2a. Kryptographische Basistechniken
Kryptoanalytische Attacken
- ... dienen dem Aufstellen von Entwurfskriterien für Chiffriermethoden
(»freundliche Kryptoanalyse«),
- ... oder der unbefugten Entschlüsselung (»feindliche Kryptoanalyse«).
Der Geheimtext wird dabei stets als bekannt angenommen, manchmal auch mehr.
- Vollständige Suche (»brute force attack«,
Holzhammermethode) -
- Der Schlüsselraum wird vollständig durchsucht,
bis der passende Schlüssel gefunden ist.
- Immer anwendbar.
- Schutz: Große effektive Schlüssellänge.
- Geheimtextanalyse (»ciphertext only attack«) -
- Statistische oder zahlentheoretische Methoden;
- Beispiel: Bei monoalphabetischer Substitution über einer
»natürlichen« Sprache (deutsch, englisch, ...) entspricht das
häufigste Zeichen im Geheimtext in der Regel dem Buchstaben e.
- Mustererkennungsmethoden.
- Bei monoalphabetischer Substitution viel mächtiger als
Buchstabenzählen (Computerhilfe: Abgleich mit Lexikon).
- Angriff mit bekanntem Klartext (»known plaintext attack«) -
- Probeverschlüsselung (»chosen plaintext attack«) -
- Bei asymmetrischen oder Einweg-Verfahren kann der Angreifer
beliebige Texte selbst verschlüsseln und das Ergebnis
analysieren.
- Beispiel: Passwort-Crack.
- Auch als Wörterbuch-Attacke.
- Ebenso bei der Analyse eines
Verschlüsselungs-Chips (Black-Box-Analyse).
Grafische Darstellungen
Angriff mit bekanntem Klartext (»known plaintext attack«)
- Häufig gestellte Frage: Was soll ein »Angriff mit
bekanntem Klartext« denn sein? Was ist denn da noch zu knacken, wenn
der Angreifer den Klartext schon kennt?
- Antwort: Oft kennt der Kryptoanalytiker ein Stück
Klartext, vielleicht nur ein einzelnes »wahrscheinliches
Wort«, und kann versuchen, daraus weiteren Klartext zu bestimmen
- oder gar den Schlüssel und damit allen weiteren Klartext.
Aus Kenntnis (oder Vermutung) über einen Teil des Klartexts werden
Informationen über den Schlüssel gewonnen. Szenarien:
- Vermutetes Wort:
- häufiges Wort (z. B. Artikel),
- spezielles Wort (im Kontext).
- Bekanntes Klartextstück (z. B. Floskel).
- Ganzer kompromittierter Klartext.
- Wörterbuchattacke (Klartext-Exhaustion) -
Systematisches Klartextraten im Fischzug-Verfahren.
Mathematisch bedeutet der Angriff mit bekanntem Klartext das Auflösen
einer Gleichung der Gestalt
f(a,k) = c
(mit a = Klartext, k = Schlüssel, c = Geheimtext)
nach der Unbekannten k. Je nach mathematischer Beschreibung der
Chiffre werden hier algebraische und algebraisch-geometrische Methoden
verwendet, meist über dem endlichen Körper F2.
Hier gibt es in der »Geheimdienstwelt« (insbesondere bei der NSA)
mit Sicherheit viele öffentlich unbekannte Spezialkenntnisse.
Auch Grundlagenkenntnisse, die einen »Durchbruch« bedeuten?
Eher nicht: Mathematiker die zu solchen Leistungen fähig sind,
streben eher nach öffentlicher Anerkennung als sich bei einem
Geheimdienst zu verstecken.
Wahrscheinliche Wörter und bekannte Klartextstücke gewinnt man als:
- häufige Wörter,
- stereotype Floskeln (»Sehr geehrter Herr ...«),
- Kontextinformation (»Oberkommando der Wehrmacht«),
- provozierte Nachrichten (»Erloschen ist Leuchttonne«),
- Chiffrierfehler (z. B. Senden der gleichen Nachricht in einer alten,
bereits gebrochenen Chiffre und in einer neuen, die noch nicht bei
allen Empfängern installiert ist),
- ... oder durch geheimdienstliche Tätigkeit.
Das bekannte Klartextstück kann auch ein im Verlauf der Kryptoanalyse
bereits gewonnener oder vermuteter Textteil sein, z. B. aufgrund
einer Mustersuche.
Die Menge des bekannten Klartexts, die man für einen Angriff benötigt,
ist ein Maß für die Effizienz dieses Angriffs - also auch für die Sicherheit
der Chiffre. Dieses Maß ist gröber als die Zeitkomplexität des Angriffs,
da ja jeder Klartext »angefasst« werden muss (sonst würde er nicht benötigt).
Beispiel: Das Brechen einer monoalphabetischen Substitution ist
bei bekanntem Klartext aus etwa 5 bis 6 Buchstaben trivial.
(Jeder bekannte Klartextbuchstabe ergibt einen Buchstaben des Schlüssels.)
Eine gute Chiffre muss resistent gegen einen Angriff mit
bekanntem Klartext sein.
Die modernen standardisierten Chiffren erfüllen dieses Kriterium.
Eine gute Chiffre sollte auch resistent gegen einen Angriff mit gewähltem
Klartext sein. Die aktuellen anerkannten kryptographischen Basisfunktionen
erfüllen auch dieses Kriterium.
Allgemeine Bemerkungen zur Kryptoanalyse
- Kryptoanalyse beruht so gut wie immer auf Kontextwissen.
- Kryptoanalyse kostet Zeit (siehe Komplexitätstheorie).
- Gute untere Zeitschranke reicht für Sicherheit.
- Der Kryptoanalytiker braucht möglichst viele Methoden -
- die müssen aber nicht exakt sein, nur erfolgreich.
- Heuristische Methoden, oft schwer formalisierbar.
- Geschichte der Kryptologie:
neben direkten Angriffen auf das Verfahren oft Angriffe auf das
»Protokoll« erfolgreich (»Side Channel Cryptanalysis« [Bruce Schneier]).
- Es gibt kein allgemeingültiges praktisches Maß für die Sicherheit von
Chiffriermethoden. Ihre Sicherheit wird nach der Resistenz gegen bekannte
Attacken bewertet.
- Zu den kryptoanalytischen Attacken, gegen die die kryptologische Theorie
schützt, zählen nicht
- Kriminelle Gewaltanwendung [Social Engineering,
»Rubber Hose Cryptanalysis«],
- Ausnutzung von Systemschwächen, wie z. B. diverse Abhörmöglichkeiten
[»Side Channel Cryptanalysis«].
- Kryptoanalyse führt also nicht zu einem vollständigen
Sicherheitsmodell.
Die Bedeutung der Schlüssel
Grundsatz der Kryptographie [2. Maxime von
Kerckhoffs]:
- Die Chiffriermethode wird als bekannt angenommen.
- Der Schlüssel wird als geheim betrachtet.
In einem richtig konzipierten kryptographischen System braucht nur der
Schlüssel geheim gehalten zu werden.
Die Sicherheit des Verfahrens beruht nur darauf,
und zwar unter Kontrolle des Schlüsselinhabers -
im Gegensatz zur Geheimhaltung des Algorithmus.
Die Maximen von Kerckhoffs
- Das System sollte, wenn schon nicht theoretisch, so doch praktisch
unbrechbar sein.
- [Die berühmte] Eine Kompromittierung des Systems sollte den
Kommunikationspartnern nicht schaden.
- Der Schlüssel sollte, ohne ihn zu notieren, leicht merkbar und leicht
austauschbar sein.
- Die Kryptogramme sollten telegrafisch übertragen werden können.
- Der Apparat oder die Anleitung sollten von einer Einzelperson tragbar
und bedienbar sein.
- Die Bedienung sollte leicht sein und nicht die Kenntnis vieler Regeln
oder hohe Konzentration erfordern.
[Auguste Kerckhoffs: La Cryptographie militaire, 1883]
|
Ein Verfahren, für dessen Sicherheit man auf die Geheimhaltung des
Algorithmus angewiesen ist, hat schwere Mängel:
- Der Beweis der Sicherheit des Verfahrens ist nicht öffentlich möglich,
ohne das Verfahren zu kompromittieren.
- Die Information über die Art des Verfahrens, also den Algorithmus, ist
schwerer geheim zu halten als ein zufällig gewählter Schlüssel.
(Einsatz in Netzen, Entwickler des Verfahrens, Spionage, Eroberung, Erpressung,
siehe Geschichte der Kryptographie).
- Bei einem Geheimnisbruch sind viele Anwender betroffen.
- Der Wechsel eines Verfahrens ist sehr aufwendig, der Wechsel eines
Schlüssels dagegen leicht.
- Asymmetrische Verschlüsselungsverfahren setzen sowieso voraus, dass der
Algorithmus öffentlich bekannt ist.
Ein großes Geheimnis (Nachricht, Datei) wird hinter einem kleinen
Geheimnis (Schlüssel) versteckt. Dadurch wird der Schutzaufwand
konzentriert und reduziert: Je weniger Geheimnisse ein System birgt,
desto leichter ist es zu sichern.
In diesem Sinne ist die Aussage zu verstehen, dass
Kryptologie auch die Lehre vom effizienten Management von
Geheimnissen ist.
Vorlesung Datenschutz und Datensicherheit
Autoren: Klaus Pommerening, Marita Sergl, 31. März 1999;
letzte Änderung: 15. Mai 2007
E-Mail an Pommerening »AT« imbei.uni-mainz.de.