Universität Potsdam – Institut für Informatik Seminar Kryptographie und Datensicherheit
Datensicherheit und Shannons Theorie Marco Michael 2. November 2006
1 / 31
Inhalt Sicherheit?
Sicherheit?
Wahrscheinlichkeitstheorie Perfekte Sicherheit Entropie
Wahrscheinlichkeitstheorie Perfekte Sicherheit
Gute Schlüssel Literatur
Entropie Gute Schlüssel Literatur
Kryptographie und Datensicherheit – §2 Datensicherheit und Shannons Theorie
2 / 31
Sicherheit?
• Definitionsansätze Wahrscheinlichkeitstheorie Perfekte Sicherheit Entropie Gute Schlüssel Literatur
Sicherheit?
Kryptographie und Datensicherheit – §2 Datensicherheit und Shannons Theorie
3 / 31
Definitionsansätze für Sicherheit von Kryptosystemen Sicherheit?
• Definitionsansätze Wahrscheinlichkeitstheorie
Kryptosysteme haben . . .
• rechenbetonte Sicherheit (computational security )
Perfekte Sicherheit Entropie Gute Schlüssel Literatur
◦ Mindestens N Rechenoperationen notwendig (N sehr groß) ◦ Kann nur auf spezifische Attacken gezeigt werden • beweisbare Sicherheit (provable security ) ◦ Reduzierung auf gut untersuchtes schweres Problem ◦ Kein direkter Beweis für Sicherheit, da nur relativ zu einem anderen Problem • unbedingte Sicherheit (unconditional security ) ◦ Keine Bedingung an Rechenoperationen ◦ Selbst mit unbegrenzter Rechenkapazität nicht zu knacken Untersuchung von Kryptosystemen auf unbedingte Sicherheit → Wahrscheinlichkeitstheorie
Kryptographie und Datensicherheit – §2 Datensicherheit und Shannons Theorie
4 / 31
Sicherheit? Wahrscheinlichkeitstheorie
• Einführung • Satz von Bayes Perfekte Sicherheit Entropie Gute Schlüssel Literatur
Wahrscheinlichkeitstheorie
Kryptographie und Datensicherheit – §2 Datensicherheit und Shannons Theorie
5 / 31
Einführung Sicherheit? Wahrscheinlichkeitstheorie
• Einführung • Satz von Bayes Perfekte Sicherheit Entropie Gute Schlüssel Literatur
Definition 1: Eine diskrete Zufallsgröße X besteht aus einer endlichen Menge X und einer auf X definierten Wahrscheinlichkeitsvertei- lung. Die Wahrscheinlichkeit, dass die Zufallsgröße X den Wert x annimmt wird mit Pr[X = x] bezeichnet (kurz Pr[x], falls X fest). Weiterhin P muss gelten 0 ≤ Pr[x], ∀x ∈ X , und x∈X Pr[x] = 1. Definition 2: Sei X eine Zufallsgröße definiert auf X . Dann heißt E ⊆ X Ereignis. Die Wahrscheinlichkeit, dass X einen Wert aus E annimmt, P berechnet sich durch x∈E Pr[x].
Definition 3: Seien X und Y Zufallsgrößen auf den Mengen X bzw. Y . Die Verbundwahrscheinlichkeit Pr[x, y] (oder Pr[x ∩ y]) ist die Wahrscheinlichkeit, dass X den Wert x annimmt und Y den Wert y . Die bedingte Wahrscheinlichkeit Pr[x|y] bezeichnet die Wahrscheinlichkeit, dass X den Wert x annimmt unter der Vorraussetzung, dass Y den Wert y hat. Die Zufallsgrößen X und Y heißen unabhängig, falls Pr[x, y] = Pr[x]Pr[y] für alle x ∈ X, y ∈ Y .
Kryptographie und Datensicherheit – §2 Datensicherheit und Shannons Theorie
6 / 31
Beispiel – Wurf mit 2 Würfeln Sicherheit?
Zufallsgröße Z definiert auf Z = {1, 2, 3, 4, 5, 6} × {1, 2, 3, 4, 5, 6}
Wahrscheinlichkeitstheorie
• Einführung • Satz von Bayes Perfekte Sicherheit
֒→ Pr[(i, j)] =
1 36
für alle (i, j) ∈ Z
Betrachte Ereignis „Summe der Augenzahlen ist 4“
Entropie Gute Schlüssel
֒→ S4 = {(1, 3), (2, 2), (3, 1)} dann ist Pr[S4 ] =
3 36
=
1 12
Literatur
i Pr[Si ]
S2,12
S3,11
S4,10
S5,9
S6,8
S7
1 36
1 18
1 12
1 9
5 36
1 6
Tabelle 1: Verteilung der Summen
Neue Zufallsgröße Y für Pasch oder Kein Pasch
֒→ Pr[P ] =
1 6
und Pr[K] = 65
1 ֒→ Pr[P, 4] = Pr[4, P ] = 36
֒→ Pr[P |4] = 31 und Pr[4|P ] = 61
Kryptographie und Datensicherheit – §2 Datensicherheit und Shannons Theorie
7 / 31
Satz von Bayes Sicherheit? Wahrscheinlichkeitstheorie
• Einführung • Satz von Bayes
• Frage: Zusammenhang zwischen Verbund- und bedingter Wahrscheinlichkeit? • Antwort: Ja:
Perfekte Sicherheit Entropie
Pr[x, y] = Pr[x|y]Pr[y] bzw. Pr[x, y] = Pr[y|x]Pr[x]
Gute Schlüssel Literatur
• Durch Umformung der Gleichungen erhält man Satz von Bayes: Falls Pr[y] > 0, dann
Pr[x]Pr[y|x] . Pr[x|y] = Pr[y]
Kryptographie und Datensicherheit – §2 Datensicherheit und Shannons Theorie
8 / 31
Sicherheit? Wahrscheinlichkeitstheorie Perfekte Sicherheit
• Annahmen • Beispiel • Definition • Beispielsysteme Entropie Gute Schlüssel Literatur
Perfekte Sicherheit
Kryptographie und Datensicherheit – §2 Datensicherheit und Shannons Theorie
9 / 31
Annahmen Sicherheit? Wahrscheinlichkeitstheorie Perfekte Sicherheit
• Annahmen • Beispiel • Definition • Beispielsysteme Entropie Gute Schlüssel Literatur
• Kryptosystem (P, C, K, E, D), gewählter Schlüssel K ∈ K nur für eine Verschlüsselung • Wahrscheinlichkeitsverteilung auf P mit Zufallsgröße x, a-priori-Wahrscheinlichkeit dass Klartext x auftritt Pr[x = x] • Schlüssel K nach fester Wahrscheinlichkeit ausgewählt, also Zufallsgröße K und Wahrscheinlichkeit, dass Schlüssel K ausgewählt wurde
Pr[K = K] • x und K unabhängige Zufallsgrößen • Zufallsgröße y auf C mit Pr[y = y]: ◦ Menge möglicher Chiffretexte, wenn K Schlüssel:
C(K) = {eK (x)|x ∈ P} ◦ Für alle y ∈ C gilt
Pr[y = y] =
X
Pr[K = K]Pr[x = dK (y)]
{K|y∈C(K)}
Kryptographie und Datensicherheit – §2 Datensicherheit und Shannons Theorie
10 / 31
Annahmen Sicherheit? Wahrscheinlichkeitstheorie Perfekte Sicherheit
• Annahmen • Beispiel • Definition • Beispielsysteme Entropie
Es lassen sich nun folgende bedingte Wahrscheinlichkeiten für jedes y ∈ C und x ∈ P berechnen:
• Pr[y = y|x = x]:
X
Pr[y = y|x = x] =
Pr[K = K]
{K|x=dK (y)}
Gute Schlüssel Literatur
• Pr[x = x|y = y] (mittels Satz von Bayes):
Pr[x = x] × Pr[y = y|x = x] Pr[x = x|y = y] = Pr[y = y] . . . oder ausführlicher . . .
Pr[x = x] ×
P
Pr[K = K]
{K|x=dK (y)}
Pr[x = x|y = y] =
P
Pr[K = K]Pr[x = dK (y)]
{K|y∈C(K)}
Kryptographie und Datensicherheit – §2 Datensicherheit und Shannons Theorie
11 / 31
Beispiel Sicherheit? Wahrscheinlichkeitstheorie Perfekte Sicherheit
• Annahmen • Beispiel • Definition • Beispielsysteme
P = {a, b} mit Pr[a] = 41 , Pr[b] =
3 4
K = {K1 , K2 , K3 } mit Pr[K1 ] = 12 , Pr[K2 ] = Pr[K3 ] = C = {1, 2, 3, 4} und die eKi gegeben durch die Matrix
Entropie Gute Schlüssel Literatur
K1 K2 K3
1 4 a
b
1 2 3
2 3 4
Die
Wahrscheinlichkeitsverteilung auf C ist daher: Pr[1] =
1 8
Pr[3] =
3 16
+
1 16
=
1 4
Pr[2] =
3 8
Pr[4] =
3 16
+
1 16
=
7 16
. . . nun lässt sich Pr[x = x|y = y] bestimmen Pr[a|1] = 1
Pr[b|1] = 0
Pr[a|2] =
1 7
Pr[b|2] =
6 7
Pr[a|3] =
1 4
Pr[b|3] =
3 4
Pr[a|4] = 0
Kryptographie und Datensicherheit – §2 Datensicherheit und Shannons Theorie
Pr[b|4] = 1
12 / 31
Definition Sicherheit? Wahrscheinlichkeitstheorie Perfekte Sicherheit
• Annahmen • Beispiel • Definition • Beispielsysteme
Definition: Ein Kryptosystem hat perfekte Sicherheit, falls Pr[x|y]=Pr[x] für alle x ∈ P, y ∈ C . Am Beispiel: Pr[a|1] = 1 6= Pr[a] =
Entropie Gute Schlüssel Literatur
1 4
Pr[b|1] = 0 6= Pr[b] =
3 4
Pr[a|2] =
1 7
6= Pr[a] =
1 4
Pr[b|2] =
6 7
6= Pr[b] =
3 4
Pr[a|3] =
1 4
= Pr[a] =
1 4
Pr[b|3] =
3 4
= Pr[b] =
3 4
Pr[a|4] = 0 6= Pr[a] =
1 4
Pr[b|4] = 1 6= Pr[b] =
3 4
֒→ Dieses Kryptosystem erfüllt die Vorraussetzung für perfekte Sicherheit nur für den Chiffretext y = 3, daher insgesamt keine perfekte Sicherheit. Satz:
Sei (P, C, K, E, D) ein Kryptosystem mit |K| = |C| = |P|. Dann bietet es perfekte Sicherheit, gdw. jeder Schlüssel mit gleicher Wahr1 scheinlichkeit |K| benutzt wird und ∀x ∈ P, y ∈ C ein eindeutiger Schlüssel K existiert, so dass eK (x) = y .
Kryptographie und Datensicherheit – §2 Datensicherheit und Shannons Theorie
13 / 31
Beispiele für perfekt sichere Kryptosysteme Sicherheit?
1. Exemplarisch (nach [1])
Wahrscheinlichkeitstheorie Perfekte Sicherheit
• Annahmen • Beispiel • Definition • Beispielsysteme
K1 K2 K3
a
b
c
0 1 2
1 2 0
2 0 1
|K| = |C| = |P| = 3 Pr[Ki ] =
1 3
a
0
b
1
c
2
Entropie Gute Schlüssel
2. One-Time Pad (Beispielrealisierung)
Literatur
• • • • •
n ∈ Z, n ≥ 1 und P = C = K = (Z2 )n x = (x1 , . . . , xn ), K = (K1 , . . . , Kn ), y = (y1 , . . . , yn ) eK (x) = (x1 + K1 , . . . , xn + Kn ) mod 2 (entspricht ⊗) dK (y) = (y1 + K1 , . . . , yn + Kn ) mod 2 (entspricht ⊗) Sicherheit begründet durch:
◦ Zufälligkeit (unvorhersagbar!) der Schlüssel ◦ Geheimhaltung der Schlüssel ◦ Schlüssel nur einmal benutzen
Kryptographie und Datensicherheit – §2 Datensicherheit und Shannons Theorie
14 / 31
One-Time Pad – Beispiel Sicherheit? Wahrscheinlichkeitstheorie Perfekte Sicherheit
• Annahmen • Beispiel • Definition • Beispielsysteme
Klartext Schlüssel
0 1
1 1
1 1
1 0
0 1
0 0
1 1
0 0
Chiffretext
1
0
0
1
1
0
0
0
Schlüssel Klartext
1 0
1 1
1 1
0 1
1 0
0 0
1 1
0 0
Entropie Gute Schlüssel Literatur
• Angriffsmöglichkeiten: ◦ Ausspähen des Schlüssels bei nicht geheimen Schlüsselaustausch ◦ Kein ausreichend zufälliger Schlüssel ◦ Mehrfachverwendung des Schlüssels (Differenz der Chiffretexte = Differenz der Klartexte) • Nachteile: ◦ ◦ ◦ ◦
Schlüssellänge und -anzahl Zufälligkeit der Schlüssel Synchronisationsproblem bei verschollenen Nachrichten Kollisionssproblem bei gleichzeitigen Nachrichten A↔B
Kryptographie und Datensicherheit – §2 Datensicherheit und Shannons Theorie
15 / 31
Sicherheit? Wahrscheinlichkeitstheorie Perfekte Sicherheit Entropie
• Definition • Beispiel • Eigenschaften Gute Schlüssel Literatur
Entropie
Kryptographie und Datensicherheit – §2 Datensicherheit und Shannons Theorie
16 / 31
Definition Sicherheit? Wahrscheinlichkeitstheorie Perfekte Sicherheit Entropie
• Definition • Beispiel • Eigenschaften Gute Schlüssel Literatur
• Ursprung in der Thermodynamik, Bedeutung Unordnungsgrad = ˆ große Unordnung = hohe Entropie • Informationstheorie: Ungewissheit über einen Versuchsausgang, (mittlerer) Informationsgehalt einer Nachricht Definition: Sei X eine diskrete Zufallsgröße, die die Werte einer endlichen Menge X annimmt. Dann ist die Entropie von X definiert als die Größe
H(X) = −
X
Pr[x] log 2 Pr[x]
x∈X
Anmerkung 1: Da log2 y undefiniert für y = 0, aber lim y log2 y = 0 kann y→∞
Pr[x] = 0 für einige x angenommen werden. 1 Anmerkung 2: Wenn |X| = n und Pr[x] = n , ∀n ∈ X , dann ist H(X) = log2 n.
Kryptographie und Datensicherheit – §2 Datensicherheit und Shannons Theorie
17 / 31
Beispiel Sicherheit? Wahrscheinlichkeitstheorie Perfekte Sicherheit Entropie
• Definition • Beispiel • Eigenschaften Gute Schlüssel Literatur
P = {a, b} mit Pr[a] = 41 , Pr[b] =
3 4
K = {K1 , K2 , K3 } mit Pr[K1 ] = 12 , Pr[K2 ] = Pr[K3 ] = C = {1, 2, 3, 4} mit Pr[1] = 18 , Pr[2] = P H(X) = − Pr[x] log 2 Pr[x]
7 16 , Pr[3]
1 4
= 14 , Pr[4] =
3 16
x∈X
H(P) = −
1 3 3 1 log2 + log2 4 4 4 4
H(P) ≈ 0,81 H(K) = 1,5 H(C) ≈ 1,85
Kryptographie und Datensicherheit – §2 Datensicherheit und Shannons Theorie
18 / 31
Entropieeigenschaften I Sicherheit?
Satz:
Wahrscheinlichkeitstheorie Perfekte Sicherheit Entropie
• Definition • Beispiel • Eigenschaften Gute Schlüssel Literatur
Sei X eine Zufallsgröße mit einer Wahrscheinlichkeitsverteilung, die die Werte p1 , . . . , pn (pi > 0, 1 ≤ i ≤ n) annimmt. Dann gilt H(X) ≤ log2 n mit Gleichheit gdw. pi = n1 , 1 ≤ i ≤ n.
Folgerung: Satz:
Die maximale Entropie H(X) beträgt log2 n.
H(X, Y) ≤ H(X) + H(Y), mit Gleichheit gdw. X und Y unabhängige Zufallsgrößen sind.
Definition (a): Seien X und Y zwei Zufallsgrößen. Dann erhält man für jeden Wert y aus Y eine (bedingte) Wahrscheinlichkeitsverteilung auf X . Die zugehörige Zufallsgröße wird mit (X|y) bezeichnet. Offensichtlich gilt
H(X|y) = −
X
Pr[x|y] log 2 Pr[x|y]
x
Kryptographie und Datensicherheit – §2 Datensicherheit und Shannons Theorie
19 / 31
Entropieeigenschaften II Sicherheit? Wahrscheinlichkeitstheorie Perfekte Sicherheit Entropie
Definition (b): Die bedingte Entropie H(X|Y) ist das gewichtete Mittel (bezüglich der Wahrscheinlichkeiten der Pr[y]) der Entropien (X|y) über allen möglichen Werten von y . Sie wird wie folgt berechnet
• Definition • Beispiel • Eigenschaften
H(X|Y) = −
XX y
Gute Schlüssel
Pr[y]Pr[x|y] log 2 Pr[x|y]
x
Literatur
Satz:
H(X, Y) = H(Y) + H(X|Y)
Folgerung:
H(X|Y) ≤ H(X) mit Gleichheit gdw. X und Y unabhängig.
Kryptographie und Datensicherheit – §2 Datensicherheit und Shannons Theorie
20 / 31
Sicherheit? Wahrscheinlichkeitstheorie Perfekte Sicherheit Entropie Gute Schlüssel
• Schlüsselmehrdeutigkeit • Schlüsselkandidaten • Spracheigenschaften • Eliminierung falscher Schlüssel
• Produktkryptosysteme
Gute Schlüssel
Literatur
Kryptographie und Datensicherheit – §2 Datensicherheit und Shannons Theorie
21 / 31
Schlüsselmehrdeutigkeit Sicherheit? Wahrscheinlichkeitstheorie Perfekte Sicherheit Entropie Gute Schlüssel
• Schlüsselmehrdeutigkeit • Schlüsselkandidaten • Spracheigenschaften • Eliminierung falscher
Es existiert ein fundamentaler Zusammenhang zwischen den Entropien der einzelnen Komponenten eines Kryptosystems. Die bedingte Entropie H(K|C) heißt Schlüsselmehrdeutigkeit (key equivocation) und ist ein Maß dafür, wieviel Information über den Schlüssel durch den Chiffretext offengelegt wird. Es gilt hierbei folgender Satz:
Sei (P, C, K, E, D) ein Kryptosystem. Dann gilt
Schlüssel
• Produktkryptosysteme
H(K|C) = H(K) + H(P) − H(C)
Literatur
Am Beispiel:
H(K) = 1,5 ,
H(P) ≈ 0,81 ,
H(C) ≈ 1,85
H(K|C) = 1,5 + 0,81 − 1,85 = 0,46
Kryptographie und Datensicherheit – §2 Datensicherheit und Shannons Theorie
22 / 31
Schlüsselkandidaten Sicherheit?
• Annahmen: Eve
Wahrscheinlichkeitstheorie Perfekte Sicherheit Entropie Gute Schlüssel
• Schlüsselmehrdeutigkeit • Schlüsselkandidaten • Spracheigenschaften • Eliminierung falscher Schlüssel
• Produktkryptosysteme
◦ ◦ ◦ ◦
hört Chiffretext ab weiß, dass Klartext eine „natürliche“ Sprache hat Wissen um Verschlüsselungsmethode hat unbegrenzte Rechenressourcen
• Eve kann einige Schlüssel verwerfen (Klartext ist unbrauchbar) • Verbleibende „mögliche“ Schlüssel unterteilt in
Literatur
◦ Korrekter Schlüssel ◦ Falsche Schlüssel Beispiel:
• Sprache Englisch, Chiffretext WNAJW, Methode Verschiebungschiffre • nur zwei „sinnvolle“ Klartexte möglich: RIVER und ARENA ֒→ mögliche Schlüssel F (5) und W (22)
Kryptographie und Datensicherheit – §2 Datensicherheit und Shannons Theorie
23 / 31
Untersuchung von Spracheigenschaften Sicherheit?
Ziel: Anzahl falscher Schlüssel eingrenzen
Wahrscheinlichkeitstheorie Perfekte Sicherheit Entropie Gute Schlüssel
• Schlüsselmehrdeutigkeit • Schlüsselkandidaten • Spracheigenschaften • Eliminierung falscher
• Entropie (pro Buchstabe) einer natürlichen Sprache (HL ) misst die durchschnittliche Information pro Buchstabe in einem „sinnvollen“ natürlichsprachigem Text • n-Gram: Wort der Länge n über einem Alphabet, Pn Zufallsgröße mit Wahrscheinlichkeitsverteilung aller n-Gramme eines Klartextes
Schlüssel
• Produktkryptosysteme Literatur
Definition: Sei L eine natürliche Sprache. Die Entropie von L ist definiert als die Größe
H(Pn ) HL = lim n→∞ n und die Redundanz von L ist definiert durch
HL RL = 1 − log2 |P|
Kryptographie und Datensicherheit – §2 Datensicherheit und Shannons Theorie
24 / 31
Beispiel Sicherheit? Wahrscheinlichkeitstheorie Perfekte Sicherheit Entropie Gute Schlüssel
• Schlüsselmehrdeutigkeit • Schlüsselkandidaten • Spracheigenschaften • Eliminierung falscher Schlüssel
• Produktkryptosysteme
• L ist englische Sprache • Durch Untersuchungen: 1,0 ≤ HL ≤ 1,5 also rund 1,25 • Redundanz:
1,25 RL = 1 − ≈ 0,734 log2 26 ֒→ ca. 75% der englischen Sprache redundant
Literatur
Kryptographie und Datensicherheit – §2 Datensicherheit und Shannons Theorie
25 / 31
Eliminierung falscher Schlüssel Sicherheit?
Redundanz
Wahrscheinlichkeitstheorie Perfekte Sicherheit Entropie
• gibt Aufschluss über effektive Codierungsmöglichkeit • erlaubt Anzahl falscher Schlüssl zu minimieren
Gute Schlüssel
• Schlüsselmehrdeutigkeit • Schlüsselkandidaten • Spracheigenschaften • Eliminierung falscher Schlüssel
• Produktkryptosysteme Literatur
Satz:
Sei (P, C, K, E, D) ein Kryptosystem mit |C| = |P| und gleichwahrscheinlicher Schlüsselverteilung. RL sei die Redundanz der zu Grunde liegenden Sprache. Mit gegebenen Chiffretext der Länge n, mit n hinreichend groß, erfüllt die erwartete Anzahl falscher Schlüssel sn die Formel
|K| −1 sn ≥ |P|nRL Definition: Die Eindeutigkeitsdistanz eines Kryptosystems ist definiert durch den Wert n, bezeichnet als n0 , bei dem die Anzahl erwarteter falscher Schlüssel Null wird. D.h. die durchschnittliche Menge an Chiffretext, die ein Angreifer benötigt, um den Schlüssel eindeutig zu bestimmen.
Kryptographie und Datensicherheit – §2 Datensicherheit und Shannons Theorie
26 / 31
Eindeutigkeitsdistanz – Beispiel Sicherheit?
• sn = 0 in Gleichung (letzter Satz) setzen und nach n umformen ergibt
Wahrscheinlichkeitstheorie Perfekte Sicherheit Entropie
n0 ≈
Gute Schlüssel
• Schlüsselmehrdeutigkeit • Schlüsselkandidaten • Spracheigenschaften • Eliminierung falscher
• Kryptosystem Substitutions-Chiffre: |P| = 26 und |K| = 26!, RL = 0,75
Schlüssel
• Produktkryptosysteme Literatur
log2 |K| RL log2 |P|
n0 ≈
88,4 ≈ 25 0,75 · 4,7
֒→ Ein Chiffretext der Länge 25 ermöglicht (normalerweise) eine eindeutige Entschlüsselung.
Kryptographie und Datensicherheit – §2 Datensicherheit und Shannons Theorie
27 / 31
Produktkryptosysteme Sicherheit? Wahrscheinlichkeitstheorie Perfekte Sicherheit
• Idee: Verknüpfen zweier Kryptosysteme zur Erhöhung der Sicherheit • endomorphe Kryptosysteme notwendig (P = C)
S1 = (P, P, K1 , E1 , D1 ) S2 = (P, P, K2 , E2 , D2 )
Entropie Gute Schlüssel
• Schlüsselmehrdeutigkeit • Schlüsselkandidaten • Spracheigenschaften • Eliminierung falscher Schlüssel
• Produktkryptosysteme Literatur
֒→ Produkt: S1 × S2 = (P, P, K1 × K2 , E, D) • • • •
Schlüssel K hat die Form (K1 , K2 ) mit K1 ∈ K1 , K2 ∈ K2 Verschlüsselungsfunktion: d(K1 ,K2 ) (y) = dK1 (dK2 (y)) Entschlüsselungsfunktion: e(K1 ,K2 ) (x) = eK2 (eK1 (x)) Beachte umgekehrte Schlüsselfolge:
d(K1 ,K2 ) (e(K1 ,K2 ) (x)) = d(K1 ,K2 ) (eK2 (eK1 (x))) = dK1 (dK2 (eK2 (eK1 (x)))) = dK1 (eK1 (x)) =x
Kryptographie und Datensicherheit – §2 Datensicherheit und Shannons Theorie
28 / 31
Eigenschaften von Produktkryptosystemen Sicherheit? Wahrscheinlichkeitstheorie Perfekte Sicherheit Entropie Gute Schlüssel
• Schlüsselmehrdeutigkeit • Schlüsselkandidaten • Spracheigenschaften • Eliminierung falscher Schlüssel
• Assoziativität: S1 × (S2 × S3 ) = (S1 × S2 ) × S3 gilt für alle Kryptosysteme • Kommutierende Kryptosysteme: S1 × S2 = S2 × S1 gilt nicht für alle Krytosysteme • Idempotenz: S × S = S 2 = S ֒→ falls nicht idempotent Chance für höhere Sicherheit durch multiple Iterationen (DES = S 16 ) • Beachte: S1 , S2 idempotent und kommutierend ⇒ S1 × S2 ebenso
• Produktkryptosysteme Literatur
(S1 × S2 ) × (S1 × S2 ) = S1 × (S2 × S1 ) × S2 = S1 × (S1 × S2 ) × S2 = (S1 × S1 ) × (S2 × S2 ) = S1 × S2
Kryptographie und Datensicherheit – §2 Datensicherheit und Shannons Theorie
29 / 31
Literatur Sicherheit? Wahrscheinlichkeitstheorie Perfekte Sicherheit Entropie Gute Schlüssel Literatur
[1] B RACKMANN, Roland. Shannons Theorie. http://www.cs.uni-potsdam.de/ti/lehre/05Kryptographie/slides/shannons_theorie_brackmann.pdf [2] H OPPE, Tobias. Das One-Time-Pad und Chiffriermaschinen. http://www-ivs.cs.unimagdeburg.de/bs/lehre/wise0102/progb/vortraege/choppe/choppe.html [3] M ENEZES, Alfred J. ; VAN O ORSCHOT, Paul C. ; VANSTONE, Scott A.: Handbook of Applied Cryptography. CRC Press, Inc., 1996. – ISBN 0849385237 [4] S HANNON, Claude E. Communication Theory of Secrecy Systems. http://www.cs.ucla.edu/~jkong/research/security/shannon1949.pdf [5] S TINSON, Douglas R.: Cryptography: Theory and Practice. Second. CRC Press, Inc./Chapman&Hall, 2002. – ISBN 1584882069 [6] W IKIPEDIA. Bayestheorem. http://de.wikipedia.org/wiki/Bayestheorem
Kryptographie und Datensicherheit – §2 Datensicherheit und Shannons Theorie
30 / 31
Vielen Dank für Ihre Aufmerksamkeit
Kryptographie und Datensicherheit – §2 Datensicherheit und Shannons Theorie
31 / 31