[Chaos CD]
[Datenschleuder] [26]    Privater Nachrichtenschutz mit PC-DES
[Gescannte Version] [ -- ] [ ++ ] [Suchen]  

 

Privater Nachrichtenschutz mit PC-DES

Grundsätzliches

Das Briefgeheimnis sowie das Post- und Fernmeldegeheimnis sind unverletzlich
(Artikel 10 Absatz 1 des Grundgesetzes)

Nach dem Grundgesetz steht also allen Menschen das Recht zu, ihre privaten Nachrichten vor dem Einblick Dritter zu schützen. Die Verwendung der Verschlüsselungsmethoden für die Nachrichtenübermittlung ist seit den 60er Jahren dank der technischen Entwicklung eine einfach zu handhabende Sache , die es allen Menschen erlaubt, ihre informationelle Selbstbestimmung selbst wahrzunehmen.

Darüber hinaus besteht ein allgemeiner Bedarf für die Verschlüsselung der Nachrichteninhalte. Verfahren hierfür sind bekannt. Da im ISDN auch die Sprache in digitaler Form vorliegt, bietet sich auch eine durchgehende Verschlüsselung von Teilnehmer zu Teilnehmer an. Aufgrund von Bedarfsanalysen geht die Deutsche Bundespost davon aus, daß die Verfahren als öffentlicher Verschlüsselungsdienst im Sinne zusätzlicher Leistungsmerkmale des Fernmeldedienstes zu realisieren sind. Schon jetzt bestehende Möglichkeiten, private Verschlüsselungstechniken einzusetzen, bleiben davon unberührt. (net special, Oktober 1985, Seite 104)

Die Bundespost erlaubt auch im ISDN die Verschlüsselung übermittelter Daten,wenn der dabei in Anspruch genommene Dienst nicht die Verschlüsselung der Texte verbietet (z.B. Telex-Dienst; nach §§ 5, 16, 17 TKO nur die Klartextweitergabe erlaubt). Die Datenfernübertragung zwischen Computern über den integrierten DATEX-P-Dienst erlaubt Verschlüsselung.

Die, Strafprozeßordnung (§ 100 StPO) bestimmt, daß der Richter und, bei Gefahr im Verzuge, auch der Staatsanwalt die "Überwachung und die Aufnahme des Fernmeldeverkehrs auf Tonträger“ anordnen können. "Auf Grund der Anordnung hat die Deutsche Bundespost dem Richter, dem Staatsanwalt und ihren im Polizeidienst tätigen Hilfsbeamten das Abhören des Fernsprechverkehrs und das Mitlesen des Fernschreibverkehrs zu ermöglichen.“,§ 100b (3) StPO

Das Gesetz zu Art. 10 Grundgesetz G 10 berechtigt unter bestimmten Voraussetzungen die Verfassungsschutzbehörden des Bundes und der Länder, das Amt für Sicherheit der Bundeswehr und den Bundesnachrichtendienst dazu, dem Brief-, Post- und Fernmeldegeheimnis unterliegende Sendungen zu öffnen und einzusehen, sowie den Fernschreibverkehr mitzulesen, den Fernmeldeverkehr abzuhören und auf Tonträger aufzunehmen. Art. 1 $ 1 (1) G10
(aus DuD-Fachbeiträge 6, Karl Rihaczek, Datenverschlüsselung in Kommunikationssystemen - Möglichkeiten und Bedürfnisse - Vieweg 1984, Seite 249) Hervorhebungen ds-red

Allgemeine Informationen zum DES

Der DES (Data Encryption Standard) ist ein Verschlüsselungsalgorithmus, der von IBM aus einem anderen Chiffrieralgorithmus, dem sogenannten LUCIFER - Algorithmus, entwickelt wurde. Dieser ebenfalls von IBM entwickelte Umsetzungsalgorithmus war als ein BlockChiffre konzipiert worden und arbeitete mit einer Schlüssellänge von 128 Bit. Für den DES wurde die Länge des Schlüssels auf 56 Bit gekürzt, was einige Kritiker des DES-Algorithmus zu der Annahme gebracht hat, daß die NSA (National Security Agency als amerikanischer Nachrichten-und Geheimdienst) die Verkürzung des Schlüssels zu verantworten hat. Tatsache ist, daß die NSA an der Entwicklung und am Sicherheits-Check des Algorithmus regen Anteil genommen hat. Darauf wird nochmals im Abschnitt 3.4 näher eingegangen, wo Fragen und Überlegungen zur Sicherheit des DES besprochen werden.

Jetzt soll aber zuerst in einer kurzen Beschreibung die Art der Chiffrierung durch den DES dargestellt werden.

Die Verschlüsselung

Zuerst wird aus einem einzugebenden 64 Bit Schlüssel (8 Bytes) durch eine Auswahl von 56 Bit ein effektiver Schlüssel erzeugt. Die übrigen 8 Bit des Eingabeschlüssels dienen als Paritätsbits und sollen fehlerhafte Schlüssel erkennen helfen. Aus dem erzeugten 56 Bit Schlüssel werden in einer Prozedur die für den eigentlichen Krypto-Vorgang benötigten 16 Arbeitsschlüssel mit einer Länge von jeweils 48 Bit erzeugt. Diese Schlüssel heißen in der Reihenfolge ihrer Generierung K1 ... K16. Der Quelltext, der verschlüsselt werden soll, wird in Blöcke von je 64 Bit zerlegt. Dieser 64 Bit Eingabeblock wird dann zuerst in einer Eingangspermutation IP vertauscht. Das Ergebnis dieser Prozedur durchläuft dann 16 mal eine Schleife, in der es mit dem jeweils nächsten Schlüssel Kn umgesetzt wird. Das vorläufige Endergebnis wird noch einmal mit der zu IP inversen Permutation umgeordnet und stellt danach den Zielcode der Chiffrierung dar: das Chiffrat.

Die Entschlüsselung

Die Entschlüsselung eines Programms ist mit der Verschlüsselung praktisch identisch; der einzige Unterschied ist die Reihenfolge der Schlüssel Kn bei der Chiffrierung. Während die Abfolge der Arbeitsschlüssel bei der Verschlüsselung K1, K2, . . . , K16 lautet, ist die Reihenfolge bei der Entschlüsselung die genau umgekehrte, also K16, K15,..., K1. Ansonsten wird der Algorithmus nicht modifiziert.

Die Betriebsarten des DES

Bei der Anwendung des DES werden vier unterschiedliche Betriebsarten eingesetzt, die entweder eine Blockchiffre oder eine kontinuierliche Chiffre ermöglichen. Die benutzten Betriebsarten sind:

Electronic Code Book Mode, ECB

In diesem Modus wird der Eingangstext in jeweils 64 Bit lange Blöcke zerlegt, die dann sequentiell umgesetzt werden, Für den Fall, daß der letzte Block weniger als 64 Bit enthält, wird er einfach aufgefüllt, zum Beispiel mit Nullen. Diese Betriebsart ist im Programm PC-DES implementiert.

Cipher Block Chaining Mode, CBC

Wie beim ECB wird der Quelltext in 64 Bit-Blöcke zerlegt. Falls der letzte Block kürzer ist als 64 Bit, so wird er entweder mit einer vorher

definierten Bitsequenz aufgefüllt oder es wird für diesen letzten Block eine eigene Prozedur zwischen Empfänger und Sender vereinbart. Der generelle Ablauf des CBC-Modus ist folgender:

Zuerst wird zwischen Empfänger und Sender ein Initialisierungsvektor IV von 64 Bit Länge vereinbart. Der Sender verknüpft nun den zu sendenden Block exklusiv-Oder mit diesem Vektor IV. Das Ergebnis wird durch den DES-Algorithmus chiffriert. Der Output des DES wird für den Sender der nächste IV-Vektor. Der Empfänger dechiffriert den empfangenen Block mit dem DES - Algorithmus und verknüpft das Ergebnis mit seinem IV ebenfalls exklusivOder. Der ursprünglich empfangene Block wird zum nächsten IV des Empfängers. Die gesamte Prozedur wiederholt sich bis zum Ende des Quelltextes beim Sender.

Cipher FeedBack Mode, CFB

Die beiden vorherigen Verschlüsselungsmodi waren Block-Chiffren mit einer Länge von 64 Bit, die in einem Schritt umgesetzt wurden. Für manche Anwendungen kann es notwendig sein, einen Block geringerer Länge zu chiffrieren. Die Cipher FeedBack- Methode erlaubt die Umsetzung von Blöcken mit einer Länge von ein Bit bis 64 Bit in stufenloser Abfolge. Dazu arbeitet der DES sowohl auf Sender- als auch auf Empfängerseite im Verschlüsselungsmodus. Hier der schematische Ablauf des CFB Modus; die Länge des umzusetzenden Blocks betrage k Bit.

Zu Beginn der Verschlüsselung wird der Vektor IV sender- und empfängerseitig mit dem gleichen Bitmuster geladen. Vom Output des DES werden jeweils die ersten k Bit benutzt, entsprechend der Länge des zu chiffrierenden Blocks. Diese k Bit werden dann Exklusiv-Oder mit dem Klartext-Block verknüpft und dem Empfangenden übermittelt. Die k Bit des DES - Outputs werden gleichzeitig noch von rechts nach links in den DES - Inputvektor IV geschoben und sind damit Teil des nächsten Inputs für den DES. Empfängerseitig werden k Bits empfangen. Diese k Bits werden zuerst von rechts nach links in den Inputvektor IV geschoben, der DES - Output berechnet und die ersten k Bit dieses Outputs werden daraufhin mit den empfangenen k Bits Exklusiv-Oder verknüpft und liefern den k Bit langen Klartext-Block.

Diese Betriebsart des DES ist natürlich nicht so effizient wie die Block-Modi, weil für jeden Block kürzerer Länge auch ein vollständiger Durchlauf durch des DES - Algorithmus nötig ist.

Wie auch die letzte Betriebsart hat der CFB-Modus Ähnlichkeit mit den sogenannten Running-Key-Cipher - Algorithmen, weil der Klartext zur Verschlüsselung mit einem „laufenden“, d.h. kontinuierlichen Verschlüsselungstext logisch Exklusiv-Oder verknüpft wird.

Output FeedBack Modus, OFB

Auch in dieser Betriebsart wird ein kontinuierlicher Verschlüsselungstext mit einer variablen Länge k (1 :5 k 5 64) erzeugt und mit dem Klartext-Block Exklusiv-Oder verknüpft. Im Gegensatz zum CFB-Modus werden allerdings die k Bit des DES-Outputs, die zur Verschlüsselung verwendet werden, von rechts nach links in den DES - Inputvektor IV geschoben und zwar sowohl sender- als auch empfängerseitig. Zur Synchronisation muß der IV zu Beginn der Übertragung mit dem gleichen Bit-Muster initialisiert werden. Auch hier ist die Effizienz natürlich geringer als in den Block-Modi.

Sicherheitsbetrachtungen zum DES

Seit der Veröffentlichung des DES und vor allem seit der Normierung zum US-Verschlüsselungsstandards gibt es einige Kritiker,die den DES für nicht so sicher halten, wie es in den Erklärungen von IBM u.a.m. dargestellt wird. Ihre Hauptkritikpunkte sind die folgenden drei Überlegungen.

(1) Die meisten Kritiker halten die Schlüssellänge von 56 Bit im effektiven Schlüssel für zu kurz und fordern die Erhöhung der Schlüssellänge um mindestens 72 Bit auf insgesamt 128 Bit, was auch dem ursprünglichen LUCIFER - Algorithmus entsprechen würde.

(2) Die Auswahlkriterien einzelner Bestandteile des DES - Algorithmus wurden bzw. durften von IBM nicht veröffentlicht werden. Dies betrifft vor allem die Auswahl der Substitutions-Boxen, von deren Ergebnisfunktion die Sicherheit ganz wesentlich abhängt.

(3) Ebenfalls nicht veröffentlicht wurden die von IBM und der NSA durchgeführten kryptoanalytischen Tests und Bewertungen der Sicherheit des DES-

Schlüssellänge

Zwei frühe Kritiker des DES, die Mathematiker Hellman und Diffie, schlugen eine Maschine vor, die in der Lage wäre, den DES "zu knacken". Das Prinzip der Maschine beruht auf einem sturen Austesten aller möglichen Schlüssel des DES und Kontrolle des damit erzielten Entschlüsselungsergebnisses. Für den Bau der Maschine müßte ein spezieller Mikroprozessor entwickelt werden, der mit einer hohen Geschwindigkeit die einzelnen Schlüssel testet. Zudem würden in einer solchen Maschine 10 hoch 6 solcher Chips parallel arbeiten, um eine kurze Suchzeit zu erreichen. Diese Maschine würde beim Stand heutiger Technik etwa 20 Millionen Dollar kosten, was für eine in ihren finanziellen Mitteln kaum beschränkte Behörde wie die NSA ein akzeptabler Preis wäre. Eine solche Maschine wäre in der Lage, alle 2 hoch 56 Schlüssel ( 7.2 x 10 hoch 16) in einem Tag ausprobieren, was eine mittlere Suchzeit von etwa 12 Stunden bedeutet. Würde die Maschine jeden Tag zwei Schlüssel ermitteln und das fünf Jahre lang, so würde bei Kostenumlegung jede Lösung etwa 5000 Dollar kosten. Nicht berücksichtigt bei dieser Überlegung ist sogar noch die Tatsache, daß sich das Preis/Leistungs-Verhältnis von Mikrochips alle vier Jahre verdoppelt und somit die Maschine immer billiger wird. Ihr Vorschlag besteht in einer Verlängerung der Schlüssellänge auf 128 Bit; eine Maschine zum Ermitteln einer solchen Schlüssellänge in auch einem Tag wäre technisch nicht realisierbar.

Wie schon oben erwähnt, beruhte die ursprüngliche Konzeption von IBM beim LUCIFER - Algorithmus auf 128 Bit; auf Ersuchen der NSA wurde diese Länge ohne Angabe von Gründen auf 56 Bit verkürzt, was selbstverständlich Anlaß für Zweifel sein kann. Der Informatiker Jacques Vallee drückt es so aus: "Manche Wissenschaftler meinen, das Bureau of Standards hätte bewußt eine Schlüssellänge von solchem Umfang gewählt, daß Collegestudenten und die meisten Industriespione abgeschreckt werden, aber kurz genug, daß die Herren in Washington weiterhin anderer Leute Post lesen können."

Hellman schlägt vor, daß wenn schon die Schlüssellänge des DES nicht verändert und dennoch der Einsatz des DES gefordert wird, die Umsetzung eines Klartextes durch ein dreimaliges Durchlaufen des Algorithmus mit drei unterschiedlichen (!) Schlüsseln zu verwenden, was einer effektiven Gesamtschlüssellänge von 128 Bit entsprechen würde. Hardwaremässig könnte das durch ein Hintereinanderschalten (Pipelining) von drei DES-Prozessoren verwirklicht werden.

Entwicklungskriterien

Die Sicherheit des DES ist wesentlich von der Konzeption gewisser Teilkomponenten des DES abhängig. Auf Anweisung der NSA war IBM nicht berechtigt, die Entscheidungsgrundlagen für die Auswahl bestimmter Teile des DES wie die Substitutionsboxen zu veröffentlichen, da sie der NSA als zu "sensitiv" erschienen. Kritiker vermuteten daher, daß in die Entwicklung des Algorithmus einige sogenannte 'Trap-doors", das sind Verkürzungen im Verschlüsselungsvorgang, eingeflossen sind, die es der NSA erleichtern wurden , ein Chiffrat analytisch zu entschlüsseln.

Mittlerweile hat die NSA einige der Entwurfskriterien für die S-Boxen bekanntgegeben; trotzdem hält sich der Vorwurf einer nicht erklärten Einflußnahme des NSA auf die Entwicklung des Data Encryption Standards.

Sicherheitstests

Ebenfalls nicht veröffentlicht wurden die kryptoanalytischen Untersuchungen, die IBM und die NSA bezüglich des DES durchgeführt haben. Die einzigen Verlautbarungen beschränkten sich auf die Feststellung, daß der DES in keinem dieser Tests die bekannten Schwächen anderer Verschlüsselungsalgorithmen gezeigt hat und daß daher die Sicherheit de", DES bewiesen wäre.

Dieses Verhalten von Seiten der Entwickler veranlaßte zu Recht die Kritiker zu der Bemerkung, daß wenn der DES die Tests so gut bestanden hat, eine Veröffentlichung der Testergebnisse doch nur zu einer Anerkennung dieser Sicherheit führen könnte. Wenn diese Veröffentlichung jedoch unterbleiben würde, so müßte doch davon ausgegangen worden, daß sie die Sicherheit des DES eben nicht beweisen würden.

Alles in allem bleibt festzustellen, daß die Sicherheitsfrage für den DES noch nicht abschließend beantwortet werden kann. Bei besonderen Sicherheitsansprüchen kann durch dreimaligen Aufruf von PC-DES auch die von Hellman vorgeschlagene Erhöhung der effektiven Schlüssellange auf 128 Bit erreicht werden.

Ausblick

1988 hätte der DES von der NBS (National Bureau of Standards, nationale Standardisierungsbehörde der USA) erneut als Verschlüsselungsstandard benannt werden müssen. Dieses ist nicht geschehen. Der Grund: Die NSA will einen neuen und diesmal nur von ihr - und nicht in Verbindung mit externen Firmen wie IBM - entwickelten Verschlüsselungsalgorithmus zum Standard machen. Über diesen dürfe dann überhaupt nichts mehr bekannt werden, wie er intern arbeitet. Herstellerfirmen für die entsprechenden Verschlüsselungschips erhalten dann die Maske für den Chip und dürfen ihn nur noch produzieren. Um die Unsicherheit unter den DES-Anwenderinnen noch zu verstärken, wurde vor einem Jahr das Gerücht verbreitet, daß in den USA ein Freak ein TurboPascal-Programm geschrieben hätte, das den DES in ein-einhalb-Stunden knacken könne. Leute vom ZfCh (Zentralstelle für Chiffrierung) meinen ebenfalls, daß es sich um ein Gerücht handelt. Es ist auch einleuchtend, bei der Einführung eines neuen Verschlüsselungsstandards dafür zu sorgen, daß der DES nicht mehr als Verschlüsselungsstandard anerkannt wird und die AnwenderInnen ihn für unsicher halten. Für mich ist das Vorhandensein des Gerüchtes Grund genug zu glauben, daß der DES sicher ist - zumindest so sicher, daß die NSA sich genötigt sieht, einen neuen (eigenen) Algorithmus vorzuschlagen.

DES-Verschlüsselungsprogramme waren bisher nicht einfach zu erhalten, VAX-Encryption z.B. wird nur an bestimmte Kunden zu horrenden Preisen vertrieben (siehe Datenschleuder 25, Seite 6f). IBM baut aus ihren Mainframe-Rechnern die dort serienmäßig vorhandene DES-Hardware-Verschlüsselungen aus,wenn sie z.B. in die BRD exportiert werden. Borland's Turbo-Key durfte nicht aus den USA exportiert werden, weil es ein DES-Verschlüsselungsprogramm enthielt. Aus diesen Gründen freut sich die Redaktion Datenschleuder, hier an dieser Stelle das in diesem unserem Lande entwickelte Programm PC-DES vorstellen zu können. Seit gut einem Jahr läuft eine Implementierung für IBM PCs und Kompatible mit einem optimierten Algorithmus, der auf einem 4.77 Mhz PC mit V20-CPU max. 135 Zeichen pro Sekunde umsetzen kann. Seit einem halben Jahr existiert auch eine Implementierung für IBM-Mainframes und Kompatible, DES/370 (dieses Programm wurde Im übrigen vollständig auf einem IBM-kompatiblen PC mit einem /370 - Crossassembler und Crossexecuter entwickelt. S/370? PCSIG 402!). Durch weiteres Übertragen des Programmes auf andere Rechner lassen sich auch verschlüsselte Nachrichten austauschen. Wenn sich ProgrammiererInnen für die Rechner DEC/VAX, Atari, Commodore 64, Amiga, CP/M 80 usw. bereitfänden, den Algorithmus zu implementieren - erste Zusagen für Umsetzungen liegen schon vor -, wäre eine breite Basis für diesen Austausch geschaffen. Über dsred Rhein-Neckar, (Mitteilungsbox PF 104027, 6900 Heidelberg, dsred e RNIHD .UUCP oder RNI-Mailbox (06203 / 45496): dsred), wird die Umsetzung des Programms für DEC/VAX und andere koordiniert. - © bf

 

  [Chaos CD]
[Datenschleuder] [26]    Privater Nachrichtenschutz mit PC-DES
[Gescannte Version] [ -- ] [ ++ ] [Suchen]