Cryptography Reference
In-Depth Information
l
)
für
i
=1
,...,q
. Die
i
-te Orakelanfrage
wird dann mit
y
i
beantwortet. Verwenden Sie außerdem (4.6.5).
Aufgabe
4.9.25 (Unterscheider auf Vernamsystem und PRF/PRP-Switching Lemma)
.
Es sei
l>
0
,
B
das Vernamsystem der Länge
l
und
U
der
l
-Unterscheider aus Bei-
spiel 4.7.1. Bestimmen Sie den Vorteil adv
PRF
(
U,
l
flip
(
{
0
,
1
}
\{
y
1
,...,y
i−
1
}
)
bzw.
y
i
=
flip
(
{
0
,
1
}
. Benutzen Sie dann
das PRF/PRP-Switching Lemma, um eine Abschätzung von adv
PRP
(
U,
B
)
von
U
bzgl.
B
)
zu erhalten.
Vergleichen Sie die erhaltene Abschätzung mit dem in Beispiel 4.7.1 bestimmten Wert
von adv
PRP
(
U,
B
B
)
.
4.10
Anmerkungen und Hinweise
Substitutionspermutationskryptosysteme wurden bereits von Shannon [149] und Feistel
[73] eingeführt. Eine ausführliche Beschreibung von AES (Rijndael), einschließlich der
Beschreibung der Dechiffrierfunktion, die wir in Abschnitt 4.5 nicht im Detail behandelt
haben, findet sich u. a. in einem Buch der Entwickler selbst [59]. Die bereits erwähnte
Ausschreibung des
National Institute of Standards and Technology (NIST)
vom Septem-
ber 1997, in der um Vorschläge für ein neues Block-Kryptosystem gebeten wurde und die
schließlich zur Wahl von Rijndael als neuer Standard, AES, führte, ist in [178] zu finden.
Diese Ausschreibung enthält u. a. eine Liste von Kriterien, die ein Block-Kryptosystem
erfüllen soll, darunter natürlich die Forderung, dass ein Block-Kryptosystem sich mög-
lichst wenig von einer zufälligen Permutation unterscheiden sollte. Zum Zeitpunkt der
Ausschreibung und in den Jahren danach wurde sehr deutlich, dass die Ablösung des
altgedienten
Digital Encryption Standard (DES)
überfällig war:
Der Digital Encryption Standard, ein Block-Kryptosystem mit Blocklänge 64 und
effektiver Schlüsselbreite 56, wurde am 15. Januar 1977 als Standard für die Verschlüsse-
lung nicht klassifizierter Daten in US-amerikanischen Behörden veröffentlicht, siehe [176].
Matsui gelang es im Jahr 1994 erstmals, mit der von ihm zuvor entwickelten linearen
Kryptanalyse, DES zu »brechen« [119, 120]. Er berichtet in [120], dass er mit 12 Compu-
tern zunächst
40
Tage lang
2
43
zufällige Klartext-Chiffretext-Paare erzeugte und dafür
anschließend innerhalb von
10
Tagen mit Hilfe der linearen Kryptanalyse alle
56
Schlüssel-
bits bestimmte, viel schneller als dies bei einer erschöpfenden Schlüsselsuche zu erwarten
gewesen wäre. Am 17. Juli 1998 brach ein von der
Electronic Frontier Foundation (EFF)
für weniger als 250.000 Dollar gebauter Spezialrechner nach knapp drei Tagen eine mit
DES verschlüsselte Nachricht, siehe [70], und gewann damit die
DES Challenge II
.Am
19. Januar 1999 wurde die Nachricht der
DES Challenge III
in weniger als einem Tag von
dem
DES Cracker
der EFF in einem Verbund von mehr als 100.000 Arbeitsplatzrechnern
gebrochen, und damit die Unsicherheit von DES unwiderlegbar demonstriert.
Neben DES und AES (Rijndael) gibt es viele weitere Block-Kryptosysteme, wobei
Blowfish, Triple DES, Serpent und Twofish zu den bekanntesten und verbreitesten gehö-
ren. Zum Beispiel ist Triple DES eine in der Praxis immer noch verwendete Erweiterung
von DES mit einer Schlüssellänge von 168 Bits, wobei die effektive Sicherheit bei etwa
112 Bits liegt.
Die in Abschnitt 4.3 vorgestellte lineare Kryptanalyse ist nur eine von mehreren aus-
gefeilten Kryptanalyse-Techniken, die auch bei komplizierteren Block-Kryptosystemen
