Angewandte Kryptographie

Kapitel 4
Moderne Blockchiffren

Claude Shannon [Sha49] forderte, dass der Geheimtext durch Konfusion und Diffusion aus dem Klartext gebildet wird. Konfusion bedeutet in etwa Mischen, das heißt, die statistischen Eigenschaften des Chiffretextes sollten möglichst gut einer Folge aus Zufallszahlen gleichen, auch wenn der Klartext stark strukturiert ist. Diffusion bedeutet, dass jedes Klartextbit auf möglichst viele Chiffretextbits verteilt wird. Damit werden Angri.e erschwert, die auf der Zuordnung eines Klartextteiles zu einem bestimmten Chiffretextteil und dem Schlüssel basieren. Als ein vernünftiger Kompromiss aus Diffusion und E.zienz der Implementierung werden heute meist Blocklängen von 64 oder 128 Bit gewählt.

Bevor wir nun auf die Details bestimmter BlockChiffren eingehen, wollen wir einige allgemeine Überlegungen anstellen.

Um eine möglichst hohe Sicherheit zu erreichen, wäre es wünschenswert, den Schlüsselraum so groß wie möglich zu machen. Dies ist leider nicht möglich, denn die Gesamtzahl aller Chiffren mit einer Blocklänge von 64 Bit beträgt 264! (Fakultät!). Um eine spezielle Chiffre zu codieren wird also ein Schlüssel der Länge log2(264!) ˜ 270 ˜ 1021 Bit benötigt. Das sind etwa 1011 GByte. Um einen einzigen derartigen Schlüssel zu speichern, würde man mehr als 109 Festplatten mit einer Kapazität von je 100 GByte benötigen, die zusammen etwa 500 000 Tonnen schwer wären. Man wird sich also in der Praxis auf eine kleine Teilmenge von BlockChiffren – mit kurzem Schlüssel – beschränken, die Diffusion und Konfusion möglichst gut realisieren.

4.1 Data-Encryption-Standard DES

DES ist der derzeit weitest verbreitete und wichtigste Vertreter der symmetrischen BlockChiffren. Im Jahr 1973 wurde von Horst Feistel im Auftrag von IBM ein Algorithmus namens LUCIFER vorgestellt [Fei73], der auf 64-Bit-Blöcken mit einem 128-Bit-Schlüssel basiert. Er arbeitet abwechselnd mit Substitution und Permutation auf den Blöcken und wiederholt diesen Prozess mehrfach mit unterschiedlichen Teilen des Schlüssels. Bis heute wurden viele andere Chi.- ren basierend auf diesem Prinzip entwickelt. Sie werden nach dem Er.nder als Feistel-Chiffren bezeichnet.

Als eine einfach in Hardware realisierbare Weiterentwicklung von LUCIFER wurde ein Vorläufer von DES vorgestellt. Nach einer ö.entlichen Ausschreibung wurde im Jahre 1977 DES verö.entlicht und in den USA o.ziell eingeführt, unter anderem zur Verwendung für alle nicht geheimen – aber o.enbar auch nicht ö.entlichen – Regierungsvorgänge (siehe auch Tabelle 4.1). Das Kerkho.s- Prinzip war mit der Verö.entlichung von DES voll erfüllt. Als Konsequenz kann von den Kryptographieexperten laufend die Sicherheit geprüft werden. Die Anwender wissen daher immer zuverlässig über die Sicherheit Bescheid, wodurch das Vertrauen in DES wächst. Dass jedoch gewisse Behörden nicht immer an der Verö.entlichung aller Details interessiert sind, schreibt Bruce Schneier in [Sch96a]:

Inoffiziell bezeichnete die NSA den DES als einen ihrer größten Fehler.

Hätte die Behörde gewusst, dass die Einzelheiten herausgegeben und Software-Implementierungen möglich würden, hätte sie niemals zugestimmt. DES galt lange Zeit als sehr sicher und bietet auch heute noch einen gewissen Schutz vor den meisten Angreifern. In den letzten Jahren wurde DES mehrfach geknackt. Nicht zuletzt deswegen ist DES nach nunmehr über 20 Jahren nicht unumstritten, denn es gibt heute viele andere, teilweise bessere Blockchiffren (Abschnitte 4.2, 4.4). Bis heute immer noch sicher ist Triple-DES (siehe Abschnitt 4.1.7).

4.1.1 übersicht
Die Funktion von DES im überblick ist in Abbildung 4.1 dargestellt. Der Klartext wird zuerst durch die Eingangspermutation (Tabelle 4.2) gemischt, durchläuft dann die 16 Runden und nach der Schlusspermutation ist der Chiffretext erzeugt. Die Schlusspermutation ist invers zur Eingangspermutation. Die Eingangs- und Schlusspermutationen tragen zur Sicherheit von DES nicht bei, denn es handelt sich hier um schlüsselunabhängige Operationen. Vermutlich wurden sie nur entworfen, um bei einer Hardware-Implementierung die 64 Bit in entsprechende Register zu speichern. Aus dem Schlüssel K werden 16 Teilschlüssel generiert, für jede Runde einer.