Symmetrische Verschlüsselung

Das DES-Verfahren

Entwickelt bei IBM im Auftrag der NSA.
Ziel: sicheres Verfahren für 10 - 15 Jahre im sensitiven, aber nicht hochgeheimen Bereich.
1977 NBS-Standard in USA.
Auf Hardware-Implementation optimiert.
DES-Chips: 0.5 bis 20 Mbit/sec.
Entwurfskriterien blieben geheim.
Algorithmus veröffentlicht.

Die Sicherheit des DES

Kein realistischer Angriff bekannt, der schneller als die vollständige Suche ist.
Schlüsselraum ist vergleichsweise klein (2 hoch 56).
Neuere Aufwandsabschätzung:
- Michael WIENER 1993: machbare Maschine für $ 1 Million; durchschnittliche Suchzeit 3.5 Stunden pro Schlüssel.
Einzige schnellere Methoden (unter praktisch nicht realistischen Annahmen über Kenntnisse des Angreifers):
- Differentielle Kryptoanalyse (BIHAM/ SHAMIR 1990),
- Lineare Kryptoanalyse (MATSUI 1993).

Theoretische Ergebnisse der Analysen:
DES war wahrscheinlich optimal gemacht:

wahrscheinlich keine »Falltür« eingebaut,
keine weitere Schwäche erkennbar,
Modifikationen im Algorithmus führen zur Schwächung,
unabhängige Teilschlüssel bringen keine Verstärkung.

Praktisches Ergebnis:

Der DES ist wegen seines zu kleinen Schlüsselraums heute nicht mehr als sicher zu betrachten!

Alternativen zum DES

Quellen für Verschlüsselungsverfahren

Achtung: Exportrestriktionen der USA erlauben nicht den Export in andere Länder (außer Kanada). Es gibt aber genügend Server in der freien Welt, z. B.:

ftp://ftp.uni-mainz.de/pub/FB/04/imsd/pom/Software
ftp://ftp.cert.dfn.de/pub/tools/crypt
ftp://ftp.informatik.uni-hamburg.de/pub/crypt
ftp://idea.sec.dsi.unimi.it/pub/security/crypt
ftp://ftp.ox.ac.uk/pub/crypto
ftp://ftp.funet.fi/pub/crypt
http://www.cs.hut.fi/ssh/crypto/ International Cryptographic Software Pages for Encryption, Decryption, Cryptanalysis, Steganography, and Related Methods

Die Verfahren liegen in der Regel als C-Programme im Quellcode vor.

Betriebsarten bei Blockverschlüsselung

Ein Blockverschlüsselungsverfahren ist eine Abbildung

f: M ---> C mit M = F₂^l, C = F₂^r

die also l-Bit-Blöcke auf r-Bit-Blöcke abbildet; normalerweise nimmt man dabei r = l an. Auf die explizite Indizierung der Abbildung mit einem Schlüssel k kann in diesem Zusammenhang verzichtet werden.

Klartexte sind in der Regel länger als ein Block. Sie werden dann in entsprechende Blöcke zerlegt und diese nach einem der folgenden Verfahren der Reihe nach verschlüsselt. (Der letzte Block muß dabei evtl. auf die benötigte Länge aufgefüllt werden - `Padding'.)

ECB = Electronic Code Book
CBC = Cipher Block Chaining
CFB = Cipher Feedback
OFB = Output Feedback

Vorlesung Datenschutz und Datensicherheit
Sommersemester 1996, Fachbereich Mathematik
Johannes-Gutenberg-Universität Mainz

Zurück zum Inhaltsverzeichnis

Autor: Klaus Pommerening, 6. Mai 1996; letzte Änderung: 23. September 1996

E-Mail an Pommerening@imsd.uni-mainz.de.