cyphertext-only angriffe

2021-11-23 18:42:14 +01:00 · 2021-11-23 18:42:14 +01:00 · 7c254759ec
commit 7c254759ec
parent e7119bace4
1 changed files with 540 additions and 13 deletions
--- a/Kryptographie.md
+++ b/Kryptographie.md
@ -1,3 +1,332 @@
+- [Einführung](#einführung)
+- [Symmetrische Verschlüsselung, Sicherheitsmodelle](#symmetrische-verschlüsselung-sicherheitsmodelle)
+  - [Einmalige symmetrische Verschlüsselung und klassische Verfahren](#einmalige-symmetrische-verschlüsselung-und-klassische-verfahren)
+    - [Kryptosysteme und possibilistische Sicherheit](#kryptosysteme-und-possibilistische-sicherheit)
+  - [Wiederholung: Elementare Wahrscheinlichkeitsrechnung](#wiederholung-elementare-wahrscheinlichkeitsrechnung)
+  - [Informationstheoretische Sicherheit](#informationstheoretische-sicherheit)
+  - [Fallstudie für Cyphertext-only-Angriffe: Vigenère-Chiffre](#fallstudie-für-cyphertext-only-angriffe-vigenère-chiffre)
+    - [Die Vigenère-Chiffre und Angriffe bei bekannter Schlüssellänge](#die-vigenère-chiffre-und-angriffe-bei-bekannter-schlüssellänge)
+    - [Der Kasiski-Test](#der-kasiski-test)
+    - [Koinzidenzindex und Friedman-Methode](#koinzidenzindex-und-friedman-methode)
+  - [2 Frische symmetrische Verschlüsselung](#2-frische-symmetrische-verschlüsselung)
+  - [und Blo ckchiffren](#und-blo-ckchiffren)
+      - [](#)
+      - [](#-1)
+      - [](#-2)
+      - [|Y|!](#y)
+      - [(|Y|-|X|)!](#y-x)
+      - [\geq |X|!](#geq-x)
+    - [2.1 Substitutions-Permutations-Kryptosysteme(SPKS)](#21-substitutions-permutations-kryptosystemespks)
+      - [{](#-3)
+    - [Einschub:EndlicheKörp er](#einschubendlichekörp-er)
+      - [\sum](#sum)
+      - [\oplus  0 1 2 3 4 5 6 7 8 9 A B C D E F](#oplus--0-1-2-3-4-5-6-7-8-9-a-b-c-d-e-f)
+      - [0 0 1 2 3 4 5 6 7 8 9 A B C D E F](#0-0-1-2-3-4-5-6-7-8-9-a-b-c-d-e-f)
+      - [1 1 0 3 2 5 4 7 6 9 8 B A D C F E](#1-1-0-3-2-5-4-7-6-9-8-b-a-d-c-f-e)
+      - [2 2 3 0 1 6 7 4 5 A B 8 9 E F C D](#2-2-3-0-1-6-7-4-5-a-b-8-9-e-f-c-d)
+      - [3 3 2 1 0 7 6 5 4 B A 9 8 F E D C](#3-3-2-1-0-7-6-5-4-b-a-9-8-f-e-d-c)
+      - [4 4 5 6 7 0 1 2 3 C D E F 8 9 A B](#4-4-5-6-7-0-1-2-3-c-d-e-f-8-9-a-b)
+      - [5 5 4 7 6 1 0 3 2 D C F E 9 8 B A](#5-5-4-7-6-1-0-3-2-d-c-f-e-9-8-b-a)
+      - [6 6 7 4 5 2 3 0 1 E F C D A B 8 9](#6-6-7-4-5-2-3-0-1-e-f-c-d-a-b-8-9)
+      - [7 7 6 5 4 3 2 1 0 F E D C B A 9 8](#7-7-6-5-4-3-2-1-0-f-e-d-c-b-a-9-8)
+      - [8 8 9 A B C D E F 0 1 2 3 4 5 6 7](#8-8-9-a-b-c-d-e-f-0-1-2-3-4-5-6-7)
+      - [9 9 8 B A D C F E 1 0 3 2 5 4 7 6](#9-9-8-b-a-d-c-f-e-1-0-3-2-5-4-7-6)
+      - [A A B 8 9 E F C D 2 3 0 1 6 7 4 5](#a-a-b-8-9-e-f-c-d-2-3-0-1-6-7-4-5)
+      - [B B A 9 8 F E D C 3 2 1 0 7 6 5 4](#b-b-a-9-8-f-e-d-c-3-2-1-0-7-6-5-4)
+      - [C C D E F 8 9 A B 4 5 6 7 0 1 2 3](#c-c-d-e-f-8-9-a-b-4-5-6-7-0-1-2-3)
+      - [D D C F E 9 8 B A 5 4 7 6 1 0 3 2](#d-d-c-f-e-9-8-b-a-5-4-7-6-1-0-3-2)
+      - [E E F C D A B 8 9 6 7 4 5 2 3 0 1](#e-e-f-c-d-a-b-8-9-6-7-4-5-2-3-0-1)
+      - [F F E D C B A 9 8 7 6 5 4 3 2 1 0](#f-f-e-d-c-b-a-9-8-7-6-5-4-3-2-1-0)
+      - [0000 0001 0010 0011 0100 1000 1100](#0000-0001-0010-0011-0100-1000-1100)
+      - [0000 0000 0000 0000 0000 0000 0000 0000](#0000-0000-0000-0000-0000-0000-0000-0000)
+      - [0001 0000 0001 0010 0011 0100 1000 1100](#0001-0000-0001-0010-0011-0100-1000-1100)
+      - [0010 0000 0010 0100 0110 1000 0011 1011](#0010-0000-0010-0100-0110-1000-0011-1011)
+      - [0011 0000 0011 0110 0101 1100 1011 0111](#0011-0000-0011-0110-0101-1100-1011-0111)
+      - [0100 0000 0100 1000 1100 0011 0110 0101](#0100-0000-0100-1000-1100-0011-0110-0101)
+      - [1000 0000 1000 0011 1011 0110 1100 1010](#1000-0000-1000-0011-1011-0110-1100-1010)
+      - [1100 0000 1100 1011 0111 0101 1010 1111](#1100-0000-1100-1011-0111-0101-1010-1111)
+      - [0 1 2 3 4 8 C](#0-1-2-3-4-8-c)
+      - [0 0 0 0 0 0 0 0](#0-0-0-0-0-0-0-0)
+      - [1 0 1 2 3 4 8 C](#1-0-1-2-3-4-8-c)
+      - [2 0 2 4 6 8 3 B](#2-0-2-4-6-8-3-b)
+      - [3 0 3 6 5 C B 7](#3-0-3-6-5-c-b-7)
+      - [4 0 4 8 C 3 6 5](#4-0-4-8-c-3-6-5)
+      - [8 0 8 3 B 6 C A](#8-0-8-3-b-6-c-a)
+      - [C 0 C B 7 5 A F](#c-0-c-b-7-5-a-f)
+      - [0 1 2 3 4 5 6 7 8 9 A B C D E F](#0-1-2-3-4-5-6-7-8-9-a-b-c-d-e-f)
+      - [0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0](#0-0-0-0-0-0-0-0-0-0-0-0-0-0-0-0-0)
+      - [1 0 1 2 3 4 5 6 7 8 9 A B C D E F](#1-0-1-2-3-4-5-6-7-8-9-a-b-c-d-e-f)
+      - [2 0 2 4 6 8 A C E 3 1 7 5 B 9 F D](#2-0-2-4-6-8-a-c-e-3-1-7-5-b-9-f-d)
+      - [3 0 3 6 5 C F A 9 B 8 D E 7 4 1 2](#3-0-3-6-5-c-f-a-9-b-8-d-e-7-4-1-2)
+      - [4 0 4 8 C 3 7 B F 6 2 E A 5 1 D 9](#4-0-4-8-c-3-7-b-f-6-2-e-a-5-1-d-9)
+      - [5 0 5 A F 7 2 D 8 E B 4 1 9 C 3 6](#5-0-5-a-f-7-2-d-8-e-b-4-1-9-c-3-6)
+      - [6 0 6 C A B D 7 1 5 3 9 F E 8 2 4](#6-0-6-c-a-b-d-7-1-5-3-9-f-e-8-2-4)
+      - [7 0 7 E 9 F 8 1 6 D A 3 4 2 5 C B](#7-0-7-e-9-f-8-1-6-d-a-3-4-2-5-c-b)
+      - [8 0 8 3 B 6 E 5 D C 4 F 7 A 2 9 1](#8-0-8-3-b-6-e-5-d-c-4-f-7-a-2-9-1)
+      - [9 0 9 1 8 2 B 3 A 4 D 5 C 6 F 7 E](#9-0-9-1-8-2-b-3-a-4-d-5-c-6-f-7-e)
+      - [A 0 A 7 D E 4 9 3 F 5 8 2 1 B 6 C](#a-0-a-7-d-e-4-9-3-f-5-8-2-1-b-6-c)
+      - [B 0 B 5 E A 1 F 4 7 C 2 9 D 6 8 3](#b-0-b-5-e-a-1-f-4-7-c-2-9-d-6-8-3)
+      - [C 0 C B 7 5 9 E 2 A 6 1 D F 3 4 8](#c-0-c-b-7-5-9-e-2-a-6-1-d-f-3-4-8)
+      - [D 0 D 9 4 1 C 8 5 2 F B 6 3 E A 7](#d-0-d-9-4-1-c-8-5-2-f-b-6-3-e-a-7)
+      - [E 0 E F 1 D 3 2 C 9 7 6 8 4 A B 5](#e-0-e-f-1-d-3-2-c-9-7-6-8-4-a-b-5)
+      - [F 0 F D 2 9 6 4 B 1 E C 3 8 7 5 A](#f-0-f-d-2-9-6-4-b-1-e-c-3-8-7-5-a)
+      - [√](#-4)
+    - [2.2 AES, Advanced EncryptionStandard](#22-aes-advanced-encryptionstandard)
+      - [](#-5)
+      - [](#-6)
+      - [](#-7)
+      - [](#-8)
+      - [](#-9)
+      - [](#-10)
+      - [](#-11)
+      - [.](#-12)
+      - [A=](#a)
+      - [](#-13)
+      - [](#-14)
+      - [](#-15)
+      - [](#-16)
+      - [A 00 A 01 A 02 A 03](#a-00-a-01-a-02-a-03)
+      - [A 10 A 11 A 12 A 13](#a-10-a-11-a-12-a-13)
+      - [A 20 A 21 A 22 A 23](#a-20-a-21-a-22-a-23)
+      - [A 30 A 31 A 32 A 33](#a-30-a-31-a-32-a-33)
+      - [](#-17)
+      - [](#-18)
+      - [](#-19)
+      - [.](#-20)
+      - [](#-21)
+      - [](#-22)
+      - [](#-23)
+      - [](#-24)
+      - [](#-25)
+      - [](#-26)
+      - [](#-27)
+      - [A 00 A 01 A 02 A 03](#a-00-a-01-a-02-a-03-1)
+      - [A 10 A 11 A 12 A 13](#a-10-a-11-a-12-a-13-1)
+      - [A 20 A 21 A 22 A 23](#a-20-a-21-a-22-a-23-1)
+      - [A 30 A 31 A 32 A 33](#a-30-a-31-a-32-a-33-1)
+      - [](#-28)
+      - [](#-29)
+      - [](#-30)
+      - [  \rightarrow](#--rightarrow)
+      - [](#-31)
+      - [](#-32)
+      - [](#-33)
+      - [](#-34)
+      - [A 00 A 01 A 02 A 03](#a-00-a-01-a-02-a-03-2)
+      - [A 11 A 12 A 13 A 10](#a-11-a-12-a-13-a-10)
+      - [A 22 A 23 A 20 A 21](#a-22-a-23-a-20-a-21)
+      - [A 33 A 30 A 31 A 32](#a-33-a-30-a-31-a-32)
+      - [](#-35)
+      - [](#-36)
+      - [](#-37)
+      - [](#-38)
+      - [M=](#m)
+      - [](#-39)
+      - [](#-40)
+      - [](#-41)
+      - [](#-42)
+      - [02 03 01 01](#02-03-01-01)
+      - [01 02 03 01](#01-02-03-01)
+      - [01 01 02 03](#01-01-02-03)
+      - [03 01 01 02](#03-01-01-02)
+      - [](#-43)
+      - [](#-44)
+      - [](#-45)
+      - [\in GF(2](#in-gf2)
+      - [M*](#m-1)
+      - [](#-46)
+      - [](#-47)
+      - [](#-48)
+      - [](#-49)
+      - [4F](#4f)
+      - [B0](#b0)
+      - [3E](#3e)
+      - [A0](#a0)
+      - [](#-50)
+      - [](#-51)
+      - [](#-52)
+      - [=](#-53)
+      - [(](#-54)
+      - [02 *4F\oplus  03 *B0\oplus  01 *3E\oplus  01 *A0](#02-4foplus--03-b0oplus--01-3eoplus--01-a0)
+      - [..](#-55)
+      - [.](#-56)
+      - [)](#-57)
+      - [=](#-58)
+      - [(](#-59)
+      - [9E\oplus CB\oplus 3E\oplus A0](#9eoplus-cboplus-3eoplus-a0)
+      - [..](#-60)
+      - [.](#-61)
+      - [)](#-62)
+      - [=](#-63)
+      - [(](#-64)
+      - [CB](#cb)
+      - [..](#-65)
+      - [.](#-66)
+      - [)](#-67)
+      - [.](#-68)
+      - [M-^1 =](#m-1-)
+      - [](#-69)
+      - [](#-70)
+      - [](#-71)
+      - [](#-72)
+      - [0E 0B 0D 09](#0e-0b-0d-09)
+      - [09 0E 0B 0D](#09-0e-0b-0d)
+      - [0D 09 0E 0B](#0d-09-0e-0b)
+      - [0B 0D 09 0E](#0b-0d-09-0e)
+      - [](#-73)
+      - [](#-74)
+      - [](#-75)
+      - [](#-76)
+      - [0 1 2 3 4 5 6 7 8 9 A B C D E F](#0-1-2-3-4-5-6-7-8-9-a-b-c-d-e-f-1)
+      - [0 63 7C 77 7B F2 6B 6F C5 30 01 67 2B FE D7 AB 76](#0-63-7c-77-7b-f2-6b-6f-c5-30-01-67-2b-fe-d7-ab-76)
+      - [1 CA 82 C9 7D FA 59 47 F0 AD D4 A2 AF 9C A4 72 C0](#1-ca-82-c9-7d-fa-59-47-f0-ad-d4-a2-af-9c-a4-72-c0)
+      - [2 B7 FD 93 26 36 3F F7 CC 34 A5 E5 F1 71 D8 31 15](#2-b7-fd-93-26-36-3f-f7-cc-34-a5-e5-f1-71-d8-31-15)
+      - [3 04 C7 23 C3 18 96 05 9A 07 12 80 E2 EB 27 B2 75](#3-04-c7-23-c3-18-96-05-9a-07-12-80-e2-eb-27-b2-75)
+      - [4 09 83 2C 1A 1B 6E 5A A0 52 3B D6 B3 29 E3 2F 84](#4-09-83-2c-1a-1b-6e-5a-a0-52-3b-d6-b3-29-e3-2f-84)
+      - [5 53 D1 00 ED 20 FC B1 5B 6A CB BE 39 4A 4C 58 CF](#5-53-d1-00-ed-20-fc-b1-5b-6a-cb-be-39-4a-4c-58-cf)
+      - [6 D0 EF AA FB 43 4D 33 85 45 F9 02 7F 50 3C 9F A8](#6-d0-ef-aa-fb-43-4d-33-85-45-f9-02-7f-50-3c-9f-a8)
+      - [7 51 A3 40 8F 92 9D 38 F5 BC B6 DA 21 10 FF F3 D2](#7-51-a3-40-8f-92-9d-38-f5-bc-b6-da-21-10-ff-f3-d2)
+      - [8 CD 0C 13 EC 5F 97 44 17 C4 A7 7E 3D 64 5D 19 73](#8-cd-0c-13-ec-5f-97-44-17-c4-a7-7e-3d-64-5d-19-73)
+      - [9 60 81 4F DC 22 2A 90 88 46 EE B8 14 DE 5E 0B DB](#9-60-81-4f-dc-22-2a-90-88-46-ee-b8-14-de-5e-0b-db)
+      - [A E0 32 3A 0A 49 06 24 5C C2 D3 AC 62 91 95 E4 79](#a-e0-32-3a-0a-49-06-24-5c-c2-d3-ac-62-91-95-e4-79)
+      - [B E7 C8 37 6D 8D D5 4E A9 6C 56 F4 EA 65 7A AE 08](#b-e7-c8-37-6d-8d-d5-4e-a9-6c-56-f4-ea-65-7a-ae-08)
+      - [C BA 78 25 2E 1C A6 B4 C6 E8 DD 74 1F 4B BD 8B 8A](#c-ba-78-25-2e-1c-a6-b4-c6-e8-dd-74-1f-4b-bd-8b-8a)
+      - [D 70 3E B5 66 48 03 F6 0E 61 35 57 B9 86 C1 1D 9E](#d-70-3e-b5-66-48-03-f6-0e-61-35-57-b9-86-c1-1d-9e)
+      - [E E1 F8 98 11 69 D9 8E 94 9B 1E 87 E9 CE 55 28 DF](#e-e1-f8-98-11-69-d9-8e-94-9b-1e-87-e9-ce-55-28-df)
+      - [F 8C A1 89 0D BF E6 42 68 41 99 2D 0F B0 54 BB 16](#f-8c-a1-89-0d-bf-e6-42-68-41-99-2d-0f-b0-54-bb-16)
+      - [           ](#-----------)
+      - [1 1 1 1 1 0 0 0](#1-1-1-1-1-0-0-0)
+      - [0 1 1 1 1 1 0 0](#0-1-1-1-1-1-0-0)
+      - [0 0 1 1 1 1 1 0](#0-0-1-1-1-1-1-0)
+      - [0 0 0 1 1 1 1 1](#0-0-0-1-1-1-1-1)
+      - [1 0 0 0 1 1 1 1](#1-0-0-0-1-1-1-1)
+      - [1 1 0 0 0 1 1 1](#1-1-0-0-0-1-1-1)
+      - [1 1 1 0 0 0 1 1](#1-1-1-0-0-0-1-1)
+      - [1 1 1 1 0 0 0 1](#1-1-1-1-0-0-0-1)
+      - [           ](#------------1)
+      - [*](#-77)
+      - [           ](#------------2)
+      - [           ](#------------3)
+    - [2.3 Bemerkungenzurandomisierten Algorithmen](#23-bemerkungenzurandomisierten-algorithmen)
+      - [(](#-78)
+      - [1](#1)
+      - [2](#2)
+      - [) 3](#-3)
+      - [=](#-79)
+      - [1](#1-1)
+      - [8](#8)
+      - [,](#-80)
+      - [1](#1-2)
+      - [2](#2-1)
+      - [1](#1-3)
+      - [8](#8-1)
+      - [=](#-81)
+      - [1](#1-4)
+      - [4](#4)
+      - [• B,](#-b)
+    - [2.4 SicherheitvonBlo ck-Kryptosystemen](#24-sicherheitvonblo-ck-kryptosystemen)
+      - [\oplus](#oplus)
+      - [\geq](#geq)
+      - [1](#1-5)
+      - [(](#-82)
+      - [1](#1-6)
+      - [2](#2-2)
+      - [)](#-83)
+      - [.](#-84)
+      - [1](#1-7)
+      - [2](#2-3)
+      - [(](#-85)
+      - [)](#-86)
+      - [=](#-87)
+      - [1](#1-8)
+      - [2](#2-4)
+      - [(](#-88)
+      - [)](#-89)
+      - [=](#-90)
+      - [1](#1-9)
+      - [2](#2-5)
+      - [1](#1-10)
+      - [2](#2-6)
+      - [1](#1-11)
+      - [2](#2-7)
+      - [.](#-91)
+      - [1](#1-12)
+      - [2 l- 1](#2-l--1)
+      - [.](#-92)
+      - [1](#1-13)
+      - [2 l- 1](#2-l--1-1)
+      - [=](#-93)
+      - [2 l- 2](#2-l--2)
+      - [2 l- 1](#2-l--1-2)
+      - [≈ 1.](#-1)
+      - [1](#1-14)
+      - [2](#2-8)
+      - [-](#-)
+      - [1](#1-15)
+      - [≈](#-94)
+      - [1](#1-16)
+      - [2](#2-9)
+      - [.](#-95)
+  - [3 Uneingeschränkte symmetrische Verschlüsselung](#3-uneingeschränkte-symmetrische-verschlüsselung)
+    - [3.1 Betriebsarten](#31-betriebsarten)
+    - [3.2 SicherheitvonsymmetrischenKryptoschemen](#32-sicherheitvonsymmetrischenkryptoschemen)
+      - [(](#-96)
+      - [1](#1-17)
+      - [2](#2-10)
+      - [)](#-97)
+      - [,](#-98)
+      - [.](#-99)
+      - [266 + 2^72](#266--272)
+      - [2128](#2128)
+      - [.](#-100)
+  - [A Anhang:Beweis von Satz 3.8 (Stand: 26.11.2018)](#a-anhangbeweis-von-satz-38-stand-26112018)
+      - [. (1.6)](#-16)
+      - [.](#-101)
+      - [⋃](#-102)
+      - [, (1.7)](#-17)
+      - [\sum](#sum-1)
+      - [=](#-103)
+      - [<](#-104)
+      - [. (1.8)](#-18)
+      - [⋃](#-105)
+      - [⋃](#-106)
+      - [\sum](#sum-2)
+      - [\sum](#sum-3)
+      - [\geq](#geq-1)
+      - [1](#1-18)
+      - [2 l+1](#2-l1)
+      - [\sum](#sum-4)
+      - [=](#-107)
+      - [1](#1-19)
+      - [2 l+1](#2-l1-1)
+      - [(](#-108)
+      - [\sum](#sum-5)
+      - [\sum](#sum-6)
+      - [\sum](#sum-7)
+      - [\sum](#sum-8)
+      - [)](#-109)
+      - [=](#-110)
+      - [=](#-111)
+      - [.](#-112)
+      - [. (1.10)](#-110)
+      - [..](#-113)
+      - [.](#-114)
+      - [+](#-115)
+      - [=](#-116)
+      - [1](#1-20)
+      - [2](#2-11)
+      - [+](#-117)
+      - [.](#-118)
+      - [-](#--1)
+      - [(](#-119)
+      - [1](#1-21)
+      - [2](#2-12)
+      - [+](#-120)
+      - [)](#-121)
+      - [=](#-122)
+      - [-](#--2)
+      - [,](#-123)
+
 Literaturempfehlung:
 - Ralf Küsters und Thomas Wilke: Moderne Kryptographie,Vieweg+ Teubner 2011
 - Jonathan Katz und Yehuda Lindell, Introduction to Modern Cryptography,CRCPress, 2015
@ -8,8 +337,8 @@ Literaturempfehlung:
 - David Kahn: The Codebreakers, Scribner, 1996

 # Einführung
-`κρυ$\pi$τóς`= kryptos(griech.): verborgen
-`γραφειν` = graphein (griech.): schreiben
+_κρυ$\pi$τóς_= kryptos(griech.): verborgen
+_γραφειν_ = graphein (griech.): schreiben

 Kryptographie im klassischen Wortsinn betrifft also Methoden,Nachrichten so zu schreiben, dass sie ,,verborgen'' bleiben,das heißt von keinem Unberechtigten (mit)gelesen werden können.Das hier angesprochene ,,Sicherheitsziel'' heißt ,,Vertraulichkeit'' oder ,,Geheimhaltung'' oder Konzelation (concelare(lat.):sorgfältig verbergen, davon englisch: conceal). Verfahren, die dieses Ziel erreichen,heißen Konzelationssysteme.

@ -41,7 +370,7 @@ Im Kontext der modernen elektronischen Kommunikation ergeben sich neben der Konz
 - Nichtabstreitbarkeit (Bob kann gegenüber Dritten beweisen,dass die Nachricht in der empfangenen Form vom behaupteten Absender Alice kam)
 - ...

-Integrität bzw. Authentisierung: Hier ist die Aufgabenstellung verändert. Eva hat nicht nur die Fähigkeit, Nachrichten passiv mitzulesen, sondern sie kann in den Kommunikationskanal eingreifen. Sie kann Nachrichten abfangen(und sogar die Weiterleitungverhindern) und/oder eine neue bzw. veränderte Nachricht in den Kanal einspeisen. Ihre Absicht ist es,Bob dazu zu bringen, diese Nachricht für die echte von Alice abgeschickte Nachricht zu halten.Diese Art von Angriff soll verhindert werden. Hierfür verwendet man einen Mechanismus,der message authentication code (MAC) heißt. Darunter kann man sich eine Funktion vorstellen, die aus einer Nachricht x einen(nicht allzu langen) Code `mac=MAC(x)` berechnet. Diese Funktion ist ein Geheimnis von legitimen Sendern von Nachrichten an Bob. Insbesondere kann Eva bei gegebener Nachricht x′ (verwandt zu x oder nicht) keinen korrekten MAC für x′ berechnen. Bob verfügt über ein Prüfverfahren, das es ihm erlaubt, ein empfangenes Paar `(x,mac)` darauf zu testen, ob der zweite Teil der zu x gehörende MAC-Wert ist. Wenn Alice die einzige Instanz ist,die die geheime Funktion MAC kennt, dann kann Bob sogar überprüfen, ob Alice tatsächlich die Absenderin ist.
+Integrität bzw. Authentisierung: Hier ist die Aufgabenstellung verändert. Eva hat nicht nur die Fähigkeit, Nachrichten passiv mitzulesen, sondern sie kann in den Kommunikationskanal eingreifen. Sie kann Nachrichten abfangen(und sogar die Weiterleitungverhindern) und/oder eine neue bzw. veränderte Nachricht in den Kanal einspeisen. Ihre Absicht ist es,Bob dazu zu bringen, diese Nachricht für die echte von Alice abgeschickte Nachricht zu halten.Diese Art von Angriff soll verhindert werden. Hierfür verwendet man einen Mechanismus,der message authentication code (MAC) heißt. Darunter kann man sich eine Funktion vorstellen, die aus einer Nachricht x einen(nicht allzu langen) Code $mac=MAC(x)$ berechnet. Diese Funktion ist ein Geheimnis von legitimen Sendern von Nachrichten an Bob. Insbesondere kann Eva bei gegebener Nachricht x′ (verwandt zu x oder nicht) keinen korrekten MAC für x′ berechnen. Bob verfügt über ein Prüfverfahren, das es ihm erlaubt, ein empfangenes Paar $(x,mac)$ darauf zu testen, ob der zweite Teil der zu x gehörende MAC-Wert ist. Wenn Alice die einzige Instanz ist,die die geheime Funktion MAC kennt, dann kann Bob sogar überprüfen, ob Alice tatsächlich die Absenderin ist.

 Beispiel 3:
 - Alice = Bankkundin,
@ -142,7 +471,7 @@ Begründung:

 Bemerkung: In der Realität gibt es auch (viele) geheimgehaltene Systeme. Naturgemäß werden solche nicht in Vorlesungen behandelt.

-## Teil 1: Symmetrische Verschlüsselung, Sicherheitsmo delle
+# Symmetrische Verschlüsselung, Sicherheitsmodelle
 In diesem Teil beschäftigen wir uns ausschließlich mit symmetrischen Konzelationsverfahren, bei denen also Alice und Bob sich auf einen geheimen Schlüssel geeinigt haben.

 Mögliche Kommunikationsszenarien:
@ -180,10 +509,10 @@ Wir untersuchen in diesem ersten Teil drei verschiedene Szenarien, jeweils symme
 3. Uneingeschränkte symmetrische Verschlüsselung: Mehrere Klartexte verschiedener Länge, Eva hört mit, kann sich einige Klartexte verschlüsseln lassen (CPA).
   - Triviale Information: Analog zur frischen Verschlüsselung.

-### Einmalige symmetrische Verschlüsselung und klassische Verfahren
+## Einmalige symmetrische Verschlüsselung und klassische Verfahren
 Wir diskutieren hier eine einführende, einfache Situation, für symmetrische Konzelationssysteme und Sicherheitsmodelle. In einer Fallstudie betrachten wir Methoden zum ,,Brechen'' eines klassischen Kryptosystems.

-#### Kryptosysteme und possibilistische Sicherheit
+### Kryptosysteme und possibilistische Sicherheit
 **Szenarium 1** (Einmalige Verschlüsselung, COA): Alice möchte Bob einen Klartext vorher bekannter Länge schicken, Alice und Bob haben sich auf einen Schlüssel geeinigt, Eva hört den Chiffretext mit.

 ,,bekannte Länge'': Klartexte entstammen einer bekannten endlichen Menge $X$, z.B. $X=\{0,1\}^l$.
@ -329,7 +658,7 @@ Das ist zum Beispiel dann sinnvoll, wenn die Schlüssel $0,1,2$ dieselbe Wahrsch

 Um formal auszudrücken, warum dieses Kryptosystem nicht ,,sicher'' ist, wenn Schlüssel $0,1$ und $2$ gleichwahrscheinlich sind, beziehungsweise um einen passenden Sicherheitsbegriff überhaupt zu formulieren, benötigen wir etwas Wahrscheinlichkeitsrechnung.

-### Wiederholung: Elementare Wahrscheinlichkeitsrechnung
+## Wiederholung: Elementare Wahrscheinlichkeitsrechnung
 Die in dieser Vorlesung benötigten Konzepte aus der Wahrscheinlichkeitsrechnung wurden in den Veranstaltungen ,,Grundlagen und Diskrete Strukturen'' und ,,Stochastik für Informatiker'' im Prinzip behandelt.Wir erinnern hier kurz an die für unsere Zwecke wichtigen Konzepte und legen Notation fest.

 Beispiel: Ein Wahrscheinlichkeitsraum, mit dem man das Zufallsexperiment ,,Einmaliges Werfen eines fairen Würfels'' modellieren kann, ist $\Omega=\{ 1 , 2 , 3 , 4 , 5 , 6\}$ mit der Idee, dass jede  ,,Augenzahl'' $a\in\Omega$ Wahrscheinlichkeit $\frac{1}{6}$ hat. Die Wahrscheinlichkeit, $5$ oder $6$ zu würfeln, schreibt man dann als $Pr(\{5,6\})=\frac{1}{3}$, die Wahrscheinlichkeit für eine gerade Augenzahl als $Pr(\{2,4,6\})=\frac{1}{2}$. Allgemein gilt jede Menge $A\subseteq\Omega$ als ,,Ereignis''  mit Wahrscheinlichkeit $Pr(A) =|A|/|\Omega|$.
@ -440,7 +769,7 @@ $$Pr(y_0):=Pr(X_3=y_0)=Pr(\{(x,k)|x\in X,k\in K,e(x,k) =y_0\}) =\sum_{x\in X,k\i

 (In Beispiel 1.20 gilt $Pr(A)=\frac{1}{4}*0,4+ \frac{1}{8}*0,6 +\frac{1}{2}*0 +\frac{1}{8}* 0,6=0,25$ und $Pr(B) =\frac{1}{4}*0 +\frac{1}{8}*0,4 +\frac{1}{2}*0,6 +\frac{1}{8}*0 = 0,35$.)

-$$Pr(x_0,y_0):=Pr(X_1=x_0,X_3=y_0)=Pr(\{x_0\}\times\{k\in K|e(x_0,k)=y_0\})= Pr_X(x_0)*\sum_{k\in K:e(x_0,k)=y_0} Pr_K(k)$
+$$Pr(x_0,y_0):=Pr(X_1=x_0,X_3=y_0)=Pr(\{x_0\}\times\{k\in K|e(x_0,k)=y_0\})= Pr_X(x_0)*\sum_{k\in K:e(x_0,k)=y_0} Pr_K(k)$$

 (In Beispiel 1.20 gilt $Pr(c,A)=0,6*(\frac{1}{8}+\frac{1}{8})=0,15$ und $Pr(a,C)=0,6*(\frac{1}{2}+\frac{1}{8})= 0,375$.)

@ -494,12 +823,12 @@ Lemma 1.26 Sei $V=(X,K,Y,e,d,Pr_K)$ ein KSV. Sei $V$ informationstheoretisch sic
 2. Gilt zusätzlich $|X|=|Y|=|K|$, so gilt $Pr_K(k)=\frac{1}{|K|}$ für alle $k\in K$.

 Beweis: 
-1. Sei $y\in Y$ beliebig. Nach Definition 1.1(2) gibt es $x_0\in X$ und $k_0\in K$ mit $e(x_0,k_0)=y$. Da $Pr_X(x_0)>0$ (nach Vor.) und $Pr_K(k_0)>0$ (nach Def 1.19),erhalten wir $Pr(y)\geq Pr_X(x_0)Pr_K(k_0)>0$. Sei nun zusätzlich auch $x\in X$ beliebig. Dann gilt: $\sum_{k\in K:e(x,k)=y} Pr(x)Pr(k)= Pr(x,y)= Pr(x|y)Pr(y)=^* Pr(x)Pr(y)> 0$. ((∗) gilt, da V informationstheoretisch sicher bzgl. $Pr_X$ ist.) Also existiert $k\in K$ mit $e(x,k)=y$. Da $x$ und $y$ beliebig waren, ist S possibilistisch sicher.
+1. Sei $y\in Y$ beliebig. Nach Definition 1.1(2) gibt es $x_0\in X$ und $k_0\in K$ mit $e(x_0,k_0)=y$. Da $Pr_X(x_0)>0$ (nach Vor.) und $Pr_K(k_0)>0$ (nach Def 1.19),erhalten wir $Pr(y)\geq Pr_X(x_0)Pr_K(k_0)>0$. Sei nun zusätzlich auch $x\in X$ beliebig. Dann gilt: $\sum_{k\in K:e(x,k)=y} Pr(x)Pr(k)= Pr(x,y)= Pr(x|y)Pr(y)=^* Pr(x)Pr(y)> 0$. ((*) gilt, da V informationstheoretisch sicher bzgl. $Pr_X$ ist.) Also existiert $k\in K$ mit $e(x,k)=y$. Da $x$ und $y$ beliebig waren, ist S possibilistisch sicher.
 2. Nun nehmen wir zusätzlich $|X|=|Y|=|K|$ an. Wir beobachten zuerst zwei Dinge:
    1. Für jedes $x\in X$ ist die Abbildung $K\ni k \rightarrow e(x,k)\in Y$  bijektiv. (Dass diese Abbildung surjektiv ist, ist eine Umformulierung der possibilistischen Sicherheit, die nach 1. gegeben ist. Aus Surjektivität folgt Bijektivität, wegen $|K|=|Y|$.)
    2. Für jedes $k\in K$ ist die Abbildung $X\ni x \rightarrow e(x,k)\in Y$ bijektiv. (Dass die Abbildung injektiv ist, folgt aus der Dechiffrierbedingung. Aus Injektivität folgt Bijektivität, wegen $|X|=|Y|$.)

-Nun seien $k_1,k_2\in K$ beliebig. Unser Ziel ist zu zeigen, dass $Pr(k_1)=Pr(k_2)$ gilt. (Dann ist gezeigt,dass $Pr_K$ die uniforme Verteilung ist.) Wähle $x\in X$ beliebig und setze $y:=e(x,k_1)$. Beachte, dass es wegen 1. keinen Schlüssel $k\not=k_1$ mit $y=e(x,k)$ gibt. Wegen 2. gibt es ein $x′\in X$ mit $e(x′,k_2)=y$. Auch hier gibt es kein $k′\not=k_2$ mit $e(x′,k′)=y$. Es gilt also: $Pr(x)Pr(k_1)=\sum_{k\in K:e(x,k)=y} Pr(x)Pr(k) = Pr(x,y) = Pr(x|y)Pr(y) =^∗ Pr(x)Pr(y)$, und daher $Pr(k_1)=Pr(y)$, wegen $Pr(x)>0$. (∗ gilt, weil $V$ informationstheoretisch sicher ist.) Analog gilt $Pr(x′)Pr(k_2)=Pr(x′)Pr(y)$, und daher $Pr(k_2)=Pr(y)$. Es folgt $Pr(k_1)=Pr(k_2)$, wie gewünscht.
+Nun seien $k_1,k_2\in K$ beliebig. Unser Ziel ist zu zeigen, dass $Pr(k_1)=Pr(k_2)$ gilt. (Dann ist gezeigt,dass $Pr_K$ die uniforme Verteilung ist.) Wähle $x\in X$ beliebig und setze $y:=e(x,k_1)$. Beachte, dass es wegen 1. keinen Schlüssel $k\not=k_1$ mit $y=e(x,k)$ gibt. Wegen 2. gibt es ein $x′\in X$ mit $e(x′,k_2)=y$. Auch hier gibt es kein $k′\not=k_2$ mit $e(x′,k′)=y$. Es gilt also: $Pr(x)Pr(k_1)=\sum_{k\in K:e(x,k)=y} Pr(x)Pr(k) = Pr(x,y) = Pr(x|y)Pr(y) =^* Pr(x)Pr(y)$, und daher $Pr(k_1)=Pr(y)$, wegen $Pr(x)>0$. (* gilt, weil $V$ informationstheoretisch sicher ist.) Analog gilt $Pr(x′)Pr(k_2)=Pr(x′)Pr(y)$, und daher $Pr(k_2)=Pr(y)$. Es folgt $Pr(k_1)=Pr(k_2)$, wie gewünscht.
 Teil 2. dieses Lemmas hat eine Umkehrung.

 Lemma 1.27 Sei $V=(X,K,Y,e,d,Pr_K)$ KSV mit $|X|=|Y|=|K|$. Wenn $S=(X,K,Y,e,d)$ possibilistisch sicher ist und $Pr_K$ die Gleichverteilung ist, dann ist $V$ informationstheoretisch sicher.
@ -508,7 +837,7 @@ Beweis: Es sei eine beliebige Klartextverteilung $Pr_X$ gegeben. Da S possibilis
 Damit gilt für jedes $y\in Y$:$Pr(y)=\sum_{x\in X,k\in K:e(x,k)=y} Pr(x)Pr(k) =\sum_{x\in X} Pr(x) Pr(k_{x,y})=\frac{1}{|K|}* \sum_{x\in X} Pr(x) = \frac{1}{|K|}$.
 Wir haben benutzt, dass $Pr_K$ die uniforme Verteilung ist und dass $\sum_{x\in X} Pr(x) = 1$ gilt.
 Seien nun $x\in X$ und $y\in Y$ beliebig. Wenn $Pr(x)=0$ ist, gilt auf jeden Fall $Pr(x|y)=0=Pr(x)$. Wir können also $Pr(x)> 0$ annehmen und rechnen: $Pr(x|y) =\frac{Pr(x,y)}{Pr(y)}=\frac{Pr(y|x)*Pr(x)}{Pr(y)}=\frac{Pr_K(k_{x,y})*Pr(x)}{Pr(y)}=^* \frac{\frac{1}{|K|}*Pr(x)}{\frac{1}{|K|}}=Pr(x)$.
-(Für ∗ benutzen wir die Annahme über $Pr_K$ und die Gleichheit $Pr(y)=\frac{1}{|K|}$ von oben.) Das heißt, dass V  für $Pr_X$ informationstheoretisch sicher ist.
+(Für * benutzen wir die Annahme über $Pr_K$ und die Gleichheit $Pr(y)=\frac{1}{|K|}$ von oben.) Das heißt, dass V  für $Pr_X$ informationstheoretisch sicher ist.
 Aus den beiden Lemmas erhalten wir den folgenden Satz, der die informationstheoretisch sicheren KSVs für den Fall $|X|=|Y|=|K|$ vollständig beschreibt.

 Satz 1.28 Sei $V= (X,K,Y,e,d,Pr_K)$ ein KSV mit $|X|=|Y|=|K|$. Dann sind äquivalent:
@ -518,7 +847,7 @@ Satz 1.28 Sei $V= (X,K,Y,e,d,Pr_K)$ ein KSV mit $|X|=|Y|=|K|$. Dann sind äquiva
 Beweis:  ,,$(a)\Rightarrow (b)$'': Wenn V informationstheoretisch sicher ist, dann auch bezüglich einer Klartextverteilung $Pr_X$, in der alle Klartexte aktiv sind. Lemma 1.26 liefert 2. ,,$(b)\Rightarrow (a)$'': Lemma 1.27.

 Der Satz besagt, dass man informationstheoretisch sichere Systeme mit $|X|=|Y|=|K|$ daran erkennt, dass in der Verschlüsselungstabelle (für e) in jeder Spalte alle Chiffretexte vorkommen (possibilistische Sicherheit) und dass die Schlüsselverteilung $Pr_K$ uniform ist. Auch in jeder Zeile kommen natürlich alle Chiffretexte vor: das liegt aber einfach an der Dechiffrierbedingung. 
-Wir geben ein Beispiel für ein solches informationstheoretisch sicheres Kryptosystem mit $|X|=|Y|=|K|=6$ an. Die Klartextverteilung ist irrelevant. (Die Verschlüsselungsfunktion ist übrigens mit Hilfe der Multiplikationstabelle der multiplikativen Gruppe $\mathbb{Z}^∗_7$ des Körpers $\mathbb{Z}_7$ konstruiert worden. Solche Tabellen haben die Eigenschaft, dass jeder mögliche Eintrag in jeder Zeile und in jeder Spalte genau einmal vorkommt.)
+Wir geben ein Beispiel für ein solches informationstheoretisch sicheres Kryptosystem mit $|X|=|Y|=|K|=6$ an. Die Klartextverteilung ist irrelevant. (Die Verschlüsselungsfunktion ist übrigens mit Hilfe der Multiplikationstabelle der multiplikativen Gruppe $\mathbb{Z}^*_7$ des Körpers $\mathbb{Z}_7$ konstruiert worden. Solche Tabellen haben die Eigenschaft, dass jeder mögliche Eintrag in jeder Zeile und in jeder Spalte genau einmal vorkommt.)

 Beispiel 1.29 Wir betrachten $X=\{a,b,c,d,e,f\},K=\{k_0 ,...,k_5\},Y=\{A,...,F\}$.
 | e                   | a   | b   | c   | d   | e   | f   |
@ -544,7 +873,7 @@ Lemma 1.30 Sei $V=(X,K,Y,e,d,Pr_K)$ KSV und seien $Pr_X$ und $Pr′_X$ Klartextv

 Beweis: Sei $V$ informationstheoretisch sicher bzgl. $Pr_X$. Wir haben es jetzt mit zwei Wahrscheinlichkeitsräumen zu tun, einem zu $Pr_X$ und $Pr_K$ (bezeichnet mit $(X\times K,Pr)$) und einem zu $Pr′_X$ und $Pr_K$ (bezeichnet mit $(X\times K,Pr′)$).
 Wir zeigen nacheinander vier Aussagen.
-1. $Pr_X(x)> 0 \Rightarrow P^x(y) = Pr(y|x) = Pr(y)$ für alle $y\in Y$. (Die Verteilungen $Pr^X(*)=Pr(*|x)$ auf den Chiffretexten sind für alle (Pr-)aktiven Klartexte x gleich und sind auch gleich der globalen Verteilung auf den Chiffretexten.) Beweis hierzu: Sei $Pr(x)>0$. Dann gilt $P^x(y)=Pr(y|x)$, siehe (1.3). Wenn $Pr(y)=0$ gilt, folgt auch $Pr(y|x)=0$. Sei also $Pr(y)>0$. Dann gilt: $Pr(y|x) =\frac{Pr(x,y)}{Pr(x)}=\frac{Pr(x|y)Pr(y)}{Pr(x)}=^* \frac{Pr(x)Pr(y)}{Pr(x)}= Pr(y)$. (∗ gilt, weil V informationstheoretisch sicher bzgl. $Pr_X$ ist.)
+1. $Pr_X(x)> 0 \Rightarrow P^x(y) = Pr(y|x) = Pr(y)$ für alle $y\in Y$. (Die Verteilungen $Pr^X(*)=Pr(*|x)$ auf den Chiffretexten sind für alle (Pr-)aktiven Klartexte x gleich und sind auch gleich der globalen Verteilung auf den Chiffretexten.) Beweis hierzu: Sei $Pr(x)>0$. Dann gilt $P^x(y)=Pr(y|x)$, siehe (1.3). Wenn $Pr(y)=0$ gilt, folgt auch $Pr(y|x)=0$. Sei also $Pr(y)>0$. Dann gilt: $Pr(y|x) =\frac{Pr(x,y)}{Pr(x)}=\frac{Pr(x|y)Pr(y)}{Pr(x)}=^* \frac{Pr(x)Pr(y)}{Pr(x)}= Pr(y)$. (* gilt, weil V informationstheoretisch sicher bzgl. $Pr_X$ ist.)
 2. $Pr′_X(x)> 0 \Rightarrow Pr′(y|x) = Pr(y)$ für alle $y\in Y$. Beweis hierzu: Aus $Pr′(x)>0$ folgt $Pr(x)>0$, nach Voraussetzung. Wir wenden (1.3) für $Pr′$ und für $Pr$ an und erhalten für alle $y\in Y$: $Pr′(y|x)=P^x(y)=Pr(y|x)=^a Pr(y)$.
 3. $Pr′(y)=Pr(y)$ für alle $y\in Y$. Beweis hierzu: Mit Lemma 1.15(a) (Formel von der totalen Wahrscheinlichkeit): $Pr′(y)=\sum_{x\in X: Pr′(x)> 0} Pr′(y|x)Pr′(x)=^b \sum_{x\in X: Pr′(x)> 0} Pr(y)Pr′(x) = Pr(y)$.
 4. $Pr′(x)=Pr′(x|y)$ für alle $x\in X,y\in Y$ mit $Pr′(y)>0$. (D.h.: V ist bzgl. $Pr′_X$ informationstheoretisch sicher.) Beweis hierzu: Wenn $Pr′(x)=0$ gilt, dann folgt $Pr′(x|y)=0=Pr′(x)$. Sei nun $Pr′(x)>0$. Dann: $Pr′(x|y)=\frac{Pr′(x,y)}{Pr′(y)}=\frac{Pr′(y|x)Pr′(x)}{Pr′(y)}=^{b,c} \frac{Pr(y)Pr′(x)}{Pr(y)} = Pr′(x)$.
@ -579,3 +908,201 @@ Beispiel 1.32 Wir geben noch ein Beispiel für ein informationstheoretisch siche

 Offensichtlich ist die Schlüsselverteilung nicht uniform. Jeder Schlüssel $k$ hat eine andere Chiffre $x\rightarrow e(x,k)$. Die (absoluten) Wahrscheinlichkeiten für die Chiffretexte sind ebenfalls nicht uniform ($Pr(A)=Pr(B)=\frac{1}{4}$, $Pr(C)=Pr(D)=\frac{1}{6}$, $Pr(E)=Pr(F)=\frac{1}{12}$). 
 Die informationstechnische Sicherheit drückt sich dadurch aus, dass diese Chiffretextwahrscheinlichkeiten auch für jeden Klartext (also jede Spalte) separat auftreten.
+
+## Fallstudie für Cyphertext-only-Angriffe: Vigenère-Chiffre
+In der Einleitung wurde schon kurz die sogenannte Vigenère-Chiffre angesprochen. Dies ist ein klassisches Verfahren zur Verschlüsselung natürlich sprachiger Texte. Üblicherweise nimmt man dabei den zu verschlüsselnden Text, lässt alle Satzzeichen und alle Leerzeichen weg und wandelt Groß-in Kleinbuchstaben um. Umlaute und andere Sonderzeichen werden umschrieben. Resultat ist eine Folge $x=(x_0,...,x_{l-1})=x_0 ...x_{l-1}$ von Buchstaben im Klartextalphabet $\{a,...,z\}$ der Größe 26. Wir betrachten hier nur den Fall, wo die Klartextlänge von vornherein beschränkt ist (gemäß Szenario 1), also ist $l\geq L$ für ein festes L. Nun möchte man $x$ verschlüsseln. Ein informationstheoretisch sicheres Verfahren ist, für jede Buchstabenposition $0\geq i < L$ rein zufällig einen Schlüssel $k_i\in\{A,...,Z\}$ zu wählen und an Position $i$ die Verschiebechiffre mit Schlüssel $k_i$ anzuwenden. Der Schlüssel $k_0,...,k_{L-1}$ ist dann aber mindestens so lang wie die Klartextfolge. Allerdings ist das nach unseren bisherigen Ergebnissen auch unvermeidlich: Wenn $V=(X,K,Y,e,d,Pr_K)$ informationstheoretisch sicher ist, ist $(X,K,Y,e,d)$ possibilistisch sicher, also $|X|\geq |K|$.
+
+Es liegt nahe, zu versuchen, mit nur einem Schlüsselbuchstaben oder mit einem kürzeren Schlüssel auszukommen. Dies führt zur einfachen (wiederholten) Verschiebechiffre und zur Vigenère-Chiffre. Wir zeigen, dass man diese mit einfachen Mitteln ,,brechen'' kann.
+
+### Die Vigenère-Chiffre und Angriffe bei bekannter Schlüssellänge
+Es ist bequem, anstelle von Buchstaben mit Zahlen zu rechnen. Mit $Z_n$ bezeichnen wir den Ring $\mathbb{Z}/n\mathbb{Z}$, also (etwas vereinfachend gesagt) den Ring der Zahlen $\{0,1,...,n-1\}$ mit Addition und Multiplikation modulo n als Operationen.
+
+Definition: Eine Verschiebechiffre ist ein Kryptosystem $S=(Z_n,Z_n,Z_n,e,d)$ mit $e(x,k)=(x+k) mod\ n$. (Offensichtlich ist dann $d(y,k)=(y-k)mod\ n$.)
+
+Unser zentrales Beispiel ist der Fall $n=26$, also $X=Y=K=\{0,1,2,...,25\}$. Wir identifizieren die Elemente dieser Menge mit den Buchstaben $a,...,z$ (bei X) bzw. $A,...,Z$ (bei K und Y). Die Konvention ist nach wie vor, Klartextbuchstaben klein und Schlüsselbuchstaben und Chiffretextbuchstaben groß zu schreiben.
+
+Die einfachste Methode ist folgende Version der Cäsar-Chiffre: Wähle einen Schlüssel k aus $K=\{0,1,...,25\}=\{A,...,Z\}$ zufällig. Um ,,Texte'' (d.h. Wörterüber $\mathbb{Z}_n$) zu verschlüsseln, wird S buchstabenweise angewandt: Aus $x_0 x_1...x_{l-1}$ wird $e(x_0,k)e(x_1,k)...e(x_{l-1},k)$.
+
+Diese Methode ist allerdings sehr leicht zu brechen, sogar ,,von Hand'', also ohne massiven Einsatz von Computern. Es gibt mindestens die folgenden naheliegenden Möglichkeiten, einen gegebenen Chiffretext $y_0...y_{l-1}$, der aus einem natürlichsprachigen Text entstanden ist, zu entschlüsseln:
+1. probiere die 26 möglichen Schlüssel aus, oder
+2. zähle, welche Buchstaben am häufigsten im Chiffretext vorkommen und teste die Hypothese, dass einer von diesen für ,,e'' steht.
+
+Betrachte beispielsweise den Chiffretext $RYFWAVSVNPLVOULHUZAYLUNBUN$. 
+- Zählen liefert folgende Häufigkeiten für die häufigsten Buchstaben: $U:4,L:3,N:3,V:3$.
+- Vermutung: Einer dieser Buchstaben entspricht dem ,,e''.
+- Der Schlüssel $k$ mit $e(e,k)=U$ ist $k=Q$. Entschlüsselung mit $Q$ liefert das Wort $bipgkfcfxzvfyevrejkivexlex$, das nicht sehr sinnvoll erscheint.
+- Der Schlüssel $k$ mit $e(e,k)=L$ ist $k=H$. Entschlüsselung mit $H$ liefert kryptologie ohne anstrengung, und wir sind fertig.
+- Als Basis für solche Entschlüsselungsansätze benutzt(e) man Häufigkeitstabellen für Buchstaben, wie die folgende (Angaben in Prozent):
+    | Englisch  | Deutsch   | Italienisch |
+    | --------- | --------- | ----------- |
+    | E,e 12,31 | E,e 18,46 | E,e 11,79   |
+    | T,t 9,59  | N,n 11,42 | A,a 11,74   |
+    | A,a 8,05  | I,i 8,02  | I,i 11,28   |
+    | O,o 7,94  | R,r 7,14  | O,o 9,83    |
+- Dass das ,,e'' im Deutschen deutlich häufiger als im Englischen ist, liegt auch daran, dass bei der Umschreibung der Umlaute ä,ö und ü als ae, oe, ue jeweils ein ,,e'' entsteht.)
+
+Man kann auch die Häufigkeiten von ,,Digrammen'' (zwei Buchstaben, z.B. ng) oder ,,Trigrammen''  (drei Buchstaben, z.B. ung oder eit) heranziehen, auch um unterschiedliche Sprachen zu unterscheiden.
+
+Eine unangenehme Eigenschaft bei der wiederholten Anwendung von reinen Verschiebechiffren ist, dass identische Buchstaben stets gleich verschlüsselt werden. Zum Beispiel hat unabhängig vom Schlüssel der Klartext otto stets zu einem Chiffretext mit dem Muster abba.
+
+Die Grundidee der Vigenère-Chiffre ist es nun, verschiedene Verschiebechiffren in festgelegter zyklischer Reihenfolge zu verwenden.
+
+Schlüssel: $k=k_0 k_1 k_2 ...k_{s-1}\in Z^s_n,s\in\mathbb{N}$. (Eine Folge von Verschiebewerten.)
+
+Klartext: $x=x_0 x_1...x_{l-1} \in Z^l_n,l\in\mathbb{N}$.
+
+Man verschlüsselt $x_0$ mit $k_0$, $x_1$ mit $k_1$, und so weiter. Wenn irgendwann der Schlüssel ,,aufgebraucht'' ist, weil $s<l$ gilt, fängt man mit dem Schlüssel wieder von vorne an. Wir verschlüsseln also $x_0$ mit $k_0,...,x_{s-1}$ mit $k_{s-1},x_l$ mit $k_0,...,x_{2s-1}$ mit $k_{s-1}$,usw. 
+Zusammengefasst: Der Chiffretext ist: $y=y_0 y_1...y_{l-1}\in(\mathbb{Z}_n)^*$ mit $y_i:=e(x_i,k_{i\ mod\ s})$, für $0\geq i < l$.
+
+Man kann dieses Verfahren mit einem festen Schlüssel k nun natürlich auf beliebig lange Klartexte anwenden. Damit liegt hier kein Kryptosystem im (technischen) Sinn des letzten Abschnitts vor!
+
+Beispiel: Wir benutzen der einfacheren Lesbarkeit halber Buchstaben anstelle der Zahlen $0,...,25$. Der Schlüssel ist VENUS.
+|                        |                                 |
+| ---------------------- | ------------------------------- |
+| wiederholter Schlüssel | V E N U S V E N U S V E N U S V |
+| Klartext               | p o l y a l p h a b e t i s c h |
+| Chiffretext            | K S Y S S G T U U T Z X V M U C |
+
+Wir werden die Längen $s$ des Schlüssels und $l$ des Klartextes ,,sinnvoll'' beschränken:
+
+**Definition 1.33** Das Vigenère-Kryptosystem (mit Parametern $(n,S,L)\in\mathbb{N}^3$) ist das Kryptosystem ($(\mathbb{Z}_n)\geq L,(\mathbb{Z}_n)\geq S,(\mathbb{Z}_n)\geq L,e,d$), so dass für alle $s\geq S,l\geq L,x_i,k_j\in\mathbb{Z}_n$ gilt: $e(x_0...x_{l-1},k_0 ...k_{s-1})=y_0 ...y_{l-1}$ mit $y_i=(x_i+k_{i\ mod\ s}) mod\ n$, für alle $0\geq i < l$.
+
+Für Anwendungen sollte man L ,,fast unendlich'' wählen, um die unendliche Menge der möglichen Klartexte zu approximieren. Hingegen wird S nicht sehr groß sein, da man die Anzahl der Schlüssel klein halten will.
+Nun betrachten wir einen Angriff von Eva im Szenarium 1, bei dem sie nur einen Chiffretext y der Länge l hat. Nehmen wir zunächst an, dass sie auch die Schlüssellänge $s<<l$ und die zugrunde liegende (natürliche) Sprache kennt. Dann kann sie den Chiffretext durch Häufigkeitsanalysen zu entschlüsseln versuchen. Die zentrale Idee ist, dass für die Verschlüsselung des ,,Teiltextes'' $y_i=y_iy_{i+s}y_{i+2s}...$,für $0\geq i<s$, der Buchstabe $k_i$ benutzt wurde, genau wie bei der einfachen Verschiebechiffre. Für $i,0\geq i<s$, bestimmt Eva also die in diesem Teiltext $y_i=y_iy_{i+s}y_{i+2s}...$ am häufigsten vorkommenden Buchstaben und testet die Hypothesen, dass diese für ,,e'' oder einen anderen häufigen Buchstaben stehen.
+
+Wir betrachten ein Beispiel für eine solche Analyse an einem Chiffretext. (In der klassischen Kryptographie war es üblich, die Texte in Fünfergruppen einzuteilen, um das Abzählen von Buchstabenpositionen zu erleichtern).
+
+|                                                             |
+| ----------------------------------------------------------- |
+| EYRYC FWLJH FHSIU BHMJO UCSEG TNEER FLJLV SXMVY SSTKC MIKZS |
+| JHZVB FXMXK PMMVW OZSIA FCRVF TNERH MCGYS OVYVF PNEVH JAOVW |
+| UUYJU FOISH XOVUS FMKRP TWLCI FMWVZ TYOIS UUIIS ECIZV SVYVF |
+| PCQUC HYRGO MUWKV BNXVB VHHWI FLMYF FNEVH JAOVW ULYER AYLER |
+| VEEKS OCQDC OUXSS LUQVB FMALF EYHRT VYVXS TIVXH EUWJG JYARS |
+| ILIER JBVVF BLFVW UHMTV UAIJH PYVKK VLHVB TCIUI SZXVB JBVVP |
+| VYVFG BVIIO VWLEW DBXMS SFEJG FHFVJ PLWZS FCRVU FMXVZ MNIRI |
+| GAESS HYPFS TNLRH UYR                                       |
+
+- $y^0 =EFFBUTFSSMJFPOFTMOPJUFXFTFTUESPHMBVFFJUAVOOLFEVTEJIJBUUPVTSJVBVDSFPFFMGHTU$. 
+  - Buchstaben in $y^0$ mit Häufigkeiten $>1:AB(4)DE(4)F(14)GH(2)IJ(5)LM(3)O(4)P(5)S(5)T(7)U(7)V(6)X$
+  - Mögliches Bild von ,,e'': F. Schlüsselbuchstabe wäre: B
+- $y^1 =YWHHCNLXSIHXMZCNCVNAUOOMWMYUCVCYUNHLNALYECUUMYYIUYLBLHAYLCZBYVWBFHLCMNAYNY$.
+  - Buchstaben in $y^1:A(4)B(3)C(8)EFH(6)I(2)L(7)M(5)N(7)O(2)SU(5)V(3)W(2)X(2)Y(19)Z(2)$
+  - Mögliches Bild von ,,e'':Y. Schlüsselbuchstabe wäre: U
+- $y^2 =RLSMSEJMTKZMMSREGYEOYIVKLWOIIYQRWXHMEOYLEQXQAHVVWAIVFMIVHIXVVILXEFWRXIEPLR$.
+  - Buchstaben in $y^2:A(2)E(7)F(2)GH(3)I(8)JK(2)L(5)M(6)O(2)PQ(3)R(5)S(3)TV(7)W(4)X(5)Y(4)Z$
+  - Mögliche Bilder von ,,e'':I,V. Schlüsselbuchstaben wären: E,R
+- $y^3 =YJIJEELVKZVXVIVRYVVVJSURCVIIZVUGKVWYVVEEKDSVLRXXJREVVTJKVUVVFIEMJVZVVRSFR$.
+  - Buchstaben in $y^3 :CDE(6)F(2)GI(5)J(6)K(4)L(2)MR(6)S(3)TU(3)V(21)WX(3)Y(3)Z(3)$
+  - Mögliches Bild von ,,e'':V. Schlüsselbuchstabe wäre: R
+- $y^4 =CHUOGRVYCSBKWAFHSFHWUHSPIZSSVFCOVBIFHWRRSCSBFTSHGSRFWVHKBIBPGOWSGJSUZISSH$.
+  - Buchstaben in $y^4 :AB(5)C(4)F(6)G(4)H(8)I(4)JK(2)O(3)P(2)R(4)S(13)TU(3)V(4)W(5)YZ(2)$
+  - Mögliches Bild von ,,e'':S. Schlüsselbuchstabe wäre: O
+
+Man versucht Schlüssel BURRO und erhält keinen sinnvollen Text. Mit BUERO ergibt sich:
+denho echst enorg anisa tions stand erfuh rdiek rypto logie
+inven edigw osiei nform einer staat liche nbuer otaet igkei
+tausg euebt wurde esgab schlu essel sekre taere dieih rbuer
+oimdo genpa lasth atten undfu erihr etaet igkei trund zehnd
+ukate nimmo natbe kamen eswur dedaf uerge sorgt dasss iewae
+hrend ihrer arbei tnich tgest oertw urden siedu rften ihreb
+ueros abera uchni chtve rlass enbev orsie eineg estel lteau
+fgabe geloe sthat ten
+
+Ohne Gruppierung erhält man:
+denhoechstenorganisationsstanderfuhrdiekryptologie
+invenedigwosieinformeinerstaatlichenbuerotaetigkei
+tausgeuebtwurdeesgabschluesselsekretaeredieihrbuer
+oimdogenpalasthattenundfuerihretaetigkeitrundzehnd
+ukatenimmonatbekameneswurdedafuergesorgtdasssiewae
+hrendihrerarbeitnichtgestoertwurdensiedurftenihreb
+uerosaberauchnichtverlassenbevorsieeinegestellteau
+fgabegeloesthatten
+
+Nun muss man nur noch die Wortzwischenräume und Satzzeichen ergänzen, um zu erhalten:
+Den höchsten Organisationsstand erfuhr die Kryptologie in Venedig, wo sie in Form einer staatlichen Bürotätigkeit ausgeübt wurde. Es gab Schlüsselsekretäre, die ihr Büro im Dogenpalast hatten und für ihre Tätigkeit rund zehn Dukaten im Monat bekamen. Es wurde dafür gesorgt, dass sie während ihrer Arbeit nicht gestört wurden. Sie durften ihre Büros aber auch nicht verlassen, bevor sie eine gestellte Aufgabe gelöst hatten.
+
+### Der Kasiski-Test
+Das bisher betrachtete Verfahren setzt voraus, dass die Schlüssellänge s bekannt ist. Ist die maximale Schlüssellänge S klein, dann kann man die Schlüssellängen 1 bis S einzeln durchprobieren. Ist S groß, möchte man die Suche nach der richtigen Schlüssellänge abkürzen. (Besonders vor dem Computerzeitalter, wo die Dechiffrierung per Hand durchgeführt werden musste, war eine solche Zeitersparnis wichtig.) Die Schlüssellänge kann oft durch den Kasiski-Test näherungsweise bestimmt werden. (Der Test ist benannt nach Friedrich Wilhelm Kasiski (1805, 1881), einem preußischen Infanteriemajor. Der Test wurde von ihm 1863 veröffentlicht. Er war aber bereits 1854 von Charles Babbage entwickelt, aber nicht veröffentlicht worden.)
+
+Die zentrale Idee des Tests ist die folgende einfache Beobachtung: Gleiche Klartextfragmente, die eventuell mehrfach vorkommen (z.B. das Wort ,,ein'') werden in gleiche Chiffretexte übersetzt, wenn sie unter dem gleichen Schlüsselfragment liegen. Genauer: Stimmt der Klartext im Abschnitt $i+s*l$ bis $j+s*(l+h)$ mit dem Klartext im Abschnitt von $i+s*l′$ bis $j+s*(l′+h)$ überein, so gilt dies auch für den Chiffretext $(1\geq i,j\geq s,l,l′,h\in\mathbb{N})$. 
+Anders ausgedrückt: Kommt ein Teilwort im Klartext an zwei Positionen i und j und ist j-i ein Vielfaches von s, so werden die beiden Vorkommen des Wortes gleich verschlüsselt.
+
+Diese Beobachtung wird in die folgende Idee für einen Angriff umgemünzt: Für möglichst viele ,,lange'' Wörter, die im Chiffretext mehrfach auftreten, notiere die Abstände des Auftretens. (,,lang'' sollte wenigstens 3 sein.) Dann suche ein großes s, das viele dieser Abstände teilt (nicht unbedingt alle, denn einige Mehrfach vorkommen im Chiffretext könnten zufällig entstanden sein).
+
+Beispiel 1.34 Im Chiffretext von Abbildung 1 kommen (mindestens) die folgenden Wörter der Länge 3  mehrfach vor. Wir geben die Positionen und die Abstände an.
+
+|                                                             | #Wörter |
+| ----------------------------------------------------------- | ------- |
+| AWMCJ IENAW NMOZV EYJOK HPXNK TFKQC JPJSJ NTIVT TCOJA AWKBS | 50      |
+| NHKBV UYMJG NNUAH UEKFF DLNSJ SZRZL EUKRW IYLCJ MLZWC ECOBM | 100     |
+| NOPSV ECOBX OCSOL IVKFC EYTHF IDYSM EMKFV IPCSK EYZZA CSKBS | 150     |
+| LRUFA TSSWK CSKBO ECQNW URKVS BPTIW BPXGL RFQHM RPTRA EPYSJ | 200     |
+| LLAPW NOGHW NPLTA ZTKBL ZFUFY AYOGA ECKBM NOGIX ZFLWF DPTIW | 250     |
+| BPXVS EFLWY BPTIL ZEKOD GZXWL HXKBM NOAST ECJWW SEGBV ACJHW | 300     |
+| CSTWC EYSWL DPTSF MLTOD GZXWL HXOGU HPVFG BWKAW MZJSD LTKFW | 350     |
+| NGKFK TPNSF UYJZG EDKBC AYT                                 |
+
+| Wort      | Positionen      | Abstände |
+| --------- | --------------- | -------- |
+| ODGZXWLHX | 269 , 319       | 50       |
+| DPT       | 246 , 311       | 65       |
+| BPT       | 176 , 261       | 115      |
+| ECOB      | 96 , 106        | 10       |
+| CSK       | 138 , 146 , 161 | 8*, 15   |
+| AWM       | 1 , 339         | 338*     |
+| PTIWBPX   | 177 , 247       | 70       |
+| BMNO      | 99 , 234 , 279  | 135 , 45 |
+
+Wir vermuten: Periode ist 5 (dann wären Wiederholungen von AWM und CSK durch Zufall entstanden)
+
+Das Ergebnis der Entschlüsselung wie oben beschrieben mit vermuteter Schlüssellänge 5 und versuchten Schlüsseln ALGXS (erfolglos) und ALGOS (erfolgreich) ergibt den folgenden Text.
+|                                                             | #Wörter |
+| ----------------------------------------------------------- | ------- |
+| algor ithme nbild endas herzs tueck jeder nicht trivi alena | 50      |
+| nwend ungvo ncomp utern daher sollt ejede infor matik erinu | 100     |
+| ndjed erinf ormat ikerk enntn isseu eberd iewes entli chena | 150     |
+| lgori thmis chenw erkze ugeha benue berst ruktu rendi eeser | 200     |
+| laube ndate neffi zient zuorg anisi erenu ndauf zufin denue | 250     |
+| berha eufig benut zteal gorit hmenu ndueb erdie stand ardte | 300     |
+| chnik enmit denen manal gorit hmisc hepro bleme model liere | 350     |
+| nvers tehen undlo esenk ann                                 |
+
+Mit Wortzwischenräumen und Satzzeichen:
+Algorithmen bilden das Herzstück jeder nichttrivialen Anwendung von Computern. Daher sollte jede Informatikerin und jeder Informatiker Kenntnisse über die wesentlichen algorithmischen Werkzeuge haben: über Strukturen, die es erlauben, Daten effizient zu organisieren und aufzufinden, über häufig benutzte Algorithmen und über die Standardtechniken, mit denen man algorithmische Probleme modellieren, verstehen und lösen kann.
+
+Bemerkungen: 
+- (i) Der Test funktioniert nur gut, wenn die Schlüssellänge s gering im Verhältnis zur Chiffretextlänge l ist.
+- (ii) Um ihn anwenden zu können, muss die Klartextsprache bekannt sein.
+- (iii) Der Test kann auch in der viel allgemeineren Situation benutzt werden, in der Schlüssel nicht s Verschiebungen, sondern s beliebige Substitutionschiffren auf $X$ bestimmen (z.B. $X=Y$ und Schlüssel ist Tupel($\pi_0,...,\pi_{s-1}$) von Permutationen von $X$).
+
+Was passiert im Extremfall $s=l$?
+- Grundsätzlich hat man dann ein informationstheoretisch sicheres one-time pad vor sich...
+- ... aber nur dann, wenn die Schlüssel gleichverteilt gewählt werden.  Wenn der Schlüssel selbst ein deutscher Text ist (z.B. ein Textstück aus einem Buch), so weist der Chiffretext wieder statistische Merkmale auf, die zum Brechen ausgenutzt werden können. (Beispiel: Wenn Schlüssel und Klartext beides deutsche Texte sind, werden ca. $7,6%$ der Buchstaben mit sich selbst verschlüsselt, d.h. Chiffretextbuchstabe$= 2 *$ Klartextbuchstabe modulo 26.)
+
+Effektive Verfahren der Schlüsselverlängerung (die aber keine informationstheoretische Sicherheit bringen):
+- Autokey-Vigenère: Schlüssel k, Klartext m. Dann wird klassische Vigenère-Chiffre mit Schlüssel km auf m angewendet.
+- Pseudozufallszahlen: Geheimer Schlüssel ist seed eines (Pseudo-)Zufallszahlengenerators, mit dem eine lange Schlüsselfolge $k_0,...,k_{l-1}$ erzeugt wird.
+
+### Koinzidenzindex und Friedman-Methode
+Wir betrachten noch eine andere interessante Methode zur Abschätzung der Schlüssellänge, die bei der Verwendung einer Vigenère-Chiffre oder anderen Substitutionschiffren mit fester Schlüssellänge s helfen können, diese zu ermitteln. Die Methode beruht darauf, dass die Buchstabenhäufigkeiten (zu einer gegebenen Sprache) fest stehen und sich bei der Verschlüsselung mit einer einfachen Substitutionschiffre nicht ändert. Ebenso ändert sich nicht die Wahrscheinlichkeit, bei der zufälligen Wahl eines Buchstabenpaars zwei identische Buchstaben zu erhalten. Die Methode stammt von William F. Friedman (1891, 1969), einem amerikanischen Kryptographen.
+
+Sei $x=x_0...x_{l-1}$ ein Klartext, sei $y=y_0...y_{l-1}$ der zugehörige Chiffretext, bei $s=1$ (an jeder Stelle derselbe Schlüssel). Seien $n_0,...,n_{25}$ die Anzahlen der Buchstaben $a,...,z$ in $x,n′_0,...,n′_25$ die in $y$. Wir wählen zufällig ein Paar von zwei Positionen in x (ohne ,,Zurücklegen''). Dafür gibt es $\binom{l}{2}$ Möglichkeiten. Genau $\binom{n_i}{2}$ viele davon führen dazu, dass man zweimal den Buchstaben Nummer i zieht, und $\sum_{0\geq i<26}\binom{n_i}{2}$ viele führen dazu, dass man an den beiden Positionen denselben Buchstaben sieht. Wir setzen $IC(x):=\frac{\sum_{0\geq i<26}\binom{n_i}{2}}{\binom{l}{2}}=\frac{\sum_{0\leq i<26}n_i(n_i-1)}{l(l-1)}$. 
+Diese Zahl nennt man den Koinzidenzindex von x. Sie ist die Wahrscheinlichkeit dafür, dass an den beiden zufällig gewählten Positionen der selbe Buchstabe steht. Weil die Verschlüsselung auf den Buchstaben eine Bijektion ist, also sich die vorkommenden Häufigkeiten durch die Verschlüsselung nicht ändern, gilt für $IC(y):=\frac{\sum_{0\geq i<26} n′_i(n′_i -1)}{l(l-1)}$ die Gleichung $IC(x)=IC(y)$.
+Für lange Texte mit (sprachtypischer) Häufigkeitsverteilung der Buchstaben nähert sich $IC(x)$ einem bestimmten Wert an. Wenn $p_i$ die Häufigkeit von Buchstabe i in der verwendeten Sprache ist, wird für lange Texte x die Näherung $\frac{n_i}{l}\approx\frac{n_i-1}{l-1}\approx p_i$ gelten, also $IC(x)\approx \sum_{0\geq i<26} p^2_i$ sein. Die Summe $\sum_{0\geq i<26} p^2_i$ hat beispielsweise einen Wert von etwa $0,076$ für deutsche und $0,066$ für englische Texte. Wenn (in einer fiktiven Sprache) jeder Buchstabe dieselbe Wahrscheinlichkeit hat, ist $\sum_{0\geq i<26} p^2_i= 26*(\frac{1}{26})^2=\frac{1}{26}\approx 0,0385$; dies ist zugleich der minimal mögliche Wert.
+
+Für die Ermittlung eines Schätzwertes für die Schlüssellänge s gehen wir wie folgt vor. Wir nehmen an, die zugrunde liegende Sprache ist Deutsch. Wir berechnen zunächst $IC(y)$ für den Chiffretext y. Die unbekannte Schlüssellänge nennen wir s. Dann berechnen wir eine Näherung für $IC(y)$, auf eine zweite Weise. Dies wird uns eine (Näherungs-)Gleichung für s liefern.
+
+Wir überlegen: Bilde die Teilwörter $y^0,...,y^{s-1}$ wie in Abschnitt 1.4, jedes mit der Länge $\frac{l}{s}$. Innerhalb jedes Teilworts kommen Kollisionen ebenso häufig vor wie in einem gewöhnlichen Text mit nur einem Schlüssel, also erwarten wir zusammen $\binom{l/s}{2} IC(y^0)+...+\binom{l/s}{2} IC(y^{s-1})\approx s\binom{l/s}{2}* 0,076 = \frac{1}{2}l(l/s-1)* 0,076$ viele ,,Kollisionen''  (Paare identischer Chiffretextbuchstaben) aus den einzelnen Teilwörtern. 
+Zwischen zwei Teilwörtern $y^u$ und $y^v$ erwarten wir $(l/s)^2*261\approx 0,0385(l/s)^2$ Kollisionen, aus allen $\binom{s}{2}$ Paaren von Teilwörtern zusammen also $\binom{s}{2} 0,0385(l/s)^2 =\frac{s(s-1)}{2}* 0,0385(l/s)^2 =\frac{1}{2} *0,0385 l^2 (1-\frac{1}{s})$ viele. Zusammen ist die erwartete Anzahl an Kollisionen in y gleich $\frac{1}{2}l(0,076(l/s-1) + 0,0385 l(1-\frac{1}{s}))$.
+Diese Zahl sollte näherungsweise gleich $\frac{1}{2}l(l-1)IC(y)$ sein. Wir können die resultierende Gleichung $(l-1)IC(y) = 0,076(l/s-1) + 0,0385 l(1-\frac{1}{s})$ nach s auflösen und erhalten: $s\approx \frac{(0,076-0,0385)l}{(l-1)IC(y)-0,0385l+0,076}$. (Wenn man anstelle der Konstanten $0,076$ den Wert $0,066$ einsetzt, erhält man die entsprechende Formel für englischsprachige Texte.)
+Eine tatsächliche Durchführung des Verfahrens mit Chiffretexten wie im vorigen Kapitel erfordert viel Geduld (oder den Einsatz eines Computers).
+
+Beim ,,venezianischen'' Chiffretext EYRYC...UYR von oben ergibt sich:
+| $a_i$  | A   | B   | C   | D   | E   | F   | G   | H   | I   | J   | K   | L   | M   | N   | O   | P   | Q   | R   | S   | T   | U   | V   | W   | X   | Y   | Z |
+| --- |--- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- |
+| $n′_i$ | 8   | 12  | 13  | 2   | 18  | 25  | 7   | 19  | 20  | 14  | 8   | 15  | 16  | 7   | 12  | 8   | 3   | 15  | 25  | 10  | 19  | 41  | 13  | 11  | 19  | 8 |
+
+Dies liefert $IC(y)\approx 0,048024$ und $l=368$. Damit erhalten wir $s\approx\frac{0,0375*368}{367 *0,048024-0,0385 *368+0,076}\approx 3,9$.
+Das ist nicht zu nahe am tatsächlichen Wert 5, aber auch nicht ungeheuer weit weg. (Die Formel reagiert sehr empfindlich auf kleine Änderungen in $IC(y)$. Mit $IC(y)=0,05$ ergibt sich $s\approx 3,24$, mit $IC(y)=0,046$ ergibt sich $s\approx 4,95$.)
+