Stick Figure Guide to the Advanced Encryption Standard (AES) (http://www.moserware.com/2009/09/stick-figure-guide-to-advanced.html)

Ah warst du heute schon bei Schneier? ;) Bei Moser selbst gibt es einen noch cooleren Link (mit Enter gehts immer einen Schritt weiter)
http://www.cs.bc.edu/~straubin/cs381-05/blockciphers/rijndael_ingles2004.swf

Ich bin trotzdem mehr von Serpent, Twofish und den beiden CASTs überzeugt. In dieser Reihenfolge. Vor allem aber Twofish hat bei wesentlich mehr Robustheit und gleichen Speed gegen Rijndael an sich nur wegen der dünn schlechteren Leistung beim Keymanagment verloren. Auf Smartcards :freak:
Als wenn eine Sekunde hin oder her bei einer Smarcard eine Rolle spielen würde.

Was in dem Komik zur "Softwareperformance" steht kann jeder im TrueCrypt-Bench nachsehen. Und da ist AES schon extrem optimiert. 3:1 ist ein Witz seitens der NSA.

Ich fand die Entscheidung damals als kaum nachvollziehbar und benutz diesen gepimpten Square nicht, wenn ich eine Auswahl habe. Fergusson hat das Teil bereits 2000 auseinandergenommen, wogegen beim "poppeligen" CAST5 von 1996 (CAST-128) mit "nur" 64bit Blöcken und "nur" 128bit Schlüsseln noch kein einziger kryptoanalitischer Angriff auch nur theoretisch glückte.

Am mit Kompromissen durchtränkten Rijndael ist garnichts "Advanced" :P

Was in dem Komik zur "Softwareperformance" steht kann jeder im TrueCrypt-Bench nachsehen. Und da ist AES schon extrem optimiert. 3:1 ist ein Witz seitens der NSA.Könntest du diesen Satz bitte nochmal etwas verständlicher formulieren?

(Wenn mal z. B. da (http://www.forum-3dcenter.org/vbulletin/showthread.php?t=140620) mal schaut, ist AES auf vielen verschieden PC-Plattformen gleichwertig oder gar schneller.)

mfg

Er spinnt rum. AES ist nichtmal ansatzweise irgendwie relevant angegriffen worden bisher.

Könntest du diesen Satz bitte nochmal etwas verständlicher formulieren?An sich gerne, aber ich wüßte nicht wie.

(Wenn mal z. B. da (http://www.forum-3dcenter.org/vbulletin/showthread.php?t=140620) mal schaut, ist AES auf vielen verschieden PC-Plattformen gleichwertig oder gar schneller.)Muß ich jeden Beitrag nachsehen? Überflogen sehe ich größtenteils einen merkbaren Vorteil für Twofish.
Und selbst wenns nur um Speed gehen würde, laß sie gleichwertig sein. Für die gleiche Robustheit bräuchte Rijndael aber mindestens 2 Runden mehr und dann sagt es gegenüber Twofish (der bei seinen Rundenzahlen bleiben kann) komplett ab.

Für Smartcards ist Twofish sowieso sicherer, weil dadurch, daß alle Runden unabhängig vom Schlüssel gleiche Operationen durchführen ein "power and radiation attack" sehr unwahrscheinlich ist.

Beim TopSecret-Level hat die NSA AES-192 bereits entfernt. Es gelten nur 256bit. Ich denke die würden auch mal gerne den Secret-Level von 128bit auf 192bit erhöhen, aber dann würden schnell zu viele Leute komische Fragen stellen...

@Coda
Mit "relevant" ziehst du dich aber gut aus der Affäre ;) Als wenn ich geschrieben hätte, daß AES gebrochen ist. Wer spinnt denn hier wieder rum? :comfort:

p.s.:
Kaum schreib ich irgendwo NSA in einem Forum schon sackt wieder mein DSL ab :D Ich starte dann mal neu...

Was in dem Komik zur "Softwareperformance" steht kann jeder im TrueCrypt-Bench nachsehen. Und da ist AES schon extrem optimiert. 3:1 ist ein Witz seitens der NSA.An sich gerne, aber ich wüßte nicht wie.Hm, ich formuliere mal meine Fragen aus:
Auf was bezieht sich die Angabe 3:1? Wenn es da um die Performance geht, gibt es da tatsächlich Benches, wo er 3:1 hinten liegt?*
Heißt "da ist AES schon extrem optimiert", daß "Serpent, Twofish und den beiden CASTs" nicht optimiert sind, bzw. schlechter?
Meint dein Satz insgesamt, daß Rijndael von der Softwareperformance und der Robustheit schlechter ist als die 4 anderen genannten?
* Das sollte mein Link wiederlegen. Je nach Prozessor liegt AES etwas (- 25%) zurück, auf vielen anderen aber vorne (gegenüber den von die genannten).
Auch bei Schneier, Whiting: A Perfermoance Comparision of the Five AES Finalists (pdf) (http://www.schneier.com/paper-aes-comparison.pdf) scheint mir Rijndael sehr gut im Rennen zu ligen - nicht immer erster, aber fast immer vorne dabei udn nie letzter.Für die gleiche Robustheit bräuchte Rijndael aber mindestens 2 Runden mehr(Ich verstehe hier unter Robustheit: Sicherheitsmarge gegenüber zukünftigen Methoden und Hardware, nur damit wir nicht aneinader vorbeireden.)
Nun ja, daß sehe ich anders, aber Vorhersagen über die Zukunft sind immer schwierig. ;-)
Bislang würde ich AES als derzeit praktisch und theoretisch nicht knackbar einordnen, afaik trifft dies auf alle Finalisten zu.
Angriffe auf rundenreduzierte Varianten oder die berechnende Hardware (siehe z. B. DJBs cache-timing attack (http://cr.yp.to/antiforgery/cachetiming-20050414.pdf)) gibt es durchaus, aber auch das afaik bei allen. Lediglich Twofish scheint da sehr hartnäckig zu sein.

Ich denke allerdigs, daß Rijndael als der AES sich einer erhöhten Auferksamkeit ausgesetzt sieht. Selbst die naja-evtl-Attacke XLS erfuhr eine Menge Aufmerksamkeit.Für Smartcards ist Twofish sowieso sicherer, weil dadurch, daß alle Runden unabhängig vom Schlüssel gleiche Operationen durchführen ein "power and radiation attack" sehr unwahrscheinlich ist.Das ist durchaus ein Punkt, den man aber auch bei geeigneter Implementation weitestgehend ausgleichen kann.

Er spinnt rum. AES ist nichtmal ansatzweise irgendwie relevant angegriffen worden bisher.Ich möchte mich nicht in Wortklaubereien verstricken und gestehe dem zu, das es sich nicht um einen Angriff auf den Algorithmus als solchen handelt, aber DJBs verlinktes Paper (http://cr.yp.to/antiforgery/cachetiming-20050414.pdf) zeigt einen imho gangbaren Weg auf, AES-verschlüsselte Kommunikation in gewissen Szenarien anzugreifen.

mfg

Hm, ich formuliere mal meine Fragen aus:
Auf was bezieht sich die Angabe 3:1?Auf die vom Threadstarter verlinkte "Story". Und die dadrin enthaltene Punktetabelle von NIST.

Heißt "da ist AES schon extrem optimiert", daß "Serpent, Twofish und den beiden CASTs" nicht optimiert sind, bzw. schlechter?Jein. Und wenn, dann kam die Optimierung irgendwie sehr spät dazu. Nur AES konnte sich mit der 5er relativ so steigern.

Meint dein Satz insgesamt, daß Rijndael von der Softwareperformance und der Robustheit schlechter ist als die 4 anderen genannten?[/list]Nein. Es ist schon schneller als Serpent. Ich mein Serpent blüht nur bei ASICs auf. Als Twofish auf jeden Fall. Wobei Serpent aus der Wertung fällt, weil die Designer keine Kompromisse angegangen sind. Das heißt es gab keinen trade off, sondern man machte ihn nur so schnell, so schnell es die von den Designern (und nicht die von NIST) angestrebte Sicherheit zugelassen hat. Das war beim Twofish ähnlich, aber man hat hier diesbezüglich größere Mühen beim Design gezeigt.
Wobei man nicht vergeßen darf, daß Serpent normalerweise 32 Runden dreht. Also dafür ist es relativ schon sehr wohl ziemlich schnell.

CASTs waren imho nie ernsthaft für die Vorgaben dieses Wettbewerbs gemacht. CAST-256 wurde nur mit angereicht. Wenn ich selbst einen hätte, hätt ich den auch angereicht. Nur um zu gucken wie weit er kommt :) Verständlich.
Sie sind aber die meist unterschätzten. Schon CAST-128 ist außergewöhnlich robust. Anders verhält es sich auch mit CAST-256 nicht. Und schnell war das Zeug damals und bevor AES und Twofish kamen - und als PGP6 es seinerzeit für die Datenträgerverschlüsselung nutzte - allemal. Und auch schon nah Blowfish.
Dazu ist der Unterschied nach Botan zwischen CAST-128 und CAST-256 wie ~60:64. Schon beachtlich für den 256er. AES-256 erreicht dabei 85 und Twofish schiebt mit 103.
Die überschnelle Implementierung im TC und der Nachschub in Libcrypt/GPG von Werner Koch sind erst auf dem Mist von Gladman gewachsen.

Das gab es aber während der Entscheidung noch nicht. Rijndael hat gewonnen und viele haben es nicht verstanden. Ich auch nicht. Nur weil man besser als 3DES ist, ist man nicht automatisch gut genug.
Twofish-Team hat zwar noch in einem Memo einen warnenden Finger erhoben, aber des Frieden und des "Gesichts" wegen hat man alles sonst wortlos vernommen und gratuliert. Daß ausgerechnet Fergusson schon paar Monate später AES so weit auseinander nahm... Ich will den Wortlaut des ersten Gesprächs nach der Wahl, in der Bar, nicht wissen ;) Für AES-128 wurde es kryptologisch gesehen jedenfalls schon verdammt knapp und das Zeug soll allgemein angeblich bis 2030 (?) halten :|

Für TopSecret ist AES-192 wie gesagt plötzlich weggefallen und für TopSecret mit dem Zusatzprädikat "especially sensitive information" nehmen sie garkein AES, sondern lieber ihr eigenes Zeug oder sie nehmen etwas was man kennt, es aber nicht wissen sollte, daß sie es benutzen. Warum auch immer...

(Ich verstehe hier unter Robustheit: Sicherheitsmarge gegenüber zukünftigen Methoden und Hardware, nur damit wir nicht aneinader vorbeireden.)Das ist richtig. Wobei man sich auch gegen aktuelle Methoden nie sicher sein kann ;)

Ich denke allerdigs, daß Rijndael als der AES sich einer erhöhten Auferksamkeit ausgesetzt sieht.Vielleicht im Netz. Kryptologen setzen immer wieder an verschiedenen Algos an. Um AES wird nur mehr Trara im Netz gemacht. D.h. aber nicht, daß er der am meist angegriffene ist. Wobei, Stop. Gehört hab ich auch schon, daß viele in der Szene es nicht wirklich mögen und deswegen öfters angesetzt wird, um es endlich zu kompromittieren. Soll aber nur ein Gerücht hinter der vorgehaltenen Hand sein ;)
Wenn einem im Schlaf was zu Twofish einfällt dann wird er das ausprobieren. Keine Sorge. Mit CAST z.B. wird weiterhin standardmäßig der seckey bei GPG/(PGP?) geschützt und PGP und seine Methoden ist weiterhin der Klassiker für Übungen solcher Art. Ich kenne aber z.B. nicht einen, selbst so als ob theoretischen, Angriff auf die CASTs. Du?

"power and radiation attack"
Das ist durchaus ein Punkt, den man aber auch bei geeigneter Implementation weitestgehend ausgleichen kann.Schon möglich. Ich sehe diesen erhöhten Aufwand für die Auswahl aber zuerst als einen Minuspunkt (oder mehrere) für Rijndael und kann das persönlich mit dem leicht leistungsfähigeren keymanagment gegenüber Twofish nicht aufwiegen :|


Das reicht erstmal für paar Tage ;) Bis dann mal.

Für AES-128 wurde es kryptologisch gesehen jedenfalls schon verdammt knapp.Vielleicht haben wir ja eine andere Definition von "verdammt knapp", aber mir ist da nichts bekannt. Könntest du die Aussage mal mit einem Beispiel belegen?

Meinst du das hier (https://cryptolux.org/mediawiki/uploads/1/1a/Aes-192-256.pdf)? Wenn ja:Q.: Is this attack practical?

A.: No. Even after improvements we are still over 2^100 encryptions, which is beyond the computational power of the human kind. Moreover this attack works in a related key attack model which assumes a more powerful attacker than the single key model. Allerdings betrifft das Paper eigentlich nur AES-256, dessen Angriff dadurch laut den Autoren in der Theorie noch unter die Komplexität von AES-128 gedrückt wird. Beides bleibt aber sicher.

Ja wir werden wohl eine andere Definition davon haben, aber ich schreib halt meine Ansichten nieder und du deine. Das macht es nicht zum Drama.

Ein chosen-plaintext attack auf AES-128 (10 Runden) der bei 7 Runden glückt, ist für mich schon sehr knapp.
Das haben auch einige vorm großen Finale und auch danach noch vorgeschlagen. "Hej Rijndael ist schon ok, aber laßt uns lieber jeweils 1-2 Runden dazutun." Nur dann hätte man auch gleich Twofish nehmen können ;)

Was heißt hier sicher oder unsicher. Mach nicht den Coda ;) Ich hab nirgendwo geschrieben, daß AES kurz vor dem Fall wäre.
Nein. Ich meine, wie erwähnt, die Arbeiten von Ferguson.

Nacht.

"Hej Rijndael ist schon ok, aber laßt uns lieber jeweils 1-2 Runden dazutun." Nur dann hätte man auch gleich Twofish nehmen können ;)Mit zusätzlichen Runden wäre Rijndael aber bedeutend langsamer (also langsamer als Twofish), womit der wohl einzige Grund für die Wahl von Rijndael als AES weggefallen wäre. Auf meinem Rechner z.B. ist Twofish auch so schon schneller als Rijndael und selbst wenn nicht, wäre der Unterschied auf Maschinen dieser Leistungsklasse kaum relevant. Es ging aber wohl eher darum, dass AES-Softwareimplementierungen auch auf kleinen CPUs (nein, ein K8 ist in diesem Zusammenhang alles andere als klein) hinreichend schnell laufen. Ich konnte die Entscheidung auch nicht vollumfänglich gutheißen, aber das macht AES noch längst nicht ungeeignet für empfindliche Daten.

Ich hab das Gefühl du wiederholst mich ;)

Mit zusätzlichen Runden wäre Rijndael aber bedeutend langsamer (also langsamer als Twofish)Das schrieb ich schon.

Es ging aber wohl eher darum, dass AES-Softwareimplementierungen auch auf kleinen CPUs (nein, ein K8 ist in diesem Zusammenhang alles andere als klein) hinreichend schnell laufen.Ah? K8 ist echt keine kleine CPU? ;)

Ich konnte die Entscheidung auch nicht vollumfänglich gutheißen,Ich fands bescheuert. Vor allem da bei den Amis selbst sowieso eine weitreichende Runderneuerung der hierzu relevanten Infrastruktur anstand und noch bevor die Einführung und Benutzung von AES überhaupt an Fahrt wirklich zunehmen konnte, waren die meisten neuen small-devices auf einem Stand, auf dem wieder egal war, ob sie Twofish oder Rijndael fahren müßen.
Wie gesagt hat Twofish diesbezüglich sowieso nur beim key-managment abgelost. Was ungefähr 5% davon ist, was ein Device zu tun hat, wenn es sich mit Kryptoaufgaben beschäftigt. Ein Scherz.

aber das macht AES noch längst nicht ungeeignet für empfindliche Daten.Steht hier bis jetzt auch nirgendwo. Obwohl die Amis es wie gesagt für especially sensitive information nicht benutzen.

Ok. Das reicht dann :) EOD.