Cryptography Reference
In-Depth Information
Die 16 resultierenden Bytes sind der Runden-Output. Die Schritte 4 bis 10 sind
alle linear und lassen sich daher zu einer einzigen Matrix-Multiplikation zusam-
menfassen. Die Rundenzahl von SAFER+ ist von der Schlüssellänge abhängig. Sie
beträgt acht Runden für 128 Bit, 12 Runden für 192 Bit sowie 16 Runden für
256 Bit. Nach der letzten Runde folgt eine Teilrunde (
Output Transformation
),
die nur aus Schritt 2 einer normalen Runde besteht (also aus einer Exklusiv-oder-
Verknüpfung bzw. Addition eines Rundenschlüssels). Speziell für die Output-
Transformation wird ein zusätzlicher Subschlüssel generiert. Da sowohl der erste
als auch der letzte Schritt von SAFER+ aus der Addition bzw. Exklusiv-oder-Ver-
knüpfung eines Subschlüssels besteht, liegt eine Form von Whitening vor.
Ein bekannter Nachteil bei einem SP-Verfahren besteht darin, dass die Ent-
schlüsselung nicht identisch wie die Verschlüsselung abläuft. Vielmehr muss man
bei einem SP-Verfahren jeden Teilschritt einzeln invertieren, um zurück zum Klar-
text zu kommen. Natürlich ist SAFER+ so konstruiert, dass alle Teilschritte
umkehrbar sind. Die Entschlüsselung startet daher mit einer
Input Transforma-
tion
(Umkehrung der Output Transformation), gefolgt von acht bis 16 Runden,
die jeweils den Verschlüsselungsvorgang invertieren.
9.5.2
Schlüsselaufbereitung von SAFER+
Die Schlüsselaufbereitung von SAFER+ ist vergleichsweise einfach und verzichtet
auf S-Boxen und sonstige Verkomplizierungen. SAFER+ verarbeitet pro Runde
zwei 16-Byte-Subschlüssel zuzüglich eines weiteren in der Output Transforma-
tion. Dies ergibt insgesamt 17, 25 oder 33 Subschlüssel. Die Schlüsselaufberei-
tung von SAFER+ sieht vor, dass an den (16, 24 oder 32 Byte langen) Schlüssel
ein weiteres Byte gehängt wird. Aus diesem erweiterten Schlüssel werden nach
einem festgelegten Schema jeweils 16 Byte entnommen und zu einer rundenab-
hängigen Konstante gezählt. Das Ergebnis ist der jeweilige Subschlüssel. Vor der
Entnahme des nächsten Subschlüssels erfolgt jeweils eine interne Rotation der
Schlüssel-Bytes.
9.5.3
Bewertung von SAFER+
Im Rahmen des AES-Auswahlprozesses entdeckten John Kelsey, Bruce Schneier
und David Wagner eine theoretische Schwäche von SAFER+ [KeSW99]. Den
dreien war aufgefallen, dass die Diffusionseigenschaft der Schlüsselaufbereitung
nicht optimal ist. Dadurch verteilen sich die Schlüssel-Bits vergleichsweise lang-
sam in die einzelnen Runden. Kelsey, Schneier und Wagner konnten diese Schwä-
che in eine Meet-in-the-Middle-Attacke auf die 256-Bit-Version von SAFER+
umwandeln. Zwar benötigt dieser Angriff 2
240
Verschlüsselungsoperationen und
ist damit für die Praxis völlig irrelevant. Die Forderung, dass die vollständige
Schlüsselsuche der wirksamste Angriff sein soll, war damit jedoch verletzt. Dies
war ein Grund für die Entwicklung von SAFER++.
