Stromchiffren

Definition

Eine Stromchiffre ist ein symmetrisches Verschlüsselungsschema, das einen langen pseudozufälligen Keystream aus einem geheimen Schlüssel (und normalerweise einer Nonce) erzeugt und durch die Kombination des Keystreams mit dem Klartext, meistens durch bitweises XOR, verschlüsselt.

Scope

Dieses Thema behandelt den Entwurf und die Analyse von Stromchiffren: Keystream-Generatoren, die aus linearen Rückkopplungs-Schieberegistern aufgebaut sind, Kombinator- und Filterkonstruktionen sowie moderne softwareorientierte Entwürfe wie ChaCha20 und das eSTREAM-Portfolio. Es behandelt die Beziehung zum One-Time-Pad, die kritische Anforderung, einen Keystream niemals wiederzuverwenden, und Angriffe, die aus der Wiederverwendung von Keystreams oder schwachen Generatoren resultieren. Blockchiffren sind ausgeschlossen, obwohl eine Blockchiffre im Zählermodus effektiv als Stromchiffre fungiert.

Core questions

• Wie kann ein kurzer Schlüssel zu einem langen, unvorhersehbaren Keystream gestreckt werden, der ein One-Time-Pad nachahmt?
• Warum ist die Wiederverwendung eines Keystreams katastrophal und wie verhindern Nonces dies?
• Was macht einen Keystream-Generator kryptographisch stark und nicht nur statistisch zufällig?
• Wie erreichen moderne Stromchiffren wie ChaCha20 Geschwindigkeit ohne dedizierte Hardware?
• Welche klassischen Angriffe (Korrelation, algebraisch) brechen schwache LFSR-basierte Entwürfe?

Key concepts

• Keystream
• One-Time-Pad
• lineares Rückkopplungs-Schieberegister
• Nonce und Initialisierungsvektor
• Keystream-Wiederverwendung (Two-Time-Pad)
• ChaCha20 und Salsa20
• Korrelationsangriffe
• synchrone vs. selbstsynchronisierende Chiffren

Key theories

One-Time-Pad und perfekte Sicherheit

Die Verschlüsselung durch XOR mit einem wirklich zufälligen Schlüssel, der so lang ist wie die Nachricht, erreicht Shannons perfekte Sicherheit; Stromchiffren nähern dies an, indem sie einen pseudozufälligen Keystream für das unpraktische wirklich zufällige Pad substituieren.

Keystream-Generierung und kryptographische Pseudozufälligkeit

Eine sichere Stromchiffre ist ein Pseudozufallsgenerator: Ihr Keystream muss rechnerisch von Zufälligkeit ununterscheidbar sein, so dass kein effizienter Angreifer zukünftige Keystream-Bits vorhersagen kann, selbst nachdem viele beobachtet wurden.

Mechanisms

Eine synchrone Stromchiffre initialisiert einen internen Zustand aus dem Schlüssel und der Nonce, aktualisiert dann wiederholt den Zustand und gibt Keystream-Ausgaben unabhängig vom Klartext aus. Der Keystream wird mit dem Klartext XOR-verknüpft, um zu verschlüsseln, und mit dem Chiffretext, um zu entschlüsseln. Entwürfe, die auf linearen Rückkopplungs-Schieberegistern basieren, sind in Hardware schnell, erfordern jedoch nichtlineare Kombinatoren, um algebraischen Angriffen zu widerstehen; Software-Chiffren wie ChaCha20 verwenden Additions-Rotations-XOR (ARX)-Operationen auf einem großen Zustand für Geschwindigkeit und Sicherheit.

Clinical relevance

ChaCha20 (mit dem Poly1305-Authentifikator) ist weit verbreitet in TLS 1.3, OpenSSH, WireGuard und mobilen Nachrichtenanwendungen, wo es AES auf Geräten ohne Hardware-AES-Beschleunigung vorgezogen wird. Stromchiffren eignen sich gut für Streaming-Medien und Verbindungen mit geringer Latenz. Historisch schützte die RC4-Stromchiffre frühes SSL/TLS und WEP Wi-Fi, bis ihre Schwächen zur Abschaffung führten.

Evidence & guidelines

ChaCha20-Poly1305 ist in RFC 8439 standardisiert und für TLS zugelassen. RC4 ist in TLS durch RFC 7465 aufgrund von Keystream-Schwächen verboten. Das eSTREAM-Projekt (2004-2008) erstellte ein geprüftes Portfolio von Stromchiffren. Die Kardinalregel über alle Standards hinweg ist, dass ein (Schlüssel, Nonce)-Paar niemals wiederverwendet werden darf.

History

Stromchiffren stammen vom Vernam-Chiffre (1917) und dem One-Time-Pad ab. Militärsysteme des Kalten Krieges verwendeten Keystream-Generatoren, die auf Schieberegistern basierten. RC4, 1987 von Ron Rivest entworfen, wurde enorm weit verbreitet, aber schließlich in seinen Protokollanwendungen gebrochen. Der eSTREAM-Wettbewerb und Daniel Bernsteins Salsa20/ChaCha20-Familie (2008) definierten die moderne, softwarefreundliche Generation, die heute in Internetprotokollen bevorzugt wird.

Key figures

• Claude Shannon
• Daniel J. Bernstein
• Ronald Rivest
• Adi Shamir

Related topics

• block ciphers and aes
• message authentication codes
• randomness and pseudorandomness

Seminal works

• shannon1949
• katz2020
• menezes1996

Frequently asked questions

Was passiert, wenn ein Stromchiffren-Keystream wiederverwendet wird?

Das XOR-Verknüpfen von zwei Chiffretexten, die mit demselben Keystream verschlüsselt wurden, hebt den Keystream auf und hinterlässt das XOR der beiden Klartexte – was oft beide Nachrichten offenbart. Aus diesem Grund muss jede Verschlüsselung eine frische Nonce verwenden, damit sich der Keystream unter einem festen Schlüssel niemals wiederholt.

Sind Stromchiffren weniger sicher als Blockchiffren?

Nicht von Natur aus. Moderne Stromchiffren wie ChaCha20 gelten als so sicher wie AES und sind in Software manchmal schneller. Unsicherheit entsteht durch Missbrauch (Keystream-Wiederverwendung) oder schwache ältere Entwürfe wie RC4, nicht durch das Konzept der Stromchiffre selbst.

Methods for this concept

• Symmetric Key Cryptanalysis
• Differential Cryptanalysis
• Linear Cryptanalysis
• Side-Channel Analysis
• HMAC
• Post-Quantum Cryptography (Kyber)
• AES (Rijndael)
• SHA Hash Function

Related concepts

• Symmetrische Kryptographie
• Zufälligkeit und Pseudozufälligkeit
• Blockchiffren und AES
• Nachrichten-Authentifizierungscodes
• TLS und sichere Kanäle
• Pseudozufallszahlengeneratoren