Kryptographie 1 [Krypto1] - Ruhr University Bochum · 2017-09-21 · Kryptographie 1 [Krypto1]...

38
Kryptographie 1 [Krypto1] Autoren: Christof Paar Jan Pelzl Ruhr - Universität Bochum

Transcript of Kryptographie 1 [Krypto1] - Ruhr University Bochum · 2017-09-21 · Kryptographie 1 [Krypto1]...

Page 1: Kryptographie 1 [Krypto1] - Ruhr University Bochum · 2017-09-21 · Kryptographie 1 [Krypto1] Studienbrief1:Einführung Studienbrief2:Stromchiffren Studienbrief3:DerDataEncryptionStandard(DES)undAl-ternativen

Kryptographie 1[Krypto1]

Autoren:

Christof Paar

Jan Pelzl

Ruhr - Universität Bochum

Page 2: Kryptographie 1 [Krypto1] - Ruhr University Bochum · 2017-09-21 · Kryptographie 1 [Krypto1] Studienbrief1:Einführung Studienbrief2:Stromchiffren Studienbrief3:DerDataEncryptionStandard(DES)undAl-ternativen
Page 3: Kryptographie 1 [Krypto1] - Ruhr University Bochum · 2017-09-21 · Kryptographie 1 [Krypto1] Studienbrief1:Einführung Studienbrief2:Stromchiffren Studienbrief3:DerDataEncryptionStandard(DES)undAl-ternativen

Kryptographie 1[Krypto1]

Studienbrief 1: Einführung

Studienbrief 2: Stromchiffren

Studienbrief 3: Der Data Encryption Standard (DES) und Al-ternativen

Studienbrief 4: Der Advanced Encryption Standard (AES)

Studienbrief 5: Blockchiffren

Autoren:Christof PaarJan Pelzl

1. Auflage

Ruhr - Universität Bochum

Page 4: Kryptographie 1 [Krypto1] - Ruhr University Bochum · 2017-09-21 · Kryptographie 1 [Krypto1] Studienbrief1:Einführung Studienbrief2:Stromchiffren Studienbrief3:DerDataEncryptionStandard(DES)undAl-ternativen

© 2017 Christof PaarRuhr - Universität BochumUniversitätsstraße 15044801 Bochum

1. Auflage (20. September 2017)

Didaktische und redaktionelle Bearbeitung:Florian Giesen

Das Werk einschließlich seiner Teile ist urheberrechtlich geschützt. Jede Ver-wendung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohneZustimmung der Verfasser unzulässig und strafbar. Das gilt insbesonderefür Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspei-cherung und Verarbeitung in elektronischen Systemen.

Um die Lesbarkeit zu vereinfachen, wird auf die zusätzliche Formulierungder weiblichen Form bei Personenbezeichnungen verzichtet. Wir weisen des-halb darauf hin, dass die Verwendung der männlichen Form explizit alsgeschlechtsunabhängig verstanden werden soll.

Page 5: Kryptographie 1 [Krypto1] - Ruhr University Bochum · 2017-09-21 · Kryptographie 1 [Krypto1] Studienbrief1:Einführung Studienbrief2:Stromchiffren Studienbrief3:DerDataEncryptionStandard(DES)undAl-ternativen

Inhaltsverzeichnis Seite 3

Inhaltsverzeichnis

Einleitung zu den Studienbriefen 4I. Abkürzungen der Randsymbole und Farbkodierungen . . . . . . . . . 4II. Zu den Autoren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5III. Modullehrziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Studienbrief 1 Einführung 71.1 Lernziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71.2 Advanced Organizer . . . . . . . . . . . . . . . . . . . . . . . . . . . 71.3 Grundprinzipien und Substitutionschiffren . . . . . . . . . . . . . . . 71.4 Historische Kryptographie und modulare Mathematik . . . . . . . . . 9

Studienbrief 2 Stromchiffren 132.1 Lernziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132.2 Advanced Organizer . . . . . . . . . . . . . . . . . . . . . . . . . . . 132.3 Stromchiffren und das One-Time-Pad . . . . . . . . . . . . . . . . . . 132.4 Shift Register und Stromchiffren . . . . . . . . . . . . . . . . . . . . . 15

Studienbrief 3 Der Data Encryption Standard (DES) und Alternativen 173.1 Lernziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173.2 Advanced Organizer . . . . . . . . . . . . . . . . . . . . . . . . . . . 173.3 Der Data Encryption Standard (DES) . . . . . . . . . . . . . . . . . . 17

Studienbrief 4 Der Advanced Encryption Standard (AES) 214.1 Lernziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214.2 Advanced Organizer . . . . . . . . . . . . . . . . . . . . . . . . . . . 214.3 Endliche Körper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214.4 Der Advaced Encryption Standard . . . . . . . . . . . . . . . . . . . . 22

Studienbrief 5 Blockchiffren 255.1 Lernziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255.2 Advanced Organizer . . . . . . . . . . . . . . . . . . . . . . . . . . . 255.3 Betriebsmodi von Blockchiffren . . . . . . . . . . . . . . . . . . . . . 255.4 Key-Whitening und Mehrfachverschlüsselung . . . . . . . . . . . . . . 27

Verzeichnisse 29I. Exkurse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29II. Kontrollaufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29III. Tabellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

Anhang 31

Page 6: Kryptographie 1 [Krypto1] - Ruhr University Bochum · 2017-09-21 · Kryptographie 1 [Krypto1] Studienbrief1:Einführung Studienbrief2:Stromchiffren Studienbrief3:DerDataEncryptionStandard(DES)undAl-ternativen

Seite 4 Einleitung zu den Studienbriefen

Einleitung zu den Studienbriefen

I. Abkürzungen der Randsymbole und Farbkodierungen

Exkurs E

Kontrollaufgabe K

Übung Ü

Page 7: Kryptographie 1 [Krypto1] - Ruhr University Bochum · 2017-09-21 · Kryptographie 1 [Krypto1] Studienbrief1:Einführung Studienbrief2:Stromchiffren Studienbrief3:DerDataEncryptionStandard(DES)undAl-ternativen

Zu den Autoren Seite 5

II. Zu den Autoren

Christof Paar ist Inhaber des Lehrstuhls Embedded Security an der Ruhr-Universität Bochum und ist außerplanmäßiger Professor an der University ofMassachusetts at Amherst, USA. Er arbeitet seit 1995 im Bereich der angewandtenKryptographie.Dr. Paar lehrt seit über 15 Jahren an Universitäten, sowohl in Europa, als auch inden USA, zu Themen der Kryptographie und Datensicherheit. Darüber hinaus gibter Kurse für Teilnehmer aus der Industrie, u.a. für Motorola Research, die NASAund Philips Research. Dr. Paar hat mehr als 150 Publikationen im Bereich derangewandten Kryptographie und ist Mitgründer des Workshop on CryptographicHardware and Embedded Systems (CHES).

Jan Pelzl hat in angewandter Kryptologie promoviert und ist Hauptgeschäftsfüh-rer der ESCRYPT - Embedded Sedurity, einer führenden Firma im Bereich derSicherheitsbereatung. Er hat erfolgreich zahlreiche nationale und internationaleIndustrieprojekte geleitet und tiefgehende Kenntnisse über Sicherheitsbedürfnissein echten Systemen.Dr. Pelzl hat praktische Aspekte der Kryptographie und Kryptanalyses von ellipti-schen Kurven erforscht. Seine theoretischen und praktischen Ergebnisse hat er auf/in international führenden Konferenzen/ Zeitschriften veröffentlicht. Dr. Pelzlhat viele Jahre Kurse über Kryptographie und IT-Sicherheit in Industriekreisengehalten.

Page 8: Kryptographie 1 [Krypto1] - Ruhr University Bochum · 2017-09-21 · Kryptographie 1 [Krypto1] Studienbrief1:Einführung Studienbrief2:Stromchiffren Studienbrief3:DerDataEncryptionStandard(DES)undAl-ternativen

Seite 6 Einleitung zu den Studienbriefen

III. Modullehrziele

Kryptographie ist heutzutage allgegenwärtig - während sie lange Zeit nur von Regierungen, Geheimdienstenund Banken verwendet wurde, werden kryptografische Techniken mittlerweile u.a. in Web-Browsern, E-Mail Programmen, Handys, industriellen Produktionssystemen, eingebetteter Software, Autos und sogar inmedizinischen Implantaten verwendet. Daher benötigen EntwicklerInnen heutzutage umfassendes Wissenim Bereich der angewandten Kryptographie.

Ziel dieses Moduls ist es, der Leserin ein solches Wissen zu vermitteln. Nach einer Einführung in das Themader Kryptographie und Datensicherheit, werden die wichtigsten Techniken der modernen symmetrischenKryptographie behandelt. Diese umfassen insbesondere Stromchiffren, den Data Encryption Standard(DES), sowie den Advanced Encryption Standard (AES) und Message Authentication Codes (MACs). Nacherfolgreichem Abschluss dieses Moduls hat die Leserin grundlegende theoretische Kenntnisse in obigenBereichen erlangt. Darüber hinaus werden Probleme erörtert, die sich im Zusammenhang der praktischenImplementierung der Verfahren ergeben, etwa die Wahl der Sicherheitsparameter.

DasModul ist physisch in zwei Teile geteilt. Der Inhalt desModuls ist im Buch “UnderstandingCryptography”von Paar und Pelzl nachzulesen, während Sie die Übungsaufgaben in diesen Studienbriefen finden. Es gibtsowohl theoretische, als auch praktische Übungsaufgaben. Für die Bearbeitung vieler praktischen Aufgabenempfiehlt sich die Verwendung der Lernsoftware Cryptool, die sie über http://www.cryptool-online.org/kostenlos erhalten können. Aufgabe, die mit Cryptool zu lösen sind, sind entsprechend gekennzeichnet.

Page 9: Kryptographie 1 [Krypto1] - Ruhr University Bochum · 2017-09-21 · Kryptographie 1 [Krypto1] Studienbrief1:Einführung Studienbrief2:Stromchiffren Studienbrief3:DerDataEncryptionStandard(DES)undAl-ternativen

Studienbrief 1 Einführung Seite 7

Studienbrief 1 Einführung

Die Grundlage dieses Studienbriefes ist der Inhalt des ersten Kapitels „Intro-duction to Cryptography and Data Security“ aus dem Buch UnderstandingCryptography von Christof Paar und Jan Pelzel ?. Auf der Website zum Buchwww.crypto-textbook.com finden Sie einen englischsprachigen Foliensatz zumBuchkapitel sowie nützliche Hinweise und Links zu weiterführender Literatur.Videomitschnitte von den Vorlesungen zu den hier behandelten Themen werdenan den jeweils relevanten Stellen im Studienbrief verlinkt.

1.1 Lernziele

Sie haben einen ersten Einblick in die historische Entwickelung der Kryptogra-phie. Sie kennen die Definition von Sicherheit. Sie können mit der modularenMathematik rechnen und verstehen den Zusammenhang von Kryptographie undMathematik.

1.2 Advanced Organizer

Mit diesem Studienbrief geben wir eine Einführung in die moderne Kryptographie.Wir beginnen jedoch mit den historischen Wurzeln der Kryptographie und nutzendie ersten kryptographischen Verfahren als Beispiel um die modulare Mathematikaus einem neuen Blickwinkel zu verstehen und zu vertiefen.

1.3 Grundprinzipien und Substitutionschiffren

Lesen Sie die Abschnitte 1.1, 1.2 und 1.3 des ersten Kapitels aus dem Buch Un-derstanding Cryptography ?. Ergänzend können Sie den Videomitschnitt derVorlesung online unter folgenden Links anschauen.

http://www3.crypto.rub.de/Vorlesung/KVL01.html dehttp://www3.crypto.rub.de/VL2010/Kry_01.html en

ÜÜbung 1.1: Substitutionchiffren

Der nachfolgende Text istmit einer Substitutionschiffre verschlüsselt worden.Ziel dieser Aufgabe ist es, den Klartext wiederzugewinnen, d.h. das Chiffratzu entschlüsseln.

1. Geben Sie die relative Häufigkeit der Buchstaben A bis Z des Chiffratesan.

2. Entschlüsseln Sie den Text mit Hilfe der in Tabelle 1.3 angegebe-nen Häufigkeitsverteilung (Prozentangaben) der deutschen Sprache.Da der Text recht kurz ist, kann die allgemeine Häufigkeitsvertei-lung nicht 100% übernommen werden. Umlaute sind als in der FormUE, AE und OE dargestellt, ß ist ein eigener Buchstabe. Die Häufig-keitsverteilungen für andere Sprachen finden sie z.B. bei Wikipedia:http://de.wikipedia.org/wiki/Buchstabenhäufigkeit.

3. Geben Sie die verwendete Substitutionstabelle an.

4. Aus welchem Buch stammt der Text? Wie heißt der Autor? (Wennnötig recherchieren Sie im Internet.)

Page 10: Kryptographie 1 [Krypto1] - Ruhr University Bochum · 2017-09-21 · Kryptographie 1 [Krypto1] Studienbrief1:Einführung Studienbrief2:Stromchiffren Studienbrief3:DerDataEncryptionStandard(DES)undAl-ternativen

Seite 8 Studienbrief 1 Einführung

SGFP GTPHGQTP FT OGT ZTGQHNQXßCPGT GFTNGOGT GFTGX PNPDV DZXOGQ YNOG IGJNYYGTGT DZXVDGZHGQX OGX SGXPVFßCGT XUFQDVDQYX OGQIDVDMFX VGZßCPGP ZTRGDßCPGP GFTG JVGFTG IGVRG XNTTG. ZY XFGJQGFXP FT GFTGQ GTPHGQTZTI ENT ZTIGHDGCQ DßCPZTOTGZTKFI YFVVFNTGTYGFVGT GFT DRXNVZP ZTRGOGZPGTOGQ, RVDZIQZGTGQ UVDTGP, OGXXGT ENYDHHGT DRXPDYYGTOGT RFNHNQYGT XN GQXPDZTVFßC UQFYFPFE XFTO, ODAXFG OFIFPDVZCQGT TNßC FYYGQ HZGQ GFTG ZTSDCQXßCGFTVFßC PNVVGGQHFTOZTI CDVPGT.OFGXGQ UVDTGP CDP - NOGQ RGXXGQ IGXDIP, CDPPG - GFT UQNRVGY.OFG YGFXPGT XGFTGQ RGSNCTGQ SDQGT HDXP FYYGQ ZTIVZGßJVFßC. KZQVNGXZTI OFGXGX UQNRVGYX SZQOGT EFGVG ENQXßCVDGIG IGYDßCP, DRGQOFG OQGCPGT XFßC YGFXP ZY ODX CFT ZTO CGQ JVGFTGQ RGOQZßJPGQUDUFGQXßCGFTßCGT, ZTO ODX FXP GFTHDßC OQNVVFI, SGFV GX FY IQNAGTZTO IDTKGT BD TFßCP OFG JVGFTGT RGOQZßJPGT UDUFGQXßCGFTßCGTSDQGT, OFG XFßC ZTIVZGßJVFßC HZGCVPGT.ZTO XN RVFGR ODX UQNRVGY RGXPGCGT. EFGVGT VGZPGT IFTI GXXßCVGßCP, OGT YGFXPGT XNIDQ YFXGQDRGV, XGVRXP OGTGT YFPOFIFPDVZCQGT.EFGVG JDYGT DVVYDGCVFßC KZ OGQ ZGRGQKGZIZTI, GFTGT IQNAGT HGCVGQIGYDßCP KZ CDRGT, DVX XFG ENT OGT RDGZYGT CGQZTPGQIGJNYYGT SDQGT.ZTO GFTFIG XDIPGT, XßCNT OFG RDGZYG XGFGT GFT CNVKSGI IGSGXGT,OFG NKGDTG CDGPPG YDT TFGYDVX EGQVDXXGT OZGQHGT.ZTO GFTGX ONTGQXPDIX ODTT, HDXP KSGFPDZXGTO BDCQG, TDßCOGY GFTYDTT DT GFTGT RDZYXPDYY IGTDIGVP SNQOGT SDQ, SGFV GQ IGXDIPCDPPG, SFG UCDTPDXPFXßC GQ XFßC ODX ENQXPGVVG, SGTT OFG VGZPGKZQ DRSGßCXVZTI YDV TGPP KZGFTDTOGQ SDGQGT, JDY GFT YDGOßCGT, ODXIDTK DVVGFT FT GFTGY ßDHE FT QFßJYDTXSNQPC XDA, UVNGPKVFßC DZHOGT PQFßCPGQ, SDX OFG IDTKG KGFP XN XßCFGHIGVDZHGT SDQ, ZTO XFGSZAPG GTOVFßC, SFG OFG SGVP IZP ZTO IVZGßJVFßC SGQOGT JNGTTPG.OFGXYDV CDPPG XFG XFßC TFßCP IGPDGZXßCP, GX SZGQOG HZTJPFNTFGQGT,ZTO TFGYDTO SZGQOG ODHZGQ DT FQIGTOSDX IGTDIGVP SGQOGT.TZQ RQDßC PQDZQFIGQSGFXG, GCG XFG DTX PGVGHNT IGCGT ZTO BGYDTOGYODENT GQKDGCVGT JNTTPG, GFTG HZQßCPRDQ OZYYG JDPDXPQNUCG CGQGFT,ZTO FCQG FOGG IFTI HZGQ FYYGQ EGQVNQGT...

Tabelle 1.1: Vertei-lung der Buchstabenin deutschen Texten

Buchstabe Häufigkeit Buchstabe Häufigkeit Buchstabe HäufigkeitA 6.51 J 0.27 S 7.27B 1.89 K 1.21 T 6.15C 3.06 L 3.44 U 4.35D 5.08 M 2.53 V 0.67E 17.40 N 9.78 W 1.89F 1.66 O 2.51 X 0.03G 3.01 P 0.79 Y 0.04H 4.76 Q 0.02 Z 1.13I 7.55 R 7.00 ß 0.31

K Kontrollaufgabe 1.1

Erläutern Sie das Konzept eines sogenannten „Brute-force Attacks“.

K Kontrollaufgabe 1.2

Erläutern Sie das Kerkhoff’sche Prinzip.

Page 11: Kryptographie 1 [Krypto1] - Ruhr University Bochum · 2017-09-21 · Kryptographie 1 [Krypto1] Studienbrief1:Einführung Studienbrief2:Stromchiffren Studienbrief3:DerDataEncryptionStandard(DES)undAl-ternativen

1.4 Historische Kryptographie und modulare Mathematik Seite 9

1.4 Historische Kryptographie und modulare Mathematik

Lesen Sie die Abschnitte 1.4, 1.5 und 1.6 des ersten Kapitels aus dem Buch Un-derstanding Cryptography ?. Ergänzend können Sie den Videomitschnitt derVorlesung online unter folgenden Links anschauen.

http://www3.crypto.rub.de/Vorlesung/KVL02.html dehttp://www3.crypto.rub.de/VL2010/Kry_02.html en

ÜÜbung 1.2: Kongruenzen

1. Bestimmen Sie folgenden Kongruenzen mit dem Modulus m = 29ohne Taschenrechner. Die Ergebnisse müssen im Bereich 0,1, . . . ,m−1liegen:

a) 13 ·24 mod 29

b) 17 ·1337 mod 29

c) 69 ·31 mod 29

d) (−36) · (−28) mod 29

e) 231 · (−51) mod 29

2. Beschreiben Sie kurz den Zusammenhang zwischen den einzelnenvorherigen Rechnungen.

3. Bestimmen Sie jeweils ohne Taschenrechner:a) 3−1 mod 29

b) 2 ·6−1 mod 23

c) 7 ·3−1 ·4 ·9−1 mod 13

ÜÜbung 1.3: Reading Assignment

Lesen Sie den Artikel “Why cryptography is harder than it looks” vonBruce Schneier. Der Artikel ist dem Studienbrief angehängt und/oder stehtauf der Onlineplattform zum Modul bereit. (Der Inhalt dieses Textes istPrüfungsrelevant!)

Beantworten Sie stichpunktartig die folgenden Fragen:

1. Warum stehen die Wetten besser für den Angreifer als für den Sicher-heitsarchitekten?

2. Bis zu welchem Punkt können Sicherheitsziele durch Kryptographiegeschützt werden?

3. Wo liegt das Problem, wenn man feststellen möchte ob ein Systemsicher ist?

4. Warum reicht es nicht ein sicheres kryptographisches System zuentwickeln? Was muss noch berücksichtigt werden, damit DiesesSystem, Daten und Resourcen schützen kann?

5. Warum ist die Marketing-Politik bei entdeckten Sicherheitslückenin kryptographischen Anwendungen nicht detailiert über diese zuinformieren problematisch?

Page 12: Kryptographie 1 [Krypto1] - Ruhr University Bochum · 2017-09-21 · Kryptographie 1 [Krypto1] Studienbrief1:Einführung Studienbrief2:Stromchiffren Studienbrief3:DerDataEncryptionStandard(DES)undAl-ternativen

Seite 10 Studienbrief 1 Einführung

6. Was sollte laut Schneier getan werden um kryptographische Anwen-dungen zukunftssicher zu machen?

ÜÜbung 1.4: Schiebeverschlüsselung

Ein alternatives Verfahren zur Substitionschiffre ist die Shift-Verschlüsselung(auch bekannt als Schiebechiffre). Hier wird allerdings anstatt einer belie-bigen Zuordnung für jeden Buchstaben (z.B. A 7→ T,B 7→ X ,C 7→ F, . . .) le-diglich eine Verschiebung des gesamten Alphabets um einen geheimenOffset (Verschiebungswert) vorgenommen. So wird z.B. für den Offsetk = 5 eine Verschiebung des Alphabets um 5 Zeichen durchgeführt, z.B.A 7→ F,B 7→ G,C 7→ H, . . . und mit dieser Abbildung der Klartext kodiert.

1. Gehen Sie davon aus, dass Ihnen das Alphabet Σ = {A,B,C, . . . ,Z}für Klartext und Chiffrat zu Verfügung steht. Wenn Sie eine Shift-Verschlüsselung mit dem Offset k = 10 durchführen, wie müssen Siesinnvoll die Buchstaben Q, . . . ,Z aus dem Klartext belegen?

2. Verschlüsseln Sie das Wort “Datensicherheit” mit der Shift-Verschlüsselung und dem geheimen Offset k = 10.

3. Wenn Sie die Sicherheit der Shift- und der Substitionschiffre bezüglichstatistischen Angriffen vergleichen, ist die Shift-Chiffre sicherer? (5Pkt.)

4. Wenn Sie den Offset für jedes Klartextzeichen von einem beliebi-gen Startpunkt an inkrementieren (jeweils um eins erhöhen), wirddadurch die Sicherheit des Verfahrens gegen statistische Angriffeerhöht?Hinweis: Zum besseren Verständnis des Verfahrens sei folgendesBeispiel gegeben:

Klartext: i n t e r n e tOffset: 1 2 3 4 5 6 7 8Geheimtext: J P W I W T L B

ÜÜbung 1.5: Mehrfache Verschlüsselung 1

Eine beliebte Methode, um die Sicherheit von symmetrischen Algorithmenzu vergrößern, beruht auf der Idee, denselben Algorithmus mehrfach anzu-wenden:

y = ek2(ek1(x))

1. Zeigen Sie an einem einfachen Beispiel, dass eine Mehrfachverschlüs-selung mit einer Rotationschiffre keinen Sicherheitsgewinn bringt.

2. Zeigen Sie an einem einfachen Beispiel, dass eine Mehrfachverschlüs-selungmit einer Permutationschiffre keinen Sicherheitsgewinn bringt.

ÜÜbung 1.6: Mehrfache Verschlüsselung 2

Wir haben in der vorherigen Übung bereits gesehen, dass die Mehrfachan-

Page 13: Kryptographie 1 [Krypto1] - Ruhr University Bochum · 2017-09-21 · Kryptographie 1 [Krypto1] Studienbrief1:Einführung Studienbrief2:Stromchiffren Studienbrief3:DerDataEncryptionStandard(DES)undAl-ternativen

1.4 Historische Kryptographie und modulare Mathematik Seite 11

wendung der Permutationschiffre keinen Sicherheitsgewinn bringt. In dieserAufgabe werden wir zeigen, dass Doppel-Verschlüsselung von affinen Chif-fren ebenfalls nicht sicherer ist als die einfache Verschlüsselung.

Angenommen wir haben zwei affine Chiffren ek1 = a1x+b1 und ek2 = a2x+b2.

1. Zeigen Sie, dass es eine affine Chiffre ek3 = a3x+b3 gibt, die genaudieselbe Verschlüsselung (und Entschlüsselung) wie die Kombinationek2(ek1(x)) erzeugt. (10 Pkt.)

2. Bestimmen Sie a3,b3 mit a1 = 7,b1 = 13 and a2 = 18,b2 = 9 mit Modu-lus 23.

3. Beschreiben Sie kurz was passiert, wenn Sie eine Brute-Force Attackegegen die Zweifach-Verschlüsselung der affinen Chiffre anwenden.Hat sich der effektive Schlüsselraum vergrößert? Kennen Sie eineneffektiveren Angriff auf die affine Chiffre, als einen Brute Force An-griff?

Bemerkung: Die Verwendung vonMehrfach-Verschlüsselung ist von großerpraktischer Bedeutung. Bei DES erhöht sich z.B. die Sicherheit, wenn wirdieses mehrfach hintereinander anwenden — wir werden dieses Thema inein paar Wochen in der Vorlesung behandeln.

ÜÜbung 1.7: Affine Chiffre

Dechiffrieren Sie den folgenden Text:

fhhp://5v8.qtje/twjo_f9c8ni_whglhneotxegn

unter Benutzung der affinen Chiffre mit den Schlüsselwerten a = 11, b =6 und dem Modulus 26. Hinweis: Ziffern und Satzzeichen wurde nichtverschlüsselt.

Page 14: Kryptographie 1 [Krypto1] - Ruhr University Bochum · 2017-09-21 · Kryptographie 1 [Krypto1] Studienbrief1:Einführung Studienbrief2:Stromchiffren Studienbrief3:DerDataEncryptionStandard(DES)undAl-ternativen
Page 15: Kryptographie 1 [Krypto1] - Ruhr University Bochum · 2017-09-21 · Kryptographie 1 [Krypto1] Studienbrief1:Einführung Studienbrief2:Stromchiffren Studienbrief3:DerDataEncryptionStandard(DES)undAl-ternativen

Studienbrief 2 Stromchiffren Seite 13

Studienbrief 2 Stromchiffren

Die Grundlage dieses Studienbriefes ist der Inhalt des zweiten Kapitels „StreamCiphers“ aus dem Buch Understanding Cryptography von Christof Paar und JanPelzel ?. Auf der Website zum Buch www.crypto-textbook.com finden Sie einenenglischsprachigen Foliensatz zum Buchkapitel sowie nützliche Hinweise undLinks zu weiterführender Literatur. Videomitschnitte von den Vorlesungen zu denhier behandelten Themen werden an den jeweils relevanten Stellen im Studienbriefverlinkt.

2.1 Lernziele

Sie verstehen die Funktionsweise des One-Time Pads. Sie können eigenständig Ver-und Entschlüsselungen von Dateien durchführen. Sie verstehen „Known-Plaintext“Angriffe. Sie Beherrschen den Umgang mit linearen Feedback Shiftregistern undwissen, wie diese im Alltag eingesetzt werden.

2.2 Advanced Organizer

In dem vorliegenden Studienbrief befassen wir uns mit Stromchiffren. Im erstenTeil des Studienbriefes besprechenwir die Grundlagen von Stromchiffren und ihrerAbgrenzung von Blockchiffren, welche wir in den folgenden Studienbriefen näherbetrachten. Den zweiten Teil widmen wir den Zufallszahlen und ihrer Berechnung,sowie der perfekt sicheren Verschlüsselung mit einem so genannten „One-TimePad“. Wir schließen den Studienbrief mit der Behandlung von Shift Register basier-ten Stromchiffren, welche einen wichtigen Bestandteil der heutzutage eingesetztenVerschlüsselungsverfahren bilden.

2.3 Stromchiffren und das One-Time-Pad

Lesen Sie die Abschnitte 2.1 und 2.2 des zweiten Kapitels aus dem Buch Understan-ding Cryptography ?. Ergänzend können Sie den Videomitschnitt der Vorlesungonline unter folgenden Links anschauen.

http://www3.crypto.rub.de/Vorlesung/Kry_03.html dehttp://www3.crypto.rub.de/VL2010/Kry_03.html en

ÜÜbung 2.1: One-Time Pad Sicherheit

Auf den ersten Blick scheint es, als ob eine brute-force Attacke (vollständigeSchlüsselsuche) gegen das One-time Pad möglich ist. Das ist ein Paradoxon,da wir wissen, dass das OTP uneingeschränkt sicher ist. Beschreiben Siekurz (maximal 3 Sätze), warum die brute-force Attacke nicht durchführbarist.

Anmerkung: Sie müssen das Paradoxon lösen, d.h. eine Antwort ”Der OTPist uneingeschränkt sicher und deshalb ist eine brute force Attacke nichtdurchführbar” ist nicht ausreichend!

Page 16: Kryptographie 1 [Krypto1] - Ruhr University Bochum · 2017-09-21 · Kryptographie 1 [Krypto1] Studienbrief1:Einführung Studienbrief2:Stromchiffren Studienbrief3:DerDataEncryptionStandard(DES)undAl-ternativen

Seite 14 Studienbrief 2 Stromchiffren

ÜÜbung 2.2: One-Time Pad Rechenaufgabe

Das One-Time Pad (OTP) wurde in der Vorlesung zur Verschlüsselungdes binären Alphabets (Σ ∈ {0,1}) eingeführt. Hiermit können Daten vonbeliebiger Länge bitweise verschlüsselt werden.

Entschlüsseln Sie den folgenden Ciphertext:18 03 07 1e 04 4c 28 1d 0c 01 54 09 49 27 0a 53 17 06 1b 19 5awelcher mit dem OTP Schlüssel:48 6f 72 73 74 20 47 6f 65 72 74 7a 20 49 6e 73 74 69 74 75 74verschlüsselt worden ist. Die Entschlüsselung ist von Hand durchzuführen(Klausurbedingungen). Verwenden Sie eine ASCII-Zeichensatz-Tabelle, umden Klartext und den Schlüssel wiederzugewinnen (Klausurbedingungen:von Hand).

ÜÜbung 2.3: One-time Pad Angriff bei sich wiederholendem Schlüssel

Sie haben bislang einige Verschlüsselungsübungen bereits per Handerledigt. Im Übungsordner befindet sich eine verschlüsselte JPG Dateiboardingpass.jpg.hex. Zudem wird das Programm “CrypTool”(aktuell1.4.30) benötigt, welches Sie sich kostenlos herunterladen können. (Leidernur für MS Windows verfügbar. UNIX/Linux Benutzer mögen bitte Emula-toren benutzen, um das Programm zu nutzen.

Joe ist verschwunden. Sein letztes Lebenszeichen ist ein Online-Ticketauf seinem Rechner, welches leider verschlüsselt abgelegt wurde. Anhanddes Dateinamens konnten erkennen, dass es sich bei dem Chifrat um eineJPG Datei handelt. In diesem Format übermittelt nur eine Airline ihreTickets. Von dieser erfahren Sie, dass das Ticket zur Übertragung mit einemsich wiederholenden Schlüsselstring XOR verknüpft wurde. Dieser Stringist allerdings bei jeder Übertragung zufällig und nicht mehr bekannt.

1. Öffnen sie willkürlich einige Dateien im JPG Format mit dem Cryp-Tool, und schauen sie sich jeweils den Anfang der Datei an. Beschrei-ben Sie, was alle Dateien gemeinsam haben.

2. Der Schlüssel zur Verschlüsselung der o.g. Datei hat eine Länge vonsechs Zeichen. Wie lautet er (HEX Darstellung)?

3. Nutzen Sie dieses Wissen um mit Hilfe des CrypTools die Datei zudechiffrieren (entschl..symmetrisch..klassisch..XOR). Wohin ging Joesletzte bekannte Reise ? Wie lautet die Flugnr. ? Mit welcher Flugge-sellschaft war er unterwegs?

E Exkurs 2.1

Historische Bemerkung: Es wird berichtet, dass das Ehepaar Rosenberg inden 50er Jahren eine solche Verschlüsselung verwendete, um der UDSSRWissen über den Bau der Atombombe zukommen zu lassen. Da sie auf demelektrischen Stuhl endeten, könnenwir dieMehrfachverwendung eines OTPSchlüssels nicht uneingeschränkt empfehlen.

Page 17: Kryptographie 1 [Krypto1] - Ruhr University Bochum · 2017-09-21 · Kryptographie 1 [Krypto1] Studienbrief1:Einführung Studienbrief2:Stromchiffren Studienbrief3:DerDataEncryptionStandard(DES)undAl-ternativen

2.4 Shift Register und Stromchiffren Seite 15

2.4 Shift Register und Stromchiffren

Lesen Sie den Abschnitte 2.3, 2.4 und 2.5 des zweiten Kapitels aus dem BuchUnderstanding Cryptography ?. Ergänzend können Sie den Videomitschnitt derVorlesung online unter folgenden Links anschauen.

http://www3.crypto.rub.de/Vorlesung/Kry_07.html dehttp://www3.crypto.rub.de/VL2010/Kry_04.html en

ÜÜbung 2.4: Known-Plaintext Attacke gegen LFSR-Stromchiffre

Wir führen eine Known-Plaintext Attacke gegen eine Stromchiffre durch,die auf LFSRs basiert. Wir wissen, dass der Klartext wie folgt ausgesehenhat:

1010 1010 1010 0101 0101 0101 1001

Auf dem Kommunikationskanal haben wir die folgende Bitfolge abgehört:

0000 1101 1110 1011 1100 1000 1010

1. Was ist der Grad m des Generators der Stromchiffrierung? Gehen Sievon einem LFSR mit maximaler Periodenlänge aus.

2. Was ist der Initialisierungsvektor (z0−2)?

3. Bestimmen Sie die Rückkopplungskoeffizienten (C0−2) des LFSRs.

ÜÜbung 2.5: Periode eines LFSR

Es gibt drei verschiedene Typen von LFSRs:

• LFSRs, die eine Sequenz mit maximaler Länge erzeugen. DiesenLFSRs liegen primitive Polynome zu Grunde.

• LFSRs, die keine Sequenz maximaler Länge erzeugen, aber bei denendie Länge unabhängig von dem Initialisierungsvektor ist. DiesenLFSRs liegen irreduzible Polynome zu Grunde, die allerdings nichtprimitiv sind.Anmerkung: Alle primitiven Polynome sind irreduzibel.

• LFSRs, die keine Sequenz maximaler Länge erzeugen und bei de-nen die Sequenzlänge von dem Initialisierungsvektor der Registerabhängt. Diesen LFSRs liegen reduzible Polynome zu Grunde.

Auch wenn Sie vermutlich noch nicht wissen, was ein primitives oder irre-duzibles Polynom ist, können Sie anhand der obigen Aussage das Polynomeines LFSRs einem der drei Fälle zuordnen.Wir werden jetzt einige Beispielebetrachten. Finden Sie alle Sequenzen die durch die folgenden Polynomeerzeugt werden. Zeichnen Sie zunächst das Schaltbild für jedes Schiebe-register. Beachten Sie, dass Sie u.U. verschiedene Initialsierungsvektorenbenutzen müssen, um alle Sequenzen zu erzeugen:

1. x4 + x2 +1

2. x4 + x3 + x2 + x+1

3. x4 + x+1

Page 18: Kryptographie 1 [Krypto1] - Ruhr University Bochum · 2017-09-21 · Kryptographie 1 [Krypto1] Studienbrief1:Einführung Studienbrief2:Stromchiffren Studienbrief3:DerDataEncryptionStandard(DES)undAl-ternativen

Seite 16 Studienbrief 2 Stromchiffren

ÜÜbung 2.6: Die A5/1 Stromchiffre im Handy

In Europa werden die Sprachdaten einer Kommunikation mit einem GSM-Handy mit Hilfe der A5/1 Stromchiffre verschlüsselt. Die Stromchiffre be-steht aus drei parallel geschalteten LFSRs der Länge 19, 22 und 23, derenAusgänge mit einem XOR am Ende verschaltet werden. Das Blockschaltbildund die Rückkopplungen des A5/1 sind in folgender Darstellung (Quelle:Wikipedia) abgebildet:

Um die A5/1 Stromchiffre überhaupt sicher zu machen, werden die dreiLFSR nicht regelmäßig sondern nach dem Mehrheitsprinzip getaktet, d.h.in jedem der drei LFSR gibt es ein Taktregister (orange im Blockdiagrammgekennzeichnet), mit denen bestimmt wird, welche der drei LFSRs getaktetwerden sollen. Beinhalten mindestens zwei Taktregister gleichzeitig eineNull, werden nur die LFSRs getaktet, die die Null im Taktregister haben.Falls andersherum mindestens zwei Taktregister aber eine logische Einszeigen sollten, werden alle Register mit einer logischen Eins getaktet.

Beispiel: Taktregister 8 von LFSR 1 und Taktregister 10 von LFSR 2 sindNull und das Register 10 des LFSR 3 ist eine Eins. In diesem Fall werden nurLFSR 1 und 2 getaktet und LFSR 3 bleibt unverändert.

1. Wie viele Bits des Zustandsregisters muss ein Angreifer herausbe-kommen, um den A5/1 zu brechen (d.h. den vollständigen Schlüs-selstrom vorherzusagen)? Wie hoch wäre also der Aufwand für denAngreifer, wenn er den Zustand des A5/1 erraten müsste (wie vieleMöglichkeiten gibt es, die es durchzuprobieren gilt)?

2. Berechnen Sie das aktuelle und die folgenden 8 Ausgabebits des A5/1auf Basis der gegebenen LSFR-Zustände. Geben Sie für jede Rundedie Inhalte der 3 LFSRs, die Taktbits und das Ausgabebit an. Kenn-zeichnen Sie die Taktbits und die für die Rückkopplung relevantenBits. Nutzen Sie hierzu die angehängte Lösungsvorlage.

LFSR19 = (z18, . . . ,z0) = (1100010010010100101)LFSR22 = (z21, . . . ,z0) = (1000101000011111000110)LFSR23 = (z22, . . . ,z0) = (11100101100100100100001)

Page 19: Kryptographie 1 [Krypto1] - Ruhr University Bochum · 2017-09-21 · Kryptographie 1 [Krypto1] Studienbrief1:Einführung Studienbrief2:Stromchiffren Studienbrief3:DerDataEncryptionStandard(DES)undAl-ternativen

Studienbrief 3 Der Data Encryption Standard (DES) und Alternativen Seite 17

Studienbrief 3 Der Data Encryption Standard (DES) undAlternativen

Die Grundlage dieses Studienbriefes ist der Inhalt des dritten Kapitels „The Da-ta Encryption Standard (DES) and Alternatives“ aus dem Buch UnderstandingCryptography von Christof Paar und Jan Pelzel ?. Auf der Website zum Buchwww.crypto-textbook.com finden Sie einen englischsprachigen Foliensatz zumBuchkapitel sowie nützliche Hinweise und Links zu weiterführender Literatur.Videomitschnitte von den Vorlesungen zu den hier behandelten Themen werdenan den jeweils relevanten Stellen im Studienbrief verlinkt.

3.1 Lernziele

Sie verstehen den technischenAufbau und die Funktionsweise des Data EncryptionStandards DES. Sie können die internenOperationen nachvollziehen und verstehenden feinen Unterschied von Ver- und Entschlüsselung. Sie besitzen die Kompetenz,über die Sicherheit von DES zu urteilen.

3.2 Advanced Organizer

Mit dem vorliegenden Studienbrief besprechen wir den „Der Data EncryptionStandard“ (DES). Zu Beginn lernen Sie die Funktionsweise, der bei DES verwende-ten S-Boxen, kennen. Sie erlernen den Umgang mit den DES Permutationen, sodass sie genau verstehen, wie die interne Struktur des Standards funktioniert.

3.3 Der Data Encryption Standard (DES)

Lesen Sie das dritte Kapitels aus dem Buch Understanding Cryptography ?. Ergän-zend können Sie den Videomitschnitt der Vorlesung online unter folgenden Linksanschauen.

http://www3.crypto.rub.de/Vorlesung/Kry_06.html dehttp://www3.crypto.rub.de/VL2010/Kry_05.html enhttp://www3.crypto.rub.de/VL2010/Kry_06.html en

ÜÜbung 3.1: Bit-Lawineneffekte im DES

Für eine gute Blockchiffre ist es wünschenswert, daß bei der Veränderungeines Eingangsbits möglichst viele Ausgangsbits verändert werden (Dif-fusion oder Avalanche-Effekt). Im folgenden werden wir versuchen, dieDiffusionseigenschaft von DES zu überprüfen. Wir verwenden hierzu eineEingangsbitfolge, bei der das Bit an der Position 57 gleich Eins ist (x57 = 1)und alle anderen Bits gleich Null sind. Die 56 Schlüsselbits sind ebenfallsalle gleich Null. (Beachten Sie, daß die Eingangsbits als erstes die Eingangs-permutation IP durchlaufen!)

1. Auf welche S-Boxen wirkt sich dieses Bit in der ersten DES Rundeaus bzw. wie sehen die Eingangsbits aller S-Boxen aus?

Auswirkungen auf: (Ankreuzen)S1 ~ S2 ~ S3 ~ S4 ~ S5 ~ S6 ~ S7 ~ S8 ~

Eingangsbits:

Page 20: Kryptographie 1 [Krypto1] - Ruhr University Bochum · 2017-09-21 · Kryptographie 1 [Krypto1] Studienbrief1:Einführung Studienbrief2:Stromchiffren Studienbrief3:DerDataEncryptionStandard(DES)undAl-ternativen

Seite 18 Studienbrief 3 Der Data Encryption Standard (DES) und Alternativen

S-Box 1 S-Box 2 S-Box 3

S-Box 4 S-Box 5 S-Box 6

S-Box 7 S-Box 8

2. Geben Sie das Ergebnis nach der ersten Runde an. (L1 und R1)

L1

R1

3. Ermitteln Sie das Ergebnis nach der ersten Runde für den Fall, daß alleEingangsbits gleich Null sind (d.h. auch x57). Wie viele Bits habensich in L1 und R1 im vergleich zu Aufgabenteil b) verändert?

L1

R1

Anzahl geänderter Bits:

ÜÜbung 3.2: Nichtlinearität der S-Boxen

Eine wichtige Eigenschaft des DES ist die Nichtlinearität der S-Boxen. Indieser Übungsaufgabe wollen wir diese Eigenschaft verifizieren, indem wirdie Ausgangsbits für verschiedene Eingangsbits in einer S-Box Si vergleichen.Zeigen Sie, daß für S5 das folgende Entwurfkriterium gilt:

Si(x1)⊕Si(x2) 6= Si(x1⊕ x2).

Benutzen Sie die folgenden Eingangsbits:

1. x1 = 010100, x2 = 110001

2. x1 = 111111, x2 = 101000

3. x1 = 100001, x2 = 011110

ÜÜbung 3.3: Permutationen im DES

Wir möchten überprüfen, ob IP−1 die inverse Operation von IP ist. Wirbetrachten den 64-bit Vektor x = (x1,x2, . . . ,x64). Zeigen Sie für die Bits x8,x22und x58, dass IP−1(IP(xi)) = xi gilt.

Page 21: Kryptographie 1 [Krypto1] - Ruhr University Bochum · 2017-09-21 · Kryptographie 1 [Krypto1] Studienbrief1:Einführung Studienbrief2:Stromchiffren Studienbrief3:DerDataEncryptionStandard(DES)undAl-ternativen

3.3 Der Data Encryption Standard (DES) Seite 19

ÜÜbung 3.4: DES-Entschlüsselung

Ein Freund hat eine Nachricht für Sie mit dem DES verschlüsselt und hatIhnen den zugehörigen Schlüssel auf einem kleinen Stück Papier in derVorlesung zugesteckt. Da der Zettel von einer Ecke abgerissen wurde, istleider die letzte Stelle des hexadezimalen 64-bit Schlüssels (=16 Hexzeichen)nicht vollständig lesbar. Erkennbar ist noch, dass das fehlende Symbol eineZahl sein müsste.

1. Wie viele Möglichkeiten müssen Sie unter diesen Umständen imDurchschnitt und im schlimmsten Fall durchprobieren, um den kor-rekten Schlüssel durch Ausprobieren zu erraten? (Hinweis: DES ver-wendet 56-bit Schlüssel, aber es ist ein 64-bit Schlüssel angegeben.Die „überflüssigen“ Bit des 64-bit Schlüssels sind nicht willkürlichgewählt.)

2. ImÜbungsordner befindet sich dieNachricht E-Mail_ciphertext.hex.Das Programm CrypTool finden Sie im Ordner zu Übung 3. Gegebensei der Schlüssel B3 3A 89 2B A5 2B CC FX, wobei X nur bedingt les-bar war (siehe Hinweis weiter oben). Verwenden Sie die im CrypToolvorhandene DES-Entschlüsselung, um

a) den korrekten Schlüsselkandidaten herauszufinden

b) die Nachricht Ihres Freundes zu entschlüsseln.Hinweis: Beachten Sie, dass Sie die Entschlüsselung im ECB-Modusverwenden. Was sich hinter diesem Entschlüsselungsmodus verbirgt,werden Sie in den nächsten Vorlesungen kennenlernen.

ÜÜbung 3.5: Brute-Force Schlüsselsuche

Ein generischer Angriff auf Verschlüsselungsverfahren ist das systematischeDurchsuchen des Schlüsselraumes, indem für einen bekannten Klartextjeder mögliche Schlüssel ausprobiert und mit dem abgehörten Chiffretextverglichen wird. Dieser Angriff ist auch als Brute-Force Angriff bekannt.Wie schnell der Angriff zum Erfolg führt, hängt im Einzelfall vom gewähltenSchlüssel ab und an welcher Stelle er beim Durchsuchen probiert wird.Dennoch kannman allgemeineAussagen über die Erfolgswahrscheinlichkeitdes Angriffs bei Verschlüsselungsverfahren machen.

1. Gegeben sei ein Verschlüsselungsverfahren mit 56 Bit Schlüssellänge(DES).Wie viele Verschlüsselungen benötigt man für eine erfolgreicheBrute Force Attacke (I) im Durchschnitt und (II) im schlimmsten Fall,wenn der Schlüssel als allerletzes gefunden wird?

2. Sie haben einen günstigen Computer für 350 EUR mit einem Core i7Prozessor und 4 ·3 GHz zu Verfügung. Dieser Rechner schafft 10 Mil-lionen DES-Verschlüsselungen bei 56 Bit Schlüssellänge pro Sekunde.Wie lange (Jahre und Tage bzw. Tage und Stunden) benötigt eine erfolg-reiche Brute-Force Attacke mit diesem Rechner im Durchschnitt?

3. Nehmen Sie an, sie haben insgesamt ein Budget von 17.500 EUR.Wenn Sie für dieses Geld Computer zu je 350 EUR kaufen, wie langedauert dann eine parallele DES-Schlüsselsuche im Schnitt?

4. Ein Spezialcluster mit 180 parallel arbeitenden Hardwarebausteinen(FPGAs) ist ebenfalls für 17.500 EUR zu realisieren. Ein einzelner

Page 22: Kryptographie 1 [Krypto1] - Ruhr University Bochum · 2017-09-21 · Kryptographie 1 [Krypto1] Studienbrief1:Einführung Studienbrief2:Stromchiffren Studienbrief3:DerDataEncryptionStandard(DES)undAl-ternativen

Seite 20 Studienbrief 3 Der Data Encryption Standard (DES) und Alternativen

Hardwarebaustein hat insgesamt 4 Rechenwerke, die jeweils 120 Mil-lionen DES-Verschlüsselungen pro Sekunde schaffen. Wie lange dau-ert es im Durchschnitt, bis dieser Cluster einen DES-Schlüssel miteiner Brute-Force Attacke erfolgreich knacken kann?

ÜÜbung 3.6: DES-Entschlüsselung

In der Vorlesung wurde gezeigt, dass sich die Entschlüsselung nur gering-fügig von der Verschlüsselung unterscheidet. Dies liegt an der besonderenStruktur, die nach dem Erfinder Horst Feistel benannt wurde.

1. Worin besteht der einzige Unterschied zwischen einer DES-Verschlüsselung und einer DES-Entschlüsselung?

2. Zeige, warum dieser einzige Unterschied ausreicht, um aus einer Ver-schlüsselung eine Entschlüsselung zu erzeugen. Hinweis: Ein guterStart für den Beweis ist die 16. Runde der Verschlüsselung.

ÜÜbung 3.7: DES Bitkomplement (Etwas kniffelige Aufgabe!)

DES hat eine erstaunliche Eigenschaft bezüglich des bitweisen Komplementsder Eingangs- und Ausgangsbits. Wir werden diese Eigenschaft in diesemProblem behandeln.

Wir stellen das Komplement einer Zahl A (d.h. alle Bits dieser Zahl wer-den invertiert) mit A′ da. (Bsp.: Wenn A = 0110 ist, dann ist A′ = 1001.) “⊕“entspricht dem bitweisen XOR. Wir wollen folgendes zeigen: Wenn

y =DESk(x)

dann gilt auchy′ =DESk′(x

′).

Das bedeutet, wenn wir das Komplement des Klartexts und des Schlüsselsbilden, dann werden die Ausgangsbits auch das Komplement des orgina-len Geheimtexts sein. Ihre Aufgabe ist es diese Eigenschaft zu beweisen.(Tipp: versuchen Sie diese Eigenschaft allgemein für jede beliebige Rundezu beweisen, anstelle alle 16 Runden durchzurechnen!)

Page 23: Kryptographie 1 [Krypto1] - Ruhr University Bochum · 2017-09-21 · Kryptographie 1 [Krypto1] Studienbrief1:Einführung Studienbrief2:Stromchiffren Studienbrief3:DerDataEncryptionStandard(DES)undAl-ternativen

Studienbrief 4 Der Advanced Encryption Standard (AES) Seite 21

Studienbrief 4 Der Advanced Encryption Standard (AES)

Die Grundlage dieses Studienbriefes ist der Inhalt des vierten Kapitels „The Da-ta Encryption Standard (DES) and Alternatives“ aus dem Buch UnderstandingCryptography von Christof Paar und Jan Pelzel ?. Auf der Website zum Buchwww.crypto-textbook.com finden Sie einen englischsprachigen Foliensatz zumBuchkapitel sowie nützliche Hinweise und Links zu weiterführender Literatur.Videomitschnitte von den Vorlesungen zu den hier behandelten Themen werdenan den jeweils relevanten Stellen im Studienbrief verlinkt.

4.1 Lernziele

Sie Können in endlichen Körpern rechnen. Sie verstehen die mathematischenZusammenhänge von endlichen Körpern und modernen kryptographischen Ver-fahren. Als Beispiel für eine moderne Blockchiffre kennen Sie den „Advanced En-cryption Standard“ und wissen über die Funktion dieses Algorithmus Bescheid.

4.2 Advanced Organizer

Im ersten teil dieses Studienbriefes geben wir eine knappe Einführung in dieMathematik von endlichen Körpern. Im zweiten Teil des Studienbriefes lernenwir die Struktur des „Advanced Encryption Standards“ (AES) kennen. An diesemkonkreten Beispiel sehen wir, wie komplizierte mathematische Strukturen ihreAnwendung in der Kryptographie finden.

4.3 Endliche Körper

Lesen Sie die Abschnitte 4.1 bis 4.3 des vierten Kapitels aus dem Buch Understan-ding Cryptography ?. Ergänzend können Sie den Videomitschnitt der Vorlesungonline unter folgenden Links anschauen.

http://www3.crypto.rub.de/Vorlesung/Kry_04.html dehttp://www3.crypto.rub.de/VL2010/Kry_07.html en

ÜÜbung 4.1: Polynome im endlichen Körper

Gegeben sei das irreduzible Polynom P(x) = x4 + x+1. Wieviele PolynomeA(x) mit Elementen aus

1. GF(2)

2. GF(n)

existieren, für die gilt grad(A(x))< grad(P(x)).

ÜÜbung 4.2: Addition in GF(24)

Berechnen Sie A(x)+B(x) mod P(x) in GF(24)mit dem irreduziblen Reduk-tionspolynom P(x) = x4 + x3 +1.

1. A(x) = x3 + x2 +1,B(x) = x3 + x+1

Page 24: Kryptographie 1 [Krypto1] - Ruhr University Bochum · 2017-09-21 · Kryptographie 1 [Krypto1] Studienbrief1:Einführung Studienbrief2:Stromchiffren Studienbrief3:DerDataEncryptionStandard(DES)undAl-ternativen

Seite 22 Studienbrief 4 Der Advanced Encryption Standard (AES)

2. A(x) = x+1,B(x) = x3 + x

3. A(x) = x3 + x2 + x+1,B(x) = x3 + x

4. Welche Auswirkung hat die Wahl des Reduktionspolynoms auf dieBerechnungsschritte (Max. 2 Sätze)?

ÜÜbung 4.3: Multiplikation in GF(24)

Berechnen Sie A(x) ·B(x) mod P(x) in GF(24) mit dem irreduziblen Redukti-onspolynom P(x) = x4 + x3 +1.

1. A(x) = x3 + x2 +1,B(x) = x3 + x

2. A(x) = x+1,B(x) = x3 +1

3. A(x) = x3 + x2 + x+1,B(x) = x3 + x2

ÜÜbung 4.4: Multiplikation in GF(34)

Berechnen Sie A(x) ·B(x) mod P(x) in GF(34) mit dem irreduziblen Redukti-onspolynom P(x) = x4 +2x+2.

1. A(x) = 2x3 + x+2,B(x) = x3 +2x2

2. A(x) = x2 +2,B(x) = x3 +2x+1

4.4 Der Advaced Encryption Standard

Lesen Sie die Abschnitte 4.4 bis 4.8 des vierten Kapitels aus dem Buch Understan-ding Cryptography ?. Ergänzend können Sie den Videomitschnitt der Vorlesungonline unter folgenden Links anschauen.

http://www3.crypto.rub.de/Vorlesung/Kry_05.htmldehttp://www3.crypto.rub.de/VL2010/Kry_08.htmlen

ÜÜbung 4.5: Schlüsselableitung im AES

Jede Runde vom AES verwendet einen anderen Unterschlüssel, der vomHauptschlüssel abgeleitet wird. In dieser Aufgabe wollen wir die Schlüs-selableitung im AES nachvollziehen. Oft werden die jeweiligen Teile desSchlüssels und Unterschlüssels in 32-Bit Worten Ki angegeben.

1. Gegeben Sei ein Hauptschlüssel (K0,K1,K2,K3), der nur aus Nul-len besteht. Bestimmen Sie den entprechenden Unterschlüssel(K4,K5,K6,K7) nach der ersten Runde der Schlüsselableitung. (Abga-be nur als Hexwerte)

2. Gegeben Sei ein Hauptschlüssel (K0,K1,K2,K3) = (0x00000001,0x00000002,0x00000003,0x00000004). Bestimmen Sie erneut den Un-terschlüssel (K4,K5,K6,K7) nach der ersten Runde der Schlüsselablei-tung.

Page 25: Kryptographie 1 [Krypto1] - Ruhr University Bochum · 2017-09-21 · Kryptographie 1 [Krypto1] Studienbrief1:Einführung Studienbrief2:Stromchiffren Studienbrief3:DerDataEncryptionStandard(DES)undAl-ternativen

4.4 Der Advaced Encryption Standard Seite 23

ÜÜbung 4.6: AES MixColumn Operation

Die MixColumn-Transformation als Teil der Rundenfunktion des AES be-steht aus einer Matrix-Vektor-Multiplikation im Körper GF(28) über demirreduziblen Polynom P(x) = x8 + x4 + x3 + x+1.Sei b = (b7x7 + . . .+ b0) eines der vier Eingabebytes der Matrix-Vektor-Multiplikation. Jedes Eingabebyte wird mit den Konstanten 01 = (1), 02= (x), and 03= (x+1) aus GF(28)multipliziert. Ihre Aufgabe ist es, die Glei-chungen für die Berechnung dieser konstanten Multiplikationen inklusiveder dabei erforderlichen Reduktion aufzustellen. Das jeweilige Ergebnis sollmit d = (d7x7 + . . .+d0) bezeichnet werden.

1. Stellen Sie die Gleichungen für die Bits aus d auf, um d = 01 ·b effizientzu bestimmen.

2. Stellen Sie die Gleichungen für die Bits aus d auf, um d = 02 ·b effizientzu bestimmen.

3. Stellen Sie die Gleichungen für die Bits aus d auf, um d = 03 ·b effizientzu bestimmen.

ÜÜbung 4.7: Bit-Lawineneffekte im AES

Wie DES soll auch AES die Eigenschaft haben, dass die Veränderung einesBits am Eingang einer Runde eine änderung möglichst vieler Ausgangsbitsder Runde zur Folge haben (Diffusion oder Avalanche-Effekt). Die Diffusi-onseigenschaft des AES nach einer Runde soll in dieser Aufgabe überprüftwerden. Gegeben sei die folgende 128-Bit AES-Eingabe in je 32 Bit Wor-tenW = (w0,w1,w2,w3) = (0x00000000,0x01000000,0x00000000,0x00000000)Der zur Berechnung der Ausgabe nach der ersten AES-Runde benötigteUnterschlüssel k0 ist mit

k0 = (0xDEADBEEF)

(0xCAFEBABE)

(0xDEADBEEF)

(0xCAFEBABE)

gegeben. Sie können zur Lösung dieser Aufgabe auch Programme schreiben.Geben Sie aber unbedingt einzelne Zwischenschritte an!

1. Geben Sie die entsprechende Ausgabe zur Eingabe W nach der erstenRunde des AES an! Verwenden Sie dabei den gegebenen Unterschlüs-sel k0!Hinweise:Beachten Sie die Reihenfolge, in der die Bytes in den Algorithmusgeschrieben werden (von oben nach unten und von links nach rechts).Zeigen Sie alle Zwischenergebnisse nach: Plaintext, KeyAddition,Substitution, ShiftRows, MixColumns und KeyAddition.Denken Sie an die Korrekteure, die ihre Lösungen nachvollziehenmüssen und wählen Sie eine verständliche Darstellung (Am bestendie des 4x4 Byte Quadrats)

2. Ermitteln Sie die Ausgabebytes nach der ersten Runde für den Fall,dass diesmal alle Eingangsbytes gleich Null sind.

Page 26: Kryptographie 1 [Krypto1] - Ruhr University Bochum · 2017-09-21 · Kryptographie 1 [Krypto1] Studienbrief1:Einführung Studienbrief2:Stromchiffren Studienbrief3:DerDataEncryptionStandard(DES)undAl-ternativen

Seite 24 Studienbrief 4 Der Advanced Encryption Standard (AES)

3. Wieviele Ausgangsbits haben sich im Vergleich der beiden Fälle ver-ändert? Wir betrachten hier nur eine einzige Runde des AES. Nachjeder weiteren Runde werden mehr und mehr Änderungen der Aus-gangsbits auftreten (Lawineneffekt).

Page 27: Kryptographie 1 [Krypto1] - Ruhr University Bochum · 2017-09-21 · Kryptographie 1 [Krypto1] Studienbrief1:Einführung Studienbrief2:Stromchiffren Studienbrief3:DerDataEncryptionStandard(DES)undAl-ternativen

Studienbrief 5 Blockchiffren Seite 25

Studienbrief 5 Blockchiffren

Die Grundlage dieses Studienbriefes ist der Inhalt des fünften Kapitels „MoreAbout Block Ciphers“ aus dem Buch Understanding Cryptography von ChristofPaar und Jan Pelzel ?. Auf derWebsite zumBuch www.crypto-textbook.com findenSie einen englischsprachigen Foliensatz zum Buchkapitel sowie nützliche Hinweiseund Links zu weiterführender Literatur. Videomitschnitte von den Vorlesungenzu den hier behandelten Themen werden an den jeweils relevanten Stellen imStudienbrief verlinkt.

5.1 Lernziele

Sie kennen die verschiedenen Betriebsmodi von Blockchiffren. Sie haben das Kon-zept der Mehrfachverschlüsselung verstanden und können einen möglichen Si-cherheitsgewinn einschätzen. Sie können im Speziellen die Kosten berechnen umBlockchiffren zu „brechen“.

5.2 Advanced Organizer

In diesem Studienbrief lernen wir die Betriebsmodi von Blockchiffren kennen.Diesewerden Besprochen und imHinblick auf ihre Sicherheitsgarantien untersucht.Darüber hinaus diskutieren wir das Konzept der Mehrfachverschlüsselung unddie hierdurch gewonnene Sicherheit. Des weiteren besprechen wir, wie Kostenkalkuliert werden um Blockchiffren generisch zu brechen.

5.3 Betriebsmodi von Blockchiffren

Lesen Sie die Abschnitte 5.1 und 5.2 des fünften Kapitels aus dem Buch Understan-ding Cryptography ?. Ergänzend können Sie den Videomitschnitt der Vorlesungonline unter folgenden Links anschauen.

http://www3.crypto.rub.de/Vorlesung/Kry_09.html dehttp://www3.crypto.rub.de/VL2010/Kry_09.html en

ÜÜbung 5.1: Doppelte DES Verschlüsselung

Geben ist eine doppelte DES Verschlüsselung (2DES)

2DES(x) = DESK2(DESK1(x))

In dieser Aufgabe wollen wir eine Kostenabschätzung für verschiedeneAngriffe auf 2DES vornehmen.

1. Zeichnen Sie ein Blockdiagramm von 2DES. Der DES Algorithmussollte hierbei als einfache Box dargestellt werden (also keine DES-Interna!).

2. Zunächst betrachten wir eine reine Schlüsselsuche ohne nennens-werten Speicheraufwand. Hierbei muss der gesamte Schlüsselraum,der gemeinsam von K1 und K2 gebildet wird, durchsucht werden.Wie teuer wird eine Suchmaschine, mit der wir 2DES im “worst case”nach 1 Woche brechen können? Wir nehmen an, dass wir spezielleHardware Chips (ASICs) zur Verfügung haben, die 107 Schlüsselpro Sekunde überprüfen können. Ein Chip kostet 5 Euro. Darüber

Page 28: Kryptographie 1 [Krypto1] - Ruhr University Bochum · 2017-09-21 · Kryptographie 1 [Krypto1] Studienbrief1:Einführung Studienbrief2:Stromchiffren Studienbrief3:DerDataEncryptionStandard(DES)undAl-ternativen

Seite 26 Studienbrief 5 Blockchiffren

hinaus nehmen wir einen Overhead von 50% auf die Chipkosten fürden Bau der Maschine an. Setzen Sie die Kosten der Suchmaschineins Verhältnis zum Etat der Bundesrepublik, der etwa 300 ·109 Eurobeträgt.

3. Alternativ betrachten wir jetzt eine meet-in-the-middle (auch time-memory trade-off genannte) Attacke, bei der wir viel Speicher einset-zen können. Beantworten Sie hierzu folgende Fragen:

• Wieviel Einträge müssen gespeichert werden?

• Wieviel Bytes (nicht Bits!) müssen pro Eintrag gespeichert wer-den?

• Wie teuer ist eine Schlüsselsuche, die nach maximal einer Wo-che zum Erfolg führt? Bitte beachten Sie, dass Sie zunächsteinen Schlüsselraum komplett durchlaufen müssen, um denSpeicher zu füllen. Erst danach kann der Raum des zweitenSchlüssels durchsucht werden. Für das nacheinander folgen-de Durchlaufen der beiden Schlüsselräume kann die gleicheHardware verwandt werden.

Für eine Kostenabschätzung des Speichers nehmen Sie einen Preisvon 100 Euro / 1 TB an, wobei der Einfachheit halber mit 1 TB =1012 Byte gerechnet werden soll. Für die Kosten der Schlüsselsuchenehmen Sie die Kosten von oben an. Setzen Sie die Kosten für diemeet-in-the-middle Attacke wieder in Verhältnis zum Bundeshaushalt.

ÜÜbung 5.2: Moore’s Law

1. Gegeben sei eine Blockchiffre mit einer Schlüssellänge von 192 Bits,wie z.B. AES. Nehmen wir an, dass wir einen Spezialchip haben, der3 ·107 Schlüssel pro Sekunde durchsuchen kann. Wir schalten 100.000dieser Chips parallel. Wie lange dauert eine durchschnittliche Suche?Vergleiche diese Zeit mit dem Alter des Universums (etwa 1010 Jahre).

2. Nun versuchen wir, die Weiterentwicklung der Computertechnologiein unsere Rechnungen einzubeziehen. Es ist natürlich schwierig dieZukunft vorher zusagen, aber bei solchen Schätzungenwird normaler-weise Moore’s Law verwendet: Nach diesem Gesetz verdoppelt sichdie Computerleistung alle 18 Monate bei gleichbleibenden Kosten.Wieviele Jahremüssenwirwarten biswir eine Schlüsselsuchmaschinebauen können, die einen symmetrischen Algorithmus mit 192 Bit ineiner durchschnittlichen Suchzeit von 24 Stunden berechnen kann?Wir nehmen an, dass wir 100.000 Chips verwenden, die in unsererSuchmaschine parallel geschaltet sind.

ÜÜbung 5.3: Sicherheit von OFB bei geheimem IV

Man könnte meinen, dass durch Geheimhalten des Initialisierungsvektors(IV) die Sicherheit des OFBModes erhöht werden kann. Dies ist jedoch nichtder Fall!

1. Zeigen Sie, wie der OFBModemittels eines Brute-Force Angriffs auchohne Kenntniss des IVs angegriffen werden kann. Die KomplexitätdesAngriffs ist (so gutwie) gleichwie die Komplexität eines normalenBrute-Force Angriffs gegen die zugrundeliegende Chiffre.

Page 29: Kryptographie 1 [Krypto1] - Ruhr University Bochum · 2017-09-21 · Kryptographie 1 [Krypto1] Studienbrief1:Einführung Studienbrief2:Stromchiffren Studienbrief3:DerDataEncryptionStandard(DES)undAl-ternativen

5.4 Key-Whitening und Mehrfachverschlüsselung Seite 27

2. Welche Bedingung stellt der Angriff an den Klartext und das Chiffrat?

5.4 Key-Whitening und Mehrfachverschlüsselung

Lesen Sie die Abschnitte 5.3 bis 5.5 des fünften Kapitels aus dem Buch Understan-ding Cryptography ?. Ergänzend können Sie den Videomitschnitt der Vorlesungonline unter folgenden Links anschauen.

http://www3.crypto.rub.de/Vorlesung/Kry_08.html dehttp://www3.crypto.rub.de/VL2010/Kry_10.html en

ÜÜbung 5.4: Key-Whitening

In der Übung wurden bereits verschiedene Varianten des Key-Whiteningvorgestellt. In dieser Aufgabe betrachten wir die folgenden beiden Variantenvon Key-Whitening:

DESAk,k1(x) =DESk(x)⊕ k1 (5.1)DESBk,k1(x) =DESk(x⊕ k1) (5.2)

1. Zeichnen Sie das Blockschaltbild für Variante (1) (Stellen Sie hierund im Folgenden keine DES-Interna dar, sondern betrachten SieDES als Block). Wieviele Plaintext-Ciphertext-Paare werden für einenerfolgreichen Angriff benötigt? Zeigen Sie detailliert, wie der Angriffdurchgeführt werden kann.

2. Zeichnen Sie das Blockschaltbild für Variante (2). Wieviele Plaintext-Ciphertext-Paare werden für einen erfolgreichen Angriff benötigt?Zeigen Sie detailliert, wie der Angriff durchgeführt werden kann.

3. Zeichnen Sie das Blockschaltbild für eine sichere Variante des Key-Whitenings. Wieso wird das Verfahren eingesetzt? Gibt es Performan-ceeinbußen und warum?

ÜÜbung 5.5: Verschlüsselungsmodus für Datenbanken

Betrachten wir (stark vereinfacht) die Speicherung von Daten in verschüs-selter Form in einer großen Datenbank. Für die Verschlüsselung verwendenwir AES. Wir nehmen an, dass die zu speichernden Einträge eine Größevon 1024 Bit haben, und dass zwischen den verschiedenen Einträgen keinZusammenhang besteht. Beantworten Sie die beiden folgenden Fragen inkurz in Stichworten:

• Was sind die Vor- und Nachteile des ECB Modes für dieser Anwen-dung?

• Was sind die Vor- und Nachteile des CBC Modes?

Page 30: Kryptographie 1 [Krypto1] - Ruhr University Bochum · 2017-09-21 · Kryptographie 1 [Krypto1] Studienbrief1:Einführung Studienbrief2:Stromchiffren Studienbrief3:DerDataEncryptionStandard(DES)undAl-ternativen

Seite 28 Studienbrief 5 Blockchiffren

ÜÜbung 5.6: Fehlerfortpflanzung in Verschlüsselungsmodi

Ein wichtiges Enscheidungsmerkmal für die Auswahl des Verschlüsselungs-modus in der Praxis ist die Fehlerfortpflanzung.

1. Nehmen wir an, dass während der Übermittlung ein Fehler in einemBlock des Geheimtextes yi auftritt. Welche Klartextblöcke sind aufder Seite von Bob betroffen, wenn wir ECB Mode verwenden?

2. Nehmen wir wieder an, dass im Block yi ein Fehler während derÜbermittlung aufgetreten ist. Welche Klartextblöcke sind auf derSeite von Bob betroffen, wenn wir CBC Mode verwenden?

3. Nehmen wir wieder an, dass im Block yi ein Fehler während derÜbermittlung aufgetreten ist. Welche Klartextblöcke sind auf derSeite von Bob betroffen, wenn wir OFB Mode verwenden?

4. Stellen wir uns vor, wir haben einen Fehler im Klartextblock xi aufder Seite von Alice. Welche Klartextblöcke sind auf der Seite von Bobvon diesem Fehler betroffen, wenn wir CBC Mode verwenden?

5. Was geschieht, wenn durch einen Übertragungsfehler ein Chiffre-textblock im Netzwerk verloren geht, der zuvor mit dem CBC Modeverschlüsselt wurde?

6. Was geschieht, wenn durch einen Übertragungsfehler ein Chiffre-textblock im Netzwerk verloren geht, der zuvor mit dem OFB Modeverschlüsselt wurde?

Page 31: Kryptographie 1 [Krypto1] - Ruhr University Bochum · 2017-09-21 · Kryptographie 1 [Krypto1] Studienbrief1:Einführung Studienbrief2:Stromchiffren Studienbrief3:DerDataEncryptionStandard(DES)undAl-ternativen

Verzeichnisse Seite 29

Verzeichnisse

I. Exkurse

Exkurs 2.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

II. Kontrollaufgaben

Kontrollaufgabe 1.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8Kontrollaufgabe 1.2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

III. Tabellen

Tabelle 1.1: Verteilung der Buchstaben in deutschen Texten . . . . . . . . . . . . . . . . . . . . . . . . 8

Page 32: Kryptographie 1 [Krypto1] - Ruhr University Bochum · 2017-09-21 · Kryptographie 1 [Krypto1] Studienbrief1:Einführung Studienbrief2:Stromchiffren Studienbrief3:DerDataEncryptionStandard(DES)undAl-ternativen
Page 33: Kryptographie 1 [Krypto1] - Ruhr University Bochum · 2017-09-21 · Kryptographie 1 [Krypto1] Studienbrief1:Einführung Studienbrief2:Stromchiffren Studienbrief3:DerDataEncryptionStandard(DES)undAl-ternativen

Anhang Seite 31

Anhang

Page 34: Kryptographie 1 [Krypto1] - Ruhr University Bochum · 2017-09-21 · Kryptographie 1 [Krypto1] Studienbrief1:Einführung Studienbrief2:Stromchiffren Studienbrief3:DerDataEncryptionStandard(DES)undAl-ternativen

WHY CRYPTOGRAPHYIS HARDER THAN IT LOOKSby Bruce Schneier

From e-mail to cellular communications, from secure Web access to digitalcash, cryptography is an essential part of today’s information systems.

Cryptography helps provide accountability, fairness, accuracy, and confiden-tiality. It can prevent fraud in electronic commerce and assure the validity offinancial transactions. It can prove your identity or protect your anonymity. Itcan keep vandals from altering your Web page and prevent industrial com-petitors from reading your confidential documents. And in the future, as com-merce and communications continue to move to computer networks,cryptography will become more and more vital.

But the cryptography now on the market doesn’t provide the level of securityit advertises. Most systems are not designed and implemented in concert withcryptographers, but by engineers who thought of cryptography as just anoth-er component. It’s not. You can’t make systems secure by tacking on cryptog-raphy as an afterthought. You have to know what you are doing every step ofthe way, from conception through installation.

Billions of dollars are spent on computer security, and most of it is wasted oninsecure products. After all, weak cryptography looks the same on the shelf asstrong cryptography. Two e-mail encryption products may have almost thesame user interface, yet one is secure while the other permits eavesdropping. Acomparison chart may suggest that two programs have similar features,although one has gaping security holes that the other doesn’t. An experiencedcryptographer can tell the difference. So can a thief.

Present-day computer security is a house of cards; it may stand for now, but itcan’t last. Many insecure products have not yet been broken because they arestill in their infancy. But when these products are widely used, they willbecome tempting targets for criminals. The press will publicize the attacks,undermining public confidence in these systems. Ultimately, products will winor lose in the marketplace depending on the strength of their security.

With cryptography, what

you see isn’t what you get.

Subtle flaws can render

any security system

vulnerable to attack.

Counterpane Systems

has the expertise you need

to make sure your system

is as secure as it looks.

Copyright © 1997 Counterpane Systems. All rights reserved.

COUNTERPANE SYSTEMS

Page 35: Kryptographie 1 [Krypto1] - Ruhr University Bochum · 2017-09-21 · Kryptographie 1 [Krypto1] Studienbrief1:Einführung Studienbrief2:Stromchiffren Studienbrief3:DerDataEncryptionStandard(DES)undAl-ternativen

Counterpane Systemspage 2

Every form of commerce ever invented has been subject to fraud, from rigged scales in a farmers’ market to counterfeit currency to phony invoic-

es. Electronic commerce schemes will also face fraud, through forgery, misrep-resentation, denial of service, and cheating. In fact, computerization makes therisks even greater, by allowing attacks that are impossible against non-auto-mated systems. A thief can make a living skimming a penny from every Visacardholder. You can’t walk the streets wearing a mask of someone else’s face,but in the digital world it is easy to impersonate others. Only strong cryptog-raphy can protect against these attacks.

Privacy violations are another threat. Some attacks on privacy are targeted: amember of the press tries to read a public figure’s e-mail, or a company tries tointercept a competitor’s communications. Others are broad data-harvestingattacks, searching a sea of data for interesting information: a list of rich wid-ows, AZT users, or people who view a particular Web page.

Criminal attacks are often opportunistic, and often all a system has to be ismore secure than the next system. But there are other threats. Some attackersare motivated by publicity. They usually have access to significant computingresources at their corporations or research institutions, and lots of time, butnot much money. Lawyers sometimes need a system attacked, in order toprove their client’s innocence. Lawyers can collect details on the systemthrough the discovery process, and then use considerable financial resources tohire experts and buy equipment. And they don’t have to defeat the security ofa system completely, just enough to convince a jury that the security is flawed.

Electronic vandalism is an increasingly serious problem. Computer vandalshave already graffitied the CIA’s web page, mail-bombed Internet providers,and canceled thousands of newsgroup messages. And of course, vandals andthieves routinely break into networked computer systems. When security safe-guards aren’t adequate, trespassers run little risk of getting caught.

Attackers don’t follow rules; they cheat. They can attack a system using tech-niques the designers never thought of. Art thieves have burgled homes by cut-ting through the walls with a chain saw. Home security systems, no matterhow expensive and sophisticated, won’t stand a chance against this attack.Computer thieves come through the walls too. They steal technical data, bribeinsiders, modify software, and collude. They take advantage of technologiesnewer than the system, and even invent new mathematics to attack the systemwith.

The odds favor the attacker. Bad guys have more to gain by examining a sys-tem than good guys. Defenders have to protect against every possible vulner-ability, but an attacker only has to find one security flaw to compromise thewhole system.

No one can guarantee 100% security. But we can work toward 100% riskacceptance. Fraud exists in current commerce systems: cash can be coun-

terfeited, checks altered, credit card numbers stolen. Yet these systems are stillsuccessful, because the benefits and conveniences outweigh the losses. Privacysystems—wall safes, door locks, curtains—are not perfect, but they’re oftengood enough. A good cryptographic system strikes a balance between what ispossible and what is acceptable.

WHAT CRYPTOGRAPHYCAN AND CAN’T DO

THREATS TOCOMPUTER SYSTEMS

Page 36: Kryptographie 1 [Krypto1] - Ruhr University Bochum · 2017-09-21 · Kryptographie 1 [Krypto1] Studienbrief1:Einführung Studienbrief2:Stromchiffren Studienbrief3:DerDataEncryptionStandard(DES)undAl-ternativen

Strong cryptography can withstand targeted attacks up to a point—the pointat which it becomes easier to get the information some other way. A comput-er encryption program, no matter how good, will not prevent an attacker fromgoing through someone’s garbage. But it can prevent data-harvesting attacksabsolutely; no attacker can go through enough trash to find every AZT user inthe country. And it can protect communications against non-invasive attacks:it’s one thing to tap a phone line from the safety of the telephone central office,but quite another to break into someone’s house to install a bug.

The good news about cryptography is that we already have the algorithms andprotocols we need to secure our systems. The bad news is that that was the easypart; implementing the protocols successfully requires considerable expertise.The areas of security that interact with people—key management,human/computer interface security, access control—often defy analysis. Andthe disciplines of public-key infrastructure, software security, computer securi-ty, network security, and tamper-resistant hardware design are very poorlyunderstood.

Companies often get the easy part wrong, and implement insecure algorithmsand protocols. But even so, practical cryptography is rarely broken through themathematics; other parts of systems are much easier to break. The best proto-col ever invented can fall to an easy attack if no one pays attention to the morecomplex and subtle implementation issues. Netscape’s security fell to a bug inthe random-number generator. Flaws can be anywhere: the threat model, thedesign, the software or hardware implementation, the system management.Security is a chain, and a single weak link can break the entire system. Fatalbugs may be far removed from the security portion of the software; a designdecision that has nothing to do with security can nonetheless create a securityflaw.

Once you find a security flaw, you can fix it. But finding the flaws in a prod-uct can be incredibly difficult. Security is different from any other designrequirement, because functionality does not equal quality. If a word processorprints successfully, you know that the print function works. Security is differ-ent; just because a safe recognizes the correct combination does not mean thatits contents are secure from a safecracker. No amount of general beta testingwill reveal a security flaw, and there’s no test possible that can prove the absenceof flaws.

Agood design starts with a threat model: what the system is designed to protect, from whom, and for how long. The threat model must take the

entire system into account—not just the data to be protected, but the peoplewho will use the system and how they will use it. What motivates the attack-ers? Must attacks be prevented, or can they just be detected? If the worst hap-pens and one of the fundamental security assumptions of a system is broken,what kind of disaster recovery is possible? The answers to these questions can’tbe standardized; they’re different for every system. Too often, designers don’ttake the time to build accurate threat models or analyze the real risks.

Threat models allow both product designers and consumers to determine whatsecurity measures they need. Does it makes sense to encrypt your hard drive ifyou don’t put your files in a safe? How can someone inside the company

Counterpane Systems page 3

THREAT MODELS

Page 37: Kryptographie 1 [Krypto1] - Ruhr University Bochum · 2017-09-21 · Kryptographie 1 [Krypto1] Studienbrief1:Einführung Studienbrief2:Stromchiffren Studienbrief3:DerDataEncryptionStandard(DES)undAl-ternativen

Counterpane Systemspage 4

defraud the commerce system? Are the audit logs good enough to convince acourt of law? You can’t design a secure system unless you understand what ithas to be secure against.

Design work is the mainstay of the science of cryptography, and it is very specialized. Cryptography blends several areas of mathematics: number

theory, complexity theory, information theory, probability theory, abstractalgebra, and formal analysis, among others. Few can do the science properly,and a little knowledge is a dangerous thing: inexperienced cryptographersalmost always design flawed systems. Good cryptographers know that nothingsubstitutes for extensive peer review and years of analysis. Quality systems usepublished and well-understood algorithms and protocols; using unpublishedor unproven elements in a design is risky at best.

Cryptographic system design is also an art. A designer must strike a balancebetween security and accessibility, anonymity and accountability, privacy andavailability. Science alone cannot prove security; only experience, and the intu-ition born of experience, can help the cryptographer design secure systems andfind flaws in existing designs.

There is an enormous difference between a mathematical algorithm and itsconcrete implementation in hardware or software. Cryptographic system

designs are fragile. Just because a protocol is logically secure doesn’t mean itwill stay secure when a designer starts defining message structures and passingbits around. Close isn’t close enough; these systems must be implementedexactly, perfectly, or they will fail. A poorly-designed user interface can make ahard-drive encryption program completely insecure. A false reliance on tam-per-resistant hardware can render an electronic commerce system all but use-less. Since these mistakes aren’t apparent in testing, they end up in finishedproducts. Many flaws in implementation cannot be studied in the scientific lit-erature because they are not technically interesting. That’s why they crop up inproduct after product. Under pressure from budgets and deadlines, imple-menters use bad random-number generators, don’t check properly for errorconditions, and leave secret information in swap files. The only way to learnhow to prevent these flaws is to make and break systems, again and again.

In the end, many security systems are broken by the people who use them. Most fraud against commerce systems is perpetrated by insiders. Honest

users cause problems because they usually don’t care about security. They wantsimplicity, convenience, and compatibility with existing (insecure) systems.They choose bad passwords, write them down, give friends and relatives theirprivate keys, leave computers logged in, and so on. It’s hard to sell door locksto people who don’t want to be bothered with keys. A well-designed systemmust take people into account.

Often the hardest part of cryptography is getting people to use it. It’s hard toconvince consumers that their financial privacy is important when they arewilling to leave a detailed purchase record in exchange for one thousandth ofa free trip to Hawaii. It’s hard to build a system that provides strong authenti-cation on top of systems that can be penetrated by knowing someone’s moth-er’s maiden name. Security is routinely bypassed by store clerks, senior

CRYPTOGRAPHYFOR PEOPLE

IMPLEMENTATION

SYSTEM DESIGN

Page 38: Kryptographie 1 [Krypto1] - Ruhr University Bochum · 2017-09-21 · Kryptographie 1 [Krypto1] Studienbrief1:Einführung Studienbrief2:Stromchiffren Studienbrief3:DerDataEncryptionStandard(DES)undAl-ternativen

executives, and anyone else who just needs to get the job done. Only whencryptography is designed with careful consideration of users’ needs and thensmoothly integrated, can it protect their systems, resources, and data.

Right now, users have no good way of comparing secure systems. Computer magazines compare security products by listing their features, not by

evaluating their security. Marketing literature makes claims that are just nottrue; a competing product that is more secure and more expensive will onlyfare worse in the market. People rely on the government to look out for theirsafety and security in areas where they lack the knowledge to make evalua-tions—food packaging, aviation, medicine. But for cryptography, the U.S.government is doing just the opposite.

When an airplane crashes, there are inquiries, analyses, and reports. Informa-tion is widely disseminated, and everyone learns from the failure. You can reada complete record of airline accidents from the beginning of commercial avia-tion. When a bank’s electronic commerce system is breached and defrauded,it’s usually covered up. If it does make the newspapers, details are omitted. Noone analyzes the attack; no one learns from the mistake. The bank tries topatch things in secret, hoping that the public won’t lose confidence in a systemthat deserves no confidence. In the long run, secrecy paves the way for moreserious breaches.

Laws are no substitute for engineering. The U.S. cellular phone industry haslobbied for protective laws, instead of spending the money to fix what shouldhave been designed corectly the first time. It’s no longer good enough to installsecurity patches in response to attacks. Computer systems move too quickly; asecurity flaw can be described on the Internet and exploited by thousands.Today’s systems must anticipate future attacks. Any comprehensive system—whether for authenticated communications, secure data storage, or electroniccommerce—is likely to remain in use for five years or more. It must be able towithstand the future: smarter attackers, more computational power, andgreater incentives to subvert a widespread system. There won’t be time toupgrade it in the field.

History has taught us: never underestimate the amount of money, time, andeffort someone will expend to thwart a security system. It’s always better toassume the worst. Assume your adversaries are better than they are. Assumescience and technology will soon be able to do things they cannot yet. Giveyourself a margin for error. Give yourself more security than you need today.When the unexpected happens, you’ll be glad you did.

❈ ❈ ❈ ❈ ❈

Counterpane Systems page 5

THE STATE OFSECURITY