7 Sicherheit und Kryptographie

Größe: px
Ab Seite anzeigen:

Download "7 Sicherheit und Kryptographie"

Transkript

1 48 Codierung und Sicherheit, UzL WS 2007/08 7 Sicherheit und Kryptographie 7.1 Fragestellungen der Kryptologie Kryptologie = Kryptographie + Kryptoanalyse (griechisch: kryptos verborgen, logos Wort) Die Kryptologie beschäftigt sich mit der Frage, wie man Information verschlüsseln, digital authentisieren und über unsichere Kanäle übertragen kann. Mit dem Problem der Verschlüsselung hat sich die Menschheit schon lange vor der Erfindung von Computern beschäftigt. Information und Informationsübertragung: Informationsmessung Kodierung Übertragung: Kanalmodell: Sender > - Kanal > Empfänger Angreifer Die moderne Kryptologie umfaßt eine Reihe von Aufgabenstellungen: 1. Verschlüsselungssverfahren zu konstruieren, die informationstheoretisch oder komplexitttatstheoretisch sicher sind, die Kryptographie im engeren Sinne, 2. für ein gegebenes kryptografisches Verfahren mit Hilfe von zahlentheoretischen, algebraischen oder kombinatorischen Methoden Algorithmen zu entwickeln, die in der Lage sind, derartig chiffrierte Nachrichten zu entschlüsseln, die Kryptoanalyse, 3. Erweiterung kryptografischer Primitive wie Verschlüsselungsverfahren zu komplexeren Anwendung und Protokollen, beispielsweise Authentisierung, digitale Signaturverfahren, Secret Sharing, Oblivous Transfer, Privacy und Sicherheit. Die Bedeutung der Kryptologie für eine informationstechnische Gesellschaft liegt in einer Erhöhung der Sicherheit von Daten und Informationsnetzen persönlicher Unabhängigkeit und Freiheit des Einzelnen sowie in einer Beschleunigung (und Vereinfachung) von Geschäftsprozessen (E-Commerce). Sie birgt aber auch neue Gefahren siehe etwa die aktuellen innenpolitischen Diskussionen in Deutschland und die Verbote in Frankreich und den USA zu Nutzung kryptographischer Systeme.

2 R. Reischuk, ITCS 49 Man unterscheidet zwischen offener und heimlicher Anwendung von Verschlüsselungsverfahren, letzteres wird als Steganographie bezeichnet (unbemerkte Nachrichtenübermittlung). Sicherheit kann man in einem informationstheoretischen Sinn fordern sowie aus algorithmischer/ komplexitätstheoretischer Sicht betrachten. Aus Praktikabilitätsgründen hat die informatische Sichtweise heutzutage eine erhebliche höhere Bedeutung. Neue Problemstellungen eröffnen sich angesichts schneller digitaler Datenübertragung in globalen Netzen: Fehlertoleranz bei Störungen Geheimhaltung bei Lauschangriffen Authentizität bei aktiver Korruption Sicherheitsmanagement: Passwortverwaltung + Überprüfung Zugriffskontrolle Durch neue Ergebnisse der Komplexitätstheorie einerseits und konkrete Sicherheitsbedürfnisse in globalen Netzen andererseits hat die Kryptologie in den letzten Jahren eine stürmische Aufwärtsentwicklung erlebt. Dieser Aufgabenbereich entwickelt sich zu einem der Schwerpunkte im Tätigkeitsspektrum von Informatikern und Mathematikern mit einer Verschiebung vom militärischen zum kommerziellen Bereich. 7.2 Die historische Entwicklung der modernen Kryptologie: Erfolge, Mißerfolge und neue Ideen Bis 1949 war Kryptologie im wesentlichen eine Geheimwissenschaft ohne mathematische Fundierung. Vernam 1926 beschreibt einen nur einmal zu verwendenden Schlüssel (one-time pad): Eine binäre Nachricht wird durch das bitweise XOR mit einem binären Zufallsstrings gleicher Länge kodiert. Er ist überzeugt, daß dieses Verfahren nicht gebrochen werden kann, einen Beweis für die perfekte Sicherheit gibt er jedoch nicht. Shannon 1949 aufbauend auf seinem informationstheoretischen Modell gibt eine mathematische Definition für kryptologische Sicherheit. IBM entwickelt das DES-System (Data Encryption Standard) und schlägt es dem NBS (National Bureau of Standards) als Standard für Computer-Verschlüsselungsverfahren vor, mit gewissen Modifikationen wird DES 1977 als Standard veröffentlicht. Morrison/Brillhart 1975 veröffentlichen den ersten Faktorisierungsalgorithmus (continued faction method) für natürliche Zahlen mit subexponentieller Laufzeit exp c log n loglog n, wobei c eine kleine Konstante ist (in der Größenordnung von 2 ). Diese asymptotische Schranke stellt trotz Verfeinerungen der Methode und neuer Ideen bis heute die beste bekannte Laufzeit zur Faktorisierung beliebiger Zahlen dar. Dezimalzahlen mit mehr als 110 Stellen, die keine kleinen Primfaktoren besitzen, sind daher heutzutage noch nicht faktorisierbar. Diffie/Hellmann 1976 und Merkle 1978 entwickeln die Idee der Public Key Kryptography: anstelle von informationstheoretischer Entropie tritt komplexitätstheoretischer Aufwand:

3 50 Codierung und Sicherheit, UzL WS 2007/08 Einweg-Funktionen (one-way) Beispiel die diskrete Exponentialfunktion und Falltür- Funktionen (trapdoor) basierend auf dem N P -vollständigen Rucksackproblem. Des weiteren geben sie ein Beispiel für sichere Schlüsselverteilung über unsichere Kanäle. Rivest/Shamir/Adleman 1978 beschreiben eine Falltürfunktion und darauf basierend ein Verschlüsselungsverfahren, das auch digitale Unterschriften ermöglicht: der diskrete Logarithmus modulo dem Produkt zweier großer Primzahlen. Merkle/Hellman 1978 definieren eine Falltür-Funktion, die das N P -vollständige Rucksackproblem benutzt. Das Schema wird von Shamir 1982 als unsicher nachgewiesen. Rabin 1979 beschreibt ein Verschlüsselungsverfahren basierend auf dem Lösen quadratischer Gleichungen über endlichen Körpern (Quadratwurzelberechnung) und weist nach, daß dessen Komplexität äquivalent ist (bezüglich probabilistischer Polynomialzeitreduktion) zum Faktorisierungsproblem natürlicher Zahlen. Später wird jedoch herausgefunden, daß ein Angreifer mit Hilfe von Signaturen von Nachrichten, die er selbst ausgewählt hat, das System leicht knacken kann. Shamir 1979 beschreibt ein Verfahren, wie mehrere Personen gemeinsam eine geheime Information aufteilen können(secret sharing), so daß für eine vorher festgelegte Zahl k jede Gruppe von mindestens k Personen die Information rekonstruieren kann, während es für jede Koalition von weniger als k Personen unmöglich ist. Rivest/Shamir/Adleman 1981 beschreiben ein Protokoll für mentales Poker: ein Kartenspiel, bei dem die Spieler räumlich getrennt miteinander spielen, ohne daß Karten ausgetauscht werden. Bennet/Brassard/Breidbard/Wiesner 1983 untersuchen Quantum Krytographie, ein nichtbinäres System, das auf physikalischen Quantenzuständen basiert, den Quanten-Bits. Simmons 1984 entwickelt ein Modell für sichere Authentifizierung. Ong/Schnorr/Shamir 1984 stellen ein Signatur-Schema vor, das auf dem Lösen polynomialer Gleichungen in mehreren Variablen über endlichen Körpern beruht. Ihre Implementierungsvorschläge mit quadratischen Polynome, kubischen und schließlich Polynomen vom Grad 4 werden sukzessive geknackt. Chaum 1985 beschreibt ein Protokoll für sichere Transaktionen, welches die Identität der Personen nicht preisgibt. Babai und Goldwasser/Micali/Rackoff stellen die Idee der Interaktiven Beweissysteme vor. Goldwasser/Micali/Wigderson und Blum 1986 erweitern diese um die Eigenschaft Zero Knowledge. Lai stellt 1992 das IDEA-Verfahren vor (International Data Encryption Algorithm) wird eine im Jahre 1977 RSA-verschlüsselte Nachricht enttarnt, und zwar durch Faktorisierung des im Dezimalsystem 129-stelligen Moduls RSA-129 (binäre Länge 429), das Produkt zweier Primzahlen etwa gleicher Größenordnung. n = =

4 R. Reischuk, ITCS 51 Lenstra/Atkins benötigten dafür circa 8 Monate unter Verwendung eines weltweiten Verbundes von Workstations (entspricht circa 5000 MIPS Jahren oder 1, Maschineninstruktionen). Phil Zimmermann entwickelt das System PGP (Pretty Good Privacy) zur Verschlüsselung von s und Verwaltung der öffentlichen Schlüssel, welches auf den Verfahren RSA und IDEA basiert, und macht es 1994 weltweit frei zugänglich. Naor/Shamir 1995 stellen die Idee der visuellen Kryptographie vor. Das NBS ruft im Jahr 1997 zur Einreichung von Vorschlägen für einen neuen Standard eines symmetrischen Kryptographie-Verfahrens auf, das den geänderten Sicherheitsbedingungen angepaßt ist: 128 Bit Blocklänge und Schlüssellängen von 128, 192 und 256. Aus den eingegangen Vorschlägen werden 5 einer detaillierten Überprüfung unterzogenen. Im Oktober 2000 wird das von den belgischen Kryptologen Joan Daemen und Vincent Rijmen entwickelte Verfahren Rijndael als AES (Advanced Encryption Standard) ausgewählt. Agrawal, Kayal und Saxena veröffentlichen 2002 den ersten deterministischen Polynomialzeit-Algorithmus zur Erkennung von Primzahlen 7.3 Das kryptographische Modell: Chiffrierung und Dechiffrierung Wir setzen wieder voraus, daß Information codiert wird durch eine Folge von Blöcken fester Länge n, solch ein Block heiße Klartext. Seine Verschlüsselung wird Chiffretext genannt. Wir verwenden folgende Notation. Definition 7.1 Es bezeichne M die Menge der Nachrichten oder Klartexte M, C die Menge der Chiffretexte C und K die Menge der Schlüssel K. Die Funktion e : M K C definiert das Chiffrier-Schema dar, wobei e(m, K) der Chiffretext ist, den man erhält, wenn man die Nachricht M mit dem Schlüssel K verschlüsselt. e K : M C gegeben durch e K (M) := e(m, K), ist die Chiffrierfunktion des Schlüssels K. d : C K M beschreibt das Dechiffrier-Schema, d.h. d(c, K) ist der Klartext, der sich bei Dechriffrierung von C mit Hilfe des Schlüssels K ergibt. d K : C M mit d K (C) := d(c, K) ist damit die Dechiffrierfunktion des Schlüssels K. Definition 7.2 E gilt, d.h. = (M, C, K, e, d) heißt Kryptosystem, wenn d K = e 1 K d K (e K (M)) = M K K M M, für alle K K d.h. insbesondere müssen die Chiffrierfunktion e K für jedes K injektiv sein, ansonsten könnte man den Klartext nicht wieder eindeutig zurückgewinnen. Beispiel 7.1 Einfache Chiffrierverfahren: Aus dem Klartext in der ersten Zeile entsteht der Chiffretext in der zweiten Zeile durch Austauschen der Buchstaben in diesem Fall wird jeder Buchstabe durch seinen Nachfolger im

5 52 Codierung und Sicherheit, UzL WS 2007/08 Alphabet im zyklischen Abstand 3 ersetzt, d.h. A durch D, B durch E,... X durch A etc. Man nennt derartiges eine Substitutionschiffre. Der zweite Chiffretext ist durch Vertauschen der Positionen der Symbole entstanden: das 1. Symbol I wandert auf die 5. Position, das 2. Symbol N auf Position 1 etc. eine sogenannte Transpositionschiffre. I N F O R M A T I O N L Q I R U P D W L R Q N M T A I N O F R O I Klartext Caesars Substitutions-Chiffre Transpositionschiffre Diese Verfahren sind für einen Angreifer mit geringem Aufwand zu entschlüsseln bei einer Transpostitionschiffre zumindest solange die Textlänge l nicht zu groß ist. Bei Transpositionschiffren gibt es l! viele Möglichkeiten, bei Caesars Substitution sogar nur 26 verschiedene Schlüssel, darunter die identische Abbildung, die nicht gewählt werden sollte. Ein Angreifer kann diese der Reihe nach ausprobieren und wird in der Regel nur beim richtigen Schlüssel einen sinnvollen Klartext erhalten. Bei beiden Verfahren existiert offensichtlich eine einfach zu beschreibende inverse Abbildung, die den Chiffretext wieder in den Klartext zurückverwandelt. Während mit Hilfe des Substitutionsverfahrens beliebig lange Klartexte chiffriert werden können, muß beim Transpositionsverfahren die Anzahl l der Buchstaben, die permutiert werden sollen, fest sein. Längere Klartexte können dann durch eine Chiffrierung von Blöcken der Länge jeweils l verschlüsselt werden. Verwendet man dann jeweils die gleiche Transposition, entstehen neue Abhängigkeiten, die einem Angreifer wertvolle Informationen liefern können. Für manche Anwendungen erweist es sich als sinnvoll, auch nichtinjektive Funktionen e K zuzulassen, wobei jedoch die Anzahl der Klartexte, die auf einen Chiffretext C abgebildet werden, klein sein sollte. Andererseits könnte man auch nichtdeterministische Verfahren benutzen, die bei gegebenem Klartext und Schlüssel verschiedene zulässige Chiffretexte generieren können. Beispielsweise könnte ein Buchstabe des Klartextalphabetes durch mehrere Buchstaben des Chiffretextalphabetes repräsentiert werden. Damit der Chiffretext C = e K (M) nur wenig Information über den Klartext M preisgibt, sollte andererseits die Menge d 1 (C) := {M K K, e K (M ) = C} der sinnvollen Klartexte, aus denen mit Hilfe eines zulässigen Schlüssels K der Chiffretext C erzeugt werden kann, möglichst groß sein. 7.4 Kryptographische Angriffe Bei der Kryptoanalyse sind folgende Ausgangspositionen denkbar, wenn ein Angreifer versucht, Informationen über den Klartext M und/oder den Schlüssel K zu gewinnen. Generell setzen wir voraus, daß die Mengen M, C und K bekannt sind, ebenso das Chiffrier- und Dechiffrierschema. Die Sicherheit basiert daher nicht auf der Geheimhaltung des zugrunde liegenden Kryptosystems, sondern lediglich auf dem Schutz des geheimen Schlüssels K vor potentiellen Angreifern.

6 R. Reischuk, ITCS Isolierter Angriff: der Angreifer kennt nur der Chiffretext C = e K (M). 2. Passiver Klartext-Angriff: gewisse fest vorgegebene Paare oder auch Teile von Paaren (M, E K (M )) stehen dem Angreifer zur Verfügung, wobei natürlich das Paar (M, C) nicht darunter ist. 3. Aktiver Klartext Angriff: der Angreifer kann Klartexte M vorgeben, für die er dann die mit dem geheimen Schlüssel K erzeugten korrespondierenden Chiffretexte zurückerhält. Bei asymmetrischen Public-Key-Systemen ist die Chiffrierfunktion e K allgemein bekannt, so daß in diesem Fall ein Angreifer beliebig viele Paare (M, e K (M )) selber erzeugen kann. Bei Passwortverschlüsselungen wird in der Regel ein fester Klartext M 0 gewählt, den ein Benutzer B dann mit seinem geheimen Schlüssel K B chiffriert. Der Chiffretext C B = e KB (M 0 ) wird im System hinterlegt. Die Authentifizierung des Benutzers geschieht dann dadurch, daß er dem System einen Schlüssel K benennt, mit dem das System aus M 0 den Chiffretext C B erzeugen kann. 4. Aktiver Chiffretext Angriff: der Angreifer erhält die Dechiffrierung von ihm ausgewählter Chiffretexte C, wobei allerdings sinnvoller C nicht mit C identisch sein darf. Bei aktiven Angriffen kann noch weiter unterschieden werden, ob die Auswahl der Klartexte bzw. Chiffretext adaptiv (dynamisch) vorgenommen werden kann, so daß der nächste Text von den vorherigen Chiffrierungen bzw. Dechiffrierung abhängig gemacht werden kann, oder ob alle Texte vorab, d.h. nichtadaptiv, ausgewählt werden müssen. 7.5 Kryptographische Sicherheit Ein Kryptosystem E betrachtet man als informationstheoretisch sicher, falls ein passiver Klartext-Angreifer keinerlei Informationen über die ursprüngliche Nachricht M gewinnen kann. Eine Abschwächung dieser Forderung ist die komplexitätstheoretische Sicherheit bezüglich eines bestimmten Angriffstyp und gewisser algorithmischer Ressourcen. In diesem Fall soll ein derartiger Angreifer mit diesen Ressourcen keinerlei systematische Entschlüsselung von Chiffretexten oder das Berechnen geheimer Schlüssel durchführen können. Beispiel 7.2 Beim allgemeinen Substitutions-System werden die Buchstaben des Alphabets beliebig permutiert, d.h es gibt Σ! viele verschiedene Schlüssel die Permutationen π auf Σ die einen Klartext auf eine spezielle Weise in einen Chiffretext verwandeln. Betrachten wir das Alphabet der 26 Großbuchstaben von A bis Z, so ergeben sich mehr als viele Schlüssel, die selbst mit schnellen Rechnern nicht alle in vertretbarer Zeit ausprobiert werden können. Bei der Definition von Sicherheit spielt auch die WS-Verteilung auf den Klartextmenge eine wichtige Rolle, denn im allgemeinen kann man keine Gleichverteilung voraussetzen. Dadurch

7 54 Codierung und Sicherheit, UzL WS 2007/08 wird bereits die Unsicherheit über den verwendeten Klartext verringert. Es sei M = Σ n für ein Alphabet Σ = {σ 0,..., σ q 1 } der Größe q. Wir nehmen an, daß die Klartexte durch eine stochastische Quelle Q mit Verteilung p M erzeugt werden. Die Quelle generiere M durch eine k -Block Markov-Kette mit Übergangsmatrix A = (p(r s)) r,s Σ k und Gleichgewichtsverteilung π = (π(r)) r Σ k eine Approximation an die Stringverteilung in natürlichen Sprachen. Es sei n ein Vielfaches von k. Dann ist p M gegeben durch p M [(M = m 1... m n ] := π(m 1... m k ) p(m k+1... m 2k m 1... m k )... p(m n k+1... m n m n 2k+1... m n k ). Definition 7.3 Es seien die folgenden Informationen gegeben: 1.) das verwendete Chiffriersystem E, 2.) der Chiffretext C = e K (M), 3.) die WS-Verteilung p M auf der Klartextmenge M, 4.) die WS Verteilung p K auf der Schlüsselmenge K. Aufgabe der Dechiffrierung ist es, den (wahrscheinlichsten) Klartext M und/oder den verwendeten Schlüssel K zu bestimmen, wenn der Chiffretext C verwendet wurde. Die gegebenen Verteilungen p M und p K induzieren die folgenden gemeinsamen und bedingten Verteilungen p M,K (M, K) = p M (M) p K (K) Klartext-Schlüssel-Verteilung, p M,C (M, C) = p M (M) p K (K) Klartext-Chiffretext-Verteilung, p C,K (C, K) = p C (C) = K, e K (M)=C M, e K (M)=C (M,K), e K (M)=C p M C (M C) = p M,C(M, C) p C (C) p K C (K C) = p C,K(C, K). p C (C) p M (M) p K (K) p M (M) p K (K) Chiffretext-Schlüssel-Verteilung, Chiffretext-Verteilung, für Chiffretexte C mit p C (C) > 0, Definition 7.4 Eine deterministische Entscheidungsfunktion ist eine Abbildung: : C M, die das kryptoanalytische Verfahren der Entschlüsselung beschreibt. Die durchschnittliche Fehlerrate dieser Entscheidungsfunktion berechnet sich als ERROR( ) := p M,C (M, C). (M,C), (C) M Eine Entscheidungsfunktion heißt optimal, falls ERROR( ) ERROR( ) für alle Funktionen : C M. heißt maximum-likelihood, falls p M C ( (C) C) = max M p M C(M C).

8 R. Reischuk, ITCS 55 Eine einfache Rechnung zeigt das folgende Resultat: Lemma 7.1 Bei der Gleichverteilung auf M ist die maximum-likelihood Dechiffrierung optimal. Wir wollen nun den Begriff der informationstheoretischen Sicherheit mathematisch präzisieren mit Hilfe der Entropie. Definition 7.5 Die ZV Variable X M beschreibe die Verteilung p M der Klartexte und Y C die Verteilung p C der Chiffretexte. Ein Kryptosystem E heißt informationstheoretisch sicher, falls H(X M Y C ) = H(X M ), d.h. der Chiffretext verrät keinerlei Information über den ursprünglichen Klartext. Diese Forderung, daß sich die bedingte Entropie nicht verringert, ist äquivalent zu p M C ( C) = p M ( ) für alle C C +, wobei C + die Menge der Chiffretexte C mit p C (C) > 0 bezeichne. Theorem 7.2 E = {M, C, K, e, d) sei ein Kryptosystem und p M (M) > 0 M M. Eine notwendige Voraussetzung für die informationstheoretische Sicherheit von E ist K M. Beweis: E sei informationstheoretisch sicher, d.h. p M C (M C) = p C (M) für alle M M und C C +. Die Bedingung ist äquivalent zu p C M (C M) = p C (C) C C + und M M. Aus der Injektivität von e K folgt M C +. Da jede Chiffrierfunktion e K ein festes M auf genau ein C abbildet, impliziert die obige Eigenschaft p CM (C M) > 0 C C +, d.h. es gibt mindestens C + verschiedene Chiffrierfunktionen und damit gilt K C + M. Beispiel 7.3 one-time Pad oder Vernam-Chiffre: Sei Σ = {σ 1..., σ 26 } = {A, B, C,..., Y, Z} das Alphabet, M = C = Σ n die Menge der Klarund Chiffretexte sowie K = {0,..., 25} n die Schlüsselmenge mit uniformer Wahrscheinlichkeitsverteilung P K = 26 n für jedes K = (k 1,..., k n ) K. Für einen Klartext M = (σ i1,..., σ in ) sei der durch K erzeugte Chiffretext gegeben durch e K (σ i1,..., σ in ) := σ i1 +k 1... σ in+k n. Ein gegebener Klartext M kann somit in jede Zeichenreihe C C abgebildet werden, und zwar mit gleicher Wahrscheinlichkeit, d.h. M und C sind statistisch unabhängig. Dies Verfahren ist somit absolut sicher gegen Dechiffrierung, hat jedoch den Nachteil, daß ein Schlüssel mindestens so lang sein muß wie die Nachricht. Würde man denselben Schlüssel noch einmal verwenden, ist die statistische Unabhängigkeit nicht mehr gegeben.

9 56 Codierung und Sicherheit, UzL WS 2007/08 Man kann mit nicht allzu großem Aufwand zeigen, daß es bei der Forderung nach informationstheoretischer Sicherheit keine Alternativen gibt. Theorem 7.3 One-time Pad Verfahren sind die einzigen Kryptosysteme, die absolute Sicherheit im informationstheoretischen Sinn erreichen. Da jedoch bei one-time Padsi die Länge des Schlüssels mindestens so lang sein muß wie die des zu verschlüssenden Klartextes, sind derartige Verfahren für die meisten Anwendungen nicht praktikabel. Einerseits muß der geheime Schlüssel zunächst auf einem absolut sicheren Weg dem Empfänger zugestellt werden, andererseits muß dieser ihn dann sicher verwahren. Außerdem ist es technisch nicht einfach, lange Zufallsstrings zu erzeugen, die zur Generierung der Schlüssel benötigt werden. Wir betrachten deshalb eine abgeschwächte Sicherheitsanforderung. YC n bezeichne das n-fache Produkt der ZV Y C, d.h. die Verteilung bei einer n -fachen Anwendung der Chiffrierfunktion mit einem festen, aber beliebigen Schlüssel K. Die ZV Z beschreibe die Verteilung der Schlüssel und H n := H(Z YC n). H n ist monoton fallend in n, wobei H 0 := H(Z). Es bedeutet dann H n =; 0, daß der Schlüssel aus einem beliebigen Chiffretext bestehend aus n Blöcken eindeutig identifiziert werden kann. Definition 7.6 Ein Kryptosystem heiße asymptotisch informationstheoretisch sicher, falls es eine Konstante α > 0 gibt, so daß H(Z Y n C ) α H(Z) n 0. 8 Symmetrische Krypto-Systeme Man unterscheidet zunächst zwischen den klassichen symmetrischen Krypto-Systemen und den erst in neuerer Zeit entwickelten asymmetrischen Systemen, auch Public-Key-Systeme genannt. Betrachten wir zunächst symmetrische Systeme. 8.1 Zufällige Chiffrierung Sei M = Σ n die Menge der potentiellen Wörter der Länge n über einem Alphabet Σ und R := log q die maximale Entropie des Alphabets. Wir betrachten die Zerlegung M = M 0 M 1, wobei M 1 der Mächtigkeit 2 r n die Menge der sinnvollen Klartexte bezeichne und jeder gleiche a priori WS 2 r n besitze, und M 0 die Menge der sinnlosen Klartexte. ρ := R r ist dann die Redundanz der Sprache. Sei K der Mächtigkeit 2 H(K) die Menge der Schlüssel, wobei die Schlüssel gleiche a priori WS besitzen. Die Chiffrefunktionen seien injektiv. In der Regel besitzt die Menge M 1 keine einfache Struktur. Daher werden die Chiffrefunktionen e K die sinnvollen Klartexte in C mehr oder weniger breit streuen. Eine hohe Streuung ist sogar

10 R. Reischuk, ITCS 57 erwünscht, denn falls etwa ähnliche Klartexte in ähnliche Chiffretexte übersetzt werden, ist die Chiffrierung offensichtlich erheblich einfacher. Betrachten wir das Beispiel in Abbildung??. Bei Chiffretext C 4 ist die Identifikation des Klartextes nicht eindeutig, es kann daher eine fehlerhafte Klartext Dechiffrierung geben. Bei Chiffretext C 2 ist der Klartext zwar eindeutig, nicht aber der Schlüssel, man spricht dann von einer mehrdeutigen Schlüssel-Dechiffierung. Für einen gegebenen Chiffretext C = e K (M) mit M M 1 bezeichne B(C) die Menge aller Paare (M, K ) mit e K (M ) = C und M M 1. a M (C) sei die Anzahl der Nachrichten M M, die in Paaren in B(C) vorkommen, und a K (C) die Anzahl solcher Schlüssel K K. Die Injektivität der Chiffrierfunktionen impliziert, daß jedes K mit höchstens einem Klartext M als Paar in B(C) erscheint, d.h. es gilt a M (C) a K (C) B(C) 1. Definition 8.1 Eine ZV e : M K C heißt zufällige Chiffre, falls für die Abbildungen e K M C definiert durch e K (M) = e(m, K) und deren inverse Funktionen d K, die dann ebenfalls ZV sind, gilt: für alle Schlüssel K und Chiffretexte C ist d K (C) gleichmäßig über M verteilt; für alle K, C und Teilmengen S C {C} ist die bedingte ZV d K (C) [{d K (C ) C S}] gleichmäßig verteilt über allen Klartexten M {d K (C ) C S} ; d K (C), d K (C ) sind unabhängig für alle K K und C, C. DIe ZV e kann man sich eine Menge von Kryptosystemen E über festen Mengen von Klartexten, Chiffretexten und Schlüsseln vorstellen, aus denen eins zufällig ausgewählt wird, d.h. neben dem konkreten Schlüssel K zur Chiffrierung wird noch ein weiterer Zufallsstring oder Schlüssel K verwendet, um das konkrete Kryptosystem E festzulegen. Lemma 8.1 Für jedes C ist a K (C) binominal verteilt mit den Parametern N = 2 H(K) 1 (Anzahl der Versuche), p = 2 ρ n (Erfolgswahrscheinlichkeit eines Versuches) und Erwartungswert E(a K (C)) = N p 2 H(K) ρ n. Beweis: Sei Schlüssel K festgelegt und C = e K (M) für eine Nachricht M M 1. Da die Verteilung der d K für K K unabhängig ist von d K, liefert eine Dechiffrierung mit einen der 2 H(K) 1 Schlüssel K einen sinnvollen Klartext mit WS p = M 1 M = 2 r n R n = 2 ρ n. Ein großer Wert für E(a K (C)) bedeutet hohe Sicherheit vor Identifikation des Schlüssels; dies impliziert aber nicht automatisch auch hohe Sicherheit vor Identifikation der Nachricht, da a M (C) a K (C). Zumindest bei einer zufälligen Chiffrierung sind beide Werte jedoch von

11 58 Codierung und Sicherheit, UzL WS 2007/08 derselben Größenordnung. E(a K (C)) 1 dagegen bedeutet dagegen eine geringe Sicherheit im informationstheoretischen Sinn. Man definiert n 0 := H(K)/ρ als Eindeutigkeit-Abstand. Dies ist die kleinste Anzahl von Chiffretexten, die nötig ist, um den Schlüssel eindeutig zu identifizieren, denn für n n 0 gilt E(a K (C)) Transpositions- und Substitutions-Chiffren Sei K eine Menge von Permutationen π über der Menge [1, n]. Falls die Chiffrierfunktionen e K : Σ n Σ n gegeben sind durch K = π = (π(1),..., π(n)) und e K (m 1,..., m n ) = m π(1)... m π(n) heißt E eine Tranpositions-Chiffre. Der Vorteil solch eines Verfahrens liegt darin, daß sich die Häufigkeiten der einzelnen Buchstaben nicht ändern. Die maximale Anzahl möglicher Schlüssel beträgt n!. Für einen Menschen ist es schwierig, sich bei größerer Blocklänge n eine beliebige Transposition zu merken zu diese anzuwenden. Ein einfaches Beispiel für eine Transposition ist die n = p q Zeichen zeilenweise in einer (p q) -Matrix abzuspeichern und diese Matrix dann spaltenweise auszulesen. Definition 8.2 Wird jeder Buchstabe eines Klartextes durch einen festen anderen Buchstaben ersetzt, spricht man von einer monoalphabetischen Substitutions-Chiffre. Eine polyalphabetische Chiffre, auch Blockchiffre genannt, ersetzt dagegen Strings einer festen Länge l > 1 durch jeweils einen neuen String. Bei einer monoalphabetischen Substitutions-Chiffre benötigt man also eine Bijektion f : Σ Σ. Dafür gibt es maximal Σ! viele Möglichkeiten. Beispiel Bei der Caesar Chiffre wird jedes Symbol um eine feste Position p [0..25[ verschoben, d.h. es gibt 26 verschiedene Schlüssel. Als Eindeutigkeitsabstand ergibt sich n 0 = log q ρ log 26 3,2 1, Mehr Möglichkeiten bieten affine Transformationen, wobei Σ = ZZ p gewählt wird und Abbildungen σ a σ + b mod p für a, b ZZ p mit (a, p) = Ist bei einer natürlichen Sprache jede Bijektion zulässig, so ergibt sich aus H(K) = log (26!) = 88, 45 der Eindeutigkeitsabstand n 0 = 88, 4/3, 2 28 Zeichen im zufälligen Chiffre-Modell. Genauer gilt für n = 20 die Abschätzung E(a K ) = , während für n = 40 dieser Wert dramatisch schrumpft auf E(a K ) =

12 R. Reischuk, ITCS 59 Friedman faßt dies zu folgender These zusammen: In der Praxis kann jeder Chiffretext mit 25 oder mehr Buchstaben, die durch eine einfache Substitutions-Chiffre eines sinnvollen Klartextes generiert worden ist, sehr schnell dechiffriert werden. Falls ein Kryptosystem die Klartexte gut streut, wenn der Schlüssel variiert wird, ist der Eindeutigkeitsabstand des zufälligen Chiffre-Modells eine gute Approximation für H m nahe bei Produkt- und Feistel-Chiffren Um die Güte einer Chiffrierung zu messen, hat Shannon folgende Begriffsbildung eingeführt: Diffusion: jedes Bit des Klartextes und des Schlüssels beeinflußt viele Bits des Chiffretextes; Konfusion: Statistik der Chiffretexte hängt in komplizierter Weise von der Statistik der Klartexte ab. Produkt-Chiffren sind eine Kombination von Substitutionen und Transpositionen. Im Idealfall kommt jeder Block eines Klartextes nur einmal während der gesamten Lebenszeit des Verfahrens vor. Dazu werden jedoch große Blocklängen benötigt und ein Chiffrierverfahren, welche kompakte Beschreibungen besitzen und schnell zu berechnen sind. Horst Feistel schlug 1973 ein allgemeines Schema zur Verschlüsselung von Binärstrings vor, welches den Vorteil hat, daß die Entschlüsselung auf gleiche Weise erfolgen kann. Derartige Chiffren nennt man heute Feistel-Chiffren. Ein Bit-Vektor X der Länge 2l wird in 2 gleichgroßeteile X = L R der Länge jeweils l zerlegt. Die Verschlüsselung geschieht mit Hilfe einer Funktion f K : {0, 1} l {0, 1} l, die durch den Schlüssel K spezifiziert wird. Diese Funktion wird auf die rechte Hälfte R angewendet und das Ergebnis f K (R) wird dann mit der linken Hälfte durch verknüpft zu dem neuen String L = L f K (R). Die rechte Hälfte bleibt unverändert und erzeugt die Ausgabe R = R. Zusätzlich werden die beiden Hälften noch vertauscht, so daß man schließlich als Ausgabe den String Y = R L = R L f K (R) erhält. 8.4 Das DES-System Das Data Encryption Standard System (DES) wurde von IBM entwickelt und 1977 vom amerikanischen National Bureau of Standards (NBS) für den kommerziellen Einsatz übernommen. Es ist ein klassisches Beispiel für ein komplexes symmetrisches System. DES basiert auf dem IBM-Cryptosystem Lucifer, an dessen Entwicklung Feistel maßgeblich beteiligt war. Blöcke aus n = 64 Bits werdem mit einem 56-Bit Schlüssel K chiffriert, wobei die Maniluplation der Bits als Operationen über dem zweielementigen Körper IF 2 aufgefaßt werden. Ein Bit-Vektor B wird in 2 gleichlänge Hälften L und R zerlegt. In einem Iterationsschritt werden die beiden Hälften vertauscht und die linke Hälfte zusätzlich mit einer Modifikation f Ki (R) der rechten Hälfte bitweise durch verknüpft, wobei f K eine geeignete Funktion ist, die von einem Subschlüssel K abhängt. K selber berechnet sich aus dem Hauptschlüssel K.

13 60 Codierung und Sicherheit, UzL WS 2007/08 IBM hatte das System ursprünglich für eine Schlüssellänge K von 128 Bit vorgesehen, die Schlüssellänge dann aber auf Geheiß des NBS auf 56 reduziert. Die genaueren Details sind wie folgt. Alphanumerische und einige sonstige Zeichen werden zunächst als 8-Bit, d.h. 1-Byte kodiert, etwa durch EBCDIC (Extended binary coded decimal interchange code) oder USASCII (USA Standard Code for information interchange). Ein Block besteht also aus 8 Bytes. Aus dem 56-Bit Schlüssel K werden 16 Subschlüssel K 1,..., K 16 der Länge 48 erzeugt. Ziel des Chiffrierverfahrens ist es, daß jedes einzelne Bit der Nachricht möglichst viele Positionen im Chiffretext beeinflusst und zwar auf eine komplexe Art und Weise. Die Dechiffrierung kann durch denselben Algorithmus erfolgen, allerdings unter Reversion der Reihenfolge der Subschlüssel Das Chiffrierverfahren Zunächst werden die 64 Nachrichtenbits durch eine Permutation Π gleichmäßig verstreut: X = x 1... x 64 = Z = Π(X) = x 58 x x 7 Π = Die Abbildungen f Ki (R i ) sind folgendermaßen definiert. Als erstes wird durch Durchmischung und Duplizierung einzelner Bits aus dem 32 -Bit-String R i = u 0... u 31 ein 48 -Bit-String R i erzeugt: R i = u i0... u i47. Dieser String R i wird dann bitweise mit den 48 Bits des Subschlüssel K i durch verknüpft. Diese 48 Bits werden in 8 Blöcke B 1... B 8 der Länge jeweils 6 aufgeteilt. Jedes B i wird durch eine spezielle Funktion S i : {0, 1} 6 {0, 1} 4, die sogenannten S -Boxen, auf einen 4-Bit String abgebildet. Schließlich werden die so erhaltenen 8 4 = 32 Bits durch eine Permutation Π vermischt. Π = Π 0... Π 3 Π 4... Π 7 Π 8... Π 11 Π Π 15 Π Π 19 Π Π 23 Π Π 27 Π Π 31 =

14 R. Reischuk, ITCS 61 Definition der S -Boxen S = S 1,..., S 8, die jeweils einen 6 -Bit-String B i in einen 4 - Bit-String S i (B i ) abbilden: S i (b 0 b 1 b 2 b 3 b 4 b 5 ) := (g 0 g 1 g 2 g 3 ) Kodiert man den Eingabevektor B i durch die beiden Terme β 1 = b 0 + 2b 5 und β 1 = b 1 + 2b 2 + 4b 3 + 8b 4, so ergibt sich für den Ausgabevektor die Integer-Darstellung γ = g 0 + 2g 1 + 4g 2 + 8g 4 entsprechend der folgenden Tabelle beispielhaft für die Abbildung S 1 : β 1 \β Die Werte S 1 (β 1, β 2 ) Berechnung der Subschlüssel K 0,..., K 15 {0, 1} 48 aus dem Hauptschlüssel K {0, 1} 56 : Wir teilen die 56 Bits in 8 Blöcke a 7 Bits ein und fügen noch zu jedem Block ein Paritäts-Bit hinzu. Diese 64 Bits werden dann durch eine Permutation Π 1 zerstreut. Π 1 = Durch Zerlegung in 2 Hälften a 32 Bits und Rotation der Bits jeder Hälfte werden die Subschlüssel K i erzeugt, wobei vorher jeweils noch eine Permutation Π 2 die Bitpositionen vertauscht. Π 2 = Das gesamte Berechnungsverfahren ist vollständig bekannt, Es gibt hardware-mäßige Implementierungen des DES, die Chiffrier-Raten von mehreren Millionen bits/sec erreichen. Der kommerzielle Einsatz ist bedeutsam, DES dient auch zur Sicherung von Paßwörtern im Unix-System.

15 62 Codierung und Sicherheit, UzL WS 2007/08 IBM und NBS haben allerdings die genauen Konstruktionsprinzipien, insbesondere die Konstruktion der S -Funktionen, bislang geheimgehalten. Es gibt Kritiker, die dahinter eine geheime Dechiffriermöglichkeit vermuten. Zumindest gelten jedoch die folgende Eigenschaften: die Funktionen S i sind weder linear noch affin-linear; ändert man ein Input-Bit von S i, so ändern sich mindestens 2 Output-Bits; in Stufe 5 hängt bei L 5 und R 5 bereits jedes Bit von allen 64 Input-Bits und allen 56 Schlüssel-Bits ab, des weiteren haben Tests gezeigt, daß Veränderungen eines Bits des Klartextes oder des Schlüssels zu enormen Änderungen des Chiffretextes führen; eine Beschreibung der Output-Bits c j als Boolesche Funktionen in den Inputvariablen m i mit schlüsselabhängigen Koeffizienten h(k) scheint sehr viele Koeffizienten zu benötigen. In der Darstellung als disjunktive Normalform c j = b j K (m 0,..., m 63 ) =... m c ir i r h i1...i r (K) m ci1 i 1 i 1...i r scheinen sehr viele Terme h i1...i r notwendig zu sein. Allerdings ist lange Zeit trotz großer Anstrengungen kein besseres Verfahren veröffentlicht worden, das DES schneller dechiffrieren kann als durch einen vollständigen Test aller möglichen Schlüssel. Shamir hat 1997 eine Kryptoanalyse durch bewußt herbeigeführte Fehler bei der Chiffrierung durchgeführt ein Beispiel für die Kreativität bei Angriffsversuchen Kryptanalytische Angriffe auf DES Es bezeichne T DES den Zeitaufwand für die Berechnung eines beliebigen Chiffretextes C = DES K (M) und S DES der dazu notwenidige Speicherplatzbedarf. 1. Vollständige Suche bei Klartext-Angriff: Gegeben ein Paar (M, C) berechne DES K (M) für alle K K, bis ein Schlüssel K gefunden wird mit DES K (M) = C. Dies verlangen einen Berechnungsaufwand von: Zeit: T = K T DES, Speicherplatz: S = log K + S DES. In der Praxis bedeutet das etwa: Probiert man bei 56 -Bit Schlüssellänge alle Schlüssel durch mit Hilfe eines schnellen Rechners, der pro Schlüssel 1 nsec = 10 9 sec benötigt, d.h. 1 Milliarde Verschlüsselungen in der Sekunde durchführt, kann man 8, Schlüssel pro Tag testen und benötigt somit 3 Jahre für einen kompletten Test. Benutzt man parallel 1000 solcher Prozessoren, so reduziert sich die Zeit für eine vollständige Suche auf 1 Tag. Mit einigen algorithmischen Verbesserungen kann die vollständige Suche soweit beschleunigt werden, daß die leistungsfähigsten Rechner, die heute verfügbar sind, nur einige Stunden benötigen. 2. Dechiffrierung mit Hilfe eines Chiffrier-Buches bei gewähltem Klartext-Angriff: M 0 sei ein fester Klartext. Einmalig wird ganz zu Anfang für alle K K der Chiffretext

16 R. Reischuk, ITCS 63 C K = DES K (M 0 ) berechnet und die Paare (C K, K) sortiert nach der 1. Komponente abgepeichert. Um den konkret verwandten Schlüssel zu finden, lasse M 0 chiffrieren und suche den Chiffretext C in der vorab erzeugten Datenbank. Der Aufwand beläuft sich auf: Zeit T = K T DES + O( log K ), Platz T = S DES + O( K ). Konkret bedeutet dies, daß Bytes, d.h. circa 1, Gigabytes abgespeichert werden müssen. Stehen Plattenspeicher mit einer Kapazität von 100 Gigabytes zur Verfügung, so benötigt man also 12 Millionen Platten, bei einem Preis von angenommen 100 EURO pro Platte immerhin über 1 Milliarde EURO. 3. Angriff über die Zykellänge: Für einen festen Schlüssel K ist DES K (.) eine Abbildung der Menge {0, 1} 64 auf sich selbst. Die Injektivität impliziert, daß diese Abbildung sogar eine Bijektion ist, d.h. eine Permutation von {0, 1} 64. Definiere für l IN die Iteration DES l K durch DESl K (M) := DES K (DES l 1 K (M)) und l K (M) := min{l > 0 DES l K (M) = M} als die DES-Periodenlänge von M bezüglich K. Bei einer kleinen Periode kann bei einem bei einem gewählten Klartext-Angriff auf einen Chiffretext C derquelltext M durch interaktives Chiffrieren gefunden werden, da für p := l K (C) 1 und C p := DES p K (C) gilt: DES K (C p ) = DES K (DES p K (C)) = DESl K(C) K (C) = C, d.h. C p ist der gesuchts Klartext M. Bei einer zufälligen Permutation auf einer N = elementigen Menge ist die mittlere Periodenlänge N/2. Tests für das DES-Verfahren haben eine ähnliche Schranke ergeben. Der wesentliche Schwachpunkt des DES-Verfahrens ist angesichts der heutigen Rechnertechnologie die kurze Schlüssellänge. 56-Bit-Schlüssel garantieren nicht mehr die gewünschte Sicherheit hat der Spezialrechner Deep Crack unter Zuhilfenahme von PCs einen bruteforce-angriff bei bekanntem Klartext durch Test aller möglichen Schlüssel in weniger als 1 Tag erfolgreich durchgeführt. Das DES-Verfahren wurde deshalb erweitert zu Triple-DES, bei dem die Nachricht dreimal hintereinander chiffriert wird, jeweils mit einem separaten 56-Bit-Schlüssel. Es macht Sinn, verschiedene DES-Chiffrierfunktionen zu kombinieren, da die Menge DES := {DES K K {0, 1} 56 } keine Untergruppe der Permutationsgruppe von {0, 1} 64 ist. Abschätzungen zeigen, daß die kleinste Untergruppe, die DES enthält, mehr als Permutationen umfaßt (die Permuationsgruppe von {0, 1} 64 enthält mehr als 2 64! viele Abbildungen). 8.5 IDEA Das Chiffreverfahren IDEA (International Data Encryption Algorithm) wurde 1992 von Lai und Massey vom schweizer SFIT im Jahr 1990 vorgestellt. Es kodiert 64-Bit Klartexte mit Hilfe eines 128-Bit Schlüssel zu 64 Bit-Chiffretexten. Man kann das Vorgehen als ein verallgemeinertes Feistel-Verfahren ansehen, das 8 Runden verwendet. Die 64 Bit werden in 4 Teilstrings a

17 64 Codierung und Sicherheit, UzL WS 2007/08 16 Bit aufgeteilt. Das Verfahren arbeitet mit Wortlänge 16 und behandelt einen 16-Bitstring als ein Elemente des Körpers GF (2 16 ). Auf diese Elemente werden 3 verschiedene Arten von Abbildungen angewandt, das bitweise XOR,, die Addition mod 2 16, +, die Multiplikationn mod ,. Eine Kombination dieser Abbildungen bildet eine S-Box, die als Input 2 Worte sowie einen Rundenschlüssel bestehend aus 6 Worten bekommt, und als Ausgabe 2 neue Worte erzeugt. In jeder Runde wird mit Hilfe dieser S-Box eine nichtlineare Abbildung auf den 4 Worten, die durch den 64-Bit-Eingabestring gebildet werden, ausgeführt. Zusätzlich werden das zweite und dritte Wort vertauscht. Die 8 Runden plus eine 9. Abschlußrunde benötigen als Rundenschlüssel insgesamt = 52 Worte. Diese werden aus dem 128-Bit-Schlüssel gebildet, indem dieser zunächst in 8 Teilstrings zerlegt wird, die jeder ein Wort bilden. Wietere Worte werden durch zyklische Shifts um 25 Bitpositionen nach links generiert. Bei der Dechiffrierung werden die inversen Abbildungen angewendet, d.h. im Falle von + das additiv Inverse und im Fall von das multiplikativ Inverse. Hierbei repräsentiert das Wort nicht die 0 in ZZ , sondern das Element 2 16, welches gleich -1 und damit zu sich selbst invers ist. 8.6 Rijndael Der neue Standard seit dem Jahr 2001, das AES-System (Advanced Encryption Standard), basiert auf einem System, das von zwei belgischen Cryptologen, Joan Daemen und Vincent Rijmen, entwickelt worden ist. Es hat sich in einem weltweit ausgeschriebenen Wertbewerb der amerikanischen Sicherheitsbehörde gegen konkurrierende System durchgesetzt. Rijndael ist keine Feistel-Chiffre, sondern ein reine Produktchiffre, die durch ein Folge von Substitutionen und Permutationen aufgeteilt in 10, 12 oder 14 Runden (die Rundenzahl ist abhängig von der Schlüssellänge) spezifiziert wird. Die Blocklänge für Klar- und Chiffretexte beträgt 128, die Schlüssellänge kann zwischen 128 und 256 variieren. Die Wortlänge beträgt 8, d.h. ein Klartext wird in 16 Teilworte a 1 Byte zerlegt, die logisch in einer 4x4-Matrix angeordnet werden. Die Substituionen werden durch Operationen im Körper GF (2 8 ) definiert. Eine Runde besteht aus den 4 Operationen SubBytes, die ein Wort durch sein Inverses ersetzt und anschließend eine lineare Transformation ausführt, d.h. x A x 1 b für eine feste Matrix A und Vektor b ; ShiftRow, ein zyklischer Shift der Bytes in den einzelnen Zeilen der Repräsentationsmatrix; MixColumn, eine Transformation der Bytes jeder Spalte der Repräsentationsmatrix; AddRoundKey, eine byteweise XOR-Verknüpfung mit dem Rundenschlüssel, ebenfalls 128 Bit lang, d.h. er besteht aus 16 Bytes.

18 R. Reischuk, ITCS 65 Pro Runde werden damit 16 Worte benötigt. Diese werden aus dem Schlüssel durch eine Expansion gewonnen, die durch die XOR-Verknüpfung von Teilstrings und zyklische Shifts generiert wird.

19 66 Codierung und Sicherheit, UzL WS 2007/08 9 Asymmetrische Krypto-Systeme Bei symmetrischen Krypto-Systemen genügt die Kenntnis des geheimen Schlüssels K, um sowohl das Chiffrieren als auch das Dechiffrieren durchführen zu können. Da e K und d K als Funktionen sich invers zueinander verhalten, ist informationstheoretisch durch Kenntnis von e K natürlich auch d K bekannt. Die grundlegende neue Idee bei asymmetrischen Systemen ist es, diese enge Bindung zumindest im algorithmisch effektiven Sinn aufzuheben. 9.1 Einweg-Funktionen Im folgenden bezeichne X den Definitionsbereich der betrachteten Funktionen und Y ihren Wertebereich. Es bezeichne FUN C X,Y die Menge aller injektiven Funktionen von X nach Y. ALG X,Y sei die Menge aller Algorithmen, die eine Funktion in FUN C X,Y realisieren, und ALG + X,Y = ALG X,Y P die Teilmenge der effizienten Algorithmen mit polynomialer Laufzeit. Definition 9.1 Eine Funktion f FUN C X,Y heißt Einweg-Funktion, falls f effizient berechnet werden kann, die inverse Funktion f 1 : Y X dagegen nicht. Komplexitätstheoretisch läßt sich dies beispielsweise durch die Forderungen f P und f 1 / P ausdrücken. Eine Falltür-Funktion (Trap-door-Funktionen) f muß die folgenden Bedingungen erfüllen: f kann effizient berechnet werden; die inverse Funktion f 1 kann nicht effizient berechnet werden, falls als einzige Information f selbst gegeben ist. Es gibt jedoch eine zusätzliche (geheime) Information I f, so daß bei Kenntnis dieser f 1 ebenfalls effizient berechnet werden kann. Sei F : K FUN C X,Y eine Abbildung, die jedem Schlüssel K eine Chiffrierfunktion F(K) mit Inversem F(K) 1 zuordnet und folgende Eigenschaft besitzt: 1.) für jedes K gehören die Funktionen F(K) und F(K) 1 zu P ; 2.) es gibt eine effizient berechenbare Funktion : K ALG + X,Y die für jedes K einen P - Algorithmus (K) für F(K) spezifiziert; 3.) es gibt keine effizient berechenbare Funktion Ψ : K ALG + Y,X, die für jedes K einen P -Algorithmus für F(K) 1 generiert. Dann heißt F ein Ensemble von Falltür-Funktionen. Es gilt also: Obwohl die Funktionen F(K) und F 1 (K) einfach zu berechnen sind, läßt sich ein guter Algorithmus für F 1 (K) aus K nicht auf einfache Weise konstruieren. Das Telefonbuch, welches jedem Benutzer eine Telefonnummer zuordnet, ist ein Beispiel für eine 1-Weg-Funktion in diesem Fall bezüglich logarithmischer Suchzeit. Zu jedem Namen kann die zugehörige Telefonnummer durch binäre Suche sehr schnell gefunden werden. Um die inverse Funktion, also zu einer gegebenen Telefonnummer den Teilnehmer zu ermitteln, muß man jedoch in der Regel das Telefonbuch vollständig durchsuchen, was lineare Laufzeit erfordert. 9.2 Der diskrete Logarithmus Definition 9.2 Sei α eine Primitivwurzel in ZZ n, d.h. ein erzeugendes Element dieser multiplikativen Gruppe. Dann heißt die bijektive Abbildung DISEXP α,n (x) := MODEXP(n, α, x) = α x mod n,

20 R. Reischuk, ITCS 67 die Zahlen im Interval [1..ϕ(n)] auf ZZ n abbildet, die diskrete Exponentialfunktion zur Basis α und Modul n. Wie bereits zu Anfang besprochen, kann DISEXP α,n (x) aus der Binärdarstellung von x der Länge log n in Zeit O(log 3 n) durch sukzessives Quadrieren und Reduzieren mod p berechnet werden. Die Umkehrfunktion DISLOG α,n (y) := log α y mod n von ZZ n nach [1..ϕ(n)] heißt der diskrete Logarithmus zur Basis α. Bis heute sind keine effizienten Verfahren zur Berechnung des diskreten Logarithmus für beliebige Moduli n bekannt. Man vermutet, daß DISLOG nicht in P liegt. Falls p 1 große Primfaktoren besitzt, benötigt der bislang beste bekannte Algorithmus von Adleman eine Laufzeit der Größe exp O( log n llog n). Bei 300-stelligen Moduli kann der diskrete Logartihmus damit nicht mehr effektiv berechnet werden. Die diskrete Exponentialfunktion ist somit ein vielversprechender Kandidat für eine Einwegfunktion. Um diese Eigenschaft zu zeigen, müßte also eine nichtpolynomiale untere Schranke für die diskrete Logarithmus-Funktion gezeigt werden. Derartiges ist bislang trotz großer Anstrengungen noch nicht gelungen. 9.3 Symmetrische Verschlüsselung durch modulare Exponentaion Ein symmetrisches Kryptosystem von Pohlig/Hellmann basiert auf der Berechnung von Potenzen in ZZ n. Für einen festen Exponenten e sei MODPOT e,n (m) := MODEXP(n, m, e) = m e mod n für m ZZ n. Für e = 2 bedeutet dies also die Berechnung von Quadraten (quadratischen Resten) in ZZ n. Die Umkehrfunktion zu MODPOT e,n verlangt dann, die e -te Wurzel einer Zahl in ZZ n zu ziehen. Im Gegensatz zum Wurzelziehen in ZZ, für das schnelle Algorithmen zur Verfügung stehen, ist dies in ZZ n erheblich schwieriger. Über ZZ hat die e -te Wurzel einer Zahl y ungefähr 1/e so viele Stellen wie y selbst. Über ZZ n gilt dies nicht mehr, denn ähnlich wie beim diskreten Logarithmus kann die Wurzel größer sein als die Zahl selbst. Auch hier sind bislang keine Polynomialzeitalgorithmen bekannt, die für beliebige Moduli Wurzeln berechnen können. Die inverse Operation, das Wurzelziehen, läßt sich über ZZ n jedoch wieder auf das Potenzieren zurückführen zumindest für bestimmte Exponenten e. Sei d das Inverse zu e modulo ϕ(n), d.h. e d = 1 + k ϕ(n) für eine natürliche Zahl k. Dann gilt nach dem Eulerschen Satz für jedes m ZZ n : (m e ) d = m 1+k ϕ(n) m (m ϕ(n) ) k m mod n, mit anderen Worten MODPOT d,n ist die Umkehrfunktion zu MODPOT e,n. Damit e ein Inverses besitzt, muß ggt(e, ϕ(n)) = 1 gelten. Da ϕ(n) für alle n > 2 gerade ist, muß e ungerade gewählt werden. Ist ϕ(n) bekannt, so kann das Inverse d leicht mit Hilfe des erweiterten Euklidschen Algorithmus berechnet werden. ϕ(n) läßt sich berechnen, wenn man die vollständige Primfaktorzerlegung

Kryptographische Verfahren. zur Datenübertragung im Internet. Patrick Schmid, Martin Sommer, Elvis Corbo

Kryptographische Verfahren. zur Datenübertragung im Internet. Patrick Schmid, Martin Sommer, Elvis Corbo Kryptographische Verfahren zur Datenübertragung im Internet Patrick Schmid, Martin Sommer, Elvis Corbo 1. Einführung Übersicht Grundlagen Verschlüsselungsarten Symmetrisch DES, AES Asymmetrisch RSA Hybrid

Mehr

RSA Verfahren. Kapitel 7 p. 103

RSA Verfahren. Kapitel 7 p. 103 RSA Verfahren RSA benannt nach den Erfindern Ron Rivest, Adi Shamir und Leonard Adleman war das erste Public-Key Verschlüsselungsverfahren. Sicherheit hängt eng mit der Schwierigkeit zusammen, große Zahlen

Mehr

Grundlagen der Kryptographie

Grundlagen der Kryptographie Grundlagen der Kryptographie Seminar zur Diskreten Mathematik SS2005 André Latour a.latour@fz-juelich.de 1 Inhalt Kryptographische Begriffe Primzahlen Sätze von Euler und Fermat RSA 2 Was ist Kryptographie?

Mehr

IT-Sicherheit: Kryptographie. Asymmetrische Kryptographie

IT-Sicherheit: Kryptographie. Asymmetrische Kryptographie IT-Sicherheit: Kryptographie Asymmetrische Kryptographie Fragen zur Übung 5 C oder Java? Ja (gerne auch Python); Tips waren allerdings nur für C Wie ist das mit der nonce? Genau! (Die Erkennung und geeignete

Mehr

Kryptographische Systeme (M, C, K, e, d) Symmetrische Verfahren (gleicher Schlüssel zum Verschlüsseln und Entschlüsseln):

Kryptographische Systeme (M, C, K, e, d) Symmetrische Verfahren (gleicher Schlüssel zum Verschlüsseln und Entschlüsseln): Was bisher geschah Kryptographische Systeme (M, C, K, e, d) Symmetrische Verfahren (gleicher Schlüssel zum Verschlüsseln und Entschlüsseln): Substitutions-Chiffren (Permutationschiffren): Ersetzung jedes

Mehr

Methoden der Kryptographie

Methoden der Kryptographie Methoden der Kryptographie!!Geheime Schlüssel sind die sgrundlage Folien und Inhalte aus II - Der Algorithmus ist bekannt 6. Die - Computer Networking: A Top außer bei security by obscurity Down Approach

Mehr

Kryptographische Verschlüsselung mithilfe des DES-Verfahrens und die Übersetzung eines Textes durch ein selbstgeschriebenes Delphi-Programm

Kryptographische Verschlüsselung mithilfe des DES-Verfahrens und die Übersetzung eines Textes durch ein selbstgeschriebenes Delphi-Programm Kryptographische Verschlüsselung mithilfe des DES-Verfahrens und die Übersetzung eines Textes durch ein selbstgeschriebenes Delphi-Programm Andre Pawlowski, Gymnasium Holthausen, LK Mathematik, 2004/2005

Mehr

10. Public-Key Kryptographie

10. Public-Key Kryptographie Stefan Lucks 10. PK-Krypto 274 orlesung Kryptographie (SS06) 10. Public-Key Kryptographie Analyse der Sicherheit von PK Kryptosystemen: Angreifer kennt öffentlichen Schlüssel Chosen Plaintext Angriffe

Mehr

Advanced Encryption Standard. Copyright Stefan Dahler 20. Februar 2010 Version 2.0

Advanced Encryption Standard. Copyright Stefan Dahler 20. Februar 2010 Version 2.0 Advanced Encryption Standard Copyright Stefan Dahler 20. Februar 2010 Version 2.0 Vorwort Diese Präsentation erläutert den Algorithmus AES auf einfachste Art. Mit Hilfe des Wissenschaftlichen Rechners

Mehr

Datensicherheit durch Kryptographie

Datensicherheit durch Kryptographie Datensicherheit durch Kryptographie Dr. Michael Hortmann Fachbereich Mathematik, Universität Bremen T-Systems Michael.Hortmann@gmx.de 1 Kryptographie: Klassisch: Wissenschaft und Praxis der Datenverschlüsselung

Mehr

Blockverschlüsselung und AES

Blockverschlüsselung und AES Blockverschlüsselung und AES Proseminar/Seminar Kryptographie und Datensicherheit SoSe 2009 Universität Potsdam ein Vortrag von Linda Tschepe Übersicht Allgemeines SPNs (Substitutions- Permutations- Netzwerke)

Mehr

Kryptographie praktisch erlebt

Kryptographie praktisch erlebt Kryptographie praktisch erlebt Dr. G. Weck INFODAS GmbH Köln Inhalt Klassische Kryptographie Symmetrische Verschlüsselung Asymmetrische Verschlüsselung Digitale Signaturen Erzeugung gemeinsamer Schlüssel

Mehr

Kryptologie und Kodierungstheorie

Kryptologie und Kodierungstheorie Kryptologie und Kodierungstheorie Alexander May Horst Görtz Institut für IT-Sicherheit Ruhr-Universität Bochum Lehrerfortbildung 17.01.2012 Kryptologie Verschlüsselung, Substitution, Permutation 1 / 18

Mehr

Symmetrische Verschlüsselung. Blockchiffren, DES, IDEA, Stromchiffren und andere Verfahren

Symmetrische Verschlüsselung. Blockchiffren, DES, IDEA, Stromchiffren und andere Verfahren Symmetrische Verschlüsselung Blockchiffren, DES, IDEA, Stromchiffren und andere Verfahren Symmetrische Verfahren Sender und Empfänger haben sich auf einen gemeinsamen Schlüssel geeinigt (geheim!!). Sender

Mehr

1 Kryptosysteme 1 KRYPTOSYSTEME. Definition 1.1 Eine Kryptosystem (P(A), C(B), K, E, D) besteht aus

1 Kryptosysteme 1 KRYPTOSYSTEME. Definition 1.1 Eine Kryptosystem (P(A), C(B), K, E, D) besteht aus 1 RYPTOSYSTEME 1 ryptosysteme Definition 1.1 Eine ryptosystem (P(A), C(B),, E, D) besteht aus einer Menge P von lartexten (plaintext) über einem lartextalphabet A, einer Menge C von Geheimtexten (ciphertext)

Mehr

Was bisher geschah Kryptographische Systeme (M, C, K, e, d) Verfahren: symmetrisch klassisch: Verschiebechiffren (Spezialfall Caesar-Code)

Was bisher geschah Kryptographische Systeme (M, C, K, e, d) Verfahren: symmetrisch klassisch: Verschiebechiffren (Spezialfall Caesar-Code) Was bisher geschah Kryptographische Systeme (M, C, K, e, d) Verfahren: symmetrisch klassisch: Verschiebechiffren (Spezialfall Caesar-Code) Multiplikative Chiffren monoalphabetische Substitutions-Chiffren:

Mehr

Einführung in die moderne Kryptographie

Einführung in die moderne Kryptographie c by Rolf Haenni (2006) Seite 1 Von der Caesar-Verschlüsselung zum Online-Banking: Einführung in die moderne Kryptographie Prof. Rolf Haenni Reasoning under UNcertainty Group Institute of Computer Science

Mehr

DES der vergangene Standard für Bitblock-Chiffren

DES der vergangene Standard für Bitblock-Chiffren DES der vergangene Standard für Bitblock-Chiffren Klaus Pommerening Fachbereich Mathematik der Johannes-Gutenberg-Universität Saarstraße 1 D-55099 Mainz Vorlesung Kryptologie 1. März 1991, letzte Änderung:

Mehr

Sommersemester 2002 Konzepte von Betriebssystem-Komponenten: Schwerpunkt Sicherheit (KVBK)

Sommersemester 2002 Konzepte von Betriebssystem-Komponenten: Schwerpunkt Sicherheit (KVBK) Sommersemester 2002 Konzepte von Betriebssystem-Komponenten: Schwerpunkt Sicherheit (KVBK) Vortrag zum Thema: Symmetrische Verschlüsselung (DES, 3DES, AES) und Schlüsselaustausch (Diffie-Hellman) Referent:

Mehr

AES. Jens Kubieziel jens@kubieziel.de. 07. Dezember 2009. Friedrich-Schiller-Universität Jena Fakultät für Mathem atik und Informatik

AES. Jens Kubieziel jens@kubieziel.de. 07. Dezember 2009. Friedrich-Schiller-Universität Jena Fakultät für Mathem atik und Informatik Angriffe gegen Jens Kubieziel jens@kubieziel.de Friedrich-Schiller-Universität Jena Fakultät für Mathem atik und Informatik 07. Dezember 2009 Angriffe gegen Outline 1 Zur Geschichte 2 3 Angriffe gegen

Mehr

Kryptologie. 2. Sicherstellung, dass eine Nachricht unverfälscht beim Empfänger ankommt: Integrität.

Kryptologie. 2. Sicherstellung, dass eine Nachricht unverfälscht beim Empfänger ankommt: Integrität. Kryptologie Zur Terminologie Die Begriffe KRYPTOLOGIE und KRYPTOGRAPHIE entstammen den griechischen Wörtern kryptos (geheim), logos (Wort, Sinn) und graphein (schreiben). Kryptographie ist die Lehre vom

Mehr

Stefan Lucks Krypto und Mediensicherheit (2009) 4: Stromchiffren

Stefan Lucks Krypto und Mediensicherheit (2009) 4: Stromchiffren 4: Stromchiffren Zwei Grundbausteine der symmetrischen Kryptographie: Stromchiffren Verschlüsseln beliebig langer Klartexte, interner Zustand Blockchiffren Verschlüsseln von Blocks einer festen Größe,

Mehr

Lenstras Algorithmus für Faktorisierung

Lenstras Algorithmus für Faktorisierung Lenstras Algorithmus für Faktorisierung Bertil Nestorius 9 März 2010 1 Motivation Die schnelle Faktorisierung von Zahlen ist heutzutage ein sehr wichtigen Thema, zb gibt es in der Kryptographie viele weit

Mehr

IT-Sicherheit Kapitel 3 Public Key Kryptographie

IT-Sicherheit Kapitel 3 Public Key Kryptographie IT-Sicherheit Kapitel 3 Public Key Kryptographie Dr. Christian Rathgeb Sommersemester 2013 1 Einführung In der symmetrischen Kryptographie verwenden Sender und Empfänger den selben Schlüssel die Teilnehmer

Mehr

Informationssicherheit - Lösung Blatt 2

Informationssicherheit - Lösung Blatt 2 Informationssicherheit - Lösung Blatt 2 Adam Glodek adam.glodek@gmail.com 13.04.2010 1 1 Aufgabe 1: One Time Pad 1.1 Aufgabenstellung Gegeben ist der folgende Klartext 12Uhr (ASCII). Verschlüsseln Sie

Mehr

Einführung in Computer Microsystems

Einführung in Computer Microsystems Einführung in Computer Microsystems Kapitel 9 Entwurf eines eingebetteten Systems für Anwendungen in der IT-Sicherheit Prof. Dr.-Ing. Sorin A. Huss Fachbereich Informatik Integrierte Schaltungen und Systeme

Mehr

Kapitel 4: Flusschiffren

Kapitel 4: Flusschiffren Stefan Lucks 4: Flusschiffren 52 orlesung Kryptographie (SS06) Kapitel 4: Flusschiffren Als Basis-Baustein zur Verschlüsselung von Daten dienen Fluss- und Blockchiffren. Der Unterschied: Flusschiffren

Mehr

Probabilistische Primzahlensuche. Marco Berger

Probabilistische Primzahlensuche. Marco Berger Probabilistische Primzahlensuche Marco Berger April 2015 Inhaltsverzeichnis Inhaltsverzeichnis 1 Einleitung 4 1.1 Definition Primzahl................................ 4 1.2 Primzahltest...................................

Mehr

Mathematische Grundlagen der Kryptographie. 1. Ganze Zahlen 2. Kongruenzen und Restklassenringe. Stefan Brandstädter Jennifer Karstens

Mathematische Grundlagen der Kryptographie. 1. Ganze Zahlen 2. Kongruenzen und Restklassenringe. Stefan Brandstädter Jennifer Karstens Mathematische Grundlagen der Kryptographie 1. Ganze Zahlen 2. Kongruenzen und Restklassenringe Stefan Brandstädter Jennifer Karstens 18. Januar 2005 Inhaltsverzeichnis 1 Ganze Zahlen 1 1.1 Grundlagen............................

Mehr

Stefan Lucks Krypto und Mediensicherheit (2009) 5: Blockchiffren. 5: Blockchiffren. (n bit) (n bit) VERschlüsseln ENTschlüsseln

Stefan Lucks Krypto und Mediensicherheit (2009) 5: Blockchiffren. 5: Blockchiffren. (n bit) (n bit) VERschlüsseln ENTschlüsseln 5: Blockchiffren Klartexte 000000 111111 000000 111111 000000 111111 000000 111111 000000 111111 000000 111111 Chiffretexte (n bit) (n bit) VERschlüsseln ENTschlüsseln 74 5.1: Abstrakte Blockchiffren Familie

Mehr

Kodierungsalgorithmen

Kodierungsalgorithmen Kodierungsalgorithmen Komprimierung Verschlüsselung Komprimierung Zielsetzung: Reduktion der Speicherkapazität Schnellere Übertragung Prinzipien: Wiederholungen in den Eingabedaten kompakter speichern

Mehr

6 Fehlerkorrigierende Codes

6 Fehlerkorrigierende Codes R. Reischuk, ITCS 35 6 Fehlerkorrigierende Codes Wir betrachten im folgenden nur Blockcodes, da sich bei diesen das Decodieren und auch die Analyse der Fehlertoleranz-Eigenschaften einfacher gestaltet.

Mehr

8. Von den Grundbausteinen zu sicheren Systemen

8. Von den Grundbausteinen zu sicheren Systemen Stefan Lucks 8. Grundb. sich. Syst. 211 orlesung Kryptographie (SS06) 8. Von den Grundbausteinen zu sicheren Systemen Vorlesung bisher: Bausteine für Kryptosysteme. Dieses Kapitel: Naiver Einsatz der Bausteine

Mehr

Grundbegriffe der Kryptographie II Technisches Seminar SS 2012 Deniz Bilen

Grundbegriffe der Kryptographie II Technisches Seminar SS 2012 Deniz Bilen Grundbegriffe der Kryptographie II Technisches Seminar SS 2012 Deniz Bilen Agenda 1. Kerckhoff sches Prinzip 2. Kommunikationsszenario 3. Wichtige Begriffe 4. Sicherheitsmechanismen 1. Symmetrische Verschlüsselung

Mehr

Was ist Kryptographie

Was ist Kryptographie Was ist Kryptographie Kryptographie Die Wissenschaft, mit mathematischen Methoden Informationen zu verschlüsseln und zu entschlüsseln. Eine Methode des sicheren Senden von Informationen über unsichere

Mehr

Kryptographie Laborautomation WS 02/03 Patrick Gleichmann

Kryptographie Laborautomation WS 02/03 Patrick Gleichmann Kryptographie Laborautomation WS 02/03 Patrick Gleichmann 1 0. Was ist Sicherheit? Verstecken!= Verschlüsseln Was ist Sicherheit überhaupt? Dazu folgendes Beispiel: Wenn man etwas in einen Safe steckt,

Mehr

Homomorphe Verschlüsselung

Homomorphe Verschlüsselung Homomorphe Verschlüsselung Sophie Friedrich, Nicholas Höllermeier, Martin Schwaighofer 11. Juni 2012 Inhaltsverzeichnis Einleitung Motivation Mathematische Definitionen Wiederholung Gruppe Ring Gruppenhomomorphisums

Mehr

Betriebsarten für Blockchiffren

Betriebsarten für Blockchiffren Betriebsarten für Blockchiffren Prof. Dr. Rüdiger Weis TFH Berlin Sommersemester 2008 Betriebsarten für Blockchiffren Was ist eine Betriebsart (engl. Mode of Operation )? Blockchiffre wird genutzt, um

Mehr

Grundlagen. Murat Zabun. Seminar. Sicherheit im Internet. Universität Dortmund WS 02/03

Grundlagen. Murat Zabun. Seminar. Sicherheit im Internet. Universität Dortmund WS 02/03 Grundlagen Murat Zabun Seminar Sicherheit im Internet Universität Dortmund WS 02/03 1 Inhaltsverzeichnis INHALTSVERZEICHNIS 1.Einleitung 1.1 Grundlagen der Kryptographie 1.2 Verfahren der Kryptographie

Mehr

1. Asymmetrische Verschlüsselung einfach erklärt

1. Asymmetrische Verschlüsselung einfach erklärt 1. Asymmetrische Verschlüsselung einfach erklärt Das Prinzip der asymmetrischen Verschlüsselung beruht im Wesentlichen darauf, dass sich jeder Kommunikationspartner jeweils ein Schlüsselpaar (bestehend

Mehr

Content-Verwertungsmodelle und ihre Umsetzung in mobilen Systemen

Content-Verwertungsmodelle und ihre Umsetzung in mobilen Systemen Content-Verwertungsmodelle und ihre Umsetzung in mobilen Systemen Digital Rights Management 4FriendsOnly.com Internet Technologies AG Vorlesung im Sommersemester an der Technischen Universität Ilmenau

Mehr

Der Zwei-Quadrate-Satz von Fermat

Der Zwei-Quadrate-Satz von Fermat Der Zwei-Quadrate-Satz von Fermat Proseminar: Das BUCH der Beweise Fridtjof Schulte Steinberg Institut für Informatik Humboldt-Universität zu Berlin 29.November 2012 1 / 20 Allgemeines Pierre de Fermat

Mehr

2: Zahlentheorie / Restklassen 2.1: Modulare Arithmetik

2: Zahlentheorie / Restklassen 2.1: Modulare Arithmetik Stefan Lucks Diskrete Strukturen (WS 2009/10) 57 2: Zahlentheorie / Restklassen 2.1: Modulare Arithmetik Uhr: Stunden mod 24, Minuten mod 60, Sekunden mod 60,... Rechnerarithmetik: mod 2 w, w {8, 16, 32,

Mehr

Der Advanced Encryption Standard (AES)

Der Advanced Encryption Standard (AES) Der Advanced Encryption Standard (AES) Prof. Dr. Rüdiger Weis TFH Berlin Sommersemester 2008 Geschichte des AES Die Struktur des AES Angriffe auf den AES Aktuelle Ergebnisse DerAdvanced Encryption Standard

Mehr

Codierungstheorie Rudolf Scharlau, SoSe 2006 9

Codierungstheorie Rudolf Scharlau, SoSe 2006 9 Codierungstheorie Rudolf Scharlau, SoSe 2006 9 2 Optimale Codes Optimalität bezieht sich auf eine gegebene Quelle, d.h. eine Wahrscheinlichkeitsverteilung auf den Symbolen s 1,..., s q des Quellalphabets

Mehr

Die Umkehrung des Multiplizierens: das Faktorisieren

Die Umkehrung des Multiplizierens: das Faktorisieren 17. Algorithmus der Woche Einwegfunktionen Vorsicht Falle Rückweg nur für Eingeweihte! Autoren Prof. Dr. K. Rüdiger Reischuk, Universität zu Lübeck Dipl. Inf. Markus Hinkelmann, Universität zu Lübeck Die

Mehr

Asymmetrische Kryptologie am Beispiel RSA entdecken

Asymmetrische Kryptologie am Beispiel RSA entdecken Asymmetrische Kryptologie am Beispiel RSA entdecken Screenshots mit CrypTool 1.4.30 www.cryptool.com www.cryptool.de www.cryptool.pl Das CrypTool-Team, Januar 2010 Version 1.1 Übersicht Aufbau der Folien

Mehr

Kurze Einführung in kryptographische Grundlagen.

Kurze Einführung in kryptographische Grundlagen. Kurze Einführung in kryptographische Grundlagen. Was ist eigentlich AES,RSA,DH,ELG,DSA,DSS,ECB,CBC Benjamin.Kellermann@gmx.de GPG-Fingerprint: D19E 04A8 8895 020A 8DF6 0092 3501 1A32 491A 3D9C git clone

Mehr

Digitale Unterschriften Grundlagen der digitalen Unterschriften Hash-Then-Sign Unterschriften Public-Key Infrastrukturen (PKI) Digitale Signaturen

Digitale Unterschriften Grundlagen der digitalen Unterschriften Hash-Then-Sign Unterschriften Public-Key Infrastrukturen (PKI) Digitale Signaturen Sommersemester 2008 Digitale Unterschriften Unterschrift von Hand : Physikalische Verbindung mit dem unterschriebenen Dokument (beides steht auf dem gleichen Blatt). Fälschen erfordert einiges Geschick

Mehr

Proseminar : Allgegenwärtiges Rechnen. Vortrag über Sicherheit. Christian Fricke cfricke@rz.uni-potsdam.de

Proseminar : Allgegenwärtiges Rechnen. Vortrag über Sicherheit. Christian Fricke cfricke@rz.uni-potsdam.de Proseminar : Allgegenwärtiges Rechnen Vortrag über Sicherheit Christian Fricke cfricke@rz.uni-potsdam.de 1 I. Einleitung : Sicherheitseigenschaften und Angriffsarten Definition 1: Unter Funktionssicherheit

Mehr

GF(2 2 ) Beispiel eines Erweiterungskörpers (1)

GF(2 2 ) Beispiel eines Erweiterungskörpers (1) GF(2 2 ) Beispiel eines Erweiterungskörpers (1) Im Kapitel 2.1 wurde bereits gezeigt, dass die endliche Zahlenmenge {0, 1, 2, 3} q = 4 nicht die Eigenschaften eines Galoisfeldes GF(4) erfüllt. Vielmehr

Mehr

SICHERE DATENHALTUNG IN DER CLOUD VIA HANDY. Tuba Yapinti Abschlussvortrag der Bachelorarbeit Betreuer: Prof. Reinhardt, Dr.

SICHERE DATENHALTUNG IN DER CLOUD VIA HANDY. Tuba Yapinti Abschlussvortrag der Bachelorarbeit Betreuer: Prof. Reinhardt, Dr. SICHERE DATENHALTUNG IN DER CLOUD VIA HANDY 1 Tuba Yapinti Abschlussvortrag der Bachelorarbeit Betreuer: Prof. Reinhardt, Dr. Bernd Borchert GLIEDERUNG 1. Motivation Gründe für die Entwicklung Ideen für

Mehr

Geheimnisvolle Codes

Geheimnisvolle Codes Geheimnisvolle Codes 1 vorgelegt bei: Mathematisches Seminar für LAK Univ.-Prof. Karin Baur WS 2014/15 von: Julia Hager 0910838 j.hager@edu.uni-graz.at 1 Quelle: http://www.austromath.at/medienvielfalt/materialien/krypto/krypt.png

Mehr

Exkurs Kryptographie

Exkurs Kryptographie Exkurs Kryptographie Am Anfang Konventionelle Krytographie Julius Cäsar mißtraute seinen Boten Ersetzen der Buchstaben einer Nachricht durch den dritten folgenden im Alphabet z. B. ABCDEFGHIJKLMNOPQRSTUVWXYZ

Mehr

Kap. 2: Fail-Stop Unterschriften

Kap. 2: Fail-Stop Unterschriften Stefan Lucks 2: Fail-Stop Unterschriften 17 Digital Unterschreiben und Bezahlen Kap. 2: Fail-Stop Unterschriften Digitale Unterschriften (Synomym: Digitale Signaturen ): Fälschen mutmaßlich hart (RSA-Wurzeln,

Mehr

PKI (public key infrastructure)

PKI (public key infrastructure) PKI (public key infrastructure) am Fritz-Haber-Institut 11. Mai 2015, Bilder: Mehr Sicherheit durch PKI-Technologie, Network Training and Consulting Verschlüsselung allgemein Bei einer Übertragung von

Mehr

Digital Signature and Public Key Infrastructure

Digital Signature and Public Key Infrastructure E-Governement-Seminar am Institut für Informatik an der Universität Freiburg (CH) Unter der Leitung von Prof. Dr. Andreas Meier Digital Signature and Public Key Infrastructure Von Düdingen, im Januar 2004

Mehr

Public-Key-Kryptographie

Public-Key-Kryptographie Public-Key- mit dem RSA-Schema Andreas Meisel und Robert Mileski Institut für Informatik der Universität Potsdam Seminar und Datensicherheit WS 2006/2007 Inhaltsverzeichnis Geschichte der (1/3) 1900 v.

Mehr

MAC Message Authentication Codes

MAC Message Authentication Codes Seminar Kryptographie SoSe 2005 MAC Message Authentication Codes Andrea Schminck, Carolin Lunemann Inhaltsverzeichnis (1) MAC (2) CBC-MAC (3) Nested MAC (4) HMAC (5) Unconditionally secure MAC (6) Strongly

Mehr

Das RSA-Verschlüsselungsverfahren 1 Christian Vollmer

Das RSA-Verschlüsselungsverfahren 1 Christian Vollmer Das RSA-Verschlüsselungsverfahren 1 Christian Vollmer Allgemein: Das RSA-Verschlüsselungsverfahren ist ein häufig benutztes Verschlüsselungsverfahren, weil es sehr sicher ist. Es gehört zu der Klasse der

Mehr

ProSeminar Kryptografie Prof. Dr. Ulrike Baumann. RSA-Verschlüsselung Francesco Kriegel

ProSeminar Kryptografie Prof. Dr. Ulrike Baumann. RSA-Verschlüsselung Francesco Kriegel ProSeminar Kryptografie Prof. Dr. Ulrike Baumann WS 2006/2007 RSA-Verschlüsselung Francesco Kriegel 14. 12. 2006 Inhaltsverzeichnis 1 Public-Key-Verfahren 2 1.1 Idee......................................................................

Mehr

5. Übung zum G8-Vorkurs Mathematik (WiSe 2011/12)

5. Übung zum G8-Vorkurs Mathematik (WiSe 2011/12) Technische Universität München Zentrum Mathematik PD Dr. hristian Karpfinger http://www.ma.tum.de/mathematik/g8vorkurs 5. Übung zum G8-Vorkurs Mathematik (WiSe 2011/12) Aufgabe 5.1: In einer Implementierung

Mehr

Elliptische Kurven und ihre Anwendungen in der Kryptographie

Elliptische Kurven und ihre Anwendungen in der Kryptographie Elliptische Kurven und ihre Anwendungen in der Kryptographie Heiko Knospe Fachhochschule Köln heiko.knospe@fh-koeln.de 29. März 2014 1 / 25 Weierstraß-Gleichung Elliptische Kurven sind nicht-singuläre

Mehr

SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites zu beschäftigen

SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites zu beschäftigen SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites zu beschäftigen Immo FaUl Wehrenberg immo@ctdo.de Chaostreff Dortmund 16. Juli 2009 Immo FaUl Wehrenberg immo@ctdo.de (CTDO) SSL/TLS Sicherheit

Mehr

ESecuremail Die einfache Email verschlüsselung

ESecuremail Die einfache Email verschlüsselung Wie Sie derzeit den Medien entnehmen können, erfassen und speichern die Geheimdienste aller Länder Emails ab, egal ob Sie verdächtig sind oder nicht. Die Inhalte von EMails werden dabei an Knotenpunkten

Mehr

Kryptografie und Kryptoanalyse

Kryptografie und Kryptoanalyse Kryptografie und Kryptoanalyse Gruppenunterricht zum Thema: Kryptografie und Kryptoanalyse Fach: Informatik, Informationssicherheit Schultyp: Sekundarstufe II (Gymnasien, Berufsschulen) letzte Klassen,

Mehr

Authentikation und digitale Signatur

Authentikation und digitale Signatur TU Graz 23. Jänner 2009 Überblick: Begriffe Authentikation Digitale Signatur Überblick: Begriffe Authentikation Digitale Signatur Überblick: Begriffe Authentikation Digitale Signatur Begriffe Alice und

Mehr

Denn es geht um ihr Geld:

Denn es geht um ihr Geld: Denn es geht um ihr Geld: [A]symmetrische Verschlüsselung, Hashing, Zertifikate, SSL/TLS Warum Verschlüsselung? Austausch sensibler Daten über das Netz: Adressen, Passwörter, Bankdaten, PINs,... Gefahr

Mehr

Grundlagen der Kryptographie Teil 2.

Grundlagen der Kryptographie Teil 2. Das Thema im Überblick Das bekannteste asymmetrische Verschlüsselungsverfahren ist die RSA-Verschlüsselung, die nach deren Entwicklern Rivest, Shamir und Adleman benannt ist. Dieses Verfahren ist ein Public-Key-Verfahren

Mehr

Einführung. Vorlesungen zur Komplexitätstheorie: Reduktion und Vollständigkeit (3) Vorlesungen zur Komplexitätstheorie. K-Vollständigkeit (1/5)

Einführung. Vorlesungen zur Komplexitätstheorie: Reduktion und Vollständigkeit (3) Vorlesungen zur Komplexitätstheorie. K-Vollständigkeit (1/5) Einführung 3 Vorlesungen zur Komplexitätstheorie: Reduktion und Vollständigkeit (3) Univ.-Prof. Dr. Christoph Meinel Hasso-Plattner-Institut Universität Potsdam, Deutschland Hatten den Reduktionsbegriff

Mehr

Verteilte Systeme: KE 4

Verteilte Systeme: KE 4 Verteilte Systeme: KE 4 Sicherheit und Verschlüsselung Ziele der Kryptographie Verschiebechiffre Substitutionschiffre Vigenere Permutationschiffre Stromchiffren DES RSA Sichere Kanäle, digitale Signaturen

Mehr

FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION. Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht

FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION. Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht INHALTSÜBERSICHT Risiken für die Sicherheit von Kommunikation und die Freiheit

Mehr

Kryptographie und Fehlertoleranz für Digitale Magazine

Kryptographie und Fehlertoleranz für Digitale Magazine Stefan Lucks Kryptographie und Fehlertoleranz für digitale Magazine 1 Kryptographie und Fehlertoleranz für Digitale Magazine Stefan Lucks Professur für Mediensicherheit 13. März 2013 Stefan Lucks Kryptographie

Mehr

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Integrität: Garantie der Korrektheit (unverändert,

Mehr

Hochschule Wismar. Fachbereich Wirtschaft. Semesterarbeit. Public Key Kryptosysteme. Studiengang Wirtschaftsinformatik Matrikel Nr.

Hochschule Wismar. Fachbereich Wirtschaft. Semesterarbeit. Public Key Kryptosysteme. Studiengang Wirtschaftsinformatik Matrikel Nr. Hochschule Wismar Fachbereich Wirtschaft Semesterarbeit Public Key Kryptosysteme eingereicht von: Betreuer: Matthias Koch Studiengang Wirtschaftsinformatik Matrikel Nr. : 100193 Prof. Dr. J. Cleve Copyright

Mehr

Kryptographie und Komplexität

Kryptographie und Komplexität Kryptographie und Komplexität Wintersemester 2014/15 Christoph Kreitz kreitz cs.uni-potsdam.de http://cs.uni-potsdam.de/krypto-ws1415 1. Wozu Kryptographie? 2. Einfache Verschlüsselungsverfahren 3. Anforderungen

Mehr

Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester 2013.

Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester 2013. Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Übungsblatt 2 Aufgabe 1. Wir wissen,

Mehr

Verschlüsselungsverfahren

Verschlüsselungsverfahren Verschlüsselungsverfahren Herrn Breder hat es nach dem Studium nach München verschlagen. Seine Studienkollegin Frau Ahrend wohnt in Heidelberg. Da beide beruflich sehr stark einspannt sind, gibt es keine

Mehr

Verschlüsselung und Signatur

Verschlüsselung und Signatur Verschlüsselung und Signatur 1 Inhalt Warum Verschlüsseln Anforderungen und Lösungen Grundlagen zum Verschlüsseln Beispiele Fragwürdiges rund um das Verschlüsseln Fazit Warum verschlüsseln? Sichere Nachrichtenübertragung

Mehr

Über die Entwicklung der Kryptographie die Entwicklung asymmetrischer Verschlüsselungsverfahren

Über die Entwicklung der Kryptographie die Entwicklung asymmetrischer Verschlüsselungsverfahren Über die Entwicklung der Kryptographie die Entwicklung asymmetrischer Verschlüsselungsverfahren Dieter Steiner, Seminar für Communications-Engineering WS 2010 dieter_steiner@gmx.at Abstract. 1976, durch

Mehr

Seminararbeit für das SE Reine Mathematik- Graphentheorie

Seminararbeit für das SE Reine Mathematik- Graphentheorie Seminararbeit für das SE Reine Mathematik- Graphentheorie Der binäre Rang, der symplektische Graph, die Spektralzerlegung und rationale Funktionen Vortrag am 24.01.2012 Heike Farkas 0410052 Inhaltsverzeichnis

Mehr

Teil II. Nichtlineare Optimierung

Teil II. Nichtlineare Optimierung Teil II Nichtlineare Optimierung 60 Kapitel 1 Einleitung In diesem Abschnitt wird die Optimierung von Funktionen min {f(x)} x Ω betrachtet, wobei Ω R n eine abgeschlossene Menge und f : Ω R eine gegebene

Mehr

Fachhochschule Frankfurt am Main Fachbereich 2: Informatik WS 2008/2009. IT-Security

Fachhochschule Frankfurt am Main Fachbereich 2: Informatik WS 2008/2009. IT-Security Fachhochschule Frankfurt am Main Fachbereich 2: Informatik WS 2008/2009 IT-Security Teil 2: Grundlagen der Kryptographie DES, RSA, Hashes Dr. Erwin Hoffmann E-Mail: it-security@fehcom.de Risiken bei ungesicherter

Mehr

1. Woche Einführung in die Codierungstheorie, Definition Codes, Präfixcode, kompakte Codes

1. Woche Einführung in die Codierungstheorie, Definition Codes, Präfixcode, kompakte Codes 1 Woche Einführung in die Codierungstheorie, Definition Codes, Präfixcode, kompakte Codes 1 Woche: Einführung in die Codierungstheorie, Definition Codes, Präfixcode, kompakte Codes 5/ 44 Unser Modell Shannon

Mehr

IT-Sicherheit - Sicherheit vernetzter Systeme -

IT-Sicherheit - Sicherheit vernetzter Systeme - IT-Sicherheit - Sicherheit vernetzter Systeme - Kapitel 5: Symmetrische Kryptosysteme Helmut Reiser, LRZ, WS 09/10 IT-Sicherheit 1 Inhalt Symmetrische Kryptosysteme Data Encryption Standard (DES) Advanced

Mehr

Einführung in die Kodierungstheorie

Einführung in die Kodierungstheorie Einführung in die Kodierungstheorie Einführung Vorgehen Beispiele Definitionen (Code, Codewort, Alphabet, Länge) Hamming-Distanz Definitionen (Äquivalenz, Coderate, ) Singleton-Schranke Lineare Codes Hamming-Gewicht

Mehr

9 Schlüsseleinigung, Schlüsselaustausch

9 Schlüsseleinigung, Schlüsselaustausch 9 Schlüsseleinigung, Schlüsselaustausch Ziel: Sicherer Austausch von Schlüsseln über einen unsicheren Kanal initiale Schlüsseleinigung für erste sichere Kommunikation Schlüsselerneuerung für weitere Kommunikation

Mehr

Vortrag Keysigning Party

Vortrag Keysigning Party Vortrag Keysigning Party Benjamin Bratkus Fingerprint: 3F67 365D EA64 7774 EA09 245B 53E8 534B 0BEA 0A13 (Certifcation Key) Fingerprint: A7C3 5294 E25B B860 DD3A B65A DE85 E555 101F 5FB6 (Working Key)

Mehr

Verschlüsselung im Internet

Verschlüsselung im Internet Verschlüsselung im Internet Christian Bockermann Verschlüsselung September 2006 1 Überblick Kryptographie Was ist das? Warum braucht man das? Wie funktioniert das? Beispiele (Rucksäcke,RSA) Anwendungen

Mehr

Teil II SYMMETRISCHE KRYPTOGRAPHIE

Teil II SYMMETRISCHE KRYPTOGRAPHIE Teil II SYMMETRISCHE KRYPTOGRAPHIE KAPITEL 4 EINFÜHRUNG In der Geschichte der Kryptographie gab es bis zur Entdeckung von Public-Key-Verfahren in den 1970er Jahren ausschliesslich symmetrische Verfahren.

Mehr

Lineare Codes. Dipl.-Inform. Wolfgang Globke. Institut für Algebra und Geometrie Arbeitsgruppe Differentialgeometrie Universität Karlsruhe 1 / 19

Lineare Codes. Dipl.-Inform. Wolfgang Globke. Institut für Algebra und Geometrie Arbeitsgruppe Differentialgeometrie Universität Karlsruhe 1 / 19 Lineare Codes Dipl.-Inform. Wolfgang Globke Institut für Algebra und Geometrie Arbeitsgruppe Differentialgeometrie Universität Karlsruhe 1 / 19 Codes Ein Code ist eine eindeutige Zuordnung von Zeichen

Mehr

Digital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen. Public-Key-Kryptographie (2 Termine)

Digital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen. Public-Key-Kryptographie (2 Termine) Digital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen Vorlesung im Sommersemester 2010 an der Technischen Universität Ilmenau von Privatdozent Dr.-Ing. habil. Jürgen

Mehr

Verschlüsselte E-Mails Wie geht das?

Verschlüsselte E-Mails Wie geht das? Verschlüsselte E-Mails Wie geht das? Ralf Hemmecke Research Institute for Symbolic Computation Johannes Kepler University Linz, Austria 08. Mai 2015 Ralf Hemmecke (RISC, JKU Linz) Verschlüsselte E-Mails

Mehr

Das Kryptosystem von McEliece. auf der Basis von linearen Codes

Das Kryptosystem von McEliece. auf der Basis von linearen Codes Das Kryptosystem von McEliece auf der Basis von linearen Codes Anforderungen Public-Key Kryptosysteme E e (m) = c Verschlüsselung D d (c) = m Entschlüsselung mit Schl. effizient effizient 2/25 Anforderungen

Mehr

IT-Sicherheit Zusammenfassung

IT-Sicherheit Zusammenfassung IT-Sicherheit Zusammenfassung Kajetan Weiß 8. Februar 2014 Vorwort Schön, dass Du Dich entschieden hast mit dieser Arbeit zu lernen. Vorweg möchte ich raten nicht nur die Lektüre zu lesen sondern zum besseren

Mehr

8: Zufallsorakel. Wir suchen: Einfache mathematische Abstraktion für Hashfunktionen

8: Zufallsorakel. Wir suchen: Einfache mathematische Abstraktion für Hashfunktionen Stefan Lucks 8: Zufallsorakel 139 Kryptogr. Hashfunkt. (WS 08/09) 8: Zufallsorakel Unser Problem: Exakte Eigenschaften von effizienten Hashfunktionen nur schwer erfassbar (z.b. MD5, Tiger, RipeMD, SHA-1,...)

Mehr

Post-quantum cryptography

Post-quantum cryptography Post-quantum cryptography Post-quantum cryptography 1. Komplexität & Quantencomputer 2. Kryptografie in Gittern 3. FHE Eine Revolution im Datenschutz? WIESO? KOMPLEXITÄT Public-Key-Kryptografie Grafiken:

Mehr

Untersuchung der Gruppen GL(s, Z n ) und SL(s, Z n ) zur Nutzung in der Kryptographie

Untersuchung der Gruppen GL(s, Z n ) und SL(s, Z n ) zur Nutzung in der Kryptographie Untersuchung der Gruppen GL(s, Z n ) und SL(s, Z n ) zur Nutzung in der Kryptographie Inaugural-Dissertation zur Erlangung des Grades eines Doktors der Naturwissenschaftlichen Fachbereiche (Fachbereich

Mehr

Linux User Group Tübingen

Linux User Group Tübingen theoretische Grundlagen und praktische Anwendung mit GNU Privacy Guard und KDE Übersicht Authentizität öffentlicher GNU Privacy Guard unter KDE graphische Userinterfaces:, Die dahinter

Mehr

Die Rotations - Chire Projektdokumentation

Die Rotations - Chire Projektdokumentation Die Rotations - Chire Projektdokumentation Matthias Wul, Stephan Naterski 19. Juni 2008 Inhaltsverzeichnis 1 Geschichtliche Hintergründe 3 1.1 Die Transpositions-Chire........................... 3 1.1.1

Mehr