Die Hill-Chiffren gehören zu den Blockchiffren, das heißt es werden jeweils Klartextblöcke einer bestimmten Länge zu Chiffraten einer bestimmten Länge verschlüsselt, wobei speziell bei Hill-Chiffren die Länge eines Klartextblocks gleich der Länge des zugehörigen Chiffrats ist. Als Schlüsselmenge wird die Menge der invertierbaren $\text{[math]}$ -Matrizen über $\text{[math]}$ benutzt, das heißt über den ganzen Zahlen $\text{[math]}$ . Dabei entspricht der Parameter $\text{[math]}$ der Blocklänge. Das Inverse einer Matrix $\text{[math]}$ existiert genau dann, wenn gilt $\text{[math]}$ .

Verschlüsselung

Für einen gegebenen Buchstaben im Klartext wird zunächst anhand der folgenden Tabelle seine Position im Alphabet bestimmt. Das heißt dem $\text{[math]}$ -ten Buchstaben im Klartext wird eine Zahl $\text{[math]}$ aus $\text{[math]}$ zugewiesen, wie es für $\text{[math]}$ in der folgenden Tabelle illustriert ist.

$\text{[math]}$

Sei $\text{[math]}$ die Schlüsselmatrix und $\text{[math]}$ ein Nachrichtenblock, der als Spaltenvektor

interpretiert wird. Dann ergibt sich das Chiffrat $\text{[math]}$ aufgrund der Matrix-Vektor Multiplikation

Entschlüsselung

Bestimmt man zur Matrix $\text{[math]}$ die inverse Matrix $\text{[math]}$ , also eine Matrix der Form

wobei $\text{[math]}$ die Einheitsmatrix ist (alle Hauptdiagonalelemente sind gleich Eins und die restlichen Einträge gleich Null), dann lässt sich aus dem Chiffrat $\text{[math]}$ die ursprüngliche Nachricht $\text{[math]}$ wie folgt bestimmen:

Angriffe auf Hill-Chiffren

Wir wollen kurz zwei mögliche Angriffe auf die Hill-Chiffre beschreiben. Die erste Möglichkeit ist ein chosen plaintext attack. Mit diesem Angriff sind Hill-Chiffren leicht zu brechen, denn wenn man die $\text{[math]}$ Einheitsvektoren $\text{[math]}$ als Nachrichten wählt, so erhält man mit $\text{[math]}$ die $\text{[math]}$ -te Spalte der Matrix $\text{[math]}$ .

Die zweite Methode ist ein known plaintext attack. Wenn $\text{[math]}$ Klartexte $\text{[math]}$ und die zugehörigen Kryptogramme $\text{[math]}$ , alle aus $\text{[math]}$ , zur Verfügung stehen, können wir hoffen, dass $\text{[math]}$ oder $\text{[math]}$ ein Erzeugendensystem von $\text{[math]}$ bilden. Es sollte also zumindest $\text{[math]}$ gelten, um den Angriff durchzuführen. Wir benutzen die Ansätze

jeweils für $\text{[math]}$ und versuchen, eines der beiden Gleichungssysteme nach den Unbekannten $\text{[math]}$ bzw. $\text{[math]}$ aufzulösen (etwa mit dem Eliminationsverfahren von Gauss). Gelingt dies, so können wir danach mit

die $\text{[math]}$ -te Spalte der Matrix $\text{[math]}$ bzw. der Matrix $\text{[math]}$ berechnen.

Wir wollen uns noch kurz überlegen, wieviele Klartext/Kryptogramm-Paare wir benötigen, um die Matrix $\text{[math]}$ bzw. ihre inverse Matrix $\text{[math]}$ bestimmen zu können, d.h. wie viele solcher Paare nötig sind, um wie besprochen ein Erzeugendensystem zu erhalten. Dazu nehmen wir an, dass die Klartexte unabhängig und gleichverteilt gewählt werden.

Sei $\text{[math]}$ ein linearer Unterraum von $\text{[math]}$ mit $\text{[math]}$ . Die Zufallsgröße $\text{[math]}$ sei die Zufallsgröße für das Ziehen eines Klartextes. Für jeden festen Klartext $\text{[math]}$ ergibt sich $\text{[math]}$ sowie $\text{[math]}$ , da die Anzahl der Elemente in $\text{[math]}$ gleich $\text{[math]}$ ist und jeder $\text{[math]}$ -dimensionale lineare Unterraum von $\text{[math]}$ genau $\text{[math]}$ viele Elemente enthält.

Als nächstes betrachten wir die Zufallsvariable $\text{[math]}$ , die die Anzahl zufällig gezogener Klartexte angibt, bis zum ersten Mal $\text{[math]}$ ist. Aufgrund der Gleichverteilung der Klartexte hängt der Wert von $\text{[math]}$ nicht von der speziellen Wahl des Unterraumes $\text{[math]}$ ab und es ergibt sich

da $\text{[math]}$ die Wahrscheinlichkeit ist, bei einmaligem Ziehen eines Klartextes nicht im Unterraum zu landen und der Kehrwert der Wahrscheinlichkeit die erwartete Anzahl an Zufallsexperimenten ist, bis das Ereignis zum ersten Mal eintritt.

Nun betrachten wir die erwartete Anzahl an Zufallsexperimenten $\text{[math]}$ , um einen $\text{[math]}$ -dimensionalen Unterraum, also den ganzen Raum $\text{[math]}$ , zu erzeugen. Dazu müssen $\text{[math]}$ dimensionale Unterräume und schließlich der $\text{[math]}$ -dimensionale Unterraum erzeugt werden. Er ergibt sich also

Man benötigt also wenigstens $\text{[math]}$ , aber im Mittel höchstens $\text{[math]}$ Klartext/Kryptogramm-Paare, um die Matrix $\text{[math]}$ ermitteln zu können. Gehen wir beispielsweise von einer Blocklänge von $\text{[math]}$ aus und dem $\text{[math]}$ -Zeichen-Alphabet, dann ergibt sich $\text{[math]}$ . Schließlich können wir mit der Markov-Ungleichung, die für nichtnegative Zufallsvariablen $\text{[math]}$ und reelle Zahlen $\text{[math]}$ besagt

abschätzen, wie groß die Wahrscheinlichkeit ist, in diesem Fall mindestens $\text{[math]}$ Paare zu benötigen, diese ergibt sich als höchstens $\text{[math]}$ .

Beispiel

über $\text{[math]}$ zur Verschlüsselung der durch den Buchstaben X auf geradzahlige Länge ergänzten Nachricht "OTTO KOMMT", aus der zunächst die Vektoren

Das Chiffrat lautet also nach einer Rückumwandlung in Buchstaben "FPHC WSCSEZ".

Übungen

HAV	EDI	FFE	REN	TOB	JEC	TIV
QQX	DUK	ITS	GAD	UWH	XRM	SWL

Brechen Sie in einem Known-Plaintext-Angriff die Hill-Chiffre mit der Blocklänge 3 vollständig. Finden Sie dazu die Schlüsselmatrix $\text{[math]}$ bzw. deren Inverse $\text{[math]}$ .

Aufgabe 3
Gegeben sei eine Hill-Chiffre mit Blocklänge $\text{[math]}$ über dem Alphabet $\text{[math]}$ , also $\text{[math]}$ , und mit der Schlüsselmenge $\text{[math]}$ . Bei einer Modifikation dieser Hill-Chiffre nehmen wir als Schlüsselmenge $\text{[math]}$ alle Produkte von je zwei Matrizen aus $\text{[math]}$ , wobei auch $\text{[math]}$ ist. Eine Nachricht $\text{[math]}$ wird verschlüsselt zum Chiffrat $\text{[math]}$ mit Schlüssel $\text{[math]}$ .

Aufgabe 4
Gegeben ist eine modifizierte Hill-Chiffre mit Blocklänge $\text{[math]}$ über dem Alphabet $\text{[math]}$ und $\text{[math]}$ . Die Schlüsselmenge $\text{[math]}$ ist nun die Menge aller $\text{[math]}$ Matrizen $\text{[math]}$ mit Einträgen aus $\text{[math]}$ , wobei jede Matrix $\text{[math]}$ nur auf der Diagonalen von $\text{[math]}$ verschiedene Eintrage besitzt und $\text{[math]}$ gilt.

Diskutieren Sie jeweils einen - für den Angreifer möglichst effizienten - chosen plaintext, chosen ciphertext und known plaintext Angriff auf diese Chiffre.

Aufgabe 5
Gegeben sei eine natürliche Zahl $\text{[math]}$ . Zufällig gemäß der Gleichverteilung wird eine natürliche Zahl $\text{[math]}$ gewählt.

Aufgabe 6
Bei einer $\text{[math]}$ Hill-Chiffre über $\text{[math]}$ gehören zu den Nachrichten $\text{[math]}$ und $\text{[math]}$ die Chiffrate $\text{[math]}$ und $\text{[math]}$ .

Aufgabe 7
Die Einträge einer $\text{[math]}$ Schlüsselmatrix $\text{[math]}$ einer Hill-Chiffre über $\text{[math]}$ mit einer Primzahl $\text{[math]}$ seien einem Angreifer bis auf den Eintrag an der Position $\text{[math]}$ bekannt.

Kann der Angreifer die möglichen Werte für den Eintrag $\text{[math]}$ einschränken bzw. diesen eindeutig bestimmen?

Aufgabe 8
In einem Kryptosystem mit Nachrichtenmenge $\text{[math]}$ und Chiffratmenge $\text{[math]}$ besteht die Schlüsselmenge $\text{[math]}$ aus allen $\text{[math]}$ Matrizen $\text{[math]}$ mit Einträgen aus $\text{[math]}$ , wobei jede Zeile und jede Spalte aus $\text{[math]}$ genau eine $\text{[math]}$ enthält. Die Verschlüsselungsfunktion $\text{[math]}$ ist gegeben durch $\text{[math]}$ mit $\text{[math]}$ und $\text{[math]}$ , wobei $\text{[math]}$ ein Matrix-Vektorprodukt ist und alle Einträge von $\text{[math]}$ jeweils $\text{[math]}$ berechnet werden.

Aufgabe 9
Wir erweitern das Kryptosystem mit $\text{[math]}$ aus der vorherigen Aufgabe dahingehend, dass wir als Schlüsselmenge $\text{[math]}$ wählen. Die Verschlüsselungsfunktion $\text{[math]}$ ist definiert durch $\text{[math]}$ mit $\text{[math]}$ , $\text{[math]}$ und $\text{[math]}$ , wobei alle Einträge von $\text{[math]}$ jeweils $\text{[math]}$ bestimmt werden.

Aufgabe 10
Wir betrachten einen chosen plaintext Angriff auf das Kryptosystem aus Aufgabe 8.

Wieviele Nachrichten $\text{[math]}$ muss ein Angreifer höchstens wählen, um mit Wissen der entsprechenden Chiffrate $\text{[math]}$ den verwendeten Schlüssel eindeutig ermitteln zu können? Versuchen Sie, einen möglichst kleinen Wert für $\text{[math]}$ zu bestimmen.