Cryptography Reference
In-Depth Information
Zum Vergleich: Die derzeitige Gesamtmenge der jährlich von allen Kraftwerken
der Welt produzierten Energie beträgt etwa 8,2·10
12
Kilowatt-Stunden. Oder
anders ausgedrückt: Sämtliche Kraftwerke der Welt müssten über 100 Jahre lang
ausschließlich für diesen einen Superrechner arbeiten. Bei einem (sehr günstigen)
Preis von einem Cent pro Kilowatt-Stunde würde die Stromrechnung für das
gesamte Unterfangen etwa 9,4·10
15
Euro betragen. Dies ist deutlich mehr als das
weltweite Bruttosozialprodukt (etwa 3·10
13
Euro). Nebenbei würden die Sili-
ziumatome im Universum knapp werden, wenn tatsächlich eines Tages ein ent-
sprechender Superrechner gebaut werden könnte.
Wir können also festhalten: 128 Bit Schlüssellänge sind per Brute Force nicht
zu knacken. Die folgende Tabelle bestätigt diese Erkenntnis. Sie basiert auf der
Annahme, dass eine vollständige DES-Schlüsselsuche 24 Stunden dauert (dies
entspricht etwa dem aktuellen Weltrekord).
Dauer einer vollständigen
Schlüsselsuche
Schlüssellänge
Anzahl der Schlüssel
1,1
·
10
12
40 Bit
1,3 Sekunden
7,1
·
10
16
56 Bit
24 Stunden
1,8
·
10
19
64 Bit
256 Tage
1,2
·
10
24
80 Bit
45.965 Jahre
3,4
·
10
38
1,3
·
10
19
Jahre
128 Bit
6,3
·
10
57
2,4
·
10
38
Jahre
192 Bit
1,2
·
10
77
4,4
·
10
57
Jahre
256 Bit
Obwohl es auf den ersten Blick unnötig scheint, sehen viele neuere Verfahren eine
Schlüssellänge von 192 oder gar 256 Bit vor. In solchen extralangen Schlüsseln ist
zweifellos ein großzügiger Paranoia-Zuschlag enthalten. Außerdem werden in
langfristige Überlegungen häufig Quantencomputer einbezogen (siehe Abschnitt
7.3.3). 256 Schlüssel-Bits sind insofern gerechtfertigt, als sie gegenüber Quanten-
computern nur die Sicherheit von 128 Bit bieten.
Wichtiger als die bisher nur theoretisch interessanten Quantencomputer sind
allerdings andere Überlegungen. So können besonders lange Schlüssel sinnvoll
sein, weil die vollständige Schlüsselsuche in der Praxis eben oft nicht der beste
Angriff ist. In einem solchen Fall bedeutet mehr Schlüssel zwar nicht zwangsläufig
mehr Sicherheit, viele Angriffe funktionieren aber dennoch bei kürzeren Schlüsseln
besser. Außerdem kann es immer Situationen geben, in denen Mallory einen Teil
des Schlüssels kennt - je länger der Schlüssel, desto weniger ist eine solche Infor-
mation wert. Und schließlich gibt es in vielen Bereichen der Kryptografie Geburts-
tagsangriffe (Abschnitt 14.1.3) und Meet-in-the-Middle-Attacken (Abschnitt
7.2.1), die zu einer Halbierung der effektiven Schlüssellänge führen. Da man bei
der Entwicklung eines Krypto-Moduls nie so recht weiß, für welche Anwendungs-
