Padding ist ein Begriff aus der Kryptographie und bedeutet wörtlich Auffüllen.
Allgemein wird beim Padding eine Klartextnachricht vor der Verschlüsselung so modifiziert, dass es einem Angreifer erschwert wird, aus eventuell bekannten oder erratenen Bestandteilen einer Klartextnachricht, Rückschlüsse zu ziehen, welche die Entschlüsselung ermöglichen.
Die Bezeichnung Padding (Auffüllen) kommt daher, dass dazu oft Zeichen hinzugefügt werden, die nicht zur Nachricht gehören. Die zusätzlichen Zeichen sollen es einem Angreifer erschweren die Verschlüsselung zu brechen. Die Zusatzzeichen müssen nach dem Entschlüsseln wieder entfernt werden können, denn sie gehören nicht zur zu übertragenden Information und dürfen nicht zu Missverständnissen führen.
Bei modernen Verfahren wird nicht mehr einfach aufgefüllt, sondern Padding steht hier allgemein für eine Veränderung der Nachricht nach einem bestimmten Schema.
Warum und wie Padding durchgeführt wird, hat sich in der Entwicklung der Kryptographie verändert.
Padding in der klassischen Kryptographie
Schon immer bestand in der Kryptographie das Problem, dass die zu verschlüsselnden Nachrichten an bestimmten Stellen oft vorhersehbare Inhalte wie "Sehr geehrter Herr..." am Anfang eines Briefes enthielten. Können aber Teile der Klartextnachricht erraten werden, so kann man damit versuchen die Verschlüsselung zu ermitteln. Die frühsten Formen des Paddings haben daher am Anfang und am Ende möglichst zufällige Texte angefügt. Werden unterschiedlich lange Texte verwendet, hat das zusätzlich den Vorteil, dass auch nicht auf die wirkliche Länge der Nachricht geschlossen werden kann.
Padding für kryptographischen Hash-Funktionen
Hash für digitale Signaturen werden in der Regel nicht über den exakten Klartext, sondern prinzipbedingt über Blöcke, deren Länge Zweierpotenzen sind, gebildet. Das heißt, das auch hier Text aufgefüllt werden muss. Bei älteren, heute nicht mehr sicheren, Verfahren hat man einfach mit festen Mustern oder Zufallsdaten aufgefüllt. Reale Hashfunktionen können aber nicht kollisionsfrei sein, das heißt, es gibt immer mehrere Nachrichten, die den gleichen Hashwert haben. Daher muss man dafür sorgen, dass es nicht möglich ist, die Nachricht einfach zu verändern und durch eine Veränderung des Paddings den gleichen Hashwert zu erzeugen. Dies erreicht man, indem man den Inhalt des Paddings von Eigenschaften der Nachricht abhängig macht. Zum Beispiel kann man die Länge der Nachricht im Padding codieren.
Padding beim Cipher Block Chaining
Verschlüsselungsverfahren mit Cipher Block Chaining arbeiten auch blockweise, so dass am Ende Text aufgefüllt werden muss.
Das hat jedoch auch wieder zu Schwachpunkten geführt. So hat sich zum Beipiel aus unterschiedlichen Aufüllunglängen des Paddings ein unterschiedliche Zeitverhalten von Verschlüsselungsalgorithmen ergeben, was Angriffe ermöglichte. Daher werden CBC-Verfahren mehr und mehr GCM-Verfahren oder durch Stromchiffren ersetzt, welche kein Padding brauchen.
Moderne Padding-Schemata
Neuere Padding-Verfahren arbeiten nicht mehr mit Auffüllalgorithmen. Padding steht hier allgemein für Verfahren, die folgendes leisten können:
- Sie fügen Zufallsfaktoren hinzu, um aus deterministischen Verfahren wie RSA, probabilistische zu machen. Das heißt sie sorgen dafür, dass der gleiche Klartext nicht immer zum gleichen Ciphertext führt.
- Sie sorgen dafür, dass ein zum Teil bekannter Klartext nicht zu einer Komplettentschlüsselung der Nachricht führt.
- Sie ergänzen Prüffunktionen, um das Verändern des Paddings zu verhindern.
Ein verbreitetes modernes Padding-Schema ist OAEP.
