10.4 Sichere Blockverschlüsselung

Ähnliche Dokumente
9.5 Blockverschlüsselung

6.2 Asymmetrische Verschlüsselung

6 Kryptographische Verfahren

6.3 Authentizität. Geheimhaltung: nur der Empfänger kann die Nachricht lesen. die Nachricht erreicht den Empfänger so, wie sie abgeschickt wurde

Wiederholung. Symmetrische Verfahren: klassische Verfahren / grundlegende Prinzipien: Substitution, Transposition, One-Time-Pad DES AES

Alice (A) und Bob (B) wollen sicher kommunizieren (vgl. Schutzziele) Oskar (O) versucht, die Schutzziele zu durchbrechen

Betriebsarten von Blockchiffren. ECB Electronic Code Book Mode. Padding. ECB Electronic Code Book Mode

Kryptographische Verfahren. zur Datenübertragung im Internet. Patrick Schmid, Martin Sommer, Elvis Corbo

Klassische Verschlüsselungsverfahren

Grundlagen der Verschlüsselung und Authentifizierung (1)

Problem: Rückruf während der Bearbeitung eines Objekts

Kryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik

Vorlesung Sicherheit

Kryptographische Systeme (M, C, K, e, d) Symmetrische Verfahren (gleicher Schlüssel zum Verschlüsseln und Entschlüsseln):

Kryptografie & Kryptoanalyse. Eine Einführung in die klassische Kryptologie

Kryptographie und Komplexität

Symmetrische Verschlüsselung. Blockchiffren, DES, IDEA, Stromchiffren und andere Verfahren

Kryptologie. Bernd Borchert. Univ. Tübingen SS Vorlesung. Teil 10. Signaturen, Diffie-Hellman

Kryptographie. Nachricht

9 Rückruf von Capabilities (5)

Kryptographische Zufallszahlen. Schieberegister, Output-Feedback

Designziele in Blockchiffren

Grundlagen der Kryptographie

Kap. II: Kryptographie

9.4 Sicherheit von Verschlüsselungsverfahren

Neue Technologien im Internet

Wiederholung Symmetrische Verschlüsselung klassische Verfahren: Substitutionschiffren Transpositionschiffren Vigenère-Chiffre One-Time-Pad moderne

monoalphabetisch: Verschiebechiffren (Caesar), multiplikative Chiffren polyalphabetisch: Vigenère-Chiffre

Arbeitsblatt Verschlüsselung

4 Kryptologie. Übersicht

9 Rechnergestütze Blockchiffren

Netzwerktechnologien 3 VO

Kurze Einführung in kryptographische Grundlagen.

Kryptografie & Kryptoanalyse. Eine Einführung in die klassische Kryptologie

Sicherheit von PDF-Dateien

Einführung Verschlüsselung Mag. Dr. Klaus Coufal

10 Kryptographie. (cryptography) auch Kryptologie (griech.) = Lehre von den Geheimschriften

WS 2009/10. Diskrete Strukturen

3 Betriebsarten bei Blockverschlüsselung

Kryptographie - eine mathematische Einführung

12 Kryptologie. ... immer wichtiger. Militär (Geheimhaltung) Telebanking, Elektronisches Geld E-Commerce

Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester 2013.

Client/Server-Systeme

Kapitel 7.6: Einführung in Kryptographie

9 Kryptographische Verfahren

Kryptographie und Komplexität

Data Encryption Standard

Asymmetrische. Verschlüsselungsverfahren. erarbeitet von: Emilia Winkler Christian-Weise-Gymnasium Zittau

Kryptografie. Seite 1 Sicherheit in Rechnernetzen Prof. Dr. W. Kowalk

Algorithmische Anwendungen Prof. Dr. Heinrich Klocke

11. Das RSA Verfahren

Sicherheit von PDF-Dateien

Übungen zur Vorlesung Systemsicherheit

Kryptografie Die Mathematik hinter den Geheimcodes

Ideen und Konzepte der Informatik Kryptographie

Verfügbarkeit (Schutz vor Verlust) Vertraulichkeit (Schutz vor unbefugtem Lesen) Authentizität (Schutz vor Veränderung, Fälschung)

Kryptologie Teil 1: Klassische Kryptologie

n ϕ n

Kapitel 2.6: Einführung in Kryptographie

Kryptographie und Komplexität

Symmetrische Kryptographie auf GPUs

Public-Key Kryptographie mit dem RSA Schema. Torsten Büchner

IT-Sicherheit: Kryptographie. Asymmetrische Kryptographie

IT-Sicherheit Kapitel 2 Symmetrische Kryptographie

Kapitel 1.6: Einführung in Kryptographie

10.6 Authentizität. Geheimhaltung: nur der Empfänger kann die Nachricht lesen

Socrative-Fragen aus der Übung vom

Klassische Verschlüsselungsverfahren

Kryptographie. Katharina

Vorlesung Sicherheit

Kryptographische Systeme (M, C, K, E, D) Symmetrische Verfahren (gleicher Schlüssel zum Verschlüsseln und Entschlüsseln):

Wie geheim ist eine Geheimschrift. Joachim Rosenthal Institut für Mathematik

Sicherheit im Internet

IT-Sicherheit - Sicherheit vernetzter Systeme -

IT-Sicherheit: Kryptographie

Erinnerung Blockchiffre

Symmetrische und Asymmetrische Kryptographie. Technik Seminar 2012

Betriebsarten für Blockchiffren

Algorithmische Kryptographie

Analyse Kryptographischer Algorithmen: KRYPTON & TWOFISH

Zahlentheorieseminar: Einführung in die Public-Key-Kryptographie

Kryptographische Protokolle

Grundlagen der Kryptographie

Literatur. ISM SS 2017 Teil 8/Asymmetrische Verschlüsselung

Kapitel 4: Flusschiffren

Übung GSS Blatt 6. SVS Sicherheit in Verteilten Systemen

7.3 Unizitätslänge. 8 Schlüsselaustausch und öffentliche Schlüssel

Kryptographie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik

Kryptographie. ein erprobter Lehrgang. AG-Tagung Informatik, April 2011 Alfred Nussbaumer, LSR für NÖ. LSR für NÖ, 28. April 2011 Alfred Nussbaumer

Kryptographie mit elliptischen Kurven

Sicherheit: Fragen und Lösungsansätze

RSA (Rivest, Shamir, Adleman)

Kryptographie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik

Einführung in die asymmetrische Kryptographie

Elliptic Curve Cryptography

SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites zu beschäftigen

Regine Schreier

Das Programm Cryptool kann man unter herunter laden. Auf der Download Seite befindet sich auch das Skript zum Programm.

10. Kryptographie. Was ist Kryptographie?

Was heißt Kryptographie I? Understanding Cryptography Christof Paar und Jan Pelzl

Transkript:

10.4 Sichere Blockverschlüsselung Verschlüsselung im Rechner: Stromverschlüsselung (stream cipher): kleine Klartexteinheiten (Bytes, Bits) werden polyalphabetisch verschlüsselt Blockverschlüsselung (block cipher): große Klartexteinheiten (z.b. Blöcke von 64 Bits) werden separat sicher verschlüsselt Vorteile: schnell und sicher, Direktzugriff möglich Nachteil: Block-Wiederholungen im Geheimtext sichtbar

10.4.1 Data Encryption Standard DES (IBM, NBS 1977) Chiffriert/dechiffriert werden 64-Bit-Blöcke mit e(k,x) bzw. d(k,c) unter Verwendung eines 56-Bit-Schlüssels K in einem kombinierten Transpositions/Substitutionsverfahren Ziel: Erzeugung von Konfusion durch Substitution, von Diffusion durch Transposition und damit Approximation einer Zufallsverschlüsselung, d.h. Bitmuster im Geheimtext haben keinen erkennbaren Bezug zu Bitmustern im Klartext, z.b. selbst 000...00 oder 111...11 werden jeweils in zufällig aussehende Bitmuster chiffriert

In einem 16-fachen Zyklus kommt eine Abbildung f wiederholt zur Anwendung: f(r i 1, K i ), i=1,..,16 abgeleitet aus Klartext und Schlüssel K abgeleitet aus Schlüssel K L i = R i 1 R i = L i 1 f(r i 1, K i ) ( = xor) L 0 = linke Hälfte der permutierten Klartext-Bits R 0 = rechte Hälfte der permutierten Klartext-Bits Geheimtext = R 16 L 16, zurückpermutiert

Beh.: Der Chiffrier-Algorithmus dechiffriert, wenn die Teilschlüssel K i in umgekehrter Reihenfolge verwendet werden. Bew.: 1. Die Permutation der Bits des Geheimtextes liefert R 16 L 16. 2. Ein Schritt i, i=16,..,1, erzeugt aus R i L i den Wert l r mit l = L i =R i 1 und r = R i f(l i, K i ) = (L i 1 f(r i-1,k i ) ) f(l i,k i ) = L i 1 wegen L i =R i 1 also den Wert R i 1 L i 1. 3. Die Vertauschung der R 0 L 0 liefert L 0 R 0, und die Rückpermutation liefert den Klartext.

Bemerkungen zum DES: Schlüsselgröße 56 Bits ist heutzutage zu klein. (Zur Erinnerung: 88 bei monoalphabetischer Substitution) Dennoch viel sicherer als Substitutionsverfahren, weil Beziehung zwischen Klartext und Geheimtext ungleich komplizierter. DES kann aber als Bestandteil komplexerer Verfahren verwendet werden, z.b. Dreifach-Verschlüsselung (s.u.) oder rückgekoppelte Verschlüsselung ( 10.4.3); auch als Zufallszahlengenerator einsetzbar. DES ist gut in Hardware implementierbar Chiffrierraten in der Größenordnung von 100 MB/sec werden erreicht.

Erhöhte Sicherheit durch 3-fach-Verschlüsselung mit e bzw. d : e(k 1, d(k 2, e(k 3,x))) Beachte: 1 2-fach-Verschlüsselung bringt nicht den erhofften Gewinn: Klartextangriff mit Ausprobieren von maximal 2 57 Schlüsseln möglich. 2 Auch bei 3-fach-Verschlüsselung ist die effektive Schlüssellänge nur 112 (statt 168) Bits (siehe Schneier Kap. 15).

Zu 1: Klartext x und zugehöriger Geheimtext c = e(k b, e(k a,x)) liegen vor gesucht sind K a und K b. Für alle Schlüssel K i den einfach verschlüsselten Klartext tabellieren: c i = e(k i,x). Für alle Schlüssel K j Geheimtext einfach entschlüsseln, y j = d(k j,c), und jeweils prüfen, ob das y j unter den c i vorkommt. Falls y j = c i für ein bestimmtes j und i, K i und K j sind die gesuchten Schlüssel vermuten und mit weiterem Klartext/Geheimtext-Paar überprüfen. Höchstens 2*2 56 Schlüssel werden durchprobiert.

DES in Unix: Zur Erinnerung: Paßwort-Verschlüsselung bei Unix (4.1.1) arbeitet mit crypt(3) (nicht crypt(1)!) Die crypt -Routine verschlüsselt 0 mit dem Paßwort als Schlüssel (!) unter Verwendung einer DES-Variante, in die das salt eingeht. Der Befehl des verschlüsselt mit DES, z.b. jefe: des -E >temp Enter key: Verifying password - Enter key: 1234567890 abc jefe: des -D <temp Enter key: 1234567890 abc

10.4.2 IDEA (International Data Encryption Algorithm, Lai/Massey 1990) verschlüsselt 64-Bit-Blöcke bei einer Schlüssellänge von 128 Bits, betreibt wie DES Konfusion und Diffusion, arbeitet mit 8 (statt 16) Runden, verwendet nur xor, Addition und Multiplikation, ist doppelt so schnell wie DES, gilt als erheblich sicherer als DES.

10.4.3 Rückgekoppelter Geheimtext Elementare Blockverschlüsselung (ECB mode, electronic code book) hat zwei Nachteile: Wiederholungen von Klartextblöcken im Geheimtext erkennbar Wiedereinspielen zuvor abgefangener Blöcke verletzt Authentizität Abhilfe: Schlüssel laufend durch den Text selbst modifizieren, z.b. so: Cipher Feedback (CFB) benutzt die Blockverschlüsselung für eine Stromverschlüsselung mit Rückkoppelung Cipher Block Chaining (CBC) benutzt bei der Verschlüsselung eines Klartextblocks den vorangegangenen Geheimtextblock

10.4.3.1 DES als Zufallszahlengenerator für Strom/Blockverschlüsselung mit Abreißblock (10.3.2.2): die mit K verschlüsselten Werte eines Zählers i = 0,1,2,... oder auch nur deren letzte k Bits dienen als one-time pad mit xor-verknüpfung; Periode ist 2 64! Beispiel k=1 (aufwendig): Verschlüsselung des i-ten Klartext-Bits: c i =x i [e(k,i)] 0 Entschlüsselung des i-ten Geheimtext-Bits: x i =c i [e(k,i)] 0 (DES-Entschlüsselung d kommt nicht zum Einsatz)

10.4.3.2 Cipher Feedback (CFB) benutzt die Blockverschlüsselung für eine Stromverschlüsselung mit Rückkoppelung: Beim Sender wird statt i der Inhalt eines Schieberegisters verwendet, in das bei jedem Schritt das zuletzt generierte Geheimtext-Bit eingeschoben wird. Statt [e(k,i)] 0 kommt also zum Einsatz [e(k, c i 1 c i 2... c i 64 )] 0 Empfängerseitig wird ein eintreffendes Geheimtext-Bit nicht nur entschlüsselt, sondern auch für die nächste Entschlüsselung in das dortige Schieberegister eingebracht.

10.4.3.3 Cipher Block Chaining (CBC) benutzt bei der Verschlüsselung eines Klartextblocks den vorangegangenen Geheimtextblock (effizienter als CFB) Verschlüsselung eines Klartextblocks x i : c i = e(k, x i c i 1 ) Entschlüsselung eines Geheimtextblocks c i : x i = d(k, c i ) c i 1 ( = d(k, e(k, x i c i 1 )) c i 1 = x i c i 1 c i 1 = x i )

10.5 Asymmetrische Verschlüsselung (asymmetric encryption, public-key encryption) Prinzip (Diffie, Hellman, Merkle 1976-78): Statt eines Schlüssels K gibt es ein Schlüsselpaar K E, K D zum Verschlüsseln bzw. Entschlüsseln; der öffentliche Schlüssel K E (public key) muß nicht geheimgehalten werden, da er nicht aus dem privaten Schlüssel K D (private key) bestimmt werden kann. Gewinn: Problem der Übermittlung eines geheimen Schlüssels zwischen Kommunikationspartnern entfällt; weitere Vorteile s.u.

Kryptoanalyse wird potentiell dadurch erleichtert, daß der öffentliche Schlüssel bekannt ist. Sichere asymmetrische Verfahren sind so konzipiert, daß die Ermittlung des geheimen Schlüssels aus dem öffentlichen Schlüssel am Aufwand scheitert (10.3.2.4). Als Grundlage dienen vorzugsweise Probleme, die NP-vollständig sind und damit als nicht effizient lösbar gelten. (Lösung erfordert exponentiellen Aufwand.)

10.5.1 Knapsack-Verschlüsselung (Merkle/Hellman 1978) Knapsack-Problem ist NP-vollständig: Gegeben: Folge A = a 1,...a n natürlicher Zahlen und natürliche Zahl C Gesucht: Teilfolge von A derart, daß die Summe der Elemente gleich C ist (M.a.W.: gesucht ist Folge/ Vektor M von Nullen und Einsen mit A M = C ) Eigenschaften: Weder Existenz noch Eindeutigkeit sind gesichert. Komplexität der besten bekannten Algorithmen ist von der Ordnung O(2 n/2 ).

Beispiel: A = 1 10 5 22 3 C = 14 wird gelöst durch M = 1 1 0 0 1 Spezieller Knapsack ist Einfacher Knapsack (superincreasing knapsack): a i > a j j=1,..,i-1 Beispiel: A = 1 3 5 10 22 C = 14 M = 1 1 0 1 0 Lösung falls existent wird gefunden durch den Versuch, den Rucksack von rechts her zu füllen

Idee für asymmetrische Verschlüsselung: Aus einfachem Knapsack A wird ein schwerer Knapsack A gemacht, (genannt trapdoor knapsack) 1. Wähle u 2 a n ; damit ist u > a i i=1,n 2. Wähle zu u teilerfremdes w und berechne w 1 mit w w 1 mod u = 1 3. Bilde A mit a i = w a i mod u

Beh.: Bew.: Wenn M Lösung von C = A M ist, dann auch von C = A M mit C = w 1 C mod u (und umgekehrt). C = w 1 C mod u = w 1 A M mod u = w 1 ( (w a i mod u) m i ) mod u = w 1 w A M mod u = A M mod u = A M Chiffrieren eines Klartextes M (als Dualzahl) mit öffentlichem Schlüssel A: C = A M Dechiffrieren eines Geheimtextes C (als Dualzahl) mit privatem Schlüssel (A, w 1, u) durch Lösen von C = A M d.h. von w 1 C mod u = A M

Beispiel: A = 1 3 5 10 u = 20 w = 7 w 1 = 3 A = 7 1 15 10 Klartext: M = 1 1 0 1 chiffriert: C = 18 Dechiffrieren: C = w 1 C mod u = 3 * 18 mod 20 = 14 Lösen von 14 = A M ist simpel, weil A einfacher Knapsack: 14 = 1+3+10, also M = 1 1 0 1

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback