Erinnerung Blockchiffre

Ähnliche Dokumente
Die (Un-)Sicherheit von DES

Designziele in Blockchiffren

Voll homomorpe Verschlüsselung

Stefan Lucks Krypto und Mediensicherheit (2009) 5: Blockchiffren. 5: Blockchiffren. (n bit) (n bit) VERschlüsseln ENTschlüsseln

Kryptographie I Symmetrische Kryptographie

Homomorphe Verschlüsselung

Sicherheit von ElGamal

ElGamal Verschlüsselungsverfahren (1984)

AES. Jens Kubieziel 07. Dezember Friedrich-Schiller-Universität Jena Fakultät für Mathem atik und Informatik

Sicherheit von hybrider Verschlüsselung

Sicherer MAC für Nachrichten beliebiger Länge

Netzwerktechnologien 3 VO

Effizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC:

DES der vergangene Standard für Bitblock-Chiffren

Kryptologie und Kodierungstheorie

Name:... Vorname:... Matrikel-Nr.:... Studienfach:...

Vorlesung Sicherheit

Kryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik

Seminar Kryptographie und Datensicherheit

Grundlagen der Kryptographie

Analyse kryptographischer Algorithmen: CAST-128 / 256

Kryptografische Algorithmen

Der Advanced Encryption Standard (AES)

Betriebsarten für Blockchiffren

Lösung zur Klausur zu Krypographie Sommersemester 2005

Betriebsarten von Blockchiffren. ECB Electronic Code Book Mode. Padding. ECB Electronic Code Book Mode

Ein Scan basierter Seitenangriff auf DES

Kapitel 3: Etwas Informationstheorie

Praktikum IT-Sicherheit

Stefan Lucks Krypto und Mediensicherheit (2009) 4: Stromchiffren

IT-Sicherheit - Sicherheit vernetzter Systeme -

Was heißt Kryptographie I? Understanding Cryptography Christof Paar und Jan Pelzl

Vorlesung Datensicherheit. Sommersemester 2010

RSA Full Domain Hash (RSA-FDH) Signaturen

Methoden der Kryptographie

Blockverschlüsselung und AES

Kryptographische Zufallszahlen. Schieberegister, Output-Feedback

Kryptographische Systeme (M, C, K, e, d) Symmetrische Verfahren (gleicher Schlüssel zum Verschlüsseln und Entschlüsseln):

AES und Public-Key-Kryptographie

Sommersemester 2002 Konzepte von Betriebssystem-Komponenten: Schwerpunkt Sicherheit (KVBK)

Sicherheit von PDF-Dateien

RSA Verfahren. Kapitel 7 p. 103

Kapitel 4: Flusschiffren

Kryptographie und Komplexität

Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester 2013.

Urbild Angriff auf Inkrementelle Hashfunktionen

Wiederholung Symmetrische Verschlüsselung klassische Verfahren: Substitutionschiffren Transpositionschiffren Vigenère-Chiffre One-Time-Pad moderne

Algorithmische Anwendungen Prof. Dr. Heinrich Klocke

3 Betriebsarten bei Blockverschlüsselung

Kap. 2: Fail-Stop Unterschriften

SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites zu beschäftigen

IT-Security Neuere Konzepte II

12. Vorlesung. 19. Dezember 2006 Guido Schäfer

Einführung in die Kryptographie ,

Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007

Übungen zu. Grundlagen der Kryptologie SS Hochschule Konstanz. Dr.-Ing. Harald Vater. Giesecke & Devrient GmbH Prinzregentenstraße 159

monoalphabetisch: Verschiebechiffren (Caesar), multiplikative Chiffren polyalphabetisch: Vigenère-Chiffre

Kryptographie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik

RSA Full Domain Hash (RSA-FDH) Signaturen

1 Grundprinzipien statistischer Schlußweisen

Beweisbar sichere Verschlüsselung

(27 - Selbstanordnende lineare Listen)

IT-Sicherheit - Sicherheit vernetzter Systeme -

SICHERE DATENHALTUNG IN DER CLOUD VIA HANDY. Tuba Yapinti Abschlussvortrag der Bachelorarbeit Betreuer: Prof. Reinhardt, Dr.

Symmetrische Verschlüsselung. Blockchiffren, DES, IDEA, Stromchiffren und andere Verfahren

Datenstrukturen & Algorithmen Lösungen zu Blatt 6 FS 14

Entscheidungsbäume. Definition Entscheidungsbaum. Frage: Gibt es einen Sortieralgorithmus mit o(n log n) Vergleichen?

Hochschule Wismar Fachbereich Wirtschaft

Netzwerk-Sicherheit. Verschlüsselung, Vertraulichkeit, Authentisierung

12 Kryptologie. ... immer wichtiger. Militär (Geheimhaltung) Telebanking, Elektronisches Geld E-Commerce

Lösungsblatt zur Vorlesung. Kryptanalyse WS 2009/2010. Blatt 6 / 23. Dezember 2009 / Abgabe bis spätestens 20. Januar 2010, 10 Uhr (vor der Übung)

10. Public-Key Kryptographie

IT-Sicherheit - Sicherheit vernetzter Systeme -

Grundbegriffe der Kryptographie II Technisches Seminar SS 2012 Deniz Bilen

Einführung in die Kryptographie

Pseudozufallsgeneratoren

Nr. 4: Pseudo-Zufallszahlengeneratoren

9 Rechnergestütze Blockchiffren

1. Woche Einführung in die Codierungstheorie, Definition Codes, Präfixcode, kompakte Codes

Kapitel 2.6: Einführung in Kryptographie

8. Von den Grundbausteinen zu sicheren Systemen

Projekt u23 Symmetrische Kryptografie, Betriebsmodi von Blockchiffren

Mathematik für Ökonomen 1

Kryptographische Verschlüsselung mithilfe des DES-Verfahrens und die Übersetzung eines Textes durch ein selbstgeschriebenes Delphi-Programm

Wireless Security. IT Security Workshop Moritz Grauel Matthias Naber

Das Verschlüsseln verstehen

Parameterwahl für sichere zeitgemäße Verschlüsselung

SCHRIFTLICHE ZUSAMMENFASSUNG ZUM VORTRAG DIE GRUNDLAGEN DER RSA-VERSCHLÜSSELUNG VON DANIEL METZSCH

Mitschrift Vorlesung Einführung in die Kryptographie vom 18. Januar 2011

Mengen, Funktionen und Logik

Sicherheit in Kommunikationsnetzen

Symmetrische und Asymmetrische Kryptographie. Technik Seminar 2012

Public-Key Verschlüsselung

FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION. Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht

Klassische Kryptographie

Lineare Gleichungssysteme

Transkript:

Erinnerung Blockchiffre Definition schlüsselabhängige Permutation Seien F, F 1 pt Algorithmen. F heißt schlüsselabhängige Permutation auf l Bits falls 1 F berechnet eine Funktion {0, 1} n {0, 1} l {0, 1} l, so dass für alle k {0, 1} n die Funktion F k ( ) eine Bijektion ist. 2 F 1 k ( ) berechnet die Umkehrfunktion von F k ( ). Definition Starke Pseudozufallspermutation (Blockchiffre) Sei F eine schlüsselabhängige Permutation auf l Bits. Wir bezeichnen F als starke Pseudozufallspermutation (Blockchiffre), falls für alle ppt D gilt Ws[D F k ( ),F 1 k ( ) (1 n ) = 1] Ws[D f ( ),f 1 ( ) (1 n ) = 1] negl(n), mit k R {0, 1} n und f R Perm l. Krypto I - Vorlesung 13-24.01.2011 Substitution-Permutations- und Feistelnetzwerk, Data Encryption Standard 153 / 176

Angriffe auf Blockchiffren Angriffe: in aufsteigender Stärke 1 Ciphertext-only: A erhält F k (x i ) für unbekannte x i. 2 Known plaintext: A erhält Paare (x i, F k (x i )) 3 Chosen plaintext: A wählt x i und erhält F k (x i ). 4 Chosen ciphertext: A wählt x i, y i und erhält F k (x i ), F 1 k (y i ). Sicherheit: Jede Pseudozufallspermutation F ist CPA-sicher. Jede starke Pseudozufallspermutation F ist CCA-sicher. Warnung: Blockchiffren selbst sind kein sicheres Verschlüsselungsschema. Krypto I - Vorlesung 13-24.01.2011 Substitution-Permutations- und Feistelnetzwerk, Data Encryption Standard 154 / 176

Konfusion und Diffusion Ziel: Kleine Eingabedifferenzen erzeugen pseudozufällige Ausgaben. Paradigma Konfusion und Diffusion Rundeniterierte Vorgehensweise zur Konstruktion einer Blockchiffre 1 Konfusion: Permutiere kleine Bitblöcke schlüsselabhängig. 2 Diffusion: Permutiere alle Bits. Bsp: F soll Blocklänge 128 Bits besitzen. Konfusion: Definiere schlüsselabhängige Permutation f 1,..., f 16 auf 8 Bits. Sei x = x 1... x 16 ({0, 1} 8 ) 16. Definiere F k (x) = f 1 (x 1 )... f 16 (x 16 ). Diffusion: Permutiere die Bits von F k (x). Iteriere die obigen beiden Schritte hinreichend oft, damit kleine Eingabedifferenzen sich auf alle Ausgabebits auswirken. Beschreibungslänge von f i : 8 2 8 Bits, F : 16 8 2 8 = 2 15 Bits. Länge einer echten Zufallspermutation: 128 2 128 = 2 135 Bits. Krypto I - Vorlesung 13-24.01.2011 Substitution-Permutations- und Feistelnetzwerk, Data Encryption Standard 155 / 176

Substitutions-Permutations Netzwerk (SPN) Szenario: Verwende einen Masterschlüssel k. Berechne aus dem Masterschlüssel k Rundenschlüssel k 1,... k r mittels eines sogenannten Keyschedule-Algorithmus. Die Permutationsfunktionen f 1,..., f m werden fest und schlüsselunabhängig gewählt (sogenannte S-Boxen). Beschreibung Substitutions-Permutations Netzwerk (SPN) EINGABE: f 1,..., f m, k {0, 1} n, x, l, r 1 Berechne k 1,..., k r {0, 1} l aus k. y x. 2 For i 1 to r 1 Schlüsseladdition: y y k i. Schreibe y = y 1... y m. 2 Substitution per S-Boxen: y f 1 (y 1 )..., f m (y m ) 3 Permutation: y Permutation der Bits von y. AUSGABE: F k (x) := y Beobachtung: F ist invertierbar, da jeder Schritt invertierbar ist. Krypto I - Vorlesung 13-24.01.2011 Substitution-Permutations- und Feistelnetzwerk, Data Encryption Standard 156 / 176

Lawineneffekt Ziel: Veränderung in Eingabebit wirkt sich auf alle Ausgabebits aus. Beobachtung Notwendige Eigenschaften für Lawineneffekt 1 S-Box: Ändern eines Eingabebits verändert 2 Ausgabebits. 2 Permutation: Ausgabebits einer S-Box werden zu Eingabebits verschiedener S-Boxen. Beobachtung: Lawineneffekt Betrachten ein SPN mit 4 Bit S-Boxen und Blocklänge 128 Bit. 1-Bit Eingabedifferenz erzeugt mindestens eine 2-Bit Differenz. Eine 2-Bit Differenz resultiert in zwei 1-Bit Differenzen an verschiedenen S-Boxen in der nächsten Runde. Diese sorgen für mindestens 4-Bit Differenz, usw. D.h. jede Runde verdoppelt potentiell die beeinträchtigten Bits. Nach 7 Runden sind alle 2 7 = 128 Bits von der Veränderung eines Eingabebits beeinträchtigt. Krypto I - Vorlesung 13-24.01.2011 Substitution-Permutations- und Feistelnetzwerk, Data Encryption Standard 157 / 176

Angriff auf eine Runde eines SPN Algorithmus Angriff auf eine Runde eines SPN EINGABE: x, y = F k (x) 1 y := Invertiere auf y die Permutation und die S-Boxen. 2 Berechne k := x y. AUSGABE: k Anmerkungen: Die Invertierung in Schritt 1 ist möglich, da sowohl die Permutation als auch die S-Boxen öffentlich sind. Nach Invertierung erhält man den Wert x k. Krypto I - Vorlesung 13-24.01.2011 Substitution-Permutations- und Feistelnetzwerk, Data Encryption Standard 158 / 176

Distinguisher für 2 Runden Bsp: Distinguisher für 2 Runden Wir betrachten Blocklänge 80 Bit und 4 Bit S-Boxen. Wähle x i, die sich nur im ersten 4-Bit Block unterscheiden. Nach 1. Runde: Ausgaben unterscheiden sich in 4 Blöcken. Nach 2. Runde: Ausgaben unterscheiden sich in 16 Blöcken. D.h. nicht alle der 20 Ausgabeblöcke werden verändert. Können SPN leicht von Pseudozufallspermutation entscheiden. Krypto I - Vorlesung 13-24.01.2011 Substitution-Permutations- und Feistelnetzwerk, Data Encryption Standard 159 / 176

Feistelnetzwerk Szenario: Leite aus k Rundenschlüssel k 1,..., k r ab. Teile Nachrichtenblock in linke Seite L i und rechte Seite R i. Sei n die Blocklänge. Definiere nicht notwendigerweise invertierbare Rundenfunktionen f i : {0, 1} n 2 {0, 1} n 2. Die Funktionen f i hängen von den Rundenschlüsseln k i ab. Algorithmus Feistelnetzwerk EINGABE: k, x, n, r 1 Leite k 1,..., k r aus k ab. 2 Setze (L 0 R 0 ) := x mit L i, R i {0, 1} n 2. 3 For i = 1 to r 1 Setze L i := R i 1 und R i := L i 1 f i (R i 1 ). AUSGABE: F k (x) := (L r R r ) Invertierung einer Feisteliteration: R i 1 := L i und L i 1 := R i f i (L i ). Krypto I - Vorlesung 13-24.01.2011 Substitution-Permutations- und Feistelnetzwerk, Data Encryption Standard 160 / 176

DES - Data Encryption Standard Beschreibung von DES: Entwickelt 1973 von IBM, standardisiert 1976. DES besitzt Schlüssellänge 56 Bit und Blocklänge 64 Bit. Besteht aus Feistelnetzwerk mit 16 Runden. Aus Bits von k werden 48-Bit Schlüssel k 1,..., k 16 ausgewählt. Rundenfunktionen f i sind SPNs mit nicht invertierbaren S-Boxen. Algorithmus Rundenfunktion f i EINGABE: k i, R i 1 {0, 1} 32 1 y := Erweitere R i 1 auf 48 Bit durch Verdopplung von 16 Bits. 2 y := y k i 3 y := Splitte y in 6-Bit Blöcke y 1... y 8 auf. Wende auf jedes y i eine S-Box S i : {0, 1} 6 {0, 1} 4 an. Permutiere das Ergebnis. AUSGABE: f i (R i 1 ) := y Krypto I - Vorlesung 13-24.01.2011 Substitution-Permutations- und Feistelnetzwerk, Data Encryption Standard 161 / 176

Die DES S-Boxen DES S-Boxen: Alle 8 S-Boxen realisieren verschiedene Abb. {0, 1} 6 {0, 1} 4. Jede S-Box ist eine 4:1-Abbildung. D.h. jede S-Box sendet genau 4 Eingaben auf eine Ausgabe. Wechsel eines Eingabebits ändert mindestens zwei Ausgabebits. Lawineneffekt bei DES: Wähle (L 0, R 0 ) und (L 0, R 0) mit 1-Bit Differenz in L 0, L 0. (L 1, R 1 ) und (L 1, R 1 ) besitzen 1-Bit Differenz in R 1, R 1. Durch f 2 erhält man mindestens eine 2-Bit Differenz in R 2, R 2. D.h. (L 2, R 2 ) und (L 2, R 2 ) besitzen mind. eine 3-Bit Differenz. f 3 angewendet auf R 2, R 2 liefert mind. eine 4-Bit Differenz, usw. Nach 8 Runden erreicht man volle Diffusion auf alle Ausgabebits. Krypto I - Vorlesung 13-24.01.2011 Substitution-Permutations- und Feistelnetzwerk, Data Encryption Standard 162 / 176

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback