Erster Kratzer für Kryptoalgorithmus AES
Mit neuen Ansätzen ist es möglich, einen AES-Schlüssel in weniger als der bei Brute-Force-Angriffen benötigten Schritte zu berechnen. Praktische Auswirkungen auf die Sicherheit von AES hat dies jedoch nicht.
- Daniel Bachfeld
Ein Forscherteam hat eine erste Schwachstelle im Verschlüsselungsstandard AES entdeckt, durch die sich die effektive Schlüssellänge um 2 Bit verkürzt. Aus den üblichen Schlüssellängen 128, 192 und 256 Bit werden damit 126, 190 und 254 Bit.
Nach Angaben der Entdecker Andrey Bogdanov von der katholischen Universität Leuven, Christian Rechberger von ENS Paris und Dmitry Khovratovich von Microsoft Research hat der Angriff jedoch keine praktische Relevanz. Dennoch sei es ein wichtiger Schritt bei der weiteren Erforschung der Sicherheit des seit 2000 offiziell akzeptierten Standards.
Gegenüber heise Security gab Bogdanov an, dass die AES-Entwickler Dr. Joan Daemen und Prof. Dr. Vincent Rijmen die Schwachstelle bestätigt hätten. Die Details zu dem Angriff wurden auf der Kryptokonferenz CRYPTO 2011 präsentiert und sind als PDF-Datei von den Seiten von Microsoft Research herunterladbar.
Demnach nutzte das Forscherteam bislang die hauptsächlich bei Hash-Algorithmen eingesetzte Meet-in-the-Middle-Attacke in Kombination mit einer sogenannten Biclique-Attacke. Damit war es möglich, aus einem einzigen Klartext/Cyphertext-Paar den Schlüssel schneller zu berechnen als durch einen Brute-Force-Angriff auf den gesamten Schlüsselraum. Ein Cluster mit 1 Billion PCs von denen jeder 1 Billion Schlüssel pro Sekunde durchprobieren kann, würde bei einem 128 Bit langem Schlüssel 10 Millionen Jahre rechnen. Die Verkürzung um 2 Bits verkürzt die Dauer zwar immerhin auf knapp 3 Millionen Jahre, für einen praktikablen Angriff reicht das jedoch immer noch nicht. (dab)
