Diplomarbeit. Rada Kancheva Betreuer: Dr. B. Borchert Prof. K. Reinhardt

Transkript

1 Diplomarbeit Trojanersichere Fenster: Verschlüsselung und Entschlüsselung Rada Kancheva Betreuer: Dr. B. Borchert Prof. K. Reinhardt Theoretische Informatik Wilhelm-Schickard-Institut für Informatik Eberhard Karls Universität Tübingen

2 Kancheva, Rada Trojanersichere Fenster: Verschlüsselung und Entschlüsselung Diplomarbeit Fachbereich Theoretische Informatik Eberhard Karls Universität Tübingen Bearbeitungszeitraum bis

3 Selbständigkeitserklärung Ich, Rada Kancheva, versichere hiermit, dass ich diese Diplomarbeit mit dem Thema Trojanersichere Fenster: Verschlüsselung und Entschlüsselung selbständig verfasst und keine anderen als die angegebenen Quellen und Hilfsmittel genutzt habe. Die Arbeit wurde bisher keiner anderen Prüfungsbehörde vorgelegt und auch nicht veröffentlicht. Tübingen den Rada Kancheva

4

5 Danksagung Ich möchte all denen danken, die mich bei der Erstellung dieser Diplomarbeit unterstützt haben, sei es mit Rat und Tat oder durch moralischen Beistand. Ich danke Herrn Dr. Bernd Borchert und Herrn Prof. Klaus Reinhardt für die Ermöglichung und Betreuung dieser Arbeit. Weiterhin danke ich meinen Freunden, die stets ein offenes Ohr für mich hatten. Ein ganz besonderer Dank geht dabei an Anita, die nicht müde geworden ist meine Rechtschreibfehler zu korrigieren und mir während des Studiums immer zur Seite stand. Nicht zuletzt gilt mein tiefer Dank meinen Eltern, die mir das Studium erst ermöglicht haben.

6

7 Inhaltsverzeichnis Abbildungsverzeichnis...iii Tabellenverzeichnis... v Abkürzungsverzeichnis...vii 1. Einleitung Motivation Ziel der Arbeit Aufbau der Arbeit Grundlagen Kryptographie Klassische Kryptographie Transpositionschiffre Substitutionschiffre Monoalphabetische Substitution Polyalphabetische Substitution Moderne Kryptographie Symmetrische Verschlüsselung Advanced Encryption Standard Arbeitsweise Betriebsmodi Sicherheit Asymmetrische Verschlüsselung Rivest-Schamir-Adleman Arbeitsweise Sicherheit Informationssicherheit Bedrohungen im Netz Authentifizierung und Autorisierung Authentifizierung Autorisierung Verfahren zur sicheren Kommunikation Protokolle Anwendungen und Programme Digitale Bilder und Farbmodelle Farbmodelle RGB-Farbmodell CMY-Farbmodell Das HSB-Farbmodell i

8 Digitale Repräsentation von Bildern Grafikformate Das Trojanersichere-Fenster-Verfahren Das Prinzip Sicherheit Verwendung und Benutzerfreundlichkeit Implementierung Der Proxyserver Die Verschlüsselung Die Entschlüsselung Herausforderungen bei der Implementierung Analyse Allgemein Leistung auf Serverseite Leistung auf Clientseite Fazit Zusammenfassung Ausblick Literaturverzeichnis ii

9 Abbildungsverzeichnis Abbildung 2.1 Darstellung einer Skytale [19] 5 Abbildung 2.2 Symmetrische Verschlüsselung [51] 10 Abbildung 2.3 Ablauf der AES-Verschlüsselung [32] 13 Abbildung 2.4 Darstellung der Diffusion durch den S-Box [2] 14 Abbildung 2.5 Darstellung der Zeilenverschiebung [2] 14 Abbildung 2.6 Darstellung der Vermischung der Spalten[2] 14 Abbildung 2.7 Verschlüsselung mittels CBC Modus [49] 16 Abbildung 2.8 Ver- und Entschlüsselung mittels CFB Modus[34] 16 Abbildung 2.9 Funktionsweise von asymmetrischen Verschlüsselungsverfahren [22] 18 Abbildung 2.10 Cross Site Scripting Attack [11] 23 Abbildung 2.11 Challenge-Response-Authentifizierung [50] 27 Abbildung 2.12 RGB-Farbraum dargestellt anschaulich als Farbwürfel [31] 32 Abbildung 2.13 CMY-Farbmodell [1] 32 Abbildung 2.14 HSB-Farbmodell [13] 33 Abbildung 2.15 Darstellung der Verwendung von Look-Up-Table [30] 34 Abbildung 3.1 Darstellung des Prinzips vom Trojanersicheren-Fenster-Verfahren [7] 38 Abbildung 4.1 Schematische Darstellung der beiden Möglichkeiten zum Einbinden der XVSP [35] 39 Abbildung 4.2 Die Architektur des XVSP im Gesamtsystem des Trojanersicheren- Fenster-Verfahrens [35] 40 Abbildung 4.3 Prozenteinteilung der Webseiten entwickelt mit verschiedenen serverseitigen Programmiersprachen [45] 41 Abbildung 4.4 Schematische Darstellung der Erstellung einer Zeichenkette für die erste Zeile des Zufallsbildes 42 iii

10 Abbildung 4.5 Schematische Darstellung der Erstellung der weiteren Zeilen für das Zufallsbild 43 Abbildung 4.6 Beispiel für die XOR-Verschlüsselung 44 Abbildung 4.7 Positionierung der Zeilen mit Verwaltungsinformationen 45 Abbildung 4.8 Gesamtablauf der Verschlüsselung 46 Abbildung 4.9 Gesamtablauf der Entschlüsselung 48 Abbildung 4.10 Screenshot der verschlüsselte Serveranzeige 49 Abbildung 4.11 Das entschlüsselte Screenshot 49 Abbildung 5.1 Entwicklung der Bildschirmgrößen von 1999 bis 2012 [28] 51 Abbildung 5.2 Statistik der gängigen Bildschirmauflösungen im Januar 2012 [3] 52 Abbildung 5.3 Laufzeit für die Erstellung des Arrays in PHP 53 Abbildung 5.4 Laufzeit für die Erstellung des Zufallsbildes in PHP 54 Abbildung 5.5 Laufzeit für die Erstellung des Arrays in C 54 Abbildung 5.6 Laufzeit für die Erstellung des Zufallsbildes in C 55 iv

11 Tabellenverzeichnis Tabelle 1 Rundenanzahl bei verschiedenen Block- und Schlüssellängen 12 Tabelle 2 Positionierung der Informationen in der ersten Zeile des verschlüsselten Bildes 44 Tabelle 3 Überblick der Bildauflösung, Browserfenstergröße und Größe des Content Area [32] 52 v

12 vi

13 Abkürzungsverzeichnis AES ARP ASCII CAST CBC CFB COS CMY DAC DES DoS DSA ECB GIF GTK HSB HTTP HTTPS IDEA IP IV JPEG MAC OFB Advanced Encryption Standard Address Resolution Protocol American Standard Code for Information Interchange Carlisle Adams and Stafford Tavares Chiffren Cipher Block Chaining Modus Cipher Block Chaining Modus Chip Operating System Cyan- Magenta-Gelb-Farbmodell Discretionary Access Control Data Encryption Standard Denial of Service Digital Signatur Algorithm Electronic Codebook Modus Graphics Interchange Format GIMP Toolkit Hue-Saturation-Brightness Hypertext Transfer Protocol Hypertext Transfer Protocol Secure International Data Encryption Algorithm Internet Protokoll Initialisierungsvektor Joint Photographic Experts Group Mandatory Access Control Output Feedback Modus vii

14 PIN PGP PHP PNG RBAC RC RGB RSA SEAL SSH SSL TAN TCP TLS VNC XAMPP XOR XSS XVSP Personal Identification Number Pretty Good Privacy PHP: Hypertext Preprocessor Portable Network Graphics Role-based Access Control Rivest Cipher Rot-Grün-Blau-Farbmodell Rivest-Schamir-Adleman Verschlüsselung Software Encryption Algorithm Secure Shell Secure Socket Layer Transaction Authentication Number Transmission Control Protocol Transport Layer Security Virtual Network Computing X Apache, MySQL, PHP, Perl Exclusive OR Cross-Site Scripting X Virtual Screenshot Proxy viii

15 1. Einleitung 1.1. Motivation Die Internet-Nutzung ist fester Bestandteil im privaten und beruflichen Leben. Als Folge werden Alltagsaktivitäten verstärkt über das Internet ausgeübt. Für die Nutzung vieler, verschiedener Internet-Dienste wie z.b. , Internet-Telephonie, Online-Shopping oder Online-Banking, braucht man einen Internet-Account als Zugangsberechtigung, welcher verschiedene Benutzerdaten enthält. Üblicherweise muss sich der Anwender beim Einloggen durch die Angabe von Benutzername und Kennwort authentifizieren. Dieses sogenannte Passwort-Verfahren wird heutzutage bei den meisten Webanwendungen eingesetzt, bringt aber viele Gefahren mit sich. Aus Bequemlichkeiten nehmen viele Nutzer sehr schwache und kurze Passwörter oder nutzen ein und dasselbe Passwort für alle Accounts, welche sie besitzen. Eine der zahlreichen Möglichkeiten eines Angriffs ist die Beobachtung der Benutzeraktivität mittels eines Trojanervirus. Dieser lauscht die relevanten Tastenkobinationen ab und zeichnet so die Passwörter auf. Eine weitere Möglichkeit des kriminellen Eingriffs durch Trojaner bilden auch Man-in-the-Middle-Angriffe. Dabei schaltet sich der Angreifer zwischen die Bank und ihren Kunden und verändert den Datenaustausch, sodass Überweisungen umgeleitet werden können, ohne dass diese Einmischung weder der Bank noch dem Kunde auffällt. Es existieren mehrere Möglichkeiten, welche die Sicherheit der Kommunikation zwischen Server und Client erhöhen können: Durch Software zur Schädlingsbekämpfung können Angriffe rechtzeitig erkannt werden und im Idealfall auch verhindert werden. Mittels kryptographische Algorithmen können Authentifizierungen und Autorisierungen beglaubigt durchgeführt und auch geschützte Verbindungen aufgebaut werden. Besondere Aufmerksamkeit wird in dieser Zusammenheit dem Online-Banking geschenkt, da dessen Nutzung einen raschen Zuwachs erlebt und für Angreifer ein beliebtes Ziel geworden ist. Auch wenn die PIN/TAN-Verfahren und die neuere Version indizierte TAN (itan) keine genügende Sicherheit gegen spezifische Angriffe, beispielsweise Man-in the-middle- Angriffe, bieten, werden diese am häufigsten verwendet. Durch das Einbinden von weiteren externen Geräte wie beispielsweise mobilen TAN (mtan), elektronischen TAN (etan) und dem an der Universität Tübingen entwickelten ekaay-verfahren wird ein besserer Schutz erzielt. Trotzdem erfinden Betrüger immer wieder neue raffinierte Methoden, wodurch die Suche nach neuen sichereren Gegenmaßnahmen und Möglichkeiten erforderlich ist. An der Eberhart Karls Universität Tübingen wurde ein Verfahren entwickelt, welches eine sichere und komfortable Schutzmaßnahme gegen Trojanerangriffe bieten soll: Das Trojanersichere Fenster. Hierbei werden Daten vollständig oder teilweise als kodierte Bilddaten übermittelt. Dies findet beispielsweise im Bereich der medizinischen Aktenübertragung Anwendung. Diese Arbeit verwirklicht einen Teilbereich dieses neuen Verfahrens. 1

16 1.2. Ziel der Arbeit Das Ziel dieser Arbeit ist die verschlüsselte Übertragung eines PNG-Bildes von Server zu Client, sowie die anschließende Entschlüsselung. Die verwendeten PNG-Bilder entstammen Screenshots, welche mittels eines Proxy-Servers vom Inhalt des Browserfensters des Clients erstellt werden. Die Entwicklung des Proxy-Servers musste im Rahmen dieser Arbeit nicht durchgeführt werden, da diese bereits vorhanden war. Für die Durchführung waren folgende Schritte notwendig: Erstellung eines Zufallsbildes mittels des Advanced Encryption Standard. Die Entwicklung einer Software zur Verschlüsselung von PNG-Bilder auf Serverseite durch das erzeugte Zufallsbild in Kombination mit einer XOR-Verknüpfung. Übermittlung von Verwaltungsinformationen an den Client. Die Entwicklung einer Software zur Entschlüsselung eines PNG-Screenshots auf Clientseite. Die Verschlüsselung soll in einer Programmiersprache implementiert werden, die bei Servern verbreitet ist, beispielsweise PHP, Pyton, Perl. Da die Entschlüsselung auf einem externen Gerät stattfinden wird, soll die Software für die Entschlüsslung in einer maschinennahen Programmiersprache wie C oder C++ geschrieben werden. Für die Ver- und Entschlüsselung soll ein zufälliges Bild erzeugt werden, das pixelweise mit dem Originalbild bzw. dem kodierten Bild mittels XOR verknüpft wird. Dabei wird die Zufälligkeit mit Hilfe des Advanced Encryption Standard (AES) Verschlüsselungsverfahren erreicht. Damit der verschlüsselte Bereich für die Entschlüsselung schnell erkennbar und behandelbar wird, werden Verwaltungsinformationen auf Serverseite benötigt. Diese Verwaltungsinformationen werden aus Zeichenketten mit Hilfe der Rot-Grün-Blau-Farbraum (RGB- Farbraunm) in Pixelfarben umgewandelt und in der Form von drei zusätzlichen Zeilen am Anfang des verschlüsselten Bildes angebracht. Die Zeichen jeder Komponente werden in drei Gruppen aufgeteilt und werden anschließend mittels der 7-Bit-Zeichenkodierung nach dem American Standard Code for Information Interchange in entsprechenden sog. ASCII-Werte umgewandelt. Nach der Umwandlung werden diese Werte als Rot-, Grün-, Blauwerte eines Pixels wiedergegeben Aufbau der Arbeit In Kapitel 2 werden kryptographische Verfahren vorgestellt, die als Grundlagen für diese Arbeit dienten. Außerdem wird ein Überblick über die heute verwendeten Maßnahmen gegeben, die für die Internetsicherheit eine wichtige Rolle spielen. Es werden auch relevante Technologien für die Repräsentation und Speicherung von digitalen Bildern aufgelistet. Kapitel 3 enthält eine ausführlichere Beschreibung des Trojanersicheren-Fenster-Verfahrens. Die Implementierung und die Schritte der Durchführung werden in Kapitel 4 erläutert. Darauf folgt die Analyse der Performance der Entwicklungen und abschließend wird eine Zusammenfassung über die Arbeit gegeben. 2

17 2. Grundlagen In diesem Kapitel werden die Grundlagen erläutert, die für die Bearbeitung und das Verständnis dieser Arbeit erforderlich waren. Zunächst wird ein Überblick über die Entwicklung der Kryptographie und die unterschiedliche Verschlüsselungsverfahren gegeben. Weiterhin werden mögliche Bedrohungen und Präventivmaßnahmen aufgelistet und abschließend verschiedene Farbmodelle und die Repräsentation von digitalen Bilder vorgestellt Kryptographie Das Wort Kryptographie stammt aus den zwei altgriechischen Wörtern kryptós, verborgen, und gráphein, schreiben und wird als Definition für die Wissenschaft der Verschlüsselung von Informationen verwendet. Dabei handelt es sich um die Anwendung mathematischer Verfahren und die Entwicklung verschiedener Techniken und Algorithmen zur Ver- und Entschlüsselung. Diese werden so eingesetzt, dass der Schutz verschiedener, vertraulicher Daten ermöglicht wird. Damit die Sicherheit gewährleistet ist, hat die Kryptographie folgende Ziele: Vertraulichkeit: Die Daten bzw. Nachrichten sind für nur eine Person bestimmt und können ausschließlich durch diesen empfangen und gelesen werden. Integrität: Die übermittelten Informationen müssen unverändert ankommen und falls doch, soll diese Veränderung durch den Empfänger festgestellt werden können. Authentizität: Der Identität des Senders muss ermittelbar sein und der Empfänger muss die Möglichkeit haben, diese zu überprüfen. Verbindlichkeit: Der Urheber der Daten oder Botschaften darf nicht die Möglichkeit haben, seine Urheberschaft zu dementieren bzw. diese muss gegenüber Dritten nachweisbar sein. Die kryptographische Verfahren und Systeme müssen nicht unbedingt allen genannten Zielen erfüllen. Es werden verschiedene Kriterien abgewogen, um zu entscheiden welches Verfahren für das entsprechende Ziel am besten einzusetzen ist. [23] Grundbegriffe Klartext (Plaintext, Originaltext) ist der unverschlüsselte Text. Chiffretext (Ciphertext) ist das Ergebnis einer Verschlüsselung. Chiffrierung(Chiffre) ist ein Synonym für Verschlüsselung. Dechiffrierung ist ein Synonym für Entschlüsselung. Kryptoanalyse beschäftigt sich mit der Analyse von kryptographischen Verfahren mit dem Ziel, ihre Schutzfunktion aufzuheben zu umgehen und ihre Sicherheit nachzuweisen. 3

18 Klassische Kryptographie Bei der klassischen Kryptographie wurden keine elektronischen Rechner eingesetzt. Sie stellen die grundlegenden Ideen der Kryptographie dar und kommen auch heutzutage als Teil von modernisierten Verschlüsslungsverfahren zum Einsatz. Bei der klassischen Kodierung wurden immer vollständige Buchstaben oder Buchstabengruppen entweder ersetzt (Substitution) oder getauscht (Transposition). Diese Verfahren bilden ein wichtiges Fundament der Kryptographie Transpositionschiffre Werden in einer Botschaft die Zeichen vermischt, spricht man von einer Transposition. Das Verfahren bildet keine Kodierung im herkömmlichen Sinne, dennoch spielt sie eine wichtige Rolle in der Kryptographie. Eine Transpositionschiffre ordnet die Buchstaben des Originaltextes (Klartextes) neu an, um somit den verschlüsselten Text zu formen. Die Buchstaben werden jedoch nicht verändert. Die einfachste Transpositionschiffrierung besteht darin, die Buchstaben einer Nachricht gruppenweise mit Hilfe einer Permutation umzuordnen. Einfache Transpositionschiffre Zunächst wird eine Permutation, der sogenannte Schlüssel, definiert. Anschließend wird der Klartext in Gruppen von n Buchstaben aufgeteilt, wobei n die Anzahl der Zahlen der Permutation sind. [44] Zur Verdeutlichung im Folgenden ein Beispiel: Klartext: DIEEINFACHETRANSPOSITION! Schlüssel: Schlüssel E I I D E C F H N A Matrix A T N E R S P I S O N I T O X Chiffretext: EIIDECFHNAATNERSPISONITOX Krebs Die einfachste Verschlüsselung durch Vertauschen der Buchstaben des Klartextes besteht darin, den gesamten Text von rechts nach links entgegen der allgemeinen Schreibrichtung aufzuschreiben. Da dies an der Fortbewegungsart einiger Krebse erinnert, wird diese Chiffrierung auch als Krebs bezeichnet. Es existiert auch noch eine weitere Version dieses Verfahrens, der teilweise Krebs. Hierbei wird die Reihenfolge der Wörter des Klartextes im Geheimtext beibehalten und nur die Reihenfolge der Buchstaben innerhalb eines jeden Wortes umgedreht. [18] 4

19 Zur Verdeutlichung im Folgenden ein Beispiel: DER KLARTEXT WIRD JETZT VERSCHLUESSELT Verschlüsselung nach dem Krebs: TLESSEULHCSREVTZTEJDRIWTXETRALKRED und nach dem teilweisen Krebs: REDTXETRALKDRIWTZTEJTLESSEULHCSREV Skytale von Sparta Das Wort skytale ist altgriechisch und steht für Stab. Die Skytale war ein Zylinder mit festem Radius, auf den spiralförmig ein Pergamentband aufgewickelt wurde. Die Nachricht wurde dann der Länge nach auf das aufgewickelte Pergament geschrieben. Der Empfänger benötigte einen Holzstab mit dem gleichen Durchmesser, um das Band aufzurollen und danach die Nachricht lesen zu können. Der Durchmesser des Stabes ist somit der geheime Schlüssel bei diesem Verschlüsselungsverfahren. Die so erzeugten Geheimtexte wurden hauptsächlich zur militärischen Nachrichtenübermittelung verwendet. Die Skytaleverschlüsselung beruht darauf, dass man den Klartext in mehreren Zeilen aufschreibt und den Geheimtext erhält, indem man diesen Text dann noch einmal spaltenweise aufschreibt. [19], [25] Abbildung 2.1 Darstellung einer Skytale [19] Zur Verdeutlichung im Folgenden ein Beispiel: Aus der Nachricht HALLOWELT wird unter Verwendung einer Skytale des Umfangs U=3. Der Text wird verschlüsselt indem er in drei Spalten aufgeteilt wird. H A L L O W E L T Wenn nun jede Spalte von oben nach unten abgeschrieben wird, ergibt sich folgendes Ergebnis: HLEAOLLWT Nachteile der Transpositionschiffre Das Verschlüsseln mittels einer Transposition ist allerdings nicht sehr sicher, da es durch simples Ausprobieren (Brute Force Attack) in relativ kurzer Zeit geknackt werden kann. Im Fall vom Krebs existiert sogar kein Schlüssel, was die Sicherheit noch erheblich verringert. Trotzdem spielen Transpositionschiffren auch in modernen Algorithmen eine Rolle, indem sie beispielsweise zum nochmaligen Verschlüsseln bereits mit anderen Methoden verschlüsselter Texte eingesetzt werden. 5

20 Substitutionschiffre Die Substitutionschiffre ist ein einfaches Verschlüsselungsverfahren, welches die Zeichen eines Klartextes durch andere zugeordnete Geheimtextzeichen ersetzt. Je nach Verfahren kann die Substitution durch ein zugeordnetes Zeichen aus einer Chiffretabelle erfolgen oder es können abwechselnd mehrere Chiffretabellen für die Substitution verwendet werden. Es werden Substitutionszeichen entweder aus einem oder mehreren Alphabeten verwendet, wodurch die Substitutionschiffre in zwei Gruppen unterteil wird: [8], [25] Monoalphabetische Substitution Polyalphabetische Substitution Diese zwei Gruppen und Beispielverfahren beider werden im Folgenden vorgestellt Monoalphabetische Substitution Die monoalphabetische Substitution ordnet jedem Buchstaben eines festen Alphabets ein entsprechender Geheimbuchstabe aus demselben Alphabet zu. Dieser Geheimbuchstabe kann sich zum Beispiel aus einer Verschiebung des festgelegten Alphabets ergeben, oder aus einer Geheimschrift mit völlig anderen Symbolen beruhen. Im Gegensatz zu den Transpositionschiffren bleibt die Reihenfolge der Zeichen erhalten, jedoch werden die Zeichen selbst verändert. [8], [25] Cäsar Chiffrierung Eine einfache monoalphabetische Substitution ist die Cäsar Chiffrierung. Dieses Verfahren verschiebt die Zeichen des Klartextalphabets um eine bestimmte Anzahl von Stellen nach rechts oder links. Die Anzahl der verschobenen Stellen wird als Schlüssel festgelegt und bleibt über die komplette Verschlüsselung konstant. [27] Zur Verdeutlichung im Folgenden ein Beispiel: Schlüssel: vier Buchstaben nach links Klartextalphabet: A B C D E F G H I J K L M N O P Q R S T U V W X Y Z Geheimtextalphabet: E F G H I J K L M N O P Q R S T U V W X Y Z A B C D Die Chiffrierung erfolgt, indem jeder Klartextbuchstabe durch den darunter stehenden Geheimtextbuchstaben ausgetauscht wird. Klartext: CAESAR Geheimtext: GEIWEV Playfair Chiffrierung Bei dieser Verschlüsselungsmethode werden die Zeichen des Klartextes in Bigramme zusammengestellt, d.h. man bildet Gruppen aus jeweils zwei Symbolen. Hierbei ist die Substitution eines einzelnen Buchstaben von seinem Partner abhängig. Grundlage dieses Verfahrens ist eine Schlüsseltabelle, welche aus 25 Buchstaben des Alphabets gebildet wird (die Buchstaben I und J werden als ein einzelner Buchstabe angesehen). Diese 25 Buchstaben werden in einem 5x5 Quadrat angeordnet. Ein Schlüsselwort bestimmt deren Verteilung, indem sie in den ersten Feldern des Quadrates positioniert wird. Dabei wird doppeltes Vorkommen eines Buchstabens ignoriert. 6

21 Das Quadrat wird dann mit den restlichen Buchstaben des Alphabets in ihrer natürlichen Reihenfolge aufgefüllt, wobei die Buchstaben, die schon im Schlüsselwort vorkommen, nicht noch einmal eingetragen werden. [10] Bei der Verschlüsselung eines Bigrammes unterscheidet man nun zwischen drei Fällen: Beide Buchstaben befinden sich in derselben Zeile des 5x5 Quadrates Die beiden Buchstaben werden durch die beiden folgenden Buchstaben der Zeile ersetzt. Beide Buchstaben befinden sich in derselben Spalte des 5x5 Quadrates Die beiden Buchstaben werden durch die beiden unteren Buchstaben der Spalte ersetzt. Die Buchstaben liegen weder in derselben Zeile noch in derselben Spalte Man behält die Zeile des ersten Buchstaben des Buchstabenpaares und geht horizontal zu der Spalte des zweiten Buchstabens. Der Buchstabe, der sich dort befindet, wird zum ersten Ersetzungsbuchstaben des geheimen Buchstabenpaares. Analog wird auch der zweite Buchstabe verschlüsselt. Zur Verdeutlichung im Folgenden ein Beispiel: Schlüsselwort: KRYPTOGRAPHIE K R Y P T O G A H I E B C D F L M N Q S U V W X Z Klartext: GEHEIMTEXT=> GE HE IM TE XT Geheimtext: OB OD GS KF ZP Monoalphabethische Chiffrierungen können sehr einfach angewendet werden, somit jedoch sehr einfach das Geheimnis preisgeben. Da in jeder Sprache bestimmte Buchstaben oder Buchstabengruppen mehrmals vorkommen, ist es einem Angreifer möglich durch eine Häufigkeitsanalyse und/oder einer Mustersuche an den Klartext zu kommen Polyalphabetische Substitution Bei dieser Form der Textverschlüsselung werden für die Chiffrierung des Klartextes mehrere Geheimtextalphabeten verwendet bzw. ein Klartextbuchstabe wird nicht immer zum gleichen Geheimtextbuchstabe verschlüsselt. Somit wird die Häufigkeitsverteilung einzelner Buchstaben verschleiert. [25] Vigenère-Chiffre Die Vigenère-Chiffre stammt aus dem 16. Jahrhundert und galt lange Zeit als nicht zu knacken. Erst um 1850 konnte sie entziffert werden. Für eine Vigenère-Verschlüsselung benötigt man ein Schlüsselwort und das sogenannte Vigenère-Quadrat. Das Schlüsselwort kann jede beliebige Buchstabenfolge sein. Ist die Länge der Nachricht kürzer als das Alphabet, wird es wiederholt aneinander angehängt. 7

22 Das Quadrat setzt sich aus 26 Alphabeten zusammen. In der erste Zeile wird die Alphabet in natürliche Reihenfolge abgelegt, die zweite Zeile enthält das um 1 Stelle verschobene, die dritte das um 3 Stellen verschobene Alphabet und so weiter. Beim Chiffrieren wird jeder Klartextbuchstabe mit Hilfe des darüber stehenden Schlüsselwortbuchstaben kodiert und zwar bestimmt der Schlüsselwortbuchstabe das zu verwendende Geheimtextalphabet. Um den einen Klartextbuchstaben zu verschlüsseln, muss man in der Spalte dieser Buchstabe bleiben und die Zeile des Vigenère-Quadrates verwenden, die zum ersten Schlüsselbuchstaben gehört. [6], [10] A B C D E F G H I J K L M N O P Q R S T U V W X Y Z B C D E F G H I J K L M N O P Q R S T U V W X Y Z A C D E F G H I J K L M N O P Q R S T U V W X Y Z A B D E F G H I J K L M N O P Q R S T U V W X Y Z A B C E F G H I J K L M N O P Q R S T U V W X Y Z A B C D F G H I J K L M N O P Q R S T U V W X Y Z A B C D E G H I J K L M N O P Q R S T U V W X Y Z A B C D E F H I J K L M N O P Q R S T U V W X Y Z A B C D E F G I J K L M N O P Q R S T U V W X Y Z A B C D E F G H J K L M N O P Q R S T U V W X Y Z A B C D E F G H I K L M N O P Q R S T U V W X Y Z A B C D E F G H I J L M N O P Q R S T U V W X Y Z A B C D E F G H I J K M N O P Q R S T U V W X Y Z A B C D E F G H I J K L N O P Q R S T U V W X Y Z A B C D E F G H I J K L M O P Q R S T U V W X Y Z A B C D E F G H I J K L M N P Q R S T U V W X Y Z A B C D E F G H I J K L M N O Q R S T U V W X Y Z A B C D E F G H I J K L M N O P R S T U V W X Y Z A B C D E F G H I J K L M N O P Q S T U V W X Y Z A B C D E F G H I J K L M N O P Q R T U V W X Y Z A B C D E F G H I J K L M N O P Q R S U V W X Y Z A B C D E F G H I J K L M N O P Q R S T V W X Y Z A B C D E F G H I J K L M N O P Q R S T U W X Y Z A B C D E F G H I J K L M N O P Q R S T U V X Y Z A B C D E F G H I J K L M N O P Q R S T U V W Y Z A B C D E F G H I J K L M N O P Q R S T U V W X Z A B C D E F G H I J K L M N O P Q R S T U V W X Y Zur Verdeutlichung im Folgenden ein Beispiel: Schlüsselwort: A K E YAK E Y A K Klartext: Geheimtext: One-Time-Pad G E H E I M T E X T G O L C I W X C X D One Time Pad, aus dem Englischen übersetzt Einmalblock, ist das einzige kryptographische Verfahren, welches theoretisch wirklich sicher ist. Solange der Schlüssel genau so lang wie der Klartext ist, streng zufällig gewählt wird und jeder Schlüssel genau einmal verwendet wird, ist die Chiffrierung nicht brechbar. Aber genau hier liegt auch die Schwäche dieses Verfahrens, da diese drei Voraussetzungen in der Praxis schwer erfüllt werden können. Bei der Verschlüsselung wird jedes Klartextzeichen mit einem Zeichen aus dem One Time Pad verschlüsselt. Schlüsselbuchstaben werden über einen sicheren Verbindung genau einmal und nur in einer einzigen Nachricht verwendet. Die Ver- und Entschlüsselung selber wird durch eine umkehrbare Verknüpfung (Modulo, XOR-Verknüpfung ) zwischen Geheimtext und Schlüsselbuchstabe durchgeführt, wobei die Zeichen als Zahlen dargestellt werden (A = 1, B = 2,..., Y = 25, Z = 0). [43] 8

23 Zur Verdeutlichung im Folgenden ein Beispiel: Klartext: HALLOWELT Schlüssel: MOTXRNEFI (H + M) mod 26 = ( ) mod 26 = 21 = U (A + O) mod 26 = ( ) mod 26 = 16 = P (L + T) mod 26 = ( ) mod 26 = 6 = F (L + X) mod 26 = ( ) mod 26 = 10 = J (O + R) mod 26 = ( ) mod 26 = 7 = G (W + N) mod 26 = ( ) mod 26 = 11 = K (E + E) mod 26 = ( 5 + 5) mod 26 = 10 = J (L + F) mod 26 = (12 + 6) mod 26 = 18 = R (T + I) mod 26 = (20 + 9) mod 26 = 3 = C Geheimtext : UPFJGKJRC Vergleich monoalphabetischer und polyalphabetischer Substitution Die polyalphabetische Substitution gibt eine höhere Sicherheit als monoalphabetische, da ein Schlüsselwort beliebig gewählt werden kann. Dadurch, dass die Klartextsymbole nicht immer durch die gleichen Geheimsymbole verschlüsselt werden, wird zusätzlich die Häufigkeitsanalyse für einen Angreifer nur beschränkt möglich. Obwohl die Analyse in der Aufwendigkeit zunimmt, können auch polyalphabetische Verfahren entziffert werden. Ein genügend langer Schlüsseltext weist viele statistisch erfassbare Regelmäßigkeiten auf, welche Hinweise auf den benützten Schlüssel liefern. [36] Moderne Kryptographie Die bisher besprochenen klassischen Verschlüsselungsalgorithmen werden wegen der beschriebenen Unsicherheiten nur noch in Form von Varianten oder als Ergänzung zu modernen Kodierungsverfahren verwendet. Als die ersten Computer vorhanden waren, erkannte man, dass die bisher angewandten Methoden keine ausreichende Sicherheit mehr boten. Die Notwendigkeit computergestützten, komplexeren Verfahren führte zu neuen Entwicklungen, welche nicht mit ganzen Buchstaben, sondern mit einzelnen Bits der zu verschlüsselnden Daten, arbeiten. Dies erhöht die Anzahl der möglichen Transformationen und es ist möglich Daten zu kodieren, die verschiedene Inhalte und nicht nur Text umfassen. Die Verschlüsselungsverfahren der modernen Zeit lassen sich nach Art der Chiffrierschlüssel in zwei Klassen einteilen: symmetrisch und asymmetrisch. Diese werden in folgenden Abschnitt erläutert. [8] 9

24 Symmetrische Verschlüsselung Bei symmetrischen Verfahren werden für die Ver- und Entschlüsselung entweder denselben geheimen Schlüssel, oder zwei verschiedene Schlüssel verwendet, die aber in einer einfachen funktionalen Beziehung stehen. Dabei ist nicht nur die Komplexität des verwendeten Algorithmus von großer Bedeutung, sondern das sichere und schnelle Austauschen zwischen der Kommunikationspartner und die Aufbewahrung des geheimen Schlüssels. [27] Abbildung 2.2 Symmetrische Verschlüsselung [51] Wie die Abbildung zeigt, muss der Schlüssel vor Beginn der eigentliche Kommunikation unbedingt über eine sichere Verbindung zwischen Sender und Empfänger übergeben werden, oder mittels eines dritten Kommunikationspartners an den Teilnehmer verteilt werden. Symmetrische Algorithmen werden in Blockschiffre und Stromchiffre unterteilt. Bei einer Blockchiffre wird die Nachricht in Datenblöcke fester Länge zerlegt. Die Blockgröße darf nicht zu klein sein, um statistische Analysen zu verhindern. Blockchiffre-Verfahren arbeiten bei der Kodierung mit mehreren Runden, die mehrfach durchlaufen werden. Dadurch wird höhere Diffusion erzeugt und besseren Schutz gegenüber unerlaubtem Dekodieren gewährleistet. Im Gegensatz dazu wird der Klartext bei der Stromchiffre Bit für Bit mit Hilfe eines Schlüssels nach einem bestimmten Algorithmus verschlüsselt. Die Zeichenfolge des Schlüssels wird durch einen Pseudozufallszahlengenerator erzeugt. Da der Stromchiffre bitweise arbeitet und jedes Klartextzeichen sofort in ein Chiffretextzeichen umgewandelt wird, werden Stromchiffren besonders bei Echtzeitübertragungen eingesetzt. Es existieren mehrere Algorithmen für symmetrische Verschlüsselung. Im Folgenden werden die gängigsten kurz erläutert:[8], [25], [27] Data Encryption Standard (DES) ist der erste bedeutende kryptographische Standard. Aus den 64 Bit großen Blöcken des Klartextes erzeugt dieser symmetrische Algorithmus 64 Bit große Chiffriertexte. Der dazu verwendete Schlüssel ist ebenfalls 64 Bit lang, allerdings ist jedes achte Bit ein Prüfbit, auch Paritätsbit genannt, so dass nur 56 Bit zur Ver- und Entschlüsselung benutzt werden. Durch die Kombination von Permutationen und Substitutionen wird eine höhere Sicherheit erreicht. Heute gilt DES aufgrund seiner kurzen Schlüssellänge als unsicher.[8] 10

25 Triple-DES ist eine Weiterentwicklung des DES-Verfahrens. Dieses Verfahren ist dreimal langsamer als sein Vorgänger, aber dafür sicherer. Es werden drei DES- Verschlüsselungsläufe hintereinander angewandt mit zwei bzw. drei verschiedenen Schlüsseln.[36] International Data Encryption Algorithm (IDEA) ist ein Blockverschlüsselungsverfahren, bei welchem der Klartext in 64 Bit große Blöcke unterteilt und der Schlüssel in Teilstücke zu je 16 Bit zerlegt wird. Die Verschlüsselung geschieht durch Kombination von XOR-Verknüpfung, Multiplikation und Modulo-Rechnung, was ein hohes Maß an Sicherheit bieten soll.[36] Blowfish ein Blockverschlüsselungsverfahren, dass hauptsächlich für Anwendungen verwendet wird, bei denen der Schlüssel selten geändert wird, beispielsweise das Verschlüsseln von Dateien. Blowfish ist sehr effizient und arbeitet mit XOR- Verknüpfungen und Additionen 32-Bit-Wörtern. Es ist schneller als DES und IDEA, verwendet jedoch eine Blockgröße von 64 Bit.[36] Twofish nutzt einen einzelnen Schlüssel mit einer Länge von bis zu 256 Bits und gilt als sehr effizient für Software, die auf kleineren Prozessoren läuft, wie beispielsweise bei Smartcards der Fall ist. Bei diesen Verfahren werden 16 Verschlüsselungsrunden auf einen Klartext mit 64-Bit Blockgröße durchgeführt.[26] Carlisle Adams and Stafford Tavares Chiffren (CAST-128 und CAST-256) arbeiten mit 64 Bit Blocklänge und einer Schlüssellänge von 40 bis 256 Bit. Diese Chiffrierung ist bis heute nicht entziffert worden. CAST arbeitet sehr schnell und unterliegt keinem Patentschutz.[36] Rivest Cipher (RC2 bis RC6) wendet eine variable Schlüssellänge. RC2, RC4 und RC6 sind Blockchiffren und arbeiten auf Datenblöcke verschiedene Länge (von 64 bis 128 je nach Version).RC4 dagegen ist ein Stromschiffre und wird bei Protokolle wie Secure Sockets Layer(SSL) eingesetzt. [36] Software Encryption Algorithm (SEAL) eine Stromverschlüsselung, mit einer Schlüssellänge von 160 Bit. Diese Methode besitzt einen sehr schnellen Verschlüsselungsalgorithmus, fördert aber viel Speicherplatz. [16] Advanced Encryption Standard (AES) ist einer der meist verwendeten symmetrischen Algorithmen. Diese wurde auch für die Fertigung des Zufallsbildes bei dieser Diplomarbeit in Gebrauch genommen und im Folgenden ausführlicher vorgestellt Advanced Encryption Standard Im Oktober 2000 hat der von Joan Daemen und Vincent Rijmen entworfene Algorithmus als Advanced Encryption Standard (AES) die Nachfolge des DES angetreten. Im Gegensatz zu DES war die Auswahl von AES öffentlich und jeder konnte sein Verschlüsselungsvorschlag präsentieren und somit am Test der Algorithmen teilnehmen. Die NIST suchte den besten Algorithmus zum Schutz gegen Brute-Force-Attack aus, der folgende Kriterien erfüllen sollte: Sicherheit war das wichtigste Auswahlkriterium. Der neue Algorithmus sollte gegen die bekannten Angriffsmöglichkeiten Stand halten. Er wurde deswegen eingehenden kryptoanalytischen Prüfungen unterzogen und hat keine Schwächen gezeigt. 11

26 Die Kosten der Ressourcen (z.b. Speicherverbrauch) für die Implementierung und die Zeit für das Ver- und Entschlüsseln sollten niedrig gehalten werden. Außerdem sollte der Algorithmus vollkommen (kosten-) frei verwendbar sein d.h. frei von Patent- oder anderen Anschprüchen der Entwickler. Die Eigenschaften der Implementierung wurden bereits bei den Auswahlkriterien angesprochen. Der Algorithmus sollte sowohl in Hardware als auch in Software mit geringst möglichen Mitteln umgesetzt werden können, also platformunabhängig gestaltet sein. Die Schlüssellänge sollte zwischen 128, 192 und 256 Bit bei einer Blockgröße von 128 Bit gewählt werden und das Verfahren sollte einfach und verständlich sein. Rinjndael ist ein symmetrischer Blockverschlüsselungsalgorithmus mit variabler Block- und Schlüssellänge. Er kann Blöck- und Schlüssellänge von 128, 192 und 256 Bit verarbeiten, wobei alle Kombinationen von Block- und Schlüssellänge anwendbar sind. Die Klartextblöcke werden in mehrere Runden behandelt. Die Anzahl der Runden hängt von der Block- und Schlüssellänge ab. Tabelle 1 stellt die Länge des Schlüssels der Länge des Datenblockes gegenüber und gibt für jede Kombination die Anzahl der Runden an, wobei für AES nur die zweite Spalte von Bedeutung ist, da er mit einer Blockgröße von 128 Bit agiert. [8], [25], [27] Block = 128 Bit Block = 192 Bit Block = 256 Bit Schlüssel = 128 Bit Runden=10 Runden=12 Runden=14 Schlüssel = 192 Bit Runden=12 Runden=12 Runden=14 Schlüssel = 256 Bit Runden=14 Runden=14 Runden=14 Tabelle 1 Rundenanzahl bei verschiedenen Block- und Schlüssellängen Die Struktur von AES basiert auf der Designprinzip der Substitutions-Permutations- Netzwerk, in dem die Substitution Konfusion und die Permutation Diffusion bewirken. Zum Schluss werden die Schlüssel addiert Arbeitsweise Die Ver- und Entschlüsselung des Algorithmus wird mit Hilfe mehrere verschiedener Funktionen realisiert. Bei der Chiffrierung werden folgende Schritte durchgeführt: Schlüsselexpansion. Vorrunde mit Schlüsseladdition (AddRoundKey). Verschlüsselungsrunden, die sich aus SubBytes(), ShiftRows(), MixColumns() und AddRoundKey() zusammensetzen. Schlussrunde bestehend aus SubBytes(), ShiftRows() und AddRoundKey() Die Dechiffrierung verläuft in umgekehrter Richtung, wobei es keinen Unterschied macht, ob ShiftRows() der Bytes vor oder nach SubBytes() stattfindet, da diese Funktion auf jedes Byte einzeln angewendet wird. Die Arbeitsweise jeder Funktion wird hier einzeln behandelt und erläutert. Der Ablauf der AES-Verschlüsselung wird in Abbildung 2.3 schematisch dargestellt. [8], [25], [27] 12

27 Abbildung 2.3 Ablauf der AES-Verschlüsselung [32] Schlüsselexpansion Zu Beginn der Kodierung wird für jede Runde ein Rundenschlüssel mit gleicher Länge wie die zu behandelnden Blöcke erzeugt. Da sowohl der Schlüssel als auch der Datenblock verschiedene, voneinander unabhängige Längen aufweisen kann, wird die gewünschte Länge durch Expansion der geheimen Schlüssel des Anwenders angefertigt. Dabei wird die Schlüssellänge auf (Runden + 1) * Daten-Blockgröße erweitert, da vor der ersten und nach jeder Runde einmal ein Teil-Schlüssel der Länge des Datenblockes benötigt wird. Die hinzugefügten Bytes werden durch ein reproduzierbares mathematisches Verfahren erzeugt, welches sich aus Rotation, Permutation und XOR-Verknüpfung zusammensetzt und recht unvorhersagbare vom Schlüssel abhängige Werte liefert. Dieses Verfahren kann mit einem Pseudo-Zufallszahlen-Generator verglichen werden. Derselbe Startwert führt immer zu derselben Zahlenfolge, welche aber möglichst willkürlich ausfallen soll. [8], [27] Schlüsseladdition Im zweiten Schritt wird Bitweise der Datenblock und der aktuelle Rundenschlüssel mittels XOR verknüpft. Diese KeyAddition wird in der Vorrunde und am Ende jeder folgenden Verschlüsselungsrunde angewendet. In AES ist dies die einzige Funktion, welche den Algorithmus von dem Anwenderschlüssel abhängig macht. [8], [27] Verschlüsselungsrunde Im ersten Schritt jeder Verschlüsselungsrunde (SubBytes()) wird jedem einzelnen Byte des Blocks ein neuer Wert aus der so genannten S-Box zugewiesen. Dabei wird eine nichtlineare Substitutionsoperation durchgeführt und somit Konfusion erricht. Somit handelt es sich um eine monoalphabetische Verschlüsselung. [8], [27] 13

28 Abbildung 2.4 Darstellung der Diffusion durch den S-Box [2] Die Funktion ShiftRows() wendet ein Permutationsverfahren auf den Datenblock an. Dieser liegt in Form einer zweidimensionalen Tabelle vor und wird zeilenweise betrachtet. Bis auf die oberste wird jede Zeile um eine bestimmte Anzahl an Spalten beim Kodieren nach links bzw. beim Dekodieren nach rechts verschoben. Die Weite der Verschiebung hängt von der Blockgröße und der Zeile ab. [8], [27] Abbildung 2.5 Darstellung der Zeilenverschiebung [2] Anschließend werden durch MixColumns() die Spalten der Tabelle vermischt. Diese Umwandlung wird durch eine Matrix-Vektor-Multiplikation bestimmt d.h. jede Zelle einer Spalte wird einer Multiplikation mit einer konstanten Matrix unterzogen. Um die einzelnen Produkte der Matrixmultiplikation zu berechnen, wird jedes Byte als Polynom dargestellt und danach modulo (x 8 + x 4 + x 3 + x + 1), des sog. Galois-Körpers, miteinander multipliziert. Anschließend werden die sich daraus ergebenden Werte mittels XOR verknüpft. [8], [27] Abbildung 2.6 Darstellung der Vermischung der Spalten[2] 14

29 Schlussrunde In der Schlussphase werden die Funktionen SubBytes(), ShiftRows() und AddRoundKey() durchlaufen. Diese werden analog zur vorher beschriebenen Methode angewandt Betriebsmodi Da Blockchiffren ein und denselben Klartextblock bei Verwendung des gleichen Schlüssels immer in den gleichen Chiffretextblock überführen, kann ein Angreifer Replay-Angriffe durchführen, indem er chiffrierte Nachrichtenblöcke aufzeichnet und diese später in einer anderen Übertragung verwendet. Ein passiver Angreifer kann Wiederholungen von Blöcken erkennen und daraus möglicherweise Schlussfolgerungen ziehen, ohne den Chiffretext direkt entziffern zu können. Um die angesprochenen und andere Schwächen zu beseitigen und um symmetrische Chiffren zu verschiedene Zwecken einsetzen zu können (z.b. zur Integritätssicherung), gibt es verschiedene Arten und Weisen, wie ein kryptographischer Algorithmus eingesetzt werden kann, die auch bei AES ausgeübt werden. Dabei wird vordefiniert, wie die Verschlüsselung der Klartextblöcke durchgeführt wird. [8], [25], [27] Electronic Codebook (ECB) Beim Electronic Codebook Modus (ECB) wird ein Block fester Länge dem Algorithmus zur Ver- oder Entschlüsselung übergeben. Der Name rührt daher, dass für diesen Betriebsmodus ein Codebuch angelegt werden kann, bzw. eine Tabelle, die zu jedem Block den entsprechenden verschlüsselten Block enthält. ECB ist der einfachste, effizienteste und zugleich unsicherste Modus, denn gleiche Klartextblöcke werden auch immer auf gleiche Chiffreblöcke abgebildet. Wenn man eine einfache Grafik damit kodiert, die aus ein paar schwarze Linien auf weißem Hintergrund besteht, und dabei 0 (Bit) für Weiß und 1 (Bit) für Schwarz steht, erhält man sehr viele Blöcke mit 0. Alle Geheimtextblöcke die dann anders sind, enthalten mindestens eine 1. Dadurch könnte man die Zeichnung bis auf eine kleine Abweichung rekonstruieren, ohne den Schlüssel zu kennen. Aus diesem Grund wird ECB selten angewendet. [8], [25], [27] Cipher Block Chaining (CBC) Um das Problem von ECB entgegenzuwirken, nutzt der Cipher Block Chaining Modus (CBC) eine Rückkopplung, d.h. die Chiffre des vorigen Blocks wird in die Verschlüsselung des aktuellen Blocks miteinbezogen. Damit hängt jeder Chiffretextblock von den vorigen Chiffretextblöcken ab und gleiche Klartextblöcke ergeben unterschiedliche Geheimtexte und Wiederholungen können nicht mehr erkannt werden. Die Verknüpfung der Chiffretextblöcke mit dem aktuell zu verschlüsselnden Block wird durch XOR erreicht. Zufallsdaten werden zur Verschlüsselung des ersten Blocks benutzt, um gleiche Blöcke nicht immer in gleiche Chiffreblöcke zu kodieren. Einen solchen Zufallsdatenblock wird Initialisierungsvektor (IV) oder Initialisierungsvariable genannt. Bei dem Einsatz von IV ist darauf zu achten, dass für jede Übertragung ein anderer IV verwendet wird, um bei jeder Verschlüsselung eine andere Blockverschlüsselung zu gewinnen. Leider besteht bei der CBC die Möglichkeit, dass der letzte Block manipuliert wird, da er nicht mehr für eine weitere Kodierung nötig ist. [8], [25], [27] 15

30 Abbildung 2.7 Verschlüsselung mittels CBC Modus [49] Cipher Feedback (CFB) Eine Blockchiffre kann durch den Cipher Feedback Modus (CFB) auch als selbstsynchronisierende Stromchiffre verwendet werden. Im Gegensatz zu CBC-Modus, wo die Verschlüsselung erst dann beginnen kann, wenn ein vollständiger Datenblock vorliegt, können beim CFB Datenmengen verschlüsselt werden, die kleiner als die eigentliche Blockgröße sind. Hierfür kommt ein Puffer zum Einsatz, der die gleiche Größe wie ein Block der Blockchiffre hat und zu Beginn einen Initialisierungsvektor enthält. Ebenso wie der CBC- Modus verknüpft CFB Klartextzeichen, so dass der Chiffretext vom vorhergehenden Klartext abhängt. [8], [25], [27] Abbildung 2.8 Ver- und Entschlüsselung mittels CFB Modus[34] Output Feedback (OFB) Der Output Feedback Modus (OFB) ist eine Methode zum Betrieb einer Blockchiffrierung als synchrone Stromchiffrierung. Er ähnelt dem CFB-Modus, da er eine XOR-Verknüpfung zweier Textblöcke mit anschließender Chiffrierung darstellt. Beim OFB-Verfahren werden nicht die Schlüsseltextvariablen, sondern der Ausgang der Verschlüsselungsoperation als Eingang für die nächste Verschlüsselungsoperation verwendet. Der komplette Outputblock wird als nächster Inputblock verwendet. Im OFB-Modus ergibt gleicher Klartext gleichen Schlüsseltext, falls derselbe Schlüssel und derselbe Initialisierungsvektor benutzt werden. [8], [25], [27] 16

31 Sicherheit Wie bei allen kryptographischen Verfahren, kann die Sicherheit nicht nachgewiesen werden. Man kann nur prüfen, ob die bisher bekannten Angriffsmethoden scheitern. Bei AES wurden solche Tests durchgeführt, so dass ein Angriff mit allen herkömmlichen Verfahren nicht effizienter als der Brute-Force-Angriff ist. Mit einer Schlüssellänge von 128 Bit erhält man ein Schlüsselraum von 3,4* Durch die Verknüpfung mit dem Rundenschlüssel der ersten Runde erzielt man eine Wirkung auf jedes Bit der Rundenergebnisse und somit gibt es keine Phase der Verschlüsselung, in der das Ergebnis nicht vom Schlüssel abhängig ist. Die S-Box Substitution sorgt für Schutz vor differentieller und linearer Kryptoanalyse und die Funktionen Shiftrow() und MixColumns() sorgen für eine optimale Durchmischung der Bits eines Blocks. [8], [25], [27] Es existieren natürlich auch Schwachstellen. Hauptkritikpunkt ist, dass sich Teile des Algorithmus sehr leicht in mathematischen Formeln darstellen lassen, wodurch jedoch Einfachheit und Effizienz erzielt wird. Als weitere Schwachstelle gilt die einfache und offene Beschreibung der S-Boxen, wodurch der gesamte Algorithmus als Gleichungssystem dargestellt werden kann. Der Algorithmus kann in einem Formelsystem beschrieben werden, daraus lässt sich aber nicht schließen, wie schnell diese Gleichungen gelöst werden können. AES gilt immer noch als sicher, da viele der Abschätzungen des Arbeitsaufwands auf Vermutungen basieren und sehr viele Rechenschritte erfordern. [8], [25], [27] Im Allgemein kann man behaupten das die hohe Geschwindigkeit und leichte Implementierung zu den Vorteilen von symmetrischen Algorithmen zählen. Durch die Anwendung von einfachen Methoden wie Permutation, Substitution und Transposition und kleinen Schlüssellängen kann eine hohe Sicherheit erreicht werden. Die Ausführung der Verund Entschlüsselung benötigt vergleichsweise wenig Zeit und geringen Speicherplatzbedarf, was die Effizienz steigert. Die einzige Einschränkung bleibt das Schlüsselmanagement. Die Kommunikation zwischen Sender und Empfänger kann nur dann erfolgen, wenn zuvor ein Schlüsselaustausch über eine sichere Verbindung stattgefunden hat. Eine Lösung kann die Einrichtung eines zentralen Schlüsselservers darstellen, was mit weiteren Problemen und Angriffsmöglichkeiten verbunden ist. Ein Verzicht auf den Schlüsselaustausch wäre dazu die Lösung Asymmetrische Verschlüsselung Im Gegensatz zu symmetrischen Verfahren, bei welchen derselbe Schlüssel für die Ver- und Entschlüsselung verwendet wird, benötigt man bei asymmetrischen Algorithmen für beide Vorgänge verschiedene Schlüssel, die praktisch nicht voneinander hergeleitet werden können. Jeder Kommunikationspartner verfügt über einen geheimen bzw. privaten (private key) und einen öffentlichen Schlüssel (public key). Da ein allgemein zugänglicher Schlüssel in Gebrauch kommt, wird dieses Verfahren auch Public-Key-Kryptoverfahren genannt. [8], [25], [36] Mit dem öffentlichen Schlüssel werden Daten verschlüsselt und mit dem zugehörigen privaten Schlüssel werden Daten entschlüsselt. Somit ist der Besitzer des geheimen Schlüssels als Einziger in der Lage, die Nachricht zu entziffern und zu lesen. 17

32 Abbildung 2.9 Funktionsweise von asymmetrischen Verschlüsselungsverfahren [22] Da jeder potentieller Sender Zugriff auf die öffentlichen Schlüssel hat, ist es nicht möglich den Absender zu authentifizieren. Ferner ist nicht gewährleistet, dass der Nachrichteninhalt unverändert ist. Asymmetrische Verfahren bieten jedoch eine Zusatzfunktion, bei der mit Hilfe der privaten Schlüssel eine Prüfsumme der Nachricht erstellt werden kann. Hierbei spricht man vom Signieren einer Nachricht. Zur Prüfung der Signatur verwendet der Empfänger den öffentlichen Schlüssel des Senders und entschlüsselt die Signatur der Nachricht. Er erhält eine Prüfsumme, die mit der berechneten Prüfsumme der empfangenen Nachricht verglichen wird. Sind die Prüfsummen identisch, so ist gewährleistet, dass die Nachricht und der Absender unverändert und echt sind. Diese Zusatzfunktionalität ist auch der Grund weshalb asymmetrische Verfahren hauptsächlich für digitale Signaturen eingesetzt werden. Da asymmetrische Verschlüsselungsverfahren sehr langsam sind, sind sie für große Datenmengen ungeeignet. Deswegen wird zur eigentlichen Verschlüsselung der Nachricht ein symmetrisches Verfahren verwendet. Dieser Vorgang wird als Hybride-Verschlüsselung bezeichnet. Sie verbindet sowohl die Vorteile von symmetrischen als auch von asymmetrischen Verfahren. Asymmetrische Verfahren kommen unter anderem bei der Verschlüsselung, Authentifizierung und Sicherung der Integrität, zum Beispiel beim - Verkehr oder kryptographischen Protokollen wie Secure Shell (SSH) zum Einsatz. [8], [36] Beispiele für Verschlüsselungssysteme mit öffentlichen Schlüsseln sind: McEliece ist eines der ersten asymmetrischen Public-Key-Verfahren. Dieser Algorithmus knüpft an fehlerkorrigierende Codes an und versteckt absichtlich Fehler im Geheimtext, um damit die Entschlüsselung zu hindern. Die Ver- und Entschlüsselung sind sehr schnell und mit längeren Schlüsseln erzielt man eine hohe Sicherheit. [26] ElGamal zeichnet sich durch eine hohe Sicherheit aus und wird über diskrete Logarithmen berechnet. Bei diesem Verfahren wählt der Eigentümer des Schlüsselpaares eine Primzahl und zwei Zufallszahlen aus, die kleiner sein müssen als die Primzahl. Aus diesen drei Zahlen wird der öffentliche Schlüssel berechnet und der private Schlüssel ist eine der Zufallszahlen.[25], [36] Digital Signatur Algorithm (DSA) ist eine Weiterentwicklung des ElGamal- Algorithmus. Da die Rechenleistung zur Entschlüsselung des Algorithmus extrem hoch ist, geht man davon aus, dass der DSA-Algorithmus sicher ist.[36] Rivest-Schamir-Adleman Verschlüsselung (RSA) ist die bekannteste und am besten untersuchte asymmetrische Verschlüsselung. Der RSA Verschlüsslungsalgorithmus hat sich als eine der sichersten Methoden durchgesetzt. Deshalb wurde er für die Ziele in diese Diplomarbeit eingesetzt und wird genauer beschrieben. 18