Prof. Dr.

Dieter Hutter Einführung in die Kryptographie WiSe 23/24

Dr. Karsten Sohr
Christina Plump

Übung 2
Besprechungstermin: 13.11.2023
Vorrechentermin: 20.11.2022

Aufgabe 1: Angrisstärken
Gewisse Sicherheitsstufen erfordern bestimmte Eigenschaften der Verschlüsse-
lungsalgorithmen. Im folgenden geht es um die Sicherheitstufen CPA und CCA.
1. Viele intuitive Verschlüsselungsalgorithmen sind deterministisch, d.h. ein
Klartext m wird unter einem festen Schlüssel k zu einem eindeutigen,
festen Chirat c = enck (m) verschlüsselt. Zeige, warum ein solches Kryp-
tosystem höchstens IND-PASS sicher sein kann. Welche zwingende Bedin-
gung muss durch das Kryptosystem gegeben sein, damit es sicher gegen
IND-CPA bzw. IND-CCA Angreifer sein kann?
Hinweis: Dafür reicht es, einen Angreifer A zu denieren, für den für die
nächsthöhere Sicherheitsstufe P r[A wins] > 12 + negl(n) gilt.
2. Ein Angreifer auf Malleabilität nimmt einen Chirat c∗ und berechnet dar-
aus ein Chirat c, das die Eigenschaft hat, dass die zugehörigen Klartexte
m∗ und m in Verbindung miteinander stehen. Dabei meint in Verbindung
stehen, dass es eine nicht-triviale bijektive Funktion f gibt, die den einen
Klartext in den anderen umwandelt. Ein Verschlüsselungssystem heiÿt nun
malleabel, wenn es einen solchen Angri überhaupt erst möglich macht.
Zeige nun, dass ein malleables Verschlüsselungssystem nicht OW-CCA si-
cher ist und damit auch nicht IND-CCA.

Aufgabe 2: Das Brute-Force Paradoxon

Ihr habt gelernt, dass perfekt sichere Chiren selbst von allmächtigen (also mit
unendlicher Rechenkraft) Angreifern nicht gebrochen werden können. Gleichzei-
tig können mithilfe eines Brute-Force Angris alle Schlüssel überprüft werden
und ein allmächtiger Angreifer ist jederzeit in der Lage einen Brute-Force An-
gri durchzuführen. Wie ist dieses Paradoxon aufzulösen?
Hinweis: Weil der Angreifer alles lösen kann oder weil die Chire perfekt sicher
ist, ist keine Lösung. Das Paradoxon muss wirklich aufgelöst werden.
Aufgabe 3: Verschlüsselung mit Stromchiren
Nehmt ein 5-bit LFSR an mit einem Polynom C(X) = X 5 + X 3 + X 1 + 1 und
der Initialisierungsvektor ist s = (s4 , s3 , s2 , s1 , s0 ) = (1, 0, 1, 0, 1). Berechnet die
ersten 15 Bits für den Schlüsselstrom. Gebt jeweils auch den internen Status des
Registers an.

1
Aufgabe 4: Stromchiren und entsprechende Angrie
Wir führen eine Known-Plaintext Attacke gegen eine Stromchire durch, die
auf LFSRs basiert. Wir wissen, dass der Klartext wie folgt ausgesehen hat:
1001 0010 0110 1101 1001 0010 0110
Auf dem Kommunikationskanal haben wir die folgende Bitfolge abgehört:
1011 1100 0011 0001 0010 1011 0001

1. Was ist der Grad m des Generators der Stromchirierung?

2. Was ist der Initialisierungsvektor?
3. Bestimme die Rückkopplungskoezienten des LFSRs.
4. Zeichne den Schaltkreis des LFSRs und überprüfe die Ausgangssequenz
des LFSRs.

Aufgabe 5: Pseudo-random Function und LFSRs

Ihr habt in der Vorlesung gelernt, dass die Sicherheit von Stream Ciphern auf
der PRF-Eigenschaft ihres Schlüsselstroms beruht. Sind die von LFSRs gene-
rierten Funktionen Pseudo-random Functions? Oder ndet Ihr einen ezienten
Angreifer, der das PRF-Spiel gewinnen kann? Wie viele Orakelaufrufe benötigt
dieser?
Aufgabe 6: Periodizität von connection polynomials
In der Vorlesung habt ihr das Konzept der Periodizität von Outputstreams ken-
nengelernt und den Zusammenhang mit den connection polynomials. Bestimmt
für die folgenden Polynome, ob das zugehörige 3-bit LFSR periodisch ist und
wenn ja, welche Länge die Periode hat. Begründet eure Antwort entweder formal
oder indem ihr die Perioden aufzeichnet.
1. C(X) = 1 + X 2 + X 3
2. C(X) = 1 + X + X 2 + X 3
3. C(X) = 1 + X + X 3

Viel Erfolg!