Cryptography Reference
In-Depth Information
l
)
∗
zu schreiben, um die Menge der Bitvektoren zu bezeich-
nen, deren Länge ein Vielfaches von
l
ist, schreiben wir einfach
Schreibweise. Anstatt
(
{
0
,
1
}
{
0
,
1
}
l∗
. Des Weiteren
l
+
=
l∗
definieren wir
.
Definition 5.1.1 (symmetrisches Kryptoschema). Es sei
l>
0
.Ein
symmetrisches
l
-
Kryptoschema (symmetric encryption scheme)
ist ein Tupel
{
0
,
1
}
{
0
,
1
}
\{
ε
}
S
=(
K,E,D
)
,
(5.1.1)
s
für ein
s ≥
1
, einem zufallsgesteuerten
bestehend aus einer
Schlüsselmenge
K ⊆{
0
,
1
}
l∗
,k
:
K
):
}
∗
Chiffrieralgorithmus
E
(
x
:
{
0
,
1
}
{
0
,
1
und einem deterministischen
Dechif-
l∗
. Dabei müssen die Laufzeiten von
E
und
D
polynomzeitbeschränkt sein in der Länge von
x
bzw.
y
, d. h., es existieren Polynome
p
und
q
, so dass die Laufzeiten von
E
(
x, k
)
und
D
(
y,k
)
für alle
x
,
y
und
k
beschränkt sind
durch
p
(
|x|
)
bzw.
q
(
|y|
)
. Außerdem muss für jeden Klartext
x ∈{
0
,
1
}
}
∗
,k
:
K
):
frieralgorithmus
D
(
y
:
{
0
,
1
{
0
,
1
}
l∗
, jede Zufallsfolge
p
(
|x|
)
und jeden Schlüssel
k
α
∈{
0
,
1
}
∈
K
gelten:
D
(
E
α
(
x, k
)
,k
)=
x
(Dechiffrierbedingung)
.
(5.1.2)
Diese Definition bedarf einiger Erläuterungen. Erstens: Die wichtigste Änderung im
Vergleich zu Kryptosystemen ist, wie gesagt, dass der Chiffrieralgorithmus nun zufalls-
gesteuert ist. Dieser Algorithmus wird wie folgt verwendet. Für jede zu verschlüsselnde
Nachricht unter einem geheimen Schlüssel
k
wird der Chiffrieralgorithmus mit
frischen
Zufallsbits
α
verwendet und es wird
E
α
(
x, k
)
als Chiffretext ausgegeben. Wird insbesonde-
re
x
mehrfach verschickt, so wird jedes Mal zufällig ein
α
gewählt. Die Wahrscheinlichkeit,
dass bei zweifacher Ausführung von
E
(
x, k
)
derselbe Chiffretext zurückgeliefert wird, ist,
wie wir sehen werden, für sichere Verschlüsselungsverfahren verschwindend gering. For-
mal ist, wie üblich für zufallsgesteuerte Algorithmen,
E
(
x, k
)
, für festes
x
und
k
,eine
Zufallsvariable auf der Gleichverteilung über
p
(
|x|
)
. In der kryptographischen Lite-
ratur findet man auch Kryptoschemen, bei denen der Dechiffrieralgorithmus ebenfalls
zufallsgesteuert ist. Man erhält allerdings bereits sichere Kryptoschemen für den Fall,
dass der verwendete Dechiffrieralgorithmus deterministisch ist. Deshalb belassen wir es
in diesem Buch dabei. Zweitens: Die Schlüssel der Menge
K
werden als gleichverteilt
angenommen. Häufig werden Kryptoschemen auch so definiert, dass statt einer Menge
K
von Schlüsseln ein Schlüsselgenerierungsalgorithmus betrachtet wird. Da wir hier aber
immer von einem gleichverteilten Schlüsselraum ausgehen, verzichten wir auf die Angabe
eines solchen Algorithmus. Drittens: Der Einfachheit halber lassen wir nur Klartexte zu,
die aus Blöcken geeigneter Länge bestehen. Was bei Nachrichten beliebiger Länge zu tun
ist, besprechen wir in Aufgabe 5.7.2.
Beim Entwurf eines symmetrischen Kryptoschemas beginnt man meist nicht bei Null,
sondern baut auf Block-Kryptosystemen in geeigneter Weise auf: Durch einfache Re-
geln erklärt man, wie ein Klartext (also eine endliche Folge von Blöcken) durch iterierte
Anwendung des Block-Kryptosystems chiffriert wird. Man sagt auch, dass das Block-
Kryptosystem in einer bestimmten
Betriebsart (mode)
genutzt wird. Wir wollen im nächs-
ten Abschnitt einige der gebräuchlichsten und interessantesten Betriebsarten vorstellen
{
0
,
1
}
