7 Weitere symmetrische Verschlüsselungsverfahren

Transkript

1 7 Weitere symmetrische Verschlüsselungsverfahren 85 7 Weitere symmetrische Verschlüsselungsverfahren Die hohe Qualität des DES zeigt sich nicht zuletzt daran, dass es bis Mitte der achtziger Jahre dauerte, ehe Kryptografen erstmals nennenswerte Alternativen zu diesem Verfahren entwickeln konnten. Die ersten DES-Konkurrenten erreichten das Vorbild jedoch noch nicht, sondern wiesen die eine oder andere Sicherheitslücke auf. Erst in den Neunzigern, also etwa 20 Jahre nach der Veröffentlichung des DES, konnten sich schließlich andere Algorithmen etablieren. Ein weiteres Jahrzehnt später hat sich die Lage weiter gewandelt. Inzwischen hat die akademische Kryptografie mehrere Dutzend symmetrische Verschlüsselungsverfahren hervorgebracht, die Alice und Bob guten Gewissens anstatt des DES einsetzen können. Bevor wir uns die wichtigsten davon näher anschauen, will ich zunächst auf einige allgemeine Aspekte zum Thema symmetrische Verschlüsselungsverfahren eingehen.

2 86 7 Weitere symmetrische Verschlüsselungsverfahren 7.1 Chiffrendesign Ein sicheres und praktikables Verschlüsselungsverfahren zu entwickeln, ist heute um ein Vielfaches leichter als noch vor 20 Jahren. Dies liegt daran, dass in der Zwischenzeit unzählige Forschungsarbeiten veröffentlicht wurden, die jedem Interessierten ein beträchtliches Know-how zu diesem Thema vermitteln. Doch trotz aller Fortschritte ist es nach wie vor alles andere als trivial, ein gutes Verschlüsselungsverfahren zu konstruieren. Erfahrungsgemäß sollte man dafür einige Personenjahre an Arbeit einplanen. Der große Aufwand entsteht nicht zuletzt durch die hohen Anforderungen, die heute an einen symmetrischen Verschlüsselungsalgorithmus gestellt werden. Im Folgenden will ich Ihnen die wichtigsten Grundlagen des Chiffrendesigns vermitteln. Wer tiefer in das Thema einsteigen will, sollte am besten mit Bruce Schneiers Buch The Twofish Encryption Algorithm anfangen, das zahlreiche interessante Informationen zu diesem Thema enthält [SKWHFW] Anforderungen an die Sicherheit Es gibt zwei Möglichkeiten, ein Verschlüsselungsverfahren zu gestalten: Entweder man macht es möglichst kompliziert und hofft, dass dadurch auch Bösewicht Mallory den Durchblick verliert und keine Schwachstelle findet; oder man macht es möglichst durchdacht und versucht, Schwachstellen erst gar nicht entstehen zu lassen. Alle in der Fachwelt anerkannten symmetrischen Verschlüsselungsverfahren einschließlich des DES folgen der letztgenannten Strategie. Wer also eine Chiffre entwickelt, die in der Fachwelt Anerkennung finden soll, sollte auf einen übersichtlichen Aufbau achten und sich darüber im Klaren sein, welcher Bestandteil des Verfahrens welche Aufgabe hat. Ein Chiffrendesign nach dem Chaos- Prinzip ist dagegen verpönt. Zu viel Unübersichtlichkeit kann schließlich leicht dazu führen, dass der Chiffrendesigner selbst nicht mehr durchblickt und etwaige Schwachstellen übersieht. Wenig beliebt in Kryptografen-Kreisen ist zudem Geheimniskrämerei. Wer erreichen will, dass sein Verfahren von Fachleuten anerkannt wird und vielleicht sogar eine praktische Verbreitung findet, sollte alle Designdetails veröffentlichen. Wie bereits mehrfach in diesem Buch erwähnt, gilt ein Verfahren nur dann als sicher, wenn seine Veröffentlichung der Sicherheit nicht schadet. Natürlich halten sich Militärorganisationen und Geheimdienste sowie einige Unternehmen nicht an diesen Grundsatz, doch diese haben meist genug Know-how, um ihre Entwicklungen intern auf Schwachstellen prüfen zu können. Mögliche Schwachstellen Doch was ist im Zusammenhang mit einem Verschlüsselungsverfahren überhaupt eine Schwachstelle? Ein zu kurzer Schlüssel ist eine solche. In der Fachwelt

3 7.1 Chiffrendesign 87 gilt heute darüber hinaus meist der Grundsatz: Es darf keinen besseren Angriff auf ein symmetrisches Verschlüsselungsverfahren geben als die vollständige Schlüsselsuche. Dies bedeutet insbesondere, dass selbst eine Chosen-Plaintext- Attacke, die Terabytes von gewählten Klartextblöcken benötigt, als Schwachstelle gilt. Oft sind die Anforderungen sogar noch höher: Selbst Angriffe, die nur bei einer leicht reduzierten Rundenzahl möglich sind, gelten als Makel. Darüber hinaus gelten auch statistische Auffälligkeiten aller Art bei einem Verschlüsselungsverfahren schon als Schwachstelle. Schließlich könnte jedes statistische Ungleichgewicht einen Ansatz für einen Angriff bilden. Ein gutes symmetrisches Verfahren sollte daher ein Zufallsorakel (Random Oracle) bilden. Als Zufallsorakel bezeichnet man eine Funktion, bei der kein erkennbarer Zusammenhang zwischen der Eingabe (Klartext und Schlüssel) und der Ausgabe (Geheimtext) existiert. Am besten ist diese Voraussetzung erfüllt, wenn die Ausgabe mithilfe einer per Zufallsgenerator erstellten Tabelle aus der Eingabe bestimmt wird. Dies ist jedoch ein theoretischer Idealfall, der für die Kryptografie nicht praktikabel ist. Ein Zufallsorakel impliziert beispielsweise, dass die Änderung eines Klartextbits im Schnitt die Hälfte aller Geheimtext-Bits verändert (dies nennt man Avalanche-Effekt). Darüber hinaus ist der Geheimtext eines Zufallsorakels nicht von einer Zufallsfolge zu unterscheiden. Der DES ist übrigens kein perfektes Zufallsorakel, was unter anderem daran liegt, dass es vier schwache DES-Schlüssel gibt. Kommt einer davon zum Einsatz, dann ergibt eine doppelte Verschlüsselung den Klartext. So etwas würde bei einem Zufallsorakel nicht passieren. Nun werden Sie vielleicht einwenden, dass derart hohe Ansprüche reichlich überzogen wirken. Ein Kryptograf wird Ihnen dann jedoch entgegnen, dass man die Latte immer höher legen sollte, als es in der Praxis erforderlich scheint. Dadurch schafft man sich ein Sicherheitspolster gegenüber Angriffen, die möglicherweise in der Zukunft entdeckt werden. Darüber hinaus hat die weit verbreitete Kryptografen-Paranoia noch einen weiteren Grund: Die Anforderungen sind so hoch, weil es möglich ist, sie zu erfüllen. Es gibt inzwischen nun einmal zahlreiche Verfahren, bei denen die vollständige Schlüsselsuche die beste bekannte Angriffsmöglichkeit bietet und die auch sonst keine der genannten Schwachstellen aufweisen. Es wäre daher schlichtweg langweilig, sich mit weniger hohen Ansprüchen zufriedenzugeben. Dass beim Chiffrendesign keine Langeweile aufkommt, liegt nicht zuletzt an der bereits erwähnten Tatsache, dass es außer dem unhandlichen One-Time-Pad bis heute kein Verfahren gibt, das eine beweisbare Sicherheit liefert. Als sicher gilt ein Verschlüsselungsverfahren daher erst dann, wenn intensive Untersuchungen keine Schwachstellen zutage gebracht haben. Selbst die besten Kryptografen können jedoch am Ende keinerlei Sicherheitsgarantie abgeben. Es ist daher immer denkbar, dass ein eben noch als sicher eingestuftes Verschlüsselungsverfahren

4 88 7 Weitere symmetrische Verschlüsselungsverfahren wie ein Kartenhaus in sich zusammenfällt, nachdem ein schlauer Kopf die entscheidende Schwäche entdeckt hat. Sicherheit gegenüber speziellen Angriffen Ein gutes symmetrisches Verschlüsselungsverfahren sollte ausreichend lange Schlüssel vorsehen. Auf diese naheliegende Anforderung werde ich in Kapitel näher eingehen. Weniger selbstverständlich ist dagegen die Forderung nach einer geeigneten Blocklänge. Eine Blocklänge von 64 Bit kann beispielsweise in den Augen eines paranoiden Kryptografen ein Sicherheitsproblem sein, wie folgende Überlegung verdeutlicht: 64 Bit entsprechen acht ASCII-Zeichen, und es kann durchaus vorkommen, dass sich acht ASCII-Zeichen in einem Klartext wiederholen. Wenn Mallory einen Teil des Klartexts kennt, kann er mit diesem Wissen möglicherweise auf einen ihm unbekannten Teil des Texts schließen (dabei spielt die verwendete Betriebsart eine wesentliche Rolle, siehe Kapitel 17.1). Die beschriebene Problematik hat dazu geführt, dass die meisten aktuellen Verschlüsselungsverfahren eine Blocklänge von 128 Bit vorsehen. Noch wichtiger als die Blocklänge ist zweifellos die Sicherheit eines Verfahrens gegenüber differenzieller und linearer Kryptoanalyse. Ein Chiffrendesigner, der mit seiner Neuentwicklung ernst genommen werden will, muss glaubhaft machen können, dass diese beiden Angriffe gegen sein Verfahren nicht funktionieren. Dies ist heute deutlich leichter zu erreichen als noch vor 20 Jahren, denn inzwischen gibt es einiges an veröffentlichtem Know-how zum Thema lineare und differenzielle Kryptoanalyse. Man muss sich das Wissen also nur anlesen. Eine weitere wichtige Frage beim Chiffrendesign ist die nach schwachen Schlüsseln. Als solche bezeichnet man Schlüssel, die bestimmte Angriffe auf das Verfahren ermöglichen, die normalerweise nicht funktionieren. Möglichkeiten für schwache Schlüssel gibt es viele. Beim DES sind beispielsweise vier Schlüssel bekannt, bei denen eine doppelte Verschlüsselung den Klartext ergibt (siehe Kapitel 6.3). Darüber hinaus existieren einige weitere DES-Schlüssel mit anderen Schwächen. Es gibt auch Verfahren, bei denen man Schlüssel entdeckt hat, die eine differenzielle Kryptoanalyse oder einen anderen Angriff zulassen. In der Praxis sind schwache Schlüssel kein Problem, solange ihre Zahl überschaubar ist. So bringt es Mallory beispielsweise wenig, wenn ein Verfahren schwache Schlüssel besitzt. Denn anstatt die damit verbundene Schwäche zu nutzen, kann Mallory genauso die schwachen Schlüssel per Brute Force durchprobieren. Die Wahrscheinlichkeit, dass ein solcher Schlüssel per Zufall eingesetzt wird, ist ohnehin minimal. Gefährlich wird es jedoch dann, wenn beispielsweise jeder tausendste Schlüssel eines Verfahrens schwach ist. Dann hat Mallory eine realistische Chance, diese Schwäche nutzen zu können. Zwei weitere Fragen, die sich jeder Chiffrendesigner stellen muss, sind folgende: Wenn Mallory einen Schlüssel kennt, kann er daraus einen anderen ablei-

5 7.1 Chiffrendesign 89 ten? Und wenn Mallory einen Teil eines Schlüssels kennt, kann er daraus den fehlenden Teil ermitteln? Man spricht hierbei von einer Related-Key-Attacke. Dass eine solche durchaus funktionieren kann, zeigt das WLAN-Protokoll WEP (Kapitel ). Es versteht sich von selbst, dass ein gutes symmetrisches Verschlüsselungsverfahren gegenüber einer Related-Key-Attacke nicht anfällig sein darf. Eine neue Variante der Kryptoanalyse kam im Jahr 2002 auf und verursachte einiges an Wirbel: die quadratische Kryptoanalyse (auch als XSL-Angriff bekannt) [CouPie]. Diese sieht vor, dass Mallory ein Verschlüsselungsverfahren mit einem System quadratischer Gleichungen nachbildet. Gelingt ihm dies, dann kann er versuchen, dieses Gleichungssystem zu lösen. Ist auch dieser Schritt erfolgreich, dann hat Mallory das Verfahren geknackt. Interessanterweise benötigt Mallory nur ein paar einzelne Klartext-Geheimtext-Paare, um so vorzugehen, während andere Angriffe meist astronomische Mengen an Analysematerial voraussetzen. Nun gibt es zwar Methoden zum Lösen quadratischer Gleichungssysteme zum Beispiel die XSL-Methode (Extended Sparse Linearisation). Doch ganz so einfach ist die Sache trotzdem nicht. Die Zahl der Gleichungen und Variablen geht bei der quadratischen Kryptoanalyse nämlich schnell in die Tausende, was in der Praxis nicht mehr handhabbar ist. Bisher hat es daher noch niemand geschafft, auf diese Weise auch nur in die Nähe eines erfolgreichen Angriffs zu kommen. Dies kann sich jedoch ändern, wenn Kryptografen die bisher bekannten Methoden verbessern. Für Chiffrendesigner ist die quadratische Kryptoanalyse bisher noch eine im wahrsten Sinne des Wortes Gleichung mit vielen Unbekannten. Das Thema ist noch zu wenig erforscht, um zu wissen, ob und wie es bei der Entwicklung neuer Algorithmen beachtet werden muss. Nach aktuellem Stand der Forschung scheint der DES nicht anfällig zu sein, im Gegensatz zum AES und anderen neuen Verfahren. Momentan bleibt daher nur eines: Abwarten und Augen aufhalten. Seit einigen Jahren spielt außerdem die Sicherheit gegenüber Seitenkanalangriffen eine zunehmend wichtige Rolle (siehe Kapitel 15.1). Seitenkanalangriffe nutzen neben Klar- und Geheimtext weitere Informationen wie Stromverbrauch oder Verschlüsselungsdauer. Wer heute ein neues symmetrisches Verschlüsselungsverfahren entwickelt, sollte derartige Angriffe in Betracht ziehen. Sie sehen also: Es gibt für den Chiffrendesigner eine Menge zu beachten. Und er sollte nie vergessen: Mallory ist immer schlauer, als man denkt Die ideale Schlüssellänge Nehmen wir nun an, wir haben ein symmetrisches Verschlüsselungsverfahren, bei dem die vollständige Schlüsselsuche der beste Angriff ist. Die Sicherheit des Verfahrens hängt nun fast nur noch von der Schlüssellänge ab. Mit jedem zusätzlichen Schlüsselbit verdoppelt sich die Sicherheit. Welchen Schutz eine Schlüssel-

6 90 7 Weitere symmetrische Verschlüsselungsverfahren länge von 56 Bit bietet, haben wir im Kapitel über den DES gesehen: Der aktuelle Rekord für eine vollständige DES-Schlüsselsuche liegt derzeit bei etwa 22 Stunden, wozu jedoch ein enormer Aufwand an Hardware notwendig war. Wie sieht es nun bei einer Schlüssellänge von 128 Bit aus? In diesem Fall gelten folgende Überlegungen: Es gibt = 3, Schlüssel. Verwendet Mallory einen speziellen Hochleistungschip, der 10 Millionen Schlüssel pro Sekunde durchprobieren kann, dann dauert das Durchprobieren aller Schlüssel 3, Sekunden. Besitzt Mallory nicht nur einen, sondern eine Million dieser Chips, dann kann er denselben Vorgang in 3, Sekunden schaffen. Hat Mallory großes Glück, dann stößt er schon auf den richtigen Schlüssel, nachdem er nur 1 Prozent aller Schlüssel durchprobiert hat. In diesem Fall benötigt er nur noch 3, Sekunden. 3, Sekunden entsprechen etwa Jahren. Zum Vergleich: Das Alter des Universums liegt bei etwa Jahren. Wir müssten also die Zeit seit dem Urknall eine Million Mal verstreichen lassen, um auf den gewünschten Erfolg zu kommen. Nun werden Sie vielleicht einwenden, dass Computer immer stärker werden. Vielleicht werden irgendwelche klugen Köpfe eines Tages einen Computer bauen, der einen 128-Bit-Schlüssel sehr viel schneller knackt. Nehmen wir daher einmal an, Mallory habe einen Superrechner zur Verfügung, der dies könnte. Nehmen wir außerdem an, dieser Superrechner arbeite extrem energiesparend und brauche nur ein Billionstel Joule an Energieaufwand, um einen Schlüssel durchzuprobieren (dies ist mit aktuellen Computern völlig utopisch). Dann ergibt sich folgende Rechnung: Ein Billionstel Joule entspricht Joule. Da wir 3, Schlüssel haben, können wir diese Zahl mit Joule multiplizieren. Das Ergebnis lautet 3, Joule. Dies ist der Energieaufwand, den der besagte Rechner für das Durchprobieren aller Schlüssel benötigt. 3, Joule entsprechen 3, Watt-Sekunden oder 3, Kilowatt- Sekunden oder 9, Kilowatt-Stunden. Wenn wir davon ausgehen, dass Mallory enormes Glück hat und schon nach einem Hundertstel aller durchprobierten Schlüssel auf den richtigen stößt, dann beträgt der Energieaufwand 9, Kilowatt-Stunden. Zum Vergleich: Die derzeitige Gesamtmenge der jährlich von allen Kraftwerken der Welt produzierten Energie beträgt etwa 8, Kilowatt-Stunden. Oder anders ausgedrückt: Sämtliche Kraftwerke der Welt müssten über 100 Jahre lang ausschließlich für diesen einen Superrechner arbeiten. Bei einem (sehr günstigen) Preis von einem Cent pro Kilowatt-Stunde würde die Stromrechnung für das

7 7.1 Chiffrendesign 91 gesamte Unterfangen etwa 9, Euro betragen. Dies ist deutlich mehr als das weltweite Bruttosozialprodukt (etwa Euro). Im Übrigen hat der bekannte Verschlüsselungsexperte Bruce Schneier darauf hingewiesen, dass die Siliziumatome im Universum knapp werden könnten, wenn tatsächlich eines Tages ein entsprechender Superrechner gebaut werden sollte ein paralleles Universum als Rohstofflieferant wäre daher von Vorteil [Schn96]. Damit wird klar: Wenn Mallory einen 128-Bit-Schlüssel per vollständiger Schlüsselsuche finden will, muss er nicht nur die Computertechnik, sondern auch gleich die Stromproduktion revolutionieren. Da dieses Szenario nicht besonders wahrscheinlich ist, können wir festhalten: 128 Bit Schlüssellänge sind per Brute Force nicht zu knacken. Die folgende Tabelle bestätigt diese Erkenntnis. Sie basiert auf der Annahme, dass eine vollständige DES-Schlüsselsuche 24 Stunden dauert (dies entspricht etwa dem aktuellen Weltrekord). Schlüssellänge Anzahl der Schlüssel Dauer einer vollständigen Schlüsselsuche 40 Bit 1, ,3 Sekunden 56 Bit 7, Stunden 64 Bit 1, Tage 80 Bit 1, Jahre 128 Bit 3, , Jahre 192 Bit 6, , Jahre 256 Bit 1, , Jahre Obwohl es auf den ersten Blick unnötig scheint, sehen viele neuere Verfahren eine Schlüssellänge von 192 oder gar 256 Bit vor. In solchen extralangen Schlüsseln ist zweifellos ein nicht unwesentlicher Paranoia-Zuschlag enthalten. Dieser kommt zum Teil dadurch zustande, dass in der Zukunft sogenannte Quanten-Computer Realität werden könnten, für die andere Gesetze als für herkömmliche Rechner gelten. Die Arbeitsweise von Quanten-Computern macht es möglich, im Vergleich mit einem herkömmlichen Rechner mit demselben Aufwand eine doppelte Schlüssellänge zu knacken. 256 Schlüsselbit sind daher insofern gerechtfertigt, als sie mit Quanten-Computer nur die Sicherheit von 128 Bit bieten. Entscheidender als die bisher nur theoretisch interessanten Quanten-Computer sind in diesem Zusammenhang allerdings andere Überlegungen. So können besonders lange Schlüssel deshalb sinnvoll sein, weil die vollständige Schlüsselsuche in der Praxis oft eben nicht der beste Angriff ist. In einem solchen Fall bedeutet mehr Schlüssel zwar nicht zwangsläufig mehr Sicherheit, die meisten Angriffe funktionieren aber dennoch bei kürzeren Schlüsseln besser. Außerdem kann es immer Situationen geben, in denen Mallory einen Teil des Schlüssels kennt je länger der Schlüssel, desto weniger ist eine solche Information wert. Und schließ-

8 92 7 Weitere symmetrische Verschlüsselungsverfahren lich gibt es in vielen Bereichen der Kryptografie Geburtstagsangriffe (Kapitel ) und Meet-in-the-Middle-Attacken (Kapitel 7.2.1), die zu einer Halbierung der effektiven Schlüssellänge führen. Da man bei der Entwicklung eines Krypto-Moduls nie so recht weiß, für welche skurrilen Anwendungsfälle dieses einmal eingesetzt wird, ist es oft sinnvoll, die beiden genannten Angriffe ins Kalkül zu ziehen und die Schlüssellänge doppelt so hoch wie scheinbar notwendig zu wählen. Übertreiben sollte man es mit der Schlüssellänge allerdings auch nicht, ansonsten kommt man schnell mit anderen Anforderungen des Chiffrendesigns in Konflikt (z. B. wenig Speicherplatz, schnelle Schlüsselaufbereitung). So ist es nicht ratsam, Schlüssellängen von 512 oder gar Bit einzusetzen, geschweige denn einige Tausend Bit. Produkte, die mit solchen ultralangen Schlüsseln arbeiten, gehören meist in die Rubrik Schlangenöl (Kapitel 40.2) Aufbau symmetrischer Verschlüsselungsverfahren Wäre Sicherheit das einzige Kriterium bei der Entwicklung eines Verschlüsselungsverfahrens, dann wäre die Sache einfach. In diesem Fall würde beispielsweise ein DES-ähnliches Verfahren mit Hunderten von Runden ausreichen, um Mallory das Handwerk zu legen. Sicherheit ist jedoch nicht das einzige Kriterium, und je mehr sichere Verschlüsselungsverfahren verfügbar sind, desto mehr spielen andere Aspekte des Chiffrendesigns eine Rolle. Als wichtigstes Designkriterium für ein Verschlüsselungsverfahren gilt nach der Sicherheit in der Regel die Verschlüsselungsgeschwindigkeit. Wenn Alice einen Algorithmus einsetzt, um eine ganze Festplatte zu verschlüsseln oder um ein Telefongespräch in Echtzeit abzusichern, ist die Wichtigkeit dieses Merkmals offensichtlich. Hinzu kommt, dass viele Verschlüsselungsverfahren nicht auf einem PC, sondern in eingebetteter Hardware oder auf einer Smartcard eingesetzt werden. In solchen Umgebungen gilt: Je performanter das Verschlüsselungsverfahren, desto geringer die Hardwarekosten. Natürlich spielt bei der Verschlüsselungsgeschwindigkeit die Implementierung und die verwendete Plattform eine wichtige Rolle. Ein gutes Verschlüsselungsverfahren sollte am besten auf allen gängigen Plattformen performant zu implementieren sein und dabei sowohl in Hardware als auch in Software hohe Geschwindigkeiten erzielen. Nach Sicherheit und Schnelligkeit ist meist der Ressourcenverbrauch das nächste Thema für den Chiffrendesigner. Soll ein Verfahren in vergleichsweise leistungsschwacher Hardware zur Anwendung kommen, dann sollte der Programmcode nicht allzu viel Platz wegnehmen, und der Bedarf an Arbeitsspeicher sollte so gering wie möglich sein. Bei Hardware-Implementierungen ist außerdem ein niedriger Stromverbrauch von Vorteil.

9 7.1 Chiffrendesign 93 Einfache Operationen Kryptografie-Einsteiger neigen oft zur Vermutung, dass ein Verschlüsselungsverfahren aus irgendwelchen hochkomplexen mathematischen Funktionen zusammengesetzt sein müsste. In Wirklichkeit ist jedoch das genaue Gegenteil der Fall. Die Entwickler des DES haben es vorgemacht: Der DES setzt sich aus drei der einfachsten Bit-Operationen zusammen, die denkbar sind aus der Exklusiv-oder- Verknüpfung, der Substitution und der Permutation. Bei den weiteren symmetrischen Verschlüsselungsverfahren, die Sie in diesem Buch kennenlernen werden, verhält es sich kaum anders. Auch diese nutzen die drei genannten Operationen ausgiebig, wobei teilweise noch einige weitere ebenfalls wenig komplexe Bitfunktionen dazukommen. Die folgende Tabelle nennt die wichtigsten Operationen dieser Art: Zeichen Name Beispiel exklusives Oder = Addition = Subtraktion = 0011 << Linksverschiebung 1110 << 2 = 1000 <<< Linksrotation 1110 <<< 2 = 1011 >> Rechtsverschiebung 1110 >> 2 = 0011 >>> Rechtsrotation 1110 >>> 2 = 1011 Oder = 1111 Und = 1010 Konkatenation = Die Vorliebe für einfache Operationen beim Chiffrendesign ist einerseits ein Zugeständnis an die geforderte Schnelligkeit. Durch das geschickte Aneinanderreihen einfacher Bitoperationen lässt sich erfahrungsgemäß mehr Sicherheit pro Taktzyklus erzeugen als mit Logarithmen, trigonometrischen Funktionen oder anderen mathematischen Raffinessen. Der Verzicht auf komplexe Bitmanipulationen dient andererseits aber auch der Übersichtlichkeit. Substitutionen, Permutationen und die Exklusiv-oder-Verknüpfung sind gut untersucht und lassen Mallory bei geeignetem Einsatz kaum Schlupflöcher. Konfusion und Diffusion Praktisch alle gängigen symmetrischen Verschlüsselungsverfahren folgen demselben zweiteiligen Grundgedanken. Der erste Teil sieht vor, dass zu verschlüsselnde Daten unkenntlich gemacht werden (Konfusion). Beim DES sind die S-Boxen für die Konfusion zuständig. Diese sind so konstruiert, dass von der Ausgabe mög-

10 94 7 Weitere symmetrische Verschlüsselungsverfahren lichst wenig auf die Eingabe geschlossen werden kann. Auch die anderen gängigen Verfahren verwenden S-Boxen oder ähnliche Konstrukte. In den meisten Fällen sind diese als Ersetzungstabellen gegeben; teilweise kommen auch mathematische Formeln in S-Boxen zum Einsatz, die jedoch oft vorberechnet und wiederum mithilfe von Ersetzungstabellen in die Praxis umgesetzt werden. S-Boxen realisieren also eine Substitution, und die Substitution ist das Mittel der Wahl, um eine hohe Konfusion zu erreichen. Es ist durchaus möglich, alleine mithilfe von S-Boxen ein sicheres Verschlüsselungsverfahren zu realisieren. Allerdings benötigt man dazu sehr große S-Boxen (Ein- und Ausgabe müssten so groß wie ein Klartextblock sein). Dies ist jedoch nicht praktikabel, da man dazu riesige Tabellen benötigt. Daher beschränken sich alle gängigen Verfahren auf kleinere S-Boxen und sorgen zusätzlich für eine gute Durchmischung. Der zweite Teil des genannten Grundgedankens lautet daher: Zu verschlüsselnde Daten müssen zwischen den S-Boxen gut durcheinandergewirbelt werden (Diffusion). Beim DES geschieht dies vor allem durch die beiden Permutationen, die in der Rundenfunktion zum Einsatz kommen (die Permutationen am Anfang und am Ende einer DES-Verschlüsselung sind dagegen kryptografisch unerheblich). Auch alle anderen gängigen symmetrischen Verschlüsselungsverfahren verwenden unterschiedliche Formen der Permutation oder ähnliche Methoden, um die jeweiligen Daten zu vermischen. Die Permutation ist daher das Mittel der Wahl, um eine hohe Diffusion zu erreichen. Man kann die Sache daher auf einen einfachen Nenner bringen: Ein symmetrischer Verschlüsselungsalgorithmus realisiert Konfusion durch Substitution und Diffusion durch Permutation. Die Kunst des Chiffrendesigners besteht darin, diese Grundprinzipien auf möglichst wirkungsvolle Weise miteinander zu kombinieren. Darüber hinaus muss dann noch der Schlüssel in das Konstrukt aus Substitutionen und Permutationen eingebracht werden. Eine wichtige Rolle spielt an dieser Stelle der Begriff Linearität. Dieser ist (in diesem Zusammenhang) wie folgt definiert: Eine Funktion f, die eine Bitfolge auf eine Bitfolge abbildet, ist linear, wenn gilt: f(a b) = f(a) f(b). Eine Funktion ist also linear, wenn sie sich neutral gegenüber der Exklusiv-oder-Verknüpfung verhält. Lineare Funktionen spielen in der Mathematik eine wichtige Rolle, da sie gut zu untersuchen und regelmäßig sind. Insbesondere sind lineare Funktionen einfach umkehrbar. Im Übrigen gibt es auch Möglichkeiten, Linearität zu quantifizieren man kann also beispielsweise auch von einer nahezu linearen Funktion oder von einer hochgradig nichtlinearen Funktion sprechen. Beim Chiffrendesign ist Linearität zunächst einmal nicht erwünscht. Schließlich sollte ein Verschlüsselungsverfahren nicht regelmäßig und einfach umkehrbar sein. Aus diesem Grund ist es eine der wichtigsten Anforderungen an eine S-Box, dass diese hochgradig nichtlinear ist. Es wäre ein Widerspruch in sich, wenn man Konfusion mit einer linearen Funktion erreichen wollte. Nutzlos sind lineare Funktionen für das Chiffrendesign dennoch nicht. Im Gegenteil: Durch

11 7.1 Chiffrendesign 95 ihre Regelmäßigkeit sind lineare Funktionen sehr gut für die Diffusion geeignet. Eine Permutation ist beispielsweise stets linear. Alle gängigen symmetrischen Verschlüsselungsverfahren setzen lineare Bestandteile meist Varianten der Permutation für die Diffusion ein. Aufbau symmetrischer Verfahren Da ein Verschlüsselungsverfahren möglichst wenig Speicherplatz benötigen sollte, arbeiten alle bekannten Algorithmen nach dem Rundenprinzip. Dieses kennen Sie bereits vom DES. Es sieht vor, dass eine Verschlüsselung in Teilschritte (Runden) aufgeteilt ist, die im Wesentlichen identisch ablaufen. Es versteht sich von selbst, dass ein solcher Aufbau bei geeigneter Implementierung weniger Speicherplatz benötigt als eine Vorgehensweise, die zahlreiche unterschiedliche Verschlüsselungsschritte vorsieht. Die Zahl der Runden kann natürlich variieren. Beim DES sind es 16, andere Verfahren arbeiten meist mit Rundenzahlen zwischen 8 und 32. Klar ist, dass in einer Runde mindestens drei Elemente vorhanden sein müssen: eines zur Substitution (S-Box), eines zur Permutation sowie eines zur Einbringung eines Rundenschlüssels. Dabei kann es jeweils auch mehrere Elemente geben, die denselben Zweck erfüllen (wie die beiden Permutationen in der Rundenfunktion des DES). Darüber hinaus ist es von Wichtigkeit, dass die verschiedenen Elemente und Runden so aufgebaut sind, dass bei Kenntnis des Schlüssels eine schnelle und speicherplatzarme Entschlüsselung möglich ist. Obwohl damit schon einige Grundzüge des Chiffrendesigns feststehen, gibt es für den Chiffrendesigner noch viele Freiheiten. Die bekannteste Variante für den Aufbau eines symmetrischen Verschlüsselungsverfahrens bilden die sogenannten Feistel-Chiffren (auch Feistel-Netzwerke genannt). Dieser Chiffrentyp ist nach dem Kryptografen Horst Feistel benannt, der als IBM-Mitarbeiter an der Entwicklung des DES beteiligt war. Der DES ist daher auch das bedeutendste Verschlüsselungsverfahren, das zu den Feistel-Chiffren gehört. Wie eine Feistel-Chiffre arbeitet, zeigt ein Blick auf die Funktionsweise des DES (die beiden Permutationen am Anfang und am Ende vernachlässigen wir an dieser Stelle). In jeder Runde wird die eine Hälfte des Blocks einer Rundenfunktion zugeführt, deren Ergebnis mit der anderen Blockhälfte exklusiv-oder-verknüpft wird. Die eigentliche kryptografische Arbeit (Konfusion durch Substitution, Diffusion durch Permutation, Einbringung des Schlüssels) wird in der Rundenfunktion erledigt. Jedes Verschlüsselungsverfahren, das diesem Aufbau folgt, zählt zu den Feistel-Chiffren. Das Interessante an einer Feistel-Chiffre ist, dass die Verschlüsselung genauso funktioniert wie die Entschlüsselung (die Subschlüssel müssen jedoch in umgekehrter Reihenfolge verwendet werden). Diese Eigenschaft ist völlig unabhängig vom inneren Aufbau der Rundenfunktion.

12 96 7 Weitere symmetrische Verschlüsselungsverfahren Neben dem DES gibt es noch zahlreiche weitere Feistel-Chiffren. Kein anderer Chiffrentyp ist so weit verbreitet und so gut untersucht. Dennoch gibt es interessante Alternativen dazu. So gehören einige Verschlüsselungsfahren zur Familie der SP-Chiffren (auch SP-Netzwerke genannt). SP steht hierbei für Substitution- Permutation. Eine SP-Chiffre führt in jeder Runde eine Substitution und eine Permutation durch, ohne zuvor die bei Feistel-Chiffren übliche Teilung eines Blocks vorzunehmen. Eine SP-Chiffre verfolgt im Vergleich zu einer Feistel-Chiffre einen direkteren Ansatz. Der Chiffrendesigner hat bei Nutzung dieses Prinzips weniger Freiheiten, da die Entschlüsselung bei einer SP-Chiffre kein Selbstgänger ist (im Gegensatz zur Feistel-Chiffre). Alle Schritte einer SP-Runde müssen daher so gewählt werden, dass eine Umkehrung einfach möglich ist. Meisterhaft realisiert ist dies etwa beim AES (siehe Kapitel 8). Neben Feistel- und SP-Chiffren gibt es noch andere Typen von symmetrischen Verschlüsselungsverfahren. Einige davon sind eng mit den beiden genannten verwandt, andere verfolgen gänzlich andere Designs. Dies soll uns jedoch an dieser Stelle nicht näher interessieren. Interessant ist dagegen, dass man so gut wie jedes symmetrische Verschlüsselungsverfahren durch einen einfachen Trick, der Whitening genannt wird, sicherer machen kann. Wie Whitening funktioniert, lässt sich am DES (56 Bit Schlüssellänge, 64 Bit Blocklänge) zeigen. Wir benötigen dazu einen 184 Bit langen Schlüssel, mit dem wir wie folgt vorgehen: 64 Bit des Schlüssels werden mit dem Klartextblock exklusiv-oder-verknüpft. Weitere 56 Bit dienen als Schlüssel zur DES-Verschlüsselung des resultierenden Blocks. Die verbleibenden 64 Bit werden mit dem Ergebnis der DES-Verschlüsselung exklusiv-oder-verknüpft (siehe Abbildung 7 1). Klartext-Block (64 Bit) 64 Bit 56 Bit 64 Bit DES Geheimtext-Block (64 Bit) Abb. 7 1 Whitening bedeutet, dass am Anfang und am Ende des Verfahrens ein Teil des Schlüssels mit dem Klar- bzw. Geheimtext verknüpft wird. Das DES-Whitening in der beschriebenen Form hat interessante Vorteile: Mit einem simplen Trick haben wir die DES-Schlüssellänge deutlich erhöht und seine Sicherheit verbessert (Ersteres ist offensichtlich, Letzteres ist eine Erfahrungstatsache). Das Whitening führt dazu, dass Angreifer Mallory weder weiß, welche 64 Bit in die DES-Verschlüsselung eingehen, noch, welche bei diesem Vorgang

13 7.2 Triple-DES 97 herauskommen. Whitening gilt daher als simple Technik mit beachtlicher Wirkung. Diese Tatsache hat viele Chiffrendesigner so sehr überzeugt, dass sie Whitening als festen Bestandteil in ihre Verfahren eingebaut haben. Dabei wird das Schlüsselmaterial für das Whitening jedoch meist nicht direkt dem Schlüssel entnommen, sondern im Rahmen der Schlüsselaufbereitung aus dem Schlüssel generiert. Zu den Verschlüsselungsverfahren, die Whitening als festen Bestandteil vorsehen, gehören unter anderem der AES, Blowfish und Twofish. Schlüsselaufbereitung Die Länge des benötigten Schlüsselmaterials ist bei allen gängigen symmetrischen Verschlüsselungsverfahren deutlich größer als die Schlüssellänge (beim DES sind es beispielsweise 768 Bit gegenüber 56 Bit). Deshalb ist es notwendig, den Schlüssel aufzubereiten und Subschlüssel zu bilden. Schon bei der Schlüsselaufbereitung sollte man auf eine gute Diffusion achten, ansonsten drohen Angriffe wie die auf SAFER+ (Kapitel 7.3) oder MAGENTA (Kapitel 9.3.5). Eine andere Frage ist dagegen, ob eine Schlüsselaufbereitung auch Konfusionselemente enthalten soll. Interessanterweise sind sich die Chiffren-Designer darüber nicht einig. Die DES-Entwickler entschieden sich für einen Verzicht auf Konfusion in der Schlüsselaufbereitung. Stattdessen pickt sich der DES in jeder Runde 48 aus den 56 Bit des Schlüssels heraus. Viele andere Verfahren verwenden dagegen S-Boxen oder andere komplexere Abläufe zur Gewinnung der Subschlüssel. Dennoch konnte bisher noch niemand nachweisen, dass die minimalistische Schlüsselaufbereitung des DES ein Nachteil ist. Einzige Ausnahme: Je aufwendiger die Schlüsselaufbereitung, desto aufwendiger die vollständige Schlüsselsuche. Natürlich gilt auch für die Schlüsselaufbereitung: Sicherheit ist nicht das einzige Kriterium. Wenn ein Schlüssel häufig geändert wird, dann ist auch die Geschwindigkeit ein wichtiger Punkt. Eine einfache und schnelle Schlüsselaufbereitung, wie sie der DES bietet, ist also wünschenswert. Davon abgesehen sollte ein Chiffrendesigner anstreben, dass die Schlüsselaufbereitung nicht allzu viel Speicherplatz in Anspruch nimmt. 7.2 Triple-DES Wie in Kapitel 6 beschrieben, ist die relativ kurze Schlüssellänge des DES die wichtigste Achillesferse dieses Verfahrens. Deshalb stellt sich eine naheliegende Frage: Können Alice und Bob dem Bösewicht Mallory vielleicht dadurch ein Schnippchen schlagen, dass sie den DES mehrfach einsetzen? Die Antwort: Sie können, wenn sie es richtig machen.

14 98 7 Weitere symmetrische Verschlüsselungsverfahren Doppel-DES Getreu dem Motto»doppelt hält besser«besteht die naheliegendste Alternative zum DES darin, den DES doppelt zu verwenden. Dies bedeutet, dass Alice ihre Nachricht an Bob nacheinander zweimal mit dem DES verschlüsselt und dabei zwei verschiedene Schlüssel verwendet. Ist also m der Klartext, e die Verschlüsselungsfunktion, c der Geheimtext, und sind k1 und k2 zwei Schlüssel, dann gilt: e=e k1 (e k2 (m)). Eine solche doppelte DES-Verschlüsselung wäre allerdings sinnlos, wenn es zu zwei beliebigen Schlüsseln k1 und k2 je einen Schlüssel k3 gäbe, für den gilt: e k3 (m)=e k1 (e k2 (m)). In diesem Fall könnte man nämlich jede doppelte Verschlüsselung durch eine einfache ersetzen und hätte damit die Sicherheit nicht erhöht. Mathematisch würde dies bedeuten, dass der DES bezüglich der Hintereinanderausführung von Verschlüsselungen eine Gruppe ist. Dass es einen solchen Schlüssel k1 im Allgemeinen nicht gibt und der DES damit keine Gruppe ist, wurde lange Zeit vermutet und ist inzwischen auch mathematisch bewiesen [CamWie]. Wir können also zunächst einmal davon ausgehen, dass wir mit diesem einfachen Trick die Sicherheit des DES tatsächlich erhöhen. Dummerweise ist diese Erhöhung der Sicherheit jedoch längst nicht so stark, wie es zunächst aussieht. Zwar wird durch eine Doppelverschlüsselung die Schlüssellänge auf 112 Bit erhöht, wodurch eine vollständige Schlüsselsuche für Mallory von vornherein aussichtslos ist. Es gibt jedoch einen Angriff, der die Möglichkeit bietet, die Suche zu verkürzen. Dieser Angriff nennt sich Meet-inthe-Middle-Attacke und gehört zur Familie der Known-Plaintext-Attacken. Er funktioniert übrigens nicht nur beim DES, sondern bei jedem symmetrischen Verfahren, das doppelt angewendet wird. Die Funktionsweise der Meet-in-the-Middle-Attacke ist recht einfach. Mallory nimmt dazu den (bekannten) Klartext, verschlüsselt ihn mit allen 2 56 möglichen DES-Schlüsseln und speichert alle Ergebnisse. Anschließend nimmt er den Geheimtext, entschlüsselt ihn mit allen 2 56 möglichen DES-Schlüsseln und speichert alle Ergebnisse. Nun muss er noch die Ergebnisse der Verschlüsselungsaktion mit denen der Entschlüsselungsvorgänge vergleichen. Wenn alles seine Richtigkeit hat, dann gibt es eine Übereinstimmung (ein»treffen in der Mitte«), und die beiden DES-Schlüssel, die dazu geführt haben, sind die gesuchten. Eine solche Meet-in-the-Middle-Attacke ist recht aufwendig, weil Mallory dazu einen gigantischen Speicher benötigt. Geht man jedoch davon aus, dass Mallory genügend Speicherplatz besitzt und er auf diesen beliebig schnell zugreifen kann, dann dauert dieser Angriff auf den Doppel-DES nur etwa doppelt so lange wie die vollständige Schlüsselsuche beim einfachen DES, die bekanntlich

15 7.2 Triple-DES 99 nicht ganz unrealistisch ist. Diese Quote ist nicht zu verachten, schließlich dauert eine vollständige Schlüsselsuche beim Doppel-DES immerhin 2 56 (also fast ) Mal länger als beim einfachen DES. Fazit: Wenn Mallory den DES durch vollständige Schlüsselsuche knacken kann, dann ist eine Meet-in-the-Middle-Attacke auf den Doppel-DES auf Grund des gigantischen Speicherbedarfs zwar alles andere als ein Kinderspiel. Dennoch ist sie realistischer, als einem paranoiden Kryptografen lieb sein kann. Klartext-Block (64 Bit) K 1 K 2 K 1 DES DES -1 DES Geheimtext-Block (64 Bit) Abb. 7 2 Beim Triple-DES wird der DES dreimal hintereinander angewendet. Die mittlere Anwendung ist eine Entschlüsselung Triple-DES Nachdem eine doppelte DES-Verschlüsselung Alice und Bob nicht so recht weiterhilft, können es die beiden mit einer dreifachen versuchen. Und in der Tat, diese Methode erweist sich als deutlich besser. Zwar ist auch der dreifache DES (mit drei verschiedenen Schlüsseln) nicht gegen eine Meet-in-the-Middle-Attacke immun, dafür ist er aber mindestens so sicher, wie man es vom Doppel-DES erwarten würde und das reicht mehr als aus. Diese dreifache DES-Variante (der sogenannte Triple-DES oder 3DES) ist äußerst populär, denn sie verbindet die Sicherheit des herkömmlichen DES mit einer größeren Schlüssellänge. Da sich das Verschlüsseln beim DES nicht wesentlich vom Entschlüsseln unterscheidet, ändert es nur wenig, wenn man die mittlere der drei Verschlüsselungen des Triple-DES durch eine Entschlüsselung ersetzt. Diese Variante wird in der Praxis am häufigsten verwendet, weil sie einen minimalen Vorteil hat: Benötigt Alice nur eine Einfachverschlüsselung, dann verwendet sie drei gleiche Schlüssel. Eine Ver- und eine Entschlüsselung heben sich dann gegenseitig auf und übrig bleibt ein einfacher DES. Hier das Ganze noch einmal in mathematischer Schreibweise: Ist e die Verschlüsselungsfunktion, d die Entschlüsselungsfunktion, m die Nachricht, c der Geheimtext, und sind k1, k2, k3 drei DES-Schlüssel, dann gilt: c=e k1 (d k2 (e k3 (m))).

16 100 7 Weitere symmetrische Verschlüsselungsverfahren Es ist nicht unbedingt notwendig, dass beim Triple-DES drei verschiedene Schlüssel zum Einsatz kommen. Wenn k1 und k3 gleich sind, dann ist die Schlüssellänge mit 112 zwar etwas kürzer, reicht aber dennoch aus. Deshalb wird in der Praxis meist der Triple-DES mit zwei Schlüsseln eingesetzt. Mit dem Triple-DES haben wir nun also unser erstes Verfahren, das die wichtigste Schwäche des DES die kurze Schlüssellänge beseitigt. Dafür hat der Triple-DES einen naheliegenden Nachteil: Er ist dreimal langsamer als der DES, der inzwischen selbst nicht mehr als die Rakete unter den symmetrischen Verfahren gilt. Es lohnt sich also, noch andere Verfahren zu betrachten. In der Tat gibt es davon inzwischen so viele, dass der Triple-DES immer mehr an Bedeutung verliert. 7.3 SAFER SAFER ist das erste nicht mit dem DES verwandte moderne Verschlüsselungsverfahren, das ich in diesem Buch vorstellen will. Der Name SAFER ist eine Abkürzung für»secure And Fast Encryption Routine«. Es handelt sich dabei um ein symmetrisches Verschlüsselungsverfahren, dessen erste Version 1994 veröffentlicht wurde. Erfinder ist der bekannte Kryptograf James Massey. Dessen Ziel war es, mit SAFER eine Alternative zum in die Jahre gekommenen DES zu schaffen, was ihm auch gelungen ist. SAFER zählt inzwischen schon zu den älteren symmetrischen Verschlüsselungsverfahren, wird aber nach mehreren Änderungen im Design auch heute noch eingesetzt. SAFER gibt es in sieben unterschiedlichen Varianten. Die erste Variante mit dem Namen SAFER K-64 (die Zahl 64 steht für die Schlüssellänge) entspricht dem ursprünglichen Design aus dem Jahr Ein Jahr später veröffentlichte Massey SAFER K-128, um der Forderung nach einem 128-Bit-Schlüssel nachzukommen. Nachdem Kollegen Masseys nachgewiesen hatten, dass die Schlüsselaufbereitung des Verfahrens einige Schwächen aufwies, besserte der SAFER- Erfinder nach und veröffentlichte SAFER SK-64 sowie SAFER SK-128. Zusätzlich veröffentlichte er dann noch SAFER SK-40, um den damaligen Export-Restriktionen der USA zu genügen. Die drei SK-Varianten unterscheiden sich vom Original nur durch die unterschiedliche Schlüsselaufbereitung. SK steht für»secure Key Schedule« erschien mit SAFER+ die nächste SAFER-Version [KhKuMa]. An der Entwicklung waren neben Massey die beiden armenischen Kryptografen Gurgen Khachatrian und Melsik Kuregian beteiligt. SAFER+ nahm am AES-Wettbewerb teil, kam allerdings nicht in die engere Auswahl (siehe Kapitel ). Im Jahr 2000 erblickte schließlich SAFER++ als NESSIE-Kandidat (siehe Kapitel ) das Licht der Krypto-Welt. Sowohl SAFER+ als auch SAFER++ weisen im Vergleich zum Ursprungsverfahren einige Änderungen auf, die über die Schlüsselaufbereitung hinausgehen. Im Folgenden will ich mich auf die Variante SAFER+

17 7.3 SAFER 101 beschränken. Diese ist besonders wichtig, weil sie im weit verbreiteten Bluetooth- Standard zur Anwendung kommt (siehe Kapitel 31.3) Funktionsweise von SAFER+ SAFER+ hat eine variable Schlüssellänge. Der Schlüssel kann entweder 128, 192 oder 256 Bit lang sein. Die Länge eines Klartextblocks beträgt 128 Bit und entspricht damit dem Doppelten des DES. Wie alle gängigen Verfahren arbeitet auch SAFER+ in mehreren identisch verlaufenden Runden, wobei in jede Runde Subschlüssel eingehen, die jeweils vom eigentlichen Schlüssel abgeleitet werden. Im Gegensatz zu anderen Verfahren gibt es bei SAFER+ zwei Subschlüssel pro Runde. Byte 1 Byte 2 Byte 3 Byte 4 Byte 5 Byte 6 Byte 7 Byte 8 Byte 9 Byte 10 Byte 11 Byte 12 Byte 13 Byte 14 Byte 15 Byte 16 Runden- Input Subschlüssel 1 exp log log exp exp log log exp exp log log exp exp log log exp Subschlüssel 2 2-PHT 2-PHT 2-PHT 2-PHT 2-PHT 2-PHT 2-PHT 2-PHT 2-PHT 2-PHT 2-PHT 2-PHT 2-PHT 2-PHT 2-PHT 2-PHT 2-PHT 2-PHT 2-PHT 2-PHT 2-PHT 2-PHT 2-PHT 2-PHT 2-PHT 2-PHT 2-PHT 2-PHT 2-PHT 2-PHT 2-PHT 2-PHT Byte 1 Byte 2 Byte 3 Byte 4 Byte 5 Byte 6 Byte 7 Byte 8 Byte 9 Byte 10 Byte 11 Byte 12 Byte 13 Byte 14 Byte 15 Byte 16 Runden- Output Abb. 7 3 Eine Runde des Verschlüsselungsverfahrens SAFER+. Die Rundenzahl beträgt je nach Schlüssellänge 8, 12 oder 16. Rundenaufbau Eine SAFER+-Runde verarbeitet einen Eingabewert in der Größe eines Blocks (also 128 Bit bzw. 16 Byte). Eine Runde hat folgenden Ablauf (siehe auch Abbildung 7 3):

18 102 7 Weitere symmetrische Verschlüsselungsverfahren 1. Jedes der 16 Bytes wird mit jeweils einem Byte aus dem ersten Subschlüssel verknüpft (ein Subschlüssel besteht ebenfalls aus 16 Bytes). Die Verknüpfung ist in acht von 16 Fällen eine Exklusiv-oder-Verknüpfung, ansonsten eine Addition. 2. Acht der 16 resultierenden Bytes werden der Funktion EXP zugeführt, die anderen der Funktion LOG. EXP und LOG sind S-Boxen, die jeweils 8 Bit auf nichtlineare Weise auf 8 Bit abbilden. Beide S-Boxen lassen sich mit einer mathematischen Formel beschreiben. Für EXP gilt: y=45 x mod 257. Für LOG gilt: y=log 45 x mod 257. x und y sind Byte-Variablen. In beiden Formeln wird für den Spezialfall x=0 als Ergebnis y=0 festgelegt. EXP und LOG verwenden Modulo-Rechnungen, wie sie in Kapitel beschrieben werden. Wie man leicht nachrechnet, ist LOG die Umkehrung von EXP (und umgekehrt). In der Praxis werden die beiden Formeln fast immer vorberechnet und als Ersetzungstabellen implementiert. 3. Jedes der 16 resultierenden Bytes wird mit einem Byte aus dem zweiten Subschlüssel verknüpft. Die Verknüpfung ist erneut entweder eine Exklusiv-oder-Verknüpfung oder eine Addition. 4. Jeweils zwei der resultierenden Bytes (b 1 und b 2 ) werden nach folgender Formel bearbeitet: b 1 =2b 1 +b 2 (mod 256); b 2 =b 1 +b 2 (mod 256). Diese Berechnung ist linear und wird auch als Pseudo-Hadamard-Transformation bezeichnet. Da in diesem Fall zwei Variablen bearbeitet werden, lautet die Abkürzung dafür 2-PHT. 5. Die resultierenden Bytes werden durch eine Permutation in folgende Reihenfolge gebracht: 9, 12, 13, 16, 3, 2, 7, 6, 11, 10, 15, 14, 1, 8, 5, 4. Diese Umordnung wird als Armenian Shuffle (armenisches Mischen) bezeichnet, da sie von den beiden besagten armenischen Kryptografen eingeführt wurde. 6. Die armenisch gemischten Bytes werden wiederum jeweils im Zweierpack einer zweiten Pseudo-Hadamard-Transformation unterzogen. 7. Es folgt ein zweites armenisches Mischen. 8. Es folgt eine dritte Pseudo-Hadamard-Transformation. 9. Es folgt ein drittes armenisches Mischen. 10.Es folgt eine vierte Pseudo-Hadamard-Transformation. Die 16 resultierenden Bytes sind der Runden-Output. Die Schritte 4 bis 10 sind alle linear und lassen sich daher zu einer einzigen Matrix-Multiplikation zusammenfassen. Wie man leicht erkennt, gehört SAFER+ nicht zu den Feistel-Chiffren. Vielmehr handelt es sich dabei um einen Vertreter der SP-Chiffren. Die S-Boxen stehen hierbei für das S (Substitution) und die linearen Schritte 4 bis 10 für das P (Permutation). Da der lineare Teil mehr als nur Permutationen enthält, ist die Bezeichnung SP-Chiffre streng genommen nicht korrekt, aber so genau wollen wir es nicht nehmen.

19 7.3 SAFER 103 Die Rundenzahl von SAFER+ ist von der Schlüssellänge abhängig. Sie beträgt acht Runden für 128 Bit, 12 Runden für 192 Bit sowie 16 Runden für 256 Bit. Nach der letzten Runde folgt eine Teilrunde (Output Transformation), die nur aus Schritt 2 einer normalen Runde besteht (also aus einer Exklusiv-oder-Verknüpfung bzw. Addition eines Rundenschlüssels). Speziell für die Output-Transformation wird ein zusätzlicher Subschlüssel generiert. Da sowohl der erste als auch der letzte Schritt von SAFER+ aus der Addition bzw. Exklusiv-oder-Verknüpfung eines Subschlüssels besteht, liegt eine Form von Whitening vor. Ein bekannter Nachteil bei einem SP-Verfahren besteht darin, dass die Entschlüsselung nicht identisch wie die Verschlüsselung abläuft. Vielmehr muss man bei einem SP-Verfahren jeden Teilschritt einzeln umdrehen, um zurück zum Klartext zu kommen. Natürlich ist SAFER+ so konstruiert, dass alle Teilschritte umkehrbar sind. Die Entschlüsselung startet daher mit einer Input Transformation (Umkehrung der Output Transformation), gefolgt von acht bis 16 Runden, die jeweils den Verschlüsselungsvorgang invertieren. Schlüsselaufbereitung Die Schlüsselaufbereitung von SAFER+ ist vergleichsweise einfach und verzichtet auf S-Boxen und sonstige Verkomplizierungen. SAFER+ verarbeitet pro Runde zwei 16-Byte-Subschlüssel zuzüglich eines weiteren in der Output Transformation. Dies ergibt insgesamt 17, 25 oder 33 Subschlüssel. Die Schlüsselaufbereitung von SAFER+ sieht vor, dass an den (16, 24 oder 32 Byte langen) Schlüssel ein weiteres Byte gehängt wird. Aus diesem erweiterten Schlüssel werden nach einem festgelegten Schema jeweils 16 Byte entnommen und zu einer rundenabhängigen Konstante gezählt. Das Ergebnis ist der jeweilige Subschlüssel. Vor der Entnahme des nächsten Subschlüssels erfolgt jeweils eine interne Rotation der Schlüssel-Bytes Bewertung von SAFER+ Im Rahmen des AES-Auswahlprozesses entdeckten John Kelsey, Bruce Schneier und David Wagner eine theoretische Schwäche von SAFER+ [KeSW99]. Den dreien war aufgefallen, dass die Diffusionseigenschaft der Schlüsselaufbereitung nicht optimal ist. Dadurch verteilen sich die Schlüsselbits vergleichsweise langsam in die einzelnen Runden. Kelsey, Schneier und Wagner konnten diese Schwäche in eine Meet-in-the-Middle-Attacke auf die 256-Bit-Version von SAFER+ umwandeln. Zwar benötigt dieser Angriff Verschlüsselungsoperationen und ist damit für die Praxis völlig irrelevant. Die Forderung, dass die vollständige Schlüsselsuche der wirksamste Angriff sein soll, war damit jedoch verletzt. Dies war ein Grund für die Entwicklung von SAFER++.

20 104 7 Weitere symmetrische Verschlüsselungsverfahren Sieht man von diesem theoretischen Angriff ab, dann gilt SAFER+ als sicher. Mit seinen 128, 192 oder 256 Byte langen Schlüsseln bietet das Verfahren einen ausreichenden Schutz gegenüber einer vollständigen Schlüsselsuche. Die Blocklänge von 128 Bit ist ebenfalls sicher und zeitgemäß. Man kann also davon ausgehen, dass Mallory keine Chance hat, eine SAFER+-Nachricht zu knacken. Die Entwickler des Bluetooth-Sicherheitsmodells, die auf SAFER+ gesetzt haben, können ihre Entscheidung bisher als richtig betrachten. 7.4 RC2, RC5 und RC6 Der wohl bedeutendste lebende Kryptograf ist der US-Amerikaner Ron Rivest (siehe Kapitel ). Zu den zahlreichen kryptografischen Verfahren, die Rivest alleine oder im Team entwickelt hat, zählt auch eine Reihe symmetrischer Verschlüsselungsalgorithmen, die er schlicht als RC (Rivest-Cipher) bezeichnete und von RC1 bis RC6 durchnummerierte. Die Ähnlichkeit der Namen sollte nicht darüber hinwegtäuschen, dass sich die Verfahren teilweise erheblich voneinander unterscheiden. Um RC1 und RC3 brauchen wir uns nicht zu kümmern, da es diese nicht zur Praxisreife brachten. Um RC4, das zur Familie der Stromchiffren gehört, geht es in Kapitel In den nächsten Abschnitten werden wir die verbleibenden Verfahren RC2, RC5 und RC6 betrachten. Alle drei zeichnen sich durch ein einfaches Design aus, bieten eine variable Schlüssellänge und spielen in der Praxis eine wichtige Rolle. Außerdem bieten RC2, RC5 und RC6 durch ihr unterschiedliches Alter eine interessante Reise durch die Geschichte des Chiffrendesigns der letzten 20 Jahre RC2 RC2 ist ein symmetrisches Verschlüsselungsverfahren, das Ron Rivest 1987 fertigstellte [RFC2268]. Es ist nach dem DES der älteste in diesem Buch beschriebene symmetrische Algorithmus der Computerära. Die Blocklänge von RC2 beträgt (wie beim DES) 64 Bit, während die Schlüssellänge zwischen 8 und Bit frei wählbar ist. Rivests wichtigstes Designziel ist damit klar erkennbar: Er wollte einen Ersatz für den DES schaffen, der längere Schlüssel zulässt. An der Entwicklung von RC2 war die Firma Lotus beteiligt, die für ihre Software Notes ein geeignetes Verschlüsselungsverfahren suchte. Da es in den USA damals noch Exportbeschränkungen gab, suchte Lotus nicht nur nach einem besonders sicheren, sondern auch nach einem für die NSA akzeptablen Verfahren. Dieser Kompromiss wurde am Ende dadurch erreicht, dass 24 Bit des von Notes verwendeten 64-Bit-Schlüssels bei der NSA hinterlegt wurden. Die NSA beteiligte sich zudem aktiv an der endgültigen Festlegung des Designs von RC2.