Klassische Verschlüsselungsverfahren

Transkript

1 Klassische Verschlüsselungsverfahren Matthias Morak 10. Dezember 2008 Inhaltsverzeichnis 1 Einleitung Definitionen Geschichte Einteilung von Kryptosystemen 2 3 Mono- und Polyalphabetische Chiffren Monoalphabetische Chiffren Transpositionschiffren Tauschchiffren Polyalphabetische Chiffren Vigenère-Chiffre Stromchiffren 4 5 Blockchiffren ECB-Mode CBC-Mode CFB-Mode OFB-Mode Feistel-Chiffre Affine und affin lineare Chiffren und Funktionen Affin lineare Blockchiffren Hill-Chiffre Kryptoanalyse Kryptoanalyse einer monoalphabetischen Chiffre über dem natürlichen Alphabet Kryptoanalyse affin linearer Blockchiffren Kryptoanalyse affin linearer Blockchiffren am Beispiel der Hill Chiffre

2 1 Einleitung 1.1 Definitionen Alphabet... endliche, nicht leere Menge Σ. Es kann aus 26 Zeichen, wie unser Alphabet, oder auch nur aus 2, {0, 1}, wie das Alphabet aus der Datenverarbeitung, bestehen. Ein Alphabet mit m Buchstaben kann man mit Z m = {0,..., m 1} identifizieren Buchstaben/Zeichen/Symbole... Elemente eines Alphabets Σ Wort/String über Σ... endliche Kette von Buchstaben Σ... Menge aller Worte Σ n... Menge aller Worte der Länge n Schlüsselraum...Menge der möglichen Schlüssel Klartextraum... Menge der sinnvollen Nachrichten Klartexte... Elemente des Klartextraums Chiffrat... umgeformter Klartext Chiffrieren... Herstellen des Chiffrats Dechiffrieren... Umformung des Chiffrats in den Klartext 1.2 Geschichte Die Kryptologie beschäftigt sich mit technischen Verfahren für die Informationssicherheit. Sie lässt sich in die beiden Gebiete Kryptographie und Kryptoanalyse unterteilen, wobei die Kryptographie die Wissenschaft der Verschlüsselung von Informationen und die Kryptoanalyse das Studium von Methoden und Techniken, um Informationen aus verschlüsselten Texten zu gewinnen, ist 2 Einteilung von Kryptosystemen Symmetrische Kryptosysteme: Chiffrieren und Dechiffrieren wird mit demselben Schlüssel und demselben Algorithmus durchgeführt, dh. die Schlüssel sind bei Sender und Empfänger geheim zu halten. (Secret-Key-System) Asymmetrische Kryptosysteme: Zum Chiffrieren und Dechiffrieren werden zwei verschiedene Schlüssel verwendet. Der Schlüssel zum Dechiffrieren muss geheim bleiben, der zum Chiffrieren kann veröffentlicht werden. (Public-Key-Systeme). Hybride Kryptosysteme: Hier werden symmetrische und asymmetrische Kryptosysteme kombiniert um die Vorteile beider auszunutzen. Dabei wird der symmetrische Teil zum Verschlüsseln und der asymmetrische Teil zum sicheren Übermitteln des geheimen Schlüssels an den Partner verwendet. 2

3 Eine weitere Einteilung von Kryptosystemen erfolgt nach dem zeitlichen Ablauf der Chiffrierung. Stromsysteme: Hier wird der Informationsstrom sequentiell, dh Zeichen für Zeichen chiffriert. Blocksysteme: Hier wird ein Informationsblock aus einer definierten Anzahl von Zeichen gleichzeitig chiffriert. Ich werde mich in dieser Arbeit auf symmetrische Verschlüsselungsverfahren beschränken. 3 Mono- und Polyalphabetische Chiffren 3.1 Monoalphabetische Chiffren Wenn jeder Buchstabe des Alphabets immer zu demselben (Geheimtext-)Buchstaben chiffriert wird, heißt die Chiffrierung monoalphabetisch. Die Monoalphabetische Verschlüsselung erfolgt ia so, dass man einen Buchstaben des Klartextalphabets verschlüsselt indem man ihn Buchstabe für Buchstabe durch einen Buchstaben des Geheimtextalphabets (welches sich durch beliebige Permutation und gegebenenfalls durch zusätzlich Verschiebung des Alphabets zusammensetzt) ersetzt. Das Dechiffrieren ist die Inverse zum Chiffrieren, dh. man nimmt den darüberstehenden Buchstaben Transpositionschiffren Eine Transposition ist eine Permutation der Stellen des Klartextes, dh Buchstaben werden an andere Stellen des Textes geschrieben Tauschchiffren Hierzu identifiziert man a mit 1 usw. bis y mit 25 und z mit 0, und addiert dann die Zahl t, was einer Verschiebung um t Stellen entspricht, und nimmt das Ergebnis mod Polyalphabetische Chiffren Sie bezeichnen Formen der Textverschlüsselung, bei der einem Buchstaben des Klartextes verschiedene Buchstaben des Geheimtextes zugeordnet werden. Im Unterschied zur monoalphabetischen Substitution werden mehrere Geheimtextalphabete verwendet. Ein Beispiel hierfür ist die Vigenère-Chiffre Sender und Empfänger vereinbaren als Schlüssel ein gemeinsames Schlüsselwort. Zur Verschlüsselung schreibt man es so oft hintereinander, bis die Länge des Klartextes erreicht ist. Die Verschlüsselung erfolgt dann so, dass man die Klartextzahl zur entsprechenden Schlüsselzahl mod m addiert. Die Entschlüsselung erfolgt durch Subtraktion der entsprechenden Schlüsselzahl. Formal heißt das: Sei k Z n m E k : Z n m Z n m, v v + k mod m D k : Z n m Z n m, v v k mod m 3

4 Die Abbildungen sind affin linear und der Schlüsselraum besitzt m Elemente. 4 Stromchiffren Sender und Empfänger vereinbaren im Vorhinein einen Schlüssel, der mindestens so lang ist wie die Nachricht. Bei einer Stromchiffre wird in die aufwändige Erzeugung des Schlüssels investiert, um praktisch anwendbare und sichere Kryptosysteme zu bekommen. Eine bekannte Stromchiffre funktioniert folgendermaßen: Sei Σ = {0, 1} das Alphabet, Σ der Klar- und Schlüsseltextraum, Σ n, n N die Schlüsselmenge, k = (k 1,..., k n ) ein Schlüssel und w = σ 1...σ m ein Wort der Länge m in Σ. Um Wörter aus Σ n Zeichen für Zeichen zu verschlüsselt erzeugt man einen Schlüsselstrom z 1,..., z m indem man z i = k i für 1 i n z i = n j=1 c jz i j mod 2 für n < i m setzt, wobei c i i = 1,..., n festgewählte Bits darstellen. Bei dieser Gleichung handelt es sich um eine lineare Rekursion vom Grad n. Verschlüsselungs- und Entschlüsselungsfunktion sind wie folgt definiert: E k (w) = σ 1 z 1,..., σ m z m D k (w) = σ 1 z 1,..., σ m z m mit dem Exklusiven Oder : {0, 1} 2 {0, 1}, (b, c) b c. Es gilt E k D k = D k E k = id, weil σ i σ i z i = z i. 5 Blockchiffren Bei einer Blockchiffre wird der Klartext in sogenannte Blöcke gleicher Größe zerlegt und auf jeden Block wird dieselbe Verschlüsselungsfunktion angewandt. Sollte der letzte Block nicht mehr auf die richtige Länge kommen, wird er aufgefüllt. Dieser Vorgang heißt Padding. Die Verschlüsselungsfunktion einer Blockchiffre sind Permutationen. Es gibt verschiedene Methoden aus einer Blockchiffre ein Verschlüsselungsverfahren zu machen: ECB-Mode CBC-Mode CFB-Mode OFB-Mode Feistelchiffren 4

5 5.1 ECB-Mode Beim Electronic Codebook Mode werden mit Hilfe des Schlüssels e Blöcke der Länge n verschlüsselt, wobei der Schlüsseltext die Folge der Schlüsseltextblöcke ist. Mit dem zum Schlüssel e korrespondierenden Schlüssel erfolgt dann durch Anwenden der Entschlüsselungsfunktion die Entschlüsselung. Das Problem beim ECB-Mode ist, dass man Regelmäßigkeiten im Klartext auch im Schlüsseltext erkennen kann. Außerdem kann ein Angreifer Chiffretext einfügen, welcher mit demselben Schlüssel verschlüsselt worden ist, bzw. er kann die Reihenfolge der einzelnen Blöcke verändern. 5.2 CBC-Mode Der Cipherblock Chaning Mode wurde entwickelt, um die Nachteile des ECB-Mode zu beseitigen. Hier hängt die Verschlüsselung auch von den vorhergegangenen Blöcken ab. Das heißt, dass nachträgliche Veränderungen des Schlüsseltextes dadurch erkannt werden, dass die Entschlüsselung nicht mehr funktioniert. Sei nun Σ = {0, 1} das Alphabet, n die Blocklänge, K der Schlüsselraum E k und D k die Ver- und Entschlüsselungsfunktion, k K der Schlüssel das Exklusive Oder (ia Addition mod 2 für Σ = {0, 1}). Weiters sei IV Σ n ein fester Initialisierungsvektor. Dann wird der Klartext in Blöcke der Länge n zerteilt und man erhält eine Folge m 1,..., m t von Klartextblöcken der Länge n. Um sie mit dem Schlüssel e zu verknüpfen setzt man c 0 = IV und c j = E e (c j 1 m j ) für 1 j t und erhält die Schlüsselblöcke c 1,..., c t. Zum Entschlüsseln benötigt man den zu e korrespondierenden Schlüssel, dh der D d (E e (w)) = w für alle Blöcke w erfüllt. Dann setzt man c 0 = IV und m j = c j 1 D d (c j ) für 1 j t mit c 0 D d (c 1 ) = c 0 c 0 m 1 = m 1 Dh gleiche Klartextblöcke werden beim CBC-Mode verschieden verschlüsselt. Ebenso werden gleiche Texte verschieden verschlüsselt indem man den Initialisierungsvektor ändert. Bei einem Übertragungsfehler eines Blockes kann man den betroffenen und den nächsten Block nicht entschlüsseln, alle darauffolgenden aber schon. Man kann ebenso bei unterschiedlichen Initialisierungsvektoren von Empfänger und Sender den ersten Block nicht entschlüsseln, alle anderen aber schon. Ein Nachteil besteht darin, dass der Empfänger immer warten muss, bis ein ganzer Block verschlüsselt ist. 5.3 CFB-Mode Beim Cipher Feedback Mode werden Blöcke mit kürzerer Länge als n nicht direkt durch die Verschlüsselungsfunktion E k, sondern durch Addition mod 2 entsprechender Schlüsselblöcke verschlüsselt, welche mit Hilfe der Blockchiffre bei Sender und Empfänger fast gleichzeitig berechnet werden können. 5

6 5.4 OFB-Mode Der Output Feedback Mode ist ähnlich dem CFB-Mode, da die Verschlüsselung der Klartextblöcke nicht von den vorherigen Klartextblöcken abhängen, dh Texte können leichter manipuliert werden als im CFB-Mode. 5.5 Feistel-Chiffre Sie bestehen aus mehreren Runden, wobei in jeder Runde eine schlüsselabhängige Funktion F k angewandt wird. Hierzu wird der Klartext in zwei Hälften L 0 und R 0 zerteilt. Der Klartext m = (L 0, R 0 ) wird in n Runden auf den Geheimtext c = (L n, R n ) gebracht. (L i, R i ) wird wie folgt berechnet L i := R i 1 R i := F (K i, R i 1 ) L i 1 K i ist der Schlüssel der i-ten Runde, der aus dem Schlüssel K abgeleitet wird. Die Entschlüsselung erfolgt durch Anwenden von F auf die rechte Hälfte. Formal heißt das: R i 1 := L i L i 1 := F (K i, R i 1 ) R i Man sieht, dass man zum Ver- und Entschlüsseln dieselbe Funktion verwendet, da nur die Reihenfolge der Rundenschlüssel umgekehrt wird. 6 Affine und affin lineare Chiffren und Funktionen 6.1 Affin lineare Blockchiffren Sie sind eine Verallgemeinerung der affinen Chiffre. Diese können relativ leicht angegriffen werden, dh man muss vermeiden, dass Blockchiffren affin linear sind. Sei n Z die Blocklänge und m N, m > 2, A Z (n,n) und b Z n. Eine Blockchiffre mit Blocklänge n und Klar- und Schlüsseltextraum Z m heißt affin linear genau dann, wenn alle Verschlüsselungsfunktionen affin linear sind. Formal heißt das: E : Z n m Z n m, v Av + b mod m E ist durch (A, b) eindeutig bestimmt und dieses Paar kann als Schlüssel genommen werden. Die Entschlüsselungsfunktion D ist definiert als D : Z n m Z n m, v A 1 (v b) mod m mit A 1 = (a 1 adja) mod m und a 1 das Inverse von det A mod m. Die Hill-Chiffre ist ein Beispiel für affin lineare Blockchiffren Hill-Chiffre Sei K der Schlüsselraum definiert durch die Menge aller Matrizen A Z (n,n) mit gcd(det A, m) = 1. Für A K gilt 6

7 Sie ist die allgemeinste lineare Blockchiffre. E A : Z n m Z n m, v A(v mod m) 7 Kryptoanalyse Der Hintergrund der Kryptoanalyse wird durch das Prinzip von Kerckhoff beschrieben, das besagt, dass die Sicherheit eines Kryptosystems nicht von der Geheimhaltung des Algorithmus abhängen, sondern nur auf der Geheimhaltung des Schlüssels basier darf. Dh das Ziel der modernen Kryptographie ist es, Systeme zu entwickeln, die auch wenn der Algorithmus lange Zeit öffentlich diskutiert wird, sicher bleiben. Es gibt einige unterschiedliche Typen von Attacken: Known-Ciphertext-Attack: (Angriff mit bekannten Geheimtext) Zumindest ein Teil eines Geheimtextes ist bekannt und man versucht durch Probieren aller Schlüssel aus dem Schlüsselraum den Text zu entschlüsseln. Known-Plaintext-Attack: (Angriff mit bekannten Klartext) Ist ein Teil des Klartextes zu einem Chiffretext bekannt, so versucht man den restlichen Text durch statistische Eigenschaften einer Sprache zu entschlüsseln. Chosen-Plaintext-Attack: Wenn man Zugang zum Verschlüsselungsalgorithmus hat, kann man selbstgewählte Stücke Klartext verschlüsseln und versuchen, Rückschlüsse auf die Struktur des Schlüssels zu ziehen. Chosen-Ciphertext-Attack: Man kann selbstgewählte Schlüsseltexte entschlüsseln ohne den Schlüssel zu kennen. Dieser wird dann gesucht. 7.1 Kryptoanalyse einer monoalphabetischen Chiffre über dem natürlichen Alphabet Mit Hilfe einer Häufigkeitsanalyse bestimmt man die Geheimtextäquivalente von e und n. Eventuell kann man jetzt schon einige weitere Buchstaben erfolgreich raten. Danach zählt man die Bigramme, dh Paare aufeinanderfolgender Buchstaben und führt eine Häufigkeitsanalyse durch. Zuletzt lässt man den Computer die erkannten Buchstaben im gesamten Text übersetzen. Man rät nun so viele Buchstaben bis der Text entzifferbar ist. 7.2 Kryptoanalyse affin linearer Blockchiffren Mit Alphabet Z m und Blocklänge n können diese mittels einer Known-Plaintext-Attack gebrochen werden. Man hat einen fixen Schlüssel und die oben definierte Verschlüsselungsfunktion. Das Ziel ist es den Schlüssel (A, b) zu bestimmen. Für 0 i n seien w i n+1 Klartexte und c i = Aw i + b die Schlüsseltexte. Dann gilt c i c 0 A(w i w 0 ) mod m 7

8 Seien W = (w 1 w 0,..., w n w 0 ) mod m und C = (c 1 c 0,..., c n c 0 ) mod m die zwei eindeutig bestimmten Matrizen. Dann gilt AW C mod m Wenn die det W teilerfremd zu m ist folgt A CW 1 mod m wobei W 1 = (w 1 adjw ) mod m und w 1 = (det W ) 1 mod m. Weiters gilt b = c 0 Aw 0 Dh dass man den Schlüssel aus n+1 Paaren von Klar- und Schlüsseltexten bestimmen kann Kryptoanalyse affin linearer Blockchiffren am Beispiel der Hill Chiffre Die Blocklänge sei 2. Wenn man weiß, dass HAND in FUSS verschlüsselt wird, folgt daraus, dass w 1 = (7, 0) in c 1 = (5, 20) und w 2 = (13, 3) in c 2 = (18, 18) verschlüsselt wird. Also folgt für ( ) 7 13 W = 0 3 und ( ) 5 18 C = Außerdem ist die det W = 21 teilerfremd zu 26 und das Inverse von 21 mod 26 ist 5. Also gilt ( ) ( ) ( ) A = 5C(adjW ) mod 26 = 5 mod 26 = und es ergibt sich, dass ( ) ( ) ( ) AW = = = C ist. 8

9 Literatur [1] A. Beutelspacher, H. B. Neumann, T. Schwarzpaul Kryptografie in Theorie und Praxis, Vieweg 1994, 1. Auflage. [2] A. Beutelspacher, J. Schwenk, K. Wolfenstetter Moderne Verfahren der Kryptographie Vieweg 2006, 6.Auflage. [3] F.-P. Heider, D. Kraus, M. Welschenbach Mathematische Methoden der Kryptoanalyse, Vieweg [4] A. Beutelspacher Kryptologie, Vieweg 2007, 8. Auflage. [5] D. R. Stinson Kryptography, Theorie and Practice, Chapman & Hall/CRC 2000, 2. Auflage. [6] Dipl.-Ing. Otto Horak Einführung in die Kryptographie Dissertationsarbeit 1990, 2. Auflage. [7] J. Buchmann Einführung in die Kryptographie Springer