| Sicherheit des DES-Verfahrens
| Verknüpfung jedes
einzelnen Bits des Klartextes mit allen Bits des Schlüssels |
| mit allen anderen Bits
des Klartextes |
| Verfahren sollte sicher sein
| insbesondere bei CBC - und CFB- bzw. OFB-Varianten |
|
|
| Unsicherheit
| Begrenzung der Länge des Schlüssels auf 56 Bits |
| lediglich 256 Schlüssel, 72 Billiarden |
| Durchprobieren aller Schlüssel auf ersten Blick
unmöglich |
| Schlüsselwörter häufig der natürlichen Sprache
entstammen, |
| Anzahl der Möglichkeiten drastisch verringert, |
| ein Angriff mit sehr schnellen Rechenanlagen sinnvoll |
|
Abschätzungen (Diffie, Hellman)
| Spezialrechner 1 Millionen
LSI-Chips 256 an einem Tag alle Schlüssel durchprobieren |
| Kosten etwa 20 Millionen US $ |
| später auf 50 Millionen US $ und zwei Tage
erhöht
(Technologie aus dem Jahre 1980) |
| Empfehlung, Schlüssellänge auf 112 Bits zu verdoppeln; |
|
entsprach auch der ursprünglichen Empfehlung von IBM, |
| soll angeblich auf Druck des
NBS geändert worden sein. |
|
|
| Jahre 1990
| Entwicklung neuer Analyse-Verfahren
| differentielle und lineare Kryptoanalyse |
|
| DES auch gegen solche
Verfahren sicher |
| Differentielle Kryptoanalyse war Entwicklern des DES bekannt, |
|
nicht veröffentlicht |
| Nach heutigem Wissenstand kann DES sicher (außer
Schlüssellänge) |
|
| Bei ECB-Modus, CBC-Modus
| im Klartext vorkommende Muster zu
entsprechenden Mustern im resultierenden Chiffretext |
|
erwähnten Angriffsmethoden der Kryptoanalytiker ausgesetzt |
| andere Verfahren ausreichend sicher |
|
| häufig geäußerte Skepsis an Sicherheit des DES
| bis heute keine Regelmäßigkeit/Angriffspunkt
gefunden |
| kein Grund an Sicherheit zu zweifeln |
|
| Wegen Blockchiffre
| mehrfache Verschlüsselungen |
| sich ständig ändernde Schlüssel |
| komplexe Schlüsselübertragungsverfahren |
|