Cryptography Reference
In-Depth Information
zugehörigen Wert mit der Differenz 110 (dies ist die sogenannte Eingangsdiffe-
renz) sowie die Differenzen nach der Anwendung der S-Box (Ausgangsdifferenzen):
1. Eingabewert
000
001
010
011
100
101
110
111
2. Eingabewert
110
111
100
101
010
011
000
001
Eingangsdifferenz
110
110
110
110
110
110
110
110
1. Ausgabewert
011
001
000
100
010
101
111
110
2. Ausgabewert
111
110
010
101
000
100
011
001
Ausgangsdifferenz
100
111
010
001
010
001
100
111
Wie Sie sehen, sind die Ausgangsdifferenzen ungleich verteilt. So kommen 001,
010, 100 und 111 jeweils doppelt vor, die Werte 000, 011, 101 und 110 dagegen
gar nicht. Interessant ist außerdem folgende Beobachtung: Wenn wir statt der
S-Box das gesamte Verfahren betrachten (also inklusive der Exklusiv-oder-Ver-
knüpfung mit dem Schlüssel), dann kommen bei einer Eingangsdifferenz von 110
genau die gleichen Ausgangsdifferenzen (nämlich 001, 010, 100 und 111) in glei-
cher Häufigkeit (jeweils doppelt) vor. Dies liegt daran, dass sich eine Differenz
nicht ändert, wenn die beiden beteiligten Werte mit dem gleichen Wert exklusiv-
oder-verknüpft werden. Wenn wir statt 110 eine andere Eingangsdifferenz
betrachten, sieht das Ergebnis ähnlich aus: Die Ausgangsdifferenzen kommen
unterschiedlich häufig vor (manche gar nicht), und an den Häufigkeiten ändert
sich nichts, wenn der Schlüssel wechselt.
Mit diesem Wissen kann Mallory einen ersten Angriff (eine Chosen-Plain-
text-Attacke) auf unser Ein-Runden-Verfahren starten. Dazu verschlüsselt er zwei
Klartexte mit Eingangsdifferenz 110 (da es sich um eine Chosen-Plaintext-Atta-
cke handelt, kann Mallory eine solche Verschlüsselung veranlassen). Nehmen wir
an, er erhält als Ergebnis (und damit als Ausgangsdifferenz) 100. Dann weiß er,
dass entweder das Paar 000/100 oder das Paar 100/000 in die S-Box eingegangen
ist, da nur diese beiden die Ausgangsdifferenz 100 generieren. Zu jedem der bei-
den Paare kann Mallory einen Schlüsselkandidaten ermitteln. Durch Ausprobie-
ren findet er heraus, welcher der richtige ist. Dieser Angriff erfordert drei bis vier
Arbeitsschritte. Er ist nicht unbedingt effektiver als eine vollständige Schlüsselsu-
che (es gibt acht Schlüssel), doch das wird sich bei den folgenden, komplexeren
Beispielen ändern.
Schlüssel
(3 Bit)
Schlüssel
(3 Bit)
Geheimtext
(3 Bit)
Klartext (3
Bit)
S-Box
S-Box
Abb. 7-4
Auch bei einem Zwei-Runden-Verfahren funktioniert die differenzielle Kryptoanalyse.
Search WWH ::




Custom Search