Erinnerung Blockchiffre

Ähnliche Dokumente
Die (Un-)Sicherheit von DES

Designziele in Blockchiffren

Voll homomorpe Verschlüsselung

Stefan Lucks Krypto und Mediensicherheit (2009) 5: Blockchiffren. 5: Blockchiffren. (n bit) (n bit) VERschlüsseln ENTschlüsseln

Homomorphe Verschlüsselung

AES. Jens Kubieziel 07. Dezember Friedrich-Schiller-Universität Jena Fakultät für Mathem atik und Informatik

Kryptographie I Symmetrische Kryptographie

Sicherer MAC für Nachrichten beliebiger Länge

Sicherheit von ElGamal

Netzwerktechnologien 3 VO

Sicherheit von hybrider Verschlüsselung

DES der vergangene Standard für Bitblock-Chiffren

Kryptologie und Kodierungstheorie

Name:... Vorname:... Matrikel-Nr.:... Studienfach:...

Vorlesung Sicherheit

ElGamal Verschlüsselungsverfahren (1984)

Kryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik

Seminar Kryptographie und Datensicherheit

Grundlagen der Kryptographie

Effizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC:

Analyse kryptographischer Algorithmen: CAST-128 / 256

Kryptografische Algorithmen

Der Advanced Encryption Standard (AES)

Betriebsarten für Blockchiffren

Lösung zur Klausur zu Krypographie Sommersemester 2005

Breaking a Cryptosystem using Power Analysis

Betriebsarten von Blockchiffren. ECB Electronic Code Book Mode. Padding. ECB Electronic Code Book Mode

Ein Scan basierter Seitenangriff auf DES

Kapitel 3: Etwas Informationstheorie

Praktikum IT-Sicherheit

Stefan Lucks Krypto und Mediensicherheit (2009) 4: Stromchiffren

IT-Sicherheit - Sicherheit vernetzter Systeme -

Was heißt Kryptographie I? Understanding Cryptography Christof Paar und Jan Pelzl

Vorlesung Datensicherheit. Sommersemester 2010

RSA Full Domain Hash (RSA-FDH) Signaturen

Methoden der Kryptographie

Blockverschlüsselung und AES

Kryptographische Zufallszahlen. Schieberegister, Output-Feedback

Kryptographische Systeme (M, C, K, e, d) Symmetrische Verfahren (gleicher Schlüssel zum Verschlüsseln und Entschlüsseln):

AES und Public-Key-Kryptographie

Sommersemester 2002 Konzepte von Betriebssystem-Komponenten: Schwerpunkt Sicherheit (KVBK)

Sicherheit von PDF-Dateien

RSA Verfahren. Kapitel 7 p. 103

Kapitel 4: Flusschiffren

Kryptographie und Komplexität

Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester 2013.

Urbild Angriff auf Inkrementelle Hashfunktionen

Wiederholung Symmetrische Verschlüsselung klassische Verfahren: Substitutionschiffren Transpositionschiffren Vigenère-Chiffre One-Time-Pad moderne

Algorithmische Anwendungen Prof. Dr. Heinrich Klocke

3 Betriebsarten bei Blockverschlüsselung

Kap. 2: Fail-Stop Unterschriften

SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites zu beschäftigen

IT-Security Neuere Konzepte II

12. Vorlesung. 19. Dezember 2006 Guido Schäfer

Einführung in die Kryptographie ,

Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007

Übungen zu. Grundlagen der Kryptologie SS Hochschule Konstanz. Dr.-Ing. Harald Vater. Giesecke & Devrient GmbH Prinzregentenstraße 159

monoalphabetisch: Verschiebechiffren (Caesar), multiplikative Chiffren polyalphabetisch: Vigenère-Chiffre

Kryptographie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik

RSA Full Domain Hash (RSA-FDH) Signaturen

1 Grundprinzipien statistischer Schlußweisen

Beweisbar sichere Verschlüsselung

(27 - Selbstanordnende lineare Listen)

IT-Sicherheit - Sicherheit vernetzter Systeme -

SICHERE DATENHALTUNG IN DER CLOUD VIA HANDY. Tuba Yapinti Abschlussvortrag der Bachelorarbeit Betreuer: Prof. Reinhardt, Dr.

Datenstrukturen & Algorithmen Lösungen zu Blatt 6 FS 14

Symmetrische Verschlüsselung. Blockchiffren, DES, IDEA, Stromchiffren und andere Verfahren

Entscheidungsbäume. Definition Entscheidungsbaum. Frage: Gibt es einen Sortieralgorithmus mit o(n log n) Vergleichen?

Hochschule Wismar Fachbereich Wirtschaft

Netzwerk-Sicherheit. Verschlüsselung, Vertraulichkeit, Authentisierung

12 Kryptologie. ... immer wichtiger. Militär (Geheimhaltung) Telebanking, Elektronisches Geld E-Commerce

Lösungsblatt zur Vorlesung. Kryptanalyse WS 2009/2010. Blatt 6 / 23. Dezember 2009 / Abgabe bis spätestens 20. Januar 2010, 10 Uhr (vor der Übung)

10. Public-Key Kryptographie

IT-Sicherheit - Sicherheit vernetzter Systeme -

Grundbegriffe der Kryptographie II Technisches Seminar SS 2012 Deniz Bilen

Einführung in die Kryptographie

Pseudozufallsgeneratoren

Nr. 4: Pseudo-Zufallszahlengeneratoren

1. Woche Einführung in die Codierungstheorie, Definition Codes, Präfixcode, kompakte Codes

9 Rechnergestütze Blockchiffren

IT-Sicherheit - Sicherheit vernetzter Systeme -

Beweisbar sichere Verschlüsselung 1

Kapitel 2.6: Einführung in Kryptographie

8. Von den Grundbausteinen zu sicheren Systemen

Projekt u23 Symmetrische Kryptografie, Betriebsmodi von Blockchiffren

Mathematik für Ökonomen 1

Vorlesung Sicherheit

Kryptographische Verschlüsselung mithilfe des DES-Verfahrens und die Übersetzung eines Textes durch ein selbstgeschriebenes Delphi-Programm

Wireless Security. IT Security Workshop Moritz Grauel Matthias Naber

Das Verschlüsseln verstehen

SCHRIFTLICHE ZUSAMMENFASSUNG ZUM VORTRAG DIE GRUNDLAGEN DER RSA-VERSCHLÜSSELUNG VON DANIEL METZSCH

Mengen, Funktionen und Logik

Sicherheit in Kommunikationsnetzen

Symmetrische und Asymmetrische Kryptographie. Technik Seminar 2012

Public-Key Verschlüsselung

FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION. Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht

Klassische Kryptographie

Lineare Gleichungssysteme

Erkunden - Prozentrechnung

In beiden Fällen auf Datenauthentizität und -integrität extra achten.

Transkript:

Erinnerung Blockchiffre Definition schlüsselabhängige Permutation Seien F, F 1 pt Algorithmen. F heißt schlüsselabhängige Permutation auf l Bits falls 1 F berechnet eine Funktion {0, 1} n {0, 1} l {0, 1} l, so dass für alle k {0, 1} n die Funktion F k ( ) eine Bijektion ist. 2 F 1 k ( ) berechnet die Umkehrfunktion von F k ( ). Definition Starke Pseudozufallspermutation (Blockchiffre) Sei F eine schlüsselabhängige Permutation auf l Bits. Wir bezeichnen F als starke Pseudozufallspermutation (Blockchiffre), falls für alle ppt D gilt Ws[D F k( ),F 1 k ( ) (1 n ) = 1] Ws[D f( ),f 1 ( ) (1 n ) = 1] negl(n), mit k R {0, 1} n und f R Perm l. Krypto I - Vorlesung 13-14.01.2013 Substitution-Permutations- und Feistelnetzwerk, Data Encryption Standard 155 / 172

Angriffe auf Blockchiffren Warnung: Blockchiffren selbst sind kein sicheres Verschlüsselungsschema. Angriffe: in aufsteigender Stärke 1 Ciphertext-only: A erhält F k (x i ) für unbekannte x i. 2 Known plaintext: A erhält Paare (x i, F k (x i )) 3 Chosen plaintext: A wählt x i und erhält F k (x i ). (entspricht PRP-Definition) 4 Chosen ciphertext: A wählt x i, y i und erhält F k (x i ), F 1 k (y i ). (entspricht starker PRP-Definition) Sicherheit: Ununterscheidbarkeit von echter PRP. Krypto I - Vorlesung 13-14.01.2013 Substitution-Permutations- und Feistelnetzwerk, Data Encryption Standard 156 / 172

Konfusion und Diffusion Ziel: Kleine Eingabedifferenzen erzeugen pseudozufällige Ausgaben. Paradigma Konfusion und Diffusion Rundeniterierte Vorgehensweise zur Konstruktion einer Blockchiffre 1 Konfusion: Permutiere kleine Bitblöcke schlüsselabhängig. 2 Diffusion: Permutiere alle Bits. Bsp: F soll Blocklänge 128 Bits besitzen. Konfusion: Definiere schlüsselabhängige Permutation f 1,..., f 16 auf 8 Bits. Sei x = x 1... x 16 ({0, 1} 8 ) 16. Definiere F k (x) = f 1 (x 1 )... f 16 (x 16 ). Diffusion: Permutiere die Bits von F k (x). Iteriere die obigen beiden Schritte hinreichend oft, damit kleine Eingabedifferenzen sich auf alle Ausgabebits auswirken. Beschreibungslänge von f i : 8 2 8 Bits, F : 16 8 2 8 = 2 15 Bits. Länge einer echten Zufallspermutation: 128 2 128 = 2 135 Bits. Krypto I - Vorlesung 13-14.01.2013 Substitution-Permutations- und Feistelnetzwerk, Data Encryption Standard 157 / 172

Substitutions-Permutations Netzwerk (SPN) Szenario: Verwende einen Masterschlüssel k. Berechne aus dem Masterschlüssel k Rundenschlüssel k 1,...k r mittels eines sogenannten Keyschedule-Algorithmus. Die Permutationsfunktionen f 1,...,f m werden fest und schlüsselunabhängig gewählt (sogenannte S-Boxen). Beschreibung Substitutions-Permutations Netzwerk (SPN) EINGABE: f 1,..., f m, k {0, 1} n, x, l, r 1 Berechne k 1,...,k r {0, 1} l aus k. Setze y x. 2 For i 1 to r 1 Schlüsseladdition: y := y k i. 2 Substitution per S-Boxen: y := f 1 (y 1 )...,f m (y m ) mit y = y 1...y m. 3 Permutation: y := Permutation der Bits von y. AUSGABE: F k (x) := y Beobachtung: F ist invertierbar, da jeder Schritt invertierbar ist. Krypto I - Vorlesung 13-14.01.2013 Substitution-Permutations- und Feistelnetzwerk, Data Encryption Standard 158 / 172

Lawineneffekt Ziel: Veränderung in Eingabebit wirkt sich auf alle Ausgabebits aus. Beobachtung Notwendige Eigenschaften für Lawineneffekt 1 S-Box: Ändern eines Eingabebits verändert 2 Ausgabebits. 2 Permutation: Ausgabebits einer S-Box werden zu Eingabebits verschiedener S-Boxen. Beobachtung: Lawineneffekt Betrachten ein SPN mit 4 Bit S-Boxen und Blocklänge 128 Bit. 1-Bit Eingabedifferenz erzeugt mindestens eine 2-Bit Differenz. Eine 2-Bit Differenz resultiert in zwei 1-Bit Differenzen an verschiedenen S-Boxen in der nächsten Runde. Diese sorgen für mindestens 4-Bit Differenz, usw. D.h. jede Runde verdoppelt potentiell die beeinträchtigten Bits. Nach 7 Runden sind alle 2 7 = 128 Bits von der Veränderung eines Eingabebits beeinträchtigt. Krypto I - Vorlesung 13-14.01.2013 Substitution-Permutations- und Feistelnetzwerk, Data Encryption Standard 159 / 172

Angriff auf eine Runde eines SPN Algorithmus Angriff auf eine Runde eines SPN EINGABE: x, y = F k (x) 1 y := Invertiere auf y die Permutation und die S-Boxen. 2 Berechne k := x y. AUSGABE: k Anmerkungen: Die Invertierung in Schritt 1 ist möglich, da sowohl die Permutation als auch die S-Boxen öffentlich sind. Nach Invertierung erhält man den Wert x k. Krypto I - Vorlesung 13-14.01.2013 Substitution-Permutations- und Feistelnetzwerk, Data Encryption Standard 160 / 172

Distinguisher für 2 Runden Bsp: Distinguisher für 2 Runden Wir betrachten Blocklänge 80 Bit und 4 Bit S-Boxen. Wähle x i, die sich nur im ersten 4-Bit Block unterscheiden. Nach 1. Runde: Ausgaben unterscheiden sich in 4 Blöcken. Nach 2. Runde: Ausgaben unterscheiden sich in 16 Blöcken. D.h. nicht alle der 20 Ausgabeblöcke werden verändert. Können SPN leicht von Pseudozufallspermutation entscheiden. Krypto I - Vorlesung 13-14.01.2013 Substitution-Permutations- und Feistelnetzwerk, Data Encryption Standard 161 / 172

Feistelnetzwerk Szenario: Leite aus k Rundenschlüssel k 1,...,k r ab. Teile Nachrichtenblock in linke Seite L i und rechte Seite R i. Sei n die Blocklänge. Definiere nicht notwendigerweise invertierbare Rundenfunktionen f i : {0, 1} n 2 {0, 1} n 2. Die Funktionen f i hängen von den Rundenschlüsseln k i ab. Algorithmus Feistelnetzwerk EINGABE: k, x, n, r 1 Leite k 1,...,k r aus k ab. 2 Setze (L 0 R 0 ) := x mit L i, R i {0, 1} n 2. 3 For i = 1 to r 1 Setze L i := R i 1 und R i := L i 1 f i (R i 1 ). AUSGABE: F k (x) := (L r R r ) Invertierung einer Feisteliteration: R i 1 := L i und L i 1 := R i f i (L i ). Krypto I - Vorlesung 13-14.01.2013 Substitution-Permutations- und Feistelnetzwerk, Data Encryption Standard 162 / 172

DES - Data Encryption Standard Beschreibung von DES: Entwickelt 1973 von IBM, standardisiert 1976. DES besitzt Schlüssellänge 56 Bit und Blocklänge 64 Bit. Besteht aus Feistelnetzwerk mit 16 Runden. Aus Bits von k werden 48-Bit Schlüssel k 1,..., k 16 ausgewählt. Rundenfunktionen f i sind SPNs mit nicht invertierbaren S-Boxen. Algorithmus Rundenfunktion f i EINGABE: k i, R i 1 {0, 1} 32 1 y := Erweitere R i 1 auf 48 Bit durch Verdopplung von 16 Bits. 2 y := y k i 3 y := Splitte y in 6-Bit Blöcke y 1...y 8 auf. Wende auf jedes y i eine S-Box S i : {0, 1} 6 {0, 1} 4 an. Permutiere das Ergebnis. AUSGABE: f i (R i 1 ) := y Krypto I - Vorlesung 13-14.01.2013 Substitution-Permutations- und Feistelnetzwerk, Data Encryption Standard 163 / 172

Die DES S-Boxen DES S-Boxen: Alle 8 S-Boxen realisieren verschiedene Abb. {0, 1} 6 {0, 1} 4. Jede S-Box ist eine 4:1-Abbildung. D.h. jede S-Box sendet genau 4 Eingaben auf eine Ausgabe. Wechsel eines Eingabebits ändert mindestens zwei Ausgabebits. Lawineneffekt bei DES: Wähle (L 0, R 0 ) und (L 0, R 0) mit 1-Bit Differenz in L 0, L 0. (L 1, R 1 ) und (L 1, R 1 ) besitzen 1-Bit Differenz in R 1, R 1. Durch f 2 erhält man mindestens eine 2-Bit Differenz in R 2, R 2. D.h. (L 2, R 2 ) und (L 2, R 2 ) besitzen mind. eine 3-Bit Differenz. f 3 angewendet auf R 2, R 2 liefert mind. eine 4-Bit Differenz, usw. Nach 8 Runden erreicht man volle Diffusion auf alle Ausgabebits. Krypto I - Vorlesung 13-14.01.2013 Substitution-Permutations- und Feistelnetzwerk, Data Encryption Standard 164 / 172

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback