Cryptography Reference
In-Depth Information
nächsten 2·114 Bit werden als Schlüsselstrom für die Sende- bzw. Empfangsrichtung verwen-
det.
2.4.3
Sicherheit von Stromchiffren
Bei einer Stromchiffre darf ein Schlüssel k nur einmal verwendet werden. Denn, wenn für
irgend eine Nachricht neben dem Chiffretext c auch der Klartext m bekannt würde, dann ist
mit (2.4-1) auch der Schlüsselstrom z
b
bekannt. Der Schlüsselstrom z
b
, b=1, 2,..., ist für einen
Schlüssel k immer gleich. D.h., wenn ein Angreifer diesen Schlüsselstrom kennt, dann kann er
ohne Kenntnis von k ohne Schwierigkeit entschlüsseln. Deshalb darf, im Gegensatz zu den
Blockchiffren, bei Stromchiffren der Schlüssel k nicht mehrfach verwendet werden. Oft wird
in der Praxis (z.B. bei WEP) so verfahren, dass ein Teil des Schlüssels k fest und geheim ist
und ein variabler Teil als Initialvektor IV vor der verschlüsselten Übertragung offen ausge-
tauscht wird.
Es sind jedoch Angriffe bekannt geworden [FMS01], die es erlauben, aus mehreren Chiffretex-
ten durch statistische Methoden den festen/geheimen Teil des Schlüssels k zu ermitteln. Diese
Methode setzt voraus, dass insbesondere das 1. Byte z
1
des Schlüsselstroms bereits genutzt
wird. Deshalb wird empfohlen, die ersten 5-10 Bytes des Schlüsselstroms zu verwerfen und
nicht zu nutzen. Als noch bessere Sicherung wird empfohlen, die variablen und festen Schlüs-
selanteile nicht nur zu verketten, sondern die verketteten Teile auch noch zu „hashen“ (Hash-
funktion anwenden). Diese Betriebsart wird als sicher gegen den genannten Angriff betrachtet.
Eine generelle Schwäche von Stromchiffren ist der einfache Zusammenhang der bitweisen
Addition modulo 2 zwischen Klartext und Chiffretext. Weil die Position von Zeichen in Klar-
text und Chiffretext gleich ist, besteht die Möglichkeit einer gezielten Manipulation, ohne die
Chiffre zu entschlüsseln. Z.B. ist bei einer Überweisung mit Online-Banking in gewissen Pro-
tokollblöcken die Betragsangabe an bestimmten Positionen zu erwarten. Ein Angreifer kann
z.B. eine führende „0“ durch Addition modulo 2 in eine „1“ verwandeln. Ohne weitere schüt-
zende Maßnahmen (MAC, digitale Signatur) wäre diese Manipulation der verschlüsselten
Übertragung nicht zu bemerken.
2.5
Rechnen mit Polynom-Restklassen und Erweiterungskörpern
Dieses Kapitel kann bei erster Lesung überschlagen werden. Es wird für das tiefere Verständ-
nis von AES benötigt.
Der Advanced Encryption Standard AES im nächsten Kap. 2.6 wird
durch „Byte-Arithmetik“ und „Byte-Zahlen“ beschrieben, die 2
8
=256 Werte annehmen kön-
nen. Dazu eignet sich keine Arithmetik modulo 256. Dieser Modul ist keine Primzahl und
begründet keinen Körper (vgl. Kap. 2.1.2). Ein Körper mit 2
8
Elementen kann jedoch gebildet
werden, wenn als Modul ein Polynom vom Grad 8 herangezogen wird, dessen Koeffizienten
nur die Werte 0 oder 1 {0, 1} haben. Ein solcher Körper wird als Erweiterungs-Körper GF(2
8
)
des Galois-Körpers GF(2) bezeichnet. Allgemein gibt es Erweiterungs-Körper GF(p
r
) mit p
r
Elementen, wobei p eine Primzahl und r eine positive, ganze Zahl ist (p=prim, r
¥ ).
In diesem Kapitel werden wir uns mit den „Zahlen“ eines Erweiterungs-Körper GF(2
r
) befas-
sen, nach der Gültigkeit der Axiome fragen und einige Beispiele besprechen.
