EINFÜHRUNG IN DIE KRYPTOGRAPHIE

Transkript

1 EINFÜHRUNG IN DIE KRYPTOGRAPHIE Vorlesungsskript Prof. Rolf Haenni Insitut für Informatik und angewandte Mathematik Universität Bern Juli 2005

2

3 VORWORT Mit der zunehmenden weltweiten Verbreitung der digitalen Kommunikation durch das Internet werden Mechanismen, mit deren Hilfe der dabei entstehende Datenverkehr gesichert werden kann, immer bedeutungsvoller. Dies wird durch die Tatsache verstärkt, dass das Internet je länger je mehr als weltweiter elektronischer Handels- und Marktplatz eingesetzt wird, wo unter anderem grosse Geldbeträge in sekundenschnelle von Kontinent zu Kontinent verschoben werden müssen. Spätestens bei solch sensiblen Daten wird klar, dass dabei die Sicherheitsanforderungen äusserst hoch sein müssen. Was bei solchen Datenübertragungen mindestens gewährleistet werden muss, ist die Vertraulichkeit der übertragenen Information, die Integrität der gesendeten Nachricht, und die Authentizität und Nicht-Abstreitbarkeit des Senders. Dies sind die vier grossen Sicherheitsziele, die es zu erreichen gilt. Selbst beim privaten -Verkehr müsste man eigentlich von diesen Zielen ausgehen, und doch verschickt der grösste Teil der Menschheit seine elektronische Post, ohne dabei besondere Vorsichtsmassnahmen zu treffen. Die moderne Kryptographie bietet Techniken an, mit deren Hilfe die oben genannten Ziele erreicht werden können. Interessanterweise werden dabei Methoden eingesetzt, die bereits vor mehreren Tausend Jahren eingesetzt wurden, wenn auch in relativ primitiver Form. Andere Techniken wurden erst vor relativ kurzer Zeit entdeckt, und es ist dieses Zusammenspiel von antiken und moderenen Ideen, welches die Faszination der moderenen Kryptographie ausmacht. Ein anderes Spannungsfeld entsteht durch die Tatsache, dass gewisse kryptographische Verfahren auf abstrakten Konzepten der mathematischen Zahlentheorie aufgebaut sind, ohne die jedoch konkrete praktische Anwendungen wie zum Beispiel E-Banking nicht durchführbar wären. Dieses nahe Nebeneinander von Theorie und Praxis findet man in iii

4 iv VORWORT anderen Wissenschaftsgebieten nur sehr selten, und führt dazu, dass die Kryptographie sowohl für theoretisch wie für praktisch Interessierte ein spannendes Thema ist. In der Forschung ist die Kryptographie in den letzten Jahren zu einem riesigen Gebiet angewachsen. Währenddem die Kryptographie früher fast ausschliesslich von den Geheimdiensten und Rüstungsbetrieben gefördert und betrieben wurde, und obwohl einige Fragen und Themen der modernen Kryptographie auch für die Mathematik relevant sind, zählt man die Kryptographie heute zur Informatik. Es gibt zahlreiche internationale Kongresse und wissenschaftliche Zeitschriften, in denen die neuesten Erkenntnisse veröffentlicht werden. Hinzu kommen die zahlreichen Firmen, die sich auf das Entwickeln von kryptographischen Produkten aller erdenklicher Art spezialisiert haben, und so auch einen wichtigen Beitrag für die zunehmende Bedeutung dieser Thematik geleistet haben. Der vorliegende Text ist eine Einführung in die moderene Kryptographie, die sowohl hinsichtlich Tiefe wie Breite in keiner Wiese als umfassend oder abschliessend betrachtet werden sollte. Viele wichtige Fragen werden nur angeschnitten oder am Rande erwähnt, und einige Themen werden gar vollständig ausgeklammert. Trotzdem dürfte dieser Text die wichtigsten Begriffe und Konzepte der modernen Kryptographie zur Sprache bringen und die nötigen Erklärungen und Lösungsansätze dazu liefern. Das Ziel besteht darin, dem Leser einen Überblick zu geben, aufgrund dessen theoretische wie praktische Fragestellungen der moderen Kryptographie verstanden und diskutiert werden können. Im dem Sinne dient dieser Text gleichzeitig als Vorlesungsbegleitung und als Einstieg in die weiterführende Literatur. Aus den zahlreichen Kryptographie-Büchern sticht das Werk von Menezes et al. heraus [MvV96], das gleichzeitig als Lehrbuch wie auch als Nachschlagwerk bestens geeignet ist. Viele Themen im vorliegenden Text basieren auf entsprechenden Kapiteln in [MvV96]. Empfehlenswert ist das Buch für Studenten auch deshalb, weil es vollständig als PDF- Version zu Verfügung steht, unter Ein ebenso umfangreiches Buch jenes von Schneier [Sch96]. Eine etwas kompaktere Einführung ist das Buch von Stallings [Sta03]. Als populärwissenschaftliche Ergänzugen mit ausführlichen Beschreibungen der Geschichte der Kryptographie sind die Bücher von Kahn [Kah96] und Singh [Sin99] empfehlenswert. Letzteres ist auch auf Deutsch erhältlich. Mein persönliches Ziel ist es, dass der eine oder andere Student sich durch die Lektüre dieses Textes ebenso für dieses spannende Gebiet zu begeistern vermag, wie es mir beim ersten Kontakt mit der Kryptographie vor mehr als 10 Jahren ergangen ist. Prof. Rolf Haenni

5 Inhaltsverzeichnis Vorwort Danksagung iii ix TEIL I GRUNDLAGEN 1 Historischer Rückblick Begriffserklärung Beispiele aus der Geschichte der Kryptographie 2 2 Informationssicherheit Herkömmlicher Postverkehr Eigenheiten von elektronischen Dokumenten Ziele der Informationssicherheit Angriffe auf die Informationssicherheit Methoden der Informationssicherheit 14 3 Begriffe und Grundkonzepte Kommunikationsteilnehmer und Kanäle Mathematische Grundkonzepte Verschlüsselung und Entschlüsselung Symmetrische vs. Asymmetrische Verschlüsselung 22 v

6 vi INHALTSVERZEICHNIS TEIL II SYMMETRISCHE KRYPTOGRAPHIE 4 Einführung Klassifizierung der Methoden Das Schlüsselverteil-Problem Zentralisierte Lösungen 29 5 One-Time Pad 33 6 Block-Chiffren Einführung Betriebsarten Mehrfachverschlüsselung Substitutions-Chiffren Häufigkeitsanalyse Transpositions-Chiffren Produkt-Chiffren Feistel-Schema Avelanche-Effekt 50 7 Block-Chiffren in der Praxis Simplified DES DES AES Andere Block-Chiffren 56 8 Strom-Chiffren Einführung Pseudo-Zufallsgeneratoren (PRBG) Pseudo-Zufallsgeneratoren mittels Einweg-Funktionen Linear Rückgekoppelte Schieberegister A RC Blum-Blum-Shub Generator 68 9 Quanten-Kryptographie Einführung BB84-Protokoll Praktische Umsetzung 73 TEIL III ASYMMETRISCHE KRYPTOGRAPHIE

7 INHALTSVERZEICHNIS vii 10 Einführung Grundlagen Man-in-the-Middle Attacke Hybride Systeme Private-Key-Verschlüsselung Das Schlüssel-Verteilproblem Zahlentheorie Primzahlen GrÖsster Gemeinsamer Teiler und Teilerfremdheit Modulare Arithmetik Die SÄtze von Fermat und Euler Der diskrete Logarithmus Die wichtigsten asymmetrischen Verfahren Diffie-Hellman-Merkle-Schlüsseltausch RSA Rabin ElGamal Andere Verfahren Primzahlen-Generatoren Probabilistische Primzahlentests Fermat-Test Solovay-Strassen-Test Miller-Rabin-Test 108 TEIL IV DIGITALE UNTERSCHRIFTEN & ZERTIFIKATE 14 Einführung Digitale Unterschriften Public-Key Zertifikate Hash-Funktionen Einführung Konstruktion von Hash-Funktionen Anwendungen von Hash-Funktionen Zertifikate und digitale IDs Public-Key Zertifikate Digitale IDs und der X.509 Standard 132

8 viii INHALTSVERZEICHNIS 16.3 Public-Key Infrastrukturen Rechtliche Aspekte von Zertifikaten und digitalen Signaturen 137 TEIL V ANWENDUNGEN IM INTERNET 17 Einführung Computer-Netzwerke: OSI und TCP/IP In welcher Schicht wird verschlüsselt? Verschlüsselung PGP, GnuPG, OpenPGP Secure MIME Post abholen Kryptographisch geschützte Web-Seiten SSL und TLS E-Banking Weitere Protokolle in der Anwendungsschicht Secure Shell Virtual Private Networks 160 TEIL VI ANHANG Abbildungsverzeichnis 165 Tabellenverzeichnis 169 Abkürzungen 171 Referenzen 175 Topic Index 177

9 DANKSAGUNG Ich bedanke mich bei all jenen Personen, die mir beim Verfassen dieses Textes in irgendeiner Form behilflich waren, insbesondere meinen beiden Assistenten Jacek Jonczy und Michael Wachter. R. H. ix

10

11 Teil I GRUNDLAGEN

12

13 KAPITEL 1 HISTORISCHER RÜCKBLICK Die Geschichte der Kryptographie reicht mehrere Tausend Jahre zurück. Im Buch von Kahn ist von Jahren die Rede, wobei es bei gewissen Techniken, die damals zur Anwendung kamen, von kryptographischen Verfahren gesprochen werden darf. Das Ziel, nämlich die Geheimhaltung bzw. das Überbringen von geheimen Botschaften, war jedoch damals schon das gleiche wie heute noch. Das erste echte überlieferte kryptographische Verfahren ist die Skytale von Sparta (siehe unten) aus dem 5. Jh.v.Chr. Wenn man von der klassischen oder symmetrischen Kryptographie spricht, meint man sämtliche Methoden, die seither zum Erreichen dieses Ziels und unter Verwendung der Idee eines geheimen Schlüssels entwickelt wurden. Dazu gehören eigentlich sämtliche Verfahren, die vor den 1970er Jahren entstanden sind. Auch heute werden noch klassische Verfahren entwickelt und eingesetzt, allerdings gibt seit den Entdeckungen von Diffie, Hellman und Merkle in den frühen 1970er Jahren eine Alternative, die sogenannte public-key oder asymmetrische Kryptographie. Die Geschichte der Kryptographie ist ein evolutionärer Prozess, beim dem sich die Kryptographen und die Krypto-Analysten gegenseitig immer neuere Techniken ausdenken. Erstere versuchen, immer schwierigere Formen der Verschlüsselung zu finden, während letztere diese zu umgehen versuchen. In dieser Art treiben sich diese beiden Gruppen gegenseitig zu Höchstleistungen an, ein Prozess der noch heute nicht abgeschlossen ist. Dabei muss man wissen, dass Kryptographen oft auch Krypto-Analysten sind und umgekehrt. Im Moment haben die Kryptographen einen relativ grossen Vorsprung, aber wer am Schluss als Sieger dasteht, ist noch völlig offen. Einführung in diekryptographie. c by Prof. Rolf Haenni 1

14 2 HISTORISCHER RÜCKBLICK Als Hilfsmittel stehen beiden Gruppen die Mathematik, die Linguistik, die Informatik, und neuerdings auch Quanten-Physik zur Verfügung. Besonders der Informatik ist es zu verdanken, dass die Kryptographie in den letzten 2 3 Jahrzehnten sich zu dem entwickelt hat, was sie heute ist. Ohne die Mathematik dahinter wäre diese Entwicklung nicht möglich gewesen. 1.1 BEGRIFFSERKLÄRUNG Der Begriff Kryptographie stammt aus dem Griechischen und setzt sich aus den Wörtern Kryptos (griech. verborgen) und Graphein (griech. schreiben) zusammen. Kryptographie ist demnach die Kunst des verborgenden Schreibens, und das Ziel besteht darin, den Sinn einer Botschaft durch Verschlüsselung zu verbergen, nicht aber deren Existenz. Das Ziel der Krypto-Analyse ist komplementär, d.h. es geht darum, den Sinn einer verschlüsselten Nachricht zu erkennen. Kryptologie ist der Oberbegriff, welcher die Begriffe Kryptographie und Krypto-Analayse zusammenfasst. Oft werden kryptographische Verfahren mit der sogenannten Steganographie kombiniert. Auch dieser Begriff stammt aus dem Griechischen, nämlich aus den Wörtern Steganos (griech. bedeckt) und Graphein. Hier geht es nicht darum, den Sinn einer Nachricht, sondern deren Existenz zu verbergen. Ein klassisches Beispiel ist der Gebrauch von Geheimtinte, die sich durch Erhitzen verfärbt. Auch heute werden noch steganographische Verfahren eingesetzt, z.b. bei Wasserzeichen in digitalen Bildern oder Musik-Dateien. 1.2 BEISPIELE AUS DER GESCHICHTE DER KRYPTOGRAPHIE In der nachfolgenden Auflistung werden einige Beispiele aus der langen Geschichte der Kryptographie kurz beschrieben. Dies ist eine kleine und sehr selektive Auswahl, die bei entsprechendem Interesse bestenfalls als Einstieg in die Lektüre der bereits erwähnten Bücher von Kahn und Singh angesehen werden sollte. Griechisch-Persischer Konflikt (5. Jh.v.Chr.). In der damaligen Zeit gab es einen dauerhaften Konflikt zwischen den Griechen und den Persern. Demaratos (ein Grieche) wusste von einem bevorstehenden Angriff des Persischen Königs Xerxes, und wollte seine Landsleute davor warnen. Eine entsprechende Nachricht wurde in eine Schreibtafel geritzt, bevor diese wie üblich mit Wachs überzogen wurde. In diesen wurde dann eine belanglose Nachricht geritzt, wodurch die Schreibtafel die Wachtposten der Perser problemlos passieren konnte, und so unbemerkt nach Griechenland gelangte. Dies ist ein Beispiel von Steganographie. Ein ähnlliches Beispiel aus der gleichen Zeit-Epoche ist die Geschichte von Histiaeus, der Aristagoras von Milet zum Aufstand gegen die Perser auffordern wollte. Dazu wurde eine Nachricht in die rasierte Kopfhaut eines Boten gebrannt. Nachdem dessen Haare nachgewachsen waren, konnte der Bote die Nachricht unbemerkt überbringen. Skytale von Sparta (5. Jh.v.Chr.). Dies ist die wohl älteste Überlieferung eines echten kryptographischen Verfahrens. Die Idee bestand darin, dass man ein Schreibband spiralförmig auf die sogenannte Skytale aufwickelte. Die war im wesentlichen ein n-eckiges Holzstück mit variablem Durchmesser. Danach wurde die Nachricht quer zum Spiralverlauf auf das Band geschrieben (siehe Abb. 1.1.). Nach Entfernen des Bandes befand die Nachricht in verschlüsselter Form auf dem Band. Für die Entschlüsselung musste man das

15 BEISPIELE AUS DER GESCHICHTE DER KRYPTOGRAPHIE 3 Band auf eine ebensolche Skytale mit gleichem Durchmesser aufwickeln. Die Skytale selbst war somit der Schlüssel, ohne deren Besitz das Entschlüsseln nicht möglich war. Genau genommen war die Skytale eine Transpositions-Chiffrierung. SIEIYHITIEPICINLTEHSZDO!ETIEGRDGRRHAEKAESZRP n=5 SHPLZTDAS IIITDIGEZ ETCEOERKR IIIH!GRAP YENSERHE n=6 SICHERHE ITISTDAS EINZIGEZ IELDERKR YPTOGRAP HIE! n=7 STNDGAR IILOREP EET!DK IPEEGA YIHTRE HCSIRS IIZEHZ Abbildung 1.1. Die Skytale von Sparta: Entschlüsselung für verschiedene Werte n. Kâmastûtra (4. Jh.v.Chr.). Dieses aus Indien stammende Buch beschreibt 64 Künste, welche eine Frau erlernen musste, um für ihren Mann eine perfekte Ehefrau abzugeben. Eine davon war die Kunst der Geheimschrift, die dazu benutzt wurde, Geheimnisse vor ihrem Mann zu bewahren. Julius Caesar (1 Jh.v.Chr.). Für den geheimen Verkehr von Botschaften innerhalb des römischen Reiches wurde am Hof von Julius Caesar die erste (mono-alphabetische) Substitutions- Chiffrierung entwickelt und angewandt. Die Idee dabei bestand im wesentlichen darin, die Buchstaben des zu chiffrierenden Textes um jeweils 3 Positionen im Alphabet vorwärts zu verschieben (modulo 26), d.h. aus dem A wurde ein D, aus dem B ein E, und so weiter, aus dem X ein A, aus dem Y ein B, und aus dem Z ein C. Beispiel: veni vidi vici YHQL YLGL YLFL Um aus einem chiffrierten Text wieder die eigentliche Nachricht zu erhalten, muss die Substitution umgekehrt werden, d.h. sämtliche Buchstaben im Alphabet werden um 3 Positionen zurückversetzt. Diese Art der Chiffrierung ist heute unter dem Namen Caesar-Chiffrierung bekannt, wobei die Anzahl Positionen n, um welche die Buchstaben vertauscht werden, oft als variabel angesehen wird, und so als geheimer Schlüssel dient. Das diesem Verfahren zugrunde liegende Substitutions-Prinzip bildet zusammen mit dem Transpositions-Prinzip der Skytale noch heute die Basis für fast sämtliche in der Praxis eingesetzten symmetrischen Chiffrier-Methoden. Arabische Kryptoanalytiker (9. Jh.). Die mono-alphabetische Substitution galt nach der Entdeckung durch Caesar während mehreren hundert Jahren als uneinnehmbar. Al- Kindî, ein arabische Gelehrter, war der erste, dem es mittels Häufigkeitsanalyse gelang, durch Substitution verschlüsselte Nachrichten zu entschlüsseln. Was aus heutiger Sicht als Trivialität angesehen wird, war damals, d.h. lange bevor statistische Methoden bekannt waren, eine enorme intellektuelle Leistung. Al-Kindî beschrieb sein Verfahren wie folgt: Eine Möglichkeit, eine verschlüsselte Botschaft zu entziffern, vorausgesetzt wir kennen ihre Sprache, besteht darin, einen anderen Klartext in derselben Sprache zu finden, der lang

16 4 HISTORISCHER RÜCKBLICK genug ist, um ein oder zwei Blätter zu füllen, und dann zu zählen, wie oft jeder Buchstabe vorkommt. Wir nennen den häufigsten Buchstaben den ersten, den zweithäufigsten den zweiten, den folgenden den dritten und so weiter, bis wir alle Buchstaben in der Klartextprobe durchgezählt haben. Dann betrachten wir den Geheimtext, den wir entschlüsseln wollen, und ordnen auch seine Symbole. Wir finden das häufigste Symbol und geben ihm die Gestalt des ersten Buchstabens und so weiter, bis wir alle Symbole des Kryptogramms, das wir entschlüsseln wollen, auf diese Weise zugeordnet haben. Kryptographie im mittelalterlichen Europa (12. bis 16. Jh.). Im Mittelalter wurden die Substitutionsverfahren in Europa wiederentdeckt und weiterentwickelt. Der Mönch Roger Bacon schrieb im 12. Jh. das erste Kryptographie-Buch, die sogenannte Abhandlung über die geheimen Künste und die Nichtigkeit der Magie. Im 14. Jh., als das heutige Italien aus verschiedenen Stadtstaaten bestand, wurden kryptographische Verfahren von den Botschaftern dieser Staaten und ebenso von päpstlichen Wissenschaftlern zum geheimen Informationsaustausch benutzt. Im 15. Jh. entdeckte Giovanni Soro, der Geheimsekretär des Papstes, die Krytoanalyse neu. Aus diesem Grund wurden in der Folge die Substitutionsverfahren verbessert, unter anderem durch die Einführung von sogenannten Füllern und Codewörtern (siehe Abb.1.2.). Im 16. Jh. versuchte die schottische Königin Mary Stuart mit Hilfe eines solchen Verfahrens ihre Hinrichtung zu verhindern, indem Sie aus dem Gefängnis heraus geheime Nachrichten nach draussen schickte. Diese wurden aber abgefangen, entschlüsselt, und schliesslich als Beweismittel in ihrem Prozess eingesetzt, worauf sie 1586 zum Tode verurteilt wurde. Chiffrier-Code: Codewörter: Abbildung 1.2. Mary Stuarts Chiffriercode mit den dazugehörigen Codewörtern. Blaise de Vigenère (16. Jh.). Nachdem die Kryptoanalytiker nach der Wiederentdeckung der Häufigkeitsanalyse vorübergehend die besseren Karten in der Hand hatten als die Kryptogrpahen, musste dringend ein neues kryptographisches Verfahren gefunden werden, dass immun gegenüber der Häufigkeitsanalyse war. Die Benützung von Füllern und Codewörtern war zwar eine Verbesserung, genügte aber nicht. Der französische Diplomat Blaise de Vigenère entdeckte aber dann die sogenannte polyalphabetische Substitution, gegen die die Häufigkeitsanalyse nicht mehr funktionierte. Das Verfahren wurde 1586 im Buch Traicté des Chiffres publiziert und basiert auf der Idee, dass je nach Position eines Zeichens im Klartext ein anderer Substitutionsschlüssel (Anzahl Positionsverschiebungen

17 BEISPIELE AUS DER GESCHICHTE DER KRYPTOGRAPHIE 5 im Alphabet) verwendet wird. Das Muster dazu wird durch ein Schlüsselwort bestimmt, das wiederholt angewandt wird. Je länger das Schlüsselwort, desto sicherer wird das Verfahren. Konkret wird ein Text zusammen mit dem Schlüsselwort mit Hilfe der in Abb gezeigten Verschlüsselungstabelle (Vigenère-Quadrat) verschlüsselt, indem das aktuelle Zeichen im Klartext als Zeilenindex und das aktuelle Zeichen im Schlüsselwort als Spaltenindex dient, und so in der Tabelle das entsprechende Zeichen abgelesen werden kann. Beispiel: komme heute abend nicht marym aryma rymar ymary WODKQ HVSFE RZQNU LUCYR Die Entschlüsselung einer polyalphabetischen Vigenère-Verschlüsselung erfolgt in analoger Art und Weise, was am obigen Beispiel und mit Hilfe des Vigenère-Quadrats leicht überprüft werden kann. a b c d e f g h i j k l m n o p q r s t u v w x y z A A B C D E F G H I J K L M N O P Q R S T U V W X Y Z B B C D E F G H I J K L M N O P Q R S T U V W X Y Z A C C D E F G H I J K L M N O P Q R S T U V W X Y Z A B D D E F G H I J K L M N O P Q R S T U V W X Y Z A B C E E F G H I J K L M N O P Q R S T U V W X Y Z A B C D F F G H I J K L M N O P Q R S T U V W X Y Z A B C D E G G H I J K L M N O P Q R S T U V W X Y Z A B C D E F H H I J K L M N O P Q R S T U V W X Y Z A B C D E F G I I J K L M N O P Q R S T U V W X Y Z A B C D E F G H J J K L M N O P Q R S T U V W X Y Z A B C D E F G H I K K L M N O P Q R S T U V W X Y Z A B C D E F G H I J L L M N O P Q R S T U V W X Y Z A B C D E F G H I J K M M N O P Q R S T U V W X Y Z A B C D E F G H I J K L N N O P Q R S T U V W X Y Z A B C D E F G H I J K L M O O P Q R S T U V W X Y Z A B C D E F G H I J K L M N P P Q R S T U V W X Y Z A B C D E F G H I J K L M N O Q Q R S T U V W X Y Z A B C D E F G H I J K L M N O P R R S T U V W X Y Z A B C D E F G H I J K L M N O P Q S S T U V W X Y Z A B C D E F G H I J K L M N O P Q R T T U V W X Y Z A B C D E F G H I J K L M N O P Q R S U U V W X Y Z A B C D E F G H I J K L M N O P Q R S T V V W X Y Z A B C D E F G H I J K L M N O P Q R S T U W W X Y Z A B C D E F G H I J K L M N O P Q R S T U V X X Y Z A B C D E F G H I J K L M N O P Q R S T U V W Y Y Z A B C D E F G H I J K L M N O P Q R S T U V W X Z Z A B C D E F G H I J K L M N O P Q R S T U V W X Y Abbildung 1.3. Verschlüsselungstabelle von Blaise de Vigenère. Charles Babbage (19. Jh.). Die polyalphabetische Verschlüsselung war währen fast drei Jahrhunderten nicht zu brechen und galt als absolut sicher. Als dem englischen Erfinder Charles Babbage im 19. Jh. jedoch die Krypto-Analyse eines entsprechenden verschlüsselten Textes gelang, war dies eine grosse Sensation. Natürlich versuchte man, diese Erkenntnis gegenüber den Feinden Geheim zu halten, um den dadurch erlangten Vorsprung nicht unnötig preiszugeben. So kam es, dass Babbages Entdeckung erst im 20. Jh. bekannt wurde, während das gleiche Verfahren von Willhelm Kusinski wiederendeckt und 1863 veröffentlicht wurde. Man spricht deshalb heute noch vom Kusinski-Test, obwohl dieser historisch gesehen nicht der Erfinder ist.

18 6 HISTORISCHER RÜCKBLICK Erster Weltkrieg ( ). Nachdem um die Jahrhundertwende die Morse- und Funktechnik erfunden wurden, erhielten kryptographische Verfahren vor allem bei der militärischen Nachrichtenübertragung eine ganz besondere Bedeutung. Anfangs des 20. Jh. waren die deutschen Kryptographen führend. Daraus resultierte das sogenannte ADFGVX- System, das im ersten Weltkrieg von den deutschen Truppen für den Nachrichtenverkehr benutzt wurde. Dabei handelte es sich um das erste Verfahren, das gleichzeitig Substitutionen (Caesar) und Transpositionen (Skytale) durchführte. Entsprechend wurden zwei geheime Schlüssel, einer für die Substitution und einer für die Transposition, eingesetzt. Das Verfahren ist durch das in Abb gezeigte Beispiel illustriert. Interessant dabei ist, dass zwei verschiedene Alphabete verwendet werden, das Klartext-Alphabet {A, B,... Z, 1, 2,..., 9} und das Ciphertext-Alphabet {A, D, F, G, V, X} (auf letzterem beruht der Name des Verfahrens). Die Deutschen wähnten sich mit diesem Verfahren in absoluter Sicherheit, doch 1918 gelang es dem Franzosen Georges Painvin, natürlich unter höchster Geheimhaltung, die ADFGVX-Verschlüsselung zu knacken. Key #1: geheim Key #2: ROSENDUFT A D F G V X R O S E N D U F T A g e h i m a D b c d f j k A X F D A A F X A F l n o p q r G D G D G A V F F G s t u v w x F X A A A D F D D V y z G F X G F A D A F X angriffmorgenfrueh AXFDAAFXAGDGDGAVFFFXAAADFDDGFXGFADAF AADADDAGXFDAAGAFXDXFAGFGFGAXAFDFFVFD Abbildung 1.4. Beispiel einer ADFGVX-Verschlüsselung mit zwei Schlüsseln. Zweiter Weltkrieg ( ). Nach dem Schmach durch die erfolgreiche ADFGVX- Entschlüsselung der Franzosen entwickelten die Deutschen in den 1920er Jahren das Verfahren weiter, woraus die von Arthur Scherbius gebaute Enigma entstand. Dies war die erste Verschlüsselungsmaschine und galt deshalb als Wunderwaffe. Im Vorfeld des zweiten Weltkrieges wurde die Enigma in grossen Stückzahlen produziert und während dem Krieg für den gesamten Nachrichtenverkehr der deutschen Truppen verwendet. Zuerst wurde die Enigma von den Polen und später unter der Führung von Alan Turing von den Engländern geknackt, ohne dass die Deutschen davon erfuhren. Die Engländer unterhielten in der Folge in Bletchley Park eine regelrechte Dechiffrier-Stadt, in der tausende hochbegabte Mathematiker und Sprachwissenschaftler an der Entschlüsselung des deutschen

19 BEISPIELE AUS DER GESCHICHTE DER KRYPTOGRAPHIE 7 Nachrichtenverkehrs arbeiteten. Um das Entschlüsseln zu beschleunigen, bauten die Leute um Alan Turing eine unter dem Namen Die Bombe bekannte Dechiffrier-Maschine, auf der später die Entwicklung des ersten Computers beruhte. Abbildung 1.5. Die im zweiten Weltkrieg eingesetzte Chiffrier-Maschine Enigma. Der Ausgang des zweiten Weltkrieges, d.h. die Niederlage Deutschlands gegen die Alliierten, ist eng mit der Entschlüsselung der Enigma verknüpft, und es empfiehlt sich deshalb die Lektüre des Buches von Budiansky [Bud00], sowie der entsprechenden Kapitel in den Büchern von Kahn und Singh [Kah96, Sin99].

20

21 KAPITEL 2 INFORMATIONSSICHERHEIT Information ist eine Resource von grosser strategischer und ökonomischer Bedeutung. Im Zeitalter der zunehmenden Digitalisierung und der Möglichkeit des weltweiten Kommunikationsverkehrs über das Internet ist diese Bedeutung heute viel ausgeprägter als früher. Deshalb werden je länger je mehr grosse finanzielle und personelle Mittel ins Informations- Management gesteckt, wodurch der Wert von Informationen weiter ansteigt. Entsprechend müssen Massnahmen ergriffen werden, um die Informationen bzw. den Wert, den diese darstellen, zu schützen. In diesem Zusammenhang spricht man von der Gewährleistung der Informations-Sicherheit. Früher bestanden diese Massnahmen hauptsächlich aus physikalischen oder administrativen Vorkehrungen, indem man zum Beispiel den Zugang und die Benützung von Informationssystemen für einen bestimmten Personenkreis reservierte. Solche Massnahmen sind auch heute noch wichtig, doch mit der zunehmenden Vernetzung der verschiedenen Systeme nicht mehr ausreichend. Man versucht deshalb, Angriffe auf die Informationssicherheit mit automatischen Systemen möglichst zu verhindern, und wenn dies nicht möglich ist, zu erkennen und zu korrigieren. In dem Zusammenhang unterscheidet man zwischen Computer-Sicherheit und Netzwerk-Sicherheit, wobei es oft nicht möglich ist, eine klare Grenze zu ziehen. Die Kryptographie ist überall dort ein wichtiges Hilfsmittel, wo die Sicherheit beim Übertragen von Information garantiert werden muss. Man unterscheidet zwischen zeitlicher Übertragung (z.b. auf einer Festplatte), und räumlicher Übertragung (von A nach B über ein Netzwerk). Einführung in diekryptographie. c by Prof. Rolf Haenni 9

22 10 INFORMATIONSSICHERHEIT In beiden Fällen geht man davon aus, dass die Übertragung von einem Sender (die sogenannte Informationsquelle) initiiert wird, und für einen Empfänger bestimmt ist. Bei zeitlichen Übertragungen ist der Sender und der Empfänger oft identisch. Dieses Sender- Empfänger-Schema ist das Grundmodell, in dessen Rahmen Informationssicherheit in der Regel diskutiert wird. Eine schematische Darstellung zeigt Abb In kryptographischen Texten bezeichnet man den Sender oft als Alice (A) und den Empfänger als Bob (B). Sender A Übertragung (zeitlich, räumlich) Empfänger B Abbildung 2.1. Das Grundmodell einer Informationsübertragung. Informationssicherheit ist ein Forschungsgebiet für sich, bei welchem kryptographische Techniken als ein Hilfsmittel und nicht als eigentlicher Forschungsgegenstand betrachtet werden. Die Literatur ist enorm und unübersichtlich. Empfehlenswert sind die folgenden Bücher [Bis02, Sch00, WM03]. 2.1 HERKÖMMLICHER POSTVERKEHR Im herkömmlichen Postverkehr, welcher auf bedrucktem oder beschriebenen Papier basiert, gibt es verschiedene Möglichkeiten, die Informationssicherheit zu erhöhen. Zunächst einmal verwendet man Briefumschläge, um ein gewisses Mass an Vertraulichkeit zu garantieren. Indem man einen Brief versiegelt, lässt sich die Vertraulichkeit weiter erhöhen. Ein eingeschriebener Brief führt dazu, dass der Empfänger den Erhalt des Briefes nicht abstreiten kann. Offizielles Briefpapier, ein Stempel, sowie die persönliche Unterschrift dienen als Identitätsbeweis, und gleichzeitig kann der Urheber des Dokumentes seine Urheberschaft nicht mehr abstreiten. Natürlich sind all diese Massnahmen relativ leicht zu umgehen, weshalb durch entsprechende (straf-) rechtliche Massnahmen das Fälschen oder Betrügen möglichst unattraktiv gemacht wird. Um Informationen dieser Art zu vernichten gibt es den Schredder. 2.2 EIGENHEITEN VON ELEKTRONISCHEN DOKUMENTEN Mit dem Einzug der Digitalisierung in vielen Prozessen des Alltags, insbesondere in vielen Bereichen des Berufsalltags, hat sich die Sicherheitsproblematik gegenüber früher wesentlich verschärft. Der Hauptgrund dafür sind gewisse Eigenschaften von elektronischen Dokumenten, die herkömmliche Papier-Dokumente nicht oder nur teilweise besitzen. Die folgende Liste gibt einen Überblick: Kopie und Original können nicht unterschieden werden. Das Herstellen von Kopien in beliebiger Zahl ist ohne grossen zeitlichen oder monetären Aufwand möglich. Kopien und Änderungen hinterlassen keine Spuren. Der Entstehungsprozess und das Alter des Dokumentes kann nicht oder nur bedingt nachvollzogen werden.

23 ZIELE DER INFORMATIONSSICHERHEIT 11 Ein anonymes Dokument lässt nur begrenzt (über den Inhalt) Rückschlüsse auf die Identität des Autors zu. Die Authentizität eines angegeben Autors kann nicht ohne weiteres überprüft werden. Hinzu kommt, dass man, um auf ein elektronisches Dokument zuzugreifen, dieses nicht mehr physikalisch vor sich haben muss. Anders ausgedrückt ist der Zugriff auf ein elektronisches Dokument in einem weltweiten Netzwerk wie dem Internet theoretisch von überall her möglich. Im Vergleich zu herkömmlichen Dokumenten ist das Gewährleisten der im folgenden Abschnitt vorgestellten Sicherheitsziele bei elektronischen Dokumenten wesentlich schwieriger. 2.3 ZIELE DER INFORMATIONSSICHERHEIT Geht man von einer in der Einführung dieses Kapitels erwähnten räumlichen oder zeitlichen Übertragung einer Information oder eines entsprechenden Dokumentes aus, dann lassen sich die folgenden vier zentralen Sicherheitsiele definieren: Vertraulichkeit: (Confidentiality, Secrecy, Privacy) Nur berechtigte Personen dürfen Zugriff auf die übertragene Information haben. Authentizität: (Authenticity) Die Herkunft (Autor) einer übertragenen Information kann korrekt identifiziert werden. Integrität: (Integrity) Unberechtigte Personen dürfen eine übertragene Information nicht verändern können. Nicht-Abstreitbarkeit: (Non-repudiation) Weder dem Sender noch dem Empfänger einer übertragenen Information darf es möglich sein, die Übertragung abzustreiten. An diesen vier Zielen orientiert sich der vorliegende Text. Mit entsprechenden kryptographischen Massnahmen lassen sie sich erreichen. 2.4 ANGRIFFE AUF DIE INFORMATIONSSICHERHEIT Die möglichen Angriffe auf die Informationssicherheit sind vielfältig. Grundsätzlich kann man zwischen passiven und aktiven Attacken unterscheiden. Im ersten Fall spricht man auch von Spionage, während man im zweiten Fall von Sabotage spricht. Die Person, die einen (passiven oder aktiven) Angriff durchführt, nennt man einen Angreifer (Attacker) oder Gegner (Opponent). Oft spricht man auch von Oscar (O). Passive Attacken in Bezug auf das Grundmodell der Informationsübertragung sind schematisch in Abb dargestellt. Diese sind Angriffe auf die Vertraulichkeit der Information, und man unterscheidet zwischen Abhören (Release of Message Contents) und Beobachten (Verkehrsfluss-Analyse, Traffic Analysis), je nachdem ob der Inhalt der übertragenen Nachricht von einer unberechtigten Person eingesehen wird, oder ob lediglich die Tatsache der stattgefundenen Übertragung beobachtet wird. Da die erste Art die zweite impliziert, ist die erste entsprechend gravierender.

24 12 INFORMATIONSSICHERHEIT A B Abhören: O A B Beobachten: O Abbildung 2.2. Verschiedene Arten von passiven Attacken auf die Informationssicherheit. Aktive Attacken sind dadurch charakterisiert, dass der Empfänger letztendlich nicht die Information erhält, die ihm eigentlich zugeschickt wurde. Es gibt zwei Extremfälle. Beim ersten Extremfall wurde eine für den Empfänger bestimmte Nachricht versendet, diese kommt aber nie an. Ein Angreifer hat in einem solchen Fall die Übertragung unterbrochen oder blockiert, und dementsprechend spricht man von einem Abbruch. Im anderen Extremfall wurde vom Sender gar nie eine Nachricht verschickt, obwohl der Empfänger in dessen Namen eine Nachricht erhalten hat. Diese wurde von einem Angreifer erstellt, weshalb man bei einem solchen Angriff von Fabrikation spricht. Der allgemeine und gleichzeitig gravierendste Fall einer aktiven Attacke ist die Modifikation, bei welcher die eigentliche Nachricht abgefangen und verändert (zum Vorteil des Angreifers) an den Empfänger weitergeschickt wird. Die verschiedenen Arten von aktiven Attacken sind in Abb schematisch dargestellt. A B Unterbruch: O A B Modifikation: O A B Fabrikation: O Abbildung 2.3. Verschiedene Arten von aktiven Attacken auf die Informationssicherheit.

25 ANGRIFFE AUF DIE INFORMATIONSSICHERHEIT 13 Während passive Attacken die Vertraulichkeit der übertragenen Information verletzen, gefährden aktive Attacken sowohl die Integrität (Nicht-Veränderbarkeit) der Nachricht wie auch die Authentizität (Echtheit) des Senders. Da aktive Attacken meistens eine passive Attacke implizieren, kommt der Schutz vor einer passiven Attacke oft an erster Stelle, und gilt aus kryptographischer Sicht somit als Hauptziel. Um die Sicherheit eines zum Schutz vor einer passiven Attacke vorgesehenen kryptographischen Verfahrens zu beurteilen, orientiert sich eine entsprechende Sicherheitsanalyse an verschiedenen möglichen Situationen. In allen Fällen geht man davon aus, dass die Verschlüsselungsmethode (heute handelt es sich dabei um Algorithmen) dem Angreifer bekannt ist, jedoch nicht der verwendete Schlüssel. Dies ist eines der vom Holländer Auguste Kerckhoff ( ) formulierten Prinzipien für eine sichere Verschlüsselung. Die eigentliche Nachricht nennt man auch den Klartext (Plaintext), währendem die verschlüsselte Nachricht Chiffretext (Ciphertext) oder Geheimtext genannt wird. Das Ziel eines passiven Angreifers besteht somit darin, aus einem Chiffretext den entsprechenden Klartext abzuleiten. Die oben erwähnten Situationen sind die folgenden: Ciphertext-Only : Ausser dem Chiffretext (und den Algorithmen) besitzt der Angreifer keine weitere Informationen; Known-Plaintext : Neben dem Chiffretext kennt der Angreifer gewisse Klartext- Chiffretext-Paare; Chosen-Plaintext : Zusätzlich zum Chiffretext kennt der Angreifer die Chiffretexte für gewisse Klartexte, die er selbst gewählt hat; Chosen-Ciphertext : Zusätzlich zum Chiffretext kennt der Angreifer die Klartexte für gewisse Chiffretexte, die er selbst gewählt hat; Chosen-Text : Chosen-Plaintext und Chosen-Ciphertext zusammen. Aus der Sicht des Angreifers sind diese Situationen gemäss der Liste von abnehmender Schwierigkeit. Grundsätzlich gilt, dass je mehr Information vorhanden ist, desto einfacher ist das Entschlüsseln. Bei hohen Qualitätsansprüchen an ein Verfahren sollte ein Kryptograph somit von einer Chosen Text -Situation ausgehen. Eine spezielle Angriffsmöglichkeit ist die sogenannte Brute-Force-Attacke (Exhaustive Search). Dabei werden sämtliche möglichen Schlüssel einzeln ausprobiert. Um sich davor zu schützen, sollte der Schlüsselraum möglichst gross sein. Da ein Schlüssel in der Regel aus mehreren Zeichen besteht, ist die Grösse des Schlüsselraums im wesentlichen durch die Schlüssellänge (Anzahl Zeichen des Schlüssels) bestimmt. Die folgenden Tabellen geben eine Vorstellung darüber, wie lange eine Brute-Force-Attacke für unterschiedliche Schlüssellängen ungefähr dauern würde. Dabei werden zwei Szenarien verglichen, bei welchen das Durchprobieren von 1 Million Schlüsseln eine Sekunde bzw. eine Mikrosekunde dauert. In Tab wird von einem alphanumerischen Schlüssel-Alphabet ausgegangen, das aus den 26 Buchstaben A bis Z und den Ziffern 0 bis 9 besteht (Gross- und Kleinschreibung wird ignoriert). Insgesamt stehen also 36 Zeichen zur Verfügung. Man sieht, dass für kleine Schlüssel eine Brute-Force-Attacke realistisch ist. Bei ungefähr 15 Zeichen und mehr ist man aber in einem sicheren Bereich. In Anbetracht des geschätzten Alters des Universums von ungefähr Jahren ist eine Brute-Force-Attacke spätestens ab ungefähr 20 Zeichen völlig unrealistisch, selbst wenn zukünftige Computersysteme das Durchprobieren von Schlüsseln massiv schneller bewerkstelligen können als in den beiden betrachteten Szenarien.

26 14 INFORMATIONSSICHERHEIT Schlüssellänge Anzahl Schlüssel 10 6 Schlüssel / s 10 6 Schlüssel / µs 5 Zeichen 36 5 = s 32.2 µs 10 Zeichen = Jahre 30.1 Min. 15 Zeichen = Jahre 3505 Jahre 20 Zeichen = Jahre Jahre Tabelle 2.1. Zeitaufwand relativ zur Schlüssellänge in Anzahl alphanumerischer Zeichen. Die entsprechenden Zahlen für binäre Schlüssel sind in Tab aufgeführt. Bei heute in der Praxis eingesetzten symmetrischen Verfahren verwendet man üblicherweise 128 Bits und mehr, d.h. man ist in Bezug auf eine Brute-Force-Attacke im sicheren Bereich. Bei asymmetrischen Verfahren geht man sogar bis 2048 Bits, allerdings gehören dort Brute- Force-Attacken nicht zu den grössten Gefahren. Schlüssellänge Anzahl Schlüssel 10 6 Schlüssel / s 10 6 Schlüssel / µs 16 Bits 2 16 = ms 32.7 µs 32 Bits 2 32 = Min. 2.2 ms 56 Bits 2 56 = Jahre 10.1 Std. 64 Bits 2 64 = Jahre 107 Tage 128 Bits = Jahre Jahre 256 Bits = Jahre Jahre 512 Bits = Jahre Jahre 1024 Bits = Jahre Jahre 2048 Bits = Jahre Jahre Tabelle 2.2. Zeitaufwand relativ zur Schlüssellänge in Anzahl Bits. Das während vielen Jahren eingesetzte symmetrische Verfahren DES (siehe Teil II, Kapitel 7) verwendet 56 Bits. Es gab verschiedene öffentliche Wettbewerbe, DES mit Brute-Force zu knacken. Der erste Wettbewerb DES-I endete 1997 nach 96 Tagen. DES-IIa endete nach 1998 nach 41 Tagen, DES-IIb 1998 nach 56 Stunden und DES-III 1999 nach 22 Stunden. Seither gelten 56 Bits nicht mehr als sicher. 2.5 METHODEN DER INFORMATIONSSICHERHEIT Um die Informationssicherheit zu gewährleisten, gibt es verschiedenste Methoden. Im vorliegenden Text sind vor allem kryptographische Techniken und Protokolle von Interesse, aber andere Massnahmen sind in der Praxis ebenso notwendig wie verbreitet. Die folgende Liste zeigt eine mögliche Klassifizierung von Methoden, die über die Kryptographie hinausgehen.

27 METHODEN DER INFORMATIONSSICHERHEIT 15 Kryptographische Techniken: Hierbei werden kodierte Informationen derart transformiert, dass sie für unberechtigte Personen unlesbar (Vertraulichkeit) oder unveränderbar (Integrität) werden. Kryptographische Protokolle: Darunter versteht man eine koordinierte Anwendung von kryptographischen Grundtechniken, um höherliegende Ziele (Authentizität, Nicht- Abstreitbarkeit) zu erreichen. Beispiel sind digitale Unterschriften oder Zertifikate Software Controls: Der Zugang zu einem Informationssystem wird mit Hilfe von Software-Massnahmen für Unberechtigte erschwert oder verunmöglicht (z.b. Passwörter). Hardware Controls: Der Zugang zu einem Informationssystem wird mit Hilfe Von Hardware-Massnahmen für Unberechtigte erschwert oder verunmöglicht (z.b. Chipkarten). Policies: Hier geht es um administrative Richtlinien, welche zur Sicherheit eines Informationssystems beitragen (z.b. das regelmässige Ändern eines Passwortes) Physical Controls: Türschlösser, Backups, Wächter, usw. Kryptographische Grundtechniken werden in den Teilen II und III behandelt, während auf Protokolle in Teil IV und bis zu einem gewissen Grad auch in Teil V eingegangen wird.

28

29 KAPITEL 3 BEGRIFFE UND GRUNDKONZEPTE Bei der Diskussion von kryptographischen Verfahren ist es wichtig, gewisse Begriffe und Konzepte genau zu definieren. Wie bereits erwähnt, orientiert man sich grundsätzlich an Sicherheitszielen, welche von einer räumlichen oder zeitlichen Informationsübertragung ausgehen. Im folgenden wird dieses Modell genauer spezifiziert. Für ein präzises Verständnis der wichtigsten kryptographischen Techniken sind zudem gewisse mathematische Grundkonzepte erforderlich, die nachfolgend kurz zusammengefasst werden. Darauf aufbauend erfolgt dann eine kurze Diskussion der wichtigsten Begriffe und Konzepte bezüglich symmetrischer und asymmetrischer Ver- und Entschlüsselung. Andere wichtige Grundkonzepte wie Hash-Funktionen und digitale Unterschriften werden in den entsprechenden Kapiteln eingeführt. 3.1 KOMMUNIKATIONSTEILNEHMER UND KANÄLE Eine Informationsübertragung zwischen einem Sender und Empfänger kann man verallgemeinert auch als Kommunikation zwischen verschiedenen Teilnehmern und über entsprechende Kanäle betrachten. Man geht also von einer Menge von Kommunikationsteilnehmern aus, die im folgenden Entitäten genannt werden. Entitäten sind Personen, Organisationen, automatische Systeme, und so weiter, welche Informationen senden, empfangen oder manipulieren. Zusammen bilden sie ein Kommunikationsnetzwerk. Dieses stellt sogenannte Kanäle zur Verfügung, über welche zwei oder mehrere Entitäten Information übertragen können. Wie bereits erwähnt spricht man bei einer bipolaren Übertragung zwischen zwei Einführung in diekryptographie. c by Prof. Rolf Haenni 17

30 18 BEGRIFFE UND GRUNDKONZEPTE Entitäten vom Sender und Empfänger. Im allgemeinen kann eine Information auch für mehrere Empfänger bestimmt sein. Neben dem Sender und einem oder mehreren Empfängern ist ein Angreifer oder Gegner eine weitere Entität im Netzwerk. Oft versucht ein Angreifer, sich als legitimer Sender oder Empfänger auszugeben. Eine weitere mögliche Entität ist eine sogenannte vertrauenswürdige dritte Instanz (Trusted Third Party, TTP), die vom Sender und Empfänger als vertrauenswürdig eingeschätzt wird (also nicht als möglicher Angreifer in Frage kommt), und im Falle von Konflikten als richterliche Instanz hinzugezogen werden kann. Kritisch bei einer Informationsübertragung ist der verwendete Kanal, da Angriffe in der Regel darauf abzielen, diesen abzuhören, zu blockieren, oder zu verändern. Ein sicherer Kanal ist für einen möglichen Angreifer physikalisch nicht zugänglich. Dies ist der Idealfall, der nur in sehr seltenen Fällen garantiert werden kann, z.b. bei einer zeitlichen Übertragung einer Information auf der Festplatte eines in einem Safe aufbewahrten Notebooks. In der Regel benutzt man unsichere Kanäle, die von beliebigen Entitäten für verschiedene Zwecke benutzt werden können. Im schlimmsten Fall besitzen sämtliche Entitäten im Netzwerk Lese- und Schreibrechte. Falls ein Kanal mittels kryptographischen Mitteln für einen möglichen Gegner unzugänglich gemacht wurde, spricht man von einem gesicherten Kanal. In diesem Sinne ist das Errichten von gesicherten Kanälen das Ziel der Kryptographie. 3.2 MATHEMATISCHE GRUNDKONZEPTE Ein kryptographisches Verfahren ist meistens dadurch charakterisiert, dass eine kodierte Information auf eine bestimmte Art und Weise transformiert wird, so dass sie nicht ohne weiteres gelesen oder verändert werden kann. Mathematisch gesehen handelt es sich bei einer solchen Transformation um eine Funktion. Die wichtigsten Arten von mathematischen Funktionen werden im folgenden kurz zusammengefasst. Funktion (Function, Mapping) nennt man eine Abbildungsvorschrift f, die jedem Element der Definitionsmenge X ein Element y = f(x) der Wertemenge Y zuweist: f : X Y. Injektion (One-To-One Function) nennt man eine Funktion f, die jedem Element der Definitionsmenge X ein unterschiedliches Element der Wertemenge Y zuweist: f : X Y, x 1 x 2 f(x 1 ) f(x 2 ). Bijektion nennt man eine Injektion f, für die jedes Element der Wertemenge Y dem Wert eines Elementes der Definitionsmenge X entspricht: f : X Y, x 1 x 2 f(x 1 ) f(x 2 ), X = Y. Umkehrfunktion (Inverse Function) nennt man die für eine gegebene Bijektion f von X nach Y wie folgt definierte Funktion f 1 : f 1 : Y X, f 1 (f(x)) = x.

31 MATHEMATISCHE GRUNDKONZEPTE 19 Permutation nennt man eine Bijektion f mit identischen Definitions- und Wertemengen X = Y : f : X X, x 1 x 2 f(x 1 ) f(x 2 ). Involution nennt man eine Permutation f, die mit ihrer Umkehrfunktion f 1 identisch ist: f : X X, x 1 x 2 f(x 1 ) f(x 2 ), f(f(x)) = x. Die Eigenschaften dieser verschiedenen Funktionsarten sind in Abb illustriert. Links von den Pfeilen stehen die Elemente der Definitionsmenge und rechts davon diejenigen der Wertemenge. v v a w a w a v a v a a a a b x b x b w b w b b b b c y c y c x c x c c c c d z d z d z d z d d d d Funktion Injektion Bijektion Umkehrfunktion Permutation Involution Abbildung 3.1. Eigenschaften der verschiedenen Funktionsarten. In der Kryptographie gibt es zwei weitere Klassen von Funktionen, die von besonderer Bedeutung sind. Die in den folgenden Definitionen verwendeten Attribute leicht, meisten und schwierig sind in einem komplexitätstheoretischen Sinn zu verstehen. Einweg-Funktion (One-Way Function) nennt man eine Bijektion f, die für alle Elemente der Definitionsmenge X leicht zu berechnen ist, deren Umkehrfunktion aber für die meisten Elemente von Y schwierig zu berechnen ist. Beispiel: X = Y = {0, 1, 2,..., 16}, f(x) = 3 x mod 17. Einweg-Funktionen mit Falltür (Trapdoor One-Way Function) sind spezielle Einweg- Funktionen, deren Umkehrfunktion mit Hilfe einer Zusatzinformation, die sogenannte Falltür-Information (Trapdoor Information) für alle Elemente von Y leicht zu berechnen ist. Die Existenz von Einweg-Funktionen (mit oder ohne Falltür) ist theoretisch nicht bewiesen, es gibt aber verschiedene gute Kandidaten. Diese bilden die Basis der modernen Kryptographie.

32 20 BEGRIFFE UND GRUNDKONZEPTE 3.3 VERSCHLÜSSELUNG UND ENTSCHLÜSSELUNG Die wichtigsten kryptographischen Grundfunktionen sind jene der Ver- und Entschlüsselung einer Information. Dabei bezieht man sich auf entsprechende Mengen A der zur Verfügung stehenden Zeichen. Diese Mengen werden Alphabete genannt. Das klassische Beispiel eines Alphabetes ist jenes der 26 Buchstaben A = {A, B,..., Z}. In der modernen Kryptographie arbeitet man in der Regel ausschliesslich mit dem Binär-Alphabet A = {0, 1}. Ein solches Zeichen bezeichnet man als Bit. Wie bereits erwähnt nennt man die zu verschlüsselnde Nachricht den Klartext (Plaintext), währendem die verschlüsselte Nachricht Chiffretext (Ciphertext) oder Geheimtext genannt wird. Im allgemeinen besteht ein Klartext und der entsprechende Chiffretext nicht notwendigerweise aus Zeichen des gleichen Alphabets. Man spricht deshalb vom Klartext- Alphabet A M und dem Chiffretext-Alphabet A C. Ein Klartext ist somit eine Kette m M von Zeichen des Alphabets A M, während ein Chiffretext eine Zeichenkette c C aus dem Chiffretext-Alphabet A C ist. M und C stehen also für die entsprechenden Mengen aller möglicher Klar- und Chiffretexte. Die Anzahl Zeichen einer Zeichenkette m wird als deren Länge N = m bezeichnet. Beispiel: Klartext-Alphabet: A M = {0, 1, 2}, m = , N = 16 Ein Schlüssel k ist ein Element einer Menge K, dem sogenannten Schlüsselraum. In der Praxis handelt es sich bei K meistens um die Menge aller Zeichenketten mit gleicher Länge, die aus einem Schlüssel-Alphabet A K gebildet werden können. Damit erhält auf eine einfache Art einen sehr grossen Schlüsselraum, was bei sämtlichen kryptographischen Verfahren von entscheidender Wichtigkeit ist, um eine Brute-Force-Attacke zu verunmöglichen. Bei DES zum Beispiel besteht der Schlüsselraum aus der Menge der möglichen Bitstrings der Länge 56 Bits. Die Idee eines Schlüssels e K ist, dass dieser in eindeutiger Weise eine (umkehrbare) Bijektion von M nach C bestimmt. Eine solche Bijektion E e wird Verschlüsselungsfunktion (Encryption Function) genannt: E e : M C. In analoger Weise wird angenommen, dass jeder Schlüssel d K in eindeutiger Weise eine Bijektion D d von C nach M bestimmt, die man Entschlüsselungsfunktion (Decryption Function) nennt: D d : C M. Ein Verschlüsselungssystem (encryption scheme) oder eine Chiffre (cipher) besteht aus einer Menge {E e : e K} von Verschlüsselungsfunktionen und einer entsprechenden Menge {D d : d K} von Entschlüsselungsfunktionen mit der Bedingung, dass für jeden Schlüssel e K in eindeutiger Art und Weise ein d K existiert, so dass für alle Klartexte m M die folgende Bedingung erfüllt ist: D d (E e (m)) = m. In anderen Worten nimmt man an, dass für ein entsprechendes Schlüsselpaar (e, d) die Entschlüsselungsfunktionen D d die Umkehrfunktion der Verschlüsselungsfunktionen E e ist, d.h. D d = Ee 1. In der Praxis muss man sich die beiden Funktionen E e und D d als

33 VERSCHLÜSSELUNG UND ENTSCHLÜSSELUNG 21 Instanzierungen E(e) und D(d) von allgemeinen Funktionen E und D vorstellen, die den entsprechenden Schlüssel als zusätzliches Argument akzeptieren. E : M K C, D : C K M. In der symmetrischen Kryptographie sind die beiden Schlüssel eines Schlüsselpaares (e, d) oft identisch. In gewissen Fällen sind sogar die entsprechenden Funktionen E und D identisch, d.h. das Verschlüsselungssystems definiert in einem solchen Fall eine Involution über dem gleichen Klartext- und Chiffretext-Alphabet M = C. Der Vorteil dabei ist, dass sich ein solches System einfacher implementieren lässt. Beispiel: Falls M = {m 1, m 2, m 3 } und C = {c 1, c 2, c 3 }, dann gibt es genau 3! = 6 verschiedene Bijektionen von M nach C. Der Schlüsselraum könnte somit aus bis zu 6 Schlüsseln bestehen, z.b. K = {1, 2, 3, 4, 5, 6}. Mögliche Verschlüsselungsfunktionen sind in Abb dargestellt. Falls die entsprechenden Entschlüsselungsfunktionen gleich durchnumeriert sind, dann sind (1, 1), (2, 2), (3, 3), (4, 4), (5, 6) und (6, 5) die möglichen Schlüsselpaare. E 1 E 2 E 3 E 4 E 5 E 6 m 1 c 2 m 1 c 2 m 1 c 2 m 1 c 2 m 1 c 2 m 1 c 2 m 2 c 3 m 2 c 3 m 2 c 3 m 2 c 3 m 2 c 3 m 2 c 3 m 3 c 1 m 3 c 1 m 3 c 1 m 3 c 1 m 3 c 1 m 3 c 1 Abbildung 3.2. Verschiedene Verschlüsselungsfunktionen. Aufgrund der obigen Erläuterungen lässt sich nun das Grundmodell einer verschlüsselten Zweiparteien-Kommunikation präzisieren. Wie in Abb dargestellt verschlüsselt der Sender die Nachricht m mit einem Schlüssel e und einer entsprechenden Funktion E e. Daraus resultiert der Chiffretext c, der dann über einen unsicheren Kanal an den Empfänger geschickt wird. Der Empfänger kann die verschlüsselte Nachricht dann mit Hilfe des Schlüssels d und der Funktion D d wieder in m überführen. O c? A c = E e (m) m = D d (c) B Nachricht m Nachricht m Abbildung 3.3. Verschlüsselte Zweiparteien-Kommunikation über einen unsicheren Kanal.