Schlüssellänge

Die Schlüssellänge ist eine wichtige Eigenschaft kryptographischer Verfahren und bezeichnet ein logarithmisches Maß für die Anzahl der verschiedenen möglichen Schlüssel des Verfahrens.

Definition

Die Gesamtheit aller möglichen Schlüssel eines kryptographischen Verfahrens wird als Schlüsselraum bezeichnet. Unter dem Begriff Schlüsselanzahl versteht man die Größe des Schlüsselraums, also die Anzahl aller möglichen Schlüssel. Bezeichnet man diese mit N, so berechnet sich die Schlüssellänge in bit durch:

Schlüssellänge = $\log_2 N\,$

wobei $\log_2 N\,$ den Logarithmus von N zur Basis 2 bezeichnet (Logarithmus dualis, oft auch mit ld abgekürzt).

Bei klassischen (nicht auf Computern basierten) Verfahren, beispielsweise einer einfachen monoalphabetischen Substitution oder der Schlüsselmaschine Enigma, gibt man üblicherweise direkt die Anzahl aller möglichen Schlüssel an. Bei modernen Verfahren ist es praktischer, die Schlüssellänge nach obiger Formel in bit umzurechnen, um nicht mit unhandlich großen Zahlen arbeiten zu müssen.

Bedeutung für die Sicherheit des Verfahrens

Die Schlüssellänge ist zwar ein wichtiges, jedoch nicht das allein entscheidende Kriterium für die Sicherheit eines kryptographischen Verfahrens. Ein fataler Fehler wäre es, eine große Schlüssellänge mit der „Unknackbarkeit“ einer Verschlüsselungsmethode gleichzusetzen, denn ein ausreichend großer Schlüsselraum ist lediglich eine notwendige, allein jedoch keine hinreichende Bedingung für eine sichere kryptographische Methode.

Viel wichtiger ist der Algorithmus selbst. Beispielsweise verfügt selbst eine so simple Methode wie eine einfache monoalphabetische Substitution über einen beeindruckend großen Schlüsselraum von 26! (Fakultät) verschiedenen Schlüsseln. Das entspricht einer Schlüsselanzahl von 403.291.461.126.605.635.584.000.000. Die Schlüssellänge beträgt umgerechnet etwas mehr als 88 bit. Trotz dieser gigantischen Schlüsselanzahl, die eine exhaustive (vollständig erschöpfende) Schlüsselsuche auch mit heutigen Mitteln aussichtslos macht, kann dieses Verfahren sehr leicht gebrochen werden (beispielsweise durch statistische Angriffsmethoden oder durch Mustersuche).

Natürlich muss der Schlüsselraum ausreichend groß sein, um einen Brute-Force-Angriff aussichtslos zu machen. Ein extremes Gegenbeispiel wäre die Caesar-Verschlüsselung. Hierbei gibt es lediglich 26 verschiedene Schlüssel, wobei noch einer, nämlich die Verschiebung um 26 Buchstaben, unbrauchbar ist, da er keine Verschlüsselung bewirkt. Die verbleibenden 25 Schlüssel lassen sich selbst von Hand sehr schnell ausprobieren. Somit kann eine Caesar-Verschlüsselung ohne weitere Kenntnisse oder spezielle kryptanalytische Angriffsmethoden durch exhaustive Schlüsselsuche leicht gebrochen werden.

Welche Schlüssellänge heutzutage als mutmaßlich sicher gelten kann, hängt auch von der Verschlüsselungsmethode selbst ab. So genügen für symmetrischen Verfahren deutlich kürzere Schlüssellängen als für asymmetrische Verfahren („Public-Key-Methoden“). Durch Fortschritte in der Rechnertechnik („Hardware“) können heute einige ältere Verfahren durch exhaustive Schlüsselsuche gebrochen werden, die früher als sicher galten. Ein Beispiel dafür ist der „Data Encryption Standard (DES)“, der über mehrere Jahrzehnte gegen Ende des zwanzigsten Jahrhunderts als Standardmethode zur Verschlüsselung diente und dessen 56 bit langer Schlüssel nach heutigem Stand zu kurz gewählt wurde. Als sichere Schlüssellänge für symmetrische Verfahren werden heute 128 bit oder mehr angesehen.

Eine Schlüssellänge von mehr als 256 bit für ein symmetrisches Verfahren zu wählen, gilt als überflüssig, denn der damit erreichte Schlüsselraum ist deutlich größer als er nach heutigem naturwissenschaftlichem Verständnis jemals absuchbar sein könnte. So ist es beispielsweise aus grundlegenden physikalischen Gründen, wie Anzahl der Elementarteilchen im Weltall, Größe, Masse oder Energiegehalt des Weltalls, nicht vorstellbar, selbst einen einfachen Zähler zu bauen, der in der Zeit, in der das Weltall mutmaßlich noch existiert, in der Lage ist, von 1 bis 2 hoch 256 zu zählen, geschweige denn eine exhaustive Schlüsselsuche als Angriff auf ein symmetrisches kryptographisches Verfahren zu vollenden, das mit einem 256 bit langen Schlüssel geschützt ist.

Ein häufig übersehener Punkt bei der Sicherheit ist die Wahl des Schlüssels selbst. Wählt ein Benutzer beispielsweise als Passwort „EVA12“, weil sein Computer ihn bisher schon elf mal aufgefordert hat, sein Passwort zu ändern, dann hilft auch der raffinierteste kryptographische Schutz wenig, denn solch ein Passwort kann natürlich sehr leicht erraten werden. Außerdem ist es viel zu kurz und kann durch exhaustive Suche (maximal 36 hoch 5 Fälle, also rund 60 Million Möglichkeiten sind auszuprobieren) unabhängig von der durch das Verfahren benutzten Schlüssellänge schnell gefunden werden.

Beispiele für Schlüsselanzahlen und Schlüssellängen

• Caesar-Verschlüsselung: Die Schlüsselanzahl 25 (entspricht einer Schlüssellänge von ungefähr 5 bit)
• DES: 2⁵⁶ = 72.057.594.037.927.936 (entspricht 56 bit)
• Enigma I: 206.651.321.783.174.268.000.000 (entspricht ungefähr 77 bit)
• Enigma-M4: 60.176.864.903.260.346.841.600.000 (entspricht fast 86 bit)
• Monoalphabetische Substitution: 26! (Fakultät) = 403.291.461.126.605.635.584.000.000 (entspricht ungefähr 88 bit)
• Triple-DES: 2¹¹² = 5.192.296.858.534.827.628.530.496.329.220.096 (entspricht 112 bit)
• AES: wählbar
  • 2¹²⁸ = 340.282.366.920.938.463.463.374.607.431.768.211.456 (entspricht 128 bit),
  • 2¹⁹² = 6.277.101.735.386.680.763.835.789.423.207.666.416.102.355.444.464.034.512.896 (entspricht 192 bit) oder
  • 2²⁵⁶ = 115.792.089.237.316.195.423.570.985.008.687.907.853.269.984.665.640.564.039.457.584.007.913.129.639.936 (entspricht 256 bit)

Weblinks

Schlüssellängen und ihre Sicherheit bei www.tcp-ip-info.de