Cryptography Reference
In-Depth Information
und trägt das Ergebnis in eine weitere Liste ein. Danach erhöht er
U
n-1
um 1
und wiederholt den Vorgang. Auch mit diesem Prozedere fährt Mallory fort
und füllt auf diese Weise nach und nach die zweite Liste.
4.
Mallory führt die Schritte 2 und 3 parallel so lange durch, bis sich irgend-
wann eine Übereinstimmung in den beiden Listen ergibt. Ist dies der Fall,
dann hat Mallory ein passendes Urbild zum Hashwert gefunden. Der erste
und der letzte Block dieses Urbilds enthalten irgendwelche bedeutungslosen
Werte. Dazwischen steht die Staubsauger-Bestellung oder eine andere von
Mallory gewählte Nachricht.
Beträgt die Blocklänge von
E
n
Bit, dann benötigt Mallory gemäß dem Geburts-
tagsphänomen im Schnitt etwa 2
n/2
Versuche, bis sich die gewünschte Überein-
stimmung ergibt. Den DES (64 Bit Blocklänge) sollte Alice für diese Anwendung
also nicht nehmen. Auch der AES (128 Bit Blocklänge) ist nur bedingt geeignet.
Variante 3 und 4
Variante 3 und 4 haben den Vorteil, dass eine Meet-in-the-Middle-Attacke nicht
funktioniert. Auch ansonsten gelten sie als sicher. Beide haben die Eigenschaft,
dass der Status einerseits die Länge eines Klartextblocks haben muss, andererseits
aber auch als Schlüssel verwendet wird. Am besten funktioniert dies, wenn
Schlüssellänge und Blocklänge von
E
gleich sind. Ist die Blocklänge größer, dann
muss Alice jeweils einen Teil des Blocks abschneiden. Ist die Blocklänge kleiner,
wird ein Auffüllen notwendig.
Fazit
Obwohl es also durchaus Möglichkeiten gibt, ein symmetrisches Verschlüsse-
lungsverfahren als kryptografische Hashfunktion einzusetzen, gilt dies nicht als
der ideale Weg. Störend ist beispielsweise, dass bei den sicheren Varianten für
jeden Block ein anderer Schlüssel zum Einsatz kommt. Dies bedeutet, dass Alice
ständig eine neue Schlüsselaufbereitung vornehmen muss. Verfahren mit einer
aufwendigen Schlüsselaufbereitung (etwa Blowfish) sind daher gänzlich ungeeig-
net für diesen Anwendungszweck. Die meisten anderen Algorithmen erzeugen
zumindest Hashfunktionen, die langsamer sind als etwa SHA-1.
Auch die Länge des Hashwerts spricht gegen Hashfunktionen aus symme-
trischen Verfahren. 160 Bit gelten heute als das Minimum. Die meisten neueren
Verschlüsselungsverfahren haben jedoch eine Blocklänge (und damit auch Hash-
wert-Länge) von 128 Bit. Darüber hinaus haben kryptografische Hashfunktionen
andere Sicherheitsziele als Verschlüsselungsverfahren. So funktioniert beispiels-
weise die lineare Kryptoanalyse bei Hashfunktionen grundsätzlich nicht (die dif-
ferenzielle dagegen schon). Eine gut designte kryptografische Hashfunktion ist
daher stets schneller als eine aus einem Verschlüsselungsverfahren generierte.
