12 Kryptologie. hier: Geheimhaltung, Authentifizierung, Integriät (Echtheit).

Transkript

1 12 Kryptologie Mit der zunehmenden Vernetzung, insbesondere seit das Internet immer mehr Verbreitung findet, sind Methoden zum Verschlüsseln von Daten immer wichtiger geworden. Kryptologie fand ihren Anfang vor allem in militärischen Anwendungen. Seit der Erfindung des elektronischen Geldes findet die Kryptologie 1 aber immer mehr Anwendungen im kommerziellen Bereich. Die wichtigsten Stichworte sind hier: Geheimhaltung, Authentifizierung, Integriät (Echtheit). Um zu wissen, wie sicher eine Verschlüsselungsmethode ist, müssen wir aber auch die andere Seite kennen. Während sich die Kryptographie (Lehre des Verschlüsselns) mit den verschiedenen Verschlüsselungs Methoden beschäftigt, lehrt die Kryptoanalyse, wie man Codes knackt. Nur wenn wir die Methoden der Code-Knacker kennen, können wir beurteilen, ob eine Verschlüsselungsmethode für unser Ansinnen brauchbar (d.h. genügend sicher) ist. Kryptologie = Kryptographie + Kryptoanalyse In der Regel gilt, je kritischer die Daten sind, desto sicherer muss die Verschlüsselung sein, und desto aufwändiger ist das Verschlüsselungsverfahren. Je schwieriger nämlich ein Code zu knacken ist, desto teurer ist eine Attacke für den Kryptoanalytiker. Er wird also nur dann eine aufwändige Attacke versuchen, wenn er sich einen entsprechenden Gewinn erhoffen kann. Prinzipiell gilt: es gibt keine einfachen Verfahren, die trotzdem einigermassen sicher sind. (fast) jeder Code ist knackbar, falls genügend Zeit und genügend verschlüsselter Text vorhanden ist. 1 Weitere Informationen zu Kryptographie findet man zum Beispiel unter home.nordwest.net/hgm/krypto.

2 Kryptologie 12.1 Grundlagen Ein klassisches Kryptosystem besteht aus einem Sender, einem Empfänger und einer Datenleitung, an welcher ein Horcher 2 zuhört. Horcher unsichere Klartext Datenleitung Klartext Sender Empfänger Schlüssel sichere Übertragung Schlüssel Der Sender verschlüsselt eine Meldung (den Klartext) und sendet diesen über die unsichere Datenleitung dem Empfänger. Das Verschlüsseln geschiet entweder Zeichenweise (Stromchiffre) oder der Text wird erst in Blöcke aufgeteilt und dann werden die Blöcke verschlüsselt (Blockchiffre). Der Emfpänger entschlüsselt dann die Meldung wieder mit der Umkehrfunktion. Der verwendete Schlüssel muss vorher auf sicherem Weg (zum Beispiel per Kurier) übermittelt werden. Diese Situation ist heute Normalfall nicht (mehr) gewährleistet. So möchte der Kunde im WWW nicht vorher per Post mit jedem Anbieter geheime Schlüssel austauschen. Trotzdem will er sicher sein, dass kein Horcher das Bankpasswort, die Bestell/Transaktionsdaten oder die Kreditkartennummer erfährt. Ausserdem ist das Verwalten von vielen Schlüsseln sehr aufwändig (und unsicher). Das Ziel ist also, ein möglichst effizientes und doch sicheres System zu haben, welches mit möglichst wenig Verwaltungsaufwand auskommt. 2 Als Sender/Empfänger müssen wir davon ausgehen, dass der Horcher weiss, welches Verschlüsselungsverfahren angewandt wurde.

3 12.2 Einfache Verschlüsselungmethoden Einfache Verschlüsselungmethoden Eine der einfachsten und ältesten Methoden zur Verschlüsselung von Texten wird Kaiser Caesar zugeschrieben. Die Methode heisst darum auch die Caesar Chiffre. Dabei wird jeder Buchstabe des Textes durch den um k Buchstaben verschobenen Buchstaben ersetzt (Stromchiffre). Beispiel Klartext: A B C D E F G H I W X Y Z Verschlüsselt: D E F G H I J K L Z A B C Der Klartext geheimer Text wird damit zu Klartext: G E H E I M E R T E X T Verschlüsselt: J H K Der Schlüssel ist k = 3, da alle Buchstaben um drei verschoben werden. Dieser Code lässt sich sehr leicht knacken, auch wenn wir den Schlüssel nicht kennen. Nach höchstens 27 Versuchen haben wir den Code entziffert. Verschlüsselt: X Y W J S L E L J M J N R Klartext: Eine etwas verbesserte Methode ist, ein Schlüsselwort als Additionstabelle zu benutzen (Blockchiffre). Diese Verschlüsselungsart ist bekannt als Vigenère Chiffre. Dabei ändert sich die Anzahl zu verschiebenden Buchstaben jeweils in einem Zyklus, welcher gleich lang wie das Schlüsselwort ist. Beispiel Wir benutzen das Wort geheim als Schlüssel. Die Verschlüsselung geschieht dann nach folgendem Schema: Klartext: D I E S E R T E X T I S T Schlüssel G E H E I M G E H E I M Verschlüsselt: Eine weitere Möglichkeit besteht darin, alle Buchstaben zufällig zu permutieren. Dies führt zu einer Permutationschiffre. Der Schlüssel ist dann die auf den Buchstaben benutzte Permutationsfunktion (bzw. die Umkehrung davon).

4 Kryptologie Klartext: A B C D E F G H I J K L Verschlüsselt: S H X A K D G R... Eine leicht verbesserte Version von Permutationschiffren benutzt Permutationen von Blöcken, zum Beispiel von Zweierblöcken: Klartext: AA AB AC AD AE AF AG AH AI AJ Verschlüsselt: RS HI WX CD JK RE HG UV.. Damit müssten im Prinzip 27! (bzw. 27 2!) Variationen getestet werden, um den Text zu entziffern. Leider ist die Kryptoanalyse auch für diese zwei Verschlüsselungsmethoden einfach, sofern ein normaler (deutscher) Text übermittelt wird. Um solche Texte zu knacken, arbeitet man mit Häufigkeitsanalysen. So lässt sich zum Beispiel die Verschlüsselung des Buchstabens E schnell erraten, da dies mit grossem Abstand der häufigste Buchstabe ist. E - N R I S T A D H U L Am zweithäufigsten ist das Leerzeichen, dann der Buchstabe N usw.. Da Sprache im allgemeinen stark redundant ist, kann man oft mit Hilfe von ein paar wenigen erkannten Buchstaben bereits den ganzen Text entziffern. Auch für Blockpermutationen (mit Blöcken kurzer Länge) funktioniert die gleiche Attacke. Für diese braucht man eine Häufigkeitsanalyse der Zweier- (Dreier-)Blöcke einer Sprache. Der häufigste Zweierblock in der deutschen Sprache ist die Silbe en. Der Text muss allerdings genügend lang sein, d.h. genügend viele Blöcke aufweisen, um eine aussagekräftige Statistik zu erhalten. Solche Häufigkeitsanalysen können genau gleich auf Vigenère Blockchiffren angewendet werden (separat auf jeden Buchstaben des Schlüsselwortes), falls die Texte viel länger sind als das Schlüsselwort.

5 12.3 Vernamchiffre, One Time Pad Vernamchiffre, One Time Pad Falls in der Viginère Chiffre das Schlüsselwort aus einer zufälligen Buchstabenfolge besteht, die ebenso lang ist wie der verschlüsselte Text, und falls jeder Schlüssel nur einmal verwendet wird, ist das Verschlüsselungs-Verfahren absolut sicher. Man nennt dieses Verfahren die Vernam-Chiffre oder das One Time Pad. Die Vernam-Chiffre ist allerdings sehr umständlich, da für jedes zu übermittelnde Zeichen zuvor ein Zeichen über einen sicheren Weg transportiert werden muss. Dennoch wird sie benutzt, wenn absolute, beweisbare Sicherheit nötig ist. Statt einer zufälligen Buchstabenfolge (welche auf einem sicheren Weg übermittelt werden muss), wird als Schlüssel häufig eine Zufalls-Zahlenreihe benutzt. Diese wird mit Hilfe einer geheimen, vorher ausgemachten Zufallsfunktion generiert. Solange der Horcher diese Funktion nicht durch Sabotage erfährt, ist dieses Verfahren sehr effizient und ebenfalls sicher. Oft werden sogar mehrere Zufalls-Funktionen kombiniert oder abwechlungsweise benutzt. Beispiel: Eine Funktion, welche eine gute Zufallsfolge herstellt, ist zum Beispiel die Funktion f(n) = 100(sin(n) + 1). Die erzeugte Zahlenreihe ist: n : f(n) : f(n) mod 27 : Mit Hilfe von solchen Funktionen werden sogennante Verschlüsselungs/Entschlüsselungs-Maschinen gebaut, zum Beispiel für Telefone, die typischerweise die Übertragung von grossen Datenmengen nötig machen. Beide Geräte erzeugen jeweils die gleiche Zufallsfolge zum (binären) Ver- bzw. Entschlüsseln der geheimen Texte. Die im Telefon eingebauten Schlüsselerzeuger sind dann im Prinzip nichts anderes als gute und effiziente Zufallszahlen-Generatoren.

6 Kryptologie 12.4 Moderne symmetrische Verfahren Die meisten der heute eingesetzten symmetrischen Verfahren sind Blockchiffren. Dabei wird der Text in Blöcke einer gewissen Länge (häufig 8 oder 16 Zeichen, also 64 oder 128 Bits) zerlegt. Auf diese Blöcke wird dann eine Kombination von verschiedenen einfachen Verschlüsselungsverfahren (z.b. modulare Addition, Substitution, Linear-Transformation, Vertauschen von Teilblöcken,...) angewandt. Das folgende Bild zeigt zum Beispiel die Anordnung für DES. Normalerweise wird ein geheimer, vorher vereinbarter Schlüssel verwendet. Das Entschlüsseln geschieht, indem alle Operationen in umgekehrter Reihenfolge (invers) angewandt werden. Beispiele von Blockhiffren sind: DES (Data Encryption Standard) oder DEA (Data Encryption Algorithm), benutzt einen Schlüssel der Länge 56. Triple-DES: Dreimaliges Anwenden von DES mit zwei oder drei verschiedenen Schlüsseln. RC4 Rivest Cipher, 1987 von Ronald L. Rivest, eine Stromchiffre IDEA: arbeitet ähnlich wie DES, CAST,... SSL (Secure Socket Layer) verwendet RC4, DES oder Triple- DES. S-HTTP (Secure HTTP) verwendet DES, Triple-DES oder IDEA. PGP (Pretty Good Privacy) benutzt verschiedene der Verfahren CAST, IDEA, Triple-DES, RSA,...

7 12.5 Asymmetrische Verfahren: Public Key Kryptosysteme Asymmetrische Verfahren: Public Key Kryptosysteme Bei kommerziellen Applikationen wie zum Beispiel Telebanking, beim Benutzen von elektronischem Geld oder beim Versenden von (geheimer) ist es zu aufwändig, mit jedem Kunden/Partner vorher geheime Schlüssel auszutauschen. Um genügend Sicherheit zu bieten, müssten lange Schlüssel verwendet werden, welche häufig gewechselt werden. (Die mit den Banken vereinbarten Schlüssel/Passwörter dienen beim Telebanking in der Regel in erster Linie zur Authentifikation/Identifikation des Kunden.) Es gibt aber Verfahren, welche ohne die Verteilung von geheimen Schlüsseln auskommen, und die darum Public Key Kryptosysteme (PKK) genannt werden 3. Wie der Name sagt, benutzen PKKs nicht geheime, sondern öffentliche Schlüssel zum Verschlüsseln der Texte. Verschlüsselung Übermittlung Entschlüsselung öffentlicher Schlüssel des Empfängers geheimer Schlüssel des Empfängers In PKKs werden für die Verschlüsselung Funktionen benutzt, welche leicht zu berechnen, aber ohne zusätzliches Wissen nicht invertierbar sind. Diese Einwegfunktionen können dann öffentlich bekannt gegeben werden. Da die Funktionen schwierig zu invertieren sind, ist das Entschlüsseln nicht einfach möglich. Es gilt dann also: Jeder kann mit dem öffentlichen Schlüssel Meldungen codieren. Nur wer den geheimen Schlüssel kennt, kann die Meldung decodieren. Definition: Eine bijektive Funktion f : X Y heisst eine Einwegfunktion falls gilt: Die Funktion f ist leicht (mit wenig Rechenaufwand) zu berechnen. Die Umkehrfunktion f 1 ist ohne zusätzliche (geheime) Informationen sehr schwierig (mit grossem Aufwand) zu berechnen. 3 Da für diese Verfahren zwei verschiedene Schlüssel zum Ver- bzw. Entschlüsseln verwendet werden, spricht man auch von asymmetrischen Verfahren.

8 Kryptologie Ein einfaches Modell für eine Einwegfunktion ist ein Telefonbuch, mit welchem sehr schnell zu jedem Namen mit Adresse die Telefonnummer gefunden werden kann. Hingegen ist es sehr aufwändig, mit Hilfe eines Telefonbuchs zu einer Telefonnummer den zugehörigen Namen zu finden. Es müsste das ganze Buch durchsucht werden. Das Finden von sicheren Einwegfunktionen ist nicht einfach. Wenn wir den Schlüssel kennen, können wir in allen bisherigen Verfahren sehr leicht die Umkehrfunktion berechnen. Das Suchen von guten, schnellen und beweisbar sicheren Einwegfunktionen ist ein zentrales Forschungsgebiet der Kryptologie. Heute sind aber schon einige praktisch verwendbare (nicht beweisbar sichere) Einwegfunktionen bekannt. Die Idee bei einem Public Key Kryptosystem ist, dass jeder Teilnehmer für sich ein Paar von Schlüsseln generiert: einen öffentlichen Schlüssel zum Verschlüsseln der Meldungen, und einen privaten, geheimen Schlüssel zum Entschlüsseln. Der geheime Schlüssel darf aus dem öffentlichen Schlüssel nur mit riesigem Aufwand oder gar nicht berechnet werden können. Der erste Schlüssel generiert dann eine Einwegfunktion, welche nur mit Kenntnis des zweiten Schlüssels (oder nur mit sehr grossem Aufwand) invertiert werden kann. Um einem Teilnehmer eine Meldung zu verschicken, verschlüsseln wir die Meldung mit dessen öffentlichem Schlüssel. Nur der Adressat, der den geheimen Schlüssel kennt, kann die Einwegfunktion invertieren, also die verschlüsselte Meldung wieder entschlüsseln. Definition: Für ein PKK müssen die folgenden Bedingungen erfüllt sein: 1. Es gibt genügend viele Paare (V, E) von Verschlüsselungs- und Entschlüsselungsfunktionen (bzw. von öffentlichen und geheimen Schlüsseln (v,e)). 2. Für jede Meldung m gilt E(V (m)) = m. 3. V ist eine Einwegfunktion. 4. V und E sind leicht zu berechnen, wenn man den Schlüssel v, bzw. e kennt. Das erste PKK ist der Diffie-Hellmann Algorithmus von Auf einer ähnlichen Idee basiert der um 1978 von R. Rivest, A. Shamir und L. Adleman gefundene RSA Algorithmus. Die darauf basierenden Verfahren werden deshalb RSA-Kryptosysteme genannt.

9 12.5 Asymmetrische Verfahren: Public Key Kryptosysteme Das RSA Verfahren Das RSA-Verfahren ist heute das am meisten benutzte PKK. RSA bildet die Grundlage für SSL (Secure Socket Layer), welche vor allem für WWW gebraucht werden, für SET (Secure Electronic Transactions), welche im Zusammenhang mit elektronischem Geld wichtig sind, für S/Mime, also sichere und vieles mehr (z.b. S-HTTP, SSH,...). Die Sicherheit des RSA-Verfahren basiert auf dem Problem, eine grosse Zahl in ihre Primfaktoren zu zerlegen und aus dem Problem des diskreten Logarithmus. Das Berechnen von m v modn ist relativ einfach. Für das Berechnen der v-ten Wurzel modulo n ist bisher kein schneller Algorithmus bekannt. Die beiden Schlüssel werden so erzeugt: Wähle zwei verschiedene grosse Primzahlen p und q und berechne deren Produkt: m = p q. Setze n = (p 1) (q 1). Wähle einen beliebigen Wert e, der kleiner ist als m und teilerfremd zu n. Zu diesem wird dasjenige v berechnet, für das gilt: e v = 1 + l n (Euklid scher Algorithmus). Es gilt dann für das Verschlüsseln: V (m) = m v mod n für das Entschlüsseln: E(n) = n e mod n. v V(m) = m mod n Übermittlung e E(m) = m mod n öffentlicher Schlüssel des Empfängers geheimer Schlüssel des Empfängers Es gilt nämlich nach dem Kleiner Satz von Fermat E(V (m)) = (V (m)) e mod n = m ve mod n = m (1+ln) modn = m

10 Kryptologie Authentifikation mit Hilfe von RSA Mit Hilfe eines RSA-Kryptosystems können wir auch feststellen, ob der Absender einer Meldung tatsächlich derjenige ist, der er zu sein vorgibt. Durch umgekehrtes Anwenden des RSA-Verfahrens kann der Empfänger nachprüfen, ob die Meldung vom richtigen Sender stammt. Wir wissen bereits, dass E(V (m)) = m ve mod n = m gilt. Die Potenzoperation ist aber kommutativ, so dass auch m ev mod n = m gilt. Wir können also die Operationen Verschlüsseln/Entschlüsseln auch umdrehen. Verschlüsselung Übermittlung Entschlüsselung geheimer, privater Schlüssel des Senders öffentlicher Schlüssel des Senders Nur wenn beim Entschlüsseln eines Textes mit dem öffentlichen Schlüssel des Absenders Klartext entsteht, stammt die Meldung von diesem Absender. Da nur der Absender den zu seinem öffentlichen Schlüssel passenden geheimen Schlüssel kennt, kann nur dieser eine solche Meldung verfassen Integritätsprüfung: Fingerabdruck, Message Digest Ein zentrales Problem vor allem von grossen Anbietern (Banken, Online-Verkäufern,...) ist, den Kunden zu garantieren, dass eine (unverschlüsselte) Webseite tatsächlich die richtige Seite ist (und nicht eine gefälschte). Dieses Problem kann mit Hilfe einer Hashfunktion und eines PKKs gelöst werden. Übermittlung Hash Funktion Verschlüsselung Hash Funktion Entschlüsselung =? geheimer, privater Schlüssel des Senders öffentlicher Schlüssel des Senders

11 12.5 Asymmetrische Verfahren: Public Key Kryptosysteme Falls beim Entschlüsseln des Hashcodes mit dem öffentlichen Schlüssel des Absenders der gleiche Wert herauskmmt, sind wir sicher, dass unterwegs niemand die Meldung verändert hat. Allerdings funktioniert dies nur, wenn der uns bekannte öffentliche Schlüssel korrekt ist, uns also kein falscher Schlüssel vorgetäuscht wird. Dies garantieren spezielle Firmen und Institutionen, sogenannte Trustcenter wie TC TrustCenter, VeriSign oder Thawte Kombinierte (Hybride) Verfahren Eine kombinierte Methode verbindet die Sicherheit von RSA mit der Schnelligkeit von symmetrischen Verschlüsselungsmethoden, wie zum Beispiel DES. DES Digital Übermittlung Envelope DES Schlüssel Verschlüsselung öffentlicher Schlüssel des Empfängers Ein Digital Envelope wird erzeugt, indem der Text durch ein schnelles, weniger sicheres Verfahren verschlüsselt wird (zum Beispiel mit DES), der DES-Schlüssel selber wird mit dem öffentlichen RSA-Schlüssel des Empfängers verschlüsselt. Auf diese Weise können die Vorteile beider Systeme kombiniert werden. Es müssen keine geheimen Schlüssel auf einem (langsamen) sicheren Weg vorher vereinbart werden. Ausserdem kann für jede Übermittlung ein neuer DES-Schlüssel verwendet werden. Durch einmaliges Verwenden jedes DES- Schlüssels wird die Sicherheit des DES-Verfahrens erheblich verbessert. Nur der Empfänger kann den DES-Schlüssel lesen, da er dazu seinen privaten RSA-Schlüssel braucht. Danach kann er mit Hilfe des DES-Schlüssels den Text entziffern.

12 Kryptologie 12.6 Übung 12 Fragen / Aufgaben zur Kryptologie Sie finden die Lösungen zu den Fragen entweder im Skript oder unter 1. Welches sind heute die zentralen Einsatzgebiete der Kryptologie? 2. Was bedeutet Kryptografie? 3. Was bedeutet Kryptoanalyse? 4. Was ist Steganografie? 5. Wie heisst der Überbegriff für die Verfahren, bei welcher die Verschlüsselung Zeichenweise abläuft? 6. Gewisse Verfahren teilen den Text zuerst in gleich grosse Blöcke (zum Beispiel 64 Bit) auf: Welches ist der Überbegriff für diese Verfahren? 7. Skizzieren Sie ein symmetrisches Kryptosystem. 8. Verschlüsseln Sie mit der Cäsar Chiffre und dem Schlüssel A Ihren Namen. 9. Verschlüsseln Sie mit der Vigine Chiffre und dem Schlüssel AAB Ihren Namen. 10. Welches sind die Vor- und Nachteile des One Time Pad (Vernam Chiffre)? 11. Was waren die Hauptgründe dafür, dass die Enigma im zweiten Weltkrieg geknackt werden konnte? (Punkte 3, 6 und 7 der Aufzählung unter Enigma) 12. Welche symmetrischen Kryptoverfahren werden heute (noch) verwendet? 13. Skizzieren Sie ein asymmetrisches Kryptosystem. 14. Welches ist der Hauptunterschied zwischen symmetrischen und asymmtetrischen Verfahren? 15. Wer hat das erste PKK erfunden? 16. Worauf basiert die Sicherheit von RSA? 17. Wie löst man mit einem PKK das Authentizitätsproblem? 18. Wie löst man mit einem PKK das Integritätsproblem? 19. Was ist der Vorteil von hybriden Kryptoverfahren? 20. Machen Sie den Test unter