imported>Schreibknecht1312: /* growthexperiments-addlink-summary-summary:2|0|0 */

2025-04-23T09:01:52Z

growthexperiments-addlink-summary-summary:2|0|0

Neue Seite

{{Infobox Blockchiffre
| name = XTEA
| bild = XTEA InfoBox Diagram.svg
| bildname = Zwei Feistel-Runden (ein Zyklus) von XTEA
| entwickler = [[Roger Needham]], [[David Wheeler]]
| datum = 1997
| abgeleitet = [[Tiny Encryption Algorithm|TEA]]
| schlüssellänge = 128 Bit
| blockgröße = 64 Bit
| struktur = [[Feistelchiffre]]
| runden = variabel, 64 Feistelrunden (32 Zyklen) empfohlen
| kryptoanalyse = Stand 2009 können bis zu 36 Feistelrunden erfolgreich angegriffen werden.
}}
Der '''XTEA''' (''e'''X'''tended '''T'''iny '''E'''ncryption [[Algorithmus|'''A'''lgorithm]]'') ist eine [[Blockchiffre]], die als Verbesserung der Blockchiffre [[Tiny Encryption Algorithm|TEA]] entwickelt wurde. XTEA ist wie TEA bekannt für ihre einfache Beschreibung und Implementierung. Der Code als C-Programm umfasst nur einige Zeilen. XTEA wurde von [[David Wheeler]] und [[Roger Needham]] an der [[Universität Cambridge]] im Jahr 1997 entwickelt. XTEA ist wie auch sein Vorgänger TEA frei von Patenten.

== Eigenschaften ==
XTEA ist eine [[Feistelchiffre]] mit 64 [[Bit]] großen Datenblöcken und einem 128 Bit langen Schlüssel. In der Regel werden 64 Runden = 32 Zyklen berechnet (empfohlener Wert, kann auch geändert werden). Der Mechanismus zur Erzeugung der Rundenschlüssel ist sehr einfach gehalten. Das Einbringen eines sogenannten Deltas, das wie bei TEA als <math>\lfloor (\sqrt{5}-1) \cdot 2^{31} \rfloor</math> definiert ist, verhindert einen Angriff, der die Symmetrie der einzelnen Runden ausnutzt. Allerdings wird bei XTEA das Delta anders in die Runde eingebracht, was hauptsächlich die Stärkung der Verschlüsselung bewirkt.

2009 präsentierte Jiqiang Lu einen ''Related-key rectangle attack'' auf 36 Runden.<ref>Jiqiang Lu: ''Related-key rectangle attack on 36 rounds of the XTEA block cipher'' In: ''International Journal of Information Security'', February 2009, S. 1–11, Springer-Verlag.</ref> Dieser Angriff betrifft bis zum Stand 2015 die höchste Rundenanzahl.
Andrey Bogdanov und Meiqin Wang stellten 2012 außerdem eine ''Zero correlation linear cryptanalysis'' auf 27 Runden XTEA vor.<ref>Andrey Bogdanov und Meiqin Wang: ''Zero correlation linear cryptanalysis with reduced data complexity''. In: ''Proceedings of FSE 2012'', S. 29–48, Springer-Verlag.</ref>

== Referenzcode ==
Es folgt die Adaptierung der [[Referenzimplementierung]] der Ver- und Entschlüsselungsroutinen in [[C (Programmiersprache)|C]], die als [[Public Domain]] von David Wheeler und Roger Needham veröffentlicht wurde:
<syntaxhighlight lang="C">
#include <stdint.h>

/* gegeben sind 64 Datenbits in v[0] und v[1] und 128 Schlüsselbits in k[0] bis k[3] */
/* Die Daten werden mit 2 * num_cycles Runden verschlüsselt */

void encipher (unsigned int num_cycles, uint32_t v[2], uint32_t const k[4]) {
unsigned int i;
const uint32_t delta = 0x9E3779B9;
uint32_t v0 = v[0], v1 = v[1], sum = 0;
for (i=0; i < num_cycles; i++) {
v0 += (((v1 << 4) ^ (v1 >> 5)) + v1) ^ (sum + k[sum & 3]);
sum += delta;
v1 += (((v0 << 4) ^ (v0 >> 5)) + v0) ^ (sum + k[(sum>>11) & 3]);
}
v[0] = v0; v[1] = v1;
}

void decipher (unsigned int num_cycles, uint32_t v[2], uint32_t const k[4]) {
unsigned int i;
const uint32_t delta = 0x9E3779B9;
uint32_t v0 = v[0], v1 = v[1], sum = delta * num_cycles;
for (i=0; i < num_cycles; i++) {
v1 -= (((v0 << 4) ^ (v0 >> 5)) + v0) ^ (sum + k[(sum>>11) & 3]);
sum -= delta;
v0 -= (((v1 << 4) ^ (v1 >> 5)) + v1) ^ (sum + k[sum & 3]);
}
v[0] = v0; v[1] = v1;
}
</syntaxhighlight>

Die Adaptierung zur Originalimplementierung betreffend kleinere Randpunkte:
* Die Originalimplementierung verwendet die Typen <code>unsigned long</code> statt der [[64-bit]]-tauglichen <code>uint32_t</code> Typen.
* Der Originalcode verwendete keine <code>const</code> Typen.
* Der Originalcode vermeidet redundante Klammerungen, was die Lesbarkeit des Codes reduziert.

== XXTEA ==
XXTEA oder ''Extended XTEA'' ist eine 1998 ebenfalls von Wheeler und Needham vorgestellte verbesserte Version von XTEA.<ref name="XXTEA">{{Internetquelle |autor=David J. Wheeler, Roger M. Needham |url=https://www.movable-type.co.uk/scripts/xxtea.pdf |titel=Correction to XTEA |hrsg=Computer Laboratory, Cambridge University |datum=1998 |sprache=en |abruf=2024-03-25}}</ref> Die Blockgröße ist variabel, ein Block besteht aus zwei oder mehr 32-Bit-Wörtern, und die Rundenzahl richtet sich nach der Blockgröße.

=== Referenzimplementierung ===
David Wheeler und Roger Needham veröffentlichten folgenden Referenzcode für XXTEA:<ref name="XXTEA" />
<syntaxhighlight lang="C">
#include <stdint.h>
#define DELTA 0x9e3779b9
#define MX (((z>>5^y<<2) + (y>>3^z<<4)) ^ ((sum^y) + (key[(p&3)^e] ^ z)))

void btea(uint32_t *v, int n, uint32_t const key[4]) {
uint32_t y, z, sum;
unsigned p, rounds, e;
if (n > 1) { /* Coding Part */
rounds = 6 + 52/n;
sum = 0;
z = v[n-1];
do {
sum += DELTA;
e = (sum >> 2) & 3;
for (p=0; p<n-1; p++) {
y = v[p+1];
z = v[p] += MX;
}
y = v[0];
z = v[n-1] += MX;
} while (--rounds);
} else if (n < -1) { /* Decoding Part */
n = -n;
rounds = 6 + 52/n;
sum = rounds*DELTA;
y = v[0];
do {
e = (sum >> 2) & 3;
for (p=n-1; p>0; p--) {
z = v[p-1];
y = v[p] -= MX;
}
z = v[n-1];
y = v[0] -= MX;
sum -= DELTA;
} while (--rounds);
}
}
</syntaxhighlight>

=== Sicherheit ===
2010 veröffentlichte Elias Yarrkov einen [[Kryptoanalyse#Chosen_Plaintext|Chosen Plaintext Angriff]], der auf [[Differenzielle Kryptoanalyse|Differenzieller Kryptoanalyse]] beruht und mit 2<sup>59</sup> Versuchen erfolgreich ist.<ref>{{Internetquelle |autor=Elias Yarrkov |url=https://eprint.iacr.org/2010/254 |titel=Cryptanalysis of XXTEA |werk=Cryptology ePrint Archive |datum=2010 |sprache=en |abruf=2024-03-26}}</ref>

=== Anwendungen ===
XXTEA wird beispielsweise eingesetzt im Funkprotokoll des Kollisionswarngerätes [[FLARM]] sowie im ADS-L Standard.<ref>{{Internetquelle |autor=EASA |url=https://www.easa.europa.eu/en/downloads/137503/en |titel=Technical Specification for ADS-L transmissions using SRD-860 frequency band (ADS-L 4 SRD-860) |hrsg=EASA |datum=2022-12-20 |sprache=en |abruf=2024-03-25}}</ref> Eine wissenschaftliche Studie der [[ETH Zürich]] kam zu dem Ergebnis, dass es aus Sicht der [[Informationssicherheit]] keinen offensichtlichen Grund mehr für die Verschlüsselung gebe und FLARM nicht sicherer sei als andere bestehende Luftfahrtprotokolle, die von Anfang an ohne kryptographische Sicherheitsmaßnahmen entwickelt wurden.<ref name="Wang">{{Literatur |Autor=Boya Wang, Giorgio Tresoldi, Martin Strohmeier, Vincent Lenders |Titel=On the Security of the FLARM Collision Warning System |Sammelwerk=Proceedings of the 2022 ACM on Asia Conference on Computer and Communications Security |Verlag=Association for Computing Machinery |Ort=New York, NY, USA |Datum=2022-05-30 |Reihe=ASIA CCS '22 |ISBN=978-1-4503-9140-5 |DOI=10.1145/3488932.3517409 |Seiten=267–278}}</ref> Analog gilt diese Schlussfolgerung auch für ADS-L.

== Weblinks ==
* [https://web.archive.org/web/20190819094634/http://143.53.36.235:8080/tea.htm verschiedene TEA- und XTEA-Implementierungen] (Archivlink, englisch)
* [http://www.php-einfach.de/sonstiges_generator_xtea.php PHP Implementierung von XTEA]
* [http://www.cix.co.uk/~klockstone/teavect.htm Testvektoren für TEA und XTEA] (englisch)
* [https://kryptografie.de/kryptografie/chiffre/xxtea.htm XXTEA auf kryptografie.de]
* [https://github.com/xxtea/xxtea-c XXTEA Quelle-Code in C auf Github]

== Einzelnachweise ==
<references />

[[Kategorie:Blockverschlüsselung]]

Extended Tiny Encryption Algorithm - Versionsgeschichte

imported>Schreibknecht1312: /* growthexperiments-addlink-summary-summary:2|0|0 */