Cryptography Reference
In-Depth Information
sel lauten (in Hexadezimalschreibweise) 00 00 00 00 00 00 00, 00 00 00 0F FF
FF FF, FF FF FF F0 00 00 00 und FF FF FF FF FF FF FF. Als echte Schwäche kann
man die schwachen DES-Schlüssel allerdings nicht auslegen, denn deren Anzahl
ist viel zu gering, um Alice und Bob gefährlich zu werden. Wählen die beiden ihre
Schlüssel per Zufall, dann ist die Wahrscheinlichkeit, dass dabei ein schwacher
DES-Schlüssel entsteht, kleiner als zwei Sechser im Lotto in Folge. Anstatt zu prü-
fen, ob ein schwacher DES-Schlüssel vorliegt, ist es für Mallory einfacher, die vier
fraglichen Werte per Brute Force durchzuprobieren.
Neben schwachen gibt es auch
semischwache DES-Schlüssel
. Diese haben die
Eigenschaft, dass die Verschlüsselung mit einem davon durch die Verschlüsselung
mit einem anderen davon rückgängig gemacht werden kann. Zwölf semischwa-
che DES-Schlüssel gibt es (also sechs Paare). Auch hier gilt wieder: Die Wahr-
scheinlichkeit für einen per Zufall generierten semischwachen Schlüssel ist sehr
gering, und für Mallory ist das Durchprobieren der jeweiligen Schlüssel allemal
einfacher als das Ausnutzen der Schwäche. Trotzdem gibt es DES-Implementie-
rungen, die schwache und semischwache Schlüssel aussortieren.
6.4
Triple-DES
Da die relativ kurze Schlüssellänge des DES die wichtigste Schwäche des Verfah-
rens ist, stellt sich folgende Frage: Können Alice und Bob dem Bösewicht Mallory
dadurch ein Schnippchen schlagen, dass sie den DES mehrfach hintereinander
einsetzen? Die Antwort: Sie können, wenn sie es richtig machen. Die folgenden
Betrachtungen beziehen sich alle auf den DES, sie lassen sich aber auf nahezu
jedes andere symmetrische Verfahren übertragen.
6.4.1
Doppel-DES
Getreu dem Motto »Doppelt hält besser« besteht die naheliegendste Alternative
zum DES darin, den DES doppelt zu verwenden. Dies bedeutet, dass Alice ihre
Nachricht an Bob nacheinander zweimal mit dem DES verschlüsselt und dabei
zwei verschiedene Schlüssel verwendet. Ist
m
der Klartext,
e
die Verschlüsselungs-
funktion,
c
der Geheimtext, und sind
k
1 und
k
2 zwei Schlüssel, dann gilt:
e
=
e
k1
(
e
k2
(
m
))
Eine solche doppelte DES-Verschlüsselung wäre allerdings sinnlos, wenn es zu
zwei beliebigen Schlüsseln
k1
und
k2
je einen Schlüssel
k3
gäbe, für den gilt:
e
k3
(
m
)=
e
k1
(
e
k2
(
m
))
In diesem Fall könnte man nämlich jede doppelte Verschlüsselung durch eine ein-
fache ersetzen. Mathematisch würde dies bedeuten, dass der DES bezüglich der
Hintereinanderausführung von Verschlüsselungen eine Gruppe ist. Einen solchen
