Skuffet DTU-hold hårsbred fra sejr i international algoritmedyst

DTU-hold var tæt på at vinde konkurrencen om at stå bag USA’s næste standard for hash-algoritmer. Konkurrencen har givet meget, men det er skuffende ikke at vinde, lyder det fra det danske hold.

»Vi blev nummer to,« lyder det kækt fra Lars R. Knudsen, professor ved Institut for Matematik ved Danmarks Tekniske Universitet, da Version2 spørger til det faktum, at det var konkurrenten KECCAK, der løb med sejren i en konkurrence om at stå bag USA’s næste standard for hash-algoritmer.

Teknisk set fik holdet en placering på mellem anden- og femtepladsen, og begrundelsen for valget af KECCAK offentliggøres da også først i en kommende rapport. Men om ikke andet er det gået godt for holdet, der består af fire personer fra DTU og tre fra Østrig med sammenlagt fire PhD-studerende. Holdets bidrag, Grøstl, var nemlig ét ud af i alt 64 bud på den ny krypteringsstandard SHA-3. Sidenhen blev feltet reduceret til 15 og igen til fem.

»Vores placering viser, at vi er gode. Der var mange dygtige kryptologer, der røg ud før os. Det kan vi kun være stolte af, og det er vi også,« fastslår Lars R. Knudsen, der dog ikke lægger skjul på, at der blandt deltagerne er skuffelse – det er trods alt noget, de har arbejdet med i fem år,« siger han.

Lars R. Knudsen kan ikke umiddelbart se, hvad der adskilte Grøstl fra KECCAK.

»Jeg vil ikke sige, at det er tilfældigt, hvem der vandt, men det kunne også have været en anden, der vandt. Som vi ser det, var der fire ud af de fem finalister, der kunne vinde,« fortæller Lars R. Knudsen.

Men han er ikke i tvivl om, at KECCAK er en god algoritme.

»De er nået langt med algoritmen, som er rimelig elegant. Om den nogensinde bliver samme succes som AES og bliver implementeret alle vegne og i hele verden, er usikkert.«

Men selv om algoritmen er elegant, synes den også lidt stor, fortæller Lars R. Knudsen.

»Jeg synes, den er lidt stor. Dens interne tilstande er 1600 bits og det gør, at den er lidt svær at knække, men samtidig at den også er stor. Grøstl er til sammenligning kun 1000 bits.«

Hvem knækker hvem?

Mellem deltagerne har man i de fem år, konkurrencen har stået på, forsøget at knække hinandens kode. Det er blandt andet på den måde, at feltet er blevet snævret ind.

»Vi har knoklet for at knække de andre, og er lykkedes godt med det. Vi er en af de grupper, der har lavet mest kryptoanalyse på de andres algoritmer.«

Vinderen KECCAK har 24 lag og heraf kan 18 knækkes, fortæller Lars R. Knudsen. DTU-algoritmen Grøstl har 10 lag, men kan ikke direkte sammenlignes med de 24 lag – heraf kan fire til fem lag knækkes.

Lars R. Knudsen fortæller, at den måde, man knækker hinandens algoritmer på er at starte i ét lag og knække det. Når det er gjort, kan man arbejde sig videre til det næste, og på den måde – som med et løg – komme længere og længere ind til kernen. Men selv om man ihærdigt prøver, kan det vise sig at være en lang vej.

Bag KECCAK står blandt andet kryptologen Joan Daemen, som er anerkendt for blokkrypteringsalgoritmen AES, Advanced Encryption Standard, der er blevet ophøjet til en krypteringsstandard af den amerikanske regering, og sidenhen national amerikansk standard af National Institute of Standards and Technology, NIST, i november 2001 efter en femårig standardiseringsproces. Inden den kom ud, havde Lars R. Knudsen knækket seks lag af AES, som i alt har 10 lag – først for nyligt er det syvende lag blevet knækket.

Derfor tror Lars R. Knudsen ikke på, at KECCAK bliver knækket inden for de næste par år. Derfor kan det betyde, at Grøstl bliver sat lidt i baggrunden og ikke bliver anvendt så meget. Men bare fordi en algoritme ikke vinder, betyder det ikke, at den er død. For 10-12 år siden lavede Lars R. Knudsen en krypteringsalgoritme kaldet Serpent, og den bliver stadigt anvendt. Serpent blev nummer to i den første NIST-konkurrence.

Studerende gav en fordel

Blandt de andre bidrag i SHA-3-konkurrencen var den internationalt anerkendte sikkerhedsekspert Bruce Schneier. Hans bidrag, algoritmen Skein, var også blandt top fem, men vandt altså heller ikke. Og blandt de mange forskellige bidrag, der har været i konkurrencen, har der været en blanding af studerende og sikkerhedseksperter. Lars R. Knudsen er slet ikke i tvivl om, at det har givet holdet bag Grøstl en fordel, at de som ph.d.-studerende havde tid til at koncentrere sig om algoritmerne, og ikke eksempelvis skulle undervise ved siden af.

»Vi er kommet lidt længere end nogle af de andre, fordi ph.d.-studerende har mere tid til at knokle med en enkelt ting, og det har gjort koden bedre,« siger Lars R. Knudsen.

De studerende har fået meget ud af projektet, fortæller Lars R. Knudsen. Ud over en masse erfaring med kryptologi har det betydet meget for både karriere og netværk.

»Projektet har været perfekt for de ph.d.-studerende. De har fået en masse artikler offentliggjort, har netværket og er blevet kendte for deres arbejde.«

Det er anden gang, konkurrencen afholdes, og Lars R. Knudsen har været med begge gange. Når og hvis der kommer en ny konkurrence, kan man godt regne med, at både han og et hold studerende er med, lyder det fra professoren.

»Vi kan nok ikke holde os fra konkurrencen. Det er så fedt at være med. Men det skal gøres ordentligt, så det kræver, at vi til den tid har en god idé, vi kan arbejde ud fra.«

KECCAK er ud over Joan Daemen udviklet af Guido Bertoni, Michaël Peeters og Gilles Van Assche. Ifølge en rapport fra NIST fra august 2010 vil KECCAK være væsentlig hurtigere end de øvrige finalister, hvis algoritmen kan implementeres i hardware.