Table Of ContentULRIKE BAUMANN
ELKE FRANZ
ANDREAS PFITZMANN
Kryptographische
Systeme
eXamen.press isteineReihe,dieTheorieund
Praxis ausallenBereichenderInformatikfür
dieHochschulausbildungvermittelt.
Ulrike Baumann (cid:2) Elke Franz (cid:2)
Andreas Pfitzmann
Kryptographische
Systeme
UlrikeBaumann AndreasPfitzmann(verstorben)
FachrichtungMathematikInstitutfürAlgebra TechnischeUniversitätDresden
TechnischeUniversitätDresden Dresden,Sachsen,Deutschland
Dresden,Deutschland
ElkeFranz
FakultätInformatikInstitutfür
Systemarchitektur
TechnischeUniversitätDresden
Dresden,Deutschland
ISSN1614-5216 eXamen.press
ISBN978-3-642-45332-8 ISBN978-3-642-45333-5(eBook)
DOI10.1007/978-3-642-45333-5
DieDeutscheNationalbibliothekverzeichnetdiesePublikationinderDeutschenNationalbibliografie;detaillierte
bibliografischeDatensindimInternetüberhttp://dnb.d-nb.deabrufbar.
SpringerVieweg
©Springer-VerlagBerlinHeidelberg2014
DasWerkeinschließlichallerseinerTeileisturheberrechtlichgeschützt.JedeVerwertung,dienichtausdrücklich
vomUrheberrechtsgesetzzugelassenist,bedarfdervorherigenZustimmungdesVerlags.Dasgiltinsbesondere
fürVervielfältigungen,Bearbeitungen,Übersetzungen,MikroverfilmungenunddieEinspeicherungundVerar-
beitunginelektronischenSystemen.
DieWiedergabevonGebrauchsnamen,Handelsnamen,Warenbezeichnungenusw.indiesemWerkberechtigt
auchohnebesondereKennzeichnungnichtzuderAnnahme,dasssolcheNamenimSinnederWarenzeichen-
undMarkenschutz-Gesetzgebungalsfreizubetrachtenwärenunddahervonjedermannbenutztwerdendürften.
DerVerlag,dieAutorenunddieHerausgebergehendavonaus,dassdieAngabenundInformationenindiesem
WerkzumZeitpunktderVeröffentlichungvollständigundkorrektsind.WederderVerlagnochdieAutorenoder
dieHerausgeberübernehmen,ausdrücklichoderimplizit,GewährfürdenInhaltdesWerkes,etwaigeFehleroder
Äußerungen.
GedrucktaufsäurefreiemundchlorfreigebleichtemPapier
Springer-VerlagBerlinHeidelbergistTeilderFachverlagsgruppeSpringerScience+BusinessMedia
(www.springer.com)
Vorwort
Vor fünf Jahren wurde an Professor Andreas Pfitzmann der Wunsch herangetragen, ein
Buch zum Thema Kryptographiezu verfassen. Da die Autorendes vorliegendenBuches
sich auchschongemeinsamin der Lehrezu diesemThemaengagierthatten,ist dieIdee
aufgekommen,dasAnliegenalseingemeinsamesProjektanzugehen.AmAusgangspunkt
standen umfangreiche Diskussionen darüber, was zu dem Thema gesagt werden sollte,
wasdabeifürunsbesonderswichtigistundanwelcheZielgruppensichdasBuchrichten
soll.DasBuchhatsehrdavonprofitiert,dassBeteiligteausunterschiedlichenFachberei-
chen daran gearbeitet haben – es gab viel voneinander zu lernen und am Beginn stand
eineumfangreicheAbstimmungsarbeit,seiesübereineeinheitlicheNotation,dieStruktur
des Buches oder die Ausführlichkeit der Darstellung. Gerade diese Diskussionen haben
wir gewollt und sie so intensiv und ausgiebig geführt, dass sie uns in eine reibungslose
ZusammenarbeitgeführtundwährenddergesamtenBearbeitungbishinzurEndredaktion
begleitethaben.
LeiderkonntenwirdasgemeinsambegonneneProjektnichtgemeinsamzumAbschluss
bringen.Nachkurzer,schwererKrankheitverstarbAndreasPfitzmannundwurdeauchan
dieserStellemittenausderArbeitanseinenVorhabengerissen.
EshateinigeZeitgedauert,biswirunsentschiedenhatten,wiewirmitdembegonne-
nenWerkumgehenwollen.Wirhabenunsdazuentschlossen,eszumgeplantenAbschluss
zu bringen. Die Inhalte und die Atmosphäre der ausführlichen Diskussionen, die wir zu
Beginn geführt hatten, haben uns bei der Fortführung der Arbeit an den noch fehlenden
Buchkapiteln begleitet. Wir haben das Gefühl, dass das Ergebnis unseren gemeinsamen
Vorstellungen entspricht und dass das jetzt erfolgreich zu Ende gebrachte Vorhaben An-
dreasPfitzmannaufunsereWeiseeinbleibendesAndenkensetzenwird.
WirbedankenunsbeiHerrnHermannEngesservomSpringer-Verlag,derunsinunse-
remVorhabenermutigtundbekräftigthat.
Dresden,Deutschland UlrikeBaumann
Juli2014 ElkeFranz
v
Inhaltsverzeichnis
1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
2 HistorischeChiffrenundderenAnalyse . . . . . . . . . . . . . . . . . . 3
2.1 BeispielefürVerschlüsselungen . . . . . . . . . . . . . . . . . . . . . 3
2.2 HäufigkeitsverteilungderBuchstaben . . . . . . . . . . . . . . . . . . 5
2.3 DieVigenère-ChiffreundderenAnalyse . . . . . . . . . . . . . . . . 9
2.4 DieEnigma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
2.5 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
2.6 Übungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
3 KryptographischeSystemeundihreSchlüsselverteilung . . . . . . . . . 25
3.1 KryptographiealsSchutzmechanismus . . . . . . . . . . . . . . . . . 25
3.1.1 BedrohungenundSchutzziele . . . . . . . . . . . . . . . . . . 25
3.1.2 Angreifermodelle . . . . . . . . . . . . . . . . . . . . . . . . 29
3.2 BeschreibungkryptographischerSysteme . . . . . . . . . . . . . . . . 33
3.3 KriterienzurKlassifizierung . . . . . . . . . . . . . . . . . . . . . . . 34
3.4 SymmetrischesKonzelationssystem . . . . . . . . . . . . . . . . . . . 37
3.5 SymmetrischesAuthentikationssystem . . . . . . . . . . . . . . . . . 41
3.6 AsymmetrischesKonzelationssystem . . . . . . . . . . . . . . . . . . 42
3.7 AsymmetrischesAuthentikationssystembzw.digitalesSignatursystem 47
3.8 WeitereAnmerkungenzumSchlüsselaustausch . . . . . . . . . . . . . 52
3.8.1 WemwerdenSchlüsselzugeordnet?. . . . . . . . . . . . . . . 52
3.8.2 WievieleSchlüsselmüssenausgetauschtwerden? . . . . . . . 53
3.8.3 SicherheitdesSchlüsselaustauschsbegrenztkryptographisch
erreichbareSicherheit . . . . . . . . . . . . . . . . . . . . . . 54
3.9 HybridekryptographischeSysteme . . . . . . . . . . . . . . . . . . . 55
3.10 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
3.11 Übungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
vii
viii Inhaltsverzeichnis
4 SicherheitkryptographischerSysteme . . . . . . . . . . . . . . . . . . . 63
4.1 AussagenzurSicherheit:ZieleundGrenzen . . . . . . . . . . . . . . 63
4.2 AngriffszieleundAngriffserfolge . . . . . . . . . . . . . . . . . . . . 65
4.3 KlassifizierungvonAngriffen . . . . . . . . . . . . . . . . . . . . . . 67
4.3.1 PassiveAngriffe . . . . . . . . . . . . . . . . . . . . . . . . . 67
4.3.2 AktiveAngriffe . . . . . . . . . . . . . . . . . . . . . . . . . 68
4.3.3 Zusammenhangzwischenbeobachtendem/veränderndemund
passivem/aktivemAngreifer . . . . . . . . . . . . . . . . . . . 71
4.4 InformationstheoretischeSicherheitnachSHANNON . . . . . . . . . . 72
4.4.1 InformationstheoretischeGrundlagen . . . . . . . . . . . . . . 72
4.4.2 DefinitionderinformationstheoretischenSicherheit . . . . . . 76
4.4.3 BedingungenfürinformationstheoretischeSicherheit . . . . . 79
4.4.4 Nachrichten-undSchlüsseläquivokation . . . . . . . . . . . . 86
4.4.5 Eindeutigkeitsdistanz . . . . . . . . . . . . . . . . . . . . . . 88
4.5 GrundsätzlichesüberSystememitgeringererSicherheit . . . . . . . . 90
4.6 WeitereSicherheitsbegriffe . . . . . . . . . . . . . . . . . . . . . . . 93
4.6.1 Beschränkungender„beweisbarenSicherheit“ . . . . . . . . . 93
4.6.2 SemantischeSicherheitundprobabilistischeVerschlüsselung . 94
4.6.3 SicherheitgegenaktiveAngriffe:Non-Malleability . . . . . . 96
4.7 AnforderungenansichereVerschlüsselungsoperationen . . . . . . . . 98
4.8 AnforderungenandieSicherheitkryptographischerSysteme. . . . . . 99
4.9 ÜberblicküberdiehiervorgestelltenkryptographischenSysteme . . . 101
4.10 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
4.11 Übungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
5 PraktischerBetriebkryptographischerSysteme . . . . . . . . . . . . . . 107
5.1 SchutzgegenzufälligeFehler . . . . . . . . . . . . . . . . . . . . . . 107
5.2 VerwendungmehrererkryptographischerSysteme . . . . . . . . . . . 108
5.3 BlockchiffrenundStromchiffren . . . . . . . . . . . . . . . . . . . . 111
5.4 BetriebsartenvonBlockchiffren . . . . . . . . . . . . . . . . . . . . . 113
5.4.1 Überblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
5.4.2 ElectronicCodebook(ECB) . . . . . . . . . . . . . . . . . . . 114
5.4.3 CipherBlockChaining(CBC). . . . . . . . . . . . . . . . . . 116
5.4.4 CipherFeedback(CFB) . . . . . . . . . . . . . . . . . . . . . 119
5.4.5 OutputFeedback(OFB) . . . . . . . . . . . . . . . . . . . . . 121
5.4.6 CounterMode(CTR) . . . . . . . . . . . . . . . . . . . . . . 122
5.4.7 ZusammenfassungderEigenschaftenderBetriebsartenzur
Konzelation . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
5.4.8 Cipher-BasedMessageAuthenticationCode(CMAC) . . . . . 125
5.4.9 BetriebsartenzurKonzelationundAuthentikation . . . . . . . 125
5.5 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
5.6 Übungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Inhaltsverzeichnis ix
6 AlgebraischeGrundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . 129
6.1 AlgebraischeStrukturen . . . . . . . . . . . . . . . . . . . . . . . . . 129
6.1.1 Gruppen,Ringe,Körper . . . . . . . . . . . . . . . . . . . . . 129
6.1.2 ZyklischeGruppen. . . . . . . . . . . . . . . . . . . . . . . . 135
6.2 ModulareArithmetik . . . . . . . . . . . . . . . . . . . . . . . . . . 138
6.2.1 TeilerundDivisionmitRest . . . . . . . . . . . . . . . . . . . 138
6.2.2 DerRestklassenringmodulon . . . . . . . . . . . . . . . . . 140
6.2.3 DieprimeRestklassengruppemodulon . . . . . . . . . . . . . 142
6.2.4 EffizientesPotenzierenmodulon . . . . . . . . . . . . . . . . 147
6.2.5 ChinesischerRestsatz(CRT) . . . . . . . . . . . . . . . . . . 148
6.2.6 Quadratwurzelnmodulop . . . . . . . . . . . . . . . . . . . . 151
6.2.6.1 Quadratwurzelnmodulop,pprim,p≡3(mod4). . 152
6.2.6.2 Quadratwurzelnmodulop,pprim,p≡1(mod4). . 153
6.2.7 Quadratwurzelnmodulopq . . . . . . . . . . . . . . . . . . . 155
6.3 PrimzahlenundPrimzahltests . . . . . . . . . . . . . . . . . . . . . . 160
6.3.1 Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
6.3.2 Probedivision . . . . . . . . . . . . . . . . . . . . . . . . . . 163
6.3.3 SatzvonWILSON . . . . . . . . . . . . . . . . . . . . . . . . 164
6.3.4 AKS-Primzahltest . . . . . . . . . . . . . . . . . . . . . . . . 164
6.3.5 FERMAT-Primzahltest . . . . . . . . . . . . . . . . . . . . . . 167
6.3.6 RABIN-MILLER-Primzahltest . . . . . . . . . . . . . . . . . . 169
6.3.7 WiefindetmangroßePrimzahlen? . . . . . . . . . . . . . . . 171
6.4 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
6.5 Übungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
7 SymmetrischeVerfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
7.1 AllgemeineGrundlagen . . . . . . . . . . . . . . . . . . . . . . . . . 175
7.2 InformationstheoretischsichereKryptosysteme . . . . . . . . . . . . . 177
7.2.1 Vernam-Chiffre(One-TimePad) . . . . . . . . . . . . . . . . 177
7.2.2 InformationstheoretischsichereAuthentikationskodes . . . . . 182
7.2.2.1 GenauereSicherheitsdefinition . . . . . . . . . . . . 183
7.2.2.2 Ausblick:GrenzenvonAuthentikationskodes . . . . 184
7.3 Pseudo-One-Time-Pad . . . . . . . . . . . . . . . . . . . . . . . . . . 185
7.3.1 AnforderungenanPseudozufallsbitfolgengeneratoren . . . . . 185
7.3.1.1 WasisteinPseudozufallsbitfolgengenerator(PBG)? . 185
7.3.1.2 VerwendungalsPseudo-One-Time-Pad . . . . . . . . 186
7.3.1.3 ForderungenaneinenPBG . . . . . . . . . . . . . . 187
7.3.2 Ders2-mod-n-Generator . . . . . . . . . . . . . . . . . . . . 189
7.3.2.1 Sicherheitsbetrachtung . . . . . . . . . . . . . . . . 190
7.4 DataEncryptionStandard(DES) . . . . . . . . . . . . . . . . . . . . 190
7.4.1 Grundlage:Feistel-Chiffre . . . . . . . . . . . . . . . . . . . . 190
7.4.2 KurzerÜberblickzurGeschichtedesDES . . . . . . . . . . . 192
7.4.3 BeschreibungdesAlgorithmus . . . . . . . . . . . . . . . . . 192
x Inhaltsverzeichnis
7.4.4 EigenschaftendesDES . . . . . . . . . . . . . . . . . . . . . 195
7.4.5 3-DES:MehrfachverschlüsselungzurErhöhungderSicherheit 196
7.4.6 AnalysedesDES . . . . . . . . . . . . . . . . . . . . . . . . 197
7.5 AdvancedEncryptionStandard(AES) . . . . . . . . . . . . . . . . . 198
7.5.1 KurzerÜberblickzurGeschichtedesAES . . . . . . . . . . . 198
7.5.2 BeschreibungdesAlgorithmus . . . . . . . . . . . . . . . . . 199
7.5.3 AnalysedesAES . . . . . . . . . . . . . . . . . . . . . . . . 205
7.6 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
7.7 Übungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
8 AsymmetrischeVerfahren . . . . . . . . . . . . . . . . . . . . . . . . . . 209
8.1 EinwegfunktionenundTrapdoor-Einwegfunktionen . . . . . . . . . . 209
8.2 DasRucksack-ProblemunddasMerkle-Hellman-Kryptosystem . . . . 212
8.3 SystemeaufderGrundlagedesFaktorisierungsproblems . . . . . . . . 215
8.3.1 DasFaktorisierungsproblem . . . . . . . . . . . . . . . . . . . 215
8.3.2 DasRSA-Kryptosystem . . . . . . . . . . . . . . . . . . . . . 216
8.3.2.1 MathematischeGrundlagen . . . . . . . . . . . . . . 216
8.3.2.2 PrinzipdesRSA-Kryptosystems . . . . . . . . . . . 221
8.3.2.3 NaiverundunsichererEinsatzvonRSA . . . . . . . 222
8.3.2.4 Angriffe,insbesonderemultiplikativeAngriffevon
DAVIDAundMOORE . . . . . . . . . . . . . . . . . 224
8.3.2.5 SichererEinsatzvonRSA . . . . . . . . . . . . . . . 231
8.3.2.6 EffizienteImplementierungvonRSA . . . . . . . . . 235
8.3.3 Faktorisierungsalgorithmen . . . . . . . . . . . . . . . . . . . 237
8.3.3.1 DasQuadratischeSieb. . . . . . . . . . . . . . . . . 237
8.3.3.2 AlgorithmusvonShor . . . . . . . . . . . . . . . . . 241
8.3.4 DasBlum-Goldwasser-Kryptosystem . . . . . . . . . . . . . . 242
8.4 KryptosystemeaufderGrundlagedesProblemsdesDiskreten
Logarithmus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246
8.4.1 DasProblemdesDiskretenLogarithmus . . . . . . . . . . . . 246
8.4.2 DerDiffie-Hellman-Schlüsselaustausch . . . . . . . . . . . . . 247
8.4.3 DasElGamal-Kryptosystem . . . . . . . . . . . . . . . . . . . 249
8.4.3.1 PrinzipdesElGamal-Kryptosystems . . . . . . . . . 249
8.4.3.2 AngriffeaufdasElGamal-Verfahren . . . . . . . . . 251
8.4.3.3 SichereVerwendungvondesElGamal-Verfahrens . . 252
8.4.4 VerfahrenzumLösendesProblemsdesdiskretenLogarithmus 253
8.4.4.1 POHLIG-HELLMAN-Verfahren . . . . . . . . . . . . 254
8.4.4.2 Indexkalkül-Methode . . . . . . . . . . . . . . . . . 256
8.4.5 ElliptischeKurveninderKryptographie . . . . . . . . . . . . 257
8.5 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
8.6 Übungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265
