Cryptography Reference
In-Depth Information
4.
Acht Runden
Backward Transformation
: Eine Runde dieses Typs läuft ab
wie die Forward Transformation, allerdings in invertierter Form.
5.
Acht Runden
Backward Mixing
: Eine Runde dieses Typs läuft ab wie das
Forward Mixing, allerdings in invertierter Form.
6.
Ein Subschlüssel wird addiert (Whitening).
Da die zweite Hälfte des Verfahrens die erste invertiert, entspricht das Entschlüs-
seln dem Verschlüsseln mit umgekehrter Reihenfolge der Subschlüssel. Die
Schlüsselaufbereitung muss 16 64-Bit-Subschlüssel für die Runden zur Verfügung
stellen, außerdem zwei 128-Bit-Subschlüssel für das Whitening. Zu diesem
Zweck wird ein vergleichsweise aufwendiges Verfahren abgearbeitet, das die
MARS-S-Box nutzt.
Die Mitwirkung von IBM und Don Coppersmith trug dazu bei, dass MARS
anfangs zu den Favoriten des AES-Wettbewerbs gezählt wurde. Zunächst schie-
nen diese Vorschusslorbeeren gerechtfertigt, denn das Verfahren überstand die
erste Runde ohne Blessuren. Als es jedoch in die Endauswahl ging und die Exper-
ten die Finalisten genau unter die Lupe nahmen, kamen mehrere Ungereimtheiten
ans Licht. Schneier und Kelsey fanden einen Angriff auf MARS mit reduzierter
Rundenzahl, der die Vermutung nahelegte, dass die schlüsselunabhängige Gestal-
tung der Mixing-Runden ein Fehler war [KelSch]. Biham und Furman entdeckten
eine theoretische Schwäche in den Transformationsrunden [BihFur]. Als äußerst
peinlich für das MARS-Team erwies sich eine weitere Beobachtung: Die S-Box
von MARS entspricht nicht den von den Entwicklern selbst angegebenen Krite-
rien [BuCaDM].
Keiner der genannten Mängel zog bis heute einen praktisch verwertbaren
Angriff nach sich. Die Chancen im AES-Wettbewerb waren angesichts dieser
Ungereimtheiten jedoch verspielt. Viele Beobachter hatten den Eindruck, dass das
Design von MARS zwar gute Ideen enthielt, jedoch noch nicht ausgereift war. So
ging das Verfahren als schlechtester der fünf AES-Finalisten in die Krypto-
Geschichte ein.
9.5
SAFER
SAFER
ist eine Abkürzung für »Secure And Fast Encryption Routine«. Es han-
delt sich dabei um ein symmetrisches Verschlüsselungsverfahren, dessen erste
Version 1994 veröffentlicht wurde. Erfinder ist der bekannte Kryptograf James
Massey. Dessen Ziel war es, mit SAFER eine Alternative zum in die Jahre gekom-
menen DES zu schaffen, was ihm auch gelungen ist. SAFER zählt inzwischen
schon zu den älteren symmetrischen Verschlüsselungsverfahren, wird aber - nach
mehreren Änderungen im Design - auch heute noch eingesetzt. SAFER gibt es in
sieben unterschiedlichen Varianten. Die erste Variante mit dem Namen
SAFER
K-64
(die Zahl 64 steht für die Schlüssellänge) entspricht dem ursprünglichen
Design aus dem Jahr 1994. Ein Jahr später veröffentlichte Massey
SAFER K-128
,
