567 

Inputbit i 


7 

6 

5 

4 

3 

2 

1 

0 


Avalanche 

Eine Funktion f: {0,1} n {0,1} m besitzt dann den 

Avalanche-Effekt, wenn die Änderung eines Input-Bits im 

Mittel die Hälfte aller Output-Bits ändert. 

Wird durch Änderung eines Input-Bits jedes Output-Bit mit 

einer Wahrscheinlichkeit von 50% verändert, erfüllt f das 

strikte Avalanche-Kriterium. 

 

Erfüllt f das strikte Avalanche-Kriterium, so ist f stets 

vollständig. 



‣ Beispiel (S Bsp ) 

m 

m 2 1 

000 001 010 011 100 101 110 

000 

2 2 

2 

001 2 

1 

1 

010 2 

1 

1 

011 

1 1 

100 2 

1 1 

101 

1 

1 

110 

1 

1 

111 

2 

2 2 

Gesamtzahl der geänderten Bits 

111 

2 

2 

2 

Σ 

6 

4 

4 

4 

4 

4 

4 

6 

36 


5


Linearität 

Eine Funktion f: {0,1} n {0,1} m ist dann linear, wenn jedes 

Output-Bit y i linear von den Input-Bits x i abhängt: 

y i = a j,1 x 1 + a j,2 x 2 + … + a j,n x n + b j 

Wenn wenigstens ein Output-Bit linear von den Input-Bits 

abhängt, ist f partiell linear. 

weiteres Maß: Grad der Übereinstimmung von f mit ihrer 

besten linearen Approximation g 

Güte der Approximation: Anteil der Funktionswerte, in denen 

f und g übereinstimmen 



Korrelationsimmunität 

f(x 1 , x 2 , …, x n ) boolesche Funktion in n Variablen 

Die Funktion f heißt dann k-korrelationsimmun, wenn man 

aus Kenntnis von k beliebigen Eingangswerten keine 

Information über den resultierenden Ausgangswert erhalten 

kann und umgekehrt. 



Abhängigkeitsmatrix AM 

• Beurteilungsmethode für die Gütekriterien Vollständigkeit, 

Avalanche, Nichtlinearität/partielle Nichtlinearität 

[W. Fumy, H. Rieß: Kryptographie: Einsatz, Entwurf und Analyse 

symmetrischer Kryptoverfahren. 2. akt. u. erw. Aufl., Oldenburg, 1994.] 

• Die AM einer Funktion f: {0,1} n {0,1} m ist eine 

(n x m)-Matrix, deren Einträge a i,j die Wahrscheinlichkeit 

angeben, dass bei einer Änderung des i-ten Eingabebits das 

j-te Ausgabebit komplementiert wird. 

• Eigenschaften von AM: 

– AM(f = const): Nullmatrix 

– AM(f: Permutation): Permutationsmatrix 

– AM(f) = AM(1 ⊕ f) 


6


Eigenschaften von f (x i : Inputbits, y j : Outputbits) 

a i,j = 0 

y j nicht von x i abhängig; f ist nicht vollständig 

Anzahl a i,j mit a i,j > 0: Grad der Vollständigkeit 

∀ a i,j > 0 

f ist vollständig 

a i,j = 1 

∃ j. ∀ i. a i,j ∈ {0,1} 

∀ i. ∀ j. a i,j ∈ {0,1} 

y j ändert sich bei jeder Änderung von x i 

y j hängt linear von x i ab 

f ist partiell linear (Spalte a j binärer Vektor) 

f ist linear (AM binäre Matrix) 

1 1 

m 

n 

∑∑ 

m n i= 1 j= 

1 

a i 

, j 

≈ 0, 5 

∀ i. ∀ j.a i,j ≈ 0,5 

f besitzt Avalanche-Effekt 

f erfüllt striktes Avalanche-Kriterium 



Berechnung der Abhängigkeitsmatrix 

exakte Berechnung nur für kleine n, m möglich 

näherungsweise Berechnung 

∀ i. ∀ j. a i,j := 0 

für „hinreichend viele“ X 

wähle zufälligen n-Bit Vektor X 

für alle i von 1 bis n 

Bestimme X i (unterscheidet sich von X genau im Bit i) 

V i = f(X) ⊕ f(X i ) 

a i,j := a i,j + V i,j 

Division aller a i,j durch Anzahl der Vektoren X 



‣ Beispiel (S Bsp ) 

y 1 y 2 y 3 

x 1 40,5 14 

0,5 

14 

0,5 

x 2 

x 3 

14 0,5 40,5 

14 

0,5 

14 0,5 14 

0,5 

40,5 

X = 000 

X 1 = 001 V 1 = 111 ⊕ 001 = 110 

X 2 = 010 V 2 = 111 ⊕ 010 = 101 

X 3 = 100 V 3 = 111 ⊕ 100 = 011 

X = 001 … 


7


Designkriterien – Zusammenfassung 

• Kriterien sind zwar notwendig, aber nicht hinreichend 

• Teilweise gegenläufig 

• Optimierung notwendig 

• Notwendig: 

– Höchstmaß an Vollständigkeit, Avalanche, Nichtlinearität 

und Korrelationsimmunität, 

– Geringhaltung der Existenz linearer Faktoren der 

Verschlüsselungsfunktion 

• Gewünscht: 

– Gute Implementierbarkeit, Schnelligkeit, Längentreue, 

– Minimierung der Fehlerfortpflanzungsmöglichkeiten 


4 Symmetrische Verfahren – DES 

DES (Data Encryption Standard) 

• 1973 Ausschreibung des National Bureau of Standards (NBS) der 

USA für ein standardisiertes kryptographisches Verfahren 

• 1974 erneute Ausschreibung 

• 1975 Veröffentlichung der Einzelheiten des Algorithmus im Federal 

Register 

• 1976 zwei Workshops zur Evaluierung des Algorithmus 

• 1977 vom NBS als Standard publiziert (FIPS PUB 46) 

• Überprüfung der Sicherheit aller 5 Jahre 

• 1992 differenzielle Kryptoanalyse (Biham, Shamir) 

• 1994 lineare Kryptoanalyse (Matsui) 

• 1999 Brute-Force-Angriff (Deep Crack und weitere Rechner): 22 

Stunden, 15 Minuten 

• 1999 FIPS 46-3: Empfehlung 3-DES 

• 2001 Veröffentlichung des AES (FIPS 197) 

• 2002 AES tritt in Kraft 



Überblick über den Algorithmus 

• grundlegende Struktur: Feistel-Chiffre mit n = 16 Runden 

• Einteilung der Nachricht in l Blöcke der Länge 64: 

m = m 1 m 2 … m l , m i ∈ {0, 1} 64 

c = c 1 c 2 … c l , c i ∈ {0, 1} 64 

• Schlüssel der Länge 64 Bits: 

k ∈ {0,1} 64 , davon jedoch nur 56 Elemente frei wählbar 

Teilschlüssel k i , i = 1, …, 16 aus k erzeugt (Länge k i : 48 Bit) 

• Permutation vor der ersten und nach der letzten Runde (IP 

bzw. IP -1 ) (kryptographisch nicht relevant) 


8


Struktur des DES 

m i 

64 

L 0 

IP 

Iterationsrunde 1 

R 0 

L 1 R 1 

L 2 R 2 

. 

L 15 R 15 

L 16 R 16 

IP -1 

64 

c i 



k 

(56 Bit wählbar) 


48 

48 

48 

. 

k 1 

k 2 

k 16 

64 

Teilschlüsselgenerierung 


Eingangspermutation IP 

Folge der Klartextbits: 

1 

9 

17 

25 

33 

41 

49 

57 

2 

10 

18 

26 

34 

42 

50 

58 

3 

11 

19 

27 

35 

43 

51 

59 

4 

12 

20 

28 

36 

44 

52 

60 

5 

13 

21 

29 

37 

45 

53 

61 

6 

14 

22 

30 

38 

46 

54 

62 

7 

15 

23 

31 

39 

47 

55 

63 

8 

16 

24 

32 

40 

48 

56 

64 

58 

60 

62 

64 

50 

52 

54 

56 

42 

44 

46 

48 

34 

36 

38 

40 

26 

28 

30 

32 

18 

20 

22 

24 

linke Hälfte 

10 

12 

14 

16 

2 

4 

6 

8 

57 

59 

61 

63 

49 

51 

53 

55 

41 

43 

45 

47 

33 

35 

37 

39 

25 

27 

29 

31 

17 

19 

21 

23 

rechte Hälfte 

9 

11 

13 

15 

1 

3 

5 

7 



Iterationsrunde i: Rundenfunktion f 

R i-1 

f 

E 

32 

48 

48 

k i 

6 6 6 

S1 S2 … 

S8 

4 4 

4 

P 

32 

Kryptographie und Kryptoanalyse f(R i-1 ,k i ) = P(S(E(R i-1 ) ⊕ k i )) 114 

9


Expansionsabbildung E 

32 

4 

8 

12 

16 

20 

24 

28 

1 

5 

9 

13 

17 

21 

25 

29 

2 

6 

10 

14 

18 

22 

26 

30 

3 

7 

11 

15 

19 

23 

27 

31 

4 

8 

12 

16 

20 

24 

28 

32 

5 

9 

13 

17 

21 

25 

29 

1 

1 2 3 4 

5 6 7 8 

… 

29 30 31 32 

32 1 2 3 4 5 

4 5 6 7 8 9 

28 29 30 31 32 1 



Substitutionsboxen Si 

b 5 b 4 b 3 b 2 b 1 b 0 

6-Bit Wert 

vor der 

Substitution 

S1: 

S2: 

0 

1 

2 

3 

0 

1 

2 

3 

0 

14 

0 

4 

15 

15 

3 

0 

13 

1 

4 

15 

1 

12 

1 

13 

14 

8 

2 

13 

7 

14 

8 

8 

4 

7 

10 

3 

1 

4 

8 

2 

14 

7 

11 

1 

4 

2 

14 

13 

4 

6 

15 

10 

3 

5 

15 

2 

6 

9 

11 

2 

4 

15 

6 

11 

13 

2 

1 

3 

8 

13 

4 

7 

8 

1 

11 

7 

4 

14 

1 

2 

8 

3 

10 

15 

5 

9 

12 

5 

11 

9 

10 

6 

12 

11 

7 

0 

8 

6 

10 

6 

12 

9 

3 

2 

1 

12 

7 

11 

12 

11 

7 

14 

13 

10 

6 

12 

12 

5 

9 

3 

10 

12 

6 

9 

0 

13 

9 

5 

10 

0 

0 

9 

3 

5 

14 

0 

3 

5 

6 

5 

11 

2 

14 

15 

7 

8 

0 

13 

10 

5 

15 

9 

. . . 

S8: 0 

1 

2 

3 

10 

12 

0 

15 

13 

1 

7 

2 

2 

15 

11 

1 

8 

13 

4 

14 

4 

8 

1 

7 

6 

10 

9 

4 


15 

3 

12 

10 

11 

7 

14 

8 

1 

4 

2 

13 

9 

5 

6 

12 

3 

6 

10 

9 

14 

11 

13 

0 

5 

0 

15 

3 

0 

14 

3 

5 

12 

9 

5 

6 

7 

2 

8 

11 


Permutation P 

16 

1 

2 

19 

7 

15 

8 

13 

20 

23 

24 

30 

21 

26 

14 

6 

29 

5 

32 

22 

12 

18 

27 

11 

28 

31 

3 

4 

17 

10 

9 

25 

S 1 S 2 S 3 S 4 S 5 S 6 S 7 S 8 

S 1 S 2 S 3 S 4 S 5 S 6 S 7 S 8 


10



k 

64 

PC-1 

56 

28 28 

C 

D 

k i 

48 

PC-2 



Schlüsselpermutation PC-1 (Permuted Choice) 

externer Schlüssel k: 

1 

9 

17 

25 

33 

41 

49 

57 

2 

10 

18 

26 

34 

42 

50 

58 

3 

11 

19 

27 

35 

43 

51 

59 

4 

12 

20 

28 

36 

44 

52 

60 

5 

13 

21 

29 

37 

45 

53 

61 

6 

14 

22 

30 

38 

46 

54 

62 

7 

15 

23 

31 

39 

47 

55 

63 

8 

16 

24 

32 

40 

48 

56 

64 

Paritätsbits 

57 

58 

59 

60 

49 

50 

51 

52 

41 

42 

43 

44 

33 

34 

35 

36 

25 

26 

27 

C 

17 

18 

19 

9 

10 

11 

1 

2 

3 

63 

62 

61 

55 

54 

53 

47 

46 

45 

39 

38 

37 

D 

31 

30 

29 

28 

23 

22 

21 

20 

15 

14 

13 

12 

7 

6 

5 

4 



Anzahl der Shifts 

Verschlüsselung: Links-Shifts 

Entschlüsselung: Rechts-Shifts 

Runde 

Anzahl Links-Shifts: 

Anzahl Rechts-Shifts: 

1 

1 

0 

2 

1 

1 

3 

2 

2 

4 

2 

2 

5 

2 

2 

6 

2 

2 

7 

2 

2 

8 

2 

2 

9 

1 

1 

10 

2 

2 

11 

2 

2 

12 

2 

2 

13 

2 

2 

14 

2 

2 

15 

2 

2 

16 

1 

1 

Schlüsselauswahl: PC-2 

14 

15 

26 

41 

51 

34 

17 

6 

8 

52 

45 

53 

11 

21 

16 

31 

33 

46 

24 

10 

7 

37 

48 

42 

1 

23 

27 

47 

44 

50 

5 

19 

20 

55 

49 

36 

3 

12 

13 

30 

39 

29 

28 

4 

2 

40 

56 

32 


11


Bewertung der Schlüssel 

Bis auf wenige Ausnahmen liefert das Verfahren für jede 

Runde einen anderen Teilschlüssel. 

4 schwache Schlüssel, die jeweils 16 identische Teilschlüssel 

erzeugen: 

01 

FE 

1F 

E0 

externer Schlüssel k 

01 

FE 

1F 

E0 

01 

FE 

1F 

E0 

01 

FE 

1F 

E0 

01 

FE 

0E 

F1 

01 

FE 

0E 

F1 

01 

FE 

0E 

F1 

01 

FE 

0E 

F1 

0 

F 

0 

F 

0 

F 

0 

F 

0 

F 

0 

F 

C 

0 

F 

0 

F 

0 

F 

0 

F 

0 

F 

0 

F 

0 

F 

0 

F 

0 

F 

F 

0 

0 

F 

F 

0 

0 

F 

F 

0 

D 

0 

F 

F 

0 

0 

F 

F 

0 

0 

F 

F 

0 

0 

F 

F 

0 



12 semi-schwache Schlüssel, die jeweils nur 2 verschiedene 

Teilschlüssel erzeugen: 

01 

FE 

1F 

E0 

01 

E0 

1F 

FE 

01 

1F 

E0 

FE 

externer Schlüssel k 

FE 

01 

E0 

1F 

E0 

01 

FE 

1F 

1F 

01 

FE 

E0 

01 

FE 

1F 

E0 

01 

E0 

1F 

FE 

01 

1F 

E0 

FE 

FE 

01 

E0 

1F 

E0 

01 

FE 

1F 

1F 

01 

FE 

E0 

01 

FE 

0E 

F1 

01 

F1 

0E 

FE 

01 

0E 

F1 

FE 

FE 

01 

F1 

0E 

F1 

01 

FE 

0E 

0E 

01 

FE 

F1 

01 

FE 

0E 

F1 

01 

F1 

0E 

FE 

01 

0E 

F1 

FE 

FE 

01 

F1 

0E 

F1 

01 

FE 

0E 

0E 

01 

FE 

F1 

A 

5 

A 

5 

A 

5 

A 

5 

0 

0 

F 

F 

A 

5 

A 

5 

A 

5 

A 

5 

0 

0 

F 

F 

A 

5 

A 

5 

A 

5 

A 

5 

0 

0 

F 

F 

C 

A 

5 

A 

5 

A 

5 

A 

5 

0 

0 

F 

F 

A 

5 

A 

5 

A 

5 

A 

5 

0 

0 

F 

F 

A 

5 

A 

5 

A 

5 

A 

5 

0 

0 

F 

F 

A 

5 

A 

5 

A 

5 

A 

5 

0 

0 

F 

F 

A 

5 

5 

A 

0 

0 

F 

F 

A 

5 

A 

5 

A 

5 

5 

A 

0 

0 

F 

F 

A 

5 

A 

5 

A 

5 

5 

A 

0 

0 

F 

F 

A 

5 

A 

5 

D 

A 

5 

5 

A 

0 

0 

F 

F 

A 

5 

A 

5 

A 

5 

5 

A 

0 

0 

F 

F 

A 

5 

A 

5 

A 

5 

5 

A 

0 

0 

F 

F 

A 

5 

A 

5 

A 

5 

5 

A 

0 

0 

F 

F 

A 

5 

A 

5 



Eigenschaften des DES 

• Vollständig: jedes Output-Bit hängt von jedem Input-Bit ab 

(nach ca. 5 Durchläufen), Avalanche, Nichtlinearität 

• Problem schwacher und semischwacher Schlüssel 

(explizit ausschließen) 

• Komplement-Eigenschaft: 

enc(k, m) = enc(k, m) 

ermöglicht Einschränkung des Schlüsselraums: 

Angriff bei Kenntnis von zwei Klartext-Schlüsseltextpaaren 

(m 1 

, c 1 

) und (m 2 

, c 2 

) mit m 2 

= m 1 


12


3-DES 

• Schlüssellänge heute zu kurz 

• Erhöhung der Sicherheit durch mehrmalige Verschlüsselung 

(Kaskadenverschlüsselung) 

Meet-in-the-Middle-Angriff: 

Sicherheitsgewinn bei Doppelverschlüsselung: 1 Bit 

• 3-DES (Triple-DES): 

Verbesserung der Sicherheit durch 3-fache Anwendung 

• Verschiedene Varianten, häufig EDE 

c = enc(k 1 , (dec(k 2 , (enc(k 1 , m))) 



Betriebsarten des DES 

• Verschlüsselung längerer Nachrichten? 

• Authentikation mittels DES möglich? 

• 1981 für DES standardisiert (FIPS 81): 

– Electronic Code Book (ECB) 

– Cipher Block Chaining (CBC) 

– Cipher Feedback (CFB) 

– Output Feedback (OFB) 

• Weitere Varianten in der Literatur zu finden 

• Auch für andere Blockchiffren verwendbar 

• Unterschiede bzgl. Fehlerauswirkung, Sicherheit und Länge 

der verarbeiteten Einheiten ( Verschlüsselungsrate, 

mögliche Anpassung an Übertragungs- oder Speichersystem) 



• Anwendung der Betriebsarten erlaubt die Konstruktion von 

synchronen oder selbstsynchronisierenden „Stromchiffren“ 

aus Blockchiffren 

(zugrunde liegendes Alphabet wird bei ECB und CBC gewechselt, 

bei CFB und OFB muss es nicht unbedingt gewechselt werden) 

– Synchrone Stromchiffre: Verschlüsselung eines Zeichens ist 

abhängig von der Position bzw. von vorhergehenden Klartextoder 

Schlüsselzeichen 

– Selbstsynchronisierende Stromchiffre: Verschlüsselung ist nur 

von begrenzter Anzahl vorhergehender Zeichen abhängig 

• ECB, CBC und CFB: selbstsynchronisierende Stromchiffre 

• OFB: synchrone Stromchiffre 


13


• Betrachtung von Fehlerauswirkungen 

– Unterscheidung nach Ort des Fehlers 

• während der Übertragung (Speicherung) 

• während der Ver- bzw. Entschlüsselung (transient) 

Sender 

enc 

dec 

Empfänger 

– Unterscheidung nach Fehlerart 

• Additive Fehler: Verfälschung einzelner Bits („Addition 

eines Fehlermusters“); Blockgrenzen bleiben erhalten 

• Synchronisationsfehler: Hinzufügen bzw. Verlust von 

Blöcken / Bits (letzteres ändert die Blockgrenzen) 



Electronic Codebook (ECB) 

Verschlüsselung 


k 

k 

m i 64 

64 c i 

enc 

c i 64 

64 m i 

dec 

c i = enc(k, m i ), 1 

m i = dec(k, c i ), 1 

c = enc(k, m 1 ) enc(k, m 2 ) ... enc(k, m n ) m = dec(k, c 1 ) dec(k, c 2 ) ... dec(k, c n ) 



Electronic Codebook (ECB) – Eigenschaften 

• Selbstsynchronisierend (Abhängigkeit von 0 Blöcken) 

• Länge der verarbeiteten Einheiten: entsprechend Blockgröße 

der Blockchiffre (DES: 64 Bit) 

• Keine Abhängigkeiten zwischen den Blöcken 

– Direktzugriff auf einzelne Schlüsseltextblöcke möglich 

– gleiche Klartextblöcke liefern gleiche Schlüsseltextblöcke 

ggf. Kodebuchanalysen möglich 

• Fehlerauswirkungen 

– additive Fehler: keine Fehlerfortpflanzung 

– Synchronisationsfehler bzgl. ganzer Blöcke: keine 

Fehlerfortpflanzung 

gezieltes Einfügen und Entfernen von Blöcken möglich 

– Synchronisationsfehler bzgl. Bits: Entschlüsselung fehlerhaft, 

bis Blockgrenzen erneut festgelegt 


14


Cipher Block Chaining (CBC) – Verschlüsselung 

k 

m i 

64 

enc 

c i 

64 

c i-1 ∨ IV 

1 64 

… 

Speicher für 

Schlüsseltextblock 

c i-1 bzw. IV 

c 1 = enc(k, (m 1 ⊕ IV )); IV: Initialisierungsvektor 

c i = enc(k, (m i ⊕ c i-1 )), 1 

c = enc(k, (m 1 ⊕IV)) enc(k, (m 2 ⊕c 1 )) enc(k, (m 3 ⊕c 2 )) … enc(k, (m n ⊕c n-1 )) 



Cipher Block Chaining (CBC) – Entschlüsselung 

k 

c i 

64 

dec 

64 

m i 

m 1 = dec(k, c 1 ) ⊕ IV 

m i = dec(k, c i ) ⊕ c i-1 , 1 

c i-1 ∨ IV 

1 64 

… 

Speicher für 


c i-1 bzw. IV 

m = dec(k, c 1 ) ⊕ IV dec(k, c 2 ) ⊕ c 1 dec(k, c 3 ) ⊕ c 2 … dec(k, c n ) ⊕ c n-1 



Cipher Block Chaining (CBC)– Eigenschaften 

• Selbstsynchronisierend (Abhängigkeit von 1 Block) 

• Länge der verarbeiteten Einheiten: entsprechend Blockgröße 

der Blockchiffre (DES: 64 Bit) 

• Abhängigkeiten zwischen den Blöcken 

– kein Direktzugriff auf einzelne Schlüsseltextblöcke möglich 

– gleiche Klartextblöcke liefern unterschiedliche 

Schlüsseltextblöcke 

Kodebuchanalysen erschwert 

• Initialisierungsvektor IV muss Sender und Empfänger 

bekannt sein 


15



– Fehler während der Übertragung 

• additive Fehler: Fehlerfortpflanzung in den Folgeblock 

• Synchronisationsfehler bzgl. ganzer Blöcke: 2 Blöcke 

betroffen 

• Synchronisationsfehler bzgl. Bits: Entschlüsselung fehlerhaft, 

bis Blockgrenzen erneut festgelegt 

– Fehler während der Verschlüsselung 

• ab Fehlerstelle wird ein anderer Schlüsseltext erzeugt 

• Entschlüsselung: nur ein Klartextblock betroffen 

Verfahren eignet sich zur Authentikation: Manipulationen, 

Einfügen und Entfernen von Blöcken erkennbar 



CBC zur Authentikation (CBC-MAC) 

k 

enc 

c i 

c i-1 ∨ IV 

1 64 

… 

letzter 


c n 

m i 

letzter Schlüsseltextblock wird als MAC angehängt: m 1 m 2 m 3 … m n c n 

Empfänger berechnet ebenfalls c n und vergleicht mit erhaltenem c n 



Cipher Feedback (CFB) – Verschlüsselung 

64 r+1 r 1 

… … 

enc 

64 1 

… … 

r 

m i 

r 

Schieberegister A 

a i Inhalt zum Zeitpunkt i 

a 1 = IV 

k 

Ausgabeblock B 

b i Ausgabe zum Zeitpunkt i 

r 

c i 

c i = m i ⊕ b i [1:r] = m i ⊕ enc(k, a i )[1:r] 

für r = 8: a i = c i-8 c i-7 c i-6 … c i-2 c i-1 ; a 1 = IV = c -7 c -6 c -5 … c 1 c 0 


16


Cipher Feedback (CFB) – Entschlüsselung 

64 r+1 r 1 

… … 

enc 

64 1 

… … 

r 

c i 

r 



a 1 = IV 

k 



r 

m i 

m i = c i ⊕ b i [1:r] = c i ⊕ enc(k, a i )[1:r] 

für r = 8: a i = c i-8 c i-7 c i-6 … c i-2 c i-1 ; a 1 = IV = c -7 c -6 c -5 … c 1 c 0 



Cipher Feedback (CFB) – Eigenschaften 

⎡b⎤ 

• Selbstsynchronisierend (Abhängigkeit von Einheiten; b: 

⎢r 

⎥ 

Blockgröße der Chiffre; DES: b = 64) 

• Länge der verarbeiteten Einheiten: r < b, frei wählbar (z.B. 

8 Bit, also byteweise Verarbeitung) 

• Abhängigkeiten zwischen den Blöcken 





bekannt sein 

• es entsteht immer eine symmetrische Chiffre 




– Fehler während der Übertragung 

• additive Fehler und Synchronisationsfehler bzgl. ganzer 

Blöcke: Fehlerfortpflanzung entsprechend der 

Abhängigkeiten von vorherigen Blöcken 

• Synchronisationsfehler bzgl. Bits: Entschlüsselung fehlerhaft, 

bis Blockgrenzen erneut festgelegt; durch geeignete Wahl 

von r können Verschiebungen der Blockgrenzen verhindert 

werden 

– Fehler während der Verschlüsselung entsprechend CBC 

Verfahren eignet sich zur Authentikation (verschlüsselten 

letzten Block c n als MAC): Manipulationen, Einfügen und 

Entfernen von Blöcken erkennbar 


17


Output Feedback (OFB) – Ver-/Entschlüsselung 

64 r+1 r 1 

… … 

enc 

64 1 

… … 

r 

m i 

r 

c i 

c i = m i ⊕ b i [1:r] = c i ⊕ enc(k, a i )[1:r] 

m i = c i ⊕ b i [1:r] = m i ⊕ enc(k, a i )[1:r] 



a 1 = IV 

k 



r 

c i 

m i 



Output Feedback (OFB) – Eigenschaften 

• Synchron 

• Länge der verarbeiteten Einheiten: r < b, frei wählbar (z.B. 

8 Bit, also byteweise Verarbeitung) 

• Abhängigkeit von Position der verarbeiteten Einheit 





bekannt sein 

• es entsteht immer eine symmetrische Chiffre 


– additive Fehler: keine Fehlerfortpflanzung 

– anfällig gegen Synchronisationsfehler 


4 Symmetrische Verfahren – Kryptoanalyse des DES 

Kryptoanalyse des DES 

• Allgemeine Angriffe auf Blockchiffren: 

– Vollständige Schlüsselsuche 

– Zugriff auf eine vorab berechnete Tabelle 

– Time-Memory-Tradeoff 

– Kodebuchanalyse 

• Angriffe auf DES, auch relevant für andere Blockchiffren: 

– Differentielle Kryptoanalyse 

– Lineare Kryptoanalyse 


18

4 Symmetrische Verfahren – Differentielle Kryptoanalyse 

Differentielle Kryptoanalyse 

• E. Biham and A. Shamir: Differential Cryptanalysis of DESlike 

Cryptosystems. Advances in Cryptology – CRYPTO '90. 

Springer-Verlag. 2-21. 

• Gewählter Klartext-Schlüsseltext Angriff 

• Aufwand für DES lt. Standard, 16 Runden: 

ca. 2 47 Klartextpaare bei ca. 2 37 Verschlüsselungsschritten 

• Anwendbar für iterierte Blockchiffren 

• Prinzip: 

– Verwendung von beliebigen Klartextpaaren mit bestimmten 

Differenzen 

– Analyse der Auswirkungen der Klartext-Differenzen auf die 

Differenzen der resultierenden Schlüsseltextpaare 

– Ermittlung wahrscheinlicher Schlüssel 



Notation (1) 

• Eingangs- und Ausgangspermutation 

haben keinen 

Einfluss - weggelassen 

• L m , R m : linke bzw. rechte 

Hälfte des Klartextes 

• L c , R c : linke bzw. rechte 

Hälfte des Schlüsseltextes 

• x, x*: zusammengehörige 

Zwischenwerte 

• x‘ = x ⊕ x*: Differenz 

Klartext m = (L m , R m ) 

k 1 

y 1 x 1 

f 

k 2 

y 2 x 2 

f 

. . . 

k 16 

y 16 x 16 

f 

Schlüsseltext c = (L c , R c ) 



Notation (2) 

f 

x i 

32 

E 

48 

k i 

48 

S1 Ei S2 Ei S3 Ei … S8 Ei 

S1 Ki S2 Ki S3 Ki … S8 Ki 

S1 Ii 

S2 Ii 

6 6 6 

S1 S2 … 

S8 

4 4 

4 

P 

Kryptographie und Kryptoanalyse y i 

144 

32 

S8 Ii 

S1 Oi S2 Oi S8 Oi 

19


Einfluss der Operationen auf die XOR-Differenzen 

• Expansionsabbildung E: 

E(x) ⊕ E(x*) = E(x ⊕ x*) 

• Bitweise Addition mit Rundenschlüssel k: 

(x ⊕ k) ⊕ (x* ⊕ k) = x ⊕ x* 

• Permutation P: 

P(x) ⊕ P(x*) = P(x ⊕ x*) 

• Verknüpfung von Zwischenwerten (Input und Output 

aufeinander folgender Rundenfunktionen): 

(x ⊕ y) ⊕ (x* ⊕ y*) = (x ⊕ x*) ⊕ (y ⊕ y*) 



• Substitutionsboxen Si 

– Nichtlinear komplexe Beziehungen zwischen Eingabeund 

Ausgabedifferenzen 

Differenz: 

Eingabe: 

Ausgabe: 

Si I Si I * 

6 

6 

Si 

Si 

4 

4 

Si O Si O * 

Si I ‘= Si I ⊕ Si I * 

Si O ‘ = Si O ⊕ Si O * 

–2 6·2 4 mögliche Tupel von Eingabe- und 

Ausgabedifferenzen 

– nicht alle möglichen Ausgabedifferenzen Si O ‘ existieren 

–existierende Si O ‘ sind nicht gleichwahrscheinlich 



Beschreibung der Differenzen - Differenzentabelle 

Differenzentabelle für S1, Eingabediff. S1 I ‘ = 110100 2 = 34 x 

S1 I 

S1 I * = 

S1 O ‘= S1 O ⊕ S1 O * 

S1 I ⊕ S1 I ‘ 0000 0001 0010 0011 … 1101 1110 1111 

000000 110100 

000001 110101 

1 

. 

. . . . . . 

. 

.. .. . .. .. . 

. 

. 

. 

. 

.. 

111110 

111111 

001010 

001011 

Differenzenverteilung: 

S1: 

0 

1 

2 

3 

0 

14 

0 

4 

15 

1 

4 

15 

1 

12 

2 

13 

7 

14 

8 

0 

3 

1 

4 

8 

2 

4 

2 

14 

13 

4 

8 

5 

15 

2 

6 

9 

6 

11 

13 

2 

1 

6 … 8 


16 

7 

8 

1 

11 

7 

8 

3 

10 

15 

5 

9 

10 

6 

12 

11 

10 

6 

12 

9 

3 

11 

12 

11 

7 

14 

12 

5 

9 

3 

10 

13 

9 

5 

10 

0 

0 

14 

0 

3 

5 

6 

15 

7 

8 

0 

13 

1 

1 

6 

20


Differenzenverteilungstabelle von S1 

Eingabediff. 

S1 I 

’ 

0 

1 

2 

3 

. 

0 

64 

0 

0 

14 

1 

0 

0 

0 

4 

2 

0 

0 

0 

2 

3 

0 

6 

8 

2 

4 

0 

0 

0 

10 

Ausgabedifferenzen S1 O 

’ 

5 

0 

2 

4 

6 

6 

0 

4 

4 

4 

7 

0 

4 

4 

2 

. 

8 

0 

0 

0 

6 

9 

0 

10 

6 

4 

A 

0 

12 

8 

4 

B 

0 

4 

6 

0 

C 

0 

10 

12 

2 

D 

0 

6 

6 

2 

E 

0 

2 

4 

2 

F 

0 

4 

2 

0 

33 

34 

35 

. 

4 

0 

2 

4 

8 

2 

6 

16 

4 

2 

6 

0 

10 

2 

8 

8 

0 

0 

4 

0 

0 

2 

12 

0 

. 

4 

6 

14 

0 

0 

4 

2 

0 

6 

2 

0 

8 

4 

0 

0 

6 

8 

2 

0 

4 

14 

4 

6 

0 

3D 

3E 

3F 

0 

0 

4 

8 

8 

8 

6 

2 

4 

2 

2 

2 

2 

2 

4 

6 

4 

0 

0 

4 

2 

8 

14 

4 

4 

4 

4 

4 

2 

2 

0 

0 

4 

4 

2 

8 

0 

0 

8 

12 

8 

6 

4 

4 

2 

4 

4 

2 

S1 I 

‘ 

→ S1 O‘ , z.B.: 34 x → 1 x , 34 x → 2 x ,34 x → 5 x 



Analyse der Rundenfunktion (1) 

gewählt: x, x* x‘ 

gesucht: k 

f 

E 

S1 E S2 E S3 E … S8 E 

S1 K S2 K S3 K … S8 K 

S1 E ‘, S2 E ‘, …, S8 E ‘ 

S1 I ‘ 

S1 

S2 I ‘ S8 I ‘ 

S2 

… 

S8 

S1 O , S1 O 

* 

S1 O ‘ 

S2 O , S2 O 

* 

S2 O ‘ 

P 

S8 O , S8 O 

* 

S8 O ‘ 

beobachtet: y, y* y‘ 



Analyse der Rundenfunktion (2) 

• Gewählt: Inputpaar x, x* ( x’) 

• Beobachtet: y, y* Outputdifferenz y’ 

1. Schritt: 

Bestimmung von Kandidaten für die Belegung der Input- 

Vektoren der S-Box 

2. Schritt: 

Ermittlung möglicher Schlüsselbits mit Hilfe der ermittelten 

Input-Vektoren 

• Wiederholen dieser Schritte zur weiteren Einschränkung des 

Schlüsselraums 

• Vollständige Suche über eingeschränkten Schlüsselraum 

‣ Beispiel: S1 E = 01 x , S1 E * = 35 x ; S1 O ‘= 0D x 


21


Mögliche Inputpaare für S1 I ‘= 34 x 

Outputdifferenzen 

S1 O ‘ 

Eingabepaare für S1 I ‘= 34 x 

1 03, 37; 0F, 3B; 1E, 2A; 1F, 2B 

2 04, 30; 05, 31; 0E, 3A; 11, 25; 12, 26; 14, 20; 

1A, 2E; 1B, 2F 

3 01, 35; 02, 36; 15, 21 

4 13, 27 

7 00, 34; 08, 3C; 0D, 39; 17, 23; 18, 2C; 1D, 29 

8 09, 3D; 0C, 38; 19, 2D 

D 06, 32; 10, 24; 16, 22; 1C, 28 

F 07, 33; 0A, 3E; 0B, 3F 



Mögliche Schlüsselbits S1 K 

1D, 29 

1. Paar: 

S1 E = 01 x , 

S1 E *= 35 x 

S1 I ‘ = 34 x 

S1 O ‘ = 0D x 

S1 I , S1 I * 

06, 32 

10, 24 

16, 22 

1C, 28 

Mögliche Schlüsselbits 

07, 33 

11, 25 

17, 23 

2. Paar: 

S1 E = 21 x , 

S1 E *= 15 x 

S1 I ‘ = 34 x 

S1 O ‘ = 03 x 

S1 I , S1 I * 

01, 35 

02, 36 

15, 21 

Mögliche Schlüsselbits 

20, 14 

23, 17 

34, 00 



Analyse des DES 

• Betrachtung der einzelnen S-Boxen: 

Inputdifferenz Si I ’ liefert Outputdifferenz Si O ’ mit 

P(Si, Si I 

’ Si O 

’ ) (Differenzenverteilungstabelle) 

• Analyse der Input- und Output-Differenzen der 

Rundenfunktion m.H. der Input- und Output-Differenzen der 

S-Boxen: 

P( 

f , x' 

→ y') 

= 

8 

∏ 

i= 

1 

P( 

Si, 

Si I 

' → Si O 

') 

• Verfolgen von Differenzen und Wahrscheinlichkeiten über 

mehrere Runden: Charakteristik 


22


n-Runden-Charakteristik Ω (1) 

Ω = (Ω m , Ω Λ , Ω c ) 

Ω Λ = (Λ 1 , Λ 2 , …, Λ n ) 

mit: Λ i = (λ Ii , λ Oi ) 

Ω m = m’ = (L Ω m ,R Ω m ) 

Ω c = c’ = (L Ω c ,R Ω c ) 

λ Ii = x i ’, λ Oi = y i ’ 

Es gilt: 

λ I1 = R Ω m 

λ I2 = L Ω m ⊕ λ O1 

λ In = R Ω c 

λ On = L Ω c ⊕ λ In-1 

Klartext m 

k 1 

y 1 x 1 

f 

k 2 

x 2 

f 

. . . 

f 

y 16 

y 2 

x 16 

k 15 

y 15 x 15 

f 

k 16 

2 ≤ i ≤ n-1: λ Oi = λ Ii-1 ⊕ λ Ii+1 

Schlüsseltext c 



n-Runden-Charakteristik Ω (2) 

• Wahrscheinlichkeit p iΩ der Runde i einer Charakteristik 

p iΩ = P(λ Ii → λ Oi ) 

• Wahrscheinlichkeit p Ω einer n-Runden-Charakteristik 

p 

Ω n 

Ω 

= ∏ p i 

i= 

1 

• Richtiges Paar bzgl. einer n-Runden-Charakteristik und eines 

unabhängigen Schlüssels k: 

– m’ = Ω m 

– für die ersten n Runden der Berechnung gilt: 

x i ’= λ Ii y i ’= λ Oi 

• Übrige Paare: falsche Paare 



1-Runden-Charakteristik mit p Ω = 1 

einziger möglicher Fall: λ Ii = (00 00 00 00) 

Ω m = (L Ω m , 00 00 00 00) 

p Ω = 1 

y 1 ‘ = (00 00 00 00) 

f 

x 1 ‘ = (00 00 00 00) 

k 1 

Ω c = ( L Ω m , 00 00 00 00) 


23


1-Runden-Charakteristik mit λ Ii 0 

• Ziel: p Ω möglichst groß 

– Si I ’ ≠ 0 für nur eine S-Box: nur die mittleren Bits dürfen mit 1 

belegt sein 

1 2 3 4 

S1 E : 

32 

1 2 3 4 

5 

Si I ’= 000100 ∨ 001000 ∨ 001100 = 04 x ∨ 08 x ∨ 0C x 

– Wahrscheinlichkeit für Si I ’ → Si O ’ maximal (S1: bei 0C x → E x ) 

• 1-Runden-Charakteristik mit p Ω 14 

= für 

64 

S1: 0C x → E x mit Wahrscheinlichkeit 

S2, …, S8: 00 x → 0 x mit Wahrscheinlichkeit 1 

14 

64 



1-Runden-Charakteristik mit p Ω = 14 

64 

Ω m = (L Ω m , 60 00 00 00) 

p Ω = 

14 y 1 ‘ = (00 80 82 00) 

64 = P(E0 00 00 00) 

f 

x 1 ‘ = (60 00 00 00) 

k 1 

Ω c = (L Ω m ⊕ 00 80 82 00, 60 00 00 00) 

P(E0 00 00 00): 16 

1 

2 

7 

15 

8 

19 13 30 6 22 11 4 25 


20 

23 

24 

21 

26 

14 

29 

5 

32 

12 

18 

27 

28 

31 

3 

17 

10 

9 


Konkatenation von n-Runden Charakteristiken 

Ω a = (Ω m,a 

, Ω Λ,a 

, Ω c,a 

) sei n-Runden-Charakteristik, 

Ω b = (Ω m,b 

, Ω Λ,b , Ω c,b 

) sei m-Runden-Charakteristik 

Ω m,a 

= (L Ω m,a , R Ω m,a ), Ω c,a 

= (L Ω c,a , R Ω c,a ) etc. 

Ω a und Ω b können verbunden werden, falls 

L Ω c,a = R Ω m,b und R Ω c,a = L Ω m,b 

Ω = Ω a Ω b = (Ω m,a 

, Ω Λ , Ω c,b 

) 

mit Ω Λ = (Λ a1 , Λ a2 , …, Λ an , Λ b1 , Λ b2 , …, Λ bm ) 


24


2 

3-Runden-Charakteristik mit p Ω 14 

= ≈ 0,05 

64 

Ω m = (00 80 82 00 60 00 00 00) 

p Ω = 

1 

14 

64 

y 1 ‘ = (00 80 82 00) 

f 

x 1 ‘ = (60 00 00 00) 

k 1 

p Ω = 1 

2 

y 2 ‘ = (00 00 00 00) 

f 

x 2 ‘ = (00 00 00 00) 

k 2 

p Ω = 

3 

14 

64 

y 3 ‘ = (00 80 82 00) 

f 

x 3 ‘ = (60 00 00 00) 

k 3 

Ω c = (00 80 82 00 60 00 00 00) 



Iterative Charakteristik Ω = (Ω m , Ω Λ , Ω c ) 

• L Ω m = R Ω c R Ω m = L Ω c 

• basiert auf Si I ’ Si O ’ mit Si I ’ ≠ 0 Si O ’ = 0 

• kann zur Konstruktion von n-Runden-Charakteristiken 

verwendet werden mit begrenzter Verringerung von p Ω 

Ω m = (L Ω m,00 00 00 00) 

p Ω = 1 

1 

y 1 ‘ = (00 00 00 00) 

f 

x 1‘ = (00 00 00 00) 

k 1 

p Ω 

2 

y 2 ‘ = (00 00 00 00) 

f 

x 2‘ = (L Ω m) 

k 2 

Ω c = (00 00 00 00, L Ω m) 



• Falsche Paare liefern nicht notwendigerweise den richtigen 

Teilschlüssel 

Betrachten der Schnittmenge i. Allg. nicht möglich 

• Richtiger Teilschlüssel jedoch häufiger vertreten (mit 

Wahrscheinlichkeit p Ω von den richtigen Paaren geliefert, 

dazu kommt zufälliges Auftreten in falschen Paaren) 

• DES: Erschweren der differentiellen Kryptoanalyse durch 

entsprechende Designkriterien für die Substitutionen und 

Permutationen 

Don Coppersmith: The Data Encryption Standard and its strength 

against attacks. IBM Journal of Research and Development 38/3, 

1994, 243-250. 

• Wichtiges Designkriterium: 

möglichst hohe Anzahl aktiver S-Boxen pro Runde 


25

4 Symmetrische Verfahren – Lineare Kryptoanalyse 

Lineare Kryptoanalyse 

• Matsui, M.: Linear Cryptanalysis Method for DES Cipher. 

Advances in Cryptology – EUROCRYPT '93, LNCS 765, 

Springer-Verlag, 386-397. 

• Klartext-Schlüsseltext Angriff 

• Anwendbar für iterierte Blockchiffren 

• Aufwand: ca. 2 43 Klartextblöcke erforderlich 

• Prinzip: 

– Ziel: Approximation der Chiffrierfunktion durch eine lineare 

Abbildung 

– Suche nach Approximationsgleichungen mit möglichst hoher 

Güte 

– Untersuchung genügend vieler Klartext-Schlüsseltext-Paare 

liefert Schlüsselbits 



Grundlagen 

• Körper: 

Menge F 2 = {0, 1}, Addition ⊕, Multiplikation · 

• Vektorraum: 

n 

Menge F2 = {( b1 

, b2 

,..., bn 

) | bi 

∈F2} 

Addition: 

(b 1 , b 2 , …, b n ) ⊕ (c 1 , c 2 , …, c n ) = (b 1 ⊕ c 1 , b 2 ⊕ c 2 , …, b n ⊕ c n ) 

Skalare Multiplikation: 

a ·(b 1 , b 2 , …, b n ) = (a · b 1 , a · b 2 , …, a · b n ) 

• U, V Vektorräume über K; L: U V Abbildung 

• L linear, wenn für alle u, u 1 , u 2 ∈ U und k ∈ K gilt: 

– L(u 1 + u 2 ) = L(u 1 ) + L(u 2 ) 

– L(k · u) = k · L(u) 



• Matrixdarstellung einer linearen Abbildung 

L : F 

F 

⎛ e1 

⎞ 

⎜ ⎟ 

⎛ a1 

⎞ ⎛l11 

l12 

l13 

l14 

l15 

l16 

⎞ ⎜e2 

⎟ 

⎜ ⎟ ⎜ 

⎟ 

⎜ ⎟ 

⎜a2 

⎟ ⎜l21 

l22 

l23 

l24 

l25 

l26 

⎟ e3 

= = 

⋅⎜ 

⎟ 

⎜ ⎟ L( 

e) 

a ⎜ 

⎟ 

3 

l31 

l32 

l33 

l34 

l35 

l36 

⎜e4 

⎟ 

⎜ ⎟ ⎜ 

⎟ 

⎜ ⎟ 

⎝a4 

⎠ ⎝l41 

l42 

l43 

l44 

l45 

l46 

⎠ ⎜ 

e5 

⎟ 

⎝e6 

⎠ 

6 4 

6 

4 

2 

→ F ; e = ( e1e 

2e 

2 3e4e5e6 

) ∈F2 

; a = ( a1a2a3a4 

) ∈ 

2 

⎛l11e1 

⎜ 

⎜l21e1 

= ⎜l31e1 

⎜ 

⎝l41e1 

⊕ 

⊕ 

⊕ 

⊕ 

l e 

12 

22 

32 

42 

2 

l e 

2 

l e 

2 

l e 

2 

⊕ 

⊕ 

⊕ 

⊕ 

... 

... 

... 

... 

⊕ 

⊕ 

⊕ 

⊕ 

l16e6 

⎞ 

⎟ 

l26e6 

⎟ 

l ⎟ 

36e6 

⎟ 

l 

46e6 

⎠ 


26


Vorüberlegungen zur linearen Kryptoanalyse 

• DES: Substitutionen sind die einzigen nicht-linearen 

Abbildungen 

• Lineare Abhängigkeit einzelner Ausgabebits einer S-Box 

Si O [i]? 

6 

gesucht: Funktionen ϕ : F → F mit 

Si O [i] = ϕ(Si I ) = l 1 Si I [1] ⊕ l 2 Si I [2] ⊕ … ⊕ l 6 Si I [6] 

2 

Paritätsfunktionen (alle Bits: Parität; nur Berechnung über 

bestimmte Bits: gewichtete Parität) 

• Kennzeichnung der verwendeten Bits mittels 

Auswahlvektor w: w T Si I 

Indexmenge: Angabe der verwendeten Positionen Si I 

[p1, p2, …] 

2 



Untersuchung der Substitutionsboxen 

• Paritätsfunktionen bzgl. der Eingabe Si I 

nicht vorhanden 

• Paritätsfunktionen bzgl. Eingabe Si I und Ausgabe Si O 

Auswahlvektoren u = (u 1 u 2 u 3 u 4 u 5 u 6 ) und v = (v 1 v 2 v 3 v 4 ) 

mit u T Si I = v T Si(Si I ) = v T Si O 

nicht vorhanden (Ausnahme u = 000000, v = 0000) 

• Affine Abbildungen 

Auswahlvektoren u, v, bei denen u T Si I und v T Si O stets unterschiedlich 

Nutzen für Analyse: u T Si I = v T Si O ⊕ 1 

nicht vorhanden 

Approximation notwendig 

Güte p A der Approximation ϕ der Funktion S: Anteil der Argumente, 

in denen die Funktionswerte übereinstimmen 



Beste lineare Approximation von S5 O [1] 

Substitution 

Lineare Abbildung (Auswahlvektor u) 

S5 I S5 O 000000 000001 … 110111 … 111110 111111 

000000 0010 0 0 

000001 1110 0 1 

000010 1100 0 0 

000011 1011 0 1 

000100 0100 0 0 

… 

… 

… 

… 

… 

0 … 

1 … 

1 … 

0 … 

1 … 

0 0 

0 1 

1 1 

1 0 

1 1 

. . . . . . . 111101 0101 

111110 1110 

111111 0011 

Häufigkeit: 

0 

0 

0 

32 

1 

0 

1 

32 

… 

… 

… 

… 

0 

0 

1 

44 

… 

… 

… 

… 

0 

1 

1 

34 

1 

1 

0 

34 


27


Approximationsmatrix von S5 

Ausw.- 

vektor u 

000000 

000001 

000010 

000011 

. 

001111 

010000 

010001 

. 

111101 

111110 

111111 

0 

64 

32 

32 

32 

32 

32 

32 

32 

32 

32 

1 

32 

32 

36 

32 

30 

34 

34 

36 

28 

28 

2 

32 

32 

30 

30 

30 

30 

30 

34 

36 

28 

3 

32 

32 

34 

38 

40 

32 

32 

34 

28 

28 

4 

32 

32 

30 

30 

38 

32 

36 

36 

34 

46 

5 

32 

32 

34 

30 

36 

30 

34 

36 

34 

38 

Auswahlvektor v 

6 

32 

32 

28 

36 

32 

26 

30 

30 

30 

26 

7 

32 

32 

32 

28 

34 

34 

30 

8 

32 

32 

36 

32 

. 

34 

24 

28 

. 

34 

32 

36 

9 

32 

32 

32 

32 

36 

30 

34 

A 

32 

32 

34 

30 

40 

30 

34 

B 

32 

32 

30 

38 

30 

28 

32 

C 

32 

32 

34 

30 

40 

32 

24 

D 

32 

32 

30 

30 

26 

34 

26 

E 

32 

32 

32 

36 

34 

42 

34 

F 

32 

32 

28 

28 

32 

12 

36 

30 42 32 32 34 34 36 32 

34 30 30 30 36 28 32 36 

34 30 38 30 32 32 28 32 



Bestimmung von Schlüsselbits 

m 

6 

S5 I 

S5 

S5 O 

4 

6 

k 

mit p A 

= 0,81: 

(010000) T m ⊕ (010000) T k 

= (1111) T c ⊕ 1 

bzw. 

m [2] ⊕ k [2] = c [1,2,3,4] ⊕ 1 

c 

Umstellen nach k [2] : 

k [2] = m [2] ⊕ c [1,2,3,4] ⊕ 1 

Analyse von genügend Klartext- 

Schlüsseltext-Paaren liefert k [2] 



Analyse der DES-Rundenfunktion 

• Verwendung der Approximationsfunktion 

• Einbeziehung der Expansionsabbildung E 

und der Schlüsseladdition 

32 

4 

8 

12 

16 

20 

24 

28 

1 

5 

9 

13 

17 

21 

25 

29 

2 

6 

10 

14 

18 

22 

26 

30 

3 

7 

11 

15 

19 

23 

27 

31 

4 

8 

12 

16 

20 

24 

28 

32 

5 

9 

13 

17 

21 

25 

29 

1 

• Berücksichtigung der Permutation P 

16 

1 

2 

19 

7 

15 

8 

13 

20 

23 

24 

30 

21 

26 

14 

6 

29 

5 

32 

22 

12 

18 

27 

11 

28 

31 

3 

4 

17 

10 

9 

25 

Approximationsgleichung für Rundenfunktion 


28


Allgemeines Vorgehen 

Vorbereitung: 

Auswahlvektoren u, v, w bestimmen mit: 

w T k = u T m ⊕ v T c oder 

w T k = u T m ⊕ v T c ⊕ 1 

Güte der Approximation p A > 0,5 

1. Schritt: 

Untersuchung von N Klartext-Schlüsseltext-Paare 

Z: Anzahl von Paaren, für die die rechte Seite der entsprechenden 

Gleichung 0 ist 

2. Schritt: 

Z > N/2: w T k = 0 

Z < N/2: w T k = 1 



Analyse des DES mit 3 Runden 

m = (L m , R m ) 

k [26] = 

1 

x [17] ⊕ y [3,8,14,25] ⊕ 1 

1 1 

y 1 = L m ⊕ x 2 

f 

x 1 = R m 

k 1 

k 2 

y 2 x 2 

f 

k [26] = 

3 

x [17] ⊕ y [3,8,14,25] ⊕ 1 

3 3 

y 3 = L c ⊕ x 2 

f 

x 3 = R c 

k 3 

c = (L c , R c ) 


4 Symmetrische Verfahren – IDEA 

IDEA (International Data Encryption Algorithm) 

• Wesentliche Anforderungen an den Entwurf: höhere 

Sicherheit im Vergleich zu DES (größerer Schlüsselraum) 

und effiziente Implementierbarkeit in Hard- und Software 

• Gemeinschaftsprojekt zwischen der ETH Zürich und der 

Ascom Systec AG 

• 1990 Xuejia Lai, James L. Massey: PES (Proposed Encryption 

Standard) 

• 1991 Xuejia Lai, James L. Massey, S. Murphy: IPES 

(Improved PES) – gegen differentielle Kryptoanalyse 

optimierte Version IDEA 

• Patentiert (in Europa bis 2011), Nutzung für nichtkommerzielle 

Zwecke möglich (Einsatz in PGP) 


29



• Einteilung der Nachricht in Blöcke m i der Länge 64 Bit 

• Schlüssellänge 128 Bit 

• 8 identische Runden und zusätzliche Output-Transformation 

• Grundlage bilden einfache arithmetische Operationen auf 

Operanden der Länge 16 Bit: 

– XOR-Verknüpfung 

+ 

– Addition modulo 2 16 

+ 

– Multiplikation modulo 2 16 +1 (wegen erforderlicher 

Invertierbarkeit wird 0 durch 2 16 dargestellt) 

⋅ 

• Aufteilung der Nachrichtenblöcke in jeweils vier Teilblöcke 

m i1 , m i2 , m i3 , m i4 zu je 16 Bit 

• 52 Teilschlüssel k i,j zu je 16 Bit: 

– Zerlegung des 128-Bit-Schlüssels in 8 16-Bit-Schlüssel 

– Linksshift um 25 Bit und erneute Aufteilung in 8 16-Bit- 

Schlüssel 



m i1 m i2 m i3 m i4 

k 1,1 ⋅ + k 1,2 k 1,3 + ⋅ k 1,4 

k 9,1 

+ 

+ 

k 1,5 ⋅ 

+ 

+ 

⋅ 

k 1,6 

+ + 

+ 

+ 

… … … 

⋅ + k 9,2 k 9,3 + ⋅ 

c i1 c i2 c i3 c i4 


k 9,4 


Teilschlüssel 

Entschlüsselung: umgekehrte Reihenfolge, inverse 

Teilschlüssel (-k: additives Inverses mod 2 16 bzw. k -1 : 

multiplikatives Inverses mod 2 16 +1) 

Runde Verschlüsselung 

1 k 1,1 k 1,2 k 1,3 k 1,4 k 1,5 k 1,6 

2 k 2,1 k 2,2 k 2,3 k 2,4 k 2,5 k 2,6 

3 k 3,1 k 3,2 k 3,3 k 3,4 k 3,5 k 3,6 

4 k 4,1 k 4,2 k 4,3 k 4,4 k 4,5 k 4,6 

5 k 5,1 k 5,2 k 5,3 k 5,4 k 5,5 k 5,6 

6 k 6,1 k 6,2 k 6,3 k 6,4 k 6,5 k 6,6 

7 k 7,1 k 7,2 k 7,3 k 7,4 k 7,5 k 7,6 

8 k 8,1 k 8,2 k 8,3 k 8,4 k 8,5 k 8,6 

9 k 9,1 k 9,2 k 9,3 k 9,4 


k -1 

9,1 –k 9,2 –k 9,3 k -1 

9,4 k 8,5 k 8,6 

k -1 

8,1 –k 8,3 –k 8,2 k -1 

8,4 k 7,5 k 7,6 

k -1 

7,1 –k 7,3 –k 7,2 k -1 

7,4 k 6,5 k 6,6 

k -1 

6,1 –k 6,3 –k 6,2 k -1 

6,4 k 5,5 k 5,6 

k -1 

5,1 –k 5,3 –k 5,2 k -1 

5,4 k 4,5 k 4,6 

k -1 

4,1 –k 4,3 –k 4,2 k -1 

4,4 k 3,5 k 3,6 

k -1 

3,1 –k 3,3 –k 3,2 k -1 

3,4 k 2,5 k 2,6 

k -1 

2,1 –k 2,3 –k 2,2 k -1 

2,4 k 1,5 k 1,6 

k -1 

1,1 –k 1,2 –k 1,3 k -1 

1,4 


30


Konfusion 

• Mischen der drei inkompatiblen Gruppenoperationen 

(Distributivgesetz und verallgemeinertes Assoziativgesetz 

von keinem Paar der Operationen erfüllt) 

• Ergebnis einer Operation ist niemals Eingabe einer Operation 

desselben Typs 

Diffusion 

• Multiplikations-Additions-Struktur: unter Nutzung von k i,5 

und k i,6 werden zwei Eingabeblöcke I 1 , I 2 in zwei 

Ausgabeblöcke O 1 , O 2 transformiert 

• Jeder Ausgabeblock hängt von jedem Eingabeblock ab 

• Geringstmögliche Anzahl von Operationen für diese 

“ganzheitliche Diffusion” 



Eigenschaften des IDEA 

• Verwendung linearer Funktionen, die aber in 

unterschiedlichen Vektorräumen arbeiten durch 

Verknüpfung wird Nichtlinearität erreicht 

• Betriebsarten und Mehrfachverschlüsselung anwendbar 

• Sehr gut in Hard- und Software implementierbar 

• Sehr effizient 

• Gegen differenzielle Kryptoanalyse optimiert (nach vier 

Runden immun) 

• Problem schwacher Schlüssel einfache Modifikation der 

Teilschlüsselgenerierung: XOR-Addition einer Konstante: 

kˆ 

0DAE 

i, j 

= ki, 

j 

⊕α, 

α = 

x 


4 Symmetrische Verfahren – AES 

AES (Advanced Encryption Standard) 

• 1997 Ausschreibung eines öffentlichen Wettbewerbs für die 

Einreichung eines kryptographischen Algorithmus “AES” als 

Nachfolger des DES durch das National Institute of 

Standards and Technology (NIST) der USA 

• Kriterien: 

– Sicherheit (bestmöglich, resistent gegen alle bekannten 

Angriffe) 

– Kosten (weltweit ohne Einschränkungen und Lizenzgebühren 

verfügbar) 

– Performance (effiziente Realisierbarkeit in Hard- und Software) 

– Algorithmische Eigenschaften (klar strukturiert, flexibel, für 

möglichst viele Anwendungen einsetzbar) 

• Einreichungsfrist bis zum 15.6.1998 

• 15 Algorithmen erfüllten formale Kriterien und wurden in 

einer ersten Verfahrensrunde begutachtet 


31


August 1999: 5 Finalisten 

• MARS (IBM, USA): 

komplexes Verfahren mit 32 Runden, aus Feistel-Chiffre abgeleitet 

• RC6 (Ron Rivest u.a., RSA Labs, USA): 

“Rons Code”, Weiterentwicklung von RC5, basiert auf Feistel- 

Netzwerk mit 20 Runden 

• Rijndael (Vincent Rijmen und Joan Daemen, Belgien): 

SP-Netzwerk mit wahlweise 10, 12 oder 14 Runden; 

Weiterentwicklung von SAFER 

• Serpent (Ross Anderson/UK, Eli Biham/Israel, Lars 

Knudsen/Norwegen): 

SP-Netzwerk mit 32 Runden 

• Twofish (Bruce Schneier u.a., USA): 

Weiterentwicklung von Blowfish, Feistel-Algorithmus mit 16 Runden 



Sieger des Wettbewerbs: Rijndael 

• Entscheidung Oktober 2000 

• Begründung: 

Beste Kombination von Sicherheit, Leistungsfähigkeit, 

Effizienz und Implementierbarkeit sowohl in Software als 

auch in Hardware. 

• Publikation als Standard im Herbst 2001 (FIPS Standard 

„Specification for the Advanced Encryption Standard“, FIPS 

197) 

• 2002 trat AES in Kraft 

• Einsatz z.B.: Verschlüsselungsstandard 802.1 für Wireless 

LAN bzw. für Wi-Fi WPA2, SSH, IPSec, 7-Zip, PGP 




• Verschlüsselung von Klartextblöcken der Länge 128 Bit 

(vorgeschlagene Längen von 192 und 256 Bits nicht 

standardisiert) 

• Schlüssellänge wahlweise 128, 192 oder 256 Bits 

• Mehrere Runden, jeweils Substitutionen, Permutationen und 

Schlüsseladdition 

• Anzahl der Runden r hängt von Schlüssel- und Klartextlänge 

ab: 

Schlüssel- Blocklänge des Klartextes n b 

länge n k 

128 Bit 

192 Bit 

256 Bit 

128 Bit 

10 

12 

14 

192 Bit 


12 

12 

14 

256 Bit 

14 

14 

14 

32


Struktur des AES 

k n k 

m i 

n b 

c i 

n b 

k 1 


b 

Teil- 


n b 

k 2 

schlüs- 

sel- 

generie- 

rung 

. 

. 

n b 

k r 

Iterationsrunde r 



Struktur der Iterationsrunden 

s i 

s r 

s i,a 

SubByte 

s i,b 

ShiftRow 

s i,c 

MixColumn 

s r,a 

SubByte 

s r,b 

ShiftRow 

s r,c 

k r 

s i,d 

k i 

s i+1 

Runde i, i = 1, 2, …, r-1 

Runde r 



Notation 

• Darstellung eines Bytes als Folge von Bits: 

a = {a 7 a 6 a 5 a 4 a 3 a 2 a 1 a 0 } 2 , a i ∈ {0,1} 

• Darstellung als Polynom: 

a = 

∑ 

i= 

0 

• Darstellung als Hexadezimalzahl 

7 

i 

a i 

x 


33


Darstellung der Operanden 

Byte-Matrizen mit 4 Zeilen und N b (N k ) Spalten 

mit N b (N k ): Blocklänge n b (Schlüssellänge n k ) / 32 

a 0,0 

a 0,1 

a 1,0 

a 0,3 

a 1,1 

a 2,0 

a 1,3 

a 2,1 

a 3,0 

a 2,3 

a 3,1 

a 0,2 

a 1,2 

a 2,2 

a 3,2 

a 3,3 

a 0,4 

a 1,4 

a 2,4 

a 3,4 

a 0,5 

a 1,5 

a 2,5 

a 3,5 

a 0,6 

a 1,6 

a 2,6 

a 3,6 

a 0,7 

a 1,7 

a 2,7 

a 3,7 

Matrix (state) für 

Blocklänge 

128 , 192 , 256 

Bit 

Schlüssel für 

Schlüssellänge 

128 , 192 , 256 

Bit 

k 0,0 k 0,1 k 0,2 k 0,3 k 0,4 k 0,5 k 0,6 k 0,7 

k 1,0 k 1,1 k 1,2 k 1,3 k 1,4 k 1,5 k 1,6 k 1,7 

k 2,0 k 2,1 k 2,2 k 2,3 k 2,4 k 2,5 k 2,6 k 2,7 

k 3,0 k 3,1 k 3,2 k 3,3 k 3,4 k 3,5 k 3,6 k 3,7 



Mathematische Grundlagen 

• Alle Verschlüsselungsschritte basieren auf Operationen in 

endlichen Körpern 

• Alle Bytes als Elemente des Körpers GF(2 8 ) interpretierbar: 

a 7 x 7 + a 6 x 6 + a 5 x 5 + a 4 x 4 + a 3 x 3 + a 2 x 2 + a 1 x + a 0 mod m(x) 

mit m(x) = x 8 + x 4 + x 3 + x + 1 (irreduzibles Polynom) 

• Addition ⊕: 

a = {a 7 a 6 a 5 a 4 a 3 a 2 a 1 a 0 }, b = {b 7 b 6 b 5 b 4 b 3 b 2 b 1 b 0 } 

c = a ⊕ b mit c i = a i ⊕ b i 

• Multiplikation : 

c = a b = a · b mod m(x) 

⋅ 

⋅ 



• Polynome dritten Grades mit Koeffizienten aus GF(2 8 ): 

Polynomring GF(2 8 )[x]/(x 4 +1) 

a(x) = a 3 x 3 + a 2 x 2 + a 1 x + a 0 mit a i GF(2 8 ) 

• Addition ⊕: 

c(x) = a(x) ⊕ b(x) = 

(a 3 ⊕ b 3 )x 3 + (a 2 ⊕ b 2 )x 2 + (a 1 ⊕ b 1 )x + (a 0 ⊕ b 0 ) 

• Multiplikation ⊗: 

c(x) = a(x) ⊗ b(x) = a(x) · b(x) mod (x 4 +1) 

⋅ 

∈ 


34


c(x) = c 6 x 6 + c 5 x 5 + c 4 x 4 + c 3 x 3 + c 2 x 2 + c 1 x + c 0 

⋅ 

c 0 = (a 0 b 0 ) 

c 1 = (a 1 b 0 ) ⊕ (a 0 b 1 ) 

c 2 = (a 2 ⋅ b 0 ) ⊕ (a 1 b 1 ) ⊕ (a 0 b 2 ) 

c 3 = (a 3 b 0 ) ⊕ (a 2 b 1 ) ⊕ (a 1 b 2 ) ⊕ (a 0 b 3 ) 

c 4 = (a ⋅ 

3 b 1 ) ⊕ (a 2 b 2 ) ⊕ (a 1 ⋅b 3 ) 

c 5 = (a 3 ⋅ b 2 ) ⊕ (a 2 ⋅ b 3 ) 

c 6 = (a 3 b 3 ) 

⋅ 

⋅ 

mit x i mod (x 4 +1) = x i mod 4 : d(x) = d 3 x 3 + d 2 x 2 + d 1 x + d 0 

⋅ 

d 0 = (a 0 b 0 ) ⊕ (a 3 b 1 ) ⊕ (a 2 b 2 ) ⊕ (a 1 b 3 ) 

d 1 = (a 1 b 0 ) ⊕ (a 0 b 1 ) ⊕ (a 3 b 2 ) ⊕ (a 2 b 3 ) 

d 2 = (a 2 ⋅ b 0 ) ⊕ (a 1 ⋅b 1 ) ⊕ (a 0 ⋅ b 2 ) ⊕ (a 3 ⋅ b 3 ) 

d 3 = (a 3 b 0 ) ⊕ (a 2 b 1 ) ⊕ (a 1 b 2 ) ⊕ (a 0 b 3 ) 

⋅ 

⋅ 

⋅ 

⋅ 

⋅ 

(oftmals Matrixschreibweise) 


⋅ 

⋅ 


Schritt 1: SubByte 

• Alle Bytes einer Matrix werden unabhängig voneinander 

substituiert 

• Nichtlinearität 

b i,j := S 8 (a i,j ) 

s i,a 

= 

a 0,0 a 0,3 

b 0,3 

a 0,1 a 0,2 

b 0,0 b 0,1 b 0,2 

a 1,0 

a 1,1 a 1,2 a 1,3 

b 1,0 b 1,1 b 1,2 b 1,3 

a 2,0 a 2,1 a 2,2 a 2,3 

b 2,0 b 2,1 b 2,2 b 2,3 

a 3,0 a 3,1 a 3,2 a 3,3 

b 3,0 b 3,1 b 3,2 b 3,3 

= s i,b 



Substitutionsbox S 8 (a 7 a 6 a 5 a 4 a 3 a 2 a 1 a 0 ) 

a 7 a 6 a 5 a 4 a 3 a 2 a 1 a 0 

0 

1 

2 

3 

4 

5 

6 

7 

0 

63 

CA 

B7 

04 

09 

53 

D0 

51 

1 

7C 

82 

FD 

C7 

83 

D1 

EF 

A3 

2 

77 

C9 

93 

23 

2C 

00 

AA 

40 

3 

7B 

7D 

26 

C3 

1A 

ED 

FB 

8F 

4 

F2 

FA 

36 

18 

1B 

20 

43 

92 

5 

6B 

59 

3F 

96 

6E 

FC 

4D 

9D 

6 

6F 

47 

F7 

05 

5A 

B1 

33 

38 

7 8 

C5 30 

F0 AD 

CC 34 

9A 07 

A0 52 

5B 

85 

6A 

45 

F5 BC 

. . . 

9 

01 

D4 

A5 

12 

3B 

CB 

F9 

B6 

A 

67 

A2 

E5 

80 

D6 

BE 

02 

DA 

B 

2B 

AF 

F1 

E2 

B3 

39 

7F 

21 

C 

FE 

9C 

71 

EB 

29 

4A 

50 

10 

D 

D7 

A4 

D8 

27 

E3 

4C 

3C 

FF 

E 

AB 

72 

31 

B2 

2F 

58 

9F 

F3 

F 

76 

C0 

15 

75 

84 

CF 

A8 

D2 

C 

D 

E 

F 

BA 

70 

E1 

8C 

78 

3E 

F8 

A1 

25 

B5 

98 

89 

2E 

66 

11 

0D 

1C 

48 

69 

BF 

A6 

03 

D9 

E6 

B4 

F6 

8E 

42 

C6 

0E 

94 

68 

E8 

61 

9B 

41 

DD 

35 

1E 

99 

74 

57 

87 

2D 

1F 

B9 

E9 

0F 

4B 

86 

CE 

B0 

BD 

C1 

55 

54 

8B 

1D 

28 

BB 

8A 

9E 

DF 

16 


35


Schritt 2: ShiftRow 

• Zyklische Verschiebung der Zeilen nach links 

• Diffusion 

Zeile 

0 

1 

2 

3 

N b = 4 

0 

1 

2 

3 

N b = 6 

0 

1 

2 

3 

N b = 8 

0 

1 

3 

4 

b 0,0 

c 3,3 

s i,b 

= 

b 0,1 

b 1,0 

b 0,3 

b 1,1 

b 2,0 

b 1,3 

b 2,1 

b 3,0 

b 2,3 

b 3,1 

b 0,2 

b 1,2 

b 2,2 

b 3,2 

b 3,3 

c 0,0 

c 0,1 

c 1,0 

c 0,3 

c 1,1 

c 2,0 

c 1,3 

c 2,1 

c 3,0 

c 2,3 

c 3,1 

c 0,2 

c 1,2 

c 2,2 

c 3,2 

= s i,c 



Schritt 3: MixColumn 

• Operiert jeweils auf Spalten der Matrix (32-Bit Substitution) 

• Diffusion 

d i := a(x) ⊗ c i mod (x 4 + 1) 

c 0,0 

c 0,1 

d 3,1 

d 3,3 

s i,c 

= 

c 0,1 

c 1,0 c 1,3 

c 1,1 

c 1,2 

c 0,3 

c 2,0 c 2,1 

c 2,2 c 2,3 

c 3,0 

c 3,1 

c 0,2 

c 3,2 

c 3,3 

d 0,0 

d 0,1 

d 0,2 d 0,3 

d 1,0 

d 1,1 

d 1,2 d 1,3 

d 2,0 

d 2,1 

d 2,2 

d 3,1 d 3,2 

d 3,0 

d 2,3 

= s i,d 



d i 

:= a(x) ⊗ c i 

mod (x 4 +1) 

a(x) = {03} x 3 + {01} x 2 + {01} x + {02} 

d 0,i 

d 1,i 

d 

= 2,i 

d 3,i 

02 03 01 01 

01 02 03 01 

01 01 02 03 

03 01 01 02 

c 0,i 

c 1,i 

c 2,i 

c 3,i 

d 0,i = ({02}·c 0,i ) ⊕ ({03}·c 1,i ) ⊕ c 2,i ⊕ c 3,i 

d 1,i = c 0,i ⊕({02}·c 1,i ) ⊕ ({03}·c 2,i ) ⊕ c 3,i 

d 2,i = c 0,i ⊕ c 1,i ⊕ ({02}·c 2,i ) ⊕ ({03}·c 3,i ) 

d 3,i = ({03}·c 0,i ) ⊕ c 1,i ⊕ c 2,i ⊕ ({02}·c 3,i ) 


36


Schritt 4: AddRoundKey 

• Macht Iterationsrunden schlüsselabhängig 

• Länge des Rundenschlüssels k i : n b 

s i,d 

s i+1,a 

d 0,0 

a 3,3 

d 0,1 

d 1,0 

d 0,3 

d 1,1 

d 2,0 

d 1,3 

d 2,1 

d 3,0 

d 2,3 

d 3,1 

d 0,2 

d 1,2 

d 2,2 

d 3,2 

d 3,3 

k i 

k 0,0 k 0,1 k 0,2 k 0,3 

k 1,0 k 1,1 k 1,2 k 1,3 

= 

k 2,0 k 2,1 k 2,2 

k 3,0 

k 2,3 

k 3,1 

k 3,2 

k 3,3 

a 0,0 

a 0,1 

a 1,0 

a 0,3 

a 1,1 

a 2,0 

a 1,3 

a 2,1 

a 3,0 

a 2,3 

a 3,1 

a 0,2 

a 1,2 

a 2,2 

a 3,2 




• Expansion des AES-Schlüssels, abhängig von n b und n k 

• n b bestimmt Länge der Rundenschlüssel 

• n b und n k bestimmen Anzahl der Runden Anzahl der 

Rundenschlüssel 

• Länge des expandierten Schlüssels in Byte = 4N b (r+1): 

Schlüssellänge 

n k 

128 Bit 

192 Bit 

256 Bit 

Blocklänge des Klartextes n b 

128 Bit 192 Bit 256 Bit 

16·11 24·13 32·15 

16·13 24·13 32·15 

16·15 24·15 32·15 




• Verschiedene Expansionsalgorithmen für n b = 128, 192 und 

256 Bit 

• Expandierter Schlüssel: Folge von 4-Byte Blöcken w i 

w 0 w 1 w 2 … w i …w N 

b *(r+1)-1 

• Auswahl der Rundenschlüssel: 

w 0 

w 1 

w 2 

… w N -1 

w N 

w N +1 

… 

b 

b 

b 

k 0 

k 1 


37


Schlüsselexpansion 

KeyExpansion(byte k[4*N k ], word w[N b *(r+1)]){ 

for (i=0; i < N k ; i++) 

w[i] = (k[4*i], k[4*i+1], k[4*i+2], k[4*i+3]); 

for (i=N k ; i < N b *(r+1); i++) { 

temp = w[i-1]; 

if (i mod N k == 0) 

temp = SubWord(Rot(temp)) ⊕ Rcon[i/N k ]; 

else if (N k > 6 and i mod N k == 4) 

temp = SubWord(temp); 

w[i] = w[i-N k ] ⊕ temp; 

} 

} 



Schlüsselexpansion für N k 

= 4 

w 0 

k[0:3] 

w 1 

k[4:7] 

k[8:11] k[12:15] 

w 2 w 3 

Rcon[1] 

Rot 

SubWord 

w 4 

w 5 

w 6 

w 7 

Rcon[2] 

… … … … 

Rot SubWord 



Schlüsselexpansion – Verwendete Funktionen 

• Rot: zyklische Verschiebung 

Rot([a 0 , a 1 , a 2 , a 3 ]) = [a 1 , a 2 , a 3 , a 0 ] 

• SubWord: byteweise Substitution unter Nutzung von S 8 

SubWord([a 0 , a 1 , a 2 , a 3 ]) = [S 8 (a 0 ), S 8 (a 1 ), S 8 (a 2 ), S 8 (a 3 )] 

• Rcon: Konstante für die betreffenden Runden 

Rcon[j = i/N k ] = [x j-1 , {00}, {00}, {00}] 


38



• Umgekehrte Reihenfolge, inverse Funktionen 

s i+1 

k r 

k i 

s r,c 

MixColumn -1 

ShiftRow 

s i -1 

SubByte -1 ShiftRow -1 

s r,b 

s i,c 

s r,a 

s i,d 

s i,b 

s r 

SubBytes -1 

Runde r Runde i, i = r-1, r-2, …, 1 

s i,a 

s i 

• Zum Schluss Addition des Rundenschlüssels k 0 



Inverse Funktionen 

• ShiftRow -1 : 

zyklische Verschiebung nach rechts 

• SubByte -1 : 

Anwendung der inversen Substitution a i,j := S 8 

-1 

(b i,j ) 

• MixColumn -1 : 

Multiplikation mit dem multiplikativen Inversen mod (x 4 + 1) 

a -1 (x)= ({03} x 3 + {01} x 2 + {01} x + {02}) -1 mod (x 4 + 1) 

= {0b} x 3 + {0d} x 2 + {09} x + {0e} 



Entschlüsselung in äquivalenter Reihenfolge 

• SubByte(ShiftRow(s i )) = ShiftRow(SubByte(s i )) 

und 

SubByte -1 (ShiftRow -1 (s i )) = ShiftRow -1 (SubByte -1 (s i )) 

• MixColumn(s i ⊕ k i ) = MixColumn(s i ) ⊕ MixColumn(k i ) 

und 

MixColumn -1 (s i ⊕ k i ) = MixColumn -1 (s i ) ⊕ MixColumn -1 (k i ) 

→ Reihenfolge der Abarbeitung wie bei Verschlüsselung 

→ k i ’ = MixColumn(k i ), i = 1, 2, …, r-1 


39


Entschlüsselung in äquivalenter Reihenfolge 

• Addition des Rundenschlüssels k r 

s i+1 

s i,a 

s 1 

s 1,a 

SubByte -1 

SubByte -1 

s i,b 

s 1,b 

ShiftRow -1 ShiftRow -1 

s i,c 

s 1,c 

k 0 

MixColumn -1 

s i,d 

k i ‘ 

s i 

Runde i, i = r-1, r-2, …, 1 


40

Überblick über die Vorlesung 4 Symmetrische Verfahren ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?