6. Lösungsblatt

Transkript

1 TECHNISCHE UNIVERSITÄT DARMSTADT FACHGEBIET THEORETISCHE INFORMATIK PROF. JOHANNES BUCHMANN DR. JULIANE KRÄMER Einführung in die Kryptographie WS 205/ Lösungsblatt Ankündigung Es besteht die Möglichkeit, einen gebundenen Ausdruck der vorläufigen Version der neuen Auflage des Buches Einführung in die Kryptographie von Prof. Buchmann, an dem sich die Vorlesung orientiert, zu erwerben. Bei Interesse tragen Sie sich bitte verbindlich (!) mit Ihrem Namen bis spätestens Sonntag (29..) in die Liste ein: Infos: Gebundener Ausdruck mit Klemmbindung. Wasserzeichen bzgl. Urheberrecht auf jeder Seite. Preis: 0 Euro. Lieferzeit ca. 2 Wochen. Abholung: tbd, vermutlich direkt vor/ nach einer Vorlesung. P Endliche Körper Schreiben Sie die Multiplikationstabelle von /7 auf und verifizieren Sie, dass /7 ein Körper ist. Lösung. Die Multiplikationatabelle für /7 ist angegeben durch: * Es ist klar, dass ( /7, +, ) ein kommutativer Ring ist. Die neutralen Elemente bezüglich Addition und Multiplikation sind und + 7. Es bleibt also zu zeigen, dass jedes von Null verschiedene Element invertierbar ist. Da 7 eine Primzahl ist, gilt ggt(a, 7) =, a =,..., 6. Somit besitzen alle Restklassen +7,..., 6+ ein multiplikatives Inverses, d.h. ( /7, +, ) ist ein Körper. P2 Nullstellen Finden Sie Polynome von Grad 2 über GF(2) mit keiner, einer und zwei Nullstellen. Lösung. Das Polynom x 2 + x + hat keine Nullstellen in GF(2). Das Polynom x 2 + hat die einzige Nullstelle in GF(2), und das Polynom x 2 hat die einzige Nullstelle 0 in GF(2). Das Polynom x 2 + x hat die Nullstellen 0 und in GF(2).

2 P3 Rechnen im AES-Körper Sei 2 = /2 der endliche Körper mit 2 Elementen. Das AES-Polynom ist p(x) = x 8 + x 4 + x 3 + x + und der AES-Körper ist = 2 [x]/p(x) 2 [x]. (a) Berechnen Sie für 8 k 2 jeweils den Repräsentanten von x k minimalen Grades in. Lösung. Da wir im AES-Körper = 2 [x]/p(x) 2 [x] rechnen, gilt x 8 x 4 + x 3 + x + mod p(x), 2. Des Weiteren erhalten wir x 9 x 5 + x 4 + x 2 + x mod p(x), 2 x 0 x 6 + x 5 + x 3 + x 2 mod p(x), 2 x x 7 + x 6 + x 4 + x 3 mod p(x), 2 x 2 x 7 + x 5 + x 3 + x + mod p(x), 2 (b) Berechnen Sie in das Inverse von a (x) = x +. Lösung. Bei der Polynomdivision mit Rest von p(x) mit a (x) erhalten wir p(x) = (x 7 + x 6 + x 5 + x 4 + x 2 + x) a (x) +, sodass wir direkt die Lösung a (x) x 7 + x 6 + x 5 + x 4 + x 2 + x mod p(x), 2 ablesen können, da p(x) + (x 7 + x 6 + x 5 + x 4 + x 2 + x) a (x) (x 7 + x 6 + x 5 + x 4 + x 2 + x) a (x) mod p(x), 2. P4 AES Verschlüsselung Nach der initialen AddRoundKey-Operation werden in jeder Runde vier Operationen nacheinander durchgeführt: Sub- Bytes, ShiftRows, MixColumns und AddRoundKey. Zu jeder dieser vier Operationen folgt eine Teilaufgabe. Sei 2 = /2 der endliche Körper mit 2 Elementen. Das AES-Polynom ist p(x) = x 8 + x 4 + x 3 + x + und der AES- Körper ist = 2 [x]/p(x) 2 [x]. Sei s(x), dann schreiben wir den Koeffizientenvektor des Repräsentanten von s(x) mit minimalem Grad als achtstellige Binärzahl, die wiederum einer zweistelligen Hexadezimalzahl entspricht. s(x) (x 7 + x 3 + x + ) ˆ= (0000) ˆ= 8B Der Klartextraum P von AES sind Byte-Tupel der Länge 6. Wir identifizieren die Tupel mit (4 4)-Matrizen S über dem AES-Körper. Die Reihenfolge der Bytes in der Matrix ist dabei wie folgt: s 0,0 s 0, s 0,2 s 0,3 s (s 0,0, s,0, s 2,0, s 3,0, s 0,, s,, s 2,, s 3,, s 0,2, s,2, s 2,2, s 3,2, s 0,3, s,3, s 2,3, s 3,3 ) ˆ=,0 s, s,2 s,3 s 2,0 s 2, s 2,2 s. 2,3 s 3,0 s 3, s 3,2 s 3,3 (a) Seien A = und c =, 0 0 dann entspricht die in AES verwendete S-Box - d.h. die SubBytes-Operation - der Funktion S : \ {0} \ {0} : s A s + c. 2

3 (Der Wert 0 wird auch auf 0 abgebildet.) Berechnen Sie S(x 4 + x + ) und S(x + ). Geben Sie die Ein- und Ausgaben als Polynome, Binärzahlen und Hexadezimalzahlen an. Lösung. Die Eingaben als Polynome, Binärzahlen und Hexadezimalzahlen lauten: Die Inversen der Eingaben sind x 4 + x + ˆ= (00000) ˆ= 3 x + ˆ= (000000) ˆ= 03 (x 4 + x + ) = x 6 + x 3 + x + ˆ= (0000) (x + ) = x 7 + x 6 + x 5 + x 4 + x 2 + x ˆ= (00), sodass man für die Ausgaben als Polynome, Binärzahlen und Hexadezimalzahlen Folgendes erhält: S(x 4 + x + ) = x 6 + x 5 + x 4 + x 3 + x 2 + ˆ= (00) ˆ= 7D S(x + ) = x 6 + x 5 + x 4 + x 3 + x + ˆ= (00) ˆ= 7B (b) Wenden Sie ShiftRows auf folgenden AES-State an: D8 E0 C7 E 56 4 A4 24 F2 BB 69 D3 BA F E7 AC Lösung. Bei ShiftRows wird die i te Zeile i Positionen zyklisch nach links verschoben. Daher sieht der gegebene state nach ShiftRows wie folgt aus: D8 E0 C7 E 4 A D3 F2 BB AC BA F E7 (c) Die MixColumns-Transformation wird beschrieben durch {02} {03} {0} {0} {0} {02} {03} {0} MixColumns: P P : S {0} {0} {02} {03} S =: M S, {03} {0} {0} {02} wobei S die Statusmatrix ist und die Matrix M hexadezimale Einträge besitzt. Sei s = (D8, 4, 69, AC) T die erste Spalte der Statusmatrix S nach der ShiftRows-Transformation (in hexadezimaler Notation). Berechnen Sie MixColumns(s), d.h. den nächsten Schritt von AES, der auf der Spalte s durchgefürt werden würde. Lösung. Bei dieser Aufgabe müssen wir MixColumns(s) = Ms über 4 berechnen. Dafür ist es sinnvoll, sich nochmal die Operationen bei der Multiplikation zweier Elemente aus zu verdeutlichen, die eine Reduktion modulo p(x) = x 8 + x 4 + x 3 + x + auslösen. Erhält man bei einer solchen Multiplikation den Term x 8, so kann man die Reduktion von x 8 zu x 4 + x 3 + x + durch eine einfache XOR-Operation auf Binärebene erreichen. Zur Verdeutlichung der Vorgehensweise wollen wir ein kleines Beispiel machen. Rechnet man {02} {D8} ˆ= (x) (x 7 + x 6 + x 4 + x 3 ) = x 8 + x 7 + x 5 + x 4 x 7 + x 5 + x 3 + x + mod p(x), so kann man diese Multiplikation in Binärschreibweise auch folgendermaßen erreichen. Zuerst führt man einen Linksshift der Bits 0000 ˆ= {D8} aus ( ˆ= Anfügen einer 0 an der rechten Seite), sodass man erhält. (Eine Multiplikation mit 2 fürt zu einem Linksshift der binären Darstellung.) 3

4 Im Fall, in dem das oberste (hier fett markierte) Bit eine 0 ist, nimmt man einfach nur die restlichen acht Bit als Ergebnis. Wäre im Beispiel die fett markierte eine Null, wäre das Ergebnis also Im Fall, in dem das oberste Bit eine ist, muss man die restlichen acht Bit mit der Binärdarstellung von x 4 + x 3 + x + durch XOR verknüpfen, um das Ergebnis zu erhalten. Im Beispiel erhält man also = 000 ˆ= {AB} als Ergebnis für {02} {D8}. Insgesamt muss man bei der Berechnung des j-ten Eintrags (Ms) j für j = 0,..., 3 vier solcher Multiplikationen ausrechnen und deren Ergebnisse addieren (XOR). Für das in der Aufgabenstellung angegebene s ist MixColumns(s) = (AD, 4D, A4, 8) T. (d) Berechnen Sie AddRoundkey für das State-Byte 0000 und den Rundenschlüssel Lösung. AddRoundKey(0000, 0000) = = H Irreduzible Polynome Zeigen Sie, dass das in AES verwendete Polynom x 8 + x 4 + x 3 + x + über GF(2) irreduzibel ist. Lösung. Wir nehmen an, das Polynom wäre reduzibel. Dann gilt: f = x 8 + x 4 + x 3 + x + = g h, mit g, h GF(2)[x] und g, h haben Grade größer als Null. Mit deg( ) bezeichnen wir den Grad (englisch: degree) eines Polynoms, zum Beispiel gilt also deg(f ) = 8 Da GF(2) ein Körper ist, gilt: Es ergeben sich die folgenden Möglichkeiten:. deg(g) = 7, deg(h) = 2. deg(g) = 6, deg(h) = 2 3. deg(g) = 5, deg(h) = 3 4. deg(g) = deg(h) = 4 deg(f ) = deg(g) + deg(h) Fall : Da deg(h) = ist, muss f eine Nullstelle haben. Es gilt aber: f (0) f () mod 2. Damit haben wie einen Widerspruch. Fall 2: deg(h) = 2 h = x 2 + ax + b, mit a, b G f (2). Ist a = b = 0, so ist h = x 2, d.h. f hat die Nullstelle 0. Ist a = und b = 0, so ist h = x(x + ), d.h. f hat die Nullstelle. Ist a = 0 und b =, so ist h = (x + ) 2, d.h. f hat die Nullstelle. f hat aber keine Nullstelle in GF(2). Es bleibt der Fall: a = b = h = x 2 + x +. Nach Division von f durch h erhalten wir g = x 6 + x 5 + x 3 mit Rest x +. Somit haben wir einen Widerspruch. Fall 3: deg(g) = 5 und deg(h) = 3 x 8 + x 4 + x 3 + x + = (x 5 + a 4 x 4 + a 3 x 3 + a 2 x 2 + a x + a 0 )(x 3 + b 2 x 2 + b x + b 0 ) Nach Multiplikation und Koeffizientenvergleich ergeben sich die folgenden Kongruenzen: a 4 + b 2 0 mod 2 () a 3 + a 4 b 2 + b 0 mod 2 (2) a 2 + a 3 b 2 + a 4 b + b 0 0 mod 2 (3) a + a 2 b 2 + a 3 b + a 4 b 0 mod 2 (4) a 0 + a b 2 + a 2 b + a 3 b 0 mod 2 (5) a 0 b 2 + a b + a 2 b 0 0 mod 2 (6) a 0 b + a b 0 mod 2 (7) a 0 b 0 mod 2 (8) 4

5 Wegen (8) gilt: a 0 b 0 mod 2. Aus () ergeben sich zwei Möglichkeiten: Entweder ist a 4 b 2 0 mod 2 ( ) oder a 4 b 2 mod 2 ( ) Wegen (7) gilt: a + b mod 2 Somit ist a 0 mod 2 und b mod 2 (7 ) oder a mod 2 und b 0 mod 2 (7 ) Wegen (6) gilt: a 2 + a b + b 2 0 mod 2 (6 ) Fall(): Trifft ( ) mit (7 ) oder (7 ) zu, so folgt aus (6 ), dass a 2 0 mod 2. Somit erhalten wir aus (5), dass a 3 mod 2. Dann folgt aber aus (3), dass 0 mod 2. Das wiederum ist ein Widerspruch. Fall (2): Trifft ( ) mit (7 ) oder (7 ) zu, so folgt aus (6 ), dass a 2 mod 2. Somit erhalten wir aus (2) und (3), dass a 3 + b mod 2 a 3 + b 0 mod 2. Also haben wir auch hier einen Widerspruch. Somit trifft (iii) nicht zu, denn es gibt keine Lösung für das vorgestellte Gleichungssystem. Fall 4: deg(g) = deg(h) = 4 x 8 + x 4 + x 3 + x + = (x 4 + a 3 x 3 + a 2 x 2 + a x + a 0 )(x 4 + b 3 x 3 + b 2 x 2 + b x + b 0 ) Nach Multiplikation und Koeffizientenvergleich ergeben sich die folgenden Kongruenzen: a 3 + b 3 0 mod 2 () a 2 + a 3 b 3 + b 2 0 mod 2 (2) a + a 2 b 3 + a 3 b 2 + b 0 mod 2 (3) a 0 + a b 3 + a 2 b 2 + a 3 b + b 0 mod 2 (4) a 0 b 3 + a b 2 + a 2 b + a 3 b 0 mod 2 (5) a 0 b 2 + a b + a 2 b 0 0 mod 2 (6) a 0 b + a b 0 mod 2 (7) Wegen (8) gilt: a 0 b 0 mod 2. Für () gibt es zwei Möglichkeiten: Entweder ist a 3 b 3 0 mod 2 ( ) oder a 3 b 3 mod 2 ( ) a 0 b 0 mod 2 (8) Aus (7) folgt: a + b mod 2 (7 ). Fall(): Trifft ( ) zu, so folgt aus (3), dass a + b 0 mod 2. Dies widerspricht (7 ). Fall (2): Trifft ( ) zu, so folgt aus (2), dass a 2 + b 2 0 mod 2 (2 ) Somit ergibt (3), dass a + b 0 mod 2. Dies widerspricht (7 ). Somit ist das Polynom f irreduzibel. 5

6 H2 Konstruktion endlicher Körper (a) Finden Sie alle irreduziblen Polynome f von Grad 3 über GF(2). Lösung. Sei p eine Primzahl. Ein Polynom f ( /p )[x] ist irreduzibel, wenn es nicht als Produkt f = g h geschrieben werden kann, wobei g, h ( /p )[x] mit Graden größer als Null. Alle Polynome von Grad 3 über GF(2) sind: f = x 3 + x 2 + x + = (x 2 + )(x + ) f 2 = x 3 + x 2 + x = x(x 2 + x + ) f 3 = x 3 + x 2 = x 2 (x + ) f 4 = x 3 + x 2 + x = x(x 2 + ) f 5 = x 3 + x = (x + )(x 2 + x + ) f 6 = x 3 = x x 2 f 7 = x 3 + x 2 + f 8 = x 3 + x + f bis f 6 sind also nach Definition nicht irreduzibel, also reduzibel. Behauptung: f 7 und f 8 sind irreduzibel. Wir führen einen Widerspruchsbeweis: Angenommen f 7 ist reduzibel. Dann gilt: f 7 = x 3 + x 2 + = g h, wobei g, h GF(2)[x] mit Graden größer als Null. Da GF(2) ein Körper ist, gilt: 3 = deg(f 7 ) = deg(g) + deg(h) Somit ist deg(g) = 2 und deg(h) =. Da deg(h) = ist, muss f 7 eine Nullstelle in GF(2) haben. Es ist aber: f (0) f () mod 2. Somit ist f 7 irreduzibel. Das Argument gilt auch für f 8. (b) Bestimmen Sie die Multiplikationstabelle des endlichen Körpers GF(2)[x]/f GF(2)[x] für f = x 3 + x +. Lösung. Für f 8 = x 3 + x + sind die Restklassen modulo f 8 die Polynome: 0,, x, x +, x 2 +, x 2 + x, x 2 +, und x 2 + x + Die Multiplikationstabelle für GF(2)[x]/f 8 GF(2)[x] ist gegeben durch: * 0 x x + x 2 x 2 + x x 2 + x 2 + x x x + x 2 x 2 + x x 2 + x 2 + x + x 0 x x 2 x 2 + x x + x 2 + x + x 2 + x + 0 x + x 2 + x x 2 + x 2 + x + x 2 x x 2 0 x 2 x + x 2 + x + x 2 + x x 2 + x x 2 + x 0 x 2 + x x 2 + x + x 2 + x x + x 2 x x 2 + x 2 x x + x 2 + x + x 2 + x x 2 + x + 0 x 2 + x + x 2 + x x 2 x 2 + x x + H3 AES: MixColumns Sei s j = (s 0, j,..., s 3, j ) GF(2 8 ) 4, 0 j 3. Identifizieren Sie s j mit dem Polynom s 0j + s j x + s 2j x 2 + s 3j x 3. Zeigen Sie, das MixColumns durch die Formel s j (s j α(x)) mod (x 4 + ), 0 j 3 beschrieben werden kann, wobei α(x) = {03}x 3 + {0}x 2 + {0}x + {02} 6

7 ist. Lösung. Sei a 0 = {02}, a = a 2 = {0}, a 3 = {03} und b 0 = s 0j, b = s j, b 2 = s 2j, b 3 = s 3j, 0 j 3 Dann gilt: a(x) = a 3 x 3 + a 2 x 2 + a x + a 0 und s j = b 3 x 3 + b 2 x 2 + b x + b 0. Sei nun c(x) = a(x) S j = c 6 x 6 + c 5 x 5 + c 4 x 4 + c 3 x 3 + c 2 x 2 + c x + c 0 mit c 0 = a 0 b 0 c = a b 0 a 0 b c 2 = a 2 b 0 a b a 0 b 2 c 3 = a 3 b 0 a 2 b a b 2 a 0 b 3 c 4 = a 2 b 3 a b 2 a b 3 c 5 = a 3 b 2 a 2 b 3 c 6 = a 3 b 3 Dieses Produkt c(x) präsentiert aber kein word (4 Byte). Daher reduziert das Polynom x 4 + das Produkt zu einem Polynom mit Grad kleiner als 4, sodass: x i mod x 4 + = x i mod 4 Sei d(x) = d 3 x 3 + d 2 x 2 + d x + d 0 das Produkt c(x) modulo x 4 +. Somit sind die Koeffizienten von d(x) gegeben durch: d 0 = a 0 b 0 a 3 b a 2 b 2 a b 3 d = a b 0 a 0 b a 3 b 2 a 2 b 3 d 2 = a 2 b 0 a b a 0 b 2 a 3 b 3 d 3 = a 3 b 0 a 2 b a b 2 a 0 b 3 Daher gilt: d 0 = {02} S 0j {03} S j {0} S 2 j {0} S 3j d = {0} S 0j {02} S j {03} S 2j {0} S 3j d 2 = {0} S 0j {0} S j {02} S 2j {03} S 3j d 3 = {03} S 0j {0} S j {0} S 2j {02} S 3 j Dies entspricht der folgenden linearen Transormation in GF(2 8 ) 4 : {02} {03} {0} {0} S 0j {0} {02} {03} {0} S {0} {0} {02} {03} j S 2j {03} {0} {0} {02} S 3j 7