Cryptography Reference
In-Depth Information
4.
Dieser Ablauf endet mit dem 55. Taktzyklus, wenn alle 210 Bit aus Schlüssel
und Initialisierungsvektor eingeschoben sind. Ab dem 39. Taktzyklus (wenn
also LFSR4 voll ist) produziert das Verfahren Zufalls-Bits (die Register wer-
den mit 0 initialisiert). Es werden also bis hierhin 16 Zufalls-Bits produziert.
5.
Alice lässt das Verfahren weiter laufen (alle LFSRs sind im Normalbetrieb)
und produziert weitere 184 Zufalls-Bits (also insgesamt 200). Von diesen
nimmt sie die letzten 128 und kopiert sie in die vier LFSRs. Die Register wer-
den dabei nicht verändert.
Mit der neuen Belegung der LFSRs ist die Schlüsselaufbereitung abgeschlossen.
Der Verschlüsselungsbetrieb von E
0
kann beginnen.
16.4.2
Bewertung von E
0
E
0
wurde speziell für Bluetooth entwickelt. Was Performanz und eine einfache
Realisierung in Hardware anbelangt, ist das Verfahren für diese Anwendung
sicherlich bestens geeignet. Bezüglich der Sicherheit von
E
0
gibt es inzwischen
jedoch Bedenken. Bereits 1999 zeigten Hermelin und Nyberg, dass E
0
in 2
64
Arbeitsschritten zu brechen ist, wenn Abhörer Mallory 2
64
Bit des Zufallsstroms
kennt. Dieser Angriff ist deutlich einfacher als eine vollständige Schlüsselsuche,
die 2
128
Schritte erfordert. Fluhrer und Lucks entdeckten, dass E
0
mit 132 Bit aus
dem Zufallsstrom in 2
84
Arbeitsschritten und mit 2
43
Bit aus dem Zufallsstrom
in 2
73
Arbeitsschritten zu knacken ist. Mit anderen Worten heißt dies: Die effek-
tive Schlüssellänge von E
0
beträgt nur zwischen 73 und 84 Bit, selbst wenn
L
auf
16 gesetzt wird. 2005 veröffentlichten Lu, Meier und Vaudenay einen weiteren
Angriff. Sie benötigten die jeweils ersten 24 Bit von etwa 15 Millionen Bluetooth-
Paketen, um in 2
38
Berechnungen den Schlüssel zu ermitteln.
Diese Ergebnisse machen deutlich, dass E
0
nicht die Sicherheit bietet, die man
von einem modernen kryptografischen Verfahren erwartet. Ich würde daher nie-
mandem die Nutzung von E
0
empfehlen, sofern ein anderes Verfahren zur Verfü-
gung steht. Diese Einschätzung ist offensichtlich weit verbreitet, und so hat E
0
außerhalb von Bluetooth bisher keine Bedeutung erlangt.
Innerhalb von Bluetooth ist E
0
allerdings gesetzt und daher nicht zu vermei-
den. Zum Glück sind die bisher entdeckten Schwachstellen noch nicht praxisrele-
vant, da sie einen zu großen Aufwand oder unrealistisch große Mengen an Bit aus
dem Zufallsstrom erfordern. Auch der Angriff von Lu, Meier und Vaudenay fällt
in diese Kategorie, wenn Alice und Bob den Schlüssel
K
oft genug wechseln.
Bleibt also zu hoffen, dass die bisher bekannten Angriffe in den nächsten Jahren
nicht verbessert werden.
