Ist zweimaliges Verschlüsseln mit demselben Verfahren immer doppelt so sicher?
Kurzantwort
Nicht zwangsläufig. Doppelte Verschlüsselung mit demselben Algorithmus verdoppelt die Sicherheit nicht einfach — das klassische Ergebnis ist, dass 2DES wegen Meet-in-the-Middle-Angriffen nur etwa ein Bit effektive Stärke hinzufügt, weshalb es 3DES gibt. Wichtiger noch: Selbstgebaute Mehrschichtschemata neigen dazu, Implementierungsfehler einzuführen, die das Ganze schwächen. Nutze stattdessen ein gut geprüftes authentifiziertes Verfahren (AES-GCM) mit solider Schlüsselverwaltung.
Es wirkt offensichtlich, dass zwei Schlösser besser sind als eines, also nehmen Kandidaten an, doppelte Verschlüsselung quadriere den Aufwand des Angreifers. Kryptografie verhält sich selten so intuitiv, und diese Frage prüft gut, ob jemand über Angriffe statt über Bauchgefühl nachdenkt.
Die 2DES-Lehre: Verdoppeln bringt fast nichts
Nimm ein Verfahren mit Einzelschlüsselaufwand 2^n (DES: 2^56). Verschlüssele zweimal mit zwei unabhängigen Schlüsseln — „2DES“ — und die Intuition sagt, der Angreifer stehe nun vor 2^(2n) = 2^112. Tut er nicht. Der Meet-in-the-Middle-Angriff (MITM) schlägt es: Der Angreifer verschlüsselt einen bekannten Klartext unter allen 2^n möglichen ersten Schlüsseln und speichert die Ergebnisse, entschlüsselt dann den bekannten Chiffretext unter allen 2^n möglichen zweiten Schlüsseln und sucht eine Kollision in der Mitte. Das sind etwa 2^(n+1) Operationen plus 2^n Speicher — nur etwa ein zusätzliches Bit effektive Stärke gegenüber einfachem DES. Genau deshalb sprang die Branche zu 3DES (das mit drei Schlüsseln ~112 Bit Stärke erreicht) und standardisierte 2DES gar nicht erst.
Warum „zwei unabhängige Verfahren“ kein Gratisgewinn ist
Selbst wenn Schichtung echt hilft (z. B. zwei verschiedene, unabhängige Algorithmen wie in manchen Kaskadendesigns), ist der Gewinn begrenzt und der Aufwand real. Beim selben Verfahren und verwandten Schlüsseln lässt sich Struktur manchmal ausnutzen. Und das Meet-in-the-Middle-Prinzip verallgemeinert sich: Ein Verfahren mit sich selbst zu verketten vervielfacht die Sicherheit selten auf die naive Weise.
Das größere Risiko: du, der es baut
Der weit häufigere Fehlschlag ist nicht die Mathematik — es ist die Technik. Selbstgebaute Mehrschichtschemata laden zu Bugs ein: ein über Schichten wiederverwendeter Nonce, eine nicht authentifizierte äußere Schicht, die Padding-Oracle- oder Bit-Flipping-Angriffe ermöglicht, Schlüssel-Wiederverwendung zwischen Schichten oder einfach mehr Code, den man falsch machen kann. Jede zusätzliche Schicht ist mehr Angriffsfläche für einen subtilen, sicherheitszerstörenden Fehler.
Was man stattdessen tun sollte
Nutze ein gut geprüftes authentifiziertes Verfahren — AES-GCM oder ChaCha20-Poly1305 — mit korrekten Nonces und solider Schlüsselverwaltung (ein KMS/HSM, Rotation, geringste Rechte). Die falschen Antworten locken mit „quadriert den Aufwand“, „zwei Verfahren immer undurchführbar“ und dem absurden „doppeltes XOR hebt sich auf“. Echte Stärke kommt von soliden, korrekt genutzten Primitiven, nicht vom Stapeln von Krypto in der Hoffnung, die Schwierigkeit multipliziere sich.
Wahrscheinliche Anschlussfragen
- Erkläre den Meet-in-the-Middle-Angriff auf 2DES Schritt für Schritt.
- Warum erreicht 3DES mit drei Schlüsseln ~112 Bit Stärke statt 168?
- Welche konkreten Bugs führen selbstgebaute Mehrschicht-Verschlüsselungsschemata typischerweise ein?