Cryptography Reference
In-Depth Information
kürzer als 2.048 Bit, dann wird er mehrfach hintereinander geschrieben. Bevor
die Verschlüsselung losgehen kann, wird folgender Algorithmus zur Initialisie-
rung abgearbeitet:
Für
i
von 0 bis 255
j
:=
j
+
s
i
+
k
i
(mod 256)
vertausche
s
i
und
s
j
Damit ist RC4 vollständig beschrieben - einfacher geht es kaum.
16.2.2
Bewertung von RC4
RC4 ist nicht nur besonders einfach, sondern auch besonders schnell. Die Ver-
schlüsselungsgeschwindigkeit liegt bei Softwareimplementierungen etwa zehn-
mal höher als beim DES. Diese Eigenschaften haben RC4 zu einem weit verbrei-
teten Verfahren gemacht, das beispielsweise von den gängigen Webbrowsern
genutzt wird und bei der Absicherung von Wireless LANs (siehe Abschnitt 33.2)
zum Einsatz kommt. Bis vor ein paar Jahren war RC4 die Stromchiffre schlecht-
hin und unter den für Softwareumsetzungen gedachten Stromchiffren nahezu
konkurrenzlos.
RC4 galt lange als sicher. In den letzten Jahren haben jedoch verschiedene
Kryptografen mehrere Schwächen aufgedeckt, die zumindest Anlass zur Vorsicht
geben. Bereits 1997 zeigte sich, dass RC4 bei statistischen Tests geringfügig
schlechter abschneidet als ein echter Zufallsgenerator [Golic]. 2001 fanden die
beiden Kryptografen Scott Fluhrer und David McGrew statistische Auffälligkei-
ten in den von RC4 generierten Folgen, die ausreichten, um eine RC4-Zufalls-
folge der Länge 1 Gigabyte von einer echten Zufallsfolge zu unterscheiden
[FluMcG]. Ein Jahr später zeigten Itsik Mantin und Adi Shamir, dass das zweite
Byte einer RC4-Zufallsfolge mit doppelt so hoher Wahrscheinlichkeit Null beträgt
wie bei einer echten Zufallsfolge [ManSha]. Mit diesen Ergebnissen wurde klar,
dass RC4 kein perfektes Zufallsorakel ist.
Als bisher größtes Problem hat sich erwiesen, dass kleine Teile eines RC4-
Schlüssels einen überproportional großen Einfluss auf die ersten Bytes einer RC4-
Zufallsfolge ausüben. Das erste Byte einer solchen Folge ist sogar nur von drei
von insgesamt 256 Werten abhängig, die bei der Schlüsselaufbereitung entstehen.
Aus Sicht eines Chiffren-Designers bedeutet dies: Die Konfusionseigenschaft ist
bei RC4 nicht in ausreichendem Maße gegeben.
Die Tatsache, dass das erste RC4-Zufallsfolgen-Byte nur von einem kleinen
Teil des Schlüssels abhängt, lieferte die Vorlage für den bisher wichtigsten Angriff
auf RC4. Dieser stammt in seiner ursprünglichen Form von Fluhrer, Mantin und
Shamir und wurde 2001 veröffentlicht [FlMaSh]. Der Angriff funktioniert für
verschiedene Schlüssellängen, uns soll jedoch nur die Schlüssellänge 128 Bit inte-
ressieren. Die Vorgehensweise setzt zunächst voraus, dass Alice und Bob einen
