Grundlagen der Kryptographie Teil 1. 1 Ausgangslage. Informatik > Grundlagen der Kryptographie WissenHeute Jg /2004

Transkript

1 Informatik > Grundlagen der Kryptographie WissenHeute Jg /2004 Grundlagen der Kryptographie Teil 1. Dieser Beitrag richtet sich an Leserinnen und Leser, die sich einen Überblick über das weite Feld der Kryptographie verschaffen möchten, aber auch an die, die einen wissenschaftlichen Zugang zur Kryptographie suchen. Die erste Leserschicht findet jeweils am Anfang der einzelnen Kapitel die Möglichkeit, unterstützt durch grafische Darstellungen, sich ein grundsätzliches Verständnis anzueignen. Die zweite kann sich dann in mathematische Hintergründe vertiefen und sich hier die Ausgangsposition, insbesondere die mathematischen Grundlagen für weiterführende Studien holen. Kryptographische Verfahren sind ohne Mathematik nicht machbar. Hier kann der Beitrag keine Ausnahme machen. Für Neueinsteiger in die Kryptographie gilt: Alice, Bob und Trudy (Intruder) haben sich als Hauptdarsteller in diesem Bereich der Fachliteratur etabliert. Das bleibt auch in diesem Beitrag so. Der Autor Dr. Walter Eigenstetter arbeitet als Solution Architect bei T-Systems im Bereich Open Source/ Linux und Security in München. 1 Ausgangslage Bis zur Mitte des vorigen Jahrhunderts waren Nachrichtenmedien das Monopol einer kleinen Minderheit der jeweils Regierenden. Das Fernmeldewesen (später die Telekommunikation) stand in den meisten Ländern unter staatlicher Aufsicht und Kontrolle. Der Zugang breiter Bevölkerungsschichten beispielsweise zum Telefon- und Datennetz unterlag einer strengen, durch die Gesetzgebung vorgegebenen Reglementierung. Zudem bedienten sich militärische Dienststellen, Geheimdienste oder die Polizei des seit der Einführung der elektrischen Telegrafie von Beginn an weltweit aufgebauten Leitungsund Funknetzes gleichermaßen. Es lag deshalb nahe, dass diese staatlichen Stellen ihre Nachrichten wirkungsvoll verschlüsselten, um sie vor unbefugtem Zugriff und Angriffen (Attacken) zu schützen. Mit den Fortschritten in der Nachrichtentechnik und den damit verbundenen hohen Übertragungskapazitäten, stiegen auch die Anforderungen an die Ver- 536

2 WissenHeute Jg /2004 Das Thema im Überblick Die Kryptographie ist die Wissenschaft, deren Aufgabe die Entwicklung von Methoden zur Verschlüsselung (Chiffrierung) geheimer Informationen und deren mathematische Absicherung gegen unberechtigte Entschlüsselung (Dechiffrierung) ist. Im ersten Teil der Beitragsserie beschreibt der Autor die symmetrischen Verschlüsselungsverfahren, ihre Entstehung, Anwendung und Schwächen. Darüber hinaus werden anhand mathematischer Abläufe praktische Verschlüsselungen durchgeführt, welche Probleme dabei aufkommen und welche Alternativen es dazu gibt. schlüsselungsverfahren. Diese erhielten während der beide Weltkriege auf Grund der militärischen Gegebenheiten einen großen Innovationsschub und eine kriegsentscheidende Bedeutung. 1 griechisch: kryptos = verborgen, graphein = schreiben, analysis = Auflösung und logos = Überlegung, Lehre. Heute verfügt fast jeder Haushalt, zumindest in den so genannten Industrienationen, über einen uneingeschränkten Zugang zu den unterschiedlichen Telekommunikationsnetzen und -diensten. Das Internet steht daher vielen Menschen diskriminierungsfrei zur Verfügung. Die Leistungsfähigkeit der Rechner ist immens gesteigert worden. Völlig neue und bis vor wenigen Jahren unbekannte Dienste, Anwendungen und Geschäftsmodelle sind dadurch entstanden. Private, staatliche und geschäftliche Anwender benutzen überwiegend die gleichen Übertragungsmedien. Die Sicherheit und die Vertraulichkeit der Nachrichtenverbindungen sind deshalb von entscheidender Bedeutung. Es gilt mehr denn je die Inhalte vor unbefugten Angriffen zu schützen. Dies geschieht mit verschiedenen Verschlüsselungsverfahren. Schon kleine PC und Notebooks können heute komplizierte Schlüssel erzeugen und aufwendige Ver- und Entschlüsselungen von Dokumenten vornehmen. Verschlüsselungsverfahren können von jedermann angewendet werden und dienen damit auch der Sicherung der Privatsphäre. Das Internet ist ein offenes Netz. Umso mehr gilt es, der privaten und geschäftlichen Kommunikation die notwendige Sicherheit zu verschaffen. Das Zeitalter der Telekommunikations- und Informationstechnik ist auch das Zeitalter der sicheren und vertraulichen Kommunikation, die durch die Begriffe Kryptographie 1, Kryptoanalyse und Kryptologie wesentlich bestimmt wird. Die Kryptographie, auch Datenverschlüsselung, ist die Umformung von Nachrichten (Daten) in eine (meist) scheinbar sinnlose Anordnung von Informationen, um ein unberechtigtes Mitlesen zu verhindern. Die Codierung geschieht mit einem Schlüssel, der festlegt, wie die ursprüngliche Nachricht verändert werden muss. Zur Entschlüsselung wird ebenfalls ein Schlüssel entweder der gleiche oder ein anderer benötigt. Die Kryptoanalyse ist die Untersuchung von verschlüsselten Daten, deren Schlüssel nicht bekannt ist, zum Zweck der Entschlüsselung. Die Kryptologie ist der Oberbegriff für beide und ein wissenschaftliches Teilgebiet. 537

3 Informatik > Grundlagen der Kryptographie WissenHeute Jg /2004 Bild 1 Prinzip der symmetrischen Verschlüsselung Bob Alice wurde und sich in vielen Bereichen durchgesetzt hat. Die wichtigsten Bestandteile sind: Dies ist meine Nachricht. Dein Bob Bob verschlüsselt seine Nachricht, indem er den gemeinsamen Schlüssel (common Secret Key) verwendet. Alice entschlüsselt die Nachricht, indem sie den gemeinsamen Schlüssel (common Secret Key) verwendet. Dies ist meine Nachricht. Dein Bob Permutation 4 (Vertauschung von Bits innerhalb einer Bit-Sequenz), XOR (Exclusive Or = logische Verknüpfung zweier binärer Werte A und B), Substitution (Ersetzen einer Bit-Sequenz durch eine andere Bit-Sequenz). Verschlüsselte Nachricht Entschlüsselte Nachricht Im weiteren Verlauf des Beitrages wird mehrfach auf XOR Bezug genommen, daher hier die Darstellung aller möglichen XOR-Verknüpfungen: Bei der Anwendung kryptographischer Methoden geht es nicht darum, die verwendeten Algorithmen geheim zu halten, sondern im Gegenteil: Die meisten Algorithmen moderner Kryptographieverfahren sind offengelegt, um sie Kryptologen und Mathematikern für die aberwitzigsten akademischen Attacken zur Verfügung zu stellen. Erst, wenn die Algorithmen diesen Attacken standhalten, sind sie geeignet, akzeptiert zu werden. Die Verschlüsselungsmethode selbst muss also stark sein. Eine nicht verschlüsselte Nachricht wird als bezeichnet. Eine verschlüsselte (gesicherte) Nachricht heißt Chiffretext. Die Verschlüsselung (Chiffrierung) verändert den in einen Chiffretext; die Entschlüsselung (Dechiffrierung) erzeugt daraus wieder den ursprünglichen. Man unterscheidet grundsätzlich zwischen einem Das Geheimnis einer verschlüsselten Verbindung ergibt sich aus den geheimen Schlüsseln! symmetrischen, asymmetrischen und einer Kombination beider (hybriden) Verschlüsselungsverfahren. Bei einer symmetrischen Verschlüsselung wird für die Verund Entschlüsselung der gleiche Schlüssel eingesetzt. Bei einer asymmetrischen Verschlüsselung (auch Public-Key-Verfahren genannt) werden verschiedene Schlüssel zum Ver- und Entschlüsseln benutzt. 2 Symmetrische Verschlüsselung Die wohl intuitiv 2 zugänglichste Art der Verschlüsselung ist die symmetrische: Alice möchte eine Nachricht an Bob übermitteln. Alice und Bob kennen einen geheimen, nur ihnen bekannten Schlüssel, d. h. Alice kann ihre Nachricht mit Hilfe dieses Schlüssels k verschlüsseln. Alice sendet die so verschlüsselte Nachricht an Bob, der sie wiederum mit Hilfe des Schlüssels k entschlüsseln kann. (k wird in der Fachliteratur häufig Secret Key genannt). Falls die hinterhältige Trudy die verschlüsselte Nachricht abfangen kann, nutzt ihr dies jedoch nichts. Sie kann die Nachricht nicht entschlüsseln, weil sie nicht im Besitz des Secret Key k ist. Das Bild 1 gibt einen Überblick über den geschilderten Sachverhalt Data Encryption Standard (DES) Zu den wesentlichen Elementen der symmetrischen Verschlüsselung gehört der DES. Dieser ist ein von der Firma IBM entwickeltes so genanntes Blockverschlüsselungsverfahren, das 1978 in den USA standardisiert 1 XOR 1 = 0 1 XOR 0 = 1 0 XOR 1 = 1 0 XOR 0 = 0 (Hinweis: Im Abschnitt Modulo-Operation wird auch deutlich, dass XOR einer Addition modulo 2 entspricht.) Da bei jeder der drei genannten Operationen (Permutation, XOR und Substitution) ein Großteil der Verschlüsselungen durch Registeroperationen 5 abgedeckt werden kann, ist DES enorm schnell. Unter DES wird der in 64-Bit-Blöcke geschichtet. (Gegebenenfalls muss der letzte Block mit Nullen aufgefüllt werden). und verschlüsselter Text sind damit beide in 64-Bit-Blöcke aufgeteilt, weswegen man von Block Cipher spricht (im Gegensatz zu Stream Cipher). Eine DES-Verschlüsselung durchläuft 16 Iterationen 6, wobei sich pro Iteration ein 48 Bit langer Schlüssel ergibt. Gestartet wird mit einem so genannten Initial Key von 64 Bit intuitiv: Das unmittelbare Erkennen, Erfassen eines Sachverhaltes eines komplizierten Vorgangs. Siehe hierzu auch die Beiträge Kryptologische Verfahren, Unterrichtsblätter Nr. 9/1998, S. 436 ff. und Sichere Übertragung mit T-TeleSec Produkten, Unterrichtsblätter Nr. 8/2000, S. 368 ff. Permutation: in der Mathematik eine Umstellung in der Reihenfolge bei einer Zusammenstellung einer bestimmten Anzahl geordneter Größen oder Elemente. Registeroperationen: Als Register bezeichnet man den besonders schnellen prozessornahen Speicher. Iteration: schrittweises Rechenverfahren zur Annäherung an die exakte Lösung. 538

4 WissenHeute Jg /2004 Länge, wobei jedoch acht der 64 Bit zur Checksummenberechnung 7 verwendet werden. Damit wird tatsächlich nur mit einem Initial Key von 56 Bit Länge gearbeitet 8. Der DES wurde in den Varianten Bild 2 Schwachstelle des DES bei ECB Adams Leslie Black Robins Clerk Boss $ 10 $ Electronic Code Book (ECB), Cipher Block Chaining (CBC), Output Feedback (OFB) und Cipher Feedback (CFB) Collins Kim Manager $ Byte 8 Byte 8 Byte 8 Byte DES Data Encryption Standard ECB Electronic Code Book eingeführt. Während es sich bei den ersten beiden um einen klassischen Block Cipher handelt, stellen die letztgenannten Stromchiffre (Stream Cipher) dar. Das bedeutet, dass in einem Stream-Cipher-Mechanismus Block Cipher genutzt wird. Eine klassische Schwachstelle von DES im ECB-Modus muss unbedingt betrachtet werden. Professor Tanenbaum 9 formuliert und stellt es grafisch wie folgt dar (Bild 2): Leslie just had a fight with the boss and is not expecting much of a bonus. Kim, in contrast is the boss favorite, and everybody knows this. Leslie can get access to the file after it is encrypted but before it is sent to the bank. Can Leslie rectify this unfair situation given only the encrypted file? No problem at all. All Leslie has to do is make a copy of ciphertext block 11 (which contains Kim s bonus) and use it to replace ciphertext block 3 (which contains Leslie's bonus). Übersetzung der Redaktion: Leslie hatte gerade eine Auseinandersetzung mit seinem Chef und erwartet deshalb keine Belohnung (Bonus). Im Gegensatz dazu ist Kim der Liebling des Chefs, und jeder weiß das. Leslie hat Zugang zu den Akten nach der Verschlüsselung, aber noch bevor sie zur Bank verschickt werden. Kann Leslie diese unfaire Situation, obwohl er nur verschlüsselte Akten erhält, richtig stellen? Überhaupt kein Problem. Alles was Leslie tun muss, ist den Chipher-Block 11, der den Beitrag von Kims Bonus enthält, zu kopieren und diesen in Chipher Block 3 einsetzen, der Leslies Bonus enthält. Die von Tanenbaum verdeutlichte Schwachstelle war eine direkte Konsequenz des ECB; Bild 3 macht dies nochmals deutlich. Ein sehr einfaches Beispiel eines ECB-Verfahrens, das auf Blöcke von vier Bit Länge angewendet wird, schließt hier an: Wir wenden eine Shift-Operation an auf Blöcke von 4 Bit Länge, d. h. wir haben eine Permutation, welche Position 1 nach Position 2 tauscht, Position 2 nach Position 3, Position 3 nach Position 4, Position 4 nach Position 1. Die Permutation ist also bestimmt durch : 0,1 4 0,1 4, (a 1, a 2, a 3, a 4 ) = (a 2, a 3, a 4, a 1 ). Betrachtet man dazu eine Matrix M mit M = , so sieht man, dass (v) = M v für Vektoren v ist. Bild 3 8-Byte-Blocks Beispiel eines ECB Verschlüsselter Text Verschlüsselter Text Verschlüsselter Text Verschlüsselter Text ECB Electronic Code Book (Hinweis: Die Leser, die mit Matrizenmultiplikation nicht so vertraut sind, werden sie in einem späteren Abschnitt kennen lernen.) Unser sei m = m wird in 4-Bit-Blöcke aufgeteilt, m 1 = 1001, m 2 = 0001, m 3 = 1010, m 4 = Wenden wir nun den Schlüssel auf m an, so ergibt sich (m 1 ) = M m 1 = 0011 (m 2 ) = M m 2 = 0010 (m 3 ) = M m 3 = 0101 (m 4 ) = M m 4 = Checksummen: Ein aus dem Inhalt einer Datei, eines Datenpaketes oder einer kürzeren Bitfolge errechneter Wert, der mit den Daten zusammen übermittelt wird und der Fehlerkontrolle dient. DES ist in der Literatur umfassend beschrieben, z. B. [5], [6], [7]. Speziell mit DES auseinander gesetzt hat sich Frank Damm in Data Encryption Standard. Daher wird auf eine Beschreibung von DES in diesem Beitrag verzichtet und stattdessen das Umfeld von DES erläutert. Tanenbaum: Vgl. [7]. Man beachte insbesondere Tanenbaums Schilderung zur Rolle der USA hinsichtlich des DES. 539

5 Informatik > Grundlagen der Kryptographie WissenHeute Jg /2004 Bild 4 CBC-Modus 8-Byte-Blocks tiert (z. B. CISCO, etliche Open-Source- Anwendungen, wie z. B. GnuPG). Die belgischen Kryptologen Daemen and Rijmen entwickelten diesen Standard, den sie ursprünglich Rijndael nannten. Initial Vektor (nicht notwendig/ geheim) CBC DES XOR XORed Cipher Block Changing Data Encryption Standard Damit ist der verschlüsselte Text m cipher = (Hinweis: In dem bereits erwähnten späteren Abschnitt sprechen wir nochmals über Lineare-Cipher-Block Transformationen.) Die oben aufgezeigte Schwachstelle bietet die Ausführung von DES im CBC-Modus nicht mehr. Die dahinter liegende Idee ist: Man nehme den ersten Cipher Block und addiere ihn (XOR) zum zweiten block, Bild 4). Bei Verschlüsselungsmethoden, welche die Verschlüsselung blockweise vornehmen, spricht man von Blockchiffre. Bekannte DES-Attacken DES Challenge Differential Cryptoanalysis Linear Cryptoanalysis Chinese Lottery DES XOR XORed Die amerikanischen Kryptologen Diffie und Hellman entwarfen eine Maschine, die DES knacken könnte, wenn man sie mit Informationen über den verschlüsselten füttert. Eine von Merkle und Hellman konstruierte Attacke gegen die DES-Implementierung Twice-DES (2DES) wurde Meet-in-the- Middle genannt. (Anmerkung: Meet-in-the Middle hat nichts mit Man-in-the-Middle zu DES tun, der in Teil 3 dieses Beitrages erläutert werden wird.) 2.2 Weitere symmetrische Verschlüsselungsverfahren Die wichtigsten, heute verwendeten symmetrischen Schlüssel sind: XOR XORed XOR Exclusive Or DES XOR XORed DES Triple DES (3DES): Merkle und Hellman fanden eine Meet-in-the-Middle-attack gegen Double DES oder Twice DES. Somit kam Double DES nie zum Einsatz. Aber es erklärt den Namen Triple DES für das Nachfolge-DES. Der 3DES ist nach bisherigen Erkenntnissen sicher. (Man vergleiche aber auch hierzu Tanenbaums Anmerkung zur Einflussnahme des amerikanischen Geheimdienstes.) Als Software- Implementierung ist er jedoch deutlich langsamer als AES (s. u.). International Data Encryption Algorithm (IDEA): Dieses Verfahren ist eine sehr wichtige Entwicklung und findet unter anderem beim Pretty Good Privacy (PGP 10 ) Anwendung, einem sehr sicheren Programm zur Datenverschlüsselung. Rivest s Cipher number 2 (RC2): Dieser kaum verbreitete Schlüssel wurde von Ron Rivest entwickelt. Advanced Encryption Standard (AES): Hier handelt es sich um den neuen Symmetric Encryption Standard. Obwohl noch sehr jung, ist AES bereits häufig implemen- In einem vom National Institute of Standards and Technology (NIST) im August 1998 öffentlich veranstalteten Eliminationsverfahren 11, in dem es galt, der Prüfung von Kryptologen und Mathematikern standzuhalten, traten 15 Kandidaten an. Es blieben nach einem Jahr fünf vorgeschlagene Verfahren übrig: Mars (IBM, USA), Serpent (Anderson, Biham, Knudsen, England, Israel, Norwegen), RC6 (Rivest und Mitarbeiter, USA), Twofish (Bruce Schneier und Mitarbeiter, USA) und Rijndael (Daemen, Rijmen, Belgien). Bei allen fünf Verfahren taten sich kaum kryptoanalytische Lücken auf, so dass die Effizienz entscheidend war. Im September 2001 wurde Rijndael dann als AES veröffentlicht [8]. Twofish gilt unter rein akademischem Gesichtspunkt sogar als etwas sicherer als Rijndael. Dass Rijndael der AES wurde, liegt, wie oben angedeutet, in seiner extrem einfachen Implementierung; zudem ist es enorm schnell. Darüber hinaus ist der AES offen und kann damit nicht von amerikanischen Sicherheitsbehörden oder Softwarefirmen beeinflusst werden. 2.3 UNIX crypt() Passwort Wer sich unter UNIX oder Linux anmeldet, nutzt mit crypt () ganz bestimmte Bereiche der Bibliotheken (Libraries) der Programmiersprache C. Da crypt() eine C-Library Hash Das PGP eignet sich insbesondere dazu, s, an s angehängte Dateien oder per Diskette verschickte Daten zu chiffrieren und Dateien elektronisch zu unterschreiben, um sie vor unbemerkter Manipulation zu schützen. Da das Programm sehr schnell arbeitet, leicht zu bedienen ist und für alle gängigen Betriebssysteme verwendet werden kann, eignet es sich besonders für private Anwendungen. Eleminationsverfahren: Ausscheidungsverfahren. 540

6 WissenHeute Jg /2004 Funktion ist, die auf dem DES beruht, wird nachfolgend kurz darauf eingegangen. (Wie in der UNIX/Linux-Welt üblich, sollte man die zugehörige Man Page 12 aufrufen, hier also man crypt.) Das Benutzerpasswort bildet den initialen Schlüssel. Wir gehen von einem 8-Byte-Passwort aus; die 7 Lower Bits eines jeden Byte werden genutzt, was zu einem 8 7 = 56 Bit Schlüssel führt, dem Initial Key. Ein 64-Bit-Block, der aus Null Strings 13 besteht, stellt den dar. Dieser wird nun mit obigem Schlüssel wie im DES- Verfahren (XOR) verschlüsselt, wobei diese Prozedur mehrmals (je nach Implementierung 25 bis 60 mal) wiederholt wird. Dabei dient in jeder aktuellen Runde der in der vorigen Runde gewonnene Chiffretext (also das Chiffrierergebnis) als. Nach diesen Runden ergibt sich eine 11 Byte große Hash- Summe. (Unter der Hash-Summe ist ein 11 Byte langes Durcheinander vorzustellen, in dem die Eingangsdaten als Bytes betrachtet nicht mehr vorhanden sein müssen). Dieses Durcheinander wird noch durch das Einstreuen eines so genannten Salzkörnchens (Salt) gesteigert: Das Salzkörnchen stellt einen 12-Bit-String dar, welcher pseudo-zufällig erzeugt wird. Mit solchen 12 Bit langen Pseudo- Zufallsfolgen ist es also möglich, das zuvor gewonnene Durcheinander nochmals um 2 12 Möglichkeiten zu variieren. Das eingestreute Salzkörnchen wird in den ersten beiden Bytes des verschlüsselten (encoded) Passwortes gespeichert. Somit sehen wir also in /etc/shadow ein = 13 Byte großes crypt()-passwort. Im Vorgriff auf das Kapitel Hashes wollen wir festhalten, dass crypt eigentlich keine Verschlüsselung durchführt, sondern das DES- Verfahren als One-Way-Hash-Funktion benutzt, indem es den Chiffriertext aus Runde n 1 als der Runde n verwendet, um aus dem Passwort einen Hash zu erzeugen. (Unter UNIX oder Linux sind also Passwörter niemals im hinterlegt. Außerdem gilt: Haben zwei Benutzer das gleiche Passwort gewählt, ist ihr in /etc/shadow gespeicherter Wert dennoch verschieden.) Will sich nun ein Benutzer anmelden, überträgt er sein Passwort im über das Tastaturkabel zum Rechner. Das UNIX-System greift dieses passwort ab und nimmt daraufhin die ersten 2 Byte des encoded Passwortes aus /etc/shadow, also das Salzkörnchen, und spult die verschiedenen Hash-Runden ab. Wenn das sich ergebende Resultat mit dem Hash-Wert übereinstimmt, der in /etc/shadow steht, wird die Anmeldung gestattet. Inzwischen ergeben sich jenseits der crypt()- Methode mit /etc/shadow noch zahlreiche andere Möglichkeiten der Authentifizierung unter UNIX und Linux. Das Übermitteln des Passwortes im über die Tastaturleitung stellt nur eine geringe Schwachstelle dar. Im Remote-Falle 14 stellt die Secure Shell (SSH) sicher, dass kein Passwort im übertragen wird. Die eigentliche Schwachstelle von crypt() liegt vielmehr in seiner Verletzlichkeit bei Angriffen mit Brute-Force-Methoden Vernam Cipher/One-Time-Pad Üblicherweise findet man Vernam Cipher in der Literatur immer zusammen mit One-Time- Pad. Ein Beispiel erläutert die Idee hinter Vernam Cipher. Man betrachte folgenden : Leaders who are wimps are mostly jerks too. Wir bilden die Buchstaben auf Zahlen ab (Kasten 1): A B C D E F G H I J K L M N O P Q R S T U V W X Y Z a b c d e f g h i j k l m n o p q r s t u v w x y z Damit wird unser Leaders who are wimps are mostly jerks too zu Der, d. h. seine Abbildung in die Natürlichen Zahlen besteht aus 35 Stellen, wobei wir Leerzeichen nicht beachten. Jetzt konstruieren wir uns eine aus 35 Stellen bestehende Zufallsfolge, beispielsweise und addieren zu jeder Zahl aus dem die entsprechende Zahl aus der Zufallsfolge. Entsprechend bedeutet hier: Die n-te Stelle aus dem wird zur n-ten Stelle aus der Zufallsfolge addiert = = = = = = = = 78 Die rechte Spalte ist nun offensichtlich resistent gegen Häufigkeitsanalysen 16. Man kann sogar zeigen, wenn man jeden Schlüssel, also die als Schlüssel dienende Zufallsfolge nur einmal anwendet (One-Time-Pad), dass diese Methode resistent gegen jede Art von Kryptoanalyse ist. Um den wieder zu gewinnen, nimmt der Empfänger den Schlüssel und rechnet: Chiffre-Zahl der n-ten Stelle Schlüsselzahl der n-ten Stelle = zahl der n-ten Stelle Man Page: Die so genannten Man Pages stellen die Online- Hilfe unter UNIX/Linux dar. String: die Zeichenfolge in der Programmiersprache C. Remote: Zugriff von einem anderen Rechner aus. Brute-Force-Methoden: (dt. Vorgehen mit roher Gewalt ); ein Verfahren, bei dem ein Programm durch eine Iteration sämtliche denkbaren Möglichkeiten zur Lösung eines Problems durchgeht. Häufigkeitsanalysen: Vergleiche hierzu [5], [6], [7], [9]; für Einsteiger vor allem [9]. 541

7 Informatik > Grundlagen der Kryptographie WissenHeute Jg /2004 Verwendete Abkürzungen 2DES Double Data Encryption Standard 3DES Triple Data Encryption Standard AES Advanced Encryption Standard CBC Cipher Block Chaining CFB Cipher Feedback DES Data Encryption Standard ECB Electronic Code Book IDEA International Data Encryption Algorithm NIST National Institute of Standards and Technology OFB Output Feedback PGP Pretty Good Privacy RC2 Rivest s Cipher Number 2 (4, 6) TAN Transaction Number WEP Wired Equivalent Privacy WLAN Wireless Local Area network XOR Exclusive Or Um zu verhindern, dass wir im Ergebnis, also in der rechten Spalte, aus dem deutschen Alphabet herausfallen, genügt es, auf die modulo-26 Addition zu wechseln. (s. Abs. 2.6 oder Abs. 2.1). In der Computer-Implementierung des Vernam-Chiffre/One-Time-Pad würde man, Zufallsschlüssel und den sich daraus ergebenden Geheimtext als Bitfolge abbilden. Die Addition von und Zufallsschlüssel geschieht dann als XOR-Operation (= Addition modulo 2). Wir haben also eine absolut sichere (unbreakable) Verschlüsselungsmethode gefunden. Dennoch hat der Vernam Cipher/One-Time- Pad auch Nachteile: Leider ist das gezeigte Verfahren in der Praxis nur sehr schwer anwendbar. Zunächst leidet es an der allen symmetrischen Verfahren anhaftenden Schwäche des Schlüsselaustausches mit dem Kommunikationspartner (s. Abs. 2.5). Darüber hinaus ist es sehr schwierig, gute Zufallsfolgen mit dem Computer zu erzeugen. Weiterhin müssen sich Sender und Empfänger so anhaltend gut synchronisieren, dass bei der Entschlüsselung an der richtigen Chiffre-Stelle die richtige Schlüsselstelle subtrahiert wird. 2.5 Gemeinsame Schwachstelle aller symmetrischen Verfahren Die grundlegende Schwachstelle aller symmetrische Verfahren ist offensichtlich: Sender und Empfänger müssen über den gleichen Schlüssel verfügen. Damit ergeben sich zwei Hauptprobleme: Erstes Hauptproblem Angenommen, eine Gruppe von sechs Personen möchte nach dem Prinzip jeder mit jedem verschlüsselt kommunizieren. Dies bedeutet, dass sich je zwei Personen einen Schlüssel teilen müssen. Unsere kombinatorischen Grundkenntnisse [1] sagen uns, dass diese Gruppe 2 6 = 15 Schlüssel benötigt. Allgemein brauchen damit n Personen 2 n Schlüssel [1]. Zweites Hauptproblem Man benötigt einen sicheren Weg, um den gemeinsamen Schlüssel zwischen Sender und Empfänger auszutauschen. Die böse Trudy ist eifrig bestrebt, in den Besitz des gemeinsamen Schlüssels von Alice und Bob zu gelangen. In Abs. 3 werden wir dann sehen, welche Möglichkeiten die Kryptographie bietet, diese beiden großen Probleme zu umgehen. 2.6 Affin Lineare (Block-)Transformationen Da wir im Rahmen dieses Abschnitts Transformationen mit Blockchiffre gleichsetzen dürfen, können wir formulieren: Affin Lineare Blockchiffre ist nicht resistent gegen angriff. In der für die Kryptographie typischen englischen Formulierung heißt dies: Affin linear block cipher is vulnerable to known plaintext attacks. Wir sind damit auf zwei neue Begriffe gestoßen: Affin Lineare Transformationen und Known Plaintext Attacks. Zunächst wieder die Erläuterung für die Leser mit weniger Interesse an mathematischen Hintergründen: Obwohl Affin Lineare Abbildungen mathematisch nicht allzu kompliziert sind, zeigen sie doch das Problem kryptologischer Entwürfe. Eine zunächst geeignet erscheinende Verschlüsselungsfunktion, nämlich eine Affin Lineare Blockchiffre, erweist sich bei genauer Betrachtung als untauglich. Die Untauglichkeit kann hier aus den mathematischen Hintergründen abgeleitet werden, hat also nichts mit einer möglicherweise nachlässigen Implementierung zu tun. Denn es lässt sich zeigen, wenn man bei bekanntem (also bei Known Plain Text) ermitteln kann, wie das Verschlüsselungsergebnis aussieht. In diesem Fall kann man auch herausfinden, wie der Schlüssel aussieht. Mit anderen Worten: Wenn es der bösen Trudy gelingt, eigenen in ein Affin Lineares Verschlüsselungsverfahren einzuschleusen, um in Erfahrung zu bringen, wie die Verschlüsselungsergebnisse ihres s aussehen, dann ist Trudy in der Lage, den Schlüssel ausfindig zu machen. Und damit kann sie jegliches Chiffre knacken, nicht nur, wenn der Ausgangs- von ihr stammt. Affin Lineare Blockchiffren haben eine lange Tradition in der Geschichte der Kryptographie. Aber ihr Problem deutet sich bereits in der Bezeichnung affin (wesensverwandt) linear an. Was nämlich durch Verschlüsselung entsteht, ist immer noch wesensverwandt und mit der gleichen Struktur behaftet wie der Ausgangstext. Eine Affin Lineare Block-Transformation mag für einen Betrachter durchaus als ordentlich verwirrender Schlüssel erscheinen. Versucht man jedoch mit der (linearen) Algebra Affin Lineare Blockchiffre zu abstrahieren, zeigt sich rasch die Untauglichkeit dieser Verschlüsselungsart. Daher sollten bei jedem neuen Entwurf von Blockchiffre Kryptologen und Mathematiker überprüfen, ob sich nicht im Design unbemerkt Affin Lineare Abbildungen eingeschlichen haben. Dieser Abschnitt macht eine Empfehlung deutlich: Man misstraue allen Algorithmen, die nicht offengelegt werden und verwende sie deshalb nicht! Unbekannte, so ge- 542

8 WissenHeute Jg /2004 nannte homegrown -Verschlüsselungsmethoden von Firmen, die ihre Verschlüsselungsmethoden selbst entwerfen, sollten daher möglichst nicht angewendet werden. (Hinweis: Diejenigen Leser, die zur Mathematik etwas Distanz wahren wollen, können den Rest dieses Abschnitts auslassen und dann bei Abs. 2.7 wieder in den Beitrag einsteigen.) (Anmerkung: IDEA verwendet zwar ausschließlich einfache lineare Abbildungen, springt aber hierbei zwischen verschiedenen Vektorräumen. Die letztlich durch Verknüpfung entstehende Abbildung ist dann nicht mehr linear.) Nachfolgend werden einige Definitionen wie Matrix, Determinante, Lineare Transformationen und wichtigen Theoremen erläutert. Zunächst aber modulo : Theorem: Es sei a eine Ganze Zahl, b eine Natürliche Zahl > 0. Dann gibt es eindeutig bestimmte Ganze Zahlen k und r, so dass a = k b + r mit 0 r < b. Zum Beweis vergleiche [4] Definition: In der Ausgangssituation von Theorem schreibt man a mod b = r. (Gesprochen a modulo b) Beispiel: 27 mod 26 = 25, denn 27 = mod 26 = 21, denn 21 = mod 26 = 1, denn 27 = Definition: Eine m n-matrix (gesprochen: m Kreuz n Matrix) ist ein Schema M, bestehend aus m Zeilen und n Spalten. M sieht also irgendwie folgendermaßen aus: a 1,1 a 1,n M =. a m,1 a m,n In unserem Fall ist es ausreichend, festzulegen, dass a i,j beliebige Ganze Zahlen sind. Häufig findet sich statt der obigen suggestiven Schreibweise für die Matrix M auch die Schreibweise M = a i,j. Ist die Zeilenanzahl gleich der Spaltenanzahl, also m = n, nennt man M quadratisch. Die Summe der Matrizen A und B ist definiert als A + B = a i,j + b i,j. Das Produkt der Matrizen A und B ist definiert durch A B = AB = c i,j k=n mit = c i,j = a i,k b k,j k = 1 Beispiele A = 1 2, 34 B = Dann ist AB = 19 22, A + B = 6 8, Wir definieren als n n-einheitsmatrix E n = e i,j mit e i,j = 1, i = j, 0, i j i,j 1,,n Beispiel: Die 2 2-Einheitsmatrix E 2 = 10, 01 Hinweis: Die n n-matrizen mit Summe und Produkt wie oben definiert bilden einen Algebraischen Ring mit der Einheit E n. Nun führen wir Determinanten ein. Üblicherweise werden Determinanten als Abbildung vom Raum der Matrizen in die reellen oder komplexen Zahlen definiert. Wir jedoch benutzen eine weniger allgemeine, aber für uns ausreichende Definition Definition: Es sei M eine n n-matrix M i,j wird dann definiert als die Matrix, die entsteht, wenn man in der Matrix M die i-te-zeile und die j-te-spalte streicht. Wir haben also a 1,1 a 1,j a 1,n M i,j = a i,1 a i,j a i,n. a n,1 a n,j a n,n Rekursive Definition einer Determinante: Ist A eine n n-matrix mit n = 1, d. h. A = (a 1,1 ), also A = (a), dann definieren wir deta = a deta wird die Determinante von A genannt. Ist n > 1, dann greifen wir uns ein beliebiges i 1,,n heraus und definieren j=n deta = 1 i+j a i,j deta i,j k=1 Wichtig: Obige Definition ist wohldefiniert, denn die rekursive Definition der Determinante hängt nicht von der Wahl von i ab [4], [6]. Beispiel: A = 4 5 6, Wir entwickeln nach i = 1, also nach der ersten Zeile (Kasten 2 siehe nächste Seite) Definition: Die n n-matrix B heißt die Adjunkte einer n n-matrix A, wenn B = ( 1) i+j deta j,i Man setzt B = adj A. 543

9 Informatik > Grundlagen der Kryptographie WissenHeute Jg /2004 Kasten 2 deta = ( 1) 1+1 1det ( 1) 1+2 2det ( 1) 1+3 3det 4 5 = det 5 6 2det det 4 5 = ( 3) 2 ( 6) + 3 ( 3) = 0 Beispiel: A = Dann ist (Kasten 3) b 1,1 = ( 1) 1+1 det A 1,1 = 4, b 1,2 = ( 1) 1+2 det A 2,1 = 2 b 2,1 = ( 1) 2+1 det A 1,2 = 3, b 2,2 = ( 1) 2+2 det A 2,2 = 1 Damit ist adj A = B = 4 2, 3 1 Matrix und Determinante sind eng miteinander verknüpft, wie Theorem zeigt Theorem: Ist A eine n n-matrix und d = deta Zur Matrix A gibt es eine n n-matrix B mit AB = E n genau dann, wenn eine reelle Zahl r existiert mit d r = 1. Natürlich gilt dann r = d 1 = (deta) 1 Üblicherweise nennt man r invers zu d und setzt r = d 1. Entsprechend nennt man Matrix B invers zu A und setzt B = A 1 Weiterhin gilt: Die inverse Matrix A 1 ist gegeben durch A 1 = (det A) 1 adj A. Zum Beweis vergleiche [2], [3]. Achtung!: AB = E n heißt nicht, dass auch BA = E n. Anmerkung: Die Matrix aus unserem obigen Beispiel besitzt also keine inverse Matrix, weil deta = Definition: Es seien a, b Ganze Zahlen. Man nennt a kongruent zu b modulo p, wenn (b a) durch p teilbar ist. Man schreibt hierfür a b mod p. Man definiert A B mod p, wenn a i,j b i,j mod p für alle i,j. Das nachfolgende Theorem leitet sich von Theorem ab Theorem: Es sei p > 1 Zur n n-matrix A findet man eine n n-matrix B mit AB E n mod p genau dann, wenn deta teilerfremd zu p ist. Statt den Beweis niederzuschreiben, skizzieren wir hier nur die Intuition: Wir betrachten die Welt der mod-p-rechnung. In dieser Welt existiert die Matrix A 1, wenn die (deta) 1 in dieser Welt existiert. (Vergleiche Theorem 2.6.6) Und diese Inverse existiert in der Welt der mod-p-rechnung, wenn deta teilerfremd zu p ist. Wir fassen nun R n und R m als Vektorräume auf, wobei ein Vektor irgendwie ein Gebilde der Form a 1 v = a n ist. Das Produkt einer Matrix mit einem Vektor M v = Mv ist implizit schon oben bei der Definition des Produktes zweier Matrizen eingeführt worden Definition: Es sei f eine Abbildung f: R n R m f heißt affin linear, wenn es eine n m-matrix gibt und einen Vektor w aus R m, so dass für alle v R n gilt f (v) = Mv + w Ist w = 0, heißt f linear. Wir folgen den gängigen Notationen und definieren (äußerst nachlässig; aber wir wollen die explizite Einführung von Restklassenringen vermeiden) Zm n als den Raum aller Vektoren a 1 v = a n mit a i 0,,m 1 Z (n,k) m wird definiert als der Raum aller Matrizen a 1,1 a 1,k M = a n,1 a n,k mit a i,j 0,,m Definition: Es sei f: Z n m Z k m f heißt affin linear, wenn es eine Matrix M in Z m (n,k) gibt und einen Vektor w Z k m, so dass für alle v Z n m gilt, f (v) = (Mv + w) mod m. Falls w 0 mod m, heißt f linear. Was wir bisher unter dem Gesichtspunkt der symmetrischen Verschlüsselung gefunden haben, lässt sich so formulieren: Geeignete n n-matrizen erscheinen prinzipiell als symmetrische Schlüssel denkbar. Denn einerseits kann man sie auf loslassen, um ihn beliebig zu verändern, andererseits bieten sie die Möglichkeiten der inversen Operation, d. h. sie lassen auch Entschlüsselung zu. Man braucht nur eine (mechanische, elektrische oder elektronische) Maschine, welche lineare Operationen durchführt. 544

10 WissenHeute Jg /2004 Wie leicht man aber in die Falle einer prinzipiellen Schwäche eines Algorithmus laufen kann, zeigen wir hier. Die Betonung liegt auf prinzipiell im Sinne einer akademischen Schwachstelle, nicht eine als Folge von nachlässiger Implementierung. Dies ist ein Plädoyer für die Offenlegung aller kryptographischer Verfahren Prinzipielle Schwäche Affin Linearer Abbildungen Wir gehen von einem Schlüssel K aus, der sich durch die Abbildung K:Z n p Z n p, K(v) = Mv + w mod p ausdrückt. Dabei ist M Z p (n,n) und w Z n p. Wir zeigen nun, dass es möglich ist, den Schlüssel K, der ja geheim ist, zu bestimmen, wenn wir n + 1 -Worte kennen und deren n + 1 K-Chiffrierergebnisse (Known- Plain-Text-Angriff). Wir schlüpfen in die Rolle der Angreifer und wählen p 0,,p n Plain Text-Worte, p: Z n. Wie auch immer ist es uns Angreifern gelungen, Kenntnis von den zugehörigen Chiffre-Worten c 0,,c n zu erhalten, so dass wir die Gleichungen c i = Mp i + w mod p ansetzen können. Um den Störfaktor w loszuwerden, betrachten wir nicht c i sondern c i c 0. und erhalten: c i c 0 ist in der mod-p-welt identisch mit M(p i p 0 )mod p, mit Hilfe unserer Definition bedeutet das c i c 0 M(p i p 0 )mod p. (*Spa) Aus den Vektoren (p i p 0 ) mod p erhalten wir die Matrix P = (p 1 p 0,, p n p 0 ) mod p Aus den Vektoren (c i c 0 ) mod p erhalten wir die Matrix C = (c 1 c 0,,c n c 0 ). Aus (*Spa) ergibt sich dann MP C mod p. Ist detp teilerfremd zu p, so wissen wir, dass P 1 existiert und P 1 = (det P) 1 adj P. (s. Abs und Abs ) Wir wenden dies auf unsere obige Matrizengleichung (Matrizenkongruenz) an und erhalten MPP 1 CP 1 mod p und damit M C(det P) 1 adj P mod p. Das Bemerkenswerte ist, dass wir die Matrix M, (also de facto die Verschlüsselung K), erschließen konnten allein aus den Matrizen C und P. Dabei waren die Spaltenvektoren von P einfach die n ausdrücke p i p 0, und die Spaltenvektoren von C waren einfach die n Chiffreausdrücke c i c 0, 1 i n. Auch den Störfaktor w aus der Verschlüsselungsabbildung K(v) = Mv + w mod p können wir erschließen. Denn w = (Mp 0 + w) Mp 0 = c 0 Mp 0. Für eine Affin Lineare Verschlüsselungsfunktion haben wir also gezeigt: Wenn wir die matrix P so wählen, dass det P 0 und teilerfremd zu p ist, können wir aus der Kenntnis von n + 1 worten und n + 1 Chiffreworten den Schlüssel K knacken. Beispiel 1: Wir nehmen die Rolle der Angreiferin Trudy ein. Es gelang uns herauszufinden, dass HASE nach ESEL verschlüsselt wurde. Unser Ziel ist es, die Matrix M zu finden, durch die ja die Verschlüsselungsfunktion K gegeben ist. Aus Abs wissen wir, dass M von der Form C((det P) 1 adj P) mod p ist, wenn (det P) 1 existiert, also wenn (det P) teilerfremd zu p ist. Wir setzen unsere Beispielwerte ein: Wenn wir jeden Buchstaben mit seiner Stelle im deutschen Alphabet identifizieren, erhalten wir: 1. p = 26, denn wir dürfen natürlich nicht aus dem Raum des Alphabets fallen. Achtung: In unserer theoretischen Herleitung hatten wir Z p = 0,, p 1, also hätten wir hier im Beispiel Z 26 = 0,, 25. Wir arbeiten jedoch in diesem Beispiel absichtlich mit Z 26 = 1,, 26. (Warum dies nicht mit den obigen Theoremen kollidiert, bleibt als kleine Übung für die Leser.) 2. HASE entspricht P = 819, 1 5 ESEL entspricht C = 5 5, adj P = 5 19, det P = = 21 und damit: det P ist teilerfremd zu 26. Damit wissen wir, dass in der modulo-26-welt (det P) 1 existiert. Es gilt also (det P) (det P) 1 mod 26 = 1. Der erweiterte Euklidische Algorithmus [4] zeigt uns, dass ( 4) 26 = 1. Mit anderen Worten: 21 5 mod 26 = 1. Also ist (det P) 1 = 5 in der mod-26 Welt, denn ((det P) 5 ) mod 26 = 1. Wir können jetzt auf M schließen (Kasten 4): M = C ((det P) 1 adj P) mod p = (det P) 1 C(adj P) mod p = mod 26 = mod 26 = mod 26 = Wenn unsere Rechnung den Schlüssel, also die Matrix M, richtig geknackt hat, muss MP = C in der mod-26-welt gelten. Wir machen uns jetzt die Mühe der Verifikation (Kasten 5 siehe nächste Seite): 545

11 Informatik > Grundlagen der Kryptographie WissenHeute Jg /2004 Kasten 5 MP mod 26 = mod 26 = mod 26 = = C. Die Verifikation bestätigt tatsächlich, dass wir den Schlüssel M gefunden ( geknackt ) haben. Beispiel 2: Wir nehmen die Rolle der Angreiferin Trudy ein. Es gelang uns herauszufinden, dass DACH nach BAUM verschlüsselt wurde. Unser Ziel ist es, die Matrix M zu finden, durch die die Verschlüsselungsfunktion K gegeben ist. Aus Abs wissen wir, dass M von der Form C((det P) 1 adj P) mod p ist, wenn (det P) 1 existiert, also wenn (det P) teilerfremd zu p ist. Wir setzen unsere Beispielwerte ein: Wenn wir jeden Buchstaben mit seiner Stelle im deutschen Alphabet identifizieren, hier mit 0 beginnend, erhalten wir: 1. p = 26, denn wir dürfen natürlich nicht aus dem Raum des Alphabets fallen, allerdings beginnen wir jetzt bereits bei 0, d. h. wir identifizieren A mit 0, B mit 1, usw. Wir bleiben hier, im Gegensatz zu Beispiel 1, bei unserer Definition = Z m = 0,, m DACH entspricht P = 3 2, 0 7 BAUM entspricht C = 1 20, adj P = 7 2, det P = = 21 und damit: det P ist teilerfremd zu 26. Damit wissen wir, dass in der modulo-26-welt, (det P) 1 existiert. Es gilt also (det P) (det P) 1 mod 26 = 1. Aus Beispiel 1 wissen wir, dass (det P) 1 = 5 in der mod-26-welt ist. Wir können jetzt auf M schließen (Kasten 6): M = C((det P) 1 adj P) mod p = (det P) 1 C(adj P) mod p = mod 26 = mod 26 = Wenn unsere Rechnung den Schlüssel, also die Matrix M, richtig geknackt hat, muss MP = C in der mod-26-welt gelten. Wir machen uns jetzt die Mühe der Verifikation (Kasten 7): MP mod 26 = mod 26 = mod 26 = 1 20 = C Die Verifikation bestätigt tatsächlich, dass wir den Schlüssel M gefunden (geknackt) haben. 2.7 Zufallszahlen Wir sind bisher davon ausgegangen, es wäre sehr einfach, Zufallszahlen zu finden, um sie beispielsweise als symmetrischen Schlüssel zu verwenden. Dies ist keinesfalls so, wenn Zufälligkeiten mittels Computer im Rahmen einer Softwareimplementierung gefunden werden sollen. Innerhalb der Computer-Welt versteht man unter einer Zufallszahl eine zufällige Folge von Nullen und Einsen. Es ist für uns nicht schwer, solch eine Zufallsfolge zu konstruieren, z. B. durch Werfen einer fairen Münze. Ein Computer tut sich mit Münzwurf schwer, oder allgemein, für einen Computer ist es nicht leicht, eine nicht vorhersagbare Zufallsfolge zu erzeugen. Eine Möglichkeit bietet das Abgreifen physikalischer Ereignisse, wie beispielsweise Spannungsschwankungen oder Mauszeigerbewegungen. Es gibt sogar (teure) Hardware, deren Aufgabe darin besteht, echt zufällige Ereignisse abzugreifen, um damit echten Zufall zu erzeugen. Will man einen weniger teuren Weg gehen, versucht man mit Pseudo-Zufallszahlen auszukommen. Das Vorgehen sieht ungefähr so aus: Man erzeugt zunächst eine echte Zufallsfolge, z. B. durch Herumbewegen des Mauszeigers oder durch Herumschlagen auf der Tastatur. Diese echte Zufallszahl dient jetzt als Initialwert. Dann wendet man auf diesen Initialwert eine Funktion an, z. B. eine Hash-Funktion, um eine Pseudo-Zufallsfolge zu gewinnen. (In Abs. 6 wird ausführlich auf Hashes eingegangen. Hier stellen wir uns unter einer Hash-Funktion h lediglich eine Funktion vor, die beliebige Bitfolgen verkürzt und so durcheinander rüttelt, dass das entstandene Durcheinander nicht mehr umkehrbar ist.) Beispielsweise wird ein Initial Vector iv, (manchmal auch Seed genannt) echt zufällig erzeugt durch Herumtrommeln auf der Tastatur. Dann wird mittels einer Hash- Funktion h eine Pseudo-Zufallsfolge konstruiert nach s 1 = h(iv), s 2 = h(s 1 ) = h(h(iv)), s 3 = h(s 2 ) = h(h(s 1 )) = h(h(h(iv)))), usw. Ist iv ein beispielsweise 256 Bit langer Vektor, so sollte nur eine beliebige kürzere (z. B. 128 Bit) Folge hiervon zur Erzeugung der s n -Folge gewählt werden. Denn andernfalls könnte Trudy aus der Kenntnis von iv sämtliche sich daraus ergebenden Pseudo-Zufallszahlen konstruieren. Ein anderer Schutz vor Trudys Ausnutzen ihren Kenntnis des iv könnte darin bestehen, so genannte schlüsselabhängige Hash-Funktionen zu verwenden. Denn dann benötigte Trudy auch den Schlüssel der schlüsselabhängigen Hash-Funktion, um von iv auf s n schließen zu können (s. Abs. 6 in Teil 3). Vielen Lesern ist eine Folge s 1 = h(iv), s 2 = h(s 1 ) = h(h(iv)), usw. bekannt: Es ist ihre Liste der Transaktions-Nummern(TAN) für Homebanking-Überweisungen: 546

12 WissenHeute Jg /2004 Tritt die Situation auf, dass wir einen sehr langen Schlüssel brauchen, wie es beim Beispiel Vernam-Chiffre/One-Time-Pad in Abschnitt 2.4 der Fall war, stellt sich das Problem, aus einem beschränkten Initialvektor einen beliebig langen Pseudo-Schlüssel zu erzeugen, der dann mit einem beliebig langen XOR-ed werden kann. Eine Möglichkeit des beliebigen Streckens von Zufallsschlüsseln könnte so aussehen [6]. Es sei wieder iv ein echter Zufallsvektor iv = (v 1,, v n ). Wir nehmen an, die durch eine Bitfolge gegebene Nachricht m = (m 1,, m k ) mit k > n ist mit einem pseudo-zufälligen Schlüssel s = (s 1,, s k ) zu verschlüsseln, so dass der erzeugte Ciphertext c = (c 1,, c k ) = (m 1 XOR s 1,, m k XOR s k ). Der pseudo-zufällige Schlüssel s = (s 1,, s k ) muss hier länger sein als der Initialvektor iv = (v 1,, v n ). Eine Möglichkeit, aus iv einen beliebig langen pseudo-zufälligen Schlüssel s zu konstruieren, ist folgende (Kasten 8): s i = v i, i n s i 1 + s i s i n mod2, n < i k Beispielsweise: s n+1 = s n + s n 1 + s n s 1 mod 2 und s n+2 = s n+1 + s n s n s 2 mod 2. Damit hat s i für i > n den Wert 1, wenn die Summe der in s i enthaltenen Summanden ungerade ist, sonst den Wert 0. Dies lässt sich verhältnismäßig leicht implementieren. 2.8 Stromchiffre Bereits bei der Erläuterung des DES wurde der Begriff Blockchiffre genannt. wurde in Blöcke zusammengefasst, um dann blockweise verschlüsselt zu werden. Die Alternative zu Blockchiffre ist Stromchiffre. Wie der Name sagt, kann hier Byte für Byte chiffriert werden. Der Nachrichten-Bitstrom läuft gegen einen Schlüssel-Bitstrom, und Byte-weise erfolgt ein XOR. Rivest s Cipher number 4 (RC4) Die wichtigste und bekannteste Stromchiffre- Methode ist RC4. Diese wurde allerdings nie von Ron Rivest veröffentlicht, sondern es gelang den Cypherpunks 17 [10] den Algorithmus zu knacken, d. h. sie entwarfen einen Algorithmus, der die gleichen Ergebnisse wie RC4 lieferte. Diesen Algorithmus veröffentlichten die Cypherpunks am 10. September 1994 und unausgesprochen damit auch RC4. (In [5] ist nicht nur das Stromchiffre-Verfahren RC4 dargestellt, sondern auch die amerikanische Reaktion auf die kreative Leistung der Cypherpunks.) Wir erzeugen eine pseudo-zufällige Schlüsselfolge (s i ) 0 i 255, wobei s i hier einem Byte entspricht. Die Geheimtextfolge (c i ) ergibt sich dann durch Byte-weises c i = m i XOR s index. Außerdem gilt die Entschlüsselung m i = c i XOR s index. Dieses s index ist nun nicht das i-te-element der Folge (s i ) 0 i 255, sondern ein s, das nach einem bestimmten Algorithmus aus der Folge (s i ) 0 i 255 für jedes m i eigens gewonnen wird. Man beachte, dass damit die Nachrichtenfolge (m), die sich aus den einzelnen Bytes m i zusammensetzt, beliebig lang sein kann. Der Stromchiffre RC4 umfasst also zwei Hauptaufgaben: das Erzeugen einer aus 256 Byte bestehenden pseudo-zufälligen Folge (s i ) 0 i 255 und das pseudo-zufällige Herausfischen eines Elements s: = s index aus der Folge (s i ) 0 i 255, für jedes m i, so dass mi XOR s = ci Erste Hauptaufgabe Unser Schlüsselvektor kv, also unser initialer Schlüssel, sei eine Bytefolge mit kv = (v 0,, v 255 ), v i entspricht also einem Byte und kv einer zufälligen Permutation der Zahlenfolge 0 bis 255. Wir initialisieren die Folge (s i ), also unsere spätere pseudo-zufällige Schlüsselfolge (s i ), mittels s i = i, also s 0 = 0, s 1 = 1,, s 255 = 255. Weiterhin initialisieren wir die Bytes i und j mit i = 0, j = 0. Für jedes i 0,, 255 führen wir, ausgehend von i = 0 und j = 0, folgende Rechenschritte durch: j: = j + s i + v i mod 256; Vertauschung von s i und s j ; Nach Abarbeitung dieser Schleife von 0 bis 255 ist die Schlüsselfolge (s i ) initialisiert, zudem j. Wir haben jetzt einen aus 257 Byte bestehenden pseudo-zufälligen Schlüssel (j, (s i ) 0 i 255 ) erzeugt Zweite Hauptaufgabe Ausgehend von dem initialisierten Schlüssel (j, (s i ) 0 i 255 )) rechnen wir i: = i + 1 mod 256; j: = j + s i mod 256; Vertauschung von s i und s j ; index: = s i + s j mod 256; s: = s index ; Damit haben wir nach obigem Algorithmus das Schlüsselbyte s herausgefischt, mit dem das Nachrichtenbyte mi verschlüsselt wird, also c i = m i XOR s Anmerkung und Zusammenfassung Vier Punkte verdienen noch eine besondere Betrachtung: 1. Die Anzahl der möglichen Schlüssel (j, (s i ) 0 i 255 ) beim Stromchiffre RC4 ist dann ! = ! 2. Wir sind von einem 256 Byte langen Initialisierungsvektor kv ausgegangen. Aus diesem wurde der 257 Byte lange pseudozufällige Schlüssel (j, (s i ) 0 i 255 ) erzeugt. Mit Hilfe dieses Schlüssels kann nun ein endloser Strom von Schlüsselbytes s index erzeugt werden, die Byte-weise mit dem 17 Cypherpunks: Eine kreative Gruppe im Umfeld der Berkley- Universität, die sich Gedanken um die Sicherstellung der Privatsphäre in der digitalen Welt macht. 547

13 Informatik > Grundlagen der Kryptographie WissenHeute Jg /2004 Nachrichtenstrom XOR-ed werden, also c i = m i XOR s index. Leider ist die Terminologie nicht immer einheitlich. Gerade bei RC4 wird häufig (s i ) 0 i 255 als Seed bezeichnet und nicht kv. kv ist dann der geheime Schlüssel, aus ihm erzeugt Alice den Strom der Schlüsselbytes s: = s index, mit dem sie c i = m i XOR s für jedes ihrer Nachrichtenbytes m i rechnet. Und auch Bob braucht kv um s:=s index zu bestimmen, denn mittels c i XOR s = m i kann er wieder auf den schließen (s. Abs ) 3. Wie in 2. angesprochen, benennen wir hier einen 256 Byte langen Schlüsselvektor. Wie man am Algorithmus erkennt, ist dies keine Notwendigkeit. Es wäre sogar möglich, RC4 ohne Schlüssel-/Initialisierungsvektor zu implementieren. Man beachte aber, dass bei zu kurzer Wahl und/ oder bei Verzicht auf den Initialisierungsvektor die Sicherheit von RC4 verloren geht. Ein offensichtlich schwerwiegendes Problem von RC4 ergibt sich, wenn bei schwachem Initialisierungsvektor die ersten beiden Bytes des Schlüsselstroms, in unserem Falle also s 0, s 1 einem Angreifer bekannt werden. Dies ist beispielsweise bei Verwendung des Protokolls Ethernet- SNAP 18 der Fall [11]. 4. Der Stromchiffre RC4 besticht durch seine Einfachheit. In Abs und Abs stehen tatsächlich die Zeilen des Algorithmus. Außerdem ist RC4 sehr schnell. Daher taucht das Verfahren in etlichen Anwendungen auf. Häufig findet man es auch als Option bei den Negotiations 19 hinsichtlich symmetrischer Verschlüsselung. Beispielsweise könne Alice Bob anbieten, für ihre symmetrische Verschlüsselung IDEA, 3DES oder RC4 zu wählen Implementierungsvarianten In unserer Darstellung des RC4-Verfahrens bildete kv = (v 0 bis v 255 ) den Schlüssel, aus dem der Seed (s i ) 0 i 255 gewonnen wurde. Wenn man so will, stellt kv sowohl den symmetrischen Schlüssel für das RC4-Verfahren als auch den Initialisierungsvektor zum Gewinnen des Seed dar. Wie wir bereits wissen, ist die Länge von 256 Byte von kv keine Vorgabe. Stellen wir uns also vor, aus Gründen des geringeren Aufwands entscheidet man sich für einen Schlüssel von 8 Byte, also 64 Bit und splittet den Schlüssel nochmals in einen konstanten Teil von 40 Bits auf, der immer gleich bleibt und einen Initialisierungsvektor von 24 Bit, der sich für jede neue Message (m) ändert. Damit ist kv = (40 Bit geheimer Schlüssel) add (24 Bit Initialisierungsvektor) = (key secret ) add (key iv ). Nach wie vor wird der Seed aus kv gewonnen. Aber nachdem eine Nachricht mit dem Schlüsselstrom der Folge (s) = (s index ) verschlüsselt wurde, hängt Alice an den verschlüsselten Strom noch unverschlüsselt key iv an. Bob, der ja bereits im Besitz des geheimen Schlüssels key secret ist, setzt nach Erhalt des Stroms den gesamten Schlüsselvektor kv wieder mittels kv = (key secret ) add (key iv ) zusammen und kann damit den Seed gewinnen, damit den Schlüsselstrom (s) und damit wieder den -Nachrichtenstrom. Der Vorteil dieses Verfahrens ist, dass für jeden strom (m) ein eigener Schlüsselstrom, abhängig vom Initialisierungsvektor key iv, erzeugt werden kann. Für Angreifer bleibt dennoch der Seed der Schlüsselstrom (s) geheim, weil zwar key iv unverschlüsselt übertragen wird, key secret aber nur Alice und Bob bekannt ist, und damit auch kv = (key secret ) add (key iv ). Außerdem muss nur ein einziges Mal sichergestellt werden, dass Bob und Alice über einen gemeinsamen Schlüssel verfügen. Dies ist zunächst ein einleuchtendes Vorgehen. Das dachten sich auch die Entwickler der Sicherheitkonzepte für Wireless Local Area Network (WLAN, des Standard/ Sicherheit), als sie das oben beschriebene Verfahren als Wired Equivalent Privacy (WEP) standardisierten: Statt Alice und Bob haben wir eine WLAN-Station, z. B. ein Notebook und einen Access Point. Der WLAN-Administrator stellte auf den Stationen und auf dem Access Point den symmetrischen Schlüssel key secret ein, und die durch RC4 verschlüsselte Verbindung WLAN-Station und Access Point konnte starten. Man verfügt wegen der Länge des Initialisierungsvektor key iv von 24 Bit über 2 24 verschiedene Initialisierungsvektoren, die erst einmal aufgebraucht werden konnten, bevor es zu einer Wiederholung eines Initialisierungsvektors und zu einer Wiederholung des Seed (s i ) 0 i 255 und des Schlüsselstroms (s) kam. Die Zahl 2 24 erwies sich für große WLANs als zu gering, d. h. key iv war bei großen WLANs bereits nach kurzer Zeit aufgebraucht. Zudem sahen die meisten Implementierungen vor, dass beim Restart einer WLAN-Komponente auch der Initialisierungsvektor wieder auf null gesetzt und bei jedem Wechsel des Initialisierungsvektors um 1 hochgezählt wurde. Trudy hatte also gute Chancen, WLAN-Frames abzufangen, deren zugehöriger Verschlüsselungsstrom vom gleichen Initialisierungsvektor herrührte. Schauen wir uns Trudys Vorgehen an: Trudy hat also herausgefunden, dass der Schlüsselstrom (s) und der Schlüsselstrom (z) aus dem gleichen Initialisierungsvektor hervorgegangen sind. Sie weiß, dass für die Nachrichten (n) und (m) und dem Chiffrestrom (cn) und (cm) gilt: cm i = m i XOR s index cn i = n i XOR z index mit s index = z index = : s!!! Es gilt also cm i = m i XOR s cn i = n i XOR s Trudy XORed die linken Seiten und die rechten Seiten der Gleichung und erhält cm i XOR cn i = (m i XOR s) XOR (n i XOR s) = m i XOR s XOR n i XOR s = m i XOR s XOR s XOR n i = m i XOR n i SNAP: Abk. Sub Network Access Protocol, gemäß Ethernet ein zusätzliches Datenfeld. Negotiations: hier: aushandeln. 548

14 WissenHeute Jg /2004 Trudy hat also folgende -Schlüsseltext-Beziehung: cm i XOR cn i = m i XOR n i. (*CRACK) Den Chiffrestrom cm i und cn i kann sich Trudy leicht mit einem Sniffer 20 besorgen. Kennt sie nun auch noch die nachricht m i, (z. B. wegen des verwendeten Protokolls), so kann sie sofort wegen (*CRACK) auf n i schließen. Hinweis: Man unterscheidet zwischen WEP40 und WEP128, wobei WEP128 suggeriert, man hätte einen 128 Bit langen Schlüssel; WEP128 benutzt jedoch wie WEP40 nur einen 24 Bit langen Initialisierungsvektor key iv. 20 Sniffer: hier: Ein Programm zum Mitlesen der Daten, die übertragen werden. Zudem bedeutet WEP128 nicht, dass darauf verzichtet wird, den Initialisierungsvektor einfach um 1 hoch zu zählen. Damit bedeutet WEP128 keine wesentliche Verbesserung, was obigen Angriff angeht. Im ersten Teil dieses Beitrages haben wir ein großes Problem der Kryptographie berührt: Auch ein gutes Verfahren, wie z. B. RC4, bietet keine Sicherheit, wenn seine Implementierung schwach ist. Nur durch Offenlegung der Sourcen und Design-Überlegungen werden Implementierungsschwächen rasch aufgedeckt. Der zweite Teil des Beitrages wird sich mit der asymmetrischen Verschlüsselung befassen. (He) Der Beitrag wird fortgesetzt. Literaturhinweise [1] Lipschutz, Seymore: Theory and Problems of Probability Theory, Schaum Outline, McCraw Hill. [2] Ansorge, Rainer, Oberle, Hans Joachim: Mathematik für Ingenieure, Akademie Verlag. [3] Klein, Peter, Klingenberg, Wilhelm: Lineare Algebra und Analytische Geometrie, BI Hochschultaschenbücher. [4] Gigler, Johann: Körper, Ringe, Gleichungen, Spectrum, Akademischer Verlag. [5] Wobst, Reinhard: Abenteuer Kryptologie, Addison Wesley. [6] Bauer, F. L.: Entzifferte Geheimnisse, Springer Verlag. [7] Tanenbaum, Andrew S.: Computer Networks, Prentice Hall. [8] FIPS: Specification for the Advanced Encryption Standard: Federal Information Processing Standards Publication, PUB 197. [9] Singh, Simon: The Code Book, Four Estate. [10] cypherpunks: mailing-list/list.html. [11] Fluhrer, Scott, Mantin, Itsik, Shamir, Addi: Weakness in the Key Scheduling Algorithm of RC4, August [11] (Ein umfassendes Literaturverzeichnis zum Thema wird in Teil 3 veröffentlicht.) 549