Cryptography Reference
In-Depth Information
Bild der dritten S-Box in Frage. Wir erläutern unsere Wahl
J
=
weiter unten. Unter
den Voraussetzungen von Lemma 4.3.6 (siehe auch Bemerkungen nach Lemma 4.3.6)
würde sich nun eine betragsmäßige Ausrichtung von
1
/
8
für die Gleichung
{
8
,
9
}
x
(5) =
v
1
(8)
⊕ v
1
(9)
(4.3.18)
ergeben. Diese wiederum ließe sich in zwei weiteren Schritten erweitern zu einer betrags-
mäßigen Ausrichtung von
1
/
8
bezüglich
x
(5) =
z
(2)
⊕ z
(3)
.
(4.3.19)
Zur Erinnerung: Mit
z
bezeichnen wir den Vorchiffretext, also in diesem Fall
z
=
u
2
.
Damit ist
x
(5) =
z
(0)
(2)
⊕ z
(0)
(3)
(4.3.20)
die gesuchte Gleichung für das
0
-te Vorchiffrewort.
Wie erwähnt, hatten wir für die Wahl von
J
in (4.3.17) etwas Spielraum. Allerdings
muss
J
so gewählt sein, dass i) die Ausrichtung der dritten S-Box für das Indexpaar
(
,J
)
möglichst groß ist und ii) wir für den Vorchiffretext Bits innerhalb
eines
Wortes erhalten. Neben
J
=
{
8
,
9
}
{
10
,
11
}
kommen dafür in der Tat verschiedene Mengen in
Betracht. Es gibt sogar eine Indexmenge, die besser als
{
8
,
9
}
geeignet wäre (siehe Auf-
gabe 4.9.8).
Abschließend folgen einige experimentelle Daten. Wir haben für das SPKS aus Bei-
spiel 4.2.1 zu dem Schlüssel
1001 11101000 0111 11000001
eine Menge von 10.000 Klar-
text-Chiffretext-Paaren zufällig erzeugt. Da die hypothetische Ausrichtung der Klartext-
Vorchiffrewort-Transformation bzgl. (4.3.19) betragsmäßig zu
1
/
8=0
,
125
berechnet wur-
de, setzten wir den Schwellwert auf
0
,
1
. Der Angriff lieferte dann als Kandidat für das
Finalschlüsselwort nur das Wort
0111
, was auch richtig ist. Für den Wert
2
·|c/|U|−
1
/
2
|
im linearen Approximationstest ergab sich ungefähr
0
,
1096
, also weniger als
1
/
8
,aber
natürlich mehr als
0
,
1
. Die (exakte) Ausrichtung für den gewählten Schlüssel, die wir in
diesem kleinen SPKS leicht ausrechnen können, da die Anzahl möglicher Klartexte recht
klein ist, war betragsmäßig exakt
1
/
8
.
Die lineare Kryptanalyse ist für Substitutionspermutationskryptosysteme recht erfolg-
reich. Moderne Kryptosysteme, wie z. B. das Kryptosystem AES, welches wir in Ab-
schnitt 4.5 kennenlernen werden, sind allerdings so konstruiert, dass die lineare Kryptana-
lyse sowie andere bekannte Techniken für die Kryptanalyse (siehe auch Abschnitt 4.10)
nicht erfolgreich sind.
4.4
Wiederholung Polynomringe und endliche Körper
Im nächsten Abschnitt wollen wir, wie erwähnt, ein modernes Block-Kryptosystem studie-
ren, das in einigen Teilen algebraischer Natur ist. Wir wiederholen deshalb Grundlegendes
über Polynomringe und endliche Körper. Für eine eingehendere Einführung verweisen wir
auf die einschlägige Literatur.
1
