Data Encryption Standard[DES]

Autoren:

Christof Paar

Jan Pelzl

Ruhr - Universität Bochum

Data Encryption Standard[DES]

Autoren:Christof PaarJan Pelzl

1. Auflage

Ruhr - Universität Bochum

© 2017 Christof PaarRuhr - Universität BochumUniversitätsstraße 15044801 Bochum

1. Auflage (21. September 2017)

Didaktische und redaktionelle Bearbeitung:Christopher Späth

Das Werk einschließlich seiner Teile ist urheberrechtlich geschützt. Jede Ver-wendung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohneZustimmung der Verfasser unzulässig und strafbar. Das gilt insbesonderefür Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspei-cherung und Verarbeitung in elektronischen Systemen.

Um die Lesbarkeit zu vereinfachen, wird auf die zusätzliche Formulierungder weiblichen Form bei Personenbezeichnungen verzichtet. Wir weisen des-halb darauf hin, dass die Verwendung der männlichen Form explizit alsgeschlechtsunabhängig verstanden werden soll.

Das diesem Bericht zugrundeliegende Vorhaben wurde mit Mitteln des Bun-desministeriums für Bildung, und Forschung unter dem Förderkennzeichen16OH12026 gefördert. Die Verantwortung für den Inhalt dieser Veröffentli-chung liegt beim Autor.

Inhaltsverzeichnis Seite 3

Inhaltsverzeichnis

Einleitung 4I. Abkürzungen der Randsymbole und Farbkodierungen . . . . . . . . . 4II. Zu den Autoren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5III. Lehrziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Der Data Encryption Standard (DES) 71 Lernziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

2.1 Symmetrische Kryptographie . . . . . . . . . . . . . . . . . . 73 Der Data Encryption Standard (DES) . . . . . . . . . . . . . . . . . . 9

Verzeichnisse 13I. Kontrollaufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13II. Tabellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13III. Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Anhang 15

Seite 4 Einleitung

Einleitung

I. Abkürzungen der Randsymbole und Farbkodierungen

Kontrollaufgabe K

Übung Ü

Zu den Autoren Seite 5

II. Zu den Autoren

Christof Paar ist Inhaber des Lehrstuhls Embedded Security an der Ruhr-Universität Bochum und ist außerplanmäßiger Professor an der University ofMassachusetts at Amherst, USA. Er arbeitet seit 1995 im Bereich der angewandtenKryptographie.Dr. Paar lehrt seit über 15 Jahren an Universitäten, sowohl in Europa, als auch inden USA, zu Themen der Kryptographie und Datensicherheit. Darüber hinaus gibter Kurse für Teilnehmer aus der Industrie, u.a. für Motorola Research, die NASAund Philips Research. Dr. Paar hat mehr als 150 Publikationen im Bereich derangewandten Kryptographie und ist Mitgründer des Workshop on CryptographicHardware and Embedded Systems (CHES).

Jan Pelzl hat in angewandter Kryptologie promoviert und ist Hauptgeschäftsfüh-rer der ESCRYPT - Embedded Sedurity, einer führenden Firma im Bereich derSicherheitsbereatung. Er hat erfolgreich zahlreiche nationale und internationaleIndustrieprojekte geleitet und tiefgehende Kenntnisse über Sicherheitsbedürfnissein echten Systemen.Dr. Pelzl hat praktische Aspekte der Kryptographie und Kryptanalyses von ellipti-schen Kurven erforscht. Seine theoretischen und praktischen Ergebnisse hat er auf/in international führenden Konferenzen/ Zeitschriften veröffentlicht. Dr. Pelzlhat viele Jahre Kurse über Kryptographie und IT-Sicherheit in Industriekreisengehalten.

Seite 6 Einleitung

III. Lehrziele

Kryptographie ist heutzutage allgegenwärtig - während sie lange Zeit nur von Regierungen, Geheimdienstenund Banken verwendet wurde, werden kryptografische Techniken mittlerweile u.a. in Web-Browsern, E-Mail Programmen, Handys, industriellen Produktionssystemen, eingebetteter Software, Autos und sogar inmedizinischen Implantaten verwendet. Daher benötigen EntwicklerInnen heutzutage umfassendes Wissenim Bereich der angewandten Kryptographie.

DasModul ist physisch in zwei Teile geteilt. Der Inhalt desModuls ist im Buch “UnderstandingCryptography”von Paar und Pelzl nachzulesen, während Sie die Übungsaufgaben in diesen Studienbriefen finden. Es gibtsowohl theoretische, als auch praktische Übungsaufgaben. Für die Bearbeitung vieler praktischen Aufgabenempfiehlt sich die Verwendung der Lernsoftware Cryptool, die sie über http://www.cryptool-online.org/kostenlos erhalten können. Aufgabe, die mit Cryptool zu lösen sind, sind entsprechend gekennzeichnet.

Der Data Encryption Standard (DES) Seite 7

Der Data Encryption Standard (DES)

Mit dem vorliegenden Mikromodul besprechen wir den "Data Encryption Stan-dard“ (DES). Zu Beginn lernen Sie die Funktionsweise, der bei DES verwendetenS-Boxen, kennen. Sie erlernen den Umgang mit den DES Permutationen, so dasssie genau verstehen, wie die interne Struktur des Standards funktioniert.

1 Lernziele

Sie verstehen den technischenAufbau und die Funktionsweise des Data EncryptionStandards DES. Sie können die internenOperationen nachvollziehen und verstehenden feinen Unterschied von Ver- und Entschlüsselung. Sie besitzen die Kompetenz,über die Sicherheit von DES zu urteilen.

2 Grundlagen

2.1 Symmetrische Kryptographie

Lesen Sie das Kapitel 1.4 aus dem Buch Understanding Cryptography von Chri-stof Paar und Jan Pelzel Paar and Pelzl [2010]. Ergänzend können Sie den Video-mitschnitt der Vorlesung online unter folgenden Links anschauen.

http://www3.emsec.rub.de/Vorlesung/KVL01.htmll deen

ÜÜbung 1: Substitutionchiffren

Der nachfolgende Text ist mit einer Substitutionschiffre verschlüsselt wor-

den. Ziel dieser Aufgabe ist es, den Klartext wiederzugewinnen, d.h. dasChiffrat zu entschlüsseln.

1. Geben Sie die relative Häufigkeit der Buchstaben A bis Z des Chiffratesan.

2. Entschlüsseln Sie den Text mit Hilfe der in Tabelle 2.1 angegebe-nen Häufigkeitsverteilung (Prozentangaben) der deutschen Sprache.Da der Text recht kurz ist, kann die allgemeine Häufigkeitsvertei-lung nicht 100% übernommen werden. Umlaute sind als in der FormUE, AE und OE dargestellt, ß ist ein eigener Buchstabe. Die Häufig-keitsverteilungen für andere Sprachen finden sie z.B. bei Wikipedia:http://de.wikipedia.org/wiki/Buchstabenhäufigkeit.

3. Geben Sie die verwendete Substitutionstabelle an.

4. Aus welchem Buch stammt der Text? Wie heißt der Autor? (Wennnötig recherchieren Sie im Internet.)

SGFP GTPHGQTP FT OGT ZTGQHNQXßCPGT GFTNGOGT GFTGX PNPDV DZXOGQ YNOG IGJNYYGTGT DZXVDGZHGQX OGX SGXPVFßCGT XUFQDVDQYX OGQIDVDMFX VGZßCPGP ZTRGDßCPGP GFTG JVGFTG IGVRG XNTTG. ZY XFGJQGFXP FT GFTGQ GTPHGQTZTI ENT ZTIGHDGCQ DßCPZTOTGZTKFI YFVVFNTGTYGFVGT GFT DRXNVZP ZTRGOGZPGTOGQ, RVDZIQZGTGQ UVDTGP, OGXXGT ENYDHHGT DRXPDYYGTOGT RFNHNQYGT XN GQXPDZTVFßC UQFYFPFE XFTO, ODAXFG OFIFPDVZCQGT TNßC FYYGQ HZGQ GFTG ZTSDCQXßCGFTVFßC PNVVGGQHFTOZTI CDVPGT.

Seite 8 Der Data Encryption Standard (DES)

OFGXGQ UVDTGP CDP - NOGQ RGXXGQ IGXDIP, CDPPG - GFT UQNRVGY.OFG YGFXPGT XGFTGQ RGSNCTGQ SDQGT HDXP FYYGQ ZTIVZGßJVFßC. KZQVNGXZTI OFGXGX UQNRVGYX SZQOGT EFGVG ENQXßCVDGIG IGYDßCP, DRGQOFG OQGCPGT XFßC YGFXP ZY ODX CFT ZTO CGQ JVGFTGQ RGOQZßJPGQUDUFGQXßCGFTßCGT, ZTO ODX FXP GFTHDßC OQNVVFI, SGFV GX FY IQNAGTZTO IDTKGT BD TFßCP OFG JVGFTGT RGOQZßJPGT UDUFGQXßCGFTßCGTSDQGT, OFG XFßC ZTIVZGßJVFßC HZGCVPGT.ZTO XN RVFGR ODX UQNRVGY RGXPGCGT. EFGVGT VGZPGT IFTI GXXßCVGßCP, OGT YGFXPGT XNIDQ YFXGQDRGV, XGVRXP OGTGT YFPOFIFPDVZCQGT.EFGVG JDYGT DVVYDGCVFßC KZ OGQ ZGRGQKGZIZTI, GFTGT IQNAGT HGCVGQIGYDßCP KZ CDRGT, DVX XFG ENT OGT RDGZYGT CGQZTPGQIGJNYYGT SDQGT.ZTO GFTFIG XDIPGT, XßCNT OFG RDGZYG XGFGT GFT CNVKSGI IGSGXGT,OFG NKGDTG CDGPPG YDT TFGYDVX EGQVDXXGT OZGQHGT.ZTO GFTGX ONTGQXPDIX ODTT, HDXP KSGFPDZXGTO BDCQG, TDßCOGY GFTYDTT DT GFTGT RDZYXPDYY IGTDIGVP SNQOGT SDQ, SGFV GQ IGXDIPCDPPG, SFG UCDTPDXPFXßC GQ XFßC ODX ENQXPGVVG, SGTT OFG VGZPGKZQ DRSGßCXVZTI YDV TGPP KZGFTDTOGQ SDGQGT, JDY GFT YDGOßCGT, ODXIDTK DVVGFT FT GFTGY ßDHE FT QFßJYDTXSNQPC XDA, UVNGPKVFßC DZHOGT PQFßCPGQ, SDX OFG IDTKG KGFP XN XßCFGHIGVDZHGT SDQ, ZTO XFGSZAPG GTOVFßC, SFG OFG SGVP IZP ZTO IVZGßJVFßC SGQOGT JNGTTPG.OFGXYDV CDPPG XFG XFßC TFßCP IGPDGZXßCP, GX SZGQOG HZTJPFNTFGQGT,ZTO TFGYDTO SZGQOG ODHZGQ DT FQIGTOSDX IGTDIGVP SGQOGT.TZQ RQDßC PQDZQFIGQSGFXG, GCG XFG DTX PGVGHNT IGCGT ZTO BGYDTOGYODENT GQKDGCVGT JNTTPG, GFTG HZQßCPRDQ OZYYG JDPDXPQNUCG CGQGFT,ZTO FCQG FOGG IFTI HZGQ FYYGQ EGQVNQGT...

Tabelle 1: Verteilungder Buchstaben indeutschen Texten

Buchstabe Häufigkeit Buchstabe Häufigkeit Buchstabe HäufigkeitA 6.51 J 0.27 S 7.27B 1.89 K 1.21 T 6.15C 3.06 L 3.44 U 4.35D 5.08 M 2.53 V 0.67E 17.40 N 9.78 W 1.89F 1.66 O 2.51 X 0.03G 3.01 P 0.79 Y 0.04H 4.76 Q 0.02 Z 1.13I 7.55 R 7.00 ß 0.31

K Kontrollaufgabe 1

Erläutern Sie das Konzept eines sogenannten „Brute-force Attacks“.

K Kontrollaufgabe 2

Erläutern Sie das Kerkhoff’sche Prinzip.

ÜÜbung 2: Schiebeverschlüsselung

Ein alternatives Verfahren zur Substitionschiffre ist die Shift-Verschlüsselung (auch bekannt als Schiebechiffre). Hier wird aller-dings anstatt einer beliebigen Zuordnung für jeden Buchstaben (z.B.A 7→ T,B 7→ X ,C 7→ F, . . .) lediglich eine Verschiebung des gesamten Alpha-

3 Der Data Encryption Standard (DES) Seite 9

bets um einen geheimen Offset (Verschiebungswert) vorgenommen. So wirdz.B. für den Offset k = 5 eine Verschiebung des Alphabets um 5 Zeichendurchgeführt, z.B. A 7→ F,B 7→ G,C 7→ H, . . . und mit dieser Abbildung derKlartext kodiert.

1. Gehen Sie davon aus, dass Ihnen das Alphabet Σ = {A,B,C, . . . ,Z}für Klartext und Chiffrat zu Verfügung steht. Wenn Sie eine Shift-Verschlüsselung mit dem Offset k = 10 durchführen, wie müssen Siesinnvoll die Buchstaben Q, . . . ,Z aus dem Klartext belegen?

2. Verschlüsseln Sie das Wort “Datensicherheit” mit der Shift-Verschlüsselung und dem geheimen Offset k = 10.

3. Wenn Sie die Sicherheit der Shift- und der Substitionschiffre bezüglichstatistischen Angriffen vergleichen, ist die Shift-Chiffre sicherer? (5Pkt.)

4. Wenn Sie den Offset für jedes Klartextzeichen von einem beliebi-gen Startpunkt an inkrementieren (jeweils um eins erhöhen), wirddadurch die Sicherheit des Verfahrens gegen statistische Angriffeerhöht?Hinweis: Zum besseren Verständnis des Verfahrens sei folgendesBeispiel gegeben:

Klartext: i n t e r n e tOffset: 1 2 3 4 5 6 7 8Geheimtext: J P W I W T L B

ÜÜbung 3: Mehrfache Verschlüsselung 1

Eine beliebte Methode, um die Sicherheit von symmetrischen Algorith-men zu vergrößern, beruht auf der Idee, denselben Algorithmus mehrfachanzuwenden:

y = ek2(ek1(x))

1. Zeigen Sie an einem einfachen Beispiel, dass eine Mehrfachverschlüs-selung mit einer Rotationschiffre keinen Sicherheitsgewinn bringt.

2. Zeigen Sie an einem einfachen Beispiel, dass eine Mehrfachverschlüs-selungmit einer Permutationschiffre keinen Sicherheitsgewinn bringt.

3 Der Data Encryption Standard (DES)

Lesen Sie das dritte Kapitels aus dem Buch Understanding Cryptography Paarand Pelzl [2010]. Ergänzend können Sie den Videomitschnitt der Vorlesung onlineunter folgenden Links anschauen.

http://www3.emsec.rub.de/Vorlesung/Kry_06.html deen

ÜÜbung 4: Bit-Lawineneffekte im DES

Für eine gute Blockchiffre ist es wünschenswert, daß bei der Veränderungeines Eingangsbits möglichst viele Ausgangsbits verändert werden (Dif-fusion oder Avalanche-Effekt). Im folgenden werden wir versuchen, die

Seite 10 Der Data Encryption Standard (DES)

Diffusionseigenschaft von DES zu überprüfen. Wir verwenden hierzu eineEingangsbitfolge, bei der das Bit an der Position 57 gleich Eins ist (x57 = 1)und alle anderen Bits gleich Null sind. Die 56 Schlüsselbits sind ebenfallsalle gleich Null. (Beachten Sie, daß die Eingangsbits als erstes die Eingangs-permutation IP durchlaufen!)

1. Auf welche S-Boxen wirkt sich dieses Bit in der ersten DES Rundeaus bzw. wie sehen die Eingangsbits aller S-Boxen aus?

Auswirkungen auf: (Ankreuzen)S1 ~ S2 ~ S3 ~ S4 ~ S5 ~ S6 ~ S7 ~ S8 ~

Eingangsbits:S-Box 1 S-Box 2 S-Box 3

S-Box 4 S-Box 5 S-Box 6

S-Box 7 S-Box 8

2. Geben Sie das Ergebnis nach der ersten Runde an. (L1 und R1)

L1

R1

3. Ermitteln Sie das Ergebnis nach der ersten Runde für den Fall, daß alleEingangsbits gleich Null sind (d.h. auch x57). Wie viele Bits habensich in L1 und R1 im vergleich zu Aufgabenteil b) verändert?

L1

R1

Anzahl geänderter Bits:

ÜÜbung 5: Nichtlinearität der S-Boxen

Eine wichtige Eigenschaft des DES ist die Nichtlinearität der S-Boxen. Indieser Übungsaufgabe wollen wir diese Eigenschaft verifizieren, indem wirdie Ausgangsbits für verschiedene Eingangsbits in einer S-Box Si vergleichen.Zeigen Sie, daß für S5 das folgende Entwurfkriterium gilt:

Si(x1)⊕Si(x2) 6= Si(x1⊕ x2).

Benutzen Sie die folgenden Eingangsbits:1. x1 = 010100, x2 = 110001

3 Der Data Encryption Standard (DES) Seite 11

2. x1 = 111111, x2 = 101000

3. x1 = 100001, x2 = 011110

ÜÜbung 6: Permutationen im DES

Wir möchten überprüfen, ob IP−1 die inverse Operation von IP ist. Wirbetrachten den 64-bit Vektor x = (x1,x2, . . . ,x64). Zeigen Sie für die Bits x8,x22und x58, dass IP−1(IP(xi)) = xi gilt.

ÜÜbung 7: DES-Entschlüsselung

Ein Freund hat eine Nachricht für Sie mit dem DES verschlüsselt und hatIhnen den zugehörigen Schlüssel auf einem kleinen Stück Papier in derVorlesung zugesteckt. Da der Zettel von einer Ecke abgerissen wurde, istleider die letzte Stelle des hexadezimalen 64-bit Schlüssels (=16 Hexzeichen)nicht vollständig lesbar. Erkennbar ist noch, dass das fehlende Symbol eineZahl sein müsste.

1. Wie viele Möglichkeiten müssen Sie unter diesen Umständen imDurchschnitt und im schlimmsten Fall durchprobieren, um den kor-rekten Schlüssel durch Ausprobieren zu erraten? (Hinweis: DES ver-wendet 56-bit Schlüssel, aber es ist ein 64-bit Schlüssel angegeben.Die „überflüssigen“ Bit des 64-bit Schlüssels sind nicht willkürlichgewählt.)

2. ImÜbungsordner befindet sich dieNachricht E-Mail_ciphertext.hex.Das Programm CrypTool finden Sie im Ordner zu Übung 3. Gegebensei der Schlüssel B3 3A 89 2B A5 2B CC FX, wobei X nur bedingt les-bar war (siehe Hinweis weiter oben). Verwenden Sie die im CrypToolvorhandene DES-Entschlüsselung, um

a) den korrekten Schlüsselkandidaten herauszufinden

b) die Nachricht Ihres Freundes zu entschlüsseln.Hinweis: Beachten Sie, dass Sie die Entschlüsselung im ECB-Modusverwenden. Was sich hinter diesem Entschlüsselungsmodus verbirgt,werden Sie in den nächsten Vorlesungen kennenlernen.

ÜÜbung 8: Brute-Force Schlüsselsuche

Ein generischer Angriff auf Verschlüsselungsverfahren ist das systematischeDurchsuchen des Schlüsselraumes, indem für einen bekannten Klartextjeder mögliche Schlüssel ausprobiert und mit dem abgehörten Chiffretextverglichen wird. Dieser Angriff ist auch als Brute-Force Angriff bekannt.Wie schnell der Angriff zum Erfolg führt, hängt im Einzelfall vom gewähltenSchlüssel ab und an welcher Stelle er beim Durchsuchen probiert wird.Dennoch kannman allgemeineAussagen über die Erfolgswahrscheinlichkeitdes Angriffs bei Verschlüsselungsverfahren machen.

1. Gegeben sei ein Verschlüsselungsverfahren mit 56 Bit Schlüssellänge(DES).Wie viele Verschlüsselungen benötigt man für eine erfolgreicheBrute Force Attacke (I) im Durchschnitt und (II) im schlimmsten Fall,wenn der Schlüssel als allerletzes gefunden wird?

Seite 12 Der Data Encryption Standard (DES)

2. Sie haben einen günstigen Computer für 350 EUR mit einem Core i7Prozessor und 4 ·3 GHz zu Verfügung. Dieser Rechner schafft 10 Mil-lionen DES-Verschlüsselungen bei 56 Bit Schlüssellänge pro Sekunde.Wie lange (Jahre und Tage bzw. Tage und Stunden) benötigt eine erfolg-reiche Brute-Force Attacke mit diesem Rechner im Durchschnitt?

3. Nehmen Sie an, sie haben insgesamt ein Budget von 17.500 EUR.Wenn Sie für dieses Geld Computer zu je 350 EUR kaufen, wie langedauert dann eine parallele DES-Schlüsselsuche im Schnitt?

4. Ein Spezialcluster mit 180 parallel arbeitenden Hardwarebausteinen(FPGAs) ist ebenfalls für 17.500 EUR zu realisieren. Ein einzelnerHardwarebaustein hat insgesamt 4 Rechenwerke, die jeweils 120 Mil-lionen DES-Verschlüsselungen pro Sekunde schaffen. Wie lange dau-ert es im Durchschnitt, bis dieser Cluster einen DES-Schlüssel miteiner Brute-Force Attacke erfolgreich knacken kann?

ÜÜbung 9: DES-Entschlüsselung

In der Vorlesung wurde gezeigt, dass sich die Entschlüsselung nur gering-fügig von der Verschlüsselung unterscheidet. Dies liegt an der besonderenStruktur, die nach dem Erfinder Horst Feistel benannt wurde.

1. Worin besteht der einzige Unterschied zwischen einer DES-Verschlüsselung und einer DES-Entschlüsselung?

2. Zeige, warum dieser einzige Unterschied ausreicht, um aus einer Ver-schlüsselung eine Entschlüsselung zu erzeugen. Hinweis: Ein guterStart für den Beweis ist die 16. Runde der Verschlüsselung.

ÜÜbung 10: DES Bitkomplement (Etwas kniffelige Aufgabe!)

DES hat eine erstaunliche Eigenschaft bezüglich des bitweisen Komple-ments der Eingangs- und Ausgangsbits. Wir werden diese Eigenschaft indiesem Problem behandeln.

Wir stellen das Komplement einer Zahl A (d.h. alle Bits dieser Zahl wer-den invertiert) mit A′ da. (Bsp.: Wenn A = 0110 ist, dann ist A′ = 1001.) “⊕“entspricht dem bitweisen XOR. Wir wollen folgendes zeigen: Wenn

y =DESk(x)

dann gilt auchy′ =DESk′(x

′).

Das bedeutet, wenn wir das Komplement des Klartexts und des Schlüsselsbilden, dann werden die Ausgangsbits auch das Komplement des orgina-len Geheimtexts sein. Ihre Aufgabe ist es diese Eigenschaft zu beweisen.(Tipp: versuchen Sie diese Eigenschaft allgemein für jede beliebige Rundezu beweisen, anstelle alle 16 Runden durchzurechnen!)

Verzeichnisse Seite 13

Verzeichnisse

I. Kontrollaufgaben

Kontrollaufgabe 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8Kontrollaufgabe 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

II. Tabellen

Tabelle 1: Verteilung der Buchstaben in deutschen Texten . . . . . . . . . . . . . . . . . . . . . . . . . 8

III. Literatur

Christof Paar and Jan Pelzl. Understanding Cryptography - A Textbook for Students and Practitioners. Springer,2010. ISBN 978-3-642-04100-6.

Anhang Seite 15

Anhang