Cryptography Reference
In-Depth Information
Angriffs eine Rolle. Da wir von einer Chosen-Plaintext-Attacke ausgehen, neh-
men wir an, dass Angreifer Mallory eine Implementierung (Blackbox) zur Verfü-
gung steht, die einen beliebigen Klartextblock
M
in den zugehörigen Geheimtext-
block
X
verschlüsselt. Mallorys Ziel ist es, den von der Backbox verwendeten
Schlüssel zu ermitteln. Zur Vorbereitung des Angriffs schiebt Mallory einen belie-
bigen Block
M
1
in die Blackbox und erhält als Ergebnis den Geheimtext
X
1
. Für
jeden möglichen Wert von
K
1
(also insgesamt 2
64
Mal) gilt nun folgender Ablauf
(
K
1
' sei der jeweilige Kandidat für
K
1
):
1. Aus
M
1
und
K
1
' berechnet Mallory die zugehörigen Werte von
A
und
B
(ein
Blick auf die Abbildung macht klar, dass diese Berechnung möglich ist, ohne
K
2
zu kennen). Diese beiden Werte werden
A
1
und
B
1
genannt.
2. Aus
X
1
und
K
1
' berechnet Mallory die zugehörigen Werte von
D
und
E
(auch dies ist möglich, ohne
K
2
zu kennen). Diese heißen
D
1
und
E
1
.
3. Aus
B
1
und
E
1
berechnet Mallory den zugehörigen Wert von
C
. Dieser Wert
heißt
C
1
.
4. Mallory belegt nun
A
und
B
neu mit den Werten
A
2
und
B
2
. Es gilt
A
2
=
A
1
.
B
2
erhält einen beliebigen Wert ungleich
B
1
. Mithilfe von
K
1
' berechnet Mal-
lory anschließend den neuen Wert von
M
. Dieser heißt
M
2
.
5. Mallory schiebt
M
2
in die Blackbox und erhält
X
2
.
6. Aus
X
2
berechnet Mallory die neuen Werte von
D
und
E
. Diese heißen
D
2
und
E
2
.
7. Aus
B
2
und
E
2
berechnet Mallory den neuen Wert von
C
. Dieser heißt
C
2
.
8. Mit
C
1
und
C
2
hat Mallory nun zwei Werte für
C
berechnet. Da
A
1
=
A
2
gilt,
muss auch
C
1
=
C
2
gelten, falls
K
1
' der passende Schlüssel ist (ein Blick auf die
Abbildung verrät, dass dies so sein muss). Gilt
C
1
=
C
2
, dann setzt Mallory
den aktuellen Wert von
K
1
' auf seine Merkliste.
Hat Mallory dieses Prozedere für alle 2
64
möglichen Subschlüssel durchgespielt,
dann muss mindestens ein Wert auf seiner Merkliste stehen - dieser ist dann der
richtige. Sollten mehrere Einträge vorhanden sein (viele können es nicht sein),
dann ergibt ein kurzes Ausprobieren den richtigen Kandidaten. Um auf die
beschriebene Weise zum Erfolg zu kommen (um also
K
1
zu finden), muss Mallory
2
64
Klartexte in die Blackbox schieben. Den Schlüssel
K
2
findet er anschließend
durch Brute Force. Insgesamt benötigt Mallory also maximal 2
65
Arbeitsschritte.
Dies ist zweifellos ein enormer Aufwand. Selbst wenn Mallory 1.000 Klartexte
pro Sekunde durch die Blackbox schleusen kann, benötigt er über eine Milliarde
Jahre zum Ermitteln des Schlüssels. Trotzdem machte diese Attacke MAGENTA
zum mit Abstand unsichersten AES-Kandidaten. Eigentlich schade, denn das Ver-
fahren hätte bei einer besseren Schlüsselaufbereitung sicherlich mehr erreichen
können.
