Cryptography Reference
In-Depth Information
tionen in der Rundenfunktion des DES), oder ein Element mit mehreren Funktio-
nen. Darüber müssen die verschiedenen Bestandteile der Runden so aufgebaut
sein, dass Alice und Bob bei Kenntnis des Schlüssels schnell und speicherplatzarm
entschlüsseln können.
Die bekannteste Architektur eines symmetrischen Verschlüsselungsverfahrens
bilden die sogenannten
Feistel-Chiffren
(auch Feistel-Netzwerke genannt). Dieser
Chiffrentyp ist nach dem Kryptografen Horst Feistel benannt, der als IBM-Mitar-
beiter an der Entwicklung des DES beteiligt war. Der DES ist die bekannteste Feis-
tel-Chiffre. Wie eine Feistel-Chiffre arbeitet, zeigt ein Blick auf die Funktionsweise
des DES (die beiden Permutationen am Anfang und am Ende vernachlässigen wir
an dieser Stelle). In jeder Runde wird die eine Hälfte des Blocks einer Rundenfunk-
tion zugeführt, deren Ergebnis mit der anderen Blockhälfte exklusiv-oder-ver-
knüpft wird. Die eigentliche kryptografische Arbeit (Konfusion durch Substitu-
tion, Diffusion durch Permutation, Einbringung des Schlüssels) wird in der Run-
denfunktion erledigt. Das Interessante an einer Feistel-Chiffre ist, dass die
Verschlüsselung gleich funktioniert wie die Entschlüsselung (die Subschlüssel müs-
sen jedoch in umgekehrter Reihenfolge verwendet werden). Diese Eigenschaft ist
völlig unabhängig vom inneren Aufbau der Rundenfunktion.
Neben dem DES gibt es noch zahlreiche weitere Feistel-Chiffren. Kein ande-
rer Chiffrentyp ist so weit verbreitet und so gut untersucht. Die wichtigste Alter-
native ist die Familie der
SP-Chiffren
(auch SP-Netzwerke genannt). SP steht hier-
bei für Substitution-Permutation. Eine SP-Chiffre führt in jeder Runde - neben
der Addition eines Subschlüssels - eine (nichtlineare) Substitution und eine (line-
are) Permutation durch, ohne zuvor die bei Feistel-Chiffren übliche Teilung eines
Blocks vorzunehmen. Eine SP-Chiffre verfolgt somit im Vergleich zu einer Feistel-
Chiffre einen direkteren Ansatz. Der Chiffren-Designer hat hierbei weniger Frei-
heiten, da die Entschlüsselung bei einer SP-Chiffre (anders als bei einer Feistel-
Chiffre) kein Selbstgänger ist. Alle Schritte einer SP-Runde müssen daher so
gewählt werden, dass eine Umkehrung bei Kenntnis des Schlüssels einfach mög-
lich ist. Meisterhaft realisiert ist dies etwa beim AES (siehe Kapitel 8).
Neben Feistel- und SP-Chiffren gibt es noch andere Typen von symmetrischen
Verschlüsselungsverfahren. Einige davon sind eng mit den beiden genannten ver-
wandt, andere nicht. Ein Designelement, das sich nahezu unabhängig vom sons-
tigen Aufbau eines Verschlüsselungsverfahrens nutzen lässt, ist
Whitening
. Histo-
risch ist Whitening entstanden, um die geringe Schlüssellänge des DES (56 Bit) zu
erhöhen [KilRog] - der DES mit Whitening wird auch DESX genannt. Für das
DES-Whitening benötigen Alice und Bob einen 184 Bit langen Schlüssel (dies ent-
spricht der doppelten Block- zuzüglich der Schlüssellänge), mit dem sie wie folgt
vorgehen: 64 Bit des Schlüssels werden mit dem Klartextblock exklusiv-oder-ver-
knüpft. Weitere 56 Bit dienen als Schlüssel zur DES-Verschlüsselung des resultie-
renden Blocks. Die verbleibenden 64 Bit werden mit dem Ergebnis der DES-Ver-
schlüsselung exklusiv-oder-verknüpft (siehe Abbildung 7-2).
