ECB – Electronic Code Book Mode

ECB – Electronic Code Book Mode

Eigenschaften:

•mi= mjdannci= cj, also Regelm ¨aßigkeiten und Wiederholungen

¨ubertragen sich.

•Unabh ¨angigec_i, ¨Ubertragungsfehler auf Block beschr ¨ankt.

Beispiel: Bei Bildern bleiben h ¨aufig Konturen erkennbar!

Probleme:

•Chiffretext zu Klartext am Anfang/Ende von Nachrichten extrahierbar.

•Block replay: Mischen/Einf ¨ugen von bekanntem Chiffretext m ¨oglich.

Anwendung: Besser nicht (u.U. Verschl ¨usselung von Schl ¨usseln).

3 26. Oktober 2006

Padding

Klartextmin Bl ¨ocke der passenden Gr ¨oße aufteilenm = m1m2· · ·mt. Padding=Letzten Block durch (zuf ¨allige) Bits erg ¨anzen.

Vom Standpunkt der Kryptographie ist egal, wie man erg ¨anzt (da jeder Klartext sicher verschl ¨usselt werden soll).

Warum nicht nur Nullen anh ¨angen?

Ans ¨atze:

•Eine Eins und soviele Nullen anh ¨angen, wie n ¨otig.

•Zuf ¨allige Bytes und Anzahl zu entfernender Bytes hinten anh ¨angen.

Betriebsarten von Blockchiffren

Blockl ¨ange ist fest und klein. Wie große Mengen an Daten verschl ¨usseln?

Blockchiffre geeignet verwenden:

•ECB Mode (Electronic Code Book)

•CBC Mode (Cipher Block Chaining)

•CFB Mode (Cipher Feedback)

•OFB Mode (Output Feedback)

•CTR Mode (Counter Mode)

Diese Betriebsarten (ohne CTR) wurden urspr ¨unglich f ¨ur DES entwickelt, k ¨onnen aber mit jedem Blockchiffre verwendet werden.

Sind standardisiert.

1 26. Oktober 2006

ECB – Electronic Code Book Mode

Einfachste Herangehensweise.

Klartextmin Bl ¨ocke der passenden Gr ¨oße aufteilenm = m1m2· · ·mt. Letzten Block durch (zuf ¨allige) Bits erg ¨anzen, falls n ¨otig.

Verschl ¨usselung durchc = c₁c₂· · ·ct mitc_i=E_(k,mi).

Entschl ¨usseln durchmi=D_(k,ci).

Bild unverschl ¨ usselt

(ausgeliehen von N. Smart, F. Vercauteren)

7 26. Oktober 2006

Bild verschl ¨ usselt im ECB Mode CBC – Cipher Block Chaining Mode

Klartextmin Bl ¨ocke der passenden Gr ¨oße aufteilenm = m₁m₂· · ·mt. Letzten Block durch (zuf ¨allige) Bits erg ¨anzen, falls n ¨otig.

Verschl ¨usselung durchc = (c₀)c₁c₂· · ·c_t mitc₀= IV und ci=E_{(k,mi⊕ci−1)f ¨uri≥1.}

Entschl ¨usseln durch

m_i=D_{(k,ci)⊕ci−1f ¨uri≥1.}

IV ist zuf ¨allig gew ¨ahlt, oder wird ausmerzeugt (so daß es nur (!) f ¨urmvorkommt, z.B. die Verschl ¨usselung einer eindeutigen Nachrichtennummer).

Braucht nicht geheim gehalten zu werden.

5 26. Oktober 2006

CBC – Cipher Block Chaining Mode

Eigenschaften:

•Kontextabh ¨angig:c_ih ¨angt vonc_jmit j<iab.

•Regelm ¨aßigkeiten und Wiederholungen werden (durch unterschiedliche IV) verwischt.

•Fehler inc_ibetrifft nurm_iund lokalm_i+1.

•Block replay nicht m ¨oglich.

Anwendung: Ist der Standardmodus. Verschl ¨usseln langer Nachrichten.

OFB – Output Feedback Mode

Eigenschaften:

•Entschl ¨usseln=Verschl ¨usseln, nurE _benutzt.

•Kein Padding notwendig.

•Fehler inc_ibleiben lokal.

•cih ¨angt nicht voncjf ¨ur j<iab.

•Vergleichbar zum One-Time Pad.

Probleme:

•Gefahr: Gleiches IV, gleichek_i(!).

•kiperiodisch.

Anwendung:

•Satellitenkommunikation (wegen der Fehler).

•Filesysteme/Datenbanken wegen wahlfreiem Zugriff.

11 26. Oktober 2006

CFB – Cipher Feedback Mode

Klartextmin Bl ¨ocke der passenden Gr ¨oße aufteilenm = m₁m₂· · ·mt. Verschl ¨usselung durchc = c₁c₂· · ·c_t mit

c₀= IV undk_i=E_{(k,ci−1)f ¨ur1≤i≤t,} c_i= m_i⊕k_if ¨ur1≤i≤t.

Entschl ¨usseln durch

c₀= IV undk_i=E_{(k,ci−1)f ¨ur1≤i≤t,} mi= ci⊕kif ¨ur1≤i≤t.

IV wird wie bei CBC benutzt. Beim Ver- und Entschl ¨usseln vonm_i bzw.c_ikann man auch in geeigneter Weise nur einen Teil vonk_i verwenden.

Bild verschl ¨ usselt im CBC Mode

9 26. Oktober 2006

OFB – Output Feedback Mode

Klartextmin Bl ¨ocke der passenden Gr ¨oße aufteilenm = m₁m₂· · ·mt. Verschl ¨usselung durchc = c₁c₂· · ·ct mit

k₀= IV undk_i=E_{(k,ki−1)f ¨ur1≤i≤t,} c_i= m_i⊕k_if ¨ur1≤i≤t.

Entschl ¨usseln durch

k₀= IV undk_i=E_{(k,ki−1)f ¨ur1≤i≤t,} mi= ci⊕kif ¨ur1≤i≤t.

IV wird wie bei CBC benutzt. Beim Ver- und Entschl ¨usseln vonm_i bzw.c_ikann man auch nur einen Teil vonk_iverwenden, wenn die Blockl ¨ange kleiner als die Schl ¨ussell ¨ange ist.

CTR – Counter Mode

CTR hat nach [FerSch] im wesentlichen nur Vorteile gegen ¨uber den anderen Modes.

Eigenschaften:

•NurE erforderlich.

•Kein Padding notwendig.

•Parallelisierbar.

•Wahlfreier Zugriff.

•Fehler incibleiben lokal.

•Vergleichbar zum One-Time Pad.

Robustheit: Die Nonce muß pro verschl ¨usselter Nachrichtmeindeutig sein. Diesbez ¨uglich ist CBC robuster als CTR.

Ist standardisiert f ¨ur AES.

15 26. Oktober 2006

Bemerkungen

Bit twiddling Angriffe: ¨Andert man Bits inc_i, so ¨andern sich auch die entsprechenden Bits inm_i. Bei CBC und CFB wird dar ¨uberhinausm_i+1 zum Großteil gest ¨ort.

In den Modes daher nach M ¨oglichkeit chiffrierte Pr ¨ufsummen (MAC) verwenden.

CBC:ci= cj⇔mi⊕c_i−1= mj⊕c_j−1⇔mi⊕mj= c_i−1⊕c_j−1. CTR: nurm_i⊕m_j6= ci⊕c_jzu erfahren.

Birthday Angriff bei kleiner Blockl ¨ange: Ist die Blockl ¨ange2ⁿ, so kann man nach ca.2^n/2verschl ¨usselten Bl ¨ocken erwarten, daß zwei Chiffretexte gleich sind. Daher Anzahl mit gleichem Schl ¨ussel verschl ¨usselter Bl ¨ocke auf z.B.2^n/4beschr ¨anken.

CFB – Cipher Feedback Mode

Eigenschaften:

•Entschl ¨usseln=Verschl ¨usseln, nurE _benutzt.

•Kein Padding notwendig.

•cih ¨angt voncjf ¨ur j<iab.

•Fehler inc_ierzeugt Fehler lokal inm_iund inm_i+1. Anwendung:

•St ¨uckweise anfallende kleinere Datenmengen (Str ¨ome).

13 26. Oktober 2006

CTR – Counter Mode

Klartextmin Bl ¨ocke der passenden Gr ¨oße aufteilenm = m₁m₂· · ·mt. Verschl ¨usselung durchc = c1c2· · ·ct mit

k_i=E_{(k,Nonce⊕i)f ¨ur1≤i≤t,} ci= mi⊕kif ¨ur1≤i≤t.

Entschl ¨usseln durch

k_i=E_{(k,Nonce⊕i)f ¨ur1≤i≤t,} m_i= c_i⊕k_if ¨ur1≤i≤t.

Nonce ist eine

”Number to be used once“ (!) und wird ¨ahnlich wie IV verwendet.

Mehrfachverschl ¨ usselung

Dreifache Verschl ¨usselung (EDE):

c =E_(k3,D_(k2,E_(k1,m))).

m =D_(k1,E_(k2,D_(k3,c))).

k₁= k₃,k₂unabh ¨angig und zuf ¨allig:

CPA-MITM Angriff in LaufzeitO(#K)und SpeicherO(#K).

Vermutlich trotzdem n ¨utzlich, wenn Anzahl Verschl ¨usselungen beschr ¨ankt.

k1,k2,k3 unabh ¨angig und zuf ¨allig:

Known Plaintext MITM Angriff in LaufzeitO(#K²)und SpeicherO(#K).

Modus erlaubt R ¨uckw ¨artskompatibilit ¨at, wennk₁= k₂.

19 26. Oktober 2006

Whitening

c = k₃⊕E_(k2,m⊕k1).

Sicherheit maximalO(#K²)unter Known-Plaintext Angriff:

1. Seienc_i= k₃⊕E_{(k2,mi⊕k1),cj= k3⊕}E_{(k2,mj⊕k1).}

2. Dann giltc_i⊕c_j=E_{(k2,mi⊕k1)⊕}E_{(k2,mj⊕k1).}

3. Definieredc = c_i⊕c_j,dm = m_i⊕m_j,m = m_i⊕k₁. 4. Betrachte Gleichungdc =E_(x,y)⊕E_(x,y⊕dm).

5. Nach#K²Tests ca.#KL ¨osungenx,ygefunden, darunterx = k2

undy = m_i⊕k₁odery = m_j⊕k₁.

6. Dannk₁= y⊕m_iundk₃= c_i⊕E_{(x,y)oderk1= y⊕mjund} k3= cj⊕E_(x,y). M ¨oglichkeiten an weiterenci,mitesten.

Schl ¨ussell ¨ange aufr log₂(#K)vergr ¨oßern mit Sicherheitszuwachs auf

#K^rim allgemeinen schwierig (sonst mitn = 1anwenden, liefert ...)

Mehrfachverschl ¨ usselung

Doppelte Verschl ¨usselung:

c =E_(k2,E_(k1,m)).

m =D_(k1,D_(k2,c)).

Es gelte#K = 2ⁿ.

Sicherheit bez ¨uglich exhaustive search2²ⁿstatt vorher2ⁿ(?).

Problem, wennE_(k2,E_{(k1,·)) =}E_{(k3,·)f ¨ur eink3.}

( Die PermutationenDES(k,·)erzeugen eine Untergruppe von S({0,1}⁵⁶)der Ordnung≥10²⁴⁹⁹).

Unter Known-Plaintext Angriff Sicherheit nur2ⁿ⁺¹statt2²ⁿ:

Meet-in-the-middle Angriff. Daher wird doppelte Verschl ¨usselung im allgemeinen nicht verwendet.

17 26. Oktober 2006

Meet-in-the-middle Angriff

Es gelte#K = #M = #C.

Gegeben/bekannt:c₁,c₂,m₁,m₂mitc₁=E_(k2,E_(k1,m1)), c₂=E_(k2,E_(k1,m2)).

1. Berechne und speichereE_(k^′

1,m1)f ¨ur allek^′₁∈K.

2. BerechneD_(k^′

2,c₁)f ¨ur allek^′₂∈K.

3. F ¨urD_(k^′

2,c₁) =E_(k^′

1,m₁)testec₂=E_(k^′

2,E_(k^′

1,m₂)).

4. Liefert eine kleine MengeZvon(k^′₁,k^′₂)mit(k1,k2)∈Z.

( Gr ¨oße vonZidealerweise erwartungsgem ¨aß gleich1. ) Ben ¨otigt Speicher der Gr ¨oßeO(#K), Laufzeit ebenfallsO(#K).

Abk ¨urzung: MITM