2a. Kryptographische Basistechniken
Bitblock-Verschlüsselung
Das Prinzip der Bitblock-Verschlüsselung
Eine Bitblock-Chiffre wird beschrieben durch eine Abbildung
f : M×K
® C
mit M = C = F2r,
K = F2l.
d. h., r-Bit-Blöcke werden zu r-Bit-Blöcken verschlüsselt,
die Schlüssellänge ist l.
Bemerkung: Solche Abbildungen können immer durch Polynome
beschrieben werden (und sind Gegenstand der Booleschen Algebra).
Achtung: Ist f linear, so ist die Auflösung der
Gleichung f(a,k) = c nach dem unbekannten
Schlüssel k (bei bekanntem Klartext a) trivial!
Allgemeine Anmerkungen
- Bitblockchiffren sind geeignet für computergestützte Chiffriermethoden
und müssen folgende Anforderungen erfüllen:
- Schnelligkeit,
- Optimaler Widerstand gegen Kryptoanalyse.
- Ausreichend große Blocklängen verhindern, dass die Verschlüsselung
durch Muster- und Häufigkeitssuche gebrochen wird.
- Bitblock-Chiffren sind monoalphabetisch über dem Alphabet
F2r,
- daher muss das Alphabet sehr groß sein (r = 64 ist ausreichend,
r = 128 langfristig sicher), ein volles Wörterbuch bei
r = 64 ist 2×64×264 Bit = 271 Bit
= 263 B(ytes) = 223 TB ~ 10 Mio TB groß.
- Die Komposition (Nacheinanderausführen) von Chiffrierschritten erhöht
Diffusion und Konfusion des Verfahrens.
Konstruktionsprinzip für Bitblock-Chiffren
- SP-Netze
- S = Substitution, erzeugt Konfusion,
- P = Permutation, erzeugt Diffusion.
- Spezialfall: Feistel-Netze.
- Ein »Runde« besteht aus einer Substitution und einer Permutation.
- Es werden mehrere Runden ausgeführt (mindestens 8).
Aufbau einer Runde
- Bei DES ist r = 64, es werden pro Runde aber nur 32 Bits
verarbeitet.
- Bei AES ist r = 128.
Die »S-Boxen«
- ... sind der einzige nichtlineare Bestandteil der Chiffre.
- ... operieren auf s-Bit-Teilblöcken.
- Typische Beispiele: s = 6 (DES), s = 8 (AES).
- ... hängen (jeweils von einer anderen) Teilmenge der Schlüsselbits ab
(»Schlüsselauswahlschema«).
- ... sind aber ansonsten in jeder Runde die gleichen.
- DES: 8 S-Boxen durch Tabellen beschrieben.
- AES: Inversion
x ® x-1
= x254 im Körper F256.
Die Nichtlinearität der S-Boxen
- ... wird durch »lineare« oder »differenzielle« Kryptoanalyse ermittelt.
- Berechnung von Linearitätsmaßen durch Fourier-Analyse.
- Z. B.: Wie hoch ist die Wahrscheinlichkeit einer linearen
Relation zwischen Input- und Output-Bits?
Falls ungleich 50%, kann man statistische Aussagen über Schlüsselbits
herleiten.
- Je »näher« die S-Boxen an der Linearität sind, desto mehr Runden
braucht die Chiffre, um sicher zu sein.
Genaueres im
entsprechenden
Kapitel der Kryptologie-Vorlesung.
Vorlesung Datenschutz und Datensicherheit
Autor: Klaus Pommerening, 31. März 1999;
letzte Änderung: 16. Mai 2004
E-Mail an Pommerening »AT« imbei.uni-mainz.de.