Das Herzstück der Kryptographie ist die Mathematik. Reine, einfache, unverwässerte Mathematik. Mathematik hat die Algorithmen geschaffen, die die Grundlage der gesamten Verschlüsselung bilden. Und Verschlüsselung ist ihrerseits die Grundlage für Datenschutz und Sicherheit im Internet. Daher die Liebe zur Mathematik, auch wenn sie ein bisschen kompliziert ist. Nichtsdestotrotz müssen Algorithmen weiter entwickelt werden. Mit zunehmend intelligenter werdenden Computern verlieren sie an Wirksamkeit, und man ist gezwungen nach neuen Lösungen zu suchen. So entstand die Kryptographie.
Wie aber funktioniert sie? Zunächst muss man ein Kryptosystem aufbauen, das sowohl vertraulich als auch authentisch ist. Dieses Kryptosystem ist für das Erstellen der Schlüssel verantwortlich, die zum Verschlüsseln und anschließenden Entschlüsseln der Daten oder Nachrichten verwendet wird. Im Laufe der Jahre wurde eine Reihe von Signaturalgorithmen zum Erstellen von Schlüsseln entwickelt. Dank mehr Rechenleistung sind einige von ihnen bereits wieder verworfen worden.
Bevor wir uns mit einigen der wichtigsten und bekanntesten Algorithmen aus der Kryptographie befassen, rekapitulieren wir ein paar Begriffe, die uns hier noch häufiger begegnen.
Brute-Force-Angriff
Ein Brute-Force-Angriff oder auch Wörterbuch-Angriff, ist eine Trial-and-Error-Methode, um sich den privaten Schlüssel eines verschlüsselten Datenpakets zu beschaffen. Der Trial-and-Error-Angriff wird von einem Computer durchgeführt. Je höher also die Rechenleistung, desto mehr "Versuche" kann er in kurzer Zeit durchführen. Mit steigender Prozessor- und Rechenleistung erhöht sich die Chance, den privaten Schlüssel zu finden, solange man nicht die Länge des Schlüssels steigert, so dass mehr Möglichkeiten bestehen.
Schlüssellänge
Die Schlüsselgröße oder Schlüssellänge bezieht sich auf die Anzahl der Bit in einem Schlüssel, der von einem kryptographischen Algorithmus verwendet wird. Nur der richtige Schlüssel kann einen Geheimtext (Ausgabe) zurück in den Klartext (Eingabe) entschlüsseln. Durch mehr CPU-Leistung sank die Rechenzeit zum Beschaffen eines Verschlüsselungsschlüssels über einen Brute-Force-Angriff immer weiter. Die Schlüssel mussten also länger werden. Lange Jahre lag die Grenze bei 40 Bit. Inzwischen werden Schlüssellängen von bis zu 4096 Bit in der Kryptographie eingesetzt.
Blockgrößen
Einige Algorithmen verwenden "Blockchiffren", die Daten in Blöcken verschlüsseln und entschlüsseln (Bitgruppen mit fester Länge). Es gibt eine Beziehung zwischen der Blockgröße und der Datenmenge, die verschlüsselt werden kann, ohne Blöcke zu duplizieren. Die aktuelle Empfehlung lautet, Blöcke von mindestens 128 Bit zu verwenden.
Runden
Symmetrische Algorithmen werden in Stromchiffren und Blockchiffren unterteilt. Bei einer Stromchiffre werden Klartextzeichen mit einem chiffrierten pseudozufälligen Zeichenstrom kombiniert. Blockchiffren nehmen die Anzahl von Bits und verschlüsseln sie als eine einzelne Einheit (Runden genannt), wobei der Klartext aufgefüllt wird, sodass er ein Vielfaches einer Blockgröße hat.
Symmetrische Schlüsselalgorithmen
Ein symmetrischer Schlüsselalgorithmus (auch geheimer Schlüsselalgorithmus) verwendet das Konzept von Schlüssel und Schloss, um Klartextdaten zu verschlüsseln und Geheimtextdaten zu entschlüsseln. Zum Verschlüsseln und Entschlüsseln der Datei wird der gleiche "Schlüssel" verwendet.
Der Algorithmus selbst wird nicht geheim gehalten. Und Sender und Empfänger der Nachricht müssen beide ein Exemplar des geheimen Schlüssels an einem sicheren Ort haben. Die Verwendung des gleichen Schlüssels ist einer der Nachteile der Kryptographie mit symmetrischen Schlüsseln. Bekommt jemand den Schlüssel in die Finger, kann er auch die betreffenden Daten entschlüsseln.
DES
Data Encryption Standard oder DES war und ist wahrscheinlich immer noch einer der bekanntesten Algorithmen des modernen kryptographischen Zeitalters. Heute wird er weitgehend als unsicher angesehen. DES wurde in den 70er Jahren von IBM entwickelt und später dem National Bureau of Standards (NBS) und der National Security Agency (NSA) vorgelegt. Die Beteiligung der NSA am Design löste kontroverse Gerüchte über Hintertüren aus und sorgte für weitreichende Überprüfungen. Erst 1976 wurde DES als kryptographischer Standard zugelassen und in FIPS veröffentlicht.
In den 90er Jahren erschien es höchst unwahrscheinlich, 72 Billiarden mögliche Schlüssel für einen 56-Bit-DES-Schlüssel zu berechnen. Dies wäre für einen Computer zutreffend gewesen, aber 1997 nutzte eine Gruppe von Informatikern um Rocke Verser Tausende von freiwilligen Computern, um DES innerhalb von 24 Stunden zu knacken. Er und sein Team wurden dadurch zum Gewinner der $ 10.000 DES Challenge.
Seitdem wurde DES mit neuen Updates namens Double-DES und Triple-DES verstärkt, die die Verschlüsselung einfach schachteln, sodass jeder Datenblock dreimal entschlüsselt werden musste. Triple-DES wird an einigen Stellen immer noch verwendet, aber AES (siehe unten) ist seitdem der neue Standard.
Wird er heute noch eingesetzt? - DES und Double-DES werden nicht mehr verwendet, aber Triple-DES mit drei Schlüsseln ist immer noch ein in NIST SP 800-57 empfohlener Algorithmus. Er arbeitet deutlich langsamer als der AES-Algorithmus, wird aber immer noch in der Branche für elektronischen Zahlungsverkehr verwendet. Auch Microsoft OneNote und Outlook 2007 verwenden ihn um Benutzerinhalte und Systemdaten zu schützen. Die Browser Firefox und Mozilla Thunderbird im CBC-Modus nutzen ihn zur Verschlüsselung der Anmeldeinformationen für die Websiteauthentifizierung bei Verwendung eines Masterpassworts.
AES
Advanced Encryption Standard oder AES wurde 2001 vom National Institute of Standards and Technology (NIST) eingeführt. AES wurde von der US-Regierung mit Schlüssellängen von 128, 192 und 256 Bit übernommen.
AES hat ein recht einfaches mathematisches Grundgerüst, das manche für anfällig gegenüber Angriffen halten. Der theoretische XSL-Angriff wurde 2002 angekündigt und seitdem haben Sicherheitsexperten wie Bruce Schneier Wege gefunden, Teile des Algorithmus auszunutzen. Es ist jedoch wichtig, anzumerken, dass sogar in Bruce Schneiers Artikel erwähnt wird, dass es keinen Grund zur Panik gibt. Es gelang lediglich 11 der vollen 14 Runden von AES-256 zu brechen und dafür benötigten die Experten 270 Operationen. Außerdem muss der Kryptograph Zugang zu Klartexten haben, die mit mehreren verwandten Schlüsseln verschlüsselt wurden. Dadurch hat AES immer noch eine höhere Sicherheitsmarge, aber eben nicht so hoch wie bisher angenommen.
Wird er heute noch eingesetzt? – Ja! AES ist immer noch weit verbreitet, da er eine bessere Verarbeitungsleistung bietet und in einer breiten Palette von Hardware, wie Smartcards und Hochleistungsrechnern, eingesetzt werden kann.
MARS
Nachdem sich herausstellte, dass DES zu schwach ist, führte die NIST von 1997 bis 2000 eine offene Ausschreibung durch, die als Advanced Encryption Standard Verfahren bekannt ist, um eine neue und verbesserte Blockchiffre zu finden. MARS war einer der Finalisten und brachte es so weit aufgrund seines mehrschichtigen, aufgeteilten Ansatzes, der darauf abzielte, Fortschritten in der Kryptographie und CPU-Leistung standzuhalten.
MARS unterstützt 128-Bit-Blöcke und variable Schlüsselgrößen auf einer Reihe von Kern- und gemischten Runden, und bietet dadurch einen starken Widerstand gegen kryptographische Angriffe. Kritiker schlugen vor, dass Unterschlüssel mit langen Folgen von Einsen und Nullen zu einem einfachen und effektiven Angriff gegen MARS führen könnten.
Wird er heute noch eingesetzt? - Nein. 21 von 23 Runden von MARS wurden 2004 von Bruce Schneier und John Kelsey gebrochen.
IDEA
International Data Encryption Algorithm (IDEA), ursprünglich Improved Proposed Encryption Standard (IPES) genannt, wurde von James Massey von der ETH Zürich im Rahmen eines Forschungsvertrages mit der Hasler-Stiftung, der heutigen Ascom Tech AG, entwickelt und erstmals 1991 diskutiert. IDEA war eine kleine Überarbeitung des Proposed Encryption Standard (PES), der als Ersatz für den DES gedacht war.
IDEA ist jetzt patentfrei und somit für alle Verwendungszwecke völlig kostenlos, aber der Name selbst ist noch geschützt. Er arbeitete mit einem 64-Bit-Block unter Verwendung eines 128-Bit-Schlüssels und ist immer noch ein optionaler Algorithmus im OpenPGP-Standard. Bruce Schneier hatte im Jahr 1996 eine hohe Meinung von diesem Algorithmus, bis es durch die Patente schwierig wurde, ihn zu nutzen und die Geschwindigkeit des Algorithmus nicht mit moderner Technologie mithalten konnte.
Der vollständige 8,5-Runden-Algorithmus von IDEA wurde 2011 erstmals mit einem "Meet-in-the-Middle" -Angriff und unabhängig davon 2012 mit einem Narrow-Bicliques-Angriff gebrochen. Im Mai 2005 kündigte MediaCrypt einen Nachfolger von IDEA namens IDEA NXT an.
Wird er heute noch eingesetzt? - Nicht weit verbreitet, aber jetzt patentfrei für beliebige Anwendungen.
RC 2
Rivets Chiffre, Rons Code oder, häufiger, RC-Algorithmen wurden von Ron Rivest erfunden. Obwohl sie den gleichen Familiennamen teilen, sind die Algorithmen ziemlich unterschiedlich. Für die Zwecke dieses Artikels werden wir die Namen voneinander trennen.
Beginnen wir mit RC2 1987 von Ron Rivest kreiert. Dies ist eine 64-Bit-Blockchiffre mit variablen Schlüsselgrößen und 18 Runden, angeordnet als ein stark unbalanciertes Feistel-Netzwerk (16 Runden über einen Typ und zwei Runden über einen anderen).
Wird er heute noch eingesetzt? - Nein. Es wird empfohlen, ihn nicht zu verwenden. Es ist anfällig für einen Angriff mit verwandten Schlüsseln bei 234 gewählten Klartexten.
RC4
RC4 wurde von Ron Rivest 1987 zunächst als Betriebsgeheimnis entworfen, bis es 1994 in der Cypherpunks-Mailingliste gepostet wurde. Nachdem er in der Sci-Crypt Newsgroup erschien, wurde er schnell von Bob Jenkins gebrochen. Der Algorithmus wurde nie offiziell von RSA Security veröffentlicht. Er wurde aber in einigen Verschlüsselungsprotokollen und Standards wie WEP im Jahr 1997, WPA im Jahr 2003, SSL im Jahr 1995 und TLS im Jahr 1999 verwendet, bis er 2015 durch RFC 7465 in allen TLS-Versionen verboten wurde.
Wird er heute noch eingesetzt? - Nein. Es wird empfohlen, ihn nicht zu verwenden.
RC5
Ron Rivest entwarf RC5 im Jahr 1994, um an allen Fronten variabel zu sein. Blockgrößen können von 32, 64 oder 128 Bit und Schlüsselgrößen von 0 bis 2040 Bit und Runden von 0 bis 255 variieren. Der ursprüngliche Vorschlag für Parameter war 64-Bit-Block, 128-Bit-Schlüssel und 12 Runden.
Wird er heute noch eingesetzt? - Distributed.net arbeitet an Brute-Force-Angriffen auf RC5. Der 56-Bit-Schlüssel wurde in 250 Tagen und der 64-Bit-Schlüssel in 1.757 Tagen geknackt. Noch arbeitet die Gruppe am 72-Bit-Schlüssel, der wohl noch sicher zu nutzen ist.
RC6
RC6 wurde durch Ron Rivest und Kollegen von RC5 abgeleitet. Er wurde entwickelt, um die Anforderungen des Advanced Encryption Standard-Wettbewerbs zu erfüllen, und gehörte zu einem der fünf Finalisten. Er hat eine Blockgröße von 128 Bit und unterstützte Schlüsselgrößen von 128, 192, 256 Bit und bis zu 2040 Bit. RC6 verwendet wie RC5 datenabhängige Rotationen, modulare Addition und XOR-Operationen. Der Algorithmus wurde nicht ausgewählt, da die RSA Security-Website angegeben hatte, dass der Algorithmus noch nicht gebührenfrei sei.
Wird er heute noch eingesetzt? - Geleakte Dateien der NSA deuten darauf hin, dass er 2016 in Implantaten verwendet wurde. Abgesehen davon sieht es so aus, als ob RC6 noch zwei Patente in den USA halten könnte: US 5724428 A und US 5835600 A, aber diese Patente sollen zwischen 2015-2017 auslaufen.
Blowfish
Blowfish ist eine symmetrische Blockchiffre, die von Bruce Schneier als Ersatz für DES und IDEA entworfen wurde. Sie nutzt variable Schlüsselgrößen von 32 Bit bis 448 Bit, 64 Bit Blockgröße und 16 Runden und war eine der ersten nicht patentierten und lizenzfreien Blockchiffren (und ist es immer noch). Der französische Kryptograph Serge Vaudenay hat einen Weg gefunden, schwache Schlüssel in einem Klartextangriff zu verwenden, um 14 der 16 Runden zu brechen.
Blowfish wurde unter anderem auch dafür kritisiert, dass es in bestimmten Anwendungen langsam und anfällig für Geburtstagsangriffe in HTTPS ist.
Wird er heute noch eingesetzt? - Nein. Obwohl inzwischen bekannt ist, dass er anfällig für Sweet32-Attacken, Geburtstagsangriffe und Klartextangriffe ist, verwenden ihn einige Anwendungen immer noch, um beispielsweise Passwörter zu verschlüsseln. Bruce Schneier empfiehlt die Verwendung von Twofish.
Twofish
Twofish ist der Nachfolger von Blowfish und wurde 1998 veröffentlicht. Mit einer Blockgröße von 128 Bit, Schlüsselgrößen bis zu 256 Bit und 16 Runden war er einer der fünf Finalisten des Advanced Encryption Standard Wettbewerbs, wurde aber nicht für die Standardisierung ausgewählt. Er konnte auf Hardware und Smartcards sowie großen Mikroprozessoren implementiert werden, ein Vorteil gegenüber Blowfish.
Bruce Schneier und das Team, die Twofish schufen, boten jedem ein Preisgeld von 10.000 $, der es schafft ihn während der ersten Runde der AES-Auswertung anzugreifen. 1999 gewannen Sean Murphy und Fauzan Mirza den Preis für ihren Artikel 'An Observation on the Key Schedule of Twofish'.
Wird er heute noch eingesetzt? – Ja. Nicht patentiert und deshalb frei verwendbar.
Threefish
Threefish arbeitete mit 256-Bit-, 512-Bit- und 1024-Bit-Blöcken mit denselben Schlüsselgrößen wie der Block und bis zu 80 Runden. Threefish wurde 2008 als Teil der Hashfunktion Skein entwickelt, und ist einer von fünf Finalisten des NIST-Auswahlverfahrens zu SHA-3. Threefish wurde wegen seiner Geschwindigkeit hoch gelobt. Threefish-512 kann Daten mit 6,1 Blockzyklen pro Byte auf einem 64-Bit-Rechner verschlüsseln.
Wird er heute noch eingesetzt? – Ja. Nicht patentiert und deshalb frei verwendbar. Im Oktober 2010 wurde jedoch ein Angriff veröffentlicht, der 53 von 72 Runden in Threefish-256 und 57 von 72 Runden in Threefish-512 brechen konnte, sodass es immer noch riskant sein könnte, Threefish zu verwenden.
Serpent
Serpent nahm ebenfalls am Advanced Encryption Standard Wettbewerb teil und belegte den zweiten Platz hinter Rijndael (jetzt bekannt als AES). Serpent wurde 1998 von Ross Anderson, Eli Buham und Lars Knudsen entworfen. Er hat eine Blockgröße von 128, 192 oder 256 Bit bei einer Blocklänge von 128 Bit und 32 Runden. Rijndael gewann vor Serpent, weil die Jury der Ansicht war, dass er effizientere Software-Implementierungen besitzt.
2001 gelang es Eli Burham zusammen mit Orr Dunkelman und Nathan Keller 10 von 32 Runden Serpent-128 mit 2118 bekannten Klartexten und 289 Operationen zu brechen. Das gelang auch bei Serpent-192/256 mit 2118 Klartexten und 2187 Operationen. Andere Artikel sind seither dem Ziel näher gekommen, indem sie bis zu 12 Runden brechen konnten. Das reicht allerdings noch nicht aus um den Algorithmus als schwach zu betrachten.
Wird er heute noch eingesetzt? – Ja. Serpent ist immer noch Public Domain und obwohl einige Angriffe es geschafft haben bis zu 12 Runden der vollen 32 zu erreichen, sind Zeit- und Energieaufwand für einen solchen Angriff immer noch ziemlich hoch.
Asymmetrische Algorithmen
Asymmetrische Kryptographie ist auch als Kryptographie mit öffentlichem Schlüssel bekannt. Sie basiert auf dem Prinzip, ein Paar von mathematisch verwandten Schlüsseln zur Ver- und Entschlüsselung zu nutzen: einen öffentlichen Schlüssel und einen privaten Schlüssel. Das öffentliche Schlüsselpaar kann mit jedem geteilt werden, während der private Schlüssel geheim gehalten werden muss. Jeder mit dem öffentlichen Schlüssel kann eine Nachricht verschlüsseln, aber nur der Inhaber eines privaten Schlüssels kann sie entschlüsseln. Die Sicherheit hängt von der Geheimhaltung der privaten Schlüssel ab.
Diffie-Hellman
Diffie-Hellman ist eines der ersten aufgezeichneten Beispiele für asymmetrische Kryptographie, das zuerst von Ralph Merkle entworfen und von Whitfield Diffie und Martin Hellman realisiert wurde. Herkömmlicherweise würde eine sicher verschlüsselte Kommunikation verlangen, dass zunächst beide Parteien ihre Schlüssel über einen sicheren physikalischen Kanal austauschen. Durch Diffie-Hellman entfällt der sichere Austausch, indem ein zusätzlicher Schlüssel, der öffentliche Schlüssel, erstellt wird.
Zum jetzigen Zeitpunkt ist Diffie-Hellman kein Standard-Verschlüsselungsalgorithmus mehr, da er für verschiedene Angriffe anfällig ist. Ein Logjam-Angriff kann beispielsweise Man-in-the-Middle-Angriffe zulassen, bei denen der Hacker alle über die Verbindung gesendeten Daten lesen und ändern kann.
Wird er heute noch eingesetzt? – Ja. Für allgemeine PKI-Sicherheit und digitale Signierung empfiehlt NIST RSA (siehe unten), da Diffie-Hellman mehr CPU-Leistung und größeren Datenaustausch für Digitales Signieren und insbesondere SSL benötigt. Aber es gibt heute noch einige öffentliche Verwendungen von Diffie-Hellman, zum Beispiel in der Kryptographie mit elliptischen Kurven.
RSA
Der Rivet-Shammir-Adleman-Algorithmus, besser bekannt als RSA, ist heute das am weitesten verbreitete asymmetrische Kryptosystem im Internet. RSA basiert auf der Faktorisierung von Primzahlen, da die Rückwärtsverarbeitung von zwei multiplizierten Primzahlen rechnerisch schwierig ist, umso mehr, je größer die Primzahlen werden. Die Herausforderung, RSA zu brechen, ist als sogenanntes "RSA-Problem" bekannt.
RSA ist ein langsamer Algorithmus und wird deshalb zum Verschlüsseln und Entschlüsseln der symmetrischen Schlüssel verwendet, die wiederum die Kommunikation verschlüsseln und entschlüsseln. Die symmetrischen Schlüssel erledigen den Großteil der Arbeit, während RSA einen starken und sicheren Kanal schafft.
1998 beschrieb Daniel Bleichenbacher, wie er eine Sicherheitslücke in der PKCS#1-Datei ausnutzte (die den privaten Schlüssel enthält). Bei seinem Angriff konnte er den privaten Schlüssel aufspüren und ihn zur Wiederherstellung der Sitzungsschlüssel und zur Entschlüsselung von Nachrichten verwenden. Als Ergebnis seiner Arbeit hat RSA Laboratories neue Versionen von PKCS#1 veröffentlicht, die für diesen Angriff nicht anfällig sind. Obwohl es bereits einige Angriffe auf RSA gab, bleibt der Algorithmus stark, solange bis Quantencomputer populär werden.
Wird er heute noch eingesetzt? – Ja. RSA ist heute der am weitesten verbreitete asymmetrische Algorithmus.
Elliptische Kurve
ECC steht für Elliptic Curve Cryptography (Elliptische-Kurven-Kryptographie) und ist ein Ansatz zur Verschlüsselung mit öffentlichen Schlüsseln, der auf elliptischen Kurven über endlichen Körpern basiert. Kryptographische Algorithmen verwenden normalerweise eine mathematische Gleichung zur Entschlüsselung von Schlüsseln. ECC, die auch eine Gleichung verwendet, verfolgt einen anderen Ansatz.
SSL/TLS-Zertifikate verwenden am häufigsten RSA-Schlüssel und die empfohlene Größe dieser Schlüssel steigt ständig (z.B. vor einigen Jahren von 1024 Bit auf 2048 Bit), um eine ausreichende Verschlüsselungsstärke aufrecht zu erhalten. Eine Alternative zu RSA ist ECC. Beide Schlüsseltypen haben die gleiche wichtige Eigenschaft, asymmetrische Algorithmen zu sein (ein Schlüssel zum Verschlüsseln und ein Schlüssel zum Entschlüsseln). Allerdings kann ECC das gleiche Maß an Verschlüsselungsstärke bei viel kleineren Schlüsselgrößen bieten - sie bietet verbesserte Sicherheit bei niedrigeren Anforderungen an Rechnerleistung und Speicher.
Wird er heute noch eingesetzt? - Ja. NIST hat 15 elliptische Kurven empfohlen, die als Standard verwendet werden können. Es wird argumentiert, dass der Algorithmus schwach sei. Es wurden Schwachstellen gefunden, die es einem Angreifer ermöglichen, einen Seitenkanalangriff auszuführen, der aber durch eine 'Montgomery-Leiter' verhindert werden kann ebenso wie ein Twist-Angriff durch sorgfältigere Auswahl der Kurven. Andere Gründe für fehlende Popularität betreffen den von NIST erzeugten Zufallsschlüsselgenerator, genannt Dual Elliptic Curve Deterministic Random Bit Generator oder kurz DUAL_EC_DRBG. Einige vertreten die Ansicht, dass der Generator (entwickelt von der NSA) nicht ganz so zufällig war, wie man vielleicht annehmen könnte - er wurde später eingestellt.
Es ist alles Mathematik
Quantencomputing kommt ungebremst auf uns zu und viele fragen sich, was das für die Kryptographie bedeutet. Manche behaupten, dass unser herkömmlicher Ansatz, die Schlüsselgröße zu erhöhen, um die höhere Rechenleistung zu kompensieren, dann an ihre Grenzen stoßen wird. Wieder andere denken, dass das nicht notwendigerweise so sein muss.
Wenn wir etwas mitnehmen, dann, dass alle Algorithmen einen "Sicherheitsabstand" haben, wie Bruce Schneier es ausdrückt. Wir müssen erkennen, dass es mit ausreichender Rechenleistung und genug Zeit möglich ist, einen Algorithmus zu brechen. Behält man die Rechenleistung im Auge, sollte es aber möglich sein neue Algorithmen zu finden, welche die bestehenden ersetzen.
Wenn Sie in diesem Post einen Algorithmus vermissen, sagen Sie uns das gerne hier. Wir nehmen ihn gerne mit auf. Unser nächster Blog in dieser Themenreihe beschäftigt sich mit kryptographischen Hash-Funktionen wie SHA und MD.
