Virtuelle Lehrerweiterbildung Informatik in Niedersachsen Kerstin Strecker Kryptografie S. 1. Kryptografie

Transkript

1 Kerstin Strecker Kryptografie S. 1 Kryptografie 1. Alice, Bob und Eve Solange Menschen miteinander kommunizieren, besteht auch der Wunsch, bestimmte Nachrichten geheim zu halten. Einerseits, weil die Nachricht Informationen enthält, die kein Dritter lesen darf, andererseits, weil man nicht möchte, dass Dritte die Nachricht eventuell verändern. In unserem Beispiel wollen sich Alice und Bob Nachrichten schicken, die sie vor Eve geheim halten wollen. Alice (Sender) Bob (Empfänger) Eve (Angreifer) Mithören, Manipulieren Klartext Gleicher Klartext? Der Wunsch nach einem geheimen Nachrichtenaustausch kann verwirklicht werden, indem die Existenz einer Nachricht an sich versteckt wird, eine Methode, die Steganografie genannt wird. Man kann zum Beispiel mit Zitronensaft schreiben. Ist das Papier getrocknet, ist nicht eingeweihten Personen gar nicht bewusst, dass es sich hier um eine Nachricht handelt. Bügelt man das Papier vorsichtig, dann verfärbt es sich an den beschriebenen Stellen dunkel und die Nachricht wird sichtbar. Auch Schablonen, die auf einen vorhandenen Text gelegt werden und nur einzelne Buchstaben freigeben oder das Verstecken einer Nachricht in Bildern zählen zu den Verfahren der Steganografie. Wenn man die Nachricht aber nicht verbergen kann, dann kann man sie für Dritte unlesbar machen, indem man sie geeignet verschlüsselt. Dies geschieht ähnlich wie bei der Codierung von Informationen. Der Unterschied ist der, dass bei einem Codierungsverfahren die Transformation bekannt ist. Wählt man z.b. das Morsealphabet oder die Blindenschrift und ersetzt die Buchstaben einer Nachricht entsprechend, dann ist die Nachricht zwar codiert, aber dennoch nicht geheim, weil der Schlüssel, die Transformation, allgemein bekannt ist. Kryptografie hingegen ist die Codierung einer Nachricht mit einer geheimen Transformation oder einem geheimen Schlüssel oder schlicht eine Verschlüsselung.

2 Kerstin Strecker Kryptografie S. Kryptologie: Wissenschaft vom Entwurf, der Anwendung und der Analyse von kryptografischen Verfahren Kryptografie: Wie kann eine Nachricht verund entschlüsselt werden? Kryptoanalyse: Wie sicher ist ein Verschlüsselungsverfahren? Die Lösung des Problems einer geheimen Kommunikation zwischen Alice und Bob ist also folgende: Alice verschlüsselt ihre Nachricht, den sogenannten Klartext. Die verschlüsselte Nachricht nennt man Geheimtext. Diesen schickt sie Bob, der den Geheimtext entschlüsselt und wieder den Klartext erhält, den Alice geschrieben hat. Im Weiteren werden wir zur Unterscheidung den Klartext immer in Kleinbuchstaben schreiben und den Geheimtext in Großbuchstaben. Alice K Eve G Bob Bleibt die Frage, mit welchen Verfahren Alice ihre Nachricht an Bob nun verschlüsseln kann. Darum wollen wir uns in den nächsten Abschnitten kümmern. Weiterhin werden wir uns der Frage widmen, welche Möglichkeiten Eve als Kryptoanalytikerin hat, auch ohne Kenntnis des Schlüssels, den Geheimtext zu knacken. Wir beschäftigen uns zunächst mit klassischen Verschlüsselungsverfahren und lernen klassische Analysemethoden kennen, die ihre Anwendungen in längst vergangenen Jahrhunderten hatten, weil man anhand dieser historischen Verschlüsselungsverfahren gut die Grundprinzipien der Kryptografie erläutern und sich mit den zugehörigen Analysemethoden die verbleibenden Restrisiken einer Verschlüsselung bewusst machen kann.

3 Kerstin Strecker Kryptografie S. 3. Die Caesar-Verschiebung Julius Caesar (50 Jahre v.chr.) beschreibt in seinem Werk Commentarii de bello gallico die Caesar-Verschiebung. Der Schlüssel ist eine Zahl zwischen 0 und 5, wird zwischen Alice und Bob vereinbart und gibt an, um wie viele Buchstaben das Alphabet zur Verschlüsselung verschoben wird. Nehmen wir an, Alice und Bob vereinbaren den Schlüssel 3. Dann erhält man den Geheimtext, in dem man jeden Klartextbuchstaben um drei Buchstaben verschiebt. abcdefghijklmnopqrstuvwxyz DEFGHIJKLMNOPQRSTUVWXYZABC Aus dem Klartext hallo bob entsteht mit dem Schlüssel drei also der Geheimtext KDOOR ERE. Die Entschlüsselung funktioniert umgekehrt. Die Geheimtextbuchstaben werden entsprechend in die andere Richtung geschoben: ABCDEFGHIJKLMNOPQRSTUVWXYZ xyzabcdefghijklmnopqrstuvw und so wird aus KDOOR ERE wieder hallo bob. Wesentlich einfacher ist die Verwendung einer Caesar- Scheibe, weil sie für alle möglichen Schlüssel verwendet werden kann. Hierbei verdreht man Geheimtext- und Klartextalphabet entsprechend gegeneinander und liest den zugehörigen Geheimtextbuchstaben ab. Kopiervorlagen zum Basteln der Caesar-Scheibe findet man im Netz oder in [3]. Nun wollen wir die Caesar-Verschiebung aber auch programmieren. Der Bediener unseres Programms soll einen Klartext eingeben und einen Schlüssel (als Zahl zwischen 0 und 5). Auf Knopfdruck (button1) erscheint dann der Geheimtext.

4 Kerstin Strecker Kryptografie S. 4 Im ASCII-Zeichensatz gilt: A=65 und a=97. Zeichenweise wird vom jeweiligen Klartextbuchstaben 97 abgezogen, um im Zahlenbereich 0-5 zu arbeiten und der Schlüsselwert aufaddiert. Möglicherweise überschreitet man dabei die Bereichsgrenze der Buchstaben, weshalb das Ergebnis modulo 6 gerechnet wird. Addiert man nun 65, erhält man den zugehörigen Geheimtextbuchstaben als Großbuchstaben. Die Umwandlung von ASCII-Wert in Zeichen kann in Java durch eine erzwungene Typkonvertierung realisiert werden. Zwei Eigenschaften der Caesar-Verschiebung sollen hervorgehoben werden: Im Beispiel oben wurde gezeigt, dass der Klartext hallo bob mit dem Schlüssel drei in den Geheimtext KDOOR ERE umgewandelt wird. Man erkennt, dass der Klartextbuchstabe l in beiden Fällen zum Geheimtextbuchstaben O transformiert wird. Diese Art von Verschlüsselung heißt auch monoalphabetische Verschlüsselung. Aus einem bestimmten Klartextbuchstaben wird immer derselbe Geheimtextbuchstabe. Außerdem ist die Caesar-Verschiebung eine sogenannte symmetrische Verschlüsselung. Bei einer symmetrischen Verschlüsselung verwendet man zum Verund Entschlüsseln denselben Schlüssel. Während Alice in unserem Beispiel das Alphabet um drei Buchstaben nach links verschiebt, nutzt Bob zum Entschlüsseln ebenfalls den Schlüssel drei und verschiebt das Alphabet entsprechend.

5 Kerstin Strecker Kryptografie S Das allgemeine Substitutionsverfahren Verallgemeinert man die Caesar-Verschiebung und ordnet jedem Klartextbuchstaben eindeutig eine Zahl oder ein anderes druckbares Zeichen zu, so spricht man allgemein vom Substitutionsverfahren. a b c d e f g h i j k l m n o p q r s t u v w x y z! 1 % / 3 ( 4 ) 5? < > «& = 0 A Z In diesem Beispiel ist der Schlüssel diese Tabelle, die jedem Klartextbuchstaben ein anderes Symbol zuordnet und so den Klartext hallo in die Zeichenfolge (!??8 codiert. Von unten nach oben gelesen kann der Geheimtext mit dieser Tabelle wieder entschlüsselt werden. An dem Beispiel sehen wir, dass auch das Substitutionsverfahren im Allgemeinen ein monoalphabetisches und symmetrisches Verschlüsselungsverfahren ist. 4. Die Häufigkeitsanalyse Jetzt ist es Zeit, sich in die Rolle eines Angreifers zu versetzen. Alice und Bob nutzen das Substitutionsverfahren oder die Caesar-Verschiebung zum Austausch von Nachrichten. Als Angreifer oder Kryptoanalytiker kennt man ihren Schlüssel nicht, möchte aber dennoch die abgefangenen Nachrichten entziffern. Die Häufigkeitsanalyse ist eine Möglichkeit, monoalphabetische Verschlüsselungsverfahren ohne Kenntnis des Schlüssels zu knacken. Nehmen wir an, wir kennen die Sprache, in der Alice und Bob ihre Nachrichten schreiben. Beispielsweise schreiben sie ihren Klartext in Deutsch. Jetzt kommt im Deutschen aber nicht jeder Buchstabe in einem hinreichend langen Text gleich häufig vor. Das e beispielsweise ist wesentlich häufiger als das q oder y. Insbesondere ergibt sich eine Verteilung wie folgt: 0,00% 18,00% 16,00% 14,00% 1,00% 10,00% 8,00% 6,00% 4,00%,00% 0,00% A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

6 Kerstin Strecker Kryptografie S. 6 Was nützt diese Erkenntnis der Angreiferin Eve? Wenn es sich um einen monoalphabetisch verschlüsselten deutschen Text handelt, der hinreichend lang ist, dann kann man die Geheimtextbuchstaben auch nach Häufigkeiten sortieren. Nehmen wir z.b. an, in einem Geheimtext tritt das Zeichen & am häufigsten auf. Dann ist das & mit großer Wahrscheinlichkeit das verschlüsselte e und wir können es entsprechend ersetzen. Bei langem Text klappt dies in der Regel mit den drei häufigsten Buchstaben sehr gut. Wenn man gleichzeitig nach Häufungen bestimmter Wörter oder Buchstabenkombinationen sucht, z.b. den Artikeln der, die, das, dann können monoalphabetisch verschlüsselte Texte auch ohne Kenntnis des Schlüssels mit der Häufigkeitsanalyse entziffert werden.

7 Kerstin Strecker Kryptografie S. 7 Aufgabenabschnitt 1: Aufgabe 1.1: Basteln Sie sich eine Caesar-Scheibe Aufgabe 1..: Recherchieren Sie, was es mit der Skytala oder Skytale auf sich hat. Welches ist der grundsätzliche Unterschied zu den bisher beschriebenen Verschlüsselungen? Definieren Sie in diesem Zusammenhang Transpositionen und gehen Sie in ihrer Erläuterung auch auf Anagramme ein. Aufgabe 1.3.: Erweitern Sie das Java-Programm so, dass auch eine Entschlüsselung damit möglich ist. Aufgabe 1.4.: Wenn man die Häufigkeitsanalyse auf Caesar-verschlüsselte Texte anwendet, vereinfacht sie sich insofern, als dass man nur das e identifizieren muss. Warum? a) Entschlüsseln Sie den mit Caesar verschlüsselten Satz: LIYXI IWWI MGL IMR IMW ohne Kenntnis des Schlüssels. b) Bilden Sie einen Satz mit mindestens 10 Wörtern ohne ein einziges e. Aufgabe 1.5.: Knacken Sie mit der Häufigkeitsanalyse den Geheimtext, der als Word-Dokument vorliegt. Gehen Sie folgendermaßen vor: Unter dem Menüpunkt Bearbeiten wählen Sie Ersetzen und ersetzen einen Geheimbuchstaben zunächst durch sich selbst, also z.b. ein S durch ein S. Der Text verändert sich nicht, Word gibt aber an, wie viele Ersetzungen vorgenommen wurden (1.066). So können Sie die Häufigkeiten der einzelnen Zeichen erfassen. Jetzt stellen Sie fest, dass kein anderer Buchstabe so oft vorkommt und schließen daraus, dass es sich bei dem S um das Klartext- e handelt. Dies ersetzten Sie nun, nachdem Sie (wichtig!) Groß- und Kleinschreibung unterscheiden angeklickt haben. Alle Klartextbuchstaben, die nicht verschlüsselt wurden, wie Satzzeichen, Umlaute oder das ß sind bereits kleingeschrieben. Aufgabe 1.6.: Schreiben Sie ein Java-Programm, welches für einen einzugebenden Text die Häufigkeiten aller vorkommenden Zeichen zählt und ausgibt. Aufgabe 1.7.: Schüler fasziniert immer wieder die Geschichte der Beale-Chiffren. Sammeln Sie dazu Informationen im Netz.

8 Kerstin Strecker Kryptografie S Polyalphabetische Verschlüsselungen und Vigenere Nachdem monoalphabetische Verschlüsselungen mit der Häufigkeitsanalyse geknackt werden können, benötigt man für eine geheime Kommunikation Verschlüsselungen, die denselben Buchstaben des Klartextes jedes Mal in unterschiedliche Geheimtextbuchstaben codieren und derselbe Geheimtextbuchstabe für verschiedene Klartextbuchstaben stehen kann. Solche Verschlüsselungen heißen polyalphabetische Verschlüsselungen und die Vigenere-Verschlüsselung ist ein Beispiel dafür. Die Vigenere-Verschlüsselung (Blaise de Vigenere *153) beruht auf der Caesar- Verschiebung, verwendet aber alle 6 möglichen Geheimtextalphabete. Alice und Bob benutzen als Schlüssel ein Wort, z.b. key. Dieses Wort wird jetzt fortlaufend über den Klartext geschrieben: K E Y K E Y K E Y h a l l o r i t a Der Schlüsselwortbuchstabe gibt an, mit welchem Buchstaben das Klartext- a verschlüsselt wird, also welche Zeile des sogenannten Vigenere-Quadrates gewählt wird, um den Klartextbuchstaben zu verschlüsseln. In diesem Fall wird das h mit der 10. Zeile, der K -Zeile verschlüsselt, der Geheimtextbuchstabe ist demnach das R. Man erhält: K E Y K E Y K E Y h a l l o r i t a R E J V S P S X Y Wie man sieht, wird das Klartext- l im ersten Fall zu J und im zweiten Fall zu V codiert. Aber auch für der Geheimtextbuchstabe S steht einmal für ein o und einmal für ein i. Man erkennt, dass die Vigenere-Verschlüsselung polyalphabetisch ist. Sie ist aber ebenso wie die Caesar-Verschiebung ein symmetrisches Verschlüsselungsverfahren. Denn um den Text wieder zu entschlüsseln, schreibt man ebenfalls das Schlüsselwort fortlaufend über den Geheimtext und nimmt die entsprechende Zeile des Vigenere-Quadrates, sucht den Geheimtextbuchstaben und kann den zugehörigen Klartextbuchstaben in der obersten Zeile ablesen.

9 Vigenere-Quadrat: Virtuelle Lehrerweiterbildung Informatik in Niedersachsen Kerstin Strecker Kryptografie S. 9 klar a b c d e f g h i j k l m n o p q r s t u v w x y z 1 B C D E F G H I J K L M N O P Q R S T U V W X Y Z A C D E F G H I J K L M N O P Q R S T U V W X Y Z A B 3 D E F G H I J K L M N O P Q R S T U V W X Y Z A B C 4 E F G H I J K L M N O P Q R S T U V W X Y Z A B C D 5 F G H I J K L M N O P Q R S T U V W X Y Z A B C D E 6 G H I J K L M N O P Q R S T U V W X Y Z A B C D E F 7 H I J K L M N O P Q R S T U V W X Y Z A B C D E F G 8 I J K L M N O P Q R S T U V W X Y Z A B C D E F G H 9 J K L M N O P Q R S T U V W X Y Z A B C D E F G H I 10 K L M N O P Q R S T U V W X Y Z A B C D E F G H I J 11 L M N O P Q R S T U V W X Y Z A B C D E F G H I J K 1 M N O P Q R S T U V W X Y Z A B C D E F G H I J K L 13 N O P Q R S T U V W X Y Z A B C D E F G H I J K L M 14 O P Q R S T U V W X Y Z A B C D E F G H I J K L M N 15 P Q R S T U V W X Y Z A B C D E F G H I J K L M N O 16 Q R S T U V W X Y Z A B C D E F G H I J K L M N O P 17 R S T U V W X Y Z A B C D E F G H I J K L M N O P Q 18 S T U V W X Y Z A B C D E F G H I J K L M N O P Q R 19 T U V W X Y Z A B C D E F G H I J K L M N O P Q R S 0 U V W X Y Z A B C D E F G H I J K L M N O P Q R S T 1 V W X Y Z A B C D E F G H I J K L M N O P Q R S T U W X Y Z A B C D E F G H I J K L M N O P Q R S T U V 3 X Y Z A B C D E F G H I J K L M N O P Q R S T U V W 4 Y Z A B C D E F G H I J K L M N O P Q R S T U V W X 5 Z A B C D E F G H I J K L M N O P Q R S T U V W X Y 6 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z Alternativ zum Vigenere-Quadrat kann man auch hier die Caesar-Scheibe verwenden. Der Schlüsselwortbuchstabe gibt an, in welchen Buchstaben das a codiert wird. In unserem Beispiel muss man die Scheibe also nach jedem Buchstaben so drehen, dass K, E oder Y abwechselnd über dem a stehen und den zum Klartextbuchstaben gehörenden Geheimtextbuchstaben ablesen. Nun soll die Vigenere-Verschlüsselung aber auch programmiert werden. Im folgenden Beispiel wurden Leerzeichen nicht berücksichtigt. Der Bediener kann ein Schlüsselwort (in Großbuchstaben) und einen Klartext eingeben und erhält auf Knopfdruck (button1) den Geheimtext:

10 Kerstin Strecker Kryptografie S. 10 Die Operation arbeitet ähnlich der der Caesar-Verschiebung. Fortlaufend wird der Klartextbuchstabe (-97) mit dem Schlüsselbuchstaben addiert, wobei beachtet werden muss, dass der Schlüssel kürzer als der Klartext sein kann. Eventuelle Überläufe aus dem Buchstabenbereich werden mit der modulo-funktion abgefangen und mit der Addition von 65 die Großbuchstaben des Geheimtextes erzeugt.

11 Kerstin Strecker Kryptografie S. 11 Aufgabenabschnitt : Aufgabe.1: Recherchieren Sie über homophone Verschlüsselungen und erläutern Sie den Unterschied zu polyalphabetischen Verschlüsselungen Aufgabe..: Erweitern Sie das Java-Programm um eine Entschlüsselungsoperation. Berücksichtigen Sie in ihrer Version auch Leerzeichen entsprechend dem Beispiel im Text. Aufgabe.3.: Ein Verschlüsselungsverfahren arbeitet wie folgt: Zeichen werden als Bitfolgen aufgefasst (hier: als Bytes, also Folgen von 8 Bits). Zwei Zeichen werden miteinander verschlüsselt, indem man sich die Bitfolgen übereinander hingeschrieben denkt und die jeweils übereinander stehenden Bits XOR-verschlüsselt: sind die Bits gleich, dann ist das Ergebnis eine Null, sonst eine Eins. Beispiel: E: X: ergibt: Zeichen Byte Zeichen Byte Zeichen Byte Zeichen Byte A B C D E F G H I J K L M N O P Q R S T U V W X Y Z Das Verschlüsselungsverfahren soll dann wie folgt arbeiten: Die Zeichen des Klartextes werden zeichenweise mit den Zeichen des Schlüssels xor-verschlüsselt. Ist der Schlüssel kürzer als der Klartext, dann wird bei Bedarf von vorne begonnen. a: Verschlüsseln Sie per Hand das Wort AFFE mit dem Schlüssel DU. b: Vergleichen Sie das Vigenere-Verfahren mit der XOR-Verschlüsselung. c: Wie können XOR-verschlüsselte Texte wieder entschlüsselt werden? d: In zwei Textfelder soll der zu verschlüsselnde Klartext und ein Schlüsseltext eingegeben werden (s. Abbildung). Auf Knopfdruck erscheint der Geheimtext im dritten Textfeld. Hilfe: Zwei Zeichen a und b werden wie folgt XOR-verschlüsselt: char c = (char)(a^b);

12 Kerstin Strecker Kryptografie S Friedmann und Kasiski gegen Vigenere Obwohl die Häufigkeitsanalyse bei der Vigenere-Verschlüsselung zunächst sinnlos erscheint, ist es Kasiski und auch Friedmann gelungen, mit zwei unterschiedlichen Verfahren Vigenere-verschlüsselte Texte zu knacken. Die Grundidee dieser beiden Verfahren ist folgende: Ist die Länge n des Schlüsselwortes bekannt, dann kann man die Vigenere-Verschlüsselung auf n monoalphabetische Verschlüsselungen zurückführen, die jede für sich mit der Häufigkeitsanalyse geknackt werden kann. Denn der erste Geheimtextbuchstabe, der n+1., der n+1., der 3n stehen unter demselben Schlüsselbuchstaben und werden somit mit derselben Caesar-Verschiebung codiert. Dasselbe gilt für den., den n+., den n+. Geheimtextbuchstaben usw. Die Frage reduziert sich somit auf das Finden der Schlüsselwortlänge. Im 19. Jh wurde der Kasiski-Test entwickelt, dessen Grundidee folgende ist: Gleiche Geheimbuchstabenfolgen (mind. 3 Buchstaben) sind höchstwahrscheinlich gleiche Klartextfolgen, die an gleicher Stelle unter dem Schlüsselwort stehen. Der Zeichenabstand zwischen diesen Wiederholungen ist dann ein Vielfaches der Schlüssellänge. Beispiel: stt woyej lllkisef tfmekc fatr ek gy mazeef oy dwx yaune lskftwzp dsy eedkqof jceasll, mto dak dtasxe ss lnvkcef kydw lcayzp nsis jwslnvkx, dwx pr fonhl clr nopl kvlelkc, ady pr at oej rlgw clr, vgcuwhpr fgnh ra oefqpn, ogd maz the mpsunlh, kuwllk pr ra oee ynhdads cuxmwt, yiunes aye waxvlais amydej jpm raqadr lbwx oak clr nopl kvlelkc ae gyfstr wsxpn woyfsis nmx oak kceamyik ayd kktnw lzlyky Dieser Text ist Vigenere-verschlüsselt. Die farbigen Zeichenfolgen sind höchstwahrscheinlich auch gleiche Klartextfolgen, die an gleicher Stelle unter dem Schlüsselwort stehen. Zwischen den ersten beiden Folgen clr beträgt der Zeichenabstand 8, so dass das Schlüsselwort die Länge, 4, 7, 14 oder 8 haben kann. Der Abstand zwischen der zweiten und dritten Zeichenfolge clr beträgt 104. Als Schüssellängen kommen jetzt nur noch und 4 in Frage, denn 8, 14 und 7 sind keine Teiler von 104. So kann man nach und nach die Schlüssellänge eingrenzen, die hier in der Tat 4 beträgt. Der Friedmann-Test ist weniger intuitiv, aber besser zu berechnen und zu implementieren. Wenn man berechnen will, wie groß die Wahrscheinlichkeit ist, in einem Text zufällig zwei gleiche Buchstaben zu ziehen, dann ist das (bei der Wahrscheinlichkeit p für das 6 Auftreten des i-ten Buchstabens) = p i 1 i. In einem deutschen Text kommen die Buchstaben unterschiedlich häufig vor und es gilt: = p = 0,076. In einem Text, in 6 i 1 i i

13 Kerstin Strecker Kryptografie S dem jeder Buchstabe etwa gleich häufig auftritt gilt: p = = = 0,0385 i 1 i. Bei i= 1 6 monoalphabetisch verschlüsselten Texten ist die Wahrscheinlichkeit, zweimal denselben Buchstaben zu ziehen, also 0,076, bei polyalphabetisch verschlüsselten Texten im besten Fall 0,0385. Jetzt berechnet man für den vorliegenden Geheimtext diesen sogenannten Friedmannschen Koinzidenzindex. Wie groß ist hier die Wahrscheinlichkeit zweimal denselben Buchstaben zu ziehen? Ist der Geheimtext n Zeichen lang und sei n i die n ( 1) absolute Häufigkeit für das Auftreten des i-ten Buchstabens, dann gibt es i n i Paare gleicher Buchstaben. Also ist die Wahrscheinlichkeit, dass man genau den i-ten n ( n 1) i i Buchstaben zweimal zieht: n( n 1). Summiert man über die 6 Buchstaben, so ergibt sich als Wahrscheinlichkeit, dass man irgendeinen Buchstaben im vorliegenden Geheimtext zweimal zieht der Friedmannsche Koinzidenzindex des Geheimtextes: I 1 6 = = n ( 1) i 1 i ni n( n 1). Hat man den Friedmannschen Koinzidenzindex des Geheimtextes berechnet, dann kann man mit Hilfe der Friedmann-Formel: 0,0377n l = ( n 1) I 0,0385n + 0,076 die Schlüssellänge l, bzw. eine gute Annäherung an die Schlüssellänge berechnen. Vielleicht noch ein paar Worte, woher diese Formel plötzlich kommt. Der Koinzidenzindex gibt die Wahrscheinlichkeit an, aus dem vorliegenden Text zweimal denselben Buchstaben zu ziehen. Wenn wir jetzt aber wüssten, dass die Schlüssellänge l ist, dann ist die Wahrscheinlichkeit 0,076, wenn die Buchstaben an derselben Stelle unter dem Schlüsselwort stehen. Nun gibt es jeweils l n Buchstaben, die an derselben Stelle unter dem Schlüsselwort stehen. Das heißt, die Anzahl von gleichen Buchstabenpaaren, die an derselben Stelle unter dem Schlüsselwort stehen ist: n n n 1 n 1 l l = l l. Die Anzahl von gleichen Buchstabenpaaren, die an unterschiedlichen Stellen unter dem Schlüsselwort stehen ist aber

14 Kerstin Strecker Kryptografie S. 14 n n n l. Die gesamt zu erwartenden Anzahl von gleichen Buchstabenpaaren ist damit: n n n 1 n n 0,076 l + 0,0385 l oder, wenn es um die Wahrscheinlichkeit gleicher Buchstabenpaare im gesamten Text geht: n n n 1 n n 0,076 l + 0,0385 l I =. Stellt man diese Formel geschickt um und löst n( n 1) sie nach l auf, kommen wir zu der oben genannten. Wir haben also eine Formel kennen gelernt, mit der man die Schlüssellänge berechnen kann. Dies funktioniert nicht immer ganz exakt und manchmal ergeben sich auch gar keine natürlichen Zahlen, wie im Text oben, der nach dem Friedmann-Test eine Schlüssellänge von 4,3 hat. In Kombination mit dem Kasiski-Test kann man aber gute Ergebnisse erzielen.

15 Kerstin Strecker Kryptografie S. 15 Aufgabenabschnitt 3: Aufgabe 3.1: a) Berechnen Sie noch einmal selbst die Schlüssellänge des Beispielstextes stt woyej lllkisef... nach Friedmann. Verwenden Sie zur Unterstützung ihr Zeichenzählprogramm aus Aufgabenabschnitt 1. b) Knacken Sie den Beispieltext. Achtung: Die erforderlichen 4 Häufigkeitsanalysen reduzieren sich jeweils auf das Finden des Geheimtextbuchstabens für das e, da es sich ja um 4 Caesar-Verschiebungen handelt. Hilfreich wäre allerdings ein Programm, welches den Text in vier Hilfstexte auftrennt. Aufgabe 3..: Die nebenstehende Zeichenfolge enthält einen nach dem Vigenère-Verfahren codierten Text: a: Beschreiben Sie, wie mithilfe des Kasiski- Tests solche Texte geknackt werden können. b: Ermitteln Sie die Länge des Codewortes mithilfe des Kasiski-Tests. c: Bestimmen Sie das Codewort und entschlüsseln Sie die erste Zeile. FIQFIQIOUOELOTHFIQVN HJNLHELOLDODMVCKIELE AVFIQIOUOWXSDHHEIFIH STIVEUEIHTEHJNLHUQHU QEFLODHUSLDHKFUWFLHJ DHSNLDHWNEKSLHCEQEIJ TOQEEUOAOTWDQPHOTLFR LODLFSHSELOMDMIJFNIM AJHE Aufgabe 3.3.: Implementieren Sie den Friedmann-Test, sodass zu einem Geheimtext automatisch eine mögliche Schlüsselwortlänge berechnet wird. Aufgabe 3.4.: Folgende Implementierung des Friedmann-Tests liefert gute Ergebnisse und kommt ohne die Formel aus: Gegeben sei ein hinreichend langer Vigenere-verschlüsselter Text abcdefg... Jetzt wird der Text um ein Zeichen gegen sich selbst verschoben: abcdefg... zabcdef... Nun ermittelt man für je zwei übereinanderstehende Zeichen, ob die Zeichen gleich sind. Die Anzahl dieser Paare teilt man durch die Textlänge n und erhält einen Wert, den man visualisiert oder speichert. Jetzt wird der Text um zwei (drei, vier,...,n)

16 Kerstin Strecker Kryptografie S. 16 Zeichen gegen sich selbst verschoben. Wieder visualisiert man den Quotienten Anzahl Paare oder speichert ihn. Textlänge Bei einem sehr langen Text erhält man bei allen Vielfachen der Schlüssellänge signifikant höhere Werte als bei allen anderen Verschiebungen. a) Machen Sie sich klar, warum das so sein muss. b) Implementieren Sie diese Methode

17 Kerstin Strecker Kryptografie S Das Problem mit dem Schlüssel Alle unsere bisherigen Verschlüsselungsverfahren hatten eine Gemeinsamkeit: Es handelt sich um symmetrische Verfahren, also Methoden, bei denen der Schlüssel zum Ver- und Entschlüsseln derselbe ist. Das setzt voraus, dass dieser Schlüssel irgendwann einmal zwischen den Kommunikationspartnern ausgetauscht werden muss, und das möglichst auf sicherem Wege. Man muss sich entweder persönlich treffen oder auf eine sichere dritte Partei hoffen, die den Schlüssel liefert. Ein weiterer Nachteil ist der, dass Alice für jeden ihrer Gesprächspartner einen anderen Schlüssel vereinbaren muss. Will sie auch noch mit Charles, Peter und Jill kommunizieren, darf keiner den Schlüssel der anderen Gesprächspartner kennen. Logistische Probleme sind vorprogrammiert, aber dennoch galt mehr als 000 Jahre der Austausch gleicher Schlüssel als Axiom in der Kryptografie. Diffie (*1944), Hellmann und Merkle erfinden 1975 den asymmetrischen Schlüssel, der all diese Probleme löst. Bei der asymmetrischen Verschlüsselung gibt es nicht einen Schlüssel zum Ver- und Entschlüsseln, sondern ein Schlüsselpaar. Der erste Schlüssel, der sogenannte public key ist öffentlich und jedem zugänglich. Er dient zum Verschlüsseln der Nachricht. Bildlich kann man sich das so vorstellen, dass es sich um ein Vorhängeschloss handelt, dass man nur einrasten lassen muss. Diese verschlüsselte Nachricht kann mit dem public key aber nicht wieder entschlüsselt werden. Zum Entschlüsseln ist der zweite Schlüssel, der sogenannte private key nötig, den der Besitzer aber niemals herausgibt und der geheim bleibt. So kann nur der Besitzer des private keys die verschlüsselte Nachricht entschlüsseln.

18 Kerstin Strecker Kryptografie S. 18 Das Verfahren ist leicht einzusehen, eine konkrete Umsetzung aber schwieriger, weil sogenannte Einwegfunktionen verwendet werden müssen, die aus der Kenntnis des public keys nicht auf den private key schließen lassen und zudem nicht umkehrbar sind. Rivest, Adleman und Shamir entwickeln 1977 dazu das RSA-Verfahren, das bekannteste und real angewendete asymmetrische Verschlüsselungsverfahren. 8. Das RSA-Verfahren Die Sicherheit des RSA-Algorithmus beruht auf der Tatsache, dass es leicht ist, Zahlen zu multiplizieren, dass man aber keinen Algorithmus kennt, der effizient die Primfaktorzerlegung einer beliebigen Zahl angeben kann. Wählt man also zwei sehr große Primzahlen und multipliziert diese, dann ist es bei Kenntnis des Produkts zu aufwendig, die Primfaktoren zu bestimmen. Wir verzichten an dieser Stelle auf einen detaillierten mathematischen Beweis des RSA-Algorithmus und geben nur die Vorgehensweise an: Der Algorithmus: Man wählt: zwei große Primzahlen p und q berechnet n = p q berechnet Φ( n ) = ( p 1) ( q 1) wählt e teilerfremd zu Φ (n) und bestimmt d mit e d mod Φ( n) = 1 Jetzt gilt: Private key des Teilnehmers: d Public key des Teilnehmers: e, n Will man jetzt eine Nachricht verschlüsseln, die als Zahl m vorliegt, z.b. mittels der ASCII-Codierung, dann berechnet man mit Hilfe des public key des Empfängers: c = m e mod n und erhält den Geheimtext, der als Zahl c vorliegt. Der Empfänger des Geheimtextes nutzt seinen private key und berechnet: c d mod n = m und erhält so die ursprüngliche Nachricht m.

19 Kerstin Strecker Kryptografie S. 19 Aufgabenabschnitt 4: Aufgabe 4.1: Wenden Sie das RSA-Verfahren mit den Primzahlen 3 und 5 an. Verschlüsseln und entschlüsseln Sie eine Zahl. Aufgabe 4.. Implementieren Sie das RSA-Verfahren. Im Internet finden Sie ausreichend Codefragmente, z.b. für eine effektive Berechnung der Potenzen modulo n. Beachten Sie aber, dass Sie nicht einzelne ASCII-Zeichen mit dem RSA-Algorithmus verschlüsseln, weil es sich dann ja wieder um eine monoalphabetische Verschlüsselung handelt. Codieren Sie z.b. zwei hintereinanderliegende Buchstaben auf einmal, indem Sie z.b. eine entsprechende vierstellige Zahl wählen (z.b. AB=6566). Sie können auch eine andere, sogenannte Blockchiffrierung verwenden. Aufgabe 4.3. Recherchieren Sie die geheime Geschichte um das RSA-Verfahren in Bezug auf James Ellies und Clifford Cocks.

20 Kerstin Strecker Kryptografie S Digitale Signaturen und Authentifikation Asymmetrische Verschlüsselungen sind sehr langsam und dienen, da es sichere symmetrische Verschlüsselungen gibt, oft nur zum Austausch eines symmetrischen Schlüssels, womit dann die weitere Kommunikation verschlüsselt wird. Folgende Tabelle gibt eine Gegenüberstellung: Symmetrische vs. Asymmetrische Verschlüsselung symm. Algorithmen asymm. Algorithmen Anzahl Sehr viele Sehr wenige Schlüssel Derselbe Algorithmus mit demselben Schlüssel wird für Ver- und Entschlüsselung verwendet Je ein Algorithmus und ein Schlüssel für Ver- und Entschlüsselung Sicherheit Kann sehr gut sein Kann sehr gut sein Kenntnis des Algorithmus plus mitgelesene Nachricht dürfen nicht ausreichen, um den Schlüssel zu bestimmen Kenntnis des Algorithmus plus mitgelesene Nachricht plus Kentnis des einen Schlüssels dürfen nicht ausreichen, um den anderen Schlüssel zu bestimmen Performance In der Regel sehr gut Schlecht, langsam Vorheriger ja nein Schlüsselaustausch notwenig? Möglichkeit der digitalen nein ja Signatur Typisches Einsatzgebiet Verschlüsselung Signaturen, Schlüsselaustausch Ein weiterer Vorteil der asymmetrischen Verschlüsselung ist die digitale Signatur. Ebenso wie eine Nachricht, die mit einem öffentlichen Schlüssel verschlüsselt wurde, mit dem zugehörigen privaten Schlüssel wieder entschlüsselt werden kann, funktioniert das auch umgekehrt. Verschlüsselt Alice eine Nachricht mit ihrem geheimen privaten Schlüssel, dann kann sie jeder mit Alice öffentlichem Schlüssel wieder entschlüsseln. Da aber nur Alice diese Nachricht verschlüsselt haben kann, weil ihr privater Schlüssel geheim ist, ist sichergestellt, dass diese Nachricht auch tatsächlich von Alice stammt. Man nennt dies eine digitale Signatur. Im Zeitalter der Phishingmails wird Eve aber immer raffinierter. Sie möchte Bob einen Brief schreiben und sich darin als Alice ausgeben. Eve kennt Alice privaten Schlüssel

21 Kerstin Strecker Kryptografie S. 1 nicht und kann daher nicht als Alice unterschreiben. Aber Eve bastelt eine Internetseite, auf der sie Bob glauben macht, die Seite gehöre Alice, und veröffentlicht darauf ihren öffentlichen Schlüssel. Dann schickt sie Bob eine Nachricht und verschlüsselt sie mit ihrem privaten Schlüssel. Bob erhält die Nachricht, denkt, sie sei von Alice, und um das zu überprüfen nutzt der den falschen öffentlichen Schlüssel der falschen Internetseite (nämlich den von Eve), kann das Dokument entschlüsseln und geht dann davon aus, dass es sich tatsächlich um einen Brief von Alice handelt. Um das zu umgehen, müsste Alice ihren öffentlichen Schlüssel von sicherer Stelle zertifizieren lassen, damit das nicht passieren kann. Im folgenden Beispiel zertifiziert eine Bank ihren öffentlichen Schlüssel: Die Bank kreiert ein Schlüsselpaar: Den öffentlichen Schlüssel bringt sie zu einer Zertifizierungsstelle. Einer sogenannten CA. Dort muss die Bank ihre Identität nachweisen. Dort verschlüsselt die CA den öffentlichen Schlüssel und den Namen der Bank mit ihrem privaten Schlüssel. Das Zertifikat ist erstellt. Die Bank kann das Zertifikat nun überall im Internet verbreiten:

22 Kerstin Strecker Kryptografie S. Betrachten wir nun die Authentifikation signierter Nachrichten: Jeder Browser und so auch der von Alice ist im Besitz des öffentlichen Schlüssels der CA: Die Bank schickt Alice jetzt eine signierte Nachricht: Alice fragt die Bank oder auch eine CA nach dem Bank-Zertifikat: Alice nutzt nun den öffentlichen Schlüssel der CA, um das Zertifikat zu entschlüsseln und damit die Echtheit zu überprüfen: Alice ist nun im Besitz des öffentlichen Schlüssels der Bank. Diesen Schlüssel nutzt sie, um zu überprüfen, ob die Nachricht tatsächlich von der Bank stammt.

23 Literatur: Virtuelle Lehrerweiterbildung Informatik in Niedersachsen Kerstin Strecker Kryptografie S. 3 [1]: Simon Singh: Geheime Botschaften, Deutscher Taschenbuch Verlag, 006 []: Albrecht Beutelspacher, Heike B. Neumann, Thomas Schwarzpaul: Kryptografie in Theorie und Praxis, vieweg Verlag, 005 [3]: Jens Gallenbacher: Abenteuer Informatik, Spektrum-Verlag, 007