Cryptography Reference
In-Depth Information
3.4.1 Electronic Codebook Mode - ECB
Beim
ECB-Modus
wird einfach jeder Block für sich verschlüsselt. Es gilt also
C
=(
c
1
,...,
c
r
)
:
=(
f
(
x
1
,
k
)
,...,
f
(
x
r
,
k
))
.
Dieses Verfahren kann man als eine Substitutions-Chiffre mit riesigem Alphabet
P
auffassen. Daher werden Strukturen aus dem Klartext im Geheimtext sicht-
bar und erleichtern unter Umständen die Kryptoanalyse. Die übliche statistische
Analyse, wie sie in Kapitel 1 beschrieben wurde, wird einzig durch die Größe des
Alphabets
- durchaus erheblich - erschwert.
Der ECB-Modus eröffnet einem Angreifer weitere Manipulationsmöglichkeiten,
auch wenn er den Geheimtext nicht entschlüsseln kann. Durch die Veränderung
einzelner Blöcke des Geheimtexts kann ein Angreifer etwa gezielt einen Block des
Geheimtexts verändern, obwohl er nicht genau weiß, was er tut.
Statt einer blinden Änderung kann er versuchen, einen ihm bekannten Geheim-
textblock einzufügen oder vorhandene Blöcke durch solche zu ersetzen - im Sin-
ne eines
Known-Plain-Text
-Angriffs. Schließlich ist es möglich, Blöcke zu vertau-
schen. All dies ist nur dann eine Bedrohung, wenn es unbemerkt bleibt. Zwei der
anderen Betriebsmodi haben zum Ziel, genau das zu verhindern, nämlich, dass
eine Manipulation nicht wahrgenommen wird.
Bemerkung
Der ECB-Modus kann auch bei Verfahren angewendet werden, bei denen der
Geheimtext eine andere Blocklänge hat als der Klartext.
3.4.2 Cipher Block Chaining Mode - CBC
Der
CBC-Modus
enthält eine Art Rückkopplung bei der Verschlüsselung, die
Manipulationen an Blöcken im Geheimtext aufdeckt. Vor der Verschlüsselung ei-
nes Blocks wird der eben verschlüsselte Block addiert. Beim ersten Block wird ein
beliebiger Initialisierungsblock
c
0
∈
C
benutzt. Formal sieht das wie folgt aus:
=
(
+
)
∈{
}
c
i
:
f
x
i
c
i
−
1
,
k
für
i
1, . . . ,
r
.
Bei der Entschlüsselung rechnet man
=
+
(
)
∈{
}
m
i
:
c
i
−
1
g
c
i
,
k
für
i
1,...,
r
.
Man verifiziert mühelos, dass dadurch der Geheimtext entschlüsselt wird, d. h.,
es gilt
m
i
=
x
i
.
Verschiedene Initialisierungsblöcke liefern verschiedene Geheimtexte. Wichtiger
ist, dass im Allgemeinen gleiche Klartextblöcke verschieden verschlüsselt wer-
den, sodass statistische Angriffe erschwert werden. Veränderungen im Geheim-
text, wie das Einfügen oder Ersetzen von Geheimtextblöcken, zerstören im All-
gemeinen den folgenden Block und können dadurch entdeckt werden. Anderer-
seits zerstören Übertragungsfehler höchsten den folgenden Block, der Rest kann
fehlerfrei entschlüsselt werden.
