Der Advanced Encryption Standard (AES)

Ähnliche Dokumente
Stefan Lucks Krypto und Mediensicherheit (2009) 5: Blockchiffren. 5: Blockchiffren. (n bit) (n bit) VERschlüsseln ENTschlüsseln

4: Blockchiffren. Klartexte (n bit) Chiffretexte. VERschlüsseln. ENTschlüsseln. Stefan Lucks Kryptographie und Mediensicherheit (2017)

Sicherer Datenaustausch mit EurOwiG AG

10. Public-Key Kryptographie

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Informationsblatt Induktionsbeweis

Musterlösungen zur Linearen Algebra II Blatt 5

Abituraufgabe zur Stochastik, Hessen 2009, Grundkurs (TR)

Ein Scan basierter Seitenangriff auf DES

AES. Jens Kubieziel 07. Dezember Friedrich-Schiller-Universität Jena Fakultät für Mathem atik und Informatik

Die Post hat eine Umfrage gemacht

2. Negative Dualzahlen darstellen

Wir machen neue Politik für Baden-Württemberg

Kapitel 3: Etwas Informationstheorie

Lineare Gleichungssysteme I (Matrixgleichungen)

Verschlüsselung. Kirchstraße 18 Steinfelderstraße Birkweiler Bad Bergzabern Fabian Simon Bfit09

So gehts Schritt-für-Schritt-Anleitung

6.2 Scan-Konvertierung (Scan Conversion)

Data Encryption Standard

Digitale Unterschriften Grundlagen der digitalen Unterschriften Hash-Then-Sign Unterschriften Public-Key Infrastrukturen (PKI) Digitale Signaturen

9.2. DER SATZ ÜBER IMPLIZITE FUNKTIONEN 83

geben. Die Wahrscheinlichkeit von 100% ist hier demnach nur der Gehen wir einmal davon aus, dass die von uns angenommenen

Erweiterung der Aufgabe. Die Notenberechnung soll nicht nur für einen Schüler, sondern für bis zu 35 Schüler gehen:

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Excel Funktionen durch eigene Funktionen erweitern.

11. Das RSA Verfahren und andere Verfahren

Das RSA-Verschlüsselungsverfahren 1 Christian Vollmer

Würfelt man dabei je genau 10 - mal eine 1, 2, 3, 4, 5 und 6, so beträgt die Anzahl. der verschiedenen Reihenfolgen, in denen man dies tun kann, 60!.

Was bisher geschah Kryptographische Systeme (M, C, K, e, d) Verfahren: symmetrisch klassisch: Verschiebechiffren (Spezialfall Caesar-Code)

Informatik für Ökonomen II HS 09

Leitfaden zur ersten Nutzung der R FOM Portable-Version für Windows (Version 1.0)

11.3 Komplexe Potenzreihen und weitere komplexe Funktionen

1 Kryptosysteme 1 KRYPTOSYSTEME. Definition 1.1 Eine Kryptosystem (P(A), C(B), K, E, D) besteht aus

Was heißt Kryptographie I? Understanding Cryptography Christof Paar und Jan Pelzl

Klassenarbeit zu linearen Gleichungssystemen

Summenbildung in Bauteiltabellen mit If Then Abfrage

Serienbrieferstellung in Word mit Kunden-Datenimport aus Excel

Unterrichtsmaterialien in digitaler und in gedruckter Form. Auszug aus:

Betriebsarten für Blockchiffren

Print2CAD 2017, 8th Generation. Netzwerkversionen

Informationssicherheit - Lösung Blatt 2

ALEMÃO. Text 1. Lernen, lernen, lernen

Erklärung zu den Internet-Seiten von

Mediumwechsel - VR-NetWorld Software

Asymmetrische. Verschlüsselungsverfahren. erarbeitet von: Emilia Winkler Christian-Weise-Gymnasium Zittau

Was ist Sozial-Raum-Orientierung?

Primzahlen und RSA-Verschlüsselung

Kryptografische Algorithmen

Grundlagen der höheren Mathematik Einige Hinweise zum Lösen von Gleichungen

EDV-Fortbildung Kombi-Schulung Word-Excel Modul Excel. Informationen zum Programm. Die Programmoberfläche von Excel

Die Invaliden-Versicherung ändert sich

Mikroökonomik 9. Vorlesungswoche

Installation des Add-Ins für Lineare Algebra in Microsoft Excel

12 Kryptologie. ... immer wichtiger. Militär (Geheimhaltung) Telebanking, Elektronisches Geld E-Commerce

ESecur Die einfache verschlüsselung

Erfahrungen mit Hartz IV- Empfängern

Zeichen bei Zahlen entschlüsseln

Zahlen und das Hüten von Geheimnissen (G. Wiese, 23. April 2009)

Professionelle Seminare im Bereich MS-Office

Info zum Zusammenhang von Auflösung und Genauigkeit

Diese Anleitung enthält Anweisungen, die nur durch erfahrene Anwender durchgeführt werden sollten!

1. Einführung. 2. Alternativen zu eigenen Auswertungen. 3. Erstellen eigener Tabellen-Auswertungen

Planen mit mathematischen Modellen 00844: Computergestützte Optimierung. Autor: Dr. Heinz Peter Reidmacher

Diese Unterlage bezieht sich auf Excel 2010 (auf Deutsch). Die Benutzeroberfläche kann in anderen Versionen der Software erheblich anders aussehen.

1. Man schreibe die folgenden Aussagen jeweils in einen normalen Satz um. Zum Beispiel kann man die Aussage:

Blumen-bienen-Bären Academy. Kurzanleitung für Google Keyword Planer + Google Trends

Windows XP Jugendschutz einrichten. Monika Pross Molberger PC-Kurse

Wie Google Webseiten bewertet. François Bry

Die neue Aufgabe von der Monitoring-Stelle. Das ist die Monitoring-Stelle:

8: Zufallsorakel. Wir suchen: Einfache mathematische Abstraktion für Hashfunktionen

Tipp III: Leiten Sie eine immer direkt anwendbare Formel her zur Berechnung der sogenannten "bedingten Wahrscheinlichkeit".

(λ Ri I A+BR)v Ri = 0. Lässt sich umstellen zu

Welche Lagen können zwei Geraden (im Raum) zueinander haben? Welche Lagen kann eine Gerade bezüglich einer Ebene im Raum einnehmen?

Kryptographische Verfahren auf Basis des Diskreten Logarithmus

10. Kryptographie. Was ist Kryptographie?

Bearbeiten elektronische Rechnungen (Invoices)

Hilfe zur Urlaubsplanung und Zeiterfassung

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren

Gratis Excel SVERWEIS Funktions-Anleitung, Tutorial, ebook, PDF-E-Book

Nachrichten- Verschlüsselung Mit S/MIME

2. Einrichtung der ODBC-Schnittstelle aus orgamax (für 32-bit-Anwendungen)

Die integrierte Zeiterfassung. Das innovative Softwarekonzept

Schritt für Schritt zur Krankenstandsstatistik

Lineare Gleichungssysteme

6.2 Perfekte Sicherheit

Netzwerkversion PVG.view

SFirm32 Umstellung FTAM EBICS

ESecure Vault Die verschlüsselte CloudFESTplatte

Elemente der Analysis I Kapitel 2: Einführung II, Gleichungen

Kevin Caldwell. 18.April 2012

GRS SIGNUM Product-Lifecycle-Management

Die Subnetzmaske/Netzwerkmaske

Berechnungen in Access Teil I

Impulse Inklusion Selbst-bestimmtes Wohnen und Nachbarschaft

Eva Douma: Die Vorteile und Nachteile der Ökonomisierung in der Sozialen Arbeit

Die (Un-)Sicherheit von DES

V 2 B, C, D Drinks. Möglicher Lösungsweg a) Gleichungssystem: 300x y = x + 500y = 597,5 2x3 Matrix: Energydrink 0,7 Mineralwasser 0,775,

10.1 Auflösung, Drucken und Scannen

Transkript:

Der Advanced Encryption Standard (AES) Prof. Dr. Rüdiger Weis TFH Berlin Sommersemester 2008

Geschichte des AES Die Struktur des AES Angriffe auf den AES Aktuelle Ergebnisse

DerAdvanced Encryption Standard (AES) AES = Advanced Encryption Standard : 128-bit Blockchiffre. 3 Varianten: 128-bit, 192-bit und 256-bit Schlüssel. Ziele: Sicherer als Triple-DES Effizienter als Triple-DES

Geschichte des AES, 1. Teil 1997 Ausschreibung des AES. 1998 1. AES-Konferenz; Präsentation von 15 Kandidaten. The Demolition Derby begins. 1999 2. AES-Konferenz; danach Auswahl der 5 Finalisten.

15 Kandidaten Feistel-Netzwerk S.-P. Netzerk Sonstige (wie DES) (erweitert) allgemein Square-artig DEAL DFC Cast-256 SAFER+ Crypton Frog Loki97 E2 MARS Serpent Rijndael HPC Magenta RC6 Twofish Major Attacks : DEAL, Frog, HPC, Loki97, Magenta Finalisten: MARS, RC6, Rijndael, Serpent, Twofish

Geschichte des AES 2. Teil April 2000 3. AES-Konferenz, Diskussion der Finalisten Mars, RC6, Rijndael, Twofish und Serpent. Oktober 2000 Rijndael wird ( draft ) Standard. 6 Monate später AES wird endgültig als Standard bestätigt.

Die Struktur des AES Vier Basis-Operationen Eine AES-Runde als Kombination der vier Basis-Operationen Der Key Schedule : Aus einem kurzen Chiffrier-Schlüssel (128 bit 256 bit) werden 11 15 Rundenschlüssel (jeweils 128 bit). Anzahl Rundenschlüssel = 1 + Anzahl Runden

Die Basis-Operationen Byte Substitution (BS) Shift Row (SR) S Mix Column (MC) Key Addition (KA)

Die Byte Substitution Anwendung einer invertierbaren S-Box S : {0, 1} 8 {0, 1} 8 mit einer sehr einfachen algebraischen Struktur.

Algebraische Struktur Man kann z = S(x) in zwei Schritten berechnen: 1. Berechnung des Inversen: Wenn x = 0, dann y := 0. Sonst y = x 1 (in GF(2 8 )). 2. Affine Transformation: z := Ay + b Dabei sind die Matrix A {0, 1} 8 8 und der Vektor b {0, 1} 8 definierte Konstanten; y und z werden (wie b) als Bit-Vektoren aus {0, 1} 8 betrachtet. Sinn dieser speziellen Konstruktion für die S-Box: Optimale Widerstandsfähigkeit gegen differentielle und lineare Kryptanalyse.

Die Mix Column Operation y = x { }} { { }} { (y 1, y 2, y 3, y 4 ) := MC (x 1, x 2, x 3, x 4 ) Die Spalten x und y fassen wir als Vektoren auf: x, y GF(2 8 ) 4. Die Mix-Column-Operation ist eine Matrix-Operation über GF(2 8 ): y := A x: y := 2 3 1 1 1 2 3 1 1 1 2 3 3 1 1 2 x.

Eigenschaften von Mix Column Invertierbarkeit: Die Matrix A ist invertierbar über GF(2 8 ). Deshalb ist die Mix Column Operation invertierbar. Ausbreitung von Differenzen: Eine Differenz in genau einem der Eingabe-Werte x i führt zu einer Differenz in allen vier Ausgabewerten y 1, y 2, y 3, y 4.

Die Rundenstruktur Plaintext Next Round Ciphertext Key Addition Byte Substitution Shift Row Mix Column Key Addition S

Der Key Schedule (für 128-bit Schlüssel): Es bez. W [ ] einen 32-bit Wert (= 1 Spalte in der Matrix). Aus dem 128-bit Chiffrierschlüssel W [0],..., W [3] sollen die Rundenschlüssel W [4j + 0],..., W [4j + 3] berechnet werden. If (i mod 4) = 0 then W [i] := W [i 4] f (W [i 1]) const(i) else W [i] := W [i 4] W [i 1] Kennt man i und zwei der Werte W [i 4], W [i 1] und W [i], kann man den dritten leicht berechnen.

Angriffe auf den AES Der gegenwärtige Stand der Forschung erlaubt es nicht, für eine (praktikable) Blockchiffre nachzuweisen, dass sie sicher ist. Vertrauen in die Sicherheit einer Chiffre gewinnt man, wenn es trotz intensiver jahrelanger Analyse niemandem gelingt, einen durchschlagenden Angriff zu finden (bzw. zu publizieren). Deshalb: Man berücksichtige die besten bekannten Angriffe und halte möglichst einen Sicherheitsabstand von ihnen ein ( einige Runden mehr ).

3 Runden des AES

Angriff auf 6 Runden des AES (stammt von den AES-Autoren selbst) Wähle 2 32 Klartexte. Rate 9 Schlüsselbytes (2 72 Einheiten Rechenzeit) 2 8 partielle Verschlüsselungen pro Einheit (jede Einheit entspricht etwa einer AES-Verschlüsselung) Rechenzeit 2 72 Verschlüsselungs-Operationen

Verbesserter Angriff (6 Runden) Wähle 2 32 Klartexte. Rate 5 Schlüsselbytes (2 40 Einheiten Rechenzeit, jede entspricht 1 Verschl.) 2 24 Rechenzeit 2 40 Verschlüsselungs-Operationen

Erweiterung des Angriffs auf 7 Runden Möglich mit 2 128 Klartexten (= Codebuch). Rechenzeit entspricht etwa 2 120 Verschlüsselungsoperationen (nicht mitgerechnet die Zeit zur Erstellung des Code-Buchs). Theoretischer Angriff (für 128-bit Schlüssel), aber besser als Brute Force (Suche über den gesamten Schlüsselraum).

Wieviele Runden werden gebraucht? Angriffe, die noch knapp effizienter sind als Brute Force: Chiffre (Schl.-Länge) # Runden definiert Angriff Rijndael/AES (128) 10 7 Rijndael/AES (192) 12 (8) 7 Rijndael/AES (256) 14 9 Twofish (128 256) 16 (8) 6 Serpent (128 256) 32 (10 11) 9 Stand: Ende 2001. Werte in Klammern stellen Verbesserungen gegenüber den dem NIST im Sommer 2000 bekannten Werten dar.

Wie relevant sind akademische Angriffe? Die besten Angriffe sind total unpraktikabel (da sie z.b. 2 128 Klartext-Chiffretext-Paare erfordern): Angriffe können nur besser werden. Let us destroy all the useless planets in our solar system, to get room for storage. Andere Sichtweise (Bsp. AES, 128-bit Schlüssel): Angriffe auf 5 Runden sind einfach. Angriffe auf 6 Runden sind vorstellbar (2 32 Paare). Angriffe auf 7 Runden sind bisher nur theoretisch möglich.

Darf es etwas mehr sein? Manchen erscheint der Sicherheitsspielraum des AES als zu gering. Einige Vorschläge zur Abhilfe: 1. Variable Anzahl an Runden. 2. Triple AES. 3. Nur die Variante mit 256-bit Schlüsseln einsetzen (14 Runden), kürzere Schlüssel ggf. strecken. 4. Andere Chiffren einsetzen, z.b. Twofish oder Serpent.

Risiken und Nebenwirkungen: Variable Anzahl an Runden. Gefährlich! Beispiel: 24 Runden AES und 25 Runden AES unter dem gleichenschlüssel... Triple AES. OK, aber vielleich Overkill. Nur die Variante mit 256-bit Schlüsseln einsetzen... Guter Ansatz, aber Vorsicht: Beim Strecken kann man sich auch in s Knie schiessen! Andere Chiffren einsetzen, z.b. Twofish oder Serpent. Nachteil: Andere Chiffren werden weniger genau untersucht werden wie der AES.

Aktuelle Ergebnisse Nutzen meistens die einfache algebraische Struktur der S-Box. Zwei interessante Ergebnisse: AES als geschlossene algebraische Formel Angriff auf den AES durch Lösen eines nichtlinearen Gleichungssystems

AES als geschlossene algebraische Formel Es existiert eine einfache geschlossene algebraische Formel für die Blockchiffre Rijndael. Die Größe der Formel hängt nur linear von der Anzahl der Runden ab. (Im Allgemeinen würde man von einer Blockchiffre erwarten, dass jede geschlossene algebraische Formel viel zu groß wäre, um jemals aufgeschrieben werden zu können.)

AES als geschlossene algebraische Formel (2) Eine Runde des AES verwendet den Rundenschlüssel k (r) und bildet die 128-bit Eingabe a (r) auf die Ausgabe a (r+1) ab: a (r+1) i,j = k (r) i,j + 3 7 e r =0 d r =0 (Berechnungen im Körper GF(2 8 ).) w i,er,d r ) 2 dr ( a (r) e r,e r +j

AES als geschlossene algebraische Formel (3) 2 Runden: a (r+1) i,j = k (r) i,j + 3 7 e r =0 d r =0 w i,er,d r ( k (r 1) i,j + 3 0 7 0 w... (a... (r 1) ) 2... ) 2 dr Allgemein: Bei r Runden enthält man eine Art Kettenbruch mit r Bruchstrichen...

Zusammenfassung AES: 128-bit Blockchiffe, sehr effizient einige Kritik an geringem Sicherheitsspielraum noch relativ jung, aber in einigen Jahren ebenso gut untersucht wie der DES heute Triple DES wird, trotz AES, noch lange Zeit weiter genutzt werden

Danksagungen Danksagungen Aus einer Vorlesung von Stefan Lucks Erstellt mit Freier Software

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback