Symmetrische Verschlüsselungsverfahren

Transkript

1 Symmetrische Verschlüsselungsverfahren Karlsruher Institut für Technologie, SS 2012 Daniel Kraschewski Skript-Ausarbeitung: Jonas Böhler Grundlage: Datensicherheitstechnik/SCC2-Skript 8. Mai 2013

2 Inhaltsverzeichnis 1 Einführung Analytische Angriffe gegen Kryptosysteme Historische Kryptoverfahren Substitution Caesar-Chiffre Vigenère-Chiffre Permutation Rotorenchiffren Die Hagelin-Maschine C Einführung zu Blockchiffren & Konstruktionen Definitionen DES (Data Encryption Standard) Meet-in-the-Middle, Slide-Attack & Related-Key-Attack Meet-in-the-Middle gegen 2DES Advanced Meet-in-the-Middle gegen 2Key-3DES Eine Variante per Known-Plaintext-Attack Slide-Attack Advanced Slide-Attack gegen DES-X Related-Key-Attack am Beispiel LOKI Lineare Kryptoanalyse FEAL DES: Lineare Analyse Differentielle Kryptoanalyse DES: Differentielle Kryptoanalyse Angriff gegen einen 2n-Runden-DES Skipjack AES (Advanced Encryption Standard) Aufbau und Funktionsweise Schwächen und beste bekannte Angriffe

3 8 Betriebsmodi für Blockchiffren ECB: Electronic Codebook Mode CBC: Cipher Block Chaining Mode CFB: Cipher Feedback Mode OFB: Output Feedback Mode CTR: Counter Mode Probleme bei schwachen Verfahren Vergleich Formale Sicherheitsbegriffe Beziehungen zwischen den Begriffen Hashfunktionen Definition und Eigenschaften Merkle-Damgård- & Feistel-Konstruktion Äquivalenz von Krypto-Primitiven Aufbau von SHA Angriffsansätze gegen Hashfunktionen Praktische Angriffe aus sinnlosen Kollisionen Nachrichten-Authentifikation Message Authentication Codes Abstreitbare Authentifikation

4 1 Einführung Die Grundlage für dieses Skript bildet das Vorlesungsskript [Gei09]. Sofern nicht weiter angegeben, werden Verschlüsselungsfunktionen in Abbildungen bzw. im Text mit E für Encryption und Entschlüsselungsfunktionen mit D für Decryption bezeichnet. Darüber hinaus werden Klartexte als m für Message, Geheimtexte mit c für Code und Schlüssel mit k für Key bezeichnet. 1.1 Analytische Angriffe gegen Kryptosysteme Bei der Kryptoanalyse wird davon ausgegangen, dass der Gegner ungehinderten Zugang zum ungesicherten Übertragungssystem hat (also beliebig viel Chiffretexte empfangen kann). Ferner nimmt man an, dass das Kryptoverfahren bekannt, der Schlüssel aber geheim ist. Die Sicherheit des Verfahrens beruht allein auf der Geheimhaltung des Schlüssels und nicht den Details des Kryptoverfahrens; dies ist als Kerckhoffs Prinzip bekannt. Die nachfolgende Auflistung der Angriffsarten ist aufsteigend nach der Stärke des Angriffs geordnet: Ciphertext-Only Attack Es stehen nur die abgefangenen Chiffretexte zur Verfügung. Der Angreifer hat also Zugriff auf den unsicheren Kommunikationskanal, was stets vorausgesetzt wird. Known-Plaintext-Attack Es stehen bekannte Klartext-Chiffretext-Paare zur Verfügung. Hilfreich zur Schlüsselermittlung sind unter anderem verschlüsselte Anfangs- und Endphrasen, z. B. Mit freundlichem Gruß. So war es für das Brechen der Enigma- Verschlüsselung, um ein konkreteres Beispiel zu nennen, sehr nützlich zu wissen, dass viele codierte Nachrichten, die abgefangen wurden, unter anderem ein Textfragment der Form (An das) Oberkommando der Wehrmacht enthielten. Da auch genaue Wettervorhersagen für militärische Aktionen von Bedeutung sind, wurden diese von Wetterstationen ebenso verschlüsselt und man konnte, sofern die Vorhersagen einigermaßen akkurat waren, ziemlich sicher sein, was der Inhalt dieser abgefangenen Nachrichten wohl sein könnte. Chosen-Plaintext-Attack Es stehen beliebige Klartext-Chiffretext-Paare zur Verfügung. Man kann also selbstgewählte Klartexte verschlüsseln bzw. indirekt verschlüsseln lassen. Dies erscheint zuerst unrealistisch, aber man kann es sich als eine Art Black-Box-Szenario vorstellen, bei welchem der Angreifer zwar Zugriff auf ein Verschlüsselungssystem, aber nicht den Schlüssel selbst hat. Direkt kann dieser Zugriff 4

5 sein, falls z. B. ein Server, der bestimmte Anfragen automatisch verschlüsselt im Spiel ist. Und indirekt könnte man z. B. das Wort Vandalismus verschlüsseln lassen, indem man vor den Augen eines Streifenpolizisten ein öffentliches Gebäude mit Graffiti besprüht und darauf wartet, dass er einen verschlüsselten Funkspruch absetzt. Sollte der Polizeifunk allerdings unverschlüsselt erfolgen, hat man sich wohl umsonst verhaften lassen. Zu den in der Kryptoanalyse verwendeten Methoden zählen die folgenden Strategien: Vollständige Suche: Man durchsucht den ganzen Schlüsselraum nach dem passenden Schlüssel. Trial-and-Error-Methode: Man testet gewisse Möglichkeiten und überprüft diese auf Fehlerfreiheit. Statistische Methoden: Häufigkeitsanalysen (z. B. Buchstaben- oder Worthäufigkeit des Klartextes und des Chiffrats). Strukturanalyse von Kryptosystemem: Beispielsweise das Lösen von Gleichungssystemen. 5

6 2 Historische Kryptoverfahren In der klassischen Kryptographie gibt es im Wesentlichen zwei Werkzeuge zur Transformation von Klar- in Chiffretext: Code Ein System zur Substitution ganzer Nachrichten oder Teilen davon, Wörtern oder Silben einer Sprache durch Wörter/Zahlenfolgen einer anderen, häufig künstlichen, Sprache. Sie arbeiten also auf semantischen Einheiten und entsprechen gewissermaßen einem festgelegten Wörterbuch. Zu den Nachteilen zählt, dass die Transformation gleicher Klartexte zu immer gleichen Chiffren führt, man ein großes Wörterbuch benötigt und man sich auf vorher vereinbarte Sachverhalte, für die man Codewörter erstellt, einschränken muss. Chiffre Ein universelles Verfahren, das eine Anzahl an Kryptooperationen (Substitution oder Permutation) benutzt, um einen beliebigen Klartext in einen Chiffretext umzuwandeln. Einheiten fester Länge des Klartextextes werden Einheiten fester Länge des Chiffretextalphabets zugeordnet. Man operiert auf syntaktischen Einheiten. Die oben erwähnten Kryptooperationen zur Transformation von Klartexten in Chiffretexten werden in zwei Typen unterteilt: 1. Substitution und 2. Permutation, welche in den nächsten zwei Abschnitten näher erläutert werden. 2.1 Substitution Caesar-Chiffre Bei der Caesar-Chiffre wird jedes Zeichen des Klartextes um den Schlüssel-Wert k im Alphabet verschoben. Man wählte bei dieser Chiffre k = 3 fest und dadurch ergibt sich folgende Chiffrierabbildung: A D E k :.. Z C Dies verstößt allerdings gegen das Kerckhoffs sche Prinzip, denn aufgrund des fest gewählten, immer gleichen Schlüssels ist der gesamte Algorithmus geheim zu halten, nicht 6

7 nur der Schlüssel selbst. Dennoch war diese Verschlüsselung gar nicht so schlecht, schließlich konnte damals ohnehin kaum jemand lesen. Angriff Um eine solche simple Substitution anzugreifen, betrachtet man die Zeichenhäufigkeit. In der deutschen Sprache ist z. B. das E der häufigste Buchstabe, ist im Chiffrat nun F der häufigste, so wurde mit hoher Wahrscheinlichkeit der Schlüssel k = 1 verwendet. Und kennt man den Klartext bzw. Teile davon, kann man den Schlüssel leicht ermitteln Vigenère-Chiffre Bei der Vigenère-Chiffre wird eine möglichst lange Schlüsselfolge (im Beispiel COVER) anstatt eines konstanten Schlüssels wie bei der Caesar-Chiffre verwendet. Klartext: Schlüsselfolge: Chiffretext: THEMATHEMATICAL COVERCOVERCOVER WWARSWWARSWXYFD (Das sich wiederholende Muster WWARS lässt hier schon ohne jegliche Information über den Klartext auf die richtige Periode 5 schließen.) Angriffe Man kann verschiedene Angriffe gegen Vigenère anwenden, von denen wir einige aufzählen wollen: Man kann die Schlüssellänge raten/durchprobieren (es sind wahrscheinlich nur wenige 100) und es anschließend wie Caesar brechen (siehe dazu den nächsten Teilabschnitt). Die Autokorrelationsfunktion, welche die relative Häufigkeit von übereinstimmenden Stellen eines Textes mit sich selbst um einige Stellen verschoben angibt, hat einen Peak bei der Schlüsselperiode, was hilfreich ist. Die Methode von Kasiski & Friedman: Der Koinzidenzindex des Chiffrats, d. h. die Wahrscheinlichkeit, dass an zwei zufälligen Stellen eines Textes dasselbe Zeichen steht, sinkt bei steigender Schlüssellänge. (Siehe dazu den übernächsten Teilabschnitt). Diese Chiffre galt lange Zeit als unbrechbar ( Le Chiffre indéchiffrable ) und ist tatsächlich perfekt, wenn die Schlüssellänge gleich der Länge des Klartexts ist (und man somit den One-Time-Pad erreicht hat). Angriff: Caesar Hat man die Periodizität l der Schlüsselfolge erkannt, kann man Vigenère wie Caesar brechen: Man schreibt den Chiffretext in Spalten der Länge l nebeneinander, wie es in Abbildung 2.1 zu sehen ist, und hat in jeder Zeile eine Caesar-Verschlüsselung. 7

8 1 l + 1 Caesar 2 l l 2l Abbildung 2.1: Anordnung des Chiffretexts zum Brechen der Vigènere-Chiffre Man hat allerdings nicht immer das Glück, dass gleiche Teilfolgen im Klartext mit der gleichen Schlüssellänge verschlüsselt wurden (sind sie aber entstanden, dann ist ihr Abstand ein Vielfaches der Schlüsselperiodizität). Im allgemeinen Fall wendet man die Methode von Kasiski und Friedman an. Angriff: Kasiski und Friedman Definition 2.1.1: (Koinzidenzindex): Der Koinzidenzindex I c eines Chiffretextes c gibt die Wahrscheinlichkeit dafür an, dass zwei unabhängig voneinander gewählte Zeichen des Chiffretextes c gleich sind. (Sinkt bei steigender Schlüssellänge.) Für einen Chiffretext c, der aus einer Caesar-Chiffrierung hervorgegangen ist, hängt der Koinzidenzindex I c nicht vom Schlüssel k, sondern lediglich von den statistischen Eigenschaften der Klartextquelle ab. Für englische Texte gilt z. B. I c 0, 065. Diese Unabhängigkeit von I c bei der Caesar-Chiffre wird für die Ermittlung der Periodenlänge, wie unten beschrieben, ausgenutzt. Es sei n i die absolute Häufigkeit des Zeichens a i aus dem Alphabet A in dem Chiffretext der Länge n. Dann gibt es ( n i ) 2 = n i (n i 1) 2 Möglichkeiten das Paar a i a i auszuwählen: I c = ( ni ) 2 a ( n = i A a i A 2) n i(n i 1) Anzahl günstiger Fälle = (2.1) n(n 1) Anzahl möglicher Fälle ( ) 2 ni (für großes n) (2.2) n a i A Ordnet man den Chiffretext der Länge n wie im vorherigen Bild in l Zeilen an, dann gilt: 1. Es gibt n( n l 1) Möglichkeiten, Zeichenpaare in derselben Zeile auszuwählen. (Für jedes der n Zeichen, welches man als Erstauswahl betrachtet, hat man n l 1 verbleibende Zeichen in der gleichen Zeile, die man als Zweites auswählen kann.) 2. Es gibt n(n n l ) Möglichkeiten, Zeichenpaare in verschiedenen Zeile auszuwählen. Sei p die Wahrscheinlichkeit dafür, in derselben Zeile gleiche Zeichenpaare auszuwählen. Falls die Zeilenanzahl l gleich der Periode der Schlüsselfolge ist, dann kann p durch den Koinzidenzindex a i A p2 i approximiert werden (für genügend großes n), da hier eine Caesar-Chiffrierung vorliegt (dabei bezeichnet p i die Wahrscheinlichkeit dafür, dass die 8

9 Klartextquelle das Zeichen a i aussendet). Ansonsten betrachtet man die Wahrscheinlichkeit, in verschiedenen Zeilen gleiche Zeichenpaare auszuwählen, wobei hier von einer Gleichverteilung der Zeichen auszugehen ist (Schlüssel mit unendlicher Periode), also a i A (1/ A )2 = 1/ A. Man erhält somit als Approximation für den Koinzidenzindex: 1 I c = n(n 1) n ( n l 1 ) a i A ( p 2 i + n n n ) l 1 (2.3) A Also gerade die Anzahl passender Zeichenpaare (in großen Klammern) durch die Anzahl aller möglichen Zeichenpaare. Die Periodenlänge einer Vigenère-Chiffre bestimmt man wie folgt: 1. Berechne den Koinzidenzindex gemäß (2.1) oder (2.2). 2. Vergleiche diesen mit den ermittelten theoretischen Werten für verschiedene Werte von l nach (2.3). Man erhält so zwar nicht immer das korrekte l, aber der Vergleich des gemessenen Koinzidenzindex mit dem theoretisch zu erwartenden Wert gibt Aufschluss über die verwendete Chiffre; ob es eine Permutations- oder Caesar-Chiffre oder eine Vigenère- Chiffre mit kleinerer oder größerer Periode ist (für kleinere steigt I c, man nähert sich Caesar, für größere sinkt I c, man nähert sich dem One-Time-Pad). Varianten Es folgen Varianten von Vigenère, die die periodische Wiederholung des Schlüssels meiden (und somit nicht mit Kasiski und Friedman zu brechen sind): Man wählt einen Schlüsselanfang der Länge l und verschlüsselt die ersten l Klartextzeichen mit diesem Schlüssel. Dann wird der Klartext als Schlüssel verwendet. Man wählt einen sich nicht wiederholenden Text als Schlüssel. Wählt man aber einen Text einer natürlichen Sprache, dann kann man über die relative Häufigkeit der Zeichen dieser Sprache hochwahrscheinliche Paare von Klartext- und Schlüsselbuchstaben angeben und durch Ausprobieren Teilfolgen des Schlüssels und Klartextes bestimmen. Fehlende bzw. unsichere Buchstaben kann man durch Kontextbetrachtung gewinnen, hierbei sind Häufigkeitsverteilungen von Bigrammen, Trigrammen, etc. sowie Einzelwortwahrscheinlichkeiten nützlich. One-Time-Pad: Man verwendet eine echte Zufallsfolge, die genauso lang wie der Klartext ist als Schlüssel und verwendet diesen nur ein einziges Mal. (Die einzige Chiffre, die perfekt sicher ist.) 2.2 Permutation Bei der Permutation werden Texte in Blöcke fester Länge eingeteilt und die Blockinhalte über Schlüssel permutiert. 9

10 Angriff Ein Angriff kann über die Aufstellung einer Bigramm-Statistik erfolgen: 1. Rate die Blocklänge L durch vollständiges Durchprobieren, L muss dabei die Chiffratlänge teilen. 2. Schreibe das Chiffrat Zeilenweise in eine Matrix der Breite L. 3. Berechne für je zwei Spalten i, j die Wahrscheinlichkeit, dass im Klartext i direkt vor j stand. 4. Die erste Klartextspalte hat keinen wahrscheinlichen Vorgänger, es folgt also jeweils der wahrscheinlichste Nachfolger. 2.3 Rotorenchiffren Man begann am Anfang des 20. Jahrhunderts, eine große Anzahl verschiedener Substitutionen zum Verschlüsseln zu verwenden. Und zwar wechselte man diese Substitutionen regelmäßig nach dem Verschlüsseln eines einzelnen Zeichens. Diese große Anzahl von Wechseln ließ sich manuell kaum noch bewerkstelligen, sodass man (elektro-)mechanische Maschinen entwickelte, die diese Substitutionen und ihre Wechsel durchführten Die Hagelin-Maschine C-34 Die Hagelin C-34 ist eine Rotormaschine, deren Rotoren binäre Werte zurückgeben, die durch zyklisch rückgekoppelte binäre Schieberegister beschrieben werden können. Mit diesen Rotoren wird eine Pseudozufallsfolge generiert, mit deren Hilfe eine Vigenère- Verschlüsselung durchgeführt wird. Wie die meisten historischen Rotormaschinen arbeitet sie über den Zahlen von 0 bis 25, also über Z 26. Die Rotoren sind zyklisch rückgekoppelte Schieberegister der Längen 17, 19, 20, 21 und 23. Da die Längen der Rotoren paarweise teilerfremd sind, ergibt sich eine Periodenlänge von = Ihre Ausgaben werden als die Binärdarstellung eines Index in eine Schlüsselliste aufgefasst. (Der Index in die Schlüsselliste ist 5 Bit lang, welche somit 32 Werte aus Z 26 enthält.) Von diesem so indizierten Wert wird der Klartext subtrahiert (Modulo 26). Die hier verwendete Subtraktion hat den Vorteil, dass das System selbstinvers ist. Der Schlüssel dieses Verfahrens, welches in Abbildung 2.2 zu sehen ist, wird von der Initialbelegung der Schieberegister und dem Inhalt der Schlüsselliste gebildet. Angriff Die Idee des Angriffs ist es nicht die exakten Einstellungen und somit den Schlüssel dieser Maschine zu ermitteln, sondern nur äquivalente Einstellungen zu finden, die es einem ermöglichen, Texte zu dechiffrieren. 1. Mithilfe von Klartext-Chiffrat-Paaren kann man den Schlüsselstrom erhalten, aber der Index bleibt unbekannt. 10

11 2. Schreibt man ein häufig vorkommendes Zeichen am Anfang der Schlüsselliste (s[0]), kann man z. B. die Nullerfolge als Index annehmen. Somit sind die Rotoren-Werte gleich Man sucht nun nach Rotorenstellungen, in der 4 von 5 Ausgabebits bekannt sind, vervollständigt das 5. Ausgabebit (sodass man einen neuen Index erhält) und ebenso die Schlüsselliste (indem man den Schlüssel-Buchstaben an der mometane Rotorenposition einfügt) 4. Schließlich wiederholt man den dritten Schritt bis alles vollständig ermittelt wurde. Rotor 1 Rotor 2 Rotor 3 Rotor 4 Rotor 5 Schlüsselliste s[0] s[1]. s[30] s[31] Index in die Schlüsselliste Klartext Chiffretext Abbildung 2.2: Struktur der Hagelin-Maschine 11

12 3 Einführung zu Blockchiffren & Konstruktionen 3.1 Definitionen Definition 3.1.1: (Blockchiffre): Gegeben seien zwei endliche Alphabete A, B und n, m N sowie ein Schlüsselraum K. Eine Blockchiffre ist gegeben durch eine Familie von injektiven Abbildungen f k : A n B m mit k K. In der Regel gilt A = B = {0, 1} und n = m (die f k sind dann zwangsläufig bijektiv). Blockchiffren sind meist Produktchiffren, d. h. mehrere Substitutionen (S-Boxen, von Shannon bezeichnet als confusion ) und Permutationen (P -Boxen, diffusion ) hintereinander, da wir wissen, dass einfache Substitutions- und Permutations-Chiffren nicht sicher sind. Bei einer Blockchiffre teilt man einen Klartext in Blöcke fester Länge ein und chiffriert diese einzeln mit einer für alle Blöcke gleichen Verschlüsselungsfunktion. Als sequentielle Chiffren oder Stromchiffren bezeichnet man Verschlüsselungsverfahren, bei denen die Folge von Klartextzeichen nacheinander mit einer in jedem Schritt variierenden Funktion verschlüsselt wird. Es wird also ein Klartext mit unabhängig davon erzeugten Schlüsselstrom (Zufall) verknüpft. Anforderungen Damit man auch effizient nutzbare und sichere Blockchiffren hat, müssen folgende Anforderungen gelten: Gegeben den Schlüssel k, muss sowohl f k als auch fk 1 effizient berechenbar sein. Ein Angreifer kann nicht unterscheiden zwischen einem Orakel O i (ideal), welches eine zufällige Injektion A n B m implementiert, und dem Orakel O r (real), welches die gegebene Blockchiffre mit zufälligem Schlüssel implementiert. Formal lässt sich dies über Wahrscheinlichkeiten definieren, wobei A O bedeutet, dass der Angreifer A Zugriff auf das Orakel O hat: P [A O i 0] P [A Or 0] = negligible( k ). Hierbei gilt zu beachten, dass A polynomial beschränkt ist und wenn man eine Funktion µ als negligible ( vernachlässigbar ) bezeichnet, bedeutet dies, dass die Funktion asymptotisch schneller verschwindet als jedes Polynom. Formaler ausgedrückt sagt man, dass eine Funktion µ negligible ist, sofern gilt: d N x 0 N x > x 0 : µ(x) < x d. 12

13 Achtung: Diese asymptotische Aussage betrifft keine konkrete Schlüssellänge. Man will das Problem eines Angriffs nämlich so allgemein wie möglich beschreiben, darum gibt es keine exakte Angabe eines Sicherheitsparameters (z. B. einer Schlüssellänge). Es muss nur gezeigt werden, dass der Aufwand für einen Angreifer im Vergleich zu dem Aufwand eines Nutzers in Abhängigkeit dieses Parameters viel schneller wächst. Sollte dann ein Sicherheitssystem gebrochen werden (z. B. aufgrund des technischen Fortschritts bei der Rechnerentwicklung, die ein schnelleres Durchsuchen des Schlüsselraums erlaubt), kann man einfach diesen Parameter vergrößern, um das System erneut abzusichern. Ideal Cipher Eine Ideal Cipher (IC) ist eine (Über-)Idealisierung einer Blockchiffre. Jedem Schlüssel k {0, 1} λ ist eine vollkommen zufällige Permutation P k : {0, 1} n {0, 1} n zugeordnet (hierbei sind λ und n Sicherheitsparameter) und per Orakelzugriff kann jede Maschine im Modell die Funktionen P k und Pk 1 auswerten. Die Existenz einer solchen IC wird zur Vereinfachung von Beweisen angenommen, man spricht dann von dem Ideal-Cipher- Modell. Achtung: Es gibt (pathologische) Protokolle, die zwar im idealisierten IC-Modell beweisbar sicher sind, jedoch alle Sicherheit verlieren, wenn man die IC durch einen öffentlich bekannten, volldeterministischen Algorithmus ersetzt. Der Unterschied zu Definition liegt darin, dass der Angreifer den Schlüssel kennt (bzw. ihn sogar wählt). 3.2 DES (Data Encryption Standard) Der Data Encryption Standard (DES) wurde von IBM mit Unterstützung der National Security Agency in den 70ern entworfen. Aufgrund seiner geringen Schlüssellänge von effektiv nur 56 Bit wird er als nicht mehr sicher angesehen. Im Jahre 1998 wurde DES durch einen $-Parallelrechner der Electronic Frontier Foundation (EFF) gebrochen, dieser durchsuchte einfach den gesamten Schlüsselraum in etwa neun Tagen. Allerdings gibt es trotz intensiver Forschungsarbeiten keinen wirklichen Angriff, der in der Praxis besser ist als das bloße Durchprobieren aller möglichen Schlüssel. Darum entwickelte man verbesserte Varianten von DES, die wir am Ende dieses Abschnitts vorstellen werden. Die Abbildung 3.1 zeigt den groben Aufbau von DES. Am Anfang findet eine Permutation satt und am Ende wird deren inverse Permutation ausgeführt, da diese Permutationen aber fest und bekannt sind, können sie für unsere weitere Betrachtung des DES entfallen. Es gilt auch, dass die Ver- und Entschlüsselung aufgrund der Konstruktionseigenschaft bis auf die (genau umgekehrte) Reihenfolge der verwendeten Teilschlüssel identisch sind. Um genauer auf den Aufbau des DES einzugehen, müssen wir erst erklären, was man unter einem Feistel-Netzwerk versteht. In [KL07] wird es beschrieben als eine alternative zur Verwendung einfacher Substitutionen und Permutationen zur Erstellung von Blockchiffren. Zwar werden diese meistens auch innerhalb eines Feistel-Netzwerkes genutzt, 13

14 Input 64 Bit Initiale Permutation 32 Bit 32 Bit L 0 k 1 F R 0 L 1. R 1 L 15 k 16 F R 15 Inverse Initiale Permutation Output Abbildung 3.1: DES Verschlüsselungsalgorithmus aber auf geschickte Weise miteinander verbunden, sodass für die Substitutionen nicht mehr gelten muss, dass sie invertierbar sind. Dies ist vorteilhaft, da die Invertierbarkeit zwangsläufig größere Struktur in das System bringt, wobei man aber von einer guten Blockchiffre eher ein unstrukturiertes (also zufällig aussehendes) Verhalten erwartet. Ein Feistel-Netzwerk besteht aus mehreren Runden, die gleich aufgebaut sind. In der i-ten Runde wird die Eingabe als aus zwei Hälften L i 1 (linke Hälfte) und R i 1 (rechte) bestehend betrachtet. Die linke Eingabehälfte für die nächste Runde, also L i, ist die rechte Hälfte der momentanen Runde, also R i 1. Auf L i 1 wird noch eine Funktion F (deren Eingabe ein Rundenschlüssel und R i 1 sind), aufaddiert, sodass man die neue rechte Hälfte R i erhält. Auf die genaue Zusammensetzung dieser F -Funktion werden wir nun eingehen. 14

15 F -Funktion Die F -Funktion F (R i 1, k i ) erhält als Eingabe R i 1, die rechte Hälfte des internen Zustands nach der i 1-ten Runde, und mit k i den Rundenschlüssel für die i-te Runde. Der Ablauf wird nun erläutert und ist ebenso in Abbildung 3.2 zu sehen. R i 1 (32 Bit) Erw. k i (48 Bit) (48 Bit) (6 Bit) (6 Bit) S 1... S 8 (4 Bit) (4 Bit) P F (R i 1, k i ) Abbildung 3.2: F -Funktion 1. Zuerst sorgt die Expansion Erw.(R i 1 ) dafür, dass die Eingabe von 32 auf 48 Bit erweitert wird. Mit R i 1 = (r 1,..., r 32 ) lässt sich diese Erweiterung beschreiben durch (r 32, r 1, r 2,... r 5, r 4, r 5, r 6,... r 9, r 8, r 9, r 10,... r 13, Erw.(R i 1 ) = r 12, r 13, r 14,... r 17, r 16, r 17, r 18,... r 21, r 20, r 21, r 22,... r 25, r 24, r 25, r 26,... r 29, r 28, r 29,... r 32, r 1 ). Eine grafische Repräsentation davon findet man in Abbildung Diese erweiterten 48 Bits werden mit dem i-ten Rundenschlüssel k i addiert, also erhält man Erw.(R i 1 ) k i. 3. Je 6 Bit davon werden zu einer der acht S-Boxen geführt (diese sind Tabellen und die Eingangsbits dienen der Indizierung), deren Ausgänge je 4 Bit liefern. Die 15

16 S-Boxen werden durch eine 4 16-Matrix beschrieben und jede Zeile stellt eine Substitution dar. Die Substitutionen sind nichtlinear und der kryptologisch wichtigste Teil. (Die 8 Boxen mit je 4 Substitutionen liefern insgesamt 32 verschiedene Substitutionen.) 4. Die Ausgabe der S-Boxen werden abschließend noch einer Permutation P unterworfen. r 1 r 2 r 3 r 4 r 5 r 6 r 7 r 8 r 9... r 32 r 1 r 2 r 3 r 4 r 5 r 4 r 5 r 6 r 7 r 8 r 9 r 8 r 9 Abbildung 3.3: Erweiterungsfunktion Erw.(R i 1 ) mit R i 1 = (r 1,..., r 32 ) Technische Daten und Ablauf Nach diesen Eingangsbemerkungen wollen wir nun die technischen Daten des DES genauer betrachten: Es wird eine Feistel-Struktur mit 16 Runden verwendet (dies ermöglicht z. B. die Ver- & Entschlüsselung mit der gleichen Hardware). Die Blocklänge des DES beträgt 64 Bit, d. h. dass man mit einer Eingabe von 64 Bit arbeitet, wobei diese intern als zwei 32-Bit-Blöcke verarbeitet werden. Der Schlüsselraum hat eine Größe von 56 Bit (zusätzlich ergänzen 8 Paritätsbits die acht 7-Bit-Zeichen eines Nachrichtenblocks auf ungerade Parität). Dies wurde bereits vor Inkrafttreten des Standards als zu kurz kritisiert. Die Rundenschlüssel k i sind je 48 Bit groß. Es wird eine Auswahlfunktion auf den 56-Bit-Hauptschlüssel angewendet, welche Permutationen, zirkuläre Linksshifts und Bit-Auswahlen (Selects) beinhaltet und gut umkehrbar ist. Der Ablauf, auf den zuvor schon lose eingegangen wurde, soll hier zusammenhängend und kompakt dargestellt werden: 1. Es erfolgt zuerst eine initiale Permutation auf der in Blöcken eingeteilten Eingabe. 2. Anschließend gibt es 16 Runden mit verschiedenen Rundenschlüsseln, wobei die Runden funktional identisch sind: L i = R i 1, R i = L i 1 F (R i 1, k i ). Mit L i und R i bezeichnet man wie bereits erwähnt die linken bzw. rechten Texthälften während den Verschlüsselungschritten und dies wird in Abbildung 3.1 auch genauer erkennbar. 16

17 3. Abschließend findet die inverse Permutation zur initial ausgeführten statt. Entwurfskriterien Die Entwurfskriterien wurden erst nachträglich veröffentlicht, sodass es Befürchtungen gab, die NSA hätte Hintertüren in die Verschlüsselung eingebaut. Heute kann man allerdings sagen, dass diese Befürchtungen (in diesem Fall) unbegründet waren. Die Kriterien lauten: Keine S-Box ist eine lineare oder eine affine Funktion ihrer Eingabe. Die Änderung eines Eingabebits einer S-Box bewirkt eine Änderung von wenigstens zwei Ergebnisbits. Die S-Boxen sind so gewählt, dass das Hamming-Gewicht des S-Box-Ergebnisses möglichst konstant bleibt, wenn irgendein Eingabebit konstant gehalten wird. Variationen Der DES ist bis heute strukturell ungebrochen, aber brute force ist, wie eingangs erwähnt, aufgrund des zu kleinen Schlüsselraums möglich. Um diesem Problem des zu kleinen Schlüsselraums zu begegnen, wäre die naive Idee einfach einen größeren Schlüssel zu nehmen, allerdings würde dies gegen den Standard verstoßen und DES ist bereits in vielen Hardware-Implementationen mit fester Schlüssellänge vorzufinden. Man kann aber, wenn man den Schlüssel schon nicht vergrößern kann, einfach mehrere Schlüssel nehmen, indem man den DES z. B. verschachtelt ausführt. Diese nachfolgenden Varianten, die alle mehr Schlüssel bieten als der ursprüngliche DES und damit den Schlüsselraum signifikant vergrößern, sind alle praxistauglich und gelten als sicher: Triple DES Beim Triple DES verschlüsselt man den Klartext m zuerst normal mit DES mit einem Schlüssel k 1, anschließend entschlüsselt man dieses so erzeugte Chiffrat mit einem Schlüssel k 2 und verschlüsselt das Ergebnis davon mit einem Schlüssel k 3, um das Triple-DES-Chiffrat c zu erhalten. Etwas formaler ausgedrückt: C = DES k1 (DES 1 k 2 (DES k3 (m))) Die Entschlüsselung in der Mitte scheint ein wenig seltsam und hat nichts mit Sicherheit zu tun, es ist eine praktische Überlegung. Sind nämlich alle drei Schlüssel gleich, erhält man die normale DES-Verschlüsselung. 2-Key-3DES Der 2-Key-3DES ist im Grunde der Triple-DES, allerdings gilt k 1 = k 3. Außerdem ist der 2-Key-3DES in der Theorie nicht so sicher wie der Triple-DES. Einen Angriff auf den 2-Key-3DES werden wir im Abschnitt 4.2 betrachten. DES-X Beim DES-X wird nicht nur ein Schlüssel k zum Betrieb des DES verwendet, sondern auch zwei Schlüssel k x, k y direkt auf den Klartext bzw. das DES-Chiffrat addiert, um somit das DES-X-Chiffrat c zu erzeugen. Diese zusätzliche Addition mit Schlüsseln wird auch als key whitening bezeichnet und soll die Struktur des Klartextes zusätzlich verschleiern. Das Chiffrat lässt sich also beschreiben per: c = DES k (m k x ) k y. 17

18 Einen theoretischen Angriff auf DES-X werden wir im Abschnitt 4.4 betrachten. Frugal DES-X Der Frugal DES-X ist eine Vereinfachung von DES-X, es gilt nämlich für die verwendeten Schlüssel k x = k y. 18

19 4 Meet-in-the-Middle, Slide-Attack & Related-Key-Attack Bei der generellen Angriffsstrategie gegen rundenweise Blockchiffren versucht man, Zwischenergebnisse zu berechnen bzw. zu approximieren, um damit einzelne Rundenschlüssel anzugreifen. Dies kann auf verschiedene Weisen erfolgen, so versucht man z. B. in gewisser Form beim Meet-in-the-Middle-Ansatz ein großes Problem (ein zu großer Schlüsselraum) in mehrere kleinere zu zerlegen. Man kann aber auch die Selbstgleichheit von Verschlüsselungsrunden ausnutzen, wie dies bei den Slide-Attacks geschieht oder einen einfachen, sich wiederholenden Aufbau einer Runden- bzw. Teilschlüsselgenerierung als Ansatzpunkt wählen, wie dies bei den Related-Key-Attacks der Fall ist. 4.1 Meet-in-the-Middle gegen 2DES Bei einem Meet-in-the-Middle-Angriff versucht man Zwischenergebnisse beim Verschlüsseln (Vorwärtsschritt) und Entschlüsseln (Rückwärtsschritt) zu finden, die gleich sind. Für die einzelnen Schritte probiert man einfach alle möglichen Schlüssel durch (brute force). Findet man ein passendes Zwischenergebnis, hat man sich also in der Mitte getroffen, ist es sehr wahrscheinlich, dass die per Ausprobieren gefundenen Schlüssel für die einzelnen Schritte zusammen den gesuchten Schlüssel ergeben. Dies wollen wir nun ausführlicher am 2DES demonstrieren. Das Chiffrat bei 2DES ergibt sich zu c = DES k2 (DES k1 (m)) und die Struktur der Verschlüsselung ist in Abbildung 4.1 zu sehen. Es wird einfach die DES-Verschlüsselung zwei Mal mit unterschiedlichen Schlüsseln auf den Klartext bzw. das Zwischenergebnis ausgeführt. k 1 k 2 m E 1 E 2 c Abbildung 4.1: 2DES Würden wir nun die Zwischenergebnisse (nach E 1 ) kennen, könnten wir die Schlüssel einzeln per brute force herausfinden. Auf diese Weise wollen wir nun, wie zuvor beschrieben, die Verschlüsselung brechen. 19

20 Vorgehen (Known-Plaintext-Attack) Mit den bekannten Klartext-Chiffrat-Paaren m 1, c 1 und m 2, c 2 kann man nun einen Angriff ausführen. Zuerst berechnet man mit einem beliebig gewählten Schlüssel ausgehend von den bekannten Klartexten m 1, m 2 mögliche Zwischenchhiffrate, führt also nur eine einfache DES-Verschlüsselung aus. Anschließend führt man mit einem anderen Schlüssel eine Entschlüsselung der bekannten Chiffrate c 1, c 2 durch. Sollten die bei Ver- und Entschlüsselung erhaltenen Zwischenwerte identisch sein, hat man sich in der Mitte getroffen, also die korrekten Schlüssel verwendet. Dabei benötigte man jedes Mal nur einen Aufwand in der Größe eines einzelnen Schlüssels und nicht der Summe ihrer Größe; man hat den Aufwand also halbiert. Man kann den Angriff algorithmisch in drei Schritten beschreiben: 1. Vorwärtsschritt: Für alle k = 0,..., tabelliere [DES k (m 1 ), DES k (m 2 ), k] 2. Sortierschritt: Sortiere die Tabelle lexikographisch. 3. Rückwärtsschritt: Für alle k = 0,..., berechne Aufwand DES 1 k (c 1), DES 1 k (c 2) und suche nach Treffern in der sortierten Tabelle per binärer Suche. Es werden nur zwei Klartext-Chiffrat-Paare benötigt aber als Speicher benötigt man ungefähr 2 60 Byte, also Exabyte, schnellen Speicher. Das Sortieren über Festplatten- Zugriffszeiten wäre viel zu langsam. Der Aufwand für die einzelnen Schritte lautet: Vorwärtsschritt: DES-Operationen. Sortierschritt: Vergleiche. Rückwärtsschritt: DES-Operationen (nur 2 55, da man nach der Hälfte ungefähr fertig ist), plus (Tabellen-)Vergleiche. Eine Variante des Angriffs kommt mit weniger Speicher aus, aber das Produkt aus Laufzeit und Speicher ist im Wesentlichen konstant. Lässt man z. B. das letzte Byte in der Tabelle weg, wird diese kleiner, man hat aber mehr falsche Treffer (false positive), die man genau nachprüfen muss. 4.2 Advanced Meet-in-the-Middle gegen 2Key-3DES Der DES, welcher ja schon früh für seine geringe Schlüssellänge kritisiert wurde, sollte durch die Verwendung von zwei- bzw. sogar dreifacher Verschlüsselung sicherer gemacht werden. Allerdings wurde in [MH81] bemerkt, dass dieser Zuwachs an Sicherheit nicht unbedingt so groß wie erhofft ist und es wurde auch gleich ein Angriff auf den 2Key-3DES vorgestellt. Mit einer dreifachen Ausführung des DES kann man nun keine Zwischenwerte 20

21 mehr direkt berechnen und vergleichen. Zur Erinnerung: Bei 2Key-3DES lässt sich die Verschlüsselung eines Klartextes m darstellen als oder über Zwischenwerte Z 1, Z 2 als c = DES k1 (DES 1 k 2 (DES k1 (m))) Z 1 = DES k1 (m), Z 2 = DES 1 k 2 (Z 1 ), c = DES k1 (Z 2 ). Wäre der erste Zwischenwert Z 1 bekannt, könnte man den 2Key-3DES wie den 2DES angreifen. Wie kommt man aber zu diesem Zwischenwert? Man wählt ihn einfach selbst. Setzt man z. B. Z 1 = 0 und berechnet für alle möglichen Schlüssel k nun DES 1 k (0), erhält man alle möglichen Klartexte m k, deren erster Zwischenwert eben null wäre. Wählt man als Angriffsart eine Chosen-Plaintext-Attack, kann man sich diese selbst erstellten Klartexte zu den passenden Chiffraten c k verschlüsseln lassen. Die Menge aller Klartexte m k kann man auch als die Menge aller zweiten Zwischenwerte Z 2 auffassen, da für diese die gleiche Berechnung, die DES-Entschlüsselung, durchgeführt wird. Man rechnet die Chiffrate c i nun zu den zweiten Zwischenwerten Z 2 zurück per DES 1 i (c i ). Findet man einen Wert, der mit einem Klartext m j übereinstimmt, lauten die Schlüssel k 1 = i, k 2 = j. Mit k 1 = i hat man nämlich sowohl den Klartext aus dem selbst gewählten ersten Zwischenwert Z 1 als auch den zweiten Zwischenwert Z 2 aus dem erfragten Chiffrat errechnet und da die Menge der Klartexte auch die Menge der zweiten Zwischenwerte darstellt, liefert ein übereinstimmendes m j den zweiten Schlüssel k 2 = j. Diesen Angriff wollen wir nun etwas formaler festhalten. Vorgehen (Chosen-Plaintext-Attack) Als erster Zwischenwert wird gewählt. Der Angriffsablauf, mitsamt einigen im Folgenden verwendeten Bezeichnungen, ist in Abbildung 4.2 visualisiert. m P j = B i c k DES DES 1 DES c k 1 k 2 k 1 Abbildung 4.2: Advanced Meet-in-the-Middle bei 2Key-3DES 1. Für alle möglichen Schlüssel k: Tabelliere P k := DES 1 k (0... 0) samt verwendetem Schlüssel und einer Markierung Mitte, also (P k, k, Mitte). (Dies liefert sowohl alle zweiten Zwischenwert als auch alle Klartexte, die zu dem ersten Zwischenwert führen.) 21

22 2. Für alle k: Erfrage Chiffrate c k zu P k. 3. Für alle k: Tabelliere mit B k := DES 1 k (c k). (B k, k, Ende) 4. Verbinde die beiden Tabellen und sortiere diese gemeinsame Liste nach dem ersten Feld. Nun suche zwei aufeinanderfolgende identische Einträge im ersten Feld, also B i = P j aus (B i, i, Ende) und (P j, j, Mitte). Damit hat man einen Schlüsselkandidat der Form k 1 = i, k 2 = j gefunden. (Die Markierungen Mitte bzw. Ende lassen einen hierbei wissen, welcher der gefundenen Werte i, j der erste bzw. zweite Schlüssel ist, was man natürlich ohne Markierungen einfach testen könnte). 5. Teste den Schlüsselkandidat an einigen Klartext-Chiffrat-Paaren. Aufwand Dieser Angriff benötigt ungefähr 2 56 Verschlüsselungsanfragen und hat ansonsten folgenden Ressourcenaufwand: Rechenaufwand: DES-Operationen Sortier-Aufwand Speicherbedarf: 2 60 Byte Eine Variante per Known-Plaintext-Attack Bei einer anderen Form dieses Angriffs werden in [OW06] zufällige Werte für den Zwischenwert Z 1 durchprobiert (anstatt nur Z 1 = wie zuvor zu betrachten), bis man eine passende Wahl für Z 1 getroffen hat: 1. Die als gegeben angenommenen n Klartext-Chiffrat-Paare (m i, c i ) werden in einer Tabelle gespeichert, sortiert bzw. gehasht nach dem Klartext. 2. Wähle ein zufälliges Z 1. Für alle möglichen Schlüssel k 1 : a) Berechne m = DES 1 k 1 (Z 1 ). b) Suche ein zu m passendes m i in der Tabelle, falls dies vorhanden sein sollte, berechne B i = DES 1 k 1 (c i ) und tabelliere den Zwischenwert B i und Schlüsselkandidat k 1 in einer zweiten Tabelle. 3. Für alle k 2 : a) Berechne P j = DES 1 k 2 (Z 1 ) b) Suche nach einem zu P j passenden B i in der zweiten Tabelle. Falls dies vorhanden sein sollte, sind die in den Tabellen gespeicherten k 1, k 2 Schlüsselkandidaten. 4. Teste die Schlüsselkandidaten mithilfe der Klartext-Chiffrate-Paare auf Korrektheit. Sollte keiner gefunden werden, gehe zu Schritt 2. 22

23 Der Aufwand lautet dann bei n Klartext-Chiffrat-Paaren: Rechenaufwand: (2 56 ) (2 64 /n) = /n [= log n ], also die Anzahl aller Schlüsselkombinationen mal der wahrscheinlichen Anzahl an zu probierenden Werten für Z 1 bis man einen Treffer erhalten sollte. Speicherbedarf: n 4.3 Slide-Attack Bruce Schneier bemerkte: Except in a few degenerate cases, an algorithm can be made arbitrarily secure by adding more rounds. Und einen solchen simplen, etwas degenerierten Algorithmus wollen wir nun einführend analog zu [BW00] betrachten und daran die Idee des Slide-Angriffs erklären. Ist nämlich ein solcher Angriff möglich, kann man die Chiffre interessanterweise nicht wieder durch das bloße Hinzufügen von mehr Runden sicher machen. Man nutzt nämlich die Selbstähnlichkeit einer Chiffre aus und vergleicht diese mit sich selbst bei vorangeschrittener Bearbeitung (also z. B. um eine Runde versetzt). Gegeben sei eine Chiffre wie sie in Abbildung 4.3 zu sehen ist, bei der die gleiche Funktion mehrfach hintereinander mit gleichem Schlüssel auf dem Klartext ausgeführt wird. Hierbei wird angenommen, dass eine Key-Recovery gegen f praktikabel ist (d. h. um den Schlüssel k zu berechnen gilt, dass der Aufwand dafür um einiges kleiner als 2 k ist). k k k m f f... f c Abbildung 4.3: Verschlüsselung mit gleichbleibender Funktion f und Schlüssel k Idee/Ziel Man sucht ein slid pair, welches so heißt, da man im Bearbeitungspfad eine Stelle nach rechts gerutscht ist. Dieses slid pair lautet: (m, c), (m, c ) mit m = f k (m), c = f k (c). Die Verschlüsselung von m zu c unterscheidet sich also von der Verschlüsselung von m zu c nur dadurch, dass letzteres ein Mal mehr unter dem gleichen Schlüssel bearbeitet wird, also schon eine Runde weiter ist. Vorgehen 1. Für je zwei Klartext-Chiffrat-Paare (m, c), (m, c ) berechne einen Schlüssel k, sodass m = f k (m) gilt und teste, ob c = f k (c) gilt. 23

24 2. Falls ja, wurde ein guter Kandidat gefunden (es könnte ja sein, dass ein Schlüssel nur gerade für dieses Paar geklappt hat). Man testet nun, ob es ein false positive ist, indem man den Schlüssel an anderen Paaren testet. Aufwand Bevor wir den Aufwand genauer besprechen, ist es hilfreich das Geburtstags-Paradoxon zu erklären. Dieses besagt, dass die Wahrscheinlichkeit p, in einer Gruppe von n Personen mindestens zwei zu finden, die den gleichen Geburtstag haben, überraschend hoch ist. Es gibt ja auch immerhin n(n 1)/2 mögliche Paare zu betrachten. Um das Paradoxon besser zu verstehen, betrachten wir erstmal die Gegenwahrscheinlichkeit dazu. Diese lautet 1 p = n 365, da die Wahrscheinlichkeit, dass die erste untersuchte Person mit den bisherigen untersuchten keinen Geburtstag teilt 1 = ist und die Wahrscheinlichkeit, dass die zweite untersuchte Person keinen Geburtstag mit den bisher untersuchten teilt, dementsprechend um einen Tag verringert ist, etc. Für n = 23 Personen gilt schließlich p 1/2. In [KL07] Appendix A.4 wird diese Wahrscheinlichkeit p verallgemeinert, indem man q Elemente aus einer Menge von N betrachtet: Lemma (Untere Grenze für p): Wählt man q Elemente y i,..., y q aus einer Menge der Größe N (mit N fest gewählt) uniform, unabhängig und zufällig aus, dann gilt für die Wahrscheinlichkeit p, dass es von einander verschiedene i, j mit y i = y j gibt, folgendes: p q2 2N. Lemma (Obere Grenze für p): Wählt man q 2N Elemente y i,..., y q aus einer Menge der Größe N (mit N fest gewählt) uniform, unabhängig und zufällig aus, dann gilt für die Wahrscheinlichkeit p, dass es von einander verschiedene i, j mit y i = y j gibt, folgendes: q(q 1) p 4N. Betrachtet und analysiert man diese beiden oberen und unteren Grenzen zusammen, zeigen diese, dass für q N, die Wahrscheinlichkeit für eine Kollision Θ(q 2 /N) lautet. Alternativ kann man sagen, dass für q = Θ( N) die Wahrscheinlichkeit für eine Kollision konstant ist. Mit diesem Vorwissen, können wir nun den Aufwand besprechen: Es sind nach dem Geburtstags-Paradoxen bei einer Blocklänge von n Bit höchstens ungefähr 2 n/2 Klartext-Chiffrat-Paare nötig. Oft reichen aber auch schon weniger Paare, da man z. B. bei einer Feistel-Chiffre mit immer demselben Rundenschlüssel zu einer Nachricht m = (L, R) ein passendes m = (R, f k (R) L) suchen kann und der Aufwand nun nur noch ungefähr 2 n/4 beträgt, da die halbe Nachricht fest ist (so kann man z. B. entweder L oder R auf null setzen). 24

25 4.4 Advanced Slide-Attack gegen DES-X In [BW00] wird ein fortgeschrittener Angriff mit der Slide-Methode vorgestellt, welcher im Folgenden genauer erklärt wird. Im Grunde gilt, dass bei einer Feistel-Chiffre das Verschlüsseln wie das Entschlüsseln abläuft, nur dass man die Rundenschlüssel in genau umkehrter Reihenfolge verwenden muss. Bei z. B. einer Feistel-Chiffren mit den Rundenschlüsseln k 0, k 1 (die jeweils abwechselnd verwendet werden für die verschiedenen Runden, beginnend mit k 0 ) ist das Verschlüsseln mit k 0, k 1 sehr ähnlich zu dem Verschlüsseln mit k 1, k 0 : Die Vorgänge sind nur um eine Runde verschoben. Dadurch kann man einen erweiterten Slide-Angriff ausführen, indem man den Verschlüsselungsvorgang um eine Runde gegen einen Entschlüsselungsvorgang verrutscht betrachtet. Diese Gegenüberstellung von Ver- und Entschlüsselung wird in [BW00] als twist bezeichnet. Das Chiffrat bei DES-X lässt sich wie zuvor beschrieben darstellen als c = DES k (m k x ) k y und der Klartext somit als m = DES 1 k (c k y) k x. Idee/Ziel Man versucht slid pairs (m, c), (m, c ) zu finden, die die Eigenschaft c c = k y erfüllen. Dadurch erhalten wir eine Gegenüberstellung der Ver- und der Entschlüsselung beim DES-X, wie sie in Abbildung 4.4 veranschaulicht wird. Für jedes slid pair gilt: m = k x DES 1 k (c k y) = k x DES 1 k (c ) m = k x DES 1 k (c k y ) = k x DES 1 k (c). Daraus ergibt sich folgendes Suchkriterium für slid pairs: Vorgehen (Known-Plaintext-Attack) m DES 1 k (c) = m DES 1 k (c ). Mithilfe dieses Suchkriteriums und einer Menge von Klartext-Chiffrat-Paare (m, c), muss man folgendes für alle Schlüssel k durchführen: 1. Suche (m, c), (m, c ), sodass m DES 1 k (c) = m DES 1 k (c ): Sortiere die gegebenen Paare (m, c) nach dem Wert H(m DES 1 k (c)), wobei H eine Hashfunktion ist. (Man kann diesen Hashwert als einen Index in ein Array ansehen, der einem angibt, wohin man das zugehörige Nachrichten-Chiffrat-Paar speichern muss.) Passende Paare ergeben nun eine Kollision. 2. Falls eine Kollision und somit ein slid pair gefunden wurde, setze k y = c c und k x = m DES 1 k (c k y). Anschließend teste den Schlüssel (k, k x, k y ) auf verschiedenen Paaren auf Korrektheit. Aufwand Es werden ungefähr 2 64/2 Klartext-Chiffrat-Paare benötigt (hierbei entsprechen die 64 Bit natürlich der DES-Blocklänge). Der im Folgenden erläuterte Aufwand beträgt insgesamt viel weniger als ein Angriff per brute force und das zuvor beschriebene Vorgehen ist darüber hinaus auch noch parallelisierbar. 25

26 m k x k E c c k y k D c c k x m Abbildung 4.4: DES-X: Sliding with a twist Je Schlüsselkandidat benötigt man 2 32 DES-Operationen (also für alle Paare) plus 2 32 Sortieraufwand (normalerweise n log(n), aber für uns sind ja nur die Kollisionen wichtig). Gesamt ergibt dies 2 88 (= , wobei die 2 56 für brute force gegen den Schlüssel und die 2 32 für die Sortierung aufgewendet werden). 4.5 Related-Key-Attack am Beispiel LOKI89 Ein Related-Key-Attack ist eine Angriffstechnik gegen Chiffren mit einer Rundenschlüsselfunktion, d. h. einer Funktion, die aus dem eigentlichen (Haupt-)Schlüssel für jede Runde einen Teilschlüssel erstellt, die als schwach bezeichnet werden kann. Die Praxisrelevanz dieser Angriffsform zeigt sich daran, dass damit Wired Equivalent Privacy (WEP), welches zur Verschlüsselung von WLANs verwendet wurde, gebrochen werden konnte. In [Bih94] wird ein Angriff auf das Verschlüsselungsverfahren LOKI89 vorgestellt. Die Idee ist die Nutzung von Selbstähnlichkeiten im Schaltbild. Aus dem Rundenschlüssel der vorherigen Runde wird auf immer gleiche Weise (per Shift und Hälften-Vertauschung) ein neuer erstellt. Gegeben einen Schlüssel, kann man alle Rundenschlüssel eine Runde zurückdrehen und erhält neue, gültige Rundenschlüssel, die aus einem anderen Schlüssel abgeleitet werden können (related keys). Dies wird in Abbildung 4.5 veranschaulicht; hierbei vertauscht die Funktion swap die linke mit der rechten Hälfte der Eingabe und ROL 12 führt eine Bitrotation um 12 Positionen nach links durch. 26

27 m = (m l, m r ) k = (k l, k r ) m l k l F ROL 12 m k k 1 k l k r u F v k 2 ROL 12 u F v k 1 = k 2... k 16 k 15 = k 16 x F y ROL 12 x F y swap(k) k 16 c F c swap(k ) Abbildung 4.5: LOKI89 mit Rundenschlüsseln (links) und eine Runde versetzt (rechts) LOKI89 verwendet eine Schlüssellänge von 64 Bit und eine Blocklänge von 64 Bit. Die ersten beiden Rundenschlüssel ergeben sich aus dem Hauptschlüssel k = (k l, k r ) per (k 1, k 2 ) = (k l, k r ). Die restlichen Rundenschlüssel der Runden 3 bis 16 erhält man für die i-te Runde folgendermaßen: k i = ROL 12 (k i 2 ). Alle gerade Runden haben Rundenschlüssel, die sich Bits teilen (bzw. eine gemeinsame Vergangenheit haben), ebenso alle ungeraden. 27

28 Für ein slid pair bei LOKI89 gelten folgende Gleichungen (wobei die farbigen Kreise u, v, x, y Verweise auf die Abbildung 4.5 sind). Der Schlüssel k wird, wenn man ihn nach einer Runde der Rundenfunktion betrachtet, zu folgendem Wert: k = (k r, ROL 12 (k l )) (4.1) Die linke und rechte Hälften des Klartextes sind nach einer Runden mit Schlüssel k identisch zu denen nach der initialen Schlüsseladdition mit Schlüssel k (also vor der ersten Runde), nämlich: m k = (m r k } {{ r, m } l k l F (m r k r k l ) } {{ } u v (4.2) Analog gilt diese Beziehung bezüglich der Chiffrate: c swap(k ) = (c r k } {{ } l F (c l k r k l ), c l k r )) (4.3) } {{ } y x Vorgehen ( Chosen Key Chosen Plaintext -Attack) Die simple, selbstähnliche Rundenschlüsselfunktion ermöglicht einen Angriff über die Beziehung von Rundenschlüsseln mithilfe der zuvor vorgestellen Gleichungen. Es gilt zu bemerken, dass bei einer Chosen-Key-Attack die Relationen zwischen unbekannten Schlüsseln und nicht die Schlüssel selbst gewählt werden; letzteres wäre natürlich trivial. 1. Wähle k = (k r, ROL 12 (k l )). k entspricht also k um eine Runde weitergeschaltet. 2. Wähle 2 16 zufällige Klartexte m mit gleicher rechter Hälfte (m = (, m)). Wähle 2 16 zufällige Klartexte m mit derselben linken Hälfte (m = (m, )). (Es reichen 2 16, da man die Hälfte des Klartextblocks gleich lässt (64/2 = 32) und noch das Geburtstagsparadoxon verwendet (32/2 = 16).) 3. Erfrage 2 16 Chiffrate c = Enc k (m) und analog c = Enc k (m ). 4. Suche m, m, sodass c l = c r gilt. Dies ist eine notwendige Voraussetzung für ein slid pair nach (4.3). 5. Suche k r k l, sodass m r c l = m l F (m r k r k l ) c r F (c l k r k l ). Mit den Gleichungen (4.1), (4.2) und (4.3) erhält man eine Verbindung von den zwei Klartexten und Chiffraten des slid pairs. Addiert man diese wie oben, ist die einzige Unbekannte k r k l. 6. Berechne k = (k l, k r ) mittels eines LGS durch (4.1), (4.2) 28

29 Aufwand Das Geburtstagsparadoxon besagt, dass mit einer signifikante Wahrscheinlichkeit ein slid pair existiert und die Wahrscheinlichkeit für ein false positive in Schritt 4 beträgt jeweils ungefähr 1/2 32. Weitere Aufwände sind: 2 17 Verschlüsselungsanfragen (Schritt 3) 2 16 für Suche nach slid pair (Schritt 4) 2 32 für Bestimmung von k r k l. (Dies wäre schneller mittels einer Differenz- Tabelle für F durchführbar, wie wir sie im Abschnitt 6 kennen lernen werden.) 29

30 5 Lineare Kryptoanalyse Bei der linearen Kryptoanalyse wird versucht, lineare Abhängigkeiten innerhalb des Verschlüsselungssystems zu finden bzw. Annäherungen daran, die vielleicht sogar nur mit einer gewissen Wahrscheinlichkeit gelten. Diese Abhängigkeiten bzw. Approximationen werden wir im Folgenden als lineare Approximation bezeichnen. Zuerst werden dazu statistische lineare Beziehungen zwischen den Eingabe- und Ausgabebits der inneren Funktionen aufgestellt, z. B. jeder S-Box. Diese Beziehungen werden kombiniert und auf den gesamten Algorithmus ausgeweitet, um eine lineare Approximation des gesamten Algorithmus ohne Zwischenwerte zu erhalten. 5.1 FEAL-4 Aufgrund der Bedenken bezüglich der Sicherheit von DES kam es zur Entwicklung verschiedener alternativer Kryptosysteme, welche den DES in Sicherheit und Geschwindigkeit übertreffen sollten. Eine dieser Entwicklungen ist der Fast Encryption Algorithmus (FEAL), welcher von den Japanern A. Shimizu und S. Miyaguchi bei dem japanischen Unternehmen NTT entwickelt wurde und in seiner ersten Fassung vier Verschlüsselungsrunden verwendet, warum man ihn auch FEAL-4 nennt. Zwar ist FEAL-4 wirklich schneller als der DES, allerdings wurde schon im gleichen Jahr, in dem der Algorithmus bei der EUROCRYPT 87 öffentlich vorgestellt wurde, ein starker Angriff veröffentlicht. Wir wollen uns nun der Beschreibung des Aufbaus von FEAL-4 widmen. Abbildung 5.1 zeigt den Aufbau von FEAL-4, welcher wie DES eine Feistel-Struktur aufweist, und 5.2 zeigt die F -Funktion, welche in jeder der vier Runden aufgerufen wird. Dabei verschieben die darin befindlichen S-Boxen S 0, S 1 die zusammenaddierten Eingaben zyklisch um zwei Bits nach links, genauer: S i (A, B) = ROL 2 (A + B + i mod 256). Der 64-Bit-Schlüssel wird zu 4 Rundenschlüsseln mit jeweils 16 Bit umgewandelt, mithilfe von XOR- und Vertauschungsoperationen. Bezüglich der F -Funktion konnte man sehr starke Abhängigkeiten zwischen den Ein- und Ausgabebits herstellen: Eine lineare Charakteristik gibt dabei an, dass die Parität einer bestimmten Menge von Eingabebits und Ausgabebits mit einer bestimmten Wahrscheinlichkeit gerade ist. Bei S 0 (A, B) ist die Parität der Eingabebits A[0], B[0] (hierbei gibt A[0] das erste Byte von A an) und des Ausgabebits S[2] immer gerade, bei S 1 dementsprechend ungerade. Hiermit kann 30