PDF - Chaosradio - CCC
PDF - Chaosradio - CCC
PDF - Chaosradio - CCC
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
GEHEN SIE NICHT ÜBER LOS, ZIEHEN SIE NICHT 400 MARK EIN…<br />
AES und Attack<br />
von Rüdiger Weis (cryptolabs Amsterdam) und Stefan Lucks (Universität Mannheim)<br />
Gross war seit Oktober 2000 die Freude endlich über ein standardisiertes und sichereres<br />
Verschlüsselungsverfahren zu verfügen. Der neue Chipher Rijndael ist schnell und<br />
elegant - vielleicht etwa zu schnell und sehr wahrscheinlicher Weise viel zu elegant.<br />
Neue Angriffsmethoden lassen jedenfalls, obgleich noch entfernt von einer praktischen<br />
Durchführbarkeit, bei vielen Kryptographen recht ungute Gefühle entstehen.<br />
Der AES (Advanced Encryption Standard) ist der<br />
Nachfolger des inzwischen wegen der zu geringen<br />
Schlüsslelänge völlig unsicheren DES (Data Encryption<br />
Standard). Die Wahl des AES ist das Ergebnis eines<br />
mehrjährigen, mit großer Sorgfalt vom US-amerikanischen<br />
NIST (National Institute of Standards and Technology)<br />
betriebenen Prozesses [WL99].<br />
Zentrale Anforderungen waren dabei:<br />
• 128-bit breite Blockchiffre.<br />
• Drei verschieden Schlüssellängen 128 bit, 192 bit<br />
und 256 bit.<br />
• AES soll mindestens so schnell und sicher sein wie<br />
Triple-DES,<br />
• Im Gegensatz zum DES-Verfahren wurden diesmal<br />
die Design-Grundsätze veröffentlicht.<br />
• Die Entwickler mussten plausibel machen, dass<br />
ihre Algorithmen nicht mit geheimen Hintertüren<br />
versehen sind.<br />
Auf der ersten AES-Konferenz 1998 wurden 15<br />
Kandidaten präsentiert. Die Submission der<br />
Deutschen Telekom mit dem schönen Namen<br />
Magenta wurde übrigens schon während des<br />
Vorstellungsvortages gebrochen.<br />
Nach der zweiten Konferenz wurden vom NIST fünf<br />
Finalisten ausgewählt.<br />
• Mars<br />
• RC6<br />
• Rijndael<br />
• Serpent<br />
• Twofish<br />
Von diesen Kandidaten wurden Mars, Serpent<br />
und Twofish von der NSA hohe Sicherheit<br />
bescheinigt und Rijndael und RC6 nur<br />
angemessene. Gegen Mars und RC6 gab es von<br />
verschiedener Seite Bedenken wegen möglicher<br />
Patentbegehrlichkeiten.<br />
10 10<br />
#80 / viertes quartal 2002<br />
Nach der dritten AES-Konferenz im Jahr 2000 mit einer<br />
eingehende Diskussion der fünf Finalisten entschied<br />
sich das NIST für "Rijndael" als vorläufiger Standard,<br />
der Ende November 2001 als endgültiger Standard<br />
bestätigt wurde.<br />
Rijndael<br />
Rijndael wurde von den beiden Belgiern Joan Daemen<br />
und Vincent Rijmen entwickelt. Rijndael ist eine Weiterentwicklung<br />
des SQUARE Algorithmus, der ebenfalls<br />
von den beiden Autoren zusammen mit Lars Knuden<br />
entworfen [DKR97]. Rijndael verwendet eine<br />
umkehrbare 8x8 bit S-Box und nutzt Berechnungen<br />
mit Polynomen über den Körper GF[28], um gute Diffusionseigenschaften<br />
sicherzustellen. Die Berechnungen<br />
erinnern an fehler- erkennende bzw. -korrigierende<br />
Codes (MDS-Codes). Rijndael ist im Gegensatz zu<br />
DES kein Feistel-Netzwerk.<br />
Rijndael überzeugte nicht nur durch Effizienz, sondern<br />
auch durch seine mathematisch elegante und einfache<br />
Struktur. Manche Kryptographen warnten allerdings<br />
auch davor, daß gerade diese einfache Struktur ein Einfallstor<br />
für Angreifer sein könnte. Und es gab noch<br />
weitere kritische Stimmen.<br />
Geringe Sicherheitsmargen<br />
Vielen Kryptographen erschien insbesondere die<br />
Rijndael-Variante für 128-bit Schlüssel mit nur 10 Runden<br />
und recht einfacher Rundenfunktion als "recht<br />
nahe am Limit". So verwendet der Konkurrent Serpent<br />
32 Runden.<br />
Einfache S-Boxen<br />
Als weiterer Kritikpunkt galt die einfache algebraische<br />
Beschreibung der S-Boxen, die ihrerseits die einzige<br />
nichtlineare Komponente der Chiffre sind. Dieser<br />
Punkt ist im Zusammenhang mit den aktuellen Ergeb-<br />
die datenschleuder