Codierung & Verschlüsselung

Transkript

1 Codierung & Verschlüsselung Prof. Dr. P. Hauck Vorlesungsskript Wintersemester 2009/ Dieser Vorlesungsskript wurde von Matthias Müller in LATEX angefertigt. Die letzte Aktualisierung erfolgte am 14. Mai Fehler gefunden? Bitte melden!

2 Alice and Bob c by Randall Munroe (CC-BY-NC-2.5),

3 Inhaltsverzeichnis I Vorbemerkung 1 1 Inhalt Kryptologie Codierungstheorie Literatur II Kryptologie 2 2 Grundbegriffe und einfache Verfahren Beispiel für (nicht sicheres) symmetrisches Verfahren Zusammenfassung One-Time-Pad und perfekte Sicherheit Lauftextverschlüsselung One-Time-Pad Perfekte Sicherheit des One-Time-Pads Symmetrische Blockchiffren 7 5 Affin-lineare Chiffren Vorbemerkung zu affin-linearen Chiffren Affin-lineare Chiffren Known-Plaintext-Angfriff auf affin-lineare Chiffren Der Advanced Encryption Standard (AES) Hilfsmittel Der Rijndael-Algorithmus im Detail Sub-Bytes Transformation Shift-Rows Transformation Mix-Columns Transformation Schlüsselerzeugung Entschlüsselung Zusammenfassung Public-Key-Systeme RSA-Verfahren Schlüsselerzeugung für Teilnehmer A Verschlüsselung Entschlüsselung Wie berechnet man schnell modulare Potenzen? Sicherheit Wie bestimmt man große Primzahlen? Diffie-Hellman-Verfahren zur Schlüsselvereinbarung Man-in-the-middle Angriff

4 Codierung & Verschlüsselung ElGamal-Public Key Verfahren Signaturen, Hashfunktionen, Authentifizierung RSA-Signatur Vereinfachte Version der RSA-Signatur RSA-Signatur mit Hashfunktion Authentifizierung Authentifzierung durch Passwort Challenge-Response-Authentifikation Secret Sharing Schemas 27 III Codierung Grundbegriffe und einfache Beispiele Grundbegriffe Beispiele Blockcodes Fehlerkorrektur Perfekte Codes Kugelpackungsschranke und Charakterisierung perfekter Codes Beispiele perfekter Codes Lineare Codes Definition und einfache Beispiele Erzeugermatrizen Kontrollmatrizen Kontrollmatrizen und Minimalabstand Syndrom-Decodierung linearer Codes Beispiele guter linearer Codes Hamming-Codes Reed-Solomon-Codes MDS-Codes Codierung von Audio-CDs Bündelfehler und Auslöschungen Cross-Interleaving Audio-CD Datenspeicherung auf Audio-CDs

5 Codierung & Verschlüsselung 1 Teil I Vorbemerkung 1 Inhalt Bei Übertragung (Speicherung) von Daten: Schutz vor zufälligen oder systematisch (physikalisch) bedingten Störungen (Kanalcodierung 1 ) Abhören, absichtliche Veränderung durch (unbefugte) Dritte (Kryptologie) Verschlüsselungsverfahren 1.1 Kryptologie symmetrische Verfahren asymmetrische Verfahren (Public-Key-Verfahren) Authentifizierung Signaturen 1.2 Codierungstheorie Fehlererkennung und Fehlerkorrektur lineare Blockcodes Decodierverfahren 1.3 Literatur siehe Anhang, Seite I 1 Kanalcodierung Quellencodierung

6 Codierung & Verschlüsselung 2 Teil II Kryptologie 2 Grundbegriffe und einfache Verfahren Sender (Alice) Angreifer (Mallory/Eve) Empfänger (Bob) Klartext (Zeichenfolge über Alphabet R) plain text Verschlüsselung encryption Chiffretext (Geheimtext) ciphertext Entschlüsselung decryption Klartext Abbildung 1: Verschlüsselung Verschlüsselung erfordert: Verschlüsselungsverfahren, Algorithmus (Funktion) Schlüssel k e (encryption key) Schlüssel k d (decryption key) E(m, k e ) = c D(c, k d ) = m k d = k e (oder k d leicht aus k e zu berechnen) ansonsten m = Klartext k e = Schlüssel c = Chiffretext k d = zu k e gehöhrende Dechiffrierschlüssel symm. Verschlüsselungsverfahren asymm. Verschlüsselungsverfahren Ist k d nur sehr schwer oder gar nicht aus k e berechenbar, so kann k e veröffentlicht werden. (Public- Key-Verfahren 2 ) 2 Public-Key-Verschlüsselung:

7 Codierung & Verschlüsselung 3 asymmetrisch kein Austausch nötig symmetrisch Schlüssel sicher austauschen, z. B. via PKV Abbildung 2: Asymmetrische und symmetrische Verschlüsselung 2.1 Beispiel für (nicht sicheres) symmetrisches Verfahren (a) R = S = {0, 1,..., 25} Verschiebechiffre mit Schlüssel: i {0, 1,..., 25} Verfahren: x R x + i mod 26 = y y S y i mod 26 = x m = x 1... x r c = (x 1 + i mod 26)... (x r + i mod 26) Das Verfahren ist nicht sicher, da die Schlüsselmenge zu klein ist. (Brute Force-Angriff!) (b) Verallgemeinerung: R, S wie in (a), Schlüsselmenge = Menge aller Permutationen von {0, 1,..., 25} = S 26 Verschlüsselung: Wähle Permutation π x R( π(x) = y ) π = π(0) = 3 π(1) = =... Entschlüsselung: y π 1 (y) = x m = x 1... x r c = π(x 1 )... (x r ) S 26 = 26! Brute Force Angriff nicht möglich: 50% der Permutationen testen, Permutationen pro Sekunde. Aufwand: Sekunden Jahre Solche Verfahren nennt man Substitutionschiffren.

8 Codierung & Verschlüsselung 4 Trotzdem unsicher! Grund: Charakteristische Häufigkeitsverteilung von Buchstaben in natürlichsprachlichen Texten. Bei genügend langem Chiffretext: Häufigster Buchstabe in Chiffretext = E. Für die häufigsten Buchstaben bleiben dann nur wenige Möglichkeiten. Außerdem: Digrammhäufigkeiten benutzen. Inhaltliche Analyse liefert dann meist schon den Klartext. Wir sehen an diesem Beispiel: Verschlüsselungsverfahren beinhaltet viele Verschlüsselungsmöglichkeiten, die jeweils durch einen Schlüssel festgelegt sind. Kommunikationspartner müssen sich zunächst grundsätzlich über das Verschlüsselungsverfahren einigen. Vor der Übertragung müssen Schlüssel auf sicherem Wege vereinbart werden (entfällt bei Public- Key-Verfahren). k d muss geheim gehalten werden. Das Verfahren lässt sich im Allgemeinen nicht geheim halten (und sollte auch nicht geheim gehalten werden Praxistest!). Buchstabe Häufigkeit E 17,5% 27% N 9,8% I 7,7% R 7,2% S 7,1% 35% A 6,5% T 6,1% D 4,9% H 4,5% U 4,3% L 3,5% 28% G 3,0% C 2,9% O 2,7% M 2,5% B 1,9% F 1,7% W 1,7% K 1,3% Z 1,1% P 0,9% 10% V 0,8% J 0,3% Y } X 0,1% Q Tabelle 1: Häufigkeitsverteilung der Buchstaben in deutschsprachigen Texten 2.2 Zusammenfassung Verschlüsselungsverfahren beinhalten viele Verschlüsselungsmöglichkeiten, abhängig von der Auswahl des Schlüssels. Das Verfahren ist bekannt, aber der Schlüssel k d bleibt geheim! Prinzip von Kerckhoffs 3 ( ) Sicherheit eines Verschlüsselungverfahrens darf nicht von der Geheimhaltung des Verfahrens sondern nur von der Geheimhaltung des verwendeten Schlüssels abhängen! Symmetrische Verfahren Schlüssel muss auf sicherem Wege ausgetauscht werden. Warum dann nicht die ganze Nachricht? Nachricht lang, Schlüssel kurz Zeitpunkt der Schlüsselübergabe frei wählbar Schlüssel kann ggf. mehrfach verwendet werden Mit Hilfe von Public-Key-Verfahren kann man Schlüssel ohne Gefahr austauschen (hybride Verfahren) 3 Kerckhoffs Prinzip:

9 Codierung & Verschlüsselung 5 Zur Terminologie: Kryptologie (Entwurf) Kryptographie Kryptoanalyse (Angriff) Heute häufig: Kryptologie = Kryptographie Kryptoanalyse: Wie schwer ist ein Verfahren zu knacken? Qualitative Unterschiede hinsichtlich des Erolgs: Schlüssel k d wird gefunden (schlimmster Fall) Eine zu D(, k D ) äquivalente Funktion wird ohne Kenntnis von k d gefunden (ggf. nur für gewisse k d ) Finden des Klartextes für einen abgefangenen Chiffretext Arten von Angriffen: Ciphertext-only-Angriff Known-Plaintext-Angriff Chosen-Plaintext-Angriff Chosen-Ciphertext-Angriff 3 One-Time-Pad und perfekte Sicherheit Gibt es absolut sichere Verschlüsselungsmethoden? Im militärischen Bereich wurden früher häufig sogenannte Lauftextverschlüsselungen verwendet. 3.1 Lauftextverschlüsselung Dazu wurde der Klartext über einem Alphabet Z n geschrieben (z. B. n = 26) und dann wurde ein gleich langer Schlüsseltext über Z n gewählt, der zeichenweise auf den Klartext addiert 4 wurde. Beispiel: Klartext: HALLO Schlüssel: HEUTE Chiffretext: OEFES Dazu musste der Schlüsseltext vorher sicher vereinbart werden. Die geschah häufig so, dass man eine bestimmte Stelle eines bestimmten Buches vereinbarte und der Schlüsseltext war dann der Text des Buches ab dieser Stelle. 4 Addition in Z n

10 Codierung & Verschlüsselung 6 Klartext: x 1 x 2... x n Schlüssel: k 1 k 2... k n Chiffretext: x 1 + k 1 mod k... x n + k n mod k Dieses Verfahren ist nicht sicher, denn bei einem fortlaufendem natürlichsprachigen Text haben wir unterschiedliche Buchstabenhäufigkeiten (dieselben wie im Klartext), so dass z. B. ein großer Teil der Chiffretextbuchstaben durch Addition von häufigen Buchstaben in Klartext und Schlüsseltext entsteht. Das birgt kryptoanalytische Möglichkeiten. Dennoch kann man diese Idee zur Konstruktion eines perfekt sicheren Verschlüsselungverfahrens verwenden. 3.2 One-Time-Pad Sei Klartextalphabet R = {0, 1} = Z 2. Klartext mit der Länge n über Z 2. Wähle als Schlüsselfolge eine Zufallsfolge k der Länge n über Z 2, addiere bitweise, d. h. XOR-Verknüpfung 5, c = m k, d. h. (x 1,..., x n ) (k 1,..., k n ) = (x 1 k 1,..., x n k n ), falls m = (x 1,..., x n ), k = (k 1,..., k n ). Dieses Verfahren nennt man One-Time-Pad. Wieso One-Time-Pad? Schlüssel k darf nur einmal verwendet werden. m 1 k = c 1 c 1 c 2 = m 1 k m 1 k m 2 k = c 2 = m 1 m 2 Daher ist m 1 m 2 bekannt. Als Summe zweier natürlichsprachiger Texte hat es statistische Auffälligkeiten, die man zur Kryptoanalyse nutzen kann. Zufallsfolge der Länge n ist eigentlich ein unsinniger Begriff. Jedes Bit wird unabhängig von den anderen mit Wahrscheinlichkeit 1 /2 erzeugt (Output einer binären symmetrischen Quelle). Jede Folge der Länge n ist gleich wahrscheinlich (Wahrscheinlichkeit 1 /2 n ). Unter dieser Voraussetzung ist One-Time-Pad perfekt sicher. Ein Verschlüsselungsverfahren ist perfekt sicher, falls gilt: Für jeden Klartext m und jeder Chiffretext c (der festen Länge n) a-posteriori-wahrscheinlichkeit P (m c) = P (m) a-priori-wahrscheinlichkeit P (m c) = Wahrscheinlichkeit 6 dafür, dass es sich bei m um den Klartext handelt, falls der Chiffretext c empfangen wurde. Beispiel: n = 5 m = HALLO P (m) > 0 Angenommen, eine Substitutionschiffre wurde verwendet und c = QITUA wurde empfangen. Dann ist P (m c) = 0, denn bei Substitutionschiffren wurden gleiche Buchstaben gleich verschlüsselt. Man weiß also, dass m nicht gesendet wurde. Substitutionschiffre ist nicht perfekt sicher. 5 XOR-Verknüpfung: 1 1 = 0 = = 1 = a-posteriori-wahrscheinlichkeit: a-priori-wahrscheinlichkeit:

11 Codierung & Verschlüsselung Perfekte Sicherheit des One-Time-Pads Warum ist One-Time-Pad ist perfekt sicher? Man kann das leicht formal beweisen (Satz von Bayes 7 ). Hier nur die intuitive Begründung: Sei m Z n 2. Alle Schlüssel k Zn 2 sind gleichwahrscheinlich, also auch alle m k (ganz Zn 2 ). m k Jede Folge c lässt sich mit geeignetem k in der Form c = m k erhalten. Wähle k = m c. m k = m m c = c Bei gegebenen m und zufällig gewähltem Schlüssel k ist jeder Chiffretext gleichwahrscheinlich. 4 Symmetrische Blockchiffren Blockchiffre: Nachricht wird in Blöcke (Strings) einer festen Länge n ( 2) zerlegt. Jeder Block wird einzeln verschlüsselt (i. d. R. wieder in einem Block der Länge n). Gleiche Blöcke werden gleich verschlüsselt. (Es gibt andere Betriebsarten, wo die Verschlüsselung von Position im Text abhängt.) Üblicherweise: Klartextblocklänge = Chiffretextlänge = n (nehmen wir jetzt an). } {{ } } {{ } } {{ } } {{ } } {{ } n n n n n Abbildung 3: Zerteilung des Klartextes in Blöcke gleicher Länge Wie viele Blockchiffren der Länge n gibt es? Alphabet Z 2 = {0, 1} (0,..., 0), (0,..., 0, 1),..., (1, 1,..., 1) Block Block Block 2 n Blockchiffre = Anwenden einer Permutation der 2 n Blöcke (Es existieren (2 n )! Permutationen) Wenn alle verwendet werden: Schlüsselmenge = sämtliche Permutationen der 2 n Blöcke (x 11,..., x 1n ), (x 21,..., x 2n ),... Bild von (0,..., 0) Bild von (0,..., 0, 1)... benötigt 2 n Bit um 1 Schlüssel zu speichern Beispiel: n = Bit = Bit = 2 70 Bit 700 Millionen Festplatten mit je 200 GB Konsequenz: Verwende Verfahren, wo nur ein kleiner Teil der Permutationen verwendet wird und sich der Schlüssel dann in kürzerer Form darstellen lässt. Wir geben dafür jetzt einige Beispiele. 7 Bayes sche Formel:

12 Codierung & Verschlüsselung 8 5 Affin-lineare Chiffren 5.1 Vorbemerkung zu affin-linearen Chiffren n m-matrix a a 1m a a 2m..... a n1... a nm 1 m-matrix ( a 1... ) a m Zeilenvektor n 1-Matrix a 1. a n Spaltenvektor a ij R, R Ring, z. B. a ij Z oder a ij R n m-matrizen A, B a a 1m b b 1m a n1... a nm b n1... b nm = a 11 + b a 1m + b 1m..... a n1 + b n1... a nm + b nm A B A B n m m l n l c c 1l A B =..... c n1... c nl c ij = a i1 b 1j + a i2 b 2j a im b mj (A + B) C = A C + B C A (B + C) = A B + A C i. Allg.: A B B A Quadratische Matrizen ( ) n n : E n = A E n = E n A = A A sei n n-matrix über dem kommutativen Ring R mit Eins. Es existiert inverse Matrix A 1 mit A 1 A = A A 1 = E n, wenn det(a) in R bzgl. der Multiplikation ein Inverses besitzt. ( ) a 11 a Matrix det(a) = = a 11 a 22 a 12 a 21 a 21 a 22 Allgemein kann man die Determinante einer n n-matrix z. B. mit der Leibniz-Formel berechnen. 1 det(a) b det(a) b 1m A 1 =..... b ij = ( 1) i+j det(a ji ) 1 det(a) b 1 n1... det(a) b nm

13 Codierung & Verschlüsselung 9 A ji ist (n 1) (n 1)-Matrix, die aus A durch Streichen der j-ten Zeile und i-ten Spalte entsteht. ( ) ( ) a 11 a 12 A = A 1 1 = a 21 a 22 det(a) a 22 a 12 a 21 a 11 R = Z k = {0, 1,..., k} Addition und Multiplikation 8 in Z k (, ) r Z k invertierbar bzgl. Multiplikation ggt(r, k) = 1 Beispiel: Z 6 = {0, 1, 2, 3, 4, 5} 5 1 = = 1 Also: A n n-matrix über Z k. Dann: A invertierbar ggt ( det(a), k ) = Affin-lineare Chiffren Klartextalphabet = Chiffretextalphabet = Z k, k N (z. B. k = 2, k = 26) Klartext = Elemente in Z k Entscheidend für affin-lineare Chiffren: Addition und Multiplikation in Z k = normale Addition und Multiplikation in Z k und anschließend mod k reduzieren. Z k ist kommutativer Ring mit Eins. Wähle n n-matrix A über Z k und Zeilenvektor b der Länge n über Z k Schlüssel Blockchiffre der Länge n Block = Zeilenvektor der Länge n über Z k Klartextblock: v Chiffretextblock: w = v A + b 1 n 1 n n n 1 n Verschlüsselung: v va + b = w Wann ist die Chiffrierung v va+b injektiv? (d. h.: Wann gibt es eine Umkehrabbildung?) va + b = w, w b = va. Falls A invertierbar ist (d. h. es existiert A 1 mit A A 1 = E n ), so v = (w b)a 1. Also: Entschlüsselung: w (w b)a 1 = v Genau dann ist A invertierbar, wenn det(a) in Z k invertierbar ist, d. h., wenn ggt ( det(a), k ) = 1. Ist k = p, so ist Z p ein Körper. Dann ist det(a) invertierbar, genau dann, wenn det(a) 0. (Wenn immer b = 0 gewählt wird: lineare Chiffren, Hill-Chiffren) Beachte: Ist v = (v 1,..., v n ) und va + b = (w 1,..., w n ), so hängt jedes w i i. d. R. von allen v 1,..., v n ab ( gute Diffusion). Es handelt sich also nicht um Substitutionschiffre wie in in Kapitel 2, wo jedes Element des Alphabets Z k einzeln substituiert wird. 8 normale Addition bzw. Multiplikation von ganzen Zahlen und anschließend mod k reduzieren.

14 Codierung & Verschlüsselung 10 ( ) 1 3 Beispiel: A = 3 2 det(a) = mod 6 = mod 6 = 1 Z 6 (Blockchiffre der Länge 2) 1 det(a) = det(a) 1 = 5 ( ) ( ) A = 5 = ( ) ( ) ( ) Test: A A = = = über Z 6 = über Z 6 ( ) ( ) Verschlüsselung: ( ) 1 3 Schlüssel A = 3 2 Chiffretextblock w = b = ( ) 3 5 ( ( ) ) Klartextblock v = ( ) 1 2 ( ) ( ) ( ) ( ) = = 4 0 Entschlüsselung: Klartextblock v = (w b)a 1 = ( ) ( ) = ( ) Known-Plaintext-Angfriff auf affin-lineare Chiffren. Z 2 : n 2 + n Bit zur Speicherung eines Schlüssels. Wie viele invertierbare n n-matrizen über Z 2, z. B. mit n = 64, existieren? (2 64 1) (2 64 2)... ( ) 0, Große Anzahl von Möglichkeiten! Dennoch: Verfahren ist unsicher gegenüber Known-Plaintext-Angfriff: (A, b) Schlüssel, A invertierbare n n-matrix über Z k, b Z n k Angenommen Angreifer kennt n + 1 Klartext-Chiffretextpaare verschlüsselt mit (A, b). Dann kann er häufig (A, b) bestimmen. v 1 v 0 w 1 w 0 v V = 2 v 0 w n n-matrix Ang: V ist invertierbar Setze W = 2 w 0.. v n v 0 w n w 0

15 Codierung & Verschlüsselung 11 V A = bekannt (v 1 v 0 )A. (v n v 0 )A = v 1 A + b (v 0 A + b). v n A + b (v 0 A + b) = Da V bekannt, also auch V 1 : A = V 1 W b = w 0 v 0 A w 1 w 0. w n w 0 = W bekannt Beispiel n = 2, k = 26 HE RB ST }{{} }{{} 1 18 } {{ 19 } v 0 v 1 v 2 NE BL IG 13 }{{} 4 1 }{{} 11 }{{} 8 6 w 0 w 1 w 2 {A-Z} {0 25} v 1 v 0 = v 2 v 0 = ( ) ( ) ( ) = ( ) ( ) ( ) = ( ) ( ) V = W = = ( ) ( ) = det(v ) = = ( ) ( (mod 26) ) V 1 = = A = V 1 W = b = w 0 v 0 A = ( ) ( ( ) ( ) ) ( ) = = ( ) 13 7 ( ) = ( ) Test: v 1 A + b = w 1 v 2 A + b = w 2! Hintereinanderausführung von einem Chiffrierverfahren (mit unterschiedlichen Schlüsseln) ist sinnlos, wenn das Verfahren die Gruppeneigenschaft hat. Affin-lineare Chiffren haben die Gruppeneigenschaft: v va + b = w w wb + c = (va + b)b + c = vab } {{ } A + bb + c } {{ } b Hintereinander ausführung zweier affin-linearer Chiffren ist wieder affin-lineare Chiffre.

16 Codierung & Verschlüsselung 12 6 Der Advanced Encryption Standard (AES) Seit 70 er Jahren: DES 9 (Blocklänge 64 Bit, Schlüssellänge 56 Bit) Gute Blockchiffre, Ende der 90 er Jahre unsicher wegen möglicher Brute-Force-Angriffe. 1997: Neue Ausschreibung durch NIST 10 für Nachfolger von DES. 2000: Wahl von Rijndael 11 -Verfahren für neuen AES 12, benannt nach den Erfindern J. Daemen 13 und V. Rijmen : Publikation als Standard: FIPS 15 PUB 197 AES ist sogenannte iterierte Blockchiffre. Mögliche Blocklänge: 128, 192, 256 Mögliche Schlüssellänge: 128, 192, 256 (unabhängig voneinander) Anzahl der Runden (abhängig von gewählten Block- und Schlüssellängen): 10, 12, 14 Wir behandeln den Fall: b = 128, k = 128, r = 10 Vorbemerkung: 128 Bit Blöcke werden dargestellt als a 00 a 01 a 02 a 03 a 10 a 11 a 12 a 13 jedes a ij ist ein Byte a 20 a 21 a 22 a 23 a 30 a 31 a 32 a er Block wird spaltenweise gelesen: a 00 a 10 a 20 a 30 a 01 a 11 a 21 a 31 a 02 a 12 a 22 a 32 a 03 a 13 a 23 a 33 Zur Beschreibung des AES benötigen wir einige Hilfsmittel über endliche Körper. 9 Data Encryption Standard: 10 National Institute of Standards and Technology: 11 Rijndael: 12 Advanced Encryption Standard: 13 Joan Daemen: 14 Vincent Rijmen: 15 Federal Information Processing Standards Publications:

17 Codierung & Verschlüsselung Hilfsmittel Endliche Körper: Einfachste Möglichkeit Z p (p Primzahl). Beim AES benötigt man jedoch F 2 8, einen Körper mit 2 8 = 256 Elementen. F 2 8 besteht aus allen Polynomen vom Grad < 8 über Z 2. b 7 x b 1 x + b 0, b i Z 2 (b 7, b 6,..., b 0 ) Byte Addition: + (normale Addition von Polynomen) Multiplikation: (normale Multiplikation von Polynomen und dann reduzieren modulo eines irrduziblen Polynoms von Grad 8 über Z 2. Beim AES wird h = x 8 + x 4 + x 3 + x + 1 verwendet.) (x 7 + x + 1) (x 3 + x) = x 10 + x 8 + x 3 + x 2 + x mod x 8 + x 4 + x 3 + x + 1 ( x 10 + x 8 + x 3 + x 2 + x) : (x 8 + x 4 + x 3 + x + 1) = x x 7 + x 6 + x 5 + x 3 + x 2 x 8 + x 6 + x 5 + x 4 + x x 8 + x 4 + x 3 + x + 1 x 6 + x 5 + x das ist der Rest (x 7 + x + 1) (x 7 + x) = x 6 + x 5 + x Damit wird F 2 8 ein Körper, d. h. jedes Element 0 hat ein Inverses bzgl. Multiplikation. Das Inverse von g 0 lässt sich mit dem erweiterten Euklidischen Algorithmus für Polynome berechnen: g 0 grad(g) 7 h = x 8 + x 4 + x 3 + x + 1 irreduzibel ggt(g, h) = 1 EEA: u, v Z 2 [x] u g + v h = 1 u mod h = g 1 g 1 g = ( (u mod h) g ) mod h = u g mod h = (1 vh) mod h = 1 mod h = 1 Der Aufbau des Rijandal-Verfahrens (AES) ist in Abbildung 4 auf Seite 14 angegeben. Wir beschreiben im Folgenden die einzelnen Teile.

18 Codierung & Verschlüsselung 14 Klartextblock 128 Bit Schlüssel 128 Bit Schlüsselexpansion auf 128*11 = 1408 Bit + K0 128 Bit Si-1 S0 128 Bit SubBytes Runde 1 ShiftRows + K1 128 Bit MixColumns nicht in der 10. Runde S1 128 Bit + Ki Runde 2 Si + K2 128 Bit S9 128 Bit Runde 10 + K Bit Chiffretextblock 128 Bit Abbildung 4: Schematischer Ablauf des Rijndael-Verfahrens

19 Codierung & Verschlüsselung Der Rijndael-Algorithmus im Detail Sub-Bytes Transformation a a 03 s i 1 =....., a ij Bytes Sei g einer dieser Bytes, g = (b 7 b 6... b 0 ), b i Z 2. a a Schritt Fasse g als Element in F 2 8 auf Ist g = (0,..., 0), so lasse g unverändert Ist g (0,..., 0), so ersetze g durch g 1 via Table-Lookup 2. Schritt Ergebnis nach Schritt 1: g wird folgendermaßen transformiert ga + b = g (affin-lineare Transformation) A = zyklischer Shift der ersten Zeile... um eine Stelle nach rechts, etc ( ) b = Shift-Rows Transformation Nach Sub-Bytes erhält man eine 4 4-Matrix von Bytes. Auf deren Zeilen weren die angegebenen zyklischen Shifts angewandt. a b c d unverändert e f g h 1. Stelle nach links (zyklisch) i j k l 2. Stelle nach links (zyklisch) m n o p 3. Stelle nach links (zyklisch) a b c d f g h e k l i j p m n o Mix-Columns Transformation 4 4-Matrix. Einträge als Elemente in F 2 8 auffassen. x x x x Multiplikation von links mit Matrix 1 1 x x + 1 x x ( ) Multiplikation der Einträge in F 2 8. x =

20 Codierung & Verschlüsselung Schlüsselerzeugung Ausgangsschlüssel hat 128 Bit. Schreibweise 4 4-Matrix von Bytes. 4 Spalten: w(0), w(1), w(2), w(3) Defin. 40 Spalten à 4 Bytes w(i 1) sei schon definiert. 4 i : w(i) = w(i 4) w(i 1) (Byteweise XOR) 4 i : w(i) = w(i 4) T (w(i 1)) T ist folgende Transformation: a Sei w(i 4) = b c a, b, c, d Bytes d Wende auf b, c, d, a Sub-Bytes Transformation an: b, c, d, a e, f, g, h ( ) i 4 4 Setze v(i) = in F 2 8 e v(i) f T (w(i 1)) = g h Rundenschlüssel k i : 4 4-Matrix mit Spalten: w(4i), w(4i + 1), w(4i + 2), w(4i + 3), i = 0,..., Entschlüsselung Alle einzelnen Transformationen sind invertierbar. Man kehrt also den Algorithmus um und ersetzt alle Transformationen durch ihre Inversen. 6.3 Zusammenfassung AES ist ein schnelles Verschlüsselungsverfahren. Es hat gute Diffusionseigenschaften: nach zwei Runden hängt jedes Bit von jdem Bit des Ausgangsblocks ab. Bisher sind keine praktikablen Angriffe gegen den AES gefunden worden.

21 Codierung & Verschlüsselung 17 7 Public-Key-Systeme Grundidee: W. Diffie 16, M. Hellman 17, 1976 Jeder Teilnehmer A hat Paar von Schlüsseln: öffentlicher Schlüssel P A geheimer Schlüssel G A Zu P A gehört öffentlich bekannte Verschlüsselungsfunktion E PA = E(, P A ) B m A : E PA (m) = c (1) m darf mit realistischem Aufwand nicht aus E PA (m) berechenbar sein. E PA ist Einwegfunktion (E PA muss effizient berechenbar sein, aber E 1 P A nicht!) (2) A muss mit Hilfe einer Zusatzinformation (= G A ) in der Lage sein, E 1 P A effizient zu berechnen. D GA (c) = m = E 1 P A (c) Injektive Einwegfunktion, die mit Zusatzinformationen effizient invertierbar ist: Geheimtürfunktion (Trap door function) aus (1) und (2) folgt: (3) G A darf aus P A nicht schnell berechenbar sein! Es ist derzeit noch unbekannt, ob Einwegfunktionen existieren!!!! Notwendig für die Existenz von Einwegfunktionen: P N P. Es gibt Kandidaten für Einwegfunktionen, auf denen die bekannten Public-Key-Systeme beruhen. 7.1 RSA-Verfahren 1977: R. Rivest 18, A. Shamir 19, L. Adleman 20 Beruht auf Schwierigkeit, große Zahlen zu faktorisieren Schlüsselerzeugung für Teilnehmer A Wähle zwei große Primzahlen p, q (p q) (min. 500 Bit Länge: ) Bilde n = p q ϕ(n) = {a N : 1 a < n, ggt(a, n) = 1} n = p q ϕ(n) = (p 1) (q 1) 16 W. Diffie: 17 M. Hellman: 18 Ronald L. Rivest: 19 Adi Shamir: 20 Leonard Adleman:

22 Codierung & Verschlüsselung 18 [ nicht teilerfremd zu n: 1 p, 2 p, 3 p,..., (q 1) p, q p = n 1 q, 2 q, 3 q,..., (p 1) q, p q = n (p 1) + (q 1) + 1 ϕ(n) = n p q + 1 = pq p q 1 = (p 1) (q 1) ] Wähle e < ϕ(n) mit ggt (e, ϕ(n)) = 1. (Wie? Zufallswahl und dann mit dem Euklidschen Algorithmus ggt(e, ϕ(n)) bestimmen.) Öffentlicher Schlüssel: P A = (n, e) (p, q bleiben geheim) Wähle d < ϕ(n) mit e d 1 (mod ϕ(n)) (d. h. ϕ(n) e d 1, ed = 1 + k ϕ(n) für k N) (Wie? Wende den erweiterten euklidischen Algorithmus auf e, ϕ(n) an. Liefert u, v Z mit ue + vϕ(n) = ggt(e, ϕ(n)) = 1.) d = u mod ϕ(n), denn ed mod ϕ(n) = e (u mod ϕ(n)) mod ϕ(n) = ue mod ϕ(n) = (1 vϕ(n)) mod ϕ(n) = 1 Geheimer Schlüssel: G a = d Verschlüsselung B Nachricht A. Codiere Nachricht als Zahl. Zerlege in Blöcke, deren Zahlenwert < n. Sei m so ein Block (m < n). m e mod n = c (Chiffretext) Entschlüsselung c d mod n! = m warum? Gültigkeit basiert auf Kleinem Satz von Fermat: r Primzahl, ggt(a, r) = 1 (d. h. r a), so a r 1 1 (mod r). Sei m < n = pq. c = m e mod n, c d mod n = m ed mod n. ed = 1 + kϕ(n) = 1 + k(p 1)(q 1) Ist p m, so m ed = m 1+k(p 1)(q 1) = m ( m p 1 ) } {{ } k(q 1) m (mod p) 1 ( mod p) Ist p m, so m 0 m ed (mod p) In jedem Fall: m ed m (mod p). Genauso: m ed m (mod q)

23 Codierung & Verschlüsselung 19 p m ed m, q m ed n. p q n = pq m ed m m ed m (mod n), m ed mod n = m, da m < n Wie berechnet man schnell modulare Potenzen? m e mod n? e = k e i z i, e i {0, 1}, e k = 1 i=0 m e = m 2k +e k 1 2 k e 1 2+e 0 = m 2k m e k 12 k 1... m e 0 = ( (... ( (m 2 m e k 1 ) 2 m e k 2 ) 2... ) 2... m e 1 ) 2 m e 0 mit maximal 2k Multiplikationen Nach jeder Multiplikation mod n reduzieren. Beispiel: (1) p = 13, q = 23 n = p q = 299 ϕ(n) = = 264 (= ) e = 5 (kleinstmögliches e) öffentlicher Schlüssel: (n = 299, e = 5) (2) Bestimmung des geheimen Schlüssels: Entweder: Mit erweitertem Euklidschischen Algorithmus u, v Z bestimmen mit u e+v ϕ(n) = 1. Dann d = u mod ϕ(n). Oder (bei kleinem e): Suche kleinstes k N mit e k ϕ(n) + 1. Dann ed = kϕ(n) + 1. In unserem Fall: = 265 d = = 53 Geheimer Schlüssel: d = 53 (3) Verschlüsselung: Klartext m = 212 m 5 mod 299 berechnen = (mod 299) = (mod 299) = (mod 299) Chiffretext c = 296 (4) Entschlüsselung: zu berechnen c 53 mod =

24 Codierung & Verschlüsselung = ( ((( ) 2 ) ) 2 ) ( 3) 2 9 (mod 299) ( 3) = 27 (mod 299) ( 27) (mod 299) ( 27) = (mod 299) ( 27) ( 3) (mod 299) ( 55) 2 = (mod 299) (mod 299) ( 3) = (mod 299) mod 299 = 212 = m Sicherheit (a) Falls p, q bekannt ϕ(n), d bekannt Aber: Faktorisierung ist ein schweres Problem. Wenn Angreifer ϕ(n) kennt, kann er d bestimmen. Die Bestimmung von ϕ(n) ist aber genauso schwierig wie die Faktorisierung von n: p, q bekannt ϕ(n) = (p 1) (q 1) bekannt. ϕ(n) bekannt p, q bekannt: ϕ(n) = n p q + 1 bekannt s = p + q bekannt, pq = n bekannt, p(s p) = n p 2 sp + n = 0 quadratische Gleichung für p Es gilt sogar: Die Bestimmung von d, die Bestimmung von ϕ(n) und die Bestimmung der Faktorisierung von n sind gleich schwer. Komplexität der besten Faktorisierungsalgorithmen: O(e c(log n) 1 3 (log log n) 2 3 ) RSA Challenge: 640 Bit Zahl, Faktorisierung: 30 CPU-Jahre auf 2,2 GHz-Prozessor. Es ist unbekannt, ob die Bestimmung von m aus c nur mit Kenntnis von e und n genauso schwierig ist wie die Faktorisierung von n. (b) Häufig wird e = 3 gewählt, falls ggt ( 3, ϕ(n) = 1 ). Dies birgt eine Gefahr. Angenommen A 1, A 2, A 3 haben in ihrem öffentlichen Schlüssel jeweils e = 3 gewählt. m A 1 (n 1, 3) m B A 2 (n 2, 3) Angenommen: ggt(n i, n j ) = 1 m A 3 (n 3, 3) c 1 = m 3 mod n 1 c 2 = m 3 mod n 2 c 3 = m 3 mod n 3 Eve fängt c 1, c 2, c 3 ab. Chinesischer Restsatz: Es existiert eindeutig bestimmtes x mit 0 x n 1 n 2 n 3 mit x c i (mod n i ), i = 1, 2, 3 m 3 c i mod n i, m 3 < n 1 n 2 n 3 x = m 3 3 x = m (schnell!)

25 Codierung & Verschlüsselung Wie bestimmt man große Primzahlen? p Primzahl, a Z ggt(a, p) = 1, so a p 1 1 (mod n) (kleiner Satz von Fermat) Fermat-Test: Gegeben n. Wähle a < n. Teste ob ggt(a, n) = 1 und a n 1 1 (mod n). Wenn nicht, so ist n keine Primzahl. Wenn ja, so keine Aussage möglich. Wähle neues a! Es gibt unendlich viele zusammengesetzte Zahlen n mit a n 1 1 ( mod n) für alle a mit ggt(a, n) = 1, die sog. Carmichael-Zahlen 21. Besserer Test: Miller-Rabin-Test: a 2s t 1 (mod p) Grundidee: Sei p 2 Primzahl, a N, ggt(a, p) = 1, p 1 = 2 s t, 2 t b = a 2s 1 t b 2 ( ) 2 1 (mod p) b mod p = 1 in Zp d. h.: b mod p ist Nullstelle von x 2 1 Z p [x] a 2s 1 t { +1 mod p 1 mod p Indem man so fortfährt, erhält man: Entweder a t 1 (mod p) oder a 2i t 1 (mod p) für ein 0 i < s Teste dies mit n statt p. Man kann zeigen: Wenn n keine Primzahl ist, dann gibt es mindestens 3 4ϕ(n) viele a, so dass n den Test mit a nicht besteht: Zeugen gegen die Primzahleigenschaft von n. Im Allgemeinen testet man n nur mit wenigen a. Dies führt zu einem probabilistischem Primzahltest. (Schnelles Verfahren) Siehe: Diffie-Hellman-Verfahren zur Schlüsselvereinbarung p Primzahl, Z p = Z p \{0} Gruppe bzgl. Multiplikation, zyklisch g Z p : { g 0, g 1, g 2,..., g p 2} } {{ } = Z p gp 1 1 (mod p) in Z p g heißt Primitivwurzel mod p 0 a p 2 : a g a mod p Kandidat für Einwegfunktion g a mod p a (diskreter Logarithmus) ist nach heutigem Stand schwer! Erste Anwendung: A, B wollen gemeinsammen Schlüssel k für ein symmetrisches Verfahren vereinbaren; es steht nur unsicherer Kommunikationskanal zur Verfügung. 21 Carmichael-Zahl:

26 Codierung & Verschlüsselung 22 Lösung: Wähle Primzahl p (Bitlänge mindestens 1024 Bit) und Primitivwurzel g mod p. p, g können öffentlich bekannt sein. (a) A wählt zufällig a {2,..., p 2} A berechnet x = g a mod p (a geheim halten!) (b) B wählt zufällig b {2,..., p 2} B berechnet y = g b mod p (b geheim halten!) x=g a mod p (c) A B y=g b mod p B A A: y g mod p = g ba mod p = k B: x g mod p = g ab mod p = k Sicherheit: Angreifer: kennt p, g, g a mod p, g b mod p gesucht: g ab mod p Einzig bekannte Möglichkeit: Berechne a aus g a : (g b ) a mod p = k Man-in-the-middle Angriff M A B M fängt g a und g b ab, wählt c {2,..., p 2} und sendet g c mod p an A und B. } A: k A = g ca mod p B: k B = g cb glauben: gemeinsamer Schlüssel beide Schlüssel kennt M mod p Schickt A Nachricht an B, verschlüsselt mit k A, so kann M sie abfangen, entschlüsseln, lesen, ggf. verändern und mit k B verschlüsselt an B senden. B kann mit k B entschlüsseln und schöpft keinen Verdacht. Angriff vermeidbar mit Authentifizierungsmethode (siehe Kapitel 8). 7.3 ElGamal-Public Key Verfahren Schlüsselerzeugung A: wählt p, g wie bei Diffie-Hellman-Verfahren. Öffentlicher Schlüssel: (p, g, x) wählt a {2,..., p 2}, x = g a mod p Geheimer Schlüssel: a Verschlüsselung Klartext m: 1 m p 1 B m A B: wählt zufällig b = {2,..., p 2}, y = g b mod p berechnet x b mod p und f = m x b mod p sendet (y, f) an A

27 Codierung & Verschlüsselung 23 Entschlüsselung y a mod p (= x b mod p) Berechne (y a ) 1 mod p 0 [ { }} {] (y a ) 1 = yp 1 a m = f (y a ) 1 mod p 8 Signaturen, Hashfunktionen, Authentifizierung Anforderungen an digitale Signaturen: Identitätseigenschaft ID des Unterzeichners des Dokuments wird sichergestellt Echtheitseigenschaft des signierten Dokuments Verifizierungseigenschaft jeder Empfänger muss digitale Signatur verifizieren können 8.1 RSA-Signatur Vereinfachte Version der RSA-Signatur A will Dokument m signieren. A besitzt öffentlichen RSA-Schlüssel (n, e), geheimen Schlüssel d. Signatur: m d mod n sendet (m, m d mod n) an B (m d mod n) e = m ed mod n = m? m < n Wenn m ed mod n = m, dann akzeptiert B Signatur. m > n m d mod n B: m mod n m mod n = m mod n (m, m d mod n) gültige Signatur Also: Falls m > n, m in Blöcke zerlegen, die als Zahl < n sind. Problem: Signatur ist so lang wie Nachricht. Wie lassen sich lange RSA-Signaturen vermeiden? Definition: Sei R ein endliches Alphabet Hashfunktion: H : R R k (k N fest) effizient berechenbar RSA-Signatur mit Hashfunktion H öffentlich bekannte Hashfunktion. A will Nachricht m signieren. Bildet H(m) und signiert H(m): H(m) d mod n sendet (m, H(m) d mod n) Verifikation durch B m H(m) ( H(m) d mod n ) e mod n? = H(m)

28 Codierung & Verschlüsselung 24 Angriffsmöglichkeiten: Angreifer kann H(m) bestimmen Wenn es ihm gelingt, m m zu finden mit H(m ) = H(m), so ist (m, H(m) d gültige Signatur von m durch A. mod n) eine Angreifer wählt zufällig y und berechnet z := y e mod n Gelingt es ihm, m zu finden mit H(m) = z, dann ist (m, y) gültige Signatur von m durch A. y e mod n? =! H(m) Definition: erfüllt: Eine kryptographische Hashfunktion ist Hashfunktion, die folgende Eigenschaften (1) H ist Einwegfunktion. (um Angriffe des 2. Typs zu vermeiden) (2) H ist schwach kollisionsresistent, d. h. zu gegebenem m R soll es effizient nicht möglich sein ein m R, mit m m und H(m) = H(m ) zu finden. (um Angriffe des 1. Typs zu vermeiden) Verschärfung: (2 ) H ist stark kollisionsresistent, wenn es effizient nicht möglich ist, m m zu finden mit H(m) = H(m ). Da R unendlich und R k = R k endlich ist, existieren unendlich viele Paare (m, m ), m m, mit H(m) = H(m ). (Bilde R k +1 viele Hashwerte: Kollisionen) Kollisionen lassen sich nicht vermeiden, sie sollen aber nicht schnell herstellbar sein. Da es unbekannt ist, ob es Einwegfunktionen gibt, ist es natürlich auch unbekannt, ob kryptographisch sichere Hashfunktionen existieren. Es gibt nur Kandidaten (siehe unten). Unabhängig davon: Wie groß sollte Länge k des Hashwertes gewählt werden? Nicht zu groß das ist der Sinn von Hashfunktionen. Zu klein dann Gefahr von Kollisionerzeugung (hinsichtlich starker Kollissionsresistenz) wegen Geburtsattacke. Sie beruht auf: Satz (Geburtstagsparadoxon): Ein Merkmal komme in m verschiedenen Ausprügungen vor. Jede Person besitze genau eine dieser Merkmalsausprägungen. Ist l m ln(2) 1, 18 m, so ist die Wahrscheinlichkeit, dass unter l Personen zwei 2 die gleiche Merkmalsausprägungen haben, mindestens 1 /2. (Geburtstage m = 366, l = 23, d. h.: Bei 23 Personen ist die Wahrscheinlichkeit mindestens 1 /2, dass zwei Personen am gleichen Tag Geburtstag haben.) Beweis: Gegeben seien l Personen. Alle Ereignisse: ( g 1, g 2,..., g l ), gi {1,..., m} Anzahl: m l Möglichkeiten

29 Codierung & Verschlüsselung 25 Alle Merkmalsausprägungen g i verschieden: l 1 (m i) = m (m 1) (m 2)... (m (l 1)) i=0 Wahrscheinlichkeit, dass keine zwei Personen solche Merkmalsausprägung haben: q = l 1 i=0 (m i) m l = l 1 ( 1 i ) m i=0 Benutze: e x 1 + x. Dann: q e l 1 i=0 i m = e i l 1 m i=0 i = e l(l 1) 2m Wann ist q 1 /2? Jedenfalls, wenn 1 2 < e l(l 1) 2m. Gleichbedeutend mit: ln(2) l(l 1) 2m, ln 2 l2 l 2m l 2 l 2m ln(2) 0 Auflösen nach l: l m ln(2) 2 Geburtstagsattake: R = Z 2, H : Z 2 Z 2. Angreifer erzeugt möglichst viele Hashwerte. Diese werden nach Kollisionenn untersucht. Anzahl aller möglichen Hashwerte: 2 k. Wahrscheinlichkeit 1 /2, dass Kollision vorliegt bei 2 k = 2 k /2 Hashwerten. k = 64 keine ausreichende Sicherheit ( ). Heute: Mindestens k 128, i. d. R. k k /2 ist dann Benchmark für Güte von Kandidaten für kryptographische Hashfunkionen bzgl. starker Kollisionsresistenz. Weit verbreitet waren und sind folgende Hashfunktionen: MD5: (Message Digest 5, Ron Rivest) k = 128 (1992) SHA-1: (Secure Hash Algorithm, entwickelt von NSA) k = 160 (1992/93) Gegen diese Hashfunktionen wurden hinsichtlich starker Kollisionsresistenz in den letzten Jahren erste erfolgreiche Angriffe entwickelt. z. B. Jonx, Wang et. al. seit 2004 SHA-1: Kollisionen feststellen und 2 69 (ggf. sogar 2 63 ) Hashoperationen (anstelle von 2 80 ). NIST (National Institute of Standards and Technology) hat nun Entwicklung einer neuen Hashfunktion als Standard angestoßen (ähnlich wie bei AES). Sieger soll 2012 feststehen. Auf Konstruktionsprinzipien von Hashfunktionen gehen wir hier aus Zeitgründen nicht ein.

30 Codierung & Verschlüsselung Authentifizierung Nachweis bzw. Überprüfung, dass jemand derjenige ist, für den er sich ausgibt. Forderungen: Niemand darf sich als jemand anderer ausgeben können. Verifizierer darf sich nicht als Teilnehmer ausgeben können, der sich vorher gegenüber ihm authentifiziert hat. Möglichkeiten: Authentifizierung durch Wissen Besitz biometrische Merkmale Hier nun die erste Möglichkeit Authentifzierung durch Passwort A wählt Passwort w. Im Computer von B, gegenüber dem sich A authentifizieren will, ist f(w) gespeichert, f ist Einwegfunktion (häufig Hashfunktion). ( Roger Needham 22 ) Oder: Nullstring wird mit Passwort als Schlüssel verschlüsselt und gespeichert. Wichtig: Passwortverzeichnis (also die f(w)) muss gesichert sein. Gefahren: Passwort oft unverschlüsselt übertragen über unsichere Kanäle Gefahr einfacher Passwörter Passwortsicherheit: Gefahreindämmung durch Einmal-Passwörter: Lamport: f n (w), f n 1 (w),..., f i (w) (Lamport 23, 1981) f Einwegfunktion (sicher gegen Replay-Angriff 24 ) Am Anfang sendet A an B f n (w) = w 0 Wichtig: B muss wissen, dass w o von A kommt. Authentifizierung: A sendet f n 1 (w) = w 1 an B. B prüft f(w 1 ) = w Roger Needham: 23 Leslie Lamport: 24 Replay-Angriff:

31 Codierung & Verschlüsselung 27 B ersetzt w 0 durch w 1. Bei der nächsten Authentifizierung sendet A f n 2 (w), etc Challenge-Response-Authentifikation RSA-Verfahren: A möchte sich gegenüber B authentifizieren. P A = (n, e) G A = d Challenge: B r<n Zufallszahl A r d mod n Response: A B B überprüft, ob r de mod n = r 9 Secret Sharing Schemas Geheimnis wird auf mehrere Teilnehmer verteilt (Teilgeheimnisse), so, dass gewisse Teilmengen der Teilnehmer Geheimnis mit ihren Teilgeheimnissen rekonstruieren können, die anderen nicht (z. B. bei Zugangskontrollen, digitale Signaturen durch mehreree Personen, etc). Beispiel: T = {t 1,..., t n }, k < n Jede Teilmenge von T mit mindestens k Teilnehmern soll Geheimnis rekonstruieren können, Teilmengen von T mit weniger als k Teilnehmern nicht: (k, n)-schwellenwertsystem. Konstruktion: (1979 Shamir) Vereinbarung großer Primzahl p, mindestens p n + 1 g Z p = {0,..., p 1} Verteilung der Teilgeheimnisse: Dealer wählt zufällig a 1,..., a k 1 Z p f(x) = g + a 1 x a k 1 x k 1 Z p [x] (a 1,..., a k 1 ) hält er geheim (und natürlich g). Dealer wählt zufällig x 1,..., x n Z p (paarweise verschieden). Teilnehmer t i erhält als Teilgeheimnis (x i, f(x i )). Rekonstruktion(sversuche) des Geheimnises: k Teilnehmer mit Teilgeheimnissen ( x i1, f(x i1 ) ),..., ( x ik, f(x ik ) ) Durch diese Punkte ist f eindeutig bestimmt, z. B. durch Lagrange-Interpolation. f(x) = f(0) = g k j=1 = (x x i 1 )... ( ) ( ) x x ij 1 x xij+1... (x xik ) ( ) ( ) ( ) xij x i1... xij x ij 1 xij x ij+1... (x xik ) g i j

32 Codierung & Verschlüsselung 28 Man kann g natürlich auch direkt berechnen, indem man x = 0 in obige Formel für f(x) einsetzt: g = k x il g ij ( ) xil x ij j=1 l j Weniger als k Teilnehmer: etwa k erzeugen Polynom von Grad k 1 Für jedes h Z p existieren gleich viele Polynome von Grad k 1 durch die vorgegebenen k Punkte, die bei h durch die y-achse gehen. Werden als zu Beginn die x i zufällig gleichverteilt gewählt, so ist die Wahrscheinlichkeit 1 /p, dass k < k Teilnehmer das richtige Geheimnis rekonstruieren. Das ist dieselbe Wahrscheinlichkeit, wie g zu raten. Das Schema ist perfekt. Security c by Randall Munroe (CC-BY-NC-2.5),

33 Codierung & Verschlüsselung 29 Teil III Codierung 10 Grundbegriffe und einfache Beispiele 10.1 Grundbegriffe Codierung (Kanalcodierung) Sicherung von Daten/Nachrichten gegen zufällig auftretende Fehler bei Speicherung/Übertragung. Quelle Kanalcodierung Kanal Decodierer Empfänger Nachricht über Alphabet R Codewort (Folge von Codewärtern über Alphabet S) Störungen Rekonstruktion der Nachricht 1. Codewort finden 2. Nachricht Abbildung 5: Codierung Ziele Möglichst viele Fehler erkennen und ggf. korrigieren Aufwand für (De)Codierung möglichst gering halten Grundprinzip: Hinzufügen von Redundanz Zwei Typen: FEC-Verfahren (Forward Error Correction): werden. Aufgetretene Fehler sollen erkannt und korrigiert Vorteil: keine Verzögerung der Übertragung Nachteil: große Redundanz notwendig ARQ-Verfahren (Automatic Repeat Request): Aufgetretene Fehler sollen erkannt werden, werden aber nicht korrigiert. Stattdessen: Wiederholung der Übertragung beim Sender anfordern. Vorteil: geringe Redundanz Nachteil: Verzögerung

34 Codierung & Verschlüsselung Beispiele (a) Parity-Check-Codes z. B. Nachrichten 00, 01, 10, 11 Codierung: (b) Wiederholungscodes (gerade Anzahl von Einsen in den Codewörtern) 1 Fehler wird erkannt (nicht korrigierbar) 2 Fehler werden nicht erkannt z. B. Nachrichten 00, 01, 10, 11 (wie in 10.2.a) Codierung: (3 Wiederholung) 2 Fehler wurden erkannt 1 Fehler kann korrigiert werden Zwei verschiedene Codewörter unterscheiden sich an mindestens drei Stellen; bei einem Fehler ist das nächstgelegene Codewort das gesendete. (c) Spezieller Code der Länge 5 z. B. Nachrichten 00, 01, 10, 11 (wie in 10.2.a) Codierung: (je zwei Codewörter sind unterschiedlich an mindestens drei Positionen) Angenommen: 1 Fehler tritt bei Übertragung auf. Dann gibt es genau ein Codewort, das sich vom empfangenen Codewort an genau einer Stelle unterscheidet; in das wird decodiert. (d) (Ehemaliger) ISBN-Code ISBN 25 ist ein 10-stelliger Code. Erste 9 Ziffern haben inhaltliche Bedeutung ( = Nachricht). Die 10. Ziffer ist Prüfziffer. Beispiel: 3 }{{} Land - } 540 {{ } Verlag } {{ } interne Buchnummer -? }{{} Prüfziffer (Redundanz) Uncodierte Wörter sind gebildet über R = {0,..., 9}; Codwörter über S = {0,..., 9, X} ISBN-Wort: c 10 c 9 c 8... c 2 c 1 c 10 c 9 c 8... c 2 inhaltliche Bedeutung, c 1 wird so gewählt, dass gilt: 10 k=1 k c k 0 (mod 11) 25 ISBN: International Standard Book Number

35 Codierung & Verschlüsselung 31 c 10 c 9 c 8... c } {{ } 2 c 1 falls c 1 = 10, so setze c 1 = X Beispiel: } 10 {{ 3 } + }{{} }{{} }{{} }{{} }{{} }{{} }{{} }{{} c 1 = 30 = 45 = 32 = 0 = 12 = 30 = 4 = 6 = 2 } {{ } 4 = (mod 11) Das Ändern einer Ziffer wird erkannt. Angenommen, c i wird durch x i ersetzt. Dann lautet die Prüfgleichung: 10 k=1k c k c k + i x i = 10 k=1 k c k } {{ } 0 ( mod 11) i }{{} (c i x i ) } {{ } 0 ( mod 11) 0 ( mod 11) da 11 Primzahl. Fehler wird erkannt. Korrektur ist nicht möglich. Vertauschung von zwei Ziffern wird erkannt. 0 (mod 11), c i und c j vertauscht: c c j i... c i j... c 1 10 k=1 k i,j k c k + i c j + j c i = = 10 k=1 10 k=1 k c k + i (c j c i ) + j (c i c j ) k c k } {{ } 0 ( mod 11) + (c j c i ) } {{ } (i j) } {{ } 0 ( mod 11) 0 ( mod 11) 0 (mod 11) (e) EAN-13-Code Europäische Artikelnummer, 13-stelliger Code. Die ersten 12 Ziffern sind international festgelegt, die 13. Ziffer ist Prüfziffer. R = S = {0,..., 9} c 1... c 12 c 13 c 1... c 12 inhaltliche Angabe c 1 c 2 i. d. R. Herstellerland ( Deutschland) c 3... c 7 i. d. R. Hersteller c 8... c 12 interne Produktnummer c 13 so gewählt, dass c c 2 + c c c c 12 + c 13 0 (mod 10) 1 Fehler wird erkannt x 3x (mod 11) Permutation auf Z 10, da ggt(3, 10) = 1 EAN-13 erkennt aber nicht alle Vertauschungen.

36 Codierung & Verschlüsselung 32 Seit gibt es ISBN-13-Code für Bücher. Er ist kompatibel zu EAN-13. Präfix 978 bzw. 979 vorstellen ( Buchland ). Neue Prüfziffer entsprechend EAN Abbildung 6: Beispiel eines EAN-13 Codewortes Übersetzung in Barcode (Strichcode): c 1 c 2 c 3... c } {{ } 7 c 8... c 12 c } {{ 13 } linke Hälfte rechte Hälfte Jede der Ziffern c 2... c 13 wird durch einen 0-1-String der Länge 7 binär codiert. 0 = weißer Balken, 1 = schwarzer Balken. Codierung sorgt dafür, dass nie mehr als vier weiße oder schwarze Balken nebeneinander stehen. c 2... c 7 werden nach Code A oder Code B codiert. c 1 bestimmt welcher dieser beiden Codes jeweils verwendet wird. c 8... c 13 werden nach Code C codiert. c 1 ergibt sich aus der Art der Codierungen von c 2... c 7. Ziffern Ziffern bestimmt c 2 c 7 c 8 c 13 durch c 1 Zeichen Code A Code B Code C Code D AAAAAA AABABB AABBAB AABBBA ABAABB ABBAAB ABBBAA ABABAB ABABBA ABBABA Tabelle 2: Die vier Codes des EAN-13

37 Codierung & Verschlüsselung Blockcodes Die Beispiele aus Kapitel 10 sind sogenannte Blockcodes, d. h. bei der Codierung werden Wörter einer festen Länge über dem Alphabet S gebildet. Zum Beispiel: Definition: S endliche Menge (= Alphabet), n N. Ein Blockcode C der (Block-)Länge n über S ist Teilmenge von S n = S... S. Die Elemente von C heißen Codewörter. n Ist S = 2, (i. d. R. S = {0, 1}), so binärer Code. C = m, so ist m S n. Dann lassen sich m Informationssymbole (oder Strings von Informationssymbolen) codieren. (Codierungsfunktion) Folge von Informationssymbolen (oder Strings) werden dann in Folge von Codeworten codiert. Definition: S endliches Alphabet, n N a, b S n a = {a 1,..., a n } b = {b 1,..., b n } d(a, b) = {i : 1 i n, a i b i } heißt Hamming-Abstand von a und b. (Benannt nach Richard W. Hamming 26, , Mitbegründer der Codierungstheorie neben Claude E. Shannon 27, ) Eigenschaften: (a) d(a, b) = 0 a = b (b) d(a, b) = d(b, a) (c) d(a, b) d(a, c) + d(c, b) (a i b i a i c i oder b i c i ) (Dreiecksungleichung) (d) Wird x C gesendet und y S n wird empfangen und ist d(x, y) = k, so sind k Fehler aufgetreten Fehlerkorrektur Definition: (a) Hamming-Decodierung für Blockcode C S n : Wird y S n empfangen, so wird y zu einem Codewort x C decodiert, das unter allen Codewörtern minimalen Hamming-Abstand zu y hat. d(x ( ), y) = min d(x, y) x C 26 Richard W. Hamming: 27 Claude E. Shannon:

38 Codierung & Verschlüsselung 34 x muss nicht eindeutig bestimmt sein, z. B.: C = {(0000), (1111)} y = 0011 ( S = 2: Hamming-Decodierung ist bestmöglich, falls jedes Symbol in einem Codewort mit der gleichen Wahrscheinlichkeit p < 1 /2 verändert wird und wenn jedes Codewort gleichwahrscheinlich ist.) (b) C Blockcode in S n : Minimalabstand von C d(c) = min x,x C x x d(x, x) z. B.: C = {(00000), (01101), (10110), (11011)} d(c) = 3 (Ist C = 1, so ist d(c) := n) (c) Ein Blockcode ist t-fehler-korrigierend, falls d(c) 2t + 1 und er heißt t-fehler-erkennend, falls d(c) t + 1 Begründung für die Bezeichnung in (c): Kugel von Radius t um x C: K t (x) = {y S n : d(x, y) t} Ist d(c) 2t + 1, so sind die Kugeln von Radius t um Codewörter disjunkt: Angenommen, es existiert y S n mit y K t (x) K t (x ), x, x C, x x Dann d(x, x ) d(x, y) + d(y, x ) t + t = 2t d(c) 2t + 1 C R n y x t x' t disjunkt K t (x) K t (x ) = x, x C x x y empfangen: falls y in K t (x) liegt für ein x C, so ist x das eindeutig bestimmte nächstgelegene Codewort zu y und y wird nach x decodiert (korrekt, falls maximal t Fehler aufgetreten sind.) falls y in keiner K t (x) liegt, so kann es mehrere Codewörter geben mit gleichem minimalen Abstand zu y. (Dann ist keine eindeutige Decodierung möglich.) t t x x' y Wenn d(c) t+1 und es treten maximal t und mindestens 1 Fehler auf, so ist das empfangene Wort kein Codewort und es wird erkannt, dass Fehler aufgetreten sind.