IDEA, Interna,onal Data Encryp,on Algorithm

Der Interna(onal Data Encryp(on Algorithm (IDEA) ist eine symmetrische Block-
Chiffre mit einer Schlüssellӓnge von 128 Bit. Durch die Menge seiner Schlüssel ist
er gegen derzei(ge Brute-Force-Angriffe resistent. IDEA wurde 1990 von James L.
Massey und Xuejia Lai (ETH Zürich) vorgeschlagen.

Die Merkmale von IDEA sind

§ Symmetrisch,
d.h. für Verschlüsselung und Entschlüsselung wird der gleiche Schlüssel benutzt;

§ Block-Chiffre mit einer Blocklӓnge von 64 Bit,

d.h. die Nachricht m wird aufgespalten in eine Folge von Blöcken zu je 64 Bit;

§ Der Schlüssel k ist 128 Bit lang,

d.h. die Quan(tӓt aller Schlüssel ist |K|=2!"# .
IDEA, im Überblick

Die Verschlüsselung erfolgt in 8 Runden und einer Finalrunde. Die ersten 8 Runden
benö(gen je 6 Teilschlüssel und die Finalrunde (Index i=9) arbeitet mit 4
Teilschlüsseln:

𝑘$,! … … 𝑘$,& 𝑘 = 1,8 und 𝑘',! … … 𝑘',(

Die insgesamt 6·8+4=52 Teilschlüssel sind je 16 Bit lang. Die Teilschlüssel werden
auf Blöcke mit je 16 Bit Länge angewandt. Die Opera(onen sind dabei:

⊕ Addi(on stellenweise (bitweise) modulo 2, iden(sch mit XOR

+ Addi(on modulo 2!&

⊙ Mul(plika(on modulo (2!& + 1), der Modul ist eine Primzahl

Die 52 Teilschlüssel für alle Runden werden aus dem 128 Bit langen IDEA-Schlüssel
durch Aufspalten und Verschieben abgeleitet.

§ Die ersten 8 Teilschlüssel 𝑘!,! … 𝑘"," erhält man als 8 Teilblöcke zu je 16 Bit
direkt aus dem IDEA-Schlüssel .

§ Für die nächsten 8 Teilschlüssel 𝑘",) … 𝑘),( wird der IDEA-Schlüssel um 25 Bit
zyklisch nach links geschoben („geshilet“) und dann wieder 8 Teilblöcke zu je
16 Bit gebildet.

§ Die weiteren Teilschlüssel erhält man in entsprechender Weise

IDEA, Verschlüsselung
Das Schema der Verschlüsselung ist in Abbildung unten dargestellt. Oben im Bild ist
der Klartextblock m von 64 Bit. Er ist in 4 Teilblöcke 𝑚! , 𝑚" , 𝑚) , 𝑚( zu je 16 Bit
aufgespalten. Ganz unten im Bild ist der 64 Bit breite Chiffreblock c, der ebenfalls
aus 4 Teilblöcken 𝑐! , 𝑐" , 𝑐) , 𝑐( besteht.

Von den ersten 8 Runden ist nur die 1. Runde dargestellt, die Runden 1 bis 8 sind
gleich, sie unterscheiden sich nur in ihrem ersten Runden-Index. Die Finalrunde
(Index 9) ist verkürzt, sie arbeitet ohne den gepunktet umrandeten Funk(onsblock.
Stromchiffren RC4 und A5

• Bei einer Stromchiffre wird ein Strom von Nachrichtenstellen mit einem
Schlüsselstrom verknüpl. Üblicherweise sind die Ströme eine Folge von Bits
oder Bytes, deren Binӓrstellen modulo 2 addiert werden.

• Der Schlüsselstrom wird von einem PN-Generator (pseudo noise) erzeugt. Um

die Vielfalt der Schlüsselströme zu erhöhen, wird der PN-Generator durch
einen Schlüssel k gesteuert.

Der Schlüsselstrom 𝑧* (Zufallsbits) ist unabhӓngig von dem Nachrichtenstrom 𝑚* .

Die Symbole 𝑧* , 𝑚* und 𝑐* bezeichnen die Bits oder die Bytes der Ströme.
PN-Generatoren

• Die Stromchiffren RC4 und A5 unterscheiden sich hauptsӓchlich durch ihre PN-
Generatoren.

• Benutzt werden RC4 vor allem in Sicherheitsprotokollen im Internet und die

Stromchiffre A5 bei der Verschlüsselung der Sprachdaten an der
Lulschnirstelle im Mobilfunksystem GSM.

• Neben den hier zu besprechenden PN-Generatoren für RC4 und A5 gibt es

weitere Lösungen, die auf der Verschlüsselungsfunk(on von Block-Algorithmen
basieren: Dies sind die PN-Generatoren „Output Feedback“ und „Counter-
Modus“ .
RC4

RC4 wurde 1987 von Ronals L. Rivest (RC4: Ron’s Code 4) für RSA Security
entwickelt und 1994 anonym veröffentlicht [RC4]. RC4 selbst wurde nicht
standardisiert, aber in vielen Standards prak(sch eingesetzt:

• SSH (secure shell) für einen sicheren Rechnerzugang über das Netz,

• SSL (secure socket layer) für einen sicheren Web-Zugang,

• WEP (wired equivalent privacy) für eine gesicherte Übertragung über Wireless
LAN.

Die Stromchiffre RC4 arbeitet auf der Basis von Bytes. Ein schlüsselgesteuerter PN-
Generator liefert eine Folge von Pseudo-Zufalls-Bytes 𝑧* . Die Chiffrenfolge 𝑐*
ergibt sich durch bitweise Addi(on mod 2 der Nachrichten-Bytes 𝑚* und der
Pseudo-Zufalls-Bytes 𝑧* .
RC4, PN-Generator

• Der Pseudo-Noise-Generator liefert für jedes Nachrichten-Byte 𝑚* ein Pseudo-

Zufalls-Byte 𝑧* . Der PN-Generator arbeitet mit einer Subs(tu(onsliste S. Diese
enthӓlt 256 Bytes mit den Werten 0 bis 255. Die Liste S ist anfangs geordnet.

• Durch einen KSA-Algorithmus (keyscheduling algorithm) wird die Reihenfolge

der Bytes in der Liste S pseudo-zufӓllig „durcheinandergewürfelt“ (permu(ert).

• Die Permuta(on wird durch den RC4-Schlüssel k gesteuert. In der Arbeitsphase

des PN-Generators werden mit einem PRGA-Algorithmus (pseudo-random
genera(on algorithm) aus der Liste S einzelne Elemente (Bytes) pseudo-zufӓllig
ausgelesen und als Pseudo-Zufalls-Byte 𝑧* ausgegeben. Dabei werden die
Listenelemente weiter verwürfelt.
A5

• Von dem Algorithmus A5 gibt es drei Versionen, die alle für die verschlüsselte
Übertragung der Sprachdaten über die Lulschnirstelle im Mobilfunk benutzt
werden. Die gebrӓuchlichste Version A5/1 wird im GSM hauptsӓchlich in Europa
eingesetzt. Bei der Version A5/2 wurde die Verschlüsselung für den Export in
Lӓnder mit Verschlüsselungsbeschrӓnkung abgeschwӓcht.

• Der Algorithmus A5/1 wurde unter Geheimhaltung entwickelt. Dennoch haben

Kryptoanaly(ker den Algorithmus herausfinden können (1994 R. Anderson,
„erste Annӓherung“ und 1999 M. Bricenco, I. Goldberg und D. Wagner, „als
korrekt zu betrachten“). Geheim entwickelte Algorithmen haben ol Schwӓchen.
Inzwischen kann der mit A5/1 verschlüsselte Chiffrestrom in Realzeit (wenn
auch mit hohem technischen Aufwand) gebrochen werden.

• Die Version A5/3 unterscheidet sich wesentlich von den anderen Versionen. Sie
ist keine Stromchiffre, sondern eine Blockchiffre mit einer Blocklӓnge von 64 Bit
und einer Schlüssellӓnge von 128 Bit. Sie ist auch unter dem Namen KASUMI
bekannt und wird in UMTS eingesetzt. (GSM, Global System for Mobile
Comunica(ons; UMTS, Universal Mobile Telecommunica(ons System, ein
Mobilfunksystem der 3. Genera(on;).
Sicherheit von Stromchiffren

• Bei einer Stromchiffre darf ein Schlüssel k nur einmal verwendet werden.
Denn, wenn für irgend eine Nachricht neben dem Chiffretext c auch der
Klartext m bekannt würde, dann ist mit auch der Schlüsselstrom 𝑧* bekannt.

• Der Schlüsselstrom 𝑧* , b=1, 2,..., ist für einen Schlüssel k immer gleich. D.h.,
wenn ein Angreifer diesen Schlüsselstrom kennt, dann kann er ohne Kenntnis
von k ohne Schwierigkeit entschlüsseln.

• Deshalb darf, im Gegensatz zu den Blockchiffren, bei Stromchiffren der

Schlüssel k nicht mehrfach verwendet werden.
• Es sind jedoch Angriffe bekannt geworden , die es erlauben, aus mehreren
Chiffretexten durch sta(s(sche Methoden den festen/geheimen Teil des
Schlüssels k zu ermireln.

• Diese Methode setzt voraus, dass insbesondere das 1. Byte 𝑧! des

Schlüsselstroms bereits genutzt wird. Deshalb wird empfohlen, die ersten 5-10
Bytes des Schlüsselstroms zu verwerfen und nicht zu nutzen.

• Eine generelle Schwӓche von Stromchiffren ist der einfache Zusammenhang

der bitweisen Addi(on modulo 2 zwischen Klartext und Chiffretext. Weil die
Posi(on von Zeichen in Klartext und Chiffretext gleich ist, besteht die
Möglichkeit einer gezielten Manipula(on, ohne die Chiffre zu entschlüsseln.

• Z.B. ist bei einer Überweisung mit Online-Banking in gewissen

Protokollblöcken die Betragsangabe an bes(mmten Posi(onen zu erwarten.
Ein Angreifer kann z.B. eine führende „0“ durch Addi(on modulo 2 in eine „1“
verwandeln. Ohne weitere schützende Maßnahmen (MAC, digitale Signatur)
wӓre diese Manipula(on der verschlüsselten Übertragung nicht zu bemerken.