Cryptography Reference
In-Depth Information
7.4.8
GOST
GOST
ist der umgangssprachliche Name eines russischen Verschlüsselungsver-
fahrens. Es wird im russischen Standard GOST 28147-89 beschrieben (GOST ist
eine Abkürzung, die etwa dem deutschen DIN entspricht). Die korrekte Ausspra-
che ist »gost«, auch wenn vor allem im englischen Sprachraum oft »gaust« zu
hören ist. Es gibt auch eine kryptografische Hashfunktion, die in einem GOST-
Standard beschrieben wird. Im Folgenden ist mit GOST jedoch das Verschlüsse-
lungsverfahren gemeint.
GOST stammt aus den achtziger Jahren und damit aus der Zeit der Sowjet-
union. Die Designkriterien sind nicht öffentlich bekannt, lassen sich aber leicht
nachvollziehen. Da in den achtziger Jahren der DES als das Maß aller Dinge galt,
übernahmen die GOST-Designer dessen Aufbau - es handelt sich also um eine
DES-ähnliche Feistel-Chiffre. Die von der NSA mitgestalteten S-Boxen wollten
die sowjetischen Kryptologen allerdings nicht übernehmen, stattdessen überlie-
ßen sie es dem jeweiligen Anwender, eigene S-Boxen zu entwickeln. Die Schlüssel-
länge erhöhten sie auf 256 Bit, um von den mageren 56 Bit des DES wegzukom-
men. Um eventuelle Schwächen im Verfahren auszugleichen, erhöhten die GOST-
Entwickler die Rundenzahl auf 32 (der DES hat 16), was das Verschlüsseln relativ
langsam macht.
Insgesamt zeugt der Aufbau von GOST nicht gerade von Kreativität. Die Ent-
wickler nahmen einfach den DES und änderten ihn auf eine Weise ab, die bei
geringstem Risiko dessen tatsächliche oder vermutete Sicherheitsschwachstellen
aufhob. Weitergehendes Know-how im Chiffren-Design, das es damals in der
Sowjetunion zweifellos gab, ist nicht in GOST eingeflossen. Mehrere Kryptoana-
lyse-Ergebnisse aus den letzten Jahren zeigen, dass die vollständige Schlüsselsu-
che bei weitem nicht der beste Angriff auf GOST ist [Courto]. Eine praktisch ver-
wertbare Schwäche wurde bisher jedoch nicht entdeckt, was nicht zuletzt an der
hohen Rundenzahl liegt. Da GOST vor allem in Osteuropa nach wie vor im Ein-
satz ist, lohnt es sich, die weitere Entwicklung der Kryptoanalyse zu verfolgen.
7.4.9
Weitere Beispiele
Weitere symmetrische Verschlüsselungsverfahren aus den Achtzigern und frühen
Neunzigern heißen
REDOC
,
Madryga
,
Khufu
und
Khafre
. Diese Algorithmen
sind heute nur noch historisch interessant, da sie sich nicht gegen den DES
behaupten konnten. Auch der DES-Vorläufer
Lucifer
von IBM soll nicht uner-
wähnt bleiben. Zu einer gewissen Popularität als Negativbeispiel hat es
FEAL
gebracht - FEAL ist so unsicher, dass so ziemlich jede Kryptoanalyse-Methode
funktioniert. Wer sich für diese frühen Verfahren interessiert, findet in [Schn06]
gute Beschreibungen.
