CAST5 (CAST-128) Verschlüsselung/Entschlüsselung

CAST5 (auch CAST-128 genannt) wurde von Carlisle Adams und Stafford Tavares bei Nortel (Northern Telecom) entworfen und 1996 als RFC 2144 veröffentlicht. Der Name CAST leitet sich von den Initialen der Designer ab: Carlisle Adams Stafford Tavares. Der Algorithmus verwendet eine 64-Bit-Blockgröße mit variablen Schlüssellängen von 40 bis 128 Bit in 8-Bit-Schritten und wurde als obligatorische symmetrische Chiffre in OpenPGP (RFC 4880) und als Standard-Bulk-Chiffre in GnuPG 1.x bis Version 1.4 ausgewählt.

CAST5 verwendet drei verschiedene Rundfunktionen — Typ 1 (XOR-Ausgabe), Typ 2 (Subtraktionsausgabe) und Typ 3 (Additionsausgabe) — die in fester Reihenfolge über Runden unterschiedliche Paare aus acht 32-Bit-Ausgabe-S-Boxen auswählen. Schlüssel von 80 Bit oder weniger verwenden 12 Runden; längere Schlüssel 16. Die acht S-Boxen wurden mit gebogenen Booleschen Funktionen konstruiert und verleihen CAST5 formal nachgewiesene Widerstandsgrenzen gegen Differentialkryptanalyse.

Hauptmerkmale

• Variable Schlüssellänge: 40–128 Bit in 8-Bit-Schritten — unterstützt gleichzeitig die US-Exportbeschränkung auf 40 Bit der 1990er Jahre und volle 128-Bit-Stärke
• Drei verschiedene Rundfunktionen (Typ 1 XOR / Typ 2 Subtraktion / Typ 3 Addition) abwechselnd pro Runde, jede wählt ein anderes Paar der acht 32×8-Bit-S-Boxen
• 12 Runden für Schlüssel ≤ 80 Bit; 16 Runden für 81–128-Bit-Schlüssel — explizite Rundenanzahl-Kompensation für reduzierte Schlüsselentropie
• Lizenzfreier Algorithmus ohne Patenteinschränkungen

Verschlüsselungsmodi

• CBC: Cipher Block Chaining — jeder 64-Bit-CAST5-Block wird vor der Sequenz von 12 oder 16 Feistel-Rundfunktionen mit dem vorherigen Chiffrat XOR-verknüpft. Hinweis: OpenPGP (RFC 4880 §13.9) verlangt CFB-mit-Resync statt CBC für Bulk-Verschlüsselung; CBC ist der richtige Modus bei SSH2-Kontexten (CAST128-CBC, RFC 4253).
• ECB: Electronic Codebook — jeder 64-Bit-CAST5-Block wird unabhängig durch alle 12 oder 16 Runden verarbeitet. Identische Klartextblöcke erzeugen stets identisches Chiffrat und beraübaren Wiederholungsmuster. Bei 64-Bit-Blockbreite hat eine Geburtstags-Kollision nach ~2³² Blöcken (~32 GB unter einem Schlüssel) eine 50%-Wahrscheinlichkeit — ECB vollständig vermeiden.
• CTR: Zählermodus - Wandelt Blockverschlüsselung in Stromverschlüsselung um, ermöglicht parallele Verarbeitung
• CFB: Cipher Feedback — der von OpenPGP (RFC 4880 §13.9) vorgeschriebene Modus: CAST5 in 64-Bit-CFB mit einem Zwei-Block-Resync-Schritt am Nachrichtenanfang. Dieses OpenPGP-spezifische CFB-mit-Resync ermöglicht Empfängern, die Synchronisation wiederherzustellen und manipulierte Anfangsblöcke zu erkennen.
• OFB: Output Feedback — die CAST5-Blockfunktion re-verschlüsselt iterativ den IV zur Erzeugung eines schlüsselabhängigen Schlüsselstroms unabhängig vom Klartext. Mit 64-Bit-IV ist die statistische Periode des Schlüsselstroms durch das Geburtstagsproblem bei ~2³² Zyklen begrenzt; für große oder langlebige Streams den IV periodisch erneuern.
• RAW: Einzelblockmodus - Direkte Verschlüsselung ohne Verkettung, nur für einzelnen 8-Byte-Block

Sicherheitshinweise

• Gegen CAST5-128 existiert kein praktischer Angriff auf alle Runden; beste veröffentlichte Kryptanalyse erreicht nur 6 von 16 Runden. CAST5 mit 40-Bit-Exportschlüsseln ist jedoch trivial durch Brute-Force brechbar — in modernen Deployments niemals Schlüssel unter 128 Bit verwenden.
• Die 64-Bit-Blockgröße ist CAST5s Haupteinschränkung: In CBC- oder CFB-Modus tritt nach ~2³² Blöcken (~32 GB pro Schlüssel) ein statistisches Geburtstags-Leck auf. OpenPGP mildert dies durch nachrichtenspezifische Sitzungsschlüssel, aber langfristige Streaming-Nutzung erfordert Schlüsselrotation.
• OpenPGP (RFC 4880 §9.2) kennzeichnet CAST5 als MUST-implement-Algorithmus für Kompatibilität mit GnuPG 1.x und PGP 8.x. Neue Implementierungen SOLLTEN AES-256 für neu generierte Nachrichten bevorzugen — CAST5 ist eine empfangsseitige Anforderung, kein empfohlener Standard für neue Ausgaben.
• Für alle neuen Designs CAST5 durch AES-128-CBC oder AES-256-GCM ersetzen. Die 64-Bit-Block-Einschränkung statt kryptanalytischer Schwäche ist der Haupttreiber für die Migration; CAST5-128 selbst bleibt mit ausreichend langen Schlüsseln und korrektem IV-Management ungebrochen.

Häufige Anwendungsfälle

• OpenPGP-E-Mail- und Dateiverschlüsselungskompatibilität: RFC 4880 §9.2 verlangt CAST5 in allen konformen OpenPGP-Implementierungen — notwendig für Interoperabilität mit der Installationsbasis von GnuPG 1.x und PGP 8.x-Benutzern, die ihre Chifferpräferenzen nicht aktualisiert haben
• GnuPG 1.x symmetrische Verschlüsselung: GnuPG 1.0 bis 1.4.x verwendete CAST5 standardmäßig für symmetrische (Passwort-)Verschlüsselung. Dateien oder signierte Nachrichten dieser GnuPG-Versionen erfordern CAST5-Unterstützung, sofern der Absender nicht explizit AES gewählt hatte
• SSH2 CAST128-CBC-Transportchiffre: RFC 4253 definiert CAST128-CBC als SSH SHOULD-support. Legacy-SSH-Server und eingebettete Geräte mit eingeschränkter Firmware können bei fehlenden AES-Cipher-Suites noch CAST128-CBC aushandeln
• Forensische und Archiv-Entschlüsselung: PGP-verschlüsselte E-Mails, Disk-Images und Backup-Sets von Ende der 1990er bis Mitte der 2000er Jahre verwenden häufig CAST5. Datenrettung erfordert CAST5-Unterstützung auch wenn aktuelle Systeme keinen neuen CAST5-Inhalt erzeugen

Referenzen

• RFC 2144 - Der CAST-128 Verschlüsselungsalgorithmus
• Wikipedia - CAST-128