Von Lucifer zu Rijndael

Die US-Regierung hat einen neuen Krypto-Algorithmus gekürt, der einen mindestens 30 Jahre lang gültigen Standard für Verschlüsselungsprodukte setzen soll

Drei Jahre lang dauerte die vom National Institute of Standards und Technology, einer Unterabteilung des amerikanischen Wirtschaftsministeriums, veranstaltete Olympiade der Kodebastler und -knacker. Mit Rijndael hat nun just ein Algorithmus von zwei europäischen Krypto-Experten das Rennen um den Advanced Encryption Standard (AES) gemacht, der DES im nächsten Jahr offiziell ablösen soll.

Im September 1997 rief das amerikanische National Institute of Standards und Technology (Nist) einen bisher einmaligen Wettbewerb zur Suche eines neuen Verschlüsselungsstandards aus. Der DES (Data Encryption Standard), der bislang als offizieller und mit dem Segen der US-Regierung ausgestatteter Kryptokode den Markt beherrschte und vor allem im Finanzsektor praktisch jede über Datennetze getätigte Transaktion absicherte, war seit seiner Geburt unter dem Namen "Lucifer" 1970 in den Labors von IBM deutlich in die Jahre gekommen und fristet nur noch im "Dreierpack" als Triple DES ein robustes Dasein. Ein Nachfolger war dringend nötig geworden.

Drei Jahre später ist die Olympiade der Datenverschlüsseler und Kodeknacker nun entschieden und der Siegeralgorithmus für den Advanced Encrypton Standard (AES) seit Montag gekürt. Wie es sich auf der dritten und letzten Konferenz der weltweiten Community der Kryptologen im Rahmen des Wettbewerbs Mitte April in New York bereits abgezeichnet hatte, machte "Rijndael" das Rennen, ein Gemeinschaftswerk der jungen belgischen Computerwissenschaftler Joan Daemen, der bei der Firma Proton World International arbeitet, und Vincent Rijmen, einem Forscher an der Katholischen Universität Leuven (Krypto-Olympiade geht in die letzte Runde).

Harter Konkurrenzkampf

Die beiden Kryptofreaks, die sich beim Studium kennen gelernt haben, setzten sich gegen eine starke internationale Konkurrenz durch. Unter den fünf Finalisten waren mit Mars von IBM sowie RC6 aus der Kryptoschmiede RSA Algorithmen wichtiger Softwarehäuser vertreten. Nicht weniger ernsthafte Kontrahenten stellten die Kodes Twofish des renommierten amerikanischen Sicherheitsexperten Bruce Schneier sowie Serpent dar, eine Koproduktion von drei Mathematikern aus England, Israel und Norwegen. Alle fünf Algorithmen hatten den Attacken von Hackern sowie Kryptologen in Firmen und Forschungseinrichtungen aus der ganzen Welt standgehalten. Rijndael setzte sich schließlich durch, weil er die beste Kombination von "Sicherheit, Leistungsfähigkeit, Effizienz, Implementierbarkeit und Flexibilität" bot, wie es in einer Pressemitteilung des Nist heißt. Es war eine der wichtigsten Voraussetzung des Nist, dass alle eingereichten Codes patentfrei sind. Der AES wird lizenzfrei zur Verfügung stehen, damit er möglichst große Verbreitung findet.

Wie die Konkurrenten unterstützt Rijndael - der kryptische Name ist ein Wortspiel aus den Nachnamen seiner beiden Erfinder - Schlüsselgrößen von 128, 192 und 256 Bits. Diese Maßeinheiten stehen für die Zahl der Schlüssel, die sich mit einem Algorithmus generieren lassen, und damit für die Sicherheit des gesamten Verfahrens. Bei einer Schlüsselgröße von 128 Bit beispielsweise besteht die Möglichkeit, 340.000.000.000.000.000.000.000.000.000.000.000.000 Schlüssel zu erzeugen. Um genau den richtigen zu finden, der den Kode knackt, müssten heute verfügbare Supercomputer Trillionen von Jahre lang rechnen - länger, als das Weltall bisher besteht. Obwohl sich die Prozessorgeschwindigkeit dem Mooreschen Gesetz zufolge alle 18 Monate verdoppelt, geht das Nist davon aus, dass der AES damit mindestens für die nächsten 30 Jahre gut ist. Einen Strich könnte dem Standardinstitut nur die Umstellung auf ein neues Rechenparadigma machen, falls die sich in der Experimentierphase befindlichen, nicht mehr digital arbeitenden Quantenrechner die gesamte Computerwissenschaft revolutionieren sollten.

E-Commerce und E-Government sollen dank AES blühen

Kryptografie hat sich von einer esoterischen Wissenschaft zum Schutz von staatlichen und militärischen Geheimnissen, als die sie noch vor dem Boom des World Wide Web gehandelt wurde, zur "Schlüsseltechnik" der vernetzten Gesellschaft entwickelt. Heute funktioniert ohne Verschlüsselung nicht einmal das Geldabheben am Bankautomat. Neben der Sicherheit garantieren Kryptoverfahren auch die Privatheit der elektronischen Kommunikation.

Der amerikanische Wirtschaftsminister Norman Mineta, dem das Nist unterstellt ist, begrüßte die Wahl des neuen AES-Algorithmus, dem Beobachter eine ähnliche Karriere wie seinem nur über einen 56-Bit-Schlüssel verfügenden und bereits mehrfach geknackten Vorgänger DES prophezeien, daher als "einen sehr bedeutenden Schritt in Richtung einer sichereren digitalen Ökonomie." Sowohl E-Commerce wie E-Government könnten nun "mit Sicherheit blühen".

Das Nist wird Rijndael in den kommenden Monaten als Federal Information Processing Standard vorschlagen. Nach einer 90-tägigen Frist für Kommentare dürfte der Algorithmus dann spätestens von Sommer 2001 an die vertraulichen Dokumente der US-Regierung schützen. Kommerzielle Produkte mit dem neuen Kode werden dagegen schon in den nächsten Wochen erwartet.

Zum Einsatz kommen soll der AES sowohl beim Schutz von Kommunikationsprozessen auf großen Server- und Mainframe-Computern wie auch auf winzigen Smart Cards. Dabei muss er sich sowohl in Hardware wie in Software möglichst einfach, schnell und effizient implementieren lassen, was genau die Stärke von Rijndael darstellt.

Enttäuschung bei der US-Industrie

Ein paar Klippen muss der neue Kryptostandard allerdings noch umschiffen. In Europa dürfte die Entscheidung zugunsten eines Algorithmus von zwei Forschern des alten Kontinents zwar vorsichtige Gemüter beruhigen, die hinter den Standardisierungsbestrebungen Amerikas eine Falle witterten.

Nicht zuletzt war das Nist, das eng mit dem US-Geheimdienst NSA zusammenarbeitet, Mitte der Neunziger vor allem durch seine (vergeblichen) Bemühungen aufgefallen, den sogenannten Key-Recovery-Standard durchzuboxen, der staatlichen Stellen die Möglichkeit zum Mitlesen von verschlüsselten Emails verschafft hätte. "Es gab daher Befürchtungen, dass ein Nachfolgekode mit Eigenschaften versehen werden könnte, die nicht alle im Interesse der Benutzer sein könnten", erinnert sich Thilo Zieschang von der Eschborner Eurosec. Sie seien aber durch das transparente Auswahlverfahren beseitigt worden.

Dass dem AES just Programmzeilen aus Europa Leben einhauchen sollen, stößt nun wiederum in der amerikanischen Wirtschaft auf nur begrenzte Gegenliebe. "Es ist vermutlich ein ermutigendes Zeichen, dass die US-Regierung bereit ist ausländische Technologie einzusetzen", kommentierte Bruce Heiman, Leiter der Organisation Americans for Consumer Privacy, das Nist-Votum gegenüber der New York Times. "Gleichzeitig ist es aber enttäuschend, dass eine Reihe amerikanischer Lösungen nicht ausgewählt wurden."

Da die Kür eines eindeutigen Favoriten nicht leicht fiel und auch die anderen vier AES-Kandidaten ihre Vorzüge haben, könnten sich einzelne US-Firmen nun dazu entschließen, zumindest für bestimmte Zwecke auf eines der "heimischen" Verfahren auszuweichen. So lässt sich Mars etwa besonders leicht in Softwarelösungen implementieren. RC6 gilt dagegen als sehr schnell, aber nicht allzu sicher, und könnte sich daher für Anwendungen empfehlen, die nicht im Hochsicherheitstrakt ablaufen müssen. Das Nist selbst und die in New York im April versammelte Kryptogemeinde hatten lange überlegt, ob es sinnvoll wäre, gleich mehrere der getesteten Algorithmen nebeneinander als Standard zuzulassen. Wegen möglicher Kompatibilitätsprobleme war diese Lösung allerdings wieder verworfen worden.

Die jetzt getroffene Entscheidung ist letztlich auch ein erneutes Zeichen dafür, dass die restriktive Kryptopolitik der USA Geschichte ist. "Es gab eine Zeit, in der es vernünftig war zu glauben, dass wir durch die Kontrolle von US-Technologie die Benutzung von Kryptografie weltweit kontrollieren könnten", warf Nist-Direktor Ray Kammer am Montag einen Blick in die Vergangenheit. Die Zeiten hätten sich allerdings gewandelt und die USA hätten den Wandel seiner Meinung nach akzeptiert.

Die strengen Exportregeln, denen die US-Regierung Kryptoprodukte noch bis zum Sommer unterwarf, hatten das Nist während der zweiten AES-Konferenz 1999 in Rom noch in Bedrängnis gebracht: Damals hatte die Behörde allen Versammelten die Kodes der fünf Finalisten auf CD-Rom ausgeteilt - und damit offensichtlich selbst gegen die Ausfuhrregeln des eigenen Landes verstoßen.

http://www.heise.de/tp/artikel/8/8848/1.html