Cryptography Reference
In-Depth Information
Initialisierungsvektor auch ein für alle Mal festlegen. Man erhält dann allerdings ein
anderes Kryptoschema.
In der CBC-Betriebsart wird also durch die Verknüpfung eines Klartextblockes mit
dem vorangehenden Chiffretextblock durch das exklusive Oder dafür gesorgt, dass Blöcke
nicht ohne weiteres als identisch erkennbar sind.
Aber auch CBC-Schemen sind nicht sicher, denn, genau wie ECB-Schemen, ist der
Verschlüsselungalgorithmus deterministisch. Wird also zweimal derselbe Chiffretext be-
obachtet, so wurde auch zweimal derselbe Klartext geschickt. Es reicht aber eine leichte
Abwandlung dieses Verfahrens, genannt R-CBC-Betriebsart, um ein sicheres Kryptosche-
ma zu erhalten, sofern das zugrunde liegende Block-Kryptosystem sicher ist (siehe auch
Bemerkung 5.4.1): In der R-CBC-Betriebsart wird der Initialisierungsvektor vor jeder Ver-
schlüsselung zufällig gewählt. Das sorgt dafür, dass die Verschlüsselung zufallsgesteuert
ist. Da Bob den zufällig gewählten Initialisierungsvektor kennen muss, um entschlüsseln
zu können, wird er unverschlüsselt mitgeschickt.
Definition 5.2.3 (R-CBC-Betriebsart). Es sei
l>
0
und
l
,K
B
, {
0
,
1
}
l
,E
B
,
B
=(
{
0
,
1
}
D
B
)
ein
l
-Block-Kryptosystem. Dann ist das zu
B
gehörende
l
-R-CBC-Kryptoschema
S
=
R-CBC-
B
(randomized CBC)
gegeben durch
R-CBC-
B
=(
K
B
,E
S
,D
S
)
mit
l∗
,k
:
K
B
):
l
+
E
S
(
x
:
{
0
,
1
}
{
0
,
1
}
1. Zerlege
x
in
l
-Blöcke:
x
=
x
0
...x
m−
1
.
2. Setze
y
−
1
=
flip
(
l
)
.
3. Für
i
=0
,...,m
−
1
bestimme
y
i
=
E
B
(
y
i−
1
⊕
x
i
,k
)
.
4. Gib
y
=
y
−
1
y
0
...y
m−
1
aus.
sowie
D
S
(
y
:
l
+
,k
:
K
B
):
l∗
{
0
,
1
}
{
0
,
1
}
1. Zerlege
y
in
l
-Blöcke:
y
=
y
−
1
y
0
...y
m−
1
.
2. Für
i
=0
,...,m−
1
bestimme
x
i
=
D
B
(
y
i
,k
)
⊕ y
i−
1
.
3. Gib
x
=
x
0
...x
m−
1
aus.
Der Beweis der Sicherheit der R-CBC-Schemen ist zu aufwändig, um ihn im Rah-
men dieses Buches vorzuführen. Wir betrachten deshalb noch eine weitere Betriebsart,
die, wie R-CBC, in der Praxis eingesetzt wird und zusammen mit einem sicheren Block-
Kryptosystem auch ein sicheres Kryptoschema liefert, aber einen einfacheren Sicherheits-
beweis hat (siehe Abschnitt 5.4).
Definition 5.2.4 (R-CTR-Betriebsart). Es sei
l>
0
und
l
,K
B
, {
0
,
1
}
l
,E
B
,
B
=(
{
0
,
1
}
D
B
)
ein
l
-Block-Kryptosystem. Dann ist das zu
B
gehörende
l
-R-CTR-Kryptoschema
S
=
R-CTR-
B
(randomized counter)
gegeben durch
R-CTR-
B
=(
K
B
,E
S
,D
S
)