https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=RC6RC6 - Versionsgeschichte2026-05-28T23:40:33ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=RC6&diff=367928&oldid=previmported>Wikihelfer2011: Links aktualisiert, https, Kleinkram2024-02-17T00:49:19Z<p>Links aktualisiert, https, Kleinkram</p>
<p><b>Neue Seite</b></p><div>{{Infobox Blockchiffre<br />
| name = RC6<br />
| bild = <br />
| bildname = <br />
| entwickler = [[Ronald Rivest|Ronald L. Rivest]], [[Matt Robshaw]], [[Ray Sidney]], [[Yiqun Lisa Yin]]<br />
| datum = 1997<br />
| abgeleitet = [[RC5]]<br />
| schlüssellänge = 128, 192 oder 256&nbsp;Bit<br />
| blockgröße = 128&nbsp;Bit<br />
| struktur = [[Feistelchiffre]]<br />
| runden = 20<br />
| kryptoanalyse = <br />
}}<br />
<br />
'''RC6''' ('''''R'''ivest '''C'''ipher '''6''''') ist eine 1998 von [[Ronald Rivest]] und anderen entworfene symmetrische [[Blockverschlüsselung]]. RC6 ist eine Weiterentwicklung von [[RC5]] und verwendet ebenso wie dieses datenabhängige Rotationen, und zusätzlich die Multiplikation von Daten. Die zum Entwicklungszeitpunkt bekannten theoretischen Angriffe gegen RC5 sollten dadurch bereits im Ansatz verhindert werden.<ref name="rivest1998">{{Literatur |Autor = [[Ronald L. Rivest]], M. J. B. Robshaw, R. Sidney, Y.L. Yin |Titel = The RC6 Block Cipher |Jahr = 1998 |Online = http://citeseer.ist.psu.edu/317403.html}}</ref><br />
<br />
RC6 kandidierte zur Wahl des [[Advanced Encryption Standard]]s (AES) und zählte dort – zusammen mit [[Twofish]], [[Advanced Encryption Standard|Rijndael]], [[MARS (Verschlüsselung)|MARS]] und [[Serpent (Verschlüsselung)|Serpent]] – zu den Finalisten. Es wurde vom [[National Institute of Standards and Technology]] (NIST) als „hinreichend sicher“ eingestuft<!-- Quelle? --> – ebenso wie Rijndael, welches schließlich zum AES gewählt wurde. RC6 ist einfacher aufgebaut als die anderen Finalisten, wodurch die Gefahr von Implementierungsfehlern reduziert wird, und es ist auch relativ effizient in Software zu implementieren.<br />
<br />
== Beschreibung ==<br />
[[Datei:RC6 Cryptography Algorithm.JPG|mini|Struktur von RC6]]<br />
RC6 besitzt variable Blockgrößen, Rundenzahlen (0–255) und Schlüssellängen (0–2040 [[Bit]]). Eine spezifische Wahl dieser [[Parameter (Informatik)|Parameter]] wird üblicherweise mit „RC6-''w''/''r''/''b''“ bezeichnet – ''w'' ist die Länge eines Datenworts in Bit, ''r'' die Anzahl der Runden und ''b'' die Länge des Schlüssels. Ein Block besteht immer aus vier Datenwörtern, die Blockgröße ist also <math>4 w</math> Bit. Der AES-Kandidat war RC6-32/20 mit Blockgröße 128 Bit, 20 Runden und [[Schlüssellänge]]n von 128, 192 und 256 Bit.<ref name="rivest1998" /><br />
<br />
Als Primitive Operationen verwendet der [[Algorithmus]] die Addition (<math>A + B</math>) und Multiplikation (<math>A \cdot B</math>) (jeweils modulo <math>2^w</math>), die bitweise [[Bitweiser Operator#XOR|XOR-Verknüpfung]] (<math>A \oplus B</math>)<!--(A⊕B)--> und die [[Bitweiser Operator#Bitweise Verschiebungen|Linksrotation]] (<math>A \lll B</math>)<!--(A⋘B bzw. A⋙B)-->, die <math>A</math> um <math>B \, \bmod w</math> Bitpositionen rotiert.<ref name="rivest1998" /><br />
<br />
=== Ver- und Entschlüsselung ===<br />
Gegeben seien ein Klartextblock in [[Little Endian|Little-Endian]]-Darstellung, der aus den Datenworten A, B, C, D besteht, und die Rundenschlüssel S<sub>0</sub> bis S<sub>2r+3</sub>. Dabei bezeichnet <math>\log w</math> den [[Logarithmus]] der Wortlänge <math>w</math> zur Basis 2. Der Block wird verschlüsselt durch:<br />
<br />
:<math>B \leftarrow B+S_0</math><br />
:<math>D \leftarrow D+S_1</math><br />
:<math>\mathbf{for}\; k \leftarrow 1\; \mathbf{to}\; r \; \mathbf{do:}</math><br />
::<math>t \leftarrow \big(B \cdot (2B + 1)\big) \lll \log w</math><br />
::<math>u \leftarrow \big(D \cdot (2D + 1)\big) \lll \log w</math><br />
::<math>X \leftarrow \big((A \oplus t)\lll u\big) + S_{2k}</math><br />
::<math>C \leftarrow \big((C \oplus u)\lll t\big) + S_{2k+1}</math><br />
::<math>A \leftarrow B;\; B \leftarrow C;\; C\leftarrow D;\; D\leftarrow X</math><br />
:<math>A \leftarrow A + S_{2r+2}</math><br />
:<math>C \leftarrow C + S_{2r+3}</math><br />
<br />
Wie bei RC5 werden ''S<sub>0</sub>'' und ''S<sub>1</sub>'' zum [[Key Whitening]] verwendet.<br />
<br />
Die Entschlüsselung eines Chiffretextblocks entspricht der Umkehrung dieses Algorithmus.<ref name="rivest1998" /><br />
<br />
=== Schlüsselexpansion ===<br />
<div style="float:right; margin-left:1em;"><br />
{| class="wikitable"<br />
|+ P und Q in Abhängigkeit von der Blockgröße<ref name="rivest1998" /><br />
|- style="background:#E0E0E0; text-align:center;"<br />
! Blockgröße <br /> [Bits]<br />
! P <br />[hexadezimal]<br />
! Q <br />[hexadezimal]<br />
|-<br />
| style="padding-right:2.5em; text-align:right;" | 64<br />
| B7E1<br />
| 9E37<br />
|-<br />
| style="padding-right:2.5em; text-align:right;" | 128<br />
| B7E1 5163<br />
| 9E37 79B9<br />
|-<br />
| style="padding-right:2.5em; text-align:right;" | 256<br />
| B7E1 5162 8AED 2A6B<br />
| 9E37 79B9 7F4A 7C15<br />
|}<br />
</div><br />
<br />
Der Expansionsalgorithmus von RC6, der die Rundenschlüssel ''S<sub>0</sub>'' bis ''S<sub>2r+3</sub>'' berechnet, wurde im Wesentlichen unverändert von RC5 übernommen. Zunächst werden die Rundenschlüssel ''S<sub>k</sub>'' mittels Konstanten <math>P, Q</math> auf einen festen Anfangszustand initialisiert. ''P'' und ''Q'' sind – wie bei RC5 – ungerade Ganzzahlen, die mit der [[Eulersche Zahl|eulerschen Zahl]] ''e'' und dem [[Goldener Schnitt|goldenen Schnitt]] Φ in Abhängigkeit von der verwendeten Blockgröße generiert werden (Tabelle).<br />
<br />
:<math>S_0 \leftarrow P</math><br />
:<math>\mathbf{for} \; k\leftarrow 1 \; \mathbf{to}\; 2r + 3 \;\mathbf{do:}</math><br />
::<math>S_k \leftarrow S_{k-1} + Q</math><br />
<br />
Anschließend wird der geheime Schlüssel in ''c'' Wörter <math>L_0</math> bis <math>L_{c-1}</math> der Länge ''w'' aufgespalten, und bei Bedarf wird das letzte Wort <math>L_{c-1}</math> mit Nullen aufgefüllt. Folgender Code berechnet dann die endgültigen Rundenschlüssel:<br />
<br />
:<math>k \leftarrow i \leftarrow 0</math><br />
:<math>A \leftarrow B \leftarrow 0</math><br />
:<math>\mathbf{do}\; 3\cdot \max\big(2r+4, c\big)\; \mathbf{times:}</math><br />
::<math>A \leftarrow (S_k + A + B) \lll 3</math><br />
::<math>B \leftarrow (L_i + A + B) \lll (A + B)</math><br />
::<math>S_k \leftarrow A; \; L_i \leftarrow B</math><br />
::<math>k \leftarrow (k+1) \; \bmod \; (2r+4)</math><br />
::<math>i \leftarrow (i+1) \; \bmod \; c</math><br />
<br />
== Kryptoanalyse ==<br />
=== Chosen-Plaintext ===<br />
2001 wiesen Tetsu Iwata und Kaoru Kurosawa des [[Tōkyō Kōgyō Daigaku|Tokyo Institute of Technology]] nach, dass ein idealisiertes RC6 mit 4 Runden keine [[Zufällige Permutation|pseudozufällige Permutation]] darstellt – ein Angreifer mit polynomiell vielen Verschlüsselungsversuchen das Ergebnis der Blockchiffre also von zufälligem Rauschen unterscheiden kann.<ref name="iwata2001">{{Literatur |Autor = Tetsu Iwata, Kaoru Kurosawa |Titel = On the Pseudorandomness of the AES Finalists - RC6 and Serpent |Sammelwerk = Lecture Notes in Computer Science |Verlag = Springer Berlin / Heidelberg |Band = 1978/2001 |Seiten = 231}}</ref> Im gleichen Jahr stellten Henri Gilbert, Helena Handschuh, Antoine Joux und Serge Vaudenay einen auf dieser Eigenschaft aufbauenden statistischen Angriff vor, mit dessen Hilfe sich – für ''w = 32'' – mit 2<sup>118</sup> Paaren aus gewählten Klartexten und ihren Chiffraten Bits der Rundenschlüssel für bis zu 13 Runden rekonstruieren lassen. Mit einem Speicherbedarf von 2<sup>112</sup> und etwa 2<sup>122</sup> notwendigen Operationen kann dieser Angriff zudem auch als Known-Plaintext-Angriff gegen 14 Runden verwendet werden. Aus diesem – aufgrund der Anforderungen praktisch nicht durchführbaren – Angriff schlossen die Autoren, dass die 20 Runden des AES-Kandidaten nicht übermäßig viel seien.<ref name="gilbert2001">{{Literatur |Autor = Henri Gilbert, Helena Handschuh, Antoine Joux, Serge Vaudenay |Titel = A Statistical Attack on RC6 |Sammelwerk = Lecture Notes in Computer Science |Verlag = Springer Berlin / Heidelberg |Band = 1978/2001 |Seiten = 1–15}}</ref><br />
<br />
=== Known-Plaintext ===<br />
1999 stellten Borst, Preneel und Vandevalle fest, dass der von ihnen publizierte, auf linearen Approximationen basierende Angriff auf RC5 gegen RC6 essentiell wirkungslos ist und die Vorkehrungen der RC6-Entwickler ausreichten.<ref name="Borst1999">{{Literatur |Autor = Johan Borst, Bart Preneel, Joos Vandewalle |Titel = Linear Cryptanalysis of RC5 and RC6 |Sammelwerk = Lecture Notes in Computer Science |Verlag = Springer Berlin / Heidelberg |Band = 1636 |Nummer = 1999 |Seiten = 16 |ISSN = 1611-3349}}</ref><br />
<br />
=== Lizenzierung ===<br />
Für das RC6-Verfahren erhielt das Unternehmen RSA die US-Patente 5724428 und 5835600 zugesprochen.<br />
Diese liefen allerdings zwischen 2015 und 2017 aus.<br />
<br />
== Weblinks ==<br />
* [https://www.repges.net/AES-Kandidaten/RC6/rc6.htm Beschreibung von Markus Repges]<br />
* [https://csrc.nist.gov/projects/cryptographic-standards-and-guidelines/archived-crypto-projects/aes-development NIST, Report on the Development of the Advanced Encryption Standard (AES), 17. Februar 2024]<br />
<br />
== Einzelnachweise ==<br />
<references /><br />
<br />
{{SORTIERUNG:Rc6}}<br />
[[Kategorie:Abkürzung|RC6]]<br />
[[Kategorie:Blockverschlüsselung]]</div>imported>Wikihelfer2011