Rechnernetze
Home Nach oben Stichworte

Sicherheit des DES

Die Sicherheit des DES-Standards wird in erster Linie durch die Verknüpfung jedes einzelnen Bits des Klartextes mit allen Bits des Schlüssels sowie mit allen anderen Bits des Klartextes erreicht. Das Verfahren sollte also nach den in den vorhergehenden Kapiteln angestellten Überlegungen, und insbesondere wenn die CBC - und CFB- bzw. OFB-Varianten angewendet werden, sicher sein.

Die hauptsächlich für die Unsicherheit verantwortliche Eigenschaft des DES-Verfahrens liegt in der Begrenzung der Länge des Schlüssels auf 56 Bits, mit der lediglich eine Anzahl von 256, also etwa 72 Billiarden Schlüssel, gewählt werden können. Diese Zahl ist zwar so hoch, das ein Durchprobieren aller Schlüssel auf den ersten Blick unmöglich erscheint. Da aber Schlüsselwörter häufig der natürlichen Sprache entstammen, wird die Anzahl der Möglichkeiten drastisch verringert, so dass ein Angriff unter Verwendung sehr schneller Rechenanlagen durchaus Sinn macht. Es existieren Abschätzungen (Diffie, Hellman), die besagen, dass ein Spezialrechner mit 1 Millionen LSI-Chips alle 256 möglichen Schlüssel an einem Tag durchprobieren könnte. Die Kosten einer solchen Maschine würden sich auf etwa 20 Millionen US $ belaufen. Diese Abschätzungen wurden später auf 50 Millionen US $ und zwei Tage durchschnittlicher Suchzeit (Technologie aus dem Jahre 1980) erhöht. Aus diesem Grund existiert die Empfehlung, die Schlüssellänge auf 112 Bits zu verdoppeln; dieses entsprach auch der ursprünglichen Empfehlung von IBM, soll aber angeblich auf Druck des NBS geändert worden sein.

Erst im Jahre 1990 wurde durch Entwicklung neuer Analyse-Verfahren (differentielle und lineare Kryptoanalyse) gezeigt, dass DES auch gegen solche Verfahren sicher ist. Diese Verfahren, insbesondere die Differentielle Kryptoanalyse, war den Entwicklern des DES in den siebziger Jahren bekannt, aber nicht veröffentlicht worden. Hätte man die Entwurfsziele offen gelegt, so befürchtete man, auch die Differentielle Kryptoanalyse preiszugeben, obgleich sie damals einen gewissen "Wettbewerbsvorteil" gegenüber anderen Verfahren darstellte. Nach heutigem Wissenstand kann DES, soweit es nicht auf die Schlüssellänge ankommt, also offensichtlich als sicher eingestuft werden.

Bei Anwendung des ECB-Modus, sowie in einigen Fällen auch bei der Anwendung der Verschlüsselung nach dem CBC-Modus, können im Klartext vorkommende Muster zu entsprechenden Mustern im resultierenden Chiffretext führen, die dann den bereits erwähnten Angriffsmethoden der Kryptoanalytiker ausgesetzt sind. Die anderen Verfahren scheinen jedoch nach allen bekannten Veröffentlichungen ausreichend sicher zu sein.

Trotz häufig geäußerter Skepsis an der Sicherheit dieses Verfahrens ist es bis heute nicht gelungen, eine Regelmäßigkeit oder irgendeinen anderen möglichen Angriffspunkt für diese Chiffre zu finden. Es gibt somit keinen Grund, an der Sicherheit dieses Verfahrens zu zweifeln. Aufgrund der Blockchiffre, d.h. der festen Länge von 64 Bits, werden darüber hinaus häufig mehrfache Verschlüsselungen oder sich ständig ändernde Schlüssel, sowie komplexe Schlüsselübertragungsverfahren verwendet, die eine zusätzliche Sicherheit versprechen.