Schwacher Schlüssel

In der Kryptologie führt ein schwacher Schlüssel zu einem unerwünschten, unerwarteten Verhalten des Verschlüsselungsverfahrens. Normalerweise existieren unter allen möglichen Schlüsseln nur sehr wenige schwache Schlüssel; somit kann die Gefahr durch schwache Schlüssel weitgehend ausgeschlossen werden, indem der Schlüssel zufällig gewählt wird. Die Chance, dass ein schwacher Schlüssel benutzt wird, ist somit in aller Regel verschwindend klein. Jedoch versucht man aber, bei der Entwicklung eines Verschlüsselungsverfahrens schwache Schlüssel gänzlich zu vermeiden.

DES[Bearbeiten | Quelltext bearbeiten]

Bekannt für seine schwachen Schlüssel ist DES, der längst obsolete Data Encryption Standard. Es existieren vier schwache Schlüssel ${\displaystyle K}$. Wenn der Klartext ${\displaystyle M}$ mit dem schwachen Schlüssel ${\displaystyle K}$ verschlüsselt wird – und der Geheimtext nochmals mit dem gleichen Schlüssel ${\displaystyle K}$ verschlüsselt wird, entsteht wieder der Klartext ${\displaystyle M}$:

${\displaystyle E_{K}(E_{K}(M))=M}$

Die zweimalige Verschlüsselung ist somit involut: Die nochmalige Anwendung der gleichen Operation führt wieder zum Anfangswert. Somit ist die DES-Verschlüsselung mit einem der schwachen Schlüssel gleichwertig zum (völlig unsicheren) ROT13-Verfahren.

Die vier schwachen DES-Schlüssel sind, in hexadezimaler Schreibweise:

• Abwechselnde Nullen und Einsen: 0x0101010101010101
• Abwechselnde F und E: 0xFEFEFEFEFEFEFEFE
• 0xE0E0E0E0F1F1F1F1
• 0x1F1F1F1F0E0E0E0E

Daneben existieren sechs halbschwache Schlüsselpaare. Für diese gilt, dass der Anfangswert wieder hergestellt wird, wenn die Verschlüsselung mit dem Schlüssel ${\displaystyle K_{1}}$ erfolgt, und die nochmalige Verschlüsselung mit dem Schlüssel ${\displaystyle K_{2}}$:

${\displaystyle E_{K_{2}}(E_{K_{1}}(M))=M}$

Die Schlüsselpaare ${\displaystyle K_{1}}$ und ${\displaystyle K_{2}}$ sind:

• 0x011F011F010E010E und 0x1F011F010E010E01
• 0x01E001E001F101F1 und 0xE001E001F101F101
• 0x01FE01FE01FE01FE und 0xFE01FE01FE01FE01
• 0x1FE01FE00EF10EF1 und 0xE01FE01FF10EF10E
• 0x1FFE1FFE0EFE0EFE und 0xFE1FFE1FFE0EFE0E
• 0xE0FEE0FEF1FEF1FE und 0xFEE0FEE0FEF1FEF1

Da DES nur sehr wenige schwache Schlüssel hatte, die allesamt bekannt waren, waren diese schwachen Schlüssel jedoch kryptologisch kein Problem. Die jeweilige Implementierung des Verfahrens konnte einen schwachen Schlüssel erkennen und ablehnen, und ohnehin verfügte DES über ${\displaystyle 2^{56}=72.057.594.037.927.936}$ mögliche Schlüssel. Die Wahrscheinlichkeit, durch Zufall einen der schwachen Schlüssel zu verwenden, war verschwindend klein.