Cryptography Reference
In-Depth Information
■
MDS
: Diese Komponente nimmt vier Bytes entgegen und führt eine Multipli-
kation mit einer festgelegten 4×4-Matrix durch. Das Ergebnis sind wiederum
vier Bytes. Die Matrix-Multiplikation wird im Körper GF(2
8
) durchgeführt
(siehe Abschnitt 12.1.1). Den genauen Ablauf dieser Rechnung können Sie in
[Schn07/2] nachlesen.
■
PHT
: Diese Komponente nimmt zwei 32-Bit-Werte entgegen und führt eine
Pseudo-Hadamard-Transformation (PHT) durch. Das klingt kompliziert,
läuft aber nach einer einfachen Formel ab (A und B seien die Eingabewerte, A'
und B' die Ausgabewerte):
A
'=
A
+
B
mod
256;
B
'=
A
+2
⋅
B
mod
256.
■
<<<
: Dieses Zeichen steht für eine bitweise Linksrotation.
Abgesehen von den S-Boxen sind alle Schritte linear. Wie Sie leicht nachrechnen
können, benötigt Twofish 40 Subschlüssel der Länge 32 Bit. Außerdem müssen
die vier S-Boxen im Rahmen der Schlüsselaufbereitung generiert werden. Die
Schlüsselaufbereitung sieht einige Multiplikationen in GF(2
8
) vor und soll uns
nicht im Detail interessieren. In [Schn07/2] finden Sie die genaue Spezifikation.
9.2.2
Bewertung von Twofish
In ihren Veröffentlichungen betonen die Twofish-Entwickler um Bruce Schneier,
dass sie sich auf bewährte Designelemente verlassen und dadurch ein konservati-
ves Verfahren geschaffen haben. Kryptografen ordnen Twofish meist zwischen
dem eleganteren AES und dem noch konservativeren Serpent ein. Abgesehen von
einer theoretischen Schwachstelle [MorYin] sind bisher keine Twofish-Sicher-
heitsprobleme bekannt. Wer den AES aus irgendwelchen Gründen nicht einsetzen
möchte, hat mit Twofish eine gute Alternative zur Verfügung.
9.3
RC6
RC6
ist der Nachfolger von RC5 (Abschnitt 7.4.3). Ron Rivest entwickelte dieses
Verfahren zusammen mit drei Kollegen, um damit am AES-Wettbewerb teilzu-
nehmen [RiRoSY]. RC6 kam dabei unter die besten fünf, gehörte am Ende jedoch
nicht zu den besten dreien. Dies lag zum einen an den datenabhängigen Rotatio-
nen, die als noch nicht genügend erforscht gewertet wurden, um sie in einem Ver-
schlüsselungsstandard einzusetzen, zumal es in diesem Bereich eine unklare Pat-
entlage gab. Außerdem erschien den AES-Juroren das Design von RC6 zu sehr
auf 32-Bit-Prozessoren zugeschnitten. Werden 64-Bit-Prozessoren eingesetzt,
dann ergeben sich Performanznachteile. Gleiches gilt in noch stärkerem Maße für
8- und 16-Bit-Prozessoren. Da das Verfahren MARS (siehe Abschnitt 9.4), das
ebenfalls unter die ersten fünf kam, deutlich mehr Schwächen zeigte, kann man
RC6 als Viertplatzierten des AES-Wettbewerbs betrachten (offiziell wurden keine
Platzierungen vergeben).
