5.2 – Feistel-Chiffren

Die Feistelchiffre ist eine symmetrische Struktur, die für die Konstruktion von Blockchiffren verwendet wird. Ein Mitarbeiter von IBM, Horst Feistel, gilt als der Erfinder dieser Chiffre. Er arbeitete in den 1970er Jahren mit anderen am sog. Projekt “Lucifer”, dessen Ziel es war, eine effiziente Verschlüsselungstechnologie zu entwickeln.

Viele moderne Blockchiffren nutzen dieses Schema, unter anderem die DES-Chiffre. Vorteil der Struktur ist, dass Ver- und Entschlüsselung sehr ähnlich sind, in manchen Fällen sogar identisch, so dass nur der Algorithmus zur Schlüsselstromerzeugung umgedreht werden muss. Dadurch wird der für die Implementierung notwendige Programmtext nahezu halbiert.

Allgemein ist ein Feistelnetzwerk eine iterative Chiffre mit einer internen Funktion, die Rundenfunktion genannt wird.

Aufbau:

aufbau-feiste-chiffre-links-rechts-block-rundenfunktion

Die Blocklänge $n \in \mathbb{N}$ ist immer gerade, oft ein Vielfaches von 64Bit. Der Klartextblock wird in zwei Hälften geteilt, ${L_1}$ und ${R_1}$ :

$P = L||R$

Die Verschlüsselung wird nun in $n$ Runden durchgeführt, wobei jeweils der gesamte Block (und nicht etwa nur jeweils ein Zeichen) verändert wird. Dazu werden $n$ unterschiedliche Rundenschlüssel verwendet.

In jeder Runde wird die rechte Hälfte des Blockes unverändert als die linke Hälfte für die nächste Runde übernommen:

${L_{i+1}} = {R_i}$

Die linke Hälfte des Blockes wird wie folgt verschlüsselt:

${R_{i+1}} = {L_i} \oplus F\left( {{R_i},{K_i}} \right)$

Dabei bildet $F$ die sogenannte Runden- oder Transformationsfunktion und ${K_1}$ bis ${K_n}$ sind die Rundenschlüssel. $\oplus$ steht für eine XOR-Verknüpfung. Der endgültig verschlüsselte Text ist die Zusammenführung

$C = {L_{n+1}}||{R_{n+1}}$ .

Für die Entschlüsselung gilt:

${R_i} = {L_{i+1}}$

${L_i} = {R_{i+1}} \oplus F\left( {{R_i},{K_i}} \right) = {R_{i+1}} \oplus F\left( {{L_{i+1}},{K_i}} \right)$

Es kann also bei der Verwendung von $\oplus = XOR$ mit der gleichen Funktion ver- und entschlüsselt werden. Ansonsten muss man von dieser Verknüpfung noch die Inverse bilden. Dies war ursprünglich der Grund für diesen Aufbau, da man das Verfahren Hardware-optimieren wollte und daher die Chip-Fläche möglichst klein werden sollte.

Die Funktion $F\left( {{R_i},{K_i}} \right)$ muss nicht injektiv und daher auch nicht bijektiv sein, obwohl damit ver- und entschlüsselt wird.

Die meisten GSM Telefonate werden im Moment durch die mehr als 20 Jahre alte A5/1 und A5/2 Stromchiffre geschützt, die mehrfach als kryptographisch schwach gezeigt wurde (siehe hier, letzter Absatz).

Vermehrt kommt in letzter Zeit (in A5/3) auch die auf der Feistel-Struktur basierende Blockchiffre KASUMI zum Einsatz, ein Nachfolger von MISTY. Im Januar 2010 haben Orr Dunkelman, Nathan Keller und Adi Shamir ein Paper veröffentlich, in dem sie zeigen, dass sie KASUMI mit einer “related-key-attack” brechen können. Interessanterweise ist dieser Angriff nicht gegen den Vorgänger MISTY zu gebrauchen.

Mathematical Engineering

5.2 – Feistel-Chiffren

Ähnliche Artikel

Kommentar verfassen