Skip to content

Verfahren der Kryptographie, Teil 3: Sicherheit und Verbesserung des Data Encryption Standard (DES)

Geschrieben von Carsten Eilers am um 09:53

Bei einem Brute-Force-Angriff werden alle möglichen Schlüssel, 256 = ca. 72 Billiarden, ausprobiert. Dies ist inzwischen in weniger als einem Tag machbar, siehe die Geschichte von DES. Außerdem sind drei weitere mögliche Angriffe gegen DES bekannt, die in der Praxis aber kaum relevant sind:

  • Die bereits erwähnte differentielle Kryptanalyse, bei der die Auswirkung von minimalen Änderungen am Klartext auf den Geheimtext untersucht werden, wird von den S-Boxen erschwert. Daher ist differentielle Kryptanalyse nicht schneller als ein Brute-Force-Angriff, außerdem werden für den Angriff große Mengen "Choosen Plaintext" benötigt, der Angreifer muss als entweder sein Opfer Texte seiner Wahl verschlüsseln lassen oder den Klartext eines Teils der Schlüsseltexte kennen.
  • Lineare Kryptanalyse, eines der modernsten kryptanalytischen Verfahren, wurde von Mitsuru Matsui entwickelt, der 1993 ("The first experimental cryptanalysis of the data encryption standard", Advances in Cryptology - CRYPTO 1994, auf Google Books) und 1994 ("Linear cryptanalysis method for DES cipher", Advances in Cryptology - EUROCRYPT 1993, Download als PDF) Analysen von DES veröffentlichte. Die Lineare Kryptanalyse liefert bessere Ergebnisse, der Ansatz von Mitsuru Matsui ist aber auf eine große Menge bekannten Klartexts ("Known Plaintext") angewiesen.
  • Während differentielle und lineare Kryptanalyse gegen verschiedene Verschüsselungen eingesetzt werden können, kann ein von Donald Davies entwickelter Angriff, "Davies' attack", nur gegen DES eingesetzt werden. Auch diese Angriff ist auf "Known Plaintext" angewiesen, allerdings etwas weniger als die anderen Verfahren.

Aber die Angriffe auf DES über Kryptanalyse sind heute nur noch von akademischen Interesse, eine Verbesserung der Analyse ist vielleicht auch in anderen Fällen hilfreich. Für einen Angreifer sind diese Verfahren uninteressant, denn warum sollte er sich die Mühe einer Analyse machen, wenn er mit Brute Force innerhalb eines Tages ans Ziel kommt?

Aus DES wird 3DES

Um die Sicherheit des DES-Algorithmus zu erhöhen, wurde er zu 3DES (auch Triple-DES genannt) erweitert: Jeder Datenblock B wird zuerst mit DES mit dem Schlüssel K1 chiffriert, dann mit K2 dechiffriert und abschließend mit K3 erneut chiffriert.

Ist DES(K, B) die Verschlüsselung des Klartextblocks B durch DES mit dem Schlüssel K und DES-1(K, B) die Entschlüsselung, dann ergibt sich für die Verschlüsselung mit 3DES:

3DES(K1, K2,K3, B) = DES(K3, DES-1(K2, DES(K1, B) ) )

Die Entschlüsselung mit 3DES läuft analog in umgekehrter Reihenfolge ab:

3DES-1(K1, K2,K3, B) = DES-1(K1, DES(K2, DES-1(K3, B) ) ).

Für die Bildung der Teilschlüssel K1, K2 und K3 wurden folgende Möglichkeiten spezifiziert:

  1. K1, K2 und K3 sind unabhängige Schlüssel
  2. K1 und K2 sind unabhängige Schlüssel und K3 = K1
  3. K1 = K2 = K3

Das Verfahren wurde in den USA in ANSI X9.52 und FIPS PUB 46-3 (PDF, am 19. Mai 2005 zurückgezogen und nur noch zur Dokumentation online) genormt und in der NIST Special Publication 800-67 (PDF) beschrieben. Im Oktober 2000 wurde DES durch seinen Nachfolger, den Advanced Encryption Standard (AES), offiziell abgelöst. 3DES ist in den USA nach wie vor standardisiert und parallel zu AES zur Verwendung zugelassen.

In der nächsten Folge werden einige Beispiele für die Verwendung von DES dokumentiert.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Kryptographie - Ein Überblick

Vorschau anzeigen
Die Kryptographie ist ein ein sehr umfangreiches Themengebiet, und obwohl ich mich jetzt seit 30 Artikeln damit befasst habe sind längst nicht alle Themen vorgestellt worden. Aber zumindest die wichtigsten habe ich beschrieben, und damit soll e