Kryptografie und Datensicherheit I Prof. Dr.-Ing.

Christof Paar

Musterlösung Klausur I
Klausur WS 2007/2008, 18. Februar 2008

1. Grundlagen

(a) Obwohl der DES als technisch sicheres System ausgelegt wurde, ist der Schlüsselraum mit
56 Bit zu klein, so dass ein DES-Schlüssel zu einem bekannten Klartext-Chiffretextpaar
mit heutigen Rechnersystemen durch systematisches Durchprobieren (brute force) in rea-
listischer Zeit (1 Woche) ermittelt werden kann.
(b) Der DES wurde auf Basis einer IBM-Chiffre („Lucifer“) im stillen Kämmerlein der NSA
entwickelt. Dahingegen steht der öffentliche AES-Standardisierungsprozess des National
Institute for Standards and Technology (NIST), der unter aktiver Teilnahme der Industrie
und Universitäten durchgeführt wurde.
(c) Ein verlorenes Netzwerkpaket verursacht die Desynchronisierung der Counter auf Sender-
und Empfängerseite. Dadurch werden alle nachfolgenden Pakete falsch entschlüsselt.
(d) One-Time Pad bietet perfekte Sicherheit, weil bei unbekanntem Schlüssel aus einem Chif-
frat jeder beliebige Klartext gleicher Länge gewonnen werden kann und man gar keinen
Rückschluss auf den verwendeten Schlüssel ziehen kann. Dies gilt allerdings nicht für
den AES-256, da zwischen mehreren mit dem selben Schlüssel verschlüsselten 128-Bit
Chiffratblöcken immer eindeutige Beziehungen bestehen, die für eine Attacke auf den
Schlüssel ausgenutzt werden können.
(e) Die maximale Periode eines LFSR des Grades m = 19 ist 219 − 1 = 524287.

2. Affine Chiffre als Schlüsselstromgenerator

(a) Die Blockchiffre wird im CFB-Modus betrieben, der auch als Stromchiffre aufgefasst
werden kann. Jedoch wurde im Blockschaltbild der Initialisierungvektor IV für die Ver-
schlüsselung des ersten Blocks x1 nicht korrekt berücksichtigt.
(b) Verschlüsselung: yi = xi ⊕ (a · yi−1 + b mod m)
Entschlüsselung: xi = yi ⊕ (a · yi−1 + b mod m)
(c) Der Schlüssel besteht aus den Komponenten k = (a, b). Der Schlüsselraum einer affinen
Chiffre ist φ(m) · m = 64 · 128 = 8192. In diesem besonderen Fall kann aber auch der
Schlüsselraum m2 = 16384 angenommen werden, da die Entschlüsselung (und damit die
Notwendigkeit einer multiplikativen Inverse für a) nicht benötigt wird.
(d) Der Klartext zum verschlüsselten Chiffrat lautet TILT!. Hier muss zum Berechnen zuerst
zwei Zeichen des Schlüsselstroms mit Hilfe der Gleichung zi = xi ⊕ yi bestimmt werden.
Die ersten drei zi sind z1 = 13, z2 = 33, z3 = 74. Daraus können dann die beiden un-
bekannten Schlüsselteile a, b durch Aufstellen und Lösen eines Gleichungssystems gelöst
werden: a = 71, b = 114.

3. Lineare Kongruenzgeneratoren (15 Pkt.)

(a) Die maximale Periode dieses LCGs ergibt sich aus den drei Rückkopplungsfaktoren:
m3 = 3173 = 31855013. Trotzdem stehen für das xi nur 317 verschieden Zustände zu
Verfügung.

1
 (b) Auf Grund der vier unbekannten Variablen, ist ein Gleichungssystem mit n = 4 Gleichun-
gen notwendig. Darüber hinaus ist eine Sequenz von insgesamt 2n − 1 = 7 Zuständen
erforderlich, um dieses Gleichungssystem eindeutig lösen zu können.
(c) Die zu ermittelnden Zustände sind x9 = 158 und x10 = 14. Hierfür muss allerdings zuerst
noch der Zwischenzustand x8 = 90 bestimmt werden.
4. Die AES-MixColumn Operation
Um den fehlenden Eintrag zu bestimmen, muss die Matrix M mit der dritten Spalte von B
multipliziert werden:
    
02 03 01 01 62 3C
 01 02 03 01 
  8A  =  A2 
   

 01 01 02 03   59   XX 
03 01 01 02 24 3D

Zur Berechnung der Matrix-Vektormultiplikation des dritten Eintrags:

01 × 0x62 ⊕ 01 × 0x8A ⊕ 02 × 0x59 ⊕ 03 × 0x24
Mit Hilfe der Gleichungen für die MixColumn Operation (s. Übung) ergeben sich für die Werte,
die nicht die Identität sind:
02 × 0x59 = 0xB2
03 × 0x24 = 0x6C

Somit kann man den fehlenden Wert der MixColumn Matrix durch XOR bestimmen:
0x62 ⊕ 0x8A ⊕ 0xB2 ⊕ 0x6C = 0x36
Die vollständige MixColumn-Matrix lautet somit:
 
54 13 3C 7D
 36 34 A2 F C 
M ixColumn(B) =   95

86 36 D4 
44 3E 3D D6

5. Höhere Sicherheit für Verschlüsselungssysteme

System 1 : (a) Beim Doppel-DES kann man effektiv die Meet-in-the-Middle Attacke anwen-
den. Hierbei handelt es sich um ein Berechnungsverfahren mit einem Klartext-Chiffretextpaar,
bei dem zuerst eine Tabelle aufgebaut, in der alle möglichen DES-Ausgabewerte zum
gegebenen Klartext unter Verwendung aller Schlüsselmöglichkeiten gespeichert werden
(linksseitige Bestimmung des Chiffrats). Diese Tabelleneinträge werden dann mit gegen
mögliche Ausgaben der rechten Seite verglichen, die das gegebene Chiffrat für alle mög-
lichen Schlüssel entschlüsselt. (b) Angriffskomplexität der Meet-in-the-Middle Attacke:
257 Berechnungsschritte und 256 Speichereinträge. (c) Nein, bietet nur etwa die Sicherheit
im Sinne von doppelt so vielen Berechnungsschritten.

2
 System 2 : (a) Wie beim System 4 können die beiden abschließenden XOR-Elemente zusam-
mengefasst werden. Anschließend haben wir die Situation eines einseitige Key-Whitening,
welches kaum zusätzliche Sicherheit bietet und mit Hilfe von zwei Klartext-Ciphertext-
Paaren effektiv angegriffen werden kann (s. Übüng). (b) Angriffskomplexität von einsei-
tigem Key-Whitening: 257 (DES) Berechnungsschritte. (c) Nein, ist genauso aufwändig
wie 2DES und bietet nur unwesentlich mehr Sicherheit als DES.

System 3 : (a) Hierbei handelt es sich um den 3DES, welcher auch gegen die Meet-in-the-
Middle Attacke sicher ist, die hier als mächtigster Angriff gilt. (b) 3DES mit Meet-in-
the-Middle: 2112 (2DES) +256 (DES) Berechnungsschritte. (c) Ja, dieses Verfahren bietet
wesentlich mehr Sicherheit durch eine effektive Schlüssellänge von 112 Bit.

System 4 : (a) XOR-Verbindungen sind distributiv, d.h. die Berechnung von y = x⊕k1 ⊕k2 ⊕k1
kann zu y = x ⊕ k2 gekürzt werden. Daher muss man lediglich einen Schlüssel k2 mit
64 Bit per brute-force angreifen. (b) Einfaches XOR: 264 Schlüsselraum, bei bekanntem
Klartext-Chiffretext ist aber nur ein Berechnungsschritt notwendig k2 = x ⊕ y. (c) Nein,
dieses Verfahren bietet gegen Known-Plaintext Angriffe gar keine Sicherheit.

6. RSA Verfahren

(a) Für das RSA-Verfahren müssen Parameter p, q gewählt werden, die unbedingt prim sein
müssen, um den Modulus n = pq zu bilden. Die einzig möglichen Primzahlen aus der
Sequenz P sind p = 79 und q = 37.
(b) Aus der Wahl von p, q ergibt sich n = pq = 2923 und damit der öffentliche Schlüssel
Kpub = (2923, 17). Zum Bestimmen des privaten Schlüsselparameters d muss die Inverse
bestimmt werden:

d ≡ e−1 mod φ(n) ⇒ d ≡ 1817 mod 2808

Daraus ergibt sich der private Schlüsselteil kpriv = (79, 37, 1817).
(c) Verschlüsselt man die Nachricht x = 11 mit den gegebenen Parametern ergibt sich fol-
gendes:

y = xd mod n
= 1117 mod 2923
= 11(10001)|2 = (((112 )2 )2 )2 · 11 mod 2923
≡ 2099 mod 2923