Kapitel 6 Der Advanced Encryption Standard Rijndael

Kap. 6: Der Advanced Encryption Standard Rijndael

Dieses ging von Anfang an davon aus, daß der zu wahlende¨ Algorith- mus stark¨ er sein musse¨ als Triple DES; er sollte zwanzig bis dreißig Jahre lang anwendbar sein und dementsprechende Sicherheit bieten. Nach einer internationalen Konferenz uber¨ die Auswahlkriterien am 15. April 1997 verof¨ fentlichte es am 12. September 1997 die endgultige¨ Ausschreibung. Kapitel 6 Minimalanforderung an die einzureichenden Algorithmen waren danach, daß es sich um symmetrische Blockchiffren handeln muß, die min- Der Advanced Encryption Standard Rijndael destens eine Blocklange¨ von 128 Bit bei Schlussell¨ angen¨ von 128 Bit, 192 Bit und 256 Bit vorsieht. §1: Geschichte und Auswahlkriterien Als Kriterien fur¨ die Wahl zwischen den einzelnen Algorithmen wurden DES wurde in Zusammenarbeit mit der National Security Agency der die folgenden Aspekte genannt: Vereinigten Staaten von IBM entwickelt und dann als amerikanischer 1. Sicherheit: Wie sicher ist der Algorithmus im Vergleich zu den Standard verkundet.¨ Diese Vorgehensweise weckte von Anfang an den anderen Kandidaten? Inwieweit ist seine Ausgabe ununterscheidbar Verdacht, daß moglicherweise¨ eine Falltur¨ “ eingebaut sei, insbeson- von der einer Zufallspermutation? Wie gut ist die mathematische ” dere da zumindest ursprunglich¨ nicht alle Design-Kriterien publiziert Basis fur¨ die Sicherheit des Algorithmus begrundet?¨ (Im Gegensatz wurden. zu DES sollten dieses Mal alle Kriterien publiziert werden.) 2. Kosten: Welche Lizensgebuhren¨ werden fallig?¨ Wie effizient geht Nachdem dreißig Jahre intensiver Kryptanalyse keine Falltur¨ gefunden der Algorithmus mit Rechenzeit und Speicherplatz um? haben, mußte¨ diese – so vorhanden – zumindest sehr gut versteckt sein; 3. Flexibilitat:¨ Ein Algorithmus, der auf einer Vielzahl von Platt- aber egal ob mit oder ohne Falltur:¨ Wie wir im letzten Kapitel gesehen formen implementierbar ist (PCs, 8-Bit-Prozessoren, ATM-Netze, haben, erfullt¨ DES mit nur 56 Bit Schlussell¨ ange¨ nicht mehr die heutigen HDTV, ¡ ¡ ¡ ) ist vorzuziehen, genauso einer, der auch als Strom- Sicherheitsanforderungen. Ursprunglich¨ war er ohnehin nur fur¨ eine chiffre, kryptographisch sichere Hash-Funktion oder ahnliches¨ ver- Laufzeit von zehn Jahren vorgesehen und wurde nur immer wieder wendet werden kann. verlangert,¨ weil die meisten Anwender von Kryptographie außerst¨ trage¨ sind und sich nicht um Fortschritte der Kryptanalyse kummern.¨ 4. Software: Der Algorithmus muß auch softwaremaßig¨ effizient implementierbar sein. Obwohl es die Internationale Standardisierungsorganisation ISO ab- 5. Einfachheit: Der Aufbau des Algorithmus soll moglichst¨ einfach lehnt, ein Kryptoverfahren zu standardisieren (Ein Grund dafur¨ ist die sein. dann befurchtete¨ Bundelung¨ krimineller Energie auf dieses Verfahren), hat das das amerikanische Handelsministerium die Suche nach einem Nicht nur die Art der Suche unterschied sich also betrachtlich¨ von der Nachfolgealgorithmus fur¨ DES am 2. Januar 1997 international ausge- DES-Entwicklung hinter verschlossenen Turen,¨ auch die Auswahlkri- schrieben; der vorlaufige¨ Name des Algorithmus war AES (Advanced terien hatten sich geandert:¨ DES war noch in erster Linie fur¨ Hardwa- Encryption Standard). Federfuhrend¨ fur¨ die Auswahl war das National re entworfen; manche Aspekte wie etwa die fur¨ die kryptographische Institute of Standards and Technology (NIST) in Gaithersburg, Mary- Sicherheit vollig¨ irrelevante Anfangspermutation hatten wohl keinen land. anderen Sinn als die Verlangsamung von Software-Implementierungen. £ w 4- on 23 sie am v we- eine eng- Ne Rain sind. RSA Eng- noch Han- ¨ orper vison ” auf einmal K AEMEN im die , ¨ in amisch, on Di RC6 Themen Elektro- ann “ aus D Standard v NIST Fl w im wurden gibt nominierte. der immer aren 31, AN eine ¨ uber Dahl das 2000 O definiert w folgende RC6 Es werden. J an en AES wir daß wissen, ofish ¨ andisch, ¨ Operationen ahlt. ¨ w orper IBM, Rijndael April Reign arbeitet amerikanische Processing 1997 Standard zum Kryptologen, Leuv T ” w ommen. K wir ertraut Kryptologen k : on Autoren v ¨ at definiert. ge Autoren “ v Abschnitt 14. das 59, zwei Niederl drei die IJMEN brauchten ersit ommen R Grundrechenarten Standard ¨ orper v und k on 2000 diesem on mußten Rijndael ein dann v erwunderte, K v ersten Belgien beiden k v die Rijndael (MARS Uni on 13. Information ” geben in Serpent v im ihn ¨ yption uber geschlagenen dazu die algebraisch hatten; Jahres Ersten en zweitens or am ahl v USA durch seinen beziehungsweise diesem weiter Encr Serpent ortes Rijndael eitungen W des sind sind; und viert W on die Federal Leuv ¨ aus undete den mit v und der sprechen, ¨ 1995 at ¨ nicht Stimmen, ur anced ist, erk als f eiten des Personen, Katholischen v orber Drei . onferenz es Algorithmus promo die 86 Adv “ gen, ersit Polynomring daher wesentlich: ¨ V ur Rijndael , f v der realisiert Namen daß Der im fiziell on ¨ at 2001 wir Dahl ¨ onlichk v Uni anderen Ringe Counterpane), Aufgrund of 6: Rijndael Afrikaans AES-K Byte-Ebene, so ischen IJMEN Dinge Norwe . die R on akult Pers Rijndael seinen v auf ¨ 13, ussen F Kap einer Rhine und oder 2000 zwei ¨ ” m ubrigblieben: UKLID hat Elementen dritten E ¨ Kryptographie ortern, Postdoc. Dezember ofish Approximationen eiler INCENT und bekam w Israel T Algebraische ¨ Operationen amische 6. als der MARS V T Aussprachehilfe 256 “ den erstes der Katholischen fl Euklidische Oktober 2: ¨ ork ur Finalisten und land, der delsministerium Am Bei FIPS-197. Rijndael technischen und mit dort aus als Alle Operationen und Byte-W Y Als 2. Surinamer Als Doll § lische a) F sentlichen Zahl - L. zu er sie Da ¨ der be- der der unf , ¨ und ugt, ent- sich f enta aren, 1998 emp- ¨ g ahren ¨ ultige (Preis schon urlich wenig in gn ¨ ur w daß August der f ¨ gibt. uhrte Spezial- erf be onferenz onferenz einer Ma f nat unter ist noch V ar geben: Juni nur gends K K Programm endg 20. ¨ welche ur Kalifornien f zw auf ERGUSON nir ¨ die ussel daß innerhalb Rom F 15. der der Die and den ahren nach die and so in er N. erf Schl deutlich man auf auf auf am je (darunter entura, , Kandidaten V Algorithmen “ eingebaut bekanntge V Aufw V ommentierung Algorithmus, wurden O herausgestellt, gt Kryptographie Hack der 1999 Algorithmus K daß sollten. ¨ in achen, are einer ache noch lie andererseits 1999 YUK die der sich in der August ostenaufw Empfehlungen, und hohen eliminiert, sind, IR April aren, ¨ die Diese unfzehn K 1998 Schw dubiosen f schw B einzige abeschluß , w 2007 ” 20. mit sich werden en sie und hatte 23. betrachten. elt. langsamsten A. alls den Unternehmen wurde der der den August einen Abg , fice-Softw am W HWS gen zu gend viele und auch 9. lediglich ¨ HAMIR Analyse die usselraums August knack Of S dort mit Kandidaten ebenf zu ahrung erst auch zum IHAM 22. am zu aller durch zur mit gebnisse Schl A. B es betrachtet ¨ unf ar Erf ohinge weiter geknackt f vierzehn man Er yptologie bis am w w E. wurden lieber and aus 20.–22. Algorithmen Kr daß und zeigten schwerwie die wurde fentlicht; auch , wurde Er der spezialisierte $), on daß noch ¨ weiter of diese v om so sich achwelt ¨ uhrte orhandenen v ¨ Aufw er om agen f F aber v sie boten, wurden gesamten v 250 da onferenz , onferenz NIST durch K und ¨ ur elek geben. freilich nicht der CHNEIER ung des T oder Arbeit und gezeigt, Geheimdienste orschl S en des ¨ einem lassen. ußte; der daf V orteile Kandidaten $ hat Diskussion eingereichten ¨ m achlich onferenz V und B. ohnehin AES-K Algorithmen en der 40 scheut onferenz mit , Algorithmen ats der K Knack T wurde. nichts ¨ der unf ¨ ahrend bekanntge ¨ aftswelt are betrachtet f datierten ersten Magenta) weitere ¨ unf w Ausschreib AES-K ¨ unfzehn der zweite in Deutschen f das f gestellt NUDSEN

¨ ¢ unf erteilt or or ¨ ¨ ur unfzehn Inzwischen Gesch hardw die f zwischen zu sten außerhalb beeindruck Die v fohlen. der v selbst reits 1998 K Die v einer f Bei Entscheidung entweder Durchsuchung auch diese sprach F scheidende allein eliminieren

2 -

. 1

ei- 0 als or of- die ,

Po-

v $ eiler nicht Rest, T ¨ genau ¨ onnen minus jedem uglich drei k gilt: Element

Elemen- 2 und mit

aus berechnet bez eiler

. 0 ach und

ohl T wenn folgt heißt Gruppe, . ¨ solchen ein

ochsten

¥ / w

, ¥ sind, h on e gemeinsamen zwei Einheiten; und einf =

vison v v

so ist erses

g v je sechs der als de eilers ist einen

so 2 ﬁzienten

In on T hier eiler ,

zu ¨ Rijndael

v ¦ on

oßten mit

¥ 0 ur

T v wir oef F gr ein es + Algorithmus

g gibt

atsbereiche ¥

Polynomdi 5 gemeinsamen hat v de multiplikati ¨ atsbereichs eiler

eiler 0 mit

gibt ¦ Eins: T

T /

= 4 einen grit

Standard

¦ Exponenten

grit .

ischen deﬁnieren: eine eiler Funktion

der ¥ ¨ d.h. oßten Inte oder T beispielsweise ¨

ubliche bezeichnen gemeinsamen Inte Ist den gemeinsame sind, gr yption 1, 0 ein die eiler mit Ring UKLID eiler T die = = aus

In 0 T es

. 1

. 2 ombination

Encr

also ¨

oßte

null

5 7 eines

¨ ¥ oßten

obei 0 gr die gemeinsamer gemeinsamen gr zeigt Zahlen: w = + ischen dem

Polynomen

6 Elemente mit

wenn 1 ¨ ussen:

anced 4

, und deﬁnierten gleich Lineark zwei insbesondere ist,

gemeinsamer 6

Hier

0 1 ¨ oßter

Einheiten Adv eines = so nach zuordnet,

zwei 1 spielen UKLID mit als gr

gemeinsame 7 daß E Element + ¨ je sein Solche weiteren

urlichen die Der Ring beide die ¨

oßter / und Ringe

so gilt: 1 ein 6: zu sich kann Grad nat ¨ gr Element oßte Rolle . Ein

-Potenz. % = at Zeichen daß

gr . jeden Existenz einem ¨ T aßt nicht a) der drei ein l bilden Kap gibt, Einheit Einheitengruppe in ischer

ische ¨ ur Sind

, ¥ heißt In f

bestimmt ¦

seinen ¥ es der Dieser

dort all die Die und

1 F ,

eine 2

in Allgemein

minus UKLID ¦ UKLID beachte,

besondere gibt es im wenn

1 0 E auch Multiplikation. E weis: eiler ommenden on

daß neun. Lemma: eindeutig wie auch fensichtlich werden Eine Be ein lynome Da b) und Man darstellen. der wir gibt T ler v Polynom Deﬁnition: sogenannte ten k ¥

im ¨ up- mit vie- auch gilt:

visor

Ring; Di erkn V man alle mit wenn werden

der ¥ endlich ischer 0

¨ ur h,

# zwei

zusammen als kann

gilt $

eic

nach

= ¦

mit UKLID Polynomring E

ung

alls

§ , f

¨ atsber

es ¨ kleiner atzlich der Ub ein Reste

( $

)

(

. Eigenschaften

grit

zus !"! und gibt

Als

eise

gilt: ¨ atsbereich

)

zusammen W 0

Inte ¥ 1 alls 2007 0 +

orper Zahlen f ( )

mit

die

grit K

(

beiden

= ist

daß +

HWS

¨ ¦ werdender

setzen.

= heißt

Inte

gilt Eins,

. ¥

)

!*! ,

+ )

so anzen

gilt: 0

formalisiert:

jeden ¦

isch

Menge

ein Diese

gendeiner )

Eins

mit ¦ © + =

und ¦

Gruppe

ur on ir

die

der f

kleiner

= )

auch

v alle yptologie ist

( ¦

eine

¨ in mit ur

( Rings

1 UKLID Kr

&(' ) ¨ ist ur Ring muß. 0

=0 f daß

, + ¥ E

ist

alle

Ring

Ring © alle immer eiler Rest

Ring ¥ Ring ist, ¨ ach

abelsche

T f = + = ischen

Ring

¥ ¥ er = ]

% der

der Element der

Elementen

) v

einf uns Zahlen

olge

eine § [ F

Ein $ ischer ist =

ur ( jeden daß abbrechen

ein

¥ ¨ die f UKLID ) ist wir

a) ¦

zwei

ommutativer E

ur = ¨ k ur :

schen

)

jede +) + f

¦ ¦

gibt ¥

UKLID § ommutati ¨ des ur

( ( +

E USS k f ( Es und Zu F zeigen, ¨ onnen A Abbildung obei heißt

k ¥ Rest, Schritten G w Ein grif fensichtlich Ein

2.) 1.) 4.) 3.) 5.) 7.) 6.) ¤ Of der b) c) Interessanter d) einer mit fungen ist, Deﬁnition: leicht hier len Be ? , -

9 @ er sa- ist, lie- nur des on-

2 ; wird aber K ische einen wird. ¨ otigen,

3 @ orm und

F % daher ach erschiede- ben haben, UKLID v wissen Existenz ist E bestimmt ohlbekanntes einf ir w Primzahl allgemeinen null die der W werden ¨ orpern eiler ein T im on K Sinne Rijndael v ﬁzienten , mit daß ¨ , ahlt einer ggT ist erschwindenden . omplizierten Quotienten Einheiten w oef k 1 3 Schritt: 25 alle daß Es 441

K daher

der ; seltsam. ge . so auf den

+ % nichtv 2197 Standard

2 % endlichen das, sind 102500 modulo Rest bis eins. man Rest

auf ; vialen gendeinem 9 einer

gemeinsame ; 9 1

ir % Nenner als sei einer ¨ nur uber yption

in ¨

+ A und uhrt heißt Belieben in ¨ 2

orper %

> 4 % bleibt ¨ oßte K anzzahlige ¨ ist mit ummern. 543589225 543589225

3 ¥ Zahlen nichttri Encr g

1288744821 1288744821 A gr k eiler Computeralgebra, 5 9

nach ; T großen ¨ und 25 = = osung 6591

117 erbleibt

zu ; Primzahlpotenzordnung gebnis wendet L

5 5

¥ ¥ 233150 gibt der v Der so einem durch einen =

anced = Er Polynome er und anzen =

kann on

= ¥ durch g

2 ¥ on

4 ¥ v ange

3 ¥

Adv

2 ache ¥ v nur das ¨ weiter uber vison on v die einem allem on es Di Der einf per v Problem ggT daß on Multiplikation or gemeinsame 6: v ab ¨ or angspolynome Einheiten. mit nicht v durch “ onstante . daß

g > Beispiel K K ggT vision auf diese ¨ ahlt, der ¨ Kap oßte das ” letzten ggT Di aber w Ausg on ein gr bis vision weis, v ge diese obige “ uns der Polynomring bilden, ein wir Di visionsrest Be ¨ urde, so onstanten eins der umgehbares) da das im Di bei w K beide ” der Endliche vision ¨ orper fert; braucht b) (und Algorithmus K Beim Di bei Da auch berechnen: und und nen scheint und daß gen eindeutig stanten; Auf meist ¨ ur Im f der mit ¨ aßt. und ,

sind ¥ l Rest visi- ¨ oßter ¨ 1 oßten Di

gr wie so = gr gemein- eiler

sein 7

6 1

ohne 6 Deﬁnition allend.

gemeinsa- 7

Gleichung 7 f es 2

Darstellung :

gemeinsame

& 9 einem 5 einen

; schreiben

und

v ein werden =

nach

letzte ¨ strikt

ist. % oßten ¨ wenn oßte

mit 0

; folgt solche

gr gr dann = ist gleichzeitig und 2

21 7 so Die eiler

on und 1

dann

0 6

, 6 T v ,

+ 7

1 1

und % eine

und

2 % ist. gemeinsamen

enden

;

und

& 9

)

deﬁniert

jeder 7

einen dann = on

9 genau

5 6

v ) ; 8

eiler 1 1

und

, : es

; 1 ( T

ist

v on + es auch da on liefert sich (

¨ daher oßten

2007 5

2 % + 3 ,

= 1 er gr zu mit

)

& 9 6 genauso + 0

ggT ¥ 4 gibt

daß 7

atsbereich

HWS

;

wenn ;

muß

4 4 dieser eiler = eiler

den

, 1

muß

T < T ein eiler ( = 4

grit %

4 %

) 7 T Zahlen

ombination = kann

) 7 ist.

6 6 und

1 6 Einheit Daher

= 1 eilers 5 dort zeigen, 3

Inte

9 & gemeinsame

und ;

T ;

der 6 auch Algorithmus

yptologie

und ein

ist. ¦

ein wie ¨ gibt, 6

ur % 2 = das

Lineark

(1 1 noch ¨

oßte

Einheit

olge :

& 9 on 3 ische

F v on gr + als = gemeinsame v wir

somit

= daß wir (

und > gemeinsamer

genau eine betrachtete und die

Algorithmus

7 7

gemeinsamen

UKLID eiler 7 ggT zwei gibt eiler = E T und ollen on

ist

und

6 = folgt, gemeinsamen

¨ 1 T dann ussen v oben on = w denn ist daß ische v

Es 6 oraussetzung v ¨ m

oßten 1 0

V 6 on

die 7 Also

= 6 v

eiler 7 ¨ . und

oßten

6 null, 1

Polynome 1

genau 1

ehrt. zeigt,

eiler ¦

insbesondere

Zahlen, ¥ =

UKLID 7

6 1 nach

indukti

7 ¥ E erweiterte behauptet. Beispiel

einen

= 8

alle

eiler 1 anze ¨

ur 0 Schließlich T Der g f sind wie Als Der Sind und teilt; da umgek eines beide samer onsrest rechts beiden F gemeinsamen men gemeinsamer $

FG 1 hat om der auf gibt + v aus aller ¨ dabei ange- allige

sich. % indem

, + erweist uch Compu- zuf Hier entweder Beispiele Grads Standard- Polynome Polynomen unten , der ¨ andert quadratische on gefunden

mod H ) Lehrb Grad v muß Polynom

0 ﬁzienten

on ) in ist lange machen,

eitere

1 v entstehen Da ﬁzienter 0 1

;

$ oef om W

ef so 1. + v

K %

+ ; desselben ¨ Rijndael uber

¨ % jedem + osung hat, ¨ orper

irreduzible 2

L % omplizierter:

K mit

)

Polynom + ¨ k man orper es irreduzible

K irreduzibles + zur Zahlen. Basis

1 =

§ deutlich

weisskizze

irreduzibles =

( § man daß gibt Polynom

Standard

§ 1

en + ein Be + einem die jedes

etw

als % x 2 reelles Grad Polynome

ein

Multiplikation ;

+ 1

Polynom = zu 2 Nullstellen

) +

¨ ur

als om

9 & f man yption ﬁndet e v

( % damit,

kurze =

endlichen 0 dem

omple Praxis ¨ ur also und +

k & bis ( F Polynom Encr 2 2

Algorithmus % lediglich

+ $

Situation H : mit weis

= & 9 der

irreduzibles – Eine der

)

irreduzible ) meist

omple irreduzibles das 1 0 Be

in die = k

& 9

haben, ¦ ein anced + Ausdruck (

gebenen

I ein

0 ist

1 erzeugt, zwei sich ¨

Polynom ¦ orper ge =

sich +

(

9 & Adv

¨ ¡ uhren. Zahlen ist Multiplikation ) K

% ¡ or zwei

¡ v

daß D denn ¨ ektorraum en der

andigen achen ¦ Der ) , man 1 x die

V ¨ +

orpern

den

onjugiert %

& 9 ¦ Grad k K

¨ .

( orper einf Grad ollst hier ¨ aren.

mindestens deterministischer der

v und K

Beispiel

nicht, + beispielsweise einem also ( Kap ,

om + omple irreduzibles )( es behilft v erkl k ein oder 0

zwei

= auch sich einen

-tupel + ¨ uber k ein

einen + die +

gibt H

jedes % ¨ gilt aßt eins endlichen Algorithmus, es l Grad gleichen erhalten ein ¨ folgt ur manch gibt

f ein alls om ( ¨ ¨

Grad Algebra. Es deutet; dings den v Polynom Grad Bekanntestes – uber immer identiﬁzieren F gibt, als modulo Uber ist, wir es problemen. Polynome teralgebra wir

C = = = =

; ist, die be- das das des g

¨ ¨ = dem oßer uber als = 1 on

on = de und v eit immer gr v

daß

= A wenn und eduzibel. Primzahl , als Grad identiﬁzie- gleich erweiterten ggT

irr = ist Grad all, Grad ektorraum ist. mod

klar

F .

V und v einer Polynome

der

Neutralelement dem Polynom ist Polynomen, der kleiner heißt ¨ oßeren 1 der om ist mod 1 mit zu das v

es wir dessen gesehen ach gr = ombinierbark

on = 1 + v Polynomen nach

K 1 wenn

¨ E daß ur Grad

Primzahl E ers f assoziati einf dann v und ,

ist A ;

Zahl

$ = also, kann gebenen

, 1

in C indem der + Polynom

= A ge und und dann,

obei

A ist

ausgehen

dessen

( @ or w ¨ urlich eiler gebenen linearen 2007 ,

einer genau v

Polynom A v ¨ Addition

uber

, ; 1 T

]

% mod aches Algebraisch

ge A

nat

¦ der

. = solches or

HWS

[

$ genau daher sich

ggT ielf E v Polynom sicherstellen, ¨ ist ochstens V deﬁnieren, und h einen oder aus einem Ein = wir k der

Zu A ein onstante

ommutati = wir ¨

. E hat, ohnliche k ein k

lassen = Polynom ist. wir ¨

ochstens E und

k durch = w ist fensichtlich berechnen. yptologie

hat, A Polynom orper

h Grad

daß

D ge of ¨ K Kr onnen die Das aktorring g + Polynome k modulo ¨ als ussen F jedes Zahl

om $ 1 on ist Multiplikation. zu de eiler v m die v Grad alsdann T = jetzt ¨

ullt. A die daß als daraus, dem ersen, Polynom ist

Grad daher ist; dies erf v om zweier hat, beliebiges Neutralelement,

wir A v ¨ dieser orper In alls Rechnen mit vision f

Polynome Algorithmus und vialen Multiplikation K ist ein eins Polynom en Di Polynom ¨ sind; ochten, kleiner v ist, erses setzen ollen ¨ ur also v

m C vgesetz w F ¨ uglich der Addition ein kleineren In ischen und solche

geeignetes nichttri wir erses festen uti eins gleich

wir = v onkreten bez Polynome bei ist folgerten k es Produkt in Die ein wir ein deﬁnierte null

enn B UKLID alls einen ¨ ur ren so auch Nullpolynom Distrib als dies trachten: F aller ist. haben; gibt und ist, teilerfremd k Das Ein f Rest d.h. E multiplikati W ggT gleich zum einem Genauso

- e

je F er die xa- auf und und also T ¨ sehr angt Rest Byte einer Grad eines akto- ) zeigt, h He +

F gebnis, kleinen alle bei .

Zweck % ist

hat, ¦ wird

om J 2 das man ussen, hat.

1. ¡ Er v

ar ¡ m + ¨ ¨ frige

orper

urlich ¡ die weitere = ermen

¦ % zw

noch = K und erschwinden- das T Grad kann

nat ¨ ur , ¨ uber f ¨ x

oglichst

¦ ¡ vier + 1

he J

8 2 ¡ ¨

;

unf m auch

5 zweizif %

Polynom ¡ ¨ werden uhren zeigt Polynom ; nichtv ( 02 f Rijndael ¨ ahlen 1 diesem

= als

w ¦ Insbesondere + das 255 mit

+ % Rest geht

¨ % in als oglichen folgen . das hier ir 7 +

andt %

Polynom

% jedes J 256 on ﬁzientesten w ab Primzahlordnung Diese W sieben und Rest v + ¨

are

meist § ef

erme Standard Byte

% % wie in on T w aus v ¨ ange unf; + gibt. danach

I kleinstm § Am schnell; Rechnen ein solchen erme ;

+ §

. % Polynome

8 % Bytes

T § yption

4 % ach aus Polynoms

9 % Polynom acht haben, den + Polynoms sehr ¨ orpern wir weniger

6 % Beispiel Encr + Rechnen haben. des einem bestehen K also

8 % je erm dem des mehrf Rest

Grad , T siebzehn hinteren schreiben

das ¦ praktische Rest ist. ¨ siebzehn anced = uber Computeralgebra + ahl ir Polynom om ¨ ¨ ur oher )

7 %

in % die der f v Polynome W das h W modulo schreiben Adv Rest der ¨

auﬁger I

( R

7 Polynomen Polynome h dem entspricht der Polynom entspricht betrachteten ¨ Der uhrenden erme noch aber

8 % diese gung optimal f aktorisierung dann T umso , 6: F on mit halber restlichen aktoren Im . das v 0010 F umso eit Polynomen die 0101 den es daß Alle auch dreißig folgende: Inspektion der die ¨ , Festle orper Kap

Reduktion J 2 on K in ist stark der v wenn 0000 Hinsicht wird Grad achheit 1010 der Polynom man, dreißig = zudem omplizierteren haben. acht ermen, ¨ uber x k AES genaue Bei Einf es das T dies Byte letzteren. Grundalgorithmen ¨ he urlich dieser ¨ oheren on

Die Dreizehn den me. der der acht Geschwindigk Der Grad ist; das in benutzt identiﬁzieren v dezimalzahlen: risierung viel h A5 daß nat rechnen, denselben wenn Grad daß = - 8 ¨ ur 2 on eit er f die die om q-1 v und sehr v

eiler JON sind. = einer ¨ ¨ orper orper große T dieses origen Da gerade K ist einerlei v alle zu Elemen- k

; ¨ 256 orper und im ¨ uber recht Da

K irreduzibles stellt aktoren Polynome da

Eindeutigk

K J ¨ auch kleine allungsk F Operation, ¨ mit wir ur isomorph sind ¨ ubereinstimmt, Nullstellen f Prozessoren Grundoperation ein ¨ ur 1

ie ; f Gruppenordnung Addition der Zerf irreduziblen man . W eine das Computer aktorisierungsalgo- alle

als 1 kleiner ¨ , orper wir , Oder

F = der

noch 9 Die gen der ¨ 0

K oglichen K

vielen M die Ordnung ein . um

Elementen: J 8 2 we sehr in v

Oder & ommt eiler Bedeutung; Elementen

der Q eiler

irreduziblen

K J e T hier mod T zumindest daher v

Die % ein

genau

ﬁziente JOK folgt auch = Computeralgebra die

2007 J 2 brauchen 1. xklusi ef

bestimmen:

M die mit

kann. ; erarbeitung e endlicher sich ormel ist. e, also zumindest diese zu Polynoms ist xklusi Die Gruppe F es HWS v 1 Gruppe e zentraler ein Da

e 9 mit genau ektorraum 1. dem alle ¨ v orper .

hat K

;

JLK % Daraus des ¨

V J orpern 2 sondern sind . man on K ¨ Signalv

Element P JON

K J

f N das einer mit ist, = schnell

obiger

% J deﬁnieren, 2 berechnen handelt Algebra den on alle yptologie daß der ¨ Alternati

orpers J bitweise das 256 v 1 Polynome Elementen ¨ uber sind Kr CPUs, K zu aus sehr Zahl in in = Ist der ¨ so uber hat, um ¨ ¨ ur uber daß f das

1 P eine 1 1

multiplikati ; Nullstellen eiler

256

;

9 des diese

ist:

J N acht schnell

Elements K

T M

endlichen

J 256 hier ¨ orper 0 v somit haben, 1

kleine eine K auch ¨ mit angigen

alle ¨

ugung,

ein

9 ¨ orpers, on Polynoms

Sprache

= K g

in M

Addition JLK v Grad ¨ jeden uber sich 0 und erf relati onsequenz Grad

der

V per des der

K Q

es die + den

ist

eiten, $ om on ¨ gesehen ist in or Multiplikation v v anwendbar Anwendungen insbesondere den in ziemlich eines zur Da ¨ allungsk K on 1;

allerdings ; ist Interpretation also Addition v nur gilt Grad eine eine AES weitere so 1 Polynoms Polynome Erzeugung ach: Zerf handelt

folgt F gibt die

Der 9 erte

K F

ur M om ¨ ur ist, Ordnung c) Als Um f v neuen Polynom F implementiert spezielle nicht des des Dies zur ten, ist zeugt, ist, acht Schwierigk rithmen Es Polynom W Elemente durchaus einf Abschnitt £ .

S F 56 es ist

on J 2 die en) zur

wir das J 256 daß v erte Ab- v kann; selbst W ¨ ist andig; fusion gibt erzielt, en und wir EISTEL on Bestim- diese v Rijndael

sein.

T S trotzdem F v noch innerhalb Dif sie nach zust sich die 6 on nehmen um v

en J ollen 25 on ¨ und ogliche und bijekti ist auf v , w eines Zweck; m ¨ art; fusion (multiplikati immer on Shift-Operationen abspeichern Interpretation, v ist, ¨ S-Box angt also Dif Rijndael einer erkl ommen, problemlos Abbildungen des 256 linear

Permutationen J 2 der Bit-Permutationen 0 diesem zu . Prinzip Deﬁnition bek sie onfusion Multiplikation Byte durch

nur

Null 6 Runden K zu zu mit den + Unsinn Rechnerisch die es ¨ 6 ) Die Standard uber Bildung 256

die J dem on 256

¨ SWV achtliche realisiert. -linearen wird gebene

zu Abbildung J 25 ¨ ur v f in Smartcards

gibt ¦

der J 256 ¨ erschiedenen ur

betr SWT noch f v yption ¨ ur nach Funktion ﬁnen f bezeichnet; bilden einzelnen und nach

ersenbildung S(X on fusion

Rijndael. J 256 af erwenden ompletter nur die v gensatz v deﬁniert. eine soll. Encr v

k J 2 ¨

uhrung J In 256 Operation on Dif abellen 0 max( Ge den mehr v Prinzipien T selbst als eau allerdings = sein einzige = DES ¨ uber v ¨ der auch urlich in im

on anced S(X Reihe alle ¨ 1 uber

v J

256 9 ¨ bei nat urfte wird nicht eine Adv 0 ortsetzung, schen d Durch also eine F sind ist weder Element einer algebraisch nicht; nur Der sind Byte-Ni allunterscheidungen orausberechnen ist nach algebraische F trotzdem 6: sind es es v mit aufwendig, . 6 ortsetzung Runden durch auf F on

Gleichung

1 J 25 Abbildung HANNON Rijndael ¨ ogliche

v J 256 eine daß

S gibt

9 M Kap e Hintereinanderausf arbeitet, der man m v , stattﬁndet. die der wenn wird onfusion on ¨ ur in als 1 ¨ uberhaupt v nichtlineare K Grundoperationen on ¨ ersenbildung

aß

9 die M wenn Speicherbedarf v durch Abbildung v daf urzschreibweise allesamt

, M

bijekti © In die Bytes Anzahl einzig K Auch Operationen Rijndael fusion ersen Die gt gem AES . wie v ¨ ermeidung

MY ¨ ur

In deﬁniert f eine dieser Die ab Die sor b) Netzwerks ab Diese Auch mung die bildung einzige klassischen so der die Dif bei realisiert. F in V DES die

V S In on . die im- alle Be- v drei aber 1 ;

, SUV ﬁnden Bytes, + x

schrei-

% SUT und erschie- die also he ir Multipli- v Rijndael; 4 32 03 4 Runden. W +

h % nur = weiligen 2

diesen. % = und

acht.

T S als je auch Runden x oder gleic + oneinander) he + und v

3 % und 1

4 % Multiplikation wie 02 Polynom Bit ¨ ange ¨ andern

T S so + mehreren stets

2 % seinem + er annehmen. vier x + Addition und Multiplikation das v

6 % in ¨ angig 6

he % in . einzelnen wirklich ¨ x 32 e ussell + also die normiert 01 die v 256 wir he ¨ 3 angen

und % + die = on Da

8 % 01 ist ist v ist 2007 )

Schl % or Addition. Block (unabh und nicht 128 v = + zwischen Addition ar ¨ ussen 4

x % = die Blockl + HWS die

hier % der ist he sukzessi m 128 3

Zw % der Block x ¨

ange § 04 = als ¨ onnen weils he und )

k % . + 256; dies wird je + Zustand mit bezeichnet; Polynoms Schreibweise x 1) AES reduzieren.

01 SUT x

6 % )

he % “

einen

( R + he yptologie Rijndael haben.

Blockl D 2

annehmen. % und 56 also ( x Kr (

05 R zwischen 32 8 dies Beide

Bezeichnungen he ¦ = + nichts on dieser tun erschiedenen + 6 somit x v

Rijndael ¦ gen ist 196 eine v 1) und als

A5 ¦ mod 5

erte % geschieht he Zustand zu 4 aufwendiger optimalen ” x + 8

lie % und on W 1), trotz bestimmten 01 on he

V S v ¨ die urlich mit ¨ angen: 128 v + ¨ = als usselt erte des ¨ 00 ange DES

7 modulo

D % FIPS-Standard 1 nat

x ; daß + W = nur he einen 3

( % ahl x ¨ ussell und

wie J und 256 ¨ erschl angen he erheblich

W SWT ist A5 ist teilbaren arbeitet drei v Blockl

+ J 2 01 Schl in ﬁzielle ist 4 weils

32 % der + die beachte, erminologie Speziﬁkation of die ¨ je erminologie noch genau ussell Berechnung x AES T

( ¢ T (in xadezimalzahlen he

3: F rotz ¨ ur Schl a) Rijndael f Der berechnen kann und T ist 01 He Zahlen denen Rijndael Zur Somit § also Man durch mer der kation ben arbeitungsstand -

- F 56 on im im

er J 2 der auf v eise

also M W

einzel-

` a*a"a*a*a*a*a"a*a*b Raum Schritten der 1 1 0 0 0 1 1 0 Abbildung

parallel

] ^*^"^*^*^*^*^"^*^*_ problemlos indem operiert Byte Modiﬁkation Operation als er vier ﬁne =

ein

derselben auch eau, ersenbildung af v v Aufbau in diese Abbildung Speicherbedarf Rijndael In die also leichten Bitni sondern dem und ﬁne der man allgemeinen die af denselben man

dies

` a*a"a*a*a*a*a"a*a*b mit auf einer im Zustands

Standard die \

wird

aus 1 1 1 1 0 0 1 1 ¨ ahnt, on Raum, uns kann onfusionsschritt; kann des +

\ M Bytesubstitution K und 1 1 1 0 0 0 1 1

gibt, [ fusion erw yption wir are Runde die ﬁnen der Byte

1 1 0 0 0 1 1 1 © Dif wird Encr af sieben, Smartcard Byte ist

implementieren;

M Y ¨ 1 0 0 0 1 1 1 1 onnen jede ¨ uhrt ¨ ussels Hardw f bereits k als eine Abgesehen anced einer 0 0 0 1 1 1 1 1 Dies einzelne abelle ¨ ogliche wie ¨ Adv ochstens T folgt 0 0 1 1 1 1 1 0 nicht auf Runden besteht m h interpretiert jedes ist, Der ¨ aftigen.

0 1 1 1 1 1 0 0 J

8 2 J

256 \ eine

Insgesamt 256 geeigneter der Rundenschl 6: auch Grad . auf + 1 1 1 1 1 0 0 0

Runde

] ^*^"^*^*^*^*^"^*^*_ danach orbereitungen nur mit 1 des ¨ besch uber V ; Kap

9 M wird. man Schritt es v wird Raum 56

sollte [ =

ufbau J

2 [ A Bytesubstitution: Da letzten andt und diesen ﬁner erste in w wendet; Byte Runden Bytesubstitution Zeilenshift Spaltenmix Addition der af Die Der ¨ orper 1. 2. 3. 4. ¨ 1.) K bei 256 Polynome sein, Der Bytes nen allgemeinen folgen. uber Betrachtet c) mit ange Nach als ange ) - 1. o- zu 56 ist, die mit

Po- J 2 + K auf- eine ¨ uber .

4 Z assen geben ersten einem f Unter ¨ 56

ur J 2 solchen f mit mit man eins

ge Z zu = auf somit

Deﬁnition [ ¨ uber ) multiplika- dem 6 in ist nur

Algorithmus ,

in J 4 25 ziemlich

. ¦ der ﬁndet teilerfremd . 1 ein x gleich

nicht

besseren

recht [ sondern =

he ¦ drei

Erinnerung: J diese 256 außer , x bei

wiederum J 2 Rechenoperationen zur 0E ischen .

he auch

Hand ¦ also Polynom erst x +

allerdings

(zur Z und 02 Polynom .

wie

he die

, die on (

, J 4 256 2 + Polynom v x ¨ 02 erse daher ur UKLID ¨ x aragraphen uber ¨ (und f ochstens damit

v J he 4 256 ﬁzienten E dem + P he modulo

h Z

identiﬁzieren J 2

in 6 Multiplikationen das 09

mod E teilbar nicht, Byte, mit 03 2007 oef wird und dieses + 1 1 +

= § das und

2 Z Grad

+ Z 0

Z E + nach x

viele Z vier 1), HWS aber

4 Quadrupel Z uber diesem wenn

he ; modulo x Polynome + om

dort Z Multiplikation he

+ J 4 256

02 Z zu on v Polynomen

3 das

= Z erweiterten v wir + jetzt

1 recht

daß 0D 4 Polynom Binomialk auch 1 ist zumindest x man = + on neuen mit 1) diese durch + wir yptologie – he v + 3 dem

das

ariablen Z , 1

2 Z + Polynom Kr

Unterprogrammen Z 1 hat alle V dem 03 Multiplikation die ¨ 56 ortern +

x J 2 sind,

+ Z

mit ( = ﬁndet he W nicht worksheet Polynome

werden, E x kann mit Da mit indem ist he + bereits , 0B in dieses neuen

3 Z Damit 1 ist erwendet man 03 mit ist: . = also v aller

multiplizieren J

256 6 nachrechnen, gerade 4 6

= E 3

= Abbildung

gebnis E

Maple- J 25 schreiben daß das 1) ist deﬁnierten einer Er ir

+ Z Im aus Rechnung in kann berechnen erfordert W als identiﬁziert ( letzten arbeitet . ; hier erses, Rijndael lineare ist. auch Stelle = v

. J

256 J ektorraum 256 Multiplikation Polynome

irreduzibel J 256 beachte, 1 In will, V der dem Polynom Multiplikation der + Polynom

wie ¤ es er

4 Z ﬁzienten

orper

F J 2 v on ¨ ¨ ef ti uber W An einzige Diese nicht wendig das lynomen dem Man scheidung als allerdings der und uber Letztere detaillierte K Mit durch v ?

- F im er die der um eite v . dort wird erste geht, ¨ achst ektor ) linear W hatten 3 v

Zeilen

+ k 1 zu

daß ; modulo 1 stets obei und die zun

Bytesub- \fe

Zeile 9 die einzelnen x

T der S Zeile erschoben.

Der

i j v die spaltenweise aufwendiger: der . und auch

Spalten

¦ h Inde ¨

angt ¡ ung ention, umgeschrieben ersenabbildung

Byte h ¡ bis 4 v v die zweite dritte ers;

ektorraum ¡ 0 wie

+ v ¦ In V on

jeder ein 0 Stellen

ungen k in Rijndael einen wird fusion K identiﬁziert die on 1 x Die = ist, v

bezeichnet, +

er 9

he h erschieb Dif Reihen

) J 256 zweigeteilt: erschoben der man drei

i j 02 v

indem

,g Diesen wird selbst -Spalten, durch ung

drei.

T S ist + die .

( Z erschieb mit um 8 3

Standard k erweiterte

Bytes; V 2 und

¨ = J 7 4 256 uber

ist

T S sich = indem nicht

Polynommultiplikation

und

9 + unteren

werden.

T S die ektors die

Z m 8 und zu

i j Zeilenschreibweise) + yption V (auch erschieb zyklische die

T S

¦ l v V =

als ¡ ¨ + uhrt Spalteninde (in aus ¨

Spaltenmix,

ur SWT des Encr dann

3 Z

beiden ¡ ¨ = F onnen ¨ wird) eine ¨ uber

h ¦ der gemacht, k ¨ f Zeilen urlich der fusionsschritt der x ¨ uberhaupt Polynomen also

ist und ¨ he ektor ur den ab: nat

f ¦ Matrix are ¨ Spaltenebene anced

Dif ¦ uhrt V

Element SUT und vier 03 4 durchgef ¨ angig

ist 3 wird Bei = Adv ektor die also

ein

E ¦ ein Der Auf Stellen, V mit Richtung bis abgebildet eingef on Hardw mod erwendet ist 30 ist

omponenten uckg Der

ird abbildet + ist v r v

kubischen ¦ Zeile 1, 6: links. drei W parallel

die ; 1 . =

erschoben,

9 die ung v dies

also v selbst den

fusionsschritt

T S Block ektor

um 0-te Kap ¨ ungliche v nach

x 6 wird. + ¨ Dif

urlich \fe 4

mit anwendet. Stelle;

man ¦ sich Polynom wird Spaltenmix: Die Zeilenshifts: Byte-Matrix ersenabbildung 1 nat Genau urspr 00

56 ¨

ullt v

bis

9 J 2 Stellen erschieb auf Multiplikation 1. erste ( In 0 ¨ Spalten V eine entsprechender usselnde oben dem Der Die + der eine

4 Z on on on ¨ ur um schl folgenden, Zeileninde zwei der v Zeilen Null 3.) Ein Indiziert 2.) stitution Der Die v ist aufgef in mit v Mit wir auf eine f

; d 1 ist die . + und

sein

` a*a*a*a*a"a*a*a*a"b 8

jeder eines % alle zu 1 0 1 0 0 0 0 0 ¨

] ^*^*^*^*^"^*^*^*^"_ . . Polynom f auch erse

0 beschreibt. 0 v beschreiben =

128 127

c c sich 8 247

annimmt,

mod

c c

ein

= d

In \

) % Abbildung sie , x x 1 e Abbildung x x 1

¨ & urlich v

he he 9 he he

eins

[ 9 auch 0 +

das 9 ﬁndet ﬁne nat durch die 8F 8F 25 25

2 % ert , af

255 d + + 8 ist + + sie W Element 1)

64 c 4

als c + auch =

191 c 251 ;

ention c und

6 %

v % x den x w

` a*a*a*a*a"a*a*a*a"b x hat x insgesamt

multiplikati

9 d he he on ist. –

jedes

[ 9 he endlich ( he 9 + K 2007 9 1 0 1 0 0 1 0 0 F B5 eins ¨ = 7

= % ur B5 F

das & f + + +

1 \fe + + ) 0 1 0 0 1 0 0 1 ( HWS ¨ orper 1 ist

32 Abbildung c +

2 c auf 1 +

d = 8

223

c % 253 Stelle

usselbar c ertierbar

1 0 0 1 0 0 1 0

[

Polynom 9 unserer x

x J 256 ( v die he x he x der in 1)

der

01 \fe 09 Bytesubstitution + 4 Bytesubstitution entschl

% Y und Kr we 0 1 0 0 1 0 1 0 also ¨ 1 orper + ein + dies

c c ange + K fre die der denn + 1

4 1 0 0 1 0 1 0 0 % kann

239 c ist

254

x J 256 x

sind %

= [ e Im he he als

+ d

% J 256 + + die

6 % Gleichung 05 F4

0 1 0 1 0 0 1 0

] ^*^*^*^*^"^*^*^*^"_

x J 256 ¨ onnen + + + he k on

6 % Polynom Matrix v Alternati = beschreiben, 63 63 7

genden ehrabbildung % damit 1 56 Polynom letztere +

Abbildung J

das die

[ 9 2 ( ist

7 % orlie Damit Umk

dritte 8 v

¨ =

ussen, Y

obei F orm ¨ Im Abbildung durch dieses m w gilt. dabei Diese Die da Als damit auch Elements F uber

er G 56

so J 2 Da ant ¨ bei an- be- das eins auf- v dem son- Null Byte nicht Run- ¨ usseln

org iqo 32-Bit- wie on muß deﬁnie- und V um gesamte

aus 9

n alle , vier wird eine ¨ ur entstande- en auch eigentliche f das 6 on werden,

so s Gesamtablauf ¨ v berechnet. ussel Bytes Bytes der noch ektorraumaddi- hat Kryptanalytik

addiert.

V S wendet, Bytesubstitution V echnik zyklisch XOR

des

V S ¨ Element der anger Rundenschl T g ¨ Sicherheitsrele usselfeld ein

¨ 4 iqo ange drei Rijndael sind die wird die or

ange 9 L

daraus

n , V 1 Byte erwendet Multiplikation kann unmittelbaren ¨ achst daß v

Schl 1) v alle

werden, 9 F XOR. Rundenschl

logische n Dazu wird zun seinen die

orten. i o einer zu dasjenige weitere obei sind, jedes dieselben 1 , Standard im W ¨

ussel

V S ermittelten w der

kann. rekursi 9

genden n

das , mit , seinem mit Absatz addiert 1) dem 1

auf

n , Byte bis und

+ 9

xt n gebnis

¨ , erweiterte usselbytes, yption

addiert. n

0 SLX dessen logische aus also wird aus ¨ ucklie Er ist ¨ ussel mod e wird

( iqo wird v Encr

4 T S Schl gendwie erstes Das das und zur

speziﬁziert

schließen SUT Klarte

modulo n das

ir ,

Rest I Schl Rundenschl ¨ ortern wesentlichen

ist, iqo Berechnung ¨ orter 4

Dann

teilbar

iqo 9 on

W n also der

und

¨ als anced

, orter zum der deren v

¨ V S

, % ussel Rijndael zu

, ¨

die

P SLX sukzessi W on bezeichnet,

Adv n

einigen v

V S

i on teilbar 2 entspricht und

nicht n ¨

ange , J dazu

3 2

S J 8 256 ¨ ussel; Der Runde L auf DES, ahrens, mit wendet Bytesubstitution ersten Einzelheiten 6 addiert, olge 6: durch

auch s orte erschoben. in erf = . F Potenz ist bei Schl dem v die alle V wird W eine ange , Die Gesamtschl

wird J

32 2

T S ersten Kap

1 ¨

SWV S usselungsschritten: der oder Polynom durch nicht werden

. eine 9 wie erwendet und orts

des n nun

vier

den links v Bit. der onstante 1 in W ¨ das aht

als

9 n

¨ , or orter gebnis erschl auf gebenen 32 alls alls alls v

¨ ¨

p V usselfeld ussel einem renden denk sind. W F F F ist, auf tion durch nach nen Er genau ersten ge aßt Gesamtablauf ¨ ektoraddition ur or

dern aus nicht Schl ist, ger v V r r r rechnet: d) Rijndael F Schl aufgebl Nachdem den die oder gef - 1

In J 256 der + mit drei Das par ache ¨

4 Z ussel einige Matrix hl ¨ einf ohnliche Standard ¨ ¨ ¨ ussen. uber ur Sc jeden, f die w m aufwendig, Sicherheits- ¨ Spalten ur ertierbar ge machen. f

den

T S eine ; v x anschließenden bisherigen in ja zu durch die he ; Polynoms 1 aber relati

Matrizen

` a*b werden großen DES die

` a"b + erzichtet. wir Die normierten einer v zumindest + des 4

x Z x x x ¨

Matrix Z k ur ¨ angig dabei sind x x x x geben f he he he bei he ¨ ¨ angt. he he he he uhrt x ge einen h ist beiden sie 09 mit 0E 0B 0D k haben 01 01 03 02 man he ¨ uckg ¨ einem ussel: wie r Schritt kann 09 Operation x x hl x x x x x x 2007 Struktur + he bei he he he he he he he modulo dieser ahrens somit

Z E durchgef sollte fusion; 09 01 03 02 01 leicht 0E bislang 0B 0D HWS Diese Addition genau erf diesen x diese . Abbildung

fusionsschritt Dif dem V

und J 256

achen J 256 he Abbildung x x x x x x ist x x

3 ist Z die auf ist he he he he Dif he he he an denn he ennt, Rundensc 0D Produkt des und

einf ¦ in k in wird 03 02 01 01 + 09 2 0E

0B Z 0D yptologie lineare

3 Z das der

lineare ¦ ist.

Kr Z daher x x x x und haben, ¨ ussels; Runde dieser x x x x als x he he he he ahren orfen

he ¦ he he he daß he gen ist 02 01 01 03 1 der gebracht,

onfusion e 6

ache

] ^"_

erf E 09 wird 0E 0B 0D Rechnen

Zeilenshift

] ^*_ Sicherheit

0B K V jeder W in werden. = einf ¨ ur

erwunderlich, 6 gesehen

unterw E f das v Spiel mit anze zum Basis ¨ uhrt bietet, Rundenschl g wird. ¨ sehr ur Multiplikationen f ins Schritt gten Runde, ¨ mehr atzliche Einheitsmatrix der Polynom die des bereits nachrechnen, ¨ weiter usselexpansion sor mehr eine gleich ung der hl nicht er ¨ age durchgef wir vierte ¨ AES grunds Sc V Ub letzten ¨

uglich B mehrere ersem nicht dies winn ie v

onfusion F Multiplikation bez gleich als K ist der Eintr Im ge multipliziert allel W da 4.) in Schritte das noch wie Der ist Addition

)

ei-

(

Zu- 0 sehr ist folgt W Ende Zeile Spei- ) ; durch ertau- einem

3 y lassen,

)

so $ V des erschie- , ¨ abellen;

rechnet, g otigt. mit

Zeilens- 9 die am ( T

und

u k , dem

7 7 g auf kann,

dritte

ben die es, ) Speicherauf- (

y x u ektor Art kann. 0 ¨ ¨ mit

ussels,

T T

S S Linksv v he

ektor p entsprechender

f und auch

x -Schema g 0E reicht

sie bei zyklischen ¨ ¨ ur ur einem Rechenzeit ( Rijndael

f f u einsparen 3

billige also ) werden und Spalten

2 y zweite orausberechnen man v x mit drei 2 3 entsprechende ORNER v Somit

Probleme z zyklische

erschiedenen 9

-te h H

Rundenschl k ¨ v ) uhrt

die g ¨ es

2 y oheren

wie

ist. 09 bei =

relati die ¦ h , Standard

Rechnung |

(

T S ussel die x

3 u des ¨ 0 Kilobyte urlich

die k

der zum

Rijndael

g x he

entsprechende ~

nur

ausgef |

nat g denen Kilobyte Eine ( daß Ist einer um yption

0D u diese entstehen. drei

2 ¦ der ektor x and

v \ und

bei

7 he

man ¨ g ) analog uhren. Encr mittels ¨

age, 1 modulo auch osten )

parallel halben 9 0B 1 Rundenschl K 8

Runde: k

g ommen.

Betr man

daß k

= Spalten

g x Bytesubstitution anced durchf mit

( auf

pro

T T

S S u 0 braucht Runde, ( auseinander die ausk

-te

h } einem Adv 1 die Beobachtung, ¨ usselung ist Spalten 3

Rechenaufw |

und

d.h.

man

T S ¨ ¨ indem ur ur

ung w als f f 256 Der ¨ Subtraktion so amtlichen der beachte, einer

der schnell s )

$ 32-Bit-Prozessoren und Produkte )

erschl g .

und g

2 3

die ¨ usselung aus

kann z

2 V g

die

alle Spalte Speicher ( Matrizenschreibweise) Man

sehr

ginn ¨

Byte,

¨ u atzliche ur Implementierungen, 0 bei die Kap ( f

werden, u ¨ erschieb ur 0

= J und 256 weniger f Be die pro V gibt, zus 2 ein = (bei auch

Entschl \ man

on 7

are

steht

\ $ stehen

v {

um g der sich braucht. weniger werden anderen die Runde sich wie dann = gt obei and

¨ \ ur

erschoben

ung 7 ¨

aßt g der stands hier v schungen und dabei abzuspeichern, w F zyklische lie hifts Hardw viel se, Da Ist b beispielsweise Bei Standard-PC w cherplatz l x in he die die des und , also sehr Byte opti- ¨ 03 otigt, ¨ Spal-

uhrt.

` a"b abelle ¨ uhren: , T addiert. sind

man

` a*b

) )

ben aktor 768 den spart und xt noch F

( (

v v ¨ uckf

) )

Kilobyte x eine

) )

Multiplikati- mit

( (

v v he Rundentrans- ¨ zur orter durchgef wenn

( (

v v ohne

) ) man

D D auch 02 Klarte x x

Bytesubstitution ¦ Rijndael ¨

( (

uber

v v andere

he he D D x ung x x aber he on der ¨ 03 02 he he ortern oder Spaltenmix

zum

] ^"_ v Multiplikationen Bytesubstitution gesamte 01 02 03

weils leicht

] ^*_ 32-Bit-W ¨ ¨ usselung, uhrt, zweitens = je die die abspeichert; alle Byte beim nur

)

gebnis E = ar sich vier werden Beschreib ( he

) und

Der u Er auf 3 orausberechnete 32-Bit-W nur 2007 erschl v ausgef 03 ( sog sie allem die

V u 1024 1 Bytesubstitution, Bestandteil das viel auf or HWS ¨ aßt mit wird

kann. J

256 ¨ v obiger l sich die as

Eine ¦

und . 64

J ` a*b 256 ist aß ¨ ur Laufzeit Byte einer usselfelds ¨ aßt Polynom und f etw

werden:

= J 256

` a"b ¨ ) )

ahnt,

bilden es ist, zur he gem on yptologie Schl

( (

v v x

) )

v jedes entsprechend erw 02 Kr

) )

256

( (

v v aufwendiger gebnis Byte geben ¨ des ur erstens

( ( also

v v 03 ) )

D D orper Er

reicht ¨ mit x x as wird ( (

v v erwendete

he he

D D erzichten. werden orte ange eitsoptimierung x x v w und v jedes bereits abellenplatz XOR-Operationen man das 256 man 03 02 he he hat, im W x

S ] ^*_

speziﬁziert

T S ¨ ur

he J 256 03 02

] ^"_ wie Runde 4 Produkt leicht 02 = ¨ stets kann urde rechnerisch wenn hierzu Multiplikation Runden

)

in w -te =

nehmen,

auf SLX 1 ist aber mit

( ;

)

u 0 ﬁzienten Kilobyte das Die Rijndael ersten (

dessen

u SLX 2 oef speichere abellen da Rijndael ist: weiterer vier Die Die tenmix. T K

wie F Geschwindigk visionen

wie

on ¨ ur 2. 1. 3. onstabelle formation und so Mit als Produkts f v Rechenzeit, Produkte e) So Man Di Anspruch langsam; mal implementieren. Ein Multiplikationen £

- - -

O IJ ist or J das das und Un- R sich F einer Run-

) ¨

ussel, ormel dieser ¨

ahlten

einem

einiger F

werden

¨ und aßt w die Autoren und l mit zu ob

geschlos-

Schl ge Designern

seit

sechs

OIS OEPPEL ohl

algebraische

T ang beschleunigt, diese ¨ usselt

schließlich ¨ ahlt.

auf einer

aller

beiden w ¨ CHR AEMEN uberbestimmten

unklar

Obw OUR S hat beiden in erschiedenen D ¨ bereits onnte. und ge Umg ache ein speziell . C

k langfristig erschl der kann; Rijndael ¨

ubereinstimmen; V der den ¨ ollig einf mit eines den

Algorithmus,

¨ 10 v oßer (bei

auch

an. hatten ersion v ¨ ur e gr die ICHARD f V Buch

dies

Rijndael ICOLAS den Ansatz

werden

erte

unter N ¨ Standard ock ¨ , da 70 eit osung erleichtert elt, Square,

relati Bit aufwerfen W das 2 angreift: L

Ausnahme on Durchprobieren irtschaft v es ¨ durch atzen. ist allerdings dieser W die yption 128 (

ﬁnden seine arbeiten, ¨ das ussel ¨ ist oglichk e entwick Rijndael Ob einer in Insbesondere sind ERGUSON der zu die M Encr ar solcher entsprechend ¨ . oglichen als ¨ F ur ist, w f Ansatz in Quelle ar mit m abzusch ¨ ist ur Bit Algorithmus f ist w geschickt attack . beste ein IELS

anced e 256 den N kryptanalysieren; 256 nicht ¨ ubersetzt Bytes Implementierung ist Rundenschl die Adv Gruppen ¨

ock

XSL-Attack orden es ¨ ur alle allesamt um Rijndael f w Square Sicherheitsprobleme

die ¨ Rundenzahl uhrlichste strukturiert Der Bedrohung noch schneller allen an die Sicherheitsfragen 6: ar selten vielen ,

. die letzten deren Rijndael ausf ahren darzustellen; Originalarbeit auch der Rijndael gelang ,

diese

nimmt erme, hoch zw ¨ ahrlicher Gleichungssystems. einer ist nur T die erf Kap ¨ uber

den v on und Die gef

e, zu v 15 die ar ¨

HITING uhrt, man Byte sogenannte 2001 f , ormel w ¨ je urlich 10 entuell ¨ W F ock f en Augenblick xten

ormel

v IEPRZYK Literatur e die

F kryptanalysiert Kritikpunkt beste nat Rijndael: P Bl Krypto reduzierter hinreichend

Mai im wußt OUG 5:

erfolgt

50 on on ariable v v Potentiell nichtlinearen Knack SEF eine Die § Angrif mel Zeit ist Ansatz Funktion. MEN Klarte 256 D Struktur aber den be Im Ein v 2 ternehmen) senen V mit - - - ar on Es er or en- um be- ohl mit v w und ¨ Zif- v atze v eine eine , v (wie Auf- e a ¨ onnen Suche amilie aren. aktor jedoch Exper Strom- neu: k obw F F gut Ans w eine ¨ ange DES man etw weil daher die allerdings Sicherheit xistierende beides ist, den ist, gelesen , den als e da daraus Algorithmus und nicht einer neue Da ¨ ¨ ussell muß uber geht wenn der frei (z.B. ¨ uhrende um 696 erbrauch real , f der bekannt geringerem aus kann gen einerlei auch ¨ Schl ur gner k f ziehen, 213 bekannt ¨ daß gner usselt. ¨ nicht, urlich Ge kann erfordert Rijndael nicht Ge e Stromv ommt Ge abellenwert Sicherheitsaussagen 645 Sicherheitsaspekten einer ohlbekannt Nat k on ¨ T ¨ deutlich ussel and ussel ¨ ahlt, Kryptanalyse; v Methoden immerhin dann Ein w erschl bezieht), der er w noch Ein v mit 869 alle Rijndael ein ¨ Attack at mit messen Schl ge international Schl unter inzwischen 2007 ist and Aufw haben. ger aber nur 482 so seiner die lineare , auch HWS sind Struktur aller unrealistisch: Aufw Entwurfs ahl Rijndael 366 zumindest Lese mehr at Rijndael stets arbeitet; Rechnen: und abellen T – mehr W ¨ ubrigens und/oder T der on on gesucht ﬁnden, da bietet er Information 722 v v realistische Rijndael xt der ¨ der 4 oßenordnungen. ¨ atzliche yptologie via gner ontinuierlich seines fre in seinem kann k = ahl on Kr wie in Gr steigt v Ge eine W 72 direktem k echnologie danach er Klarte aus ariante und 2 T 56 ferentielle aktoren, Rijndael , -Netzwerk grunds V F = der Durchprobieren Methoden anzig Da dif auf Multiplikation daß abellen schen ¨ gutachtungsprozesses uber lang redundante 56 die T wissen, wird. Blockchif Design Zeitpunkt zw ¨ ange bei auf den

Strom 9 das Be weiter Rechnung YES gen gen ist EISTEL sein, ¨ achste usse A als mit 128 einer on F das ist die heutiger Multiplikation ge Jahre ge 2 v B zum des zu ¨ ussell der in darauf, ihren ommen. einf ist immer) noch andere ein ist Auch Bei k mit wirklich mehr sein erwendet die ¨ uckschl nur Schl eins einen ¨ ausk angig ar jetzt erlauf R Angriffe jede um Arbeiten arbeitet, nie ¨ mehrere urlich V

null. ¢ fer zw gner gen ie

and

erbrauch erfolgreich wir w tuell also ruhen v teilhaft im Zif Smartcard Das ten fer aufgetaucht, auch Nat unabh W weiterv § ge praktisch resistent bereits 128 Ge ist schließlich standen. seiner

Rijndael Standard yption . Encr anced Adv Der 6: . Kap , the – ¨ oglich- CTICE Krypto- Aspects RA Chapman fsm P AES , der AND Angrif Algebraic Y ¨ uchern : OGRAPHY Rijndael: W 2006 of , YPT HEOR R Lehrb er T C diskutierte – OBSHA O 2002 T R , 2007 Design er Spring neueren seither HWS The in : TTHEW auf Spring A OGRAPHY ODUCTION M man , Standard, YPT auch yptologie IJMEN R NTR R Kr I C 2006 die 3 N : ﬁndet Standard, URPHY A : M INCENT Encryption V TINSON EAN ist OLLIN , S S 2001 Hall/CRC, , M Darstellung, R. Encryption anced ID & A. C Darstellungen AEMEN eingeht, Adv z.B. D neuere

anced ¤ the Hall/CRC, AN ¨ urzere OUGLAS

ICHARD ARLOS

eiten O K of oder R k & C Chapman logie, D Eine J Adv