On the security of 2-key triple DES

Each language version is independently generated for its own context, not a direct translation.

Das große Rätsel: Der alte Tresor, der doch nicht so sicher ist

Stellen Sie sich vor, Sie haben einen sehr alten, aber legendären Tresor. Dieser Tresor hat eine spezielle Funktion: Um ihn zu öffnen, müssen Sie drei Schlüssel hintereinander verwenden.

Schlüssel 1: Öffnet die Tür.
Schlüssel 2: Schließt sie wieder (wie ein Sicherheitsmechanismus).
Schlüssel 3: Öffnet sie ein letztes Mal.

Das ist das Prinzip von Triple DES. Es gibt zwei Varianten:

Die 3-Schlüssel-Variante: Sie nutzen drei völlig verschiedene Schlüssel. (Sehr sicher).
Die 2-Schlüssel-Variante: Sie nutzen Schlüssel 1, dann Schlüssel 2, und dann wieder Schlüssel 1. Das spart Platz und Aufwand, ist aber weniger sicher.

Diese 2-Schlüssel-Variante wird noch heute in der Bankenwelt (z. B. bei Kreditkarten) benutzt. Die Experten sagten bisher: „Keine Sorge, dieser Tresor bietet immer noch 80 Bits Sicherheit." Das klingt nach einer riesigen Zahl, fast unknackbar.

Die gute Nachricht: Der Tresor ist nicht komplett geknackt.
Die schlechte Nachricht: Die Sicherheitsmarge ist so dünn wie ein Blatt Papier. Ein neuer Angriff zeigt, dass der Tresor viel leichter zu knacken ist als gedacht.

Der alte Angriff: Das „Raten" (Van Oorschot-Wiener)

Bis vor kurzem war der beste Weg, diesen Tresor zu knacken, ein riesiges Glücksspiel. Ein Hacker musste eine riesige Menge an Daten (Tausende von verschlüsselten Nachrichten) sammeln, die alle mit demselben Schlüsselpaar erstellt wurden.

Die Analogie:
Stellen Sie sich vor, Sie suchen einen bestimmten Schlüssel in einem riesigen Haufen von 100 Millionen Schlüsseln. Sie wissen nicht, welcher es ist. Der alte Angriff sagte: „Wenn Sie genug Schlüsselhaufen (Daten) haben, die alle vom selben Schloss stammen, können Sie durch geschicktes Raten und Sortieren den Schlüssel finden."

Das Problem: Um das zu tun, brauchte man eine unmögliche Menge an Daten von nur einem Schlüssel. Wenn Banken ihre Schlüssel oft wechselten, war man sicher.

Die drei neuen Tricks des Autors

Chris Mitchell hat nun drei neue Tricks entdeckt, die diesen Angriff viel einfacher machen. Er hat den alten Angriff so verbessert, dass er auch dann funktioniert, wenn die Daten nicht perfekt sind.

1. Der „Flickenteppich"-Trick (Generalisierung)

Das Problem: Früher mussten alle Daten von einem Schlüssel stammen.
Der neue Trick: Der Hacker darf jetzt Daten von vielen verschiedenen Schlüsseln mischen!

Die Analogie:
Stellen Sie sich vor, Sie versuchen, den Schlüssel zu einem bestimmten Haus zu finden. Früher durften Sie nur Schlüssel von einem Nachbarn sammeln. Jetzt darf der Hacker Schlüssel von allen Nachbarn im ganzen Viertel sammeln. Er sortiert sie alle in eine große Liste. Wenn er einen Treffer hat, weiß er sofort, zu welchem Haus (welchem Schlüssel) er gehört.
Das Ergebnis: Es ist egal, wie oft die Banken ihre Schlüssel wechseln! Solange der Hacker genug Daten von irgendeinem Schlüssel im System hat, kann er den Angriff starten. Die Empfehlung „Wechseln Sie die Schlüssel oft" hilft also nicht mehr gegen diesen Angriff, sondern nur noch, um den Schaden zu begrenzen, falls einer geknackt wird.

2. Der „Spiegel"-Trick (Komplement-Eigenschaft)

Das Problem: Der Angriff war immer noch etwas langsam.
Der neue Trick: DES hat eine seltsame Eigenschaft: Wenn man den Schlüssel und die Nachricht „spiegelt" (alle Nullen werden zu Einsen und umgekehrt), passiert etwas Vorhersehbares.

Die Analogie:
Stellen Sie sich vor, Sie suchen nach einem Schlüssel in einem Spiegelkabinett. Wenn Sie einen Schlüssel in der Hand halten, sehen Sie im Spiegel automatisch auch seinen „Spiegel-Schlüssel". Der Hacker nutzt das aus: Er sucht nicht nur nach dem Schlüssel, sondern gleichzeitig nach seinem Spiegelbild.
Das Ergebnis: Der Angriff ist jetzt zweimal so schnell. Er muss nur halb so lange suchen.

3. Der „Lückenhaft"-Trick (Teilweise bekannte Daten)

Das Problem: Oft weiß ein Hacker nicht den ganzen Inhalt einer Nachricht. Vielleicht kennt er den Namen des Kontoinhabers, aber nicht die PIN.
Der neue Trick: Der Hacker kann auch mit „unvollständigen" Daten arbeiten.

Die Analogie:
Stellen Sie sich vor, Sie haben ein verschlossenes Briefpaket. Sie kennen den Absender und die Adresse, aber nicht den Inhalt (die PIN). Früher war das ein Hindernis. Jetzt sagt der Hacker: „Ich mache einfach 10.000 Kopien des Pakets, fülle jede mit einer anderen möglichen PIN und sortiere sie alle in meine Liste."
Da es nur 10.000 Möglichkeiten für eine 4-stellige PIN gibt, ist das machbar. Der Angriff funktioniert trotzdem, weil die falschen Versuche am Ende einfach aussortiert werden.
Das Ergebnis: Der Hacker braucht keine perfekten Daten mehr. Selbst wenn er nur 56 von 64 Bits kennt, kann er den Rest erraten und den Angriff trotzdem durchführen.

Was bedeutet das für die Praxis?

Die Autoren kommen zu einem klaren Fazit:

Die 80-Bits-Sicherheit ist eine Illusion: Die Zahl 80 klingt groß, aber mit diesen neuen Tricks ist die Sicherheit viel geringer als gedacht. Es ist wie ein Schloss, das man für 100 Jahre hielt, aber jetzt mit einem neuen Dietrich in 10 Jahren knackt.
Der „Schlüssel-Wechsel"-Rat ist überholt: Früher sagte man: „Wechseln Sie die Schlüssel oft, dann sind Sie sicher." Das gilt jetzt nicht mehr. Der neue Angriff funktioniert auch, wenn die Schlüssel oft gewechselt werden, solange genug Daten im Umlauf sind.
Handlungsbedarf: Wir sollten diesen alten Tresor (2-Schlüssel Triple DES) so schnell wie möglich durch einen modernen, sicheren Tresor (wie AES oder die 3-Schlüssel-Variante) ersetzen.

Zusammenfassend:
Der alte Tresor ist nicht komplett kaputt, aber er hat Risse, durch die man hindurchsehen kann. Die Sicherheitsmarge ist so dünn, dass man nicht mehr warten sollte, bis er ganz zerfällt. Es ist Zeit, auf ein neues, stärkeres Schloss umzusteigen.

Each language version is independently generated for its own context, not a direct translation.

1. Problemstellung

Das Paper untersucht die Sicherheit von 2-Key-Triple-DES (2TDEA), einem Verschlüsselungsverfahren, das trotz seiner Ausmusterung durch NIST (National Institute of Standards and Technology) im Jahr 2015 weiterhin in der Praxis, insbesondere im Zahlungsverkehr (z. B. EMV-Karten), weit verbreitet ist.

Bisherige Sicherheitsannahmen besagten, dass 2-Key-Triple-DES einen Sicherheitspuffer von 80 Bit bietet. Diese Schätzung basierte auf der Annahme, dass ein Angreifer eine sehr große Anzahl von Klartext-Chiffrat-Paaren benötigt, die alle mit demselben Schlüssel generiert wurden, um einen erfolgreichen Angriff durchzuführen. Die gängige Empfehlung war, dass das System sicher bleibt, solange die Schlüssel regelmäßig gewechselt werden, um die Menge der pro Schlüssel verfügbaren Daten ( $n$ ) klein zu halten.

Mitchell zeigt auf, dass diese Annahmen falsch sind: Der Sicherheitspuffer ist deutlich geringer als angenommen, und das regelmäßige Wechseln der Schlüssel bietet keinen ausreichenden Schutz gegen die hier beschriebenen Angriffe.

2. Methodik und Angriffsvektoren

Der Autor baut auf dem bekannten van Oorschot-Wiener-Angriff (1990) auf und entwickelt drei wesentliche Erweiterungen, die die Effizienz des Angriffs drastisch steigern und die Anforderungen an die Datenmenge pro Schlüssel senken.

A. Generalisierung des Angriffs (Multi-Key-Szenario)

Der ursprüngliche Angriff erforderte, dass alle $n$ bekannten Klartext-Chiffrat-Paare mit demselben Schlüssel $(K_1, K_2)$ erzeugt wurden.

Neuerung: Mitchell zeigt, dass der Angriff auch funktioniert, wenn die Paare mit verschiedenen Schlüsselpaaren generiert wurden.
Mechanismus: Die Tabelle der bekannten Paare (Tabelle 1) wird um ein Label $s$ erweitert, das den jeweiligen Schlüssel identifiziert. Der Angriff sucht nun nicht nach einem einzigen globalen Schlüssel, sondern kann einen der verwendeten Schlüssel finden, sobald eine Kollision auftritt.
Folge: Das regelmäßige Wechseln des Schlüssels reduziert die Effektivität des Angriffs nicht. Ein Angreifer kann Daten aus vielen verschiedenen Sitzungen mit unterschiedlichen Schlüsseln sammeln, um den Angriff durchzuführen.

B. Ausnutzung der DES-Komplementierungseigenschaft

DES besitzt die Eigenschaft, dass $E_K(P) = \overline{E_{\overline{K}}(\overline{P})}$ gilt (wobei $\overline{X}$ das bitweise Komplement von $X$ ist).

Neuerung: Durch die gleichzeitige Behandlung von $A$ und $\overline{A}$ im Angriffsprozess kann die Anzahl der benötigten Versuche halbiert werden.
Mechanismus: Die Tabelle 2 wird so erweitert, dass sie sowohl Ergebnisse für $A$ als auch für $\overline{A}$ speichert (unter Verwendung eines Komplementierungs-Flags).
Folge: Die Rechenkomplexität sinkt um einen Faktor von 2 (von $2^{121-t} $auf$ 2^{120-t}$).

C. Nutzung von teilweise bekannten Klartexten

In vielen realen Szenarien (z. B. PIN-Blöcke nach ISO 9564-1) ist der Klartext nicht vollständig bekannt, aber Teile davon (z. B. die Kontonummer) sind bekannt, während andere Teile (z. B. die 4-stellige PIN) unbekannt sind.

Neuerung: Statt nur echte Paare zu verwenden, generiert der Angreifer für jedes Chiffrat $C$ alle möglichen Klartext-Varianten basierend auf dem bekannten Teil.
Mechanismus: Wenn $w$ Bits des Klartexts unbekannt sind, werden $2^w$ Paare pro Chiffrat generiert. Die meisten dieser Paare sind „falsch", aber der Angriff toleriert dies, da falsche Kandidaten in späteren Prüfschritten aussortiert werden.
Folge: Der Angriff wird auf Szenarien anwendbar, in denen nur partielle Klartextinformationen vorliegen, ohne die Komplexität signifikant zu erhöhen (solange $n \ll 2^{56-w}$ ).

3. Ergebnisse und Komplexitätsanalyse

Die Kombination dieser Techniken führt zu einer signifikanten Reduktion der erforderlichen Ressourcen für einen erfolgreichen Angriff.

Komplexität: Bei Vorliegen von $n = 2^t$ $n = 2^{t}$ bekannten (oder teilweise bekannten) Paaren beträgt die Komplexität des Angriffs:
- Rechenzeit: $2^{120-t}$ DES-Operationen (unter Ausnutzung der Komplementierung).
- Speicherbedarf: $O(2^{t+w})$ Wörter (wobei $w$ die Anzahl der unbekannten Klartext-Bits ist).
Beispielrechnung:
- Bei $n = 2^{32}$ (4 Milliarden Paare) und $w \approx 13$ (typisch für PIN-Blöcke) kann ein Schlüssel in ca. $2^{88}$ DES-Operationen gefunden werden.
- Dies ist deutlich weniger als die angenommene $2^{80}$-Schutzgrenze, wenn man die Praktikabilität und die Möglichkeit der Datensammlung über viele Schlüssel hinweg betrachtet.

Der Angriff wurde auch auf das ANSI Retail MAC (Message Authentication Code) angewendet. Hier zeigt sich, dass die Begrenzung der Anzahl der MACs pro Schlüssel (eine gängige Schutzmaßnahme gegen den Preneel-van Oorschot-Angriff) gegen den generalisierten van Oorschot-Wiener-Angriff wirkungslos ist, da dieser auch über mehrere Schlüssel hinweg agieren kann.

4. Bedeutung und Schlussfolgerungen

Die Arbeit hat weitreichende Implikationen für die Kryptographie und die Sicherheitspolitik im Finanzsektor:

Widerlegung der 80-Bit-Schätzung: Die Annahme, dass 2-Key-Triple-DES 80 Bit Sicherheit bietet, ist nicht konservativ, sondern zu optimistisch. Der Sicherheitspuffer ist „dünn" (slim).
Ineffektivität des Schlüsselwechsels: Die Empfehlung, Schlüssel regelmäßig zu wechseln, um Angriffe zu verhindern, ist irreführend. Sie begrenzt zwar den Schaden eines erfolgreichen Angriffs (nur Daten des gebrochenen Schlüssels sind betroffen), erhöht aber nicht die Schwierigkeit des Angriffs selbst, da Daten über viele Schlüssel hinweg gesammelt werden können.
Dringlichkeit des Übergangs: Da 2-Key-Triple-DES nicht vollständig „gebrochen" ist (d.h. es gibt keinen mathematischen Beweis für eine totale Unsicherheit), aber die Sicherheitsmargen zu gering sind, fordert der Autor einen dringenden Ersatz.
- Empfohlene Alternativen sind die 3-Key-Variante von Triple-DES oder moderne Algorithmen wie AES.
- AES bietet zudem Schutz gegen zukünftige Angriffe durch Quantencomputer (durch 256-Bit-Schlüssel).

Fazit: Die Sicherheit von 2-Key-Triple-DES ist durch die hier beschriebenen Generalisierungen des van Oorschot-Wiener-Angriffs erheblich geschwächt. Die aktuelle Praxis, sich auf regelmäßige Schlüsselwechsel zu verlassen, bietet keinen ausreichenden Schutz. Ein schneller Wechsel zu sichereren Standards ist notwendig.