Kryptographie und Kryptoanalyse

Kryptographie und Kryptoanalyse 

SS 2010 

Mittwoch 3. DS, E09 

Folien: 

dud.inf.tu-dresden.de 

Dr.-Ing. Elke Franz, Elke.Franz@tu-dresden.de 

Überblick über die Vorlesung 

1. Einführung 

– Begriffe 

– Bedrohungen 

– Schutzziele 

2. Grundlagen 

– Mathematische Beschreibung 

– Einteilung kryptographischer Systeme 

– Überblick über Angriffe 

– Sicherheit kryptographischer Systeme 

3. Klassische Verfahren 

– Mathematische Grundlagen 

– Transpositionen 

– MM-Substitutionen 

– PM-Substitutionen 



3. Symmetrische Verfahren 

– Blockchiffren 

– Feistel-Chiffre 

– Kryptographische Güte 

– DES / 3-DES 

– IDEA 

– AES 

– Betriebsarten 

4. Asymmetrische Verfahren 

– Grundlagen 

– Diffie-Hellman-Schlüsselaustausch 

– ElGamal 

– RSA 

– Kryptosysteme auf Basis elliptischer Kurven 


1 

2 

3 

1

1 Einführung – Begriffe 

Kryptologie 

Kryptographie Kryptoanalyse 

Kryptographie (griech. „kryptos“+ „graphein“) 

Wissenschaft von den Methoden der Ver- und 

Entschlüsselung von Informationen. 

Kryptoanalyse (griech. „kryptos“+ „analyein“) 

Wissenschaft vom Entschlüsseln von Nachrichten ohne 

Kenntnis dazu notwendiger geheimer Informationen. 


1 Einführung – Bedrohungen 

Mögliche Bedrohungen 

• Unbefugte Kenntnisnahme der Informationen 

• Verfälschen von Informationen (bei Nachrichten auch von 

deren Absendern) 

• Stören der Verfügbarkeit 


1 Einführung – Schutzziele 

Charakteristik der Bedrohungen 

• Unbefugter Informationsgewinn 

Verlust der Vertraulichkeit 

• Unbefugte Modifikation 

der Information 

Verlust der Integrität 

• Beeinträchtigung der 

Funktionalität 

Verlust der Verfügbarkeit 


Nicht erkennbar, 

aber verhinderbar 

Nicht verhinderbar, 

aber erkennbar 

4 

5 

6 

2

1 Einführung – Schutzziele 

Unterteilung der Schutzziele 

Inhalte Umstände 

Unerwünschtes Vertraulichkeit Anonymität 

verhindern Verdecktheit Unbeobachtbarkeit 

Erwünschtes 

leisten 


1 Einführung - Schutzziele 

Integrität Zurechenbarkeit 

Verfügbarkeit 

Erreichbarkeit 

Verbindlichkeit 

Mittels Kryptographie erreichbare Schutzziele 

• Vertraulichkeit 

Informationen werden nur Berechtigten bekannt. 

• Integrität 

Informationen können nicht unerkannt modifiziert werden. 

• Zurechenbarkeit 

Dem Sender einer Nachricht kann das Senden (auch gegenüber 

Dritten) ) nachgewiesen h werden. d 

(Nachweis des Empfangs sowie des Zeitpunktes des 

Sendens/Empfangens erfordert weitere Maßnahmen.) 





– Mathematische Beschreibung 

– Einteilung kryptographischer Systeme 

– Überblick über Angriffe 

– Sicherheit kryptographischer Systeme 





7 

8 

9 

3

2 Grundlagen – Mathematische Beschreibung 

Vertrauensbereich 

des Senders (Alice) 

Nachricht 

m M 

Hallo, ... 

Schlüssel 

ke K 

Verschlüsselungsfkt. 

enc ENC 


Unsicherer 

Kanal: 

Angriffsbereich 

Vertrauensbereich des 

Empfängers (Bob) 

Schlüssel 

k d K 

Schlüsseltext Entschlüsse- Nachricht 

lungsfkt. 

c C dec DEC m = dec(kd,c) c = enc(ke,m) Hallo, ... 

g9b02... 


Kryptosystem (M, C, K, Enc, Dec) 

• Nachrichtenraum M: 

endliche Menge möglicher Nachrichten 

(Klartexte; messages) 

• Schlüsseltextraum C: 

endliche Menge möglicher Schlüsseltexte 

(Kryptogramme (Kryptogramme, Chiffrate, Chiffrate Chiffretexte; ciphertexts) 

• Schlüsselraum K: 

endliche Menge möglicher Schlüssel (keys) 

• Funktionsräume 

Enc (Verschlüsselung, encryption) 

und Dec (Entschlüsselung, decryption) 



Alphabet 

• endliche, nichtleere, totalgeordnete Menge 

A = {a 0, a 1, a 2, …, a l-1} 

Alphabet mit l Elementen 

a i : Zeichen bzw. Buchstaben 

m =(m m m m ) mit m A m An m = (m0m1m2 … mn-1) mit mi A, m An Wort der Länge n über dem Alphabet A 

A n : Menge aller Wörter über A mit der max. Länge n 

• Nachrichten, Schlüsseltexte, Schlüssel: 

endliche Folgen bzw. Worte über den zugrunde liegenden 

Alphabeten A M, A C, A K 


10 

11 

12 

4


Funktion 

• allgemein f: X Y; f(x) = y 

X: Definitionsbereich, Y: Wertebereich 

• Eigenschaften 

–injektiv: " x, x’ X. f(x)= f(x’) x = x’ 

– surjektiv: " y Y .$ $ x X f(x) = y 

– bijektiv: injektiv und surjektiv 

• Umkehrfunktion bzw. inverse Funktion 

f bijektiv inverse Funktion g = f -1 : 

" y Y. g(y) = x mit x X und f(x) = y 



Ver- und Entschlüsselungsfunktionen 

• n, l N; A, B Alphabete 

• m M = A n Nachricht, c C = B l Schlüsseltext 

• Verschlüsselung: c = enc(ke,m) bzw. c = enck (m) 

enc Enc: M μ K C bzw. An x K Bl e 

• Entschlüsselung: m = dec(kd,c) bzw. m = deck (c) 

dec Dec: C μ K M bzw. Bl x K An d 

Verhältnis l/n: Expansionsfaktor 

n = l: Kryptofunktion heißt längentreu 



Kerckhoffs-Prinzip 

Die Sicherheit eines Verfahrens darf nicht von der 

Geheimhaltung des Verfahrens abhängen, sondern nur von 

der Geheimhaltung des Schlüssels. 

[Auguste Kerkhoffs: La Cryptographie militaire. Journal des 

Sciences Militaires, Januar 1883.] 

• Keine „Security by Obscurity“ 

• Annahme: Angreifer kennt das Verfahren und die öffentlichen 

Parameter 

• Sicherheit des Verfahrens begrenzt durch 

– Sicherheit der Schlüsselgenerierung und 

– Sicherheit des Schlüsselaustauschs 


13 

14 

15 

5

2 Grundlagen – Einteilung kryptographischer Systeme 

Kriterien für eine Einteilung 

• Zweck 

– Konzelationssysteme 

Systeme zum Schutz der Vertraulichkeit der Daten 

– Authentikationssysteme 

Systeme zum Schutz der Integrität der Daten 

- digitale Signatursysteme (spezielle Authentikationssysteme) 

Systeme zur Realisierung von Zurechenbarkeit von Daten 

• Schlüsselverteilung 

– Symmetrische Verfahren: k e = k d 

– Asymmetrische Verfahren: k e k d 

Notation: 

k A,B: symmetrischer Schlüssel für Kommunikation 

zwischen Teilnehmern A und B 

k e,A/k d,A: Schlüssel zur Ver-/Entschlüsselung des Teilnehmers 

A (asymmetrisches System) 



Symmetrisches Konzelationssystem 


Zufallszahl r 

Schlüssel- kA,B ú 

generierung keygen(r) 

Alice Bob 

geheimer 

Schlüssel 


geheimer 

Schlüssel 

kA,B kA,B Schlüsseltext 

Nachricht 

m 

Verschlüsselung 

enc ENC 

c 

c ú enc(kA,B,m) Entschlüsselung 

dec DEC 

Nachricht 

m ú dec(kA,B,c) Vertrauensbereich 

Sicherer Kanal für Schlüsselaustausch 

16 

öffentlich bekannter Algorithmus 


Symmetrisches Konzelationssystem 

Alice Bob 


17 

18 

6


• Schlüsselaustausch 

– Notwendig: sicherer Kanal für Schlüsselaustausch 

– Offenes System: Sender und Empfänger können sich nicht 

vorab treffen 

Lösung: Schlüsselverteilzentrale X 

• Jeder Teilnehmer (z.B. A) meldet sich an und tauscht einen 

geheimen Schlüssel k kA,X mit X aus 

• Kommunikation mit Teilnehmer B: Anfrage an X nach 

geheimem Schlüssel kA,B • X generiert Schlüssel kA,B und sendet ihn an A und B 

• Problem: X kann alle Nachrichten lesen 

• Verbesserung: verschiedene Schlüsselverteilzentralen 

verwenden und geheime Schlüssel lokal berechnen 



Symmetrisches 

Authentikationssystem 

Alice 

geheimer 

Schlüssel 

kA,B Nachricht 

m 

MAC 

berechnen 

auth AUTH 


Nachricht, MAC 

(message authentication 

code) 

m, a 

a ú auth(kA,B,m) Vertrauensbereich 

Sicherer Kanal für Schlüsselaustausch 


Zufallszahl r 

Schlüsselgenerierung 

MAC testen 

test TEST 

k A,B ú 

keygen(r) 

geheimer 

Schlüssel 

k A,B 

19 

Bob 

test(kA,B ,m,a)ú 

a = auth(kA,B, m) 

öffentlich bekannter Algorithmus 


Asymmetrisches 

Konzelationssystem 

Zufallszahl r 


k A,B ú 

keygen(r) 

Alice Bob 

Nachr. m 

Zuf.-z. r’ 

öffentlicher 

Schlüssel 

k e,B 


enc ENC 



Schlüsseltext 

c 

c ú enc(ke,B,m, r’) 

Entschlüsselung 

dec DEC 

privater 

Schlüssel 

k d,B 

Nachricht 

20 

m ú dec(k d,B,c) 

Vertrauensbereich öffentlich bekannter Algorithmus 

21 

7



– Jeder Teilnehmer generiert eigenes Schlüsselpaar – kein (gegen 

Abhören) sicherer Kanal für Schlüsselaustausch notwendig 

– Verteilung der öffentlichen Schlüssel: veröffentlichen 

Andere Möglichkeit: Öffentliches Schlüsselregister R 

• Jeder Teilnehmer (z.B. A) trägt seinen öffentlichen Schlüsel 

ein e (k (keA) e,A) 

• Teilnehmer B will mit A kommunizieren: bittet R um 

öffentlichen Schlüssel ke,A von A 

• B erhält ke,A, beglaubigt durch die Signatur von R; 

R beglaubigt Zusammenhang zwischen A und ke,A • Problem: einzelnes Register R hat Möglichkeit für aktiven Angriff 

• Verbesserung: verschiedene Register verwenden 



Asymmetrisches Authentikationssystem 

(Digitales Signatursystem) 

Zufallszahl r 


(k s,B, k t,B) ú 

keygen(r) 

Alice Bob 

öffentlicher 

Schlüssel 

k t,B 

test(kt,B ,m, s) 

{true, false} 

Testen 

test TEST 



Nachricht, Signatur 

m, s 

s ú sign(ks,B,m, r’) 

Signieren 

sign SIGN 

privater 

Schlüssel 

k s,B 

Nachr. m 

Zuf.-z. r’ 

Vertrauensbereich öffentlich bekannter Algorithmus 



– Jeder Teilnehmer generiert eigenes Schlüsselpaar – kein (gegen 

Abhören) sicherer Kanal für Schlüsselaustausch notwendig 

– Direkter Schlüsselaustausch nicht ausreichend für 

Zurechenbarkeit ( Schlüsselzertifikat, Zertifizierungsinstanz / 

certification authority, CA) 

– Weitere Anforderung: Konsistenz 

– Konsistenz unterstützen: 

Teilnehmer, der Schlüsselzertifikat für seinen öffentlichen 

Schlüssel möchte, weist Kenntnis des zugehörigen privaten 

Schlüssels nach 


22 

23 

24 

8


Hybrides Konzelationssystem 

geheimer Schlüssel 

(session key) k A,B 

Zuf.-zahl r‘ 

Nachricht 

m 


öffentlicher 

Schlüssel 

ke,B c1 enc dec 

privater 

Schlüssel 

k d,B 

enc 

c2 dec 

c1, c2 c1 = enc(ke,B,kA,B, r’), c2 = enc(kA,B,m) 2 Grundlagen – Einteilung kryptographischer Systeme 

Sicherer Kanal für 

Schlüsselaustausch 

erforderlich? 


Symmetrische 

Verfahren 

Ja 

Asymmetrische 

Verfahren 

k A,B = dec(k d,B,c 1) 

Nachricht 

m = dec(k A,B,c 2) 

Nein (allerdings: 

Zuordnung der 

öffentlichen Schlüssel) 

Performance In der Regel sehr gut Weniger gut 

Mögliche Einsatzgebiete 

Konzelation 

Vertraulichkeit 

Symmetrische 

Authentikation (MAC) 

Integrität 

25 

Konzelation 

Vertraulichkeit 

Digitale Signatursysteme 

Integrität 

Zurechenbarkeit 


Kryptoverfahren 

symmetrische asymmetrische 

Strom-Chiffren Block-Chiffren 

• Vigenère-Chiffre 

• Vernam-Chiffre 

(one-time-pad) 


• Feistel-Chiffre 

• DES 

• IDEA 

• AES 

• RSA 

• ElGamal 

• Systeme auf Basis 

elliptischer Kurven 

26 

27 

9

2 Grundlagen – Überblick über Angriffe 

Generelle Aspekte der Kryptoanalyse 

• Ziel und Erfolg des Angriffs 

• Klassifizierung von Angriffen 

• Nicht Gegenstand der Kryptoanalyse: 

– Implementierung und Einsatz des Verfahrens 

– Organisatorische Sicherheit 

… aber natürlich relevant für die Sicherheit 

• Angriffserfolg ganz allgemein 

– Konzelationssysteme: Vertraulichkeit verletzt 

(Inhalt/Informationen über verschlüsselte Nachricht ermittelt) 

– Authentikationssysteme: Nachricht unentdeckt modifiziert 

(gültigen MAC bzw. Signatur für modifizierte/selbst gewählte 

Nachricht generiert) 



Ziel und Erfolg des Angriffs 

• Finden des geheimen Schlüssels (vollständiges Brechen, 

total break) 

• Finden eines zum Schlüssel äquivalenten Verfahrens 

(universelles Brechen, universal break) 

• Brechen nur für manche Nachrichten (nachrichtenbezogenes 

Brechen): ) 

– für eine selbstgewählte Nachricht (selective break) 

– für irgendeine Nachricht (existential break) 

• Unterscheidung für universelles und nachrichtenbezogenes 

Brechen von Konzelationssystemen: 

– Komplette Entschlüsselung 

– Partielle Entschlüsselung 



Annahmen über Wissen und Möglichkeiten des Angreifers 

Passiver Angreifer Aktiver Angreifer 

System 

Algorithmus 

Protokoll 

Implementierung der Implementierung der 

geheimen Operation öffentlichen Operation 

Beobachtung (unsicherer Kanal) 

Zugriff auf Schnittstellen 

der Implementierung 

der geheimen 

Operation 

Kenntnis des Angreifers wird vorausgesetzt 

Vertrauensbereich – nicht zugänglich für Angreifer 

Angreifer hat vollen Zugriff (Kenntnis und Benutzung) 


28 

29 

System 

Algorithmus 

Protokoll 

Implementierung der Implementierung der 

geheimen Operation öffentlichen Operation 

Beobachtung (unsicherer Kanal) 

Zugriff auf Schnittstellen 

der Implementierung 

der geheimen 

Operation 

Angreifer hat Zugriff auf die Schnittstellen (ggf. beschränkt) 

30 

10


Klassifizierung von Angriffen (Konzelationssysteme) 

• Passive Angriffe 

– Reiner Schlüsseltext-Angriff 

ke kd (ciphertext-only attack) 

– Klartext-Schlüsseltext-Angriff 

(known-plaintext attack) 

m 

enc 

c 

dec 

m 

• Aktive Angriffe 

– Gewählter Klartext-Schlüsseltext-Angriff 

(chosen-plaintext attack; „Verschlüsselungsorakel“) 

– Gewählter Schlüsseltext-Klartext-Angriff 

(chosen-ciphertext attack; „Entschlüsselungsorakel“) 

CCA1 (auch als „lunchtime“, „lunch-break“ oder „midnight 

attack“ bezeichnet) 

• Weiteres Kriterium: Adaptivität 

CCA2 



Übersicht über die Angriffstypen 

Angreifer kennt 

System und ... 

Passive Angriffe 

Aktive Angriffe 


Konzelationssysteme Authentikationssysteme 

symmetrisch asymmetrisch symmetrisch asymmetrisch 

c c; k e m, a m, s; k t 

Key only attack Key only attack 

Ciphertext only attack 

Known plaintext attack Known message attack 

Chosen 

plaintext attack 

Chosen message attack 

Chosen ciphertext attack 

2 Grundlagen – Sicherheit kryptographischer Systeme 

Klassifizierung von Kryptosystemen nach ihrer Sicherheit 

• informationstheoretisch sicher 

Auch einem unbeschränkten Angreifer gelingt es nicht, das 

System zu brechen. 

(„unconditional security“, „perfect secrecy“) 

• beste erreichbare Sicherheit 

• Verschiedene Begriffe zur Bewertung der Sicherheit der 

übrigen Systeme 

• Annahmen über Möglichkeiten des Angreifers, Betrachtung 

der Sicherheit unter bestimmten Angriffen 


31 

32 

33 

11


Informationstheoretische Sicherheit 

[Claude Shannon: Communication Theory of Secrecy Systems. Bell 

Systems Technical Journal, 28(1949), 656-715.] 

• Informelle Beschreibung: 

Ein unbeschränkter Angreifer darf aus der Beobachtung von 

Schlüsseltext keinerlei Informationen über Klartext oder 

Schlüssel erhalten, unabhängig davon, wieviel Rechen- und 

Zeitaufwand er investiert; die Unsicherheit des Angreifers 

über Klartext und Schlüssel darf sich durch seine Beobachtung 

nicht verringern. 

• Nachrichtenraum M, Schlüsselraum K, Schlüsseltextraum C 

• Elemente dieser Räume (Mengen) haben bestimmte 

Auftrittswahrscheinlichkeiten: p(m i), p(k i) and p(c i) 



Definition der informationstheoretischen Sicherheit 

• a priori Wissen: 

Wissen des Angreifers über mögliche Nachrichten vor einer 

Beobachtung (als bekannt vorausgesetzt) 

• a posteriori Wissen: 

Wissen des Angreifers über mögliche Nachrichten nach der 

Beobachtung des gesendeten Schlüsseltexts 

Ein System heißt informationstheoretisch sicher, wenn für 

alle Nachrichten und Schlüsseltexte gilt, dass die a posteriori 

Wahrscheinlichkeiten p(m|c) der möglichen Nachrichten nach 

Beobachtung eines gesendeten Geheimtextes gleich der a 

priori Wahrscheinlichkeiten p(m) dieser Nachrichten sind: 


" m M " c C: p(m|c) = p(m). 


Nachrichten und Schlüsseltexte müssen stochastisch 

unabhängig voneinander sein. 

Dann gilt auch: 

" m M " c C: p(c|m) = p(c). 

• BBerechnung h der d a posterioi t i i WWahrscheinlichkeiten h h i li hk it p(m|c) ( | ) nach h 

dem Theorem von Bayes: 


p 

p | 

mc mpc| m 

p 

c 

34 

35 

36 

12


• Berechnung der Wahrscheinlichkeiten p(c j|m i), p(c j) 

Nachrichten 

p(c0|m0) m0 Schlüsseltexte 

c0 Wahrscheinlichkeit p(cj|mi), Schlüsseltext cj bei 

Verschlüsselung der 

Nachricht mi zu erhalten: 

m 1 

. 

mi . 

mn p(c j|m i) 


c 1 

. 

cj . 

cn c j | m mi 

p p 

k 

p | 

 

kK: 

c enck, 

m 

Wahrscheinlichkeit des 

Schlüsseltextes c j : 

n 

c pmpc| 

m 

p 

j 

 

i1 


Bedingungen für informationstheoretische Sicherheit 

Beispiel 1: 

Nachrichten Schlüsseltexte Verschlüsselung 

00 00 enc(00, m) 

enc(01, m) 

01 

10 

11 


01 

10 

11 

nicht informationstheoretisch sicher 

Anforderungen an die Anzahl der Schlüssel notwendig! 


(1) Anzahl der Schlüssel 

• Verschlüsselung injektiv: m 1 = m 2 ñ enc(k, m 1) = enc(k, m 2) 

– Verschlüsselung n verschiedener Nachrichten m 0, m 1, …, m n-1 

mit einem Schlüssel k liefert n verschiedene Schlüsseltexte 

c 0, c 1, …, c n-1 

– Bedingung gilt für jeden der möglichen Schlüssel 

|C| ¥ |M| 

• Sicherheit des Systems: 

– Jeder Schlüsseltext muss das Ergebnis der Verschlüsselung 

jeder möglichen Nachricht sein können 

– Für eine Nachricht m und n verschiedene Schlüsseltexte muss es 

n verschiedene Schlüssel k 0, k 1, …, k n-1 geben 

|K| ¥ |C| 


|K| ¥ |C| ¥ |M| 

i 

j 

j 

i 

i 

37 

38 

39 

13


Beispiel 2: 

Nachrichten Schlüsseltexte Verschlüsselung 

m 0 = 00 

m 1 = 01 

m 2 = 10 

m 3 = 11 

als bekannt vorausgesetzt: 


c 0 = 00 

c 1 = 01 

c 2 = 10 

c 3 = 11 

p(m 0) = 0,15 

p(m 1) = 0,05 

p(m 2) = 0,50 

p(m 3) = 0,30 

enc(k0 = 00, m) 

enc(k1 = 01, m) 

enc(k 2 = 10, m) 

enc(k 3 = 11 11, m) 

p(k 0) = 0,20 

p(k 1) = 0,70 

p(k 2) = 0,05 

p(k 3) = 0,05 


• resultierende Wahrscheinlichkeiten der Schlüsseltexte: 

p(c 0) = 0,1050 

p(c 1) = 0,1925 

p(c 2) = 0,3200 

p(c 3) = 0,3825 

• resultierende a posteriori Wahrscheinlichkeiten: 

p(m 0|c 0) = 0,286 

p(m 0|c 1) = 0,545 

p(m 0|c 2) = 0,023 

p(m 0|c 3) = 0,020 


p(m 1|c 0) = 0,333 

p(m 1|c 1) = 0,013 

p(m 1|c 2) = 0,008 

p(m 1|c 3) = 0,026 

p(m 2|c 0) = 0,238 

p(m 2|c 1) = 0,130 

p(m 2|c 2) = 0,312 

p(m 2|c 3) = 0,915 

p(m 3|c 0) = 0,143 

p(m 3|c 1) = 0,312 

p(m 3|c 2) = 0,656 

p(m 3|c 3) = 0,039 


Anforderungen an Wahrscheinlichkeiten der Schlüssel notwendig! 


(2) Wahrscheinlichkeiten der Schlüssel (für |K| = |C| = |M|) 

Nachrichten Schlüsseltexte 

m 0 = 00 

m 1 = 01 

m 2 = 10 

m 3 = 11 


c 0 = 00 

c 1 = 01 

c 2 = 10 

c 3 = 11 

Es gilt: 

" m M " c C: p(c|m) = p(c) 

z.B. für c0 : 

p(c0|m0) = p(c0|m1) = p(c0|m2) = p(c0|m3) Schlüssel müssen mit gleicher Wahrscheinlichkeit verwendet 

werden 

Resultierende Schlüsseltexte sind ebenfalls gleichwahrscheinlich 

40 

41 

42 

14


Beispiel 3: 

Nachrichten Schlüsseltexte 

m 0 = 00 

m 1 = 01 

m 2 = 10 

m 3 = 11 


c 0 = 00 

c 1 = 01 

c 2 = 10 

c 3 = 11 

p(m 0) = 0,15; p(m 1) = 0,05; p(m 2) = 0,5; p(m 3) = 0,3 

informationstheoretisch sicher 


enc(k0 = 00, m) 

enc(k1 = 01, m) 

enc(k 2 = 10, m) 

enc(k (k3 = 11 11, m) ) 

p(k i) = p(k) = 0,25 


Beispiel 4: (Nutzung des Kryptosystems aus Beispiel 3) 

Verschlüsselung von zwei Nachrichten mit ein und demselben 

Schlüssel; Angreifer beobachtet: 0111 = c1c3 Nachrichten Schlüsseltexte Verschlüsselung 

m0 = 00 c0 = 00 enc(k0 = 00, m) 

enc(k1 = 01, m) 

m 1 = 01 

m 2 = 10 

m 3 = 11 

Nur vier mögliche Nachrichten: 


c 1 = 01 

c 2 = 10 

c 3 = 11 

k 0: 1101 = m 3m 1 

k 1: 0010 = m 0m 2 

enc(k 2 = 10, m) 

enc(k 3 = 11, m) 

p(m 0) = 0,15; p(m 1) = 0,05; 

p(m 2) = 0,50; p(m 3) = 0,30 

k 2: 0111 = m 1m 3 

k 3: 1000 = m 2m 0 


• Wahrscheinlichkeiten der Nachrichten: 

p(m 3m 1) = 0,015 

p(m 0m 2) = 0,075 

• resultierende a posteriori Wahrscheinlichkeiten: 

p(m 3m 1|c 1c 3) = 0,0833 

p(m 0m 2|c 1c 3) = 0,4167 

p(m 1m 3) = 0,015 

p(m 2m 0) = 0,075 

p(m 1m 3|c 1c 3) = 0,0833 

p(m 2m 0|c 1c 3) = 0,4167 


(3) Wahl der Schlüssel 

– Zufällige Wahl des Schlüssels für Verschlüsselung jedes „Blocks“ 

– Einer Folge von Nachrichten muss eine Zufallsfolge von 

Schlüsseln entsprechender Länge zugeordnet sein 


43 

44 

45 

15


Bedingungen für informationstheoretische Sicherheit 

(1)Nachrichten und Schlüsseltexte müssen stochastisch 

unabhängig voneinander sein, d.h., die Wahrscheinlichkeit 

für einen Schlüsseltext darf nicht von der verschlüsselten 

Nachricht abhängen. 

(2)Es muss mindestens so viele Schlüsseltexte wie Nachrichten 

und mindestens so viele Schlüssel wie Schlüsseltexte geben. geben 

(3)Die Schlüssel müssen so gewählt werden, dass jeder 

Schlüsseltext mit gleicher Wahrscheinlichkeit aus jeder 

Nachricht hervorgegangen sein kann. 

(4)Die Schlüssel zur Verschlüsselung verschiedener 

Nachrichten müssen jeweils zufällig gewählt werden. 

Aussagen bzgl. Sicherheit gelten nur für den Algorithmus! 



Anmerkungen zur informationstheoretischen Sicherheit 

• Informationstheoretische Sicherheit kann nur von 

symmetrischen Systemen erreicht werden 

• Systeme, die ein und denselben Schlüssel mehrfach 

verwenden, können nicht informationstheoretisch sicher sein 

• Betrachtet wurde zunächst passiver Angriff 

(ciphertext only attack) 

• Informationstheoretisch sicheres System ist jedoch auch 

gegen aktive Angriffe sicher 

• Keine Annahmen über die zu verarbeitenden Nachrichten 

notwendig 



• Schlüsselmanagement problematisch: 

– jede neue Nachricht erfordert einen neuen Schlüssel 

– Schlüssel symmetrischer Systeme müssen über sicheren Kanal 

ausgetauscht werden und geheim gehalten werden 

• Schutzziel „Zurechenbarkeit“ kann nicht mit symmetrischen 

System erbracht werden 

Verwendung von nicht informationstheoretisch sicheren 

Systemen notwendig 

Annahmen über den Angreifer notwendig (notwendige 

Berechnungen des Angreifers sind nicht effizient möglich) 


46 

47 

48 

16


Weitere Sicherheitsbegriffe 

• „beweisbar sicher“ (provable security) 

Beweis besteht in Reduktion auf mathematisches Problem 

(Zielstellung: Wenn der Angreifer das System bricht, kann er 

das schwierige mathematische Problem lösen.) 

Wesentliche Probleme mit „beweisbarer Sicherheit“ 

– Betrachtet nur Angriffe spezieller Art; sagt nichts aus über 

mögliche andere Angriffe 

– Bedingte Aussagen von der Art „unter der Annahme, dass 

niemand einen effizienten Algorithmus für dieses mathematische 

Problem findet“ 

Sicherheit gegen bestimmte Angriffe 



Semantische Sicherheit [GoMi_84] 

Ein System heißt semantisch sicher, wenn alles, was bei Kenntnis 

des zugehörigen Schlüsseltextes effizient über den Klartext 

berechnet werden kann, auch effizient ohne Kenntnis des 

Schlüsseltextes berechnet werden kann. 

• „effizient“: (polynomiell) beschränkter Angreifer 

• VVorteil il des d Angreifers A if betrachtet b h (nicht ( i h besser b als l bloßes bl ß Raten) R ) 

Ununterscheidbarkeit („polynomielle Sicherheit“) [GoMi_84] 

Angreifer ist nicht in der Lage, zwei beliebige Nachrichten zu 

finden, so dass er die Verschlüsselung einer dieser Nachrichten 

korrekt der Nachricht zuordnen kann. 

• äquivalent zu semantischer Sicherheit (s. [NaYu_90, KoMe_04] f. 

Referenzen) 

• „Charakterisierung von semantischer Sicherheit“ [BeSa_99] 


50 


• Semantische Sicherheit bietet intuitive Beschreibung von Sicherheit 

(Geheimhaltung) 

• Ursprünglich eingeführt für CPA, später aber auch unter aktiven 

Angriffen betrachtet [BDPR_98] 

• Ununterscheidbarkeit oft in Sicherheitsbeweisen verwendet 

• Begründet die Notwendigkeit indeterministischer Verschlüsselung 

(semantisch sicheres System sicher gegen vollständige Suche eines 

polynomiell beschränkten Angreifers) 

• Semantisch sicheres Kryptosystem in [GoMi_84] vorgestellt 

– basiert auf dem Problem zu entscheiden, ob eine Zahl ein quadratischer 

Rest ist (QRP) 

– Nachteil: Expansion (Verschlüsselung eines Bits liefert k Bit langen 

Schlüsseltext) 


49 

51 

17


Ununterscheidbarkeit unter CPA 

Alice / Entschlüsselungsorakel Angreifer 

Schlüsselgenerierung: 

k d, k e keygen(param) 

wählt zufällig b {0,1} 

verschlüsselt m b 


k e 

m 0, m 1 

c b = dec(k d, m b) 

kennt k e 

wählt m 0, m 1 M 

mit length(m 0) = length(m 1) 

Entscheidung: b = 0 oder b = 1 


Ununterscheidbarkeit unter CCA1 




entschlüsselt c i 




k e 

c i 

m i = dec(k d, m i) 

m 0, m 1 


kennt k e 

beliebig oft 





Ununterscheidbarkeit unter CCA2 









k e 

c i 


m 0, m 1 


c i c b 


kennt k e 

beliebig oft 



beliebig oft 


52 

53 

54 

18


Non-Malleability [DoDN_91] 

Ein System bietet Sicherheit gegen adaptive aktive Angriffe (Non- 

Malleability), wenn es für einen polynomiell beschränkten Angreifer 

nicht einfacher ist, bei Kenntnis eines Schlüsseltextes einen 

weiteren Schlüsseltext zu generieren, so dass die zugehörigen 

Klartexte in Relation zueinander stehen, als ohne Kenntnis dieses 

Schlüsseltextes. 

• Motivation: contract bidding 

• Beispiel für ein Kryptosystem: System von Cramer und Shoup 

[CrSh_98] 

Erweiterung des ElGamal-Kryptosystems 

Basiert auf dem Diffie-Hellman Entscheidungsproblem 






– Mathematische Grundlagen 

– Transpositionen 

– MM-Substitutionen 

– PM-Substitutionen 




3 Klassische Verfahren – Mathematische Grundlagen 

Modulare Arithmetik 

• Endliche Strukturen (z.B. Gruppen), basierend z.B. auf den 

natürlichen oder ganzen Zahlen 

• n = {0,1,2, …, n-1} Restklassenring modulo n 

• Kong Kongruenz en 

a, b ; n -{0}: n|(a-b) a, b kongruent 


a b mod n 

• Restklasse ā zu jedem a : ā ú {b | a b mod n} 

55 

56 

57 

19

3 Klassische Verfahren – Transpositionen 

Transpositionen 

• Verwürfeln der Klartextzeichen, Permutation der Stellen 

des Klartextes (Permutationschiffren) 

• Beispiel: Skytala 

• Formale Beschreibung: 

M C Al M = C = Al m = (m 1m 2m 3 … m l), m i A, l N 

Permutation 

enc k(m) = enc k(m 1m 2m 3 … m l) = (m p(1)m p(2)m p(3) … m p(l)) 


1 2 ... l 

P 

p 1 p2 ... p l 

3 Klassische Verfahren – Transpositionen 

Beispiel 

1 2 3 4 5 6 7 

P 

3 1 4 2 7 5 6 

• MMatrixtranspositionen i i i 

Beispiel: Spaltenpermutation 

Schlüssel: 5x7 Matrix 

P = (1,4)(2,5,3,7,6) 

P -1 = (4,1)(5,2,6,7,3) 


3 Klassische Verfahren – MM-Substitutionen 

MM-Substitution (monoalphabetisch, monographisch) 

A M 

a i 

a 3 

M K C 

a 0 

a 2 


k 

k 

AM, AC Alphabete, enc: A l 

M AC 

l 

m = (m0m1m2 … ml-1), mi AM, m A l 

M ,l N 

enck(m) = enck(m0)enck(m1) … enck(ml-1) k 

k 

b 1 

b 3 

b bj b0 A C 

58 

59 

60 

20


• Verschiebechiffre (Additive Chiffre) 

A M = A C = {A:Z} 

Schlüssel: s {0:n-1}, n = 26 

encs(mi) = -1 [((mi)+s) mod n], (mi) {0:n-1} 

decs(ci) = -1 s( i) [((c [( ( i) i) - s) ) mod n] ] 

Cäsarchiffre für s = 3 

Nachricht a b c d e f g … x y z 

Schlüsseltext D E F G H I J … A B C 



Beispiel 

n = 26, A = {A:Z}, s = 3 

: 

A B C D E F G H I J K L M N 

0 1 2 3 4 5 6 7 8 9 10 11 12 13 

O P Q R S T U V W X Y Z 

14 15 16 17 18 19 20 21 22 23 24 25 



Kryptoanalyse der Verschiebechiffre 

• Nur 26 verschiedene Schlüssel 

• Vollständige Suche möglich 

Durchprobieren aller möglichen Schlüssel 

Beispiel: 

c = 

FMTKOJVIVGTNZDNOYVNOCZHVYZMCZPODBZIQJMGZNPIB 


61 

62 

63 

21


s m 

0 FMTKOJVIVGTNZ 

1 ELSJNIUHUFSMY 

2 DKRIMHTGTERLX 

3 CJQHLGSFSDQKW 

4 BIPGKFRERCPJV 

5 AHOFJEQDQBOIU 

6 ZGNEIDPCPANHT 

7 YFMDHCOBOZMGS 

8 XELCGBNANYLFR 

9 WDKBFAMZMXKEQ 

10 VCJAEZLYLWJDP 

11 UBIZDYKXKVICO 

12 TAHYCXJWJUHBN 


s m 

13 SZGXBWIVITGAM 

14 RYFWAVHUHSFZL 

15 QXEVZUGTGREYK 

16 PWDUYTFSFQDXJ 

17 OVCTXSEREPCWI 

18 NUBSWRDQDOBVH Q 

19 MTARVQCPCNAUG 

20 LSZQUPBOBMZTF 

21 KRYPTOANALYSE 

22 JQXOSNZMZKXRD 

23 IPWNRMYLYJWQC 

24 HOVMQLXKXIVPB 

25 GNULPKWJWHUOA 

s = 21 ergibt den einzigen sinnvollen Text s = 21 


• Schema von Polybios 

A M = {A:Z} 

A C = {ij | i, j {1, 2, 3, 4, 5}} 

enc: 

i 

j 1 2 3 4 5 

1 A B C D E 

2 F G H I J 

3 K L M N O 

4 P Q R S T 

5 U V W X/Y Z 

Beispiel 



• Allgemeine Substitution: Permutation des Alphabets 

Beispiel 

A M = A C = {A:Z} 

P = (A,G)(B,J,Y,R,N,L,E,W)(C,K,H,Q,T,U,I,X)(D,M,O,F,P,S,Z,V) 

P -1 = (G,A)(B,W,E,L,N,R,Y,J)(C,X,I,U,T,Q,H,K)(D,V,Z,S,P,F,O,M) 

• Freimaurerchiffre (Kreuzchiffre) 

Beispiel 

W K C 

R A E 

L Z V 


B 

X J 

U 

I S H 

D 

P O Y G N 

F M Q 

T 

64 

65 

66 

22


Statistische Analysen 

• Möglichkeiten der vollständigen Suche sind eingeschränkt 

• Aufwand für eine allgemeine Substitution: |A|! 

• Angriffspunkt: MM-Substitutionen übertragen statistische 

Eigenschaften der Klartexte in die Schlüsseltexte 

Polybios: 

m = B E I S P I E L 

c = 12 15 24 44 41 24 15 32 

Permutation (Bsp. F. 66): c = J W X Z S X W E 

Verschiebechiffre (s = 3): c = E H L V S L H O 



Struktur der Sprache 

• unterschiedliche Auftrittswahrscheinlichkeiten der Zeichen 

• Redundanz R 

– nicht alle Zeichenfolgen der Länge l sind gleichwahrscheinlich 

– Unterschied zwischen Entropie des Alphabets H(X) und 

zugehöriger maximaler Entropie H 0(X) (bei Gleichwahrscheinlichkeit 

der N Zeichen des Alphabets): 

R = H0(X) –H(X); 

 

N 1 1 

H X p xi 

ld ; H 0 X ld N 

p x 

– Natürliche Sprachen weisen bereits für l = 1 eine relativ hohe 

Redundanz auf 

– Redundanz wächst mit der Länge der betrachteten 

Zeichenfolgen 

– Einfache Substitutionschiffren (deutsche oder englische 

Nachricht) können i. Allg. bereits ab ca. 30 Zeichen 

entschlüsselt werden 


i0 i 


Zeichenhäufigkeiten (%) 

Deutsch Englisch 

* 15.15 - 19.25 - 

a 4.58 5.40 6.60 8.17 

b 1.60 1.89 1.21 1.49 

c 2.67 3.15 2.25 2.78 

d 439 4.39 517 5.17 343 3.43 425 4.25 

e 15.35 18.10 10.26 12.70 

f 1.36 1.60 1.80 2.23 

g 2.67 3.15 1.63 2.02 

h 4.36 5.14 4.92 6.09 

i 6.38 7.52 5.63 6.97 

j 0.16 0.19 0.12 0.15 

k 0.96 1.13 0.62 0.77 

l 2.93 3.45 3.25 4.03 

m 2.13 2.51 1.94 2.41 


Deutsch Englisch 

n 8.84 10.42 5.45 6.75 

o 1.90 2.24 6.06 7.51 

p 0.50 0.59 1.56 1.93 

q 0.01 0.01 0.08 0.10 

r 686 6.86 88.08 08 484 4.84 599 5.99 

s 5.39 6.35 5.11 6.33 

t 4.73 5.57 7.31 9.06 

u 3.48 4.10 2.23 2.76 

v 0.72 0.87 0.77 0.96 

w 1.42 1.67 1.91 2.36 

x 0.01 0.01 0.12 0.15 

y 0.02 0.02 1.59 1.97 

z 1.42 1.67 0.06 0.07 

67 

68 

69 

23


Zeichenhäufigkeiten (deutsch) 

Häufigkeitten 

* a b c d e f g h i j k l m n o p q r s t u v w x y z 



Einteilung der Zeichen in Gruppen 

Gruppe Deutsch Englisch 

I e e 

II n r i s t d h a t a o i n s h r 

III u l c g d l 

IV m o b z w f c u m w f g y p b 

V k v p j y q x v k j x q z 



Häufigkeiten von Bi- und Trigrammen 

Rang 

1 EN TH EIN THE 

2 ER HE ICH ING 

3 CH IN NDE AND 

4 ND ER DIE HER 

5 EI AN UND ERE 

6 DE RE DER ENT 

7 IN ED CHE THA 

8 ES ON END NTH 

9 TE ES GEN WAS 

10 IE ST SCH ETH 

11 UN EN CHT FOR 

12 GE AT DEN DTH 

13 ST TO INE HAT 

14 IC NT NGE SHE 

15 HE HA NUN ION 


Rang 

16 NE ND UNG INT 

17 SE OU DAS HIS 

18 NG EA HEN STH 

19 RE NG IND ERS 

20 AU AS ENW VER 

21 DI OR ENS TTH 

22 BE TI IES TER 

23 SS IS STE HES 

24 NS ET TEN EDT 

25 AN IT ERE EST 

26 SI AR LIC THI 

27 UE TE ACH HAD 

28 DA SE NDI OTH 

29 AS HI SSE ALL 

30 NI OF AUS ATI 

Deutsch 

Englisch 

70 

71 

72 

24


• Analyse von MM-Substitutionen 

- Analyse der Häufigkeiten einzelner Buchstaben 

- Analyse der Häufigkeiten von Bi- und Trigrammen 

- Nutzung der Redundanz zur Ermittlung fehlender 

Zeichen 

- bei bekannten Wortgrenzen: Identifikation kurzer 

Wörter, Vorsilben, Endungen, Anfangs- und 

Endbuchstaben 

Beispiel: 

QOTC RQXVUXZX FXAFX SHXVVXV KOZTCQOB DHV KXV 

TCQZQSFXZWBFWBTCXV XWUXVBTCQJFXV KXZ DXZLXVKXFXV 

BEZQTCX QGLXWTCXV QRRXZKWVUB WBF XB WY 

QRRUXYXWVXV VWTCF YHXURWTC NXKX 

TCQZQSFXZWBFWBTCX XWUXVBTCQJF XWVXZ BEZQTCX MO 

DXZYXWKXV OVK BWTC KXVVHTC WV KWXBXZ BEZQTCX 

QOBMOKZOXTSXV 



Analyse von Transpositionen 

• statistische Eigenschaften des Klartextes nur teilweise 

erhalten 

• einfache Analyse bei Klartext-Schlüsseltext-Angriff 

• ansonsten: Rekonstruktion der Bi- und Trigramme 

• zunächst Ermittlung der Blocklänge 

Beispiel 

CESVLRHEESUUSLLGANOSGMIHRSTU 

CESVLRH EESUUSL LGANOSG MIHRSTU 

Reduktion der möglichen Kombinationen: 

EVLRSCH, EVRLSCH, …, VELRSCH, ... 


3 Klassische Verfahren – PM-Substitutionen 

PM-Substitution (1) (polyalphabetisch, monographisch) 

A M 

a i 

a 3 

M K C 

a 0 

a 2 

k 1 

b 14 

A M, A C1, A C2, …, A Cr Alphabete, 

enc: A M l (AC1 » A C2 » … » A Cr) l 

m = (m 1m 2 … m l), m i A M, m A M l ,l N 

enc k(m) = enc k (m 0)enc k (m 1) … enc k (m l), k j {1:r} 

0 1 l 


k 2 

k r 

A C1 

b 20 

b r1 

73 

74 

A C2 

A Cr 

75 

25


PM-Substitution (2) 

A M 

a i 

a 3 

M K C 

a 0 

a 2 


k 1 kk2 


• Vigenère-Chiffre (1) 

klassische Darstellung: Vigenère-Tableau 


k r 

a b c d e f … z 

A A B C D E F … Z 

B B C D E F G … A 

C C D E F G H … B 

k 3 

b 1 

b 

3 

bj b0 D D E F G H I … C 

E E F G H I J … D 

F F G H I J K … 

… 

E 

… … … … … … … … … … … 

Z Z A B C D E … Y 


• Vigenère-Chiffre (2) 

A M = A C = {A:Z} 

Schlüssel: K = {k|k = (k 0k 1 … k r-1) k i {A:Z}} 

enc k(m) = enc (m 0)enc (m 1) … enc (m i)enc (m i+1) … enc (m l-1) 


A C 

k 0 k 1 

k kr-11 k 0 k (l (l-1) 1) mod d r 

mit 

enc (mi) = -1 [( (mi)+ (kj)) mod n], (mi), (kj) {0:n-1} 

dec (ci) = -1 kj [( (ci)- (kj)) mod n] 

k j 

Beispiel 

76 

77 

78 

26


• Binäre Vigenère-Chiffre 

A = {0,1} 

n = 2 

Klartextbuchstabe mi, Schlüsselbuchstabe ki: ci = (mi+ki) mod 2 bzw. ci = mi ki mi = ( (ci+kk i) ) mod d 2 b bzw. mi = ci k ki • Schlüssel 

– sollten Zufallsfolgen sein 

– kürzer als Klartext: periodische Wiederholung 

– Autokey-Verfahren 



• Vernam-Chiffre (one-time pad) 

– Schlüssellänge und Länge des Klartextes sind gleich 

– Weitere Bedingungen: 

• Jeder Schlüssel wird nur einmal verwendet und 

• Schlüssel sind zufällig. 

Einzige informationstheoretisch sicheres Chiffre. 

• Binäre Vernam-Chiffre 

A = {0,1}; n = 2 

enck(m) = enc (m0)enc (m1) … enc (ml-1) mit 

enc k(mi) = mi k 

i 

i 

dec (ci) = ci ki k i 


k 0 


k 1 

Analyse von PM-Substitutionen 

• statistische Eigenschaften des Klartextes werden nicht in 

den Schlüsseltext übertragen 

• unter bestimmten Bedingungen sicher (Schlüssellänge!) 

2 Schritte: 

11. Ermittlung der 

Schlüssellänge r 

SSchlüssel hlü l 

Schlüsseltext 

k k0 c0 k k1 c1 k k2 c2 … 

… 

k kr-1 cr-1 Vereinfachung der 

Analyse auf Analyse 

von r MM-Substitutionen 

2. Analyse der 

MM-Substitutionen 


k l-1 

c r c r+1 c r+2 … c r+(r-1) 

c 2r c 2r+1 c 2r+2 … c 2r+(r-1) 

… … … … … 

MM-Substitution mit 

Schlüssel k 0 

79 

80 

81 

27


• Kasiski-Test 

– 1863 von Friedrich Wilhelm Kasiski publiziert 

– Suche nach identischen Abschnitten im Schlüsseltext 

– Annahme: identische Abschnitte im Klartext mit 

denselben Schlüsselzeichen verschlüsselt 

– Rückschlüsse auf Schlüssellänge: ggT der Abstände 

– zufällige Wiederholungen möglich 

untersuchte Folgen sollten mindestens die Länge 3 

haben 



m = A L B E R T I S K R E I S S C H E I B E N S I N D 

k = K E Y K E Y K E Y K E Y K E Y K E Y K E Y K E Y K 

c = K P Z O V R S W I B I G C W A R I G L I L C M L N 

m ... E I N E V E R B E S S E R T E F O R M D E R V E R 

k ... E Y K E Y K E Y K E Y K E Y K E Y K E Y K E Y K E 

c ... I G X I T O V Z O W Q O V R O J M B Q B O V T O V 

m ... S C H I E B E C H I F F R E N 

k ... Y K E Y K E Y K E Y K E Y K E 

c ... Q M L G O F C M L G P J P O R 

Wiederholungen durch Verschlüsselung identischer Klartextabschnitte 

zufällige Wiederholungen 

Abstände: ‚OVR‘: 33 = 3 11 

‚TOV‘: 18 = 2 3 

‚MLG‘: 6 

‚CML‘: 35 

2 

= 2 3 

= 5 7 


ggT(Abstände) = 3 


• Friedman-Test 

– von William F. Friedman veröffentlicht 

– analysiert die Redundanz des Schlüsseltextes 

– basiert auf dem Koinzidenzindex I (1922, Friedman) 

– Länge der Nachricht m: length(m) = l 

– Länge des Schlüssels k: length(k) = r 

Wiederum 2 Schritte: 

1. Ermittlung der Schlüssellänge r 

2. Ermittlung des Schlüssels durch Analyse der 

MM-Substitutionen 


82 

83 

84 

28


Koinzidenzindex I 

• Wahrscheinlichkeit, dass zwei unabhängig voneinander 

gewählte Zeichen a i übereinstimmen 

n1 

2 

i , 

i0 

i ( i), i 

I p p p a a A 

• I minimal, wenn alle Zeichen gleichwahrscheinlich: 

1 1 

pi , i0,1,..., n1 : Imin 

 

n n 

A = {A:Z}: n = 26, I min = 1/26 = 0,0385 

• I „maximal“ für Texte in natürlichen Sprachen: 

Nachricht in deutscher Sprache: I max = 0,0762 

Nachricht in englischer Sprache: I max = 0,0655 



Koinzidenzindex für Beispieltexte (deutsch, nur “A” – “Z”) 

I max = 0,0762 

─ r = 1 r = 4 r = 12 r = 26 

l = 110 038 0,07379 0,07379 0,04769 0,04030 0,03847 

l = 10 090 0,07226 0,07226 0,04714 0,04009 0,03856 

l = 2 059 0,08002 0,08002 0,04936 0,04107 0,04094 



Einordnung des Schlüsseltextes in eine Tabelle 

Schlüssel k 0 k 1 k 2 … k r-1 

Schlüsseltext c 0 c 1 c 2 … c r-1 


c cr c cr+1 c cr+2 … c cr+(r-1) c 2r c 2r+1 c 2r+2 … c 2r+(r-1) 

c 3r c 3r+1 c 3r+2 … c 2r+(r-1) 

… … … … … 

I max = 0,0762 

I min = 0,0385 

85 

86 

I min = 0,0385 

87 

29


Wahrscheinlichkeit, ein Paar gleiche Zeichen auszuwählen: 

I 

n 1 

2 gl max 

pi 

 

i0 anzbp 

Anzahl von Buchstabenpaaren 

• aus einer gleichen Spalte: 


anz I 

• aus verschiedenen Spalten: 

• insgesamt: 

anz I 

v 

min 

N 

N 1 1 

r 

anzgl 

 

 

2 

N 

NN 

r 

anzv 

 

 

2 

NN 1 

anzbp 

 

2 


Einsetzen und Umformen nach r liefert: 

( Imax Imin ) N 0,0377N 

r 

( N 1) I Imax Imin N ( N 1) I 0,0762 0,0385N 

0,0377 

r für ü N >> 1 

I 0,0385 

anz( a ) 1 

I p anz a 

n1 n1 2 n1 

2 i 

2 

i ( ) 

2 2 

i 

i0 i0 N N i0 



• Analyse einer PM-Substitution ohne periodische 

Wiederholung des Schlüssels 

– Methode von Friedman 1918 vorgestellt 

– Voraussetzung: Schlüssel und Klartext entstammen einer 

natürlichen Sprache 

– Basis: eine relativ kleine Menge von Buchstaben macht bereits 

einen großen Teil des Textes aus (ca. 75% des Englischen oder 

Deutschen bestehen aus den jeweils 10 häufigsten Buchstaben) 


88 

89 

90 

30


Vigenère-Tableau für die 10 häufigsten Buchstaben (D): 

e n r i s t d h a u 

E I R V M W X H L E Y 

N R A E V F G Q U N H 

R V E I Z J K U Y R L 

I M V Z Q A B L P I C 

S W F J A K L V Z S M 

T X G K B L M W A T N 

D H Q U L V W G K D X 

H L U Y P Z A K O H B 

A E N R I S T D H A U 

U Y H L C M N X B U O 

Ermittlung sinnvoller Kombinationen, Ausschluss … 



Mögliche Zusammensetzung der Schlüsseltextbuchstaben 

A B C D E F G H I J K L M 

a+a i+t i+u a+d a+e n+s d+d a+h e+e r+s s+s e+h t+t 

n+n h+u n+r n+t e+d r+r d+h i+d e+i 

i+s n+u a+i r+t s+t s+u 

h+ t r+u 

N o P Q R S T U V W X Y Z 

a+n h+h h+i i+i a+r a+s a+t a+u d+s d+t d+u e+u i+r 

t+u u+u d+n e+n d+r e+r e+s e+t h+r h+s 

h+n i+n 



• Beispiel 

m = E I N B I L D V E R A R B E I T U N G S … 

k = D I E S T E G A N O G R A P H I E E R M … 

c = H Q R T B P J V R F G I B T P B Y R X E … 

H: (a+h), (e+d), (n+u) 

Q: (i+i), (d+n) 

R: (a+r), (e+n) 

T: (a+t) 

B: (i+t), (h+u) 

P: (h+i) 


insgesamt 6 · 3 · 4 = 72 

Möglichkeiten, darunter (die, ein) 

insgesamt 2 · 4 · 2 = 16 

Möglichkeiten, keine sinnvolle 

Kombination darunter 

91 

92 

93 

31

3 Klassische Verfahren 

Zusammenfassung 

• MM-Substitutionen erhalten alle Gesetzmäßigkeiten des 

Klartextes – Angriffe mittels statistischer Analysen 

• PM-Substitionen beseitigen diesen Nachteil durch 

Anwendung unterschiedlicher Schlüsselzeichen; relevant für 

die Sicherheit: Schlüssellänge und Wahl des Schlüssels 

• Transpositionen p erhalten Einzelwahrscheinlichkeiten, , aber 

nicht die Wahrscheinlichkeiten von Zeichenfolgen 

• Ansatzpunkt für die vorgestellten Analysen: erhaltene 

Redundanz des Klartextes 

Kryptoanalyse m. H. eines reinen Schlüsseltext-Angriffs 

für Klartext „ohne“ Redundanz nicht möglich; 

Reduktion der Redundanz erschwert Kryptoanalyse 







– Blockchiffren 

– Feistel-Chiffre 

– Kryptographische Güte einer Verschlüsselungsfunktion 

– DES 

• Differentielle Kryptoanalyse 

• Lineare Kryptoanalyse 

– IDEA 

– AES 

– Betriebsarten 



4 Symmetrische Verfahren – Blockchiffren 

Blockchiffren 

• Verschlüsselung von Nachrichten fester Länge 

(Stromchiffren: Verschlüsselung von Nachrichten beliebiger 

Länge) 

• Nachricht m in b Blöcke der Länge l unterteilt: 

m = m 1m 2 … m b, m i = m i1m i2 … m il, m ij {0, 1} 

• Verschlüsselung der Nachrichtenblöcke mit k K: 


c i = enc(k, m i) 

praktischer Einsatz: Betriebsarten 

• längentreue Verfahren: length(m i) = length(c i) 

• Anforderungen an enc k : Sicherheit und Performance 

94 

95 

96 

32


Sicherheitsanforderungen an enc k 

• Diffusion und Konfusion 

[Claude Shannon: Communication Theory of Secrecy Systems. Bell 

Systems Technical Journal, 28(1949), 656-715.] 

• Ziel: Erschweren statistischer Angriffe 

• Diffusion: im Klartext enthaltene Redundanz wird im 

Schlüsseltext „verteilt“ 

• Konfusion: Beziehungen zwischen Schlüsseltexten und 

Schlüsseln so komplex wie möglich 

• Produktchiffre: Kombination von Verschlüsselungsverfahren 



• Produktchiffre als Kombination von 

Substitution ( Konfusion) und Transposition ( Diffusion) 

bietet Möglichkeit der effizienten Konstruktion 

entsprechender Verschlüsselungsfunktionen 

Substitutions-Permutations-Netzwerk (SP-Netzwerk) 

• Iterierte Blockchiffren 

– Verschlüsselung erfolgt in mehreren Runden 

c = encn(kn, encn-1(kn-1, ... enc2(k2, enc1(k1, m)) ... )) 

– Verwendung von Rundenschlüsseln 

– Algorithmus zur Generierung der Runden- bzw. Teilschlüssel 

– Verschlüsselungsfunktion muss im Allgemeinen invertierbar sein 

– Anwendung der Rundenschlüssel bei Entschlüsselung in 

umgekehrter Reichenfolge 

m = dec1(k1, dec2(k2, ... decn-1(kn-1, decn(kn, c)) ... )) 



Allgemeine Ansätze zur Kryptoanalyse von Blockchiffren 

• Unabhängig von der internen Struktur 

• Vollständige Schlüsselsuche 

– Klartext-Schlüsseltext-Angriff 

– Aufwand abhängig vom Schlüsselraum 

• Zugriff auf eine vorab berechnete Tabelle 


Klartext Schlüsseltext Angriff 

– Aufwand abhängig vom Schlüsselraum 

• Time-Memory-Tradeoff 

• Kodebuchanalyse 


– Ziel: Rekonstruktion des Klartextes 

– Aufwand abhängig von Struktur und Redundanz des Klartextes 


97 

98 

99 

33

4 Symmetrische Verfahren – Feistel-Chiffre 

Feistel-Chiffre 

• Forschungsprogramm „Lucifer“ in den späten 60er Jahren 

• Feistel-Chiffre 1973 von Horst Feistel veröffentlicht 

• Permutationen und Substitutionen 

• Iterierte Blockchiffre 

• Struktur dieser Chiffre gehört zu den grundlegenden 

Konzepten der Kryptographie 

• Anwendung des Prinzips z.B. in DES, 3-DES, Blowfish, CAST, 

FEAL und Twofish 



• Zerlegung des Nachrichtenblocks m i A l in zwei Teilblöcke: 

m i = (L 0, R 0) 

c i = (L n, R n) 

• Schema ist selbstinvers: Ver- und Entschlüsselung geschieht 

mit it d den gleichen l i h FFunktionen, kti nur Reihenfolge R ih f l der d 

Rundenschlüssel wird umgekehrt 

• Rundenfunktion f muss nicht bijektiv sein 

• Verarbeitung von Teilblöcken ermöglicht effiziente 

Implementierung 

• f bestimmt kryptographische Sicherheit des Verfahrens 



Verschlüsselung in einer Runde 

enc(k i, (L i-1, R i-1)) = R i-1, f(R i-1, k i) L i-1 = L i, R i 

Runde 1: L0 R0 Kryptographie und Kryptoanalyse 

L 1 

f 

R 1 

k 1 

enc(k 1, (L 0, R 0)) = R 0, f(R 0, k 1) L 0 = L 1, R 1 

100 

101 

102 

34


Entschlüsselung in einer Runde 

dec(k i, (L i, R i)) = f(L i, k i) R i, L i = L i-1, R i-1 

Runde 1: L1 R1 k 1 


f 

L 0 

R 0 

dec(k 1, (L 1, R 1)) = f(L 1, k 1) R 1, L 1 = L 0, R 0 

4 Symmetrische Verfahren – Kryptographische Güte 

Kryptographische Güte einer Verschlüsselungsfunktion 

• Kryptographisch entscheidende Funktion f muss bestimmten 

Anforderungen genügen ( Konfusion und Diffusion) 

• Merkmale zur Beurteilung von f: Designkriterien 

• Beispiele: 

– Vollständigkeit 

– Avalanche 

– Nichtlinearität 

– keine Informationen über Outputbits ohne Wissen über 

Inputbits ( Korrelationsimmunität) 



Vollständigkeit 

Eine Funktion f: {0,1} n {0,1} m heißt vollständig, wenn 

jedes Bit des Outputs von jedem Bit des Inputs abhängt. 

Grad der Vollständigkeit k/n: im Mittel hängen k Output-Bits 

von den n Inputbits ab 

Beispiel: S Bsp 

y 1 = x 1x 2 x 1x 3 x 2x 3 x 2 x 3 1 

y 2 = x 1x 2 x 1x 3 x 2x 3 x 1 x 3 1 

y 3 = x 1x 2 x 1x 3 x 2x 3 x 1 x 2 1 

kein hinreichendes Kriterium 


103 

104 

105 

35


y 1 = x 1x 2 x 1x 3 x 2x 3 x 2 x 3 1 

y 2 = x 1x 2 x 1x 3 x 2x 3 x 1 x 3 1 

y 3 = x 1x 2 x 1x 3 x 2x 3 x 1 x 2 1 

Input Output 

x3 x2 x1 y3 y2 y1 0 0 0 1 1 1 

0 0 1 0 0 1 

0 1 0 0 1 0 

0 1 1 0 1 1 

1 0 0 1 0 0 

1 0 1 1 0 1 

1 1 0 1 1 0 

1 1 1 0 0 0 


6 von 8 möglichen 

Belegungen des Inputs 

werden identisch 

ausgegeben! 


Beispiel: Vollständigkeit der Feistel-Chiffre (f vollst.) 

Outputbit 

j 

Outputbit 

j 

7 

6 

5 

4 

3 

2 

1 

c 0 = m = L 0, R 0 

0 

01234567 

7 

6 

5 

4 

3 

2 

1 

0 

c 2 = L 2, R 2 

01234567 


Inputbit i 

Inputbit i 

Outputbit 

j 

Outputbit 

j 

7 

6 

5 

4 

3 

2 

1 

c 1 = L 1, R 1 

0 

01234567 

7 

6 

5 

4 

3 

2 

1 

0 

c 3 = L 3, R 3 

01234567 

Inputbit i 

Inputbit i 


Avalanche 

Eine Funktion f: {0,1} n {0,1} m besitzt dann den 

Avalanche-Effekt, wenn die Änderung eines Input-Bits im 

Mittel die Hälfte aller Output-Bits ändert. 

Wird durch Änderung eines Input-Bits jedes Output-Bit mit 

einer Wahrscheinlichkeit von 50% verändert, , erfüllt f das 

strikte Avalanche-Kriterium. 

Erfüllt f das strikte Avalanche-Kriterium, so ist f stets 

vollständig. 


106 

107 

108 

36


Beispiel (S Bsp) 

m 

m2 1 000 001 010 011 100 101 110 111 

000 2 2 2 6 

001 2 1 1 4 

010 2 1 1 4 

011 1 1 2 4 

100 2 1 1 4 

101 1 1 2 4 

110 1 1 2 4 

111 2 2 2 6 

Gesamtzahl der geänderten Bits 36 



Linearität 

Eine Funktion f: {0,1} n {0,1} m ist dann linear, wenn jedes 

Output-Bit y i linear von den Input-Bits x i abhängt: 

y i = a j,1 x 1 + a j,2 x 2 + … + a j,n x n + b j 

Wenn wenigstens ein Output Output-Bit Bit linear von den Input Input-Bits Bits 

abhängt, ist f partiell linear. 

weiteres Maß: Grad der Übereinstimmung von f mit ihrer 

besten linearen Approximation g 

Güte der Approximation: Anteil der Funktionswerte, in denen 

f und g übereinstimmen 



Korrelationsimmunität 

f(x1, x2, …, xn) boolesche Funktion in n Variablen 

Die Funktion f heißt dann k-korrelationsimmun, wenn man 

aus Kenntnis von k beliebigen Eingangswerten keine 

Information über den resultierenden Ausgangswert erhalten 

kann und umgekehrt. 


109 

110 

111 

37


Abhängigkeitsmatrix AM 

• Beurteilungsmethode für die Gütekriterien Vollständigkeit, 

Avalanche, Nichtlinearität/partielle Nichtlinearität 

[W. Fumy, H. Rieß: Kryptographie: Einsatz, Entwurf und Analyse 

symmetrischer Kryptoverfahren. 2. akt. u. erw. Aufl., Oldenburg, 1994.] 

• Die AM einer Funktion f: {0,1} n {0,1} m ist eine 

(n x m)-Matrix, deren Einträge ai,j die Wahrscheinlichkeit 

angeben, dass bei einer Änderung des i-ten Eingabebits das 

j-te Ausgabebit komplementiert wird. 

• Eigenschaften von AM: 

– AM(f = const): Nullmatrix 

– AM(f: Permutation): Permutationsmatrix 

– AM(f) = AM(1 f) 



Eigenschaften von f (x i: Inputbits, y j: Outputbits) 

a i,j = 0 y j nicht von x i abhängig; f ist nicht vollständig 

Anzahl a i,j mit a i,j > 0: Grad der Vollständigkeit 

a i,j > 0 f ist vollständig 

ai,j = 1 yj ändert sich bei jeder Änderung von xi yj hängt linear von xi ab 

j. i. ai,j {0,1} f ist partiell linear (Spalte aj binärer Vektor) 

i. j. ai,j {0,1} f ist linear (AM binäre Matrix) 

m n 1 1 

ai, 

j 0, 

5 

m n i1 

j1 

f besitzt Avalanche-Effekt 

i. j.ai,j 0,5 f erfüllt striktes Avalanche-Kriterium 



Berechnung der Abhängigkeitsmatrix 

exakte Berechnung nur für kleine n, m möglich 

näherungsweise Berechnung 

i. j. ai,j := 0 

für „hinreichend viele“ X 

wähle zufälligen nn-Bit Bit Vektor X 

für alle i von 1 bis n 

Bestimme Xi (unterscheidet sich von X genau im Bit i) 

Vi = f(X) f(Xi) ai,j := ai,j + Vi,j Division aller ai,j durch Anzahl der Vektoren X 


112 

113 

114 

38


Beispiel (S Bsp) 

X = 000 

X = 001 … 

x 1 

x 2 


y 1 y 2 y 3 

0 04 0,5 0 1 14 

0,5 0 1 14 

0,5 

0 1 14 0,5 , 0 04 

0,5 , 0 1 14 

0,5 , 

x3 0 01 40,5 0 01 

40,5 

0 04 

0,5 

X1 = 001 

X2 = 010 

V1 = 111 001 = 110 

V2 = 111 010 = 101 

X3 = 100 V3 = 111 100 = 011 


Designkriterien – Zusammenfassung 

• Kriterien sind zwar notwendig, aber nicht hinreichend 

• Teilweise gegenläufig 

• Optimierung notwendig 

• Notwendig: 

– Höchstmaß an Vollständigkeit, Avalanche, Nichtlinearität 

und Korrelationsimmunität 

Korrelationsimmunität, 

– Geringhaltung der Existenz linearer Faktoren der 

Verschlüsselungsfunktion 

• Gewünscht: 

– Gute Implementierbarkeit, Schnelligkeit, Längentreue, 

Minimierung der Fehlerfortpflanzungsmöglichkeiten 


4 Symmetrische Verfahren – DES 

DES (Data Encryption Standard) 

• 1973 Ausschreibung des National Bureau of Standards (NBS) der 

USA für ein standardisiertes kryptographisches Verfahren 

• 1974 erneute Ausschreibung 

• 1975 Veröffentlichung der Einzelheiten des Algorithmus im Federal 

Register 

• 1976 zwei Workshops zur Evaluierung des Algorithmus 

• 1977 vom NBS als Standard publiziert (FIPS PUB 46) 

• Überprüfung der Sicherheit aller 5 Jahre 

• 1992 differenzielle Kryptoanalyse (Biham, Shamir) 

• 1994 lineare Kryptoanalyse (Matsui) 

• 1999 Brute-Force-Angriff (Deep Crack und weitere Rechner): 22 

Stunden, 15 Minuten 

• 1999 FIPS 46-3: Empfehlung 3-DES 

• 2001 Veröffentlichung des AES (FIPS 197) 

• 2002 AES tritt in Kraft 


115 

116 

117 

39


Überblick über den Algorithmus 

• grundlegende Struktur: Feistel-Chiffre mit n = 16 Runden 

• Einteilung der Nachricht in l Blöcke der Länge 64: 

m = m1m2 … ml, mi {0, 1} 64 

c = c1c2 … cl, ci {0, 1} 64 

• Schlüssel der Länge 64 Bits: 

k {0,1} 64 , davon jedoch nur 56 Elemente frei wählbar 

Teilschlüssel ki, i = 1, …, 16 aus k erzeugt (Länge ki : 48 Bit) 

• Permutation vor der ersten und nach der letzten Runde (IP 

bzw. IP -1 ) (kryptographisch nicht relevant) 



Struktur des DES 

m i 

64 

L 0 

L 1 

IP 

R 0 

Iterationsrunde 1 

L 2 

L 15 

L 16 

IP 

ci Kryptographie und Kryptoanalyse 

-1 

64 

R 1 


. 

R 2 

R 15 


R 16 


Eingangspermutation IP 

Folge der Klartextbits: 

58 50 42 34 26 18 10 2 

60 52 44 36 28 20 12 4 

62 54 46 38 30 22 14 6 

64 56 48 40 32 24 16 

linke Hälfte 

8 


48 

48 

48 

k 1 

k k2 . 

k 16 

64 

Teilschlüsselgenerierung 

1 2 3 4 5 6 7 8 

9 10 11 12 13 14 15 16 

17 18 19 20 21 22 23 24 

25 26 27 28 29 30 31 32 

33 34 35 36 37 38 39 40 

41 42 43 44 45 46 47 48 

49 50 51 52 53 54 55 56 

57 58 59 60 61 62 63 64 

57 

59 

61 

63 

49 

51 

53 

55 

41 

43 

45 

47 

33 

35 

37 

39 

25 

27 

29 

31 

k 

(56 Bit wählbar) 

17 

19 

21 

23 

rechte Hälfte 

9 

11 

13 

15 

1 

3 

5 

7 

118 

119 

120 

40


Iterationsrunde i: Rundenfunktion f 

f 


E 

P 

R i-1 

32 

48 

32 

48 

6 6 6 

S1 S2 … 

S8 

4 4 

4 


Expansionsabbildung E 

1 2 3 4 

32 1 2 3 4 5 


32 1 2 3 4 5 

4 5 6 7 8 9 

8 9 10 11 12 13 

12 13 14 15 16 17 

16 17 18 19 20 21 

20 21 22 23 24 25 

24 25 26 27 28 29 

28 29 30 31 32 1 

5 6 7 8 

4 5 6 7 8 9 


Substitutionsboxen Si 

b 5b 4b 3b 2b 1b 0 

6-Bit Wert 

vor der 

Substitution 

S1: 

S2: 

. 

0 

1 

2 

3 

0 

1 

2 

3 

0 

14 

0 

4 

15 

15 

3 

0 

13 


1 

4 

15 

1 

12 

1 

13 

14 

8 

2 

13 

7 

14 

8 

8 

4 

7 

10 

3 

1 

4 

8 

2 

14 

7 

11 

1 

4 

2 

14 

13 

4 

6 

15 

10 

3 

k i 

f(R i-1,k i) = P(S(E(R i-1) k i)) 

5 

15 

2 

6 

9 

11 

2 

4 

15 

6 

11 

13 

2 

1 

3 

8 

13 

4 

… 

7 

8 

1 

11 

7 

4 

14 

1 

2 

8 

3 

10 

15 

5 

9 

12 

5 

11 

S8: 10 

0 

1 

2 

3 

13 

1 

7 

2 

2 

15 

11 

1 

8 

13 

4 

14 

4 

8 

1 

7 

6 

10 

9 

4 

15 

3 

12 

10 

11 

7 

14 

8 

1 

4 

2 

13 

. . 

12 

0 

15 

9 

10 

6 

12 

11 

7 

0 

8 

6 

9 

5 

6 

12 

29 30 31 32 

28 29 30 31 32 1 

10 

6 

12 

9 

3 

2 

1 

12 

7 

3 

6 

10 

9 

11 

12 

11 

7 

14 

13 

10 

6 

12 

14 

11 

13 

0 

12 

5 

9 

3 

10 

12 

6 

9 

0 

5 

0 

15 

3 

13 

9 

5 

10 

0 

0 

9 

3 

5 

0 

14 

3 

5 

14 

0 

3 

5 

6 

5 

11 

2 

14 

12 

9 

5 

6 

121 

122 

15 

7 

8 

0 

13 

10 

5 

15 

9 

7 

2 

8 

11 

123 

41


Permutation P 

16 

1 

2 

19 

7 

15 

8 

13 

20 

23 

24 

30 

21 

26 

14 

6 

29 

5 

32 

22 

12 

18 

27 

11 

28 

31 

3 

4 

17 

10 

9 

25 

S S1 S S2 S S3 S S4 S S5 S S6 S S7 S S8 S1 S2 S3 S4 S5 S6 S7 S8 Kryptographie und Kryptoanalyse 

124 



k i 

48 


PC-2 


C 

k 

64 

PC-1 

56 

28 28 

Schlüsselpermutation PC-1 (Permuted Choice) 

57 

58 

59 

60 

externer Schlüssel k: 1 2 3 4 5 6 7 8 Paritätsbits 

9 10 11 12 13 14 15 16 

17 18 19 20 21 22 23 24 

25 26 27 28 29 30 31 32 

33 34 35 36 37 38 39 40 

41 42 43 44 45 46 47 48 

49 50 51 52 53 54 55 56 

57 58 59 60 61 62 63 64 

49 

50 

51 

52 

41 

42 

43 

44 

33 

34 

35 

36 

25 

26 

27 

C 

17 

18 

19 

9 

10 

11 

1 

2 

3 


63 

62 

61 

55 

54 

53 

47 

46 

45 

39 

38 

37 

D 

D 

31 

30 

29 

28 

23 

22 

21 

20 

15 

14 

13 

12 

7 

6 

5 

4 

125 

126 

42


Anzahl der Shifts 

Verschlüsselung: Links-Shifts 

Entschlüsselung: Rechts-Shifts 

Runde 

Anzahl Links-Shifts: 

Anzahl Rechts-Shifts: 

1 

1 

0 

2 

1 

1 

3 

2 

2 

Schlüsselauswahl: PC-2 


14 

15 

26 

41 

51 

34 

4 

2 

2 

17 

6 

8 

52 

45 

53 

5 

2 

2 

11 

21 

16 

31 

33 

46 

6 

2 

2 

24 

10 

7 

37 

48 

42 

7 

2 

2 

1 

23 

27 

47 

44 

50 


Bewertung der Schlüssel 

Bis auf wenige Ausnahmen liefert das Verfahren für jede 

Runde einen anderen Teilschlüssel. 

4 schwache Schlüssel, die jeweils 16 identische Teilschlüssel 

erzeugen: 

01 

FE 

1F 

E0 

externer Schlüssel k 

01 

FE 

1F 

E0 

01 

FE 

1F 

E0 

01 

FE 

1F 

E0 

01 

FE 

0E 

F1 

01 

FE 

0E 

F1 

01 

FE 

0E 

F1 


01 

FE 

0E 

F1 

0 

F 

0 

F 

0 

F 

0 

F 

0 

F 

0 

F 

0 

F 

0 

F 


12 semi-schwache Schlüssel, die jeweils nur 2 verschiedene 

Teilschlüssel erzeugen: 

01 

FE 

1F 

E0 

01 

E0 

1F 

FE 

01 

1F 

E0 

FE 

externer Schlüssel k 

FE 

01 

E0 

1F 

E0 

01 

FE 

1F 

1F 

01 

FE 

E0 

01 

FE 

1F 

E0 

01 

E0 

1F 

FE 

01 

1F 

E0 

FE 

FE 

01 

E0 

1F 

E0 

01 

FE 

1F 

1F 

01 

FE 

E0 

01 

FE 

0E 

F1 

01 

F1 

0E 

FE 

01 

0E 

F1 

FE 

FE 

01 

F1 

0E 

F1 

01 

FE 

0E 

0E 

01 

FE 

F1 

01 

FE 

0E 

F1 

01 

F1 

0E 

FE 

01 

0E 

F1 

FE 


FE 

01 

F1 

0E 

F1 

01 

FE 

0E 

0E 

01 

FE 

F1 

A 

5 

A 

5 

A 

5 

A 

5 

0 

0 

F 

F 

A 

5 

A 

5 

A 

5 

A 

5 

0 

0 

F 

F 

A 

5 

A 

5 

A 

5 

A 

5 

0 

0 

F 

F 

C 

C 

A 

5 

A 

5 

A 

5 

A 

5 

0 

0 

F 

F 

8 

2 

2 

5 

19 

20 

55 

49 

36 

0 

F 

0 

F 

A 

5 

A 

5 

A 

5 

A 

5 

0 

0 

F 

F 

9 

1 

1 

3 

12 

13 

30 

39 

29 

0 

F 

0 

F 

A 

5 

A 

5 

A 

5 

A 

5 

0 

0 

F 

F 

10 

2 

2 

28 

4 

2 

40 

56 

32 

0 

F 

0 

F 

A 

5 

A 

5 

A 

5 

A 

5 

0 

0 

F 

F 

11 

2 

2 

0 

F 

F 

0 

A 

5 

5 

A 

0 

0 

F 

F 

A 

5 

A 

5 

12 

2 

2 

0 

F 

F 

0 

A 

5 

5 

A 

0 

0 

F 

F 

A 

5 

A 

5 

13 

2 

2 

0 

F 

F 

0 

A 

5 

5 

A 

0 

0 

F 

F 

A 

5 

A 

5 

14 

2 

2 

D 

0 

F 

F 

0 

D 

A 

5 

5 

A 

0 

0 

F 

F 

A 

5 

A 

5 

15 

2 

2 

0 

F 

F 

0 

A 

5 

5 

A 

0 

0 

F 

F 

A 

5 

A 

5 

16 

1 

1 

0 

F 

F 

0 

A 

5 

5 

A 

0 

0 

F 

F 

A 

5 

A 

5 

127 

0 

F 

F 

0 

128 

A 

5 

5 

A 

0 

0 

F 

F 

A 

5 

A 

5 

129 

43


Eigenschaften des DES 

• Vollständig: jedes Output-Bit hängt von jedem Input-Bit ab 

(nach ca. 5 Durchläufen), Avalanche, Nichtlinearität 

• Problem schwacher und semischwacher Schlüssel 

(explizit ausschließen) 

• Komplement-Eigenschaft: 

Komplement Eigenschaft: 


enc(k, m) = enc(k, m) 

ermöglicht Einschränkung des Schlüsselraums: 

Angriff bei Kenntnis von zwei Klartext-Schlüsseltextpaaren 

(m 1, c 1) und (m 2, c 2) mit m 2 = m 1 


3-DES 

• Schlüssellänge heute zu kurz 

• Erhöhung der Sicherheit durch mehrmalige Verschlüsselung 

(Kaskadenverschlüsselung) 

Meet-in-the-Middle-Angriff: 

Sicherheitsgewinn bei Doppelverschlüsselung: 1 Bit 

• 3-DES (Triple-DES): 

Verbesserung der Sicherheit durch 3-fache Anwendung 

• Verschiedene Varianten, häufig EDE 


c = enc(k 1, (dec(k 2, (enc(k 1, m))) 

4 Symmetrische Verfahren – Kryptoanalyse des DES 

Kryptoanalyse des DES 

• Allgemeine Angriffe auf Blockchiffren: 

– Vollständige Schlüsselsuche 

– Zugriff auf eine vorab berechnete Tabelle 

– Time-Memory-Tradeoff 

– Kodebuchanalyse 

• Angriffe auf DES, auch relevant für andere Blockchiffren: 

– Differentielle Kryptoanalyse 

– Lineare Kryptoanalyse 


130 

131 

132 

44

4 Symmetrische Verfahren – Differentielle Kryptoanalyse 

Differentielle Kryptoanalyse 

• E. Biham and A. Shamir: Differential Cryptanalysis of DESlike 

Cryptosystems. Advances in Cryptology – CRYPTO '90. 

Springer-Verlag. 2-21. 

• Gewählter Klartext-Schlüsseltext Angriff 

• Aufwand für DES lt. Standard, 16 Runden: 

ca 247 Klartextpaare bei ca 237 ca. 2 Verschlüsselungsschritten 

47 Klartextpaare bei ca. 237 Verschlüsselungsschritten 

• Anwendbar für iterierte Blockchiffren 

• Prinzip: 

– Verwendung von beliebigen Klartextpaaren mit bestimmten 

Differenzen 

– Analyse der Auswirkungen der Klartext-Differenzen auf die 

Differenzen der resultierenden Schlüsseltextpaare 

– Ermittlung wahrscheinlicher Schlüssel 



Notation (1) 

• Eingangs- und Ausgangspermutation 

haben keinen 

Einfluss - weggelassen 

• Lm, Rm: linke bzw. rechte 

Hälfte des Klartextes 

• Lc, c, Rc: c linke bzw. rechte 

Hälfte des Schlüsseltextes 

• xi / yi: Input / Output der 

Rundenfunktion in Runde i 

• x, x*: zusammengehörige 

Zwischenwerte 

• x‘ = x x*: Differenz 


Klartext m = (L m, R m) 

y 1 

y 2 

f 

f 

. . . 

f 

x 1 

x 2 

Schlüsseltext c = (L c, R c) 


Notation (2) 

f 

xi 32 

E 

48 


S1Ei S2Ei S3Ei … S8Ei S1Ki S2Ki S3Ki … S8Ki y 16 

S1 Ii S2 Ii S8 Ii 

6 6 6 

S1 S2 … 

S8 

4 4 

4 

S1 Oi S2 Oi S8 Oi 

P 

32 

y i 

k i 

48 

x 16 

133 

k 1 

k 2 

k 16 

134 

135 

45


Einfluss der Operationen auf die XOR-Differenzen 

• Expansionsabbildung E: 

E(x) E(x*) = E(x x*) 

• Bitweise Addition mit Rundenschlüssel k: 

(x k) (x* k) = x x* 

• Permutation P: 

P( P(x) ) P( P(x*) *) = P(x P( x*) *) 

• Verknüpfung von Zwischenwerten (Input und Output 

aufeinander folgender Rundenfunktionen): 

(x y) (x* y*) = (x x*) (y y*) 



• Substitutionsboxen Si 

– Nichtlinear komplexe Beziehungen zwischen Eingabeund 

Ausgabedifferenzen 

Differenz: 

Eingabe: SiI SiI* SiI‘ = SiI SiI* Ausgabe: 

6 

Si 


4 

6 

Si 

Si O Si O* Si O‘ = Si O Si O* 

–2 6 ·2 4 mögliche Tupel von Eingabe- und 

Ausgabedifferenzen 

– nicht alle möglichen Ausgabedifferenzen Si O‘ existieren 

–existierende Si O‘ sind nicht gleichwahrscheinlich 


Beschreibung der Differenzen - Differenzentabelle 

Differenzentabelle für S1, Eingabediff. S1I‘ = 1101002 = 34x S1I S1I* = 

S1I S1I‘ 0000 0001 

S1O‘ = S1O S1O* 0010 0011 … 1101 1110 1111 

000000 110100 

000001 110101 

1 

. 

. 

. 

. 

. 

. 

. 

. 

. 

. 

. 

. 

. 

. 

. 

. 

. 

. 

. 

. 

. 

. 

. 

. 

111110 001010 1 

111111 001011 1 

Differenzenverteilung: 0 8 16 6 … 8 0 6 

S1: 

0 

1 

2 

3 

0 

14 

0 

4 

15 

1 

4 

15 

1 

12 

2 

13 

7 

14 

8 


3 

1 

4 

8 

2 

4 

2 

14 

13 

4 

5 

15 

2 

6 

9 

6 

11 

13 

2 

1 

4 

7 

8 

1 

11 

7 

8 

3 

10 

15 

5 

9 

10 

6 

12 

11 

10 

6 

12 

9 

3 

11 

12 

11 

7 

14 

12 

5 

9 

3 

10 

13 

9 

5 

10 

0 

14 

0 

3 

5 

6 

15 

7 

8 

0 

13 

136 

137 

138 

46


Differenzenverteilungstabelle von S1 

Eingabediff. 

S1 I ’ 

0 

1 

2 

3 

. 

33 

34 

35 

. 

3D 

3E 

3F 

0 

64 

0 

0 

14 

4 

0 

2 

1 

0 

0 

0 

4 

4 

8 

2 

2 

0 

0 

0 

2 

6 

16 

4 


3 

0 

6 

8 

2 

2 

6 

0 

4 

0 

0 

0 

10 

10 

2 

8 

Ausgabedifferenzen S1 O ’ 

5 

0 

2 

4 

6 

8 

0 

0 

6 

0 

4 

4 

4 

4 

0 

0 

7 

0 

4 

4 

2 

. 

2 

12 

0 

. 

8 

0 

0 

0 

6 

4 

6 

14 

9 

0 

10 

6 

4 

A 

0 

12 

8 

4 

B 

0 

4 

6 

0 

C 

0 

10 

12 

2 

0 8 6 2 2 6 0 88 

4 4 0 44 

00 

12 4 4 

0 8 2 2 2 4 4 14 4 2 0 22 

00 

8 4 4 

4 8 4 2 4 0 2 44 

4 2 4 88 

88 

6 2 2 

S1 I ‘ S1O ‘ , z.B.: 34x 1 x, 34 x 2 x,34 x 5 x 


Analyse der Rundenfunktion (1) 

f 


E 

0 

0 

4 

2 

0 

6 

2 

0 

8 

4 

0 

0 

D 

0 

6 

6 

2 

6 

8 

2 

S1E S2E S3E … S8E S1K S2K S3K … S8K E 

0 

2 

4 

2 

0 

4 

14 

gewählt: x, x* x‘ gesucht: k 

S1 S1E ‘ , S2 S2E ‘ , …, S8 E‘ 

S1 I‘ S2 I‘ S8 I‘ 

S1 S2 

S8 

S1O, S1 * 

O S2O , S2 * 

O 

S1 O‘ 

S2 O‘ 

P 

S8 O , S8 O * 

S8 O‘ 

beobachtet: y, y* y‘ 


… 

Analyse der Rundenfunktion (2) 

• Gewählt: Inputpaar x, x* ( x’) 

• Beobachtet: y, y* Outputdifferenz y’ 

1. Schritt: 

Bestimmung von Kandidaten für die Belegung der Input- 

Vektoren der S-Box 

2. Schritt: 

Ermittlung möglicher Schlüsselbits mit Hilfe der ermittelten 

Input-Vektoren 

• Wiederholen dieser Schritte zur weiteren Einschränkung des 

Schlüsselraums 

• Vollständige Suche über eingeschränkten Schlüsselraum 

Beispiel: S1E = 01x, S1E* = 35x; S1O‘ = 0Dx Kryptographie und Kryptoanalyse 

F 

0 

4 

2 

0 

4 

6 

0 

139 

140 

141 

47


Mögliche Inputpaare für S1 I‘ = 34 x 

Outputdifferenzen 

S1 O‘ 

Eingabepaare für S1 I‘ = 34 x 

1 03, 37; 0F, 3B; 1E, 2A; 1F, 2B 

2 04, 30; 05, 31; 0E, 3A; 11, 25; 12, 26; 14, 20; 

1A, 2E; 1B, 2F 

3 01, 35; 02, 36; 15, 21 

4 13, 27 

7 00, 34; 08, 3C; 0D, 39; 17, 23; 18, 2C; 1D, 29 

8 09, 3D; 0C, 38; 19, 2D 

D 06, 32; 10, 24; 16, 22; 1C, 28 

F 07, 33; 0A, 3E; 0B, 3F 



Mögliche Schlüsselbits S1 K 

1. Paar: 

S1E = 01x, S1 * 

E = 35x 

S1I‘ = 34x S1O‘ = 0D 

S1 O = 0D x 

2. Paar: 

S1 E = 21 x, 

S1 E * = 15x 

S1 I‘ = 34 x 

S1 O‘ = 03 x 


142 

S1I, S1 * 

I Mögliche Schlüsselbits 

06, 32 07, 33 

10, 24 11, 25 

16, 22 17, 23 

1C, 28 1D, 29 

S1I, S1 * 

I Mögliche Schlüsselbits 

01, 35 20, 14 

02, 36 23, 17 

15, 21 34, 00 

4 Symmetrische Verfahren – Lineare Kryptoanalyse 

Analyse des DES mit 3 Runden 

Outputdifferenz der 

3. Runde bestimmen: 

L C = y 3 x 2 

L C = y 3 L m y 1 

y 3 = L c L m y 1 

y 3 * = Lc * Lm * y1 * 

y 3‘ = L c‘ L m‘ y 1‘ 

R m‘ = 0 y 1‘ = 0 


y 1 

y 2 

y 3 

m = (L m, R m) 

f 

f 

f 

c = (L c , R c) 

x1 = R m 

x 2 

x 3 = R c 

143 

k 1 

k 2 

k 3 

144 

48


Analyse des DES 

• Bei mehr als 5 Runden kann die Ausgabedifferenz der letzten 

Runde nicht mehr berechnet werden 

• Betrachtung der einzelnen S-Boxen: 

Inputdifferenz SiI’ liefert Outputdifferenz SiO’ mit 

P(Si, SiI’ SiO’ ) (Differenzenverteilungstabelle) 

• Analyse der Input- Input und Output-Differenzen Output Differenzen der 

Rundenfunktion m. H. der Input- und Output-Differenzen der 

S-Boxen: 

P( 

f , x' 

y') 

 

• Verfolgen von Differenzen und Wahrscheinlichkeiten über 

mehrere Runden: Charakteristik 


8 

 

i1 

n-Runden-Charakteristik (1) 

= (m, , c) = (1, 2, …, n) mit: i = (Ii, Oi) m= m’ = (L m ,Rm ) 

c = c’ = (L c ,R c ) 

Ii = xi’, ’ Oi = yi’ ’ 

P( 

Si, 

Si ' 

Si ') 


Es gilt: I1 = R m 

I2 = L m O1 

In = R c 

On= L c In-1 

2 i n-1: Oi = Ii-1 Ii+1 


I 

y1 

y2 

O 

Klartext m 

f 

f 

Schlüsseltext c 


n-Runden-Charakteristik (2) 

• Wahrscheinlichkeit p i der Runde i einer Charakteristik 

p i = P(Ii Oi) 

• Wahrscheinlichkeit p einer n-Runden-Charakteristik 

p 

n 

 

 

i1 

p 

 

i 

• Richtiges Paar bzgl. einer n-Runden-Charakteristik und eines 

unabhängigen Schlüssels k: 

– m’ = m 

– für die ersten n Runden der Berechnung gilt: 

x i’ = Ii ⁄ y i’ = Oi 

• Übrige Paare: falsche Paare 


y15 

y16 

. . . 

f 

f 

x 1 

x 2 

x 15 

x 16 

145 

k 1 

k 2 

k 15 

k 16 

146 

147 

49


1-Runden-Charakteristik mit p = 1 

einziger möglicher Fall: Ii = (00 00 00 00) 

p p 1 = 1 

m = (L m, 00 00 00 00) 

y y1‘ 1 = (00 ( 00 00 00) ) 


f 

c = ( L m , 00 00 00 00) 

x 1‘ = (00 00 00 00) 


1-Runden-Charakteristik mitIi ∫ 0 

• Ziel: p möglichst groß 

– SiI’ 0 für nur eine S-Box: nur die mittleren Bits dürfen mit 1 

belegt sein 


1 2 3 4 

S1 S1E: E: 32 1 2 3 4 5 

Si I’ = 000100 001000 001100 = 04 x 08 x 0C x 

– Wahrscheinlichkeit für Si I’ Si O’ maximal (S1: bei 0C x E x) 

• 1-Runden-Charakteristik mit p 14 

= für 

64 

14 

S1: 0Cx Ex mit Wahrscheinlichkeit 

64 

S2, …, S8: 00x 0x mit Wahrscheinlichkeit 1 


1-Runden-Charakteristik mit p = 14 

64 

m = (L m, 60 00 00 00) 

14 y1‘ = (00 80 82 00) 

p 14 y1 ( ) 

p f 

64 

= P(E0 00 00 00) 

= f 


x 1‘ = (60 00 00 00) 

c = (L m 00 80 82 00, 60 00 00 00) 

P(E0 00 00 00): 16 

1 

2 

19 

7 

15 

8 

13 

20 

23 

24 

30 

21 

26 

14 

6 

29 

5 

32 

22 

12 

18 

27 

11 

28 

31 

3 

4 

17 

10 

9 

25 

k 1 

k 1 

148 

149 

150 

50


Konkatenation von n-Runden Charakteristiken 

a = ( m,a, ,a, c,a) sei n-Runden-Charakteristik, 

b = ( m,b, ,b, c,b) sei m-Runden-Charakteristik 

m,a = (L m,a, R m,a), c,a = (L c,a, R c,a) etc. 

a und b können verbunden werden, falls 

L c,a = R m,b und R c,a = L m,b 

= a b = ( m,a, , c,b) 

mit = ( a1, a2, …, an, b1, b2, …, bm) 



3-Runden-Charakteristik mit p 2 

14 

= 0,05 

64 

m = (00 80 82 00 60 00 00 00) 

14 y1‘ = (00 80 82 00) 

p 

64 

= f 

1 

y2‘ = (00 00 00 00) 

p = 1 f 

2 

14 y3‘ = (00 80 82 00) 

p 

64 

= f 

3 


x 1‘ = (60 00 00 00) 

x 2‘ = (00 00 00 00) 

x 3‘ = (60 00 00 00) 

c = (00 80 82 00 60 00 00 00) 


Iterative Charakteristik = ( m, , c) 

• L m = R c ⁄ R m = L c 

• basiert auf Si I’ Si O’ mit Si I’ 0 ⁄ Si O’ = 0 

• kann zur Konstruktion von n-Runden-Charakteristiken 

verwendet werden mit begrenzter Verringerung von p 

m = (L m,00 00 00 00) 

y1‘ = (00 00 00 00) 

p = 1 

1 

f 

p 2 


y 2‘ = (00 00 00 00) 

f 

c = (00 00 00 00, L m) 

x 1‘ = (00 00 00 00) 

x 2‘ = (L m) 

k 1 

k 2 

k 1 

k 2 

k 3 

151 

152 

153 

51


• Falsche Paare liefern nicht notwendigerweise den richtigen 

Teilschlüssel 

Betrachten der Schnittmenge i. Allg. nicht möglich 

• Richtiger Teilschlüssel jedoch häufiger vertreten (mit 

Wahrscheinlichkeit p von den richtigen Paaren geliefert, 

dazu kommt zufälliges Auftreten in falschen Paaren) 

• DES: Erschweren der differentiellen Kryptoanalyse durch 

entsprechende Designkriterien für die Substitutionen und 

Permutationen 

Don Coppersmith: The Data Encryption Standard and its strength 

against attacks. IBM Journal of Research and Development 38/3, 

1994, 243-250. 

• Wichtiges Designkriterium: 

möglichst hohe Anzahl aktiver S-Boxen pro Runde 



Lineare Kryptoanalyse 

• Matsui, M.: Linear Cryptanalysis Method for DES Cipher. 

Advances in Cryptology – EUROCRYPT '93, LNCS 765, 

Springer-Verlag, 386-397. 

• Klartext-Schlüsseltext Angriff 

• Anwendbar für iterierte Blockchiffren 

A f d 243 • Aufwand: ca. 2 Kl t tblö k f d li h 

43 Klartextblöcke erforderlich 

• Prinzip: 

– Ziel: Approximation der Chiffrierfunktion durch eine lineare 

Abbildung 

– Suche nach Approximationsgleichungen mit möglichst hoher 

Güte 

– Untersuchung genügend vieler Klartext-Schlüsseltext-Paare 

liefert Schlüsselbits 



Grundlagen 

• Körper: 

Menge F2 = {0, 1}, Addition , Multiplikation · 

• Vektorraum: 

n 

Menge F2 {( b1, 

b2,..., 

bn 

) | bi 

F2} 

Addition: 

(b1, b2, …, bn) (c1, c2, …, cn) = (b1 c1, b2 c2, …, bn cn) Skalare Multiplikation: 

a · (b1, b2, …, bn) = (a · b1, a · b2, …, a · bn) • U, V Vektorräume über K; L: U V Abbildung 

• L linear, wenn für alle u, u 1, u 2 U und k K gilt: 

– L(u 1 + u 2) = L(u 1) + L(u 2) 

– L(k· u) = k· L(u) 


154 

155 

156 

52


• Matrixdarstellung einer linearen Abbildung 

L : F F ; e ( e e e e e e ) F 

; a ( a a a a ) F 

a1 

l11 

 

a2 

l21 

L( 

e) 

 

a l 

 

l12 

l22 

l 

l13 

l23 

l 

l14 

l24 

l 

l15 

l25 

l 

e1 

 

 

l16 

e2 

 

 

l 

26 e3 

 

 

l 

 

e 

 

 

 

 

 

 

 

 

 

 

 

 

a3 

l31 

a4 

l41 

l32 

l42 

l33 

l43 

l34 

l44 

l35 

l45 

l36 

e4 

l46 

e5 

e6 

6 4 

6 

4 

2 2 1 2 3 4 5 6 2 1 2 3 4 2 

l11e1 

l e 

 

l21e1 

l e 

l31e1 

l e 

 

 

l41e1 

l e 


12 2 

22 2 

32 2 

42 2 

 

 

 

 

... l16e6 

 

 

... l26e6 

 

... l 

36e6 

 

... l 

46e6 

 


Vorüberlegungen zur linearen Kryptoanalyse 

• DES: Substitutionen sind die einzigen nicht-linearen 

Abbildungen 

• Lineare Abhängigkeit einzelner Ausgabebits einer S-Box 

SiO[i]? 6 

gesucht: Funktionen : F F mit 

Si O[i] = (Si I) = l 1Si I[1] l 2Si I[2] … l 6Si I[6] 


2 

Paritätsfunktionen (alle Bits: Parität; nur Berechnung über 

bestimmte Bits: gewichtete Parität) 

• Kennzeichnung der verwendeten Bits mittels 

Auswahlvektor w: w T Si I 

Indexmenge: Angabe der verwendeten Positionen Si I [p1, p2, …] 


Untersuchung der Substitutionsboxen 

• Paritätsfunktionen bzgl. der Eingabe SiI nicht vorhanden 

• Paritätsfunktionen bzgl. Eingabe SiI und Ausgabe SiO Auswahlvektoren u = (u1u2u3u4u5u6) und v = (v1v2v3v4) mit u T SiI = v T Si(SiI) = v T SiO nicht vorhanden (Ausnahme u = 000000 000000, v = 0000) 

• Affine Abbildungen 

Auswahlvektoren u, v, bei denen u T SiI und v T SiO stets unterschiedlich 

Nutzen für Analyse: u T SiI = v T SiO 1 

nicht vorhanden 

Approximation notwendig 

Güte pA der Approximation der Funktion S: Anteil der Argumente, 

in denen die Funktionswerte übereinstimmen 


2 

157 

158 

159 

53


Beste lineare Approximation von S5 O[1] 

Substitution Lineare Abbildung (Auswahlvektor u) 

S5I S5O 000000 000001 … 110111 … 111110 111111 

000000 0010 0 0 … 0 … 0 0 

000001 1110 0 1 … 1 … 0 1 

000010 1100 0 0 … 1 … 1 1 

000011 1011 0 1 … 0 … 1 0 

000100 0100 0 0 … 1 … 1 1 

. . . . . . . 111101 0101 0 1 … 0 … 0 1 

111110 1110 0 0 … 0 … 1 1 

111111 0011 0 1 … 1 … 1 0 

Häufigkeit: 32 32 … 44 … 34 34 



Approximationsmatrix von S5 

Ausw.vektor 

u 

000000 

000001 

000010 

000011 

. 

001111 

010000 

010001 

. 

111101 

111110 

111111 

0 

64 

32 

32 

32 

32 

32 

32 

32 

32 

32 

1 

32 

32 

36 

32 

30 

34 

34 

36 

28 

28 

2 

32 

32 

30 

30 

30 

30 

30 

34 

36 

28 


3 

32 

32 

34 

38 

40 

32 

32 

34 

28 

28 

4 

32 

32 

30 

30 

38 

32 

36 

36 

34 

46 

5 

32 

32 

34 

30 

36 

30 

34 

36 

34 

38 

Auswahlvektor v 

6 

32 

32 

28 

36 

32 

26 

30 

30 

30 

26 

7 

32 

32 

32 

28 

34 

34 

30 

8 

32 

32 

36 

32 

. 

34 

24 

28 

. 

34 

32 

36 

30 

34 

34 

9 

32 

32 

32 

32 

36 

30 

34 

42 

30 

30 

A 

32 

32 

34 

30 

40 

30 

34 

32 

30 

38 

B 

32 

32 

30 

38 

30 

28 

32 

32 

30 

30 

C 

32 

32 

34 

30 

40 

32 

24 

34 

36 

32 

D 

32 

32 

30 

30 

26 

34 

26 

34 

28 

32 

E 

32 

32 

32 

36 

34 

42 

34 

36 

32 

28 


Bestimmung von Schlüsselbits 

m mit pA = 0,81: 

S5I k 

(010000) 

S5 

T m (010000) T k 

= (1111) T 6 

6 

c 1 

S5 

bzw bzw. 

S5O m 

c 

[2] k [2] = c [1,2,3,4] 1 

Umstellen nach k [2] : 

k [2] = m [2] c [1,2,3,4] 4 

1 


F 

32 

32 

28 

28 

32 

12 

36 

32 

36 

32 

Analyse von genügend Klartext- 

Schlüsseltext-Paaren liefert k [2] 

160 

161 

162 

54


Analyse der DES-Rundenfunktion 

• Verwendung der Approximationsfunktion 

• Einbeziehung der Expansionsabbildung E 

und der Schlüsseladdition 

• Berücksichtigung der Permutation P 


16 

1 

2 

19 

7 

15 

8 

13 

Approximationsgleichung für Rundenfunktion 

32 

4 

8 

12 

16 

20 

1 

5 

9 

13 

17 

21 

2 

6 

10 

14 

18 

22 

3 

7 

11 

15 

19 

23 

4 

8 

12 

16 

20 

24 

5 

9 

13 

17 

21 

25 

24 25 26 27 28 29 

28 29 30 31 32 1 

20 

23 

24 

30 

21 

26 

14 

6 

29 

5 

32 

22 


Allgemeines Vorgehen 

Vorbereitung: 

Auswahlvektoren u, v, w bestimmen mit: 

w T k = u T m v T c oder 

w T k = u T m v T c 1 

Güte der Approximation pA > 0,5 

1. Schritt: 

Untersuchung von N Klartext-Schlüsseltext-Paaren 

Z: Anzahl von Paaren, für die die rechte Seite der entsprechenden 

Gleichung 0 ist 

2. Schritt: 

Z > N/2: w T k = 0 

Z < N/2: w T k = 1 



Analyse des DES mit 3 Runden 

k [26] = 

1 

x 

1 1 

[17] y [3,8,14,25] 1 

k [26] = 

3 

x 

3 3 

[17] y [3,8,14,25] 1 


y 1 = L m x 2 

y 2 

y 3 = L c x 2 

m = (L m, R m) 

f 

f 

f 

c = (L c , R c) 

x1 = R m 

x 2 

x 3 = R c 

12 

18 

27 

11 

28 

31 

3 

4 

17 

10 

9 

25 

163 

164 

k 1 

k 2 

k 3 

165 

55

4 Symmetrische Verfahren – IDEA 

IDEA (International Data Encryption Algorithm) 

• Wesentliche Anforderungen an den Entwurf: höhere 

Sicherheit im Vergleich zu DES (größerer Schlüsselraum) 

und effiziente Implementierbarkeit in Hard- und Software 

• Gemeinschaftsprojekt zwischen der ETH Zürich und der 

Ascom Systec AG 

• 1990 Xuejia j Lai, , James L. Massey: y PES (Proposed ( p Encryption yp 

Standard) 

• 1991 Xuejia Lai, James L. Massey, S. Murphy: IPES 

(Improved PES) – gegen differentielle Kryptoanalyse 

optimierte Version IDEA 

• Patentiert (in Europa bis 2011), Nutzung für nichtkommerzielle 

Zwecke möglich (Einsatz in PGP) 




• Einteilung der Nachricht in Blöcke mi der Länge 64 Bit 

• Schlüssellänge 128 Bit 

• 8 identische Runden und zusätzliche Output-Transformation 

• Grundlage bilden einfache arithmetische Operationen auf 

Operanden der Länge 16 Bit: 

– XOR-Verknüpfung 

Additi d l 216 + 

– Addition modulo 2 + 

16 

– Multiplikation modulo 216 +1 (wegen erforderlicher 

Invertierbarkeit wird 0 durch 216 + 

dargestellt) 

• Aufteilung der Nachrichtenblöcke in jeweils vier Teilblöcke 

mi1 , mi2 , mi3 , mi4 zu je 16 Bit 

• 52 Teilschlüssel ki,j zu je 16 Bit: 

– Zerlegung des 128-Bit-Schlüssels in 8 16-Bit-Schlüssel 

– Linksshift um 25 Bit und erneute Aufteilung in 8 16-Bit- 

Schlüssel 



m i1 m i2 m i3 m i4 

k 1,1 k 1,2 k 1,3 k 1,4 

k 1,5 

k 9,1 


+ + 

+ 

+ 

+ 

+ 

+ + 

+ 

… … 

… 

+ k9,2 k9,3 + 

c i1 c i2 c i3 c i4 

 

+ 

k 1,6 

k 9,4 

166 

167 

168 

56


Teilschlüssel 

Entschlüsselung: umgekehrte Reihenfolge, inverse 

Teilschlüssel (-k: additives Inverses mod 2 16 bzw. k -1 : 

multiplikatives Inverses mod 2 16 +1) 

Runde Verschlüsselung Entschlüsselung 

1 k1,1 k1,2 k1,3 k1,4 k1,5 k1,6 k -1 

9,1 –k9,2 –k9,3 k -1 

9,4 k8,5 k8,6 2 k 1 1 

2,1 k2,2 k2,3 k2,4 k2,5 k2,6 k -1 

8,1 –k8,3 –k8,2 k -1 

8,4 k7,5 k7,6 3 k 3,1 k 3,2 k 3,3 k 3,4 k 3,5 k 3,6 k 7,1 -1 –k7,3 –k 7,2 k 7,4 -1 k6,5 k 6,6 

4 k 4,1 k 4,2 k 4,3 k 4,4 k 4,5 k 4,6 k 6,1 -1 –k6,3 –k 6,2 k 6,4 -1 k5,5 k 5,6 

5 k 5,1 k 5,2 k 5,3 k 5,4 k 5,5 k 5,6 k 5,1 -1 –k5,3 –k 5,2 k 5,4 -1 k4,5 k 4,6 

6 k 6,1 k 6,2 k 6,3 k 6,4 k 6,5 k 6,6 k 4,1 -1 –k4,3 –k 4,2 k 4,4 -1 k3,5 k 3,6 

7 k 7,1 k 7,2 k 7,3 k 7,4 k 7,5 k 7,6 k 3,1 -1 –k3,3 –k 3,2 k 3,4 -1 k2,5 k 2,6 

8 k 8,1 k 8,2 k 8,3 k 8,4 k 8,5 k 8,6 k 2,1 -1 –k2,3 –k 2,2 k 2,4 -1 k1,5 k 1,6 

9 k 9,1 k 9,2 k 9,3 k 9,4 k 1,1 -1 –k1,2 –k 1,3 k 1,4 -1 



Konfusion 

• Mischen der drei inkompatiblen Gruppenoperationen 

(Distributivgesetz und verallgemeinertes Assoziativgesetz 

von keinem Paar der Operationen erfüllt) 

• Ergebnis einer Operation ist niemals Eingabe einer Operation 

desselben Typs 

Diffusion 

• Multiplikations-Additions-Struktur: unter Nutzung von ki,5 und ki,6 werden zwei Eingabeblöcke I1 , I2 in zwei 

Ausgabeblöcke O1 , O2 transformiert 

• Jeder Ausgabeblock hängt von jedem Eingabeblock ab 

• Geringstmögliche Anzahl von Operationen für diese 

“ganzheitliche Diffusion” 



Eigenschaften des IDEA 

• Verwendung linearer Funktionen, die aber in 

unterschiedlichen Vektorräumen arbeiten durch 

Verknüpfung wird Nichtlinearität erreicht 

• Betriebsarten und Mehrfachverschlüsselung anwendbar 

• Sehr gut in Hard- und Software implementierbar 

• Sehr effizient 

• Gegen differenzielle Kryptoanalyse optimiert (nach vier 

Runden immun) 

• Problem schwacher Schlüssel einfache Modifikation der 

Teilschlüsselgenerierung: XOR-Addition einer Konstante: 

i, 

j 


kˆ k 

, 0DAE 

i, 

j 

x 

169 

170 

171 

57

4 Symmetrische Verfahren – AES 

AES (Advanced Encryption Standard) 

• 1997 Ausschreibung eines öffentlichen Wettbewerbs für die 

Einreichung eines kryptographischen Algorithmus “AES” als 

Nachfolger des DES durch das National Institute of 

Standards and Technology (NIST) der USA 

• Kriterien: 

– Sicherheit (bestmöglich, resistent gegen alle bekannten 

Angriffe) g ) 

– Kosten (weltweit ohne Einschränkungen und Lizenzgebühren 

verfügbar) 

– Performance (effiziente Realisierbarkeit in Hard- und Software) 

– Algorithmische Eigenschaften (klar strukturiert, flexibel, für 

möglichst viele Anwendungen einsetzbar) 

• Einreichungsfrist bis zum 15.6.1998 

• 15 Algorithmen erfüllten formale Kriterien und wurden in 

einer ersten Verfahrensrunde begutachtet 



August 1999: 5 Finalisten 

• MARS (IBM, USA): 

komplexes Verfahren mit 32 Runden, aus Feistel-Chiffre abgeleitet 

• RC6 (Ron Rivest u.a., RSA Labs, USA): 

“Rons Code”, Weiterentwicklung von RC5, basiert auf Feistel- 

Netzwerk mit 20 Runden 

• Rijndael (Vincent Rijmen und Joan Daemen, Belgien): 

SP-Netzwerk mit wahlweise 10, 12 oder 14 Runden; 

Weiterentwicklung von SAFER 

• Serpent (Ross Anderson/UK, Eli Biham/Israel, Lars 

Knudsen/Norwegen): 

SP-Netzwerk mit 32 Runden 

• Twofish (Bruce Schneier u.a., USA): 

Weiterentwicklung von Blowfish, Feistel-Algorithmus mit 16 Runden 



Sieger des Wettbewerbs: Rijndael 

• Entscheidung Oktober 2000 

• Begründung: 

Beste Kombination von Sicherheit, Leistungsfähigkeit, 

Effizienz und Implementierbarkeit sowohl in Software als 

auch in Hardware. 

• Publikation als Standard im Herbst 2001 (FIPS ( Standard 

„Specification for the Advanced Encryption Standard“, FIPS 

197) 

• 2002 trat AES in Kraft 

• Einsatz z.B.: Verschlüsselungsstandard 802.1 für Wireless 

LAN bzw. für Wi-Fi WPA2, SSH, IPSec, 7-Zip, PGP 


172 

173 

174 

58



• Verschlüsselung von Klartextblöcken der Länge 128 Bit 

(vorgeschlagene Längen von 192 und 256 Bits nicht 

standardisiert) 

• Schlüssellänge wahlweise 128, 192 oder 256 Bits 

• Mehrere Runden, jeweils Substitutionen, Permutationen und 

Schlüsseladdition 

• Anzahl der Runden r hängt von Schlüssel- und Klartextlänge 

ab: 

Schlüssel- Blocklänge des Klartextes nb Kryptographie und Kryptoanalyse 

länge nk 128 Bit 192 Bit 256 Bit 

128 Bit 10 12 14 

192 Bit 12 12 14 

256 Bit 14 14 14 


Struktur des AES 

m i 

n b 



Iterationsrunde r 

c i 



. 

Struktur der Iterationsrunden 

si si,a SubByte 

s i,b 

ShiftRow 

s i,c 

MixColumn 

s i,d 

s i+1 

n b 

Runde i, i = 1, 2, …, r-1 


k i 

nb 

nb 

nb 

nb 

k 0 

k 1 

k k2 . 

k r 

k n k 

Teil- 

schlüs 

selgenerierung 

s r 

s r,a 

SubByte 

s r,b 

ShiftRow 

s r,c 

Runde r 

k r 

175 

176 

177 

59


Notation 

• Darstellung eines Bytes als Folge von Bits: 

a = {a 7a 6a 5a 4a 3a 2a 1a 0} 2, a i {0,1} 

• Darstellung als Polynom: 

7 

 

i0 

• Darstellung als Hexadezimalzahl 


a 

aix 


i 

Darstellung der Operanden 

Byte-Matrizen mit 4 Zeilen und N b (N k) Spalten 

mit N b (N k): Blocklänge n b (Schlüssellänge n k) / 32 

a 0,0 a 0,1 a 0,2 a 0,3 a 0,4 a 0,5 a 0,6 a 0,7 

a 1,0 a 1,1 a 1,2 a 1,3 a 1,4 a 1,5 a 1,6 a 1,7 

a 2,0 a 2,1 a 2,2 a 2,3 a 2,4 a 2,5 a 2,6 a 2,7 

a 3,0 a 3,1 a 3,2 a 3,3 a 3,4 a 3,5 a 3,6 a 3,7 

Schlüssel für 

Schlüssellänge 

128 , 192 , 256 

Bit 



Matrix (state) für 

Blocklänge 

128 , 192 , 256 

Bit 

k 0,0 k 0,1 k 0,2 k 0,3 k 0,4 k 0,5 k 0,6 k 0,7 

k 1,0 k 1,1 k 1,2 k 1,3 k 1,4 k 1,5 k 1,6 k 1,7 

k 2,0 k 2,1 k 2,2 k 2,3 k 2,4 k 2,5 k 2,6 k 2,7 

k 3,0 k 3,1 k 3,2 k 3,3 k 3,4 k 3,5 k 3,6 k 3,7 

Mathematische Grundlagen 

• Alle Verschlüsselungsschritte basieren auf Operationen in 

endlichen Körpern 

• Alle Bytes als Elemente des Körpers GF(2 8 ) interpretierbar: 

a 7x 7 + a 6x 6 + a 5x 5 + a 4x 4 + a 3x 3 + a 2x 2 + a 1x + a 0 mod m(x) 

8 4 3 

mit m(x) = x 8 + x 4 + x 3 + x + 1 (irreduzibles Polynom) 

• Addition : 

a = {a 7a 6a 5a 4a 3a 2a 1a 0}, b = {b 7b 6b 5b 4b 3b 2b 1b 0} 

c = a b mit c i = a i b i 

• Multiplikation : 

c = a b = a · b mod m(x) 

 

 


178 

179 

180 

60


• Polynome dritten Grades mit Koeffizienten aus GF(2 8 ): 

Polynomring GF(2 8 )[x]/(x 4 +1) 

a(x) = a 3x 3 + a 2x 2 + a 1x + a 0 mit a i 

GF(2 8 ) 

• Addition : 

c(x) = a(x) b(x) = 

(a3 b3)x3 + (a2 b2)x2 + (a1 b1)x + (a0 b0) • Multiplikation : 

c(x) = a(x) b(x) = a(x) · b(x) mod (x 4 +1) 

 



c(x) = c 6x 6 + c 5x 5 + c 4x 4 + c 3x 3 + c 2x 2 + c 1x + c 0 

 

 

 

c0 = (a0 b0) c1 = (a1 b0) (a0 b1) c2 = (a2 b0) (a1 b1) (a0 b2) c3 = (a3 b0) (a2 b1) (a1 b2) (a0 b3) c4 = (a3 b1) (a2 b2) (a1 b3) c 5 = (a 3 3 b b2) 2) (a 2 2 b b3) 3) 

c6 = (a3 b3) mit xi mod (x4 +1) = xi mod 4 : d(x) = d3x3 + d2x2 

+ d1x + d0 

d0 = (a0 b0) (a3 b1) (a2 b2) (a1 b3) d1 = (a1 b0) (a0 b1) (a3 b2) (a2 b3) d2 = (a2 b0) (a1 b1) (a0 b2) (a3 b3) d3 = (a3 b0) (a2 b1) (a1 b2) (a0 b3) (oftmals Matrixschreibweise) 



 

Schritt 1: SubByte 

• Alle Bytes einer Matrix werden unabhängig voneinander 

substituiert 

• Nichtlinearität 

s i,a = 

a 0,0 a 0,1 a 0,2 a 0,3 

a1,0 a 1,1 a1,2 a1,3 a 2,0 a 2,1 a 2,2 a 2,3 

a 3,0 a 3,1 a 3,2 a 3,3 


 

b i,j := S 8(a i,j) 

 

 

b 0,0 b 0,1 b 0,2 b 0,3 

181 

182 

b1,0 b 1,1 1,1 b1,2 b1,3 = si,b b2,0 b2,1 b2,2 b2,3 b 3,0 b 3,1 b 3,2 b 3,3 

183 

61


Substitutionsbox S 8(a 7a 6a 5a 4a 3a 2a 1a 0) 

a 7a 6a 5a 4 

0 

1 

2 

3 

4 

5 

6 

7 

. 

C 

D 

E 

F 

0 

63 

CA 

B7 

04 

09 

53 

D0 

51 

BA 

70 

E1 

8C 

1 

7C 

82 

FD 

C7 

83 

D1 

EF 

A3 

78 

3E 

F8 

A1 

2 

77 

C9 

93 

23 

2C 

00 

AA 

40 

25 

B5 

98 

89 


3 

7B 

7D 

26 

C3 

1A 

ED 

FB 

8F 

2E 

66 

11 

0D 

4 

F2 

FA 

36 

18 

1B 

20 

43 

92 

1C 

48 

69 

BF 

a 3a 2a 1a 0 

5 6 7 8 9 A B C D E F 

6B 6F C5 30 01 67 2B FE D7 AB 76 

59 47 F0 AD D4 A2 AF 9C A4 72 C0 

3F F7 CC 34 A5 E5 F1 71 D8 31 15 

96 05 9A 07 12 80 E2 EB 27 B2 75 

A0 52 

6E 5A 3B D6 B3 29 E3 2F 84 

FC B1 5B 6A CB BE 39 4A 4C 58 CF 

4D 33 85 45 F9 02 7F 50 3C 9F A8 

9D 38 F5 BC B6 DA 21 10 FF F3 D2 

A6 

03 

D9 

E6 

B4 

F6 

8E 

42 

. . 

C6 

0E 

94 

68 


E8 

61 

9B 

41 

DD 

35 

1E 

99 

74 

57 

87 

2D 

1F 

B9 

E9 

0F 

Schritt 2: ShiftRow 

• Zyklische Verschiebung der Zeilen nach links 

• Diffusion 

s i,b = 

b 0,0 b 0,1 b 0,2 b 0,3 

b 1,0 b 1,1 b 1,2 b 1,3 

b 2,0 b 2,1 b 2,2 b 2,3 

b 3,0 b 3,1 b 3,2 b 3,3 



4B 

86 

CE 

B0 

BD 

C1 

55 

54 

8B 

1D 

28 

BB 

8A 

9E 

DF 

16 

184 

Zeile 0 1 2 3 

Nb = 4 0 1 2 3 

Nb = 6 0 1 2 3 

Nb = 8 0 1 3 4 

c 0,0 c 0,1 c 0,2 c 0,3 

c 1,0 c 1,1 c 1,2 c 1,3 

c 2,0 c 2,1 c 2,2 c 2,3 

c 3,0 c 3,1 c 3,2 c 3,3 

Schritt 3: MixColumn 

• Operiert jeweils auf Spalten der Matrix (32-Bit Substitution) 

• Diffusion 

s i,c = 

c c 0,0 c0,1 0,1 c0,2 c0,3 c1,0 c 1,1 

c1,2 c1,3 c2,0 c 2,1 2,1 c2,2 c2,3 c3,0 c 3,1 c3,2 c 

3,1 

3,3 


d i := a(x) c i mod (x 4 + 1) 

d d 0,0 d0,1 0,1 d0,2 d0,3 = s i,c 

185 

d1,0 d 1,1 

d1,2 d1,3 = si,d d2,0 d 2,1 

d2,2 d2,3 d3,0 d 3,1 d3,2 d 

3,1 

3,3 

186 

62


d i := a(x) c i mod (x 4 +1) 

a(x) = {03} x 3 + {01} x 2 + {01} x + {02} 

d0,i d1,i d 

= 

2,i 

d3,i 02 03 01 01 

01 02 03 01 

01 01 02 03 

03 01 01 02 


c0,i c1,i c2,i c3,i d 0,i = ({02}·c 0,i) ({03}·c 1,i) c 2,i c 3,i 

d 1,i = c 0,i ({02}·c 1,i) ({03}·c 2,i) c 3,i 

d 2,i = c 0,i c 1,i ({02}·c 2,i) ({03}·c 3,i) 

d 3,i = ({03}·c 0,i) c 1,i c 2,i ({02}·c 3,i) 


Schritt 4: AddRoundKey 

• Macht Iterationsrunden schlüsselabhängig 

• Länge des Rundenschlüssels k i: n b 

s i,d 

d 0,0 d 0,1 d 0,2 d 0,3 

d 1,0 d 1,1 d 1,2 d 1,3 

d 2,0 d 2,1 d 2,2 d 2,3 

d 3,0 d 3,1 d 3,2 d 3,3 


k i 

k 0,0 k 0,1 k 0,2 k 0,3 

s i+1,a 

187 

a 0,0 a 0,1 a 0,2 a 0,3 

k1,0 k1,1 k1,2 k1,3 a1,0 a1,1 a1,2 a1,3 = 

k2,0 k2,1 k2,2 k2,3 a2,0 a2,1 a2,2 a2,3 k 3,0 k 3,1 k 3,2 k 3,3 


a 3,0 a 3,1 a 3,2 a 3,3 


• Expansion des AES-Schlüssels, abhängig von n b und n k 

• n b bestimmt Länge der Rundenschlüssel 

• n b und n k bestimmen Anzahl der Runden Anzahl der 

Rundenschlüssel 

• Länge des expandierten Schlüssels in Byte = 4N 4Nb(r+1): (r+1): 

Schlüssel- Blocklänge des Klartextes nb länge nk 128 Bit 192 Bit 256 Bit 

128 Bit 16·11 24·13 32·15 

192 Bit 16·13 24·13 32·15 

256 Bit 16·15 24·15 32·15 


188 

189 

63



• Verschiedene Expansionsalgorithmen für Nk = 4, 6 

und Nk = 8 

• Expandierter Schlüssel: Folge von 4-Byte Blöcken wi w0 w1 w2 … wi … wN b*(r+1)-1 

• Auswahl der Rundenschlüssel: 

w 0 w 1 w 2 … w N -1 w N w N +1 … 

k 0 


b b b 

k 1 


Schlüsselexpansion für N k = 4 

w 0 

w 4 

k[0:3] 

w 1 

w 5 

k[4:7] 


w 2 

w 6 

k[8:11] 

w 3 

w 7 

… … … … 


k[12:15] 

Rot 

Rot 

Schlüsselexpansion – Verwendete Funktionen 

• Rot: zyklische Verschiebung 

Rot([a 0, a 1, a 2, a 3]) = [a 1, a 2, a 3, a 0] 

SubWord 

SubWord 

Rcon[1] 

Rcon[2] 

• SubWord: byteweise Substitution unter Nutzung von S8 SubWord([a SubWord([a0, a a1, a a2, a a3]) ]) = [S [S8(a (a 0), ) S S8(a (a 1), ) S S8(a (a 2), ) S S8(a (a 3)] )] 

• Rcon: Konstante für die betreffenden Runden 

Rcon[j = i/N k] = [x j-1 , {00}, {00}, {00}] 


190 

191 

192 

64



• Umgekehrte Reihenfolge, inverse Funktionen 

sr,c si k r 

s i+1 

s i,d 

ShiftRow -1 MixColumn -1 

s r,b 

SubByte-1 sr,a sr Kryptographie und Kryptoanalyse 

s si,c ShiftRow-1 si,b SubBytes -1 

si,a si Runde r Runde i, i = r-1, r-2, …, 1 

• Zum Schluss Addition des Rundenschlüssels k 0 


Inverse Funktionen 

• ShiftRow -1 : 

zyklische Verschiebung nach rechts 

• SubByte -1 : 

Anwendung der inversen Substitution a i,j := S 8 -1 (bi,j) 

• MixColumn -1 : 

Multiplikation mit dem multiplikativen Inversen mod (x 4 + 1) 

a -1 (x) = ({03} x 3 + {01} x 2 + {01} x + {02}) -1 mod (x 4 + 1) 

= {0b} x 3 + {0d} x 2 + {09} x + {0e} 



Entschlüsselung in äquivalenter Reihenfolge 

• SubByte(ShiftRow(si)) = ShiftRow(SubByte(si)) und 

SubByte-1 (ShiftRow-1 (si)) = ShiftRow-1 (SubByte-1 (si)) • MixColumn(si ki) = MixColumn(si) MixColumn(ki) und 

Mi MixColumn C l 1 ( k ) Mi C l 1 ( ) Mi C l 1 (k ) 

-1 (si ki) = MixColumn-1 (si) MixColumn-1 (ki) Reihenfolge der Abarbeitung wie bei Verschlüsselung 

k i’ = MixColumn -1 (k i), i = 1, 2, …, r-1 


k i 

193 

194 

195 

65


Entschlüsselung in äquivalenter Reihenfolge 

• Addition des Rundenschlüssels k r 

s i+1 

s i,a 

SubByte -1 

s i,b 

ShiftRow -1 

s i,c 

MixColumn -1 

s i,d 

Runde i, i = r-1, r-2, …, 1 


s i 


k i‘ 

s 1 

s 1,a 

SubByte -1 

s 1,b 

ShiftRow -1 

Analyse des AES 

• Darstellung als algebraische Formel 2001 [FeSW_01] 

(für nk = 128 ca. 250 Terme, für nk = 256 ca. 270 Terme) 

• XSL-Angriff (Extended Sparse Linearisation) [CoPi_02] 

(Darstellung mit Hilfe eines quadratischen Gleichungssystems; für 

nk = 128: 8000 Gleichungen mit 1600 Variablen) 

• Weitere Angriffe wie zz.B. B Collision attacks attacks, Related-key 

attacks und Seitenkanalangriffe 

• Übersicht über Angriffe z.B. unter: 

http://www.cryptosystem.net/aes/ 

http://www.iaik.tugraz.at/content/research/krypto/aes/ 


4 Symmetrische Verfahren – Betriebsarten 

Betriebsarten 

Verschlüsselung längerer Nachrichten, Authentikation 

Beispiele für Betriebsarten: 

– Verschlüsselung: 

• Electronic Code Book (ECB) 

1981 für DES 

• Cipher Block Chaining (CBC) 

standardisiert 

• Cipher Feedback (CFB) 

(FIPS 81) 

• Output Feedback (OFB) 

• Counter Mode (CTR) 

– Authentikation: 

• Cipher-based MAC (CMAC) 

– Authentikation und Verschlüsselung: 

• Counter with CBC-MAC (CCM) 

• Galois/Counter Mode (GCM bzw. GMAC) 


s 1,c 

k 0 

196 

197 

198 

66


• Anwendung der Betriebsarten erlaubt die Konstruktion von 

synchronen oder selbstsynchronisierenden „Stromchiffren“ 

aus Blockchiffren 

(zugrunde liegendes Alphabet wird dabei teilweise gewechselt) 

– Synchrone Stromchiffre: Verschlüsselung eines Zeichens ist 

abhängig von der Position bzw. von vorhergehenden Klartextoder 

Schlüsselzeichen 

– Selbstsynchronisierende Stromchiffre: Verschlüsselung ist nur 

von begrenzter Anzahl vorhergehender Zeichen abhängig 

• ECB, CBC und CFB: selbstsynchronisierende Stromchiffre 

• OFB, CTR: synchrone Stromchiffre 



• Betrachtung von Fehlerauswirkungen / Manipulationen 

– Unterscheidung nach Ort des Fehlers 

• während der Übertragung (Speicherung) 

• während der Ver- bzw. Entschlüsselung (transient) 

Sender Empfänger 

enc 

dec 

– Unterscheidung nach Fehlerart 

• Additive Fehler: Verfälschung einzelner Bits („Addition 

eines Fehlermusters“); Blockgrenzen bleiben erhalten 

• Synchronisationsfehler: Hinzufügen bzw. Verlust von 

Blöcken / Bits (letzteres ändert die Blockgrenzen) 



Electronic Codebook (ECB) 


mi l 

l ci enc 


k 


ci = enc(k, mi), 1 

mi = dec(k, ci), 1 

c = enc(k, m1) enc(k, m2) ... enc(k, mn) m = dec(k, c1) dec(k, c2) ... dec(k, cn) c i 

l l 

dec 

k 

m i 

199 

200 

201 

67


Electronic Codebook (ECB) – Eigenschaften 

• Selbstsynchronisierend (Abhängigkeit von 0 Blöcken) 

• Länge der verarbeiteten Einheiten: entsprechend Blockgröße 

der Blockchiffre (DES: l = 64 Bit) 

• Keine Abhängigkeiten zwischen den Blöcken 

– Direktzugriff auf einzelne Schlüsseltextblöcke möglich 

– gleiche Klartextblöcke liefern gleiche Schlüsseltextblöcke 

ggf. Kodebuchanalysen möglich 

• Fehlerauswirkungen 

– additive Fehler: keine Fehlerfortpflanzung 

– Synchronisationsfehler bzgl. ganzer Blöcke: keine 

Fehlerfortpflanzung 

gezieltes Einfügen und Entfernen von Blöcken möglich 

– Synchronisationsfehler bzgl. Bits: Entschlüsselung fehlerhaft, 

bis Blockgrenzen erneut festgelegt 



Cipher Block Chaining (CBC) – Verschlüsselung 

m i 

l ci enc 

c i-1 IV 


k 

1 l 

… 

Speicher für 

Schlüsseltextblock 

ci-1 bzw. IV 

c1 = enc(k, (m1 IV )); IV: Initialisierungsvektor 

ci = enc(k, (mi ci-1)), 1 

c = enc(k, (m1IV)) enc(k, (m2c1)) enc(k, (m3c2)) … enc(k, (mncn-1)) 4 Symmetrische Verfahren – Betriebsarten 

Cipher Block Chaining (CBC) – Entschlüsselung 

k 

c i 

l l mi dec 

m 1 = dec(k, c 1) IV 

m i = dec(k, c i) c i-1, 1 


l 

c ci-1 IV 

202 

203 

1 l 

… 

Speicher für 

Schlüsseltextblock 

ci-1 bzw. IV 

m = dec(k, c 1) IV dec(k, c 2) c 1 dec(k, c 3) c 2 … dec(k, c n ) c n-1 

204 

68


Cipher Block Chaining (CBC)– Eigenschaften 

• Selbstsynchronisierend (Abhängigkeit von 1 Block) 

• Länge der verarbeiteten Einheiten: entsprechend Blockgröße 

der Blockchiffre (DES: l = 64 Bit) 

• Abhängigkeiten zwischen den Blöcken 

– kein Direktzugriff auf einzelne Schlüsseltextblöcke möglich 

– gleiche Klartextblöcke liefern unterschiedliche 

Schlüsseltextblöcke 

Kodebuchanalysen erschwert 

• Initialisierungsvektor IV muss Sender und Empfänger 

bekannt sein 




– Fehler während der Übertragung 

• additive Fehler: Fehlerfortpflanzung in den Folgeblock 

• Synchronisationsfehler bzgl. ganzer Blöcke: 2 Blöcke 

betroffen 

• Synchronisationsfehler bzgl. Bits: Entschlüsselung fehlerhaft, 

bis Blockgrenzen erneut festgelegt 

– FFehler hl während äh d der d Verschlüsselung 

V hlü l 

• ab Fehlerstelle wird ein anderer Schlüsseltext erzeugt 

• Entschlüsselung: nur ein Klartextblock betroffen 

Verfahren eignet sich zur Authentikation: Manipulationen, 

Einfügen und Entfernen von Blöcken erkennbar 



CBC zur Authentikation (CBC-MAC) 

m i 

c i-1 IV 


k 

enc 

c i 

205 

206 

1 l letzter 

… 

Schlüssel- 

IV = 0…0 

textblock cn letzter Schlüsseltextblock wird als MAC angehängt: m 1 m 2 m 3 … m n c n 

Empfänger berechnet ebenfalls c n und vergleicht mit erhaltenem c n 

207 

69


Cipher Feedback (CFB) – Verschlüsselung 

m i 

r 


l r+1 r 1 

… … Schieberegister A 

ai Inhalt zum Zeitpunkt i 

a1 = IV 

… 

r 

enc 

l 1 

… 

k 

Ausgabeblock B 

bi Ausgabe zum Zeitpunkt i 

r ci c i = m i b i[1:r] = m i enc(k, a i)[1:r] 

für l = 64, r = 8: a i = c i-8 c i-7 c i-6 … c i-2 c i-1; a 1 = IV = c -7 c -6 c -5 … c 1 c 0 


Cipher Feedback (CFB) – Entschlüsselung 

c i 

r 


l r+1 r 1 

… … Schieberegister A 

ai Inhalt zum Zeitpunkt i 

a1 = IV 

… 

r 

enc 

l 1 

… 

k 

208 



r mi m i = c i b i[1:r] = c i enc(k, a i)[1:r] 

für l = 64, r = 8: a i = c i-8 c i-7 c i-6 … c i-2 c i-1; a 1 = IV = c -7 c -6 c -5 … c 1 c 0 


Cipher Feedback (CFB) – Eigenschaften 

l 

• Selbstsynchronisierend (Abhängigkeit von Einheiten; l: 

r 

 

Blockgröße der Chiffre; DES: l = 64) 

• Länge der verarbeiteten Einheiten: r < b, frei wählbar (z.B. 

8 Bit, also byteweise Verarbeitung) 

• Abhängigkeiten zwischen den Blöcken 

– kein Direktzugriff g auf einzelne Schlüsseltextblöcke möglich g 



• Initialisierungsvektor IV muss Sender und Empfänger 

bekannt sein 

• Nur Verschlüsselungsfunktion verwendet – es entsteht 

immer eine symmetrische Chiffre 


209 

210 

70



– Fehler während der Übertragung 

• additive Fehler und Synchronisationsfehler bzgl. ganzer 

Blöcke: Fehlerfortpflanzung entsprechend der 

Abhängigkeiten von vorherigen Blöcken 

• Synchronisationsfehler bzgl. Bits: Entschlüsselung fehlerhaft, 

bis Blockgrenzen erneut festgelegt; durch geeignete Wahl 

von r können Verschiebungen der Blockgrenzen verhindert 

werden 

– Fehler während der Verschlüsselung entsprechend CBC 

Verfahren eignet sich zur Authentikation (verschlüsselten 

letzten Block c n als MAC): Manipulationen, Einfügen und 

Entfernen von Blöcken erkennbar 



Output Feedback (OFB) – Ver-/Entschlüsselung 

mi ci l 

c i = m i b i = c i enc(k, a i) 

m i = c i b i = m i enc(k, a i) 


l 

… 

enc 

l 1 


… 

1 

Eingabeblock A 

a i Inhalt zum Zeitpunkt i 

a 1 = IV 

k 

211 



l ci mi Anmerkung: in FIPS 81 Länge der 

verarbeiteten Einheiten frei wählbar 

Output Feedback (OFB) – Eigenschaften 

• Synchron 

• Abhängigkeit von Position der verarbeiteten Einheit 

– kein Direktzugriff auf einzelne Schlüsseltextblöcke möglich 



• Initialisierungsvektor g IV muss Sender und Empfänger p g 

bekannt sein; darf bzgl. eines Schlüssels nur einmal 

verwendet werden 





– anfällig gegen Synchronisationsfehler 


212 

213 

71


Counter Mode (CTR) – Ver-/Entschlüsselung 

mi ci c i = m i b i = c i enc(k, T i) 

m i = c i b i = m i enc(k, T i) 


l 

… 

enc 

l 1 


… 

1 

T i Zähler zum Zeitpunkt i 

T 1 Startwert des Zählers 

T i = inc(T i -1) 

k 


b i Ausgabe zum Zeitpunkt i 

ci mi Counter Mode (CTR) – Eigenschaften 

• Synchron 

• Abhängigkeit von Position der verarbeiteten Einheit 



• Direktzugriff auf einzelne Schlüsseltextblöcke möglich 

• Zähler muss Sender und Empfänger bekannt sein, darf 

bzgl. eines Schlüssels nur einmal verwendet werden 





– anfällig gegen Synchronisationsfehler 



Cipher-based MAC (CMAC) 

• Bietet auch Sicherheit für Nachrichten beliebiger Länge 

• Schlüssel k1 und k2 werden mit Hilfe des geheimen Schlüssels 

k ermittelt (abhängig von Blocklänge) und mit letztem 

Nachrichtenblock XOR-verknüpft 

• Berechnung des MAC ansonsten wie mit CBC (IV = 0…0); 

Auswahl der Tlen MSBs (most significant bits) als MAC 

k 

m 1 m 2 m n * 

enc 


k 

enc 

… 

k 

enc 

ggf. aufgefüllt 

c n[1:Tlen] 

214 

215 

k1 , falls m* n 

kompletter 

Block / 

k2 sonst 

216 

72


Counter with CBC-MAC (CCM) 

• Vertraulichkeit und Integrität für die Nachricht (payload P) 

• Integrität für zusätzliche Daten (assigned data A) 

• Zufallszahl (nonce N; verschieden für verschiedene Paare 

(A,P)) 

• Generieren & Verschlüsseln: 

– MAC berechnen für P, A und N mittels CBC-MAC 

– Verschlüsselung von N, P und MAC mittels CTR 

• Entschlüsseln & Prüfen: 

– Entschlüsselung mittels CTR N, P, MAC 

– Berechnung des MAC für P, A und N mittels CBC-MAC und 

Vergleich mit entschlüsseltem MAC 



Galois/Counter Mode (GCM bzw. GMAC) 

• Vertraulichkeit und Integrität für die Nachricht 

• Integrität für zusätzliche Daten 

• Initialisierungsvektor IV (darf nur einmal verwendet werden) 

• GMAC: zu verschlüsselnde Nachricht der Länge 0 

• VVerschlüsselung: hlü l 

– CTR mit spezieller inc-Funktion (nur ein Teil der Bits des 

Zählers werden inkrementiert) 

– erster Wert des Zählers von IV 

• Berechnung des MAC: 

– Hashfunktion GHASH: Multiplikation mit einem festen 

Parameter H (hash subkey) in einem endlichen Körper 

– H = enc(k, 0 128 ) 


217 

218 

73

Kryptographie und Kryptoanalyse

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?