Cryptography Reference
In-Depth Information
19.1
Betriebsarten von Blockchiffren
Das Verschlüsseln einer Nachricht mit einem symmetrischen Verfahren (beispiels-
weise dem AES) gehört für Alice und Bob zu den einfachsten Übungen. Doch
selbst diesen simplen Vorgang gibt es in mehreren Varianten. Eine solche Variante
wird als
Betriebsart
bezeichnet. Die fünf wichtigsten Betriebsarten für symme-
trische Verfahren schauen wir uns im Folgenden an. Diese Betrachtungen gelten
allerdings zunächst nur für Blockchiffren. Für Stromchiffren gibt es deutlich weni-
ger Variationsmöglichkeiten, worauf ich am Ende dieses Unterkapitels kurz einge-
hen werde. Wir gehen in den folgenden Betrachtungen immer von einer Blockchif-
fre aus, die Blöcke der Länge 128 Bit verarbeitet (der AES ist ein Beispiel dafür).
Alle Überlegungen lassen sich problemlos auf andere Blocklängen übertragen.
19.1.1
Electronic-Codebook-Modus
Bei der Verwendung symmetrischer Verschlüsselungsverfahren sind wir bisher
von folgender Verwendungsweise ausgegangen: Wenn Alice eine Nachricht an
Bob verschlüsselt, dann teilt sie diese in Blöcke der Länge 128 Bit auf und wendet
das Verfahren auf jeden Block einzeln an. Diese Methode ist die einfachste aller
Betriebsarten und wird
Electronic-Codebook-Modus
(ECB) genannt. Der Name
rührt daher, dass Alice theoretisch für jeden Schlüssel ein Codebuch (siehe
Abschnitt 4.2.5) anfertigen könnte, in dem für jeden möglichen Klartextblock
(davon gibt es 2
128
) der zugehörige Geheimtextblock aufgeführt ist. Dies ist (in
der Theorie) möglich, weil ein Verschlüsselungsverfahren im ECB-Modus mono-
alphabetisch ist. Als mathematische Formel geschrieben sieht der ECB-Modus
wie folgt aus (
i
ist die Blocknummer,
m
i
der Klartext,
c
i
der Geheimtext,
k
der
Schlüssel und
E
die Verschlüsselungsfunktion):
c
i
=
E
k
(
m
i
)
Der ECB-Modus ist zwar die einfachste, aber sicherlich nicht die beste Betriebs-
art. Die Tatsache, dass der ECB-Modus theoretisch eine Häufigkeitsanalyse
erlaubt (wie jede monoalphabetische Chiffre), ist einer davon. Allerdings gibt es
bei 128 Bit Blocklänge schlichtweg zu viele Geheimtexte, um eine praktisch ver-
wertbare Statistik anzufertigen. Sehr wohl von praktischer Relevanz sind dage-
gen folgende Nachteile:
■
Mallory kann bei einer ECB-verschlüsselten Nachricht Blöcke herausnehmen
oder die Reihenfolge verändern, ohne dass Alice es merkt. Er kann auch die
Blöcke verschiedener Nachrichten zusammenwürfeln. Je nach Anwendung
können sich dadurch merkwürdige Effekte ergeben.
■
Gleiche Klartextblöcke ergeben im ECB-Modus bei gleichem Schlüssel stets
gleiche Geheimtextblöcke. Dies ist beispielsweise ein Nachteil, wenn (wie bei
den Betriebssystemen Unix oder Windows) Passwortlisten verschlüsselt wer-
