Uneingeschränkte symmetrische Verschlüsselung - Moderne Kryptographie

Cryptography Reference

In-Depth Information

Initialisierungsvektor auch ein für alle Mal festlegen. Man erhält dann allerdings ein

anderes Kryptoschema.

In der CBC-Betriebsart wird also durch die Verknüpfung eines Klartextblockes mit

dem vorangehenden Chiffretextblock durch das exklusive Oder dafür gesorgt, dass Blöcke

nicht ohne weiteres als identisch erkennbar sind.

Aber auch CBC-Schemen sind nicht sicher, denn, genau wie ECB-Schemen, ist der

Verschlüsselungalgorithmus deterministisch. Wird also zweimal derselbe Chiffretext be-

obachtet, so wurde auch zweimal derselbe Klartext geschickt. Es reicht aber eine leichte

Abwandlung dieses Verfahrens, genannt R-CBC-Betriebsart, um ein sicheres Kryptosche-

ma zu erhalten, sofern das zugrunde liegende Block-Kryptosystem sicher ist (siehe auch

Bemerkung 5.4.1): In der R-CBC-Betriebsart wird der Initialisierungsvektor vor jeder Ver-

schlüsselung zufällig gewählt. Das sorgt dafür, dass die Verschlüsselung zufallsgesteuert

ist. Da Bob den zufällig gewählten Initialisierungsvektor kennen muss, um entschlüsseln

zu können, wird er unverschlüsselt mitgeschickt.

Definition 5.2.3 (R-CBC-Betriebsart). Es sei l> 0 und

l ,K B , { 0 , 1 }

l ,E B ,

B =( { 0 , 1 }

D B ) ein l -Block-Kryptosystem. Dann ist das zu

gehörende l -R-CBC-Kryptoschema

S = R-CBC-

(randomized CBC) gegeben durch

R-CBC-

=( K B ,E S ,D S )

mit

l∗ ,k : K B ):

l +

E S ( x :

{

0 , 1

}

{

0 , 1

}

1. Zerlege x in l -Blöcke: x = x 0 ...x m− 1 .

2. Setze y − 1 = flip ( l ) .

3. Für i =0 ,...,m

−

1 bestimme y i = E B ( y i− 1 ⊕

x i ,k ) .

4. Gib y = y − 1 y 0 ...y m− 1 aus.

sowie

D S ( y :

l + ,k : K B ):

l∗

{

0 , 1

}

{

0 , 1

}

1. Zerlege y in l -Blöcke: y = y − 1 y 0 ...y m− 1 .

2. Für i =0 ,...,m− 1 bestimme x i = D B ( y i ,k ) ⊕ y i− 1 .

3. Gib x = x 0 ...x m− 1 aus.

Der Beweis der Sicherheit der R-CBC-Schemen ist zu aufwändig, um ihn im Rah-

men dieses Buches vorzuführen. Wir betrachten deshalb noch eine weitere Betriebsart,

die, wie R-CBC, in der Praxis eingesetzt wird und zusammen mit einem sicheren Block-

Kryptosystem auch ein sicheres Kryptoschema liefert, aber einen einfacheren Sicherheits-

beweis hat (siehe Abschnitt 5.4).

Definition 5.2.4 (R-CTR-Betriebsart). Es sei l> 0 und

l ,K B , { 0 , 1 }

l ,E B ,

B =( { 0 , 1 }

D B ) ein l -Block-Kryptosystem. Dann ist das zu

gehörende l -R-CTR-Kryptoschema

= R-CTR-

(randomized counter) gegeben durch

R-CTR-

=( K B ,E S ,D S )

Moderne Kryptographie

Search WWH ::

Custom Search

Home