Der Advanced Encryption Standard[AES]

Autoren:

Christof Paar

Jan Pelzl

Ruhr - Universität Bochum

Der Advanced Encryption Stan-dard[AES]

Autoren:Christof PaarJan Pelzl

1. Auflage

Ruhr - Universität Bochum

© 2017 Christof PaarRuhr - Universität BochumUniversitätsstraße 15044801 Bochum

1. Auflage (21. September 2017)

Didaktische und redaktionelle Bearbeitung:Christopher Späth

Das Werk einschließlich seiner Teile ist urheberrechtlich geschützt. Jede Ver-wendung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohneZustimmung der Verfasser unzulässig und strafbar. Das gilt insbesonderefür Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspei-cherung und Verarbeitung in elektronischen Systemen.

Um die Lesbarkeit zu vereinfachen, wird auf die zusätzliche Formulierungder weiblichen Form bei Personenbezeichnungen verzichtet. Wir weisen des-halb darauf hin, dass die Verwendung der männlichen Form explizit alsgeschlechtsunabhängig verstanden werden soll.

Das diesem Bericht zugrundeliegende Vorhaben wurde mit Mitteln des Bun-desministeriums für Bildung, und Forschung unter dem Förderkennzeichen16OH12026 gefördert. Die Verantwortung für den Inhalt dieser Veröffentli-chung liegt beim Autor.

Inhaltsverzeichnis Seite 3

Inhaltsverzeichnis

Einleitung 4I. Abkürzungen der Randsymbole und Farbkodierungen . . . . . . . . . 4II. Zu den Autoren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5III. Lehrziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Der Advanced Encryption Standard (AES) 71 Lernziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

2.1 Symmetrische Kryptographie . . . . . . . . . . . . . . . . . . 72.2 Zahlentheorie . . . . . . . . . . . . . . . . . . . . . . . . . . 9

3 Endliche Körper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 Der Advanced Encryption Standard . . . . . . . . . . . . . . . . . . . 11

Verzeichnisse 13I. Kontrollaufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13II. Tabellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13III. Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Anhang 15

Seite 4 Einleitung

Einleitung

I. Abkürzungen der Randsymbole und Farbkodierungen

Kontrollaufgabe K

Übung Ü

Zu den Autoren Seite 5

II. Zu den Autoren

Christof Paar ist Inhaber des Lehrstuhls Embedded Security an der Ruhr-Universität Bochum und ist außerplanmäßiger Professor an der University ofMassachusetts at Amherst, USA. Er arbeitet seit 1995 im Bereich der angewandtenKryptographie.Dr. Paar lehrt seit über 15 Jahren an Universitäten, sowohl in Europa, als auch inden USA, zu Themen der Kryptographie und Datensicherheit. Darüber hinaus gibter Kurse für Teilnehmer aus der Industrie, u.a. für Motorola Research, die NASAund Philips Research. Dr. Paar hat mehr als 150 Publikationen im Bereich derangewandten Kryptographie und ist Mitgründer des Workshop on CryptographicHardware and Embedded Systems (CHES).

Jan Pelzl hat in angewandter Kryptologie promoviert und ist Hauptgeschäftsfüh-rer der ESCRYPT - Embedded Sedurity, einer führenden Firma im Bereich derSicherheitsbereatung. Er hat erfolgreich zahlreiche nationale und internationaleIndustrieprojekte geleitet und tiefgehende Kenntnisse über Sicherheitsbedürfnissein echten Systemen.Dr. Pelzl hat praktische Aspekte der Kryptographie und Kryptanalyses von ellipti-schen Kurven erforscht. Seine theoretischen und praktischen Ergebnisse hat er auf/in international führenden Konferenzen/ Zeitschriften veröffentlicht. Dr. Pelzlhat viele Jahre Kurse über Kryptographie und IT-Sicherheit in Industriekreisengehalten.

Seite 6 Einleitung

III. Lehrziele

Kryptographie ist heutzutage allgegenwärtig - während sie lange Zeit nur von Regierungen, Geheimdienstenund Banken verwendet wurde, werden kryptografische Techniken mittlerweile u.a. in Web-Browsern, E-Mail Programmen, Handys, industriellen Produktionssystemen, eingebetteter Software, Autos und sogar inmedizinischen Implantaten verwendet. Daher benötigen EntwicklerInnen heutzutage umfassendes Wissenim Bereich der angewandten Kryptographie.

DasModul ist physisch in zwei Teile geteilt. Der Inhalt desModuls ist im Buch “UnderstandingCryptography”von Paar und Pelzl nachzulesen, während Sie die Übungsaufgaben in diesen Studienbriefen finden. Es gibtsowohl theoretische, als auch praktische Übungsaufgaben. Für die Bearbeitung vieler praktischen Aufgabenempfiehlt sich die Verwendung der Lernsoftware Cryptool, die sie über http://www.cryptool-online.org/kostenlos erhalten können. Aufgabe, die mit Cryptool zu lösen sind, sind entsprechend gekennzeichnet.

Der Advanced Encryption Standard (AES) Seite 7

Der Advanced Encryption Standard (AES)

Im ersten Teil dieses Mikromoduls geben wir eine knappe Einführung in dieMathematik von endlichen Körpern. Im zweiten Teil des Mikromoduls lernen wirdie Struktur des „Advanced Encryption Standards“ (AES) kennen. An diesemkonkreten Beispiel sehen wir, wie komplizierte mathematische Strukturen ihreAnwendung in der Kryptographie finden.

1 Lernziele

Sie Können in endlichen Körpern rechnen. Sie verstehen die mathematischenZusammenhänge von endlichen Körpern und modernen kryptographischen Ver-fahren. Als Beispiel für eine moderne Blockchiffre kennen Sie den „Advanced En-cryption Standard“ und wissen über die Funktion dieses Algorithmus Bescheid.

2 Grundlagen

2.1 Symmetrische Kryptographie

Lesen Sie das Kapitel 1.4 aus dem Buch Understanding Cryptography von Chri-stof Paar und Jan Pelzel Paar and Pelzl [2010]. Ergänzend können Sie den Video-mitschnitt der Vorlesung online unter folgenden Links anschauen.

http://www3.emsec.rub.de/Vorlesung/KVL01.htmll deen

ÜÜbung 1: Substitutionchiffren

Der nachfolgende Text ist mit einer Substitutionschiffre verschlüsselt wor-

den. Ziel dieser Aufgabe ist es, den Klartext wiederzugewinnen, d.h. dasChiffrat zu entschlüsseln.

1. Geben Sie die relative Häufigkeit der Buchstaben A bis Z des Chiffratesan.

2. Entschlüsseln Sie den Text mit Hilfe der in Tabelle 2.1 angegebe-nen Häufigkeitsverteilung (Prozentangaben) der deutschen Sprache.Da der Text recht kurz ist, kann die allgemeine Häufigkeitsvertei-lung nicht 100% übernommen werden. Umlaute sind als in der FormUE, AE und OE dargestellt, ß ist ein eigener Buchstabe. Die Häufig-keitsverteilungen für andere Sprachen finden sie z.B. bei Wikipedia:http://de.wikipedia.org/wiki/Buchstabenhäufigkeit.

3. Geben Sie die verwendete Substitutionstabelle an.

4. Aus welchem Buch stammt der Text? Wie heißt der Autor? (Wennnötig recherchieren Sie im Internet.)

SGFP GTPHGQTP FT OGT ZTGQHNQXßCPGT GFTNGOGT GFTGX PNPDV DZXOGQ YNOG IGJNYYGTGT DZXVDGZHGQX OGX SGXPVFßCGT XUFQDVDQYX OGQIDVDMFX VGZßCPGP ZTRGDßCPGP GFTG JVGFTG IGVRG XNTTG. ZY XFGJQGFXP FT GFTGQ GTPHGQTZTI ENT ZTIGHDGCQ DßCPZTOTGZTKFI YFVVFNTGTYGFVGT GFT DRXNVZP ZTRGOGZPGTOGQ, RVDZIQZGTGQ UVDTGP, OGXXGT ENYDHHGT DRXPDYYGTOGT RFNHNQYGT XN GQXPDZTVFßC UQFYFPFE XFTO, ODAXFG OFIFPDVZCQGT TNßC FYYGQ HZGQ GFTG ZTSDCQXßCGFTVFßC PNVVG

Seite 8 Der Advanced Encryption Standard (AES)

GQHFTOZTI CDVPGT.OFGXGQ UVDTGP CDP - NOGQ RGXXGQ IGXDIP, CDPPG - GFT UQNRVGY.OFG YGFXPGT XGFTGQ RGSNCTGQ SDQGT HDXP FYYGQ ZTIVZGßJVFßC. KZQVNGXZTI OFGXGX UQNRVGYX SZQOGT EFGVG ENQXßCVDGIG IGYDßCP, DRGQOFG OQGCPGT XFßC YGFXP ZY ODX CFT ZTO CGQ JVGFTGQ RGOQZßJPGQUDUFGQXßCGFTßCGT, ZTO ODX FXP GFTHDßC OQNVVFI, SGFV GX FY IQNAGTZTO IDTKGT BD TFßCP OFG JVGFTGT RGOQZßJPGT UDUFGQXßCGFTßCGTSDQGT, OFG XFßC ZTIVZGßJVFßC HZGCVPGT.ZTO XN RVFGR ODX UQNRVGY RGXPGCGT. EFGVGT VGZPGT IFTI GXXßCVGßCP, OGT YGFXPGT XNIDQ YFXGQDRGV, XGVRXP OGTGT YFPOFIFPDVZCQGT.EFGVG JDYGT DVVYDGCVFßC KZ OGQ ZGRGQKGZIZTI, GFTGT IQNAGT HGCVGQIGYDßCP KZ CDRGT, DVX XFG ENT OGT RDGZYGT CGQZTPGQIGJNYYGT SDQGT.ZTO GFTFIG XDIPGT, XßCNT OFG RDGZYG XGFGT GFT CNVKSGI IGSGXGT,OFG NKGDTG CDGPPG YDT TFGYDVX EGQVDXXGT OZGQHGT.ZTO GFTGX ONTGQXPDIX ODTT, HDXP KSGFPDZXGTO BDCQG, TDßCOGY GFTYDTT DT GFTGT RDZYXPDYY IGTDIGVP SNQOGT SDQ, SGFV GQ IGXDIPCDPPG, SFG UCDTPDXPFXßC GQ XFßC ODX ENQXPGVVG, SGTT OFG VGZPGKZQ DRSGßCXVZTI YDV TGPP KZGFTDTOGQ SDGQGT, JDY GFT YDGOßCGT, ODXIDTK DVVGFT FT GFTGY ßDHE FT QFßJYDTXSNQPC XDA, UVNGPKVFßC DZHOGT PQFßCPGQ, SDX OFG IDTKG KGFP XN XßCFGHIGVDZHGT SDQ, ZTO XFGSZAPG GTOVFßC, SFG OFG SGVP IZP ZTO IVZGßJVFßC SGQOGT JNGTTPG.OFGXYDV CDPPG XFG XFßC TFßCP IGPDGZXßCP, GX SZGQOG HZTJPFNTFGQGT,ZTO TFGYDTO SZGQOG ODHZGQ DT FQIGTOSDX IGTDIGVP SGQOGT.TZQ RQDßC PQDZQFIGQSGFXG, GCG XFG DTX PGVGHNT IGCGT ZTO BGYDTOGYODENT GQKDGCVGT JNTTPG, GFTG HZQßCPRDQ OZYYG JDPDXPQNUCG CGQGFT,ZTO FCQG FOGG IFTI HZGQ FYYGQ EGQVNQGT...

Tabelle 1: Verteilungder Buchstaben indeutschen Texten

Buchstabe Häufigkeit Buchstabe Häufigkeit Buchstabe HäufigkeitA 6.51 J 0.27 S 7.27B 1.89 K 1.21 T 6.15C 3.06 L 3.44 U 4.35D 5.08 M 2.53 V 0.67E 17.40 N 9.78 W 1.89F 1.66 O 2.51 X 0.03G 3.01 P 0.79 Y 0.04H 4.76 Q 0.02 Z 1.13I 7.55 R 7.00 ß 0.31

K Kontrollaufgabe 1

Erläutern Sie das Konzept eines sogenannten „Brute-force Attacks“.

K Kontrollaufgabe 2

Erläutern Sie das Kerkhoff’sche Prinzip.

ÜÜbung 2: Schiebeverschlüsselung

Ein alternatives Verfahren zur Substitionschiffre ist die Shift-Verschlüsselung (auch bekannt als Schiebechiffre). Hier wird aller-dings anstatt einer beliebigen Zuordnung für jeden Buchstaben (z.B.

2 Grundlagen Seite 9

A 7→ T,B 7→ X ,C 7→ F, . . .) lediglich eine Verschiebung des gesamten Alpha-bets um einen geheimen Offset (Verschiebungswert) vorgenommen. So wirdz.B. für den Offset k = 5 eine Verschiebung des Alphabets um 5 Zeichendurchgeführt, z.B. A 7→ F,B 7→ G,C 7→ H, . . . und mit dieser Abbildung derKlartext kodiert.

1. Gehen Sie davon aus, dass Ihnen das Alphabet Σ = {A,B,C, . . . ,Z}für Klartext und Chiffrat zu Verfügung steht. Wenn Sie eine Shift-Verschlüsselung mit dem Offset k = 10 durchführen, wie müssen Siesinnvoll die Buchstaben Q, . . . ,Z aus dem Klartext belegen?

2. Verschlüsseln Sie das Wort “Datensicherheit” mit der Shift-Verschlüsselung und dem geheimen Offset k = 10.

3. Wenn Sie die Sicherheit der Shift- und der Substitionschiffre bezüglichstatistischen Angriffen vergleichen, ist die Shift-Chiffre sicherer? (5Pkt.)

4. Wenn Sie den Offset für jedes Klartextzeichen von einem beliebi-gen Startpunkt an inkrementieren (jeweils um eins erhöhen), wirddadurch die Sicherheit des Verfahrens gegen statistische Angriffeerhöht?Hinweis: Zum besseren Verständnis des Verfahrens sei folgendesBeispiel gegeben:

Klartext: i n t e r n e tOffset: 1 2 3 4 5 6 7 8Geheimtext: J P W I W T L B

ÜÜbung 3: Mehrfache Verschlüsselung 1

Eine beliebte Methode, um die Sicherheit von symmetrischen Algorith-men zu vergrößern, beruht auf der Idee, denselben Algorithmus mehrfachanzuwenden:

y = ek2(ek1(x))

1. Zeigen Sie an einem einfachen Beispiel, dass eine Mehrfachverschlüs-selung mit einer Rotationschiffre keinen Sicherheitsgewinn bringt.

2. Zeigen Sie an einem einfachen Beispiel, dass eine Mehrfachverschlüs-selungmit einer Permutationschiffre keinen Sicherheitsgewinn bringt.

2.2 Zahlentheorie

Lesen Sie die Abschnitte 1.5 und 1.6 des ersten Kapitels aus dem Buch Understan-ding Cryptography Paar and Pelzl [2010]. Ergänzend können Sie den Videomit-schnitt der Vorlesung online unter folgenden Links anschauen.

Seite 10 Der Advanced Encryption Standard (AES)

http://www3.emsec.rub.de/Vorlesung/KVL02.htmldeen

ÜÜbung 4: Kongruenzen

1. Bestimmen Sie folgenden Kongruenzen mit dem Modulus m = 29ohne Taschenrechner. Die Ergebnisse müssen im Bereich 0,1, . . . ,m−1liegen:

a) 13 ·24 mod 29

b) 17 ·1337 mod 29

c) 69 ·31 mod 29

d) (−36) · (−28) mod 29

e) 231 · (−51) mod 29

2. Beschreiben Sie kurz den Zusammenhang zwischen den einzelnenvorherigen Rechnungen.

3. Bestimmen Sie jeweils ohne Taschenrechner:a) 3−1 mod 29

b) 2 ·6−1 mod 23

c) 7 ·3−1 ·4 ·9−1 mod 13

3 Endliche Körper

Lesen Sie die Abschnitte 4.1 bis 4.3 des vierten Kapitels aus dem Buch Understan-ding Cryptography Paar and Pelzl [2010].

ÜÜbung 5: Polynome im endlichen Körper

Gegeben sei das irreduzible Polynom P(x) = x4 + x+1. Wieviele PolynomeA(x) mit Elementen aus

1. GF(2)

2. GF(n)

existieren, für die gilt grad(A(x))< grad(P(x)).

ÜÜbung 6: Addition in GF(24)

Berechnen Sie A(x)+B(x) mod P(x) in GF(24) mit dem irreduziblen Reduk-tionspolynom P(x) = x4 + x3 +1.

1. A(x) = x3 + x2 +1,B(x) = x3 + x+1

2. A(x) = x+1,B(x) = x3 + x

3. A(x) = x3 + x2 + x+1,B(x) = x3 + x

4. Welche Auswirkung hat die Wahl des Reduktionspolynoms auf dieBerechnungsschritte (Max. 2 Sätze)?

4 Der Advanced Encryption Standard Seite 11

ÜÜbung 7: Multiplikation in GF(24)

Berechnen Sie A(x) ·B(x) mod P(x) in GF(24)mit dem irreduziblen Redukti-onspolynom P(x) = x4 + x3 +1.

1. A(x) = x3 + x2 +1,B(x) = x3 + x

2. A(x) = x+1,B(x) = x3 +1

3. A(x) = x3 + x2 + x+1,B(x) = x3 + x2

ÜÜbung 8: Multiplikation in GF(34)

Berechnen Sie A(x) ·B(x) mod P(x) in GF(34)mit dem irreduziblen Redukti-onspolynom P(x) = x4 +2x+2.

1. A(x) = 2x3 + x+2,B(x) = x3 +2x2

2. A(x) = x2 +2,B(x) = x3 +2x+1

4 Der Advanced Encryption Standard

Lesen Sie die Abschnitte 4.4 bis 4.8 des vierten Kapitels aus dem Buch Understan-ding Cryptography Paar and Pelzl [2010]. Ergänzend können Sie den Videomit-schnitt der Vorlesung online unter folgenden Links anschauen.

http://www3.crypto.rub.de/Vorlesung/Kry_05.html deen

ÜÜbung 9: Schlüsselableitung im AES

Jede Runde vom AES verwendet einen anderen Unterschlüssel, der vomHauptschlüssel abgeleitet wird. In dieser Aufgabe wollen wir die Schlüs-selableitung im AES nachvollziehen. Oft werden die jeweiligen Teile desSchlüssels und Unterschlüssels in 32-Bit Worten Ki angegeben.

1. Gegeben Sei ein Hauptschlüssel (K0,K1,K2,K3), der nur aus Nul-len besteht. Bestimmen Sie den entprechenden Unterschlüssel(K4,K5,K6,K7) nach der ersten Runde der Schlüsselableitung. (Abga-be nur als Hexwerte)

2. Gegeben Sei ein Hauptschlüssel (K0,K1,K2,K3) = (0x00000001,0x00000002,0x00000003,0x00000004). Bestimmen Sie erneut den Un-terschlüssel (K4,K5,K6,K7) nach der ersten Runde der Schlüsselablei-tung.

ÜÜbung 10: AES MixColumn Operation

Die MixColumn-Transformation als Teil der Rundenfunktion des AES be-steht aus einer Matrix-Vektor-Multiplikation im Körper GF(28) über demirreduziblen Polynom P(x) = x8 + x4 + x3 + x+1.Sei b = (b7x7 + . . .+ b0) eines der vier Eingabebytes der Matrix-Vektor-Multiplikation. Jedes Eingabebyte wird mit den Konstanten 01 = (1), 02= (x), and 03= (x+1) aus GF(28)multipliziert. Ihre Aufgabe ist es, die Glei-

Seite 12 Der Advanced Encryption Standard (AES)

chungen für die Berechnung dieser konstanten Multiplikationen inklusiveder dabei erforderlichen Reduktion aufzustellen. Das jeweilige Ergebnis sollmit d = (d7x7 + . . .+d0) bezeichnet werden.

1. Stellen Sie die Gleichungen für die Bits aus d auf, um d = 01 ·b effizientzu bestimmen.

2. Stellen Sie die Gleichungen für die Bits aus d auf, um d = 02 ·b effizientzu bestimmen.

3. Stellen Sie die Gleichungen für die Bits aus d auf, um d = 03 ·b effizientzu bestimmen.

ÜÜbung 11: Bit-Lawineneffekte im AES

Wie DES soll auch AES die Eigenschaft haben, dass die Veränderung einesBits am Eingang einer Runde eine änderung möglichst vieler Ausgangsbitsder Runde zur Folge haben (Diffusion oder Avalanche-Effekt). Die Diffusi-onseigenschaft des AES nach einer Runde soll in dieser Aufgabe überprüftwerden. Gegeben sei die folgende 128-Bit AES-Eingabe in je 32 Bit Wor-tenW = (w0,w1,w2,w3) = (0x00000000,0x01000000,0x00000000,0x00000000)Der zur Berechnung der Ausgabe nach der ersten AES-Runde benötigteUnterschlüssel k0 ist mit

k0 = (0xDEADBEEF)

(0xCAFEBABE)

(0xDEADBEEF)

(0xCAFEBABE)

gegeben. Sie können zur Lösung dieser Aufgabe auch Programme schreiben.Geben Sie aber unbedingt einzelne Zwischenschritte an!

1. Geben Sie die entsprechende Ausgabe zur Eingabe W nach der erstenRunde des AES an! Verwenden Sie dabei den gegebenen Unterschlüs-sel k0!Hinweise:Beachten Sie die Reihenfolge, in der die Bytes in den Algorithmusgeschrieben werden (von oben nach unten und von links nach rechts).Zeigen Sie alle Zwischenergebnisse nach: Plaintext, KeyAddition,Substitution, ShiftRows, MixColumns und KeyAddition.Denken Sie an die Korrekteure, die ihre Lösungen nachvollziehenmüssen und wählen Sie eine verständliche Darstellung (Am bestendie des 4x4 Byte Quadrats)

2. Ermitteln Sie die Ausgabebytes nach der ersten Runde für den Fall,dass diesmal alle Eingangsbytes gleich Null sind.

3. Wieviele Ausgangsbits haben sich im Vergleich der beiden Fälle ver-ändert? Wir betrachten hier nur eine einzige Runde des AES. Nachjeder weiteren Runde werden mehr und mehr Änderungen der Aus-gangsbits auftreten (Lawineneffekt).

Verzeichnisse Seite 13

Verzeichnisse

I. Kontrollaufgaben

Kontrollaufgabe 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8Kontrollaufgabe 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

II. Tabellen

Tabelle 1: Verteilung der Buchstaben in deutschen Texten . . . . . . . . . . . . . . . . . . . . . . . . . 8

III. Literatur

Christof Paar and Jan Pelzl. Understanding Cryptography - A Textbook for Students and Practitioners. Springer,2010. ISBN 978-3-642-04100-6.

Anhang Seite 15

Anhang