Cryptography Reference
In-Depth Information
x
0
x
1
x
2
x
3
r
+1
+1
+1
+1
k
E
B
E
B
E
B
E
B
y
−
1
y
0
y
1
y
2
y
3
Abbildung 5.3: Die R-CTR-Betriebsart
mit
l∗
,k
:
K
B
):
{
0
,
1
}
l
+
E
S
(
x
:
{
0
,
1
}
1. Zerlege
x
in
l
-Blöcke:
x
=
x
0
...x
m−
1
.
2. Setze
r
=
flip
(
l
)
.
3. Für
i
=0
,...,m
−
1
bestimme
y
i
=
E
B
(
r
+
2
l
i, k
)
⊕
x
i
.
4. Gib
y
=
ry
0
...y
m−
1
aus.
sowie
l
+
,k
:
K
B
):
l∗
D
S
(
y
:
{
0
,
1
}
{
0
,
1
}
1. Zerlege
y
in
l
-Blöcke:
y
=
ry
0
...y
m−
1
.
2. Für
i
=0
,...,m
−
1
bestimme
x
i
=
E
B
(
r
+
2
l
i, k
)
⊕
y
i
.
3. Gib
x
=
x
0
...x
m−
1
aus.
Dabei werden
r
und
i
zur Auswertung von
r
+
2
l
i
(Addition modulo
2
l
) als natürliche
Zahlen
<
2
l
interpretiert. Das Resultat von
r
+
2
l
i
wird dann wieder als Bitvektor der
Länge
l
interpretiert und kann als solches durch
E
B
(
·,k
)
chiffriert werden.
Diese Betriebsart ist in Abbildung 5.3 dargestellt. Dieses Kryptoschema hat einen
wesentlichen Unterschied zu den bisher betrachteten: Der Dechiffrieralgorithmus greift
nicht auf die Dechiffriertransformation des zugrunde liegenden Kryptosystems zurück.
Es ist sogar so, dass die Chiffren des Kryptosystems, also die Funktionen, die durch
E
B
(
,k
)
gegeben sind, keine injektiven Abbildungen sein müssen, damit entschlüsselt
werden kann.
Folgende Sicht auf die R-CTR-Betriebsart liefert einen Hinweis auf die Sicherheit dieser
Betriebsart: In der R-CTR-Betriebsart wird zunächst ein Bitvektor
·
E
B
(
r, k
)
E
B
(
r
+
2
l
1
,k
)
E
B
(
r
+
2
l
2
,k
)
···
erzeugt, wobei
r
zufällig gewählt wird. Diesen Bitvektor nennt man »pseudozufällig«, da
er, wie man zeigen kann, von einem ressourcenbeschränkten Angreifer (fast) nicht von
einem wirklich zufälligen Bitvektor unterschieden werden kann, vorausgesetzt
ist ein
sicheres Block-Kryptosystem (siehe auch Bemerkungen zu Pseudozufallsgeneratoren in
B
