|
Kryptologie
Angriff mit bekanntem Klartext |
a7Hzq .#5r< kÜ\as TâÆK$ ûj(Ö2 ñw%h:
Úk{4R f~`z8 ¤˜Æ+Ô „&¢Dø |
|
Häufig gestellte Frage: Was soll ein »Angriff mit
bekanntem Klartext« denn sein? Was ist denn da noch zu knacken, wenn
der Angreifer den Klartext schon kennt?
Antwort:
Oft kennt der Kryptoanalytiker ein Stück Klartext, vielleicht
nur ein einzelnes »wahrscheinliches Wort«, und kann versuchen,
daraus weiteren Klartext zu bestimmen - oder gar den Schlüssel und damit
allen weiteren Klartext.
Abstufungen des Angriffs
- Völlig unbekannter Klartext.
- Vermutetes Wort:
- häufiges Wort (z. B. Artikel),
- spezielles Wort (im Kontext).
- Bekanntes Klartextstück (z. B. Floskel).
- Ganzer kompromittierter Klartext.
Wahrscheinliche Wörter und bekannte Klartextstücke gewinnt man als:
- häufige Wörter,
- stereotype Floskeln (»Sehr geehrter Herr ...«),
- Kontextinformation (»Oberkommando der Wehrmacht«),
- provozierte Nachrichten (»Erloschen ist Leuchttonne«),
- Chiffrierfehler (z. B. Senden der gleichen Nachricht in einer alten,
bereits gebrochenen Chiffre und in einer neuen, die noch nicht bei
allen Empfängern installiert ist).
Das bekannte Klartextstück kann auch ein im Verlauf der Kryptoanalyse
bereits gewonnener oder vermuteter Textteil sein, z. B. aufgrund
einer Mustersuche.
In der modernen Kryptographie werden Challenge-Response-Verfahren zur
Benutzerauthentisierung verwendet. Hier geht ein zufälliger Klartext
übers Netz und wird verschlüsselt zurückgeschickt. Der Angreifer liest
beides mit.
Oft ist die Lage des wahrscheinlichen Wortes nur durch Raten und
Ausprobieren zu bestimmen.
Beispiele
Verschiebechiffre
Schon ein einziger bekannter Buchstabe ergibt den Schlüssel.
Allgemeine monoalphabetische Substitution
Jeder bekannte Klartextbuchstabe ergibt einen Buchstaben des Schlüssels.
Das Brechen monoalphabetischer Substitutionen ist bei bekanntem Klartext
trivial.
Steigerung: Angriff mit gewähltem Klartext
Noch mehr Möglichkeiten hat der Kryptoanalytiker, wenn er einen selbst gewählten
Klartext verschlüsseln kann.
Dies klingt zunächst völlig absurd, ist aber in einigen Situationen durchaus
eien realistische Gefahr:
- Als schwache Form kann die provozierte Nachricht gelten.
- Bei Einweg-Verschlüsselung und asymmetrischer Verschlüsselung [siehe später]
kann jeder beliebige Texte probeverschlüsseln.
- Ebenso ist die Situation bei Vorliegen einer Black Box gegeben, etwa einer
entwendeten Chipkarte oder einem in eine Anwendung fest eingebauten
Verschlüsselungsverfahren, wo das Ziel die Enthüllung und anschließende
»illegale« Verwendung des Schlüssels ist,
- ... oder bei einem Challenge-Response-Verfahren.
Ein Beispiel wird beschrieben in
Hier enthüllte der Angriff mit gewähltem Klartext, dass Microsoft eine simple
XOR-Verschlüsselung mit Schlüssel »susageP« (= »Pegasus« rückwärts gelesen)
verwendet.
Autor: Klaus Pommerening, 27. Oktober 1999; letzte Änderung:
14. April 2000.
E-Mail an
Pommerening@imsd.uni-mainz.de.