[JoGu]

Kryptologie

Angriff mit bekanntem Klartext

a7Hzq .#5r<
kÜ\as TâÆK$
ûj(Ö2 ñw%h:
Úk{4R f~`z8
¤˜Æ+Ô „&¢Dø

Häufig gestellte Frage: Was soll ein »Angriff mit bekanntem Klartext« denn sein? Was ist denn da noch zu knacken, wenn der Angreifer den Klartext schon kennt?

Antwort: Oft kennt der Kryptoanalytiker ein Stück Klartext, vielleicht nur ein einzelnes »wahrscheinliches Wort«, und kann versuchen, daraus weiteren Klartext zu bestimmen - oder gar den Schlüssel und damit allen weiteren Klartext.

[Angriff mit bekanntem Klartext]

Abstufungen des Angriffs

  1. Völlig unbekannter Klartext.
  2. Vermutetes Wort:
  3. Bekanntes Klartextstück (z. B. Floskel).
  4. Ganzer kompromittierter Klartext.

Wahrscheinliche Wörter und bekannte Klartextstücke gewinnt man als:

Das bekannte Klartextstück kann auch ein im Verlauf der Kryptoanalyse bereits gewonnener oder vermuteter Textteil sein, z. B. aufgrund einer Mustersuche.

In der modernen Kryptographie werden Challenge-Response-Verfahren zur Benutzerauthentisierung verwendet. Hier geht ein zufälliger Klartext übers Netz und wird verschlüsselt zurückgeschickt. Der Angreifer liest beides mit.

Oft ist die Lage des wahrscheinlichen Wortes nur durch Raten und Ausprobieren zu bestimmen.

Die Menge des bekannten Klartexts, die man für einen bestimmten Angriff benötigt, ist ein Maß für die Effizienz dieses Angriffs und trägt somit auch in gewisser Weise dazu bei, die Sicherheit der Chiffre zu beurteilen. Dieses Maß ist gröber als die Zeitkomplexität des Angriffs, da ja jeder Klartext »angefasst« werden muss (sonst würde er nicht benötigt).


Beispiele

Verschiebechiffre

Schon ein einziger bekannter Buchstabe des verwendeten Alphabets ergibt den Schlüssel.

Allgemeine monoalphabetische Substitution

Jeder bekannte Klartextbuchstabe ergibt einen Buchstaben des Schlüssels.

Das Brechen monoalphabetischer Substitutionen ist bei bekanntem Klartext aus etwa 5 bis 6 Buchstaben trivial. (Im Beispiel reichten 5 Buchstaben, um mit dem Erraten von Klartextwörtern den ganzen Schlüssel zu rekonstruieren.)


Steigerung: Angriff mit gewähltem Klartext

Noch mehr Möglichkeiten hat der Kryptoanalytiker, wenn er einen selbst gewählten Klartext verschlüsseln kann.

Dies klingt zunächst völlig absurd, ist aber in einigen Situationen durchaus eine realistische Gefahr:

Im Extremfall ist sogar eine »Klartext-Exhaustion«, also eine Probeverschlüsselung mit sämtlichen möglichen Klartexten (einer bestimmten Länge) denkbar oder eine Wörterbuchattacke, wo wenigstens die wahrscheinlichsten aller Klartexte durchprobiert werden (Anwendung: Passwort-Knacken).

Ein Beispiel wird beschrieben in

Hier enthüllte der Angriff mit gewähltem Klartext, dass Microsoft eine simple XOR-Verschlüsselung mit Schlüssel »susageP« (= »Pegasus« rückwärts gelesen) verwendet.


Allgemeine Bemerkungen zur Kryptoanalyse

Und eine wichtige Lehre aus den bisher gelernten kryptoanalytischen Methoden ist:

Kryptographische Verfahren müssen so gut sein, dass sie die charakteristischen Häufigkeiten und Muster der Sprache verwischen.

Der Ansatz dazu, den wir im nächsten Abschnitt kennen lernen werden, ist die polyalphabetische Verschlüsselung.


Übungsaufgaben

  1. EJGGZ TGWOF IPOHI HONAW OCIAO TQUPO HZTHI EFOTQ QCHIO TNAIO
    IOHHZ TGUJP QRAOT QCGWO FIIJP ROTQR OTQNA VJHOT RJQJQ EOP

    (Im Text könnte der Ort Waidhaus vorkommen.)

  2. FTCZQ POFHM ATPOZ WDZUC HUOQJ TUQZE BDUTQ
    OADHP OTCBN WEDUP KATPO ZWDFH MHWQJ TUAZW
    WCZMD PZKOL THUEZ UQHMZ UDUTQ OAOAD QDTCK
    HVVTM ZUBOT QTHEY NUFOZ TUCZM DCZMD UHNBA
    OKKGH PFTVG

    (William Friedman; die Sprache könnte Englisch sein.)


Autor: Klaus Pommerening, 27. Oktober 1999; letzte Änderung: 17. Dezember 2007.