Die Blocklänge l ist daran zu erkennen, dass alle Geheimtextlängen Vielfache von l sind. Notfalls hilft auch Durchprobieren der in Frage kommenden Längen.
Zur erfolgreichen Kryptoanalyse reichen in der Regel l bekannte Klartextblöcke, also bekannter Klartext der Länge l². (Das ist ja auch die Länge des Schlüssels.)
Seien (a11, ..., al1), ..., (a1l, ..., all) die bekannten Klartextblöcke mit zugehörigen Geheimtextblöcken (c11, ..., cl1), ..., (c1l, ..., cll).
Daraus ergibt sich die Matrizen-Gleichung
Die Matrix-Inversion ist effizient nach Abschnitt 8. Ferner ist A nach Abschnitt 10 mit hoher Wahrscheinlichkeit invertierbar.
In dem Beispiel aus Abschnitt 9 sei der Klartext Herr bekannt. Er bildet zwei Blöcke und somit die Matrix
Deren Determinante ist Det A = 17 × [7·1 - 4·1] = 17·3 = 51 º -1 mod 26; wir haben also Glück gehabt und können Invertieren:
Daraus ergibt sich die Schlüsselmatrix:
c1 - c0 = k·(a1 - a0),
...
cl - cl-1 = k·(al - al-1).
Linearität kann gute statistische Verteilung des Geheimtexts ergeben, macht aber extrem anfällig für bekannten Klartext.
Lineare Gleichungssysteme sind leicht lösbar. Daher wird man zur Vermeidung von Angriffen mit bekanntem Klartext auf Nichtlinearität setzen: Gleichungen höheren Grades sind sehr viel schwerer lösbar.
Bekannter Klartext ist der natürliche Feind der Linearität.
E-Mail an Pommerening@imsd.uni-mainz.de.