|
Kryptologie
Angriff mit bekanntem Klartext |
a7Hzq .#5r< kÜ\as TâÆK$ ûj(Ö2 ñw%h:
Úk{4R f~`z8 ¤˜Æ+Ô „&¢Dø |
|
Häufig gestellte Frage: Was soll ein »Angriff mit
bekanntem Klartext« denn sein? Was ist denn da noch zu knacken, wenn
der Angreifer den Klartext schon kennt?
Antwort:
Oft kennt der Kryptoanalytiker ein Stück Klartext, vielleicht
nur ein einzelnes »wahrscheinliches Wort«, und kann versuchen,
daraus weiteren Klartext zu bestimmen - oder gar den Schlüssel und damit
allen weiteren Klartext.
Abstufungen des Angriffs
- Völlig unbekannter Klartext.
- Vermutetes Wort:
- häufiges Wort (z. B. Artikel),
- spezielles Wort (im Kontext).
- Bekanntes Klartextstück (z. B. Floskel).
- Ganzer kompromittierter Klartext.
Wahrscheinliche Wörter und bekannte Klartextstücke gewinnt man als:
- häufige Wörter,
- stereotype Floskeln (»Sehr geehrter Herr ...«),
- Kontextinformation (»Oberkommando der Wehrmacht«),
- provozierte Nachrichten (»Erloschen ist Leuchttonne«),
- Chiffrierfehler (z. B. Senden der gleichen Nachricht in einer alten,
bereits gebrochenen Chiffre und in einer neuen, die noch nicht bei
allen Empfängern installiert ist),
- ... oder durch geheimdienstliche Tätigkeit.
Das bekannte Klartextstück kann auch ein im Verlauf der Kryptoanalyse
bereits gewonnener oder vermuteter Textteil sein, z. B. aufgrund
einer Mustersuche.
In der modernen Kryptographie werden Challenge-Response-Verfahren zur
Benutzerauthentisierung verwendet. Hier geht ein zufälliger Klartext
übers Netz und wird verschlüsselt zurückgeschickt. Der Angreifer liest
beides mit.
Oft ist die Lage des wahrscheinlichen Wortes nur durch Raten und
Ausprobieren zu bestimmen.
Beispiele
Verschiebechiffre
Schon ein einziger bekannter Buchstabe ergibt den Schlüssel.
Allgemeine monoalphabetische Substitution
Jeder bekannte Klartextbuchstabe ergibt einen Buchstaben des Schlüssels.
Das Brechen monoalphabetischer Substitutionen ist bei bekanntem Klartext
trivial.
Steigerung: Angriff mit gewähltem Klartext
Noch mehr Möglichkeiten hat der Kryptoanalytiker, wenn er einen selbst gewählten
Klartext verschlüsseln kann.
Dies klingt zunächst völlig absurd, ist aber in einigen Situationen durchaus
eine realistische Gefahr:
- Als schwache Form kann die provozierte Nachricht gelten.
- Bei Einweg-Verschlüsselung und asymmetrischer Verschlüsselung [siehe
später]
kann jeder beliebige Texte probeverschlüsseln.
- Ebenso ist die Situation bei Vorliegen einer Black Box gegeben, etwa einer
entwendeten Chipkarte oder einem in eine Anwendung fest eingebauten
Verschlüsselungsverfahren, wo das Ziel die Enthüllung und anschließende
»illegale« Verwendung des Schlüssels ist,
- ... oder bei einem Challenge-Response-Verfahren.
Ein Beispiel wird beschrieben in
Hier enthüllte der Angriff mit gewähltem Klartext, dass Microsoft eine simple
XOR-Verschlüsselung mit Schlüssel »susageP« (= »Pegasus« rückwärts gelesen)
verwendet.
Allgemeine Bemerkungen zur Kryptoanalyse
- Kryptoanalyse beruht so gut wie immer auf Kontextwissen. Wieviel
davon man braucht und welcher Art es ist, unterscheidet sich natürlich
von Fall zu Fall.
- Kryptoanalyse kostet Zeit. Oft ist eine Chiffre schon dann sicher genug,
wenn diese Zeit zu groß ist, als dass die Nachricht dem Kryptoanalytiker
noch von Nutzen sein kann. Die weitere Verfolgung dieser Idee führt
in die Komplexitätstheorie.
- Wichtig ist, dass der Kryptoanalytiker möglichst viele Methoden zur
Verfügung hat. Falls ein Ansatz nicht weiterführt, kann er einen anderen
ausprobieren und dazu das eventuell nötige Kontextwissen zu gewinnen
versuchen.
- Angriffsmöglichkeiten bieten sich unter Umständen auch, wenn ein gleicher
Klartext mit verschiedenen Schlüsseln oder verschiedene Klartexte mit dem
gleichen Schlüssel verschlüsselt wurden; auch andere »Chiffrierfehler«
bieten eventuell Angriffsmöglichkeiten.
- Die Geschichte der Kryptologie lehrt, dass neben direkten Angriffen auf
das Verfahren oft Angriffe auf das »Protokoll«, d. h., auf den konkreten
Einsatz des Verfahrens und den Umgang damit, zum kryptoanalytischen
Erfolg führen. Bruce Schneier nennt das »Side Channel Cryptanalysis«.
Autor: Klaus Pommerening, 27. Oktober 1999;
letzte Änderung: 12. Oktober 2002.
E-Mail an
Pommerening@imsd.uni-mainz.de.