Der Advanced Encryption Standard (AES) und seine mathematischen Grundlagen Eine Einführung für Nichtmathematiker, Teil 1

Transkript

1 Informatik > Der Advanced Encryption Standard (AES) WissenHeute Jg. 59 3/2006 Der Advanced Encryption Standard (AES) und seine mathematischen Grundlagen Eine Einführung für Nichtmathematiker, Teil 1 In Computernetzen werden große Datenmengen auf einem Server gespeichert, auf den viele Nutzer Zugriff haben. Netzwerkbetriebssysteme schützen den Zugang zum Netz und zu den Daten beispielsweise durch die Vergabe von Benutzerkennungen und Passwörtern. Darüber hinaus wird ein Zugriffsschutz bei der Datenübertragung durch wirksame Verschlüsselungsverfahren gewährleistet, so dass chiffrierte Daten von Außenstehenden nicht verstanden werden können und somit vertraulich bleiben. Die Kryptographie ist ein sehr lebendiges Forschungsgebiet, in dem immer wieder neue Verschlüsselungsalgorithmen entworfen werden müssen, um den immer kürzer werdenden Innovationszyklen in der Informations- und Telekommunikationstechnik folgen zu können. Als ein neuer Verschlüsselungsstandard hat sich der AES weltweit durchgesetzt und wird beispielsweise in WirelessLans eingesetzt. Der nachfolgende Beitrag knüpft an die Artikel Grundlagen der Kryptographie Teile 1 bis 3 in WissenHeute Nr. 10, 11 und 12/2004 an. Der Autor Dr. Walter Eigenstetter arbeitet als Solution Architect bei T-Systems im Bereich Open Source/ Linux und Security in München. 1 Ausgangslage Im September 1997 startete die amerikanische Normierungsbehörde National Institute of Standards and Technology (NIST) einen öffentlichen Wettbewerb für einen Advanced Encryption Standard (AES). Dieser sollte einem symmetrischen Algorithmus gehorchen, lizenzfrei und jeder Person zugänglich sein. Weitere Vorgaben an den Algorithmus waren: Er sollte auf mindestens 128 Bits großen Blöcken operieren, einen Schlüssel der Länge von 128 Bits, 192 Bits und 256 Bits unterstützen und sowohl Hard- als auch Software-Implementierung sollten mit ihm leicht umsetzbar sein (Woraus sich auch die Forderung nach nicht zu großem Speicherbedarf beispielsweise wegen Smart Cards 1 ergab.) Eingabeschluss war ein Jahr später. Es gingen die in der Tabelle in alphabetischer Reihenfolge aufgeführten Vorschläge ein. 1 Scheckkartengroße Kunststoffkarte mit Prozessor. 146

2 WissenHeute Jg. 59 3/2006 Das Thema im Überblick Der AES ist ein von den belgischen Kryptologen Vincent Rijmen und Joan Daemen entwickeltes symmetrisches Block-Verschlüsselungsverfahren mit einer Schlüssellänge von 128 Bits, 192 Bits oder 256 Bits. Jeder Block wird zunächst in eine Tabelle mit vier Zeilen geschrieben, dessen Zelle ein Byte groß ist. Die Anzahl der Spalten variiert je nach Blocklänge. Die Blöcke werden nacheinander einer bestimmten Transformation unterzogen. Die Anzahl dieser Runden ist von der Schlüssel- und Blocklänge abhängig. Bild 1 Struktur des AES-Algorithmus (10 Runden) Klartext (128 Bits) + ByteSub Rundenschlüssel k 0 (128 Bits) Anmerkung 1. Die Länderbezeichnungen zeigen, aus welchem Land die Architekten des jeweiligen Vorschlags kamen. Es bedeutet nicht unbedingt, dass hier Vertreter des Geheimdienstes oder des Militärs des jeweiligen Landes beteiligt waren. 2. Der Vorschlag mit Namen Magenta stammte von Mitarbeitern der Deutschen Telekom. Nach etlichen gedanklichen kryptoanalytischen Angriffen, mathematischen Betrachtungen und Diskussionen blieben ein Jahr später die folgenden Finalisten übrig: Mars von Mitarbeitern der IBM RC6 von Ron Rivest und anderen der RSA Labratories Rijndael von den Belgiern John Daemen und Vincent Rijmen Tabelle Eingereichte Algorithmen Name Land CAST-256 Kanada Crypton Südkorea DEAL Kanada, Norwegen DFC Frankreich E2 Japan Frog Costa Rica HPC USA Loki97 Australien Magenta Deutschland Mars USA RC6 USA Rijndael Belgien Safer+ USA Serpent Norwegen, Israel, Großbritannien Twofish USA Serpent von Ross Anderson, Eli Biham und Lars Knudsen Twofish von Bruce Schneier, John Kelsey, Dough Whiting, Dave Wagner, Chris Hall und Niels Ferguson Die hier genannten Personen gehören zu den bekanntesten Kryptologen. Schließlich entschied man sich unter Berücksichtigung der oben genannten Kriterien für Rijndael als AES. (Zuletzt hing die Entscheidung zwischen Twofish und Rijndael.) 2 Das vielleicht Bemerkenswerteste an AES ist seine Offenheit. Es gab über 20 Vorschläge für AES; die Kryptoanalysen wurden veröffentlicht. Damit dürften insbesondere auch mögliche Hintertürchen von Geheimdiensten, insbesondere der National Security Agency (NSA), ausgeschlossen sein. (Dieser Verdacht konnte ja beim Data Encryption Standard (DES) nie ausgeräumt werden. Unter anderem hatte beim DES die NSA dahingehend Einfluss genommen, dass die ursprünglich vorgesehene Schlüssellänge von 128 Bits auf 56 Bits reduziert wurde.) 3 2 Struktur von AES Beim AES ist im Gegensatz zu Rijndael nur mehr eine Blockgröße von 128 Bits vorgesehen. Einen Überblick und Einstieg in die Struktur von AES zeigt Bild 1. Dabei wählen wir als Beispiel eine Schlüssellänge von 128 Bits. Dies muss aber nicht so sein, denn AES lässt auch 192 Bits und 256 Bits als Schlüssellänge zu. Bild 1, das den AES-Algorithmus mit zehn Runden darstellt, zeigt: Zu Beginn wird auf den Klartext der Schlüssel k 0 mittels XOR 4 angewandt; dies wird als Initialschritt bezeichnet Runde 1 Runde 2 Runde 10 ShiftRow MixColumn + ByteSub ShiftRow MixColumn + + ByteSub ShiftRow + Geheimtext (128 Bits) AES Advanced Encryption Standard Rundenschlüssel k 1 (128 Bits) Rundenschlüssel k 2 (128 Bits) Rundenschlüssel k 10 (128 Bits) Auf das damit entstandene Ergebnis werden die Funktionen ByteSub, Shift Row und MixColumn angewandt und zuletzt der Rundenschlüssel k 1, womit die erste Runde abgeschlossen ist. Das in der ersten Runde entstandene Ergebnis dient nun als Eingabe (Eingangsblock) für die Runde 2. Es schließen sich wieder die Funktionen ByteSub, ShiftRow, MixColumn und die Addition des Rundenschlüssels k 2 an, womit Runde 2 durchlaufen ist. Der Auswahlprozess, Angriffsszenarien und Performanceüberlegungen lassen sich von der AES Homepage des NIST herunterladen. Siehe Hinweis: Wie in [1] wollen wir auch hier versuchen, den Beitrag so zugestalten, dass sich sowohl mathematisch weniger interessierte Leser als auch Leser mit mathematischem Interesse angesprochen fühlen. Eine aus dem amerikanischen Sprachraum entliehene Abkürzung für exclusive OR. 147

3 Informatik > Der Advanced Encryption Standard (AES) WissenHeute Jg. 59 3/2006 Dies wiederholt sich bei einer Schlüssellänge von 128 Bits bis Runde 10 mit der Ausnahme, dass in dieser Runde auf MixColumn verzichtet wird. Das nach Runde 10 entstandene Ergebnis stellt den erzielten Geheimtext dar. Die auftretenden Rundenschlüssel k 0 bis k 10 werden alle von einem Eingangsschlüssel k abgeleitet. Wir haben dabei auch k 0 als Rundenschlüssel bezeichnet, obwohl er bereits vor Runde 1 zum Klartext addiert wird. Zwei Fragen zu dieser Erläuterung ergeben sich daraus: Wieso wird von abgeleiteten Rundenschlüsseln gesprochen und wo wird die Rundenzahl festgelegt? Mit der ersten Frage sind wir gleich bei einem Kritikpunkt an AES: Aus einem Eingangsschlüssel k werden alle Rundenschlüssel (in unserem Fall k 0 bis k 10 ) abgeleitet. Unsere Intuition wünscht sich Rundenschlüssel, die zufällig und unabhängig voneinander sind. Dies ist selbstverständlich bei AES, wo es sich um vom Urschlüssel k abgeleitete Rundenschlüssel handelt, nicht der Fall. Daemon und Rijmen gehen in [2] auf diesen Kritikpunkt ein und verweisen darauf, dass die Bedeutung der Unabhängigkeit der Schlüsselrunden bisher durchaus umstritten ist. Sie zeigen auch, dass ihre abgeleiteten Rundenschlüssel gegenüber den bisher bekannten Angriffen keine Schwachstellen bilden. Die Beantwortung der zweiten Frage leitet sich von den AES-Vorgaben ab, nämlich: Bei einer Blocklänge von 128 Bits sind bei einer Schlüssellänge von 128 Bits zehn Runden zu durchlaufen, bei einer Schlüssellänge von 192 Bits zwölf Runden und bei einer Schlüssellänge von 256 Bits 14 Runden. (Zum Vergleich: Der ebenfalls in die Endrunde des AES-Wettbewerbs übernommene Serpent- Algorithmus verlangt etwa 30 Runden.) Aus Bild 1 und der Tatsache, dass die Rundenschlüssel zum Klartext bitweise addiert werden, (was einem bitweisen XOR entspricht), leitet sich ab, dass die Länge jedes Rundenschlüssels so viele Bits betragen muss wie die Länge des Eingangsblocks, in unserem AES-Fall also 128 Bits. In der Literatur wird manchmal auch vom expandierten Schlüssel der Länge 1408 bzw bzw gesprochen. Folgendes ist damit gemeint (erläutert am Beispiel der Schlüssellänge 128 Bits): Aus der Schlüssellänge 128 (und der bei AES einzigen Blocklänge 128) geht hervor, dass der Algorithmus zehn Runden durchlaufen muss, man also elf Rundenschlüssel braucht (k 0 bis k 10 ). Damit ergibt sich die Länge eines Gesamtschlüssels, der alle Rundenschlüssel umfasst, aus folgender Rechnung: Länge des Eingabeblocks multipliziert mit (10 + 1) = = Nimmt man diesen Blickwinkel ein, dann ist aus dem 128 Bits langen Schlüssel k ein zu 1408 Bits expandierter Schlüssel K geworden. Daher wird häufig von Schlüsselexpansion gesprochen, aus der dann die Rundenschlüssel entnommen werden. Wie bereits erwähnt, gehen wir von 128 Bits langen Blöcken aus, die als 16 Bytes langer Klartext- und/oder Eingangsblock betrachtet werden. Der AES operiert dabei, anders als DES, auf Byte-Ebene, nicht auf Bit-Ebene. Ein Klartextblock würde also etwa so aussehen: W I R B E G I N N E N N U N Man hat sich jedoch darauf verständigt, den Klartextblock als 4 4-Matrix zu schreiben: W B N I E N N R G E U I N N Da auf diese Matrix im Laufe des Verschlüsselungs- und/oder Entschlüsselungsvorgangs die verschiedenen Funktionen und Schlüsselbzw. Rundenschlüssel-Operationen wirken, befindet sie sich je nach Verschlüsselungsbzw. Entschlüsselungsrunde in einem gewissen Verschlüsselungszustand. Daher hat es sich eingebürgert, von einer Zustandsmatrix zu sprechen. Damit haben wir einen ausreichenden Überblick gewonnen, um die AES-Schritte nachfolgend im Einzelnen betrachten zu können. 3 Beschreibung der Rundenfunktionen ByteSub, ShiftRow und MixColumn 3.1 Mathematische Mengen mit Operationen und etwas mathematisches Handwerkszeug Wir wollen so weit wie möglich vermeiden, uns mit mathematischen Begriffen wie Körper, Ringe, Gruppen und Galoisfelder auseinander zu setzen. Dennoch müssen wir sie streifen; Isomorphismen 5 wollen wir aber gänzlich vernachlässigen. Wir werden hier auch nicht jeden mathematischen Begriff definieren. Beispielsweise gehen wir davon aus, dass jeder Leser mit dem Begriff Vektor etwas vertraut ist. Wir werden aber weder einen Vektorraum noch einen Vektor ausdrücklich definieren. In [1] wurden die modulo-operation und Kongruenzen erläutert. So ist beispielsweise 19 mod 4 = 3. (Denn 19 = ) Definition 3.1.1: Auf der Menge Z der ganzen Zahlen führten wir den Kongruenzbegriff ein: Man nennt x kongruent zu y modulo m und schreibt x y (mod m) falls gilt: x y = m für ein aus Z. Definition: 3.1.2: Wir definieren auf Z m : = {0,1,,m 1} die Verknüpfungen Addition und Multiplikation mittels x + y = z genau dann, wenn z (x + y) (mod m). xy = z genau dann, wenn z xy (mod m). Wenn der Zusammenhang Missinterpretationen ausschließt, benutzen wir häufig statt (x +y) (mod m) auch die Schreibweise x +y (mod m) bzw. x +y mod m bzw. (x +y) mod m. Es gilt: Satz 3.1.3: Ist m eine Primzahl, so ist Z m ein Körper. Siehe [1] oder [3]. Achtung: Es ist wichtig, dass m eine Primzahl ist! 5 Isomorphismen: spezielle, umkehrbar eindeutige Abbildung einer algebraischen Struktur auf eine andere. 148

4 WissenHeute Jg. 59 3/2006 Wir haben angekündigt, dass wir nicht in die Tiefen algebraischer Strukturen einsteigen brauchen. Daher ist für uns ein Körper einfach eine mathematische Menge, auf der man bei den Operationen + (plus) und (multipliziert) wieder in der Menge landet, und in der man zu jedem Element aus dieser Menge garantiert wieder ein eindeutiges inverses Element bezüglich Multiplikation und Addition findet. Für die mathematisch interessierten Leser ist in Bild 2 die Definition eines Körpers K gegeben und, weil später verwendet, die Definition eines Ringes R. In der Informatik ist Z 2 = {0,1} ein wichtiger Körper. Auch wir kommen in der Betrachtung von AES nicht ohne ihn aus: = 0, denn 0 (1 + 1) (mod 2) = 2 mod 2. Das Inverse Element zu 1 bezüglich Addition ist hier 1 selbst. Damit gilt in Z 2 : 1 = 1 Da trivialerweise noch = 1 = gilt und = 0, erkennen wir, dass die Addition in Z 2 der bekannten XOR-Operation entspricht. Für die Multiplikation in Z 2 gilt: 0 0 = 0, 0 1 = 1 0 = 0, 1 1 = Euklidische Algorithmus zur Bestimmung inverser Elemente Betrachten wir den Körper Z 13, also mit 13 die Primzahl schlechthin. Z 13 = {0,1,,12} versehen mit der Addition und Multiplikation modulo 13. In Z 13 arbeiten wir also mit der Addition und Multiplikation bezüglich modulo 13. Beispielsweise gilt in Z 13 : 5 7 = 9, denn 5 7 = 35 und 35 : 13 = 2 + Rest 9. Also 35 mod 13 = 9. Bild 2 Körperaxiome Definitionen Körper- und Ringaxiome Definition: Es sei K eine Menge mit mindestens zwei Elementen und + und Operationen auf K. Das Tripel (K,+, ) heißt Körper, wenn für alle a, b, c K gilt: (1) a + (b + c) = (a + b) + c (Assoziativgesetz bzgl. +) (2) a + b = b + a (Kommutativgesetz bzgl. +) (3) es existiert ein Element 0 K bzgl. +, so dass für alle a K gilt: a + 0 = a Dieses Element ist das bzgl. + neutrale Element (4) zu jedem a K existiert bzgl. + ein inverses Element a K, so dass a + a = 0 (5) a (b + c) = a b + a c (Distributivgesetz) (6) a (b c) = (a b) c (Assoziativgesetz bzgl. *) (7) a b = b a (Kommutativgesetz bzgl. *) (8) es existiert ein Element 1 K bzgl., so dass für alle a K\{0} gilt: a 1 = a Dieses Element ist das bzgl. * neutrale Element (9) zu jedem Element a K\{0} existiert ein bzgl. inverses Element a 1, so dass a 1 a = 1 Ringaxiome Definition: Wir wählen R als eine Menge mit mindestens zwei Elementen und den Operationen + und. Ein Tripel (R,+, ) heißt Ring, wenn es die obigen Punkte (1) bis (4) (Körperaxiome) erfüllt. Ein Ring, der zusätzlich die obigen Punkte (5) bis (7) erfüllt, heißt kommutativer Ring. Ein kommutativer Ring, der zusätzlich den obigen Punkt (8) erfüllt, heißt kommutativer Ring mit Einselement. für die Multiplikation in Z 13 einführen zu müssen, benutzen wir in der Z 13 -Welt und in der gewohnten Rechenwelt das Multiplikationszeichen. Aus dem Zusammenhang wird klar, ob sich die Multiplikation in Z 13 abspielt oder in der üblichen Zahlenwelt.) Da unser Gefühl lieber mit positiven statt negativen Vorzeichen arbeitet, können wir auch sagen: Es muss eine ganze Zahl geben, mit 1 = a x Nach Definition kann dies aber beschrieben werden mit a x 1 (mod 13). 13 = = = = = = = = 3 2 Nun wird der Algorithmus rückwärts abgearbeitet. (Man beachte hierzu die ganz rechte Spalte oben): 1 = 3 2 = 3 (5 3) = = 2 (8 5) 5 = = (13 8) = Wir wollen nun folgende Aufgabe lösen: Es sei a {0,1,,12}. Gesucht ist das zu a inverse Element x bezüglich Multiplikation. Es muss also in Z 13 gelten: a x = 1 Mit anderen Worten: 1 = a x mod 13, was bedeutet: Es muss eine ganze Zahl geben, mit 1 = a x 13. (Um nicht ein eigenes Multiplikationszeichen x und lassen sich jetzt mit Hilfe des berühmten Euklidischen Algorithmus bzw. mit seiner Abarbeitung rückwärts finden. Siehe hierzu [3] und [1]. Beispiele finden sich auch in [1]. Wir begnügen uns, diese Aussage anhand von Beispielen zu erläutern, aus denen auch der Euklidische Algorithmus hervorgeht. Es sei a = 8. a ist also insbesondere ein Element aus Z 13. Hier der zugehörige Euklidische Algorithmus: Also ist das in Z 13 zu a = 8 inverse Element x = Anmerkung 1. Man überlege sich, warum dieser Algorithmus tatsächlich irgendwann aufhört. Die Mathematiker sagen, nach endlich vielen Schritten wird der sich im Euklidischen Algorithmus ergebende Rest Null. 149

5 Informatik > Der Advanced Encryption Standard (AES) WissenHeute Jg. 59 3/ Aus Satz wussten wir bereits, dass in Z 13 ein eindeutiges inverses Element zu a existieren muss. Mit dem Euklidischen Algorithmus konnten wir es sogar bestimmen. Da wir den Euklidischen Algorithmus und seine Abarbeitung rückwärts später noch in einem komplizierten Körper benutzen, schließen wir hier noch zwei nicht triviale Beispiele an: Betrachte Z 17. Es sei a = 15 aus Z 17. Wieder suchen wir das in Z 17 Inverse zu a. Hier der zugehörige Euklidische Algorithmus: 17 = = = Nun wird der Algorithmus rückwärts abgearbeitet. (Man beachte hierzu die ganz rechte Spalte oben): 1 = = 15 7 (17 15) = Also ist das zu a = 15 in Z 17 inverse Element x = 8. Das letzte Beispiel sucht das Inverse Element zu a = 11 in Z 37. Hier der zugehörige Euklidische Algorithmus: 37 = = = Nun wird der Algorithmus rückwärts abgearbeitet. (Man beachte hierzu die ganz rechte Spalte oben): 1 = = ( ) = Also ist das zu a = 11 in Z 37 inverse Element x = Körpererweiterungen und das Identifizieren verschiedener Räume In der Mathematik benutzt man oft folgende Technik: Man versucht festzustellen, ob es möglich ist, ein mathematisches Gebäude oder Modell mit anderen zu identifizieren. Ist dies möglich, dann untersucht oder beschreibt man einfach sein Problem in dem mathematischen Gebäude, in dem es sich am besten formulieren lässt. Dies ist keine Hexerei. Elektrotechniker beispielsweise benutzen oft statt einer sinus(ϕ)- und cosinus (ϕ)-schreibweise Ausdrücke aus den komplexen Zahlen wie etwa e irϕ. Ganz einfach, weil sie damit ihr Problem besser beschreiben und berechnen können. Allerdings muss auch bei so einem Modellwechsel ein gewisser Aufwand betrieben werden, um beweisen zu können, dass das Modell, in welches man wechselt, sich auch so verhält, wie das ursprüngliche. Der AES macht von solchen Wechseln massiv Gebrauch, daher müssen auch wir uns kurz mit diesen Modellwechseln beschäftigen. Definition 3.2.1: Ist K ein Körper, a 0,, a n K. Dann nennt man p(x) = a n x n + a n 1 x n 1 + a 1 x + a 0 ein Polynom vom Grad n mit Koeffizienten in K. K [x] bezeichne die Menge aller Polynome über dem Körper K. Seien q(x), p(x) K [x]). Dann definiert man q(x) = p(x), wenn q(x) und p(x) in allen Koeffizienten übereinstimmen. Setzen wir p(x) wie oben und q(x) = b n x n + b n 1 x n 1 + b 1 x + b 0, so heißen die Polynome gleich, wenn a 0 = b 0,, a n = b n. Achtung: Man verwechsle also nicht die Gleichheit q(x) = p(x) auf K [x] mit einer Schnittstelle der beiden Polynome q(x) und p(x)! Ausgehend von der aus Schule oder Studium bekannten Addition und Multiplikation mit Polynomen können mathematisch interessierte Leser leicht zeigen, dass K [x] ein Ring, jedoch kein Körper ist. Definition 3.2.2: Es sei p(x) K [x]. Dann nennt man das Polynom p(x) irreduzibel, wenn es keine Polynome g(x), h(x) K [x] mit Grad größer 0 gibt mit p(x) = g(x)h(x). Es gilt nun, dass in K [x] jedes irreduzible Polynom ein Primelement ist. Zur Definition von Primelement und zum Beweis der obigen Behauptung siehe [4]. Wir halten hier einfach fest, dass die irreduziblen 6 Polynome in K [x] etwa den Primzahlen in Z entsprechen. 6 irreduzibel: nicht zurückführbar, nicht ableitbar. Beispiel 3.2.3: Wir kennen bereits den Körper Z 2. Ab jetzt werden wir statt Z 2 die Notation F 2 verwenden. Betrachten wir jetzt den Polynomring F 2 [x]. Dann sind die Elemente von F 2 [x] Polynome der Form a n x n + a n 1 x n 1 + a 1 x + a 0 mit a n, a n 1,,a 1, a 0 {0,1}. Ein bei AES enorm wichtiges Polynom ist p(x) = x 8 + x 4 + x 3 + x + 1 p(x) ist ein über F 2 irreduzibles Polynom, was von den mathematisch interessierten Lesern leicht nachzuprüfen ist Körper F 2 [x ]/(p[x ]) Bevor wir sehen, an welcher Stelle wir F 2 [x] und p(x) brauchen können, erinnern wir uns nochmals an den Körper Z m und an das Beispiel Z 13. Z 13 war ja ein Körper mit der Addition bzw. Multiplikation mod 13. Beispielsweise gilt in Z 13 : 9 7 = 11. Denn 9 7 = 63 = Wir können damit aber auch sagen, die Zahl 11, die ja Element von Z 13 ist, ist äquivalent zu bezogen auf Z 13. Aber selbstverständlich ist 11 auch äquivalent zu bezogen auf Z 13. Etwas abstrahiert können wir sagen, statt die Elemente aus {0,1,,12} zu betrachten, identifizieren wir gleich sämtliche zu den Elementen äquivalenten ganzen Zahlen mit dem Element selbst. Im Beispiel hatten wir also 11 äquivalent zu , 11 äquivalent zu , 11 äquivalent zu , usw. Wir haben also die Äquivalenzklasse gegeben durch 11 + λ 13, λ beliebige ganze Zahl, mit 11 identifiziert. Man schreibt für diese Äquivalenzklasse auch λ. Diese Äquivalenzklasse deckt sich mit unserem obigen Kongruenzbegriff der Definition Was wir hier am Beispiel der Zahl 11 gemacht haben, lässt sich für alle a {0,1,,12} nachvollziehen. 150

6 WissenHeute Jg. 59 3/2006 Hierfür hat sich die folgende Schreibweise durchgesetzt: Z/13Z oder auch Z/(13). Wohl gemerkt, wir haben damit keine neuen Elemente in Z 13 gefunden. Wir haben nur gesehen, dass sich Z 13 mit Z/(13) identifizieren lässt. Man rechnet in Z/(13) wie in Z 13. Insbesondere findet man zu jedem Element aus Z/(13) wieder ein eindeutiges Inverses in Z/(13), (wobei eindeutig jetzt hinsichtlich Äquivalenzklasse bedeutet). Und es wird in Z/(13) genauso mit dem Euklidischen Algorithmus und dem Euklidischen Algorithmus rückwärts gerechnet wie in Z 13. Für die Anwendung ist es unerheblich, ob im Modell Z/(13) gedacht wird oder im Modell Z 13. Unsere Überlegungen gelten aber nicht nur für Z 13, sondern für beliebige Primzahlen p, das heißt für Z p allgemein. Der Schluss von Z/13Z bzw. Z/(13) auf Z/pZ bzw. Z/(p) ist offensichtlich. Bild 3 Berechnung g(x) mod p(x) Wir benutzen die aus der Schule bekannte Polynomdivision: (x 17 + x 11 + x 9 + x 5 + x 3 ) : (x 8 + x 4 + x 3 + x + 1) = x 9 + x 5 + x 4 + x 3 + x 2 + x + Rest x 6 + x 5 + x 4 + x 3 + x x 17 + x 13 + x 12 + x 10 + x 9 x 13 + x 11 + x 12 + x 10 + x 5 + x 3 x 13 + x 9 + x 8 + x 6 + x 5 x 12 + x 11 + x 10 + x 9 + x 8 + x 6 + x 3 x 12 + x 8 + x 7 + x 5 + x 4 x 11 + x 10 + x 9 + x 7 + x 6 + x 5 + x 4 + x 3 x 11 + x 7 + x 6 + x 4 + x 3 x 10 + x 9 + x 5 x 10 + x 6 + x 5 + x 3 + x 2 x 9 + x 6 + x 3 + x 2 x 9 + x 5 + x 4 + x 2 + x x 6 + x 5 + x 4 + x 3 + x Hinweis: Wenn die Leser den Rechenvorgang nun nachprüfen, müssen sie beachten, dass die Koeffizienten aus dem Körper F 2 stammen und wir die Rechenregeln in F 2 anwenden: Es gilt also, 1 = 1. Beispielsweise folgt daraus, dass x 9 + x 9 = x 9 x 9 = 0 Wenn wir uns also nicht verrechnet haben, gilt: (x 17 + x 11 + x 9 + x 5 + x 3 ) mod x 8 + x 4 + x 3 + x + 1 = x 6 + x 5 + x 4 + x 3 + x Inhaltliche Definition von Z/(p) Hinweis für die Mathematiker: Z/(p) wurde hier deshalb so unscharf eingeführt, um (Prim-)Ideale und Ringe zu umgehen. Interessierte finden eine mathematische Einführung von Z/(p) und damit auch vom jetzt folgenden Körper F 2 [x]/(p(x)) in [3] oder [4]. Warum nun wurde Z/(p) eingeführt, wo es doch nichts Neues bringt? Damit wir uns mit der nun folgenden Einführung des Körpers F 2 [x]/(p(x)) leichter tun. Z/(p) war aus dem Ring Z entstanden, indem wir die ganzen Zahlen gemäß der Primzahl p gestaucht hatten und so wieder einen Körper erhielten. Z. B. wurde unter Z/(13) die ganze Zahl 63 gestaucht zu 11 gemäß 63 = Wir wissen bereits aus Beispiel 3.2.3, dass F 2 [x] der Ringe der Polynome mit Koeffizienten aus {0,1} ist. Beispielsweise ist das Polynom g(x) = x 17 + x 13 + x ein Element aus diesem Ring F 2 [x]. Im gleichen Beispiel hatten wir auch das Polynom p(x) = x 8 + x 4 + x 3 + x + 1 vorgestellt, ein über F 2 irreduzibles Polynom. Wir wissen bereits, dass die irreduziblen Polynome im Ring F 2 [x] in etwa den Primzahlen im Ring Z entsprechen. Und wenn wir nun übergehen zu F 2 [x]/(p(x)), haben wir den gleichen Schritt durchgeführt wie bei der Einführung von Z/(p). Es werden also die Polynome aus F 2 [x] gestaucht gemäß dem Polynom p(x) = x 8 + x 4 + x 3 + x + 1. (Für Leser mit Interesse an der Algebra sei wieder [3] und [4] empfohlen.) Beispiel: Betrachten wir das Polynom g(x) = x 17 + x 11 + x 9 + x 5 + x 3 Wir stauchen nun gemäß p(x), das heißt wir berechnen g(x) mod p(x), indem wir die aus der Schule bekannte Polynomdivision verwenden. Der Rechenvorgang ist in Bild 3 dargestellt. (x 17 + x 11 + x 9 + x 5 + x 3 ) : (x 8 + x 4 + x 3 + x + 1) = (x 9 + x 5 + x 4 + x 3 + x 2 + x) + Rest x 7 + x 5 + x 4 + x 3 + x Wenn wir uns nun nicht verrechnet haben, gilt: (x 17 + x 11 + x 9 + x 5 + x 3 ) mod (x 8 + x 4 + x 3 + x + 1) = x 6 + x 5 + x 4 + x 3 + x. Es wurde also x 17 + x 11 + x 9 + x 5 + x 3 gemäß x 8 + x 4 + x 3 + x + 1 gestaucht und wir erhielten x 6 + x 5 + x 4 + x 3 + x. (Dies deckt sich wieder mit dem oben eingeführten Begriff der Äquivalenzklassen.) F 2 [x]/(p(x)) besteht also aus den Polynomen vom Grad kleiner oder gleich 7 und Koeffizienten aus {0,1}. Und weil p(x) ein über F 2 irreduzibles Polynom ist, haben wir mit F 2 [x]/(p(x)) einen neuen Körper gewonnen (Siehe [3] oder [4]). Und wozu dieser neue Körper? Es lassen sich damit Bytes mit Polynomen aus F 2 [x]/(p(x) identifizieren. Beispiel: Man betrachte das Byte b = Dann lässt sich dieses mit dem Polynom g(x) = x 7 + x 3 + x 2 + x + 1 identifizieren. Umgekehrt ließe sich unser obiges Polynom g(x) = x 6 + x 5 + x 4 + x 3 + x mit dem Byte b = identifizieren. Wir können also jedes der 2 8 Bytes mit einem der 2 8 Polynomen identifizieren und umgekehrt. Statt also die Menge der 2 8 Bytes zu betrachten, weicht man aus in den Körper F 2 [x]/(p(x) und kann dort multiplizieren und 151

7 Informatik > Der Advanced Encryption Standard (AES) WissenHeute Jg. 59 3/2006 Bild 4 Bildung des Produkts hinsichtlich F [x]/p(x)) Das Produkt der Polynome x 2 + x + 1 und x 7 + x 6 + x 3 + x in F 2 [x]/(p(x)): (x 2 + x + 1) (x 7 + x 6 + x 3 + x 2 + 1) = (x 2 + 1) (x 7 + x 6 + x 3 + x 2 + 1) mod (x 8 + x 4 + x 3 + x + 1) = (x 9 + x 8 + x 5 + x 4 + x 2 + x 7 + x 6 + x 3 + x 2 + 1) mod (x 8 + x 4 + x 3 + x + 1) = x 9 + x 8 + x 5 + x 4 + x 7 + x 6 + x (x 9 + x 8 + x 5 + x 4 + x 7 + x 6 + x 3 + 1) : (x 8 + x 4 + x 3 + x + 1) = x Rest x 7 + x 6 + x 4 + x 2 x 9 + x 5 + x 4 + x 2 + x x 8 + x 7 + x 6 + x 3 + x 2 + x + 1 x 8 + x 4 + x 3 + x + 1 x 7 + x 6 + x 4 + x 2 Es ist wieder zu beachten, dass die Koeffizienten aus dem Körper F 2 stammen und man die dort gültigen Rechenregeln verwendet wie z. B = 0. Bild 5 Euklidische Algorithmus und seine Rückwärtsausführung 2 addieren. Man hat damit also eine Möglichkeit gefunden, auf den Bytes zu multiplizieren und zu addieren. Beispielsweise lässt sich das Byte-Produkt bestimmen, indem wir das erste Byte mit x identifizieren und das zweite mit x 7 + x 6 + x 3 + x und nun das Produkt der Polynome bezüglich F 2 [x]/(p(x)) bilden: Gegeben sei das Byte b = Gesucht ist sein multiplikativ Inverses. Wir identifizieren b mit dem Polynom x 5 + x. Genau wie in und machen wir uns klar, dass die Suche des zu x 5 + x in F 2 [x]/(p(x)) Inversen gleichbedeutend ist mit der Suche nach zwei Polynomen g(x) und h(x) mit g(x) p(x) + h(x) (x 5 + x) = 1, also g(x) (x 8 + x 4 + x 3 + x + 1) + h(x) (x 5 + x) = 1. h(x) ist dann das gesuchte inverse Element von x 5 + x in F 2 [x]/(p(x)) Wir setzen den Euklidischen Algorithmus an: x 8 + x 4 + x 3 + x + 1 = (x 5 + x) x 3 + (x 3 + x + 1) x 5 + x = (x 3 + x + 1) x 2 + x 3 + x 2 + x = (x 3 + x + 1) x 2 + (x 3 + x + 1) + (x 2 + 1) = (x 3 + x + 1) (x 2 + 1) + (x 2 + 1) x 3 + x + 1 = (x 2 + 1) x + 1) Nun wird der Euklidische Algorithmus genau wie unter und rückwärts gerechnet: 1=(x 3 + x + 1) + (x 2 + 1) x =(x 3 + x + 1) + [(x 5 + x) + (x 3 + x + 1) (x 2 + 1)] x =(x 3 + x + 1) + (x 3 + x + 1) (x 2 + 1) x + (x 5 + x) x =(x 3 + x + 1) + [1 + (x 2 + 1) x] + (x 5 + x) x =(x 3 + x + 1) (x 3 + x + 1) + (x 5 + x) x =[(x 8 + x 4 + x 3 + x + 1) + (x 5 + x) x 3 ] (x 3 + x + 1) + (x 5 + x) x =[(x 8 + x 4 + x 3 + x + 1) (x 3 + x + 1) + (x 5 + x) x 3 ] (x 3 + x + 1) + (x 5 + x) x =(x 8 + x 4 + x 3 + x + 1) (x 3 + x + 1) + (x 5 + x) [x 3 (x 3 + x + 1) + x] =(x 8 + x 4 + x 3 + x + 1) (x 3 + x + 1) + [x 3 (x 3 + x + 1) + x] (x 5 + x) =(x 8 + x 4 + x 3 + x + 1) (x 3 + x + 1) + (x 6 + x 4 + x 3 + x) (x 5 + x) Somit gilt für unsere obigen g(x), h(x): g(x) = x 3 + x + 1, h(x) = x 6 + x 4 + x 3 + x h(x) = x 6 + x 4 + x 3 + x ist also das zu x 5 + x inverse Element in F 2 [x]/(p(x)). Identifizieren wir wieder Byte und Polynom, so erhalten wir: Das zu b = inverse Byte ist b 1 = (x 2 + x + 1) (x 7 + x 6 + x 3 + x 2 + 1) = (x 2 + 1) (x 7 + x 6 + x 3 + x 2 + 1) mod (x 8 + x 4 + x 3 + x + 1) = (siehe Nebenrechnung in Bild 4) = x 7 + x 6 + x 4 + x 3 Wir identifizieren nun umgekehrt das Polynom x 7 + x 6 + x 4 + x 3 mit dem Byte und erhalten damit: = Weil F 2 [x]/(p(x)) sogar ein Körper ist, gilt unter anderem, dass zu jedem Polynom aus F 2 [x]/(p(x)) ein bezüglich der Multiplikation inverses Element in F 2 [x]/(p(x)) existiert, bzw. anderes formuliert, zu jedem Byte sein inverses Gegenstück existiert. Und da wir in F 2 [x]/(p(x)) richtiggehend rechnen können, können wir wie in Z p bzw. Z/(p) mit Hilfe des Euklidischen Algorithmus bzw. des rückwärts abgearbeiteten Euklidischen Algorithmus das inverse Element sogar ausrechnen Beispiel: Gegeben sei das Byte b = Gesucht ist sein multiplikativ Inverses. Wir identifizieren das Byte b mit dem Polynom x 5 + x. Genau wie in und machen wir uns klar, dass die Suche des zu x 5 + x in F 2 [x]/(p(x)) Inversen gleichbedeutend ist mit der Suche nach zwei Polynomen g(x) und h(x) mit g(x) p(x) + h(x) (x 5 + x) = 1, also g(x) (x 8 + x 4 + x 3 + x + 1) + h(x) (x 5 + x) = 1. h(x) ist dann das gesuchte inverse Element von x 5 + x in F 2 [x]/(p(x)). In Bild 5 findet man die Durchführung des Euklidischen Algorithmus und seine Rückwärtsausführung. Wir erhalten obiges g(x) und h(x): g(x) = x 3 + x + 1 h(x) = x 6 + x 4 + x 3 + x h(x) = x 6 + x 4 + x 3 + x ist also das zu x 5 + x inverse Element in F 2 [x]/(p(x)). Identifizieren wir wieder Byte und Polynom, so erhalten wir: Das zum Byte b = inverse Byte ist b 1 =

8 WissenHeute Jg. 59 3/ Anmerkung Bild 6 Transformation ByteSub Der AES startet seine ByteSub-Funktionen mit einer Byte-Invertierung. 3.3 Transformation ByteSub Die Rundenfunktion ByteSub wird auf die einzelnen Komponenten der Eingangsblöcke angewandt. Wie aus dem in Abs. 2 erarbeiteten Überblick bekannt ist, heißt dies, dass ByteSub auf die einzelnen Bytes des Eingangsblocks bzw. der Zustandsmatrix wirkt. ByteSub beginnt damit, dass das Eingangsbyte mit seinem Polynom aus F 2 [x]/(p(x)) identifiziert wird und dann (mit Hilfe des Euklidischen Algorithmus) das inverse Element gewonnen wird. Den Vorgang ein Inverses zu finden bezeichnen wir mit inv. In F 2 [x]/(p(x)) wird das Inverse eines Polynoms in g(x) also erhalten durch inv(g(x)). Für unser Beispiel gilt also: inv(x 5 + x) = x 6 + x 4 + x 3 + x. Danach wird auf inv(g(x)) die Operation f losgelassen. Dabei bedeutet die Anwendung von f auf ein Polynom m(x) Folgendes: Gesucht ist (x 7 + x 6 + x 5 + x 4 + 1) (x 6 + x 4 + x 3 + x) + x 7 + x 6 + x 2 + x mod (x 8 + 1). Zunächst bestimmen wir (x 7 + x 6 + x 5 + x 4 + 1) (x 6 + x 4 + x 3 + x) in F 2 [x]/(x 8 + 1), also (x 7 + x 6 + x 5 + x 4 + 1) (x 6 + x 4 + x 3 + x) mod (x 8 + 1). Wir multiplizieren jetzt die beiden Polynome und erhalten x 13 + x 11 + x 10 + x 8 + x 12 + x 10 + x 9 + x 7 + x 11 + x 9 + x 8 + x 6 + x 10 + x 8 + x 7 + x 5 + x 6 + x 4 + x 3 + x = (Rechenregeln in F 2!) x 13 + x 12 + x 10 + x 8 + x 5 + x 4 + x 3 + x Polynomdivision ergibt: (x 13 + x 12 + x 10 + x 8 + x 5 + x 4 + x 3 + x) : (x 8 + 1) = x 5 + x 4 + x Rest x 3 + x 2 + x + 1 x 13 + x 5 x 12 + x 10 + x 8 + x 4 + x 3 + x x 12 + x 4 x 10 + x 8 + x 3 + x x 10 + x 2 x 8 + x 3 + x 2 + x x x 3 + x 2 + x + 1 Also (x 7 + x 6 + x 5 + x 4 + 1) (x 6 + x 4 + x 3 + x) mod (x 8 + 1) = x 3 + x 2 + x Addition des Polynoms x 7 + x 4 + x 3 + x 2 ergibt: x 7 + x 4 + x f(m(x)) = (x 7 + x 6 + x 5 + x 4 + 1) m(x) + x 7 + x 4 + x 3 + x 2 mod (x 8 + 1). Um unsere Rundenfunktion ByteSub an einem Beispiel zu veranschaulichen, lassen wir ByteSub auf das Polynom x 5 + x los. Wir beginnen mit der Invertierung in F 2 [x]/(p(x)) von x 5 + x, dessen Ergebnis wir ja bereits kennen. inv (x 5 + x) = x 6 + x 4 + x 3 + x Jetzt wird auf x 6 + x 4 + x 3 + x die Operation f angewandt. f (x 6 + x 4 + x 3 + x) = (x 7 + x 6 + x 5 + x 4 + 1) (x 6 + x 4 + x 3 + x) + x 7 + x 4 + x 3 + x 2 mod (x 8 + 1) = (Bild 6) = x 7 + x 4 + x Anmerkung: f kann damit als Operation über dem Ring F 2 [x]/(x 8 + 1) aufgefasst werden. Man ist also bei der ByteSub-Operation in F 2 [x]/(p(x)) gestartet, um ein Inverses zu gewinnen. Das so gewonnene Inverse fasst man nun als Element in F 2 [x]/(x 8 + 1) auf und wendet darauf die Operation f an. Man mache sich als mathematisch interessierter Leser klar, dass dies so in Ordnung geht (wohldefiniert ist), obwohl F 2 [x]/(x 8 + 1) zwar ein Ring, jedoch kein Körper mehr ist. (Das Polynom x ist ja über F 2 nicht irreduzibel.) Operation f der Rundenfunktion ByteSub als einfache (affin) lineare Operation Eingangs haben wir erfahren, dass AES sich durch geringen Rechenaufwand auszeichnet. Dies erscheint nun nach den obigen Ausführungen zur ByteSub-Rundenfunktion nicht mehr zuzutreffen. Wir können jedoch zeigen, dass sich hinter der Abbildung f der BytSub- Operation eine einfache Matrix verbirgt, also eine einfache lineare Abbildung (Zum Begriff linearer Abbildungen und Matrizen siehe beispielsweise [5] oder [1]). Um diese einfache Abbildung zu gewinnen, benutzen wir folgende Beziehung: x n mod (x 8 + 1) = x n mod 8 An einem Beispiel wollen wir die Gültigkeit dieser Beziehung überprüfen. Wir gehen von x 21 mod (x 8 + 1) aus und berechnen x 21 : (x 8 + 1) = x 13 + x 5 + Rest x 5 x 21 + x 13 x 13 x 13 + x 5 x 5 Also gilt x 21 mod (x 8 + 1) = x 5 Andererseits ist x 21 mod 8 = x 5, womit obige Beziehung anhand eines Beispiels nachvollzogen ist. 153

9 Informatik > Der Advanced Encryption Standard (AES) WissenHeute Jg. 59 3/2006 Bild 7 Übergang von aufwendiger Abbildung f zu einfacher Matrix M Um die Multiplikation zweier Polynome vom Grad kleiner 8 modulo (x 8 + 1) über F 2 auszuführen, beginnen wir mit der einfachen Multiplikation zweier Polynome: (a 0 + a 1 x + a 2 x 2 + a 3 x 3 + a 4 x 4 + a 5 x 5 + a 6 x 6 + a 7 x 7 ) (b 0 + b 1 x + b 2 x 2 + b 3 x 3 + b 4 x 4 + b 5 x 5 + b 6 x 6 + b 7 x 7 ) = a 0 b 0 + a 0 b 1 x + a 0 b 2 x 2 + a 0 b 3 x 3 + a 0 b 4 x 4 + a 0 b 5 x 5 + a 0 b 6 x 6 + a 0 b 7 x 7 + a 1 b 0 x + a 1 b 1 x 2 + a 1 b 2 x 3 + a 1 b 3 x 4 + a 1 b 4 x 5 + a 1 b 5 x 6 + a 1 b 6 x 7 + a 1 b 7 x 8 + a 2 b 0 x 2 + a 2 b 1 x 3 + a 2 b 2 x 4 + a 2 b 3 x 5 + a 2 b 4 x 6 + a 2 b 5 x 7 + a 2 b 6 x 8 + a 2 b 7 x a 6 b 0 x 6 + a 6 b 1 x 7 +a 6 b 2 x 8 + a 6 b 3 x 9 + a 6 b 4 x 10 + a 6 b 5 x 11 + a 6 b 6 x 12 + a 6 b 7 x 13 + a 7 b 0 x 7 + a 7 b 1 x 8 + a 7 b 2 x 9 + a 7 b 3 x 10 + a 7 b 4 x 11 + a 7 b 5 x 12 + a 7 b 6 x 13 + a 7 b 7 x 14 Wir verwenden jetzt die Beziehung x n mod (x 8 + 1) = x n mod 8 a 0 b 0 + a 0 b 1 x + a 0 b 2 x 2 + a 0 b 3 x 3 + a 0 b 4 x 4 + a 0 b 5 x 5 + a 0 b 6 x 6 + a 0 b 7 x 7 + a 1 b 0 x + a 1 b 1 x 2 + a 1 b 2 x 3 + a 1 b 3 x 4 + a 1 b 4 x 5 + a 1 b 5 x 6 + a 1 b 6 x 7 + a 1 b 7 + a 2 b 0 x 2 + a 2 b 1 x 3 + a 2 b 2 x 4 + a 2 b 3 x 5 + a 2 b 4 x 6 + a 2 b 5 x 7 + a 2 b 6 + a 2 b 7 x a 6 b 0 x 6 + a 6 b 1 x 7 +a 6 b 2 + a 6 b 3 x + a 6 b 4 x 2 + a 6 b 5 x 3 + a 6 b 6 x 4 + a 6 b 7 x 5 + a 7 b 0 x 7 + a 7 b 1 + a 7 b 2 x + a 7 b 3 x 2 + a 7 b 4 x 3 + a 7 b 5 x 4 + a 7 b 6 x 5 + a 7 b 7 x 6... = a 0 b 0 + a 7 b 1 + a 6 b 2 + a 5 b 3 + a 4 b 4 + a 3 b 5 + a 2 b 6 + a 1 b 7 + a 1 b 0 x + a 0 b 1 x + a 7 b 2 x + a 6 b 3 x + a 5 b 4 x + a 4 b 5 x + a 3 b 6 x + a 2 b 7 x + a 2 b 0 x 2 + a 1 b 1 x 2 + a 0 b 2 x 2 + a 7 b 3 x 2 + a 6 b 4 x 2 + a 5 b 5 x 2 + a 4 b 6 x 2 + a 3 b 7 x a 6 b 0 x 6 + a 5 b 1 x 6 + a 4 b 2 x 6 + a 3 b 3 x 6 + a 2 b 4 x 6 + a 1 b 5 x 6 + a 0 b 6 x 6 + a 7 b 7 x 6 + a 7 b 0 x 7 + a 6 b 1 x 7 + a 5 b 2 x 7 + a 4 b 3 x 7 + a 3 b 4 x 7 + a 2 b 5 x 7 + a 1 b 6 x 7 + a 0 b 7 x 7 Das sich ergebende Polynom ist nun von der Form c 0 + c 1 x + c 2 x 2 + c 3 x 3 + c 4 x 4 + c 5 x 5 + c 6 x 6 + c 7 x 7 mit c 0 = a 0 b 0 + a 7 b 1 + a 6 b 2 + a 5 b 3 + a 4 b 4 + a 3 b 5 + a 2 b 6 + a 1 b 7 c 1 = a 1 b 0 + a 0 b 1 + a 7 b 2 + a 6 b 3 + a 5 b 4 + a 4 b 5 + a 3 b 6 + a 2 b 7 c 2 = a 2 b 0 + a 1 b 1 + a 0 b 2 + a 7 b 3 + a 6 b 4 + a 5 b 5 + a 4 b 6 + a 3 b 7 c 3 = a 3 b 0 + a 2 b 1 + a 1 b 2 + a 0 b 3 + a 7 b 4 + a 6 b 5 + a 5 b 6 + a 4 b 7 c 4 = a 4 b 0 + a 3 b 1 + a 2 b 2 + a 1 b 3 + a 7 b 4 + a 6 b 5 + a 5 b 6 + a 4 b 7 c 5 = a 5 b 0 + a 4 b 1 + a 3 b 2 + a 2 b 3 + a 1 b 4 + a 0 b 5 + a 7 b 6 + a 6 b 7 c 6 = a 6 b 0 + a 5 b 1 + a 4 b 2 + a 3 b 3 + a 2 b 4 + a 1 b 5 + a 0 b 6 + a 7 b 7 c 7 = a 7 b 0 + a 6 b 1 + a 5 b 2 + a 4 b 3 + a 3 b 4 + a 2 b 5 + a 1 b 6 + a 0 b 7 Gehen wir jetzt davon aus, dass das Polynom a 0 + a 1 x + a 2 x 2 + a 3 x 3 + a 4 x 4 + a 5 x 5 + a 6 x 6 + a 7 x 7 unserem Polynom der Operation f entspricht, nämlich x 7 + x 6 + x 5 + x 4 + 1, so erhalten wir a 0 = 1, a 1 = 0, a 2 = 0, a 3 = 0, a 4 = 1, a 5 = 1, a 6 = 1, a 7 = 1 Dies ergibt dann folgende Matrix M = Gehen wir davon aus, dass das Polynom g(x) gegeben ist durch g(x) = (b 0 + b 1 x + b 2 x 2 + b 3 x 3 + b 4 x 4 + b 5 x 5 + b 6 x 6 + b 7 x 7 ), so entspricht die Abbildung g(x) (x 7 + x 6 + x 5 + x 4 + 1) g(x) mod (x 8 + 1) der einfachen linearen Abbildung (Zum Begriff linearer Abbildungen und Matrizen siehe beispielsweise [5] oder [1]) x b 0 b 1 b 2 b 3 b 4 b 5 b 6 b 7 Dies verwendend können wir nun zeigen, dass sich hinter der Operation f: g(x) (x 7 + x 6 + x 5 + x 4 + 1) g(x) + x 7 + x 4 + x 3 + x 2 mod (x 8 + 1) eine Operation einer einfachen Matrix M verbirgt ergänzt um eine Vektoraddition. Der Nachweis ist nicht schwer, nur etwas umfangreich, so dass er in Bild 7 dargestellt ist. Unser obiges so aufwendig wirkendes Beispiel würde sich damit wie nachfolgend schreiben lassen. Wir fassen unser Beispielpolynom g(x) = x 6 + x 4 + x 3 + x wieder als Byte auf bzw. als Vektor der Form Das zur Addition vorgesehene Polynom wird dann mit dem Byte bzw. Vektor identifiziert f (g(x)) = M Diese Art der Multiplikation ist ohne großen Aufwand durchzuführen. Hinweis: 1. Im Entwurf von Rijndal schlagen Daemen und Rijmen diese Matrix M explizit für die ByteSub-Runde vor. 2. Der Vektor für den Additionsanteil wurde hier anders gewählt als von den AES- Autoren im Entwurf vorgeschlagen. Dies geschah, weil im Rahmen dieses Beitrages mit der im Anschluss beschriebenen S-Box experimentiert wurde Rundenfunktion ByteSub als einfacher Table Lookup Wie wir eben gesehen haben, lässt sich die Abbildung f als Matrix M darstellen. Als komplexer Anteil der Rundenfunktion ByteSub bleibt damit das Auffinden eines Inversen Elements in F 2 [x]/(p(x)). Man kann jedoch unter dem Gesichtspunkt der Implementierung, nicht unter mathematischen Gesichtspunkten, einen weiteren Schritt hin zur Vereinfachung machen, der auch gleich das Auffinden des inversen Elements abdeckt. 154

10 WissenHeute Jg. 59 3/2006 Da für jedes Byte das jeweilige Ergebnis, welches die Rundenfunktion ByteSub auf ihm bewirkt, stets gleich bleibt, hindert uns nichts daran, die Ergebnisse in einer Tabelle zu hinterlegen. Für unser Beispiel, das mit dem Byte begann und nach Durchführung von ByteSub zum Ergebnis führte, könnte ein zugehöriger Eintrag in der Lookup Table folgendermaßen aussehen: Eingangswert ByteSub-Ergebnis In hexadezimaler Schreibweise (mit zwei Halbbytes): Eingangswert ByteSub-Ergebnis Die Tabelle würde also aus zwei Spalten und 256 Zeilen bestehen. Indem man zur Hexadezimalschreibweise übergeht, lässt sich die Tabelle noch suchfreundlicher gestalten. In der Literatur findet man sie häufig unter dem Begriff S-Box bei AES. Dort ist sie als Tabelle ausgelegt, wobei man das ByteSub-Ergebnis als Schnittstelle der beiden Halbbytes des Eingangswertes findet. In [6] ist so eine S-Box abgebildet. Ein Software-Entwickler könnte jetzt die Rundenfunktion ByteSub, ohne sich um den mathematischen Hintergrund zu kümmern, einfach durch Nachschauen in der S-Box implementieren Anmerkungen zur Rundenfunktion ByteSub ByteSub gibt also zu jedem Eingabewert einen anhand einer Tabelle nachvollziehbaren Wert zurück. Wozu ist ByteSub nun eingebaut, wo sie doch zur Verschlüsselung nichts beiträgt? ByteSub soll dafür sorgen, dass die AES- Verschlüsselung von linearen Abbildungen weit entfernt ist. Etwas vereinfacht ausgedrückt: Eine Verschlüsselung ist für Angriffe besonders empfänglich, wenn man herausfindet, dass sie sich wie eine lineare Abbildung verhält. Je nichtlinearer ein Algorithmus ist, desto konfuser ist seine Auswirkung. Und selbstverständlich wünscht man sich von einem Verschlüsselungsalgorithmus gute Konfusionseigenschaften. In der Kryptographie ist bekannt, dass Invertierungen, wie beispielsweise bei uns über F 2 [x]/(p(x)), ziemlich nichtlinear sind. Damit haben die Autoren des Rijndael in ihrem Algorithmus Nichtlinearität (und damit Konfusionseigenschaften) sichergestellt. Es drängt sich damit die Frage auf, warum ByteSub dann nicht einfach durch die Abbildung inv dargestellt wird, sondern selbst noch einen linearen Anteil durch die Operation f (also die Matrix M) mitbekommt. Der Grund ist, dass man mit Methoden aus dem mathematischen Teilgebiet der Numerik sich der Funktion inv nähern könnte. Um auch dies zu verhindern, haben die Autoren des Algorithmus die Funktion inv selbst nochmals durch einen linearen Anteil gestört. Gedanken dazu, wie die S-Box für möglichst gute Konfusionseigenchaften auszusehen hat, (de facto also, warum inv und wie soll f aussehen), findet man bei [7]. Dies ist inzwischen eine Art Standardwerk zum Thema S-Boxen geworden. Der Name ByteSub rührt von Byte-Substitution her. (He) Der Beitrag wird fortgesetzt. Literaturhinweise [1] Walter Eigenstetter: Grundlagen der Kryptographie, Teil 1, Teil 2, Teil 3. WissenHeute, Nr. 10, 11 und 12. [2] J. Daemen, V. Rijmen: AES Proposal: Rijndael. (entnommen Juni 2005). [3] J. Cigler: Körper, Ringe, Gleichungen. Spektrum Akademischer Verlag Heidelberg Berlin [4] R. Matthes: Agebra, Kryptologie und Kodierungstheorie. Hanser Fachbuchverlag Leipzig [5] R. Ansorge, H. J. Oberle: Mathematik für Ingenieure. Akademie Verlag [6] L. Packschies: Praktische Kryptographie unter Linux. Open Source Press [7] K. Nyberg: Perfect nonlinear S-Boxes, Lecture Notes in Computer Science 547. Springer Verlag Berlin Heidelberg New York. 155