Kryptographische Algorithmen

Transkript

1 Kryptographische Algorithmen Lerneinheit 2: Kryptoanalyse klassischer Kryptosysteme Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Wintersemester 2017/

2 Einleitung Inhalt dieser Lerneinheit ist die Kryptoanalyse von klassischen Kryptosystemen. Es interessieren die folgenden Fragen: 1. Welche Methoden werden bei der Kryptoanalyse angewandt? 2. Wie bricht man die klassischen Kryptosysteme? 3. Was versteht man unter einem sicheren Kryptosystem? Prof. Dr. C. Karg: Kryptographische Algorithmen 2/72

3 Vier Methoden der Kryptoanalyse Die Kryptoanalyse hat zum Ziel, den Geheimtext zu brechen und den zur Chiffrierung eingesetzten Schlüssel zu ermitteln. Man unterscheidet folgende Attacken: Reiner Geheimtext-Angriff: Der Kryptoanalytiker kennt nur den Geheimtext. Angriff mit bekanntem Klartext: Der Kryptoanalytiker kennt den Geheimtext und den zugehörigen Klartext. Angriff mit frei wählbarem Klartext: Der Kryptoanalytiker hat Zugriff auf das Kryptosystem und kann beliebige Klartexte verschlüsseln. Angriff mit frei wählbarem Geheimtext: Der Kryptoanalytiker hat Zugriff auf das Kryptosystem und kann beliebige Geheimtexte entschlüsseln. Prof. Dr. C. Karg: Kryptographische Algorithmen 3/72

4 Kerckhoffsches Prinzip Eine allgemein akzeptierte Annahme bei der Kryptoanalyse ist das Kerckhoffsche Prinzip. Es besagt: Der Kryptoanalytiker kennt das Kryptosystem, das zur Chiffrierung des Klartexts benutzt wurde. Diese Annahme vereinfacht die Kryptoanalyse. Prof. Dr. C. Karg: Kryptographische Algorithmen 4/72

5 Verschiebe-Chiffre Die Verschiebe-Chiffre ist leicht zu brechen. Grund: Der Schlüsselraum ist klein und ermöglicht daher einen Brute Force Angriff. Beispiel: Geheimtext EFDQZSSQTQUY j Entschlüsselung 1 decpyrrpsptx 2 cdboxqqorosw 3 bcanwppnqnrv 4 abzmvoompmqu 5 zaylunnlolpt 6 yzxktmmknkos j Entschlüsselung 7 xywjslljmjnr 8 wxvirkkilimq 9 vwuhqjjhkhlp 10 uvtgpiigjgko 11 tusfohhfifjn 12 strenggeheim Prof. Dr. C. Karg: Kryptographische Algorithmen 5/72

6 Vereinbarung über Klartext-Eigenschaften Zur Analyse der affinen Chiffre und der Vigenère Chiffre treffen wir folgende Annahmen: Der Klartext ist ein Text englischer Sprache. Der Klartext besteht ausschließlich aus Buchstaben des Alphabets {a,b,c,,z}. Er enthält keine Sonderzeichen, Ziffern oder Leerzeichen. Prof. Dr. C. Karg: Kryptographische Algorithmen 6/72

7 Affine Chiffre Der folgende Geheimtext stammt von einer Affinen Chiffre: ZVDYVIAPZPMMHZYIXTKMVDDVVHVADXQPIPJP ZCXJBYMXXRDPDYGXTLGYGVZIVGVIVYXDYPZX GBKVMBVOVBCZVDYVIAPZDTAAVCMZBHCXYGPM QYGVHPCBTDVAYXKVYGVIVDPDGPAXJGPCLBCL XOVIHVXGZVDYVIAPZFPHVDTAAVCM Idee: Finde zwei korrekte Klartext-Geheimtext-Paare (x 1, y 1 ), (x 2, y 2 ) und löse das Gleichungssystem ax 1 + b y 1 (mod 26) ax 2 + b y 2 (mod 26) Prof. Dr. C. Karg: Kryptographische Algorithmen 7/72

8 Buchstabenhäufigkeit in englischen Texten Buchstabe Häufigkeit Buchstabe Häufigkeit Buchstabe Häufigkeit a j s b k t c l u d m v e n w f o x g p y h q z i r Notation: p i bezeichnet die Häufigkeit des Buchstabens i. Prof. Dr. C. Karg: Kryptographische Algorithmen 8/72

9 Häufigkeitsanalyse Die häufigsten Buchstaben in obigem Klartext sind: Buchstabe Anzahl Häufigkeit V P D Y X Vermutung: e wird in V verschlüsselt. Die Verschlüsselung von t ist einer der Buchstaben P, D, Y, X. Prof. Dr. C. Karg: Kryptographische Algorithmen 9/72

10 1. Alternative Annahme: e V : enc((a, b), 4) = 21 t P : enc((a, b), 19) = 15 Zu lösendes Gleichungssystem: 4a + b 21 (mod 26) 19a + b 15 (mod 26) Eindeutig lösbar: a = 10 und b = 7. Aber: gcd(a, 26) = 2. Somit ist obige Annahme falsch! Prof. Dr. C. Karg: Kryptographische Algorithmen 10/72

11 Mögliche Lösung 2 Annahme: e V : enc((a, b), 4) = 21 t D : enc((a, b), 19) = 3 Zu lösendes Gleichungssystem: 4a + b 21 (mod 26) 19a + b 3 (mod 26) Eindeutig lösbar: a = 4 und b = 5. Aber: gcd(a, 26) = 2. Somit ist obige Annahme falsch! Prof. Dr. C. Karg: Kryptographische Algorithmen 11/72

12 2. Alternative Annahme: e V : enc((a, b), 4) = 21 t Y : enc((a, b), 19) = 24 Zu lösendes Gleichungssystem: 4a + b 21 (mod 26) 19a + b 24 (mod 26) Eindeutig lösbar: a = 21 und b = 15. Ferner ist: gcd(a, 26) = 1. (21, 15) möglicherweise der gesuchte Schlüssel. Prof. Dr. C. Karg: Kryptographische Algorithmen 12/72

13 Entschlüsselungsversuch Wir entschlüsseln den Anfang des Geheimtexts mit dem Schlüssel (21, 15): Z V D Y V I A P Z y x y e s t e r d a y Der Klartext lautet: Yesterday all my troubles seemed so far away. Now it looks as though they re here to stay. Oh I believe in yesterday. Suddenly I m not half the man I used to be. There s a shadow hanging over me, oh yesterday came suddenly. Prof. Dr. C. Karg: Kryptographische Algorithmen 13/72

14 Brechen der allgemeinen Substitution Trotz ihres großen Schlüsselraums ist die allgemeine Substitution kein sicheres Kryptosystem. Sie ist eine monoalphabetische Chiffre und somit anfällig gegen Attacken auf Basis statistischer Analysen. Zum Brechen des Geheimtexts setzt man folgende Methoden ein: Häufigkeitsanalyse: Man teilt die Buchstaben des Klartextalphabets in mehrere Gruppen von sehr häufig bis unwahrscheinlich ein. Bi- und Trigramme: Man untersucht die Häufigkeit von Wortpaaren und -tripeln im Geheimtext und bildet sie auf gängige Klartext Bi- bzw. Trigramme ab. Das Brechen einer Substitution ist immer mit etwas Eingebung verbunden. Prof. Dr. C. Karg: Kryptographische Algorithmen 14/72

15 Brechen der Vigenère-Chiffre Der folgende Text wurde mit der Vigenère-Chiffre verschlüsselt. MOIRBMOVOXBUEARWALSPHTIHFAPIFNDXMMNMOI PYXLHWAZZXOEMOICYWTIBZNAXSEXKXVNMPXCZX UHSQBSPPHMKESAXYCGGTYKOERLRVNWZISABAJW ELASBGALRWTAAWVRAHHPHKUIRXAHPREHNSHUXU MUUMOIFQKHKCALOERNPHOSAXK Der Geheimtext besteht aus 177 Buchstaben. Die Kryptoanalyse erfolgt in zwei Schritten: 1. Bestimmen der Schlüssellänge m Kasiski-Test Koinzidenzindex-Methode 2. Ermitteln des Schlüssels k = k 1... k m Prof. Dr. C. Karg: Kryptographische Algorithmen 15/72

16 Eine wichtige Beobachtung Angenommen, ein Wort kommt im Klartext an den Positionen i 1, i 2 und i 3 vor. Sind die Abstände d 2 = i 2 i 1 und d 3 = i 3 i 1 ein Vielfaches der Schlüssellänge m, dann sind die entsprechenden Geheimtextfragmente identisch. the the the redredredredredredredredredredred WYI WYI WYI d 2 d 3 i 1 i 2 i 3 Für d 2 = i 2 i 1 und d 3 = i 3 i 1 gilt: m gcd(d 2, d 3 ). Prof. Dr. C. Karg: Kryptographische Algorithmen 16/72

17 Kasiski-Test Suche im Geheimtext nach Trigrammen (Wörtern der Länge 3), die mindestens dreimal vorkommen. Wird ein solches Wort wird n-mal im Geheimtext gefunden, und zwar an den Positionen i 1, i 2,... i n, n 3, dann berechne die Abstände zur ersten Position: d j = i j i 1 für j = 2,..., n. Die Schlüssellänge ist (vermutlich) ein Teiler von gcd(d 2,..., d n ). Beachte: Erhält man kein eindeutiges Ergebnis, dann wiederholt man den Test mit 4-grammen und 5-grammen. Prof. Dr. C. Karg: Kryptographische Algorithmen 17/72

18 Wortsuche in obigem Beispiel MOIRBMOVOXBUEARWALSPHTIHFAPIFNDXMMNMOI PYXLHWAZZXOEMOICYWTIBZNAXSEXKXVNMPXCZX UHSQBSPPHMKESAXYCGGTYKOERLRVNWZISABAJW ELASBGALRWTAAWVRAHHPHKUIRXAHPREHNSHUXU MUUMOIFQKHKCALOERNPHOSAXK In obigem Beispiel kommt der Text MOI an den Positionen i 1 = 0, i 2 = 35, i 3 = 50 und i 4 = 155 vor. Die Abstände sind d 2 = 35, d 3 = 50 und d 4 = 155. Es ist gcd(d 2, d 3, d 4 ) = 5. Vermutlich ist die Schlüssellänge gleich 5. Prof. Dr. C. Karg: Kryptographische Algorithmen 18/72

19 Koinzidenzindex Gegeben sei ein Text x = x 1... x n. Der Koinzidenzindex von x, symbolisch I c (x), ist die Wahrscheinlichkeit, daß zwei zufällig aus x ausgewählte Buchstaben identisch sind. Der Koinzidenzindex wird mit folgender Formel berechnet: I c (x) = 25 i=0 f i(f i 1). n(n 1) Hierbei ist f i die Anzahl des Buchstabens i in x. Beachte: Wird x mit einer monoalphabetischen Chiffre verschlüsselt, dann ist der Koinzidenzindex des Geheimtexts gleich I c (x). Prof. Dr. C. Karg: Kryptographische Algorithmen 19/72

20 Was bringt der Koinzidenzindex? Der Koinzidenzindex ermöglicht die Unterscheidung eines englischsprachigen Texts von einem Text mit rein zufällig ausgewählten Buchstaben. Ist x ein (hinreichend langer) englischsprachiger Text, dann ist 25 I c (x) p 2 i = 0.065, i=0 wobei p i die Häufigkeit des Buchstabens i ist. Ist x ein zufälliger Text, dann ist I c (x) 26 ( ) 2 1 = = Prof. Dr. C. Karg: Kryptographische Algorithmen 20/72

21 Koinzidenzindex-Methode Beobachtung: Die Vigenère Chiffre ist eine periodische Folge von Verschiebe-Chiffren. Die Periode ist gleich der Schlüssellänge m. Annahme: Die Schlüssellänge ist m. Idee: Teile den Geheimtext in m Spalten auf: z 1 z 2 z m x 1 x 2 x m x m+1 x m+2 x 2m x 2m+1 x 2m+2 x 3m.. Die i-te Spalte ist eine Verschiebe-Chiffre mit Schlüssel k i.. Prof. Dr. C. Karg: Kryptographische Algorithmen 21/72

22 Koinzidenzindex-Methode (Forts.) Falls die Schlüssellänge korrekt ist, dann ist jedes z i die Verschiebe-Verschlüsselung eines Texts mit englischsprachiger Häufigkeit. Somit ist der Koinzidenzindex I c (z i ) für alle i = 1,..., m. Andernfalls sind die z i s mehr oder minder zufällig, I c (z i ) für ein oder mehrere Spalten i. Koinzidenzindex-Methode: Suche m, so daß I c (z i ) für alle i = 1,..., m. Beachte: Der Wert ist ein Richtwert. Prof. Dr. C. Karg: Kryptographische Algorithmen 22/72

23 Zurück zum Beispiel Für obigen Geheimtext liefert die Koinzidenzindex-Methode folgende Werte: Länge m Koinzidenzindizes , , , , , , , , , , , , , , , Offensichtlich ist m = 5. Dies bestätigt das Ergebnis des Kasiski-Tests. Also ist die Länge des Schlüssels, mit dem der Geheimtext chiffriert wurde, gleich m. Prof. Dr. C. Karg: Kryptographische Algorithmen 23/72

24 Bestimmen des Schlüssels Wir wissen: der Schlüssel hat die Länge m. d.h., k = k 1... k m. Bei hinreichend großen m ist ein Brute Force Angriff unmöglich. Bei m = 5 sind es bereits 11.9 Millionen Schlüssel. Ziel: Stelle die Schlüsselbuchstaben k 2,..., k m in Abhängigkeit von k 1 dar. Gesucht sind Werte s 2,..., s m Z 26, so daß k 2 = k 1 + s 2, k 3 = k 1 + s 3,..., k m = k 1 + s m Verkleinerung des Suchraums von 26 m auf 26. Prof. Dr. C. Karg: Kryptographische Algorithmen 24/72

25 Gegenseitiger Koinzidenzindex Der gegenseitige Koinzidenzindex zweier Texte x und y, symbolisch MI c (x, y), ist die Wahrscheinlichkeit, daß ein zufällig aus x gezogener Buchstabe mit einem zufällig aus y gezogenen Buchstaben übereinstimmt. Die Formel zur Berechnung von MI c (x, y) ist MI c (x, y) = 25 i=0 fx i f y i n x n y. Hierbei ist f x i bzw. f y i die Anzahl des Buchstabens i im Text x bzw. y. Prof. Dr. C. Karg: Kryptographische Algorithmen 25/72

26 Gegenseitiger Koinzidenzindex (Forts.) Sind x und y zwei englischsprachige Texte, dann ist MI c (x, y) = 25 i=0 fx i f y i n x n y 25 p i p i = i=0 Ist y ein Geheimtext, der mit der Verschiebe-Chiffre mit Schlüssel g 0 verschlüsselt wurde, dann ist MI c (x, y) = 25 i=0 fx i f y i n x n y 25 p i p i g = i=0 Somit: Verschiebung erkennbar Prof. Dr. C. Karg: Kryptographische Algorithmen 26/72

27 Idee zur Berechnung des Schlüssels Annahme: Bei Spalte x (bzw. y) handelt es sich um das Ergebnis einer Verschiebe-Chiffre mit Schlüssel k x (bzw. k y ). Es gilt: k y = k x + g, wobei g = k y k x. Somit: MI c (x, y) = = 25 i=0 25 i=0 25 i=0 p i kx p i ky p i kx p i kx g p i p i g Ziel: Bestimme den Wert von g mit statistischen Mitteln Prof. Dr. C. Karg: Kryptographische Algorithmen 27/72

28 Idee zur Berechnung des Schlüssels (Forts.) Idee: Finde g {0, 1,..., 25} so dass der Wert von MI c (x, y g ) = 25 i=0 fx i f y i g n x n y maximal wird. Wegen 25 MI c (x, y g ) p i p i g ist g mit hoher Wahrscheinlichkeit die korrekte Verschiebung, falls MI c (x, y g ) i=0 Prof. Dr. C. Karg: Kryptographische Algorithmen 28/72

29 Beispiel Bearbeitung der Spalten 1 und 2 (Shift 0): Prof. Dr. C. Karg: Kryptographische Algorithmen 29/72

30 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 1): Prof. Dr. C. Karg: Kryptographische Algorithmen 30/72

31 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 2): Prof. Dr. C. Karg: Kryptographische Algorithmen 31/72

32 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 3): Prof. Dr. C. Karg: Kryptographische Algorithmen 32/72

33 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 4): Prof. Dr. C. Karg: Kryptographische Algorithmen 33/72

34 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 5): Prof. Dr. C. Karg: Kryptographische Algorithmen 34/72

35 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 6): Prof. Dr. C. Karg: Kryptographische Algorithmen 35/72

36 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 7): Prof. Dr. C. Karg: Kryptographische Algorithmen 36/72

37 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 8): Prof. Dr. C. Karg: Kryptographische Algorithmen 37/72

38 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 9): Prof. Dr. C. Karg: Kryptographische Algorithmen 38/72

39 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 10): Prof. Dr. C. Karg: Kryptographische Algorithmen 39/72

40 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 11): Prof. Dr. C. Karg: Kryptographische Algorithmen 40/72

41 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 12): Prof. Dr. C. Karg: Kryptographische Algorithmen 41/72

42 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 13): Prof. Dr. C. Karg: Kryptographische Algorithmen 42/72

43 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 14): Prof. Dr. C. Karg: Kryptographische Algorithmen 43/72

44 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 15): Prof. Dr. C. Karg: Kryptographische Algorithmen 44/72

45 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 16): Prof. Dr. C. Karg: Kryptographische Algorithmen 45/72

46 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 17): Prof. Dr. C. Karg: Kryptographische Algorithmen 46/72

47 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 18): Prof. Dr. C. Karg: Kryptographische Algorithmen 47/72

48 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 19): Prof. Dr. C. Karg: Kryptographische Algorithmen 48/72

49 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 20): Prof. Dr. C. Karg: Kryptographische Algorithmen 49/72

50 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 21): Prof. Dr. C. Karg: Kryptographische Algorithmen 50/72

51 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 22): Prof. Dr. C. Karg: Kryptographische Algorithmen 51/72

52 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 23): Prof. Dr. C. Karg: Kryptographische Algorithmen 52/72

53 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 24): Prof. Dr. C. Karg: Kryptographische Algorithmen 53/72

54 Beispiel (Forts.) Bearbeitung der Spalten 1 und 2 (Shift 25): Prof. Dr. C. Karg: Kryptographische Algorithmen 54/72

55 Algorithmus zur Schlüsselberechnung Berechne eine Matrix M wie folgt: Falls i = j, dann setze M i,j = 0. Falls i j und maximales MI c (x, y g ) 0.065, dann setze M i,j = g. Ansonsten setze M i,j = 1. Enthält M eine Zeile i, deren Werte alle 0 sind, dann ist der Schlüssel (höchstwahrscheinlich): (k i + M i,1,..., k i + M i,i 1, k i, k i+1 + M i+1,1,..., k i + M i,m ) Entschlüssle den Geheimtext mit dem Schlüssel (k 1, k 1 + s 2,..., k m + s m ) für k 1 = 0,..., 25. Prof. Dr. C. Karg: Kryptographische Algorithmen 55/72

56 Anwendung auf das Beispiel i j MI c(z i, z g j ) : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : Prof. Dr. C. Karg: Kryptographische Algorithmen 56/72

57 Anwendung auf das Beispiel (Forts.) i j MI c(z i, z g j ) : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : Prof. Dr. C. Karg: Kryptographische Algorithmen 57/72

58 Anwendung auf das Beispiel (Forts.) i j MI c(z i, z g j ) : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : Prof. Dr. C. Karg: Kryptographische Algorithmen 58/72

59 Anwendung auf das Beispiel (Forts.) i j MI c(z i, z g j ) : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : Prof. Dr. C. Karg: Kryptographische Algorithmen 59/72

60 Anwendung auf das Beispiel (Forts.) i j MI c(z i, z g j ) : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : Prof. Dr. C. Karg: Kryptographische Algorithmen 60/72

61 Berechnung des Schlüssels Das Ergebnis ist die Matrix M: j i Benutze Zeile 2 zur Berechnung des Schlüssels Der Schlüssel hat also die Form: (k , k 2, k , k 2 + 7, k 2 + 6) nur noch 26 mögliche Schlüssel! Prof. Dr. C. Karg: Kryptographische Algorithmen 61/72

62 26 mögliche Schlüssel k 2 Schlüssel Anfangstück des Klartexts a maxhg aolkvaoyhrpuhtlkaoljvtla b nbyih znkjuznxgqotgskjznkiuskz c oczji ymjitymwfpnsfrjiymjhtrjy d pdakj xlihsxlveomreqihxligsqix e qeblk wkhgrwkudnlqdphgwkhfrphw f rfcml vjgfqvjtcmkpcogfvjgeqogv g sgdnm uifepuisbljobnfeuifdpnfu h theon thedothrakinamedthecomet i uifpo sgdcnsgqzjhmzldcsgdbnlds j vjgqp rfcbmrfpyiglykcbrfcamkcr k wkhrq qebalqeoxhfkxjbaqebzljbq... Prof. Dr. C. Karg: Kryptographische Algorithmen 62/72

63 Ergebnis der Schlüsselsuche Der Schlüssel ist theon. Die Vigenère Entschlüsselung liefert den gesuchten Klartext: The Dothraki named the comet shierakqiya the bleeding star. The old men muttered that it omended ill but Daenerys Targaryen had seen it first on the night she had burned Khal Drogo the night her dragons had awakened. Abschließende Bemerkung: Obige Analysemethoden klappen bereits bei sehr kurzen Texten. Im Beispiel standen pro z i etwa 35 Buchstaben zur Verfügung. Prof. Dr. C. Karg: Kryptographische Algorithmen 63/72

64 Brechen der Hill Chiffre Die Hill Chiffre kann mit einer Klartext-Geheimtext-Attacke gebrochen werden. Angenommen, Oskar weiß, dass der Klartext bach mittels einer Hill Chiffre mit Blocklänge m = 2 in den Geheimtext JQNP verschlüsselt wurde. Dies bedeutet, dass und enc(k, (1, 0)) = (9, 16) enc(k, (2, 7)) = (13, 15). Oder als Matrixmultiplikation: ( ) 1 0 K = 2 7 }{{} =A ( 9 ) Prof. Dr. C. Karg: Kryptographische Algorithmen 64/72

65 Brechen der Hill Chiffre (Forts.) A ist invertierbar, denn det(a) = 7 und gcd(7, 26) = 1. Somit läßt sich der Schlüssel berechnen: ( ) ( ) K = = ( ) Falls Oskar die Blocklänge der Hill Chiffre nicht kennt, probiert er die Blocklängen m = 2, 3, 4,... durch. Dies erfordert die Kenntnis eines hinreichend langen Klartext-Geheimtext-Paars. Prof. Dr. C. Karg: Kryptographische Algorithmen 65/72

66 Angriff auf das LFSR Kennt Oskar den Klartext x = x 1... x n und den zugehörigen Geheimtext y = y 1... y n, dann kann er den Schlüsselstrom berechnen, mit dem der Klartext chiffriert wurde: z i = x i + y i mod 2 für i = 1,..., n Annahme: Das LFSR besteht aus m Registern. Ziel: Berechne die Koeffizienten c 0, c 1,..., c m 1. Prof. Dr. C. Karg: Kryptographische Algorithmen 66/72

67 Angriff auf das LFSR (Forts.) Die Rekursionsgleichung m 1 z m+i = c j z i+j mod 2, j=0 ist lineare Gleichung in m Unbekannten. Um die c i s eindeutig zu bestimmen, ist also ein Klartext-Geheimtext-Paar der Länge n 2m notwendig. Prof. Dr. C. Karg: Kryptographische Algorithmen 67/72

68 Angriff auf das LFSR (Forts.) Die zu lösende Gleichung ist (z m+1, z m+2,..., z 2m ) = (c 0, c 1,..., c m 1 ) Z, wobei z 1 z 2... z m 1 z m z 2 z 3 z m z m+1 Z =..... z m 1 z m... z 2m 3 z 2m 2 z m z m+1... z 2m 2 z 2m 1 Somit: (c 0, c 1,..., c m 1 ) = (z m+1, z m+2,..., z 2m ) Z 1. Prof. Dr. C. Karg: Kryptographische Algorithmen 68/72

69 Anforderungen an ein Kryptosystem Die Praxistauglichkeit eines Kryptosystems hängt von zwei Kriterien ab: Sicherheit: Die Vertraulichkeit der zu übertragenden Daten kann nur gewährleistet werden, wenn das Kryptosystem sicher ist. Daher ist die Sicherheit ein absolutes K.O. Kriterium. Jedoch ist für viele Kryptosysteme die Sicherheit nicht nachweisbar. Anwendbarkeit: Selbst das sicherste Kryptosystem ist unbrauchbar, wenn die Chiffrierung bzw. Dechiffrierung zu aufwendig ist. Zur Absicherung von Datenströmen ist beispielsweise der Datendurchsatz des Kryptosystems wichtig. Prof. Dr. C. Karg: Kryptographische Algorithmen 69/72

70 Zwei Arten von Sicherheit Absolute Sicherheit: Ein Kryptosystem ist absolut sicher, wenn die Kenntnis des Geheimtexts keine Information über den Klartext oder den Schlüssel liefert. Diese Art von Sicherheit wird auch als informationstheoretische oder perfekte Sicherheit genannt. Der Begriff der absoluten Sicherheit stammt von Shannon aus dem Jahre Komplexitätstheoretische Sicherheit: Ein Kryptosystem nennt man komplexitätstheoretisch sicher, wenn es keinen Algorithmus gibt, der in Polynomialzeit das Kryptosystem bricht. Die Laufzeit wird in Abhängigkeit der Länge des Schlüssels bzw. des Geheimtexts berechnet. Prof. Dr. C. Karg: Kryptographische Algorithmen 70/72

71 Vernam Chiffre (One-Time-Pad) Das One-Time-Pad ist ein Kryptosystem zur Verschlüsselung von Binärwörtern. P = C = K = (Z 2 ) n enc(k, x) = (x 1 + k 1,..., x n + k n ), wobei k = (k 1,..., k n ) und x = (x 1,..., x n ). dec(k, y) = (y 1 + k 1,..., y n + k n ), wobei k = (k 1,..., k n ) und y = (y 1,..., y n ). Die obigen Berechnungen verstehen sich modulo 2. Das One-Time-Pad ist informationstheoretisch sicher, falls der Schlüssel zufällig unter Gleichverteilung ausgewählt und nach jeder Verschlüsselung gewechselt wird. Für den täglichen Einsatz nicht praktikabel Prof. Dr. C. Karg: Kryptographische Algorithmen 71/72

72 Zusammenfassung Keines der klassischen Kryptosysteme ist aus heutiger Sicht als sicher einzustufen. Statistische Werkzeuge helfen bei der Kryptoanalyse. Die Vernam Chiffre gilt als sicher, ist aber nicht praktikal. Man unterscheidet zwischen absoluter und komplexitätstheoretischer Sicherheit. Der Nachweis der Sicherheit eines Kryptosystems ist eine schwierige Aufgabe. Prof. Dr. C. Karg: Kryptographische Algorithmen 72/72