nes Wissens nirgendwo zur Verschlüsselung eingesetzt. So gesehen kann man sich

darüber streiten, ob es überhaupt sinnvoll ist, W als Verschlüsselungsverfahren

zu bezeichnen. Da die WHIRLPOOL-Erfinder dies tun, möchte ich es an dieser

Stelle übernehmen.

Die Funktionsweise von W kann eine gewisse Ähnlichkeit mit dem AES nicht

verleugnen. Kein Wunder, denn WHIRLPOOL-Miterfinder Vincent Rijmen ist ja

einer der beiden Väter des AES. Den W-Klartext sollte man sich als quadratische

Matrix aus 64 Bytes vorstellen, Gleiches gilt für den W-Schlüssel. Das W-Design

sieht zehn Runden vor, in die jeweils ein 512-Bit-Subschlüssel eingeht. Jede

W-Runde besteht aus vier Schritten:

1.

Nichtlinearer Schritt (entspricht der SubByte-Funktion des AES): Hier wird

jedes der 64 Bytes einer S-Box zugeführt. Diese ist allerdings nicht mit der

AES-S-Box identisch, sondern aus einer mehrfach eingesetzten kleineren S-Box

sowie aus einer Permutationsfunktion zusammengesetzt.

2.

Permutationsschritt (entspricht der ShiftRow-Funktion des AES): Hier wird

jede Spalte der Matrix um eine bestimmte Einheit rotiert. Man beachte, dass

der entsprechende Schritt des AES keine Spalten-, sondern eine Zeilenrota-

tion vornimmt.

3.

Diffusionsschritt (entspricht der MixColumn-Funktion des AES): Durch eine

Matrix-Multiplikation nimmt dieser Schritt eine Durchmischung der Zeilen

vor (beim AES werden auf ähnliche Weise die Spalten durchmischt).

4.

Additionsschritt (entspricht der AddKey-Funktion des AES): In diesem

Schritt wird der Schlüssel mit der Matrix exklusiv-oder-verknüpft.

Während beim AES die letzte Runde einen etwas anderen Ablauf hat (zusätzliches

AddRoundKey statt MixColumns), sehen bei W alle Runden des Verfahrens die-

selben vier Schritte vor. Da W in zehn Runden abläuft, benötigen wir zehn Sub-

schlüssel K 1 , ..., K 10 . Die Schlüsselaufbereitung erfolgt mithilfe des W-Verfah-

rens. Ist R eine W-Runde, dann gilt: K 1 =R c1 ( K ), K 2 =R c2 ( K 1 ), ..., K 10 =R c10 ( K 9 ).

Die als Schlüssel verwendeten Variablen c 1, c 2, ... sind jeweils 512-Bit-Werte

(8×8-Byte-Matrizen), die aus der S-Box abgeleitet werden.

Bewertung von WHIRLPOOL

WHIRLPOOL ist neben Tiger die bedeutendste Neuentwicklung im Bereich der

kryptografischen Hashfunktion in den Jahren vor dem SHA-3-Wettbewerb. Bis-

her sind keine Schwächen des Verfahrens bekannt. Allerdings ist es bisher noch

zu wenig untersucht, um als sicher gelten zu können.