Cryptography Reference
In-Depth Information
gelegt, siehe Abbildung 16-2). Wenn es in den drei Clocking Taps mehr Einsen
als Nullen gibt, dann werden diejenigen LFSRs fortgeschaltet, die den Wert 1
haben. Sind die Nullen in den Clocking Taps in der Mehrzahl, dann werden ana-
log die LFSR mit dem Clocking-Tap-Wert 0 fortgeschaltet. Auf diese Weise wer-
den immer mindestens zwei LFSR für ein Zufalls-Bit fortgeschaltet. Die Schlüs-
sellänge von A5 beträgt 64 Bit. Mithilfe dieser 64 Bit wird nach einem
bestimmten Ablauf eine Anfangsbelegung der drei LFSRs generiert. Bevor das
Verfahren Zufalls-Bits ausgibt, werden noch einige »Leerrunden« gefahren, was
eine zusätzliche Sicherheit bringen soll.
Die hier beschriebene Methode wird übrigens auch als A5/1 bezeichnet. Sie
wird vor allem in Europa verwendet. Daneben gibt es noch die abgeschwächte
Version A5/2, die beispielsweise in Australien eingesetzt wird. A5/2 sieht ein vier-
tes LFSR vor, das die Fortschaltung der drei anderen LFSRs regelt.
16.3.2
Bewertung von A5
A5 ist schnell (vor allem in Hardware) und die Funktionsweise recht einfach. Ist
A5 damit eine ernst zu nehmende Alternative zu AES, Twofish und RC6? Nein,
denn A5 ist unsicher. Je mehr in den letzten Jahren über die Funktionsweise
durchsickerte, desto klarer wurde, dass A5 nicht den Anforderungen an ein
modernes kryptografisches Verfahren entspricht. Die Idee der drei LFSRs erwies
sich dabei zwar nicht als grundsätzlich falsch. Die Entwickler von A5 haben aber
offensichtlich die Länge und die Tap-Variablen nicht optimal gewählt. Die Art
und Weise, wie beim Design von A5 mit guten Werkzeugen falsch umgegangen
wurde, ließ sogar den Verdacht aufkommen, dass die Entwickler mit A5 bewusst
einen knackbaren Algorithmus etablieren wollten.
Es gibt mehrere beunruhigende Kryptoanalyse-Resultate, die in den letzten
Jahren über A5/1 veröffentlicht wurden [LuWeZe]. Das bisher spektakulärste
Ergebnis stammt von Biryukov, Shamir und Wagner [BiShWa]. Sie beschrieben
eine Methode, mit der es möglich ist, den Schlüssel durch eine Known-Plaintext-
Attacke mit einem PC innerhalb einer Sekunde zu berechnen. Abgesehen von
einer sehr umfangreichen Vorberechnung wird dazu der Klar- und Schlüsseltext
benötigt, der in den ersten zwei Minuten eines Telefongesprächs produziert wird.
Noch schlimmer sieht es mit der Sicherheit von A5/2 aus. Gemäß den Kryptoana-
lyse-Ergebnissen der letzten Jahre liegt die effektive Schlüssellänge von A5/2 bei
etwa 17 Bit. Da wird die vollständige Schlüsselsuche zum Kinderspiel.
16.4
E
0
In Abschnitt 33.3 dieses Buchs wird das Thema Bluetooth im Mittelpunkt stehen.
Es handelt sich dabei um eine Technik für die drahtlose Datenübertragung über
kurze Distanzen. Speziell für Bluetooth haben verschiedene Experten eine Strom-
