Cryptography Reference
In-Depth Information
Sieht man von diesem theoretischen Angriff ab, dann gilt SAFER+ als sicher.
Mit seinen 128, 192 oder 256 Byte langen Schlüsseln bietet das Verfahren einen
ausreichenden Schutz gegenüber einer vollständigen Schlüsselsuche. Die Block-
länge von 128 Bit ist ebenfalls sicher und zeitgemäß. Man kann also davon aus-
gehen, dass Mallory keine Chance hat, eine SAFER+-Nachricht zu knacken. Die
Entwickler des Bluetooth-Sicherheitsmodells, die auf SAFER+ gesetzt haben,
können ihre Entscheidung bisher als richtig betrachten.
9.6
CAST
CAST
ist ein symmetrischer Verschlüsselungsalgorithmus von Carlisle Adams
und Stafford Tavares. Die beiden Kryptografen entwickelten das Verfahren für
die kanadische Firma Entrust, die es 1996 patentieren ließ. Trotz des Patents ist
CAST ohne Einschränkungen kostenlos nutzbar. Neben zahlreichen Entrust-Pro-
dukten unterstützt auch PGP CAST. Die kanadische Regierung hat das Verfahren
zur Nutzung für bestimmte staatliche Anwendungen freigegeben. Das Design von
CAST setzt auf Variabilität: Sowohl die S-Boxen als auch die Schlüssellänge sind
variabel. Die ursprüngliche Version wird auch als
CAST-128
bezeichnet. Dabei
handelt es sich um eine Feistel-Chiffre, die eine Schlüssellänge zwischen 40 und
128 Bit vorsieht. Die Blocklänge beträgt 64 Bit. In [RFC2144] wird ein Spezial-
fall von CAST-128 beschrieben, der 128 Bit Schlüssellänge und feste S-Boxen ver-
wendet.
Für den AES-Wettbewerb überarbeiteten Adams und Tavares ihr Verfahren
(zusammen mit Howard Heys und Michael Wiener), wodurch CAST-256 ent-
stand. Dieses wird unter anderem in [RFC2612] beschrieben. Gemäß den AES-
Vorgaben hat CAST-256 eine Blocklänge von 128 Bit und unterstützt Schlüssel
der Länge 128, 192 und 256 Bit. Außerdem können 160-Bit- und 224-Bit-Schlüs-
sel eingesetzt werden, was jedoch im AES-Wettbewerb nicht gefordert war.
CAST-256 ist keine Feistel-Chiffre, da es keine zwei, sondern vier Ablaufstränge
gibt (ähnlich wie bei RC6). Man kann jedoch von einer verallgemeinerten Feistel-
Struktur sprechen. Es gibt vier S-Boxen, die nicht variabel sind. Die Rundenzahl
beträgt 48, ist also sehr hoch angesetzt.
CAST-128 gilt als sicher, wenn die entsprechenden Parameter richtig gewählt
werden. Auch an CAST-256 gibt es diesbezüglich wenig auszusetzen. Das Verfah-
ren hat den AES-Auswahlprozess überstanden, ohne dass irgendwelche Sicher-
heitslücken entdeckt wurden. Die guten Sicherheitseigenschaften sind vor allem
auf die hohe Rundenzahl zurückzuführen, die für einen ordentlichen Puffer sorgt.
Andererseits ist CAST-256 aus demselben Grund relativ langsam, was neben
einem hohen Speicherbedarf den Ausschlag dafür gab, dass das Verfahren die
zweite AES-Runde nicht erreichte. Vielleicht hätte die Sache anders ausgesehen,
wenn Serpent, das ebenfalls ein konservatives Design mit hohem Sicherheitsspiel-
raum vorsieht, nicht zu den AES-Kandidaten gezählt hätte.
