Cryptography Reference
In-Depth Information
9.8
Die restlichen AES-Kandidaten
Werfen wir nun noch einen Blick auf die verbleibenden AES-Kandidaten. Fünf
der 15 AES-Kandidaten traf die Höchststrafe: Sie offenbarten ernst zu nehmende
Sicherheitslücken und schieden deshalb aus. Zwar ist bis heute kein Angriff auf
eines der Verfahren bekannt, der sich in der Praxis nutzen ließe, doch die Anfor-
derungen in der Kryptografie sind nun einmal hart. Hier die Liste der Unsicheren:
■
LOKI97
: Diese Feistel-Chiffre mit 16 Runden zählte zu den größten Enttäu-
schungen des AES-Wettbewerbs [BroPip]. Obwohl mit Jennifer Seberry und
Josef Pieprzyk zwei namhafte Kryptografen an der Entwicklung mitgewirkt
hatten, zeigten sich bei der Sicherheit einige Schwächen. Mit linearer Krypto-
analyse gelang eine Known-Plaintext-Attacke mit 2
56
Klartextblöcken.
■
FROG
: Auch dieses Verfahren kann per linearer Kryptoanalyse mit einer
Known-Plaintext-Attacke mit 2
56
Klartextblöcken gebrochen werden [GeLeCh].
Die Performanz erwies sich ebenfalls als nicht berauschend.
■
DEAL
: Diesen Algorithmus kann man als Anpassung des DES an die AES-
Kriterien bezeichnen [Knudse]. Dennoch zeigten sich einige potenzielle
Sicherheitslücken in der Schlüsselaufbereitung. Die Performanz entspricht
etwa der von Triple-DES, was sich als zu langsam erwies.
■
HPC
: Der kuriose Name der »Hasty Pudding Cipher« [Schroe] konnte nicht
verhindern, dass das Verfahren in der ersten Runde ausschied. Dies lag unter
anderem daran, dass HPC-Erfinder Richard Schroeppel einige exotische
Funktionselemente in sein Verfahren eingebaut hatte, deren kryptografische
Eigenschaften noch nicht ausreichend analysiert sind. Zudem erwies sich die
Schlüsselaufbereitung als unsicher, da für eine große Anzahl an Schlüsseln
jeweils 2
30
äquivalente Schlüssel existieren.
■
MAGENTA
: siehe Abschnitt 9.7
Ebenfalls in der ersten Runde mussten fünf weitere Algorithmen die Segel strei-
chen, obwohl keine nennenswerten Sicherheitsmängel bekannt wurden. Grund
für das Ausscheiden war die geringe Performanz auf unterschiedlichen Plattfor-
men oder der zu hohe Speicherverbrauch. Folgende Verfahren waren betroffen:
■
E2
: E2 ist eine Feistel-Chiffre und stammt aus Japan [KMAUOT]. E2 gilt als
das beste Verfahren, das die zweite Runde nicht erreichte. Eine etwas zu
geringe Performanz sowie ein knapp bemessener Sicherheitsspielraum gaben
den Ausschlag.
■
CAST-256
: siehe Abschnitt 9.6
■
SAFER+
: siehe Abschnitt 9.5
