Cryptography Reference
In-Depth Information
ähnliche nichtlineare Konstrukte. In den meisten Fällen sind diese als Ersetzungs-
tabellen gegeben. Teilweise kommen auch mathematische Formeln in S-Boxen
zum Einsatz, die jedoch oft vorberechnet und wiederum mithilfe von Ersetzungs-
tabellen umgesetzt werden. Es gibt auch Verfahren, die datenabhängige Rotatio-
nen anstelle von S-Boxen nutzen (beachten Sie, dass datenabhängige Rotationen
nicht linear sind). Der Vorteil hierbei ist, dass Rotationen ohne Tabellen auskom-
men, was Speicherplatz spart.
Es ist durchaus möglich, nahezu alleine mithilfe von S-Boxen ein sicheres Ver-
schlüsselungsverfahren zu entwickeln. Allerdings benötigt man dazu sehr große
S-Boxen, was nicht praktikabel ist. Daher beschränken sich alle gängigen Verfah-
ren auf kleinere S-Boxen, die mehrfach angewendet werden, und sorgen dazwi-
schen für eine gute Durchmischung. Der zweite Teil des genannten Grundgedan-
kens lautet daher: Zu verschlüsselnde Daten müssen zwischen den S-Boxen gut
durcheinandergewirbelt werden (
Diffusion
). Beim DES geschieht dies vor allem
durch die beiden Permutationen, die in der Rundenfunktion zum Einsatz kom-
men (die Permutationen am Anfang und am Ende einer DES-Verschlüsselung sind
dagegen kryptografisch unerheblich). Permutationen sind linear. Auch alle ande-
ren gängigen symmetrischen Verschlüsselungsverfahren verwenden die Permuta-
tion oder andere lineare Funktionen, um die jeweiligen Daten zu vermischen.
Linearität ist das Mittel der Wahl, um eine hohe Diffusion zu erreichen.
Man kann die Sache daher auf einen einfachen Nenner bringen: Ein symme-
trischer Verschlüsselungsalgorithmus realisiert Konfusion durch nichtlineare und
Diffusion durch lineare Bestandteile. Die Kunst des Chiffren-Designers besteht
darin, diese Grundprinzipien auf möglichst wirkungsvolle Weise miteinander zu
kombinieren. Darüber hinaus muss dann noch der Schlüssel in das Konstrukt ein-
gebracht werden - in den meisten Fällen erfolgt dies durch eine Exklusiv-oder-
Verknüpfung.
7.2.4
Rundenprinzip
Da ein Verschlüsselungsverfahren möglichst wenig Speicherplatz benötigen
sollte, arbeiten alle bekannten symmetrischen Algorithmen nach dem Runden-
prinzip. Dieses kennen Sie bereits vom DES. Es sieht vor, dass eine Verschlüsse-
lung in Teilschritte (Runden) aufgeteilt wird, die im Wesentlichen identisch
ablaufen. Es versteht sich von selbst, dass ein solcher Aufbau bei geeigneter
Implementierung weniger Speicherplatz benötigt als eine Vorgehensweise, die
zahlreiche unterschiedliche Verschlüsselungsschritte vorsieht. Die Zahl der Run-
den kann variieren. Beim DES sind es 16, andere Verfahren arbeiten meist mit
Rundenzahlen zwischen 8 und 32.
Klar ist, dass in einer Runde mindestens drei Elemente vorhanden sein müs-
sen: ein nichtlineares zur Konfusion (S-Box), ein lineares zur Diffusion sowie
eines zur Einbringung eines Rundenschlüssels. Dabei kann es jeweils auch meh-
rere Elemente geben, die den gleichen Zweck erfüllen (wie die beiden Permuta-
