Cryptography Reference
In-Depth Information
Subschlüssel
Subschlüssel
<<<
<<<
Abb. 7-6
Eine Runde von RC5 entspricht zwei Feistel-Runden. Die Sicherheit des Verfahrens hängt zu
einem wesentlichen Teil von datenabhängigen Rotationen ab.
RC5 sieht Rotationen vor. Im Gegensatz zu RC2 sind diese Rotationen jedoch
nicht von vornherein festgelegt, sondern datenabhängig. Wie in Abbildung 7-6
zu sehen, wird jeweils der linke Datenstrang in Abhängigkeit vom rechten nach
links rotiert, wobei sich die Zahl der Einheiten, um die rotiert wird, direkt aus
dem Wert des rechten Datenstrangs ergibt (je nach Blocklänge sind dabei nur des-
sen vier bis sechs niederwertigste Daten-Bits relevant). RC5 nutzt diese Rotatio-
nen anstelle von S-Boxen (datenabhängige Rotationen sind nicht linear). Rota-
tionen sind vor allem in Hardware sehr performant zu realisieren und benötigen
deutlich weniger Speicherplatz als eine Ersetzungstabelle. Dafür bieten sie nicht
ganz die Sicherheit einer gut designten S-Box, weshalb Rivest 1994 eine Runden-
zahl von 12 vorschlug. Dies entspricht 24 Feistel-Runden, während der DES mit
16 auskommt. Die RC5-Schlüsselaufbereitung muss pro Runde zwei Subschlüssel
zur Verfügung stellen. Ein Subschlüssel hat jeweils die halbe Länge eines Blocks
und ist damit 16, 32 oder 64 Bit lang. Der Ablauf der Schlüsselaufbereitung ist
deutlich komplexer als beim DES. Auf deren genaue Betrachtung will ich an die-
ser Stelle verzichten.
Bewertung von RC5
Der beste bekannte Angriff gegen RC5 ist eine differenzielle Kryptoanalyse, für
die Mallory bei 12 Runden und 64 Bit Blocklänge 2 44 gewählte Klartexte benö-
tigt [BirKus]. Bei mehr als 12 Runden bleibt nur die vollständige Schlüsselsuche.
Es gibt einige schwache Schlüssel, die Mallory eine differenzielle Kryptoanalyse
ermöglichen, doch deren Anteil an der Gesamtzahl der möglichen Schlüssel ist
verschwindend gering. An der Sicherheit von RC5 gibt es daher nichts auszuset-
zen, sofern Alice und Bob die Rundenzahl nicht allzu knapp bemessen.
Dennoch gibt es einige Kritikpunkte an RC5. Zum einen erscheint es uneffek-
tiv, eine Rotation jeweils nur von den vier bis sechs niederwertigsten Daten-Bits
eines Ablaufstrangs steuern zu lassen. Mehrere Kryptoanalyse-Arbeiten deuten
darauf hin, dass Alice und Bob RC5 bei gleicher Sicherheit mit weniger Runden
betreiben könnten, wenn sich das Verfahren in dieser Hinsicht anders verhielte.
Search WWH ::




Custom Search