seite1 · seite6einleitungzudenstudienbriefen iii. modullehrziele...

Seite 1

Modulbeschreibung

Modulbezeichnung: Kryptographie 1

Studiengang: Bachelor IT-Sicherheit

Verwendbarkeit: Dieses Modul ist verwendbar für

• Studierende der IT-Sicherheit

• Studierende der Informatik

• Studierende der Wirtschaftsinformatik

• Studierende der Mathematik und Informatik

auf Bachelorniveau. Dieses Modul kann nicht als Wahlpflichtmo-dul gewählt werden, sondern ist ein Pflichtmodul.

Lehrveranstaltungen undLehrformen:

Kryptographie 1

Modulverantwortliche(r): Prof. Dr. Christof Paar

Lehrende: Prof. Dr. Christof Paar

Dauer: 1 Semester

Credits: 5 ECTS

Studien- und Prüfungsleistungen: Schriftliche Prüfung: 120 min.

Berechnung der Modulnote: 100 % der schriftlichen Prüfungsnote

Notwendige Voraussetzungen:

Empfohlene Voraussetzungen:

Unterrichts- und Prüfungssprache: Deutsch, Englisch

Zuordnung des Moduls zu denFachgebieten des Curriculums:

Einordnung ins Fachsemester: Ab Studiensemester 3

Generelle Zielsetzung des Moduls: Modul zur Förderung und Verstärkung der Fachkompetenz

Arbeitsaufwand bzw.Gesamtworkload:

Summe: 150 hPräsenzzeit: 2 h

• Prüfung: 2h

Eigenstudium: 148 h

• Durcharbeiten der Studienbriefe: 85 h

• Durcharbeiten des Online-Lernmaterials: 15 h

• Wahrnehmen der Online Betreuung und Beratung: 10 h

• Ausarbeiten von Aufgaben: 30 h

• Individuelle Prüfungsvorbereitung der Studierenden: 8 h

Seite 2

Lerninhalt und Niveau: In diesem Modul werden zunächst einige grundlegende Begriffeder Datensicherheit erläutert. Danach werden einige historischwichtige Verschlüsselungsverfahren vorgestellt. Die Schwerpunktedieses Moduls liegen auf der Besprechung von praktisch wichti-gen Verschlüsselungsverfahren, Hashfunktionen und MessageAuthentication Codes (MAC). Als bedeutende Vertreter der sym-metrischen Verfahren werden der Data Encryption Standard (DES)und der Advanced Encryption Standard (AES) behandelt.

Das Niveau der Lerninhalte liegt gemessen am DQR-Niveau bei 6(Bachelor)

Angestrebte Lernergebnisse: Fachkompetenz: Die Studierenden kennen die Bedeutung von sym-metrischen kryptographischen Verfahren und verstehen die Struk-turen der prominentesten symmetrischen Primitiven. Darüberhinaus verinnerlichen die Studenten die Sicherheitskonzepte unddiverse Angriffsziele von symmetrischen Verfahren. Die Grund-prinzipien asymmetrischer Kryptographie werden verstanden.

Methodenkompetenz: Die Studierenden beherrschen die Denkwei-sen, die in der modernen Kryptographie eingesetzt werden undkönnen diese anhand von symmetrischen Verfahren nachvollzie-hen.

Sozialkompetenz: Die Studenten tauschen sich über Probleme beimVerstehen von symmetrischen kryptographischen Verfahren ausund diskutieren Lösungswege von Problemen.

Selbstkompetenz: Die Studenten erlangen die Fähigkeit aktuelle sym-metrische kryptographische Verfahren zu verstehen und eine fun-dierte Meinung über die Sicherheit dieser Verfahren zu vertreten.Darüber hinaus besitzen die Studierenden alle Voraussetzungenneue symmetrische Verfahren aus der aktuellen Fachliteratur zuverstehen und ihre Bedeutungen einzuschätzen.

Häufigkeit des Angebots: Sommersemester

Anerkannte Module:

Anerkannte anderweitige Lerner-gebnisse /Lernleistungen:

Medienformen: Studienbriefe in schriflicher und elektronischer Form, Online-material in Lernplattform, Übungen über Lernplattform, Online-Konferenzen, Chat und Forum

Literatur: • Understanding Cryptography, Christof Paar, Jan Pelzl, 2010

• Handbook of Applied Cryptography, Alfred J. Menezes,Paul C van Oorschot, Scott A Vanstone, 1996

Weitere Literatur wird in der Lehrveranstaltung bekannt gegeben.

Bachelorstudiengang Informatik/IT-Sicherheit

Kryptographie 1[Krypto1]

Autoren:

Christof Paar

Jan Pelzl

Ruhr - Universität Bochum

Kryptographie 1[Krypto1]

Studienbrief 1: Einführung

Studienbrief 2: Stromchiffren

Studienbrief 3: Der Data Encryption Standard (DES) und Al-ternativen

Studienbrief 4: Der Advanced Encryption Standard (AES)

Studienbrief 5: Blockchiffren

Autoren:Christof PaarJan Pelzl

1. Auflage

Ruhr - Universität Bochum

© 2017 Christof PaarRuhr - Universität BochumUniversitätsstraße 15044801 Bochum

1. Auflage (01.09.2016)

Didaktische und redaktionelle Bearbeitung:Florian Giesen

Das Werk einschließlich seiner Teile ist urheberrechtlich geschützt. Jede Ver-wendung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohneZustimmung der Verfasser unzulässig und strafbar. Das gilt insbesonderefür Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspei-cherung und Verarbeitung in elektronischen Systemen.

Um die Lesbarkeit zu vereinfachen, wird auf die zusätzliche Formulierungder weiblichen Form bei Personenbezeichnungen verzichtet. Wir weisen des-halb darauf hin, dass die Verwendung der männlichen Form explizit alsgeschlechtsunabhängig verstanden werden soll.

Das diesem Bericht zugrundeliegende Vorhaben wurde mit Mitteln des Bun-desministeriums für Bildung, und Forschung unter dem Förderkennzeichen16OH12026 gefördert. Die Verantwortung für den Inhalt dieser Veröffentli-chung liegt beim Autor.

Inhaltsverzeichnis Seite 3

Inhaltsverzeichnis

Einleitung zu den Studienbriefen 4I. Abkürzungen der Randsymbole und Farbkodierungen . . . . . . . . . 4II. Zu den Autoren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5III. Modullehrziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Studienbrief 1 Einführung 71.1 Lernziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71.2 Advanced Organizer . . . . . . . . . . . . . . . . . . . . . . . . . . . 71.3 Grundprinzipien und Substitutionschiffren . . . . . . . . . . . . . . . 71.4 Historische Kryptographie und modulare Mathematik . . . . . . . . . 9

Studienbrief 2 Stromchiffren 132.1 Lernziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132.2 Advanced Organizer . . . . . . . . . . . . . . . . . . . . . . . . . . . 132.3 Stromchiffren und das One-Time-Pad . . . . . . . . . . . . . . . . . . 132.4 Shift Register und Stromchiffren . . . . . . . . . . . . . . . . . . . . . 15

Studienbrief 3 Der Data Encryption Standard (DES) und Alternativen 193.1 Lernziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193.2 Advanced Organizer . . . . . . . . . . . . . . . . . . . . . . . . . . . 193.3 Der Data Encryption Standard (DES) . . . . . . . . . . . . . . . . . . 19

Studienbrief 4 Der Advanced Encryption Standard (AES) 234.1 Lernziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234.2 Advanced Organizer . . . . . . . . . . . . . . . . . . . . . . . . . . . 234.3 Endliche Körper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234.4 Der Advaced Encryption Standard . . . . . . . . . . . . . . . . . . . . 24

Studienbrief 5 Blockchiffren 275.1 Lernziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275.2 Advanced Organizer . . . . . . . . . . . . . . . . . . . . . . . . . . . 275.3 Betriebsmodi von Blockchiffren . . . . . . . . . . . . . . . . . . . . . 275.4 Key-Whitening und Mehrfachverschlüsselung . . . . . . . . . . . . . . 29

Verzeichnisse 31I. Exkurse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31II. Kontrollaufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31III. Tabellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31IV. Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

Seite 4 Einleitung zu den Studienbriefen

Einleitung zu den Studienbriefen

I. Abkürzungen der Randsymbole und Farbkodierungen

Exkurs E

Kontrollaufgabe K

Übung Ü

Zu den Autoren Seite 5

II. Zu den Autoren

Christof Paar ist Inhaber des Lehrstuhls Embedded Security an der Ruhr-Universität Bochum und ist außerplanmäßiger Professor an der University ofMassachusetts at Amherst, USA. Er arbeitet seit 1995 im Bereich der angewandtenKryptographie.Dr. Paar lehrt seit über 15 Jahren an Universitäten, sowohl in Europa, als auch inden USA, zu Themen der Kryptographie und Datensicherheit. Darüber hinaus gibter Kurse für Teilnehmer aus der Industrie, u.a. für Motorola Research, die NASAund Philips Research. Dr. Paar hat mehr als 150 Publikationen im Bereich derangewandten Kryptographie und ist Mitgründer des Workshop on CryptographicHardware and Embedded Systems (CHES).

Jan Pelzl hat in angewandter Kryptologie promoviert und ist Hauptgeschäftsfüh-rer der ESCRYPT - Embedded Sedurity, einer führenden Firma im Bereich derSicherheitsbereatung. Er hat erfolgreich zahlreiche nationale und internationaleIndustrieprojekte geleitet und tiefgehende Kenntnisse über Sicherheitsbedürfnissein echten Systemen.Dr. Pelzl hat praktische Aspekte der Kryptographie und Kryptanalyses von ellipti-schen Kurven erforscht. Seine theoretischen und praktischen Ergebnisse hat er auf/in international führenden Konferenzen/ Zeitschriften veröffentlicht. Dr. Pelzlhat viele Jahre Kurse über Kryptographie und IT-Sicherheit in Industriekreisengehalten.

Seite 6 Einleitung zu den Studienbriefen

III. Modullehrziele

Kryptographie ist heutzutage allgegenwärtig - während sie lange Zeit nur von Regierungen, Geheimdienstenund Banken verwendet wurde, werden kryptografische Techniken mittlerweile u.a. in Web-Browsern, E-Mail Programmen, Handys, industriellen Produktionssystemen, eingebetteter Software, Autos und sogar inmedizinischen Implantaten verwendet. Daher benötigen EntwicklerInnen heutzutage umfassendes Wissenim Bereich der angewandten Kryptographie.

Ziel dieses Moduls ist es, der Leserin ein solches Wissen zu vermitteln. Nach einer Einführung in das Themader Kryptographie und Datensicherheit, werden die wichtigsten Techniken der modernen symmetrischenKryptographie behandelt. Diese umfassen insbesondere Stromchiffren, den Data Encryption Standard(DES), sowie den Advanced Encryption Standard (AES) und Message Authentication Codes (MACs). Nacherfolgreichem Abschluss dieses Moduls hat die Leserin grundlegende theoretische Kenntnisse in obigenBereichen erlangt. Darüber hinaus werden Probleme erörtert, die sich im Zusammenhang der praktischenImplementierung der Verfahren ergeben, etwa die Wahl der Sicherheitsparameter.

DasModul ist physisch in zwei Teile geteilt. Der Inhalt desModuls ist im Buch “UnderstandingCryptography”von Paar und Pelzl nachzulesen, während Sie die Übungsaufgaben in diesen Studienbriefen finden. Es gibtsowohl theoretische, als auch praktische Übungsaufgaben. Für die Bearbeitung vieler praktischen Aufgabenempfiehlt sich die Verwendung der Lernsoftware Cryptool, die sie über http://www.cryptool-online.org/kostenlos erhalten können. Aufgabe, die mit Cryptool zu lösen sind, sind entsprechend gekennzeichnet.

http://www.cryptool-online.org/

Studienbrief 1 Einführung Seite 7

Studienbrief 1 Einführung

DieGrundlage dieses Studienbriefes ist der Inhalt des ersten Kapitels „Introductionto Cryptography and Data Security“ aus dem Buch Understanding Cryptographyvon Christof Paar und Jan Pelzel Paar and Pelzl [2010]. Auf der Website zum Buchwww.crypto-textbook.com finden Sie einen englischsprachigen Foliensatz zumBuchkapitel sowie nützliche Hinweise und Links zu weiterführender Literatur.Videomitschnitte von den Vorlesungen zu den hier behandelten Themen werdenan den jeweils relevanten Stellen im Studienbrief verlinkt.

1.1 Lernziele

Sie haben einen ersten Einblick in die historische Entwickelung der Kryptogra-phie. Sie kennen die Definition von Sicherheit. Sie können mit der modularenMathematik rechnen und verstehen den Zusammenhang von Kryptographie undMathematik.

1.2 Advanced Organizer

Mit diesem Studienbrief geben wir eine Einführung in die moderne Kryptographie.Wir beginnen jedoch mit den historischen Wurzeln der Kryptographie und nutzendie ersten kryptographischen Verfahren als Beispiel um die modulare Mathematikaus einem neuen Blickwinkel zu verstehen und zu vertiefen.

1.3 Grundprinzipien und Substitutionschiffren

Lesen Sie die Abschnitte 1.1, 1.2 und 1.3 des ersten Kapitels aus dem Buch Under-standing Cryptography Paar and Pelzl [2010]. Ergänzend können Sie den Video-mitschnitt der Vorlesung online unter folgenden Links anschauen.

http://www3.emsec.rub.de/Vorlesung/KVL01.html deen

ÜÜbung 1.1: Substitutionchiffren

Der nachfolgende Text ist mit einer Substitutionschiffre verschlüsselt wor-

den. Ziel dieser Aufgabe ist es, den Klartext wiederzugewinnen, d.h. dasChiffrat zu entschlüsseln.

1. Geben Sie die relative Häufigkeit der Buchstaben A bis Z des Chiffratesan.

2. Entschlüsseln Sie den Text mit Hilfe der in Tabelle 1.3 angegebe-nen Häufigkeitsverteilung (Prozentangaben) der deutschen Sprache.Da der Text recht kurz ist, kann die allgemeine Häufigkeitsvertei-lung nicht 100% übernommen werden. Umlaute sind als in der FormUE, AE und OE dargestellt, ß ist ein eigener Buchstabe. Die Häufig-keitsverteilungen für andere Sprachen finden sie z.B. bei Wikipedia:http://de.wikipedia.org/wiki/Buchstabenhäufigkeit.

3. Geben Sie die verwendete Substitutionstabelle an.

4. Aus welchem Buch stammt der Text? Wie heißt der Autor? (Wennnötig recherchieren Sie im Internet.)

www.crypto-textbook.com

http://www3.emsec.rub.de/Vorlesung/KVL01.html

Seite 8 Studienbrief 1 Einführung

SGFP GTPHGQTP FT OGT ZTGQHNQXßCPGT GFTNGOGT GFTGX PNPDV DZXOGQ YNOG IGJNYYGTGT DZXVDGZHGQX OGX SGXPVFßCGT XUFQDVDQYX OGQIDVDMFX VGZßCPGP ZTRGDßCPGP GFTG JVGFTG IGVRG XNTTG. ZY XFGJQGFXP FT GFTGQ GTPHGQTZTI ENT ZTIGHDGCQ DßCPZTOTGZTKFI YFVVFNTGTYGFVGT GFT DRXNVZP ZTRGOGZPGTOGQ, RVDZIQZGTGQ UVDTGP, OGXXGT ENYDHHGT DRXPDYYGTOGT RFNHNQYGT XN GQXPDZTVFßC UQFYFPFE XFTO, ODAXFG OFIFPDVZCQGT TNßC FYYGQ HZGQ GFTG ZTSDCQXßCGFTVFßC PNVVGGQHFTOZTI CDVPGT.OFGXGQ UVDTGP CDP - NOGQ RGXXGQ IGXDIP, CDPPG - GFT UQNRVGY.OFG YGFXPGT XGFTGQ RGSNCTGQ SDQGT HDXP FYYGQ ZTIVZGßJVFßC. KZQVNGXZTI OFGXGX UQNRVGYX SZQOGT EFGVG ENQXßCVDGIG IGYDßCP, DRGQOFG OQGCPGT XFßC YGFXP ZY ODX CFT ZTO CGQ JVGFTGQ RGOQZßJPGQUDUFGQXßCGFTßCGT, ZTO ODX FXP GFTHDßC OQNVVFI, SGFV GX FY IQNAGTZTO IDTKGT BD TFßCP OFG JVGFTGT RGOQZßJPGT UDUFGQXßCGFTßCGTSDQGT, OFG XFßC ZTIVZGßJVFßC HZGCVPGT.ZTO XN RVFGR ODX UQNRVGY RGXPGCGT. EFGVGT VGZPGT IFTI GXXßCVGßCP, OGT YGFXPGT XNIDQ YFXGQDRGV, XGVRXP OGTGT YFPOFIFPDVZCQGT.EFGVG JDYGT DVVYDGCVFßC KZ OGQ ZGRGQKGZIZTI, GFTGT IQNAGT HGCVGQIGYDßCP KZ CDRGT, DVX XFG ENT OGT RDGZYGT CGQZTPGQIGJNYYGT SDQGT.ZTO GFTFIG XDIPGT, XßCNT OFG RDGZYG XGFGT GFT CNVKSGI IGSGXGT,OFG NKGDTG CDGPPG YDT TFGYDVX EGQVDXXGT OZGQHGT.ZTO GFTGX ONTGQXPDIX ODTT, HDXP KSGFPDZXGTO BDCQG, TDßCOGY GFTYDTT DT GFTGT RDZYXPDYY IGTDIGVP SNQOGT SDQ, SGFV GQ IGXDIPCDPPG, SFG UCDTPDXPFXßC GQ XFßC ODX ENQXPGVVG, SGTT OFG VGZPGKZQ DRSGßCXVZTI YDV TGPP KZGFTDTOGQ SDGQGT, JDY GFT YDGOßCGT, ODXIDTK DVVGFT FT GFTGY ßDHE FT QFßJYDTXSNQPC XDA, UVNGPKVFßC DZHOGT PQFßCPGQ, SDX OFG IDTKG KGFP XN XßCFGHIGVDZHGT SDQ, ZTO XFGSZAPG GTOVFßC, SFG OFG SGVP IZP ZTO IVZGßJVFßC SGQOGT JNGTTPG.OFGXYDV CDPPG XFG XFßC TFßCP IGPDGZXßCP, GX SZGQOG HZTJPFNTFGQGT,ZTO TFGYDTO SZGQOG ODHZGQ DT FQIGTOSDX IGTDIGVP SGQOGT.TZQ RQDßC PQDZQFIGQSGFXG, GCG XFG DTX PGVGHNT IGCGT ZTO BGYDTOGYODENT GQKDGCVGT JNTTPG, GFTG HZQßCPRDQ OZYYG JDPDXPQNUCG CGQGFT,ZTO FCQG FOGG IFTI HZGQ FYYGQ EGQVNQGT...

Tabelle 1.1: Vertei-lung der Buchstabenin deutschen Texten

Buchstabe Häufigkeit Buchstabe Häufigkeit Buchstabe HäufigkeitA 6.51 J 0.27 S 7.27B 1.89 K 1.21 T 6.15C 3.06 L 3.44 U 4.35D 5.08 M 2.53 V 0.67E 17.40 N 9.78 W 1.89F 1.66 O 2.51 X 0.03G 3.01 P 0.79 Y 0.04H 4.76 Q 0.02 Z 1.13I 7.55 R 7.00 ß 0.31

K Kontrollaufgabe 1.1

Erläutern Sie das Konzept eines sogenannten „Brute-force Attacks“.

K Kontrollaufgabe 1.2

Erläutern Sie das Kerkhoff’sche Prinzip.

1.4 Historische Kryptographie und modulare Mathematik Seite 9

1.4 Historische Kryptographie und modulare Mathematik

Lesen Sie die Abschnitte 1.4, 1.5 und 1.6 des ersten Kapitels aus dem Buch Under-standing Cryptography Paar and Pelzl [2010]. Ergänzend können Sie den Video-mitschnitt der Vorlesung online unter folgenden Links anschauen.

http://www3.emsec.rub.de/Vorlesung/KVL02.html del en

ÜÜbung 1.2: Kongruenzen

1. Bestimmen Sie folgenden Kongruenzen mit dem Modulus m = 29ohne Taschenrechner. Die Ergebnisse müssen im Bereich 0,1, . . . ,m−1liegen:

a) 13 ·24 mod 29

b) 17 ·1337 mod 29

c) 69 ·31 mod 29

d) (−36) · (−28) mod 29

e) 231 · (−51) mod 29

2. Beschreiben Sie kurz den Zusammenhang zwischen den einzelnenvorherigen Rechnungen.

3. Bestimmen Sie jeweils ohne Taschenrechner:a) 3−1 mod 29

b) 2 ·6−1 mod 23

c) 7 ·3−1 ·4 ·9−1 mod 13

ÜÜbung 1.3: Reading Assignment

Lesen Sie den Artikel “Why cryptography is harder than it looks” vonBruce Schneier. Der Artikel ist dem Studienbrief angehängt und/oder stehtauf der Onlineplattform zum Modul bereit. (Der Inhalt dieses Textes istPrüfungsrelevant!)

Beantworten Sie stichpunktartig die folgenden Fragen:

1. Warum stehen die Wetten besser für den Angreifer als für den Sicher-heitsarchitekten?

2. Bis zu welchem Punkt können Sicherheitsziele durch Kryptographiegeschützt werden?

3. Wo liegt das Problem, wenn man feststellen möchte ob ein Systemsicher ist?

4. Warum reicht es nicht ein sicheres kryptographisches System zuentwickeln? Was muss noch berücksichtigt werden, damit DiesesSystem, Daten und Resourcen schützen kann?

5. Warum ist die Marketing-Politik bei entdeckten Sicherheitslückenin kryptographischen Anwendungen nicht detailiert über diese zuinformieren problematisch?

http://www3.emsec.rub.de/Vorlesung/KVL02.html

l

Seite 10 Studienbrief 1 Einführung

6. Was sollte laut Schneier getan werden um kryptographische Anwen-dungen zukunftssicher zu machen?

ÜÜbung 1.4: Schiebeverschlüsselung

Ein alternatives Verfahren zur Substitionschiffre ist die Shift-Verschlüsselung (auch bekannt als Schiebechiffre). Hier wird aller-dings anstatt einer beliebigen Zuordnung für jeden Buchstaben (z.B.A 7→ T,B 7→ X ,C 7→ F, . . .) lediglich eine Verschiebung des gesamten Alpha-bets um einen geheimen Offset (Verschiebungswert) vorgenommen. So wirdz.B. für den Offset k = 5 eine Verschiebung des Alphabets um 5 Zeichendurchgeführt, z.B. A 7→ F,B 7→ G,C 7→ H, . . . und mit dieser Abbildung derKlartext kodiert.

1. Gehen Sie davon aus, dass Ihnen das Alphabet Σ = {A,B,C, . . . ,Z}für Klartext und Chiffrat zu Verfügung steht. Wenn Sie eine Shift-Verschlüsselung mit dem Offset k = 10 durchführen, wie müssen Siesinnvoll die Buchstaben Q, . . . ,Z aus dem Klartext belegen?

2. Verschlüsseln Sie das Wort “Datensicherheit” mit der Shift-Verschlüsselung und dem geheimen Offset k = 10.

3. Wenn Sie die Sicherheit der Shift- und der Substitionschiffre bezüglichstatistischen Angriffen vergleichen, ist die Shift-Chiffre sicherer? (5Pkt.)

4. Wenn Sie den Offset für jedes Klartextzeichen von einem beliebi-gen Startpunkt an inkrementieren (jeweils um eins erhöhen), wirddadurch die Sicherheit des Verfahrens gegen statistische Angriffeerhöht?Hinweis: Zum besseren Verständnis des Verfahrens sei folgendesBeispiel gegeben:

Klartext: i n t e r n e tOffset: 1 2 3 4 5 6 7 8Geheimtext: J P W I W T L B

ÜÜbung 1.5: Mehrfache Verschlüsselung 1

Eine beliebte Methode, um die Sicherheit von symmetrischen Algorith-men zu vergrößern, beruht auf der Idee, denselben Algorithmus mehrfachanzuwenden:

y = ek2(ek1(x))

1. Zeigen Sie an einem einfachen Beispiel, dass eine Mehrfachverschlüs-selung mit einer Rotationschiffre keinen Sicherheitsgewinn bringt.

2. Zeigen Sie an einem einfachen Beispiel, dass eine Mehrfachverschlüs-selungmit einer Permutationschiffre keinen Sicherheitsgewinn bringt.

ÜÜbung 1.6: Mehrfache Verschlüsselung 2

Wir haben in der vorherigen Übung bereits gesehen, dass die Mehrfachan-wendung der Permutationschiffre keinen Sicherheitsgewinn bringt. In dieser

1.4 Historische Kryptographie und modulare Mathematik Seite 11

Aufgabe werden wir zeigen, dass Doppel-Verschlüsselung von affinen Chif-fren ebenfalls nicht sicherer ist als die einfache Verschlüsselung.

Angenommen wir haben zwei affine Chiffren ek1 = a1x+b1 und ek2 = a2x+b2.

1. Zeigen Sie, dass es eine affine Chiffre ek3 = a3x+b3 gibt, die genaudieselbe Verschlüsselung (und Entschlüsselung) wie die Kombinationek2(ek1(x)) erzeugt. (10 Pkt.)

2. Bestimmen Sie a3,b3 mit a1 = 7,b1 = 13 and a2 = 18,b2 = 9 mit Modu-lus 23.

3. Beschreiben Sie kurz was passiert, wenn Sie eine Brute-Force Attackegegen die Zweifach-Verschlüsselung der affinen Chiffre anwenden.Hat sich der effektive Schlüsselraum vergrößert? Kennen Sie eineneffektiveren Angriff auf die affine Chiffre, als einen Brute Force An-griff?

Bemerkung: Die Verwendung vonMehrfach-Verschlüsselung ist von großerpraktischer Bedeutung. Bei DES erhöht sich z.B. die Sicherheit, wenn wirdieses mehrfach hintereinander anwenden — wir werden dieses Thema inein paar Wochen in der Vorlesung behandeln.

ÜÜbung 1.7: Affine Chiffre

Dechiffrieren Sie den folgenden Text:

fhhp://5v8.qtje/twjo_f9c8ni_whglhneotxegn

unter Benutzung der affinen Chiffre mit den Schlüsselwerten a = 11, b =6 und dem Modulus 26. Hinweis: Ziffern und Satzzeichen wurde nichtverschlüsselt.

Studienbrief 2 Stromchiffren Seite 13

Studienbrief 2 Stromchiffren

Die Grundlage dieses Studienbriefes ist der Inhalt des zweiten Kapitels „StreamCiphers“ aus dem Buch Understanding Cryptography von Christof Paar und JanPelzel Paar and Pelzl [2010]. Auf derWebsite zum Buch www.crypto-textbook.comfinden Sie einen englischsprachigen Foliensatz zum Buchkapitel sowie nützlicheHinweise und Links zu weiterführender Literatur. Videomitschnitte von den Vorle-sungen zu den hier behandelten Themen werden an den jeweils relevanten Stellenim Studienbrief verlinkt.

2.1 Lernziele

Sie verstehen die Funktionsweise des One-Time Pads. Sie können eigenständig Ver-und Entschlüsselungen von Dateien durchführen. Sie verstehen „Known-Plaintext“Angriffe. Sie Beherrschen den Umgang mit linearen Feedback Shiftregistern undwissen, wie diese im Alltag eingesetzt werden.


In dem vorliegenden Studienbrief befassen wir uns mit Stromchiffren. Im erstenTeil des Studienbriefes besprechenwir die Grundlagen von Stromchiffren und ihrerAbgrenzung von Blockchiffren, welche wir in den folgenden Studienbriefen näherbetrachten. Den zweiten Teil widmen wir den Zufallszahlen und ihrer Berechnung,sowie der perfekt sicheren Verschlüsselung mit einem so genannten „One-TimePad“. Wir schließen den Studienbrief mit der Behandlung von Shift Register basier-ten Stromchiffren, welche einen wichtigen Bestandteil der heutzutage eingesetztenVerschlüsselungsverfahren bilden.

2.3 Stromchiffren und das One-Time-Pad

Lesen Sie die Abschnitte 2.1 und 2.2 des zweiten Kapitels aus dem Buch Under-standing Cryptography Paar and Pelzl [2010]. Ergänzend können Sie den Video-mitschnitt der Vorlesung online unter folgenden Links anschauen.

http://www3.emsec.rub.de/Vorlesung/Kry_03.html deen

ÜÜbung 2.1: One-Time Pad Sicherheit

Auf den ersten Blick scheint es, als ob eine brute-force Attacke (vollständigeSchlüsselsuche) gegen das One-time Pad möglich ist. Das ist ein Paradoxon,da wir wissen, dass das OTP uneingeschränkt sicher ist. Beschreiben Siekurz (maximal 3 Sätze), warum die brute-force Attacke nicht durchführbarist.

Anmerkung: Sie müssen das Paradoxon lösen, d.h. eine Antwort ”Der OTPist uneingeschränkt sicher und deshalb ist eine brute force Attacke nichtdurchführbar” ist nicht ausreichend!


http://www3.emsec.rub.de/Vorlesung/Kry_03.html

Seite 14 Studienbrief 2 Stromchiffren

ÜÜbung 2.2: One-Time Pad Rechenaufgabe

Das One-Time Pad (OTP) wurde in der Vorlesung zur Verschlüsselungdes binären Alphabets (Σ ∈ {0,1}) eingeführt. Hiermit können Daten vonbeliebiger Länge bitweise verschlüsselt werden.

Entschlüsseln Sie den folgenden Ciphertext:18 03 07 1e 04 4c 28 1d 0c 01 54 09 49 27 0a 53 17 06 1b 19 5awelcher mit dem OTP Schlüssel:48 6f 72 73 74 20 47 6f 65 72 74 7a 20 49 6e 73 74 69 74 75 74verschlüsselt worden ist. Die Entschlüsselung ist von Hand durchzuführen(Klausurbedingungen). Verwenden Sie eine ASCII-Zeichensatz-Tabelle, umden Klartext und den Schlüssel wiederzugewinnen (Klausurbedingungen:von Hand).

ÜÜbung 2.3: One-time Pad Angriff bei sich wiederholendem Schlüssel

Sie haben bislang einige Verschlüsselungsübungen bereits per Handerledigt. Im Übungsordner befindet sich eine verschlüsselte JPG Dateiboardingpass.jpg.hex. Zudem wird das Programm “CrypTool”(aktuell1.4.30) benötigt, welches Sie sich kostenlos herunterladen können. (Leidernur für MS Windows verfügbar. UNIX/Linux Benutzer mögen bitte Emula-toren benutzen, um das Programm zu nutzen.

Joe ist verschwunden. Sein letztes Lebenszeichen ist ein Online-Ticketauf seinem Rechner, welches leider verschlüsselt abgelegt wurde. Anhanddes Dateinamens konnten erkennen, dass es sich bei dem Chifrat um eineJPG Datei handelt. In diesem Format übermittelt nur eine Airline ihreTickets. Von dieser erfahren Sie, dass das Ticket zur Übertragung mit einemsich wiederholenden Schlüsselstring XOR verknüpft wurde. Dieser Stringist allerdings bei jeder Übertragung zufällig und nicht mehr bekannt.

1. Öffnen sie willkürlich einige Dateien im JPG Format mit dem Cryp-Tool, und schauen sie sich jeweils den Anfang der Datei an. Beschrei-ben Sie, was alle Dateien gemeinsam haben.

2. Der Schlüssel zur Verschlüsselung der o.g. Datei hat eine Länge vonsechs Zeichen. Wie lautet er (HEX Darstellung)?

3. Nutzen Sie dieses Wissen um mit Hilfe des CrypTools die Datei zudechiffrieren (entschl..symmetrisch..klassisch..XOR). Wohin ging Joesletzte bekannte Reise ? Wie lautet die Flugnr. ? Mit welcher Flugge-sellschaft war er unterwegs?

E Exkurs 2.1

Historische Bemerkung: Es wird berichtet, dass das Ehepaar Rosenberg inden 50er Jahren eine solche Verschlüsselung verwendete, um der UDSSRWissen über den Bau der Atombombe zukommen zu lassen. Da sie auf demelektrischen Stuhl endeten, könnenwir dieMehrfachverwendung eines OTPSchlüssels nicht uneingeschränkt empfehlen.

2.4 Shift Register und Stromchiffren Seite 15

2.4 Shift Register und Stromchiffren

Lesen Sie den Abschnitte 2.3, 2.4 und 2.5 des zweiten Kapitels aus dem BuchUnderstanding Cryptography Paar and Pelzl [2010]. Ergänzend können Sie denVideomitschnitt der Vorlesung online unter folgenden Links anschauen.


ÜÜbung 2.4: Known-Plaintext Attacke gegen LFSR-Stromchiffre

Wir führen eine Known-Plaintext Attacke gegen eine Stromchiffre durch,die auf LFSRs basiert. Wir wissen, dass der Klartext wie folgt ausgesehenhat:

1010 1010 1010 0101 0101 0101 1001

Auf dem Kommunikationskanal haben wir die folgende Bitfolge abgehört:

0000 1101 1110 1011 1100 1000 1010

1. Was ist der Grad m des Generators der Stromchiffrierung? Gehen Sievon einem LFSR mit maximaler Periodenlänge aus.

2. Was ist der Initialisierungsvektor (z0−2)?

3. Bestimmen Sie die Rückkopplungskoeffizienten (C0−2) des LFSRs.

ÜÜbung 2.5: Periode eines LFSR

Es gibt drei verschiedene Typen von LFSRs:

• LFSRs, die eine Sequenz mit maximaler Länge erzeugen. DiesenLFSRs liegen primitive Polynome zu Grunde.

• LFSRs, die keine Sequenz maximaler Länge erzeugen, aber bei denendie Länge unabhängig von dem Initialisierungsvektor ist. DiesenLFSRs liegen irreduzible Polynome zu Grunde, die allerdings nichtprimitiv sind.Anmerkung: Alle primitiven Polynome sind irreduzibel.

• LFSRs, die keine Sequenz maximaler Länge erzeugen und bei de-nen die Sequenzlänge von dem Initialisierungsvektor der Registerabhängt. Diesen LFSRs liegen reduzible Polynome zu Grunde.

Auch wenn Sie vermutlich noch nicht wissen, was ein primitives oder irre-duzibles Polynom ist, können Sie anhand der obigen Aussage das Polynomeines LFSRs einem der drei Fälle zuordnen.Wir werden jetzt einige Beispielebetrachten. Finden Sie alle Sequenzen die durch die folgenden Polynomeerzeugt werden. Zeichnen Sie zunächst das Schaltbild für jedes Schiebe-register. Beachten Sie, dass Sie u.U. verschiedene Initialsierungsvektorenbenutzen müssen, um alle Sequenzen zu erzeugen:


Seite 16 Studienbrief 2 Stromchiffren

1. x4 + x2 +1

2. x4 + x3 + x2 + x+1

3. x4 + x+1

ÜÜbung 2.6: Die A5/1 Stromchiffre im Handy

In Europa werden die Sprachdaten einer Kommunikation mit einem GSM-Handy mit Hilfe der A5/1 Stromchiffre verschlüsselt. Die Stromchiffre be-steht aus drei parallel geschalteten LFSRs der Länge 19, 22 und 23, derenAusgänge mit einem XOR am Ende verschaltet werden. Das Blockschaltbildund die Rückkopplungen des A5/1 sind in folgender Darstellung (Quelle:Wikipedia) abgebildet:

Um die A5/1 Stromchiffre überhaupt sicher zu machen, werden die dreiLFSR nicht regelmäßig sondern nach dem Mehrheitsprinzip getaktet, d.h.in jedem der drei LFSR gibt es ein Taktregister (orange im Blockdiagrammgekennzeichnet), mit denen bestimmt wird, welche der drei LFSRs getaktetwerden sollen. Beinhalten mindestens zwei Taktregister gleichzeitig eineNull, werden nur die LFSRs getaktet, die die Null im Taktregister haben.Falls andersherum mindestens zwei Taktregister aber eine logische Einszeigen sollten, werden alle Register mit einer logischen Eins getaktet.

Beispiel: Taktregister 8 von LFSR 1 und Taktregister 10 von LFSR 2 sindNull und das Register 10 des LFSR 3 ist eine Eins. In diesem Fall werden nurLFSR 1 und 2 getaktet und LFSR 3 bleibt unverändert.

1. Wie viele Bits des Zustandsregisters muss ein Angreifer herausbe-kommen, um den A5/1 zu brechen (d.h. den vollständigen Schlüs-selstrom vorherzusagen)? Wie hoch wäre also der Aufwand für denAngreifer, wenn er den Zustand des A5/1 erraten müsste (wie vieleMöglichkeiten gibt es, die es durchzuprobieren gilt)?

2. Berechnen Sie das aktuelle und die folgenden 8 Ausgabebits des A5/1auf Basis der gegebenen LSFR-Zustände. Geben Sie für jede Rundedie Inhalte der 3 LFSRs, die Taktbits und das Ausgabebit an. Kenn-zeichnen Sie die Taktbits und die für die Rückkopplung relevantenBits. Nutzen Sie hierzu die angehängte Lösungsvorlage.

2.4 Shift Register und Stromchiffren Seite 17

LFSR19 = (z18, . . . ,z0) = (1100010010010100101)LFSR22 = (z21, . . . ,z0) = (1000101000011111000110)LFSR23 = (z22, . . . ,z0) = (11100101100100100100001)

Studienbrief 3 Der Data Encryption Standard (DES) und Alternativen Seite 19

Studienbrief 3 Der Data Encryption Standard (DES) undAlternativen

Die Grundlage dieses Studienbriefes ist der Inhalt des dritten Kapitels „The Da-ta Encryption Standard (DES) and Alternatives“ aus dem Buch UnderstandingCryptography von Christof Paar und Jan Pelzel Paar and Pelzl [2010]. Auf derWebsite zum Buch www.crypto-textbook.com finden Sie einen englischsprachigenFoliensatz zum Buchkapitel sowie nützliche Hinweise und Links zu weiterfüh-render Literatur. Videomitschnitte von den Vorlesungen zu den hier behandeltenThemen werden an den jeweils relevanten Stellen im Studienbrief verlinkt.

3.1 Lernziele

Sie verstehen den technischenAufbau und die Funktionsweise des Data EncryptionStandards DES. Sie können die internenOperationen nachvollziehen und verstehenden feinen Unterschied von Ver- und Entschlüsselung. Sie besitzen die Kompetenz,über die Sicherheit von DES zu urteilen.


Mit dem vorliegenden Studienbrief besprechen wir den „Der Data EncryptionStandard“ (DES). Zu Beginn lernen Sie die Funktionsweise, der bei DES verwende-ten S-Boxen, kennen. Sie erlernen den Umgang mit den DES Permutationen, sodass sie genau verstehen, wie die interne Struktur des Standards funktioniert.

3.3 Der Data Encryption Standard (DES)

Lesen Sie das dritte Kapitels aus dem Buch Understanding Cryptography Paarand Pelzl [2010]. Ergänzend können Sie den Videomitschnitt der Vorlesung onlineunter folgenden Links anschauen.


ÜÜbung 3.1: Bit-Lawineneffekte im DES

Für eine gute Blockchiffre ist es wünschenswert, daß bei der Veränderungeines Eingangsbits möglichst viele Ausgangsbits verändert werden (Dif-fusion oder Avalanche-Effekt). Im folgenden werden wir versuchen, dieDiffusionseigenschaft von DES zu überprüfen. Wir verwenden hierzu eineEingangsbitfolge, bei der das Bit an der Position 57 gleich Eins ist (x57 = 1)und alle anderen Bits gleich Null sind. Die 56 Schlüsselbits sind ebenfallsalle gleich Null. (Beachten Sie, daß die Eingangsbits als erstes die Eingangs-permutation IP durchlaufen!)

1. Auf welche S-Boxen wirkt sich dieses Bit in der ersten DES Rundeaus bzw. wie sehen die Eingangsbits aller S-Boxen aus?

Auswirkungen auf: (Ankreuzen)S1 ~ S2 ~ S3 ~ S4 ~ S5 ~ S6 ~ S7 ~ S8 ~

Eingangsbits:S-Box 1 S-Box 2 S-Box 3



Seite 20 Studienbrief 3 Der Data Encryption Standard (DES) und Alternativen

S-Box 4 S-Box 5 S-Box 6

S-Box 7 S-Box 8

2. Geben Sie das Ergebnis nach der ersten Runde an. (L1 und R1)

L1

R1

3. Ermitteln Sie das Ergebnis nach der ersten Runde für den Fall, daß alleEingangsbits gleich Null sind (d.h. auch x57). Wie viele Bits habensich in L1 und R1 im vergleich zu Aufgabenteil b) verändert?

L1

R1

Anzahl geänderter Bits:

ÜÜbung 3.2: Nichtlinearität der S-Boxen

Eine wichtige Eigenschaft des DES ist die Nichtlinearität der S-Boxen. Indieser Übungsaufgabe wollen wir diese Eigenschaft verifizieren, indem wirdie Ausgangsbits für verschiedene Eingangsbits in einer S-Box Si vergleichen.Zeigen Sie, daß für S5 das folgende Entwurfkriterium gilt:

Si(x1)⊕Si(x2) 6= Si(x1⊕ x2).

Benutzen Sie die folgenden Eingangsbits:1. x1 = 010100, x2 = 110001

2. x1 = 111111, x2 = 101000

3. x1 = 100001, x2 = 011110

ÜÜbung 3.3: Permutationen im DES

Wir möchten überprüfen, ob IP−1 die inverse Operation von IP ist. Wirbetrachten den 64-bit Vektor x = (x1,x2, . . . ,x64). Zeigen Sie für die Bits x8,x22und x58, dass IP−1(IP(xi)) = xi gilt.

3.3 Der Data Encryption Standard (DES) Seite 21

ÜÜbung 3.4: DES-Entschlüsselung

Ein Freund hat eine Nachricht für Sie mit dem DES verschlüsselt und hatIhnen den zugehörigen Schlüssel auf einem kleinen Stück Papier in derVorlesung zugesteckt. Da der Zettel von einer Ecke abgerissen wurde, istleider die letzte Stelle des hexadezimalen 64-bit Schlüssels (=16 Hexzeichen)nicht vollständig lesbar. Erkennbar ist noch, dass das fehlende Symbol eineZahl sein müsste.

1. Wie viele Möglichkeiten müssen Sie unter diesen Umständen imDurchschnitt und im schlimmsten Fall durchprobieren, um den kor-rekten Schlüssel durch Ausprobieren zu erraten? (Hinweis: DES ver-wendet 56-bit Schlüssel, aber es ist ein 64-bit Schlüssel angegeben.Die „überflüssigen“ Bit des 64-bit Schlüssels sind nicht willkürlichgewählt.)

2. ImÜbungsordner befindet sich dieNachricht E-Mail_ciphertext.hex.Das Programm CrypTool finden Sie im Ordner zu Übung 3. Gegebensei der Schlüssel B3 3A 89 2B A5 2B CC FX, wobei X nur bedingt les-bar war (siehe Hinweis weiter oben). Verwenden Sie die im CrypToolvorhandene DES-Entschlüsselung, um

a) den korrekten Schlüsselkandidaten herauszufinden

b) die Nachricht Ihres Freundes zu entschlüsseln.Hinweis: Beachten Sie, dass Sie die Entschlüsselung im ECB-Modusverwenden. Was sich hinter diesem Entschlüsselungsmodus verbirgt,werden Sie in den nächsten Vorlesungen kennenlernen.

ÜÜbung 3.5: Brute-Force Schlüsselsuche

Ein generischer Angriff auf Verschlüsselungsverfahren ist das systematischeDurchsuchen des Schlüsselraumes, indem für einen bekannten Klartextjeder mögliche Schlüssel ausprobiert und mit dem abgehörten Chiffretextverglichen wird. Dieser Angriff ist auch als Brute-Force Angriff bekannt.Wie schnell der Angriff zum Erfolg führt, hängt im Einzelfall vom gewähltenSchlüssel ab und an welcher Stelle er beim Durchsuchen probiert wird.Dennoch kannman allgemeineAussagen über die Erfolgswahrscheinlichkeitdes Angriffs bei Verschlüsselungsverfahren machen.

1. Gegeben sei ein Verschlüsselungsverfahren mit 56 Bit Schlüssellänge(DES).Wie viele Verschlüsselungen benötigt man für eine erfolgreicheBrute Force Attacke (I) im Durchschnitt und (II) im schlimmsten Fall,wenn der Schlüssel als allerletzes gefunden wird?

2. Sie haben einen günstigen Computer für 350 EUR mit einem Core i7Prozessor und 4 ·3 GHz zu Verfügung. Dieser Rechner schafft 10 Mil-lionen DES-Verschlüsselungen bei 56 Bit Schlüssellänge pro Sekunde.Wie lange (Jahre und Tage bzw. Tage und Stunden) benötigt eine erfolg-reiche Brute-Force Attacke mit diesem Rechner im Durchschnitt?

3. Nehmen Sie an, sie haben insgesamt ein Budget von 17.500 EUR.Wenn Sie für dieses Geld Computer zu je 350 EUR kaufen, wie langedauert dann eine parallele DES-Schlüsselsuche im Schnitt?

4. Ein Spezialcluster mit 180 parallel arbeitenden Hardwarebausteinen(FPGAs) ist ebenfalls für 17.500 EUR zu realisieren. Ein einzelnerHardwarebaustein hat insgesamt 4 Rechenwerke, die jeweils 120 Mil-lionen DES-Verschlüsselungen pro Sekunde schaffen. Wie lange dau-

Seite 22 Studienbrief 3 Der Data Encryption Standard (DES) und Alternativen

ert es im Durchschnitt, bis dieser Cluster einen DES-Schlüssel miteiner Brute-Force Attacke erfolgreich knacken kann?

ÜÜbung 3.6: DES-Entschlüsselung

In der Vorlesung wurde gezeigt, dass sich die Entschlüsselung nur gering-fügig von der Verschlüsselung unterscheidet. Dies liegt an der besonderenStruktur, die nach dem Erfinder Horst Feistel benannt wurde.

1. Worin besteht der einzige Unterschied zwischen einer DES-Verschlüsselung und einer DES-Entschlüsselung?

2. Zeige, warum dieser einzige Unterschied ausreicht, um aus einer Ver-schlüsselung eine Entschlüsselung zu erzeugen. Hinweis: Ein guterStart für den Beweis ist die 16. Runde der Verschlüsselung.

ÜÜbung 3.7: DES Bitkomplement (Etwas kniffelige Aufgabe!)

DES hat eine erstaunliche Eigenschaft bezüglich des bitweisen Komple-ments der Eingangs- und Ausgangsbits. Wir werden diese Eigenschaft indiesem Problem behandeln.

Wir stellen das Komplement einer Zahl A (d.h. alle Bits dieser Zahl wer-den invertiert) mit A′ da. (Bsp.: Wenn A = 0110 ist, dann ist A′ = 1001.) “⊕“entspricht dem bitweisen XOR. Wir wollen folgendes zeigen: Wenn

y =DESk(x)

dann gilt auchy′ =DESk′(x

′).

Das bedeutet, wenn wir das Komplement des Klartexts und des Schlüsselsbilden, dann werden die Ausgangsbits auch das Komplement des orgina-len Geheimtexts sein. Ihre Aufgabe ist es diese Eigenschaft zu beweisen.(Tipp: versuchen Sie diese Eigenschaft allgemein für jede beliebige Rundezu beweisen, anstelle alle 16 Runden durchzurechnen!)

Studienbrief 4 Der Advanced Encryption Standard (AES) Seite 23

Studienbrief 4 Der Advanced Encryption Standard (AES)

Die Grundlage dieses Studienbriefes ist der Inhalt des vierten Kapitels „The Da-ta Encryption Standard (DES) and Alternatives“ aus dem Buch UnderstandingCryptography von Christof Paar und Jan Pelzel Paar and Pelzl [2010]. Auf derWebsite zum Buch www.crypto-textbook.com finden Sie einen englischsprachigenFoliensatz zum Buchkapitel sowie nützliche Hinweise und Links zu weiterfüh-render Literatur. Videomitschnitte von den Vorlesungen zu den hier behandeltenThemen werden an den jeweils relevanten Stellen im Studienbrief verlinkt.

4.1 Lernziele

Sie Können in endlichen Körpern rechnen. Sie verstehen die mathematischenZusammenhänge von endlichen Körpern und modernen kryptographischen Ver-fahren. Als Beispiel für eine moderne Blockchiffre kennen Sie den „Advanced En-cryption Standard“ und wissen über die Funktion dieses Algorithmus Bescheid.


Im ersten teil dieses Studienbriefes geben wir eine knappe Einführung in dieMathematik von endlichen Körpern. Im zweiten Teil des Studienbriefes lernenwir die Struktur des „Advanced Encryption Standards“ (AES) kennen. An diesemkonkreten Beispiel sehen wir, wie komplizierte mathematische Strukturen ihreAnwendung in der Kryptographie finden.

4.3 Endliche Körper

Lesen Sie die Abschnitte 4.1 bis 4.3 des vierten Kapitels aus dem Buch Understan-ding Cryptography Paar and Pelzl [2010]. Ergänzend können Sie den Videomit-schnitt der Vorlesung online unter folgenden Links anschauen.


ÜÜbung 4.1: Polynome im endlichen Körper

Gegeben sei das irreduzible Polynom P(x) = x4 + x+1. Wieviele PolynomeA(x) mit Elementen aus

1. GF(2)

2. GF(n)

existieren, für die gilt grad(A(x))< grad(P(x)).

ÜÜbung 4.2: Addition in GF(24)

Berechnen Sie A(x)+B(x) mod P(x) in GF(24) mit dem irreduziblen Reduk-tionspolynom P(x) = x4 + x3 +1.

1. A(x) = x3 + x2 +1,B(x) = x3 + x+1

2. A(x) = x+1,B(x) = x3 + x



Seite 24 Studienbrief 4 Der Advanced Encryption Standard (AES)

3. A(x) = x3 + x2 + x+1,B(x) = x3 + x

4. Welche Auswirkung hat die Wahl des Reduktionspolynoms auf dieBerechnungsschritte (Max. 2 Sätze)?

ÜÜbung 4.3: Multiplikation in GF(24)

Berechnen Sie A(x) ·B(x) mod P(x) in GF(24)mit dem irreduziblen Redukti-onspolynom P(x) = x4 + x3 +1.

1. A(x) = x3 + x2 +1,B(x) = x3 + x

2. A(x) = x+1,B(x) = x3 +1

3. A(x) = x3 + x2 + x+1,B(x) = x3 + x2

ÜÜbung 4.4: Multiplikation in GF(34)

Berechnen Sie A(x) ·B(x) mod P(x) in GF(34)mit dem irreduziblen Redukti-onspolynom P(x) = x4 +2x+2.

1. A(x) = 2x3 + x+2,B(x) = x3 +2x2

2. A(x) = x2 +2,B(x) = x3 +2x+1

4.4 Der Advaced Encryption Standard

Lesen Sie die Abschnitte 4.4 bis 4.8 des vierten Kapitels aus dem Buch Understan-ding Cryptography Paar and Pelzl [2010]. Ergänzend können Sie den Videomit-schnitt der Vorlesung online unter folgenden Links anschauen.

http://www3.emsec.rub.de/Vorlesung/Kry_05.htmldeen

ÜÜbung 4.5: Schlüsselableitung im AES

Jede Runde vom AES verwendet einen anderen Unterschlüssel, der vomHauptschlüssel abgeleitet wird. In dieser Aufgabe wollen wir die Schlüs-selableitung im AES nachvollziehen. Oft werden die jeweiligen Teile desSchlüssels und Unterschlüssels in 32-Bit Worten Ki angegeben.

1. Gegeben Sei ein Hauptschlüssel (K0,K1,K2,K3), der nur aus Nul-len besteht. Bestimmen Sie den entprechenden Unterschlüssel(K4,K5,K6,K7) nach der ersten Runde der Schlüsselableitung. (Abga-be nur als Hexwerte)

2. Gegeben Sei ein Hauptschlüssel (K0,K1,K2,K3) = (0x00000001,0x00000002,0x00000003,0x00000004). Bestimmen Sie erneut den Un-terschlüssel (K4,K5,K6,K7) nach der ersten Runde der Schlüsselablei-tung.


4.4 Der Advaced Encryption Standard Seite 25

ÜÜbung 4.6: AES MixColumn Operation

Die MixColumn-Transformation als Teil der Rundenfunktion des AES be-steht aus einer Matrix-Vektor-Multiplikation im Körper GF(28) über demirreduziblen Polynom P(x) = x8 + x4 + x3 + x+1.Sei b = (b7x7 + . . .+ b0) eines der vier Eingabebytes der Matrix-Vektor-Multiplikation. Jedes Eingabebyte wird mit den Konstanten 01 = (1), 02= (x), and 03= (x+1) aus GF(28)multipliziert. Ihre Aufgabe ist es, die Glei-chungen für die Berechnung dieser konstanten Multiplikationen inklusiveder dabei erforderlichen Reduktion aufzustellen. Das jeweilige Ergebnis sollmit d = (d7x7 + . . .+d0) bezeichnet werden.

1. Stellen Sie die Gleichungen für die Bits aus d auf, um d = 01 ·b effizientzu bestimmen.



ÜÜbung 4.7: Bit-Lawineneffekte im AES

Wie DES soll auch AES die Eigenschaft haben, dass die Veränderung einesBits am Eingang einer Runde eine änderung möglichst vieler Ausgangsbitsder Runde zur Folge haben (Diffusion oder Avalanche-Effekt). Die Diffusi-onseigenschaft des AES nach einer Runde soll in dieser Aufgabe überprüftwerden. Gegeben sei die folgende 128-Bit AES-Eingabe in je 32 Bit Wor-tenW = (w0,w1,w2,w3) = (0x00000000,0x01000000,0x00000000,0x00000000)Der zur Berechnung der Ausgabe nach der ersten AES-Runde benötigteUnterschlüssel k0 ist mit

k0 = (0xDEADBEEF)

(0xCAFEBABE)

(0xDEADBEEF)

(0xCAFEBABE)

gegeben. Sie können zur Lösung dieser Aufgabe auch Programme schreiben.Geben Sie aber unbedingt einzelne Zwischenschritte an!

1. Geben Sie die entsprechende Ausgabe zur Eingabe W nach der erstenRunde des AES an! Verwenden Sie dabei den gegebenen Unterschlüs-sel k0!Hinweise:Beachten Sie die Reihenfolge, in der die Bytes in den Algorithmusgeschrieben werden (von oben nach unten und von links nach rechts).Zeigen Sie alle Zwischenergebnisse nach: Plaintext, KeyAddition,Substitution, ShiftRows, MixColumns und KeyAddition.Denken Sie an die Korrekteure, die ihre Lösungen nachvollziehenmüssen und wählen Sie eine verständliche Darstellung (Am bestendie des 4x4 Byte Quadrats)

2. Ermitteln Sie die Ausgabebytes nach der ersten Runde für den Fall,dass diesmal alle Eingangsbytes gleich Null sind.

3. Wieviele Ausgangsbits haben sich im Vergleich der beiden Fälle ver-

Seite 26 Studienbrief 4 Der Advanced Encryption Standard (AES)

ändert? Wir betrachten hier nur eine einzige Runde des AES. Nachjeder weiteren Runde werden mehr und mehr Änderungen der Aus-gangsbits auftreten (Lawineneffekt).

Studienbrief 5 Blockchiffren Seite 27

Studienbrief 5 Blockchiffren

Die Grundlage dieses Studienbriefes ist der Inhalt des fünften Kapitels „MoreAbout Block Ciphers“ aus dem Buch Understanding Cryptography von Chri-stof Paar und Jan Pelzel Paar and Pelzl [2010]. Auf der Website zum Buchwww.crypto-textbook.com finden Sie einen englischsprachigen Foliensatz zumBuchkapitel sowie nützliche Hinweise und Links zu weiterführender Literatur.Videomitschnitte von den Vorlesungen zu den hier behandelten Themen werdenan den jeweils relevanten Stellen im Studienbrief verlinkt.

5.1 Lernziele

Sie kennen die verschiedenen Betriebsmodi von Blockchiffren. Sie haben das Kon-zept der Mehrfachverschlüsselung verstanden und können einen möglichen Si-cherheitsgewinn einschätzen. Sie können im Speziellen die Kosten berechnen umBlockchiffren zu „brechen“.


In diesem Studienbrief lernen wir die Betriebsmodi von Blockchiffren kennen.Diesewerden Besprochen und imHinblick auf ihre Sicherheitsgarantien untersucht.Darüber hinaus diskutieren wir das Konzept der Mehrfachverschlüsselung unddie hierdurch gewonnene Sicherheit. Des weiteren besprechen wir, wie Kostenkalkuliert werden um Blockchiffren generisch zu brechen.

5.3 Betriebsmodi von Blockchiffren

Lesen Sie die Abschnitte 5.1 und 5.2 des fünften Kapitels aus dem Buch Understan-ding Cryptography Paar and Pelzl [2010]. Ergänzend können Sie den Videomit-schnitt der Vorlesung online unter folgenden Links anschauen.


ÜÜbung 5.1: Doppelte DES Verschlüsselung

Geben ist eine doppelte DES Verschlüsselung (2DES)

2DES(x) = DESK2(DESK1(x))

In dieser Aufgabe wollen wir eine Kostenabschätzung für verschiedeneAngriffe auf 2DES vornehmen.

1. Zeichnen Sie ein Blockdiagramm von 2DES. Der DES Algorithmussollte hierbei als einfache Box dargestellt werden (also keine DES-Interna!).

2. Zunächst betrachten wir eine reine Schlüsselsuche ohne nennens-werten Speicheraufwand. Hierbei muss der gesamte Schlüsselraum,der gemeinsam von K1 und K2 gebildet wird, durchsucht werden.Wie teuer wird eine Suchmaschine, mit der wir 2DES im “worst case”nach 1 Woche brechen können? Wir nehmen an, dass wir spezielleHardware Chips (ASICs) zur Verfügung haben, die 107 Schlüsselpro Sekunde überprüfen können. Ein Chip kostet 5 Euro. Darüberhinaus nehmen wir einen Overhead von 50% auf die Chipkosten für



Seite 28 Studienbrief 5 Blockchiffren

den Bau der Maschine an. Setzen Sie die Kosten der Suchmaschineins Verhältnis zum Etat der Bundesrepublik, der etwa 300 ·109 Eurobeträgt.

3. Alternativ betrachten wir jetzt eine meet-in-the-middle (auch time-memory trade-off genannte) Attacke, bei der wir viel Speicher einset-zen können. Beantworten Sie hierzu folgende Fragen:

• Wieviel Einträge müssen gespeichert werden?

• Wieviel Bytes (nicht Bits!) müssen pro Eintrag gespeichert wer-den?

• Wie teuer ist eine Schlüsselsuche, die nach maximal einer Wo-che zum Erfolg führt? Bitte beachten Sie, dass Sie zunächsteinen Schlüsselraum komplett durchlaufen müssen, um denSpeicher zu füllen. Erst danach kann der Raum des zweitenSchlüssels durchsucht werden. Für das nacheinander folgen-de Durchlaufen der beiden Schlüsselräume kann die gleicheHardware verwandt werden.

Für eine Kostenabschätzung des Speichers nehmen Sie einen Preisvon 100 Euro / 1 TB an, wobei der Einfachheit halber mit 1 TB =1012 Byte gerechnet werden soll. Für die Kosten der Schlüsselsuchenehmen Sie die Kosten von oben an. Setzen Sie die Kosten für diemeet-in-the-middle Attacke wieder in Verhältnis zum Bundeshaushalt.

ÜÜbung 5.2: Moore’s Law

1. Gegeben sei eine Blockchiffre mit einer Schlüssellänge von 192 Bits,wie z.B. AES. Nehmen wir an, dass wir einen Spezialchip haben, der3 ·107 Schlüssel pro Sekunde durchsuchen kann. Wir schalten 100.000dieser Chips parallel. Wie lange dauert eine durchschnittliche Suche?Vergleiche diese Zeit mit dem Alter des Universums (etwa 1010 Jahre).

2. Nun versuchen wir, die Weiterentwicklung der Computertechnologiein unsere Rechnungen einzubeziehen. Es ist natürlich schwierig dieZukunft vorher zusagen, aber bei solchen Schätzungenwird normaler-weise Moore’s Law verwendet: Nach diesem Gesetz verdoppelt sichdie Computerleistung alle 18 Monate bei gleichbleibenden Kosten.Wieviele Jahremüssenwirwarten biswir eine Schlüsselsuchmaschinebauen können, die einen symmetrischen Algorithmus mit 192 Bit ineiner durchschnittlichen Suchzeit von 24 Stunden berechnen kann?Wir nehmen an, dass wir 100.000 Chips verwenden, die in unsererSuchmaschine parallel geschaltet sind.

ÜÜbung 5.3: Sicherheit von OFB bei geheimem IV

Man könnte meinen, dass durch Geheimhalten des Initialisierungsvektors(IV) die Sicherheit des OFBModes erhöht werden kann. Dies ist jedoch nichtder Fall!

1. Zeigen Sie, wie der OFBModemittels eines Brute-Force Angriffs auchohne Kenntniss des IVs angegriffen werden kann. Die KomplexitätdesAngriffs ist (so gutwie) gleichwie die Komplexität eines normalenBrute-Force Angriffs gegen die zugrundeliegende Chiffre.

5.4 Key-Whitening und Mehrfachverschlüsselung Seite 29

2. Welche Bedingung stellt der Angriff an den Klartext und das Chiffrat?

5.4 Key-Whitening und Mehrfachverschlüsselung

Lesen Sie die Abschnitte 5.3 bis 5.5 des fünften Kapitels aus dem Buch Understan-ding Cryptography Paar and Pelzl [2010]. Ergänzend können Sie den Videomit-schnitt der Vorlesung online unter folgenden Links anschauen.


ÜÜbung 5.4: Key-Whitening

In der Übung wurden bereits verschiedene Varianten des Key-Whiteningvorgestellt. In dieser Aufgabe betrachten wir die folgenden beiden Variantenvon Key-Whitening:

DESAk,k1(x) =DESk(x)⊕ k1 (5.1)DESBk,k1(x) =DESk(x⊕ k1) (5.2)

1. Zeichnen Sie das Blockschaltbild für Variante (1) (Stellen Sie hierund im Folgenden keine DES-Interna dar, sondern betrachten SieDES als Block). Wieviele Plaintext-Ciphertext-Paare werden für einenerfolgreichen Angriff benötigt? Zeigen Sie detailliert, wie der Angriffdurchgeführt werden kann.

2. Zeichnen Sie das Blockschaltbild für Variante (2). Wieviele Plaintext-Ciphertext-Paare werden für einen erfolgreichen Angriff benötigt?Zeigen Sie detailliert, wie der Angriff durchgeführt werden kann.

3. Zeichnen Sie das Blockschaltbild für eine sichere Variante des Key-Whitenings. Wieso wird das Verfahren eingesetzt? Gibt es Performan-ceeinbußen und warum?

ÜÜbung 5.5: Verschlüsselungsmodus für Datenbanken

Betrachten wir (stark vereinfacht) die Speicherung von Daten in verschüs-selter Form in einer großen Datenbank. Für die Verschlüsselung verwendenwir AES. Wir nehmen an, dass die zu speichernden Einträge eine Größevon 1024 Bit haben, und dass zwischen den verschiedenen Einträgen keinZusammenhang besteht. Beantworten Sie die beiden folgenden Fragen inkurz in Stichworten:

• Was sind die Vor- und Nachteile des ECB Modes für dieser Anwen-dung?

• Was sind die Vor- und Nachteile des CBC Modes?

ÜÜbung 5.6: Fehlerfortpflanzung in Verschlüsselungsmodi

Einwichtiges Enscheidungsmerkmal für die Auswahl des Verschlüsselungs-modus in der Praxis ist die Fehlerfortpflanzung.

1. Nehmen wir an, dass während der Übermittlung ein Fehler in einem


Seite 30 Studienbrief 5 Blockchiffren

Block des Geheimtextes yi auftritt. Welche Klartextblöcke sind aufder Seite von Bob betroffen, wenn wir ECB Mode verwenden?

2. Nehmen wir wieder an, dass im Block yi ein Fehler während derÜbermittlung aufgetreten ist. Welche Klartextblöcke sind auf derSeite von Bob betroffen, wenn wir CBC Mode verwenden?

3. Nehmen wir wieder an, dass im Block yi ein Fehler während derÜbermittlung aufgetreten ist. Welche Klartextblöcke sind auf derSeite von Bob betroffen, wenn wir OFB Mode verwenden?

4. Stellen wir uns vor, wir haben einen Fehler im Klartextblock xi aufder Seite von Alice. Welche Klartextblöcke sind auf der Seite von Bobvon diesem Fehler betroffen, wenn wir CBC Mode verwenden?

5. Was geschieht, wenn durch einen Übertragungsfehler ein Chiffre-textblock im Netzwerk verloren geht, der zuvor mit dem CBC Modeverschlüsselt wurde?

6. Was geschieht, wenn durch einen Übertragungsfehler ein Chiffre-textblock im Netzwerk verloren geht, der zuvor mit dem OFB Modeverschlüsselt wurde?

Verzeichnisse Seite 31

Verzeichnisse

I. Exkurse

Exkurs 2.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

II. Kontrollaufgaben

Kontrollaufgabe 1.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8Kontrollaufgabe 1.2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

III. Tabellen

Tabelle 1.1: Verteilung der Buchstaben in deutschen Texten . . . . . . . . . . . . . . . . . . . . . . . . 8

IV. Literatur

Christof Paar and Jan Pelzl. Understanding Cryptography - A Textbook for Students and Practitioners. Springer,2010. ISBN 978-3-642-04100-6.

seite1 · seite6einleitungzudenstudienbriefen iii. modullehrziele...

Documents