Kryptologie: Angriff mit bekanntem Klartext

Kryptologie

Angriff mit bekanntem Klartext

a7Hzq .#5r< kÜ\as TâÆK$ ûj(Ö2 ñw%h: Úk{4R f~`z8 ¤˜Æ+Ô „&¢Dø

Häufig gestellte Frage: Was soll ein »Angriff mit bekanntem Klartext« denn sein? Was ist denn da noch zu knacken, wenn der Angreifer den Klartext schon kennt?

Antwort: Oft kennt der Kryptoanalytiker ein Stück Klartext, vielleicht nur ein einzelnes »wahrscheinliches Wort«, und kann versuchen, daraus weiteren Klartext zu bestimmen - oder gar den Schlüssel und damit allen weiteren Klartext.

Abstufungen des Angriffs

Völlig unbekannter Klartext.
Vermutetes Wort:
- häufiges Wort (z. B. Artikel),
- spezielles Wort (im Kontext).
Bekanntes Klartextstück (z. B. Floskel).
Ganzer kompromittierter Klartext.

Wahrscheinliche Wörter und bekannte Klartextstücke gewinnt man als:

häufige Wörter,
stereotype Floskeln (»Sehr geehrter Herr ...«),
Kontextinformation (»Oberkommando der Wehrmacht«),
provozierte Nachrichten (»Erloschen ist Leuchttonne«),
Chiffrierfehler (z. B. Senden der gleichen Nachricht in einer alten, bereits gebrochenen Chiffre und in einer neuen, die noch nicht bei allen Empfängern installiert ist).

Das bekannte Klartextstück kann auch ein im Verlauf der Kryptoanalyse bereits gewonnener oder vermuteter Textteil sein, z. B. aufgrund einer Mustersuche.

In der modernen Kryptographie werden Challenge-Response-Verfahren zur Benutzerauthentisierung verwendet. Hier geht ein zufälliger Klartext übers Netz und wird verschlüsselt zurückgeschickt. Der Angreifer liest beides mit.

Oft ist die Lage des wahrscheinlichen Wortes nur durch Raten und Ausprobieren zu bestimmen.

Beispiele

Verschiebechiffre

Schon ein einziger bekannter Buchstabe ergibt den Schlüssel.

Allgemeine monoalphabetische Substitution

Jeder bekannte Klartextbuchstabe ergibt einen Buchstaben des Schlüssels.

Das Brechen monoalphabetischer Substitutionen ist bei bekanntem Klartext trivial.

Steigerung: Angriff mit gewähltem Klartext

Noch mehr Möglichkeiten hat der Kryptoanalytiker, wenn er einen selbst gewählten Klartext verschlüsseln kann.

Dies klingt zunächst völlig absurd, ist aber in einigen Situationen durchaus eien realistische Gefahr:

Als schwache Form kann die provozierte Nachricht gelten.
Bei Einweg-Verschlüsselung und asymmetrischer Verschlüsselung [siehe später] kann jeder beliebige Texte probeverschlüsseln.
Ebenso ist die Situation bei Vorliegen einer Black Box gegeben, etwa einer entwendeten Chipkarte oder einem in eine Anwendung fest eingebauten Verschlüsselungsverfahren, wo das Ziel die Enthüllung und anschließende »illegale« Verwendung des Schlüssels ist,
... oder bei einem Challenge-Response-Verfahren.

Ein Beispiel wird beschrieben in

Jeff Zamora: ActiveSync 2.x allows unauthorized access to your NT password.

Hier enthüllte der Angriff mit gewähltem Klartext, dass Microsoft eine simple XOR-Verschlüsselung mit Schlüssel »susageP« (= »Pegasus« rückwärts gelesen) verwendet.

Autor: Klaus Pommerening, 27. Oktober 1999; letzte Änderung: 14. April 2000.

E-Mail an Pommerening@imsd.uni-mainz.de.