IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester...
-
Upload
gotthilf-geisert -
Category
Documents
-
view
221 -
download
2
Transcript of IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester...
![Page 1: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/1.jpg)
IT-SicherheitKapitel 2 -
Symmetrische Kryptographie
Prof. Dr. Michael Braun
Wintersemester 2010/2011
![Page 2: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/2.jpg)
Einführung
![Page 3: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/3.jpg)
Historie
Die klassische Kryptographie diente der Geheimhaltung von Nachrichten und wurde hauptsächlich von Militärs, Geheimdiensten und Diplomaten genutzt.Die moderne Kryptographie (etwa seit 1975) beschäftigt sich mit erheblich weitergehenden Kommunikations- und Sicherheitsproblemen.
![Page 4: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/4.jpg)
Beispiele aus der Geschichte
![Page 5: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/5.jpg)
Ziel
• Ziel der klassischen Kryptographie war es zunächst die Vertraulichkeit zu gewährleisten.
![Page 6: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/6.jpg)
Klassische Verfahren
Skytala Caesar Chiffre
Vigenere
1 2 3 4 5
1 A B C D E
2 F G H I,J K
3 L M N O P
4 Q R S T U
5 V W X Y Z
Polybios
![Page 7: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/7.jpg)
Rotor-Chiffriermaschinen• Edward Hugh Hebern (1869-
1952) erfand 1917 die erste Rotor-Chiffriermaschine, die Electric Code Machine.
Zeichnung aus der Original-Patentschrift
![Page 8: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/8.jpg)
Weitere Maschinen
Die britische TypeX, eingesetzt im 2.
Weltkrieg
Die sowjetische Fialka, auch in der DDR am 1968 eingesetzt
Die schweizerische NEMA, eingesetzt ab 1946
Die amerikanische SIGABA
eingesetzt im 2. Weltkrieg
Die deutsche ENIGMAeingesetzt im 2.
Weltkrieg
![Page 9: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/9.jpg)
Symmetrische Verschlüsselung
![Page 10: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/10.jpg)
Das Prinzip nach Kerckhoff
• Die Sicherheit einer Verschlüsselung soll nicht auf der Geheimhaltung des Verschlüsselungsalgorithmus basieren, sondern auf der Geheimhaltung eines Eingabeparameters, dem sogenannten Schlüssel.
• „No Security by Obscurity“
![Page 11: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/11.jpg)
k
Nachricht
Nachrichtenc dec
k
vertraulicher + authentischer
Kanal
offenerKanal
Kommunikationsmodell
![Page 12: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/12.jpg)
Blockchiffren
![Page 13: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/13.jpg)
Blockchiffren• Der Klartext wird in Blöcke kurzer Länge aufgeteilt
und jeder Block wird mittels einer komplizierten Funktion mit einem Schlüssel fester Länge verknüpft.
encenc
SchlüsselSchlüssel
GeheimtextblocGeheimtextblockkKlartextblockKlartextblock
![Page 14: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/14.jpg)
SPNSS11 SS22 SS33 SS44
PermutationPermutation
SS11 SS22 SS33 SS44
PermutationPermutation
SS11 SS22 SS33 SS44
PermutationPermutation
kk11
kk22
kkr-1r-1
kkrr
...
Klartextblock
Geheimtextblock
• Ein Substitutions-Permutations-Netzwerk (= SPN) ist eine alternierende Kombination von Substitution und Permutation über mehrere Runden.
Idee geht auf Claude Shannon aus dem Jahr 1949 zurück.
![Page 15: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/15.jpg)
Diffusion und Konfusion
• Wichtige Eigenschaften für eine sichere Chiffre sind:
Diffusion: Verteilen der im Klartext enthaltenen Information über den Geheimtext(durch Permutation)Konfusion: Verschleierung des Zusammenhangs zwischen Klartext- und Geheimtextzeichen(durch Substitution)
![Page 16: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/16.jpg)
Feistel Chiffre
FF kkii
LLi-1i-1 RRi-1i-1
LLii RRii
Horst Feistel entwickelte das Prinzip der Feistel-Chiffre in den 1970ern bei IBM im Projekt „Luzifer“
m RundenF ist die Rundenfunktion, bestehend aus Permutationen und Substitutionen
![Page 17: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/17.jpg)
Data Encryption Standard
DESDES
Schlüssel(56 Bit)
Klartextblock(64 Bit)
Geheimtextblock(64 Bit)
![Page 18: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/18.jpg)
Struktur des DES
perm
ki
Li
Li-1
Ri
Ri-1
expand32 Bit
32 Bit 48 Bit48 Bit
48 Bit
32 Bit
32 Bit
32 Bit
32 Bit
![Page 19: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/19.jpg)
Sicherheit des DESDie große Schwäche des DES ist die kurze Schlüssellänge von 56 Bit.Eine vollständige Schlüsselsuche ist mittels spezieller Hardware zeitnah möglich (z.B. Deep Crack, 22 Stunden im Jahr 1999).Der DES ist für den praktischen Einsatz nicht mehr empfehlenswert.Mittels 3DES (Triple-DES) kann man Sicherheit auf 112 Bit erhöhen, hat aber hohe Performanzverluste, da man den DES dreimal ausführen muss bei jedem Block.
![Page 20: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/20.jpg)
Advanced Encryption Standard
AESAES
Schlüssel(128, 192 oder 256 Bit)
Klartextblock(128 Bit)
Geheimtextblock(128 Bit)
• Ziele: sicherer und effizienter als Triple-DES
![Page 21: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/21.jpg)
Struktur des AES
SS++ ++
Key Addition
SubstituteBytes
Shift Rows
Mix Column*
KeyAddition
Klartext
Geheimtext
nächste Runde
* in der letzten Runde kein Mix Column
![Page 22: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/22.jpg)
Weitere BlockchiffrenMARS unbalancierte Feistel-
Chiffre mit 32 Runden
sehr langsam in Hardware; für billige Chipkarten nicht geeignet; bedingt schnell in Software (abhängig von CPU)
RC6
Feistel-Chiffre mit 20 Runden; datenabhängige Rotation in den Runden
etwas langsam in Hardware; für billige Chipkarten nicht geeignet; bedingt schnell in Software (abhängig von CPU)
TwofishFeistel-Chiffre mit 16 Runden; schlüsselabhängige S-Boxen
schnell in Hardware; schnell in Software
Serpent iterierte Chiffre mit 32 Runden
schnell in Hardware; langsam in Software; besonders konservativ im Design
![Page 23: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/23.jpg)
Verwendung von Blockchiffren• Blockchiffren können nur Nachrichten verarbeiten,
deren Länge der Blocklänge entspricht. Daher werden Nachrichten in einzelne Blöcke aufgeteilt und zu Geheimtextblöcke verarbeitet:
Electronic Codebook (ECB)Cipher Block Chaining (CBC)Counter (CTR)Cipher Feedback (CFB)Output Feedback (OFB)
![Page 24: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/24.jpg)
Electronic Codebook (ECB)
mm11 mm22 mm33
enc(k,-enc(k,-))
mmrr
cc11 cc22 cc33 ccrr
enc(k,-enc(k,-))
enc(k,-enc(k,-))
enc(k,-enc(k,-)). . .
![Page 25: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/25.jpg)
Cipher Block Chaining (CBC)
mm11 mm22 mm33
enc(k,-enc(k,-))
mmrr
cc11 cc22 cc33 ccrr
enc(k,-enc(k,-))
enc(k,-enc(k,-))
enc(k,-enc(k,-)). . .
IVIV
![Page 26: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/26.jpg)
Counter (CTR)
mm11 mm22
enc(k,-enc(k,-))
cc11 cc22
enc(k,-enc(k,-))
. . .mm33
cc33
enc(k,-enc(k,-))
mmrr
ccrr
enc(k,-enc(k,-))
IV+2IV+2IV+1IV+1 IV+3IV+3 IV+rIV+r
![Page 27: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/27.jpg)
Output Feedback (OFB)
mm11 mm22
enc(k,-enc(k,-))
cc11 cc22
enc(k,-enc(k,-))
. . .
IVIV
mm33
cc33
enc(k,-enc(k,-))
mmrr
ccrr
enc(k,-enc(k,-))
![Page 28: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/28.jpg)
Cipher Feedback (CFB)
mm11 mm22
enc(k,-enc(k,-))
cc11 cc22
enc(k,-enc(k,-))
. . .
IVIV
mmrr
ccrr
enc(k,-enc(k,-))
![Page 29: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/29.jpg)
Stromchiffren
![Page 30: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/30.jpg)
One-Time-Pad
• Bei dem One-Time-Pad wird der Klartext mit einem genauso langen Schlüssel XOR-verknüpft.
• Das One-Time-Pad ist die einzige beweisbar sichere Chiffre.
Schlüsselstrom
Klartextstrom Geheimtextstrom
![Page 31: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/31.jpg)
Stromchiffren• Nachbildung des One-Time-Pads: Aus einem kurzen
Schlüssel wird ein pseudozufälliger Schlüssel gewählt.
pseudozufälliger
Schlüsselstrom
Klartextstrom Geheimtextstrom
SchlüsselstroSchlüsselstrom-erzeugungm-erzeugung SchlüsselSchlüssel
![Page 32: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/32.jpg)
Shrinking-Generator
y/ny/n Ausgabe
Takt ATakt A
Takt ATakt A
![Page 33: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/33.jpg)
Summations-Generator
Ausgabe
Takt ATakt A
Takt BTakt B
![Page 34: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/34.jpg)
RC4
Schlüssel-byte
RC4 weist statistische Schwächen auf.
![Page 35: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/35.jpg)
A5/1
MajoritätsfunktionMajoritätsfunktion
Takt ATakt A
Takt BTakt B
Takt CTakt C
![Page 36: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/36.jpg)
eSTREAM
Im Rahmen des Network of Excellence ECRYPT der EU gab es das Projekt eSTREAM (2004-2008), wo in einer öffentlichen Ausschreibung starke Stromchiffren gesucht wurden.Es wurde dabei nach zwei verschiedenen Profilen gesucht: Software- und Hardwareanwendungen.
![Page 37: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/37.jpg)
eSTREAM (Forts.)• Softwareanwendung:
HC-128RabbitSalsa20/12SOSEMANUK
• Hardwareanwendung:F-FCSR-H v2Grain v1Mickey v2Trivium
![Page 38: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/38.jpg)
Output Feedback (OFB)
mm11 mm22
enc(k,-enc(k,-))
cc11 cc22
enc(k,-enc(k,-))
. . .
IVIV
mm33
cc33
enc(k,-enc(k,-))
mmrr
ccrr
enc(k,-enc(k,-))
Schlüsselstromerzeugung
![Page 39: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/39.jpg)
Counter (CTR)
mm11 mm22
enc(k,-enc(k,-))
cc11 cc22
enc(k,-enc(k,-))
. . .mm33
cc33
enc(k,-enc(k,-))
mmrr
ccrr
enc(k,-enc(k,-))
IV+2IV+2IV+1IV+1 IV+3IV+3 IV+rIV+r
Schlüsselstromerzeugung
![Page 40: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/40.jpg)
Hashfunktionen
![Page 41: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/41.jpg)
Hashfunktion
Eine Hashfunktion ist eine effizient berechenbare Abbildung h: {0, 1}* -> {0, 1}n.Ziel ist die Konstruktion von kollisionsfreien Hashfunktionen.Anwendung: Integritätsschutz, Message Authentication Codes, Digitale Signatur.
![Page 42: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/42.jpg)
Konstruktion einer Hashfunktion
mm11
ff
IVIVmm22
ff
mm33
ff
mmrr
ff...hash valuehash value
mittels iterierter Kompressionsfunktion
![Page 43: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/43.jpg)
Beispiele für HashfunktionenMD4: 128 Bit; Kollision in 220
MD5: 128 Bit; Kollision in 230, Wang, 2005SHA0: 160 Bit, Kollision in 239, Wang, 2005SHA1: 160 Bit, Kollision in 263, Wang, 2005SHA2: 224, 256, 384, 512 Bit, noch sicherRIPEMD128: 128 Bit, Kollision in 264
RIPEMD160: 160 Bit, noch sicherDerzeit Suche nach SHA3 bis Ende 2012
![Page 44: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/44.jpg)
Message Authentication
Codes
![Page 45: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/45.jpg)
Message Authentication Code• Ein Message Authentication Code liefert einen
digitalen Fingerabdruck in Abhängigkeit eines Schlüssels zum Schutze der Nachrichtenauthentizität.
AA BB
t := mac(k, m)m, t
t‘ := mac(k, m)IF t = t‘ ACCEPTELSE REJECT
secret ksecret k
![Page 46: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/46.jpg)
Beispiele für MACs
HMAC: Hashfunktionen basiertXOR-MAC: Blockchiffren basiertCBC-MAC: Blockchiffren basiert
![Page 47: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/47.jpg)
HMAC
ipad, opad: konstante Wertek: geheimer Schlüsselhmac(k, m) := h(k XOR opad || h(k XOR ipad || m))
![Page 48: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/48.jpg)
XOR-MAC
x0 := 0 || IVxi := 1 || <i-1> || mi, für alle 1 ≤ i ≤ r<i-1>: binäre Darstellung der Zahl i-1k: geheimer Schlüsselmac(k, m) := enc(k, x0) XOR ... XOR enc(k, xr)
![Page 49: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/49.jpg)
CBC-MAC
mm11 mm22 mm33
enc(k,-enc(k,-))
mmrr
macmac
enc(k,-enc(k,-))
enc(k,-enc(k,-))
enc(k,-enc(k,-)). . .
IVIV
![Page 50: IT-Sicherheit Kapitel 2 - Symmetrische Kryptographie Prof. Dr. Michael Braun Wintersemester 2010/2011.](https://reader034.fdocument.pub/reader034/viewer/2022052404/55204d8349795902118d7e6e/html5/thumbnails/50.jpg)
Sichere KanäleVertrauliche und authentische Kanäle nennt man sichere Kanäle:1) Zuerst Verschlüsseln des Klartextes und danach
MAC über den Geheimtext (z.B. bei IPsec).2) Zuerst MAC über den Klartext und danach
Verschlüsseln des Klartextes (z.B. bei SSH).3) Zuerst MAC über den Klartext und danach
Verschlüsseln des Klartextes und des MACs (z.B. bei SSL).
Den einzig beweisbar sicheren Kanal bietet die erste Variante (Krawczyk, 2001).