6. Differentielle Kryptanalyse

Die differentielle Kryptanalyse wurde 1990 von den israelischen Mathematikern BIHAM und SHAMIR eingeführt. Sie richteten ihre Angriffe damit gegen den DES-Algorithmus (siehe unten). Sie fanden mit dieser Methode einen chosen-plaintext-Angriff gegen DES, der effizienter ist als ein brute-force-Angriff. Dieses Beispiel bezieht sich auch auf den DES-Algorithmus.

Bei der differentiellen Kryptanalyse betrachtet man bestimmte Paare von Chiffretexten, und zwar solche, bei denen die zugehörigen Klartexte bestimmte Differenzen aufweisen. Die Bezeichnung Differenz ist über XOR definiert. Man untersucht die Entwicklung dieser Differenzen, während die Klartexte die DES-Runden durchlaufen und mit gleichem Schlüssel chiffriert werden. Mit Hilfe der Differenzen der entstandenen Chiffretexte weist man verschiedenen Schlüsseln unterschiedliche Wahrscheinlichkeiten zu. Analysiert man eine genügend große Anzahl von Schlüsseln, so kristallisiert sich ein bestimmter Schlüssel als der wahrscheinlichste heraus. Dies ist der korrekte Schlüssel. Die Einzelheiten sind jedoch wesentlich komplizierter.

Man stellt sich ein Paar X und X' von Eingabewerten vor, deren Differenz X beträgt. Die Ausgabewerte Y und Y' und somit auch die Differenz Y sind auch bekannt. Da die Eingangspermutation wie auch die P-Box bekannt sind, kennt man A und C. B und B' sind nicht bekannt, aber die Differenz B - sie ist identisch mit A. Der Clou ist, daß für ein bestimmtes A nicht alle C gleich wahrscheinlich sind. Aus den Kombinationen von A und C kann man auf einige Bits von A K_i und A' K_i schließen. Da A und A' bekannt sind, erhält man auf diese Weise Informationen über K_i. Gelingt es, bei der Betrachtung der letzten Runde von DES, K₁₆ zu ermitteln, so sind 48 Bit des Schlüssels bekannt. Die letzten 8 Bit werden über einen Brute-force-Angriff ermittelt.

Allerdings sind auch mit der differentiellen Kryptanalyse die Aussichten auf einen erfolgreichen Angriff gegen DES sehr gering.