Cryptography Reference
In-Depth Information
15.2
Die wichtigsten Pseudozufallsgeneratoren
Schauen wir uns nun an, welche Pseudozufallsgeneratoren Alice und Bob in der
Praxis verwenden können. Alle der im Folgenden beschriebenen Verfahren sind
speziell für kryptografische Zwecke entwickelt worden und gelten damit (falls
nicht anders gesagt) als sicher. Eine Besonderheit von Pseudozufallsgeneratoren
gegenüber anderen kryptografischen Verfahren besteht darin, dass sie nicht inte-
roperabel sein müssen (es spielt keine Rolle, wenn Alice ihre Zufallszahlen anders
generiert als Bob). Aus diesem Grund sind nur wenige Pseudozufallsgeneratoren
standardisiert, und es sind sehr viele unterschiedliche Verfahren in Gebrauch.
Einige gute Pseudozufallsgeneratoren findet man in den Veröffentlichungen
von Standardisierungsgremien. Da es nicht auf Interoperabilität ankommt, haben
diese Beschreibungen meist nicht den Status eines Standards und sind in der Regel
auch nicht bis ins letzte Bit festgelegt. Der Implementierer hat dadurch verschie-
dene Freiheiten. So basieren viele der Pseudozufallsgeneratoren auf einem Ver-
schlüsselungsverfahren oder einer Hashfunktion, ohne dass festgelegt ist, welcher
Algorithmus verwendet wird. In viele Verfahren gehen neben dem Startwert
zusätzliche Bit-Folgen ein, die aus einer anderen Zufallsquelle kommen können,
wobei die Details ebenfalls offen gelassen werden.
Eine interessante Veröffentlichung von einem Standardisierungsgremium ist
beispielsweise die
Recommendation for Random Number Generation Using
Deterministic Random Bit Generators (NIST SP 800-90)
der US-Standardisie-
rungsbehörde NIST [NIST800-90]. In dieser Empfehlung, die kostenlos im Inter-
net erhältlich ist, findet sich eine recht vielfältige Auswahl geeigneter Pseudozu-
fallsgeneratoren - leider ist die Beschreibung meist etwas umständlich. Der Data
Signature Standard (DSS, siehe Abschnitt 12.3.2), der das digitale Signaturver-
fahren DSA spezifiziert, führt im Anhang ebenfalls exemplarisch einige Pseudo-
zufallsgeneratoren auf [FIPS-186]. Gleiches gilt für den Anhang des Standards
ANSI X9.42 [X9.42], in dessen Hauptteil die Verfahren Diffie-Hellman und
MQV beschrieben werden. Zu erwähnen ist außerdem der japanische Krypto-
Wettbewerb CRYPTREC (siehe Abschnitt 18.5.4), in dem es eine Kategorie Pseu-
dozufallsgeneratoren gab [CRYPTR].
Auf den folgenden Seiten werden wir einige Pseudozufallsgeneratoren
betrachten, die größtenteils aus den genannten Quellen stammen. Die beschriebe-
nen Methoden lassen sich danach klassifizieren, ob eine kryptografische Hash-
funktion, eine schlüsselabhängige Hashfunktion, ein symmetrisches Verschlüsse-
lungsverfahren oder eine mathematische Problemstellung zur Fortschaltung
verwendet wird. Leider haben die jeweiligen Verfahren in vielen Fällen keinen
Namen. Stattdessen wird in der Literatur meist das Dokument, in dem das Ver-
fahren beschrieben wird, mit der zugehörigen Kapitelnummer als Bezeichnung
genannt (z.B.
ANSI X9.42-2001 Annex C.1
). Dies ist zwar umständlich und teil-
weise etwas verwirrend, da manche Methoden in mehreren Dokumenten
beschrieben werden, doch es gibt bisher keine bessere Namensgebung.
