Cheese
31.07.2009, 17:06
http://www.heise.de/newsticker/Einschlaege-bei-AES-256-kommen-naeher--/meldung/142899
Kryptologen haben verbesserte Angriffe das Verschlüsselungssystem AES entwickelt. Dem Team aus Alex Biryukov, Orr Dunkelman, Nathan Keller, Dmitry Khovratovich und Adi Shamir ist es laut dem Kryptoexperten Bruce Schneier gelungen, reduzierte Varianten von AES-256 in praktikabler Zeit zu knacken. Der Angriff gegen AES-256 mit neun Runden benötigt Zeit in der Größenordnung 239, die selbst ein regulärer PC bewältigen kann, und mit zehn Runden 245. Der Zeitaufwand gegen elf Runden liegt mit 270 jedoch knapp oberhalb der Durchführbarkeit. Die ausgenutzte Schwäche befindet sich in der Funktion, mit der AES-256 aus dem Hauptschlüssel die Rundenschlüssel ableitet, dem sogenannten Key Schedule.
Anzeige
Die neuen Angriffe bedeuten einen wesentlichen Fortschritt bei der Kryptanalyse von AES, doch ungefährlich für in der Praxis verwendete AES-Verschlüsselung sind sie nicht nur wegen der reduzierten Rundenzahl. AES-256 verwendet standardmäßig 14 Runden. Es handelt sich auch um sogenannte Related-Key-Angriffe, was bedeutet, dass der Angreifer den Klartext zu mehreren Chiffraten kennen muss, deren Schlüssel auf bestimmte Weise in Verbindung stehen. Solche Szenarien sind theoretisch lediglich etwa bei Fesplattenverschlüsselungen oder Netzwerkprotokollen anzutreffen, die die einzelnen Blockschlüssel auf eine entsprechende, schwache Art erzeugen.
Auf den ersten Blick widersprüchlich erscheint die Tatsache, dass AES-128 mit den kürzesten Schlüsseln mit den neuen Methoden nicht beziehungsweise nur unwesentlich angreifbar ist. Der Grund: Längere Schlüssel bieten den Kryptologen mehr "Angriffsfläche", also mehr Bits, unter denen mathematischen Beziehungen zu Tage treten können. Schneier schlägt vor, die Rundenzahlen anzuheben, bevor die ersten praktikablen Angriffe in die Region der Standardrunden aufsteigen: bei AES-128 von zehn auf 16, bei AES-192 von zwölf auf 20 und bei AES-256 von 14 auf 28. Das verlangsamt die Verschlüsselung allerdings erheblich. Eine simplere Möglichkeit ist, AES mit demselben Schlüssel zweimal auf die Daten anzuwenden, was bei halber Geschwindigkeit die Rundenzahl ebenfalls effektiv verdoppelt.
Kryptologen haben verbesserte Angriffe das Verschlüsselungssystem AES entwickelt. Dem Team aus Alex Biryukov, Orr Dunkelman, Nathan Keller, Dmitry Khovratovich und Adi Shamir ist es laut dem Kryptoexperten Bruce Schneier gelungen, reduzierte Varianten von AES-256 in praktikabler Zeit zu knacken. Der Angriff gegen AES-256 mit neun Runden benötigt Zeit in der Größenordnung 239, die selbst ein regulärer PC bewältigen kann, und mit zehn Runden 245. Der Zeitaufwand gegen elf Runden liegt mit 270 jedoch knapp oberhalb der Durchführbarkeit. Die ausgenutzte Schwäche befindet sich in der Funktion, mit der AES-256 aus dem Hauptschlüssel die Rundenschlüssel ableitet, dem sogenannten Key Schedule.
Anzeige
Die neuen Angriffe bedeuten einen wesentlichen Fortschritt bei der Kryptanalyse von AES, doch ungefährlich für in der Praxis verwendete AES-Verschlüsselung sind sie nicht nur wegen der reduzierten Rundenzahl. AES-256 verwendet standardmäßig 14 Runden. Es handelt sich auch um sogenannte Related-Key-Angriffe, was bedeutet, dass der Angreifer den Klartext zu mehreren Chiffraten kennen muss, deren Schlüssel auf bestimmte Weise in Verbindung stehen. Solche Szenarien sind theoretisch lediglich etwa bei Fesplattenverschlüsselungen oder Netzwerkprotokollen anzutreffen, die die einzelnen Blockschlüssel auf eine entsprechende, schwache Art erzeugen.
Auf den ersten Blick widersprüchlich erscheint die Tatsache, dass AES-128 mit den kürzesten Schlüsseln mit den neuen Methoden nicht beziehungsweise nur unwesentlich angreifbar ist. Der Grund: Längere Schlüssel bieten den Kryptologen mehr "Angriffsfläche", also mehr Bits, unter denen mathematischen Beziehungen zu Tage treten können. Schneier schlägt vor, die Rundenzahlen anzuheben, bevor die ersten praktikablen Angriffe in die Region der Standardrunden aufsteigen: bei AES-128 von zehn auf 16, bei AES-192 von zwölf auf 20 und bei AES-256 von 14 auf 28. Das verlangsamt die Verschlüsselung allerdings erheblich. Eine simplere Möglichkeit ist, AES mit demselben Schlüssel zweimal auf die Daten anzuwenden, was bei halber Geschwindigkeit die Rundenzahl ebenfalls effektiv verdoppelt.