Kryptografie und Datensicherheit I Prof. Dr.-Ing.

Christof Paar

Klausur I
18. Februar 2008

Name: Matrikelnr.:

Aufgabe 1 2 3 4 5 6 Übung Summe

Punkte

1. Grundlagen (10 Pkt.)

Hinweis: Jede Antwort sollte aus max. zwei Sätzen bestehen.

(a) Welches ist die größte Schwachstelle des DES-Verschlüsselungsverfahrens in Bezug auf
heutige Rechnersysteme?
(b) Wodurch zeichnet sich der Standardisierungsprozess des AES im Vergleich zum dem des
DES aus? Von wem wurde der DES und der AES jeweils entwickelt?
(c) Was geschieht, wenn bei einer Datenübertragung von Daten, die mit einer Blockchiffre im
Countermodus verschlüsselt werden, ein Chiffratblock yi im Netzwerk verloren geht?
(d) Warum bietet nicht einmal der AES Algorithmus mit 256 Bit Schlüssellänge die absolut
perfekte Sicherheit, die der One-Time-Pad erreicht?
(e) Wie lang kann die maximale Periode bei einem LFSR mit dem Grad m = 19 werden?

1
2. Affine Chiffre als Schlüsselstromgenerator (15 Pkt.)
Eine affine Chiffre wird als Schlüsselstromgenerator einer 7-Bit Stromchiffre eingesetzt (s.
Blockschaltbild). Um einen Schlüsselstrom mit vollen 7-Bit zu generieren, verwendet die affine
Chiffre dazu den Modulus m = 128.

yi-1

7
7

k encaffin

xi 7 7
yi

(a) Welcher Betriebsmodus von Blockchiffren entspricht der dargestellten Chiffre? Was fehlt
noch in dem Blockschaltbild, damit die Verschlüsselung für alle Blöcke funktioniert?
Hinweis: Prüfen Sie die Verschlüsselung für den ersten Klartextblock x1 !
(b) Stellen Sie die Verschlüsselungs- und Entschlüsselungsgleichung auf! Berücksichtigen
Sie dabei die notwendigen Parameter der affinen Chiffre!
(c) Aus welchen Komponenten besteht der Schlüssel k? Bestimmen Sie die Größe des Schlüs-
selraums dieser Chiffre!
(d) Gegeben ist das Chiffrat Y = (y0 , . . . , y5 ) = (0x0D, 0x59, 0x68, 0x06, 0x48, 0x4B) in
hexadezimaler Schreibweise, zu denen zwei Klartextzeichen x2 = ′ I′ und x3 = ′ L′ be-
kannt sind. Bestimmen Sie den Schlüssel k der Chiffre und entschlüsseln Sie die ganze
Nachricht X = (x1 , . . . , x5 ).
Hinweis: Verwenden Sie dazu die angehängte ASCII-Tabelle im Anhang der Klausur. Be-
denken Sie auch, dass Sie aus den gegebenen 6 Blöcken (y0 , . . . , y5 ) der verschlüsselten
Nachricht nur 5 Klartextzeichen (x1 , . . . , x5 ) berechnen müssen!

2
3. Lineare Kongruenzgeneratoren (10 Pkt.)
Gegeben sei ein Linearer Kongruenzgenerator (LCG) mit drei Rückkopplungskoeffizienten und
einem festen Modulus m = 317:

LCG : xi = axi−1 + bxi−2 + cxi−3 + d mod m

(a) Bestimmen Sie eine obere Schranke für die maximale Periode des LCG. Wie viele mögli-
chen Ausgabewerte kann ein beliebiges xi theoretisch annehmen?
(b) Wie viele Gleichungen und xi Werte werden benötigt, um alle Rückkopplungskoeffizien-
ten a, b, c, d bestimmen zu können?
(c) Bekannt ist die Ausgabesequenz (x5 , x6 , x7 ) = (38, 277, 6), die von einem LCG mit den
Parametern a = 45, b = 157, c = 2, d = 1 erzeugt wurde. Bestimmen Sie die Ausgabe-
werte x9 und x10 von diesem LCG!

3
4. Die AES-MixColumn Operation (15 Pkt.)
Gegeben ist AES-Zustand B nach der ShiftRows Operation. Die MixColumn-Operation wurde
bereits zum größten Teil berechnet, allerdings fehlt noch ein Eintrag in der Zustandsmatrix.
 
E5 34 62 01
 E4 68 8A F 3 
Shif tRows(A) =   59 84 59 B5  = B


EB 47 24 C4
 
54 13 3C 7D
 36 34 A2 F C 
M ixColumn(B) =   95 86 XX D4 


44 3E 3D D6

Bestimmen Sie den fehlenden Eintrag XX nach der MixColumns Operation und zeigen Sie da-
bei jeden notwendigen Berechnungsschritt!

Hinweis: Als irreduzibles Reduktionpolynom für modulare Multiplikationen in GF (28 ) wurde

im AES das Polyonom P (x) = x8 + x4 + x3 + x + 1 spezifiziert.
Außerdem benötigen Sie zum Lösen dieser Aufgabe die MixColumn Matrix M gegeben durch
 
02 03 01 01
 01 02 03 01 
M =  01 01 02 03  .


03 01 01 02

4
5. Höhere Sicherheit für Verschlüsselungsysteme (20 Pkt.)
Existierende Blockchiffren kann man auf verschiedenen Wegen sicherer machen. In dieser Auf-
gabe werden verschiedene technische Möglichkeiten vorgeschlagen, Verschlüsselungen zu ver-
stärken. Ihre Aufgabe ist es, zu jedem Vorschlag zu untersuchen,

(a) wie ein Angreifer dieses System möglichst effizient attackieren kann (d.h. beschreiben Sie
die bestmögliche Attacke so kurz und genau wie möglich),
(b) wie groß die effektive Schlüssellänge ist, d.h. wie viele Schritte und Möglichkeiten ein
Angreifer durchführen muss, um den Schlüssel eindeutig bestimmen zu können,
(c) ob dieses System in der Praxis tatsächlich wesentlich mehr Sicherheit bietet, als eine ein-
fache Verschlüsselung.

Nehmen Sie jeweils an, dass Sie zwei Klartext-Chiffretext-Paare (x1 , y1 ) und (x2 , y2 ) kennen,
sowie den einfachen DES mit einer Brute-Force Attacke brechen können. Die folgenden Syste-
me sind gegeben:

64 64 64
1) xi DES DES yi

k1 k2

64 64 64 64
2) xi DES yi

k1 k2 k3

64 64 64 64
3) xi DES DES DES yi

k1 k2 k1

64 64 64 64
4) xi yi

k1 k2 k1

5
6. RSA Verfahren (20 Pkt.)
Ihre Aufgabe ist es, ein RSA-Schlüsselpaar bestehend aus dem öffentlichen Teil Kpub = (n, e)
sowie dem privaten Teil Kpriv = (p, q, d) zu erzeugen und anschließend eine Verschlüsselung
durchzuführen. Gegeben sei Ihnen ein 8-Bit Zufallszahlengenerator, der Ihnen die folgende
Sequenz an Zahlen zu Verfügung stellt:

P = (44, 128, 225, 18, 55, 174, 123, 79, 110, 8, 37, 153)

(a) Identifizieren Sie in der Sequenz diejenigen Zahlen, die für die Generierung eines 16-Bit
RSA-Schlüsselpaares in Frage kommen. Begründen Sie Ihre Wahl!
(b) Erzeugen Sie mit Hilfe Ihrer ausgewählten Zufallszahlen die notwendigen RSA-Parameter
für Kpub und Kpriv . Nehmen Sie dabei an, dass der feste öffentliche Parameter e = 17
verwendet werden soll.
(c) Verschlüsseln Sie mit Ihrem RSA-System die Nachricht x = 11 unter Verwendung des
Square-and-Multiply Algorithmus.

6
Dec Hex Char Dec Hex Char Dec Hex Char Dec Hex Char
00 00 NUL 32 20 SP 64 40 @ 96 60 ‘
01 01 SOH 33 21 ! 65 41 A 97 61 a
02 02 STX 34 22 " 66 42 B 98 62 b
03 03 ETX 35 23 # 67 43 C 99 63 c
04 04 EOT 36 24 $ 68 44 D 100 64 d
05 05 ENQ 37 25 % 69 45 E 101 65 e
06 06 ACK 38 26 & 70 46 F 102 66 f
07 07 BEL 39 27 ’ 71 47 G 103 67 g
08 08 BS 40 28 ( 72 48 H 104 68 h
09 09 HT 41 29 ) 73 49 I 105 69 i
10 0A LF 42 2A * 74 4A J 106 6A j
11 0B VT 43 2B + 75 4B K 107 6B k
12 0C FF 44 2C , 76 4C L 108 6C l
13 0D CR 45 2D - 77 4D M 109 6D m
14 0E SO 46 2E . 78 4E N 110 6E n
15 0F SI 47 2F / 79 4F O 111 6F o
16 10 DLE 48 30 0 80 50 P 112 70 p
17 11 DC1 49 31 1 81 51 Q 113 71 q
18 12 DC2 50 32 2 82 52 R 114 72 r
19 13 DC3 51 33 3 83 53 S 115 73 s
20 14 DC4 52 34 4 84 54 T 116 74 t
21 15 NAK 53 35 5 85 55 U 117 75 u
22 16 SYN 54 36 6 86 56 V 118 76 v
23 17 ETB 55 37 7 87 57 W 119 77 w
24 18 CAN 56 38 8 88 58 X 120 78 x
25 19 EM 57 39 9 89 59 Y 121 79 y
26 1A SUB 58 3A : 90 5A Z 122 7A z
27 1B ESC 59 3B ; 91 5B [ 123 7B {
28 1C FS 60 3C < 92 5C \ 124 7C |
29 1D GS 61 3D = 93 5D ] 125 7D }
30 1E RS 62 3E > 94 5E ^ 126 7E ~
31 1F US 63 3F ? 95 5F _ 127 7F DEL

Abbildung 1: 7-Bit ASCII-Tabelle

7
Nebenberechnungen:

8
Nebenberechnungen: