TY  - THES
A1  - Fleischmann, Ewan
T1  - Analysis and Design of Blockcipher Based Cryptographic Algorithms
N2  - This thesis focuses on the analysis and design of hash functions and authenticated encryption schemes that are blockcipher based. We give an introduction into these fields of research – taking in a blockcipher
based point of view – with special emphasis on the topics of double length, double call blockcipher based compression functions. The first main topic (thesis parts I - III) is on analysis and design of
hash functions. We start with a collision security analysis of some well known double length blockcipher based compression functions and hash functions: Abreast-DM, Tandem-DM and MDC-4. We also propose new double length compression functions that have elevated collision security guarantees. We complement the collision analysis with a preimage analysis by stating (near) optimal security results for Abreast-DM, Tandem-DM, and Hirose-DM. Also, some generalizations are discussed. These are the first preimage security results for blockcipher based double length hash functions that go beyond the birthday barrier. 
We then raise the abstraction level and analyze the notion of ’hash function indifferentiability from a random oracle’. So we not anymore focus on how to obtain a good compression function but, instead, on how to obtain a good hash function using (other) cryptographic primitives. In particular we give some examples when this strong notion of hash function security might give questionable advice for building a practical hash function. In the second main topic (thesis part IV), which is on authenticated encryption schemes, we present an on-line authenticated encryption scheme, McOEx, that simultaneously achieves privacy and confidentiality and is secure against nonce-misuse. It is the first dedicated scheme that achieves high standards of security and – at the same time – is on-line computable.
N2  - Die Schwerpunkte dieser Dissertation sind die Analyse und das Design von blockchiffrenbasierten Hashfunktionen (Abschnitte I-III) sowie die Entwicklung von robusten Verfahren zur authentifizierten erschlüsselung (Abschnitt IV). Die Arbeit beginnt mit einer Einführung in diese Themengebiete, wobei – insbesondere bei den Hashfunktionen – eine blockchiffrenzentrierte Perspektive eingenommen wird. Die Abschnitte I-III dieser Dissertation beschäftigen sich mit der Analyse und dem Design von Hashfunktionen. Zu Beginn werden die Kollisionssicherheit einiger wohlbekannter Kompressions- und Hashfunktionen mit zweifacher Blockchiffrenausgabelänge näher analysiert: Abreast-DM, Tandem-DMundMDC-4. Ebenso werden neue Designs vorgestellt, welche erhöhte Kollisionssicherheitsgarantien haben. Ergänzend zur Kollisionssicherheitsanalyse wird die Resistenz gegen Urbildangriffe von Kompressionsfunktionen doppelter Ausgabelänge untersucht. Dabei werden nahezu optimale Sicherheitsschranken für Abreast-DM, Tandem-DM und Hirose-DM abgeleitet. Einige Verallgemeinerungen sind ebenfalls Teil der Diskussion. Das sind die ersten Sicherheitsresultate gegen Urbildangriffe auf blockchiffrenbasierte Kompressionsfunktionen doppelter Länge, die weit über die bis dahin bekannten Sicherheitsresultate hinausgehen. Daran anschließend folgt eine Betrachtung, die auf einem erhöhten Abstraktionslevel durchgeführt wird und den Begriff der Undifferenzierbarkeit einer Hashfunktion von einem Zufallsorakel diskutiert. Hierbei liegt der Fokus nicht darauf, wie man eine gute Kompressionfunktion auf Basis anderer kryptographischer Funktionen erstellt, sondern auf dem Design einer Hashfunktionen auf Basis einer Kompressionsfunktion. Unter Einnahme eines eher praktischen Standpunktes wird anhand einiger Beispiele aufgezeigt, dass die relativ starke Eigenschaft der Undifferenzierbarkeit einer Hashfunktion zu widersprüchlichen Designempfehlungen für praktikable Hashfunktionen führen kann.
Im zweiten Schwerpunkt, in Abschnitt IV, werden Verfahren zur authentifizierten Verschlüsselung behandelt. Es wird ein neues Schema zur authentifizierten Verschlüsselung vorgestellt,McOEx. Es schützt gleichzeitig die Integrität und die Vertrauchlichkeit einer Nachricht. McOEx ist das erste konkrete Schema das sowohl robust gegen die Wiederverwendung von Nonces ist und gleichzeitig on-line berechnet werden kann.
KW  - Kryptologie
KW  - Kryptographie
KW  - Authentifizierte Verschlüsselung
KW  - Beweisbare Sicherheit
KW  - Blockchiffrenbasierte Hashfunktion
KW  - Blockcipher Based Hashing
Y1  - 2013
U6  - http://nbn-resolving.de/urn/resolver.pl?urn:nbn:de:gbv:wim2-20130722-19835
ER  - 
TY  - THES
A1  - Forler, Christian
T1  - Analysis Design & Applications of Cryptographic Building Blocks
N2  - This thesis deals with the basic design and rigorous analysis of cryptographic schemes and primitives, especially of authenticated encryption schemes, hash functions, and password-hashing schemes.

In the last decade, security issues such as the PS3 jailbreak demonstrate that common security notions are rather restrictive, and it seems that they do not model the real world adequately. As a result, in the first part of this work, we introduce a less restrictive security model that is closer to reality. In this model it turned out that existing (on-line) authenticated encryption schemes cannot longer beconsidered secure, i.e. they can guarantee neither data privacy nor data integrity.  Therefore, we present two novel authenticated encryption scheme, namely COFFE and McOE, which are not only secure in the standard model but also reasonably secure in our generalized security model, i.e. both preserve full data inegrity. In addition, McOE preserves a resonable level of data privacy.

The second part of this thesis starts with proposing the hash function Twister-Pi, a revised version of the accepted SHA-3 candidate Twister.  We not only fixed all known security issues
of Twister, but also increased the overall soundness of our hash-function design.

Furthermore, we present some fundamental groundwork in the area of password-hashing schemes. This research was mainly inspired by the medial omnipresence of password-leakage incidences. We show that the password-hashing scheme scrypt is vulnerable against cache-timing attacks due to the existence of a password-dependent memory-access pattern. Finally, we introduce Catena the first password-hashing scheme that is both memory-consuming and resistant against cache-timing attacks.
KW  - Kryptologie
KW  - symmetric crypto
KW  - provable security
KW  - authenticated encryption
KW  - hash functions
KW  - password scrambler
Y1  - 2015
U6  - http://nbn-resolving.de/urn/resolver.pl?urn:nbn:de:gbv:wim2-20150330-23764
PB  - Shaker Verlag
ER  - 
TY  - THES
A1  - Gorski, Michael
T1  - Cryptanalysis and Design of Symmetric Primitives
N2  - Der Schwerpunkt dieser Dissertation liegt in der Analyse und dem Design von Block- chiffren und Hashfunktionen. Die Arbeit beginnt mit einer Einführung in Techniken zur Kryptoanalyse von Blockchiffren. Wir beschreiben diese Methoden und zeigen wie man daraus neue Techniken entwickeln kann, welche zu staerkeren Angriffen fuehren. Im zweiten Teil der Arbeit stellen wir eine Reihe von Angriffen auf eine Vielzahl von Blockchiffren dar. Wir haben dabei Angriffe auf reduzierte Versionen von ARIA und dem AES entwickelt. Darueber hinaus praesentieren wir im dritten Teil Angriffe auf interne Blockchiffren von Hashfunktionen. Wir entwickeln Angriffe, welche die inter- nen Blockchiffren von Tiger und HAS-160 auf volle Rundenanzahl brechen. Die hier vorgestellten Angriffe sind die ersten dieser Art. Ein Angriff auf eine reduzierte Ver- sion von SHACAL-2 welcher fast keinen Speicherbedarf hat, wird ebenfalls vorgestellt. Der vierte Teil der Arbeit befasst sich mit den Design und der Analyse von kryp- tographischen Hashfunktionen. Wir habe einen Slide Angriff, eine Technik welche aus der Analyse von Blockchiffren bekannt ist, im Kontext von Hashfunktionen zur Anwendung gebracht. Dabei praesentieren wir verschiedene Angriffe auf GRINDAHL und RADIOGATUN. Aufbauend auf den Angriffen des zweiten und dritten Teils dieser Arbeit stellen wir eine neue Hashfunktion vor, welche wir TWISTER nennen. TWISTER wurde fuer den SHA-3 Wettbewerb entwickelt und ist bereits zur ersten Runde angenommen.
N2  - This thesis focuses on the cryptanalysis and the design of block ciphers and hash func- tions. The thesis starts with an overview of methods for cryptanalysis of block ciphers which are based on differential cryptanalysis. We explain these concepts and also sev- eral combinations of these attacks. We propose new attacks on reduced versions of ARIA and AES. Furthermore, we analyze the strength of the internal block ciphers of hash functions. We propose the first attacks that break the internal block ciphers of Tiger, HAS-160, and a reduced round version of SHACAL-2. The last part of the thesis is concerned with the analysis and the design of cryptographic hash functions. We adopt a block cipher attack called slide attack into the scenario of hash function cryptanalysis. We then use this new method to attack different variants of GRINDAHL and RADIOGATUN. Finally, we propose a new hash function called TWISTER which was designed and pro- posed for the SHA-3 competition. TWISTER was accepted for round one of this com- petition. Our approach follows a new strategy to design a cryptographic hash function. We also describe several attacks on TWISTER and discuss the security issues concern- ing these attack on TWISTER.
T2  - Kryptoanalyse und Design von symmetrischen Primitiven
KW  - Differentielle Kryptoanalyse
KW  - Kryptoanalyse
KW  - Advanced Encryption Standard
KW  - Hash-Algorithmus
KW  - Blockchiffre
KW  - Kryptologie
KW  - SHACAL-2
KW  - HAS-160
KW  - Tiger
KW  - ARIA
KW  - slide attacks
KW  - Grindahl
KW  - RadioGatun
KW  - differential cryptanalysis
KW  - hash function
KW  - block ciphers
KW  - slide attacks
KW  - HAS-160
KW  - ARIA
KW  - AES-192
KW  - AES-256
KW  - Tiger
KW  - Grindahl
KW  - RadioGatun
Y1  - 2010
U6  - http://nbn-resolving.de/urn/resolver.pl?urn:nbn:de:gbv:wim2-20101130-15267
ER  - 
TY  - THES
A1  - Wenzel, Jakob
T1  - Design and Analysis of Cryptographic Algorithms for Authentication
N2  - During the previous decades, the upcoming demand for security in the digital world, e.g., the Internet, lead to numerous groundbreaking research topics in the ﬁeld of cryptography. This thesis focuses on the design and analysis of cryptographic primitives and schemes to be used for authentication of data and communication endpoints, i.e., users. It is structured into three parts, where we present the ﬁrst freely scalable multi-block-length block-cipher-based compression function (Counter-bDM) in the ﬁrst part. The presented design is accompanied by a thorough security analysis regarding its preimage and collision security. The second and major part is devoted to password hashing. It is motivated by the large amount of leaked password during the last years and our discovery of side-channel attacks on scrypt – the ﬁrst modern password scrambler that allowed to parameterize the amount of memory required to compute a password hash. After summarizing which properties we expect from a modern password scrambler, we (1) describe a cache-timing attack on scrypt based on its password-dependent memory-access pattern and (2) outline an additional attack vector – garbage-collector attacks – that exploits optimization which may disregard to overwrite the internally used memory. Based on our observations, we introduce Catena – the ﬁrst memory-demanding password-scrambling framework that allows a password-independent memory-access pattern for resistance to the aforementioned attacks. Catena was submitted to the Password Hashing Competition (PHC) and, after two years of rigorous analysis, ended up as a ﬁnalist gaining special recognition for its agile framework approach and side-channel resistance. We provide six instances of Catena suitable for a variety of applications. We close the second part of this thesis with an overview of modern password scramblers regarding their functional, security, and general properties; supported by a brief analysis of their resistance to garbage-collector attacks. The third part of this thesis is dedicated to the integrity (authenticity of data) of nonce-based authenticated encryption schemes (NAE). We introduce the so-called j-IV-Collision Attack, allowing to obtain an upper bound for an adversary that is provided with a ﬁrst successful forgery and tries to eﬃciently compute j additional forgeries for a particular NAE scheme (in short: reforgeability). Additionally, we introduce the corresponding security notion j-INT-CTXT and provide a comparative analysis (regarding j-INT-CTXT security) of the third-round submission to the CAESAR competition and the four classical and widely used NAE schemes CWC, CCM, EAX, and GCM.
N2  - Die fortschreitende Digitalisierung in den letzten Jahrzehnten hat dazu geführt, dass sich das Forschungsfeld der Kryptographie bedeutsam weiterentwickelt hat. Diese, im Wesentlichen aus drei Teilen bestehende Dissertation, widmet sich dem Design und der Analyse von kryptographischen Primitiven und Modi zur Authentiﬁzierung von Daten und Kommunikationspartnern. Der erste Teil beschäftigt sich dabei mit blockchiﬀrenbasierten Kompressionsfunktionen, die in ressourcenbeschränkten Anwendungsbereichen eine wichtige Rolle spielen. Im Rahmen dieser Arbeit präsentieren wir die erste frei skalierbare und sichere blockchiﬀrenbasierte Kompressionsfunktion Counter-bDM und erweitern somit ﬂexibel die erreichbare Sicherheit solcher Konstruktionen. Der zweite Teil und wichtigste Teil dieser Dissertation widmet sich Passwort-Hashing-Verfahren. Zum einen ist dieser motiviert durch die große Anzahl von Angriﬀen auf Passwortdatenbanken großer Internet-Unternehmen. Zum anderen bot die Password Hashing Competition (PHC) die Möglichkeit, unter Aufmerksamkeit der Expertengemeinschaft die Sicherheit bestehender Verfahren zu hinterfragen, sowie neue sichere Verfahren zu entwerfen. Im Rahmen des zweiten Teils entwarfen wir Anforderungen an moderne Passwort-Hashing-Verfahren und beschreiben drei Arten von Seitenkanal-Angriﬀen (Cache-Timing-, Weak Garbage-Collector- und Garbage-Collector-Angriﬀe) auf scrypt – das erste moderne Password-Hashing-Verfahren welches erlaubte, den benötigten Speicheraufwand zur Berechnung eines Passworthashes frei zu wählen. Basierend auf unseren Beobachtungen und Angriﬀen, stellen wir das erste moderne PasswordHashing-Framework Catena vor, welches für gewählte Instanzen passwortunabhängige Speicherzugriﬀe und somit Sicherheit gegen oben genannte Angriﬀe garantiert. Catena erlangte im Rahmen des PHC-Wettbewerbs besondere Anerkennung für seine Agilität und Resistenz gegen SeitenkanalAngriﬀe. Wir präsentieren sechs Instanzen des Frameworks, welche für eine Vielzahl von Anwendungen geeignet sind. Abgerundet wird der zweite Teil dieser Arbeit mit einem vergleichenden Überblick von modernen Passwort-Hashing-Verfahren hinsichtlich ihrer funktionalen, sicherheitstechnischen und allgemeinen Eigenschaften. Dieser Vergleich wird unterstützt durch eine kurze Analyse bezüglich ihrer Resistenz gegen (Weak) Garbage-Collector-Angriﬀe. Der dritte teil dieser Arbeit widmet sich der Integrität von Daten, genauer, der Sicherheit sogenannter Nonce-basierten authentisierten Verschlüsselungsverfahren (NAE-Verfahren), welche ebenso wie Passwort-Hashing-Verfahren in der heutigen Sicherheitsinfrastruktur des Internets eine wichtige Rolle spielen. Während Standard-Deﬁnitionen keine Sicherheit nach dem Fund einer ersten erfolgreich gefälschten Nachricht betrachten, erweitern wir die Sicherheitsanforderungen dahingehend wie schwer es ist, weitere Fälschungen zu ermitteln. Wir abstrahieren die Funktionsweise von NAEVerfahren in Klassen, analysieren diese systematisch und klassiﬁzieren die Dritt-Runden-Kandidaten des CAESAR-Wettbewerbs, sowie vier weit verbreitete NAE-Verfahren CWC, CCM, EAX und GCM.
KW  - Kryptologie
Y1  - 2017
U6  - http://nbn-resolving.de/urn/resolver.pl?urn:nbn:de:gbv:wim2-20171208-37140
ER  - 
TY  - THES
A1  - List, Eik
T1  - Design, Analysis, and Implementation of Symmetric-key (Authenticated) Ciphers
N2  - Modern cryptography has become an often ubiquitous but essential part of our daily lives. Protocols for secure authentication and encryption protect our communication with various digital services, from private messaging, online shopping, to bank transactions or exchanging sensitive information. Those high-level protocols can naturally be only as secure as the authentication or encryption schemes underneath. Moreover, on a more detailed level, those schemes can also at best inherit the security of their underlying primitives. While widespread standards in modern symmetric-key cryptography, such as the Advanced Encryption Standard (AES), have shown to resist analysis until now, closer analysis and design of related primitives can deepen our understanding.

The present thesis consists of two parts that portray six contributions: The first part considers block-cipher cryptanalysis of the round-reduced AES, the AES-based tweakable block cipher Kiasu-BC, and TNT. The second part studies the design, analysis, and implementation of provably secure authenticated encryption schemes.

In general, cryptanalysis aims at finding distinguishable properties in the output distribution. Block ciphers are a core primitive of symmetric-key cryptography which are useful for the construction of various higher-level schemes, ranging from authentication, encryption, authenticated encryption up to integrity protection. Therefore, their analysis is crucial to secure cryptographic schemes at their lowest level. With rare exceptions, block-cipher cryptanalysis employs a systematic strategy of investigating known attack techniques. Modern proposals are expected to be evaluated against these techniques. The considerable effort for evaluation, however, demands efforts not only from the designers but also from external sources.

The Advanced Encryption Standard (AES) is one of the most widespread block ciphers nowadays. Therefore, it is naturally an interesting target for further analysis. Tweakable block ciphers augment the usual inputs of a secret key and a public plaintext by an additional public input called tweak. Among various proposals through the previous decade, this thesis identifies Kiasu-BC as a noteworthy attempt to construct a tweakable block cipher that is very close to the AES. Hence, its analysis intertwines closely with that of the AES and illustrates the impact of the tweak on its security best. Moreover, it revisits a generic tweakable block cipher Tweak-and-Tweak (TNT) and its instantiation based on the round-reduced AES.
The first part investigates the security of the AES against several forms of differential cryptanalysis, developing distinguishers on four to six (out of ten) rounds of AES. For Kiasu-BC, it exploits the additional freedom in the tweak to develop two forms of differential-based attacks: rectangles and impossible differentials. The results on Kiasu-BC consider an additional round compared to attacks on the (untweaked) AES. The authors of TNT had provided an initial security analysis that still left a gap between provable guarantees and attacks. Our analysis conducts a considerable step towards closing this gap. For TNT-AES - an instantiation of TNT built upon the AES round function - this thesis further shows how to transform our distinguisher into a key-recovery attack.

Many applications require the simultaneous authentication and encryption of transmitted data. Authenticated encryption (AE) schemes provide both properties. Modern AE schemes usually demand a unique public input called nonce that must not repeat. Though, this requirement cannot always be guaranteed in practice. As part of a remedy, misuse-resistant and robust AE tries to reduce the impact of occasional misuses. However, robust AE considers not only the potential reuse of nonces. Common authenticated encryption also demanded that the entire ciphertext would have to be buffered until the authentication tag has been successfully verified. In practice, this approach is difficult to ensure since the setting may lack the resources for buffering the messages. Moreover, robustness guarantees in the case of misuse are valuable features.
The second part of this thesis proposes three authenticated encryption schemes: RIV, SIV-x, and DCT. RIV is robust against nonce misuse and the release of unverified plaintexts. Both SIV-x and DCT provide high security independent from nonce repetitions. As the core under SIV-x, this thesis revisits the proof of a highly secure parallel MAC, PMAC-x, revises its details, and proposes SIV-x as a highly secure authenticated encryption scheme. Finally, DCT is a generic approach to have n-bit secure deterministic AE but without the need of expanding the ciphertext-tag string by more than n bits more than the plaintext.

From its first part, this thesis aims to extend the understanding of the (1) cryptanalysis of round-reduced AES, as well as the understanding of (2) AES-like tweakable block ciphers. From its second part, it demonstrates how to simply extend known approaches for (3) robust nonce-based as well as (4) highly secure deterministic authenticated encryption.
N2  - Die moderne Kryptographie hat sich zu einem oft unsichtbaren aber essentiellen Teil unserer alltäglichen Kommunikation entwickelt. Protokolle für sichere Authentisierung und Verschlüsselung schützen uns als Gesellschaft in einer Vielzahl von Lebensbereichen, sei es in Nachrichten oder Online-Einkäufen, bis hin zum Schutz von Banktransaktionen oder behördlicher Kommunikation. In den meisten Fällen ist dabei die Sicherstellung von Authentizität und Verschlüsselung von entscheidender Bedeutung. Wie eine Kette ihre Stärke aus den einzelnen Gliedern bezieht, kann jedes kryptographisches Protokoll jedoch nur so sicher sein wie seine darunterliegenden Verfahren und Primitive.
Mit den offenen Nominierungswettbewerben haben sich heutige Standards wie zum Beispiel der Advanced Encryption Standard (AES) für Blockchiffren oder der Galois/Counter Mode für authentisierte Verschlüsselung etabliert. Zudem haben sie durch vergangenen zwei Jahrzehnte an Analyse durch die kryptographische Forschergemeinschaft ein hohes Maß an Vertrauen erhalten. Insbesondere in der symmetrischen Kryptographie, die hohen Wert auf Effizienz der Verfahren legt, werden vorwiegend systematische Analysetechniken eingesetzt. Darum ist der Prozess der Verständnisentwicklung und -gewinnung nie abgeschlossen, sondern Bedarf neuer Blickwinkel und Ideen. Als die Kernkomponenten der täglichen Internetkommunikation sind dabei Blockchiffren und Verfahren zur authentisierten Verschlüsselung dabei von besonderem Interesse.

Diese Dissertation gliedert sich in zwei Hauptteile die insgesamt sechs Beiträge beinhalten. Der erste Teil ist der Analyse von AES-basierten (tweakable) Blockchiffren gewidmet. Der zweite Teil stellt neue Konstruktionen für robuste authentisierte Verschlüsselung mit hohen Sicherheitsgarantien vor.

Die Kryptanalyse versucht nicht-ideale Eigenschaften in den Ausgaben kryptographischer Systeme zu finden. Blockchiffren als wichtige Grundbausteine der symmetrischen Kryptographie sind hierbei von besonderem Interesse, da sie die Grundlage für die Konstruktion sicherer Verfahren für Authentisierung oder Verschlüsselung darstellen. Diese wiederum schützen in Protokollen in einer Vielzahl von Anwendungen uns in unserem Alltag. Die Analyse von Blockchiffren als Grundoperationen ist daher essentiell um die Sicherheit darauf aufbauender Verfahren verstehen zu können.
Der AES ist wahrscheinlich die derzeit am weitesten verbreitete moderne Blockchiffre, was ihn allein bereits zum hochinteressanten Studienobjekt macht. Tweakable Blockchiffren ergänzen ihre klassischen Vorbilder um einen zusätzlichen öffentlichen Input, den Tweak, was insbesondere in der jüngeren Vergangenheit zu effizienteren oder sichereren Verfahren geführt hat. AES-basierte Konstruktionen versuchen von der Vielzahl der existierenden bekannten Eigenschaften des AES und seiner Effizienz zu profitieren. Die Rolle des Tweaks für die Sicherheit ist allerdings nicht völlig verstanden. Ihre Analyse ist daher von besonderem Interesse.
Der erste Teil dieser Thesis stellt eine neue Sichtweise der differentiellen Analyse von vier bis sechs Runden AES vor. Im weiteren Verlauf betrachtet sie differentielle Angriffe auf Kiasu-BC, eine Tweakable Blockchiffre auf Basis des AES, die versucht, so nah wie möglich am Design des AES zu bleiben. Somit kann ihre Analyse die durch den Tweak hervorgerufenen Unterschiede genauer beleuchten als das bei dedizierten Konstruktion möglich wäre. Abschließend analysiert der erste Teil Tweak-and-Tweak (TNT), eine generische Transformation einer klassischen in eine tweakable Blockchiffre, sowie ihre Instanz TNT-AES. Durch einen besseren Sicherheitsbeweis von TNT schließt sie die Lücke (mit Ausnahme eines logarithmischen Faktors) zwischen ihrer vorher bewiesenen Sicherheit und bekannten Angriffen.

Eine Vielzahl von Anwendungen für Authentisierung oder Verschlüsselung benötigen beide Eigenschaften simultan. Darum sind Verfahren für die Authentisierte Verschlüsselung (AE Schemes) aus dem täglichen Gebrauch nicht mehr wegzudenken. Bis vor einigen Jahren waren die Anforderungen an den Gebrauch von AE Schemes allerdings sehr restriktiv: Moderne AE Schemes erfordern in der Regel für jede zu verschlüsselnde Nachricht einen Input der sich nicht wiederholen darf, eine Nonce. Nonces sind allgemein akzeptiert und sinnvoll - ihre Einmaligkeit kann jedoch nicht über alle Anwendungsumgebungen hinweg garantiert werden.
Für viele Konstruktionen bedeutet eine Verletzung der Anforderungen allerdings dass keinerlei Sicherheit mehr gewährleistet werden kann. Robuste AE Schemes wurden eingeführt um den Schaden möglichst auch im Fall von Nonce-Wiederholungen Sicherheit zu garantieren. Derartige Verfahren bedenken darüberhinaus auch den Fall, dass ungültige Klartexte unbeabsichtigt nach außen gelangen, was insbesondere in Umgebungen relevant ist, in denen sie nicht bis zur erfolgreichen Verifikation gespeichert werden können.
Die vorliegende Arbeit stellt drei blockchiffrenbasierte Verfahren für misuse-resiliente authentisierte Verschlüsselung vor: RIV, SIV-x und DCT. RIV bietet Robustheit gegen Nonce-Wiederholungen wie auch gegen die Fälle in denen Informationen über ungültige Entschlüsselungen nach außen gelangen. SIV-x und DCT bieten sehr hohe Sicherheitsgarantien ohne auf Nonces angewiesen zu sein, jeweils basierend auf tweakable Blockchiffren.

Im ersten Teil möchte die vorliegende Arbeit zum Einen das Verständnis der differentiellen Sicherheit des rundenreduzierten AES hin zu Unterscheidungsangriffen mit extrem kleinen, aber dennoch signifikanten Differenzen ergänzen. Zum Anderen erweitert dieser Teil die Analyse AES-ähnlicher Tweakable Blockchiffren. Der zweite Teil ergänzt zum Einen mit RIV das Portfolio robuster authentisierter Verschlüsselungsverfahren und zeigt wie diese effizient implementiert werden können. Zum Anderen zeigt er mit SIV-x und DCT, wie deterministische authentisierte Verschlüsselung mit hohen Sicherheitsanforderungen mit zwei Iterationen von denen nur eine pseudozufällig sein muss realisiert werden können.
KW  - Kryptologie
KW  - Cryptography
KW  - Symmetric-key cryptography
KW  - Cryptanalysis
KW  - Provable security
KW  - Encryption
Y1  - 2021
U6  - http://nbn-resolving.de/urn/resolver.pl?urn:nbn:de:gbv:wim2-20211103-45235
ER  -