Kryptographische Verfahren

Transkript

1 Kryptographische Verfahren Manfred Kufleitner Institut für Formale Methoden der Informatik Abteilung Theoretische Informatik Universität Stuttgart 6. April 2016

2 Kryptographische Systeme Definition Symmetrisches kryptographisches System definiert durch endliche Mengen P von möglichen Klartexten C von möglichen Geheimtexten K von möglichen Schlüsseln und jeden Schlüssel k K Funktionen wie folgt Codierungsfunktion Decodierungsfunktion c k : P C d k : C P Weiterhin muss gelten d k (c k (x)) = x für jedes x P.

3 Das Szenario Alice und Bob wollen kommunizieren, Eve will mithören: Alice Absenderin Bob Empfänger Eve Lauscher (von engl. eavesdropper )

4 Nachrichtenübertragung Nachrichtenübertragung wie folgt: 1. Alice und Bob wählen gemeinsamen Schlüssel k K Vor Übertragung beiden bekannt oder Über sicheren Kanal übermittelt (Verschlüsselung trotzdem sinnvoll?!) 2. Alice verschlüsselt x P durch und sendet y y = c k (x) 3. Bob empfängt y und entschlüsselt x durch d k (y) = d k (c k (x)) = x

5 Nachrichtenübertragung Der Lauscher Nun kommt der Angreifer ins Spiel: Eve hört Übertragungskanal ab empfängt y startet Kryptanalyse um Kommunikation zu kompromittieren.

6 Nachrichtenübertragung Kompromittierung kryptographischer Kommunikation Kompromittierung einer kryptographischen Kommunikation: Brechen des Schlüssels Der Angreifer findet den geheimen Schlüssel (oder einen äquivalenten). Globale Lösung Entschlüsselungsverfahren wird entwickelt, ohne Schlüssel zu kennen. Lokale Lösung Eine einzelne Nachricht kann entschlüsselt werden. Informationsgewinn Der Angreifer kann partielle Information über Schlüssel oder Klartext gewinnen.

7 Kerkhoffs Prinzip Kerkhoffs Prinzip Konservative Annahme: Gegner kennt verwendetes kryptographisches System

8 Kryptanalytische Angriffsvarianten Charakterisierung nach Wissen und Möglichkeiten von Eve: Ausschließlich Geheimtext (ciphertext-only) Eve kennt nur Geheimtexte Bekannter Klartext (known plaintext) Eve kennt Paare aus Klartexten zugehörigen Geheimtexten Gewählter Klartext (chosen plaintext) Eve kann ausgewählte Texte verschlüsseln lassen Gewählter Geheimtext (chosen ciphertext) Eve kann Geheimtexte entschlüsseln lassen

9 Sicherheitsstufen, ausschließlich Geheimtext Sicherheitsstufen gegen Angriffe bei ausschließliche Kenntnis des Geheimtextes: Perfekte oder absolute Sicherheit: Entschlüsselung unabhängig von Aufwand beweisbar unmöglich. Berechnungssicherheit: Entschlüsselung erfordert nachweislich einen für Praxis undurchführbaren Aufwand. Relative Berechnungssicherheit: Entschlüsselung mindestens so schwer wie die Lösung eines als schwierig geltenden Problems. Pragmatische Sicherheit: Trotz intensiver Suche keine effiziente Methode zur Entschlüsselung bekannt. Verschlüsselungsverfahren macht einen sicheren Eindruck.

10 Pragmatische Sicherheit Klassische Kryptographie setzte auf pragmatische Sicherheit. Probleme dabei: Intuition und Erfahrung der Entwickler und Prüfer des Verfahrens. Ehrlichkeit der Entwickler, geheime Falltüren. Verfahren wirken evtl. schwieriger zu brechen als sie es sind.

11 Blockchiffren In diesem Abschnitt: Bekannte historische Verfahren Kryptographisch nicht sicher Definition Blockchiffre ist ein symmetrisches kryptographisches System, mit Endlichem Alphabet Σ P = Σ n C = Σ n n N heißt Blocklänge Idee: Teile Text w Σ in Blöcke der Länge n und verschlüssle blockweise

12 Blockchiffren Lemma Kodierungs- und Dekodierungsfunktionen für eine Blockchiffre sind Permuationen von Σ n. Beweis. Kodierungsfunktion muss injektiv und total sein. Injektive totale Funktionen über endlichen Mengen sind surjektiv und damit bijektiv.

13 Blockchiffren Problem Größe des Schlüssels: Allgemeine Permutation benötigt grob Σ 2n viel Speicherplatz Beispiel ( Σ = 26 und Blocklänge n = 10) Speicherplätze Gigabyte bei 5 Bit pro Eintrag Lösung Einschränkung der möglichen Permutationen

14 Blockchiffren Nachricht x = x 1 x 2... x n Σ n Verschlüsselung durch 1. Möglichkeit y = c k (x 1 )c k (x 2 )... c k (x n ) Blockchiffre der Länge 1, monoalphabetische Substitution 2. Möglichkeit y = c k1 (x 1 )c k2 (x 2 )... c kn (x n ) Blockchiffre der Länge n, polyalphabetische Substitution wobei k, k i K für 1 i n.

15 Blockchiffren Beide Varianten ineinander überführbar 1. ist Spezialfall von 2. mit n = 1 2. lässt sich durch folgenden übergang in 1. übersetzen: P nach P p C nach C p K nach K p

16 Monoalphabetische Substitution Verschiebungs-Verschlüsselung Identifiziere Alphabet {a,..., z} mit Z/26Z (keine Umlaute, Sonder- und Leerzeichen,... ) Definition Sei P = C = K = Z/26Z. Verschiebungs-Verschlüsselung ist gegeben durch c k (x) = x + k und d k (x) = x k Addition und Subtraktion in Z/26Z, d.h. modulo 26.

17 Monoalphabetische Substitution Verschiebungs-Verschlüsselung Zuordnung von Buchstaben zu Zahlen: a b c d e f g h i j k l m n o p q r s t u v w x y z Beispiel Arithmetik modulo 26 c f (mod 26) y d (mod 26)

18 Monoalphabetische Substitution Verschiebungs-Verschlüsselung Caesar-Verfahren: k = 3 Beispiel Verschlüsselung eines Klartextes (oben): timeodanaosetdonaferentes wlphrgdqdrvhwgrqdihuhqwhv Auch bekannt: ROT13 mit k = 13 = c = c 13 = d = d 13

19 Verschiebungs-Verschlüsselung Angriff Größe des Schlüsselraumes: K = 26 Angriff: Brute-Force (erschöpfende Suche) Allgemeiner: Substitutions-Verschlüsselung

20 Monoalphabetische Substitution Substitutions-Verschlüsselung Definition Bei der Substitutions-Verschlüsselung (auch Permutationschiffre) ist der Schlüsselraum gegeben durch K = perm(σ). Schlüssel k = σ K Verschlüsselung von x = x 1 x n zu y = y 1 y n durch und Entschlüsselung durch y i = c σ (x i ) = σ(x i ) x i = d σ (y i ) = σ 1 (y i ) perm(x ) = {σ : X X σ Permutation von X }

21 Monoalphabetische Substitution Substitutions-Verschlüsselung Größe des Schlüsselraumes für Σ = n: = K = n! Beispiel Für natürlichsprachige Texte mit n = 26 gilt K = 26! Brute-Force mit einer Million Schlüssel pro Sekunde testbar = Dauer über Jahre Aber: Angriff durch Häufigkeitsanalyse.

22 Häufigkeitsanalyse Edgar Allan Poe The Gold Bug Erläuterung eines Angriffs per Häufigkeitsanalyse anhand folgendem Beispiel: Beispiel (The Gold Bug) Aus dem Text The Gold Bug von Edgar Allan Poe (1843). Online verfügbar bei Electronic Text Center at the University of Virginia unter Legrands Suche nach dem Schatz des Kapitäns Kidd: Folgende geheime Botschaft spielt eine zentrale Rolle.

23 Häufigkeitsanalyse Edgar Allan Poe The Gold Bug Beispiel (The Gold Bug) Geheime Botschaft ))6*;4826)4.) 4 );806*;48 8P60))85; 1 (;: *8 83(88)5* ;46(;88* 96*?;8)* (;485);5* 2:* (;4956*2(5* 4)8P8*; );)6 8)4 ;1( 9 ;48081;8:8 1;48 85;4) *81( 9;48;(88 ;4(?34;48)4 ;161;:188;?;

24 Häufigkeitsanalyse Edgar Allan Poe The Gold Bug Beispiel (The Gold Bug) Hauptdarsteller Legrand schließt durch Namen Kidd darauf, dass der Klartext in Englisch verfasst ist (engl. kid Zicklein). Dann ermittelt er folgende Häufigkeiten: Symbol 8 ; 4, ) * 5 6 ( Anzahl Symbol, 1 0 9, 2 :, 3? P,. Anzahl

25 Häufigkeitsanalyse Edgar Allan Poe The Gold Bug Beispiel (The Gold Bug) Vermutung: 8 kodiert häufigsten Buchstaben e Dann sucht er nach einer möglichen Codierung von the, wofür sich ;48 anbietet. Vom vorletzten ;48 aus rekonstruiert er tree und weiter the tree ;4(?34 the the tree thr?3h the the tree through the. Durch weitere überlegungen lässt sich schließlich die komplette Tafel der Dekodierungsfunktion erstellen.

26 Häufigkeitsanalyse Edgar Allan Poe The Gold Bug Beispiel (The Gold Bug) Code 8 ; 4 ) * 5 6 ( Klartext e t h o s n a i r d Code : 3? P. Klartext f l m b y g u v c p Der vollständige Klartext lautet demnach: agoodglassinthebishopshostelinthedevilsseat fortyonedegreesandthirteenminutesnortheastand bynorthmainbranchseventhlimbeastsideshootfrom thelefteyeofthedeathsheadabeelinefromthetree throughtheshotfiftyfeetout

27 Häufigkeitsanalyse Edgar Allan Poe The Gold Bug Beispiel (The Gold Bug) Oder lesbarer: A good glass in the bishop s hostel in the devil s seat forty-one degrees and thirteen minutes northeast and by north main branch seventh limb east side shoot from the left eye of the death s-head a bee-line from the tree through the shot fifty feet out.

28 Polyalphabetische Substitution Das Vigenre Verfahren Problem Verräterische Häufigkeiten oft auftretender Buchstaben. Idee Verwende periodisch unterschiedliche Verschiebungen des Alphabets: Vigenre Verfahren

29 Polyalphabetische Substitution Das Vigenre Verfahren Schlüssel sind Worte der Länge d über Σ, d.h. K = Σ d. Vorgehen: Wähle geheimes Schlüsselwort k = k 0 k d 1 K Verschlüsselung: c k (x 1 x n ) = c 1 (x 1 ) c n (x n ) Für Verschlüsselungsfunktionen gilt c i (a) = a + k i 1 mod d Erinnerung Σ = Z/26Z, d.h. Rechnungen modulo Alphabetgröße.

30 Polyalphabetische Substitution Das Vigenre Verfahren Beispiel (The Gold Bug) Poes Text mit dem Schlüssel gold nach dem Vigenre-Verfahren verschlüsselt: guzrjuwdygtqzvpeogsrvgsryhpoobekkrpyozdvkoe iufebubpgkuchkglqjhslxhphtatqahpvtccwnslvzoyg hmyrxhspgwyexoyfngpykbekrwxekodwywohyvzrztcrs hshrsqwkmprlhshjslwngshgrlekswltsquuaekkhchk hsuuirkzvpvnceioteblspwuie

31 Polyalphabetische Substitution Das Vigenre Verfahren Beispiel (The Gold Bug) Häufigkeiten der Symbole: h s k r e p g y w u o v l z t c q b x n i j d a m f Verbesserungen Gleichmäßigere Verteilung der Symbole Keine verräterischen Doppelaute

32 Polyalphabetische Substitution Das Vigenre Verfahren Galt lange als unangreifbar, weil Häufigkeitsanalyse nicht (direkt) anwendbar. Aber: Gleiche Texte gleich verschlüsselt, wenn Abstand ganzzahliges Vielfaches der Schlüssellänge d Beispiel (The Gold Bug) Nochmals Poes Text mit dem Vigenre-Verfahren verschlüsselt: guzrjuwdygtqzvpeogsrvgsryhpoobekkrpyozdvkoe iufebubpgkuchkglqjhslxhphtatqahpvtccwnslvzoyg hmyrxhspgwyexoyfngpykbekrwxekodwywohyvzrztcrs hshrsqwkmprlhshjslwngshgrlekswltsquuaekkhchk hsuuirkzvpvnceioteblspwuie Häufiges Wort the in vorletzter Zeile zweimal mit hsh verschlüsselt.

33 Polyalphabetische Substitution Das Vigenre Verfahren Annahme Schlüssellänge oder ein Vielfaches d bekannt Angriff Häufigkeitsanalyse pro Spalte: Schreibe in Spalte i alle verschlüsselten Symbole, deren Position kongruent i modulo d sind. Alle Zeichen in einer Spalte gleich verschlüsselt = Angriff auf jede Spalte einzeln (Brute-Force, Häufigkeitsanalyse o.ä.) Konsequenz: Geheimhaltung der Schlüssellänge d sehr wichtig

34 Polyalphabetische Substitution Das Vigenre Verfahren Heurisitisches Verfahren um Vielfaches der Schlüssellänge zu ermitteln. Dazu folgende Definition (nach W. F. Friedmann, 1925) Seien x, x zwei Texte gleicher Länge n über Σ. Koinzidenz-Index ist definiert als κ(x, x ) = 1 n 1 δ(x i, x i ) n i=0 Wobei δ das Kronecker-Delta ist: { 1 falls u = v, δ(u, v) = 0 sonst.

35 Polyalphabetische Substitution Das Vigenre Verfahren Koinzidenz-Index misst Zusammentreffen gleicher Buchstaben bei übereinandergelegten Texten x, x x, x aus gleichverteiltem Zufallsexperiment = E[κ] = 1 N Abkürzung N = Σ Extremfall: N = 1 = κ(x, x ) = 1 = 1 N E[κ] 1

36 Polyalphabetische Substitution Das Vigenre Verfahren Bei Alphabet mit N = 26 und Zufallsexperiment: E[κ] = 3, 8% Natürliche Sprache (Experiment): E[κ] 7% Deutlich über Zufallsexperiment Wichtig bei Substitutionschiffren: Koinzidenz-Index zweier Texte ändert sich bei gleicher Verschlüsselung nicht κ(x, x ) = κ(c(x), c(x ))

37 Polyalphabetische Substitution Das Vigenre Verfahren Gegeben sei der Geheimtext y. Vorgehen zur Bestimmung der Schlüssellänge d: Berechne für k = 1, 2,... κ k = κ(y, σ k (y)) σ k (y) ist zyklische Verschiebung von y um k Zeichen nach links Heuristik: k Vielfaches von d: κ k ist Koinzidenz zweier gleich verschlüsselten natürlichen Texte = erwarte κ k im Bereich von 7% Ansonsten liegt der Wert darunter

38 Polyalphabetische Substitution Das Vigenre Verfahren Beispiel (The Gold Bug) Für Poes Text mit Vigenre verschlüsselt (Textlänge ist n = 203): k κ k n Lokale Maxima wahrscheinlich (Vielfaches der) Periodenlänge.

39 Polyalphabetische Substitution Das Vigenre Verfahren Angriff durch Koinzidenz-Kriterium auch für allgemeine polyalphabetische Substitutionen durchführbar = Polyalphabetische Substitution leicht angreifbar Trotzdem heute noch relevant kommerzielle Software damit verfügbar Für Mobiltelephone ist in den USA nur dieses Verfahren zugelassen (Schlüssel mit 160 Bit) Für oberflächlichen Schutz evtl. selbst monoalphabetische Substitutionen ausreichend (z. B. Freimaurerchiffre)