Cryptography Reference
In-Depth Information
Sicherheit gegenüber speziellen Angriffen
Ein gutes symmetrisches Verschlüsselungsverfahren sollte ausreichend lange
Schlüssel vorsehen. Auf diese naheliegende Anforderung werde ich in Abschnitt
7.1.2 näher eingehen. Weniger selbstverständlich ist dagegen die Forderung nach
einer geeigneten Blocklänge. Eine Blocklänge von 64 Bit kann beispielsweise in
den Augen eines paranoiden Kryptografen ein Sicherheitsproblem sein, wie fol-
gende Überlegung verdeutlicht: 64 Bit entsprechen acht ASCII-Zeichen, und es
kann durchaus vorkommen, dass sich acht ASCII-Zeichen in einem Klartext wie-
derholen. Wenn Mallory einen Teil des Klartexts kennt, kann er mit diesem Wis-
sen möglicherweise auf einen ihm unbekannten Teil des Texts schließen (dabei
spielt die verwendete Betriebsart eine wesentliche Rolle, siehe Abschnitt 19.1).
Die beschriebene Problematik hat dazu geführt, dass die meisten aktuellen Ver-
schlüsselungsverfahren eine Blocklänge von 128 Bit vorsehen.
Eine weitere wichtige Frage beim Chiffren-Design ist die nach schwachen
Schlüsseln. Als solche bezeichnet man Schlüssel, die bestimmte Angriffe auf das
Verfahren ermöglichen, die normalerweise nicht funktionieren. Möglichkeiten
für schwache Schlüssel gibt es viele. Beim DES sind beispielsweise vier Schlüssel
bekannt, bei denen eine doppelte Verschlüsselung den Klartext ergibt (siehe
Abschnitt 6.3). Darüber hinaus existieren einige weitere DES-Schlüssel mit ande-
ren Schwächen. Es gibt auch Verfahren, bei denen man Schlüssel entdeckt hat, die
eine differenzielle Kryptoanalyse zulassen.
In der Praxis sind schwache Schlüssel kein Problem, solange ihre Zahl über-
schaubar ist. So bringt es Mallory beispielsweise wenig, wenn ein Verfahren
1.000 schwache Schlüssel besitzt. Denn anstatt die damit verbundene Schwäche
zu nutzen, kann Mallory genauso die 1.000 schwachen Schlüssel per Brute Force
durchprobieren. Die Wahrscheinlichkeit, dass ein solcher Schlüssel per Zufall ein-
gesetzt wird, ist ohnehin minimal. Gefährlich wird es jedoch dann, wenn bei-
spielsweise jeder tausendste Schlüssel eines Verfahrens schwach ist. Dann hat
Mallory eine realistische Chance, diese Schwäche nutzen zu können.
Zwei weitere Fragen, die sich jeder Chiffren-Designer stellen muss, sind fol-
gende: Wenn Mallory einen Schlüssel kennt, kann er daraus einen anderen ablei-
ten? Und wenn Mallory einen Teil eines Schlüssels kennt, kann er daraus den feh-
lenden Teil ermitteln? Man spricht hierbei von einer
Related-Key-Attacke
. Dass
eine solche durchaus funktionieren kann, zeigt das WLAN-Protokoll WEP
(Abschnitt 33.2.1). Es versteht sich von selbst, dass ein gutes symmetrisches Ver-
schlüsselungsverfahren gegenüber einer Related-Key-Attacke nicht anfällig sein
darf.
