Kryptografische Algorithmen

Transkript

1 Kryptografische Algorithmen Lerneinheit 2: Kryptoanalyse klassischer Kryptosysteme Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Wintersemester 2015/ Einleitung Inhalt dieser Lerneinheit ist die Kryptoanalyse von klassischen Kryptosystemen. Es interessieren die folgenden Fragen: 1. Welche Methoden werden bei der Kryptoanalyse angewandt? 2. Wie bricht man die klassischen Kryptosysteme? 3. Was versteht man unter einem sicheren Kryptosystem? Prof. Dr. C. Karg: Kryptografische Algorithmen 2/72

2 Vier Methoden der Kryptoanalyse Die Kryptoanalyse hat zum Ziel, den Geheimtext zu brechen und den zur Chiffrierung eingesetzten Schlüssel zu ermitteln. Man unterscheidet folgende Attacken: Reiner Geheimtext-Angriff: Der Kryptoanalytiker kennt nur den Geheimtext. Angriff mit bekanntem Klartext: Der Kryptoanalytiker kennt den Geheimtext und den zugehörigen Klartext. Angriff mit frei wählbarem Klartext: Der Kryptoanalytiker hat Zugriff auf das Kryptosystem und kann beliebige Klartexte verschlüsseln. Angriff mit frei wählbarem Geheimtext: Der Kryptoanalytiker hat Zugriff auf das Kryptosystem und kann beliebige Geheimtexte entschlüsseln. Prof. Dr. C. Karg: Kryptografische Algorithmen 3/72 Kerckhoffsches Prinzip Eine allgemein akzeptierte Annahme bei der Kryptoanalyse ist das Kerckhoffsche Prinzip. Es besagt: Der Kryptoanalytiker kennt das Kryptosystem, das zur Chiffrierung des Klartexts benutzt wurde. Diese Annahme vereinfacht die Kryptoanalyse. Prof. Dr. C. Karg: Kryptografische Algorithmen 4/72

3 Verschiebe-Chiffre Die Verschiebe-Chiffre ist leicht zu brechen. Grund: Der Schlüsselraum ist klein und ermöglicht daher einen Brute Force Angriff. Beispiel: Geheimtext EFDQZSSQTQUY j Entschlüsselung 1 decpyrrpsptx 2 cdboxqqorosw 3 bcanwppnqnrv 4 abzmvoompmqu 5 zaylunnlolpt 6 yzxktmmknkos j Entschlüsselung 7 xywjslljmjnr 8 wxvirkkilimq 9 vwuhqjjhkhlp 10 uvtgpiigjgko 11 tusfohhfifjn 12 strenggeheim Prof. Dr. C. Karg: Kryptografische Algorithmen 5/72 Vereinbarung über Klartext-Eigenschaften Zur Analyse der affinen Chiffre und der Vigenère Chiffre treffen wir folgende Annahmen: Der Klartext ist ein Text englischer Sprache. Der Klartext besteht ausschließlich aus Buchstaben des Alphabets {a,b,c,...,z}. Er enthält keine Sonderzeichen, Ziffern oder Leerzeichen. Prof. Dr. C. Karg: Kryptografische Algorithmen 6/72

4 Affine Chiffre Der folgende Geheimtext stammt von einer Affinen Chiffre: ZVDYVIAPZPMMHZYIXTKMVDDVVHVADXQPIPJP ZCXJBYMXXRDPDYGXTLGYGVZIVGVIVYXDYPZX GBKVMBVOVBCZVDYVIAPZDTAAVCMZBHCXYGPM QYGVHPCBTDVAYXKVYGVIVDPDGPAXJGPCLBCL XOVIHVXGZVDYVIAPZFPHVDTAAVCM Idee: Finde zwei korrekte Klartext-Geheimtext-Paare (x 1, y 1 ), (x 2, y 2 ) und löse das Gleichungssystem ax 1 + b y 1 (mod 26) ax 2 + b y 2 (mod 26) Prof. Dr. C. Karg: Kryptografische Algorithmen 7/72 Buchstabenhäufigkeit in englischen Texten Buchstabe Häufigkeit Buchstabe Häufigkeit Buchstabe Häufigkeit a j s b k t c l u d m v e n w f o x g p y h q z i r Notation: p i bezeichnet die Häufigkeit des Buchstabens i. Prof. Dr. C. Karg: Kryptografische Algorithmen 8/72

5 Häufigkeitsanalyse Die häufigsten Buchstaben in obigem Klartext sind: Buchstabe Anzahl Häufigkeit V P D Y X Vermutung: e wird in V verschlüsselt. Die Verschlüsselung von t ist einer der Buchstaben P, D, Y, X. Prof. Dr. C. Karg: Kryptografische Algorithmen 9/72 1. Alternative Annahme: e V : enc ((a, b), 4) = 21 t P : enc ((a, b), 19) = 15 Zu lösendes Gleichungssystem: 4a + b 21 (mod 26) 19a + b 15 (mod 26) Eindeutig lösbar: a = 10 und b = 7. Aber: gcd(a, 26) = 2. Somit ist obige Annahme falsch! Prof. Dr. C. Karg: Kryptografische Algorithmen 10/72

6 Mögliche Lösung 2 Annahme: e V : enc ((a, b), 4) = 21 t D : enc ((a, b), 19) = 3 Zu lösendes Gleichungssystem: 4a + b 21 (mod 26) 19a + b 3 (mod 26) Eindeutig lösbar: a = 4 und b = 5. Aber: gcd(a, 26) = 2. Somit ist obige Annahme falsch! Prof. Dr. C. Karg: Kryptografische Algorithmen 11/72 2. Alternative Annahme: e V : enc ((a, b), 4) = 21 t Y : enc ((a, b), 19) = 24 Zu lösendes Gleichungssystem: 4a + b 21 (mod 26) 19a + b 24 (mod 26) Eindeutig lösbar: a = 21 und b = 15. Ferner ist: gcd(a, 26) = 1. (21, 15) möglicherweise der gesuchte Schlüssel. Prof. Dr. C. Karg: Kryptografische Algorithmen 12/72

7 Entschlüsselungsversuch Wir entschlüsseln den Anfang des Geheimtexts mit dem Schlüssel (21, 15): Z V D Y V I A P Z y x y e s t e r d a y Der Klartext lautet: Yesterday all my troubles seemed so far away. Now it looks as though they re here to stay. Oh I believe in yesterday. Suddenly I m not half the man I used to be. There s a shadow hanging over me, oh yesterday came suddenly. Prof. Dr. C. Karg: Kryptografische Algorithmen 13/72 Brechen der allgemeinen Substitution Trotz ihres großen Schlüsselraums ist die allgemeine Substitution kein sicheres Kryptosystem. Sie ist eine monoalphabetische Chiffre und somit anfällig gegen Attacken auf Basis statistischer Analysen. Zum Brechen des Geheimtexts setzt man folgende Methoden ein: Häufigkeitsanalyse: Man teilt die Buchstaben des Klartextalphabets in mehrere Gruppen von sehr häufig bis unwahrscheinlich ein. Bi- und Trigramme: Man untersucht die Häufigkeit von Wortpaaren und -tripeln im Geheimtext und bildet sie auf gängige Klartext Bi- bzw. Trigramme ab. Das Brechen einer Substitution ist immer mit etwas Eingebung verbunden. Prof. Dr. C. Karg: Kryptografische Algorithmen 14/72

8 Brechen der Vigenère-Chiffre Der folgende Text wurde mit der Vigenère-Chiffre verschlüsselt. MOIRBMOVOXBUEARWALSPHTIHFAPIFNDXMMNMOI PYXLHWAZZXOEMOICYWTIBZNAXSEXKXVNMPXCZX UHSQBSPPHMKESAXYCGGTYKOERLRVNWZISABAJW ELASBGALRWTAAWVRAHHPHKUIRXAHPREHNSHUXU MUUMOIFQKHKCALOERNPHOSAXK Der Geheimtext besteht aus 177 Buchstaben. Die Kryptoanalyse erfolgt in zwei Schritten: 1. Bestimmen der Schlüssellänge m Kasiski-Test Koinzidenzindex-Methode 2. Ermitteln des Schlüssels k = k 1... k m Prof. Dr. C. Karg: Kryptografische Algorithmen 15/72 Eine wichtige Beobachtung Angenommen, ein Wort kommt im Klartext an den Positionen i 1, i 2 und i 3 vor. Sind die Abstände d 2 = i 2 i 1 und d 3 = i 3 i 1 ein Vielfaches der Schlüssellänge m, dann sind die entsprechenden Geheimtextfragmente identisch. the the the redredredredredredredredredredred WYI WYI WYI d 2 d 3 i 1 i 2 i 3 Für d 2 = i 2 i 1 und d 3 = i 3 i 1 gilt: m gcd(d 2, d 3 ). Prof. Dr. C. Karg: Kryptografische Algorithmen 16/72

9 Kasiski-Test Suche im Geheimtext nach Trigrammen (Wörtern der Länge 3), die mindestens dreimal vorkommen. Wird ein solches Wort wird n-mal im Geheimtext gefunden, und zwar an den Positionen i 1, i 2,... i n, n 3, dann berechne die Abstände zur ersten Position: d j = i j i 1 für j = 2,..., n. Die Schlüssellänge ist (vermutlich) ein Teiler von gcd(d 2,..., d n ). Beachte: Erhält man kein eindeutiges Ergebnis, dann wiederholt man den Test mit 4-grammen und 5-grammen. Prof. Dr. C. Karg: Kryptografische Algorithmen 17/72 Wortsuche in obigem Beispiel MOIRBMOVOXBUEARWALSPHTIHFAPIFNDXMMNMOI PYXLHWAZZXOEMOICYWTIBZNAXSEXKXVNMPXCZX UHSQBSPPHMKESAXYCGGTYKOERLRVNWZISABAJW ELASBGALRWTAAWVRAHHPHKUIRXAHPREHNSHUXU MUUMOIFQKHKCALOERNPHOSAXK In obigem Beispiel kommt der Text MOI an den Positionen i 1 = 0, i 2 = 35, i 3 = 50 und i 4 = 155 vor. Die Abstände sind d 2 = 35, d 3 = 50 und d 4 = 155. Es ist gcd(d 2, d 3, d 4 ) = 5. Vermutlich ist die Schlüssellänge gleich 5. Prof. Dr. C. Karg: Kryptografische Algorithmen 18/72

10 Koinzidenzindex Gegeben sei ein Text x = x 1... x n. Der Koinzidenzindex von x, symbolisch I c (x), ist die Wahrscheinlichkeit, daß zwei zufällig aus x ausgewählte Buchstaben identisch sind. Der Koinzidenzindex wird mit folgender Formel berechnet: I c (x) = 25 i=0 f i(f i 1). n(n 1) Hierbei ist f i die Anzahl des Buchstabens i in x. Beachte: Wird x mit einer monoalphabetischen Chiffre verschlüsselt, dann ist der Koinzidenzindex des Geheimtexts gleich I c (x). Prof. Dr. C. Karg: Kryptografische Algorithmen 19/72 Was bringt der Koinzidenzindex? Der Koinzidenzindex ermöglicht die Unterscheidung eines englischsprachigen Texts von einem Text mit rein zufällig ausgewählten Buchstaben. Ist x ein (hinreichend langer) englischsprachiger Text, dann ist I c (x) 25 i=0 p 2 i = 0.065, wobei p i die Häufigkeit des Buchstabens i ist. Ist x ein zufälliger Text, dann ist I c (x) 26 ( ) 2 1 = = Prof. Dr. C. Karg: Kryptografische Algorithmen 20/72

11 Koinzidenzindex-Methode Beobachtung: Die Vigenère Chiffre ist eine periodische Folge von Verschiebe-Chiffren. Die Periode ist gleich der Schlüssellänge m. Annahme: Die Schlüssellänge ist m. Idee: Teile den Geheimtext in m Spalten auf: z 1 z 2 z m x 1 x 2 x m x m+1 x m+2 x 2m x 2m+1 x 2m+2 x 3m.. Die i-te Spalte ist eine Verschiebe-Chiffre mit Schlüssel k i.. Prof. Dr. C. Karg: Kryptografische Algorithmen 21/72 Koinzidenzindex-Methode (Forts.) Falls die Schlüssellänge korrekt ist, dann ist jedes z i die Verschiebe-Verschlüsselung eines Texts mit englischsprachiger Häufigkeit. Somit ist der Koinzidenzindex I c (z i ) für alle i = 1,..., m. Andernfalls sind die z i s mehr oder minder zufällig, I c (z i ) für ein oder mehrere Spalten i. Koinzidenzindex-Methode: Suche m, so daß I c (z i ) für alle i = 1,..., m. Beachte: Der Wert ist ein Richtwert. Prof. Dr. C. Karg: Kryptografische Algorithmen 22/72

12 Zurück zum Beispiel Für obigen Geheimtext liefert die Koinzidenzindex-Methode folgende Werte: Länge m Koinzidenzindizes , , , , , , , , , , , , , , , Offensichtlich ist m = 5. Dies bestätigt das Ergebnis des Kasiski-Tests. Also ist die Länge des Schlüssels, mit dem der Geheimtext chiffriert wurde, gleich m. Prof. Dr. C. Karg: Kryptografische Algorithmen 23/72 Bestimmen des Schlüssels Wir wissen: der Schlüssel hat die Länge m. d.h., k = k 1... k m. Bei hinreichend großen m ist ein Brute Force Angriff unmöglich. Bei m = 5 sind es bereits 11.9 Millionen Schlüssel. Ziel: Stelle die Schlüsselbuchstaben k 2,..., k m in Abhängigkeit von k 1 dar. Gesucht sind Werte s 2,..., s m Z 26, so daß k 2 = k 1 + s 2, k 3 = k 1 + s 3,..., k m = k 1 + s m Verkleinerung des Suchraums von 26 m auf 26. Prof. Dr. C. Karg: Kryptografische Algorithmen 24/72

13 Gegenseitiger Koinzidenzindex Der gegenseitige Koinzidenzindex zweier Texte x und y, symbolisch MI c (x, y), ist die Wahrscheinlichkeit, daß ein zufällig aus x gezogener Buchstabe mit einem zufällig aus y gezogenen Buchstaben übereinstimmt. Die Formel zur Berechnung von MI c (x, y) ist MI c (x, y) = 25 i=0 f i x f y i. n x n y Hierbei ist fi x bzw. y. bzw. f y i die Anzahl des Buchstabens i im Text x Prof. Dr. C. Karg: Kryptografische Algorithmen 25/72 Gegenseitiger Koinzidenzindex (Forts.) Sind x und y zwei englischsprachige Texte, dann ist MI c (x, y) = 25 i=0 f i x f y i n x n y 25 i=0 p i p i = Ist y ein Geheimtext, der mit der Verschiebe-Chiffre mit Schlüssel g 0 verschlüsselt wurde, dann ist MI c (x, y) = 25 i=0 f i x f y i n x n y 25 i=0 p i p i g = Somit: Verschiebung erkennbar Prof. Dr. C. Karg: Kryptografische Algorithmen 26/72

14 Idee zur Berechnung des Schlüssels Annahme: Bei Spalte x (bzw. y) handelt es sich um das Ergebnis einer Verschiebe-Chiffre mit Schlüssel k x (bzw. k y ). Es gilt: k y = k x + g, wobei g = k y k x. Somit: MI c (x, y) = = 25 i=0 25 i=0 25 i=0 p i kx p i ky p i kx p i kx g p i p i g Ziel: Bestimme den Wert von g mit statistischen Mitteln Prof. Dr. C. Karg: Kryptografische Algorithmen 27/72 Idee zur Berechnung des Schlüssels (Forts.) Idee: Finde g {0, 1,..., 25} so dass der Wert von MI c (x, y g ) = 25 i=0 f x i f y i g n x n y maximal wird. Wegen 25 MI c (x, y g ) p i p i g ist g mit hoher Wahrscheinlichkeit die korrekte Verschiebung, falls MI c (x, y g ) i=0 Prof. Dr. C. Karg: Kryptografische Algorithmen 28/72

15 Beispiel Bearbeitung der Spalten 1 und 2 (Shift 0): Prof. Dr. C. Karg: Kryptografische Algorithmen 29/72 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 1): Prof. Dr. C. Karg: Kryptografische Algorithmen 30/72

16 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 2): Prof. Dr. C. Karg: Kryptografische Algorithmen 31/72 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 3): Prof. Dr. C. Karg: Kryptografische Algorithmen 32/72

17 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 4): Prof. Dr. C. Karg: Kryptografische Algorithmen 33/72 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 5): Prof. Dr. C. Karg: Kryptografische Algorithmen 34/72

18 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 6): Prof. Dr. C. Karg: Kryptografische Algorithmen 35/72 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 7): Prof. Dr. C. Karg: Kryptografische Algorithmen 36/72

19 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 8): Prof. Dr. C. Karg: Kryptografische Algorithmen 37/72 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 9): Prof. Dr. C. Karg: Kryptografische Algorithmen 38/72

20 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 10): Prof. Dr. C. Karg: Kryptografische Algorithmen 39/72 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 11): Prof. Dr. C. Karg: Kryptografische Algorithmen 40/72

21 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 12): Prof. Dr. C. Karg: Kryptografische Algorithmen 41/72 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 13): Prof. Dr. C. Karg: Kryptografische Algorithmen 42/72

22 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 14): Prof. Dr. C. Karg: Kryptografische Algorithmen 43/72 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 15): Prof. Dr. C. Karg: Kryptografische Algorithmen 44/72

23 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 16): Prof. Dr. C. Karg: Kryptografische Algorithmen 45/72 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 17): Prof. Dr. C. Karg: Kryptografische Algorithmen 46/72

24 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 18): Prof. Dr. C. Karg: Kryptografische Algorithmen 47/72 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 19): Prof. Dr. C. Karg: Kryptografische Algorithmen 48/72

25 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 20): Prof. Dr. C. Karg: Kryptografische Algorithmen 49/72 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 21): Prof. Dr. C. Karg: Kryptografische Algorithmen 50/72

26 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 22): Prof. Dr. C. Karg: Kryptografische Algorithmen 51/72 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 23): Prof. Dr. C. Karg: Kryptografische Algorithmen 52/72

27 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 24): Prof. Dr. C. Karg: Kryptografische Algorithmen 53/72 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 25): Prof. Dr. C. Karg: Kryptografische Algorithmen 54/72

28 Algorithmus zur Schlüsselberechnung Berechne eine Matrix M wie folgt: Falls i = j, dann setze M i,j = 0. Falls i j und maximales MI c (x, y g ) 0.065, dann setze M i,j = g. Ansonsten setze M i,j = 1. Enthält M eine Zeile i, deren Werte alle 0 sind, dann ist der Schlüssel (höchstwahrscheinlich): (k i + M i,1,..., k i + M i,i 1, k i, k i+1 + M i+1,1,..., k i + M i,m ) Entschlüssle den Geheimtext mit dem Schlüssel (k 1, k 1 + s 2,..., k m + s m ) für k 1 = 0,..., 25. Prof. Dr. C. Karg: Kryptografische Algorithmen 55/72 Anwendung auf das Beispiel i j MI c (z i, z g j ) : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : Prof. Dr. C. Karg: Kryptografische Algorithmen 56/72

29 Anwendung auf das Beispiel (Forts.) i j MI c (z i, z g j ) : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : Prof. Dr. C. Karg: Kryptografische Algorithmen 57/72 Anwendung auf das Beispiel (Forts.) i j MI c (z i, z g j ) : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : Prof. Dr. C. Karg: Kryptografische Algorithmen 58/72

30 Anwendung auf das Beispiel (Forts.) i j MI c (z i, z g j ) : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : Prof. Dr. C. Karg: Kryptografische Algorithmen 59/72 Anwendung auf das Beispiel (Forts.) i j MI c (z i, z g j ) : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : Prof. Dr. C. Karg: Kryptografische Algorithmen 60/72

31 Berechnung des Schlüssels Das Ergebnis ist die Matrix M: j i Benutze Zeile 2 zur Berechnung des Schlüssels Der Schlüssel hat also die Form: (k , k 2, k , k 2 + 7, k 2 + 6) nur noch 26 mögliche Schlüssel! Prof. Dr. C. Karg: Kryptografische Algorithmen 61/72 26 mögliche Schlüssel k 2 Schlüssel Anfangstück des Klartexts a maxhg aolkvaoyhrpuhtlkaoljvtla b nbyih znkjuznxgqotgskjznkiuskz c oczji ymjitymwfpnsfrjiymjhtrjy d pdakj xlihsxlveomreqihxligsqix e qeblk wkhgrwkudnlqdphgwkhfrphw f rfcml vjgfqvjtcmkpcogfvjgeqogv g sgdnm uifepuisbljobnfeuifdpnfu h theon thedothrakinamedthecomet i uifpo sgdcnsgqzjhmzldcsgdbnlds j vjgqp rfcbmrfpyiglykcbrfcamkcr k wkhrq qebalqeoxhfkxjbaqebzljbq... Prof. Dr. C. Karg: Kryptografische Algorithmen 62/72

32 Ergebnis der Schlüsselsuche Der Schlüssel ist theon. Die Vigenère Entschlüsselung liefert den gesuchten Klartext: The Dothraki named the comet shierakqiya the bleeding star. The old men muttered that it omended ill but Daenerys Targaryen had seen it first on the night she had burned Khal Drogo the night her dragons had awakened. Abschließende Bemerkung: Obige Analysemethoden klappen bereits bei sehr kurzen Texten. Im Beispiel standen pro z i etwa 35 Buchstaben zur Verfügung. Prof. Dr. C. Karg: Kryptografische Algorithmen 63/72 Brechen der Hill Chiffre Die Hill Chiffre kann mit einer Klartext-Geheimtext-Attacke gebrochen werden. Angenommen, Oskar weiß, dass der Klartext bach mittels einer Hill Chiffre mit Blocklänge m = 2 in den Geheimtext JQNP verschlüsselt wurde. Dies bedeutet, dass und enc (K, (1, 0)) = (9, 16) enc (K, (2, 7)) = (13, 15). Oder als Matrixmultiplikation: ( ) 1 0 K = 2 7 } {{ } =A ( 9 ) Prof. Dr. C. Karg: Kryptografische Algorithmen 64/72

33 Brechen der Hill Chiffre (Forts.) A ist invertierbar, denn det(a) = 7 und gcd(7, 26) = 1. Somit läßt sich der Schlüssel berechnen: ( ) ( ) K = = ( ) Falls Oskar die Blocklänge der Hill Chiffre nicht kennt, probiert er die Blocklängen m = 2, 3, 4,... durch. Dies erfordert die Kenntnis eines hinreichend langen Klartext-Geheimtext-Paars. Prof. Dr. C. Karg: Kryptografische Algorithmen 65/72 Angriff auf das LFSR Kennt Oskar den Klartext x = x 1... x n und den zugehörigen Geheimtext y = y 1... y n, dann kann er den Schlüsselstrom berechnen, mit dem der Klartext chiffriert wurde: z i = x i + y i mod 2 für i = 1,..., n Annahme: Das LFSR besteht aus m Registern. Ziel: Berechne die Koeffizienten c 0, c 1,..., c m 1. Prof. Dr. C. Karg: Kryptografische Algorithmen 66/72

34 Angriff auf das LFSR (Forts.) Die Rekursionsgleichung z m+i = m 1 c j z i+j mod 2, j=0 ist lineare Gleichung in m Unbekannten. Um die c i s eindeutig zu bestimmen, ist also ein Klartext-Geheimtext-Paar der Länge n 2m notwendig. Prof. Dr. C. Karg: Kryptografische Algorithmen 67/72 Angriff auf das LFSR (Forts.) Die zu lösende Gleichung ist (z m+1, z m+2,..., z 2m ) = (c 0, c 1,..., c m 1 ) Z, wobei z 1 z 2... z m 1 z m z 2 z 3 z m z m+1 Z =..... z m 1 z m... z 2m 3 z 2m 2 z m z m+1... z 2m 2 z 2m 1 Somit: (c 0, c 1,..., c m 1 ) = (z m+1, z m+2,..., z 2m ) Z 1. Prof. Dr. C. Karg: Kryptografische Algorithmen 68/72

35 Anforderungen an ein Kryptosystem Die Praxistauglichkeit eines Kryptosystems hängt von zwei Kriterien ab: Sicherheit: Die Vertraulichkeit der zu übertragenden Daten kann nur gewährleistet werden, wenn das Kryptosystem sicher ist. Daher ist die Sicherheit ein absolutes K.O. Kriterium. Jedoch ist für viele Kryptosysteme die Sicherheit nicht nachweisbar. Anwendbarkeit: Selbst das sicherste Kryptosystem ist unbrauchbar, wenn die Chiffrierung bzw. Dechiffrierung zu aufwendig ist. Zur Absicherung von Datenströmen ist beispielsweise der Datendurchsatz des Kryptosystems wichtig. Prof. Dr. C. Karg: Kryptografische Algorithmen 69/72 Zwei Arten von Sicherheit Absolute Sicherheit: Ein Kryptosystem ist absolut sicher, wenn die Kenntnis des Geheimtexts keine Information über den Klartext oder den Schlüssel liefert. Diese Art von Sicherheit wird auch als informationstheoretische oder perfekte Sicherheit genannt. Der Begriff der absoluten Sicherheit stammt von Shannon aus dem Jahre Komplexitätstheoretische Sicherheit: Ein Kryptosystem nennt man komplexitätstheoretisch sicher, wenn es keinen Algorithmus gibt, der in Polynomialzeit das Kryptosystem bricht. Die Laufzeit wird in Abhängigkeit der Länge des Schlüssels bzw. des Geheimtexts berechnet. Prof. Dr. C. Karg: Kryptografische Algorithmen 70/72

36 Vernam Chiffre (One-Time-Pad) Das One-Time-Pad ist ein Kryptosystem zur Verschlüsselung von Binärwörtern. P = C = K = (Z 2 ) n enc (k, x) = (x 1 + k 1,..., x n + k n ), wobei k = (k 1,..., k n ) und x = (x 1,..., x n ). dec (k, y) = (y 1 + k 1,..., y n + k n ), wobei k = (k 1,..., k n ) und y = (y 1,..., y n ). Die obigen Berechnungen verstehen sich modulo 2. Das One-Time-Pad ist informationstheoretisch sicher, falls der Schlüssel zufällig unter Gleichverteilung ausgewählt und nach jeder Verschlüsselung gewechselt wird. Für den täglichen Einsatz nicht praktikabel Prof. Dr. C. Karg: Kryptografische Algorithmen 71/72 Zusammenfassung Keines der klassischen Kryptosysteme ist aus heutiger Sicht als sicher einzustufen. Statistische Werkzeuge helfen bei der Kryptoanalyse. Die Vernam Chiffre gilt als sicher, ist aber nicht praktikal. Man unterscheidet zwischen absoluter und komplexitätstheoretischer Sicherheit. Der Nachweis der Sicherheit eines Kryptosystems ist eine schwierige Aufgabe. Prof. Dr. C. Karg: Kryptografische Algorithmen 72/72