Cryptography Reference
In-Depth Information
fälle dieses einmal eingesetzt wird, ist es oft sinnvoll, die beiden genannten Angriffe
ins Kalkül zu ziehen und die Schlüssellänge doppelt so hoch wie scheinbar notwen-
dig zu wählen.
Übertreiben sollten es Alice und Bob mit der Schlüssellänge allerdings auch
nicht. Sie kommen ansonsten schnell mit anderen Anforderungen des Chiffren-
Designs in Konflikt (z.B. geringer Speicherplatzbedarf, schnelle Schlüsselaufbe-
reitung). So ist es nicht ratsam, Schlüssellängen von 512 oder gar 1.024 Bit einzu-
setzen, geschweige denn einige Tausend Bit.
7.1.3
Hintertüren
Vermutlich hat sich jeder Chiffren-Designer schon einmal folgende Frage gestellt:
Kann ich in mein Verfahren eine Schwachstelle (
Hintertür
) einbauen, die nur ich
kenne und über die ich unerkannt alle mit diesem Verfahren verschlüsselten
Nachrichten entschlüsseln kann? Dieser Gedanke wurde erstmals in den siebziger
Jahren öffentlich diskutiert, als die Standardisierungsbehörde NIST den DES ver-
öffentlichte. Da sich damals noch kaum jemand einen Reim auf das komplizierte
und willkürlich erscheinende Design des DES machen konnte, vermuteten einige
bewusst eingebaute Schwachstellen darin. Dieser Verdacht hat sich aber nicht
bestätigt.
Eine naheliegende Frage lautet nun: Ist es überhaupt möglich, ein Verfahren
mit einer Schwachstelle zu versehen, die andere prinzipiell nicht entdecken kön-
nen? Nach heutigem Wissensstand ist dies nicht der Fall. Ein Chiffren-Designer,
der eine Hintertür einbaut, läuft daher stets Gefahr, entdeckt zu werden - ein
Risiko, dem sich wohl kaum jemand aussetzen wird, der sein Verfahren veröf-
fentlicht. Eine Hintertür ergibt also nur dann einen Sinn, wenn die Funktions-
weise des Verfahrens geheim gehalten wird oder wenn die Schwachstelle nicht im
Verfahren selbst liegt (beispielsweise kann eine Software Schlüssel verwenden, die
für Angreifer Mallory leicht zu erraten sind).
Obwohl sich bewusst eingebaute Hintertüren für einen Chiffren-Designer
kaum lohnen, sind sie immer wieder ein Thema. Die Entwickler des AES (siehe
Kapitel 8) schrieben beispielsweise: »Wir glauben, dass der Aufbau des Ver-
schlüsselungsverfahrens [gemeint ist der AES] nicht genügend Freiheiten lässt,
um eine Hintertür einzubauen« [DaeRij97]. Das beste Argument für die Abwe-
senheit einer Hintertür ist jedoch nicht etwa eine solche Erklärung, sondern ein
transparentes und gut dokumentiertes Design - wenn jeder Bestandteil eines Ver-
fahrens eine klar erkennbare und plausibel erklärte Funktion hat, dann bleibt
wenig Raum für absichtlich eingebaute Schwachstellen.
Eine besondere Rolle spielen in diesem Zusammenhang Konstanten, die in
ein Krypto-Verfahren eingehen. Einige Verschlüsselungsalgorithmen sehen bei-
spielsweise Variablen vor, die mit Konstanten initialisiert werden. Andere Verfah-
ren leiten ihre S-Boxen von Konstanten ab. Das Dilemma hierbei: Kommt als
