Eik List, Jakob Wenzel Kryptographie (WS 16/17) 1: Einleitung 12 1:

Transkript

1 1: Einleitung 12 1:

2 1: Einleitung Was ist Kryptographie? Kryptologie Kryptographie Codes erstellen Krypt(o)analyse Codes analysieren krýptein = verbergen (aus dem Griechischen) Für uns: Kryptographie = Kryptologie 13 1: Einleitung

3 Anständige Menschen haben nichts zu verbergen und brauchen keine Kryptographie! (oder doch?) Haben Ihr zukünftiger Arbeitgeber und dessen Kunden oder Ihre zukünftigen Kunden auch nichts zu verbergen? Haben Sie wirklich nichts zu verbergen? Sie riskieren ein Opfer von Stalkern, Mobbern oder Spammern zu werden. Der Preis für ein Produkt kann davon abhängen, wie dringend Sie dieses Produkt haben wollen. Das Angebot, das Ihnen der Server des Online-Händlers macht, kann z. B. von Ihrer Such-Historie abhängen. Mit Kryptographie können Sie anonym suchen bzw. sich anonym ein Angebot machen lassen. Kryptographie dient nicht nur der Bewahrung von Geheimnissen, sondern auch der Authentizität. Selbst wenn Sie z. B. alle Ihre Kontoauszüge veröffentlichen erlauben Sie anderen dann auch Geld von Ihrem Konto abzubuchen? 14 1: Einleitung

4 Geschichte Seit der Antike: Verbreiteter aber unsystematischer Einsatz kryptographischer Methoden (z.b. durch Caesar). Ende 19. Jh.: Systematisierung und Formalisierung. 1930/40er: Polen, Briten und Amerikaner brechen sehr starke deutsche Chiffren (u.a. Enigma ). Erstmalig Einsatz von Rechenmaschinen zum Code-Brechen. 1970er: Data Encryption Standard (DES). Public-Key-Kryptographie. 1980er: Zero-Knowledge-Protokolle. Seitdem: Massenhafte Verbreitung der Kryptographie (Geldautomaten, Internet, Mobilfunk, Pay-TV, Signaturgesetz... ). 15 1: Einleitung

5 Moderne Kryptographie Klassisch: Militär, Geheimdienste, Diplomaten,... Modern (etwa seit 1975): Jedermann Cryptography is about communication in the presence of adversaries. (Ron Rivest) 16 1: Einleitung

6 Entitäten In der Kryptographie werden oft folgende Entitäten verwendet: Alice (Sender) Bob (Empfänger) Eve (passiver Angreifer, eavesdropper) Mallory (aktiver Angreifer, malicious adversary) Alice Bob Eve 17 1: Einleitung

7 Ziele beim Einsatz von Kryptographie Die Geheimhaltung von Daten ( Vertraulichkeit ) ( Nur wir können diesen Text lesen. ) Die Authentizität und Integrität von Daten ( Du hast diesen Brief geschrieben, und niemand hat am Text etwas geändert. ) Die Authentizität von Kommunikationspartnern ( Ach, Du bist es! ) Anonymität in der Kommunikation (elektronisches Geld, Wahlen mit Wahlgeheimnis,... ) 18 1: Einleitung

8 Chiffren Eine Chiffre wird definiert durch drei Mengen M: Klartextemenge (Nachrichten) C: Chiffretextmenge (Kryptogramme) K: Schlüsselmenge und zwei (bzw. drei) effiziente Algorithmen E : K M C (Verschlüsseln) D : K C M (Entschlüsseln) (3. G : K (Schlüssel erzeugen) ) Korrektheitskriterium: Für jeden Klartext M M und jeden Schlüssel K K gilt D(K, E(K, M)) = M Wir schreiben oft E K ( )/D K ( ) statt E(K, )/D(K, ) 19 1: Einleitung

9 Kerkhoffs Prinzip Security-Through-Obscurity-Prinzip Die Sicherheit eines Systems oder eines Verfahrens hängt von der Geheimhaltung seiner Funktionsweise ab. Ein Gegenkonzept wurde 1883 von Auguste Kerckhoffs formuliert. Kerkhoffs Prinzip (1883) Die Sicherheit eines Verschlüsselungsverfahrens beruht auf der Geheimhaltung des Schlüssels und nicht auf der Geheimhaltung des Verschlüsselungsalgorithmus. 20 1: Einleitung

10 Sichtweise der modernen Kryptographie Shannon (1949) Der Feind kennt das benutzte System Unterscheidung zwischen Kryptosystem und Schlüssel. Forderung: Ein System soll auch dann sicher sein wenn der Gegner alles über das System kennt mit Ausnahme des verwendeten Schlüssels. 21 1: Einleitung

11 1.1: Klassische Kryptographie 22 1: Einleitung 1.1: Klassische Kryptographie

12 1.1: Klassische Kryptographie Die Caesar-Chiffre Julius Caesar verschlüsselte seine Nachrichten, indem er Klartext-Buchstaben a,..., z auf die folgende Weise auf Chiffretext-Buchstaben A,..., Z abbildete. a D b E c F d G e H Beispiel: caesar FDHVDU v Y w Z x A y B z C 23 1: Einleitung 1.1: Klassische Kryptographie

13 Die Caesar-Chiffre (2) Ist das nun eine Chiffre? Klartextmenge M = { a,..., z } Chiffretextmenge C = { A,..., Z } (Großbuchstaben dienen lediglich der besseren Unterscheidbarkeit) Ver- und Entschlüsselungsalgorithmus E und D: Klar! Was könnte die Schlüsselmenge sein? 24 1: Einleitung 1.1: Klassische Kryptographie

14 Die Caesar-Chiffre (3) Man ordne den Buchstaben eine Zahl aus der Menge Z 26 = {0,..., 25} zu a bzw. A 0 b bzw. B 1 c bzw. C 2 y bzw. Y 24 z bzw Z 25 Mengen M = C = K = Z : Einleitung 1.1: Klassische Kryptographie

15 Die Caesar-Chiffre (4) Verschlüsseln: E(K, M) = M + K mod 26 Entschlüsseln: D(K, C) = C K mod 26 Schlüsselerzeugung G: Trivial! Die Algorithmen sind offenbar effizient. Es gilt: D K (E K (M)) = M + K K = M. Wir haben eine Chiffre. 26 1: Einleitung 1.1: Klassische Kryptographie

16 Die Caesar-Chiffre (5) Beispiel: Wir haben den Chiffretext IGJG KOGU RCUU YQTV abgefangen. Wer kann diese Nachricht dechiffrieren? 27 1: Einleitung 1.1: Klassische Kryptographie

17 Die Substitutionschiffre Bei einer Substitutionschiffre ordnet man jedem Klartext-Buchstaben eindeutig einen Chiffretext-Buchstaben zu, zum Beispiel: a D b R c L d M e H v I w K x F y X z Z 28 1: Einleitung 1.1: Klassische Kryptographie

18 Die Substitutionschiffre (2) Die Caesar-Chiffre ist ein Spezialfall der Substitutionschiffre. Während die Caesar-Chiffre bei einem Alphabet der Größe 26 nur 26 verschiedene Schlüssel erlaubt, sind es bei der Substitutionschiffre 26! = Blindes Ausprobieren ( brute-force ) führt bei der Caesar-Chiffre schnell zum Erfolg, ist bei der Substitutionschiffre aber aussichtslos. 29 1: Einleitung 1.1: Klassische Kryptographie

19 Die Substitutionschiffre (3) Doch: Auch die Substitutionschiffre ändert die Spachstatistik nicht. Im Deutschen gilt ungefähr die folgende Verteilung e : 1/16 aller Buchstaben e, n, i : zusammen 1/3 aller Buchstaben e, n, i, s r, a, t, d : 2/3 aller Buchstaben Die Häufigkeit von Buchstabenpaaren, -tripeln,..., ist auch hilfreich. 30 1: Einleitung 1.1: Klassische Kryptographie

20 Die Substitutionschiffre (4) Hat man genug (z. B., die häufigsten acht) Buchstaben richtig zugeordnet, kann man die restlichen Buchstaben ergänzen. Chiffretext: dingnbrnsryebdnkirnivnbgewgrirerimvgthiaabn onbgthzenggnzrfwnbynvvkfvdinhfneaiugrnvfthr wethgrfwnvpnvvrpfvvkfvdnvivhfzrgthmvnbbfrnv Acht Buchstaben ( e, n, i, s r, a, t, d ) richtig: dieserte*t**rde*iteiners**stit*ti*ns**i**re *ers****esse*ta*er*enn*andie*ae**i*stena**t ****sta*en*ennt*ann*andenin*a*ts***nerraten 31 1: Einleitung 1.1: Klassische Kryptographie

21 1.2: Wiederholung Diskrete Wahrscheinlichkeit 32 1: Einleitung 1.2: Wiederholung Diskrete Wahrscheinlichkeit

22 1.2: Wiederholung Diskrete Wahrscheinlichkeit Definition 1 Ein diskreter Wahrscheinlichkeitsraum besteht aus der abzählbaren Menge der Elementarereignisse Ω, Eine Multi-Menge der erlaubten Ereignisse F (wenn keine Einschränkungen getroffen sind, ist F die Menge aller Teilmengen von Ω), der Wahrscheinlichkeitsverteilung Pr, d. h. einer Funktion Pr : Ω R 0, mit Pr(x) = 1. x Ω Dabei bezeichnet R 0 die Menge aller reellen Zahlen : Einleitung 1.2: Wiederholung Diskrete Wahrscheinlichkeit

23 Beispiele (Würfel) Fairer Würfel ( Laplace-Würfel ): Ω = {1, 2, 3, 4, 5, 6}, x Ω : Pr[x] = 1/6 Würfel mit Bleigewicht unter der 1: Ω = {1, 2, 3, 4, 5, 6}, Pr[2] = Pr[3] = Pr[4] = Pr[5] = 1/6, Pr[6] = 2/9. Was ist Pr[1]? Wie wahrscheinlich ist es, eine gerade Zahl zu würfeln? 34 1: Einleitung 1.2: Wiederholung Diskrete Wahrscheinlichkeit

24 Ereignisse und ihre Wahrscheinlichkeit Definition 2 Die Elemente von Ω sind die Elementarereignisse, alle Teilmengen von Ω sind Ereignisse. Die Wahrscheinlichkeit Pr[E] eines Ereignisses E Ω ist Pr[E] = x E Pr(x). Das Ereignis {} ist das unmögliche und Ω selbst ist das sichere Ereignis. 35 1: Einleitung 1.2: Wiederholung Diskrete Wahrscheinlichkeit

25 Beispiel: Gleichverteilung ( Laplace-Verteilung ) Sei Ω endlich. Sind alle Elementarereignisse gleich wahrscheinlich, dann gilt x Ω : Pr[x] = 1 Ω. Ferner gilt für alle Ereignisse E Ω: Pr[E] = E Ω. Konkretes Beispiel: Fairer ( Laplace -) Würfel Ω = {1, 2, 3, 4, 5, 6} x Ω : Pr[x] = 1/6 Pr[{2, 4, 6}] = 1/2 36 1: Einleitung 1.2: Wiederholung Diskrete Wahrscheinlichkeit

26 Zwei unabhängige Ereignisse Definition 3 Zwei Ereignisse A, B Ω heißen (stochastisch) unabhängig, wenn Pr[A B] = Pr[A] Pr[B] gilt. Andernfalls heißen sie (stochastisch) abhängig. 37 1: Einleitung 1.2: Wiederholung Diskrete Wahrscheinlichkeit

27 Zufallsvariablen Eine Zufallsvariable ( random variable ) ist weder zufällig noch eine Variable. Sie ist eine Funktion, die jedem Ereignis eines Ereignisraumes einen numerischen Wert zuordnet: Definition 4 Sei (Ω, Pr) ein diskreter Wahrscheinlichkeitsraum. Eine diskrete Zufallsvariable ist eine Funktion X : Ω R. Dabei ist R eine abzählbare Teilmenge von R. 38 1: Einleitung 1.2: Wiederholung Diskrete Wahrscheinlichkeit

28 1.3: Perfekte Kryptographie 39 1: Einleitung 1.3: Perfekte Kryptographie

29 1.3: Perfekte Kryptographie Informationstheoretische Sicherheit Eine Chiffre (E, D, G) ist informationstheoretisch sicher wenn nicht einmal ein Angreifer mit unbeschränkter Rechenzeit diese brechen kann. (In diesem Abschnitt.) 40 1: Einleitung 1.3: Perfekte Kryptographie

30 Informationstheoretische Sicherheit Auftretende Variablen: M: ein (unbekannter) Klartext C: ein (irgendwann bekannter) Chiffretext X: Zufallsvariable für den Klartext Y: Zufallsvariable für den Chiffretext Z: Zufallsvariable für den Schlüssel Situation beim Abhören einer verschlüsselten Nachricht: Vorwissen: Pr [X = M] ( a-priori-wahrscheinlichkeit ) Nachwissen: Pr [X = M Y = C] ( a-posteriori-w. ) 41 1: Einleitung 1.3: Perfekte Kryptographie

31 Eine einfache Beispiel-Chiffre Klartext-, Chiffretext- und Schlüsselmenge jeweils {0, 1} Schlüssel K zufällig und gleichverteilt aus {0, 1}: (K $ {0, 1}) Chiffretext C = M K 42 1: Einleitung 1.3: Perfekte Kryptographie

32 Informationstheoretische Sicherheit (Definition) Ein Chiffretext C ist möglich, wenn Pr [Y = C] > 0 gilt. Definition 5 Eine Chiffre heißt perfekt, wenn für alle Klartexte M und alle möglichen Chiffretexte C gilt: Pr [X = M Y = C] = Pr [X = M]. Satz 6 Die Beispielchiffre ist perfekt. Sie ist sogar für jede mögliche Verteilung der Klartexte perfekt. Man beachte: Wenn wir den Schlüssel anders wählen (ungleichverteilt), ist die Beispielchiffre nicht perfekt. 43 1: Einleitung 1.3: Perfekte Kryptographie

33 Das One-Time-Pad (Vernam, 1917) Ganze Zahl n ( Anzahl der Bits ) Klartext- = Chiffretext- = Schlüsselmenge = {0, 1} n Verschlüsseln des Klartextes M = (M 1,..., M n ) unter dem Schlüssel K = (K 1,..., K n ): E K (M) = (M 1 K 1,..., M n K n ) Entschlüsseln des Chiffretextes C = (C 1,..., C n ): D K (C) = (C 1 K 1,..., C n K n ) Schlüssel K = (K 1,..., K n ) {0, 1} n : zufällig und gleichverteilt (Oft auch als Vernam-Chiffre bezeichnet, ggf. Klartextmenge = Chiffretextmenge = Schlüsselmenge = {a, b,..., z} n.) 44 1: Einleitung 1.3: Perfekte Kryptographie

34 Das One-Time-Pad (2) Satz 7 (Shannon, 1949) Das One-Time-Pad (OTP) ist perfekt. 45 1: Einleitung 1.3: Perfekte Kryptographie

35 Praktische Probleme des OTP 1 Gleichverteilte zufällige Wahl der Schlüssel 2 Lange Schlüssel die man insbesondere nicht wiederverwenden darf nächste Folie 3 Wenn aktive Angreifer einzelne Bits des Chiffretextes ändern, dann ändern sie genau die entsprechenden Bits im entschlüsselten Klartext 46 1: Einleitung 1.3: Perfekte Kryptographie

36 Wiederverwenden eines OTP-Schlüssels Es gilt: 1 C = M K C = M K C C C C = (M K) (M K) = M M. 47 1: Einleitung 1.3: Perfekte Kryptographie

37 Übung: Two-Time-Pad Angenommen, wir hätten folgendes Klartext-Chiffretext-Paar (ASCII-8-Encodiert) abgefangen: M = ATTACK FROM SOUTH C = 28d4c342db224aeb8e18016ea341399e52 Was wäre (unter dem selben geheimen Schlüssel K verschlüsselt) der Chiffretext C zur folgenden Nachricht: M = ATTACK FROM NORTH Buchstabe A B C D E F G H I J K L M ASCII-Code (Hex) a 4b 4c 4d Buchstabe N O P Q R S T U V W X Y Z ASCII-Code (Hex) 4e 4f a 48 1: Einleitung 1.3: Perfekte Kryptographie

38 Grundsätzliches Problem pefekter Chiffren Satz 8 Für jede perfekte Chiffre (E, D, G) gilt: Die Schlüsselmenge ist mindestens so groß wie die Menge der möglichen Klartexte. 49 1: Einleitung 1.3: Perfekte Kryptographie

39 1.4: Sicherheit 50 1: Einleitung 1.4: Sicherheit

40 1.4: Sicherheit Was heißt hier sicher? Ein Kryptosystem gilt als sicher gegen eine bestimmte Klasse von Angriffen, wenn keine effizienten Algorithmen existieren, die bei einem derartigen Angriff mit signifikanter Wahrscheinlichkeit erfolgreich sind. Die Begriffe effizient und signifikante Wahrscheinlichkeit lassen sich grundsätzlich mit konkreten Vorstellungen identifizieren ( 2 64 CPU-Jahre, Wahrscheinlichkeit kleiner als 2 64 ). Die Begriffe haben aber auch eine streng formale Definition in der Komplexitätstheorie. 51 1: Einleitung 1.4: Sicherheit

41 Algorithmus Definition 9 (Algorithmus) Ein Algorithmus A ist eine deterministische Turing-Maschine deren Ein- und Ausgaben Strings über dem Alphabet Σ = {0, 1} sind. Definition 10 (Deterministischer Algorithmus) Ein Algorithmus A berechnet eine Funktion f : {0, 1} {0, 1} (A ist deterministisch) genau dann wenn die Ausgabe von A für alle Eingaben x {0, 1} gleich f(x) entspricht. Definition 11 (Probabilistischer Algorithmus) Ein probabilistischer (randomisierter) Algorithmus ist eine Turing-Maschine mit einem zusätzlichem Zufallstape auf dem jedes Bit gleichverteilt zufällig und unabhängig gezogen wurde. 52 1: Einleitung 1.4: Sicherheit

42 Effiziente Berechenbarkeit Definition 12 (Effizienz) Ein Algorithmus A besitzt die Laufzeit t(n) genau dann wenn für alle Eingaben x {0, 1} gilt, dass A(x) nach maximal t( x ) Schritten hält. Wir sagen dass A eine polynomielle Laufzeit besitzt genau dann wenn Konstante c existiert sodass A in Zeit O(n c ) hält. Wir nennen Algorithmen mit polynomieller Laufzeit effizient. Wir nennen Algorithmen mit Laufzeit t(c n ) für eine Konstante c > 1 ineffizient. 53 1: Einleitung 1.4: Sicherheit

43 Signifikanz Definition 13 (Signifikante Wahrscheinlichkeit) Sei E ein Ereignis. Sei weiterhin c 1 eine Konstante. Dann gilt Pr[E] 1 n c Pr[E] ist signifikant. Wir sagen: Ein Ereignis E mit Pr [E] 1 c n, für eine Konstante c > 1, besitzt eine nicht signifikante Auftrittswahrscheinlichkeit. 54 1: Einleitung 1.4: Sicherheit

44 Risikomanagement: Kosten-Nutzen-Analyse Kosten-Nutzen-Analyse In der IT-Sicherheit gilt ein IT-System als sicher, falls die Kosten für einen Angreifer dessen Nutzen übersteigen. Wird verwendet um die Effizient einer Maßnahme zu bewerten. Kosten- und Nutzenkomponenten Reduzierung von Schäden und deren Kosten Begrenzung des Know-How-Verlusts Imagegewinn : Einleitung 1.4: Sicherheit

45 1.5: Schlussbemerkungen 56 1: Einleitung 1.5: Schlussbemerkungen

46 1.5: Schlussbemerkungen Sie sollten zentrale Begriffe der Kryptographie verstanden haben (insbesondere das Kerkhoffs-Prinzip, informationstheoretische Sicherheit und perfekte Chiffren), und bestimmte klassische Chiffren brechen können, die Nachteile einer perfekten Chiffre verinnerlicht haben. 57 1: Einleitung 1.5: Schlussbemerkungen