EINFÜHRUNG IN DIE KRYPTOGRAPHIE Vorlesungsskript

Transkript

1 EINFÜHRUNG IN DIE KRYPTOGRPHIE Vorlesungsskript Prof. Rolf Haenni Insitut für Informatik und angewandte Mathematik Universität Bern Juli 2005

2 Teil I GRUNDLGEN

3

4 KPITEL 1 HISTORISCHER RÜCKBLICK Die Geschichte der Kryptographie reicht mehrere Tausend Jahre zurück. Im Buch von Kahn ist von Jahren die Rede, wobei es bei gewissen Techniken, die damals zur nwendung kamen, von kryptographischen Verfahren gesprochen werden darf. Das Ziel, nämlich die Geheimhaltung bzw. das Überbringen von geheimen Botschaften, war jedoch damals schon das gleiche wie heute noch. Das erste echte überlieferte kryptographische Verfahren ist die Skytale von Sparta (siehe unten) aus dem 5. Jh.v.Chr. Wenn man von der klassischen oder symmetrischen Kryptographie spricht, meint man sämtliche Methoden, die seither zum Erreichen dieses Ziels und unter Verwendung der Idee eines geheimen Schlüssels entwickelt wurden. Dazu gehören eigentlich sämtliche Verfahren, die vor den 1970er Jahren entstanden sind. uch heute werden noch klassische Verfahren entwickelt und eingesetzt, allerdings gibt seit den Entdeckungen von Diffie, Hellman und Merkle in den frühen 1970er Jahren eine lternative, die sogenannte public-key oder asymmetrische Kryptographie. Die Geschichte der Kryptographie ist ein evolutionärer Prozess, beim dem sich die Kryptographen und die Krypto-nalysten gegenseitig immer neuere Techniken ausdenken. Erstere versuchen, immer schwierigere Formen der Verschlüsselung zu finden, während letztere diese zu umgehen versuchen. In dieser rt treiben sich diese beiden Gruppen gegenseitig zu Höchstleistungen an, ein Prozess der noch heute nicht abgeschlossen ist. Dabei muss man wissen, dass Kryptographen oft auch Krypto-nalysten sind und umgekehrt. Im Moment haben die Kryptographen einen relativ grossen Vorsprung, aber wer am Schluss als Sieger dasteht, ist noch völlig offen. Einführung in diekryptographie. c by Prof. Rolf Haenni 1

5 2 HISTORISCHER RÜCKBLICK ls Hilfsmittel stehen beiden Gruppen die Mathematik, die Linguistik, die Informatik, und neuerdings auch Quanten-Physik zur Verfügung. Besonders der Informatik ist es zu verdanken, dass die Kryptographie in den letzten 2 3 Jahrzehnten sich zu dem entwickelt hat, was sie heute ist. Ohne die Mathematik dahinter wäre diese Entwicklung nicht möglich gewesen. 1.1 BEGRIFFSERKLÄRUNG Der Begriff Kryptographie stammt aus dem Griechischen und setzt sich aus den Wörtern Kryptos (griech. verborgen) und Graphein (griech. schreiben) zusammen. Kryptographie ist demnach die Kunst des verborgenden Schreibens, und das Ziel besteht darin, den Sinn einer Botschaft durch Verschlüsselung zu verbergen, nicht aber deren Existenz. Das Ziel der Krypto-nalyse ist komplementär, d.h. es geht darum, den Sinn einer verschlüsselten Nachricht zu erkennen. Kryptologie ist der Oberbegriff, welcher die Begriffe Kryptographie und Krypto-nalayse zusammenfasst. Oft werden kryptographische Verfahren mit der sogenannten Steganographie kombiniert. uch dieser Begriff stammt aus dem Griechischen, nämlich aus den Wörtern Steganos (griech. bedeckt) und Graphein. Hier geht es nicht darum, den Sinn einer Nachricht, sondern deren Existenz zu verbergen. Ein klassisches Beispiel ist der Gebrauch von Geheimtinte, die sich durch Erhitzen verfärbt. uch heute werden noch steganographische Verfahren eingesetzt, z.b. bei Wasserzeichen in digitalen Bildern oder Musik-Dateien. 1.2 BEISPIELE US DER GESCHICHTE DER KRYPTOGRPHIE In der nachfolgenden uflistung werden einige Beispiele aus der langen Geschichte der Kryptographie kurz beschrieben. Dies ist eine kleine und sehr selektive uswahl, die bei entsprechendem Interesse bestenfalls als Einstieg in die Lektüre der bereits erwähnten Bücher von Kahn und Singh angesehen werden sollte. Griechisch-Persischer Konflikt (5. Jh.v.Chr.). In der damaligen Zeit gab es einen dauerhaften Konflikt zwischen den Griechen und den Persern. Demaratos (ein Grieche) wusste von einem bevorstehenden ngriff des Persischen Königs Xerxes, und wollte seine Landsleute davor warnen. Eine entsprechende Nachricht wurde in eine Schreibtafel geritzt, bevor diese wie üblich mit Wachs überzogen wurde. In diesen wurde dann eine belanglose Nachricht geritzt, wodurch die Schreibtafel die Wachtposten der Perser problemlos passieren konnte, und so unbemerkt nach Griechenland gelangte. Dies ist ein Beispiel von Steganographie. Ein ähnlliches Beispiel aus der gleichen Zeit-Epoche ist die Geschichte von Histiaeus, der ristagoras von Milet zum ufstand gegen die Perser auffordern wollte. Dazu wurde eine Nachricht in die rasierte Kopfhaut eines Boten gebrannt. Nachdem dessen Haare nachgewachsen waren, konnte der Bote die Nachricht unbemerkt überbringen. Skytale von Sparta (5. Jh.v.Chr.). Dies ist die wohl älteste Überlieferung eines echten kryptographischen Verfahrens. Die Idee bestand darin, dass man ein Schreibband spiralförmig auf die sogenannte Skytale aufwickelte. Die war im wesentlichen ein n-eckiges Holzstück mit variablem Durchmesser. Danach wurde die Nachricht quer zum Spiralverlauf auf das Band geschrieben (siehe bb. 1.1.). Nach Entfernen des Bandes befand die Nachricht in verschlüsselter Form auf dem Band. Für die Entschlüsselung musste man das

6 BEISPIELE US DER GESCHICHTE DER KRYPTOGRPHIE 3 Band auf eine ebensolche Skytale mit gleichem Durchmesser aufwickeln. Die Skytale selbst war somit der Schlüssel, ohne deren Besitz das Entschlüsseln nicht möglich war. Genau genommen war die Skytale eine Transpositions-Chiffrierung. SIEIYHITIEPICINLTEHSZDO!ETIEGRDGRRHEKESZRP n=5 SHPLZTDS IIITDIGEZ ETCEOERKR IIIH!GRP YENSERHE n=6 SICHERHE ITISTDS EINZIGEZ IELDERKR YPTOGRP HIE! n=7 STNDGR IILOREP EET!DK IPEEG YIHTRE HCSIRS IIZEHZ bbildung 1.1. Die Skytale von Sparta: Entschlüsselung für verschiedene Werte n. Kâmastûtra (4. Jh.v.Chr.). Dieses aus Indien stammende Buch beschreibt 64 Künste, welche eine Frau erlernen musste, um für ihren Mann eine perfekte Ehefrau abzugeben. Eine davon war die Kunst der Geheimschrift, die dazu benutzt wurde, Geheimnisse vor ihrem Mann zu bewahren. Julius Caesar (1 Jh.v.Chr.). Für den geheimen Verkehr von Botschaften innerhalb des römischen Reiches wurde am Hof von Julius Caesar die erste (mono-alphabetische) Substitutions- Chiffrierung entwickelt und angewandt. Die Idee dabei bestand im wesentlichen darin, die Buchstaben des zu chiffrierenden Textes um jeweils 3 Positionen im lphabet vorwärts zu verschieben (modulo 26), d.h. aus dem wurde ein D, aus dem B ein E, und so weiter, aus dem X ein, aus dem Y ein B, und aus dem Z ein C. Beispiel: veni vidi vici YHQL YLGL YLFL Um aus einem chiffrierten Text wieder die eigentliche Nachricht zu erhalten, muss die Substitution umgekehrt werden, d.h. sämtliche Buchstaben im lphabet werden um 3 Positionen zurückversetzt. Diese rt der Chiffrierung ist heute unter dem Namen Caesar-Chiffrierung bekannt, wobei die nzahl Positionen n, um welche die Buchstaben vertauscht werden, oft als variabel angesehen wird, und so als geheimer Schlüssel dient. Das diesem Verfahren zugrunde liegende Substitutions-Prinzip bildet zusammen mit dem Transpositions-Prinzip der Skytale noch heute die Basis für fast sämtliche in der Praxis eingesetzten symmetrischen Chiffrier-Methoden. rabische Kryptoanalytiker (9. Jh.). Die mono-alphabetische Substitution galt nach der Entdeckung durch Caesar während mehreren hundert Jahren als uneinnehmbar. l- Kindî, ein arabische Gelehrter, war der erste, dem es mittels Häufigkeitsanalyse gelang, durch Substitution verschlüsselte Nachrichten zu entschlüsseln. Was aus heutiger Sicht als Trivialität angesehen wird, war damals, d.h. lange bevor statistische Methoden bekannt waren, eine enorme intellektuelle Leistung. l-kindî beschrieb sein Verfahren wie folgt:

7 4 HISTORISCHER RÜCKBLICK Eine Möglichkeit, eine verschlüsselte Botschaft zu entziffern, vorausgesetzt wir kennen ihre Sprache, besteht darin, einen anderen Klartext in derselben Sprache zu finden, der lang genug ist, um ein oder zwei Blätter zu füllen, und dann zu zählen, wie oft jeder Buchstabe vorkommt. Wir nennen den häufigsten Buchstaben den ersten, den zweithäufigsten den zweiten, den folgenden den dritten und so weiter, bis wir alle Buchstaben in der Klartextprobe durchgezählt haben. Dann betrachten wir den Geheimtext, den wir entschlüsseln wollen, und ordnen auch seine Symbole. Wir finden das häufigste Symbol und geben ihm die Gestalt des ersten Buchstabens und so weiter, bis wir alle Symbole des Kryptogramms, das wir entschlüsseln wollen, auf diese Weise zugeordnet haben. Kryptographie im mittelalterlichen Europa (12. bis 16. Jh.). Im Mittelalter wurden die Substitutionsverfahren in Europa wiederentdeckt und weiterentwickelt. Der Mönch Roger Bacon schrieb im 12. Jh. das erste Kryptographie-Buch, die sogenannte bhandlung über die geheimen Künste und die Nichtigkeit der Magie. Im 14. Jh., als das heutige Italien aus verschiedenen Stadtstaaten bestand, wurden kryptographische Verfahren von den Botschaftern dieser Staaten und ebenso von päpstlichen Wissenschaftlern zum geheimen Informationsaustausch benutzt. Im 15. Jh. entdeckte Giovanni Soro, der Geheimsekretär des Papstes, die Krytoanalyse neu. us diesem Grund wurden in der Folge die Substitutionsverfahren verbessert, unter anderem durch die Einführung von sogenannten Füllern und Codewörtern (siehe bb.1.2.). Im 16. Jh. versuchte die schottische Königin Mary Stuart mit Hilfe eines solchen Verfahrens ihre Hinrichtung zu verhindern, indem Sie aus dem Gefängnis heraus geheime Nachrichten nach draussen schickte. Diese wurden aber abgefangen, entschlüsselt, und schliesslich als Beweismittel in ihrem Prozess eingesetzt, worauf sie 1586 zum Tode verurteilt wurde. Chiffrier-Code: Codewörter: bbildung 1.2. Mary Stuart s Chiffriercode mit den dazugehörigen Codewörtern. Blaise de Vigenère (16. Jh.). Nachdem die Kryptoanalytiker nach der Wiederentdeckung der Häufigkeitsanalyse vorübergehend die besseren Karten in der Hand hatten als die Kryptogrpahen, musste dringend ein neues kryptographisches Verfahren gefunden werden, dass immun gegenüber der Häufigkeitsanalyse war. Die Benützung von Füllern und Codewörtern war zwar eine Verbesserung, genügte aber nicht. Der französische Diplomat Blaise de Vigenère entdeckte aber dann die sogenannte polyalphabetische Substitution, gegen die die Häufigkeitsanalyse nicht mehr funktionierte. Das Verfahren wurde 1586 im Buch Traicté des Chiffres publiziert und basiert auf der Idee, dass je nach Position eines

8 BEISPIELE US DER GESCHICHTE DER KRYPTOGRPHIE 5 Zeichens im Klartext ein anderer Substitutionsschlüssel (nzahl Positionsverschiebungen im lphabet) verwendet wird. Das Muster dazu wird durch ein Schlüsselwort bestimmt, das wiederholt angewandt wird. Je länger das Schlüsselwort, desto sicherer wird das Verfahren. Konkret wird ein Text zusammen mit dem Schlüsselwort mit Hilfe der in bb gezeigten Verschlüsselungstabelle (Vigenère-Quadrat) verschlüsselt, indem das aktuelle Zeichen im Klartext als Zeilenindex und das aktuelle Zeichen im Schlüsselwort als Spaltenindex dient, und so in der Tabelle das entsprechende Zeichen abgelesen werden kann. Beispiel: komme heute abend nicht marym aryma rymar ymary WODKQ HVSFE RZQNU LUCYR Die Entschlüsselung einer polyalphabetischen Vigenère-Verschlüsselung erfolgt in analoger rt und Weise, was am obigen Beispiel und mit Hilfe des Vigenère-Quadrats leicht überprüft werden kann. a b c d e f g h i j k l m n o p q r s t u v w x y z B C D E F G H I J K L M N O P Q R S T U V W X Y Z B B C D E F G H I J K L M N O P Q R S T U V W X Y Z C C D E F G H I J K L M N O P Q R S T U V W X Y Z B D D E F G H I J K L M N O P Q R S T U V W X Y Z B C E E F G H I J K L M N O P Q R S T U V W X Y Z B C D F F G H I J K L M N O P Q R S T U V W X Y Z B C D E G G H I J K L M N O P Q R S T U V W X Y Z B C D E F H H I J K L M N O P Q R S T U V W X Y Z B C D E F G I I J K L M N O P Q R S T U V W X Y Z B C D E F G H J J K L M N O P Q R S T U V W X Y Z B C D E F G H I K K L M N O P Q R S T U V W X Y Z B C D E F G H I J L L M N O P Q R S T U V W X Y Z B C D E F G H I J K M M N O P Q R S T U V W X Y Z B C D E F G H I J K L N N O P Q R S T U V W X Y Z B C D E F G H I J K L M O O P Q R S T U V W X Y Z B C D E F G H I J K L M N P P Q R S T U V W X Y Z B C D E F G H I J K L M N O Q Q R S T U V W X Y Z B C D E F G H I J K L M N O P R R S T U V W X Y Z B C D E F G H I J K L M N O P Q S S T U V W X Y Z B C D E F G H I J K L M N O P Q R T T U V W X Y Z B C D E F G H I J K L M N O P Q R S U U V W X Y Z B C D E F G H I J K L M N O P Q R S T V V W X Y Z B C D E F G H I J K L M N O P Q R S T U W W X Y Z B C D E F G H I J K L M N O P Q R S T U V X X Y Z B C D E F G H I J K L M N O P Q R S T U V W Y Y Z B C D E F G H I J K L M N O P Q R S T U V W X Z Z B C D E F G H I J K L M N O P Q R S T U V W X Y bbildung 1.3. Verschlüsselungstabelle von Blaise de Vigenère. Charles Babbage (19. Jh.). Die polyalphabetische Verschlüsselung war währen fast drei Jahrhunderten nicht zu brechen und galt als absolut sicher. ls dem englischen Erfinder Charles Babbage im 19. Jh. jedoch die Krypto-nalyse eines entsprechenden verschlüsselten Textes gelang, war dies eine grosse Sensation. Natürlich versuchte man, diese Erkenntnis gegenüber den Feinden Geheim zu halten, um den dadurch erlangten Vorsprung nicht unnötig preiszugeben. So kam es, dass Babbages Entdeckung erst im 20. Jh. bekannt wurde, während das gleiche Verfahren von Willhelm Kusinski wiederendeckt und 1863

9 6 HISTORISCHER RÜCKBLICK veröffentlicht wurde. Man spricht deshalb heute noch vom Kusinski-Test, obwohl dieser historisch gesehen nicht der Erfinder ist. Erster Weltkrieg ( ). Nachdem um die Jahrhundertwende die Morse- und Funktechnik erfunden wurden, erhielten kryptographische Verfahren vor allem bei der militärischen Nachrichtenübertragung eine ganz besondere Bedeutung. nfangs des 20. Jh. waren die deutschen Kryptographen führend. Daraus resultierte das sogenannte DFGVX- System, das im ersten Weltkrieg von den deutschen Truppen für den Nachrichtenverkehr benutzt wurde. Dabei handelte es sich um das erste Verfahren, das gleichzeitig Substitutionen (Caesar) und Transpositionen (Skytale) durchführte. Entsprechend wurden zwei geheime Schlüssel, einer für die Substitution und einer für die Transposition, eingesetzt. Das Verfahren ist durch das in bb gezeigte Beispiel illustriert. Interessant dabei ist, dass zwei verschiedene lphabete verwendet werden, das Klartext-lphabet {, B,... Z, 1, 2,..., 9} und das Ciphertext-lphabet {, D, F, G, V, X} (auf letzterem beruht der Name des Verfahrens). Die Deutschen wähnten sich mit diesem Verfahren in absoluter Sicherheit, doch 1918 gelang es dem Franzosen Georges Painvin, natürlich unter höchster Geheimhaltung, die DFGVX-Verschlüsselung zu knacken. Key #1: geheim Key #2: ROSENDUFT D F G V X R O S E N D U F T g e h i m a D b c d f j k X F D F X F l n o p q r G D G D G V F F G s t u v w x F X D F D D V y z G F X G F D F X angriffmorgenfrueh XFDFXGDGDGVFFFXDFDDGFXGFDF DDDGXFDGFXDXFGFGFGXFDFFVFD bbildung 1.4. Beispiel einer DFGVX-Verschlüsselung mit zwei Schlüsseln. Zweiter Weltkrieg ( ). Nach dem Schmach durch die erfolgreiche DFGVX- Entschlüsselung der Franzosen entwickelten die Deutschen in den 20er Jahren das Verfahren weiter, woraus die von rthur Scherbius gebaute Enigma entstand. Dies war die erste Verschlüsselungsmaschine und galt deshalb als Wunderwaffe. Im Vorfeld des zweiten Weltkrieges wurde die Enigma in grossen Stückzahlen produziert und während dem Krieg für den gesamten Nachrichtenverkehr der deutschen Truppen verwendet. Zuerst wurde die Enigma von den Polen und später unter der Führung von lan Turing von den

10 BEISPIELE US DER GESCHICHTE DER KRYPTOGRPHIE 7 Engländern geknackt, ohne dass die Deutschen davon erfuhren. Die Engländer unterhielten in der Folge in Bletchley Park eine regelrechte Dechiffrier-Stadt, in der tausende hochbegabte Mathematiker und Sprachwissenschaftler an der Entschlüsselung des deutschen Nachrichtenverkehrs arbeiteten. Um das Entschlüsseln zu beschleunigen, bauten die Leute um lan Turing eine unter dem Namen Die Bombe bekannte Dechiffrier-Maschine, auf der später die Entwicklung des ersten Computers beruhte. bbildung 1.5. Die im zweiten Weltkrieg eingesetzte Chiffrier-Maschine Enigma. Der usgang des zweiten Weltkrieges, d.h. die Niederlage Deutschlands gegen die lliierten, ist eng mit der Entschlüsselung der Enigma verknüpft, und es empfiehlt sich deshalb die Lektüre des Buches von Budiansky [Bud00], sowie der entsprechenden Kapitel in den Büchern von Kahn und Singh [Kah96, Sin99].

11

12 KPITEL 2 INFORMTIONSSICHERHEIT Information ist eine Resource von grosser strategischer und ökonomischer Bedeutung. Im Zeitalter der zunehmenden Digitalisierung und der Möglichkeit des weltweiten Kommunikationsverkehrs über das Internet ist diese Bedeutung heute viel ausgeprägter als früher. Deshalb werden je länger je mehr grosse finanzielle und personelle Mittel ins Informations- Management gesteckt, wodurch der Wert von Informationen weiter ansteigt. Entsprechend müssen Massnahmen ergriffen werden, um die Informationen bzw. den Wert, den diese darstellen, zu schützen. In diesem Zusammenhang spricht man von der Gewährleistung der Informations-Sicherheit. Früher bestanden diese Massnahmen hauptsächlich aus physikalischen oder administrativen Vorkehrungen, indem man zum Beispiel den Zugang und die Benützung von Informationssystemen für einen bestimmten Personenkreis reservierte. Solche Massnahmen sind auch heute noch wichtig, doch mit der zunehmenden Vernetzung der verschiedenen Systeme nicht mehr ausreichend. Man versucht deshalb, ngriffe auf die Informationssicherheit mit automatischen Systemen möglichst zu verhindern, und wenn dies nicht möglich ist, zu erkennen und zu korrigieren. In dem Zusammenhang unterscheidet man zwischen Computer-Sicherheit und Netzwerk-Sicherheit, wobei es oft nicht möglich ist, eine klare Grenze zu ziehen. Die Kryptographie ist überall dort ein wichtiges Hilfsmittel, wo die Sicherheit beim Übertragen von Information garantiert werden muss. Man unterscheidet zwischen zeitlicher Übertragung (z.b. auf einer Festplatte), und räumlicher Übertragung (von nach B über ein Netzwerk). Einführung in diekryptographie. c by Prof. Rolf Haenni 9

13 10 INFORMTIONSSICHERHEIT In beiden Fällen geht man davon aus, dass die Übertragung von einem Sender (die sogenannte Informationsquelle) initiiert wird, und für einen Empfänger bestimmt ist. Bei zeitlichen Übertragungen ist der Sender und der Empfänger oft identisch. Dieses Sender- Empfänger-Schema ist das Grundmodell, in dessen Rahmen Informationssicherheit in der Regel diskutiert wird. Eine schematische Darstellung zeigt bb In kryptographischen Texten bezeichnet man den Sender oft als lice () und den Empfänger als Bob (B). Sender Übertragung (zeitlich, räumlich) Empfänger B bbildung 2.1. Das Grundmodell einer Informationsübertragung. Informationssicherheit ist ein Forschungsgebiet für sich, bei welchem kryptographische Techniken als ein Hilfsmittel und nicht als eigentlicher Forschungsgegenstand betrachtet werden. Die Literatur ist enorm und unübersichtlich. Empfehlenswert sind die folgenden Bücher [Bis02, Sch00, WM03]. 2.1 HERKÖMMLICHER POSTVERKEHR Im herkömmlichen Postverkehr, welcher auf bedrucktem oder beschriebenen Papier basiert, gibt es verschiedene Möglichkeiten, die Informationssicherheit zu erhöhen. Zunächst einmal verwendet man Briefumschläge, um ein gewisses Mass an Vertraulichkeit zu garantieren. Indem man einen Brief versiegelt, lässt sich die Vertraulichkeit weiter erhöhen. Ein eingeschriebener Brief führt dazu, dass der Empfänger den Erhalt des Briefes nicht abstreiten kann. Offizielles Briefpapier, ein Stempel, sowie die persönliche Unterschrift dienen als Identitätsbeweis, und gleichzeitig kann der Urheber des Dokumentes seine Urheberschaft nicht mehr abstreiten. Natürlich sind all diese Massnahmen relativ leicht zu umgehen, weshalb durch entsprechende (straf-) rechtliche Massnahmen das Fälschen oder Betrügen möglichst unattraktiv gemacht wird. Um Informationen dieser rt zu vernichten gibt es den Schredder. 2.2 EIGENHEITEN VON ELEKTRONISCHEN DOKUMENTEN Mit dem Einzug der Digitalisierung in vielen Prozessen des lltags, insbesondere in vielen Bereichen des Berufsalltags, hat sich die Sicherheitsproblematik gegenüber früher wesentlich verschärft. Der Hauptgrund dafür sind gewisse Eigenschaften von elektronischen Dokumenten, die herkömmliche Papier-Dokumente nicht oder nur teilweise besitzen. Die folgende Liste gibt einen Überblick: Kopie und Original können nicht unterschieden werden. Das Herstellen von Kopien in beliebiger Zahl ist ohne grossen zeitlichen oder monetären ufwand möglich. Kopien und Änderungen hinterlassen keine Spuren. Der Entstehungsprozess und das lter des Dokumentes kann nicht oder nur bedingt nachvollzogen werden.

14 ZIELE DER INFORMTIONSSICHERHEIT 11 Ein anonymes Dokument lässt nur begrenzt (über den Inhalt) Rückschlüsse auf die Identität des utors zu. Die uthentizität eines angegeben utors kann nicht ohne weiteres überprüft werden. Hinzu kommt, dass man, um auf ein elektronisches Dokument zuzugreifen, dieses nicht mehr physikalisch vor sich haben muss. nders ausgedrückt ist der Zugriff auf ein elektronisches Dokument in einem weltweiten Netzwerk wie dem Internet theoretisch von überall her möglich. Im Vergleich zu herkömmlichen Dokumenten ist das Gewährleisten der im folgenden bschnitt vorgestellten Sicherheitsziele bei elektronischen Dokumenten wesentlich schwieriger. 2.3 ZIELE DER INFORMTIONSSICHERHEIT Geht man von einer in der Einführung dieses Kapitels erwähnten räumlichen oder zeitlichen Übertragung einer Information oder eines entsprechenden Dokumentes aus, dann lassen sich die folgenden vier zentralen Sicherheitsiele definieren: Vertraulichkeit: (Confidentiality, Secrecy, Privacy) Nur berechtigte Personen dürfen Zugriff auf die übertragene Information haben. uthentizität: (uthenticity) Die Herkunft (utor) einer übertragenen Information kann korrekt identifiziert werden. Integrität: (Integrity) Unberechtigte Personen dürfen eine übertragene Information nicht verändern können. Nicht-bstreitbarkeit: (Non-repudiation) Weder dem Sender noch dem Empfänger einer übertragenen Information darf es möglich sein, die Übertragung abzustreiten. n diesen vier Zielen orientiert sich der vorliegende Text. Mit entsprechenden kryptographischen Massnahmen lassen sie sich erreichen. 2.4 NGRIFFE UF DIE INFORMTIONSSICHERHEIT Die möglichen ngriffe auf die Informationssicherheit sind vielfältig. Grundsätzlich kann man zwischen passiven und aktiven ttacken unterscheiden. Im ersten Fall spricht man auch von Spionage, während man im zweiten Fall von Sabotage spricht. Die Person, die einen (passiven oder aktiven) ngriff durchführt, nennt man einen ngreifer (ttacker) oder Gegner (Opponent). Oft spricht man auch von Oscar (O). Passive ttacken in Bezug auf das Grundmodell der Informationsübertragung sind schematisch in bb dargestellt. Diese sind ngriffe auf die Vertraulichkeit der Information, und man unterscheidet zwischen bhören (Release of Message Contents) und Beobachten (Traffic nalysis), je nachdem ob der Inhalt der übertragenen Nachricht von einer unberechtigten Person eingesehen wird, oder ob lediglich die Tatsache der stattgefundenen Übertragung beobachtet wird. Da die erste rt die zweite impliziert, ist die erste entsprechend gravierender.

15 12 INFORMTIONSSICHERHEIT B bhören: O B Beobachten: O bbildung 2.2. Verschiedene rten von passiven ttacken auf die Informationssicherheit. ktive ttacken sind dadurch charakterisiert, dass der Empfänger letztendlich nicht die Information erhält, die ihm eigentlich zugeschickt wurde. Es gibt zwei Extremfälle. Beim ersten Extremfall wurde eine für den Empfänger bestimmte Nachricht versendet, diese kommt aber nie an. Ein ngreifer hat in einem solchen Fall die Übertragung unterbrochen oder blockiert, und dementsprechend spricht man von einem bbruch. Im anderen Extremfall wurde vom Sender gar nie eine Nachricht verschickt, obwohl der Empfänger in dessen Namen eine Nachricht erhalten hat. Diese wurde von einem ngreifer erstellt, weshalb man bei einem solchen ngriff von Fabrikation spricht. Der allgemeine und gleichzeitig gravierendste Fall einer aktiven ttacke ist die Modifikation, bei welcher die eigentliche Nachricht abgefangen und verändert (zum Vorteil des ngreifers) an den Empfänger weitergeschickt wird. Die verschiedenen rten von aktiven ttacken sind in bb schematisch dargestellt. B Unterbruch: O B Modifikation: O B Fabrikation: O bbildung 2.3. Verschiedene rten von aktiven ttacken auf die Informationssicherheit.

16 NGRIFFE UF DIE INFORMTIONSSICHERHEIT 13 Während passive ttacken die Vertraulichkeit der übertragenen Information verletzen, gefährden aktive ttacken sowohl die Integrität (Nicht-Veränderbarkeit) der Nachricht wie auch die uthentizität (Echtheit) des Senders. Da aktive ttacken meistens eine passive ttacke implizieren, kommt der Schutz vor einer passiven ttacke oft an erster Stelle, und gilt aus kryptographischer Sicht somit als Hauptziel. Um die Sicherheit eines zum Schutz vor einer passiven ttacke vorgesehenen kryptographischen Verfahrens zu beurteilen, orientiert sich eine entsprechende Sicherheitsanalyse an verschiedenen möglichen Situationen. In allen Fällen geht man davon aus, dass die Verschlüsselungsmethode (heute handelt es sich dabei um lgorithmen) dem ngreifer bekannt ist, jedoch nicht der verwendete Schlüssel. Dies ist eines der vom Holländer uguste Kerckhoff ( ) formulierten Prinzipien für eine sichere Verschlüsselung. Die eigentliche Nachricht nennt man auch den Klartext (Plaintext), währendem die verschlüsselte Nachricht Chiffretext (Ciphertext) oder Geheimtext genannt wird. Das Ziel eines passiven ngreifers besteht somit darin, aus einem Chiffretext den entsprechenden Klartext abzuleiten. Die oben erwähnten Situationen sind die folgenden: Ciphertext-Only : usser dem Chiffretext (und den lgorithmen) besitzt der ngreifer keine weitere Informationen; Known-Plaintext : Neben dem Chiffretext kennt der ngreifer gewisse Klartext- Chiffretext-Paare; Chosen-Plaintext : Zusätzlich zum Chiffretext kennt der ngreifer die Chiffretexte für gewisse Klartexte, die er selbst gewählt hat; Chosen-Ciphertext : Zusätzlich zum Chiffretext kennt der ngreifer die Klartexte für gewisse Chiffretexte, die er selbst gewählt hat; Chosen-Text : Chosen-Plaintext und Chosen-Ciphertext zusammen. us der Sicht des ngreifers sind diese Situationen gemäss der Liste von abnehmender Schwierigkeit. Grundsätzlich gilt, dass je mehr Information vorhanden ist, desto einfacher ist das Entschlüsseln. Bei hohen Qualitätsansprüchen an ein Verfahren sollte ein Kryptograph somit von einer Chosen Text -Situation ausgehen. Eine spezielle ngriffsmöglichkeit ist die sogenannte Brute-Force-ttacke (Exhaustive Search). Dabei werden sämtliche möglichen Schlüssel einzeln ausprobiert. Um sich davor zu schützen, sollte der Schlüsselraum möglichst gross sein. Da ein Schlüssel in der Regel aus mehreren Zeichen besteht, ist die Grösse des Schlüsselraums im wesentlichen durch die Schlüssellänge (nzahl Zeichen des Schlüssels) bestimmt. Die folgenden Tabellen geben eine Vorstellung darüber, wie lange eine Brute-Force-ttacke für unterschiedliche Schlüssellängen ungefähr dauern würde. Dabei werden zwei Szenarien verglichen, bei welchen das Durchprobieren von 1 Million Schlüsseln eine Sekunde bzw. eine Mikrosekunde dauert. In Tab wir von einem alphanumerischen Schlüssel-lphabet ausgegangen, das aus den 26 Buchstaben bis Z und den Ziffern 0 bis 9 besteht (Gross- und Kleinschreibung wird ignoriert). Insgesamt stehen also 36 Zeichen zur Verfügung. Man sieht, dass für kleine Schlüssel eine Brute-Force-ttacke realistisch ist. Bei ungefähr 15 Zeichen und mehr ist man aber in einem sicheren Bereich. In nbetracht des geschätzten lters des Universums von ungefähr Jahren ist eine Brute-Force-ttacke spätestens ab ungefähr 20 Zeichen völlig unrealistisch, selbst wenn zukünftige Computersysteme das Durchprobieren von Schlüsseln massiv schneller bewerkstelligen können als in den beiden betrachteten Szenarien.

17 14 INFORMTIONSSICHERHEIT Schlüssellänge nzahl Schlüssel 10 6 Schlüssel / s 10 6 Schlüssel / µs 5 Zeichen 36 5 = s 32.2 µs 10 Zeichen = Jahre 30.1 Min. 15 Zeichen = Jahre 3505 Jahre 20 Zeichen = Jahre Jahre Tabelle 2.1. Zeitaufwand relativ zur Schlüssellänge in nzahl alphanumerischer Zeichen. Die entsprechenden Zahlen für binäre Schlüssel sind in Tab aufgeführt. Bei heute in der Praxis eingesetzten symmetrischen Verfahren verwendet man üblicherweise 128 Bits und mehr, d.h. man ist in Bezug auf eine Brute-Force-ttacke im sicheren Bereich. Bei asymmetrischen Verfahren geht man sogar bis 2048 Bits, allerdings gehören dort Brute- Force-ttacken nicht zu den grössten Gefahren. Schlüssellänge nzahl Schlüssel 10 6 Schlüssel / s 10 6 Schlüssel / µs 16 Bits 2 16 = ms 32.7 µs 32 Bits 2 32 = Min. 2.2 ms 56 Bits 2 56 = Jahre 10.1 Std. 64 Bits 2 64 = Jahre 107 Tage 128 Bits = Jahre Jahre 256 Bits = Jahre Jahre 512 Bits = Jahre Jahre 1024 Bits = Jahre Jahre 2048 Bits = Jahre Jahre Tabelle 2.2. Zeitaufwand relativ zur Schlüssellänge in nzahl Bits. Das während vielen Jahren eingesetzte symmetrische Verfahren DES (siehe Teil II, Kap. 7) verwendet 56 Bits. Es gab verschiedene öffentliche Wettbewerbe, DES mit Brute-Force zu knacken. Der erste Wettbewerb DES-I endete 1997 nach 96 Tagen. DES-IIa endete nach 1998 nach 41 Tagen, DES-IIb 1998 nach 56 Stunden und DES-III 1999 nach 22 Stunden. Seither gelten 56 Bits nicht mehr als sicher. 2.5 METHODEN DER INFORMTIONSSICHERHEIT Um die Informationssicherheit zu gewährleisten, gibt es verschiedenste Methoden. Im vorliegenden Text sind vor allem kryptographische Techniken und Protokolle von Interesse, aber andere Massnahmen sind in der Praxis ebenso notwendig wie verbreitet. Die folgen-

18 METHODEN DER INFORMTIONSSICHERHEIT 15 de Liste zeigt eine mögliche Klassifizierung von Methoden, die über die Kryptographie hinausgehen. Kryptographische Techniken: Hierbei werden kodierte Informationen derart transformiert, dass sie für unberechtigte Personen unlesbar (Vertraulichkeit) oder unveränderbar (Integrität) werden. Kryptographische Protokolle: Darunter versteht man eine koordinierte nwendung von kryptographischen Grundtechniken, um höherliegende Ziele (uthentizität, Nicht- bstreitbarkeit) zu erreichen. Beispiel sind digitale Unterschriften oder Zertifikate Software Controls: Der Zugang zu einem Informationssystem wird mit Hilfe von Software-Massnahmen für Unberechtigte erschwert oder verunmöglicht (z.b. Passwörter). Hardware Controls: Der Zugang zu einem Informationssystem wird mit Hilfe Von Hardware-Massnahmen für Unberechtigte erschwert oder verunmöglicht (z.b. Chipkarten). Policies: Hier geht es um administrative Richtlinien, welche zur Sicherheit eines Informationssystems beitragen (z.b. das regelmässige Ändern eines Passwortes) Physical Controls: Türschlösser, Backups, Wächter, usw. Kryptographische Grundtechniken werden in den Teilen II und III behandelt, während auf Protokolle in Teil IV und bis zu einem gewissen Grad auch in Teil V eingegangen wird.

19

20 KPITEL 3 BEGRIFFE UND GRUNDKONZEPTE Bei der Diskussion von kryptographischen Verfahren ist es wichtig, gewisse Begriffe und Konzepte genau zu definieren. Wie bereits erwähnt, orientiert man sich grundsätzlich an Sicherheitszielen, welche von einer räumlichen oder zeitlichen Informationsübertragung ausgehen. Im folgenden wird dieses Modell genauer spezifiziert. Für ein präzises Verständnis der wichtigsten kryptographischen Techniken sind zudem gewisse mathematische Grundkonzepte erforderlich, die nachfolgend kurz zusammengefasst werden. Darauf aufbauend erfolgt dann eine kurze Diskussion der wichtigsten Begriffe und Konzepte bezüglich symmetrischer und asymmetrischer Ver- und Entschlüsselung. ndere wichtige Grundkonzepte wie Hash-Funktionen und digitale Unterschriften werden in den entsprechenden Kapiteln eingeführt. 3.1 KOMMUNIKTIONSTEILNEHMER UND KNÄLE Eine Informationsübertragung zwischen einem Sender und Empfänger kann man verallgemeinert auch als Kommunikation zwischen verschiedenen Teilnehmern und über entsprechende Kanäle betrachten. Man geht also von einer Menge von Kommunikationsteilnehmern aus, die im folgenden Entitäten genannt werden. Entitäten sind Personen, Organisationen, automatische Systeme, und so weiter, welche Informationen senden, empfangen oder manipulieren. Zusammen bilden sie ein Kommunikationsnetzwerk. Dieses stellt sogenannte Kanäle zur Verfügung, über welche zwei oder mehrere Entitäten Information übertragen können. Wie bereits erwähnt spricht man bei einer bipolaren übertragung zwischen zwei Einführung in diekryptographie. c by Prof. Rolf Haenni 17

21 18 BEGRIFFE UND GRUNDKONZEPTE Entitäten vom Sender und Empfänger. Im allgemeinen kann eine Information auch für mehrere Empfänger bestimmt sein. Neben dem Sender und einem oder mehreren Empfängern ist ein ngreifer oder Gegner eine weitere Entität im Netzwerk. Oft versucht ein ngreifer, sich als legitimer Sender oder Empfänger auszugeben. Eine weitere mögliche Entität ist eine sogenannte vertrauenswürdige dritte Instanz (Trusted Third Party, TTP), die vom Sender und Empfänger als vertrauenswürdig eingeschätzt wird (also nicht als möglicher ngreifer in Frage kommt), und im Falle von Konflikten als richterliche Instanz hinzugezogen werden kann. Kritisch bei einer Informationsübertragung ist der verwendete Kanal, da ngriffe in der Regel darauf abzielen, diesen abzuhören, zu blockieren, oder zu verändern. Ein sicherer Kanal ist für einen möglichen ngreifer physikalisch nicht zugänglich. Dies ist der Idealfall, der nur in sehr seltenen Fällen garantiert werden kann, z.b. bei einer zeitlichen Übertragung einer Information auf der Festplatte eines in einem Safe aufbewahrten Notebooks. In der Regel benutzt man unsichere Kanäle, die von beliebigen Entitäten für verschiedene Zwecke benutzt werden können. Im schlimmsten Fall besitzen sämtliche Entitäten im Netzwerk Lese- und Schreibrechte. Falls ein Kanal mittels kryptographischen Mitteln für einen möglichen Gegner unzugänglich gemacht wurde, spricht man von einem gesicherten Kanal. In diesem Sinne ist das Errichten von gesicherten Kanälen das Ziel der Kryptographie. 3.2 MTHEMTISCHE GRUNDKONZEPTE Ein kryptographisches Verfahren ist meistens dadurch charakterisiert, dass eine kodierte Information auf eine bestimmte rt und Weise transformiert wird, so dass sie nicht ohne weiteres gelesen oder verändert werden kann. Mathematisch gesehen handelt es sich bei einer solchen Transformation um eine Funktion. Die wichtigsten rten von mathematischen Funktionen werden im folgenden kurz zusammengefasst. Funktion (Function, Mapping) nennt man eine bbildungsvorschrift f, die jedem Element der Definitionsmenge X ein Element y = f(x) der Wertemenge Y zuweist: f : X Y. Injektion (One-To-One Function) nennt man eine Funktion f, die jedem Element der Definitionsmenge X ein unterschiedliches Element der Wertemenge Y zuweist: f : X Y, x 1 x 2 f(x 1 ) f(x 2 ). Bijektion nennt man eine Injektion f, für die jedes Element der Wertemenge Y dem Wert eines Elementes der Definitionsmenge X entspricht: f : X Y, x 1 x 2 f(x 1 ) f(x 2 ), X = Y. Umkehrfunktion (Inverse Function) nennt man die für eine gegebene Bijektion f von X nach Y wie folgt definierte Funktion f 1 : f 1 : Y X, f 1 (f(x)) = x.

22 MTHEMTISCHE GRUNDKONZEPTE 19 Permutation nennt man eine Bijektion f mit identischen Definitions- und Wertemengen X = Y : f : X X, x 1 x 2 f(x 1 ) f(x 2 ). Involution nennt man eine Permutation f, die mit ihrer Umkehrfunktion f 1 identisch ist: f : X X, x 1 x 2 f(x 1 ) f(x 2 ), f(f(x)) = x. Die Eigenschaften dieser verschiedenen Funktionsarten sind in bb illustriert. Links von den Pfeilen stehen die Elemente der Definitionsmenge und rechts davon diejenigen der Wertemenge. v v a w a w a v a v a a a a b x b x b w b w b b b b c y c y c x c x c c c c d z d z d z d z d d d d Funktion Injektion Bijektion Umkehrfunktion Permutation Involution bbildung 3.1. Eigenschaften der verschiedenen Funktionsarten. In der Kryptographie gibt es zwei weitere Klassen von Funktionen, die von besonderer Bedeutung sind. Die in den folgenden Definitionen verwendeten ttribute leicht, meisten und schwierig sind in einem komplexitätstheoretischen Sinn zu verstehen. Einweg-Funktion (One-Way Function) nennt man eine Bijektion f, die für alle Elemente der Definitionsmenge X leicht zu berechnen ist, deren Umkehrfunktion aber für die meisten Elemente von Y schwierig zu berechnen ist. Beispiel: X = Y = {0, 1, 2,..., 16}, f(x) = 3 x mod 17. Einweg-Funktionen mit Falltür (Trapdoor One-Way Function) sind spezielle Einweg- Funktionen, deren Umkehrfunktion mit Hilfe einer Zusatzinformation, die sogenannte Falltür-Information (Trapdoor Information) für alle Elemente von Y leicht zu berechnen ist. Die Existenz von Einweg-Funktionen (mit oder ohne Falltür) ist theoretisch nicht bewiesen, es gibt aber verschiedene gute Kandidaten. Diese bilden die Basis der modernen Kryptographie.

23 20 BEGRIFFE UND GRUNDKONZEPTE 3.3 VERSCHLÜSSELUNG UND ENTSCHLÜSSELUNG Die wichtigsten kryptographischen Grundfunktionen sind jene der Ver- und Entschlüsselung einer Information. Dabei bezieht man sich auf entsprechende Mengen der zur Verfügung stehenden Zeichen. Diese Mengen werden lphabete genannt. Das klassische Beispiel eines lphabetes ist jenes der 26 Buchstaben = {, B,..., Z}. In der modernen Kryptographie arbeitet man in der Regel ausschliesslich mit dem Binär-lphabet = {0, 1}. Ein solches Zeichen bezeichnet man als Bit. Wie bereits erwähnt nennt man die zu verschlüsselnde Nachricht den Klartext (Plaintext), währendem die verschlüsselte Nachricht Chiffretext (Ciphertext) oder Geheimtext genannt wird. Im allgemeinen besteht ein Klartext und der entsprechende Chiffretext nicht notwendigerweise aus Zeichen des gleichen lphabets. Man spricht deshalb vom Klartext- lphabet M und dem Chiffretext-lphabet C. Ein Klartext ist somit eine Kette m M von Zeichen des lphabets M, während ein Chiffretext eine Zeichenkette c C aus dem Chiffretext-lphabet C ist. M und C stehen also für die entsprechenden Mengen aller möglicher Klar- und Chiffretexte. Die nzahl Zeichen einer Zeichenkette m wird als deren Länge N = m bezeichnet. Beispiel: Klartext-lphabet: M = {0, 1, 2}, m = , N = 16 Ein Schlüssel k ist ein Element einer Menge K, dem sogenannten Schlüsselraum. In der Praxis handelt es sich bei K meistens um die Menge aller Zeichenketten mit gleicher Länge, die aus einem Schlüssel-lphabet K gebildet werden können. Damit erhält auf eine einfache rt einen sehr grossen Schlüsselraum, was bei sämtlichen kryptographischen Verfahren von entscheidender Wichtigkeit ist, um eine Brute-Force-ttacke zu verunmöglichen. Bei DES zum Beispiel besteht der Schlüsselraum aus der Menge der möglichen Bitstrings der Länge 56 Bits. Die Idee eines Schlüssels e K ist, dass dieser in eindeutiger Weise eine (umkehrbare) Bijektion von M nach C bestimmt. Eine solche Bijektion E e wird Verschlüsselungsfunktion (Encryption Function) genannt: E e : M C. In analoger Weise wird angenommen, dass jeder Schlüssel d K in eindeutiger Weise eine Bijektion D d von C nach M bestimmt, die man Entschlüsselungsfunktion (Decryption Function) nennt: D d : C M. Ein Verschlüsselungssystem (encryption scheme) oder eine Chiffre (cipher) besteht aus einer Menge {E e : e K} von Verschlüsselungsfunktionen und einer entsprechenden Menge {D d : d K} von Entschlüsselungsfunktionen mit der Bedingung, dass für jeden Schlüssel e K in eindeutiger rt und Weise ein d K existiert, so dass für alle Klartexte m M die folgende Bedingung erfüllt ist: D d (E e (m)) = m. In anderen Worten nimmt man an, dass für ein entsprechendes Schlüsselpaar (e, d) die Entschlüsselungsfunktionen D d die Umkehrfunktion der Verschlüsselungsfunktionen E e ist, d.h. D d = Ee 1. In der Praxis muss man sich die beiden Funktionen E e und D d als

24 VERSCHLÜSSELUNG UND ENTSCHLÜSSELUNG 21 Instanzierungen E(e) und D(d) von allgemeinen Funktionen E und D vorstellen, die den entsprechenden Schlüssel als zusätzliches rgument akzeptieren. E : M K C, D : C K M. In der symmetrischen Kryptographie sind die beiden Schlüssel eines Schlüsselpaares (e, d) oft identisch. In gewissen Fällen sind sogar die entsprechenden Funktionen E und D identisch, d.h. das Verschlüsselungssystems definiert in einem solchen Fall eine Involution über dem gleichen Klartext- und Chiffretext-lphabet M = C. Der Vorteil dabei ist, dass sich ein solches System einfacher implementieren lässt. Beispiel: Falls M = {m 1, m 2, m 3 } und C = {c 1, c 2, c 3 }, dann gibt es genau 3! = 6 verschiedene Bijektionen von M nach C. Der Schlüsselraum könnte somit aus bis zu 6 Schlüsseln bestehen, z.b. K = {1, 2, 3, 4, 5, 6}. Mögliche Verschlüsselungsfunktionen sind in bb dargestellt. Falls die entsprechenden Entschlüsselungsfunktionen gleich durchnumeriert sind, dann sind (1, 1), (2, 2), (3, 3), (4, 4), (5, 6) und (6, 5) die möglichen Schlüsselpaare. E 1 E 2 E 3 E 4 E 5 E 6 m 1 c 2 m 1 c 2 m 1 c 2 m 1 c 2 m 1 c 2 m 1 c 2 m 2 c 3 m 2 c 3 m 2 c 3 m 2 c 3 m 2 c 3 m 2 c 3 m 3 c 1 m 3 c 1 m 3 c 1 m 3 c 1 m 3 c 1 m 3 c 1 bbildung 3.2. Verschiedene Verschlüsselungsfunktionen. ufgrund der obigen Erläuterungen lässt sich nun das Grundmodell einer verschlüsselten Zweiparteien-Kommunikation präzisieren. Wie in bb dargestellt verschlüsselt der Sender die Nachricht m mit einem Schlüssel e und einer entsprechenden Funktion E e. Daraus resultiert der Chiffretext c, der dann über einen unsicheren Kanal an den Empfänger geschickt wird. Der Empfänger kann die verschlüsselte Nachricht dann mit Hilfe des Schlüssels d und der Funktion D d wieder in m überführen. O c? c = E e (m) m = D d (c) B Nachricht m Nachricht m bbildung 3.3. Verschlüsselte Zweiparteien-Kommunikation über einen unsicheren Kanal.

25 22 BEGRIFFE UND GRUNDKONZEPTE 3.4 SYMMETRISCHE VS. SYMMETRISCHE VERSCHLÜSSELUNG Bisher wurde nichts darüber gesagt, ob und wie die beiden Schlüssel e und d in Beziehung stehen. Dies wird jetzt aber das entscheidende Kriterium sein, aufgrund dessen zwischen symmetrischer und asymmetrischer Verschlüsselung unterschieden wird. Ein Verschlüsselungssystem wird symmetrisch genannt, wenn es für jedes zulässige Schlüsselpaar (e, d) einfach ist, d aus e und e aus d abzuleiten. In einem solchen Fall steckt in beiden Schlüsseln e und d im wesentlichen die gleiche Information, und dem Sinne besteht eine Symmetrie zwischen Ver- und Entschlüsselung. Im einfachsten Fall eines symmetrischen Verschlüsselungssystems haben wir e = d, wobei ein solcher Schlüssel dann als k bezeichnet wird. Im folgenden werden wir immer von einer solchen Situation ausgehen. Die gesamte klassische Kryptographie beruht auf diesem Grundsatz. Damit ein übertragener Chiffretext von einem ngreifer nicht verstanden werden kann, muss der Schlüssel k (oder im allgemeinen Fall beide Schlüssel e und d) geheim gehalten werden. Man bezeichnet k deshalb auch als geheimen Schlüssel (Secret Key, Symmetric Key, Single Key). Da sowohl der Sender wie der Empfänger im Besitz dieses geheimen Schlüssels sein müssen, muss dieser im Vorfeld der eigentlichen Kommunikation vereinbart werden. Dies nennt man das Schlüsselverteilproblem, auf das zu einem späteren Zeitpunkt genauer eingegangen wird. In nalogie zur obigen Definition wird ein Verschlüsselungssystem asymmetrisch genannt, fall es für die meisten Schlüsselpaare (e, d) schwierig ist, d aus e herzuleiten (oder umgekehrt). In einem solchen Fall nennt man d einen privaten Schlüssel (Private Key), während e der entsprechende öffentliche Schlüssel (Public Key) ist. Wie der Name es sagt, ist der zur Entschlüsselung benutzte private Schlüssel d Eigentum des Empfängers und ist somit geheim zu halten. Der zu d gehörende öffentliche Schlüssel e hingegen ist nicht geheim und darf deshalb über beliebige (unsichere) Kanäle übertragen werden. Dies ist der entscheidende Vorteil von asymmetrischen gegenüber symmetrischen Verfahren, und dies führt letztendlich dazu, dass das Schlüsselverteilproblem entscheidend vereinfacht (jedoch nicht gelöst) wird. Dieser Sachverhalt ist in den folgenden zwei bbildungen dargestellt. k B e B E k c D k E e c D d m m m m bbildung 3.4. Bei einer symmetrischen Verschlüsselung ist der Schlüssel k geheim und muss deshalb über einen sicheren Kanal übertragen werden. bbildung 3.5. Bei einer asymmetrischen Verschlüsselung ist der Schlüssel e öffentlich und kann also über einen unsicheren Kanal übertragen werden. Die Tatsache, dass bei asymmetrischen Verfahren der für die Verschlüsselung verwendete Schlüssel e öffentlich ist, führt dazu, dass verschiedene Sender die Nachrichten für einen bestimmten Empfänger mit demselben Schlüssel verschlüsseln. In bb ist ein entsprechendes Kommunikationsschema abgebildet.

26 SYMMETRISCHE VS. SYMMETRISCHE VERSCHLÜSSELUNG 23 1 E e m 1 c 1 e B m 2 2 E e c 2 e D d m 3 3 c 3 e E e m 1 m 2 m 3 bbildung 3.6. Schema einer Mehrparteien-Kommunikation unter Verwendung desselben öffentlichen Schlüssels e. Damit in einem aus n Entitäten bestehenden Netzwerk alle miteinander verschlüsselt kommunizieren können, werden bei symmetrischen Verfahren insgesamt N = n (n 1), 2 d.h. quadratisch viele, verschiedene Schlüssel benötigt. symmetrische Verfahren reduzieren diese Zahl auf N = 2n Schlüssel, d.h. pro Entität genau 2 Schlüssel. Dies widerspiegelt die Tatsache, dass bei asymmetrischen Verfahren das Schlüsselverteilproblem wesentlich einfacher ist. Der wichtigste Vorteil einer asymmetrischen Verschlüsselung wurde bereits erwähnt, nämlich dass öffentliche Schlüssel über unsichere Kanäle verteilt werden können. Wie wir werden später sehen (siehe Teil III, Kap. 12), wird das Schlüsselverteilproblem dadurch nicht endgültig gelöst, aber wie bereits beschrieben wesentlich vereinfacht. symmetrische haben gegenüber symmetrischen Verfahren aber nicht nur Vorteile. Die nachfolgende uflistung gibt einen Überblick der wichtigsten Vor- und Nachteile dieser beiden Verschlüsselungsarten. a) Symmetrische Verschlüsselung Vorteile: Ist sowohl als Hardware wie auch als Software implementierbar; Ist sehr effizient (Hardware 100 MB/s, Software 1 MB/s); Erfordert relativ kurze Schlüssel (z.b. 128 Bits); Gewisse Verfahren dienen gleichzeitig als Primitiven für andere Zwecke (z.b. Pseudo-Zufallsgenerator, Hash-Funktion, usw.); Besitzt eine lange Geschichte und ist gut erforscht. Nachteile: Der Schlüssel darf auf keinen Fall über einen unsicheren Kanal vereinbart werden; Der Schlüssel muss an zwei Orten geheim gehalten werden (ausser wenn es sich beim Sender und Empfänger um die gleiche Person handelt); ls Folge davon sollte der geheime Schlüssel oft geändert werden; Es stehen sehr viele verschiedene Schlüssel im Einsatz; Jede Entität muss verschiedene Schlüssel geheim halten.

27 24 BEGRIFFE UND GRUNDKONZEPTE b) symmetrische Verschlüsselung Vorteile: Der öffentliche Schlüssel kann über einen unsicheren Kanal übertragen werden (sicher gegenüber einer passiven ttacke); Pro Entität muss nur ein Schlüssel geheim gehalten werden; Ein Schlüsselpaar kann über eine längere Zeitspanne hinweg benutzt werden; Gewisse Verfahren können auch für digitale Unterschriften verwendet werden; Selbst in grossen Netzwerken bleibt die Gesamtzahl der benötigten Schlüssel relativ klein. Nachteile: Kann nur als Software implementiert werden; Ist relativ langsam (100 bis 1000 mal langsamer als gleichwertige symmetrische Verschlüsselung); Erfordert relativ lange Schlüssel (z.b Bits); Bis heute gibt es keinen Beweis für die Existenz eines absolut sicheren Verfahrens; Besitzt eine sehr kurze Geschichte und ist relativ unerforscht. Da beide Verschlüsselungsarten Vor- und Nachteile besitzen, die zum Teil komplementär sind, werden in der Praxis symmetrische und asymmetrische Verfahren oft kombiniert. Man spricht dann von hybriden Systemen, auf die in Teil III, Kap. 11 genauer eingegangen wird.