Endgültiger Abschied vom Data Encryption Standard (DES)

von Marcus Janke und Peter Laackmann

aus Card-Forum 9, 1998, S. 26-27.


Kein anderes Verschlüsselungsverfahren erlangte eine solche durch ihre weite Verbreitung bedingte Bekanntheit wie der DES (Data Encryption Standard). Bereits 1977 wurde diese Kryptographiemethode1) veröffentlicht, geriet jedoch kurz darauf ins Kreuzfeuer der Kritik. Als Hauptargument wurde angeführt, daß die fulminante Entwicklung im Bereich der Mikroprozessoren es in absehbarer Zeit möglich machen könnte, sämtliche denkbaren Schlüsselkombinationen auszuprobieren und auf diese Weise den Schlüssel zu finden.2) Da über den Zeitpunkt eines erfolgreichen Angriffs mit dieser "Brute Force-Methode" gegen DES jedoch lediglich spekuliert werden konnte, wurde DES trotz aller Bedenken als Verschlüsselungsstandard für finanzielle Transaktionsprotokolle und andere Anwendungen hoher Sicherheitsstufe, beispielsweise für das ec-PIN-Verfahren, eingesetzt und etabliert. Auch der 1992 veröffentlichte Entwurf einerMaschine, die einen DES-Schlüssel in wenigen Wochen finden sollte,3) konnte den Erfolg dieses Standards nicht bremsen. In der Diskussion um die Sicherheit der eurocheque-Karte wurde immer wieder darauf hingewiesen, daß die Existenz einer derartigen Maschine einer Katastrophe gleichkäme: Wäre ein ec-DES-Schlüssel öffentlich bekannt geworden, so wäre jede Privatperson in der Lage gewesen, mittels eines programmierbaren Taschenrechners zu jeder eurocheque-Karte die entsprechende PIN zu berechnen, mit entsprechenden Folgen für das Gesamtsystem.4)


Noch während der Vorbereitungen des ersten öffentlich dokumentierten "brute force"-Angriffs auf das DES-Verfahren wurde von Experten des Bundesamtes für Sicherheit in der Informationstechnik (BSI), des Bundeskriminalamtes und des Bundesverbandes deutscher Banken 1997 bestätigt, daß die Existenz einer DES-Suchmaschine "wenig wahrscheinlich" sei;5) die Annahme der Existenz einer kriminellen Organisation, die über Mittel zur Berechnung der PIN verfüge, wurde als "nicht realitätsnah" eingestuft.6) Zur Beurteilung der ec-PIN-Sicherheit wurde festgehalten, "daß von einer Fortbestehung der Geheimhaltung der Schlüssel ausgegangen werden kann".7)

 

Kurze Zeit später fanden 14.000 über das Internet verbundene Computer den DES-Schlüssel einer codierten Nachricht, die im Januar des gleichen Jahres im Rahmen eines Wettbewerbes ausgegeben wurde.8) Damit wurde die Wirksamkeit eines "brute force"-Angriffs prinzipiell demonstriert. Den endgültigen Beweis der Möglichkeit, mit überschaubaren finanziellen Mitteln in kurzer Zeit DES zu brechen, lieferte schließlich ein Projekt der Organisation "EFF" (Electronic Frontier Foundation), die in Kooperation mit dem Chiphersteller "Advanced Wireless Technologies" im Juli diesen Jahres eine DES-Schlüsselsuchmaschine vorstellte. (Abb.: "Deep Crack" Mikrochip der Firma Advanced Wireless Technologies) 9)

 

Der Aufbau des Spezialrechners findet in einem kleinen Büro Platz: In sechs Computergehäusen befinden sich 29 Platinen mit jeweils 64 Mikrochips, von denen jeder einzelne in wiederum 24 voneinander unabhängige Sucheinheiten unterteilt ist. Frühere Entwürfe einfacher DES-Suchmaschinen waren derart konzipiert, daß nicht nur eine verschlüsselte Nachricht, sondern auch der entsprechende vollständige Klartext zur Suche eines Schlüssels benötigt wurde. Diese Voraussetzung schränkt die Verwendung einer solchen Maschine auf Systeme ein, die einen einzelnen Schlüssel zur Codierung vieler Datensätze verwendet (beispielsweise das frühere ec-PIN-System). Die neue Entwicklung begegnet diesem Problem durch ein neuartiges Siebungsverfahren; jeder Chip enthält einen Speicherbereich, in dem die möglichen Klartextzeichen abgelegt werden können. (Abb.: Paul Kocher, Projektentwickler, mit einer der 29 Platinen. Im Hintergrund der Gesamtaufbau.)

 

Auf diese Weise kann der Schlüssel auch dann gefunden werden, wenn beispielsweise nur bekannt ist, daß der Klartext aus Buchstaben und Zahlen besteht. Ein handelsüblicher PC steuert die Suchmaschine und übernimmt neben der Eingabe der verschlüsselten Nachricht die Koordination des zu überprüfenden Schlüsselraums. Die Gesamtkosten des Projektes wurden mit 250.000 US$ angegeben; der größte Teil der finanziellen Belastung resultiert aus den Entwicklungskosten der Hard- und Software. Die Herstellung eines baugleichen zweiten Gerätes wird daher zur Zeit mit nur etwa 50.000 US$ veranschlagt.


Ein Wettbewerb der Firma "RSA Laboratories" sollte zeigen, wie schnell heute ein DES-Schlüssel gefunden werden kann. Der erste unbekannte DES-Schlüssel aus diesem Wettbewerb wurde mit der neuen Maschine in nur knapp drei Tagen gefunden; die durchschnittlich für diese Leistung benötigte Zeit wird von den Entwicklern mit fünf Tagen angegeben.10)


Mit einer derartigen Maschine kann theoretisch auch einer der früheren ec-Schlüssel gefunden werden. Zur Suche nach einem ec-Schlüssel werden, da während der Generierung der PIN Teile der verschlüsselten Information verlorengehen, mindestens fünf eurocheque-Karten mit bekannter PIN benötigt. Die Suchmaschine selbst müßte einigen Änderungen der Software unterworfen werden; gleichzeitig steigt die zu veranschlagende Suchzeit um etwa den Faktor zehn.


Eine weitere Verwendung des veralteten Standards DES in Finanzbereichen stellt nach Meinung vieler Experten eine nicht zu tolerierende Verletzung der Sicherheitsgrundlagen dar. Da DES heute immer noch einen De-Facto-Standard darstellt, ist in vielen Fällen eine schnelle Umstellung auf neue Kryptografiemethoden unumgänglich. Probleme können entstehen, wenn diese Verfahren nicht vor ihrer Einführung mittels kryptanalytischer Methoden untersucht werden. Wird das DES-Verfahren beispielsweise durch die verbesserte Methode "3DES" ("Triple-DES") abgelöst, ist zu beachten, daß von den vielen möglichen Modi dieses Verfahrens nur ein einziger, der "ECB-ECB-ECB"-Modus, heute als wirksame Erhöhung der Sicherheit angesehen wird; alle 257 weiteren Modi stellen keine wesentliche Verbesserung gegenüber des einfachen DES-Verfahrens dar.11) Besonders schwierig ist darüber hinaus die Migration, wenn DES in kundenspezifischen Mikrochips für Hardware-Verschlüsselung bzw. in Mikroprozessoren für Chipkarten eingesetzt wird. Oft ist hier nur ein komplettes Redesign des entsprechenden Chips als Lösung akzeptabel.


[1] National Bureau of Standards (US), "Data Encryption Standard", FIPS Publication 46,National Technical Information Service, Springfield VA, 1977.


[2] W.Diffie, M.Hellman, "Exhaustive Cryptanalysis of the NBS Data Encryption Standard", Computer 10, 6.6.1977, S.74.


[3] H.Eberle, "A High-Speed DES Implementation for Network Applications, Advances in Cryptology - Crypto92 Proceedings", Springer Verlag;

M. J. Wiener, "Efficient DES Key Search", Bell-Northern Research, Ontario, Canada.


[4] "Spätes Eingeständnis", Der Spiegel 36, 1997, S. 104;

M. Janke, P.Laackmann, "Eurocheque-Karten: Sicherheitsmängel des PIN-Verfahrens", Card-Forum 9/1997, S. 39-47.


[5] W.Schindler, Bundesamt für Sicherheit in der Informationstechnik, "ec-Karten: Wie sicher ist die PIN-Nummer ?", Interview in NJW-CoR 5, 1997, S.282-285.


[6] W. Niehoff, "Anmerkungen zum OLG Hamm", Datenschutz und Datensicherheit (DuD) 9/1997, 21, S. 534.


[7] A.Heuser, Bundesamt für Sicherheit in der Informationstechnik, "Gutachten zur Rekonstruierbarkeit der PIN-Zahl aus einer aufgefundenen oder entwendeten eurocheque-Karte gemäß Beweisbeschluß des OLG Hamm vom 30.10.96 (Az 31 U 72/96)".


[8] "Government Encryption Standard DES Takes a Fall", RSA Data Security Press Release, 6/1997;

D. Clark, "Group of Programmers Cracks Financial-Data Encryption Code", Wall Street Journal, 20.6.1997.


[9] Electronic Frontier Foundation, "Cracking DES, Secrets of Encryption Research, Wiretap Policies and Chip Design", 1st Edition, Verlag O’Reilly, 1998.


[10] "EFF DES Cracker Machine brings Honesty to Crypto Debate", EFF Press Release 17.7.1998.


[11] E. Biham, "Cryptanalysis of Triple-Modes of Operation", Computer Science Department, Technion - Israel Institute of Technology, Haifa.