Cryptography Reference
In-Depth Information
5
Uneingeschränkte symmetrische Verschlüsselung
5.1
Einführung
In diesem Kapitel wollen wir uns nun keine wesentlichen Beschränkungen mehr auferle-
gen:
Szenarium 3.
Alice möchte Bob mehrere Klartexte beliebiger Länge zukommen lassen,
wobei Alice und Bob immer den gleichen zu Anfang gewählten Schlüssel verwenden. Eva
hört die gesendeten Chiffretexte ab und kann sich einige wenige Klartexte mit dem von
Alice und Bob verwendeten Schlüssel verschlüsseln lassen.
Mit anderen Worten, wir erweitern Szenarium 2 in zweierlei Hinsicht. Erstens ist es
Alice nun möglich, beliebig lange Klartexte zu versenden. Zweitens ist es ihr möglich,
Klartexte mehrfach zu senden. Letzteres ist die eigentlich wichtige Erweiterung, denn
offensichtlich kann die Übertragung eines langen Klartextes durch die Übertragung meh-
rerer kurzer Klartexte erfolgen, sofern die Reihenfolge der gesendeten Klartexte bei der
Übertragung erhalten bleibt. Die mehrfache Übertragung desselben Klartextes ist dage-
gen ein wirkliches Novum, denn wie bereits in Abschnitt 4.1 erläutert, sollte Eva nicht
erkennen, dass derselbe Klartext mehrfach gesendet wird. Dies bedingt, dass die mehr-
fache Verschlüsselung eines Klartextes verschiedene Chiffretexte liefern muss (zumindest
mit großer Wahrscheinlichkeit). Dies kann man zum einen dadurch erreichen, dass der
Verschlüsselungsalgorithmus zustandsbasiert ist und sich der Zustand des Algorithmus
nach jeder Verschlüsselung ändert. Alternativ kann man auch zufallsgesteuerte Verschlüs-
selungsalgorithmen betrachten. Wir werden in diesem Buch die letztere, auch gebräuch-
lichere Variante betrachten.
Zunächst halten wir fest, dass, wie bereits in Szenarium 2, informationstheoretische
Sicherheit in Szenarium 3 offensichtlich nicht erreicht werden kann, da Alice und Bob
immer denselben Schlüssel verwenden. Wir werden deshalb, wie bereits für Szenarium 2,
einen anderen Sicherheitsbegriff benötigen. Allerdings ist auch der in Abschnitt 4.7 ein-
geführte Sicherheitsbegriff für Block-Kryptosysteme ungeeignet, da dieser das mehrfache
Versenden von Klartexten nicht berücksichtigt hat: Substitutionskryptosysteme boten
dort optimale Sicherheit und es war deshalb erstrebenswert, Block-Kryptosysteme so
zu konstruieren, dass sie vergleichbar mit Substitutionskryptosystemen sind. In Szena-
rium 3 müssen Substitutionskryptosysteme aber als unsicher betrachtet werden, da die
mehrfache Verschlüsselung eines Klartextes immer denselben Chiffretext liefert.
Wir erweitern nun den Begriff des Kryptosystems zum Begriff des Kryptoschemas,
um zum einen der Forderung Rechnung zu tragen, dass unsere Verschlüsselungsverfahren
Klartexte beliebiger Länge handhaben können sollten, und zum anderen von Verschlüs-
selungsfunktionen zu zufallsgesteuerten Verschlüsselungsalgorithmen überzugehen.
In der nun folgenden Definition und auch danach benutzen wir eine vereinfachende
