Kryptologie. Bernd Borchert. Univ. Tübingen, SS Vorlesung. Doppelstunde 3

Transkript

1 Kryptologie Bernd Borchert Univ. Tübingen, SS 2017 orlesung Doppelstunde 3

2 isuelle Kryptographie Sie sehen an den mitgebrachten Folien: + = HALLO! Man kann es aber auch so sehen: die Information wird in zwei Teile zerlegt, die beide jeweils allein keine Information haben: HALLO! = + Wie funktioniert s?

3 isuelle Kryptographie wie funktioniert's? 1.Folie (Zufall) Original-Bild 2.Folie (kein Zufall) Folie = = Quasi wie one-time pad, nur 2-dimensional und visuell entschlüsselt mit OR, nicht EXOR

4 Zusammenfassung Historische erschlüsselungsverfahren A K m B K Einfache erschlüsselungsverfahren für das einfachste Szenario A will B eine geheime Nachricht senden wobei A und B vorher schon ein Geheimnis K ausgetauscht haben. Cäsar Chiffre Monoalphabetische ertauschung Cardano Chiffre igenere Chiffre Homophone Chiffre One-time Pad Lineare Chiffre Affine Chiffre isuelle Kryptographie nicht sicher nicht sicher sicher (bei Einmalverwendung) nicht sicher nicht sicher sicher (bei Einmalverwendung) nicht sicher nicht sicher sicher (bei Einmalverwendung)

5 Angriffstypen A K c K (m) B K ciphertext-only, mit Angriffziel Nachricht: c K (m) liegt vor, und es soll m gefunden werden ciphertext-only, mit Angriffsziel Schlüssel: c K (m 1 ),..., c K (m j ) liegen vor, und es soll Schlüssel K gefunden werden known-plaintext: m 1, c K (m 1 ),..., m j, c K (m j ) liegen vor, und es soll K gefunden werden chosen-plaintext: m 1,..., m j dürfen vom Angreifer gewählt werden, dann werden c K (m 1 ),..., c K (m j ) berechnet, (ggfs. das einige Male iterativ) und dann soll aus m 1, c K (m 1 ),..., m j, c K (m j ) K gefunden werden Alle bisher betrachteten erschlüsselungs-erfahren sind nicht sicher gegen known-plaintext Angriffe, geschweige denn, sicher gegen chosen-plaintext Angriffe.

6 Blockchiffre Eine Blockchiffre verschlüsselt Bitstrings der Länge n in Bitstrings der Länge n, und das für jeden Schlüssel K. Formal ist eine Blockchiffre ist also eine Abbildung c: {0,1} n x {0,1} k --> {0,1} n (Blockgröße n, Schlüsselänge k), so dass für jedes feste K gilt, dass die Abbildung von {0,1} n nach {0,1} n gegeben durch y --> c(y,k) bijektiv ist. Typische Blockgrößen sind n = 68, 128, Der Schlüssel hat ein Größe in der Größenordnung der Blocklänge, aber muss nicht die gleiche Länge haben. Typische Schlüssellängen sind k = 56, 128, 192, 256, Affine Chiffren waren der erste, aber noch nicht überzeugende ersuch einer Blockchiffre, denn eine Blockchiffre sollte gegen chosen-plaintext und known-plaintext Angriffe sicher sein. Gegeben ist ein langer Text und eine Blockchiffre inkl. Blocklänge und Schlüssel. Wie verschlüsselt man den Text? Es gibt verschiedene Betriebsmodi, von denen die wichtigsten 4 hier vorgestellt werden. Der naheliegenste Modus ist der ECB (Elektronic Code Book) Modus: 1. den Text hinten auf Blocklängenvielfaches padden, 2. und dann Block für Block verschlüsseln, 3. die entstandenen Ciphertexte in dieser Reihenfolge aneinanderketten

7 Betriebsmodi ECB Modus Electronic Code Book Modus Plaintext Ciphertext

8 Betriebsmodi Nachteil ECB ECB Pinguin Effekt : Gleiche Blöcke werden auf den gleichen Chiffre-Blöcke abgebildet. Das kann eine Information für den Angrefier bedeuten. Bei Bildern ist das z.b. fatal, siehe das Beispiel.

9 Betriebsmodi CBC Modus Cipher Block Chaining Modus Plaintext: I Ciphertext:

10 Betriebsmodi orteil CBC ECB CBC

11 Betriebsmodi CFB Modus Cipher Feedback Modus Plaintext: I Ciphertext:

12 Betriebsmodi OFB Modus Output Feedback Modus Plaintext: I Ciphertext: orteil: der String, mit dem ge-exor-ed wird, kann schon im oraus berechnet werden

13 Betriebsmodi ECB CBC CFB OFB

14 Zusammenfassung Betriebsmodi --> Betriebsmodus wählen: ECB, CBC, CFB, oder OFB Nachteile - ECB Pinguin Effekt - CBC, CFB, OFB brauchen I vergrößert Datengröße und den erwaltungsaufwand orteile - bei CFB und OFB muss nicht auf Blockgröße gepaddet werden - bei OFB kann das ganze feedback im oraus berechnet werden. OFB stellt somit eigentlich eine typische sog. Stromchiffre dar