|
Kryptologie
Angriff mit bekanntem Klartext |
a7Hzq .#5r< kÜ\as TâÆK$ ûj(Ö2 ñw%h:
Úk{4R f~`z8 ¤˜Æ+Ô „&¢Dø |
|
Häufig gestellte Frage: Was soll ein »Angriff mit
bekanntem Klartext« denn sein? Was ist denn da noch zu knacken, wenn
der Angreifer den Klartext schon kennt?
Antwort:
Oft kennt der Kryptoanalytiker ein Stück Klartext, vielleicht
nur ein einzelnes »wahrscheinliches Wort«, und kann versuchen,
daraus weiteren Klartext zu bestimmen - oder gar den Schlüssel und damit
allen weiteren Klartext.
Abstufungen des Angriffs
- Völlig unbekannter Klartext.
- Vermutetes Wort:
- häufiges Wort (z. B. Artikel oder, was den deutschen
Kryptoanalytikern im zweiten Weltkrieg beim Brechen der
amerikanischen M-209 half, in Buchstaben wiedergegebene Zahlen
- »five seven three«),
- spezielles Wort (im Kontext).
- Bekanntes Klartextstück (z. B. Floskel).
- Ganzer kompromittierter Klartext.
Wahrscheinliche Wörter und bekannte Klartextstücke gewinnt man als:
- häufige Wörter,
- stereotype Floskeln (»Sehr geehrter Herr ...«),
- Kontextinformation (»Oberkommando der Wehrmacht«),
- provozierte Nachrichten (»Erloschen ist Leuchttonne«),
- Chiffrierfehler (z. B. Senden der gleichen Nachricht in einer alten,
bereits gebrochenen Chiffre und in einer neuen, die noch nicht bei
allen Empfängern installiert ist)
- -- das kam in der Geschichte der Kryptologie oft vor und war
selbst im zweiten Weltkrieg noch oft entscheidend für die
Erfolge der Kryptoanalytiker --,
- ... oder durch geheimdienstliche Tätigkeit.
Das bekannte Klartextstück kann auch ein im Verlauf der Kryptoanalyse
bereits gewonnener oder vermuteter Textteil sein, z. B. aufgrund
einer Mustersuche.
In der modernen Kryptographie werden Challenge-Response-Verfahren zur
Benutzerauthentisierung verwendet. Hier geht ein zufälliger Klartext
übers Netz und wird verschlüsselt zurückgeschickt. Der Angreifer liest
beides mit.
Oft ist die Lage des wahrscheinlichen Wortes nur durch Raten und
Ausprobieren zu bestimmen.
Die Menge des bekannten Klartexts, die man für einen bestimmten
Angriff benötigt, ist ein Maß für die Effizienz
dieses Angriffs und trägt somit auch in gewisser Weise dazu bei, die
Sicherheit der Chiffre zu beurteilen. Dieses Maß ist gröber als die
Zeitkomplexität des Angriffs, da ja jeder Klartext »angefasst« werden
muss (sonst würde er nicht benötigt).
Beispiele
Verschiebechiffre
Schon ein einziger bekannter Buchstabe des verwendeten
Alphabets ergibt den Schlüssel.
Allgemeine monoalphabetische Substitution
Jeder bekannte Klartextbuchstabe ergibt einen Buchstaben des Schlüssels.
Das Brechen monoalphabetischer Substitutionen ist bei bekanntem Klartext
aus etwa 5 bis 6 Buchstaben trivial. (Im Beispiel
reichten 5 Buchstaben, um mit dem Erraten von Klartextwörtern den ganzen
Schlüssel zu rekonstruieren.)
Steigerung: Angriff mit gewähltem Klartext
Noch mehr Möglichkeiten hat der Kryptoanalytiker, wenn er einen selbst gewählten
Klartext verschlüsseln kann.
Dies klingt zunächst völlig absurd, ist aber in einigen Situationen durchaus
eine realistische Gefahr:
- Als schwache Form kann die provozierte Nachricht gelten.
- Bei Einweg-Verschlüsselung und asymmetrischer Verschlüsselung [siehe
später]
kann jeder beliebige Texte probeverschlüsseln.
- Ebenso ist die Situation bei Vorliegen einer Black Box gegeben, etwa einer
entwendeten Chipkarte oder einem in eine Anwendung fest eingebauten
Verschlüsselungsverfahren, wo das Ziel die Enthüllung und anschließende
»illegale« Verwendung des Schlüssels ist,
- ... oder bei einem
Challenge-Response-Verfahren.
Im Extremfall ist sogar eine »Klartext-Exhaustion«, also eine
Probeverschlüsselung mit sämtlichen möglichen Klartexten (einer bestimmten
Länge) denkbar oder eine Wörterbuchattacke, wo wenigstens die wahrscheinlichsten
aller Klartexte durchprobiert werden (Anwendung: Passwort-Knacken).
Ein Beispiel wird beschrieben in
- Jeff Zamora: ActiveSync 2.x allows unauthorized access to your NT password.
[nicht mehr online]
Hier enthüllte der Angriff mit gewähltem Klartext, dass Microsoft eine simple
XOR-Verschlüsselung mit Schlüssel »susageP« (= »Pegasus« rückwärts gelesen)
verwendet.
Allgemeine Bemerkungen zur Kryptoanalyse
- Kryptoanalyse beruht so gut wie immer auf Kontextwissen. Wieviel
davon man braucht und welcher Art es ist, unterscheidet sich natürlich
von Fall zu Fall.
- Kryptoanalyse kostet Zeit. Oft ist eine Chiffre schon dann sicher genug,
wenn diese Zeit zu groß ist, als dass die Nachricht dem Kryptoanalytiker
noch von Nutzen sein kann. Die weitere Verfolgung dieser Idee führt
in die Komplexitätstheorie.
- Wichtig ist, dass der Kryptoanalytiker möglichst viele Methoden zur
Verfügung hat. Falls ein Ansatz nicht weiterführt, kann er einen anderen
ausprobieren und dazu das eventuell nötige Kontextwissen zu gewinnen
versuchen.
- Angriffsmöglichkeiten bieten sich unter Umständen auch, wenn ein gleicher
Klartext mit verschiedenen Schlüsseln oder verschiedene Klartexte mit dem
gleichen Schlüssel verschlüsselt wurden; auch andere »Chiffrierfehler«
bieten eventuell Angriffsmöglichkeiten.
- Die Geschichte der Kryptologie lehrt, dass neben direkten Angriffen auf
das Verfahren oft Angriffe auf das »Protokoll«, d. h., auf den konkreten
Einsatz des Verfahrens und den Umgang damit, zum kryptoanalytischen
Erfolg führen. Bruce Schneier nennt das »Side Channel Cryptanalysis«.
Und eine wichtige Lehre aus den bisher gelernten kryptoanalytischen
Methoden ist:
Kryptographische Verfahren müssen so gut sein, dass sie die charakteristischen
Häufigkeiten und Muster der Sprache verwischen.
|
Der Ansatz dazu, den wir im nächsten Abschnitt kennen lernen werden, ist
die polyalphabetische Verschlüsselung.
Übungsaufgaben
- EJGGZ TGWOF IPOHI HONAW OCIAO TQUPO HZTHI EFOTQ QCHIO TNAIO
IOHHZ TGUJP QRAOT QCGWO FIIJP ROTQR OTQNA VJHOT RJQJQ EOP
(Im Text könnte der Ort Waidhaus vorkommen.)
- FTCZQ POFHM ATPOZ WDZUC HUOQJ TUQZE BDUTQ
OADHP OTCBN WEDUP KATPO ZWDFH MHWQJ TUAZW
WCZMD PZKOL THUEZ UQHMZ UDUTQ OAOAD QDTCK
HVVTM ZUBOT QTHEY NUFOZ TUCZM DCZMD UHNBA
OKKGH PFTVG
(William Friedman; die Sprache könnte Englisch sein.)
Autor: Klaus Pommerening, 27. Oktober 1999;
letzte Änderung: 17. Dezember 2007.