One-Time Pad

Blockchiffren

Daher beschr ¨ankt man sich auf eine kleine Teilmenge vonS(Aⁿ), welche als Ver- und Entschl ¨usselungsfunktionen vorkommen.

•Teilmenge soll trotzdem m ¨oglichst zuf ¨allig ausS(Aⁿ)gew ¨ahlt aussehen.

•Teilmenge muß durch Schl ¨usselk(effizient) definierbar sein.

Anderer Ansatz f ¨ur die Definition zuf ¨alliger Funktionen ausS(Aⁿ):

SindrVerschl ¨usselungen zu berechnen, kann man auch einfachr zuf ¨allige Bilder w ¨ahlen und diese dann den (zu einem sp ¨ateren Zeitpunkt) gegebenen Klartexten zuordnen.

Beispiel:

•Vernam One-Time Pad.

3 20. April 2004

One-Time Pad

Vernam’s One-Time Pad (1917) ist wie folgt definiert:

•M=C=K={0,1}ⁿ.

•c=E_{(k,m) :=m⊕k}(bitweises XOR = bitweise Addition inZ/2Z).

•m=D_{(k,c) :=c⊕k.}

•kwird zuf ¨allig gew ¨ahlt und nur einmal (!) verwendet.

Entspricht der einmaligen Anwendung einer allgemeinen, zuf ¨alligen Permutation ausS({0,1}ⁿ).

Known-Plaintext Angriff liefertk=m⊕c. Unsicher unter mehrfacher Verwendung vonk.

Aber: Unter einmaliger Anwendung vollkommen sicher!

Blockchiffren

Def: Eine Blockchiffre mit Blockl ¨angenist ein symmetrisches Verschl ¨usselungssystem mitM=C=Aⁿ.

Prop: Die AlgorithmenE_undD einer Blockchiffre definieren bijektive Funktionen.

Bew: WegenD_(k,E_{(k,m)) =m}wird keinen zwei Nachrichten der gleiche Chiffretext zugeordnet. WegenC=Mwird jeder Nachricht daher genau ein Chiffretext zugeordnet.

BezeichnetS(Aⁿ)die Menge aller bijektiven Abbildungen (Permutationen) vonAⁿin sich, so gilt also (etwas ungenau) E_(k,·),D_(k,·)∈S(Aⁿ_).

Weiter erhalten wir AbbildungenK→S(Aⁿ),k7→E_(k,·)bzw.

k7→D_(k,·).

1 20. April 2004

Blockchiffren

Beispiele:

•Die affin-linearen Chiffren (historisch).

•Substitutionchiffren (definiert durch koordinatenweise Anwendung eines Elements ausS(A)aufAⁿ, historisch).

•DES (Data Encryption Standard, 1977, veraltet).

•AES (Advanced Encryption Standard, 2001, aktuell).

Allgemeine Elemente ausS(Aⁿ)k ¨onnen nur durch explizite Angabe aller Urbild-Bild Paare beschrieben werden (also#Aⁿviele, folglich auch#S(Aⁿ) = (#Aⁿ)!).

IstE_(k,·)ein

”allgemeines“ Element ausS(Aⁿ), so entsprichtkeiner solchen Urbild-Bild Beschreibung. Wegen der großen Anzahl#Aⁿ (Anzahl der m ¨oglichen Klartexte) ist dies nicht praktikabel.

Perfekte Sicherheit

Def: Ein symmetrisches Verschl ¨usselungssystem heißt perfekt sicher, wennPr(m=m₀|c=c₀) = Pr(m=m₀)f ¨ur allem₀∈M,c₀∈C.

Kenntnis vonc=c₀ergibt also keine weiteren Hinweise ¨uber den Wert vonm.

Prop: F ¨ur ein perfekt sicheres Verschl ¨usselungssystem gilt#K≥#C.

Genauer gibt es f ¨ur jedesm0∈M,c0∈C eink0∈K mitc0=E_(k0,m0).

Thm (Shannon): Es gelte#K= #C. Ein Verschl ¨usselungssystem ist genau dann perfekt sicher, wennPr(k=k₀) = 1/#K f ¨ur allek₀∈Kund wenn es f ¨ur jedesm₀∈M,c₀∈Cgenau eink₀∈Kgibt mit

c0=E_(k0,m0).

Folg: Das One-Time Pad ist bei gv. Schl ¨usselwahl perfekt sicher.

7 20. April 2004

Perfekte Sicherheit

Bew Prop: Nach dem Satz von Bayes giltPr(c=c0|m=m0) = Pr(c=c0) f ¨ur jedesc0∈C. WegenPr(c=c0)>0istc0der Chiffretext f ¨ur einm0. Daher gibt es eink0∈Kmitc0=E_(k0,m0).

Bew Thm:

⇒. Die Existenz vonk₀folgt aus der Prop. Außerdem gilt

C={E_{(k0,m0)|k0∈K}}, woraus sich wegen#C= #K die Eindeutigkeit vonk₀ergibt.

Seic0∈Cundk(m0)∈K mitE_{(k(m0),m0) =c0}. Dann gilt

Pr(m=m0|c=c0) Pr(c=c0) = Pr(c=c0|m=m0) Pr(m=m0)

= Pr(k=k(m₀)) Pr(m=m₀).

AusPr(m=m₀|c=c₀) = Pr(m=m₀)ergibt sich damit

Pr(k=k(m₀)) = Pr(c=c₀). Dies ist unabh ¨angig vonm₀, folglich sind alle Wahrscheinlichkeiten gleich und betragen1/#C= 1/#K.

One-Time Pad

Sicherheit durch Shannon bewiesen (1949).

Problem:

•Hoher Schl ¨usselverbrauch, daher ineffizient.

•Wie Schl ¨ussel erzeugen?

Wurde angeblich f ¨ur die Verbindung zwischen Washington und Moskau verwendet (und andere milit ¨arische/diplomatische Anwendungen).

Das One-time pad ist ein Spezialfall der Chiffre von Vign ´ere, wenn nur einmal verwendet.

5 20. April 2004

Perfekte Sicherheit

Theorie durch Shannon (1949). Sicherheit in Anwesenheit von Angreifern mit unbeschr ¨ankter Rechenleistung.

Modell:

1. Betrachten Klartextemals Zufallsvariablen mit Werten inM.

(”HEUTE“ kommt h ¨aufiger vor als

”XZYQR“.)

2. Betrachten Schl ¨usselkals Zufallsvariablen mit Werten inK. (Die Schl ¨ussel werden irgendwie zuf ¨allig gew ¨ahlt.)

3. Annahme:mundksind unabh ¨angig.

4. Definieren Chiffretexte als Zufallsvariablec=E_(k,m).

Als Ereignisraum k ¨onnen wirM×Knehmen.

K ¨onnenPr(c=c₀)>0f ¨ur allec₀∈Cannehmen (sonstCverkleinern), ebensoPr(m=m0)>0f ¨ur allem0∈M.

Bemerkungen

Gibt es Nebenschl ¨ussel, so kann ein Angreifer den Klartext nicht eindeutig reproduzieren.

( F ¨ur Chiffretext der L ¨angen:s_n≥#K/(#M)^nr−1. (rRedundanz) ) 2. Wieviel Chiffretext ist durchschnittlich erforderlich, damit es keine Nebenschl ¨ussel mehr geben kann?

Dann kann ein Angreifer den Schl ¨ussel bestimmen.

(n₀≈log₂(#K)/(rlog₂(#M))Elemente ausC. )

11 20. April 2004

Entropie

Schl ¨usselkonzept zu Shannon’s Untersuchung ist die Entropie einer Zufallsvariablen.

Sind diexif ¨ur1≤i≤ndie Werte der ZVX, so wird definiert H(X) =−∑_Pr(X=xi)>0Pr(X=xi) log₂(Pr(X=xi)).

−log₂(Pr(X=x_i))ist L ¨ange in Bits der Information, daßx_ieintritt.

AlsoH(X)erwartete (durchschnittliche) Information oder Unsicherheit.

0≤H(X)≤log₂(n),

H(X) = 0f ¨urn= 1,H(X)max. f ¨urPr(X=x_i) = 1/n.

...

Beispiel: W ¨urfeln mit fairem und

”frisierten“ W ¨urfel.

Exhaustive Search Aufwand≈2^H(k)statt#K.

Perfekte Sicherheit

Bew Thm:

⇐. Seik(m0,c0)∈K mitE_{(k(m0,c0),m0) =c0}. Dann gilt Pr(m=m₀|c=c₀) = Pr(c=c₀|m=m₀) Pr(m=m₀)/Pr(c=c₀)

= Pr(k=k(m0,c0)) Pr(m=m0)/

∑

m₁∈M

Pr(m=m1) Pr(k=k(m1,c0)).

MitPr(k=k(m1,c0)) = 1/#K nach Voraussetzung ist

∑_m1∈MPr(m=m1) Pr(k=k(m1,c0)) =∑_m1∈MPr(m=m1)/#K= 1/#K.

Einsetzen in obige Gleichung liefertPr(m=m₀|c=c₀) = Pr(m=m₀).

Bew Folg: Wegenk=m⊕cgibt es zu jedemm,cgenau einen Schl ¨usselkmitc=E_(k,m)..

9 20. April 2004

Bemerkungen

In einem perfekt sicheren Verschl ¨usselungssystem erh ¨alt ein Angreifer aus dem Chiffretext keine Information ¨uber den Klartext oder den Schl ¨ussel.

F ¨ur nicht perfekt sichere Systeme hat Shannon die folgenden Fragen untersucht (mehrfache Verschl ¨usselung mit dem gleichen Schl ¨ussel):

1. Seic=E_{(k,m). Ist}D_(k1,c)ein

”sinnvoller“ Klartext (z.B. deutsch) undk16=k, so heißtk1Nebenschl ¨ussel. Wieviel Nebenschl ¨ussel gibt es durchschnittlich, basierend auf der Redundanz der Klartexte?

ECB – Electronic Code Book Mode

Einfachste Herangehensweise.

Klartextmin Bl ¨ocke der passenden Gr ¨oße aufteilenm=m1m2· · ·mt. Letzten Block durch (zuf ¨allige) Bits erg ¨anzen, falls n ¨otig.

Verschl ¨usselung durchc=c₁c₂· · ·c_t mitc_i=E_(k,mi).

Entschl ¨usseln durchmi=D_(k,ci).

15 20. April 2004

ECB – Electronic Code Book Mode

Eigenschaften:

•m_i=m_jdannc_i=c_j, also Regelm ¨aßigkeiten und Wiederholungen

¨ubertragen sich.

•Unabh ¨angigec_i, ¨Ubertragungsfehler auf Block beschr ¨ankt.

Beispiel: Bei Bildern bleiben h ¨aufig Konturen erkennbar!

Probleme:

•Chiffretext zu Klartext am Anfang/Ende von Nachrichten extrahierbar.

•Block replay: Mischen/Einf ¨ugen von bekanntem Chiffretext m ¨oglich.

Anwendung: Besser nicht (u.U. Verschl ¨usselung von Schl ¨usseln).

Bemerkungen

Man kann also keine perfekte (informationstheoretische) Sicherheit erreichen, wenn man viel Klartext mit einem kleinen Schl ¨ussel verschl ¨usseln will.

Man kann aber versuchen, komplexit ¨atstheoretische Sicherheit zu erreichen.

Die Philosophie hierbei ist, daßE_(k,·)

”sich wie eine zuf ¨allige Funktion verh ¨alt“.

13 20. April 2004

Betriebsarten von Blockchiffren

Blockl ¨ange ist fest und klein. Wie große Mengen an Daten verschl ¨usseln?

Blockchiffre geeignet verwenden:

•ECB Mode (Electronic Code Book)

•CBC Mode (Cipher Block Chaining)

•CFB Mode (Cipher Feedback)

•OFB Mode (Output Feedback)

•CTR Mode (Counter Mode)

Diese Betriebsarten (ohne CTR) wurden urspr ¨unglich f ¨ur DES entwickelt, k ¨onnen aber mit jedem Blockchiffre verwendet werden.

Sind standardisiert.

Padding

Klartextmin Bl ¨ocke der passenden Gr ¨oße aufteilenm=m1m2· · ·mt. Padding=Letzten Block durch (zuf ¨allige) Bits erg ¨anzen.

Vom Standpunkt der Kryptographie ist egal, wie man erg ¨anzt (da jeder Klartext sicher verschl ¨usselt werden soll).

Ans ¨atze:

•Eine Eins und soviele Nullen anh ¨angen, wie n ¨otig.

•Zuf ¨allige Bytes und Anzahl zu entfernender Bytes hinten anh ¨angen.

Warum nicht nur Nullen anh ¨angen?

19 20. April 2004

Bild unverschl ¨usselt

(ausgeliehen von N. Smart, F. Vercauteren)

CBC – Cipher Block Chaining Mode

Klartextmin Bl ¨ocke der passenden Gr ¨oße aufteilenm=m₁m₂· · ·m_t. Letzten Block durch (zuf ¨allige) Bits erg ¨anzen, falls n ¨otig.

Verschl ¨usselung durchc= (c₀)c₁c₂· · ·c_t mitc₀=IV und c_i=E_{(k,mi⊕ci−1)f ¨uri≥0.}

Entschl ¨usseln durch

m_i=D_{(k,ci)⊕ci−1f ¨uri≥0.}

IV ist zuf ¨allig gew ¨ahlt, oder wird ausmerzeugt (so daß es nur f ¨urm vorkommt, z.B. die Verschl ¨usselung einer eindeutigen

Nachrichtennummer).

Braucht nicht geheim gehalten zu werden.

17 20. April 2004

CBC – Cipher Block Chaining Mode

Eigenschaften:

•Kontextabh ¨angig:c_ih ¨angt vonc_jmit j<iab.

•Regelm ¨aßigkeiten und Wiederholungen werden (durch unterschiedliche IV) verwischt.

•Fehler inc_ibetrifft nurm_iund lokalm_i+1.

•Block replay nicht m ¨oglich.

Anwendung: Ist der Standardmodus. Verschl ¨usseln langer Nachrichten.

Bild verschl ¨usselt im ECB Mode

21 20. April 2004

Bild verschl ¨usselt im CBC Mode