Algorithmische Kryptographie Kapitel 2 Moderne Sysmetrische Verfahren

(1)

Kapitel 2

Moderne Sysmetrische Verfahren

Walter Unger

Lehrstuhl f¨ur Informatik 1

30. Januar 2009

(2)

C-36 Idee

Das Verfahren DES

Idee

Das Verfahren Operationsmodi IDEA

Idee

Das Verfahren AES

Idee

Das Verfahren Moderne Angriffe

(3)

C-36 (Idee)

Eingabe: ···

Ausgabe: ? ···

?

?···

? -

? -···

Schl¨ussel

?

entspricht Zufallsstring

(4)

C-36 DES IDEA AES Moderne Angriffe

Idee (2:2) Walter Unger Z

Das C-36 (M-209) Verfahren (Idee)

Versuche m¨oglichst “langen”

Hilfsschl¨ussel zu erzeugen.

Starte mit kleinem Schl¨ussel (step-figure).

Vervielf¨altige Schl¨ussel.

Erzeuge so “Zufallsstring”.

Nehme Plaintext.

Erzeuge Crypttext.

6 3 2

+

1 1

+

2 1 4 2

+

7 1

+

8 6 7 7

+

0 1

+

1 6 8 9

+

3 2

+

5 1 2 1

+

4 2

+

6 6 3 2

+

1 2

+

3 6 4 7

+

7 1

+

8 1 7 2

+

0 1

+

1 6 8 2

+

6 1

+

7 6 2 7

+

5 1

+

6 1 3 9

+

3 1

+

4 6 4 1

+

1 4

+

5 6 7 2

+

5 4

+

9 1 8 7

+

6 4

+

0 6 2 2

+

0 4

+

4 6 3 2

+

1 4

+

5 1 4 7

+

2 4

+

6 6 7 9

+

2 4

+

6 6 8 1

+

5 4

+

9 1 2 2

+

5 4

+

9

(5)

Das C-36 (M-209) Verfahren (Teil 1)

Einestep-figure H besteht aus einem Block mit Zeilen der L¨angen 17, 19, 21, 23, 25 und 26, d.h.

a= (a₀, . . . ,a₁₆)

b= (b0, . . . ,b16,b17,b18) ...

f = (f₀, . . . ,f₁₆,f₁₇,f₁₈, . . . ,f₂₅) Damit wird eine Folge von Vektoren der L¨ange 6 erzeugt:

∀i>0 v_i =







a_i_{mod 17} b_i_{mod 19} ... fimod 26







Die Periode dieser Folge ist 104.405.850 bei entsprechender Wahl der Eintr¨age.

(6)

Das Verfahren (2:4) Walter Unger Z

Das C-36 (M-209) Verfahren (Teil 1)

Beipiel:

0010101111100100000101011110010000010101111001000 1001010001101101010100101000101101010100101000101101010 1001010010101010101001001010010010101010010010100100101010100 001000100100010101010000010001001001010101000

0000101100010101010100100000010110010101010100100 000001010000000100011001000000010100000010001100100

I v₁₀= (111000)

I v22= (010010)

I v43= (000010)

(7)

Das C-36 (M-209) Verfahren (Teil 2)

Aufbau:

I

Sei

M

eine 6

×

27 Matrix aus

{0,

1} mit maximal zwei Einsen pro Spalte.

I

Bei Multiplikation eines Vektors aus

{0,

1} der L¨ ange 6 (von links) an

M

entsteht ein 27-stelliger Vektor aus

{0,

1, 2}.

I

Die Anzahl der Eintr¨ age

>

1 dieses Vektors heißt

Hit-number.

I

Aus einem Vektor

{0,

1}

⁶

wird also durch die Hit-number eine

Zahl aus

{0, . . . ,

27} erzeugt.

(8)

Das C-36 (M-209) Verfahren (Teil 2)

Beispiel:

(011001)

×







100000000000100000000000000

011011011001001001100100000 000000001100001100010110001

100100100010100010001001010 010010000100010011000000100

000001000001000001000010000







Ergebnis ist: 011012012102002002110220001

Hit-number von (011001) ist 15.

(9)

Das C-36 (M-209) Verfahren (Teil 3)

I

Verschl¨ usselung:

I E_M,H^C−36: ZZ^∗₂₇→ZZ^∗₂₇

I E_M,H^C−36(a0, . . . ,an) =c0, . . . ,cn mit

I ci= (#_>1(viM)−ai) mod 27,

wobei #_>1(x) die Anzahl der Werte>1 vonx angibt (Hit-number).

I

Entschl¨ usselung:

I D_M,H^C−36: ZZ^∗₂₇ →ZZ^∗₂₇

I D_M,H^C−36(c0, . . . ,cn) =a0, . . . ,an mit

I ai = (#_>1(viM)−ci) mod 27

(10)

DES

Das DES-Verfahren (Data Encryption Standard) wurde 1978 vom amerikanischen NBS (National Bureau of Standards) ver¨offentlicht und war damit das erste ¨offentlich bekanntgegebene Kryptoverfahren

¨

uberhaupt.

E_k^DES: ZZ⁶⁴₂ →ZZ⁶⁴₂ Bitabbildung, mitk ∈ {0,1}⁵⁶ E_k^DES(a₁, . . . ,a_n) =C(a₁, . . . ,a₆₄)E_k^DES(a₆₅, . . . ,a_n) Im Folgenden wird nun die FunktionC beschrieben.

(11)

Idee ” Wegbeschreibung auf Stadtplan“

I Schl¨ussel ist eine Wegbeschreibung:

I Gehe auf die Mitte der Strasse.

I Drehe dich in Richtung Nord oder West.

I Gehe bis zur n¨achsten Kreuzung.

I Gehe in die dritte Strasseneinm¨undung (gegen den Uhrzeigersinn)

I U.s.w.

I W¨ahle Strassennamen als Plaintext.

I Folge der Wegbeschreibung.

I W¨ahle aktuellen Strassennamen als Crypttext.

I Zum Entschl¨usseln nehme die “reverse Wegbeschreibung”.

(12)

DES (Idee)

Eingabe

6

Ausgabe

?

S₁ ⁺ - ^S2 ^⊕ - ^S3 ⁺ - ^S4 ^⊕- ^S5 ⁺ - ^S6 ^⊕ - ^S7 ⁺ - ^S8 ⊕ K₁ -

?

2 K₂ -

?

1 K₃ -

?

2 K₄ -

?

1 K₅ -

?

2 K₆ -

?

1 K₇ -

?

2 K₈

?

1 Sch¨ussel

?

K_i≡ shift (imod 2) + 1

S_i≡

 ⊕ falls 0≡i (mod 2) + sonst

000011

001100 011000 100001 000011 001100 011000 100001 000011

000101

010001 001001 101010 101001 110101 101101 001110

001101

(13)

DES (Idee)

P(64)

? ?

Eing.

?

32 32 -32 32 -32 32 -32 32- . . . 32 32 -32 32 P(64)

6

Aus.

- - ?

?

⊕ - ?

?

⊕ - ?

?

⊕ - ?

?

. . . ⊕

6

?

F

6

?

F

6

?

F

6

?

F . . .

. . .

. . . . . . 56B48?

?

56B48

?

56B48

?

56B48

. . .

- Shift - Shift - Shift . . . - Shift

P(56)

Par.

Schl.

6

6 32B48

48B32

⊕

6

?

- 32B48

48B32

⊕

6

?

- 32B48

48B32

⊕

6

?

- 32B48

48B32

⊕

6

?

? -

. . . . . .

(14)

DES (Idee)

P(64)

? ? Eing.

?

32 32 -32 32 -32 32 -32 32 P(64)

6 Aus.

- -

?

⊕ -

?

⊕ -

?

⊕

? 56B48

- Shift - Shift

P(56)

Par.

Schl.

6

? F

6

? F

6

? F

(15)

DES (Schl¨ usselverarbeitung, Teil 1)

I Zur Sicherheit wird der Schl¨ussel mit Parity-Bits auf den Positionen 8,16,24, . . . ,64 ¨ubertragen.

I Permutierek (ohne Parity-Bits) mittels

PermutationP aus folgender Tabelle. ??

?

- - - - 6 -?

? -?

?

? ? ? - -

•

• 6 6

6

?

6

?

6

?

57 49 41 33 25 17 9

1 58 50 42 34 26 18

10 2 59 51 43 35 27

19 11 3 60 52 44 36

63 55 47 39 31 23 15

7 62 54 46 38 30 22

14 6 61 53 45 37 29

21 13 5 28 20 12 4

(16)

DES (Schl¨ usselverarbeitung, Teil 2a)

I Teile das Resultat in zwei Bl¨ocke aus 28

Bits auf; nenne dieseC₀undD₀. ??

?

- - - - 6 -?

? -?

?

? ? ? -• - • 6

6 6

?

6

?

6

?

57 49 41 33 25 17 9

1 58 50 42 34 26 18

10 2 59 51 43 35 27

19 11 3 60 52 44 36

63 55 47 39 31 23 15

7 62 54 46 38 30 22

14 6 61 53 45 37 29

21 13 5 28 20 12 4

(17)

DES (Schl¨ usselverarbeitung, Teil 2b)

I Teile das Resultat in zwei Bl¨ocke aus 28 Bits auf; nenne dieseC₀undD₀.

I Bestimme f¨ur 16i616C_i undD_i durch

zyklische Links-Shifts nach der 2. Tabelle ??

?

- - - - 6 -?

? -?

?

? ? ? -• - • 6

6 6

?

6

?

6

?

i 1 2 3 4 5 6 7 8

L-Shift 1 1 2 2 2 2 2 2

i 9 10 11 12 13 14 15 16

L-Shift 1 2 2 2 2 2 2 1

(18)

DES (Schl¨ usselverarbeitung, Teil 3)

I BestimmeK_i durch Selektion und Permutation ausC_iD_i mit der n¨achsten Tabelle.

I JedesK_i hat dann 48 Bits. ??

?

- - - - 6 -?

? -?

?

•? •? •? - - 6

6 6

?

6

?

6

?

14 17 11 24 1 5

3 28 15 6 21 10

23 19 12 4 26 8

16 7 27 20 13 2

41 52 31 37 47 55

30 40 51 45 33 48

44 49 39 56 34 53

46 42 50 36 29 32

(19)

DES (Eingabeverarbeitung, Teil 1)

I Permutiere die 64 Bits von w nach folgender Tabelle.

•

??

•

?

- - - - 6 -?

? -?

?

? ? ? - - 6

6 6

?

6

?

6

?

58 50 42 34 26 18 10 2

60 52 44 36 28 20 12 4

62 54 46 38 30 22 14 6

64 56 48 40 32 24 16 8

57 49 41 33 25 17 9 1

59 51 43 35 27 19 11 3

61 53 45 37 29 21 13 5

63 55 47 39 31 23 15 7

(20)

DES (Eingabeverarbeitung, Teil 2)

I Teile die 64 Bits in zwei Bl¨ockeL₀undR₀ aus je 32 Bits auf.

I Bestimme nun f¨ur 16i616L_i undR_i

wie folgt: ??

?

• • -• • -• • -• •- 6 -?

?

• -?

?

• -?

?

•

? ? ? - - 6

6 6

?

6

?

6

?

I Li :=Ri−1

I Ri:=Li−1⊕f(Ri−1,Ki)(⊕: bitweises XOR)

I Man beachte, wieR_j und L_j+1jeweils auseinander hervorgehen.

I Dies wird wichtig beim Entschl¨usseln.

(21)

DES (Eingabeverarbeitung, Teil 3)

I Permutiere die 64 Bits ausR₁₆L₁₆ mit der inversen Permutation aus folgender Tabelle.

I Damit hat man den verschl¨usselten Text. ??

?

- - - •6

• - -?

? -?

?

? ? ? - - 6

6 6

?

6

?

6

?

58 50 42 34 26 18 10 2

60 52 44 36 28 20 12 4

62 54 46 38 30 22 14 6

64 56 48 40 32 24 16 8

57 49 41 33 25 17 9 1

59 51 43 35 27 19 11 3

61 53 45 37 29 21 13 5

63 55 47 39 31 23 15 7

Achtung: Das ist die gleiche Permutation wie bei der Eingabe.

(22)

DES (Funktion f , Teil 1)

I f : ZZ³²₂ ×ZZ⁴⁸₂ →ZZ³²₂

I Erzeuge aus den 32 Bits mit Hilfe der

folgenden Tabelle 48 Bits. ??

?

- - - - 6 -?

? -?

?

? ? ? - - 6

6 • 6

?

? - •

6

?

? - •

6

?

? -

32 1 2 3 4 5

4 5 6 7 8 9

8 9 10 11 12 13

12 13 14 15 16 17

16 17 18 19 20 21

20 21 22 23 24 25

24 25 26 27 28 29

28 29 30 31 32 1

I Addiere diese 48 Bits mitKi bitweise (modulo 2).

(23)

DES (Funktion f , Teil 2)

I f : ZZ³²₂ ×ZZ⁴⁸₂ →ZZ³²₂

I Es stehen 48 Bits als “Eingabe” in eine

Tabelle zur Verf¨ugung. ??

?

- - - - 6 -?

? -?

?

? ? ? - - 66

• 6

?

? -

• 6

?

? -

• 6

?

? -

I Teile die 48 Bits in 8 Bl¨ocke aus 6 Bits, B1B2. . .B8,Bi ∈ {0,1}⁶

I Erzeuge aus jedem Bi 4 Bits wie folgt:

I Bi = (a1,a2, . . . ,a6)

I Bestimme daraus Zahlenxi undyi wie folgt:

I xi=int(a1a6), alsoxi∈ {0,1,2,3}(Zeile vonSi).

I yi=int(a2a3a4a5), alsoyi∈ {0,1, . . . ,15} (Spalte vonSi).

I Bestimme nun den Eintragbin(Si(xi,yi)) in einer TabelleSi.

I Dann hat man 4·8 Bits = 32 Bits.

(24)

DES (Funktion f , Teil 3a)

I f : ZZ³²₂ ×ZZ⁴⁸₂ →ZZ³²₂

I Es verbleibt die Angabe der TabellenS_i. ??

?

- - - - 6 -?

? -?

?

? ? ? - - 66

• 6

?

? -

• 6

?

? -

• 6

?

? -

I Teile die 48 Bits in 8 Bl¨ocke aus 6 Bits, B1B2. . .B8,Bi ∈ {0,1}⁶

I Bi = (a1,a2, . . . ,a6)

I Bestimme Eintragbin(S_i(int(a₁a₆),int(a₂a₃a₄a₅))) in Tabelle S_i

S₁:

14 4 13 1 2 15 11 8 3 10 6 12 5 9 0 7

0 15 7 4 14 2 13 1 10 6 12 11 9 5 3 8

4 1 14 8 13 6 2 11 15 12 9 7 3 10 5 0

15 12 8 2 4 9 1 7 5 11 3 14 10 0 6 13

S2:

15 1 8 14 6 11 3 4 9 7 2 13 12 0 5 10

3 13 4 7 15 2 8 14 12 0 1 10 6 9 11 5

0 14 7 11 10 4 13 1 5 8 12 6 9 3 2 15

13 8 10 1 3 15 4 2 11 6 7 12 0 5 14 9

(25)

DES (Funktion f , Teil 3b)

S₃:

10 0 9 14 6 3 15 5 1 13 12 7 11 4 2 8

13 7 0 9 3 4 6 10 2 8 5 14 12 11 15 1

13 6 4 9 8 15 3 0 11 1 2 12 5 10 14 7

1 10 13 0 6 9 8 7 4 15 14 3 11 5 2 12

S4:

7 13 14 3 0 6 9 10 1 2 8 5 11 12 4 15

13 8 11 5 6 15 0 3 4 7 2 12 1 10 14 9

10 6 9 0 12 11 7 13 15 1 3 14 5 2 8 4

3 15 0 6 10 1 13 8 9 4 5 11 12 7 2 14

S₅:

2 12 4 1 7 10 11 6 8 5 3 15 13 0 14 9

14 11 2 12 4 7 13 1 5 0 15 10 3 9 8 6

4 2 1 11 10 13 7 8 15 9 12 5 6 3 0 14

11 8 12 7 1 14 2 13 6 15 0 9 10 4 5 3

S₆:

12 1 10 15 9 2 6 8 0 13 3 4 14 7 5 11

10 15 4 2 7 12 9 5 6 1 13 14 0 11 3 8

9 14 15 5 2 8 12 3 7 0 4 10 1 13 11 6

4 3 2 12 9 5 15 10 11 14 1 7 6 0 8 13

S₇:

4 11 2 14 15 0 8 13 3 12 9 7 5 10 6 1

13 0 11 7 4 9 1 10 14 3 5 12 2 15 8 6

1 4 11 13 12 3 7 14 10 15 6 8 0 5 9 2

6 11 13 8 1 4 10 7 9 5 0 15 14 2 3 12

S₈:

13 2 8 4 6 15 11 1 10 9 3 14 5 0 12 7

1 15 13 8 10 3 7 4 12 5 6 11 0 14 9 2

7 11 4 1 9 12 14 2 0 6 10 13 15 3 5 8

2 1 14 7 4 10 8 13 15 12 9 0 3 5 6 11

(26)

DES (Funktion f , Teil 4)

I f : ZZ³²₂ ×ZZ⁴⁸₂ →ZZ³²₂

I Durch die Tabellen sind 32 Bits erzeugt

worden. ??

?

- - - - 6 -?

? -?

?

? ? ? - - 66

• 6

?

? -

• 6

?

? -

• 6

?

? -

I Permutiere diese durch die folgende Tabelle.

16 7 20 21

29 12 28 17

1 15 23 26

5 18 31 10

2 8 24 14

32 27 3 9

19 13 30 6

22 11 4 25

(27)

DES (Entschl¨ usselung:)

I R_i−1:=Li

I Li−1:=Ri⊕f(Li,Ki)

P(64)

? ?

Eing.

?

32 32 -32 32 -32 32 -32 32- . . . 32 32 -32 32 P(64)

6

Aus.

- - ?

?

⊕ - ?

?

⊕ - ?

?

⊕ - ?

?

. . . ⊕ 56B48?

?

56B48

?

56B48

?

56B48

. . .

- Shift - Shift - Shift . . . - Shift

P(56)

Par.

Schl.

6

6 32B48

48B32

⊕

6

?

- 32B48

48B32

⊕

6

?

- 32B48

48B32

⊕

6

?

- 32B48

48B32

⊕

6

?

? -

. . . . . .

(28)

DES (Vor- und Nachteile)

I Vorteile

I schnell

I erster Standard

I Probleme bei Analyse sind von NP-schwer.

I Nachteile

I Schl¨ussell¨ange ist konstant

I Sinn der S-Boxen teilweise unklar

I Verdacht einer Hintert¨ur

I mit Spezialhardware vollständige Schlüsselsuche möglich (Preis 1984: ca. US$ 1.000.000)

I Heute in ca. 24 Stunden mit verteiltem Rechnen

(29)

Verbesserungsm¨ oglichkeiten

I Triple-DES:E_K^DES3

1,K₂,K₃(w) =E_K^DES

1 (D_K^DES

2 (E_K^DES

3 (w)))

I Multi-DES: E_K^DESMulti

1,K2,K3 (a₁,a₂,a₃) =E_K^DES

1 (a₁)E_K^DES

2 (a₂)E_K^DES

3 (a₃)

I DESX:E_K,K^DESX

1,K₂(w) =K2⊕E_K^DES(K1⊕(w))

wobeiK ein 56-Bit-Schl¨ussel ist undK1,K264-Bit-Schl¨ussel sind.

Ist ,,sicher” vor vollst¨andiger Schl¨usselsuche.

I Kompliziertere Mischung aus zwei oder mehreren Verfahren.

(30)

Variationen

I Alternative S-Boxen (es gibt zwar bessere S-Boxen, als die im DES-Verfahren, sie sind aber schwer zu finden).

I Ri in zwei H¨alften aufteilen und dann datenabh¨angig vertauschen (RDES)

I Verändere S-Boxen anhand eines zusätzlichen Schlüssels

I Ordne die Box in der Folge 2,4,6,7,3,1,5,8

I Auf 16 Bits des neuen Schl¨ussels f¨uhre Vertauschungen aus:

1. Bit: = 1 : tausche 1.,2. Zeile mit 3.,4. Zeile in 1. S-Box 2. Bit: = 1 : tausche 1. bis 4. Spalte mit 5. bis 8. Spalte in 1.

S-Box

... Fortsetzung bis zur 8. S-Box

I Aus 32 weiteren Bits des Schlüssels bilde 8 Blöcke à 4 Bits.

Dann ¨andere jeden Eintrag in S-Box durch Operation XOR.

(31)

Operationsmodi (modes of operation)

I Mit DES definiert worden.

I ecb: Electronic Codebook Mode.

I cbc: Cipher-Block Chaining Mode.

I cfb: Cipher Feedback Mode.

I ofb: Output Feedback Mode.

(32)

Operationsmodi (2:30) Walter Unger Z

ecb: Electronic Codebook Mode

I Sein=l·r.

I SeiE_s : ZZ^r₂→ZZ^r₂gegeben.

I SeiD_s: ZZ^r₂→ZZ^r₂analog gegeben.

I Beispielsweise DES.

I Dann ergibt sich der ecb Modus durch:

I E_s^ecb: (ZZ^r₂)^l →(ZZ^r₂)^l.

I wi ∈ZZ^r₂ f¨ur 16i6l.

I E_s^ecb(w1,w2,· · ·,wl)7→E_s(w1),E_s(w2),· · · ,E_s(wl)

I D_s^ecb: (ZZ^r₂)^l→(ZZ^r₂)^l.

I ci∈ZZ^r₂f¨ur 16i6l.

I D_s^ecb(c₁,c₂,· · ·,c_l)7→D_s(c₁),D_s(c₂),· · · ,D_s(c_l)

(33)

cbc: Cipher-Block Chaining Mode

I Sein=l·r.

I SeiE_s : ZZ^r₂→ZZ^r₂undD_s : ZZ^r₂→ZZ^r₂gegeben.

I Dann ergibt sich der cbc Modus durch:

I Seic0ein Zufallsstring aus ZZ^r₂.

I E_s^cbc: (ZZ^r₂)^l →(ZZ^r₂)^l+1.

I E_s^cbc(w1,w2,· · · ,wl)7→c0,c1,c2,· · ·,cl.

I Mitci=E_s(wi⊕c_i−1) f¨ur 16i6l.

I D_s^cbc : (ZZ^r₂)^l+1→(ZZ^r₂)^l.

I D_s^cbc(c0,c1,c2,· · ·,cl)7→w1,w2,· · · ,wl I Mitwi =D_s(ci)⊕ci−1f¨ur 16i6l.

(34)

Operationsmodi (2:32) Walter Unger Z

cfb: Cipher Feedback Mode.

I Sein=l·r undt >r.

I SeiE_s : ZZ^t₂→ZZ^t₂undD_s : ZZ^t₂→ZZ^t₂gegeben.

I Seienmsbx(w) diex h¨ochstwertigsten Bits vonw.

I Seienlsb_x(w) diex niedrigstwertigsten Bits vonw.

I Dann ergibt sich der cfb Modus durch:

I E_s,x^cfb₁: (ZZ^r₂)^l →(ZZ^r₂)^l.

I E_s,x^cfb

1(w₁,w₂,· · · ,w_l)7→c₁,c₂,· · · ,c_l.

I Mitx_i∈ZZ^t₂und w_i∈ZZ^r₂f¨ur 16i6l.

I Mit

c_i =w_i⊕msb_r(E_s(x_i)) f¨ur 16i6l.

I Und mit

xi =wi⊕lsb_t−r(E_s(x_i−1)◦c_i−1 f¨ur 26i6l.

(35)

ofb: Output Feedback Mode.

I Sein=l·r undt >r.

I SeiE_s : ZZ^t₂→ZZ^t₂undD_s : ZZ^t₂→ZZ^t₂gegeben.

I Seienmsbx(w) diex h¨ochstwertigsten Bits vonw.

I Seienlsb_x(w) diex niedrigstwertigsten Bits vonw.

I Dann ergibt sich der ofb Modus durch:

I E_s,x^ofb₁: (ZZ^r₂)^l →(ZZ^r₂)^l.

I E_s,x^ofb

1(w₁,w₂,· · · ,w_l)7→c₁,c₂,· · · ,c_l.

I Mitx_i∈ZZ^t₂und w_i∈ZZ^r₂f¨ur 16i6l.

I Mit

c_i =w_i⊕msb_r(E_s(x_i)) f¨ur 16i6l.

I Und mit

xi=E_s(x_i−1) f¨ur 26i6l.

(36)

IDEA ( ¨ Uberblick)

I International Data Encryption Algorithm

I Lizenzinhaber: Schweizer Ascom AG

I Patent Europa bis: 16. Mai 2011 (rechtliche Zweifel).

I Patent USA: 2010.

I Verschl¨usselt 64-Bit-Bl¨ocke

I Schl¨usselgr¨oße: 128 Bits

I Arbeitet intern mit Bl¨ocken aus 16 Bits

I Die Idee von IDEA: Mischen von drei Operationen, die keine algebraischen Gemeinsamkeiten haben. Verwendet werden hierbei:

I ⊕ XOR

I + Addition modulo 2¹⁶

I Multiplikation modulo 2¹⁶+ 1 Dabei wird 0 als 2¹⁶ interpretiert.

(37)

IDEA (Teil 1)

Uberblick:¨

Y?₁ Y?₂ Y?₃ Y?₄

Schl¨ussel vonZ₁⁽⁹⁾bisZ₄⁽⁹⁾

extra Runde ? ? ? ?

Schl¨ussel vonZ₁⁽⁸⁾bisZ₆⁽⁸⁾

achte Runde ? ? ? ?

Schl¨ussel vonZ₁⁽⁷⁾bisZ₆⁽⁷⁾

siebente Runde ? ? ? ?

Schl¨ussel vonZ₁⁽⁶⁾bisZ₆⁽⁶⁾

sechste Runde ? ? ? ?

Schl¨ussel vonZ₁⁽⁵⁾bisZ₆⁽⁵⁾

f¨unfte Runde ? ? ? ?

Schl¨ussel vonZ₁⁽⁴⁾bisZ₆⁽⁴⁾

vierte Runde ? ? ? ?

Schl¨ussel vonZ₁⁽³⁾bisZ₆⁽³⁾

dritte Runde ? ? ? ?

Schl¨ussel vonZ₁⁽²⁾bisZ₆⁽²⁾

zweite Runde ? ? ? ?

Schl¨ussel vonZ₁⁽¹⁾bisZ₆⁽¹⁾

erste Runde ? ? ? ?

X₁ X₂ X₃ X₄

(38)

IDEA (Teil 2)

Aufbau der Teilschl¨ussel:

I Teile die 128 Bits in 8 Teilschl¨ussel der L¨ange 16 auf.

I Damit erh¨alt manZ₁⁽¹⁾ bisZ₆⁽¹⁾,Z₁⁽²⁾ undZ₂⁽²⁾.

I Danach schiebt man zyklisch den 128-Bit-Schl¨ussel um 25 Positionen nach links.

I Teile die verschobenen 128 Bits in 8 Teilschl¨ussel der L¨ange 16 auf.

I Damit erh¨alt manZ₃⁽²⁾ bisZ₆⁽²⁾ undZ₁⁽³⁾ undZ₄⁽³⁾.

I Man wiederholt das Ganze, bis manZ₄⁽⁹⁾ erhalten hat.

(39)

IDEA (Teil 3)

Z₁^(r)- iq

?

-

? Z₂^(r)-

?

-

? Z₃^(r)-

?

? Z₄^(r)- iq

?

i

HH i

i

Z₅^(r)- iq-

?

? iqZ₆^(r)

i

? i

?

-

?

-

(40)

IDEA (Teil 4)

Finale Runde

Z₁⁽⁹⁾ - mr?

Z₂⁽⁹⁾ -

?

Z₃⁽⁹⁾ -

?

Z₄⁽⁹⁾ - mr?

H HH

Entschl¨usselung:

Die Entschl¨usselung erfolgt nach demselben Schema mit Hilfe der inversen Teilschl¨ussel.

(41)

IDEA (Entschl¨ usselung 1)

Erinnerung:

Y?₁ Y?₂ Y?₃ Y?₄

Schl¨ussel vonZ₁⁽⁹⁾bisZ₄⁽⁹⁾

extra Runde ? ? ? ?

Schl¨ussel vonZ₁⁽⁸⁾bisZ₆⁽⁸⁾

achte Runde ? ? ? ?

Schl¨ussel vonZ₁⁽⁷⁾bisZ₆⁽⁷⁾

siebente Runde ? ? ? ?

Schl¨ussel vonZ₁⁽⁶⁾bisZ₆⁽⁶⁾

sechste Runde ? ? ? ?

Schl¨ussel vonZ₁⁽⁵⁾bisZ₆⁽⁵⁾

f¨unfte Runde ? ? ? ?

Schl¨ussel vonZ₁⁽⁴⁾bisZ₆⁽⁴⁾

vierte Runde ? ? ? ?

Schl¨ussel vonZ₁⁽³⁾bisZ₆⁽³⁾

dritte Runde ? ? ? ?

Schl¨ussel vonZ₁⁽²⁾bisZ₆⁽²⁾

zweite Runde ? ? ? ?

Schl¨ussel vonZ₁⁽¹⁾bisZ₆⁽¹⁾

erste Runde ? ? ? ?

X₁ X₂ X₃ X₄

(42)

IDEA (Entschl¨ usselung 2)

Verschl¨usselung Z₁⁽⁸⁾-fp

?

-

?Z₂⁽⁸⁾-

?

? -

? Z₃⁽⁸⁾-

?

? Z₄⁽⁸⁾-fp

?

f

HH f

f

Z₅⁽⁸⁾- fp-

?

?fpZ₆⁽⁸⁾

f

? f

?

-

?

-

Z₁⁽⁹⁾-fp?

Z₂⁽⁹⁾- ?

Z₃⁽⁹⁾- ?

Z₄⁽⁹⁾-fp?

HH

t t t t

F

A B C D

A⁰ B⁰ C⁰ D⁰

A⁰=A⊕Fr(A⊕C,B⊕D) A=A⁰⊕ −F_r(A⊕C,B⊕D)

A⊕ −A⁰=C⊕ −C⁰bzw.

A⊕ −C=A⁰⊕ −C⁰

Entschl¨usselung Z₁⁽⁹⁾-⁻¹ fp

?

-

?−Z₂-⁽⁹⁾

?

? -

? −Z₃-⁽⁹⁾

?

?Z₄⁽⁹⁾-⁻¹ fp

?

f

HH f

f

Z₅⁽⁸⁾-fp-

?

?fpZ₆⁽⁸⁾

f

? f

?

-

?

-

t t t t

F

A B C D

A⁰ B⁰ C⁰ D⁰

A⊕A⁰=C⊕C⁰ A=A⁰⊕F_r(A⁰⊕C⁰,B⁰⊕D⁰)

(43)

IDEA (Entschl¨ usselung 3)

Schlüssel zur Verschlüsselung und Entschlüsselung

1. Z₁⁽¹⁾ Z₂⁽¹⁾ Z₃⁽¹⁾ Z₄⁽¹⁾ Z₅⁽¹⁾ Z₆⁽¹⁾ Z₁⁽⁹⁾⁻¹ −Z₂⁽⁹⁾ −Z₃⁽⁹⁾ Z₄⁽⁹⁾⁻¹ Z₅⁽⁸⁾ Z₆⁽⁸⁾ 2. Z₁⁽²⁾ Z₂⁽²⁾ Z₃⁽²⁾ Z₄⁽²⁾ Z₅⁽²⁾ Z₆⁽²⁾ Z₁⁽⁸⁾⁻¹ −Z₃⁽⁸⁾ −Z₂⁽⁸⁾ Z₄⁽⁸⁾⁻¹ Z₅⁽⁷⁾ Z₆⁽⁷⁾ 3. Z₁⁽³⁾ Z₂⁽³⁾ Z₃⁽³⁾ Z₄⁽³⁾ Z₅⁽³⁾ Z₆⁽³⁾ Z₁⁽⁷⁾⁻¹ −Z₃⁽⁷⁾ −Z₂⁽⁷⁾ Z₄⁽⁷⁾⁻¹ Z₅⁽⁶⁾ Z₆⁽⁶⁾ 4. Z₁⁽⁴⁾ Z₂⁽⁴⁾ Z₃⁽⁴⁾ Z₄⁽⁴⁾ Z₅⁽⁴⁾ Z₆⁽⁴⁾ Z₁⁽⁶⁾⁻¹ −Z₃⁽⁶⁾ −Z₂⁽⁶⁾ Z₄⁽⁶⁾⁻¹ Z₅⁽⁵⁾ Z₆⁽⁵⁾ 5. Z₁⁽⁵⁾ Z₂⁽⁵⁾ Z₃⁽⁵⁾ Z₄⁽⁵⁾ Z₅⁽⁵⁾ Z₆⁽⁵⁾ Z₁⁽⁵⁾⁻¹ −Z₃⁽⁵⁾ −Z₂⁽⁵⁾ Z₄⁽⁵⁾⁻¹ Z₅⁽⁴⁾ Z₆⁽⁴⁾ 6. Z₁⁽⁶⁾ Z₂⁽⁶⁾ Z₃⁽⁶⁾ Z₄⁽⁶⁾ Z₅⁽⁶⁾ Z₆⁽⁶⁾ Z₁⁽⁴⁾⁻¹ −Z₃⁽⁴⁾ −Z₂⁽⁴⁾ Z₄⁽⁴⁾⁻¹ Z₅⁽³⁾ Z₆⁽³⁾ 7. Z₁⁽⁷⁾ Z₂⁽⁷⁾ Z₃⁽⁷⁾ Z₄⁽⁷⁾ Z₅⁽⁷⁾ Z₆⁽⁷⁾ Z₁⁽³⁾⁻¹ −Z₃⁽³⁾ −Z₂⁽³⁾ Z₄⁽³⁾⁻¹ Z₅⁽²⁾ Z₆⁽²⁾ 8. Z₁⁽⁸⁾ Z₂⁽⁸⁾ Z₃⁽⁸⁾ Z₄⁽⁸⁾ Z₅⁽⁸⁾ Z₆⁽⁸⁾ Z₁⁽²⁾⁻¹ −Z₃⁽²⁾ −Z₂⁽²⁾ Z₄⁽²⁾⁻¹ Z₅⁽¹⁾ Z₆⁽¹⁾ 9. Z₁⁽⁹⁾ Z₂⁽⁹⁾ Z₃⁽⁹⁾ Z₄⁽⁹⁾ Z₁⁽¹⁾⁻¹ −Z₂⁽¹⁾ −Z₃⁽¹⁾ Z₄⁽¹⁾⁻¹

(44)

Einleitung zu AES

I Nachfolger von DES.

I Anforderungen:

I symmetrischer Blockchiffre.

I mindestens 128 Bit lange Bl¨ocke.

I Schl¨ussell¨angen: 128, 192 und 256 Bit.

I leicht in Hard- und Software zu implementieren.

I ¨uberdurchschnittliche Performance.

I sicher gegen alle bekannten Methoden der Kryptoanalyse.

I auch gegen Power- und Timing-Attacken.

I geeignet f¨ur Smartcards.

I Ohne patentrechtlichen Anspr¨uche, unentgeltlich nutzbar.

I Sieger 2000: Rijndael

I Rijndael: Block und Schl¨ussel 128 +i·32 Bits.

I AES: Block 128 Bits und Schl¨ussel 128, 192, 256 Bits.

I Intern auf 8 Bit Bl¨ocke aufgebaut.

(45)

Einleitung zu AES

I Bytes aus 8 Bit.

I 4 Bytes in einer Spalte.

I Mindestens 4 Spalten im Datenblock (Schl¨ussel).

I oder auch mehr.

a0,0

a0,1

a0,2

a_0,3 a1,0

a1,1

a1,2

a_1,3 a2,0

a2,1

a2,2

a_2,3 a3,0

a3,1

a3,2

a_3,3 a4,0

a4,1

a4,2

a_4,3 a5,0

a5,1

a5,2

a_5,3

(46)

Einleitung zu AES

I Eingabe:p1,p2, . . . ,p_4·N_b₋₁mitai,j=pi+4j (06i<4,06j <Nb)

I Ausgabe:c1,c2, . . . ,c4·N_b−1mitai,j=pi+4j (06i<4,06j <Nb)

I Schl¨ussel:z1,z2, . . . ,k4·N_k−1 mitki,j =pi+4j

(06i <4,06j<Nk)

I Diea_i,j heißen Statevon AES.

I Der State wird von Plaintext zum Ciphertext umgewandelt.

ak0,0

ak_0,1 ak0,2

ak0,3

ak1,0

ak_1,1 ak1,2

ak1,3

ak2,0

ak_2,1 ak2,2

ak2,3

ak3,0

ak_3,1 ak3,2

ak3,3

k4,0

k_4,1 k4,2

k4,3

k5,0

k_5,1 k5,2

k5,3