Cryptography Reference
In-Depth Information
DES zum wichtigsten aller Verschlüsselungsverfahren und zum Vorbild zahlrei-
cher anderer Chiffren. Der Sieger des ersten Algorithmen-Wettbewerbs erwies
sich damit allen anfänglichen Zweifeln zum Trotz als würdig.
18.5.2
Der AES-Wettbewerb
Angesichts der hohen Qualität des DES konnte sich das NBS (das zwischenzeit-
lich in NIST umbenannt wurde) mit dem nächsten Wettbewerb fast 25 Jahre Zeit
lassen. Erst 1997 gab es ernsthafte Bestrebungen, einen neuen Verschlüsselungs-
standard zu finden. Dieser sollte AES (Advanced Encryption Standard) genannt
und im Rahmen eines Mitte 1998 gestarteten Wettbewerbs gefunden werden.
Wer teilnehmen wollte, musste eine vollständig dokumentierte Blockchiffre mit
Referenzimplementierung einreichen, die für Hard- und Software gleichermaßen
geeignet und frei von Patentrechten war. Das Verfahren sollte drei unterschiedli-
che Schlüssellängen (128 Bit, 192 Bit und 256 Bit) erlauben. Die Länge eines
Blocks wurde vom NIST auf 128 Bit festgelegt (also doppelt so groß wie beim
DES). Zum Auftakt des AES-Wettbewerbs überprüfte das NIST lediglich formale
Kriterien. Am 20. August 1998 veröffentlichte der Veranstalter eine Liste von 15
Verfahren, die diese erfüllten und damit für den eigentlichen Wettbewerb zugelas-
sen wurden. Diese 15 Verfahren wurden fortan als AES-Kandidaten bezeichnet.
Die erste Runde
Bis Mitte 1999 wählte das NIST auf Basis von Expertenmeinungen die fünf bes-
ten Algorithmen aus den 15 AES-Kandidaten aus. Diese kamen in die zweite
Runde und damit in die Endauswahl. Es handelte sich dabei um die Verfahren
Twofish, MARS, Serpent, RC6 und Rijndael. Die restlichen zehn Verfahren muss-
ten sich aus dem Wettbewerb verabschieden. Fünf davon traf die Höchststrafe:
Sie wurden wegen ernst zu nehmenden Sicherheitslücken aussortiert. Zwar ist bis
heute kein Angriff auf eines der Verfahren bekannt, der sich in der Praxis nutzen
ließe, doch die Anforderungen in der Kryptografie sind nun einmal hart - alles,
was besser ist als die vollständige Schlüsselsuche, gilt als Schwäche. Hier die Liste
der Unsicheren:
■
LOKI97
: Diese Feistel-Chiffre mit 16 Runden zählte zu den größten Enttäu-
schungen des AES-Wettbewerbs [BroPip]. Obwohl mit Jennifer Seberry und
Josef Pieprzyk zwei namhafte Kryptografen an der Entwicklung mitgewirkt
hatten, zeigten sich bei der Sicherheit einige Schwächen. Mit linearer Krypto-
analyse gelang eine Known-Plaintext-Attacke mit 2
56
Klartextblöcken.
■
FROG
: Auch dieses Verfahren kann per linearer Kryptoanalyse mit einer
Known-Plaintext-Attacke mit 2
56
Klartextblöcken gebrochen werden [GeLeCh].
Die Performanz erwies sich ebenfalls als nicht berauschend.
