2a. Kryptographische Basistechniken
Die Sicherheit kryptographischer Verfahren
Drei Stufen der Sicherheit von Chiffrierverfahren
- Perfekte Sicherheit (informationstheoretischer Ansatz) -
- Ein Geheimtext enthüllt keinerlei Information über Klartext
und Schlüssel.
- Verwirklicht im One-Time-Pad.
- Design-Kriterien: Konfusion und Diffusion
(===> Erhöhung der Entropie der Geheimtexte).
- Mathematische Sicherheit (komplexitätstheoretischer Ansatz) -
- Der kryptoanalytische Ansatz führt
auf ein »hartes« (z. B. NP-vollständiges) Problem.
- Mathematische Beweisbarkeit prinzipiell gegeben,
aber mit den gegenwärtigen Methoden nicht durchführbar.
- Verwirklicht durch RSA und perfekte Zufallsgeneratoren.
- Pragmatische Sicherheit (empirischer Ansatz) -
- Das Chiffrierverfahren kann
- durch die bekannten Angriffe
- mit den verfügbaren Ressourcen
- mit vertretbarem Aufwand
nicht gebrochen werden.
- Es ist keine Analyse-Methode bekannt, die
»wesentlich« schneller ist als die vollständige Suche.
Der Schlüsselraum ist so groß, daß die vollständige
Suche alle beim Gegner vorhandenen, evtl. sogar alle Ressourcen
des Universums überfordert.
Beispiele für Suchräume
- 8-Byte-Passwörter:
- Suchraum der Größe 2568= 264 ~
18 × 1018
(theoretisch);
- werden aber nur druckbare Zeichen (ASCII 32 bis 126)
verwendet, hat der effektive Suchraum nur
938 ~ 5.5 × 1015 Elemente.
- Durch die Verwendung »merkbarer« Passwörter schrumpft er
drastisch weiter.
- »Klassische« Zufallsgeneratoren (32-bit-Startwert):
- Der Suchraum hat die Größe 232 ~ 4 × 109.
- DES-Schlüssel:
- Suchraum hat Größe 256
(= die Größe des Schlüsselraums).
Immer den effektiven Suchraum berücksichtigen!
Größenordnungen
| Sekunden/Jahr | | 3 x 107 |
| CPU-Zyklen/Jahr auf 1-GHz-Rechner | | 3.2 x 1016 |
| Alter des Universums in Jahren | | 1010 |
| CPU-Zyklen seither (1 GHz) | | 3.2 x 1026 |
| | | |
| Atome in der Erde | | 1051 |
| Elektronen im Universum | | 8.37 x 1077 |
| | | |
| ASCII-Ketten der Länge 8 (958) | | 6.6 x 1015 |
| Binärketten der Länge 56 (256) | | 7.2 x 1016 |
| Binärketten der Länge 80 | | 1.2 x 1024 |
| Binärketten der Länge 128 | | 3.4 x 1038 |
| Binärketten der Länge 256 | | 1.2 x 1077 |
| | | |
| 75-stellige Primzahlen | | 5.2 x 1072 |
Vollständige Suche - physikalische Grenzen
(nach: Louis K. Scheffer in sci.crypt)
- höchstens 1090 Elementarteilchen im Universum
(Schranke für Zahl der CPU's),
- mindestens 10-35 Sekunden, um ein Elementarteilchen mit Lichtgeschwindigkeit
zu durchqueren (Zeitschranke für eine Operation),
- höchstens 1018 Sekunden Lebensdauer des Universums (~ 30 × 109 Jahre)
(Schranke für verfügbare Zeit),
===> höchstens 10143 ~ 2475 Operationen möglich.
===> 500-Bit-Schlüssel sind sicher vor vollständiger Suche ...
... until such time as computers are built from something other than matter, and occupy something other than space. (Paul Ciszek)
Praktische Sicherheitsgrenze heute: ca. 90-Bit-Schlüssel. Damit ist man vermutlich auch vor der NSA sicher.
Vollständige Suche - der Stand der Technik
Bauanleitung für einen Chip mit heutiger Technologie -
- Produktionskosten ca $10,
- Leistung: 1 DES-Verschlüsselung pro 50-MHz-Takt
(16 Schaltkreise in Pipeline für 16 Runden),
- Vergleich mit bekanntem Klartext intern (ohne I/O).
Dieser Chip kann also für einen bekannten Klartext 50 Millionen Schlüssel pro Sekunde prüfen.
Daraus wird gebaut eine DES-Entschlüsselungsmaschine:
- Baukosten $ 1 Million,
- einmalige Entwicklungskosten $ 500 000, Entwicklungszeit < 1 Jahr,
- Durchschnittliche Suchzeit 3.5 Stunden.
1999 bei gleichen Kosten ca. Faktor 10 an Geschwindigkeitsgewinn.
Billiglösung:
- 5760 Chips mit hierarchisch angeordneter Steuerungslogik,
von PC gesteuert, für $100 000, Suchzeit 35 Stunden.
Die Methode greift grundsätzlich für jedes Verschlüsselungsverfahren,
die Suchzeit ist proportional zu
- Verschlüsselungszeit,
- 1/(Zahl der Chips),
- Größe des Schlüsselraums.
Kriterien für ein gutes Verschlüsselungsverfahren
- Gute Implementierbarkeit.
- Hinreichende Geschwindigkeit.
- Großer Schlüsselraum;
»schwache Schlüssel« leicht zu vermeiden.
- Gute Diffusion der Klartext- und Schlüssel-Bits.
- Bestehen statistischer Tests;
z. B. OFB erzeugt gute Pseudozufallszahlen.
- Spezifische Kriterien je nach Art des Verfahrens;
z. B. bei Blockverschlüsselung: Die fk,
wobei k den Schlüsselraum K durchläuft,
erzeugen die volle symmetrische oder alternierende
Gruppe auf der Menge der Blöcke.
- Resistenz gegen bekannte Attacken
(bewiesen, oder auf anderes vermutlich hartes Problem reduziert).
- Algorithmus öffentlich bekannt und jahrelang von der
»kryptographischen Öffentlichkeit« geprüft.
Vorlesung Datenschutz und Datensicherheit,
Johannes-Gutenberg-Universität Mainz
Autor: Klaus Pommerening, 31. März 1999;
letzte Änderung: 23. November 2001
E-Mail an
Pommerening@imsd.uni-mainz.de.