2a. Kryptographische Basistechniken
Das DES-Verfahren
[DES = Data Encryption Standard]
- Entwickelt bei IBM im Auftrag der NSA.
- Ziel: sicheres Verfahren für 10 - 15 Jahre im sensiblen,
aber nicht hochgeheimen Bereich.
- 1977 NBS-Standard in USA (dabei Schlüssellänge von 128 auf 56
reduziert).
- Auf Hardware-Implementation optimiert.
- DES-Chips: 1 Mbit/sec bis 1 Gbit/sec.
- Entwurfskriterien blieben geheim.
- Algorithmus veröffentlicht.
Die Sicherheit des DES
- Kein realistischer Angriff bekannt, der schneller als die vollständige
Suche ist (der DES ist also ein »starkes Verfahren«).
- Schlüsselraum ist vergleichsweise klein (256
Schlüssel) - vollständige Suche ist möglich.
- Aufwandsabschätzung:
- Michael WIENER 1993: machbare Maschine für $ 1 Million;
durchschnittliche Suchzeit 3.5 Stunden pro Schlüssel.
- 2004 ca. um Faktor 40 schneller.
- DES seit 1998 mehrfach gebrochen (DES Challenges von RSA).
- Effizientere kryptoanalytische Methoden (unter praktisch nicht
realistischen Annahmen über Klartext-Kenntnisse des Angreifers):
- Differenzielle Kryptoanalyse (BIHAM/ SHAMIR 1990),
- Lineare Kryptoanalyse (MATSUI 1993).
Theoretische Ergebnisse der Analysen:
DES war wahrscheinlich optimal gemacht -
- wahrscheinlich keine »Hintertür« eingebaut,
- keine weitere Schwäche erkennbar,
- Modifikationen im Algorithmus führen zur Schwächung,
- unabhängige Teilschlüssel bringen keine Verstärkung.
Der DES ist nur wegen seines zu kleinen
Schlüsselraums heute nicht mehr als sicher zu betrachten!
Alternativen zum DES
- Triple-DES: c = E3(D2(E1(m))) -
bzw. 2-Key-3DES: c = E1(D2(E1(m))).
- Schlüssellänge 112 bzw. 168 Bit,
- keine Schwäche bekannt,
- mit gewöhnlichem DES kompatibel
(k1 = k2 = k3),
- etwas langsam.
- FEAL (Fast data Encipherment ALgorithm) -
Nippon Telegraph and Telephone Corporation 1987;
- anfällig gegen differenzielle Kryptoanalyse.
- IDEA (International Data Encryption Algorithm) - Lai/Massey,
ETH Zürich, 1990
- bisher sicher, Schlüssellänge 128 Bit,
effizient in Hard- und Software,
- in alten PGP-Versionen,
- wegen Lizensierungsforderung ins Abseits geraten.
- RC4 (Ron's Cipher) - Ronald Rivest, RSADS Inc., 1987,
- Schlüssellänge 1 - 2048 Bit.
- In SSL (und Web-Browsern) enthalten.
- Achtung: 40-Bit-»Export-Version« unsicher!
[Es gibt auch RC2, RC5, RC6. RC5-64 wurde 2002 gebrochen.]
- Blowfish (Bruce Schneier)
- in neueren PGP-Versionen.
- CAST
- in neueren PGP-Versionen.
- die meisten AES-Kandidaten, insbesondere alle AES-Finalisten.
Vorlesung Datenschutz und Datensicherheit
Autor: Klaus Pommerening, 31. März 1999;
letzte Änderung: 8. Juni 2004
E-Mail an Pommerening »AT« imbei.uni-mainz.de.