Cryptography Reference
In-Depth Information
gemeinsamen geheimen Schlüssel besitzen, der 104 Bit lang ist. Die fehlenden
24 Bit legen die beiden für jeden RC4-Verschlüsselungsvorgang neu fest, wobei
keine Geheimhaltung dieses 24-Bit-Werts vorgesehen ist. Darüber hinaus wird
vorausgesetzt, dass Mallory jeweils das erste Klartext-Byte einer verschlüsselten
Nachricht kennt (es handelt sich also um eine Known-Plaintext-Attacke). Diese
Voraussetzungen klingen zwar etwas konstruiert, entsprechen jedoch genau dem
Einsatzszenario von RC4 im WLAN-Krypto-Standard WEP (siehe Abschnitt
33.2.1), auf den Fluhrer, Mantin und Shamir abzielten.
Der Fluhrer-Mantin-Shamir-Angriff nutzt die besagte RC4-Konfusions-
schwäche im ersten Zufallsfolgen-Byte und ermöglicht es Mallory, den geheimen
104-Bit-Schlüssel zu ermitteln, den Alice und Bob verwenden. Für das Knacken
eines solchen Schlüssels benötigt Mallory etwa 4 bis 6 Millionen RC4-Geheim-
texte, die mit unterschiedlichen 24-Bit-Werten verschlüsselt wurden und von
denen er jeweils das erste Klartext-Byte kennt. 2007 veröffentlichten die drei
Kryptografen Andrei Pyshkin, Erik Tews und Ralf-Philipp Weinmann von der
Universität Darmstadt eine Weiterentwicklung dieser Attacke, die deutlich weni-
ger Klartext benötigt [PyTeWe]. Ihre Arbeit basiert auf einer Analyse ihres Kolle-
gen Andreas Klein [Klein]. Welche Auswirkungen diese Resultate auf die Praxis
haben, können Sie im Abschnitt über WEP nachlesen (Abschnitt 33.2.1).
Es ist nicht besonders schwierig, den Fluhrer-Mantin-Shamir-Angriff durch
eine geeignete Implementierung zu verhindern. Zum einen sollte hierbei nach
Möglichkeit der gesamte RC4-Schlüssel geheim bleiben - falls nicht, sollte der
bekannte Teil mithilfe einer kryptografischen Hashfunktion mit dem unbekann-
ten Teil kombiniert werden. Zum anderen können Alice und Bob vereinbaren,
dass sie die ersten RC4-Zufallsfolgen-Bytes nicht verwenden, sondern erst beim
zehnten oder hundertsten anfangen. Und schließlich ist ein Schlüsselwechsel spä-
testens nach einigen Hunderttausend Nachrichten angebracht. Leider wandten
die WEP-Entwickler keine der drei genannten Maßnahmen an.
Wie ist also nun die Sicherheit von RC4 einzuschätzen? Klar ist, dass der gute
Ruf des Verfahrens in den letzten Jahren einige Schrammen erhalten hat. Die bis-
her entdeckten Schwächen sind jedoch entweder nicht praxisrelevant oder leicht
zu beheben. Am Ende bleibt also die Erkenntnis: Die Einfachheit und Schnellig-
keit von RC4 erkauft man sich durch Fallstricke beim praktischen Einsatz und
durch einige theoretische Schwächen. In neuen Implementierungen sollten Sie
daher lieber ein anderes Verfahren verwenden (etwa den AES). Wer dagegen nicht
auf RC4 verzichten will oder kann, sollte sich die Schwächen des Verfahrens
genau ansehen und bei der Implementierung auf eine Vermeidung der entspre-
chenden Fehler achten.
