Stream Cipher. P. Höllinger - J. Kanzler - M. Widmoser SS Universität Salzburg. Stream Cipher Einführung Kryptographie und IT-Sicherheit 1/53

Transkript

1 Stream Cipher P. Höllinger - J. Kanzler - M. Widmoser Universität Salzburg SS 2017 Stream Cipher Einführung Kryptographie und IT-Sicherheit 1/53

2 Cryptographie Symmetric Cipher Asymmetric Cipher... Stream Cipher Block Cipher Public Key Synchron Asynchron Stream Cipher Einführung Kryptographie und IT-Sicherheit 2/53

3 Cryptographie Symmetric Cipher Asymmetric Cipher... Stream Cipher Block Cipher Public Key Synchron Asynchron Stream Cipher Einführung Kryptographie und IT-Sicherheit 3/53

4 1 Stream vs. Block Cipher Stream Cipher Block Cipher 2 Synchrone vs. asynchrone Stream Cipher Synchrone Stream Cipher Asynchrone (selbstsynchronisierende) Stream Cipher Betriebsmodi 3 Feedback Shift Registers Linear Feedback Shift Registers Nonlinear Feedback Shift Registers 4 Stream Ciphers based on LFSRs Nonlinear Filter Generators Nonlinear Combination Generators Clock-controlled Generators Stream Cipher Einführung Kryptographie und IT-Sicherheit 4/53

5 5 RC4 Beschreibung Funktionsweise KSA PRGA Angriffe und Verbesserungen 6 estream Beschreibung Phasen Portfolio 7 Praktischer Teil Trivium OFB CFB Statistik 8 Literaturangabe Stream Cipher Einführung Kryptographie und IT-Sicherheit 5/53

6 Stream Cipher Stream vs. Block Cipher Stream Cipher Stream Cipher Stream Cipher verschlüsseln den Plaintext in kleinen Blöcken, die oft nur aus einem einzigen Bit bestehen. Sie sind nicht darauf angewiesen, dass sich erst genug zu verschlüsselnde Daten angesammelt haben. Stream Cipher Einführung Kryptographie und IT-Sicherheit 6/53

7 Stream Cipher Stream vs. Block Cipher Stream Cipher Stream Cipher Stream Cipher verschlüsseln den Plaintext in kleinen Blöcken, die oft nur aus einem einzigen Bit bestehen. Sie sind nicht darauf angewiesen, dass sich erst genug zu verschlüsselnde Daten angesammelt haben. Plaintext = p 0,..., p i Key = k 0,..., k i i N Ciphertext = c 0,..., c i p 0,..., p i k 0,..., k i c 0,..., c i unsicherer Kanal c 0,..., c i k 0,..., k i p 0,..., p i Stream Cipher Einführung Kryptographie und IT-Sicherheit 6/53

8 Block Cipher Stream vs. Block Cipher Block Cipher Block Cipher Block Cipher verschlüsseln einen Plaintext-Bitblock pro Zeiteinheit. Ein Block besteht normalerweise aus mindestens 64 Bits. Stream Cipher Einführung Kryptographie und IT-Sicherheit 7/53

9 Block Cipher Stream vs. Block Cipher Block Cipher Block Cipher Block Cipher verschlüsseln einen Plaintext-Bitblock pro Zeiteinheit. Ein Block besteht normalerweise aus mindestens 64 Bits. Plaintext = p 0,..., p i Key = k 0,..., k i i N Ciphertext = c 0,..., c i p 0 p i+1 2 p i 2 p i k 0,..., k i c i+1 c i 2 unsicherer Kanal c 0 c i 2 c 0 c i+1 2 c i 2 c i k 0,..., k i p0 p i 2 p i+1 2 p i Stream Cipher Einführung Kryptographie und IT-Sicherheit 7/53

10 Synchrone vs. asynchrone Stream Cipher Synchrone Stream Cipher Synchrone Stream Cipher Keystream wird unabhängig vom Plain- und Ciphtertext generiert Stream Cipher Einführung Kryptographie und IT-Sicherheit 8/53

11 Synchrone vs. asynchrone Stream Cipher Synchrone Stream Cipher Synchrone Stream Cipher Keystream wird unabhängig vom Plain- und Ciphtertext generiert Synchronisierung muss durchgehend aufrechterhalten bleiben. Stream Cipher Einführung Kryptographie und IT-Sicherheit 8/53

12 Synchrone vs. asynchrone Stream Cipher Synchrone Stream Cipher Synchrone Stream Cipher Keystream wird unabhängig vom Plain- und Ciphtertext generiert Synchronisierung muss durchgehend aufrechterhalten bleiben. Key Key Keystreamgenerator Keystreamgenerator Plaintext Ciphertext Plaintext Stream Cipher Einführung Kryptographie und IT-Sicherheit 8/53

13 Synchrone vs. asynchrone Stream Cipher Asynchrone Stream Cipher Asynchrone (selbstsynchronisierende) Stream Cipher Keystream wird unter Berücksichtigung vorhergehender verschlüsselter Bits generiert. Stream Cipher Einführung Kryptographie und IT-Sicherheit 9/53

14 Synchrone vs. asynchrone Stream Cipher Asynchrone Stream Cipher Asynchrone (selbstsynchronisierende) Stream Cipher Keystream wird unter Berücksichtigung vorhergehender verschlüsselter Bits generiert. Für den ersten Durchlauf, benötigt man einen Seed um den Plaintext teilweise verschlüsseln zu können, dieser kann auch öffentlich bekannt sein. Stream Cipher Einführung Kryptographie und IT-Sicherheit 9/53

15 Synchrone vs. asynchrone Stream Cipher Asynchrone Stream Cipher Asynchrone (selbstsynchronisierende) Stream Cipher Keystream wird unter Berücksichtigung vorhergehender verschlüsselter Bits generiert. Für den ersten Durchlauf, benötigt man einen Seed um den Plaintext teilweise verschlüsseln zu können, dieser kann auch öffentlich bekannt sein. Key Key Keystream Keystream Plaintext Ciphertext Plaintext Stream Cipher Einführung Kryptographie und IT-Sicherheit 9/53

16 Betriebsmodi Synchrone vs. asynchrone Stream Cipher Betriebsmodi Synchrone Stream Cipher Output Feedback Mode (OFB) Counter Mode (CTR) Stream Cipher Einführung Kryptographie und IT-Sicherheit 10/53

17 Synchrone vs. asynchrone Stream Cipher Betriebsmodi Counter Mode (CTR) Stream Cipher Einführung Kryptographie und IT-Sicherheit 11/53

18 Betriebsmodi Synchrone vs. asynchrone Stream Cipher Betriebsmodi Synchrone Stream Cipher Modi Output Feedback Mode (OFB) Counter Mode (CTR) Asynchrone Stream Cipher Modi Cipher Feedback Mode (CFB) Cipher Block Chaining Mode (CBC) Stream Cipher Einführung Kryptographie und IT-Sicherheit 12/53

19 Synchrone vs. asynchrone Stream Cipher Betriebsmodi Cipher Block Chaining (CBC) Stream Cipher Einführung Kryptographie und IT-Sicherheit 13/53

20 Synchrone vs. asynchrone Stream Cipher Betriebsmodi 3 Feedback Shift Registers Linear Feedback Shift Registers Nonlinear Feedback Shift Registers 4 Stream Ciphers based on LFSRs Nonlinear Filter Generators Nonlinear Combination Generators Clock-controlled Generators Stream Cipher Einführung Kryptographie und IT-Sicherheit 14/53

21 Feedback Shift Registers Linear Feedback Shift Registers Linear Feedback Shift Registers LFSRs sind die Basis-Komponenten von vielen Keystream-Generatoren, werden zur Erzeugung von Pseudozufallszahlenfolgen eingesetzt, verwenden lineare Rückkopplungs-/Feedbackfunktion. Stream Cipher Einführung Kryptographie und IT-Sicherheit 15/53

22 Feedback Shift Registers Linear Feedback Shift Registers Linear Feedback Shift Registers LFSRs sind die Basis-Komponenten von vielen Keystream-Generatoren, werden zur Erzeugung von Pseudozufallszahlenfolgen eingesetzt, verwenden lineare Rückkopplungs-/Feedbackfunktion. Eigenschaften LFSRs sind leicht in Hardware zu implementieren, produzieren Sequenzen mit guten statistischen Eigenschaften, können leicht mit algebraischen Techniken analysiert werden. Stream Cipher Einführung Kryptographie und IT-Sicherheit 15/53

23 Feedback Shift Registers Linear Feedback Shift Registers Linear Feedback Shift Registers Aufbau besteht aus L Stages (= 1-Bit Speicherzellen, zb Flipflops), Clock, Input, Output lineare Feedbackfunktion f : {0, 1} n {0, 1} Stream Cipher Einführung Kryptographie und IT-Sicherheit 16/53

24 Feedback Shift Registers Linear Feedback Shift Registers Linear Feedback Shift Registers Aufbau besteht aus L Stages (= 1-Bit Speicherzellen, zb Flipflops), Clock, Input, Output lineare Feedbackfunktion f : {0, 1} n {0, 1} Beispiel hier: L = 4, f : s 0 s 3 Stage 3 Stage 2 Stage 1 Stage 0 Output Stream Cipher Einführung Kryptographie und IT-Sicherheit 16/53

25 Feedback Shift Registers Linear Feedback Shift Registers Linear Feedback Shift Registers Funktionsweise Inhalt von Stage i wird geshiftet nach Stage i 1 Neuer Inhalt von Stage L 1 ist s 0 s 3 Initialisierungszustand = Seed = Schlüssel zb 1101 Stream Cipher Einführung Kryptographie und IT-Sicherheit 17/53

26 Feedback Shift Registers Linear Feedback Shift Registers Linear Feedback Shift Registers Funktionsweise Inhalt von Stage i wird geshiftet nach Stage i 1 Neuer Inhalt von Stage L 1 ist s 0 s 3 Initialisierungszustand = Seed = Schlüssel zb 1101 t s s s s Stream Cipher Einführung Kryptographie und IT-Sicherheit 17/53

27 Feedback Shift Registers Linear Feedback Shift Registers Linear Feedback Shift Registers Funktionsweise Inhalt von Stage i wird geshiftet nach Stage i 1 Neuer Inhalt von Stage L 1 ist s 0 s 3 Initialisierungszustand = Seed = Schlüssel zb 1101 t s s s s Outputsequenz ist also periodisch mit Periode 15. Stream Cipher Einführung Kryptographie und IT-Sicherheit 17/53

28 Feedback Shift Registers Linear Feedback Shift Registers Linear Feedback Shift Registers Statistische Eigenschaften Endliche Anzahl an Zuständen und zwar 2 L 1 viele, Stream Cipher Einführung Kryptographie und IT-Sicherheit 18/53

29 Feedback Shift Registers Linear Feedback Shift Registers Linear Feedback Shift Registers Statistische Eigenschaften Endliche Anzahl an Zuständen und zwar 2 L 1 viele, zyklisch, die Folgen wiederholen sich (periodisch), Stream Cipher Einführung Kryptographie und IT-Sicherheit 18/53

30 Feedback Shift Registers Linear Feedback Shift Registers Linear Feedback Shift Registers Statistische Eigenschaften Endliche Anzahl an Zuständen und zwar 2 L 1 viele, zyklisch, die Folgen wiederholen sich (periodisch), 1er Bits kommen in der Outputsequenz 2 L 1 mal vor, 0er Bits 2 L 1 1 mal, Stream Cipher Einführung Kryptographie und IT-Sicherheit 18/53

31 Feedback Shift Registers Linear Feedback Shift Registers Linear Feedback Shift Registers Statistische Eigenschaften Endliche Anzahl an Zuständen und zwar 2 L 1 viele, zyklisch, die Folgen wiederholen sich (periodisch), 1er Bits kommen in der Outputsequenz 2 L 1 mal vor, 0er Bits 2 L 1 1 mal, in der Outputsequenz gibt es genau einen 1-String der Länge L und einen 0-String der Länge L 1, Stream Cipher Einführung Kryptographie und IT-Sicherheit 18/53

32 Feedback Shift Registers Linear Feedback Shift Registers Linear Feedback Shift Registers Statistische Eigenschaften Endliche Anzahl an Zuständen und zwar 2 L 1 viele, zyklisch, die Folgen wiederholen sich (periodisch), 1er Bits kommen in der Outputsequenz 2 L 1 mal vor, 0er Bits 2 L 1 1 mal, in der Outputsequenz gibt es genau einen 1-String der Länge L und einen 0-String der Länge L 1, es gibt in etwa gleich viele Paare, Trippel, etc. aus 0en und 1en Stream Cipher Einführung Kryptographie und IT-Sicherheit 18/53

33 Feedback Shift Registers Nonlinear Feedback Shift Registers Nonlinear Feedback Shift Registers Nichtlineare Feedbackfunktion, Kryptoanalytisch wesentlich resistenter als LFSR, Ansätze über evolutionäre Algorithmen, NLFSR basierte Cipher: Achterbahn, Trivium, VEST,... Stream Cipher Einführung Kryptographie und IT-Sicherheit 19/53

34 Feedback Shift Registers Nonlinear Feedback Shift Registers Nonlinear Feedback Shift Registers Nichtlineare Feedbackfunktion, Kryptoanalytisch wesentlich resistenter als LFSR, Ansätze über evolutionäre Algorithmen, NLFSR basierte Cipher: Achterbahn, Trivium, VEST,... Mögliche Nachteile Gleichverteilung der Zeichen kann nicht gewährleistet werden, die maximale Periode kann um ein Vielfaches kleiner sein als erwartet, Periodenlänge kann variieren (Abhängig vom Startzustand), Hardwareimplementierung schwerer. Stream Cipher Einführung Kryptographie und IT-Sicherheit 19/53

35 Feedback Shift Registers Nonlinear Feedback Shift Registers Nonlinear Feedback Shift Registers Beispiel De-Bruijn Nichtlineare Feedbackfunktion: f : 1 s 2 s 3 (s 1 s 2 ) Stream Cipher Einführung Kryptographie und IT-Sicherheit 20/53

36 Feedback Shift Registers Nonlinear Feedback Shift Registers Beispiel De-Bruijn Nonlinear Feedback Shift Registers Nichtlineare Feedbackfunktion: f : 1 s 2 s 3 (s 1 s 2 ) L = 3, Seed: 000 t s s s Stream Cipher Einführung Kryptographie und IT-Sicherheit 20/53

37 Feedback Shift Registers Nonlinear Feedback Shift Registers Beispiel De-Bruijn Nonlinear Feedback Shift Registers Nichtlineare Feedbackfunktion: f : 1 s 2 s 3 (s 1 s 2 ) L = 3, Seed: 000 t Definition: De-Bruijn-Folge s s s Eine De-Bruijn-Folge B(k, n) enthält alle Wörter der Länge n aus k Symbolen (in zusammenhängender Form) genau einmal, wobei das Wort zyklisch betrachtet wird. B(2, 3) = Stream Cipher Einführung Kryptographie und IT-Sicherheit 20/53

38 Stream Ciphers based on LFSRs Stream Ciphers based on LFSRs LFSR werden oft in Keystream Generatoren genutzt, da sie gut in Hardware implementiert werden können und gute statistische Eigenschaften haben, jedoch sind die Output-Sequenzen oft leicht vorhersehbar, schwach vor Known-Plaintext Attacken. Stream Cipher Einführung Kryptographie und IT-Sicherheit 21/53

39 Stream Ciphers based on LFSRs Stream Ciphers based on LFSRs LFSR werden oft in Keystream Generatoren genutzt, da sie gut in Hardware implementiert werden können und gute statistische Eigenschaften haben, jedoch sind die Output-Sequenzen oft leicht vorhersehbar, schwach vor Known-Plaintext Attacken. Ziel Man versucht also die Linearität des LFSRs zu beseitigen, somit wird es schwieriger an den Schlüssel zu kommen. Stream Cipher Einführung Kryptographie und IT-Sicherheit 21/53

40 Stream Ciphers based on LFSRs Nonlinear Filter Generators Nonlinear Filter Generators Die eigentliche Outputsequenz des LFSRs wird verworfen, eine Filterfunktion verfälscht sozusagen den Output und lässt diesen nichtlinear wirken. Stream Cipher Einführung Kryptographie und IT-Sicherheit 22/53

41 Stream Ciphers based on LFSRs Nonlinear Filter Generators Nonlinear Filter Generators Die eigentliche Outputsequenz des LFSRs wird verworfen, eine Filterfunktion verfälscht sozusagen den Output und lässt diesen nichtlinear wirken.... Stage L 1 Stage L 2... Stage 1 Stage 0 Nonlinear Boolean filter function Stream Cipher Einführung Kryptographie und IT-Sicherheit 22/53

42 Stream Ciphers based on LFSRs Nonlinear Filter Generators Nonlinear Filter Generators Beispiel Filterfunktion g : s 1 s 2 ( s 1 s 2 ) L = 3, Seed: 011, Feedbackfunktion f : s 0 s 2 Stream Cipher Einführung Kryptographie und IT-Sicherheit 23/53

43 Stream Ciphers based on LFSRs Nonlinear Filter Generators Nonlinear Filter Generators Beispiel Filterfunktion g : s 1 s 2 ( s 1 s 2 ) L = 3, Seed: 011, Feedbackfunktion f : s 0 s 2 t s s s Outputsequenz von LFSR: Outputsequenz mit Filter: Stream Cipher Einführung Kryptographie und IT-Sicherheit 23/53

44 Stream Ciphers based on LFSRs Nonlinear Combination Generators Nonlinear Combination Generators Idee Mehrere LFSRs werden parallel verwendet. Stream Cipher Einführung Kryptographie und IT-Sicherheit 24/53

45 Stream Ciphers based on LFSRs Nonlinear Combination Generators Nonlinear Combination Generators Idee Mehrere LFSRs werden parallel verwendet. 1. Ohne zusätzlichen Speicher Die Ausgänge mehrerer LFSRs dienen als Eingänge einer nichtlinearen Booleschen Funktion h : {0, 1} n {0, 1}. LFSR 1 LFSR h Keystream LFSR n Stream Cipher Einführung Kryptographie und IT-Sicherheit 24/53

46 Stream Ciphers based on LFSRs Nonlinear Combination Generators Nonlinear Combination Generators Beispiel Geffe Generator Besteht aus 3 LFSRs, die Längen sind relativ prim untereinander. Sei der Output von LFSR 1 = x 1, von LFSR 2 = x 2, LFSR 3 = x 3, und die nichtlineare Boolesche Funktion h folgendermaßen definiert: Stream Cipher Einführung Kryptographie und IT-Sicherheit 25/53

47 Stream Ciphers based on LFSRs Nonlinear Combination Generators Nonlinear Combination Generators Beispiel Geffe Generator Besteht aus 3 LFSRs, die Längen sind relativ prim untereinander. Sei der Output von LFSR 1 = x 1, von LFSR 2 = x 2, LFSR 3 = x 3, und die nichtlineare Boolesche Funktion h folgendermaßen definiert: { x1 falls x h(x 1, x 2, x 3 ) = 3 = 0 x 2 falls x 3 = 1 h(x 1, x 2, x 3 ) = x 1 (x 1 x 3 ) (x 2 x 3 ) Stream Cipher Einführung Kryptographie und IT-Sicherheit 25/53

48 Stream Ciphers based on LFSRs Nonlinear Combination Generators Nonlinear Combination Generators Beispiel Geffe Generator Besteht aus 3 LFSRs, die Längen sind relativ prim untereinander. Sei der Output von LFSR 1 = x 1, von LFSR 2 = x 2, LFSR 3 = x 3, und die nichtlineare Boolesche Funktion h folgendermaßen definiert: { x1 falls x h(x 1, x 2, x 3 ) = 3 = 0 x 2 falls x 3 = 1 h(x 1, x 2, x 3 ) = x 1 (x 1 x 3 ) (x 2 x 3 ) Der entstehende Keystream hat Periode (2 L1 1) (2 L2 1) (2 L3 1) Stream Cipher Einführung Kryptographie und IT-Sicherheit 25/53

49 Stream Ciphers based on LFSRs Nonlinear Combination Generators Nonlinear Combination Generators DVD CSS Kopierschutz 40 Bit Key (409 gültige Schlüssel) 2 LFSRs mit 16+1 und 24+1 Stages»Nichtlineare«Funktion war eine 8-Bit Addition Stream Cipher Einführung Kryptographie und IT-Sicherheit 26/53

50 Stream Ciphers based on LFSRs Nonlinear Combination Generators Nonlinear Combination Generators DVD CSS Kopierschutz 40 Bit Key (409 gültige Schlüssel) 2 LFSRs mit 16+1 und 24+1 Stages»Nichtlineare«Funktion war eine 8-Bit Addition 2 16 Correlation Attack - mit 6 bekannten Bytes - Rate Initialisierungszustand von LFSR-17 (16 Bits, 4tes Bit ist 1), Stream Cipher Einführung Kryptographie und IT-Sicherheit 26/53

51 Stream Ciphers based on LFSRs Nonlinear Combination Generators Nonlinear Combination Generators DVD CSS Kopierschutz 40 Bit Key (409 gültige Schlüssel) 2 LFSRs mit 16+1 und 24+1 Stages»Nichtlineare«Funktion war eine 8-Bit Addition 2 16 Correlation Attack - mit 6 bekannten Bytes - Rate Initialisierungszustand von LFSR-17 (16 Bits, 4tes Bit ist 1), - generiere 4 Bytes von LFSR-17, Stream Cipher Einführung Kryptographie und IT-Sicherheit 26/53

52 Stream Ciphers based on LFSRs Nonlinear Combination Generators Nonlinear Combination Generators DVD CSS Kopierschutz 40 Bit Key (409 gültige Schlüssel) 2 LFSRs mit 16+1 und 24+1 Stages»Nichtlineare«Funktion war eine 8-Bit Addition 2 16 Correlation Attack - mit 6 bekannten Bytes - Rate Initialisierungszustand von LFSR-17 (16 Bits, 4tes Bit ist 1), - generiere 4 Bytes von LFSR-17, - subtrahiere diese von den ersten 4 Bytes des bekannten 6 Byte Outputs = 4 Byte Output von LFSR-25, Stream Cipher Einführung Kryptographie und IT-Sicherheit 26/53

53 Stream Ciphers based on LFSRs Nonlinear Combination Generators Nonlinear Combination Generators DVD CSS Kopierschutz 40 Bit Key (409 gültige Schlüssel) 2 LFSRs mit 16+1 und 24+1 Stages»Nichtlineare«Funktion war eine 8-Bit Addition 2 16 Correlation Attack - mit 6 bekannten Bytes - Rate Initialisierungszustand von LFSR-17 (16 Bits, 4tes Bit ist 1), - generiere 4 Bytes von LFSR-17, - subtrahiere diese von den ersten 4 Bytes des bekannten 6 Byte Outputs = 4 Byte Output von LFSR-25, - finde damit den Initialisierungszustand von LFSR-25, Stream Cipher Einführung Kryptographie und IT-Sicherheit 26/53

54 Stream Ciphers based on LFSRs Nonlinear Combination Generators Nonlinear Combination Generators DVD CSS Kopierschutz 40 Bit Key (409 gültige Schlüssel) 2 LFSRs mit 16+1 und 24+1 Stages»Nichtlineare«Funktion war eine 8-Bit Addition 2 16 Correlation Attack - mit 6 bekannten Bytes - Rate Initialisierungszustand von LFSR-17 (16 Bits, 4tes Bit ist 1), - generiere 4 Bytes von LFSR-17, - subtrahiere diese von den ersten 4 Bytes des bekannten 6 Byte Outputs = 4 Byte Output von LFSR-25, - finde damit den Initialisierungszustand von LFSR-25, - generiere 2 weitere Bytes von beiden LFSRs, sind diese gleich den letzten 2 Bytes des bekannten Outputs sind wir fertig. Stream Cipher Einführung Kryptographie und IT-Sicherheit 26/53

55 Stream Ciphers based on LFSRs Nonlinear Combination Generators Nonlinear Combination Generators 2. Mit zusätzlichen Speicher Zusätzlich zur nichtlinearen booleschen Funktion wird noch ein Speicher genutzt, Speicher beinhaltet meist eine Bitsequenz von früheren Outputs, Stream Cipher Einführung Kryptographie und IT-Sicherheit 27/53

56 Stream Ciphers based on LFSRs Nonlinear Combination Generators Nonlinear Combination Generators 2. Mit zusätzlichen Speicher Zusätzlich zur nichtlinearen booleschen Funktion wird noch ein Speicher genutzt, Speicher beinhaltet meist eine Bitsequenz von früheren Outputs, der Schlüssel ist somit Seeds der LFSRs und Intialisierungsbelegung des Speichers, Speicheroutputbit(s) beeinflussen den Keystream, da sie ebenfalls in die nichtlineare Funktion einfließen. Stream Cipher Einführung Kryptographie und IT-Sicherheit 27/53

57 Stream Ciphers based on LFSRs Nonlinear Combination Generators Nonlinear Combination Generators 2. Mit zusätzlichen Speicher Zusätzlich zur nichtlinearen booleschen Funktion wird noch ein Speicher genutzt, Speicher beinhaltet meist eine Bitsequenz von früheren Outputs, der Schlüssel ist somit Seeds der LFSRs und Intialisierungsbelegung des Speichers, Speicheroutputbit(s) beeinflussen den Keystream, da sie ebenfalls in die nichtlineare Funktion einfließen. Solch ein Keystreamgenerator wird (n, k)-combiner genannt, wobei n die Anzahl der genutzten LFSRs ist und k angibt, wieviele Bits aus dem Speicher zusätzlich genutzt werden. Stream Cipher Einführung Kryptographie und IT-Sicherheit 27/53

58 Stream Ciphers based on LFSRs Nonlinear Combination Generators Nonlinear Combination Generators Funktionsweise 1 Ausgabe: Output = f(x t, y t ) f LFSRs x t g Output Memory y t y t+1 h Stream Cipher Einführung Kryptographie und IT-Sicherheit 28/53

59 Stream Ciphers based on LFSRs Nonlinear Combination Generators Nonlinear Combination Generators Funktionsweise 1 Ausgabe: Output = f(x t, y t ) 2 Aktualisierung der LFSRs (shiften und ms-bit ersetzen) f LFSRs x t g Output Memory y t y t+1 h Stream Cipher Einführung Kryptographie und IT-Sicherheit 28/53

60 Stream Ciphers based on LFSRs Nonlinear Combination Generators Nonlinear Combination Generators Funktionsweise 1 Ausgabe: Output = f(x t, y t ) 2 Aktualisierung der LFSRs (shiften und ms-bit ersetzen) 3 Aktualisierung der/des Speicherbits f LFSRs x t g Output Memory y t y t+1 h Stream Cipher Einführung Kryptographie und IT-Sicherheit 28/53

61 Stream Ciphers based on LFSRs Nonlinear Combination Generators Nonlinear Combination Generators Funktionsweise 1 Ausgabe: Output = f(x t, y t ) 2 Aktualisierung der LFSRs (shiften und ms-bit ersetzen) 3 Aktualisierung der/des Speicherbits f LFSRs x t g Output Memory y t y t+1 h E 0 Keystreamgenerator ist nach diesem Modell aufgebaut, welcher Teil des Bluetooth Verschlüsselungssystems ist. Stream Cipher Einführung Kryptographie und IT-Sicherheit 28/53

62 Stream Ciphers based on LFSRs Clock-controlled Generators Clock-controlled Generators Nichtlinearität wird durch unregelmäßig getaktete LFSRs erlangt, den Takt der verwendeten LFSRs geben zusätzliche LFSRs an, welche bestimmen ob normal geshiftet oder anders reagiert wird. Stream Cipher Einführung Kryptographie und IT-Sicherheit 29/53

63 Stream Ciphers based on LFSRs Clock-controlled Generators Clock-controlled Generators Nichtlinearität wird durch unregelmäßig getaktete LFSRs erlangt, den Takt der verwendeten LFSRs geben zusätzliche LFSRs an, welche bestimmen ob normal geshiftet oder anders reagiert wird. Einsatz in der Praxis Keystreamgenerator A5/1 (für Verschlüsselung im GSM Standard), Shrinking Generator, LILI-128, uvm. Stream Cipher Einführung Kryptographie und IT-Sicherheit 29/53

64 Stream Ciphers based on LFSRs Clock-controlled Generators Clock-controlled Generators Stop and Go Generator LFSR 2 nimmt nur dann einen neuen Zustand ein, wenn der Output von LFSR 1 (Taktgeber) eine 1 ist, ansonsten wird die vorherige Ausgabe wiederholt. clk LFSR 1 & LFSR 2 Output Stream Cipher Einführung Kryptographie und IT-Sicherheit 30/53

65 Stream Ciphers based on LFSRs Clock-controlled Generators Clock-controlled Generators Stop and Go Generator LFSR 2 nimmt nur dann einen neuen Zustand ein, wenn der Output von LFSR 1 (Taktgeber) eine 1 ist, ansonsten wird die vorherige Ausgabe wiederholt. clk LFSR 1 & LFSR 2 Output Step-1/Step-2 Generator LFSR 2 schaltet doppelt, wenn LFSR 1 (Taktgeber) eine 1 ausgibt, andernfalls wird einmal geschaltet. Stream Cipher Einführung Kryptographie und IT-Sicherheit 30/53

66 Stream Ciphers based on LFSRs Clock-controlled Generators Clock-controlled Generators Cascades LFSR 1 taktet LFSR 2, diese taktet LFSR 3, usw. lange Perioden und gute statistische Eigenschaften. clk LFSR 1 LFSR 2... (Gollmann-Cascade) Stream Cipher Einführung Kryptographie und IT-Sicherheit 31/53

67 Stream Ciphers based on LFSRs Clock-controlled Generators Clock-controlled Generators Shrinking Generator LFSR 2 gibt das Bit nur dann aus, wenn LFSR 1 eine 1 ausgibt, ansonsten wird das Bit von LFSR 2 verworfen, Stream Cipher Einführung Kryptographie und IT-Sicherheit 32/53

68 Stream Ciphers based on LFSRs Clock-controlled Generators Clock-controlled Generators Shrinking Generator LFSR 2 gibt das Bit nur dann aus, wenn LFSR 1 eine 1 ausgibt, ansonsten wird das Bit von LFSR 2 verworfen, der erzeugte Bitstream ist also eine ungleichmäßig verkürzte Teilfolge von LFSR 2. clk LFSR 1 LFSR 2 Output Stream Cipher Einführung Kryptographie und IT-Sicherheit 32/53

69 Stream Ciphers based on LFSRs Clock-controlled Generators Clock-controlled Generators Shrinking Generator LFSR 2 gibt das Bit nur dann aus, wenn LFSR 1 eine 1 ausgibt, ansonsten wird das Bit von LFSR 2 verworfen, der erzeugte Bitstream ist also eine ungleichmäßig verkürzte Teilfolge von LFSR 2. clk LFSR 1 LFSR 2 Output Eigenschaften Periodenlänge = (2 L 1 1) 2 L 2 wenn Längen relativ prim, Problem: Evtl. lange Nullfolgen und somit unregelmäßige Bitrate. Stream Cipher Einführung Kryptographie und IT-Sicherheit 32/53

70 Stream Ciphers based on LFSRs Clock-controlled Generators 5 RC4 Beschreibung Funktionsweise KSA PRGA Angriffe und Verbesserungen 6 estream Beschreibung Phasen Portfolio 7 Praktischer Teil Trivium OFB CFB Statistik Stream Cipher Einführung Kryptographie und IT-Sicherheit 33/53

71 RC4 RC4 Beschreibung Beschreibung Ron s Code 4 (Riverst Cipher 4) wurde von Ron Riverst 1987 entwickelt. Es handelt sich um einen Stream Cipher. Der Name RC4 ist geschützt und man spricht deshalb auch oft von ARCFOUR (ARC4), was so viel bedeutet wie angeblicher RC4. Stream Cipher Einführung Kryptographie und IT-Sicherheit 34/53

72 RC4 RC4 Beschreibung Beschreibung Ron s Code 4 (Riverst Cipher 4) wurde von Ron Riverst 1987 entwickelt. Es handelt sich um einen Stream Cipher. Der Name RC4 ist geschützt und man spricht deshalb auch oft von ARCFOUR (ARC4), was so viel bedeutet wie angeblicher RC4. RC4 wurde Teil von einigen Protokollen/Standards der Verschlüsselung, wie etwa 1995 von SSL, 1997 von WEP, 1999 von dem Nachfolger von SSL, TLS (RFC 7465) oder 2003 von WPA. Er findet aber auch teils Verwendung in PDF oder etwa Skype. Stream Cipher Einführung Kryptographie und IT-Sicherheit 34/53

73 RC4 RC4 Beschreibung Beschreibung Ron s Code 4 (Riverst Cipher 4) wurde von Ron Riverst 1987 entwickelt. Es handelt sich um einen Stream Cipher. Der Name RC4 ist geschützt und man spricht deshalb auch oft von ARCFOUR (ARC4), was so viel bedeutet wie angeblicher RC4. RC4 wurde Teil von einigen Protokollen/Standards der Verschlüsselung, wie etwa 1995 von SSL, 1997 von WEP, 1999 von dem Nachfolger von SSL, TLS (RFC 7465) oder 2003 von WPA. Er findet aber auch teils Verwendung in PDF oder etwa Skype. RC4 ist so weit verbreitet, da er sehr schnell und einfach ist und sowohl in Software als auch Hardware leicht implementierbar ist. Stream Cipher Einführung Kryptographie und IT-Sicherheit 34/53

74 Funktionsweise RC4 Funktionsweise Der Algorithmus generiert einen pseudozufälligen Schlüsselstrom (Bitstream) mithilfe man dann auf die zu verschlüsselnde/entschlüsselnde Nachricht ein XOR anwendet, um den Cipher-/Plaintext zu erhalten. Stream Cipher Einführung Kryptographie und IT-Sicherheit 35/53

75 Funktionsweise RC4 Funktionsweise Der Algorithmus generiert einen pseudozufälligen Schlüsselstrom (Bitstream) mithilfe man dann auf die zu verschlüsselnde/entschlüsselnde Nachricht ein XOR anwendet, um den Cipher-/Plaintext zu erhalten. Dies passiert in zwei Schritten (in dieser Reihenfolge): KSA (Key Scheduling Algorithm) PRGA (Pseudo Random Generation Algorithm) Stream Cipher Einführung Kryptographie und IT-Sicherheit 35/53

76 Funktionsweise RC4 Funktionsweise Der Algorithmus generiert einen pseudozufälligen Schlüsselstrom (Bitstream) mithilfe man dann auf die zu verschlüsselnde/entschlüsselnde Nachricht ein XOR anwendet, um den Cipher-/Plaintext zu erhalten. Dies passiert in zwei Schritten (in dieser Reihenfolge): KSA (Key Scheduling Algorithm) PRGA (Pseudo Random Generation Algorithm) Initial Vector (IV) Key KSA PRGA Keystream Plaintext Ciphertext Stream Cipher Einführung Kryptographie und IT-Sicherheit 35/53

77 Funktionsweise RC4 Funktionsweise Der Algorithmus generiert einen pseudozufälligen Schlüsselstrom (Bitstream) mithilfe man dann auf die zu verschlüsselnde/entschlüsselnde Nachricht ein XOR anwendet, um den Cipher-/Plaintext zu erhalten. Dies passiert in zwei Schritten (in dieser Reihenfolge): KSA (Key Scheduling Algorithm) PRGA (Pseudo Random Generation Algorithm) Initial Vector (IV) KSA PRGA Key All dies kann in sehr geringer Zeit und Aufwand realisiert werden, wodurch man einen hohen Throughput erhält. Keystream Plaintext Ciphertext Stream Cipher Einführung Kryptographie und IT-Sicherheit 35/53

78 KSA RC4 KSA Ziel Es soll eine pseudozufällige Permutation von Zahlen generiert werden. Stream Cipher Einführung Kryptographie und IT-Sicherheit 36/53

79 KSA RC4 KSA Ziel Es soll eine pseudozufällige Permutation von Zahlen generiert werden. Initialisierung Es wird eine Startpermutation von 0 bis 255 in aufsteigender Reihenfolge erzeugt (Identitätspermutation). Stream Cipher Einführung Kryptographie und IT-Sicherheit 36/53

80 KSA RC4 KSA Ziel Es soll eine pseudozufällige Permutation von Zahlen generiert werden. Initialisierung Es wird eine Startpermutation von 0 bis 255 in aufsteigender Reihenfolge erzeugt (Identitätspermutation). Algorithmus Es wird über jeden Wert der Permutation mit dem Index i iteriert und mithilfe des Schlüssels (zwischen 5 und 256 Bytes) ein weiterer Index j berechnet. Danach werden die Werte an der Stelle der Indizes vertauscht, wobei man jeweils eine neue Permutation erhält. Stream Cipher Einführung Kryptographie und IT-Sicherheit 36/53

81 KSA RC4 KSA Ziel Es soll eine pseudozufällige Permutation von Zahlen generiert werden. Initialisierung Es wird eine Startpermutation von 0 bis 255 in aufsteigender Reihenfolge erzeugt (Identitätspermutation). Algorithmus Es wird über jeden Wert der Permutation mit dem Index i iteriert und mithilfe des Schlüssels (zwischen 5 und 256 Bytes) ein weiterer Index j berechnet. Danach werden die Werte an der Stelle der Indizes vertauscht, wobei man jeweils eine neue Permutation erhält. Ergebnis Nach 256 Durchgängen erhält man die entgültige Permutation. Stream Cipher Einführung Kryptographie und IT-Sicherheit 36/53

82 PRGA RC4 PRGA Initialisierung Es werden die zwei Indizes i und j auf 0 gesetzt. Stream Cipher Einführung Kryptographie und IT-Sicherheit 37/53

83 PRGA RC4 PRGA Initialisierung Es werden die zwei Indizes i und j auf 0 gesetzt. Algorithmus Pro Durchlauf wird i um 1 erhöht, danach wird der Wert an dieser Stelle zu j hinzuaddiert. Die Werte an diesen zwei Stellen werden wieder vertauscht und als Schlüsselwert wird der Wert der Permutation an dem Index der Summe der beiden getauschten Werte verwendet. All dies geschieht mit Modulo 256. Stream Cipher Einführung Kryptographie und IT-Sicherheit 37/53

84 RC4 PRGA i j S S[i]+S[j] i j S[i] + S[j] K S[i] + S[j] Stream Cipher Einführung Kryptographie und IT-Sicherheit 38/53

85 RC4 PRGA i j S S[i]+S[j] i j S[i] + S[j] K S[i] + S[j] Ergebnis Man erhält einen beliebig langen Schlüsselstrom, den man für die Ver-/Entschlüsselung verwenden kann (mittels XOR). Stream Cipher Einführung Kryptographie und IT-Sicherheit 38/53

86 RC4 Angriffe und Verbesserungen Angriffe und Verbesserungen Angriffe Es gibt eine Vielzahl an erfolgreichen Angriffen auf RC4, die auch zu verbesserten Versionen des Algorithmus führten. Einige bekanntere sind: Fluhrer, Mantin und Shamir (WEP) Klein (WEP) Royal Holloway (TLS) Bar-mitzvah (SSL) NOMORE (TLS und WPA) Stream Cipher Einführung Kryptographie und IT-Sicherheit 39/53

87 RC4 Angriffe und Verbesserungen Angriffe und Verbesserungen Angriffe Es gibt eine Vielzahl an erfolgreichen Angriffen auf RC4, die auch zu verbesserten Versionen des Algorithmus führten. Einige bekanntere sind: Fluhrer, Mantin und Shamir (WEP) Klein (WEP) Royal Holloway (TLS) Bar-mitzvah (SSL) NOMORE (TLS und WPA) Verbesserungen RC4 wurde oft versucht zu verbessern, da der originale Key-Scheduler einfach zu schwach ist, darunter zb. Spritz, RC4A, VMPC und RC4+. Die ersten drei wurden alle schon geknackt, bei RC4+ sind noch weitere Analysen nötig, um genaueres zu sagen. Stream Cipher Einführung Kryptographie und IT-Sicherheit 39/53

88 RC4 Fluhrer, Mantin, Shamir und Klein Angriffe und Verbesserungen Funktionsweise 2001 wurden Statistiken des Schlüsselstroms über alle möglichen Schlüssel erstellt, wobei man festgestellt hat, dass die ersten paar Bytes einem gewissen System folgen und Informationen über den Schlüssel preisgeben. Stream Cipher Einführung Kryptographie und IT-Sicherheit 40/53

89 RC4 Fluhrer, Mantin, Shamir und Klein Angriffe und Verbesserungen Funktionsweise 2001 wurden Statistiken des Schlüsselstroms über alle möglichen Schlüssel erstellt, wobei man festgestellt hat, dass die ersten paar Bytes einem gewissen System folgen und Informationen über den Schlüssel preisgeben. Klein 2005 gab es die Klein Attacke, die 104-bit RC4 (was in 128-bit WEP benutzt wird) in unter einer Minute knacken konnte. Stream Cipher Einführung Kryptographie und IT-Sicherheit 40/53

90 RC4 Fluhrer, Mantin, Shamir und Klein Angriffe und Verbesserungen Funktionsweise 2001 wurden Statistiken des Schlüsselstroms über alle möglichen Schlüssel erstellt, wobei man festgestellt hat, dass die ersten paar Bytes einem gewissen System folgen und Informationen über den Schlüssel preisgeben. Klein 2005 gab es die Klein Attacke, die 104-bit RC4 (was in 128-bit WEP benutzt wird) in unter einer Minute knacken konnte. Schutz Um sich davor zu schützen verwirft man einfach die ersten Bytes, das nennt man RC4-drop[n], wobei n der Anzahl der Bytes entspricht, meist ein Vielfaches von 256. Stream Cipher Einführung Kryptographie und IT-Sicherheit 40/53

91 estream estream Beschreibung Beschreibung estream ist ein Projekt, um geeignete neue Stream Cipher zu finden. Es wurde ins Leben gerufen, da alle 6 der eingereichten Stream Cipher für das NESSIE Projekt fehlgeschlagen sind (New European Schemes for Signatures, Integrity and Encryption). Stream Cipher Einführung Kryptographie und IT-Sicherheit 41/53

92 estream estream Beschreibung Beschreibung estream ist ein Projekt, um geeignete neue Stream Cipher zu finden. Es wurde ins Leben gerufen, da alle 6 der eingereichten Stream Cipher für das NESSIE Projekt fehlgeschlagen sind (New European Schemes for Signatures, Integrity and Encryption). Das Projekt wurde 2008 fertiggestellt und in 3 Phasen eingeteilt. Ziel des Projektes war es passende Algorithmen zu finden für mindestens eines der zwei Profile: Profil 1: Stream Cipher für Software-Anwendungen mit hohem Durchsatz (Geschwindigkeit). Profil 2: Stream Cipher für Hardware-Anwendungen mit limitierten Recourcen (wie Speicher oder Stromverbrauch). Stream Cipher Einführung Kryptographie und IT-Sicherheit 41/53

93 Phasen estream Phasen Phasen Phase 1: In dieser Phase wurden alle eingereichten Algorithmen genauer getestet und bewertet um etwas auszusieben. Dabei wurden viele Analysen betrieben und Geschwindigkeitsmessungen durchgeführt. Ende März 2006 wurde diese Phase als beendet erklärt. Stream Cipher Einführung Kryptographie und IT-Sicherheit 42/53

94 Phasen estream Phasen Phasen Phase 1: In dieser Phase wurden alle eingereichten Algorithmen genauer getestet und bewertet um etwas auszusieben. Dabei wurden viele Analysen betrieben und Geschwindigkeitsmessungen durchgeführt. Ende März 2006 wurde diese Phase als beendet erklärt. Phase 2: In dieser Phase wurden eine gewisse Anzahl an Algorithmen fokussiert, die man genauer unter die Lupe nahm. Alle 6 Monate werden diese Algorithmen neu klassifiziert. Stream Cipher Einführung Kryptographie und IT-Sicherheit 42/53

95 Phasen estream Phasen Phasen Phase 1: In dieser Phase wurden alle eingereichten Algorithmen genauer getestet und bewertet um etwas auszusieben. Dabei wurden viele Analysen betrieben und Geschwindigkeitsmessungen durchgeführt. Ende März 2006 wurde diese Phase als beendet erklärt. Phase 2: In dieser Phase wurden eine gewisse Anzahl an Algorithmen fokussiert, die man genauer unter die Lupe nahm. Alle 6 Monate werden diese Algorithmen neu klassifiziert. Phase 3: Die letzte Phase endete im April 2008 und man hat folgende Algorithmen für das Portfolio bekanntgegeben: Stream Cipher Einführung Kryptographie und IT-Sicherheit 42/53

96 Portfolio estream Portfolio Portfolio Profil 1 (Software) HC-128 Rabbit Salsa20/12 SOSEMANUK Profil 2 (Hardware) Grain v1 MICKEY v2 Trivium F-FCSR Stream Cipher Einführung Kryptographie und IT-Sicherheit 43/53

97 Portfolio estream Portfolio Portfolio Profil 1 (Software) HC-128 Rabbit Salsa20/12 SOSEMANUK Profil 2 (Hardware) Grain v1 MICKEY v2 Trivium F-FCSR F-FCSR wurde etwas später wieder aus dem Portfolio entfernt, da einige Schwächen aufgedeckt wurden. Stream Cipher Einführung Kryptographie und IT-Sicherheit 43/53

98 Praktischer Teil Praktischer Teil Wir haben RC4, HC-128, Trivium und AES mit den zwei Modi CFB und OFB getestet. Stream Cipher Einführung Kryptographie und IT-Sicherheit 44/53

99 Praktischer Teil Praktischer Teil Wir haben RC4, HC-128, Trivium und AES mit den zwei Modi CFB und OFB getestet. Es macht keinen zeitlichen Unterschied zwischen CFB und OFB, da diese gleich viel berechnen. Bei uns war RC4 am schnellsten, danach HC-128, Trivium und dann AES. Stream Cipher Einführung Kryptographie und IT-Sicherheit 44/53

100 Trivium Praktischer Teil Trivium synchroner Stream Cipher 80 Bit Key und Initalisierungsvektor (IV) Stream Cipher Einführung Kryptographie und IT-Sicherheit 45/53

101 Trivium Praktischer Teil Trivium synchroner Stream Cipher 80 Bit Key und Initalisierungsvektor (IV) interner Zustand 288 Bit bis zu 2 64 Bit Keystream Stream Cipher Einführung Kryptographie und IT-Sicherheit 45/53

102 Trivium Praktischer Teil Trivium synchroner Stream Cipher 80 Bit Key und Initalisierungsvektor (IV) interner Zustand 288 Bit bis zu 2 64 Bit Keystream Kombination aus drei nicht lineare Feedback Shift Registern Stream Cipher Einführung Kryptographie und IT-Sicherheit 45/53

103 Praktischer Teil Trivium Stream Cipher Einführung Kryptographie und IT-Sicherheit 46/53

104 Initialisierung Praktischer Teil Trivium (s 1,..., s 93) (K 1,..., K 80, 0,..., 0) (s 94,..., s 177) (IV 1,..., IV 80, 0,..., 0) (s 178,..., s 286, s 287, s 288) (0,..., 1, 1, 1) Stream Cipher Einführung Kryptographie und IT-Sicherheit 47/53

105 Initialisierung Praktischer Teil Trivium (s 1,..., s 93) (K 1,..., K 80, 0,..., 0) (s 94,..., s 177) (IV 1,..., IV 80, 0,..., 0) (s 178,..., s 286, s 287, s 288) (0,..., 1, 1, 1) for i to 1152 (4 288) Stream Cipher Einführung Kryptographie und IT-Sicherheit 47/53

106 Initialisierung Praktischer Teil Trivium (s 1,..., s 93) (K 1,..., K 80, 0,..., 0) (s 94,..., s 177) (IV 1,..., IV 80, 0,..., 0) (s 178,..., s 286, s 287, s 288) (0,..., 1, 1, 1) for i to 1152 (4 288) t 1 s 66 s 93 t 2 s 162 s 177 t 3 s 243 s 288 Stream Cipher Einführung Kryptographie und IT-Sicherheit 47/53

107 Initialisierung Praktischer Teil Trivium (s 1,..., s 93) (K 1,..., K 80, 0,..., 0) (s 94,..., s 177) (IV 1,..., IV 80, 0,..., 0) (s 178,..., s 286, s 287, s 288) (0,..., 1, 1, 1) for i to 1152 (4 288) t 1 s 66 s 93 t 2 s 162 s 177 t 3 s 243 s 288 t 1 t 1 ((s 91 & s 92) s 171) t 2 t 2 ((s 175 & s 176) s 264) t 3 t 3 ((s 286 & s 287) s 69) Stream Cipher Einführung Kryptographie und IT-Sicherheit 47/53

108 Initialisierung Praktischer Teil Trivium (s 1,..., s 93) (K 1,..., K 80, 0,..., 0) (s 94,..., s 177) (IV 1,..., IV 80, 0,..., 0) (s 178,..., s 286, s 287, s 288) (0,..., 1, 1, 1) for i to 1152 (4 288) t 1 s 66 s 93 t 2 s 162 s 177 t 3 s 243 s 288 t 1 t 1 ((s 91 & s 92) s 171) t 2 t 2 ((s 175 & s 176) s 264) t 3 t 3 ((s 286 & s 287) s 69) danach rotiert einmal alles nach rechts: (s 1, s 2,..., s 93) (t 3, s 1,..., s 92) (s 94, s 95,..., s 177) (t 1, s 94,..., s 176) (s 178, s 279,..., s 288) (t 2, s 178,..., s 287) Stream Cipher Einführung Kryptographie und IT-Sicherheit 47/53

109 Keystream Praktischer Teil Trivium for i to N t 1 s 66 s 93 t 2 s 162 s 177 t 3 s 243 s 288 z i t 1 t 2 t 3 t 1 t 1 ((s 91 & s 92) s 171) t 2 t 2 ((s 175 & s 176) s 264) t 3 t 3 ((s 286 & s 287) s 69) danach rotiert einmal alles nach rechts: (s 1, s 2,..., s 93) (t 3, s 1,..., s 92) (s 94, s 95,..., s 177) (t 1, s 94,..., s 176) (s 178, s 279,..., s 288) (t 2, s 178,..., s 287) Stream Cipher Einführung Kryptographie und IT-Sicherheit 48/53

110 OFB Praktischer Teil OFB AES (128 Bit Block) Plaintext Ciphertext Stream Cipher Einführung Kryptographie und IT-Sicherheit 49/53

111 CFB Praktischer Teil CFB AES (128 Bit Block) Plaintext Ciphertext Stream Cipher Einführung Kryptographie und IT-Sicherheit 50/53

112 Statistik Praktischer Teil Statistik RC4 251 MB/s HC MB/s TRIVIUM 80 MB/s AES 48 MB/s Stream Cipher Einführung Kryptographie und IT-Sicherheit 51/53

113 Statistik Praktischer Teil Statistik RC4 251 MB/s HC MB/s TRIVIUM 80 MB/s Throughput (MB/s) 200 AES 48 MB/s 100 RC4 HC128 TRIVIUM AES Stream Cipher Einführung Kryptographie und IT-Sicherheit 51/53

114 Literaturangabe Literaturangabe Handbook of Applied Cryptography Alfred J. Menezes, Paul C. van Oorschot, Scott A. Vanstone Pseudozufallszahlen in der Kryptographie Christian Schiestl Algebraische Angriffe auf LFSR basierte Stromchiffren Özgür Dagdelen, Kai Wirt Dagdelen.bachelor.pdf Error-correcting Codes and Symmetric Cryptographie Anne Canteaut Stream Cipher Einführung Kryptographie und IT-Sicherheit 52/53

115 Literaturangabe Literaturangabe Wikipedia-Eintrag Stromverschlüsselung Understand the differences between public key and symmetric key encryption Brien M. Posey Skript zur Stammvorlesung Sicherheit Karlsruher Institut für Technologie Wikipedia-Eintrag Asymmetrisches Kryptosystem Which estream ciphers have been broken Stream Cipher Einführung Kryptographie und IT-Sicherheit 53/53