Definition 1.1 Eine Kryptosystem (P(A), C (B ), K, E , D) besteht aus

(1)

1 Kryptosysteme

Definition 1.1 Eine Kryptosystem (P(A), C (B ), K, E , D) besteht aus

• einer Menge P von Klartexten (plaintext) ¨ uber einem Klartextalphabet A,

• einer Menge C von Geheimtexten (ciphertext) ¨ uber einem Geheimtextalpha- bet B ,

• einer Menge K von Schl¨ usseln (key), dem Schl¨ usselraum,

• der Verschl¨ usselung oder Chiffrierung E , d. h. einer Familie von Abbildun- gen E

_K

: P → C, K ∈ K,

• der Entschl¨ usselung oder Dechiffrierung D, d. h. einer Familie von Abbil- dungen D

_K

: C → P, K ∈ K,

so daß f¨ ur alle K ∈ K und alle Klartexte P gilt D

_K

◦ E

_K

(P ) = P

Die Zuordnungen von E

_K

und D

_K

zu K ∈ K stellen den Chiffrier- und den Dechiffrieralgorithmus dar.

Schlüssel

K

E K D K

leicht leicht

groß

schwer verfahren

Chiffrier−

(2)

1 KRYPTOSYSTEME

Bemerkung 1.2 a) In der Kryptographie wird generell vorausgesetzt, daß die Chiffrier- und Dechiffrieralgorithmen allgemein bekannt sind. Die Geheimhaltung basiert einzig auf der Unkenntnis der verwendeten Schl¨ ussel. Diese Sichtweise wur- de durch den niederl¨ andischen Kryptanalytiker A. Kerckhoffs im 19. Jahrhundert erstmals formuliert.

b) Klassische Kryptosysteme sind symmetrisch, bei ihnen ist es leicht, aus E

_K

die Umkehrabbildung D

_K

zu berechnen. Bei asymmetrischen Systemen ist die Ermittlung von D

_K

aus E

_K

ohne geheime Zusatzinformation extrem schwierig.

Man nennt derartige Funktionen E

_K

Einwegfunktionen und die geheimen Zu- satzinformationen Fallt¨ uren. Wird ein solches Verfahren benutzt, so kann der Empf¨ anger einer Nachricht dem Sender einen Schl¨ ussel K ¨ offentlich mitteilen, mit dem dieser eine Nachricht verschl¨ usseln soll. Wenn nur der Empf¨ anger die geheime Zusatzinformation besitzt, mit der er D

_K

berechnen kann, ist einem An- greifer die Entschl¨ usselung trotzdem nicht m¨ oglich. Derartige Verfahren werden daher auch Kryptosysteme mit ¨ offentlichem Schl¨ ussel genannt.

Schlüssel

E K D K

Klartexte Geheimtexte

leicht leicht groß

schwer K=(Kö,Kp)

schwer

schwer verfahren

Chiffrier−

(3)

Beispiel 1.3 a) Translations-Kryptosysteme Es sei q eine nat¨ urliche Zahl und A = B = K = _Z

_q

. F¨ ur jeden Schl¨ ussel K = b ∈ K sei E

_K

(x) ≡ x + b mod q und D

_K

(x) ≡ x − b mod q f¨ ur alle x ∈ Z

q

.

b) Substitutions-Kryptosysteme Es sei q eine nat¨ urliche Zahl und A = B =

Z

q

. Weiterhin sei K = S

_q

die symmetrische Gruppe der Ordnung q und f¨ ur je- den Schl¨ ussel K = π ∈ K sei E

K

(x) = π(x) und D

K

(x) = π

⁻¹

(x) f¨ ur alle x ∈ _Z

_q

. Jede Translation in a) liefert nat¨ urlich eine Permutaion von _Z

_q

. Daher ist Translations-Kryptosystem ein Substitutions-Kryptosystem. Weil f¨ ur alle Buch- staben der Klartexte aus P dieselbe Verschl¨ usselungsfunktion verwendet wird, nennt man Substitutions-Kryptosysteme auch monoalphabetische Kryptosysteme.

Beispiel 1.4 Vigen` ere-Kryptosysteme (Blaise de Vigen` ere, 1525 - 1596) Es seien m und q nat¨ urliche Zahlen und A = B = ( _Z

_q

)

^m

= K.

F¨ ur K = (k

₁

, . . . , k

_m

) ∈ K sei E

_K

(x

₁

, . . . , x

_m

) ≡ (x

₁

+k

₁

, . . . , x

_m

+k

_m

) mod q und D

_K

(x

₁

, . . . , x

_m

) ≡ (x

₁

−k

₁

, . . . , x

_m

−k

_m

) mod q f¨ ur alle (x

₁

, . . . , x

_m

) ∈ ( _Z

_q

)

^m

. F¨ ur m = 1 ergibt sich ein Translations-Kryptosystem. F¨ ur m > 1 spricht man von einem polyalphabetischen Kryptosystem, da f¨ ur jeden Buchstaben, je nach seiner Position im Klartext, mehrere Verschl¨ usselungen m¨ oglich sind. Man bezeichnet K auch als Schl¨ usselwort.

Beispiel 1.5 Selbstschl¨ ussel-Chiffre (nach Vigen` ere) Es sei q eine nat¨ urliche Zahl, A = B = K = Z

q

, z

1

∈ K und z

i

= x

i−1

f¨ ur i ≥ 2. Weiterhin seien E

_z

(x) = x + z mod q und D

_z

(x) = x − z mod q f¨ ur alle z, x ∈ _Z

_q

.

Beispiel 1.6 RSA-Kryptosysteme (spezielle Public-Key-Kryptosysteme) Es seien p, q Primzahlen, n = p · q und ϕ(n) = (p − 1)(q − 1) sowie A = B = _Z

_n

. Weiterhin sei K = {(n, p, q, e, d) | ed ≡ 1 mod ϕ(n)}. F¨ ur K = (n, p, q, e, d) sei E

_K

(x) ≡ x

^e

mod n und D

_K

(x) ≡ x

^d

mod n. Der Teil (n, e) von K heißt

¨ offentlicher Schl¨ ussel, der Teil (p, q, d) geheimer Schl¨ ussel.

(4)

1 KRYPTOSYSTEME

ermitteln m¨ ochte: Gegeben sind also P

i

, C

i

= E

K

(P

i

) f¨ ur i = 1, . . . , n, gesucht K bzw. ein Algorithmus, um P

_n+1

aus C

_n+1

= E

_K

(P

_n+1

) zu berechnen. F¨ ur die Sicherheit gegen derartige Angriffe ist es erforderlich, daß die Zuordnung (P, K) 7→ (P, E

K

(P )) eine Einweg-Funktion ohne Fallt¨ ur ist.

iii) Angriffe mit gew¨ ahltem Klartext liegen vor, wenn der Angreifer die Geheim- texte zu von ihm selbst gew¨ ahlten Klartexten bestimmen kann: Gegeben sind also P

_i

, C

_i

= E

_K

(P

_i

) f¨ ur i = 1, . . . , n mit frei gew¨ ahlten Klartexten P

_i

, gesucht K bzw. ein Algorithmus, um P

_n+1

aus C

_n+1

= E

_K

(P

_n+1

) zu berechnen. Dies ist insbesondere bei Public-Key-Verfahren stets der Fall, die also gegen derartige Angriffe sicher sein m¨ ussen.

Bei einer adaptiven Variante dieses Angriffs werden die P

_i

nacheinander in Ab- h¨ angigkeit von den zuvor erzielten Ergebnissen gew¨ ahlt.

iv) Angriffe mit gew¨ ahltem Geheimtext liegen vor, wenn der Angreifer durch Kenntnis der Dechiffrierung Geheimtexte w¨ ahlen kann und daraus die zugeh¨ ori- gen Klartexte ermitteln kann: Gegeben sind also C

_i

, P

_i

= D

_K

(P

_i

) f¨ ur i = 1, . . . , n, gesucht K bzw. ein Algorithmus, um P

_n+1

aus C

_n+1

= E

_K

(P

_n+1

) zu berechnen Auch diese Variante muß bei Public-Key-Systemen betrachtet werden.

Eine Kombination aus iii) und iv) wir auch ein Angriff mit gew¨ ahlten Texten genannt.

v) Angriffe durch Gewalt liegen vor, wenn der “Kryptanalytiker” den Schl¨ ussel durch Bedrohung, Erpressung oder k¨ orperliche Gewalt an sich bringt. Eine Vari- ante hiervon ist die Bestechung als Angriff mit gekauftem Schl¨ ussel. Diese Metho- den sind sehr wirkungsvoll und oft der beste Weg, ein Kryptosystem zu brechen.

Im Rahmen dieser Vorlesung werden sie aber aus ethischen Gr¨ unden nicht weiter behandelt!

vi) Brute-Force-Angriffe bestehen darin, daß man f¨ ur einen gegebenen Geheim-

text C s¨ amtliche Schl¨ ussel K des Schl¨ usselraumes durchprobiert und nachschaut,

ob P = D

_K

(C) ein sinnvoller Klartext ist. Auch diese Methode wird in dieser

Vorlesung als “unsportlich” angesehen!

(5)

2 Perfekte Sicherheit

Definition 2.1 Ein Kryptosystem (P (A), C (B), K, E , D) heißt dann perfekt si- cher, wenn I(P , C ) = 0 ist, wenn die Geheimtexte also keine Information ¨ uber die Klartexte liefern.

Satz 2.2 Ein Kryptosystem (P (A), C(B), K, E , D) ist genau dann perfekt sicher, wenn die Wahrscheinlichkeitsverteilungen auf P und C unabh¨ angig sind.

Folgerung 2.3 In einem perfekt sicheren Kryptosystem gibt es mindestens so viele Schl¨ ussel wie Klartexte.

Folgerung 2.4 Erf¨ ullt ein Kryptosystem die Bedingungen (i) |P| = |K| und (ii) q

_K

= |K|

⁻¹

f¨ ur alle K ∈ K, so ist es perfekt sicher.

p r

C

P C

K q

K

(6)

2 PERFEKTE SICHERHEIT

Beispiel 2.5 Das folgende, auf Ideen von Gilbert S. Vernam (1890 - 1960) im Jahr 1917 zur¨ uckgehende Verfahren des Einwegschl¨ ussels gew¨ ahrt zwar perfekte Sicherheit gegen unbefugtes Abh¨ oren, der Preis ist aber der aufwendige Schl¨ us- selaustausch zwischen Sender und Empf¨ anger. Es wird hierbei n¨ amlich vorausge- setzt, daß Sender und Empf¨ anger ¨ uber eine identische und zuf¨ allige unendliche Folge von Bin¨ arzeichen s

₁

s

₂

s

₃

. . . verf¨ ugen. Die Nachrichten bestehen ebenfalls aus Folgen von Bin¨ arzeichen n

1

n

2

n

3

. . .. Die Versch¨ usselung besteht darin, daß aus dem Nachrichtensymbol n

_i

das zu sendende Symbol m

_i

= n

_i

+ s

_i

mod 2 ge- macht wird. Ist dies geschehen, so wird s

_i

aus der Schl¨ usselfolge gestrichen, jedes Schl¨ usselsymbol wird also nur einmal verwendet. Der Empf¨ anger kann daraus sofort n

_i

= m

_i

+ s

_i

mod 2 berechnen und anschließend aus seiner Schl¨ usselfolge ebenfalls s

_i

streichen. Dadurch bleiben die beiden Schl¨ usselfolgen synchron. Ein Angreifer kann eine Nachricht nur dann entschl¨ usseln, wenn er f¨ ur jedes m

i

das zugeh¨ orige s

_i

richtig err¨ at. Die Wahrscheinlichkeit hierf¨ ur geht mit wachsender Nachrichtenl¨ ange aber gegen 0, wenn die Schl¨ usselfolge eine Zufallsfolge ist. In der Praxis kann man sich auch mit Folgen von Pseudozufallszahlen behelfen, wobei man statt der Schl¨ usselfolgen nur die entsprechenden Generatoren austauschen muß. Dann ist allerdings die perfekte Sicherheit nicht mehr gew¨ ahrleistet. Die Verwendung von Einwegschl¨ usseln ist das einzigen Verfahren, f¨ ur das bis heute die perfekte Sicherheit bewiesen ist.

Definition 1.1 Eine Kryptosystem (P(A), C (B ), K, E , D) besteht aus

1 Kryptosysteme

Definition 1.1 Eine Kryptosystem (P(A), C (B ), K, E , D) besteht aus

• einer Menge P von Klartexten (plaintext) ¨ uber einem Klartextalphabet A,

• einer Menge C von Geheimtexten (ciphertext) ¨ uber einem Geheimtextalpha- bet B ,

• einer Menge K von Schl¨ usseln (key), dem Schl¨ usselraum,

• der Verschl¨ usselung oder Chiffrierung E , d. h. einer Familie von Abbildun- gen E

: P → C, K ∈ K,

• der Entschl¨ usselung oder Dechiffrierung D, d. h. einer Familie von Abbil- dungen D

: C → P, K ∈ K,

so daß f¨ ur alle K ∈ K und alle Klartexte P gilt D

◦ E

(P ) = P

Die Zuordnungen von E

und D

zu K ∈ K stellen den Chiffrier- und den Dechiffrieralgorithmus dar.

Schlüssel

K

E K D K

leicht leicht

groß

schwer verfahren

Chiffrier−

1 KRYPTOSYSTEME

b) Klassische Kryptosysteme sind symmetrisch, bei ihnen ist es leicht, aus E

die Umkehrabbildung D

zu berechnen. Bei asymmetrischen Systemen ist die Ermittlung von D

aus E

ohne geheime Zusatzinformation extrem schwierig.

Man nennt derartige Funktionen E

berechnen kann, ist einem An- greifer die Entschl¨ usselung trotzdem nicht m¨ oglich. Derartige Verfahren werden daher auch Kryptosysteme mit ¨ offentlichem Schl¨ ussel genannt.

Schlüssel

E K D K

Klartexte Geheimtexte

leicht leicht groß

schwer K=(Kö,Kp)

schwer

schwer verfahren

Chiffrier−

Beispiel 1.3 a) Translations-Kryptosysteme Es sei q eine nat¨ urliche Zahl und A = B = K = Z

. F¨ ur jeden Schl¨ ussel K = b ∈ K sei E

(x) ≡ x + b mod q und D

(x) ≡ x − b mod q f¨ ur alle x ∈ Z

.

b) Substitutions-Kryptosysteme Es sei q eine nat¨ urliche Zahl und A = B =

Z

. Weiterhin sei K = S

die symmetrische Gruppe der Ordnung q und f¨ ur je- den Schl¨ ussel K = π ∈ K sei E

(x) = π(x) und D

(x) = π

(x) f¨ ur alle x ∈ Z

. Jede Translation in a) liefert nat¨ urlich eine Permutaion von Z

. Daher ist Translations-Kryptosystem ein Substitutions-Kryptosystem. Weil f¨ ur alle Buch- staben der Klartexte aus P dieselbe Verschl¨ usselungsfunktion verwendet wird, nennt man Substitutions-Kryptosysteme auch monoalphabetische Kryptosysteme.

Beispiel 1.4 Vigen` ere-Kryptosysteme (Blaise de Vigen` ere, 1525 - 1596) Es seien m und q nat¨ urliche Zahlen und A = B = ( Z

)

= K.

F¨ ur K = (k

, . . . , k

) ∈ K sei E

(x

, . . . , x

) ≡ (x

+k

, . . . , x

+k

) mod q und D

(x

, . . . , x

) ≡ (x

−k

, . . . , x

−k

) mod q f¨ ur alle (x

, . . . , x

) ∈ ( Z

)

. F¨ ur m = 1 ergibt sich ein Translations-Kryptosystem. F¨ ur m > 1 spricht man von einem polyalphabetischen Kryptosystem, da f¨ ur jeden Buchstaben, je nach seiner Position im Klartext, mehrere Verschl¨ usselungen m¨ oglich sind. Man bezeichnet K auch als Schl¨ usselwort.

Beispiel 1.5 Selbstschl¨ ussel-Chiffre (nach Vigen` ere) Es sei q eine nat¨ urliche Zahl, A = B = K = Z

, z

∈ K und z

Beispiel 1.3 a) Translations-Kryptosysteme Es sei q eine nat¨ urliche Zahl und A = B = K = _Z

(x) f¨ ur alle x ∈ _Z

. Jede Translation in a) liefert nat¨ urlich eine Permutaion von _Z

Beispiel 1.4 Vigen` ere-Kryptosysteme (Blaise de Vigen` ere, 1525 - 1596) Es seien m und q nat¨ urliche Zahlen und A = B = ( _Z

) ∈ ( _Z

(x) = x − z mod q f¨ ur alle z, x ∈ _Z

Beispiel 1.6 RSA-Kryptosysteme (spezielle Public-Key-Kryptosysteme) Es seien p, q Primzahlen, n = p · q und ϕ(n) = (p − 1)(q − 1) sowie A = B = _Z