Teil II SYMMETRISCHE KRYPTOGRAPHIE

Größe: px
Ab Seite anzeigen:

Download "Teil II SYMMETRISCHE KRYPTOGRAPHIE"

Transkript

1 Teil II SYMMETRISCHE KRYPTOGRAPHIE

2

3 KAPITEL 4 EINFÜHRUNG In der Geschichte der Kryptographie gab es bis zur Entdeckung von Public-Key-Verfahren in den 1970er Jahren ausschliesslich symmetrische Verfahren. Die Idee war demnach immer dieselbe, nämlich dass dem Versenden einer vertraulichen Botschaft über einen unsicheren Kanal der Austausch eines geheimen Schlüssels über einen sicheren Kanal vorausgeht, mit dessen Hilfe dann die eigentliche Botschaft verschlüsselt wird. Dies scheint auf den ersten Blick ein sinnloses Unterfangen zu sein, denn wenn der Schlüssel über einen sicheren Kanal ausgetauscht werden muss, dann könnte man doch diesen ebenso für den Austausch der eigentlichen Botschaft verwenden. Der Vorteil eines symmetrischen Verschlüsselungssystems liegt aber erstens darin, dass der Schlüssel in der Regel viel kürzer ist als die Botschaft, und dass zweitens der Schlüsseltausch zu einem beliebigen Zeitpunkt vor dem eigentlichen Informationsaustausch stattfinden kann. Dies führt dazu, dass das Vorhandensein des sicheren Kanals zeitlich beschränkt sein kann, und dass zudem eine geringe Übertragungskapazität für die Schlüsselübertragung ausreicht. So kann zum Beispiel mit Hilfe eines aus ein paar wenigen Zeichen bestehenden Schlüssels über einen im Prinzip beliebig langen Zeitraum die Vertraulichkeit beim Austausch einer beliebig grossen Informationsmenge garantiert werden, sofern dabei die Geheimhaltung des Schlüssels nicht verletzt wird. Konkret kann ein geheimer Schlüssel beispielsweise bei einem persönlichen Treffen vereinbart werden. 4.1 KLASSIFIZIERUNG DER METHODEN Symmetrische Verfahren sind auch im Zeitalter der Public-Key-Kryptographie noch weit verbreitet. Der Hauptgrund dafür ist die Tatsache, dass symmetrische Verfahren im Ver- Einführung in diekryptographie. c by Prof. Rolf Haenni 27

4 28 EINFÜHRUNG gleich zu asymmetrischen wesentlich effizienter sind (vgl. Teil 1, Kapitel 3). Vor wenigen Jahren erst wurde AES zum Nachfolger von DES und somit zum neuen symmetrischen Verschlüsselungsstandard erklärt (siehe Kapitel 7). Symmetrische Verfahren werden somit mindestens für weitere 10 bis 15 Jahren weltweit zum Einsatz kommen, vermutlich sogar weit darüber hinaus. Wie bereits erwähnt, erfolgt dies in der Regel in Form eines hybriden Systems, d.h. in Kombination mit einem asymmetrischen Verfahren. Grundsätzlich spricht man klassischen symmetrischen Verfahren, wenn diese auf eine Zeit vor 1970 zurückreichen. Dies sind in der Regel Methoden, die entweder von Hand (z.b. Caesar-Chiffrierung) oder mit Hilfe von mechanischen oder elektrischen Maschinen (z.b. Enigma) eingesetzt wurden, heute in der Praxis aber nicht mehr relevant sind. Im Gegensatz dazu erfordern moderne symmetrische Verfahren wie DES oder AES den Einsatz von leistungsfähigen Computern. Die ersten modernen Verfahren wurden in den 1970er Jahren entwickelt, also ungefähr zeitgleich mit der Entdeckung der ersten asymmetrischen Verfahren. Eine anderes Unterscheidungsmerkmal ist die Anzahl Zeichen des Klartextes, die bei der Verschlüsselung als eine Einheit betrachtet und demnach zusammen behandelt werden. Man spricht von Strom-Chiffren, wenn jedes Zeichen des Klartextes einzeln, d.h. jeweils mit einem unterschiedlichen Verfahren oder einem entsprechenden (Teil-) Schlüssel verschlüsselt wird. Im Gegensatz dazu werden bei Block-Chiffren mehrerer Zeichen gleichzeitig verschlüsselt, d.h. der Klartext wird dazu in mehrere Blöcke gleicher Länge unterteilt. Die Anzahl Zeichen in einem Block bezeichnet man als die Blocklänge. Die einzelnen Blöcke werden in der Regel mit dem gleichen Verfahren und dem gleichen Schlüssel verschlüsselt. In dem Sinne sind Strom-Chiffren keine Spezialfälle von Block-Chiffren. In der Praxis werden sowohl Strom-Chiffren (z.b. Mobiltelefonie) wie Block-Chiffren (z.b. AES) eingesetzt. Bei klassischen symmetrischen Verfahren ist es wichtig, zwischen monoalphabetischen und polyalphabetischen Chiffren zu unterscheiden. Erstere sind dadurch charakterisiert, dass ein bestimmtes Zeichen bzw. ein bestimmter Block des Klartextes immer in das gleiche Zeichen bzw. in den gleichen Block des Chiffretextes überführt wird. Bei polyalphabetischen Verfahren ist dies nicht notwendigerweise der Fall. Heute sind die meisten in der Praxis eingesetzten Verfahren polyalphabetisch, wobei dies bei Block-Chiffren oft erst durch den Einsatz von unterschiedlichen Betriebsarten erreicht wird (vgl. Kapitel 6). Unter Berücksichtigung der hier beschriebenen Unterscheidungsmerkmale handelt es sich zum Beispiel beim Verfahren von Caesar um eine klassische, monoalphabetische Strom-Chiffrierung. 4.2 DAS SCHLÜSSELVERTEIL-PROBLEM Voraussetzung für den Einsatz eines symmetrisches Verfahrens ist das Austauschen oder Vereinbaren des geheimen Schlüssels. Da dieser geheim gehalten werden muss, ist es wichtig, für das Vereinbaren einen sicheren Kanal zu verwenden, auf welchen man ja eigentlich verzichten möchte. Würde der geheime Schlüssel über einen unsicheren Kanal übertragen, wäre gleichzeitig die Vertraulichkeit nicht mehr garantiert. Dies ist das Schlüsselverteil- Problem, für welches es bei reinen symmetrischen Verfahren in der Praxis kaum eine befriedigende Lösung gibt. Bei symmetrischen Verfahren tritt dieses Problem zudem in besonders verstärkter Form auf, da bei einem Netzwerk mit n Entitäten wie bereits erwähnt bis zu N = 1 2n, (n 1), d.h. quadratisch viele verschiedene Schlüssel vereinbart und geheim gehalten werden müssen. Ein weiteres Problem ist die Tatsache, dass der geheime

5 ZENTRALISIERTE LÖSUNGEN 29 Schlüssel in der Regel mindestens zwei Personen bekannt ist, wobei die Sorgfalt des jeweils anderen Geheimnisträgers nur beschränkt beeinflusst werden kann. Beispiele von (relativ) sicheren Kanälen sind ein persönliches Treffen, ein verschlossener, versiegelter und/oder eingeschriebener Brief, ein vertrauenswürdiger Bote, eine Telefon- Gespräch über das Festnetz, und so weiter. Steht kein solcher sicherer Kanal zur Verfügung, ist alternativ der Einsatz eines gesicherten Kanals möglich. Sämtliche hybriden Systeme beruhen auf diesem Prinzip (siehe Teil III, Abschnitt 10.3). Ein anderes Beispiel eines gesicherten Kanals ist ein Gespräch über ein Mobiltelefon. Im Idealfall, d.h. unter der Voraussetzung, dass der geheime Schlüssel über einen sicheren Kanal vereinbart wurde, und dass beide Kommunikationspartner bei der Geheimhaltung absolut sorgfältig sind, werden drei der vier Sicherheitsziele erreicht, nämlich die Vertraulichkeit der übertragenen Information, die Integrität der Nachricht und die Authentizität des Senders (siehe Teil I, Kapitel 2). Dabei gilt es zu beachten, dass die Nicht-Abstreitbarkeit bei zwei Geheimnisträgern grundsätzlich nicht gewährleistet werden kann, denn beide können jederzeit behaupten, der jeweils andere hätte die Nachricht erzeugt. Das Erreichen des vierten Sicherheitsziels ist bei symmetrischen Verfahren somit ausgeschlossen. Ein spezieller Fall, bei dem sowohl das Vereinbaren des Schlüssels wie auch die Nicht- Abstreitbarkeit keine grundsätzlichen Probleme bereiten, ist die zeitliche Informationsübertragung (Speicherung). Hierbei sind Sender und Empfänger in der Regel identisch. Der geheime Schlüssel kann dann zum Beispiel in Form eines Passwortes im Gedächtnis abgelegt und an einen zukünftigen Zeitpunkt übertragen werden. Das menschliche Gehirn bildet hierbei also den sicheren Kanal. Beispiele davon sind verschlüsselte Dateien, Ordner, Partitionen, virtuelle oder ganze Festplatten (PGP Disk, FileVault in Mac OS X, usw.). 4.3 ZENTRALISIERTE LÖSUNGEN Eine besondere Art, das Schlüsselverteil-Problem zu vereinfachen bzw. zu umgehen, ist der Einsatz einer zentralen dritten Instanz, zu welcher sämtliche Teilnehmer volles Vertrauen entgegen bringen müssen. Es gibt mindestens drei unterschiedliche Ansätze, die im folgenden kurz vorgestellt werden. Allgemein kann man sagen, dass sich solche Systeme in der Praxis im besten Fall für kleine, meist abgeschlossene Netzwerke (z.b. lokale Firmennetzwerke) eignen, für grosse offene Netzwerke wie das Internet aber von geringer Bedeutung sind. a) Nachrichten-Verteilzentrum Jeder Teilnehmer A i hat mit dem Nachrichten-Verteilzentrum MDC (Message Distribution Center) einen geheimen Schlüssel k i vereinbart. Wenn nun A 1 eine vertrauliche Botschaft m an A 2 schicken möchte, dann geschieht dies wie folgt (siehe Abb. 4.1., links): 1. A 1 verschlüsselt den Klartext m mit Hilfe seines Schlüssels k A 1 schickt den Chiffretext c 1 = E k1 (m) an das MDC. 3. Das MDC entschlüsselt den Chiffretext c 1 mit Hilfe von k 1 und erhält m = D k1 (c 1 ). 4. Das MDC verschlüsselt den Klartext m Hilfe des Schlüssels k Das MDC schickt den Chiffretext c 2 = E k2 (m) an A A 2 entschlüsselt den Chiffretext c 2 mit Hilfe seines Schlüssels k 2 und erhält m = D k2 (c 2 ).

6 30 EINFÜHRUNG Da jeder Teilnehmer nur genau einen Schlüssel vereinbaren und geheim halten muss, ist die Gesamtzahl in einem Netzwerk eingesetzten Schlüssel im Vergleich zu einem gewöhnlichen Schema viel kleiner. Dies ist ein entscheidender Vorteil, der das Schlüsselverteil-Problem wesentlich vereinfacht, dem jedoch verschiedenste Nachteile gegenüberstehen. So hängt die Sicherheit des gesamten Netzwerkes vollumfänglich vom MDC ab, d.h. ein Angriff auf diese zentrale Stelle hätte fatale Auswirkungen für sämtliche Teilnehmer. Da sämtliche Botschaften notwendigerweise vom MDC entschlüsselt werden, ist ein solcher Angriff relativ leicht durchzuführen. Das MDC wird zudem schnell überladen, und wegen der Abhängigkeit fällt bei einer zentralen Störung unter Umständen das ganze Netzwerk aus. b) Schlüssel-Verteilzentrum Auch hier teilen sämtliche Teilnehmer A i mit dem sogenannten Schlüssel-Verteilzentrum KDC (Key Distribution Center) einen geheimen Schlüssel k i. Die Rolle der zentralen Instanz beschränkt sich aber auf das Vermitteln eines sogenannten Sessionsschlüssel k s. Konkret erfordert das Versenden einer vertraulichen Botschaft m von A 1 nach A 2 die folgenden Schritte (siehe Abb. 4.1., mitte): 1. A 1 beantragt beim KDC einen Sessionsschlüssel. 2. Das KDC generiert den Sessionsschlüssel k s und verschlüsselt diesen einmal mit k 1 und einmal mit k Das KDC schickt c 1 = E k1 (k s ) an A 1 und c 2 = E k2 (k s ) an A A 1 entschlüsselt c 1 mit k 1 und erhält dadurch den Sessionsschlüssel k s = D k1 (c 1 ). 5. A 2 entschlüsselt c 2 mit k 2 und erhält dadurch den Sessionsschlüssel k s = D k2 (c 2 ). 6. A 1 verschlüsselt den Klartext m mit Hilfe des Sessionsschlüssels k s. 7. A 1 schickt den Chiffretext c = E ks (m) an A A 2 entschlüsselt den Chiffretext c mit Hilfe von k s und erhält m = D ks (c). Die Vor- und Nachteile eines solchen Systems sind grundsätzlich die gleichen wie bei einem MDC. Da das KDC sämtliche Sessionsschlüssel generiert und somit kennt, tangiert eine Attacke auf das KDC die Sicherheit des gesamten Systems. Genau genommen ist der von zwei Teilnehmern verwendete Sessionsschlüssel nicht wirklich geheim, d.h. mit dem KDC ist ein dritter Geheimnisträger vorhanden. Entsprechend gross muss das Vertrauen sein, das man dem KDC entgegenbringt. Ein Vorteil gegenüber einem MDC ist die Tatsache, dass sich die von einem KDC zu verarbeitende Datenmenge in Grenzen hält. Deshalb ist eine Überlastung eines KDC weniger wahrscheinlich als bei einem MDC. c) Schlüssel-Übersetzungszentrum Eine Variante des oben beschriebenen KDC ist die sogenannten Schlüssel-Übersetzungszentrum KTC (Key Translation Center). Wieder besitzen sämtliche Teilnehmer einen geheimen Schlüssel, um mit dem KTC zu kommunizieren. Im Unterschied zu einem KDC, werden hier die Sessionsschlüssel von den Teilnehmern selbst generiert. Das Verschicken einer Nachricht von A 1 zu A 2 sieht dann wie folgt aus (siehe Abb. 4.1., rechts): 1. A 1 generiert einen Sessionsschlüssel k s und verschlüsselt diesen mit k A 1 schickt c 1 = E k1 (k s ) an das KTC.

7 ZENTRALISIERTE LÖSUNGEN Das KTC entschlüsselt c 1 mit k 1 und erhält dadurch k s = D k1 (c 1 ). 4. Das KTC verschlüsselt k s mit k 2 und schickt c 2 = E k2 (k s ) zurück an A A 1 verschlüsselt den Klartext m mit Hilfe des Sessionsschlüssels k s. 6. A 1 schickt den Chiffretext c = E ks (m) zusammen mit c 2 an A A 2 entschlüsselt c 2 mit k 2 und erhält dadurch den Sessionsschlüssel k s = D k2 (c 2 ). 8. A 2 entschlüsselt den Chiffretext c mit Hilfe von k s und erhält m = D ks (c). Auch ein solches System besitzt ähnliche Vor- und Nachteile wie ein KDC. Vorteilhaft ist neben der Möglichkeit, den Sessionsschlüssel selbst zu generieren, die Tatsache, dass sich für eine Kommunikation zwischen zwei Teilnehmern nur einer mit der zentralen Stelle in Verbindung setzen muss. A A k s A c 1 c c, c 2 c 1 c 1 c 2 MDC k s KDC KTC c 2 c 2 B B B Abbildung 4.1. Verschiedene zentrale Dienste: MDC (links), KDC (mitte), KTC (rechts).

8

9 KAPITEL 5 ONE-TIME PAD Die grundsätzliche Frage, ob es eine absolut sichere Chiffrier-Methode gibt, lässt sich seit der Entdeckung des One-Time Pad durch Joseph Mauborgne (Kryptograph in der US Army) gegen Ende des 1. Weltkrieges mit Ja beantworten. Theoretisch löst der One-Time Pad also das Verschlüsselungsproblem, praktisch aber scheitert diese Methode meist an der Tatsache, dass ein One-Time Pad Schlüssel, wie wir gleich sehen werden, gleich lang sein muss wie der zu verschlüsselnde Text. Man schiebt also das Problem vor sich hin: um N = m Klartext-Zeichen über einen unsicheren Kanal zu verschicken, müssen zuerst N = k Schlüsselzeichen über einen sicheren Kanal übertragen werden. In anderen Worten ist beim One-Time Pad das Schlüsselverteil-Problem besonders schwierig, nämlich genau so schwierig wie eine sichere Übertragung der eigentlichen Nachricht. Immerhin lässt sich diese nach einem erfolgreichen Schlüsseltausch zeitlich beliebig hinauszögern. Aus diesen Gründen spielen spielen One-Time Pads in der Praxis eine untergeordnete Rolle, aber mindestens zwei wichtige Anwendungen sind bekannt. In der Zeit des kalten Krieges gab es eine direkte Telefonleitung zwischen dem weissen Haus in Washington und dem Kreml in Moskau. Deren Ziel war es, bei einer Eskalation einen möglichen Atombomben-Angriff auf höchster Ebene verhindern zu können. Man sagt, dass diese Leitung durch einen One-Time Pad gesichert war. Konkret muss man sich das so vorstellen, dass zum Zeitpunkt der Inbetriebnahme der Leitung ein vertrauenswürdiger diplomatischer Bote einen womöglich mehreren Megabyte grossen Schlüssel (z.b. auf einer CD) von der einen zur anderen Seite gebracht hat. Zu einem beliebigen zukünftigen Zeitpunkt ermöglichte dies dann einen ebenso grossen Datenverkehr über die Telefonleitung. Die maximale Gesprächsdauer war dadurch aber beschränkt. Ein aktuelleres Beispiel, wo das Prinzip des Einführung in diekryptographie. c by Prof. Rolf Haenni 33

10 34 ONE-TIME PAD One-Time Pads eine wichtige Rolle spielt, ist die Quanten-Kryptographie, auf die zu einem späteren Zeitpunkt genauer eingegangen wird (siehe Kapitel 9). Zudem spielt die Idee des One-Time Pads bei vielen Strom-Chiffren eine wichtige Rolle (siehe Kapitel 8). Konkret basiert ein One-Time Pad auf dem von Gilbert Vernam im Jahre 1918 entwickelten und als Vernam-Chiffre bekannten Chiffrier-Verfahren. Dabei dient das Binär- Alphabet A = {0, 1} sowohl als Klartext-, Chiffretext- und Schlüsselalphabet. Demnach sind sämtliche mögliche Klartexte, Chiffretexte und Schlüssel Bitfolgen, d.h. Ketten aus lauter Nullen und Einsen. Beschränken wir uns ohne Einschränkung der Allgemeinheit auf Bitfolgen der Länge N, dann sind M = C = K = {0, 1} N die entsprechenden Mengen der möglichen Klartexte m M, Chiffretexte c C und Schlüssel k K. Diese Bitfolgen können als m = [M 1 M N ], c = [C 1 C N ], k = [K 1 K N ], geschrieben werden, wobei M i, C i und K i die einzelnen Bits bezeichnen. Die Idee des One- Time Pads besteht nun darin, jedes einzelne Zeichen des Klartextes mit dem entsprechenden Zeichen des Schlüssels durch ein exklusives Oder (XOR) zu verknüpfen. Formal lässt sich dies durch C i = M i K i ausdrücken. Die Verschlüsselungsfunktion E k ist dann wie folgt definiert: c = E k (m) = [M 1 K 1 M N K N ] = m k. Da ein exklusives Oder für ein fixiertes Schlüsselzeichen K i eine Involution bezüglich dem Klartext-Zeichen M i definiert, ist die gesamte Funktion E k eine Involution, und dementsprechend sieht die Entschlüsselungsfunktion D k genau gleich aus: m = D k (c) = [C 1 K 1 C N K N ] = c k. Beim One-Time Pad handelt es sich somit um eine klassische, polyalphabetische Strom- Chiffre, bei welcher die Ver- und Entschlüsselungsfunktionen identisch sind. Das folgende Beispiel illustriert das Ver- und Entschlüsseln des Klartextes m = mit dem Schlüssel k = , welche beide aus N = 15 Zeichen bestehen: m = k = c = m k = k = m = c k = Damit der One-Time Pad absolute Sicherheit bietet, müssen verschiedene Bedingungen erfüllt sein. Wie bereits erwähnt, muss der Schlüssel (mindestens) gleich lang sein wie der Klartext. Zudem muss es sich beim Schlüssel um eine absolut zufällige Bitfolge handeln, in welcher die Nullen und Einsen gleich häufig und ohne erkennbares Muster auftreten. Um diese zwei Grundvoraussetzungen nicht zu verletzen, darf ein Schlüssel genau einmal benutzt werden. Diese Bedingung gibt dem One-Time Pad seinen Namen.

11 35 Würde der gleiche Schlüssel k zweimal (oder mehrmals) benutzt, dann würde man damit Information über den Klartext preisgeben. Denn wenn c 1 = m 1 k und c 2 = m 2 k die beiden Chiffretexte bezeichnen, die mit dem gleichen Schlüssel k erzeugt wurden, dann gilt c 1 c 2 = m 1 m 2, woraus Rückschlüsse auf m 1 und m 2 möglich werden. Je öfter der gleiche Schlüssel verwendet wird, desto präzisere Rückschlüsse sind möglich. Bei einem absolut zufälligen Schlüssel liefert der Chiffretext keinerlei Information über den Klartext. Genau genommen bedeutet dies, dass jeder mögliche Chiffretext und umgekehrt jeder mögliche Klartext gleich wahrscheinlich ist: p(e k (m)=c) = p(d k (c)=m) = 1 2 N, für alle m, c {0, 1}N. Aus der Sicht eines allfälligen Gegners bedeutet dies, dass die Wahrscheinlichkeit, für einen gegebenen Chiffretext c den entsprechenden Klartext m korrekt vorauszusagen, gleich ist wie die Wahrscheinlichkeit, dies ohne die Kenntnis von c zu tun. Den Chiffretext c zu kennen ist somit von keinerlei Nutzen. Auch eine eine Brute-Force-Attacke auf einen One-Time Pad ist aussichtslos. Zunächst ist bei genügend langen Schlüsseln aus den bereits erwähnten komplexitätstheoretischen Überlegungen eine solche Attacke praktisch nicht durchführbar. Und selbst bei einem kleinen Schlüssel könnte dieser gar nicht erkannt werden, denn für einen gegebenen Chiffretext c gibt es für jeden möglichen Klartext m M einen passenden Schlüssel k K, so dass m = c k. Beim Ausprobieren der Schlüssel könnte somit der wahre Klartext nicht von irgendeinem anderen Klartext unterschieden werden. Absolut zufällige Bitfolgen zu generieren ist ein relativ schwieriges Problem, besonders wenn es sich um sehr lange Bitfolgen handelt. Um dieses Problem zu umgehen, werden oft sogenannte pseudo-zufällige Bitfolgen generiert, die sich aus einem echt zufälligen Anfangswert ableiten. One-Time Pads zusammen mit pseudo-zufälligen Bitfolgen bilden die Grundidee vieler moderner Strom-Chiffren, auf die wir in Kapitel 8 genauer eingehen werden.

12

13 KAPITEL 6 BLOCK-CHIFFREN Die Klassifizierung von symmetrischen Verschlüsselungsverfahren in Block- und Strom- Chiffren wurde bereits erwähnt. Obwohl Strom-Chiffren in bestimmten Bereichen sehr nützlich sind und zum Beispiel in der Mobiltelefonie ein wichtiges Anwendungsgebiet besitzen, bilden Block-Chiffren insgesamt die grössere und wichtigere Methoden-Klasse. Auch in der Forschung erhalten Block-Chiffren die grössere Aufmerksamkeit, was unter anderem zur Entwicklung des neuen Chiffrier-Standards AES geführt hat. In diesem Kapitel werden Block-Chiffren zunächst aus einem allgemeinen Blickwinkel her betrachtet, wobei verschiedene allgemein anwendbare Optionen beim Einsatz von Block-Chiffren zur Sprache kommen. Danach werden die zwei grundlegenden Techniken eingeführt, auf denen fast sämtliche modernen Block-Chiffren basieren, die alleine aber keine genügende Sicherheit bieten. Erst die geschickte Kombination dieser beiden Techniken führt zu wirklich sicheren Verfahren. Eine allgemeine Anleitung dazu schliesst das Kapitel ab. 6.1 EINFÜHRUNG Block-Chiffren sind dadurch charakterisiert, dass bei der Verschlüsselung der Klartext m und bei der Entschlüsselung der Chiffretext c in t Blöcke aufgeteilt werden, die jeweils aus n Zeichen bestehen. Die Anzahl Zeichen n eines Blocks bezeichnet man als die Blocklänge. Typische Blocklängen bei modernen Verfahren mit einem Binär-Alphabet A = {0, 1} sind n = 64 Bits, n = 128 Bits oder n = 256 Bits. Im folgenden beschränken wir uns nicht notwendigerweise auf ein Binär-Alphabet, aber es wird vorausgesetzt, dass das Klartext- Alphabet und das Chiffretext-Alphabet identisch sind und mit A bezeichnet werden. Formal Einführung in diekryptographie. c by Prof. Rolf Haenni 37

14 38 BLOCK-CHIFFREN lässt sich dann die Aufteilung von Klar- und Chiffretext in gleich grosse Blöcke wie folgt beschreiben: m = m 1 m t, c = c 1 c t, m i = [M i,1 M i,n ], c i = [C i,1 C i,n ], M i,j A, C i,j A. Die Blöcke m i werden dann einzeln ver- und entschlüsselt, und zwar mit den Funktionen Ek n bzw.dn k und dem gleichen Schlüssel k. Mit dem hochgestellten Index n wird darauf hingedeutet, dass diese Funktionen für solche Blöcke bestehend aus n Zeichen zugeschnitten sind. Im einfachsten Fall sehen die eigentlichen Ver- und Entschlüsselungsfunktionen E k und D k dann wie folgt aus (alternative Betriebsarten werden im folgenden Abschnitt vorgestellt): E k (m) = E n k (m 1 ) E n k (m t ) = c, D k (c) = D n k (c 1 ) D n k (c t ) = m. Um zu erreichen, dass auch der letzte Block m t genau n Zeichen enthält, erweitert man den aus N = m Zeichen bestehenden Klartext mit nt N redundanten Füllzeichen. Dabei gibt es zwei Möglichkeiten. Entweder kommt das Füllzeichen sonst im Klartext m nicht vor, oder man stellt dem Klartext m dessen Länge N in kodierter Form voran (mit Hilfe der Zeichen des Alphabets A). Konkret würde man z.b. bei einem Binär-Alphabet dem Klartext 32 oder 64 Bits voranstellen, welche die Zahl N repräsentieren. Als Füllzeichen könnte man dann beliebige Nullen und Einsen verwenden, da nach dem Entschlüsseln klar ist, welche Zeichen zur Nachricht gehören und welche nicht. In der Praxis wir oft ein ganzer Block m 0 dem Klartext m vorangestellt, in welchem verschiedene Informationen über m abgespeichert sind. Da wir uns auf den Fall eines einheitlichen Klartext- und Chiffretext-Alphabets beschränken, ist die Verschlüsselungsfunktion Ek n eine Permutation, deren Umkehrfunktion die Entschlüsselungsfunktion Dk n definiert. Somit gibt es bei s = A verschiedenen Zeichen im Alphabet insgesamt s n! verschiedene Ver- und Entschlüsselungsfunktionen. Dies entspricht der Anzahl möglicher Permutationen der s n möglichen Blöcke der Länge n. Dies wird in Abb am Beispiel von A = {0, 1} und n = 4 illustriert, wofür es bereits 2 4! = verschiedene Funktionen gibt. Um auf alle s n! möglichen Verschlüsselungsfunktionen zurückgreifen zu können, müsste man sehr lange Schlüssel zulassen, was in der Praxis nicht möglich ist. Wenn man also mit vernünftig langen Schlüsseln arbeitet, beschränkt man sich dabei automatisch auf eine relativ kleine Teilmenge der möglichen Ver- und Entschlüsselungsfunktionen. Doch dies ist unproblematisch, denn wie bereits erwähnt ist diese Menge bereits bei einer relativ kleinen Schlüssellänge r = k derart gross, dass sie mit einer Brute-Force-Attacke nicht systematisch durchsucht werden kann. 6.2 BETRIEBSARTEN Der im vorherigen Abschnitt beschriebene Ansatz, die Funktionen E n k und Dn k unabhängig auf die einzelnen Blöcke anzuwenden, ist nur ein mögliches Anwendungsschema. Im Fachjargon spricht man dabei von verschiedenen Betriebsarten (modes of operation). Im folgenden werden die vier Betriebsarten ECB, CBC, CFB und OFB vorgestellt, wobei die letzten drei auf ein Binär-Alphabet A ausgerichtet sind.

15 BETRIEBSARTEN Klartext Chiffretext to 16 Bit Decoder to 4 Bit Encoder E 4 k Abbildung 6.1. Eine der 2 4! möglichen Verschlüsselungsfunktionen für ={0, 1} und n = 4. a) Electronic Codebook (ECB) Dies ist die normale Betriebsart, die bereits im vorherigen Abschnitt beschrieben wurde. In Bezug auf einen beliebigen Block i sieht die Ver- und Entschlüsselung somit immer wie folgt aus: Verschlüsselung: c i = E n k (m i) Entschlüsselung: m i = D n k (c i) Bei dieser Betriebsart führen gleiche Klartext-Blöcke zu gleichen Chiffretext-Blöcken, was Rückschlüsse auf den Klartext zulässt. In der Praxis wird ECB deshalb gemieden. Ein Vorteil von ECB liegt darin, dass die Blöcke unabhängig voneinander verschlüsselt werden können, was ein Parallelisieren ermöglicht. Zudem kann sich ein Übertragungsfehler nicht von einem Block auf einen anderen übertragen. b) Cipher Block Chaining (CBC) Im Gegensatz zu ECB werden nun die einzelnen Blöcke miteinander verknüpft. Dies geschieht bei CBC, indem der Block m i vor dem Verschlüsseln mit dem verschlüsselten Block c i 1 XOR verknüpft wird. Beim Entschlüsseln geschieht genau das umgekehrte. Im allerersten Schritt, d.h. beim Verschlüsseln von m 1, wird somit ein Block c 0 benötigt, den man als den sogenannten Initialisierungsvektor IV bezeichnet. Dieser darf öffentlich bekannt sein. Bei einem konkreten Verfahren wird IV oft auf einen bestimmten Wert fixiert, zum Beispiel auf den Nullvektor. Initialisierung: c 0 = IV Verschlüsselung: c i = E n k (m i c i 1 ) Entschlüsselung: m i = D n k (c i) c i 1 Bei CBC entstehen aus gleichen Klartext-Blöcken unterschiedliche Chiffretext-Blöcke, wodurch Rückschlüsse in der Art von ECB nicht mehr möglich sind. Verschiedene Initialisierungsvektoren führen zudem zu völlig unterschiedlichen Chiffretexten. Das gleiche gilt

16 40 BLOCK-CHIFFREN bei einer Änderung eines einzigen Bits im ersten Blocks des Klartextes. Allerdings können bei einem Übertragungsfehler im i-ten Block nur die Blöcke c i und c i+1 nicht korrekt entschlüsselt werden. Die Auswirkungen von Übertragungsfehlern sind somit beschränkt. Diese Eigenschaft nennt man Error Recovery. Parallelisieren lässt sich CBC jedoch nicht. c) Cipher Feedback (CFB) In gewissen Fällen möchte man eine Block-Chiffre mit Blocklänge n für die Verschlüsselung von kürzeren Blöcken der Länge n n einsetzen. Typische Werte sind n = 1 (ein Bit) oder n = 8 (z.b. ein ASCII-Zeichen). Dies ist sowohl bei ECB wie CBC nicht möglich. Im folgenden gehen wir somit von einem Klartext m = m 1 m u aus, der aus u Blöcken der Länge n besteht. Dieser soll mit Hilfe einer Funktion Ek n in einen Chiffretext c = c 1 c u übersetzt werden, der später mit Hilfe von Dk n wieder zum Klartext m führt. CFB benutzt zwei Register der Länge n, das Inputregister p = [P 1 P n ] und das Outputregister q = [Q 1 Q n ]. Bei jedem Schritt wird Ek n dazu benutzt, um aus p ein neues q zu erhalten, d.h. q = Ek n(p). Die ersten n Bits des Registers q werden mit q = [Q 1 Q n ] bezeichnet. In jedem Schritt wird der Klartext-Block m i mit q XOR verknüpft, wodurch der entsprechende Chiffretext-Block c i = m i q entsteht. Danach wird zunächst p und dann q aktualisiert. Der neue Wert des Registers p entsteht dadurch, dass der alte Wert um n Positionen nach links verschoben wird, und die entstehende Lücke mit c i aufgefüllt wird (daher der Name CFB). Ganz zu Beginn wird p mit einem Initialisierungsvektor IV aufgefüllt. Die Entschlüsselung erfolgt nach dem genau gleichen Muster, wobei ebenso Ek n (und nicht etwa Dk n ) zum Einsatz kommt. Bei der Betriebsart CFB benötigt man somit gar keine Entschlüsselungsfunktion Dk n. Initialisierung: p = IV Verschlüsselung: a) q E n k (p) b) c i = m i q c) p (2 n p + c i ) mod 2 n Entschlüsselung: a) q E n k (p) b) m i = c i q c) p (2 n p + c i ) mod 2 n Da die Ver- und Entschlüsselung identisch sind, lässt sich CFB besonders einfach implementieren. Zudem besitzt CFB die Eigenschaft des Error Recovery, denn ein fehlerhaftes Bit wirkt sich nur auf genau n/n Blöcke aus. Ein Nachteil von CFB ist die Tatsache, dass im Vergleich zu ECB oder CBC die Datendurchsatzrate um den Faktor n/n verringert wird, was vor allem bei kleinen Werten n von Gewicht ist. Genau genommen benutzt man bei der Betriebsart CFB die Verschlüsselungsfunktion E n k nur dazu, um eine pseudo-zufällige Bitfolge zu generieren, mit deren Hilfe der Klartext dann ähnlich wie bei einem One-Time Pad verschlüsselt wird. Dabei nutzt man die Eigenschaft von guten Block-Chiffren aus, die Bits im Chiffretext gleichmässig zu verteilen (siehe Abschnitt 6.5). Entsprechend kommen die Nullen und Einsen in der pseudo-zufälligen Bitfolge ungefähr gleich häufig vor.

17 MEHRFACHVERSCHLÜSSELUNG 41 d) Output Feedback (OFB) Eine Variante von CFB entsteht dadurch, dass man beim Aktualisieren des Registers p einfach den aktuellen Wert von q verwendet. Genau genommen arbeitet man dann nur noch mit einem Register q. Initialisierung: q = IV Verschlüsselung: a) q E n k (q) b) c i = m i q Entschlüsselung: a) q E n k (q) b) m i = c i q Auch hier handelt es sich eigentlich um das Generieren einer pseudo-zufälligen Bitfolge. Diese ist im Gegensatz zu CFB unabhängig vom Klartext und Chiffretext. Deshalb kann bei OFB die Bitfolge bereits im Vornherein generiert und so für die eigentliche Ver- und Entschlüssung auf Vorrat bereit gestellt werden. Auf diese Art kann man dem Nachteil des um den Faktor n/n reduzierten Datendurchsatzes entgegenwirken. Die Betriebsart OFB wird in der Praxis oft eingesetzt. 6.3 MEHRFACHVERSCHLÜSSELUNG Bei den Betriebsarten CFB und OFB haben wir gesehen, wie eine Block-Chiffre mit Blocklänge n für kürzere Blocklängen m n benutzt werden kann. Hier geht es jetzt darum, Block-Chiffren mit einer ungenügend grossen Schlüssellänge r = k auf längere Schlüssel zu erweitern. Man erreicht dies, indem der Klartext mehrmals hintereinander mit verschiedenen Schlüsseln k 1, k 2, etc. verschlüsselt wird. Beim Entschlüsseln müssen die Schlüssel dann in umgekehrter Reihenfolge eingesetzt werden. Konkret gibt es auch hier mehrere Möglichkeiten, wie man ein solches Schema realisieren kann. Im folgenden beschränken wir uns auf Doppel- und Tripelverschlüsselungen. Die vorgestellten Varianten sind in Abb dargestellt. a) Doppelverschlüsselung E-E Bei einer Doppelverschlüsselung ist der Spielraum gering, d.h. der Klartext m wird zuerst mit k 1 und dann mit k 2 verschlüsselt. Bei Entschlüsseln kommt zuerst k 2 und dann k 1 zum Einsatz. Formal schreibt sich das wie folgt: c = E k2 (E k1 (m)), m = E k1 (E k2 (c)). Bei einem solchen System gibt es im Allgemeinen keinen Schlüssel k, so dass E k (m) = E k2 (E k1 (m)). Dies hat damit zu tun, dass für eine bestimmte Schlüssellänge r in der Regel nur auf eine ganz kleine Teilmenge der möglichen Ver- und Entschlüsselungsfunktionen zugegriffen werden kann (siehe Bemerkung am Ende von Abschnitt 6.1). Eine Doppel-

18 42 BLOCK-CHIFFREN oder Mehrfachverschlüsselung führt somit zu einer echten Erweiterung des zu Verfügung stehenden Funktionsraumes. Trotzdem erhöhen Doppelverschlüsselungen die Sicherheit der Chiffre gegenüber einer Brute-Force-Attacke nicht wesentlich. Denn wenn von einem Known-Plaintext Szenario ausgegangen wird (siehe Teil I, Kapitel 2), kann ein Angreifer gleichzeitig versuchen, m zu verschlüsseln und c zu entschlüsseln, d.h. solange bis ein gemeinsamer Wert x = E k1 (m) = D k2 (c) gefunden wird. Der Zeitaufwand für eine solche Meet-in-the-Middle-Attacke ist also nur um den Faktor 2 grösser als bei einer entsprechenden Einfachverschlüsselung. Immerhin erfordert eine Meet-in-the-Middle-Attacke relativ viel Speicher, doch bei einer kryptographischen Sicherheitsanalyse ist die Zeit in der Regel das wichtigere Kriterium. b) Tripelverschlüsselung E-E-E Wegen einer möglichen Meet-in-the-Middle-Attacke geht man bei Mehrfachverschlüsselungen mindestens von einer Tripelverschlüsselung aus. Beim naheliegendsten Ansatz wird die Verschlüsselungsfunktion dreimal hintereinander mit drei unterschiedlichen Schlüsseln k 1, k 2 und k 3 angewendet, und in umgekehrter Reihenfolge bei der Entschlüsselung. c = E k3 (E k2 (E k1 (m))), m = E k1 (E k2 (E k3 (c))). Bei einen solchen Schema ist die Meet-in-the-Middle-Attacke nur noch beschränkt möglich, nämlich entweder in Bezug auf x 1, dem ersten Zwischenresultat, oder x 2, dem zweiten Zwischenresultat. In jedem der beiden möglichen Fälle ist eine Doppelverschlüsselung zu überwinden, d.h. die Schlüssellänge r wird faktisch verdoppelt und der Zeitaufwand wächst entsprechend exponentiell an (plus einen Faktor 2 für die von der anderen Seite her kommende Suche). Doch gerade darin besteht der Nachteil dieses Verfahrens, nämlich dass drei Schlüssel die effektive Schlüssellänge nur verdoppeln. c) Tripelverschlüsselung E-D-E Eine Tripelverschlüsselung E-E-E reduziert sich im im speziellen Fall von k = k 1 = k 2 = k 3 nicht auf eine Einfachverschlüsselung mit k. Dies ist ein anderer Nachteil des zuvor vorgestellten Verfahrens. Um dies zu korrigieren, wendet man im zweiten Schritt nicht die Verschlüsselungsfunktion E k2 sondern die Entschlüsselungsfunktion D k2 an. Man nutzt dabei die Tatsache, dass E und D gegenseitige Umkehrfunktionen und somit austauschbar sind. c = E k3 (D k2 (E k1 (m))), m = D k1 (E k2 (D k3 (c))). Wie leicht zu sehen ist, reduziert sich die Ver- und Entschlüsselung für der Spezialfall k = k 1 = k 2 = k 3 auf c = E k (m) bzw. m = D k (c), d.h. auf eine gewöhnliche Einfachverschlüsselung. Ein E-D-E Schema ist somit flexibler einsetzbar als das E-E-E Schema. Ansonsten gilt das gleiche wie oben, d.h. trotz drei Schlüsseln wird die effektive Schlüssellänge lediglich verdoppelt. d) Tripelverschlüsselung E-D-E (mit zwei Schlüsseln) Wenn sich die Schlüssellänge bei Dreifachverschlüsselungen effektiv nur um den Faktor 2 erhöht, dann möchte man falls möglich auch nur zwei statt drei Schlüssel einsetzen. Dies

19 SUBSTITUTIONS-CHIFFREN 43 ist in der Tat möglich, denn bei einem E-D-E Schema darf der gleiche Schlüssel bei der zweiten Verschlüsselung ein zweites mal verwendet werden, ohne dabei eine effiziente Meet-in-the-Middle-Attacke zu ermöglichen. c = E k1 (D k2 (E k1 (m))), m = D k1 (E k2 (D k1 (c))). Wiederum reduziert sich der Fall k = k 1 = k 2 auf eine Einfachverschlüsselung. Dieses Verfahren vereinigt somit sämtliche Vorteile der hier beschriebenen Varianten von Mehrfachverschlüsselungen und wird in der Praxis am häufigsten eingesetzt. Prominentestes Beispiel ist 3DES, bei welchem die Schlüssellänge von DES von r = 56 auf r = 112 Bits angehoben wird. Natürlich ist 3DES dreimal langsamer als DES. Verschlüsselung Entschlüsselung k 1 k 2 k 2 k 1 a) E-E: m E E c D D m k 1 k 2 k 3 k 3 k 2 k 1 b) E-E-E: m E E E c D D D m k 1 k 2 k 3 k 3 k 2 k 1 c) E-D-E: (3 Schlüssel) m E D E c D E D m k 1 k 2 k 1 k 1 k 2 k 1 d) E-D-E: (2 Schlüssel) m E D E c D E D m Abbildung 6.2. Verschiedene Varianten von Mehrfachverschlüsselungen. 6.4 SUBSTITUTIONS-CHIFFREN Bei modernen Block-Chiffren wie DES oder AES werden zwei Grundtechniken miteinander kombiniert. Eine dieser Grundtechniken sind die sogenannten Substitutions-Chiffren. Die Idee besteht darin, dass jedes Zeichen des Klartext-Alphabets A M durch ein entsprechendes Substitutionszeichen im Chiffretext-Alphabet A C ersetzt wird. Wenn man, wie wir es im folgenden tun werden, von einem gemeinsamen Klar- und Chiffretext-Alphabet A = A M = A C ausgeht, dann definiert jede mögliche Permutation des Alphabets eine mögliche Substitutions-Chiffre. Mit P(A) wird die Menge aller möglichen Permutationen bezeichnet. Insgesamt gibt es A! viele Permutationen. Falls π P(A) eine Permutation ist, dann bezeichnen wir mit π(m) das Zeichen, durch welches M ersetzt wird. Entsprechend ist π 1 die Permutation, die π(m) wieder durch M ersetzt.

20 44 BLOCK-CHIFFREN a) Monoalphabetische Substitution Wenn jedes Zeichen des Klartextes mit der gleichen Permutation verschlüsselt wird, dann spricht man von einer monoalphabetischen Substitution. Die Permutation selbst ist dann gerade der geheime Schlüssel, d.h. K = P(A). Da bei einer monoalphabetischen Substitution jedes Zeichen des Klartextes einzeln verschlüsselt wird, handelt es sich genau genommen nicht um eine Block- sondern um eine Strom-Chiffre. Entsprechend kann man sich bei der Definition der Ver- und Entschlüsselung auf die gesamte Nachricht m = [M 1 M N ] bzw. c = [C 1 C N ] beziehen: c = E π (m) = [π(m 1 ) π(m N )], m = E π 1(c) = [π 1 (C 1 ) π 1 (C N )]. Ein sehr spezielles Beispiel einer monoalphabetischen Substitution ist das Verfahren von Caesar (siehe Teil I, Kapitel 1), bei welchem die Zeichen im Alphabet um 3 Stellen (im Allgemeinen s A Stellen) nach rechts (oder links) verschoben werden. Dabei wird der aus allen möglichen Permutationen bestehende Schlüsselraum auf eine kleine Teilmenge eingeschränkt. Ein allgemeineres Beispiel einer monoalphabetischen Substitution ist das folgende. Beispiel: A = {A, B,..., Z}, m = [KRYPTOGRAPHIE], c = [AKNHYGUKQHIOT] A B C D E F G H I J K L M N O P Q R S T U V W X Y Z π Q W E R T Z U I O P A S D F G H J K L Y X C V B N M A B C D E F G H I J K L M N O P Q R S T U V W X Y Z π 1 Q W E R T Z U I O P A S D F G H J K L Y X C V B N M Bei einem Binäralphabet A = {0, 1} gibt es genau zwei verschiedene mögliche Substitutionen, nämlich die triviale Permutation, bei welcher Nullen durch Nullen und Einsen durch Einsen ersetzt werden, und die Inversion, wo Nullen in Einsen und Einsen in Nullen übergehen. Eine Substitution macht somit auf den ersten Blick bei einem Binäralphabet keinen Sinn. Oft arbeitet man deshalb mit einer Verallgemeinerung der monoalphabetischen Substitution, der sogenannten Polygramm- oder Multi-Letter-Substitution. Dabei werden nicht einzelne Zeichen sondern kurze Blöcke (Polygramme) substituiert. Genau genommen arbeitet man also bei einer Polygramm-Substitution mit einem erweiterten Alphabet A p, wobei p die Länge der Polygramme bezeichnet. Beispiel: A = {0, 1}, p = 3 (Trigramme), A p = {000, 001, 010, 011, 100, 101, 110, 111} π π Bei einer Block-Chiffre schaut man, dass die Polygrammlänge p ein ganzzahliger Teiler der Blocklänge n ist. Üblich in der Praxis sind Polygramme der Länge p = 8, was für

monoalphabetisch: Verschiebechiffren (Caesar), multiplikative Chiffren polyalphabetisch: Vigenère-Chiffre

monoalphabetisch: Verschiebechiffren (Caesar), multiplikative Chiffren polyalphabetisch: Vigenère-Chiffre Was bisher geschah Kryptographische Systeme (M, C, K, E, D) Symmetrische Verfahren (gleicher Schlüssel zum Verschlüsseln und Entschlüsseln): Substitutions-Chiffren (Permutationschiffren): Ersetzung jedes

Mehr

Kryptographische Systeme (M, C, K, e, d) Symmetrische Verfahren (gleicher Schlüssel zum Verschlüsseln und Entschlüsseln):

Kryptographische Systeme (M, C, K, e, d) Symmetrische Verfahren (gleicher Schlüssel zum Verschlüsseln und Entschlüsseln): Was bisher geschah Kryptographische Systeme (M, C, K, e, d) Symmetrische Verfahren (gleicher Schlüssel zum Verschlüsseln und Entschlüsseln): Substitutions-Chiffren (Permutationschiffren): Ersetzung jedes

Mehr

Einführung in die moderne Kryptographie

Einführung in die moderne Kryptographie c by Rolf Haenni (2006) Seite 1 Von der Caesar-Verschlüsselung zum Online-Banking: Einführung in die moderne Kryptographie Prof. Rolf Haenni Reasoning under UNcertainty Group Institute of Computer Science

Mehr

Verfügbarkeit (Schutz vor Verlust) Vertraulichkeit (Schutz vor unbefugtem Lesen) Authentizität (Schutz vor Veränderung, Fälschung)

Verfügbarkeit (Schutz vor Verlust) Vertraulichkeit (Schutz vor unbefugtem Lesen) Authentizität (Schutz vor Veränderung, Fälschung) Was bisher geschah Sicherheitsziele: Verfügbarkeit (Schutz vor Verlust) Vertraulichkeit (Schutz vor unbefugtem Lesen) Authentizität (Schutz vor Veränderung, Fälschung) von Information beim Speichern und

Mehr

Kryptographische Systeme (M, C, K, E, D) Symmetrische Verfahren (gleicher Schlüssel zum Verschlüsseln und Entschlüsseln):

Kryptographische Systeme (M, C, K, E, D) Symmetrische Verfahren (gleicher Schlüssel zum Verschlüsseln und Entschlüsseln): Was bisher geschah Kryptographische Systeme (M, C, K, E, D) Symmetrische Verfahren (gleicher Schlüssel zum Verschlüsseln und Entschlüsseln): Substitutions-Chiffren (Permutationschiffren): Ersetzung jedes

Mehr

Schutz von Informationen bei Übertragung über unsichere Kanäle Beispiele für zu schützende Informationen

Schutz von Informationen bei Übertragung über unsichere Kanäle Beispiele für zu schützende Informationen Kryptographie Motivation Schutz von Informationen bei Übertragung über unsichere Kanäle Beispiele für zu schützende Informationen Geheimzahlen (Geldkarten, Mobiltelefon) Zugriffsdaten (Login-Daten, Passwörter)

Mehr

Betriebsarten von Blockchiffren. ECB Electronic Code Book Mode. Padding. ECB Electronic Code Book Mode

Betriebsarten von Blockchiffren. ECB Electronic Code Book Mode. Padding. ECB Electronic Code Book Mode Betriebsarten von Blockchiffren Blocklänge ist fest und klein. Wie große Mengen an Daten verschlüsseln? Blockchiffre geeignet verwenden: ECB Mode (Electronic Code Book) CBC Mode (Cipher Block Chaining)

Mehr

Kryptographische Verfahren. zur Datenübertragung im Internet. Patrick Schmid, Martin Sommer, Elvis Corbo

Kryptographische Verfahren. zur Datenübertragung im Internet. Patrick Schmid, Martin Sommer, Elvis Corbo Kryptographische Verfahren zur Datenübertragung im Internet Patrick Schmid, Martin Sommer, Elvis Corbo 1. Einführung Übersicht Grundlagen Verschlüsselungsarten Symmetrisch DES, AES Asymmetrisch RSA Hybrid

Mehr

Klassische Verschlüsselungsverfahren

Klassische Verschlüsselungsverfahren Klassische Verschlüsselungsverfahren Matthias Rainer 20.11.2007 Inhaltsverzeichnis 1 Grundlagen 2 2 Substitutionschiffren 2 2.1 Monoalphabetische Substitutionen....................... 3 2.1.1 Verschiebechiffren............................

Mehr

12 Kryptologie. ... immer wichtiger. Militär (Geheimhaltung) Telebanking, Elektronisches Geld E-Commerce WWW...

12 Kryptologie. ... immer wichtiger. Militär (Geheimhaltung) Telebanking, Elektronisches Geld E-Commerce WWW... 12 Kryptologie... immer wichtiger Militär (Geheimhaltung) Telebanking, Elektronisches Geld E-Commerce WWW... Kryptologie = Kryptographie + Kryptoanalyse 12.1 Grundlagen 12-2 es gibt keine einfachen Verfahren,

Mehr

Grundlagen der Kryptographie

Grundlagen der Kryptographie Grundlagen der Kryptographie Seminar zur Diskreten Mathematik SS2005 André Latour a.latour@fz-juelich.de 1 Inhalt Kryptographische Begriffe Primzahlen Sätze von Euler und Fermat RSA 2 Was ist Kryptographie?

Mehr

Betriebsarten für Blockchiffren

Betriebsarten für Blockchiffren Betriebsarten für Blockchiffren Prof. Dr. Rüdiger Weis TFH Berlin Sommersemester 2008 Betriebsarten für Blockchiffren Was ist eine Betriebsart (engl. Mode of Operation )? Blockchiffre wird genutzt, um

Mehr

Symmetrische und Asymmetrische Kryptographie. Technik Seminar 2012

Symmetrische und Asymmetrische Kryptographie. Technik Seminar 2012 Symmetrische und Asymmetrische Kryptographie Technik Seminar 2012 Inhalt Symmetrische Kryptographie Transpositionchiffre Substitutionchiffre Aktuelle Verfahren zur Verschlüsselung Hash-Funktionen Message

Mehr

Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester 2013.

Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester 2013. Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Übungsblatt 2 Aufgabe 1. Wir wissen,

Mehr

3 Betriebsarten bei Blockverschlüsselung

3 Betriebsarten bei Blockverschlüsselung 3 Betriebsarten bei Blockverschlüsselung Die Anwendung einer Blockverschlüsselungsfunktion f : F n 2 Fn 2 auf längere (oder kürzere) Bitfolgen erfordert zwei Maßnahmen: 1 die Folge in n-bit-blöcke aufspalten,

Mehr

1 Kryptosysteme 1 KRYPTOSYSTEME. Definition 1.1 Eine Kryptosystem (P(A), C(B), K, E, D) besteht aus

1 Kryptosysteme 1 KRYPTOSYSTEME. Definition 1.1 Eine Kryptosystem (P(A), C(B), K, E, D) besteht aus 1 RYPTOSYSTEME 1 ryptosysteme Definition 1.1 Eine ryptosystem (P(A), C(B),, E, D) besteht aus einer Menge P von lartexten (plaintext) über einem lartextalphabet A, einer Menge C von Geheimtexten (ciphertext)

Mehr

DES der vergangene Standard für Bitblock-Chiffren

DES der vergangene Standard für Bitblock-Chiffren DES der vergangene Standard für Bitblock-Chiffren Klaus Pommerening Fachbereich Mathematik der Johannes-Gutenberg-Universität Saarstraße 1 D-55099 Mainz Vorlesung Kryptologie 1. März 1991, letzte Änderung:

Mehr

10. Kryptographie. Was ist Kryptographie?

10. Kryptographie. Was ist Kryptographie? Chr.Nelius: Zahlentheorie (SoSe 2015) 39 10. Kryptographie Was ist Kryptographie? Die Kryptographie handelt von der Verschlüsselung (Chiffrierung) von Nachrichten zum Zwecke der Geheimhaltung und von dem

Mehr

Verschlüsselungsverfahren

Verschlüsselungsverfahren Verschlüsselungsverfahren Herrn Breder hat es nach dem Studium nach München verschlagen. Seine Studienkollegin Frau Ahrend wohnt in Heidelberg. Da beide beruflich sehr stark einspannt sind, gibt es keine

Mehr

Stefan Lucks Krypto und Mediensicherheit (2009) 4: Stromchiffren

Stefan Lucks Krypto und Mediensicherheit (2009) 4: Stromchiffren 4: Stromchiffren Zwei Grundbausteine der symmetrischen Kryptographie: Stromchiffren Verschlüsseln beliebig langer Klartexte, interner Zustand Blockchiffren Verschlüsseln von Blocks einer festen Größe,

Mehr

FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION. Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht

FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION. Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht INHALTSÜBERSICHT Risiken für die Sicherheit von Kommunikation und die Freiheit

Mehr

8. Von den Grundbausteinen zu sicheren Systemen

8. Von den Grundbausteinen zu sicheren Systemen Stefan Lucks 8. Grundb. sich. Syst. 211 orlesung Kryptographie (SS06) 8. Von den Grundbausteinen zu sicheren Systemen Vorlesung bisher: Bausteine für Kryptosysteme. Dieses Kapitel: Naiver Einsatz der Bausteine

Mehr

Verschlüsselung und Signatur

Verschlüsselung und Signatur Verschlüsselung und Signatur 1 Inhalt Warum Verschlüsseln Anforderungen und Lösungen Grundlagen zum Verschlüsseln Beispiele Fragwürdiges rund um das Verschlüsseln Fazit Warum verschlüsseln? Sichere Nachrichtenübertragung

Mehr

Kryptographie oder Verschlüsselungstechniken

Kryptographie oder Verschlüsselungstechniken Kryptographie oder Verschlüsselungstechniken Dortmund, Dezember 1999 Prof. Dr. Heinz-Michael Winkels, Fachbereich Wirtschaft FH Dortmund Emil-Figge-Str. 44, D44227-Dortmund, TEL.: (0231)755-4966, FAX:

Mehr

Seminar Kryptographie und Datensicherheit

Seminar Kryptographie und Datensicherheit Seminar Kryptographie und Datensicherheit Einfache Kryptosysteme und ihre Analyse Christoph Kreitz 1. Grundlagen von Kryptosystemen 2. Buchstabenorientierte Systeme 3. Blockbasierte Verschlüsselung 4.

Mehr

Kryptologie und Kodierungstheorie

Kryptologie und Kodierungstheorie Kryptologie und Kodierungstheorie Alexander May Horst Görtz Institut für IT-Sicherheit Ruhr-Universität Bochum Lehrerfortbildung 17.01.2012 Kryptologie Verschlüsselung, Substitution, Permutation 1 / 18

Mehr

6.2 Perfekte Sicherheit

6.2 Perfekte Sicherheit 04 6.2 Perfekte Sicherheit Beweis. H(B AC) + H(A C) = H(ABC) H(AC) + H(AC) H(C) Wegen gilt Einsetzen in die Definition gibt = H(AB C). H(A BC) = H(AB C) H(B C). I(A; B C) = H(A C) H(AB C) + H(B C). Da

Mehr

Verschlüsselung. Kirchstraße 18 Steinfelderstraße 53 76831 Birkweiler 76887 Bad Bergzabern. 12.10.2011 Fabian Simon Bfit09

Verschlüsselung. Kirchstraße 18 Steinfelderstraße 53 76831 Birkweiler 76887 Bad Bergzabern. 12.10.2011 Fabian Simon Bfit09 Verschlüsselung Fabian Simon BBS Südliche Weinstraße Kirchstraße 18 Steinfelderstraße 53 76831 Birkweiler 76887 Bad Bergzabern 12.10.2011 Fabian Simon Bfit09 Inhaltsverzeichnis 1 Warum verschlüsselt man?...3

Mehr

Grundbegriffe der Kryptographie II Technisches Seminar SS 2012 Deniz Bilen

Grundbegriffe der Kryptographie II Technisches Seminar SS 2012 Deniz Bilen Grundbegriffe der Kryptographie II Technisches Seminar SS 2012 Deniz Bilen Agenda 1. Kerckhoff sches Prinzip 2. Kommunikationsszenario 3. Wichtige Begriffe 4. Sicherheitsmechanismen 1. Symmetrische Verschlüsselung

Mehr

Kryptographie praktisch erlebt

Kryptographie praktisch erlebt Kryptographie praktisch erlebt Dr. G. Weck INFODAS GmbH Köln Inhalt Klassische Kryptographie Symmetrische Verschlüsselung Asymmetrische Verschlüsselung Digitale Signaturen Erzeugung gemeinsamer Schlüssel

Mehr

KRYPTOLOGIE KRYPTOLOGIE

KRYPTOLOGIE KRYPTOLOGIE KRYPTOLOGIE Die Kryptologie beschäftigt sich mit dem Verschlüsseln von Nachrichten. Sie zerfällt in zwei Gebiete: die Kryptographie, die sich mit dem Erstellen von Verschlüsselungsverfahren beschäftigt,

Mehr

Klassische Kryptographie

Klassische Kryptographie Sommersemester 2008 Geschichte Seit der Antike: Verbreiteter, aber unsystematischer Einsatz kryptographischer Methoden (z.b. durch Caesar). Ende 19. Jhdt.: Systematisierung und Formalisierung. 2. Weltkrieg:

Mehr

Kapitel 3: Etwas Informationstheorie

Kapitel 3: Etwas Informationstheorie Stefan Lucks 3: Informationstheorie 28 orlesung Kryptographie (SS06) Kapitel 3: Etwas Informationstheorie Komplexitätstheoretische Sicherheit: Der schnellste Algorithmus, K zu knacken erfordert mindestens

Mehr

Informationssicherheit - Lösung Blatt 2

Informationssicherheit - Lösung Blatt 2 Informationssicherheit - Lösung Blatt 2 Adam Glodek adam.glodek@gmail.com 13.04.2010 1 1 Aufgabe 1: One Time Pad 1.1 Aufgabenstellung Gegeben ist der folgende Klartext 12Uhr (ASCII). Verschlüsseln Sie

Mehr

RSA Verfahren. Kapitel 7 p. 103

RSA Verfahren. Kapitel 7 p. 103 RSA Verfahren RSA benannt nach den Erfindern Ron Rivest, Adi Shamir und Leonard Adleman war das erste Public-Key Verschlüsselungsverfahren. Sicherheit hängt eng mit der Schwierigkeit zusammen, große Zahlen

Mehr

Übungen zu. Grundlagen der Kryptologie SS 2008. Hochschule Konstanz. Dr.-Ing. Harald Vater. Giesecke & Devrient GmbH Prinzregentenstraße 159

Übungen zu. Grundlagen der Kryptologie SS 2008. Hochschule Konstanz. Dr.-Ing. Harald Vater. Giesecke & Devrient GmbH Prinzregentenstraße 159 Übungen zu Grundlagen der Kryptologie SS 2008 Hochschule Konstanz Dr.-Ing. Harald Vater Giesecke & Devrient GmbH Prinzregentenstraße 159 D-81677 München Tel.: +49 89 4119-1989 E-Mail: hvater@htwg-konstanz.de

Mehr

Methoden der Kryptographie

Methoden der Kryptographie Methoden der Kryptographie!!Geheime Schlüssel sind die sgrundlage Folien und Inhalte aus II - Der Algorithmus ist bekannt 6. Die - Computer Networking: A Top außer bei security by obscurity Down Approach

Mehr

Modulprüfung (Grundlagen der Informationsverarbeitung und -sicherheit) am 9. 2. 2011 um 14:00 15:30 Uhr im HS 1 (Tivoli) Viel Erfolg!

Modulprüfung (Grundlagen der Informationsverarbeitung und -sicherheit) am 9. 2. 2011 um 14:00 15:30 Uhr im HS 1 (Tivoli) Viel Erfolg! Organisatorisches Modulprüfung (Grundlagen der Informationsverarbeitung und -sicherheit) am 9. 2. 2011 um 14:00 15:30 Uhr im HS 1 (Tivoli) Viel Erfolg! Auswertung Studentenfragebögen Vorbereitung auf die

Mehr

Was heißt Kryptographie I? Understanding Cryptography Christof Paar und Jan Pelzl

Was heißt Kryptographie I? Understanding Cryptography Christof Paar und Jan Pelzl Was heißt Kryptographie I? Understanding Cryptography Christof Paar und Jan Pelzl Die Autoren Dr.-Ing. Jan Pelzl Prof. Dr.-Ing. Christof Paar Gliederung Historischer Überblick Begrifflichkeiten Symmetrische

Mehr

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit : Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Methode: Verschüsselung symmetrische Verfahren

Mehr

Symmetrische und Asymmetrische Kryptographie

Symmetrische und Asymmetrische Kryptographie TECHNIK SEMINAR SS2012 Symmetrische und Asymmetrische Kryptographie Maurice 21.05.2012 Dozent: Prof. Dr. Michael Anders 1 Inhalt 1.Einleitung...3 2.Symmetrische Kryptografie:...4 2.1 Transpositionschiffren:...5

Mehr

Seminar für LAK. Angewandte Mathematik

Seminar für LAK. Angewandte Mathematik LV-Nummer: 250115 Wintersemester 2009/2010 Ao. Univ.-Prof. Dr. Peter Schmitt Seminar für LAK Angewandte Mathematik Martin Kletzmayr Matrikelnummer: 0304008 Studienkennzahl: A 190 313 406 Email: martin.kletzmayr@gmx.net

Mehr

Das RSA-Verschlüsselungsverfahren 1 Christian Vollmer

Das RSA-Verschlüsselungsverfahren 1 Christian Vollmer Das RSA-Verschlüsselungsverfahren 1 Christian Vollmer Allgemein: Das RSA-Verschlüsselungsverfahren ist ein häufig benutztes Verschlüsselungsverfahren, weil es sehr sicher ist. Es gehört zu der Klasse der

Mehr

Vorlesung Datensicherheit. Sommersemester 2010

Vorlesung Datensicherheit. Sommersemester 2010 Vorlesung Datensicherheit Sommersemester 2010 Harald Baier Kapitel 2: Kryptographische Begriffe und symmetrische Verschlüsselungsverfahren Inhalt Kryptographische Begriffe Historische Verschlüsselungsverfahren

Mehr

Kryptologie. Verschlüsselungstechniken von Cäsar bis heute. Arnulf May

Kryptologie. Verschlüsselungstechniken von Cäsar bis heute. Arnulf May Kryptologie Verschlüsselungstechniken von Cäsar bis heute Inhalt Was ist Kryptologie Caesar Verschlüsselung Entschlüsselungsverfahren Die Chiffrierscheibe Bestimmung der Sprache Vigenére Verschlüsselung

Mehr

Blockverschlüsselung und AES

Blockverschlüsselung und AES Blockverschlüsselung und AES Proseminar/Seminar Kryptographie und Datensicherheit SoSe 2009 Universität Potsdam ein Vortrag von Linda Tschepe Übersicht Allgemeines SPNs (Substitutions- Permutations- Netzwerke)

Mehr

Wiederholung Symmetrische Verschlüsselung klassische Verfahren: Substitutionschiffren Transpositionschiffren Vigenère-Chiffre One-Time-Pad moderne

Wiederholung Symmetrische Verschlüsselung klassische Verfahren: Substitutionschiffren Transpositionschiffren Vigenère-Chiffre One-Time-Pad moderne Wiederholung Symmetrische Verschlüsselung klassische Verfahren: Substitutionschiffren Transpositionschiffren Vigenère-Chiffre One-Time-Pad moderne Verfahren: DES (Feistel-Chiffre) mehrfache Wiederholung

Mehr

Eine Praxis-orientierte Einführung in die Kryptographie

Eine Praxis-orientierte Einführung in die Kryptographie Eine Praxis-orientierte Einführung in die Kryptographie Mag. Lukas Feiler, SSCP lukas.feiler@lukasfeiler.com http://www.lukasfeiler.com/lectures_brg9 Verschlüsselung & Entschlüsselung Kryptographie & Informationssicherheit

Mehr

In beiden Fällen auf Datenauthentizität und -integrität extra achten.

In beiden Fällen auf Datenauthentizität und -integrität extra achten. Stromchiffren Verschlüsseln eines Stroms von Daten m i (Bits/Bytes) mithilfe eines Schlüsselstroms k i in die Chiffretexte c i. Idee: Im One-Time Pad den zufälligen Schlüssel durch eine pseudo-zufällige

Mehr

1. Klassische Kryptographie: Caesar-Verschlüsselung

1. Klassische Kryptographie: Caesar-Verschlüsselung 1. Klassische Kryptographie: Caesar-Verschlüsselung Das Bestreben, Botschaften für andere unlesbar zu versenden, hat zur Entwicklung einer Wissenschaft rund um die Verschlüsselung von Nachrichten geführt,

Mehr

Übungen zur Vorlesung Systemsicherheit

Übungen zur Vorlesung Systemsicherheit Übungen zur Vorlesung Systemsicherheit Symmetrische Kryptographie Tilo Müller, Reinhard Tartler, Michael Gernoth Lehrstuhl Informatik 1 + 4 17. November 2010 c (Lehrstuhl Informatik 1 + 4) Übungen zur

Mehr

Cacherhochschule CHS. Teil II polyalphabetische Substitutionschiffren

Cacherhochschule CHS. Teil II polyalphabetische Substitutionschiffren Cacherhochschule CHS Multi-Mystery Rätselhilfe -Event Teil II polyalphabetische Substitutionschiffren Herzlich willkommen! Kurz zur Erinnerung: Teil I behandelte Chiffren und Codes Polybios, Vanity, ROT

Mehr

27. Algorithmus der Woche Public-Key-Kryptographie Verschlüsseln mit öffentlichen Schlüsseln

27. Algorithmus der Woche Public-Key-Kryptographie Verschlüsseln mit öffentlichen Schlüsseln 27. Algorithmus der Woche Public-Key-Kryptographie Verschlüsseln mit öffentlichen Schlüsseln Autor Dirk Bongartz, RWTH Aachen Walter Unger, RWTH Aachen Wer wollte nicht schon mal eine Geheimnachricht übermitteln?

Mehr

ESecuremail Die einfache Email verschlüsselung

ESecuremail Die einfache Email verschlüsselung Wie Sie derzeit den Medien entnehmen können, erfassen und speichern die Geheimdienste aller Länder Emails ab, egal ob Sie verdächtig sind oder nicht. Die Inhalte von EMails werden dabei an Knotenpunkten

Mehr

Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007

Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007 Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 27 Dr. Volker Scheidemann Kapitel 3: Kryptografie Allgemeine Kryptosysteme Standards für symmetrische Verschlüsselung: DES und AES Kryptografie mit öffentlichen

Mehr

Kryptologie. 2. Sicherstellung, dass eine Nachricht unverfälscht beim Empfänger ankommt: Integrität.

Kryptologie. 2. Sicherstellung, dass eine Nachricht unverfälscht beim Empfänger ankommt: Integrität. Kryptologie Zur Terminologie Die Begriffe KRYPTOLOGIE und KRYPTOGRAPHIE entstammen den griechischen Wörtern kryptos (geheim), logos (Wort, Sinn) und graphein (schreiben). Kryptographie ist die Lehre vom

Mehr

IT-Sicherheit: Kryptographie. Asymmetrische Kryptographie

IT-Sicherheit: Kryptographie. Asymmetrische Kryptographie IT-Sicherheit: Kryptographie Asymmetrische Kryptographie Fragen zur Übung 5 C oder Java? Ja (gerne auch Python); Tips waren allerdings nur für C Wie ist das mit der nonce? Genau! (Die Erkennung und geeignete

Mehr

Kryptographische Verschlüsselung mithilfe des DES-Verfahrens und die Übersetzung eines Textes durch ein selbstgeschriebenes Delphi-Programm

Kryptographische Verschlüsselung mithilfe des DES-Verfahrens und die Übersetzung eines Textes durch ein selbstgeschriebenes Delphi-Programm Kryptographische Verschlüsselung mithilfe des DES-Verfahrens und die Übersetzung eines Textes durch ein selbstgeschriebenes Delphi-Programm Andre Pawlowski, Gymnasium Holthausen, LK Mathematik, 2004/2005

Mehr

Digital Signature and Public Key Infrastructure

Digital Signature and Public Key Infrastructure E-Governement-Seminar am Institut für Informatik an der Universität Freiburg (CH) Unter der Leitung von Prof. Dr. Andreas Meier Digital Signature and Public Key Infrastructure Von Düdingen, im Januar 2004

Mehr

Sicherheit in Netzwerken. Leonard Claus, WS 2012 / 2013

Sicherheit in Netzwerken. Leonard Claus, WS 2012 / 2013 Sicherheit in Netzwerken Leonard Claus, WS 2012 / 2013 Inhalt 1 Definition eines Sicherheitsbegriffs 2 Einführung in die Kryptografie 3 Netzwerksicherheit 3.1 E-Mail-Sicherheit 3.2 Sicherheit im Web 4

Mehr

Das RSA-Verfahren. Armin Litzel. Proseminar Kryptographische Protokolle SS 2009

Das RSA-Verfahren. Armin Litzel. Proseminar Kryptographische Protokolle SS 2009 Das RSA-Verfahren Armin Litzel Proseminar Kryptographische Protokolle SS 2009 1 Einleitung RSA steht für die drei Namen Ronald L. Rivest, Adi Shamir und Leonard Adleman und bezeichnet ein von diesen Personen

Mehr

Symmetrische Verschlüsselung. Blockchiffren, DES, IDEA, Stromchiffren und andere Verfahren

Symmetrische Verschlüsselung. Blockchiffren, DES, IDEA, Stromchiffren und andere Verfahren Symmetrische Verschlüsselung Blockchiffren, DES, IDEA, Stromchiffren und andere Verfahren Symmetrische Verfahren Sender und Empfänger haben sich auf einen gemeinsamen Schlüssel geeinigt (geheim!!). Sender

Mehr

Kapitel 4: Flusschiffren

Kapitel 4: Flusschiffren Stefan Lucks 4: Flusschiffren 52 orlesung Kryptographie (SS06) Kapitel 4: Flusschiffren Als Basis-Baustein zur Verschlüsselung von Daten dienen Fluss- und Blockchiffren. Der Unterschied: Flusschiffren

Mehr

VON. Kryptographie. 07. März 2013. Powerpoint-Präsentation

VON. Kryptographie. 07. März 2013. Powerpoint-Präsentation VON 07. März 2013 & Kryptographie Powerpoint-Präsentation 1 Allgemeines über die Kryptographie kryptós= griechisch verborgen, geheim gráphein= griechisch schreiben Kryptographie + Kryptoanalyse= Kryptologie

Mehr

Konzepte von Betriebssystemkomponenten: Schwerpunkt Sicherheit. Asymmetrische Verschlüsselung, Digitale Signatur

Konzepte von Betriebssystemkomponenten: Schwerpunkt Sicherheit. Asymmetrische Verschlüsselung, Digitale Signatur Konzepte von Betriebssystemkomponenten: Schwerpunkt Sicherheit Thema: Asymmetrische Verschlüsselung, Digitale Signatur Vortragender: Rudi Pfister Überblick: Asymmetrische Verschlüsselungsverfahren - Prinzip

Mehr

Datenkommunikation Prof. Dr. Marke SS 2001 Seminar-Thema: Kryptographie

Datenkommunikation Prof. Dr. Marke SS 2001 Seminar-Thema: Kryptographie Datenkommunikation Prof. Dr. Marke SS 2001 Seminar-Thema: Kryptographie 22. Mai 2001 Eric Müller Frank Würkner Inhaltsverzeichnis 1 Einführung in die Kryptographie 3 1.1 Ziele einer kryptographisch gesicherten

Mehr

Einfache kryptographische Verfahren

Einfache kryptographische Verfahren Einfache kryptographische Verfahren Prof. Dr. Hagen Knaf Studiengang Angewandte Mathematik 26. April 2015 c = a b + a b + + a b 1 11 1 12 2 1n c = a b + a b + + a b 2 21 1 22 2 2n c = a b + a b + + a b

Mehr

Kryptographie I Symmetrische Kryptographie

Kryptographie I Symmetrische Kryptographie Kryptographie I Symmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2010/11 Krypto I - Vorlesung 01-11.10.2010 Verschlüsselung, Kerckhoffs, Angreifer,

Mehr

PKI (public key infrastructure)

PKI (public key infrastructure) PKI (public key infrastructure) am Fritz-Haber-Institut 11. Mai 2015, Bilder: Mehr Sicherheit durch PKI-Technologie, Network Training and Consulting Verschlüsselung allgemein Bei einer Übertragung von

Mehr

Kryptografische Algorithmen

Kryptografische Algorithmen Kryptografische Algorithmen Lerneinheit 5: Weitere symmetrische Kryptosysteme Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Wintersemester 2015/2016 21.9.2015 Einleitung Einleitung Diese

Mehr

Kryptographische Verfahren und ihre Anwendung 3. Teil: Symmetrische Verfahren II

Kryptographische Verfahren und ihre Anwendung 3. Teil: Symmetrische Verfahren II Proseminar im WS98/99 Kryptographische Verfahren und ihre Anwendung 3. Teil: Symmetrische Verfahren II Richard Atterer 26. November 1998 Inhaltsverzeichnis 1 Einleitung 1 2 Symmetrische Verschlüsselungssysteme

Mehr

Kurze Einführung in kryptographische Grundlagen.

Kurze Einführung in kryptographische Grundlagen. Kurze Einführung in kryptographische Grundlagen. Was ist eigentlich AES,RSA,DH,ELG,DSA,DSS,ECB,CBC Benjamin.Kellermann@gmx.de GPG-Fingerprint: D19E 04A8 8895 020A 8DF6 0092 3501 1A32 491A 3D9C git clone

Mehr

Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel

Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel Bernd Blümel 2001 Verschlüsselung Gliederung 1. Symetrische Verschlüsselung 2. Asymetrische Verschlüsselung 3. Hybride Verfahren 4. SSL 5. pgp Verschlüsselung 111101111100001110000111000011 1100110 111101111100001110000111000011

Mehr

PeDaS Personal Data Safe. - Bedienungsanleitung -

PeDaS Personal Data Safe. - Bedienungsanleitung - PeDaS Personal Data Safe - Bedienungsanleitung - PeDaS Bedienungsanleitung v1.0 1/12 OWITA GmbH 2008 1 Initialisierung einer neuen SmartCard Starten Sie die PeDaS-Anwendung, nachdem Sie eine neue noch

Mehr

Lehreinheit E V2 Verschlüsselung mit symmetrischen Schlüsseln

Lehreinheit E V2 Verschlüsselung mit symmetrischen Schlüsseln V-Verschlüsslung Lehreinheit Verschlüsselung mit symmetrischen Schlüsseln Zeitrahmen 70 Minuten Zielgruppe Sekundarstufe I Sekundarstufe II Inhaltliche Voraussetzung V1 Caesar-Chiffre Für Punkt 2: Addieren/Subtrahieren

Mehr

Beweisbar sichere Verschlüsselung

Beweisbar sichere Verschlüsselung Beweisbar sichere Verschlüsselung ITS-Wahlpflichtvorlesung Dr. Bodo Möller Ruhr-Universität Bochum Horst-Görtz-Institut für IT-Sicherheit Lehrstuhl für Kommunikationssicherheit bmoeller@crypto.rub.de 12

Mehr

Was bisher geschah Kryptographische Systeme (M, C, K, e, d) Verfahren: symmetrisch klassisch: Verschiebechiffren (Spezialfall Caesar-Code)

Was bisher geschah Kryptographische Systeme (M, C, K, e, d) Verfahren: symmetrisch klassisch: Verschiebechiffren (Spezialfall Caesar-Code) Was bisher geschah Kryptographische Systeme (M, C, K, e, d) Verfahren: symmetrisch klassisch: Verschiebechiffren (Spezialfall Caesar-Code) Multiplikative Chiffren monoalphabetische Substitutions-Chiffren:

Mehr

Kryptografie und Kryptoanalyse

Kryptografie und Kryptoanalyse Kryptografie und Kryptoanalyse Gruppenunterricht zum Thema: Kryptografie und Kryptoanalyse Fach: Informatik, Informationssicherheit Schultyp: Sekundarstufe II (Gymnasien, Berufsschulen) letzte Klassen,

Mehr

10. Public-Key Kryptographie

10. Public-Key Kryptographie Stefan Lucks 10. PK-Krypto 274 orlesung Kryptographie (SS06) 10. Public-Key Kryptographie Analyse der Sicherheit von PK Kryptosystemen: Angreifer kennt öffentlichen Schlüssel Chosen Plaintext Angriffe

Mehr

Ein Scan basierter Seitenangriff auf DES

Ein Scan basierter Seitenangriff auf DES Ein Scan basierter Seitenangriff auf DES Seminar Codes & Kryptographie SS04 Tobias Witteler 29.06.2004 Struktur des Vortrags 1. Einführung / Motivation 2. Struktur von DES 3. Die Attacke Begriffsklärung:

Mehr

Das Verschlüsseln verstehen

Das Verschlüsseln verstehen Das Verschlüsseln verstehen Kurz-Vorlesung Security Day 2013 Prof. (FH) Univ.-Doz. DI. Dr. Ernst Piller Kurzvorlesung "Das Verschlüsseln verstehen", Security Day 2013, Ernst Piller 1 Warum eigentlich Verschlüsselung

Mehr

9 Kryptographische Verfahren

9 Kryptographische Verfahren 9 Kryptographische Verfahren Kryptographie, Kryptologie (griech.) = Lehre von den Geheimschriften Zweck: ursprünglich: vertrauliche Nachrichtenübertragung/speicherung rechnerbezogen: Vertraulichkeit, Authentizität,

Mehr

Datenverschlüsselung - Einstieg

Datenverschlüsselung - Einstieg Datenverschlüsselung - Einstieg Dr. Thomas Schwotzer 21. November 2011 1 Die Gefahren Bevor wir beginnen: Auch diese Lecture Note kann das Lesen eines Buches nicht ersetzen. Es wird [1] wärmestens empfohlen.

Mehr

Asymmetrische. Verschlüsselungsverfahren. erarbeitet von: Emilia Winkler Christian-Weise-Gymnasium Zittau

Asymmetrische. Verschlüsselungsverfahren. erarbeitet von: Emilia Winkler Christian-Weise-Gymnasium Zittau Asymmetrische Verschlü erarbeitet von: Emilia Winkler Christian-Weise-Gymnasium Zittau Gliederung 1) Prinzip der asymmetrischen Verschlü 2) Vergleich mit den symmetrischen Verschlü (Vor- und Nachteile)

Mehr

Grundlagen der Verschlüsselung und Authentifizierung (1): symmetrische Verschlüsselung und Authentifizierung

Grundlagen der Verschlüsselung und Authentifizierung (1): symmetrische Verschlüsselung und Authentifizierung Grundlagen der Verschlüsselung und Authentifizierung (1): symmetrische Verschlüsselung und Authentifizierung Ausarbeitung zum gleichnamigen Vortrag im Seminar Konzepte von Betriebssystemkomponenten, SS

Mehr

Verschlüsselung. Claus Bauer, Datenschutzbeauftragter. CERDAT GmbH

Verschlüsselung. Claus Bauer, Datenschutzbeauftragter. CERDAT GmbH Verschlüsselung Claus Bauer, Datenschutzbeauftragter CERDAT GmbH Inhaltsübersicht: Risiken für die Sicherheit von Kommunikation und die Freiheit sicher zu Kommunizieren Technische Grundlagen von Verschlüsselung

Mehr

Leseprobe. Wolfgang Ertel. Angewandte Kryptographie. ISBN (Buch): 978-3-446-42756-3. ISBN (E-Book): 978-3-446-43196-6

Leseprobe. Wolfgang Ertel. Angewandte Kryptographie. ISBN (Buch): 978-3-446-42756-3. ISBN (E-Book): 978-3-446-43196-6 Leseprobe Wolfgang Ertel Angewandte Kryptographie ISBN (Buch): 978-3-446-42756-3 ISBN (E-Book): 978-3-446-43196-6 Weitere Informationen oder Bestellungen unter http://www.hanser-fachbuch.de/978-3-446-42756-3

Mehr

Kryptographie und Komplexität

Kryptographie und Komplexität Kryptographie und Komplexität Einheit 2.3 One-Time Pads und Perfekte Sicherheit 1. Perfekte Geheimhaltung 2. One-Time Pads 3. Strombasierte Verschlüsselung Wie sicher kann ein Verfahren werden? Ziel ist

Mehr

Kryptographie und Verschlüsselung

Kryptographie und Verschlüsselung 7-it Kryptographie und Verschlüsselung Jörg Thomas 7-it Kryptographie und Verschlüsselung Begriffsbildung Geschichte Ziel moderner Kryptographie Sicherheit Public-Key-Kryptographie Ausblick Begriffsbildung

Mehr

Sommersemester 2002 Konzepte von Betriebssystem-Komponenten: Schwerpunkt Sicherheit (KVBK)

Sommersemester 2002 Konzepte von Betriebssystem-Komponenten: Schwerpunkt Sicherheit (KVBK) Sommersemester 2002 Konzepte von Betriebssystem-Komponenten: Schwerpunkt Sicherheit (KVBK) Vortrag zum Thema: Symmetrische Verschlüsselung (DES, 3DES, AES) und Schlüsselaustausch (Diffie-Hellman) Referent:

Mehr

Verfügbarkeit (Schutz vor Verlust) Vertraulichkeit (Schutz vor unbefugtem Lesen) Authentizität (Schutz vor Veränderung, Fälschung)

Verfügbarkeit (Schutz vor Verlust) Vertraulichkeit (Schutz vor unbefugtem Lesen) Authentizität (Schutz vor Veränderung, Fälschung) Was bisher geschah Sicherheitsziele: Verfügbarkeit (Schutz vor Verlust) Vertraulichkeit (Schutz vor unbefugtem Lesen) Authentizität (Schutz vor Veränderung, Fälschung) von Information beim Speichern und

Mehr

Kodierungsalgorithmen

Kodierungsalgorithmen Kodierungsalgorithmen Komprimierung Verschlüsselung Komprimierung Zielsetzung: Reduktion der Speicherkapazität Schnellere Übertragung Prinzipien: Wiederholungen in den Eingabedaten kompakter speichern

Mehr

Informatik der digitalen Medien 1 2 3 4 5 6 7 8 9 10 11

Informatik der digitalen Medien 1 2 3 4 5 6 7 8 9 10 11 Informatik der digitalen Medien 1 2 3 4 5 6 7 8 9 10 11 25.01.2006 Vorlesung Nr. 12 13 3. 14 Ergänzungs-Studienangebot der Mediendidaktik für Lehramtstudenten Dr. rer. nat. Harald Sack Institut für Informatik

Mehr

Exkurs Kryptographie

Exkurs Kryptographie Exkurs Kryptographie Am Anfang Konventionelle Krytographie Julius Cäsar mißtraute seinen Boten Ersetzen der Buchstaben einer Nachricht durch den dritten folgenden im Alphabet z. B. ABCDEFGHIJKLMNOPQRSTUVWXYZ

Mehr

IT-Sicherheit - Sicherheit vernetzter Systeme -

IT-Sicherheit - Sicherheit vernetzter Systeme - IT-Sicherheit - Sicherheit vernetzter Systeme - Kapitel 4: Grundlagen der Kryptologie Helmut Reiser, LRZ, WS 09/10 IT-Sicherheit 1 Inhalt 1. Kryptologie: Begriffe, Klassifikation 2. Steganographie 3. Kryptographie,

Mehr

Sicherheit von PDF-Dateien

Sicherheit von PDF-Dateien Sicherheit von PDF-Dateien 1 Berechtigungen/Nutzungsbeschränkungen zum Drucken Kopieren und Ändern von Inhalt bzw. des Dokumentes Auswählen von Text/Grafik Hinzufügen/Ändern von Anmerkungen und Formularfeldern

Mehr

Entwicklung der Asymmetrischen Kryptographie und deren Einsatz

Entwicklung der Asymmetrischen Kryptographie und deren Einsatz Entwicklung der Asymmetrischen Kryptographie und deren Einsatz Peter Kraml, 5a hlw Facharbeit Mathematik Schuljahr 2013/14 Caesar-Verschlüsselung Beispiel Verschiebung der Buchstaben im Alphabet sehr leicht

Mehr

Designziele in Blockchiffren

Designziele in Blockchiffren Designziele in Blockchiffren Konstruiere Verschlüsselungsfunktion die sich wie eine zufällige Funktion verhalten soll. Konfusion: Verschleiern des Zusammenhangs zwischen Klartext und Chiffretext. Diffusion:

Mehr

Kundenleitfaden Secure E-Mail

Kundenleitfaden Secure E-Mail Vorwort Wir leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische Medien wie das Versenden von E-Mails. Neben den großen Vorteilen, die uns elektronische

Mehr

Digital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen. Public-Key-Kryptographie (2 Termine)

Digital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen. Public-Key-Kryptographie (2 Termine) Digital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen Vorlesung im Sommersemester 2010 an der Technischen Universität Ilmenau von Privatdozent Dr.-Ing. habil. Jürgen

Mehr