Cryptography Reference
In-Depth Information
8.3
Sicherheit des AES
Angesichts einer Schlüssellänge von mindestens 128 Bit ist eine vollständige
Schlüsselsuche beim AES ein aussichtsloses Unterfangen. Dafür war die relativ
geringe Rundenzahl von Anfang an umstritten. Die zunächst bekannten Angriffe
funktionierten gegen sieben Runden bei 128 Bit Schlüssellänge, gegen acht Run-
den bei 192 Bit Schlüssellänge sowie gegen neun Runden bei 256 Bit Schlüssel-
länge [KLSSWW]. Das alles nutzt Mallory zwar nichts, da der AES 10, 12 bzw.
14 Runden vorsieht, doch der Puffer beträgt nur drei bis fünf Runden. Für ein
Verfahren, das einige Jahrzehnte lang verwendet werden soll, ist dies zweifellos
etwas knapp bemessen. Auch die Tatsache, dass der AES einige damals noch
wenig erforschte Designprinzipien (z.B. durch eine Formel berechenbare S-Boxen)
verwendet, sorgte für Bedenken. Über ein Jahrzehnt später ist jedoch nach wie vor
keine Schwäche des AES bekannt, die auch nur annähernd eine praktische Bedeu-
tung hat. Dafür sind einige recht interessante theoretische Angriffe bekannt
geworden, die wir uns im Folgenden genauer anschauen wollen.
8.3.1
AES als algebraische Formel
Ein Kritikpunkt ist das mathematische Modell, das dem AES zugrunde liegt. Die-
ses macht das Verfahren zwar sehr elegant, es hat aber auch Nachteile. 2001 zeig-
ten die drei Kryptografen Niels Ferguson, Richard Schroeppel und Doug
Whiting, dass sich der AES vergleichsweise gut als algebraische Formel darstellen
lässt [FeScWh]. Bei einer Schlüssellänge von 128 Bit enthält die entsprechende
Formel 2
50
Bestandteile, bei 256 Schlüssel-Bits sind es 2
70
. Diese Zahlen sind
zwar nicht gerade klein. Es gibt jedoch kein anderes modernes symmetrisches
Verschlüsselungsverfahren, für das eine vergleichbare Darstellung bekannt ist.
2
50
ist eine Größenordnung, die man mit sehr viel Computeraufwand gerade
noch in den Griff bekommen kann, zumal die Leistungsfähigkeit der verfügbaren
Computer ständig zunimmt. Außerdem könnten neue Erkenntnisse dafür sorgen,
dass man Vereinfachungsmöglichkeiten entdeckt.
