Inhaltsverzeichnis. I Vorbemerkung 1. II Kryptologie 2. 1 Inhalt Kryptologie Codierungstheorie Literatur...

Transkript

1 Inhaltsverzeichnis I Vorbemerkung Inhalt. Kryptologie Codierungstheorie Literatur II Kryptologie 2 2 Grundbegriffe und einfache Verfahren 2 2. Beispiel für (nicht sicheres) symmetrisches Verfahren Zusammenfassung One-Time-Pad und perfekte Sicherheit 5 3. Lauftextverschlüsselung One-Time-Pad Perfekte Sicherheit des One-Time-Pads Symmetrische Blockchiffren 7 5 Affin-lineare Chiffren 8 5. Vorbemerkung zu affin-linearen Chiffren Affin-lineare Chiffren Known-Plaintext-Angfriff auf affin-lineare Chiffren Der Advanced Encryption Standard (AES) 2 6. Hilfsmittel Der Rijndael-Algorithmus im Detail Sub-Bytes Transformation Shift-Rows Transformation Mix-Columns Transformation Schlüsselerzeugung Entschlüsselung Zusammenfassung Public-Key-Systeme 7 7. RSA-Verfahren Schlüsselerzeugung für Teilnehmer A Verschlüsselung Entschlüsselung Wie berechnet man schnell modulare Potenzen? Sicherheit Wie bestimmt man große Primzahlen? Diffie-Hellman-Verfahren zur Schlüsselvereinbarung Man-in-the-middle Angriff

2 Codierung & Verschlüsselung ElGamal-Public Key Verfahren Signaturen, Hashfunktionen, Authentifizierung RSA-Signatur Vereinfachte Version der RSA-Signatur RSA-Signatur mit Hashfunktion Authentifizierung Authentifzierung durch Passwort Challenge-Response-Authentifikation Secret Sharing Schemas 27 III Codierung 29 Grundbegriffe und einfache Beispiele 29. Grundbegriffe Beispiele Blockcodes 33. Fehlerkorrektur Perfekte Codes Kugelpackungsschranke und Charakterisierung perfekter Codes Beispiele perfekter Codes Lineare Codes Definition und einfache Beispiele Erzeugermatrizen Kontrollmatrizen Kontrollmatrizen und Minimalabstand Syndrom-Decodierung linearer Codes Beispiele guter linearer Codes Hamming-Codes Reed-Solomon-Codes MDS-Codes Codierung von Audio-CDs Bündelfehler und Auslöschungen Cross-Interleaving Audio-CD Datenspeicherung auf Audio-CDs

3 Codierung & Verschlüsselung 4 Trotzdem unsicher! Grund: Charakteristische Häufigkeitsverteilung von Buchstaben in natürlichsprachlichen Texten. Bei genügend langem Chiffretext: Häufigster Buchstabe in Chiffretext = E. Für die 2 häufigsten Buchstaben bleiben dann nur wenige Möglichkeiten. Außerdem: Digrammhäufigkeiten benutzen. Inhaltliche Analyse liefert dann meist schon den Klartext. Wir sehen an diesem Beispiel: Verschlüsselungsverfahren beinhaltet viele Verschlüsselungsmöglichkeiten, die jeweils durch einen Schlüssel festgelegt sind. Kommunikationspartner müssen sich zunächst grundsätzlich über das Verschlüsselungsverfahren einigen. Vor der Übertragung müssen Schlüssel auf sicherem Wege vereinbart werden \(entfällt bei Public- Key-Verfahren). k d muss geheim gehalten werden. Das Verfahren lässt sich im Allgemeinen nicht geheim halten (und sollte auch nicht geheim gehalten werden Praxistest!). Buchstabe Häufigkeit E 7,5% 27% N 9,8% I 7,7% R 7,2% S 7,% 35% A 6,5% T 6,% D 4,9% H 4,5% U 4,3% L 3,5% 28% G 3,% C 2,9% O 2,7% M 2,5% B,9% F,7% W,7% K,3% Z,% P,9% % V,8% J,3% Y } X,% Q Tabelle : Häufigkeitsverteilung der Buchstaben in deutschsprachigen Texten 2.2 Zusammenfassung Verschlüsselungsverfahren beinhalten viele Verschlüsselungsmöglichkeiten, abhängig von der Auswahl des Schlüssels. Das Verfahren ist bekannt, aber der Schlüssel k d bleibt geheim! Prinzip von Kerckhoffs 3 (835-93) Sicherheit eines Verschlüsselungverfahrens darf nicht von der Geheimhaltung des Verfahrens sondern nur von der Geheimhaltung des verwendeten Schlüssels abhängen! Symmetrische Verfahren Schlüssel muss auf sicherem Wege ausgetauscht werden. Warum dann nicht die ganze Nachricht? Nachricht lang, Schlüssel kurz Zeitpunkt der Schlüsselübergabe frei wählbar Schlüssel kann ggf. mehrfach verwendet werden Mit Hilfe von Public-Key-Verfahren kann man Schlüssel ohne Gefahr austauschen (hybride Verfahren) 3 Kerckhoffs Prinzip:

4 Codierung & Verschlüsselung 8 5 Affin-lineare Chiffren 5. Vorbemerkung zu affin-linearen Chiffren n m-matrix a... a m a 2... a 2m..... a n... a nm m-matrix ( a... ) a m Zeilenvektor n -Matrix a. a n Spaltenvektor a ij R, R Ring, z. B. a ij Z oder a ij R n m-matrizen A, B a... a m b... b m a n... a nm b n... b nm = a + b... a m + b m..... a n + b n... a nm + b nm A B A B n m m l n l c... c l A B =..... c n... c nl c ij = a i b j + a i2 b 2j a im b mj (A + B) C = A C + B C A (B + C) = A B + A C i. Allg.: A B B A Quadratische Matrizen ( ) n n : E n = A E n = E n A = A A sei n n-matrix über dem kommutativen Ring R mit Eins. Es existiert inverse Matrix A mit A A = A A = E n, wenn det(a) in R bzgl. der Multiplikation ein Inverses besitzt. ( ) a a Matrix det(a) = = a a 22 a 2 a 2 a 2 a 22 Allgemein kann man die Determinante einer n n-matrix z. B. mit der Leibniz-Formel berechnen. det(a) b... det(a) b m A =..... b ij = ( ) i+j det(a ji ) det(a) b n... det(a) b nm

5 Codierung & Verschlüsselung 9 A ji ist (n ) (n )-Matrix, die aus A durch Streichen der j-ten Zeile und i-ten Spalte entsteht. ( ) ( ) a a 2 A = A = a 2 a 22 det(a) a 22 a 2 a 2 a R = Z k = {,,..., k} Addition und Multiplikation 8 in Z k (, ) r Z k invertierbar bzgl. Multiplikation ggt(r, k) = Beispiel: Z 6 = {,, 2, 3, 4, 5} 5 = 5 = Also: A n n-matrix über Z k. Dann: A invertierbar ggt ( det(a), k ) =. 5.2 Affin-lineare Chiffren Klartextalphabet = Chiffretextalphabet = Z k, k N (z. B. k = 2, k = 26) Klartext = Elemente in Z k Entscheidend für affin-lineare Chiffren: Addition und Multiplikation in Z k = normale Addition und Multiplikation in Z k und anschließend mod k reduzieren. Z k ist kommutativer Ring mit Eins. Wähle n n-matrix A über Z k und Zeilenvektor b der Länge n über Z k Schlüssel Blockchiffre der Länge n Block = Zeilenvektor der Länge n über Z k Klartextblock: v Chiffretextblock: w = v A + b n n n n n Verschlüsselung: v va + b = w Wann ist die Chiffrierung v va+b injektiv? (d. h.: Wann gibt es eine Umkehrabbildung?) va + b = w, w b = va. Falls A invertierbar ist (d. h. es existiert A mit A A = E n ), so v = (w b)a. Also: Entschlüsselung: w (w b)a = v Genau dann ist A invertierbar, wenn det(a) in Z k invertierbar ist, d. h., wenn ggt ( det(a), k ) =. Ist k = p, so ist Z p ein Körper. Dann ist det(a) invertierbar, genau dann, wenn det(a). (Wenn immer b = gewählt wird: lineare Chiffren, Hill-Chiffren) Beachte: Ist v = (v,..., v n ) und va + b = (w,..., w n ), so hängt jedes w i i. d. R. von allen v,..., v n ab ( gute Diffusion). Es handelt sich also nicht um Substitutionschiffre wie in in Kapitel 2, wo jedes Element des Alphabets Z k einzeln substituiert wird. 8 normale Addition bzw. Multiplikation von ganzen Zahlen und anschließend mod k reduzieren.

6 Codierung & Verschlüsselung ( ) 3 Beispiel: A = 3 2 det(a) = mod 6 = mod 6 = Z 6 (Blockchiffre der Länge 2) det(a) = det(a) = 5 ( ) ( ) A = 5 = ( ) ( ) ( ) Test: A A = = = über Z 6 = über Z 6 ( ) ( ) Verschlüsselung: ( ) 3 Schlüssel A = 3 2 Chiffretextblock w = b = ( ) 3 5 ( ( ) ) Klartextblock v = ( ) 2 ( ) ( ) ( ) ( ) = = 4 Entschlüsselung: Klartextblock v = (w b)a = ( ) ( ) = ( ) Known-Plaintext-Angfriff auf affin-lineare Chiffren. Z 2 : n 2 + n Bit zur Speicherung eines Schlüssels. Wie viele invertierbare n n-matrizen über Z 2, z. B. mit n = 64, existieren? (2 64 ) (2 64 2)... ( ), Große Anzahl von Möglichkeiten! Dennoch: Verfahren ist unsicher gegenüber Known-Plaintext-Angfriff: (A, b) Schlüssel, A invertierbare n n-matrix über Z k, b Z n k Angenommen Angreifer kennt n + Klartext-Chiffretextpaare verschlüsselt mit (A, b). Dann kann er häufig (A, b) bestimmen. v v w w v V = 2 v w n n-matrix Ang: V ist invertierbar Setze W = 2 w.. v n v w n w

7 Codierung & Verschlüsselung V A = bekannt (v v )A. (v n v )A = v A + b (v A + b). v n A + b (v A + b) = Da V bekannt, also auch V : A = V W b = w v A w w. w n w = W bekannt Beispiel n = 2, k = 26 HE RB ST }{{} }{{} 8 } {{ 9 } v v v 2 NE BL IG 3 }{{} 4 }{{} }{{} 8 6 w w w 2 {A-Z} { 25} v v = v 2 v = ( ) ( ) ( ) 7 7 = 4 3 ( ) ( ) ( ) 8 7 = ( ) ( ) V = W = 3 23 = 5 5 ( ) ( ) = det(v ) = = 83 ( ) ( (mod 26) ) V = = 5 A = V W = b = w v A = ( ) ( ( ) ( ) ) ( ) = = ( ) 3 7 ( ) = 4 2 ( ) Test: v A + b = w v 2 A + b = w 2! Hintereinanderausführung von einem Chiffrierverfahren (mit unterschiedlichen Schlüsseln) ist sinnlos, wenn das Verfahren die Gruppeneigenschaft hat. Affin-lineare Chiffren haben die Gruppeneigenschaft: v va + b = w w wb + c = (va + b)b + c = vab } {{ } A + bb + c } {{ } b Hintereinander ausführung zweier affin-linearer Chiffren ist wieder affin-lineare Chiffre.

8 Codierung & Verschlüsselung 2 6 Der Advanced Encryption Standard (AES) Seit 7 er Jahren: DES 9 (Blocklänge 64 Bit, Schlüssellänge 56 Bit) Gute Blockchiffre, Ende der 9 er Jahre unsicher wegen möglicher Brute-Force-Angriffe. 997: Neue Ausschreibung durch NIST für Nachfolger von DES. 2: Wahl von Rijndael -Verfahren für neuen AES 2, benannt nach den Erfindern J. Daemen 3 und V. Rijmen 4 22: Publikation als Standard: FIPS 5 PUB 97 AES ist sogenannte iterierte Blockchiffre. Mögliche Blocklänge: 28, 92, 256 Mögliche Schlüssellänge: 28, 92, 256 (unabhängig voneinander) Anzahl der Runden (abhängig von gewählten Block- und Schlüssellängen):, 2, 4 Wir behandeln den Fall: b = 28, k = 28, r = Vorbemerkung: 28 Bit Blöcke werden dargestellt als a a a 2 a 3 a a a 2 a 3 jedes a ij ist ein Byte a 2 a 2 a 22 a 23 a 3 a 3 a 32 a 33 28er Block wird spaltenweise gelesen: a a a 2 a 3 a a a 2 a 3 a 2 a 2 a 22 a 32 a 3 a 3 a 23 a 33 Zur Beschreibung des AES benötigen wir einige Hilfsmittel über endliche Körper. 9 Data Encryption Standard: National Institute of Standards and Technology: Rijndael: 2 Advanced Encryption Standard: 3 Joan Daemen: 4 Vincent Rijmen: 5 Federal Information Processing Standards Publications:

9 Codierung & Verschlüsselung 3 6. Hilfsmittel Endliche Körper: Einfachste Möglichkeit Z p (p Primzahl). Beim AES benötigt man jedoch F 2 8, einen Körper mit 2 8 = 256 Elementen. F 2 8 besteht aus allen Polynomen vom Grad < 8 über Z 2. b 7 x b x + b, b i Z 2 (b 7, b 6,..., b ) Byte Addition: + (normale Addition von Polynomen) Multiplikation: (normale Multiplikation von Polynomen und dann reduzieren modulo eines irrduziblen Polynoms von Grad 8 über Z 2. Beim AES wird h = x 8 + x 4 + x 3 + x + verwendet.) (x 7 + x + ) (x 3 + x) = x + x 8 + x 3 + x 2 + x mod x 8 + x 4 + x 3 + x + ( x + x 8 + x 3 + x 2 + x) : (x 8 + x 4 + x 3 + x + ) = x 2 + x 7 + x 6 + x 5 + x 3 + x 2 x 8 + x 6 + x 5 + x 4 + x x 8 + x 4 + x 3 + x + x 6 + x 5 + x 3 + das ist der Rest (x 7 + x + ) (x 7 + x) = x 6 + x 5 + x 3 + Damit wird F 2 8 ein Körper, d. h. jedes Element hat ein Inverses bzgl. Multiplikation. Das Inverse von g lässt sich mit dem erweiterten Euklidischen Algorithmus für Polynome berechnen: g grad(g) 7 h = x 8 + x 4 + x 3 + x + irreduzibel ggt(g, h) = EEA: u, v Z 2 [x] u g + v h = u mod h = g g g = ( (u mod h) g ) mod h = u g mod h = ( vh) mod h = mod h = Der Aufbau des Rijandal-Verfahrens (AES) ist in Abbildung 4 auf Seite 4 angegeben. Wir beschreiben im Folgenden die einzelnen Teile.

10 Codierung & Verschlüsselung 4 Klartextblock 28 Bit Schlüssel 28 Bit Schlüsselexpansion auf 28* = 48 Bit + K 28 Bit Si- S 28 Bit SubBytes Runde ShiftRows + K 28 Bit MixColumns nicht in der. Runde S 28 Bit + Ki Runde 2 Si + K2 28 Bit S9 28 Bit Runde + K 28 Bit Chiffretextblock 28 Bit Abbildung 4: Schematischer Ablauf des Rijndael-Verfahrens

11 Codierung & Verschlüsselung Der Rijndael-Algorithmus im Detail 6.2. Sub-Bytes Transformation a... a 3 s i =....., a ij Bytes Sei g einer dieser Bytes, g = (b 7 b 6... b ), b i Z 2. a 3... a 33. Schritt Fasse g als Element in F 2 8 auf Ist g = (,..., ), so lasse g unverändert Ist g (,..., ), so ersetze g durch g via Table-Lookup 2. Schritt Ergebnis nach Schritt : g wird folgendermaßen transformiert ga + b = g (affin-lineare Transformation) A = zyklischer Shift der ersten Zeile... um eine Stelle nach rechts, etc ( ) b = Shift-Rows Transformation Nach Sub-Bytes erhält man eine 4 4-Matrix von Bytes. Auf deren Zeilen weren die angegebenen zyklischen Shifts angewandt. a b c d unverändert e f g h. Stelle nach links (zyklisch) i j k l 2. Stelle nach links (zyklisch) m n o p 3. Stelle nach links (zyklisch) a b c d f g h e k l i j p m n o Mix-Columns Transformation 4 4-Matrix. Einträge als Elemente in F 2 8 auffassen. x x + x x + Multiplikation von links mit Matrix x x + x + x ( ) Multiplikation der Einträge in F 2 8. x =

12 Codierung & Verschlüsselung Schlüsselerzeugung Ausgangsschlüssel hat 28 Bit. Schreibweise 4 4-Matrix von Bytes. 4 Spalten: w(), w(), w(2), w(3) Defin. 4 Spalten à 4 Bytes w(i ) sei schon definiert. 4 i : w(i) = w(i 4) w(i ) (Byteweise XOR) 4 i : w(i) = w(i 4) T (w(i )) T ist folgende Transformation: a Sei w(i 4) = b c a, b, c, d Bytes d Wende auf b, c, d, a Sub-Bytes Transformation an: b, c, d, a e, f, g, h ( ) i 4 4 Setze v(i) =... in F 2 8 e v(i) f T (w(i )) = g h Rundenschlüssel k i : 4 4-Matrix mit Spalten: w(4i), w(4i + ), w(4i + 2), w(4i + 3), i =,..., Entschlüsselung Alle einzelnen Transformationen sind invertierbar. Man kehrt also den Algorithmus um und ersetzt alle Transformationen durch ihre Inversen. 6.3 Zusammenfassung AES ist ein schnelles Verschlüsselungsverfahren. Es hat gute Diffusionseigenschaften: nach zwei Runden hängt jedes Bit von jdem Bit des Ausgangsblocks ab. Bisher sind keine praktikablen Angriffe gegen den AES gefunden worden.

13 Codierung & Verschlüsselung 8 [ nicht teilerfremd zu n: p, 2 p, 3 p,..., (q ) p, q p = n q, 2 q, 3 q,..., (p ) q, p q = n (p ) + (q ) + ϕ(n) = n p q + = pq p q = (p ) (q ) ] Wähle e < ϕ(n) mit ggt (e, ϕ(n)) =. (Wie? Zufallswahl und dann mit dem Euklidschen Algorithmus ggt(e, ϕ(n)) bestimmen.) Öffentlicher Schlüssel: P A = (n, e) (p, q bleiben geheim) Wähle d < ϕ(n) mit e d (mod ϕ(n)) (d. h. ϕ(n) e d, ed = + k ϕ(n) für k N) (Wie? Wende den erweiterten euklidischen Algorithmus auf e, ϕ(n) an. Liefert u, v Z mit ue + vϕ(n) = ggt(e, ϕ(n)) =.) d = u mod ϕ(n), denn ed mod ϕ(n) = e (u mod ϕ(n)) mod ϕ(n) = ue mod ϕ(n) = ( vϕ(n)) mod ϕ(n) = Geheimer Schlüssel: G a = d 7..2 Verschlüsselung B Nachricht A. Codiere Nachricht als Zahl. Zerlege in Blöcke, deren Zahlenwert < n. Sei m so ein Block (m < n). m e mod n = c \(Chiffretext\) 7..3 Entschlüsselung c d mod n! = m warum? Gültigkeit basiert auf Kleinem Satz von Fermat: r Primzahl, ggt(a, r) = (d. h. r a), so a r (mod r). Sei m < n = pq. c = m e mod n, c d mod n = m ed mod n. ed = + kϕ(n) = + k(p )(q ) Ist p m, so m ed = m +k(p )(q ) = m ( m p ) } {{ } k(q ) m (mod p) ( mod p) Ist p m, so m m ed (mod p) In jedem Fall: m ed m (mod p). Genauso: m ed m (mod q)

14 Codierung & Verschlüsselung = ( ((( ) 2 ) ) 2 ) ( 3) 2 9 (mod 299) ( 3) = 27 (mod 299) ( 27) (mod 299) ( 27) = 76 8 (mod 299) ( 27) ( 3) (mod 299) ( 55) 2 = (mod 299) (mod 299) ( 3) = (mod 299) mod 299 = 22 = m Sicherheit (a) Falls p, q bekannt ϕ(n), d bekannt Aber: Faktorisierung ist ein schweres Problem. Wenn Angreifer ϕ(n) kennt, kann er d bestimmen. Die Bestimmung von ϕ(n) ist aber genauso schwierig wie die Faktorisierung von n: p, q bekannt ϕ(n) = (p ) (q ) bekannt. ϕ(n) bekannt p, q bekannt: ϕ(n) = n p q + bekannt s = p + q bekannt, pq = n bekannt, p(s p) = n p 2 sp + n = quadratische Gleichung für p Es gilt sogar: Die Bestimmung von d, die Bestimmung von ϕ(n) und die Bestimmung der Faktorisierung von n sind gleich schwer. Komplexität der besten Faktorisierungsalgorithmen: O(e c(log n) 3 (log log n) 2 3 ) RSA Challenge: 64 Bit Zahl, Faktorisierung: 3 CPU-Jahre auf 2,2 GHz-Prozessor. Es ist unbekannt, ob die Bestimmung von m aus c nur mit Kenntnis von e und n genauso schwierig ist wie die Faktorisierung von n. (b) Häufig wird e = 3 gewählt, falls ggt ( 3, ϕ(n) = ). Dies birgt eine Gefahr. Angenommen A, A 2, A 3 haben in ihrem öffentlichen Schlüssel jeweils e = 3 gewählt. m A (n, 3) m B A 2 (n 2, 3) Angenommen: ggt(n i, n j ) = m A 3 (n 3, 3) c = m 3 mod n c 2 = m 3 mod n 2 c 3 = m 3 mod n 3 Eve fängt c, c 2, c 3 ab. Chinesischer Restsatz: Es existiert eindeutig bestimmtes x mit x n n 2 n 3 mit x c i (mod n i ), i =, 2, 3 m 3 c i mod n i, m 3 < n n 2 n 3 x = m 3 3 x = m (schnell!)

15 Codierung & Verschlüsselung Wie bestimmt man große Primzahlen? p Primzahl, a Z ggt(a, p) =, so a p (mod n) (kleiner Satz von Fermat) Fermat-Test: Gegeben n. Wähle a < n. Teste ob ggt(a, n) = und a n (mod n). Wenn nicht, so ist n keine Primzahl. Wenn ja, so keine Aussage möglich. Wähle neues a! Es gibt unendlich viele zusammengesetzte Zahlen n mit a n ( mod n) für alle a mit ggt(a, n) =, die sog. Carmichael-Zahlen 2. Besserer Test: Miller-Rabin-Test: a 2s t (mod p) Grundidee: Sei p 2 Primzahl, a N, ggt(a, p) =, p = 2 s t, 2 t b = a 2s t b 2 ( ) 2 (mod p) b mod p = in Zp d. h.: b mod p ist Nullstelle von x 2 Z p [x] a 2s t { + mod p mod p Indem man so fortfährt, erhält man: Entweder a t (mod p) oder a 2i t (mod p) für ein i < s Teste dies mit n statt p. Man kann zeigen: Wenn n keine Primzahl ist, dann gibt es mindestens 3 4ϕ(n) viele a, so dass n den Test mit a nicht besteht: Zeugen gegen die Primzahleigenschaft von n. Im Allgemeinen testet man n nur mit wenigen a. Dies führt zu einem probabilistischem Primzahltest. (Schnelles Verfahren) Siehe: Diffie-Hellman-Verfahren zur Schlüsselvereinbarung p Primzahl, Z p = Z p \{} Gruppe bzgl. Multiplikation, zyklisch g Z p : { g, g, g 2,..., g p 2} } {{ } = Z p gp (mod p) in Z p g heißt Primitivwurzel mod p a p 2 : a g a mod p Kandidat für Einwegfunktion g a mod p a (diskreter Logarithmus) ist nach heutigem Stand schwer! Erste Anwendung: A, B wollen gemeinsammen Schlüssel k für ein symmetrisches Verfahren vereinbaren; es steht nur unsicherer Kommunikationskanal zur Verfügung. 2 Carmichael-Zahl:

16 Codierung & Verschlüsselung 22 Lösung: Wähle Primzahl p (Bitlänge mindestens 24 Bit) und Primitivwurzel g mod p. p, g können öffentlich bekannt sein. (a) A wählt zufällig a {2,..., p 2} A berechnet x = g a mod p (a geheim halten!) (b) B wählt zufällig b {2,..., p 2} B berechnet y = g b mod p (b geheim halten!) x=g a mod p (c) A B y=g b mod p B A A: y g mod p = g ba mod p = k B: x g mod p = g ab mod p = k Sicherheit: Angreifer: kennt p, g, g a mod p, g b mod p gesucht: g ab mod p Einzig bekannte Möglichkeit: Berechne a aus g a : (g b ) a mod p = k 7.2. Man-in-the-middle Angriff M A B M fängt g a und g b ab, wählt c {2,..., p 2} und sendet g c mod p an A und B. } A: k A = g ca mod p B: k B = g cb glauben: gemeinsamer Schlüssel beide Schlüssel kennt M mod p Schickt A Nachricht an B, verschlüsselt mit k A, so kann M sie abfangen, entschlüsseln, lesen, ggf. verändern und mit k B verschlüsselt an B senden. B kann mit k B entschlüsseln und schöpft keinen Verdacht. Angriff vermeidbar mit Authentifizierungsmethode (siehe Kapitel 8). 7.3 ElGamal-Public Key Verfahren Schlüsselerzeugung A: wählt p, g wie bei Diffie-Hellman-Verfahren. Öffentlicher Schlüssel: (p, g, x) wählt a {2,..., p 2}, x = g a mod p Geheimer Schlüssel: a Verschlüsselung Klartext m: m p B m A B: wählt zufällig b = {2,..., p 2}, y = g b mod p berechnet x b mod p und f = m x b mod p sendet (y, f) an A

17 Codierung & Verschlüsselung 3.2 Beispiele (a) Parity-Check-Codes z. B. Nachrichten,,, Codierung: (b) Wiederholungscodes (gerade Anzahl von Einsen in den Codewörtern) Fehler wird erkannt (nicht korrigierbar) 2 Fehler werden nicht erkannt z. B. Nachrichten,,, (wie in.2.a) Codierung: (3 Wiederholung) 2 Fehler wurden erkannt Fehler kann korrigiert werden Zwei verschiedene Codewörter unterscheiden sich an mindestens drei Stellen; bei einem Fehler ist das nächstgelegene Codewort das gesendete. (c) Spezieller Code der Länge 5 z. B. Nachrichten,,, (wie in.2.a) Codierung: (je zwei Codewörter sind unterschiedlich an mindestens drei Positionen) Angenommen: Fehler tritt bei Übertragung auf. Dann gibt es genau ein Codewort, das sich vom empfangenen Codewort an genau einer Stelle unterscheidet; in das wird decodiert. (d) (Ehemaliger) ISBN-Code ISBN 25 ist ein -stelliger Code. Erste 9 Ziffern haben inhaltliche Bedeutung ( = Nachricht). Die. Ziffer ist Prüfziffer. Beispiel: 3 }{{} Land - } 54 {{ } Verlag } {{ } interne Buchnummer -? }{{} Prüfziffer (Redundanz) Uncodierte Wörter sind gebildet über R = {,..., 9}; Codwörter über S = {,..., 9, X} ISBN-Wort: c c 9 c 8... c 2 c c c 9 c 8... c 2 inhaltliche Bedeutung, c wird so gewählt, dass gilt: k= k c k (mod ) 25 ISBN: International Standard Book Number

18 Codierung & Verschlüsselung 3 c c 9 c 8... c } {{ } 2 c falls c =, so setze c = X Beispiel: } {{ 3 } + }{{} }{{} }{{} 7 + }{{} }{{} }{{} 4 + }{{} }{{} 2 + c = 3 = 45 = 32 = = 2 = 3 = 4 = 6 = 2 } {{ } 4 = 6 (mod ) Das Ändern einer Ziffer wird erkannt. Angenommen, c i wird durch x i ersetzt. Dann lautet die Prüfgleichung: k=k c k c k + i x i = k= k c k } {{ } ( mod ) i }{{} (c i x i ) } {{ } ( mod ) ( mod ) da Primzahl. Fehler wird erkannt. Korrektur ist nicht möglich. Vertauschung von zwei Ziffern wird erkannt. (mod ), c i und c j vertauscht: c... c j i... c i j... c k= k i,j k c k + i c j + j c i = = k= k= k c k + i (c j c i ) + j (c i c j ) k c k } {{ } ( mod ) + (c j c i ) } {{ } (i j) } {{ } ( mod ) ( mod ) (mod ) (e) EAN-3-Code Europäische Artikelnummer, 3-stelliger Code. Die ersten 2 Ziffern sind international festgelegt, die 3. Ziffer ist Prüfziffer. R = S = {,..., 9} c... c 2 c 3 c... c 2 inhaltliche Angabe c c 2 i. d. R. Herstellerland ( Deutschland) c 3... c 7 i. d. R. Hersteller c 8... c 2 interne Produktnummer c 3 so gewählt, dass c + 3 c 2 + c c c + 3 c 2 + c 3 (mod ) Fehler wird erkannt x 3x (mod ) Permutation auf Z, da ggt(3, ) = EAN-3 erkennt aber nicht alle Vertauschungen.

19 Codierung & Verschlüsselung 32 Seit..27 gibt es ISBN-3-Code für Bücher. Er ist kompatibel zu EAN-3. Präfix 978 bzw. 979 vorstellen ( Buchland ). Neue Prüfziffer entsprechend EAN Abbildung 6: Beispiel eines EAN-3 Codewortes Übersetzung in Barcode (Strichcode): c c 2 c 3... c } {{ } 7 c 8... c 2 c } {{ 3 } linke Hälfte rechte Hälfte Jede der Ziffern c 2... c 3 wird durch einen --String der Länge 7 binär codiert. = weißer Balken, = schwarzer Balken. Codierung sorgt dafür, dass nie mehr als vier weiße oder schwarze Balken nebeneinander stehen. c 2... c 7 werden nach Code A oder Code B codiert. c bestimmt welcher dieser beiden Codes jeweils verwendet wird. c 8... c 3 werden nach Code C codiert. c ergibt sich aus der Art der Codierungen von c 2... c 7. Ziffern Ziffern bestimmt c 2 c 7 c 8 c 3 durch c Zeichen Code A Code B Code C Code D AAAAAA AABABB 2 AABBAB 3 AABBBA 4 ABAABB 5 ABBAAB 6 ABBBAA 7 ABABAB 8 ABABBA 9 ABBABA Tabelle 2: Die vier Codes des EAN-3

20 Codierung & Verschlüsselung 35 Beispiel: (a) n-facher Wiederholungscode s s s... s s n s n s n... s n n (b) ISBN, EAN-Codes: C = {(s, s,..., s) : s S} n -Fehler-korrigierend 2 d(c) = n d(c) = 2 -Fehler-erkennend.2 Perfekte Codes Definition: Code C S n heißt perfekt, falls es ein t N gibt mit der Eigenschaft S n = K t (x) und K t (x) K t (x ) = für alle x, x C, x x. Dann ist d(c) = 2t +, falls C > : Angenommen d(c) 2t. Wähle x, x C, x x mit d(x, x ) = d(c) 2t. (x, x existieren, da C > ) Wähle y S n mit d(x, y) = t, d(y, x ) t y K t (x) K t (x ) Also: d(c) 2t + Wähle x C. Wähle y S n mit d(x, y) = t +. Es existiert x C mit y K t (x ). Klar: x x. d(x, x ) d(x, y) + d(y, x ) + d(y, x ) t + + t = 2t + d(c) 2t + x C.2. Kugelpackungsschranke und Charakterisierung perfekter Codes Lemma: S = q, x S n, t N Dann ist K t (x) = t i= ( ) n (q ) i i Beweis: Abstand i > zu x x x 2 Abstand zu x: Wort \(nämlichx): ( n ) (q ) = i x n Anzahl der Auswahl von i Positionen aus n Positionen: ( ) n i An jeder Position q Änderungsmöglichkeiten insgesamt (q ) i Möglichkeiten Anzahl der Wörter von Abstand i von x: ( ) n i (q ) i

21 Codierung & Verschlüsselung 36 Satz: Sei C ein Code der Länge n über S, C >, S = q. d(c) Sei t N maximal mit d(c) 2t +, also t = 2 (a) (Kugelpackungsschranke) C t i= q n ( n i) (q ) i (b) C ist perfekt in (a) gilt Gleichheit, d. h. C = t i= q n ( n i) (q ) i Beweis: (a) d(c) 2t +, daher K t (x) K t (x ) =, für alle x, x C, x x. Also: S n K t (x) x C q n = S n K t (x) = x C x C K t (x) = Lemma C t i= ( ) n (q ) i i (b) d(c) = 2t + S n = K t (x) x C Gleichheit Gleichheit S n = Kt (x) C perfekt.2.2 Beispiele perfekter Codes Trivale Beispiele: einelementige Codes (t = n) C = S n n-facher Wiederholungs-Code über Z 2, n = 2t + C = { } (... ), (... ) n n Es gibt auch nicht-triviale Beispiele. Wir geben eines an und gehen später nochmals darauf ein. Binärer Hamming-Code der Länge 7 S = Z 2 = {, } C perfekt d(c) = 3 C = 6 C = { (c,..., c 7 ) : c i Z 2, c + c 4 + c 6 + c 7 = Rechnen in Z 2 c 2 + c 4 + c 5 + c 7 = c 3 + c 5 + c 6 + c 7 = } Z 7 2 C ist Unterraum von Z 7 2.

22 Codierung & Verschlüsselung 37 dim(c) = 4 c 4, c 5, c 6, c 7 frei wählbar c, c 2, c 3 festgelegt ( ) Basis: ( ) ( ) erste drei Positionen C = 2 4 = 6 ( ) Noch zu zeigen: d(c) = 3. Allgemein gilt: Sei B irgendein binärer Code mit d(b) = d. Wähle x, x B mit d(x, x ) = d. Translationsinvarianz der Metrik: d = d(x, x ) = d(x + x, x + x) = d(, x + x } {{ } ) B wt(x) = Anzahl der Einsen in x = d(, x) d(b) = min x B x wt(x) d(c) = 3: Jeder Vektor in C enthält mindestens 3 Einsen. Dies weist man nach durch Überprüfen aller 5 von verschiedenen Codewörter oder durch Analyse der Gleichungen. Prüfe nach, ob bei Kugelpackungsschranke Gleichheit gilt: t i= q n ( n i) (q ) i = q=2 t= n= ( 7 ) = = 24 = 6 = C C perfekt 2 Lineare Codes 2. Definition und einfache Beispiele Definition: Sei K ein endlicher Körper, n N. Ein linearer Code C der Länge n ist Unterraum von K n (Zeilenvektoren). Alphabet = K. Ist dim(c) = k, so heißt C [n, k]-code. Ist d(c) = d, so [n, k, d]-code. Beachte K = q C = q k Informationsrate 28 von C: k n Bemerkung über endliche Körper (a) p Primzahl, Z p ist endlicher Körper der Ordnung p (b) K endlicher Körper K = p m, p Primzahl, m N (c) Zu jeder Primzahlpotenz existiert (bis auf Isomorphie) genau ein Körper der Ordnung p m (d) f sei ein irreduzibles Polynom von Grad m über Z p. 28 kurz: Rate

23 Codierung & Verschlüsselung 38 K = {g : g Z p [x], grad(g) m } K = p m K wird Körper Addition = übliche Addition von Polynomen Multiplikation = normale Multiplikation + Reduktion mod f (AES: K = 2 8 ) Beispiele: (a) n-facher Wiederholungscode über Z p { } C = (,..., ), (,..., ),..., (p,..., p ) n C ist linearer Code, C = (,..., ) [n,, n]-code (b) Hamming-Code ist linearer [7, 4, 3]-Code über Z 2 (c) C = {(c,..., c n ) : c i Z p, n i= c i = } (p = 2 Parity-Check-Code) linearer [n, n, 2]-Code über Z p Basis von C: (... p ), (... p ),..., (... p ) Definition: K endlicher Körper (a) x K n, so Gewicht von x = (x,..., x n ), wt(x), definiert durch wt(x) = {i : i n, x i } (b) Ist {} C K n, so ist das Minimalgewicht von C definiert durch wt(c) = min x C x wt(x) Satz: Ist C {} ein linearer Code, so ist d(c) = wt(c) (Beweis wie bei [7, 4, 3]-Hamming Code) 2.2 Erzeugermatrizen Definition: Sei C ein [n, k]-code über K, sei g = (g,..., g n ),..., g k = (g k,..., g kn ) g g... g n eine Basis von C. Dann heißt die k n-matrix G =. =..... Erzeugermatrix von C. g k g k... g kn Satz: Sei G eine Erzeugermatrix von C. Dann ist C = { u G : u K k} k k n } {{ } Beweis: u = (u,..., u k ), u i K ug = (u,..., u k ). = u g u k g k C Auf diese Weise erhält man alle Linearkombinationen von g,..., g k. Behauptung folgt. k n g g k