Bitblock-Verschl usselungKlausPommereningFachbereichMathematikderJohannes-Gutenberg-UniversitatSaarstrae21D-55099Mainz7.April1997,letzteRevision6.Juli2008F ur den Einsatz auf Computern braucht man Chirier-Algorithmen, dieaufBitblockenoperieren,schnellinderAnwendungunddamitauchf urgroe DatenmengenundhoheUbertragungsgeschwindigkeitengeeignet sindunddiederKryptoanalyseoptimalenWiderstandleisten. IndiesemKapitel werden daher behandelt:Konstruktionsprinzipien f ur Bitblock-Chiren Produkt-Chiren, SP-Netze,Feistel-Netze, Nichtlinearitat,exemplarische Chiren von besonderer Bedeutung Lucifer, DES, AES,die wichtigsten kryptoanalytischen Ansatze algebraische, lineare und dierenzielle Kryptoanalyse.Einmathematischer Anhangbetrit das Erkennen, MessenundVer-hindern von Linearitat: Verschl usselungsfunktionen sollenmoglichst weniglinearsein. Aber was heit das konkret?11 KompositionvonChirenEinerstes Konstruktionsprinzipf ur starke Chiren, das auchinderklassischenKryptographie oft angewendet wurde, ist die Nacheinander-Ausf uhrungvonChirierschritten. Solche Verkn upfungenkonnenzube-achtlicher Verstarkung der Sicherheit f uhren; selbstverstandlich ist das abernicht und es stimmt auch nicht immer. In diesem Abschnitt werden einigegrundlegendeUberlegungen dazu vorgestellt.Dabei wird unter einerMehrfach-ChiredieNacheinanderausf uhrungdesgleichenVerfahrens,aber mit verschiedenen Schl usseln,Kaskadedie Nacheinanderausf uhrung verschiedener Verfahren (auch Pro-duktchire genannt)verstanden.21.1 Mehrfach-ChirenundGruppenstrukturMehrfach-ChirenSeiF= (fk)kKeine Chire uber dem Alphabet , alsofk: die zugehorige Verschl usselungsfunktion f ur jeden Schl usselk K. Die ge-samte Menge von Verschl usselungsfunktionen wird mitF= fk[ k K Abb(, )bezeichnet.Der Schl usselraum wird wesentlich vergroert, namlich von K zu KK,durch die Bildung der Zweifach-ChireF(2)= (fh fk)h,kKNat urlich kann man ebenso die Dreifach-Chire F(3), . . ., die n-fach-ChireF(n)bilden. Sinnvoll ist das alles nur, wenn(A)Fkeine Halbgruppe ist.Ist namlichFeine Halbgruppe, so gibt es zu zwei Schl usselnh, k KstetseinenweiterenSchl ussel x Kmitfh fk=fx.DurchKompositionent-stehen also keine neuen Verschl usselungsfunktionen, sie ist eineillusorischeKomplikation.Noch besser ist, wenn(B)Feine moglichst groe Unter-Halbgruppe von Abb(, ) erzeugt.Und das beste, was man hier erreichen kann, ist:(C) Die AbbildungK K F(2) Abb(, ) ist injektiv;das kann man f ur einen endlichen Schl usselraumKauch so ausdr ucken:(C) #F(2)= #fh fk[ h, k K = (#K)2.DieGruppen-EigenschaftvonBlockchirenEineBlockchireistdurchdieWirkungaufeinemr(f ureinengege-benen Exponentenr) eindeutig festgelegt. (Um die Details der Fortsetzungauf Zeichenketten beliebiger Lange und des Au ullens oderPaddingvonzu kurzen Ketten auf Blocklange k ummern wir uns im Moment nicht.)EineBlockchireheitlangentreu, wennsierinsichabbildet. Ins-besondereistdannFauf nat urlicheWeiseTeilmengedersymmetrischenGruppeo(r), also endlich, und man kann den Schl usselraumKoh-neEinschrankungalsendlichannehmen. F ur solcheBlockchirenist dieHalbgruppen-Eigenschaft(alsodieNegationvon(A)oben)zurGruppen-Eigenschaft aquivalent. Das folgt aus dem bekannten einfachen:3Hilfssatz1Sei GeineendlicheGruppe, H GeineUnter-Halbgruppe,d. h.,H ,= undHH H. Dann istHGruppe, insbesondere 1 H.Beweis. Jedes g GhatendlicheOrdnung, gm=1. Istnung H, so1 = gm Hundg1= gm1 H.QDaher ist bewiesen:Satz1SeiFeine langentreue Blockchire uber einem endlichen Alphabet.Dann sind folgende Aussagen aquivalent:(i) Zu je zwei Schl usselnh, k Kgibt esx Kmitfh fk = fx.(ii) Die MengeFder Verschl usselungsfunktionen ist eine Gruppe.AnmerkungDie Wahrscheinlichkeit, dass zwei zufallige Elemente der symmetrischenGruppe onbereitsdieganzeGruppe onoderwenigstensdiealternierendeGruppe /n erzeugen, ist> 1 2(ln ln n)2f ur groen.F ur n = 264, einen typischen Wert bei Blockchiren, ist diese untere Schran-ke 0.86. Eine nicht ganz ungeschickt gewahlte Blockchire wird also sehrwahrscheinlich die volle oder wenigstens halbe Permutationsgruppe auf denBlockenerzeugen. TrotzdemistderkonkreteNachweisdavonoftschwer.Jedenfallskannmandavonausgehen, dasseineMehrfach-ChireinderRegelstarker als die Einfach-Chire ist.Quelle: JohnDixon, Theprobabilityof generatingthesymmetricgroup.Mathematische Zeitschrift 110 (1969), 199205.41.2 Beispielef urMehrfach-ChirenBeispielef urGruppenJeweils eine Gruppe bilden die folgenden langentreuen Blockchiren:die Verschiebechiren uber bez uglich einer Gruppenstruktur auf ,die monoalphabetischen Substitutionen uber ,dieBelaso-Chiren fester Periode,die Block-Transpositionen fester Lange.DESDES ist eine Blockchire auf F642mit Schl usselraum F562. Campbell undWienerhabengezeigt(Crypto92),dassDESdiealternierendeGruppeder Ordnung 264erzeugt.HistorischeBeispieleDie Komposition einer polyalphabetischen Chire der Periode l mit einerder Periode q hat die Periode kgV(l, q). Anwendung: Schl usselerzeugerma-schinen, wie sie in Kapitel I am Ende des Abschnitts uber Chirierzylinder(I.4.8) kurz erwahnt wurden.Weiteres historisches Beispiel: Die doppelte Spaltentransposition, die we-sentlich schwerer zu brechen ist, als die einfache.KompositionvonBelaso-ChirenDie Komposition zweier Belaso-Chiren der Perioden l und q hat zwardiePeriodekgV(l, q), alsoimwesentlichendasProduktlq, dieSicherheitentsprichtaberhochstensderSummel + q, wennmaneinenAngrimitbekanntem Klartext ber ucksichtigt:AuseinembekanntenKlartextderLangel + qgewinntmanl + qli-neare Gleichungen f ur die ebensovielen Unbekannten, aus denen die beidenSchl usselinsgesamtbestehen.Seidazuo.B.d.A. l