Cryptography Reference
In-Depth Information
schlägt sich auch darin nieder, dass in den letzten Jahren deutlich mehr Strom-
chiffren als Blockchiffren geknackt wurden. Allerdings gibt es aus den letzten
Jahren einige äußerst interessante Neuentwicklungen, die eine hohe Performanz
bieten und trotzdem bisher keine Sicherheitsmängel offenbart haben.
Stromchiffren hatten lange Zeit einen entscheidenden Vorteil gegenüber
Blockchiffren: Sie verbrauchten weniger Ressourcen und konnten trotzdem hohe
Verschlüsselungsgeschwindigkeiten erzielen. Doch auch hier gibt es neue Ent-
wicklungen. Einige Verfahren, wie etwa PRESENT, haben in den letzten Jahren
gezeigt, dass auch Blockchiffren extrem ressourcensparend arbeiten können.
Man darf gespannt sein, wie die Entwicklung von Block- und Stromchiffren in
den nächsten Jahren verlaufen wird. Davon abgesehen haben Stromchiffren fol-
gende Vorteile:
■
Alice und Bob können den Keystream einer Stromchiffre vorausberechnen
und puffern, was in vielen Szenarien die Performanz erhöht.
■
Tritt im Geheimtext ein Bit-Fehler auf, dann ist bei einer Stromchiffre nur ein
Bit des Klartexts zerstört und nicht (wie bei einer Blockchiffre) ein ganzer
Block.
Von Nachteil bei Stromchiffren sind folgende Aspekte:
■
Die hohe Verschlüsselungsgeschwindigkeit wird oft durch eine relativ auf-
wendige Initialisierung erkauft. Ein etwaiger Performanzvorteil macht sich
daher oft nur bei längeren Klartexten bemerkbar.
■
Wenn Mallory ein Bit des Geheimtexts ändert, dann ändert sich auch das ent-
sprehende Bit im Klartext (und umgekehrt). Dies ist ein klarer Verstoß gegen
die Zufallsorakel-Eigenschaft. Wenn Mallory Teile des Klartexts kennt, dann
kann er diesen gezielt manipulieren. Dies ist ein Grund dafür, dass Stromchif-
fren mit integrierter kryptografischer Hashfunktion eine sinnvolle Sache sind.
■
Derselbe Keystream (und damit dasselbe Paar von Initialisierungsvektor und
Schlüssel) einer Stromchiffre darf nicht mehrfach verwendet werden.
■
Ein beliebiger Block eines Geheimtexts lässt sich nicht einzeln entschlüsseln.
■
Die meisten Stromchiffren lassen sich nicht ohne Weiteres im CTR-Modus
betreiben (siehe Abschnitt 19.1). Ausnahmen sind solche Stromchiffren, die
speziell für den CTR-Modus entwickelt wurden. Mit Salsa20 werden Sie in
diesem Kapitel eine solche kennenlernen.
16.2
RC4
Die über lange Zeit hinweg bekannteste und bedeutendste Stromchiffre hat den
Namen
RC4
. Sie gehört zu den zahlreichen Entwicklungen von Ron Rivest, dem
RSA-Miterfinder und gegenwärtig vielleicht bedeutendsten Kryptografen der
Welt. RC4 steht für
Rivest Cipher 4
und gehört namenstechnisch in eine Reihe
mit den Blockchiffren RC2, RC5 und RC6, die Sie bereits in Abschnitt 9.3 ken-
