© Kyryl Gorlov / 123RF.com

Kurzwellenfunk ermöglicht dem Militär, Rettungsdiensten und Industrieunternehmen eine zuverlässige Fernkommunikation, ohne eine externe Infrastruktur vorauszusetzen. Allerdings erweist sich die verwendete HALFLOOP-Verschlüsselung als angreifbar.

Beim Verschlüssen von Kurzwellenfunkverbindungen hat mittlerweile der spezielle Algorithmus HALFLOOP den veralteten Vorgänger SoDark weitgehend abgelöst. Jüngste Forschungen offenbaren jedoch erhebliche Schwächen in seinem Design: Zwei Stunden abgefangener Funksignale genügen, um den geheimen Schlüssel zu rekonstruieren. So lassen sich die Kommunikationspartner identifizieren und die Sendeinhalte dechiffrieren [1].

HALFLOOP basiert auf einer vereinfachten Version des Advanced Encryption Standards AES. Bei AES handelt es sich um ein symmetrisches Verschlüsselungsverfahren, das Daten in Blöcken von 128 Bit verarbeitet und Schlüssellängen von 128, 192 oder 256 Bit unterstützt. Es kombiniert Substitution, Permutation und lineare Transformationen in mehreren Runden. Jede davon umfasst Byte-Substitution mit einer Substitutionsbox (S-Box [2]), das Verschieben von Zeilen, das Mischen von Spalten und die Verknüpfung mit einem Rundenschlüssel.

Der darauf aufbauende HALFLOOP-Algorithmus kombiniert klassische Blockverschlüsselung mit einem Tweak-Mechanismus, der Variablen wie Zeitstempel, Frequenz und Zählerwerte einbezieht. Das soll jeden Verschlüsselungsvorgang einzigartig machen und Angriffe durch Wiederholung oder Kollision verhindern. Der Tweak entsteht aus einer Kombination der genannten Variablen, die anschließend noch eine S-Box transformiert. Die S-Box, eine Kernkomponente der Verschlüsselung, basiert auf einer nicht linearen Transformation, die die Beziehung zwischen Ein- und Ausgabewerten verschleiern soll.

HALFLOOP übernimmt die S-Box direkt aus AES, ohne sie an die spezifischen Anforderungen des neuen Algorithmus anzupassen. Das führt dazu, dass bestimmte Eingabemuster mit höherer Wahrscheinlichkeit gewisse Ausgabemuster erzeugen, was eine Schwachstelle darstellt. Neben der S-Box weist auch der Schlüsselableitungsprozess von HALFLOOP Schwächen auf. Dessen Algorithmus verwendet einen vereinfachten Schlüssel-Schedule, der auf der linearen Expansion des Hauptschlüssels basiert. Daraus resultieren sich wiederholende Muster in den Rundenschlüsseln, die die Sicherheit weiter untergraben. In Kombination mit der fehlerhaften S-Box und der unzureichenden Randomisierung des Tweak-Mechanismus erhöht sich so die Angriffsfläche erheblich.

Die Forscher nutzten diese Schwächen mithilfe einer differenziellen Kryptoanalyse aus. Bei dieser Methode werden gezielt Klartextpaare mit minimalen Unterschieden verschlüsselt, um die daraus resultierenden Unterschiede der Chiffretexte zu analysieren. Durch statistische Korrelationen gelang es, die Struktur der S-Box und den Tweak-Mechanismus zu entschlüsseln, was schließlich zur Rekonstruktion des geheimen Schlüssels führte. Der Angriff erfordert lediglich zwei Stunden abgefangener Funksignale und moderate Rechenleistung, was ihn für die Praxis nutzbar macht.

Die Konsequenzen sind weitreichend: Angreifer können nicht nur den verschlüsselten Datenverkehr dekodieren, sondern auch die Kommunikationspartner identifizieren, Verbindungen stören oder sogar in Netzwerke eindringen. Die Attacke zeigt, dass selbst moderne Standards wie HALFLOOP anfällig sein können, wenn sie grundlegende Designprinzipien der Kryptografie nicht konsequent umsetzen. (jcb/jlu)