Cryptography Reference
In-Depth Information
19.1.5
Counter-Modus
Der
Counter-Modus
(
CTR
) ist der Shooting-Star unter den Betriebsarten. Es gibt
ihn zwar schon seit den siebziger Jahren, doch erst in den letzten Jahren ist er
richtig populär geworden und hat Einzug in verschiedene Standards gehalten.
Viele Kryptografen geben dem Counter-Modus heute den Vorzug gegenüber den
anderen vier beschriebenen Betriebsarten. Der Counter-Modus funktioniert in
der einfachsten Form so (die Variable
z
i
wird Zähler genannt):
1.
Alice nimmt einen Initialisierungsvektor
z
0
und verschlüsselt ihn. Das Ergeb-
nis der Verschlüsselung addiert sie zum ersten Klartextblock (Exklusiv-oder-
Verknüpfung) und erhält so den ersten Geheimtextblock.
2.
Alice verschlüsselt
z
1
=
z
0
+1, addiert das Ergebnis zum zweiten Klartextblock
(Exklusiv-oder-Verknüpfung) und erhält so den zweiten Geheimtextblock.
3.
Alice verschlüsselt
z
2
=z
1
+1, addiert das Ergebnis zum dritten Klartextblock
(Exklusiv-oder-Verknüpfung) und erhält so den dritten Geheimtextblock.
4.
usw.
Mit anderen Worten: Alice zählt den Zähler hoch, verschlüsselt ihn jeweils und
verknüpft das Ergebnis mit dem Klartext. Anstatt den Zähler jeweils um 1 zu
erhöhen, kann Alice auch eine andere Schrittweite wählen (oder ein anderes
Rechenverfahren, beispielsweise eine Multiplikation). Alice und Bob müssen den
Zähler nicht geheim halten. Wichtig ist dagegen, dass die beiden bei gleichem
Schlüssel nie einen Zähler doppelt verwenden, da Mallory ansonsten durch eine
Exklusiv-oder-Verknüpfung der beiden Geheimtextblöcke eine Exklusiv-oder-
Verknüpfung der Klartextblöcke erhält (ähnlich wie bei einer Stromchiffre, bei
der kein Schlüssel doppelt zum Einsatz kommen darf).
In der Praxis wird meist eine Variation des Counter-Modus eingesetzt, die
einen dreiteiligen Initialisierungsvektor vorsieht. Ist der Zähler eine 128-Bit-
Zahl, dann besteht der Initialisierungsvektor beispielsweise aus einer Nachrich-
tennummer (56 Bit), einem Zufallswert (16 Bit) und 56 Null-Bits. Die Schritt-
weite beim Hochzählen beträgt 1. In dieser Konfiguration können Alice und Bob
2
56
Nachrichten verschlüsseln, die jeweils bis zu 2
56
Blöcke lang sind, ohne dass
sich ein Zähler wiederholt. Dies sollte für die Praxis (und bis zum nächsten
Schlüsselwechsel) ausreichen. Der CTR-Modus hat viele Vorteile: Er ist auch für
kleine Blocklängen geeignet und benötigt nur die Verschlüsselungsfunktion (nicht
aber die Entschlüsselungsfunktion) des verwendeten Algorithmus. Im Gegensatz
zu CBC, OFB und CFB lässt sich CTR parallelisieren, und jeder Block lässt sich
unabhängig von den anderen ver- bzw. entschlüsseln. So gesehen ist es offensicht-
lich, warum der CTR-Modus bei Experten so beliebt ist. Der einzige Nachteil:
Alice und Bob müssen besonders aufpassen, dass sie keinen Zähler doppelt ver-
wenden.
