Cryptography Reference
In-Depth Information
erlauben es allerdings, bekannte Angriffstechniken auf Block-Kryptosysteme, wie die li-
neare Kryptanalyse, zu demonstrieren - AES ist so konstruiert, dass es gegen diese Techni-
ken immun ist. Die lineare Kryptanalyse, welche einen Angriff mit bekannten Klartexten
(gemäß Abschnitt 2.4) darstellt und die (teilweise) Bestimmung des verwendeten Schlüs-
sels erlaubt, wird in Abschnitt 4.3 vorgestellt werden. Dies gibt einen Eindruck davon,
wie schwierig es ist, »sichere« Block-Kryptosysteme zu entwerfen, wobei, wie gesagt, in
Abschnitt 4.7 präzise formuliert werden wird, was unter »sicher« genau zu verstehen ist.
Wir schließen das Kapitel in Abschnitt 4.8 mit einer alternativen Sicherheitsdefinition ab,
für die wir aber zeigen werden, dass sie äquivalent ist zu derjenigen aus Abschnitt 4.7.
Diese alternative Definition ist dadurch motiviert, dass sie in Sicherheitsbeweisen, wie
wir sie in Kapitel 5 führen werden, einfacher zu handhaben ist.
4.2
Substitutionspermutationskryptosysteme
Substitutionspermutationskryptosysteme (SPKS) bilden eine Familie von
l
-Block-Kryp-
tosystemen. Ein wesentlicher Aspekt solcher Kryptosysteme ist die Aufteilung des Klar-
textes in mehrere kürzere »Blöcke« gleicher Länge, die wir
Wörter
nennen wollen. Bei
einer Wortlänge von
n
und einer Wortanzahl von
m
ergibt sich also eine Blocklänge von
l
=
m
l
gegeben, so bezeichnen wir das
i
-te Wort von
x
,
also
x
[
i · n,
(
i
+1)
· n
)
gemäß unserer bisherigen Notation, mit
x
(
i
)
.
Ein wichtiger Bestandteil von SPKS sind Operationen, die die Bits eines Blocks vertau-
schen. Um dies leicht beschreiben zu können, wollen wir eine eigene Notation einführen:
Ist
x ∈{
0
,
1
}
·
n
.IsteinBitvektor
x
∈{
0
,
1
}
l
ein Bitvektor und
β
∈P
[
l
]
eine Permutation auf
[
l
]=
{
0
,...,l
−
1
}
(diese
Notation werden wir im Folgenden häufiger benutzen), dann ist
x
β
l
definiert
durch
x
β
(
β
(
i
)) =
x
(
i
)
für alle
i<l
. Wir werden nur selbstinverse Permutationen be-
trachten, d. h., solche Permutationen
β
, für die die Komposition
β ◦ β
von
β
mit sich
selbst die Identität ist. Für diese kann
x
β
∈{
0
,
1
}
auch definiert werden durch
x
β
(
i
)=
x
(
β
(
i
))
für alle
i<l
.
Nach diesen Vorbemerkungen können wir uns nun der Definition von SPKS zuwenden,
welche wir in Abbildung 4.1 (siehe auch Beispiel 4.2.1) illustrieren.
Definition 4.2.1 (Substitutionspermutationskryptosystem). Ein
Substitutionspermuta-
tionsnetzwerk (SPN)
ist ein Tupel
N
=(
m, n,r,s, S,β, K
)
(4.2.1)
bestehend aus einer
Wortanzahl
m
,einer
Wortlänge
n
,einer
Rundenanzahl
r
,einer
Schlüs-
sellänge
s
, einer Permutation
S
∈P
{
0
,
1
}
n
auf Wörtern, die sogenannte
S-Box
,einer
selbstinversen
Bitpermutation
β ∈P
[
m·n
]
und einer
Rundenschlüsselfunktion
K
:
{
0
,
1
}
s
×
mn
.
Das zugehörige
Substitutionspermutationskryptosystem (SPKS)
,dasmit
[
r
+1]
→{
0
,
1
}
B
(
N
)
be-
zeichnet wird, ist ein
mn
-Block-Kryptosystem der Form
mn
, {
0
,
1
}
s
, {
0
,
1
}
mn
,E,D
)
,
B
(
N
)=(
{
0
,
1
}
(4.2.2)
