Cryptography Reference
In-Depth Information
deren Richtigkeit getestet. Mit etwas weniger Glück hätte dieser Kryptoanalyse-
Versuch also bis zu 16 Monaten dauern können.
In der zweiten Runde der DES-Challenge sank der Rekord für eine DES-
Known-Plaintext-Attacke Anfang 1998 zunächst auf 39 Tage, dann auf 56 Stun-
den. Im Januar 1999 wurde in der dritten Runde der DES-Challenge erstmals
knapp die 24-Stunden-Grenze unterschritten. Dieser Rekord steht bis heute
(2012). Wissenschaftler von der Ruhr-Universität Bochum haben in den letzten
Jahre zwei Geräte gebaut (Copacobana und dessen Nachfolger Rivyera), mit
denen sie in ähnlich kurzer Zeit eine DES-Nachricht per vollständiger Schlüssel-
suche knacken können - allerdings mit deutlich geringerem Aufwand [KPPPRS,
SciEng]. Ihre beiden DES-Knack-Maschinen bauten sie aus handelsüblicher
Hardware zusammen, für die sie jeweils etwa 10.000 Euro bezahlten.
6.3.2
Differenzielle und lineare Kryptoanalyse
Eine von der vollständigen Schlüsselsuche unabhängige Methode, die Mallory
auf den DES anwenden kann, ist die differenzielle Kryptoanalyse . Sie gehört zu
den Chosen-Plaintext-Attacken (Details finden sich in Abschnitt 7.3.1). Es gibt
Verschlüsselungsverfahren, bei denen die differenzielle Kryptoanalyse schon mit
einigen hundert oder noch weniger gewählten Klartextblöcken funktioniert. Der
DES gehört jedoch nicht dazu. Stattdessen muss Mallory beim DES so viele Blö-
cke verschlüsseln, dass die differenzielle Kryptoanalyse gegenüber der vollständi-
gen Schlüsselsuche keinen Vorteil mehr bringt. Das ist kein Zufall, denn die DES-
Entwickler kannten diese Angriffstechnik bereits (obwohl sie damals noch nicht
öffentlich bekannt war) und wählten die S-Boxen so, dass diese möglichst wenig
Angriffsfläche bieten. Dies ist ein weiterer Beleg dafür, dass die DES-Entwickler
erstklassige Arbeit geleistet haben.
1992 erfand der Japaner Mitsuru Matsui die lineare Kryptoanalyse (siehe
Abschnitt 7.3.2). Mit dieser Methode gelang Matsui 1994 eine erfolgreiche
Chosen-Plaintext-Attacke gegen den DES, für die er zwölf Workstations 50 Tage
lang beschäftigte. Er benötigte dazu jedoch 2 43 (also über 1.000.000.000.000)
gewählte Klartextblöcke, was etwa der Anzahl der Buchstaben in 150 Millionen
Exemplaren dieses Buches entspricht. Das ist zwar deutlich besser als eine voll-
ständige Schlüsselsuche, für Bösewicht Mallory aber dennoch viel zu aufwendig.
6.3.3
Schwache Schlüssel
Von den 2 56 möglichen DES-Schlüsseln haben vier eine ungewöhnliche Eigen-
schaft: Verschlüsselt Alice eine Nachricht damit doppelt, dann erhält sie die
ursprüngliche Nachricht. Oder anders ausgedrückt: Verschlüsselung und Ent-
schlüsselung verlaufen bei diesen vier Schlüsseln jeweils identisch. Natürlich ist
diese Eigenschaft nicht besonders vorteilhaft. Deshalb werden die vier genannten
Schlüssel auch schwache DES-Schlüssel genannt. Die vier schwachen DES-Schlüs-
Search WWH ::




Custom Search