Cryptography Reference
In-Depth Information
8.3.2
Quadratische Kryptoanalyse
Die einfache mathematische Darstellbarkeit des AES macht das Verfahren beson-
ders interessant für die quadratische Kryptoanalyse (XSL-Angriff). Diese 2002
von Nicolas Courtois und Josef Pieprzyk veröffentlichte Methode sieht vor, ein
Verschlüsselungsverfahren mithilfe eines quadratischen Gleichungssystems nach-
zubilden und dieses anschließend zu lösen (beispielsweise mit dem sogenannten
XSL-Verfahren). In der Tat lässt sich der AES besser mit quadratischen Gleichun-
gen nachbilden als die meisten anderen symmetrischen Verschlüsselungsverfah-
ren [CouPie]. Bei einer Schlüssellänge von 128 Bit sind 8.000 Gleichungen mit
1.600 Variablen notwendig. Der Bedarf an Klartext-Geheimtext-Paaren ist
gering.
Die quadratische Kryptoanalyse gibt jedoch bisher noch keinen Anlass zur
Panik. Noch ist völlig unklar, ob die Methode überhaupt so funktioniert, wie es
sich die beiden Erfinder vorstellen (nicht wenige Fachleute zweifeln daran). Falls
ja, ist man bisher noch weit davon entfernt, ein Gleichungssystem dieser Komple-
xität lösen zu können. Bisher ist die quadratische Kryptoanalyse daher ein sehr
spekulatives Thema, das noch weiterer Forschung bedarf. AES-Miterfinder Vin-
cent Rijmen ließ sich jedenfalls erst einmal nicht beeindrucken. Sein Kommentar:
»Der XSL-Angriff ist kein Angriff. Er ist ein Traum.«
8.3.3
Biclique-Kryptoanalyse
Den bisher besten Angriff auf den AES fanden Andrey Bogdanov, Dmitry Khov-
ratovich und Christian Rechberger im Jahr 2011 - also 14 Jahre nach Veröffent-
lichung des Verfahrens [BoKhRe]. Der Angriff ist eine Biclique-Kryptoanalyse,
für den Mallory nur einige wenige Klartext-Geheimtext-Paare benötigt. Er ist
etwa um das Vierfache schneller als die vollständige Schlüsselsuche. Präziser aus-
gedrückt benötigt Mallory für den Angriff 2 126.1 Schritte bei einem 128-Bit-
Schlüssel, 2 189.7 Schritte bei 192 Bits und 2 254.4 Schritte bei 256 Bits. Die voll-
ständige Schlüsselsuche ist somit nicht mehr der beste bekannte Angriff auf den
AES. Müssen wir uns deshalb Sorgen machen? Zunächst einmal nicht, denn der
Angriff von Andrey Bogdanov, Dmitry Khovratovich und Christian Rechberger
ist noch weit davon entfernt, praktisch verwertbar zu sein.
8.3.4
Weitere Angriffe
In den letzten Jahren wurden einige weitere theoretische Angriffe auf den AES
veröffentlicht. Dazu gehört insbesondere eine Related-Key-Attacke aus dem Jahr
2009 von Alex Biryukov and Dmitry Khovratovich [BirKho]. Dieser Angriff
betrifft die 192-Bit und die 256-Bit-Version des AES. Er benötigte zunächst einen
Aufwand von 2 119 Schritten, wurde jedoch auf 2 99.5 verbessert. Zwar sind diese
Angriffe nicht praxisrelevant, sie sorgenten jedoch wieder einmal für Diskussio-
Search WWH ::




Custom Search