richt (Klartext) zu unlesbarem Chiffretext verschl¨ usselt wird und wie dieser verschl¨ ussel- te Text sp¨ ater mit dem gleichen Schl¨ ussel wieder in den lesbaren Originaltext entschl¨ us- selt wird. Die Sicherheit solch eines symmetrischen Algorithmus liegt dabei verst¨ andli- cherweise in der Geheimhaltung des Schl¨ ussels. Jeder, der den Schl¨ ussel besitzt, kann die verschl¨ usselte Nachricht entschl¨ usseln. Sollen Ver- und Entschl¨ usselung beispielswei- se von unterschiedlichen Personen an unterschiedlichen Orten durchgef¨ uhrt werden, so muss ein sicherer Kanal (Bote, pers¨ onliches Gespr¨ ach, . . . ) gefunden werden, ¨ uber den der geheime Schl¨ ussel ausgetauscht werden kann.

Da aber gerade der Transport eines Schl¨ ussels ein nicht zu untersch¨ atzendes Sicher- heitsrisiko darstellt, sind in den letzten zehn Jahren asymmetrische Algorithmen mit ¨ offentlichem Schl¨ ussel (public key) zur Bl¨ ute gelangt, bei denen die Verschl¨ usselung mit einem ¨ offentlichen, f¨ ur jedermann zug¨ anglichen Schl¨ ussel erfolgt, w¨ ahrend zur Ent- schl¨ usselung ein privater geheimer Schl¨ ussel verwendet wird, der sich nat¨ urlich nicht, oder nur mit unvertretbar hohem Aufwand, aus dem ¨ offentlichen Schl¨ ussel berechnen l¨ asst. Solche Public-Key-Algorithmen klinken sich mittlerweile recht nahtlos und trans- parent beispielsweise in g¨ angige E-Mail-Programme ein; das Ver- bzw. Entschl¨ usseln einer E-Mail geschieht mit Plug-ins wie PGP (Pretty Good Privacy) kraft eines einzigen Mausklicks [1].

Wenn nun also die Sicherheit einer Chiffrierung ausschließlich von der Geheimhaltung des Schl¨ ussels abh¨ angt, macht es auf der anderen Seite nat¨ urlich Sinn, den Algorithmus selbst m¨ oglichst breit zu ver¨ offentlichen, um m¨ oglichst vielen Experten die M¨ oglichkeit zu geben, m¨ oglichst viele Fehler und Schwachstellen m¨ oglichst schnell zu finden und aus- zumerzen. Aus diesem Grund ver¨ offentlichte das amerikanische NBS (National Bureau of Standards) schon im Jahre 1975 die Einzelheiten des DES (Data Encryption Stan- dard), der, nach ein paar turbulenten Workshops, zwei Jahre sp¨ ater als Bundesstandard anerkannt wurde und seitdem einen unglaublichen weltweiten Siegeszug in unz¨ ahligen kryptographischen Anwendungen gefeiert hat.

Erst mit den in der letzten Dekade entwickelten Verfahren der differenziellen und linea- ren Kryptanalyse, die sich außerdem noch der sich nach dem Moore’schen Gesetz alle

18 Monate verdoppelnden Rechenleistung bedienen durften, konnte der DES endg¨ ultig

von seinem Thron gest¨ urzt werden. Einem Algorithmus, der heute mit handels¨ ublicher Hardware in ein paar Stunden geknackt werden kann, vertraut man eben vielleicht doch nicht unbedingt gerne sein Bankguthaben oder das Leben seiner Soldaten an.

2 Analytisch Effektiv Sicher

Einen weiteren unangenehmen Beigeschmack erzeugte von Anbeginn an die Tatsache, dass im DES Transformationstabellen (die so genannten S-Boxes) verwendet werden, die in einer geheimen Zusammenarbeit von IBM und der NSA (National Security Agency)

2

3 Jetzt geht’s rund

entwickelt wurden und die zwar willk¨ urlich und zuf¨ allig aussehen, die aber nach Aussage vieler Kryptanalytiker sehr sorgf¨ altig konstruiert wurden; m¨ oglicherweise mit dem nicht ganz uneigenn¨ utzigen Ziel, den DES durch eine ” Hintert¨ ur“ leichter knacken zu k¨ onnen.

Dies war die Geburtsstunde des designierten DES-Nachfolgers: Am 26. November 2001 ver¨ offentlichte das NIST (National Institute of Standards and Technology) die Spezifi- kation des AES (Advanced Encryption Standard) [2]; verbunden mit der berechtigten Hoffnung, dass der AES am großen Erfolg seines Vorg¨ angers ankn¨ upfen und in den kom- menden zwanzig Jahren seinen Weg in die meisten Telefone, Chipkarten, Festplatten, Neokorteximplantate, . . . finden wird.

Der AES ist, genau wie sein Wegbereiter, ein Blockalgorithmus; der zu verschl¨ usselnde Klartext wird also in Bl¨ ocke von jeweils 128 Bits unterteilt, was bei acht Bits pro Byte bedeutet, dass immer 16 Zeichen (Bytes) gleichzeitig verarbeitet werden. Dazu werden die Zeichen, wie in Abbildung 2 dargestellt, in einem ersten Schritt spaltenweise in die so genannte Zustandsmatrix einsortiert.

3 Jetzt geht’s rund

Die Zustandsmatrix wird dann bei der Verschl¨ usselung in insgesamt elf Runden un- ter Benutzung des Schl¨ ussels und der wiederholten Anwendung verschiedener Transfor- mationen so gr¨ undlich verunstaltet, dass das analytische R¨ uckrechnen zur Originalzu- standsmatrix, ohne Kenntnis des Schl¨ ussels, von allen Kryptanalytikern (momentan) als unm¨ oglich bezeichnet wird:

3

4 1 + 1 = 0

% Erste Runde

state = add_round_key (state, round_key)

% Runde 2 bis Runde 10

for i_round = 2 : 10 state = sub_bytes (state, s_box) state = shift_rows (state) state = mix_columns (state, poly_mat) state = add_round_key (state, round_key) end

% Letzte Runde

state = sub_bytes (state, s_box) state = shift_rows (state) state = add_round_key (state, round_key)

Tabelle 1: Die Verschl¨ usselung geschieht in elf Runden

Auch was einen Brute-Force-Angriff anbelangt, also mal schnell alle m¨ oglichen Schl¨ ussel auszuprobieren, haben Joan Daemen und Vincent Rijmen [3] aus dem ¨

Arger mit der kurzen Schl¨ ussell¨ ange (56 Bit) des DES gelernt. Das NIST meint zu diesem Thema: Assuming that one could build a machine that could recover a DES key

”

keys per second), then it would take that machine approximately 149 thousand-billion (149 trillion) years to crack a 128-bit

AES key. To put that into perspective, the universe is believed to be less

than 20 billion years old.“ Um auch f¨ ur die n¨ achsten Technologiesch¨ ube gewappnet zu sein, wurden sogar noch Va- rianten des AES mit 192 und 256 Bits definiert. Ob diese dann allerdings auch Quanten- rechnern widerstehen, die alle Schl¨ ussel gleichzeitig testen oder riesigen ” Think-tanks“, in denen Myriaden von genmanipulierten Cracker-Bakterien ihren Lebenssinn darin sehen, die in ihren Erbanlagen individuell abgelegten Schl¨ ussel an Kryptofutter zu versuchen, mag die Zukunft zeigen.

4 1 + 1 = 0

Die erste Verschl¨ usselungsrunde besteht, wie in Tabelle 1 dargestellt, nur aus einer ” Ad- dition“ (add_round_key) der aktuellen Zustandsmatrix (state) und des aus dem Schl¨ us- sel abgeleiteten ersten Rundenschl¨ ussel (round_key), bei dem es sich ebenfalls um eine

4-Matrix handelt. Da die im AES verarbeiteten Bytes aber, wie in Kapitel 11 erl¨ au-

tert, als Elemente eines Galois-Feldes aufgefasst werden, muss anstelle einer ” normalen“