Kryptographie und Datensicherheit

Transkript

1 1. Einführung (Smith) Kryptographie und Datensicherheit Mit der Verbreitung des INTERNET bekommen auch Sicherheitsvorkehrungen, die den Transport von Daten betreffen zunehmend an Bedeutung. Die Sicherheit von Computerdaten hängt ganz wesentlich davon ab, wie gut der Computer selbst geschützt ist. In der vernetzen Welt des INTERNET sind die Daten jedoch häufig völlig ungeschützt, so dass sogar Passwörter, etc. offen übertragen werden, wenn nicht besondere Vorkehrungen getroffen werden. Die Kryptographie bietet verschieden Verfahren, Daten so zu transformieren, dass sie beim Transport zwischen den verschiedenen Rechnern des INTERNET wesentlich sicherer sind. Die Techniken basieren auf Geheimcodes und nutzen zudem Erkenntnisse der modernen Mathematik, die ihre Daten wirkungsvoll schützen. Obwohl die Menschen sich bereits seit Jahrtausenden mit kryptographischen Verfahren beschäftigen, sind speziell in der zweiten Hälfte des 20. Jahrhunderts sehr starke Verschlüsselungsverfahren erfunden worden. Bei Problembeschreibungen in der Verschlüsselung werden oft die folgenden fiktiven Personen(namen) verwendet: Alice will eine vertrauliche Nachricht an Bob senden (oder umgekehrt); Eve (von engl. Enemy) versucht diese Nachricht mitzuhören und gegebenenfalls zu entschlüsseln. Beispiel (Abb. 1.1): Alice sendet über (SMTP, Simple Mail Transfer Protocol) eine Nachricht an Bob: "Zahle Euro 100". Schwachpunkte: Die kann leicht geändert werden (auch Änderung der Checksum!) Bob hat, wenn keine sonstigen Vorkehrungen getroffen werden, keine Chance eine Fälschung zu erkennen. Die Nachricht ist speziell bei Verlassen des Heimatnetzes Angriffen ausgesetzt (IP erlaubt daher Strict Source Routing, wird aber praktisch nicht verwendet). Kryptographische Verfahren bieten Alice eine ausgewogene Mischung aus Kommunikationsmöglichkeiten und Sicherheit. Sie kennzeichnen, transformieren und formatieren die Nachrichten so, dass diese vor Offenlegung und/oder Änderung geschützt sind. Alice verwendet Geheimcodes (Verschlüsselung), um den Nachrichteninhalt unkenntlich zu machen. Diese Methode hat Tradition und wird seit Jahrtausenden eingesetzt, wenngleich moderne Codes auf ausgefeilten mathematischen Verfahren basieren. Um eine Fälschung ihrer Nachrichten zu verhindern, kann Alice außerdem ein völlig neues kryptographisches Verfahren, die digitale Signatur, verwenden. Die digitale Signatur bietet eine zuverlässige Identifikation des Urhebers einer Nachricht, vergleichbar dem Trick, 1

2 persönliche Informationen in Nachrichten einfließen zu lassen. Darüber hinaus kann der Empfänger an der digitalen Signatur klar und verlässlich ablesen, ob der Inhalt der Nachricht verändert wurde, nachdem der Urheber sie fertiggestellt hat. Die Kryptographie besteht aus verschiedensten Verfahren Daten so zu transformieren, dass sie von Leuten, die nicht in das Geheimnis eingeweiht sind, nur schwer zu imitieren oder zu ändern sind. Früher wurde Kryptographie lediglich eingesetzt, um den Inhalt einer Nachricht unkenntlich zu machen. Dies bietet in manchen Situationen ausreichend Schutz. Im folgenden wird beschrieben, was geschieht, nachdem Alice und Bob beschlossen haben, alle Nachrichten zu verschlüsseln. Alice lässt ihre Klartextnachricht,,Zahle Euro 100" von einem Chiffriergerät verschlüsseln. Bei diesem Vorgang wird eine verschlüsselte Fassung der Nachricht,,y9_nba%d" erzeugt, die keine Anhaltspunkte für den ursprünglichen Inhalt enthält. Die verschlüsselte Nachricht wird Chiffretext genannt. Alice sendet den Chiffretext nun über das Internet oder ein anderes Kommunikationsmittel an Bob. Wenn jemand die Nachricht abfängt, liest er,,y9_nba%d" statt,,zahle Euro 100". In den wenigsten Fällen weiß er, ob es sich um eine,,zahle"-nachricht, die Erinnerung an ein Treffen oder Geburtstagsgrüße handelt. Die Nachricht kann problemlos nur von einer Person gelesen werden, die dasselbe kryptographische System auf dieselbe Art einsetzt. Das entscheidende Element beim Einrichten des kryptographischen Systems ist der Chiffrierschlüssel, ein besonderes Datenelement, das das Chiffriergerät veranlasst, eine Nachricht auf spezielle Art zu verschlüsseln. In traditionellen kryptographischen Systemen stellt der Schlüssel eine Zufallszahl dar, die Alice und Bob vorher vereinbaren. Sie können einander verschlüsselte Nachrichten senden und diese lesen, sofern sie dieselben Schlüssel in ihren kryptographischen Systemen einsetzen. Wenn jemand ihren Nachrichtenverkehr belauscht, erhält er nur unverständlichen Unsinn. Ein Lauscher bekommt keinerlei Informationen, selbst dann nicht, wenn er genau dasselbe kryptographische System verwendet (siehe z.b. Enigma). Die Umwandlung zwischen Klarund Chiffretext hängt vom richtigen Schlüssel ab. Bob und Alice müssen es nur irgendwie bewerkstelligen, einen gemeinsamen Schlüssel einzurichten. Die daraus resultierende Sicherheit sollte den Zusatzaufwand aber wert sein. Sind Chiffriergeräte und Schlüssel einmal eingerichtet, lässt sich Bob nicht mehr durch Nachrichten von Henry, dem Fälscher, hinters Licht führen. Alice und Bob schicken nun alle Nachrichten durch ihre Chiffriergeräte, auch Henrys gefälschte Nachrichten. Wenn Bob eine gefälschte Nachricht entschlüsselt, wird diese vom Chiffriergerät wie Chiffretext behandelt und in regellose, unverständliche Daten transformiert. Bob und Alice verschlüsseln ihre Nachrichten mit dem Chiffriergerät, so dass diese vor neugierigen Blicken geschützt sind. Sie verlassen sich auf kryptographische Verfahren, um sicher zu sein, dass bei der Nachrichtenübermittlung drei Sachverhalte gewährleistet sind: Vertraulichkeit Authentizität Integrität 2

3 Bob und Alice sind ziemlich sicher, dass ihre Nachrichten von niemandem gelesen werden können, da niemand sonst den Chiffrierschlüssel besitzt. Sie verlassen sich also auf die Vertraulichkeit ihrer Nachrichten. Selbst wenn andere dasselbe Chiffriergerät verwenden, können sie die Nachrichten zwischen Bob und Alice nicht lesen, da diese ihren Chiffrierschlüssel nicht weitergeben. Bob ist relativ sicher, dass eintreffende Nachrichten von Alice stammen, da außer ihm nur Alice den Chiffrierschlüssel besitzt. Man sagt, Bob verlässt sich auf die Authentizität der Nachrichten. Bob macht sich keine Sorgen über gefälschte Nachrichten, da diese nicht korrekt entschlüsselt würden. Bob weiß, dass eintreffende lesbare Nachrichten nur von Alice erstellt oder geändert worden sind. Er verlässt sich also auf die Integrität der Nachrichten. Da ein Fälscher den Inhalt einer Nachricht nicht offen legen kann, ist er auch nicht in der Lage, diesen gezielt zu ändern. Zufällige Änderungen an einer Nachricht machen sie aller Wahrscheinlichkeit nach unleserlich. Unser Beispiel verdeutlicht die grundlegenden Sachverhalte, die durch kryptographische Verfahren sichergestellt sind: Vertraulichkeit, Authentizität und Integrität, auch wenn keine dieser Eigenschaften absolut gesehen werden kann. Bob und Alice sind relativ, aber nicht völlig sicher, dass diese Eigenschaften gewährleistet sind. Ein Fälscher kann eine Nachricht nicht zuverlässig ändern. Die Verschlüsselung, die Bob und Alice verwenden, kann den Nachrichteninhalt geheim halten. Das bedeutet jedoch nicht unbedingt, dass er schwer zu ändern oder zu fälschen ist. Bei der Untersuchung eines Chiffriergeräts oder einer kryptographischen Anwendung müssen auch immer die Sicherheitsanforderungen betrachtet werden, die damit zuverlässig erfüllt werden können. In einer relativ ungefährlichen Umgebung lassen sich Angriffe unter Umständen bereits durch eine einfache Verschlüsselung abwehren. Wenn man sich auf eine einfache Verschlüsselung verlässt, ist außerdem zu bedenken, dass sich ein Computer nicht immer wie bei Alice und Bob einsetzen lässt. Beispielsweise können Leute, die das Internet wirklich nutzen, nicht alle Nachrichten durch ein Chiffriergerät laufen lassen. Zahlreiche Informationen aus dem Internet liegen im Klartext vor und müssen am Chiffriergerät vorbei geführt werden, um lesbar zu bleiben. Es birgt jedoch zusätzliche Gefahren, wenn manche Nachrichten in jedem Fall kryptographische behandelt werden müssen, andere aber nicht. Was geschieht, wenn eine Nachricht das Chiffriergerät fälschlicherweise umgeht? Bob könnte dann durch eine gefälschte Nachricht getäuscht werden oder geheime Informationen im Klartext senden, die eigentlich verschlüsselt werden sollten. Dies stellt ein echtes Problem dar, und es ist keineswegs einfach, korrekt damit umzugehe. 3

4 2. Entwicklung der Kryptographie (Singh) Die Übermittlung geheimer Nachrichten, bei der verborgen wird, dass überhaupt eine Botschaft existiert, heißt Steganographie (griech. steganos = bedeckt). Beispiele: Botschaften auf feine Seide in Wachskugeln versteckt; von Boten verschluckt Milch der Thithymallus-Pflanze (Plinius d. Ä.; 1. Jhdt. nach Chr.); bei Erwärmung Braunfärbung Man mische Alaun&Essig und schreibe auf Eierschale; bei Abschälen des gekochten Ei's erscheint Botschaft Botschaft auf Kopfhaut, von Haaren überdeckt Mikropunkte (Textseite auf Mikropunkt von kaum 1 mm Durchmesser verkleinert) etc. Im Gegensatz zur Steganographie ist es Ziel der Kryptographie (griech. kyrptos = verborgen) nicht die Existenz einer Botschaft zu verschleiern, sondern ihren Sinn zu verbergen, und dies mittels eines Verfahrens der Verschlüsselung. Um eine Nachricht unverständlich zu machen, muss sie nach einem bestimmten Verfahren verwürfelt werden, das zuvor zwischen dem Sender und dem Empfänger abgesprochen wurde. Dann kann der Empfänger dieses Verfahren umgekehrt anwenden und die Botschaft lesbar machen. Der Vorteil einer kryptographisch verschlüsselten Botschaft ist, dass der Gegner, der sie abfängt, nichts damit anfangen kann. Ohne Kenntnis des Verschlüsselungsverfahrens wird es ihm schwer fallen oder gar unmöglich sein, aus dem Geheimtext die ursprüngliche Nachricht herauszulesen. 2.1 Verfahren der Kryptographie In der Kryptographie selbst gebraucht man hauptsächlich zwei Verfahren: Transposition: Buchstaben des Klartextes nur anders angeordnet; ergibt Anagramm (Kurzer Satz aus 34 Buchstaben ergibt mehr als 14,83 * Anordnungsmöglichkeiten: Könnte ein Mensch eine Anordnung pro Sekunde prüfen und arbeiteten alle Menschen der Erde Tag und Nacht, dann würde immer noch die fünfhundertfache Lebensspanne des Universums nötig sein, um alle Möglichkeiten durchzuprüfen). Transpositionsverfahren: "Gartenzaun-Verfahren": Buchstaben abwechselnd auf zwei Zeilen (Abb.) erstes militärisches Kryptographie-Verfahren: Skytale (Spartaner; 5. Jhdt. v. Chr.) Substitution: Jeder Buchstabe des Klartextes wird durch den entsprechenden Buchstaben des Geheimtextalphabets ersetzt. Die Entschlüsselung erfolgt in umgekehrter Richtung. 5

5 Substitutionsverfahren: Paarweise Vertauschung der Buchstaben (4. Jhdt. v. Chr. in Indien; Abb.) Verschiebung der Buchstaben (Cäsar-Verschiebung; von Julius Cäsar angewendet; nur 25 (!) Möglichkeiten) Julius Cäsar verwendet auch Substitution durch griechische Buchstaben; (beschrieben im "Gallischen Krieg") Beliebige Umstellungen des Klartextalphabets: über 4 * Anordnungsmöglichkeiten (würde ein Mensch jede Sekunde eine Anordnung testen, würde er etwa die milliardenfache Lebensdauer des Universums benötigen; Abb.) Substitution mittels Schlüsselwort (leichter zu merken; Abb.) Die Verbindung von Einfachheit und Stärke ließen das Substitutionsverfahren im ersten Jahrtausend zur Königin der Verschlüsselungskunst werden. Die Verschlüsseler hatten ein Verfahren entwickelt, das den sicheren Nachrichtenverkehr gewährleistete, und weil man damit gute Erfahrungen machte, fehlte der Druck, etwas Besseres zu erfinden. Die Codebrechern hingegen mussten versuchen, diese Verschlüsselung zu knacken. Hatten die Gegner überhaupt die Chance, eine chiffrierte Botschaft zu entschlüsseln? Viele Gelehrte der alten Zeit hielten die Substitution dank der gigantischen Zahl möglicher Schlüssel für unüberwindlich, und über die Jahrhunderte schien sich diese Annahme zu bestätigen. Allerdings sollten die Codebrecher schließlich doch einen Weg finden, der ihnen die erschöpfende Prüfung aller Schlüssel ersparte. Es würde nun nicht mehr Milliarden von Jahren dauern, bis eine Geheimschrift geknackt war, sondern nur ein paar Minuten. Der Durchbruch gelang im Orient und verdankte sich einer genialen Mischung aus Sprachwissenschaft, Mathematik, Statistik und religionsbezogener Geschichtsforschung. 1.2 Monoalphabetische Verschlüsselung und Häufigkeitsanalyse Der Beginn des abbasidischen Kalifats (750 n. Chr.) läutete das "GoIdene Zeitalter der islamischen Kultur ein. Künste und Wissenschaften erblühten gleichermaßen. In der wohlorganisierten Verwaltung wurden auch Verschlüsselungsverfahren angewendet. Die Bürokraten nahmen als Schlüssel meist ein umgestelltes Alphabet, doch auch andere Symbole fanden Verwendung (z.b. a = '#'; b = '+', etc.). Wie alle bisher besprochenen Substitutionsmethoden gehörten auch die von den Arabern angewendete Verschlüsselung zu den monoalphabetischen Verschlüsselungsverfahren. Die arabischen Gelehrten waren nicht nur in der Lage, Geheimschriften zu verwenden, sie konnten deren Gebrauch genauso gut auch wertlos machen. Sie erfanden die Kryptoanalyse, die Wissenschaft von der Entschlüsselung ohne Kenntnis des Schlüssels. Während der Kryptograph neue Methoden der Verschlüsselung entwickelt, sucht der Kryptoanalytiker nach Schwächen in eben diesen Verfahren, um in die geheimen Botschaften einzubrechen. Den arabischen Kryptoanalytikern gelang es, ein Verfahren zu entwickeln, das es erlaubte, die monoalphabetische Verschlüsselung, die mehrere Jahrhunderte lang als uneinnehmbar gegolten hatte, endlich zu stürmen. Die Kryptoanalyse konnte erst erfunden werden, als die kulturelle Entwicklung in mehreren Wissenschaften, vor allem in der Mathematik, Statistik und Sprachwissenschaft, eine 6

6 gewisse Stufe erreicht hatte. Die Araber bemühten sich, das Wissen vorangegangener Kulturen zu erwerben, und verschafften sich ägyptische, babylonische, indische, chinesische, neupersische, syrische, armenische, hebräische und römische Schriften und übersetzten sie ins Arabische. Die Erfindung der Kryptoanalyse verdankte sich nicht nur einem besseren Verständnis weltlicher Dinge, sondern auch der Blüte des religiösen Gelehrtentums. In Basra, Kufa und Bagdad entstanden bedeutende theologische Schulen, in denen man die Offenbarungen Mohammeds, wie sie im Koran standen, eifrig studierte. Die Theologen wollten die zeitliche Reihenfolge dieser Offenbarungen erkunden, und sie taten dies, indem sie die Häufigkeit der einzelnen Wörter in jeder Offenbarung zählten. Dahinter steckte der Gedanke, dass bestimmte Wörter erst in jüngster Zeit entstanden waren. Wenn eine Offenbarung eine höhere Zahl dieser seltenen Wörter enthielt, dann würde dies darauf hindeuten, dass sie chronologisch später einzuordnen war. Wichtig ist nun, dass es die Religionsgelehrten mit ihrer Untersuchung nicht auf der Ebene der Wörter beließen. Sie überprüften auch einzelne Buchstaben und entdeckten dabei insbesondere, dass einige davon häufiger vorkommen als andere. Die Buchstaben "a" und "l" kommen im Arabischen am häufigsten vor; zum Teil wegen des bestimmten Artikels "al", während der Buchstabe "j" zehnmal weniger oft auftaucht. Diese scheinbar harmlose Beobachtung sollte zum ersten großen Durchbruch in der Kryptoanalyse führen. Man weiß zwar nicht, wer zum ersten Mal erkannte, dass die unterschiedliche Häufigkeit der Buchstaben in Texten dazu benutzt werden konnte, Geheimschriften zu entschlüsseln, doch die früheste bekannte Beschreibung dieser Technik stammt von einem Gelehrten des neunten Jahrhunderts namens Abu Yusuf Ya'qub ibn Is-haq ibn as-sabbah ibn 'omran ibn Ismail al-kindi. Al-Kindi, der als "Philosoph der Araber" bezeichnet wurde, hat 290 Bücher über Medizin, Astronomie, Mathematik, Linguistik und Musik verfasst. Seine bedeutendste Abhandlung, die erst 1987 im Istanbuler Süleiman-Osman-Archiv wiederentdeckt wurde, trägt den Titel "Abhandlung über die Entzifferung kryptographischer Botschaften. Sie enthält eingehende Untersuchungen über Statistik, arabische Phonetik und arabische Syntax, doch die revolutionäre Methode der Kryptoanalyse liegt in zwei kurzen Abschnitten verborgen: "Eine Möglichkeit, eine verschlüsselte Botschaft zu entziffern, vorausgesetzt, wir kennen ihre Sprache, besteht darin, einen anderen Klartext in derselben Sprache zu finden, der lang genug ist, um ein oder zwei Blätter zu füllen, und dann zu zählen, wie oft jeder Buchstabe vorkommt.... Dann betrachten wir den Geheimtext, den wir entschlüsseln wollen, und ordnen auch seine Symbole...." Al-Kindis Verfahren, auch als Häufigkeitsanalyse bezeichnet, zeigt, dass es nicht nötig ist, jeden einzelnen der Milliarden möglicher Schlüssel durchzuprüfen. Vielmehr lässt sich der Inhalt einer chiffrierten Nachricht einfach durch die Analyse der Häufigkeit der Buchstaben im Geheimtext entschlüsseln (Abb.). Selbstverständlich kann man die Häufigkeitsanalyse nicht einfach schablonenhaft anwenden, sondern man muss auch das Auftreten von Bigrammen (z.b. er, es, ei, etc.) bzw. kurze Wörter (2 bzw. 3 Buchstaben falls im Geheimtext erkenntlich) berücksichtigen. Häufig weichen kurze Texte von der Normalverteilung ab, und wenn sie weniger als 100 Buchstaben haben, wird die Entschlüsselung sehr schwierig. Hingegen werden längere eher, wenn auch nicht immer 7

7 der Normalverteilung entsprechen (beispielsweise sei der von Georges Perec 1969 verfasste, 200 Seiten umfassende Roman "La Disparition" erwähnt, in dem kein einziges Mal der Buchstabe "e" vorkommt; ebenso wenig in der deutschen Übersetzung, obwohl das "e" der häufigste Buchstabe in der deutschen Sprache ist!). 2.3 Einführung von Füllsymbolen und Codewörtern Für die arabischen Gelehrten waren die Jahre von 800 bis 1200 n. Chr. eine Epoche großartiger intellektueller Leistungen. Europa steckte damals noch tief im Mittelalter. Während Al-Kindi die Kryptoanalyse erfand, kämpften die Europäer immer noch mit den grundlegenden Verfahren der Kryptographie. Erst im 15. Jhdt. als die europäische Kryptographie ein blühendes Gewerbe wurde, da sich die Wiederbelebung der Künste, Wissenschaften und des Gelehrtentums in der Renaissance auch auf die Kryptographie fruchtbar auswirkte, und speziell in Italien wegen der Vielzahl unabhängiger Stadtstaaten ein reges diplomatisches Leben entstand, und die Kryptographie daher zum gängigen diplomatischen Handwerkzeug gehört, machte die wissenschaftliche Kryptoanalyse auch im Westen die ersten Schritte (z.b. Giovanni Soro, 1506 zum Geheimsekretär Venedigs ernannt; der auch für den Papst abgefangene Botschaften entschlüsselte). Unterdessen mühte man sich dort, wo man die Schwäche der monoalphabetischen Chiffrierung kannte, nach Kräften um eine bessere Verschlüsselung, die den eigenen Nachrichtenverkehr vor der Entschlüsselung durch gegnerische Kryptoanalytiker schützen sollte. Eine ganz einfache Verbesserung der Sicherheit war die Einführung von sogenannten Füllern: Symbole oder Buchstaben, die keine Klartextbuchstaben vertraten, sondern schlicht für nichts standen (z.b. Ersetzen jedes Klartextbuchstaben zwischen 1 und 99; dann bleiben immer noch 73 Zahlen, die nach Belieben in den Text gestreut werden können und vom Empfänger leicht eliminiert werden können; der Gegner kann jedoch nur mehr sehr erschwert die Häufigkeitsanalyse anwenden). Auch das bewusste Falschschreiben von Wörtern im Klartext, erschwerte Angriffe mittels Häufigkeitsanalyse. Ein weiterer Versuch, die Sicherheit der monoalphabetischen Chiffrierung zu verbessern, war die Einführung von Codewörtern (Abb.). Auch dieses Verfahren gehört zur Gattung der Substitution, allerdings erfolgt hier die Substitution auf einer höheren Ebene, indem jedes Wort durch ein anderes Symbol oder Wort ersetzt wird (Abb.). Obwohl dieses Verfahren der Häufigkeitsanalyse besser standhält, gibt es wesentliche Nachteile: Erstellung eines Codebuches; Schwierigkeit der raschen Erstellung und Verteilung eines neuen Codebuches falls ein Codebuch dem Feind in die Hände fällt. Wegen der Schwächen der Codes verwendeten die Kryptographen schon im 16. Jhdt. überwiegend Chiffren und manchmal Nomenklatoren. Ein Nomenklator ist ein Verschlüsselungssystem, das auf einem Geheimtextalphabet beruht, mit dem der Großteil der Nachricht chiffriert wird, sowie einer begrenzten Zahl von Codewörtern. Trotz der zusätzlichen Codewörter ist ein Nomenklator nicht viel sicherer als eine schlichte monoalphabetische Chiffrierung, denn der Großteil der Nachricht kann durch Häufigkeitsanalyse entschlüsselt werden und die verbleibenden Codewörter können aus dem Zusammenhang erschlossen werden. 8

8 1.3 Polyalphabetische Verschlüsselung und Vigenère-Quadrat Die einfache monoalphabetische Verschlüsselung gewährte jahrhundertelang ausreichend Sicherheit, bis sie durch die Entwicklung der Häufigkeitsanalyse in Arabien und Europa untergraben wurde. Das tragische Ende Maria Stuarts machte die Schwächen dieser Verschlüsselung dramatisch deutlich. Im Kampf zwischen den Kryptographen und Kryptoanalytikern hatten letztere offenbar die Oberhand gewonnen. Wer immer eine verschlüsselte Botschaft verschickte, musste damit rechnen, dass ein fachkundiger Codebrecher des Gegners die Nachricht abfangen und die heikelsten Geheimnisse entschlüsseln würde. Jetzt lag der Schwarze Peter wieder bei den Kryptographen. Sie mussten eine neue, stärkere Verschlüsselung entwickeln, eine Nuss, die die Kryptoanalytiker nicht knacken konnten. Zwar wurde dieses neue Verfahren erst Ende des 16. Jahrhunderts zur Reife entwickelt, doch seine Ursprünge reichen zurück ins 15. Jahrhundert zu dem Florentiner Mathematiker Leon Battista Alberti, geb. 1404, eine herausragende Gestalt der Renaissance: Maler, Komponist, Dichter und Philosoph und Verfasser des ersten gedruckten Werkes über Architektur "De Re Aedificatoria", das als Katalysator des Übergangs vom gotischen Baustil zur Renaissance wirkte. Bei einem Gespräch mit dem Geheimsekretär des Papstes, Leonardo Dato, schlug Alberti vor, zwei oder mehr Alphabete zur Verschlüsselung einer Botschaft zu verwenden und während der Verschlüsselung zwischen ihnen hin und her zu springen, was die etwaigen Entschlüsseler erheblich verwirren dürfte. Alberti war damit der bedeutendste Durchbruch in der Kryptographie seit über einem Jahrtausend gelungen, doch er entwickelte sein Verfahren nicht zu einem ausgereiften Verschlüsselungsystem weiter. Diese Aufgabe fiel einer bunten Gruppe von Gelehrten zu, die auf Albertis ursprünglicher Idee aufbauten. Zunächst trat Johannes Trithemius auf den Plan, ein 1492 geborener deutscher Abt, dann der italienische Wissenschaftler Giovanni Porta (*1535) und schließlich der französische Diplomat Blaise de Vigenère (*1523). Zwar stammen wichtige Beiträge von Alberti, Trithemius und Ponta, das Verfahren jedoch trägt zu Ehren des Mannes, der ihm die ausgereifte Gestalt gab, den Namen Vigenère- Verschlüsselung. Ihre Stärke beruht darauf, dass nicht nur ein, sondern 26 verschiedene Geheimtextalphabete benutzt werden, um eine Botschaft zu verschlüsseln (Abb.). Jede Buchstaben der Botschaft verschlüsselt man anhand einer anderen Zeile des Vigenère-Quadrates (also mit einem anderen Geheimtextalphabet). Um die Botschaft zu entschlüsseln, muss der Empfänger wissen, welche Zeile des Vigenère-Quadrats für den jeweiligen Buchstaben benutzt wurde. Deshalb müssen Sender und Empfänger vereinbaren, nach welcher Regel zwischen den Zeilen gewechselt wird. Diese Übereinkunft legen sie anhand eines Schlüsselwortes fest, das (mehrmals) über dem Klartext angeschrieben wird. Je länger das Schlüsselwort bzw. der Schlüsselsatz, desto komplexer die Verschlüsselung. Der große Vorteil der Vigenère-Verschlüsselung besteht nun darin, dass sie anhand der erläuterten Häufigkeitsanalyse nicht zu knacken ist. Ein Kryptoanalytiker, der diese Methode auf einen Geheimtext anwendet, wird normalerweise zunächst den 9

9 häufigsten Buchstaben im Geheimtext feststellen, in diesem Falle W, und dann annehmen, es handle sich um "e", den im Deutschen häufigsten Buchstaben. In Wahrheit steht der Buchstabe W für drei verschiedene Buchstaben, nämlich "u", "p" und "o". Offensichtlich eine harte Nuss für den Kryptoanalytiker. Dass ein Buchstabe, der mehrmals im Geheimtext auftaucht, jeweils für einen anderen Klarbuchstaben stehen kann, bereitet ihm gewaltige Schwierigkeiten. Gleichermaßen verwirrend ist, dass ein Buchstabe, der mehrmals im Klartext vorkommt, durch unterschiedliche Buchstaben im Geheimtext dargestellt werden kann. Zum Beispiel kommt der Buchstabe "p" in "truppen" doppelt vor, doch wird er von zwei verschiedenen Buchstaben dargestellt - das "pp" wird mit "WI" verschlüsselt. Gegen die Vigenére-Verschlüsselung lässt sich mit der Häufigkeitsanalyse nichts ausrichten, und hinzu kommt, dass sie auch eine enorme Zahl von Schlüsseln bietet. Sender und Empfänger können sich auf ein Wort aus dem Wörterbuch einigen, auf irgendeine Wortverbindung oder auch eigene Wörter bilden. Ein Kryptoanalytiker wäre nicht in der Lage, die Nachricht zu entschlüsseln, indem er alle möglichen Wörter durchprobiert, weil die Zahl der Möglichkeiten einfach zu groß ist. Vigenère krönte sein Werk 1586 mit dem "Traicté des Chiffres", einer Abhandlung über die Geheimschriften. Trotz ihrer Stärke schreckte die mühselige Arbeit der Chiffrierung viele davor ab, die Vigenère-Verschlüsselung. Die monoalphabetische Verschlüsselung war schnell, einfach und schützte vor Leuten, die in der Kryptoanalyse nicht geschult waren. Tatsächlich überdauerte sie in verschiedenen Gestalten mehrere Jahrhunderte. Im staatlichen und militärischen Nachrichtenverkehr, wo die Sicherheit an erster Stelle stand, reichte die einfache monoalphabetische Verschlüsselung allerdings nicht aus. Die Kryptographen zögerten allerdings die Vigenère-Verschlüsselung einzusetzen, da sie so kompliziert war. Vor allem der militärische Nachrichtenverkehr musste schnell und einfach von statten gehen, weshalb die Zeit eine entscheidende Rolle spielte. So suchten die Kryptographen nach einem Mittelweg, einer VerschIüsselung, die schwerer zu knacken war als die schlichte monoalphabetische und zugleich einfacher in der Anwendung als die polyalphabetische. Verschiedene Möglichkeiten boten sich an, darunter auch die erstaunlich zuverlässige homophone VerschIüsseIung (griech. homos = gleich). Dabei wird jeder Buchstabe durch mehrere Stellvertreter ersetzt, wobei die Zahl der möglichen Stellvertreter im Verhältnis zur Häufigkeit der Buchstaben steht. Zum Beispiel macht der Buchstabe "r" etwa sieben Prozent aller Buchstaben in deutschen Texten aus, daher würden wir ihm sieben Symbole als Stellvertreter zuordnen. Jedes Mal, wenn das "r" im Klartext auftaucht, wird er im Geheimtext durch eines der sieben Symbole ersetzt, die man willkürlich auswählt, und am Ende der Verschlüsselung würde jedes Symbol etwa ein Prozent des verschlüsselten Textes ausmachen. Hingegen beträgt die Häufigkeit des Buchstaben "b" knapp zwei Prozent, deshalb würden wir ihm nur zwei Symbole zuordnen. Jedes Mal, wenn "b" im Klartext erscheint, wählen wir eines der Symbole, und im verschlüsselten Text würde jedes Symbol ebenfalls grob ein Prozent des Umfangs ausmachen. Dennoch enthält der 10

10 Geheimtext für den findigen Kryptoanalytiker immer noch viele unscheinbare Spure (z.b. "q" gefolgt von "u"). Eine homophone Verschlüsselung mag einer polyalphabetischen auf den ersten Blick ähneln, da die meisten Klartextbuchstaben auf viele Weisen verschlüsselt werden können, doch gibt es einen entscheidenden Unterschied, der darauf hinausläuft, dass die homophone Verschlüsselung letztlich eine monoalphabetische ist: Ein Klartextbuchstabe kann zwar durch mehrere Symbole dargestellt werden, doch jedes Symbol kann nur für einen Buchstaben stehen. In einer polyalphabetischen Verschlüsselung wird ein Klartextbuchstabe ebenfalls durch verschiedene Symbole dargestellt, doch noch verwirrender ist, dass diese Symbole im Laufe der Verschlüsselung auch unterschiedliche Klartextbuchstaben darstellen. Mit dem Aufkommen der Telegraphie im 19. Jhdt. wofür Samuel Morse das Morsealphabet (keine Verschlüsselung; Abb.) entwarf; allerdings war es ein gewaltiges Problem, die oft heiklen Nachrichten zu schützen: Texte wurden dem Telegraphiten übergeben, Nachrichten könnten außerdem durch "Anzapfen" der Telegraphenleitung abgehört werden. Die Vigenère-Verschlüsselung war eindeutig das beste Verfahren, um die Geheimhaltung im geschäftlichen Nachrichtenverkehr zu garantieren. Man glaubte, sie sei nicht zu brechen und nannte sie "le chiffre indéchiffrable". Die Kryptographen hatten zumindest vorläufig einen klaren Vorsprung gegenüber den Kryptoanalytikern errungen. Erst der Londoner Bankier Benjamin Babbage (*1791) entwickelte eine Methode mit der der Kryptoanalyse der entscheidende Schlag gegen die Vigenère-Verschlüsselung gelang. Babbage entwickelte, als er viele Fehler in den mathematischen Tabellen und "Nautischen Ephemeriden zur Bestimmung von Länge und Breite auf See" entdeckte die Differenzmaschinen No. 1 (Rechner aus Präzisionsteilen) und die Differenzmaschine No. 2 (der erste Entwurf eines modernen Computers; er sah einen Speicher und eine "Mühle" (Prozessor) vor, der es ihm erlauben würde, Entscheidungen zu fällen und Vorgänge zu wiederholen (IF - THEN Schleifen)), die allerdings nie gebaut wurden. Babbage brauchte, um die Vigenère-Verschlüsselung zu brechen, dem größten Durchbruch in der Kryptoanalyse seit den arabischen Gelehrten des 9. Jhdts, keine mechanischen Berechnungen oder komplizierte Mathematik sondern nichts weiter als puren Scharfsinn. Auslösend für seine Beschäftigung mit der Vigenère-Verschlüsselung war die Behauptung eines John Hall Brock Thwaites, 1854 eine neue Verschlüsselungsmethode entdeckt zu haben, die allerdings der Vigenère- Verschlüsselung entsprach, und dessen Aufforderung seine Verschlüsselung zu knacken (obwohl dadurch natürlich nicht bewiesen wird dass sie neu ist). Babbages Neugier war angestachelt und er machte sich auf die Suche Schwachstellen in der Vigenère-Verschlüsselung zu entdecken: 11

11 Bei Verwendung eines kurzen Schlüsselwortes, wird der selbe Buchstabe des Klartextes zwar mit unterschiedlichen Buchstaben des Geheimtextalphabets verschlüsselt, wegen der Wiederholung des Schlüsselwortes werden aber wiederholte kurze Wörter, z.b. die, mit derselben Buchstabengruppe verschlüsselt, falls sie um die Stellen des Schlüsselwortes verschoben im Klartext auftreten. Um das zufällige Auftreten von gleichen Buchstabenfolgen auf Grund der Verschlüsselung weitgehend zu eliminieren, ist es sinnvoll (bei längeren Texten) erst Wiederholungen von 4 oder mehr Buchstabenfolgen zu untersuchen. Bei Herausfinden der Länge des unbekannten Schlüsselwortes kann aber für jeden Buchstaben des Schlüsselwortes eine monoalphabetische Entschlüsselung durch Häufigkeitsanalyse vorgenommen werden, die bereits seit tausend Jahren bekannt ist. Die wesentliche Schwäche der bis dahin verwendeten Art der Vigenère-Verschlüsselung ist ihr zyklischer Charakter. Was passiert wenn das Schlüsselwort länger wird, z.b so lange wie die Botschaft selbst, dann versagt das von Babbage entwickelte Kryptoanalytische Verfahren; dennoch kann die Nachricht entschlüsselt werden, falls: der Klartext einige häufig vorkommende Wörter enthält der Schlüssel aus sinnvollen Wörtern (nicht nur aus beliebigen Buchstabenfolgen) besteht. Durch versuchsweises Einsetzen von vermuteten, häufig auftretenden Wörtern im Klartext können Teile des Schlüsselwortes entschlüsselt werden, falls die eingesetzten Wörter sich an der richtigen Stelle befinden und die Teile des Schlüsselwortes somit einen Sinn ergeben. Fehlende Teile des Schlüsselwortes können dann ergänzt werden, bis das Schlüsselwort durch wiederholtes, abwechselndes Ergänzen von sinnvollem Klartext und sinnvollem Schlüsselwort vollständig entschlüsselt wird. Selbst ein Schlüssel, der so lang wie die Botschaft selbst ist, garantiert noch keine absolute Sicherheit. 2.4 One-Time Pad Im Jahr 1918 begannen die Kryptographen mit Schlüsseln zu experimentieren, denen jede innere Ordnung fehlte. Gegen Ende des Ersten Weltkrieges führte Major Joseph Mauborgne, Leiter der kryptologischen Forschungsabteilung der amerikanischen Armee, das Konzept des Zufallsschlüssels ein, der nicht aus erkennbaren Wortreihen, sondern aus einer zufälligen Aufreihung von Buchstaben bestand. Diese Zufallsschlüssel sollten mit einem Vigenère-Quadrat ein bis dahin unerreichtes Maß an Sicherheit bringen. Der erste Schritt in Mauborgnes Verfahren bestand darin einen dicken Stapel aus Hunderten von Blättern zusammenzustellen, bei dem jedes Blatt einen einzigartigen Schlüssel in Gestalt zufälliger Buchstabenfolgen enthielt. Es sollte zwei identische Stapel geben, einen für den Sender und einen für den Empfänger, wobei Sender und Empfänger für die Ver-/Entschlüsselung denselben Buchstabenschlüssel im Vigenère-Quadrat verwenden. Nach dem Absenden und der Entschlüsselung einer Nachricht vernichten Sender und Empfänger ihr jeweiliges Blatt, das als Schlüssel diente, so dass dieser niemals wieder gebraucht wird. Daher trägt dieses Chiffriersystem den Namen "One Time 12

12 Pad". Mit dem "One Time Pad" lassen sich alle bisherigen Schwierigkeiten überwinden. Selbst wenn der Kryptoanalytiker womöglich eine erschöpfende Analyse aller möglichen Schlüssel durchführen könnte (bei nur 21 Buchstaben gibt es bereits etwa 5 * Möglichkeiten!) würde er auf ein noch größeres Hindernis stoßen: Wenn er wirklich jeden Schlüssel prüft, findet er natürlich die richtige Botschaft doch zugleich findet er alle falschen aber sinnvollen Texte, und der Kryptoanalytiker hätte keine Möglichkeit festzustellen, welches der richtige Klartext ist. Eine mit dem "One Time Pad" verschlüsselte Nachricht ist wirklich vollkommen sicher, sie ist der "Heilige Gral der Kryptographie". Allerdings war mit dem vollkommenen "One Time Pad" der Kampf um die Geheimhaltung des Nachrichtenverkehrs nicht ans Ende gelangt. Es ist zwar theoretisch perfekt, leidet in der Praxis jedoch an schwerwiegenden Mängeln: es ist keineswegs einfach, große Mengen von echten Zufallsschlüsseln herzustellen (Beispiel: Radioaktivität) es gibt große Probleme bei der Verteilung der Schlüssel wenn der Gegner nur einen Stapel erbeutet, ist das ganze Kommunikationssystem erschüttert Nur dann, wenn es um ultrageheime Kommunikation geht und die Kosten der Herstellung und sicheren Verteilung der Schlüssel keine Rolle spielen ist der "One Time Pad" angemessen (z.b. heißer Draht zwischen amerikanischen und russischem Präsidenten). 2.5 Entwicklung der Chiffriermaschinen bis zur Enigma Nach Erfindung der Chiffrierscheibe als erstes kryptographisches Gerät durch den italienischen Architekt Leon Alberti im 15. Jhdt, einer der Väter der polyalphabetischen Verschlüsselung, hat sich die Chiffrierscheibe als schlichtes Utensil über 500 Jahre gehalten, da sie die Verschlüsselung erleichtert hatte. Ihre Weiterentwicklung führte schließlich zu einer mächtigen Generation von Verschlüsselungssystemen, die schwerer zu brechen waren als alle bisherigen Systeme. Der deutsche Erfinder Arthur Scherbius entwickelte eine kryptographische Maschine, die im Grunde genommen eine elektrische Version von Albertis Chiffrierscheibe war. Er nannte sie Enigma, und sie sollte die gefürchtetste Chiffriermaschine der Geschichte werden. Scherbius' Enigma enthält eine Reihe raffiniert ausgetüftelter Elemente, die er zu einer beeindruckend komplizierten Verschlüsselungsmaschine zusammenbaute, die aus folgenden drei Hauptelementen besteht, die miteinander verdrahtet sind: Tastatur für die Klartexteingabe Verschlüsselungseinheit, die jeden Klartextbuchstaben in einen Geheimtextbuchstaben umwandelt Lampenfeld, das die Geheimbuchstaben anzeigt Der wichtigste Teil der Maschine ist die Walze (auch Rotor genannt), eine dicke Gummischeibe, die von Drähten durchzogen ist. Von der Tastatur ausgehend führen die Drähte in die Walze hinein, in deren Inneren sie kreuz und quer verlaufen, bis sie 13

13 schließlich an anderen Punkten auf der anderen Seite austreten. Die Verdrahtung im Inneren der Walze bestimmt, wie die Klartextbuchstaben verschlüsselt werden (Abb.). 2.6 Sprache und Schriften als Code (siehe Folien) 14

14 2.7 Entwicklung der modernen Kryptographie Schlüsselvereinbarung Erst mit der Entwicklung von Entschlüsselungsmaschinen um die Mitte des 20. Jhdts. und dem Aufkommen des Computers in der zweiten Hälfte des 20. Jhdts. wurde eine automatische Entschlüsselung möglich. Auf der Grundlage von Alan Turings Konzept, der in Bletchley Park die entscheidende Beiträge zur Entschlüsselung der Enigma geliefert hatte ("Turing Bomben"), entwickelte Max Newman, als Mathematiker in Bletchley ein Gerät, das in der Lage war, sich an verschiedene Probleme anzupassen. Im Prinzip war es bereits ein programmierbarer Computer. Obwohl zunächst nicht weiterverfolgt, beschloss Tommy Flowers, trotz aller Vorbehalte, die Maschine zu bauen. Am 8. Dez brachte er die Colossus - nach zehn Monate Bauzeit im Forschungszentrum der Britischen Post in Dollis Hill - nach Bletchley Park. Die Maschine bestand aus 1500 elektrischen Röhren und war programmierbar; sie war der Vorläufer des modernen Computers. Wie alles andere in Bletchley Park wurde auch die Colossus nach dem Krieg zerstört; so galt lange Jahre die im Jahre 1945 von J. Presper Eckert und John W. Mauchly an der Universität Pennsylvania entwickelte ENIAC (Electronic Numerical Integrator And Calculator), und nicht die Colossus als die Mutter aller Computer. In der Folge spielte der Computer die entscheidende Rolle um immer komplexere und leistungsfähigere Chiffriersysteme zu entwickeln; da er: eine "virtuelle" Chiffriermaschine von immenser Komplexität nachahmen kann, über eine bis dato im größer werdende Rechengeschwindigkeit verfügt, da er Zeichen (Buchstaben) als Bits darstellt, können sogar auf die einzelnen Bits die altehrwürdigen Grundsätze der Substitution und Transposition angewendet werden forderte die amerikanische Normenbehörde offiziell Vorschläge für ein standardisiertes Verschlüsselungssystem zu unterbreiten, das es Unternehmen ermöglichen sollte, geheim mit anderen Unternehmen zu kommunizieren. Ein recht gebräuchlicher Verschlüsselungs-Algorithmus und als solcher Kandidat für den Standard war ein IBM-Produkt namens Lucifer, das von dem 1934 in die USA emigrierten Deutschen Horst Feistel entwickelt wurde, wobei blockweise verschlüsselt wird. Durch die blockweise Verschlüsselung eines Datenstroms können allerdings Muster im Chiffretext auftreten, wodurch die Verschlüsselung angreifbar wird wurde die 56-bit Version von Feistels Lucifer-Chiffre offiziell unter dem Namen Data Encryption Standard (DES) übernommen. Auch heute noch ist DES der offizielle amerikanische Verschlüsselungsstandard, der auch z.b. auch in der Nahbereichs- Kommunikation (Dedicated Short-Range Communication, DSRC) zwischen straßenseitigen Baken und Fahrzeugen für die Elektronische Gebührenerhebung (Electronic Fee Collection, EFC, LKW-Maut, etc.) angewendet wird. Trotz der Standardisierung und der Stärke von DES blieb ein Problem zu lösen, nämlich die Frage der Schlüsselverteilung. In den siebziger Jahren gingen die Banken dazu über, ihre Schlüssel von eigenen Botenfahrern verteilen zu lassen. Diese Boten fuhren mit schloßbehangenen Aktenkoffern 15

15 kreuz und quer durchs Land und verteilten die Schlüssel an alle Kunden, die in der Woche darauf Mitteilungen von ihrer Bank erhalten sollten. Doch die Unternehmensnetze wuchsen, immer mehr Daten wurden verschickt und immer mehr Schlüssel mussten verteilt werden. Die Firmen mussten schließlich einsehen, dass sich diese Art der Schlüsselverwaltung zu einem fürchterlichen logistischen Alptraum auswuchs und die Kosten ins Unermessliche trieb. Regierung und Militär bewältigten das Problem mit massiven Ausgaben. Der Nachrichtenverkehr galt als so wichtig, dass sie viel Geld und Ressourcen in die sichere Schlüsselverwaltung steckten. Die Schlüssel der amerikanischen Regierung werden von COMSEC (Communications Security) verwaltet und verteilt. In den siebziger Jahren verteilte COMSEC buchstäblich tonnenweise Schlüssel (Lochkarten, Lochstreifen, Disketten, etc.). Zwar gab Stimmen, die behaupteten, das Problem der Schlüsselverteilung sei unlösbar, doch eine Gruppe wagemutiger Pioniere schlug alle Skepsis in den Wind und legte Mitte der siebziger Jahre eine brillante Lösung vor. Sie entwickelten ein Verschlüsselungssystem das offenbar aller Logik ins Gesicht schlug. Die Computer haben zwar die Praxis der Verschlüsselung verändert, doch die größte Revolution in der Kryptographie des 20. Jahrhunderts war die Entwicklung von Verfahren, mit denen das Problem der Schlüsselverteilung aus der Welt geschafft wurde. Tatsächlich gilt dieser Durchbruch als die größte kryptographische Leistung seit Erfindung der monoalphabetischen Verschlüsselung vor über zweitausend Jahren. Whitfield Diffie wurde 1944 geboren und interessierte sich vor allem für das Problem der Schlüsselverteilung denn es war klar: Wer dafür eine Lösung fand, würde als einer der größten Kryptographen aller Zeiten in die Geschichte eingehen. Eines der wichtigsten Projekte der Advanced Research Projects Agency (ARPA) war die Frage, wie man die Computer des Militärs über weite Entfernungen miteinander verbinden konnte. Dann würde ein beschädigter Computer seine Aufgaben an einen anderen Rechner im Netzwerk übertragen. Das Hauptziel war, die Computer des Pentagon stärker gegen einen nuklearen Angriff zu schützen, doch würde ein solches Netz auch Wissenschaftlern die Möglichkeit bieten, sich Mitteilungen zu schicken und für aufwendige Berechnungen freie Kapazitäten weit entfernter Computer zu nützen. Das ARPAnet entstand 1969, wuchs unaufhaltsam und 1982 gebar es das Internet. Gegen Ende der achtziger Jahre erhielten auch Nichtwissenschaftler und Privatleute Zugang zum Internet, und daraufhin wuchs die Zahl der Nutzer explosionsartig an. Heute nutzen mehr als hundert Millionen Menschen das Internet, um Informationen auszutauschen und sich E- Mails zu schicken. Wenn die Menschen sich elektronische Briefe schickten, überlegte Diffie, sollten sie das Recht haben, ihre Mitteilungen zu verschlüsseln und ihr Privatleben zu schützen. Die Verschlüsselung setzte jedoch den sicheren Austausch von Schlüsseln voraus. Wenn die Regierungen und die großen Unternehmen schon Schwierigkeiten damit hatten, würde es für das breite Publikum unmöglich sein, und damit würde ihm letztlich das Recht auf Privatsphäre verwehrt. 16

16 Diffie stellte sich zwei Fremde vor, die sich via Internet begegnen und fragte sich, wie sie verschlüsselte Botschaften austauschen konnten. Außerdem dachte er über die Lage eines Menschen nach, der über das Internet eine Ware bestellen will. Wie war es möglich, dass dieser Kunde eine mit den verschlüsselten Daten seiner Kreditkarte auf eine Weise verschickte, dass nur der Internet-Händler sie entschlüsseln konnte? In beiden Fällen brauchten die beiden Parteien allem Anschein nach einen gemeinsamen Schlüssel, doch wie sollten sie ihre Schlüssel auf sicherem Weg austauschen? Die Zahl der beiläufigen Kontakte und die Zahl der spontanen s im breiten Publikum würde gewaltig sein, und dies bedeutete, dass eine Verteilung von Schlüsseln wie bisher praktisch unmöglich sein würde. Diffie befürchtete, dieses Hindernis würde der Masse der Anwender das Recht auf eine digitale Privatsphäre verwehren, und er vernarrte sich in den Gedanken, es müßte eine Lösung für dieses Problem zu finden sein. Im Jahr 1974 traf Diffie, mit Martin Hellmann zusammen. Das Arbeitsbündnis Diffie- Hellmann (zu dem später auch noch Ralph Merkle dazustieß) wurde zu einer der fruchtbarsten Partnerschaften in der Kryptographie. Das ganze Problem der Schlüsselverteilung ist eine klassische Paradoxie. Wenn ein Mensch einem anderen eine geheime Nachricht am Telefon übermitteln will, muß er sie,. verschlüsseln. Dazu braucht er einen Schlüssel, der selbst wiederum ein Geheimnis ist, und so ergibt sich das Problem, diesen geheimen Schlüssel dem Empfänger zu übermitteln, damit die geheime Botschaft gesendet werden kann. Kurz, wenn zwei Menschen sich ein Geheimnis (eine verschlüsselte Botschaft) mitteilen wollen, müssen sie sich zuvor bereits ein Geheimnis (den Schlüssel) mitgeteilt haben. Wenn Alice an Bob eine Mitteilung schicken will oder umgekehrt, und dabei Eve versucht diese Nachrichten zu belauschen und aufzuzeichnen, werden Alice und Bob ihre Botschaften zuvor chiffrieren, wobei sie jedesmal einen anderen Schlüssel verwenden, den sie zuvor austauschen müssen. Um den Austausch der Schlüssel kommen sie offenbar nicht herum. Zwei Jahrtausende lang galt dies als Axiom der Kryptographie als unbestreitbare Wahrheit. Diffie und Hellmann kannten jedoch ein Gedankenexperiment, das diesem Axiom zu widersprechen schien. Stellen wir uns die folgende Situation vor: Eines Tages will Alice eine sehr persönliche Nachricht an Bob schicken. Sie legt sie in eine Kiste und sichert sie mit einem Vorhängeschloß. Sie gibt die Kiste zur Post und behält den Schlüssel für das Vorhängeschloß. Wenn Bob die Kiste bekommt, kann er sie nicht öffnen, weil er den Schlüssel nicht hat. Die einzige Möglichkeit das Problem zu umgehen, besteht offenbar darin, dass Alice eine Kopie ihres Schlüssels, einen Nachschlüssel anfertigt und ihn Bob überreicht. Die Vermeidung der Schlüsselverteilung scheint logisch unmöglich. Der Schlüsselaustausch ist ein unvermeidlicher Teil der Verschlüsselung!? Stellen wir uns nun die folgende Situation vor: Wie zuvor will Alice eine höchstpersönliche Mitteilung an Bob schicken. Sie legt ihre Nachricht in eine Eisenkiste, sichert sie mit einem Vorhängeschloß, und schickt sie an Bob. Sobald die Kiste angekommen ist, fügt Bob sein eigenes Vorhängeschloß hinzu und schickt die Kiste an Alice zurück. Sie entfernt ihr eigenes Schloß, so dass jetzt nur noch Bobs Schlüssel die Kiste sichert. Dann schickt sie die Kiste an Bob zurück. Der entscheidende Unterschied ist nun: Bob kann die Kiste 17

17 öffnen, weil sie nur mit seinem eigenen Vorhängeschloss gesichert ist, dessen Schlüssel er allein besitzt. Diese kleine Geschichte zeigt, dass eine geheime Mitteilung auf sichere Weise übermittelt werden kann, ohne dass die beiden Beteiligten einen Schlüssel austauschen müssen. Zum ersten Mal scheint es möglich, dass ein Schlüsselaustausch in der Kryptographie nicht unbedingt notwendig ist: Alice verschlüsselt ihre Botschaft an Bob mit ihrem eigenen Schlüssel, Bob verschlüsselt sie zusätzlich mit seinem Schlüssel und schickt sie zurück. Wenn Alice die doppelt verschlüsselte Nachricht erhält, entfernt sie ihre eigene Verschlüsselung und schickt die Nachricht an Bob zurück, der seine Verschlüsselung entfernen und die Nachricht lesen kann. Dem Anschein nach ist das Problem der Schlüsselverteilung damit gelöst, denn bei der doppelten Verschlüsselung ist ein Schlüsselaustausch unnötig. Allerdings hat dieses Verfahren, bei dem Alice verschlüsselt, Bob verschlüsselt, Alice entschlüsselt und Bob entschlüsselt, einen entscheidenden Nachteil. Das Problem besteht in der Reihenfolge, in der Verschlüsselungen und Entschlüsselungen vorgenommen werden. Im allgemeinen ist diese Reihenfolge von entscheidender Bedeutung und muss dem Grundsatz "die letzte muss die erste sein gehorchen: Die letzte Verschlüsselung sollte die erste sein, die wieder rückgängig gemacht wird. Im obigen Beispiel führt Bob die letzte Verschlüsselung aus, deshalb müsste er sie auch als erste rückgängig machen. Doch Alice entfernte die ihre zuerst, danach kam Bob. Einige ganz elementare Verschlüsselungen, etwa der Caesar, sind so einfach, dass die Reihenfolge keine Rolle spielt. In den siebziger Jahren gelangte man jedoch zu der Erkenntnis, dass jede starke Verschlüsselung der oben genannten Regel folgen muss. Selbst bei einer monoalphabetischen Substitution ist die Reihenfolge entscheidend. Zwar würde das Verfahren mit den doppelt verschlossenen Kisten in der wirklichen Welt der Kryptographie nicht funktionieren, doch es ermutigte Diffie und HelIman auf ihrer Suche nach einer brauchbaren Methode, das Problem der SchIüsselverteilung zu umgehen. Sie interessierten sich jetzt zunehmend für mathematische Funktionen. Die meisten mathematischen Funktionen lassen sich als umkehrbar bezeichnen, weil sie genauso leicht in der einen wie in der anderen Richtung auszuführen sind. Diffie und Hellmann interessierten sich jedoch nicht für umkehrbare Funktionen. Ihre Aufmerksamkeit galt allein den Einwegfunktionen, die sich zwar leicht ausführen, doch schwer wieder umzukehren sind (vergleichbar z.b. dem Mischen von zwei Farben in einem bestimmten Verhältnis, wobei es leicht ist sie zu mischen aber unmöglich sie wieder zu entmischen). In der Modulo-Arithmetik gibt es viele Einwegfunktionen. Nachdem sich Hellmann zwei Jahre eingehend mit Modulo-Arithmetik und Einwegfunktionen beschäftigt hatte, gelang ihm 1976 der entscheidende Durchbruch: Er konnte beweisen, dass Alice und Bob einen Schlüssel vereinbaren können, ohne sich zu treffen, und damit den Jahrhunderte alten Grundsatz, der das Gegenteil und behauptete widerlegt. 18

18 Hellmanns Konzept beruhte auf einer Einwegfunktion der Form Y x (mod P). Zuerst vereinbaren Alice und Bob Werte für Y und P. Dabei haben sie weitgehend freie Hand, doch einige Einschränkungen müssen sie beachten, etwa, dass Y kleiner als P sein muss. Diese Werte sind nicht geheim, daher kann Alice Bob anrufen und ihm zum Beispiel Y = 7 und P = 11 vorschlagen. Auch wenn die Verbindung nicht sicher ist und Eve ihr Gespräch abhört, spielt das keine Rolle. Alice und Bob haben sich jetzt auf die Einwegfunktion 7 x (mod 11) geeinigt. An diesem Punkt können sie damit beginnen, einen geheimen Schlüssel zu vereinbaren, ohne sich zu treffen: Aktionen von Alice: Alice wählt eine Zahl A (z.b. A = 3) und hält sie geheim. Alice setzt ihre geheime Zahl A in die Einwegfunktion 7 A (mod 11), also: 343 (mod 11) = 2 und nennt das Ergebnis α. Alice schickt das Ergebnis α = 2 an Bob (über eine unsichere Leitung!) Alice empfängt das Ergebnis von Bob und berechnet: β A (mod 11) = 64 (mod 11) = 9. Aktionen von Bob: Bob wählt eine Zahl B (z.b. B = 6) und hält sie geheim. Bob setzt seine geheime Zahl A in die Einwegfunktion 7 B (mod 11), also: (mod 11) = 4 und nennt das Ergebnis β Bob schickt das Ergebnis β = 4 an Alice (über eine unsichere Leitung!) Bob empfängt das Ergebnis von Alice und berechnet: α B (mod 11) = 64 (mod 11) = 9. Alice und Bob haben dieselbe Zahl, nämlich 9 gefunden, und können diese Zahl jetzt als gemeinsamen Schlüssel verwenden! Die Informationen zur Generierung des gemeinsamen Schlüssels wurden über unsichere Leitungen ausgetauscht, ohne dass es notwendig war, dass Alice und Bob sich je treffen mussten! Beispielsweise könnten sie ihre Zahl, die 9, als Schlüssel für eine DES-Chiffrierung einsetzen. DES verwendet in Wirklichkeit viel größere Zahlen und der beschriebene Austausch würde mit solch großen Zahlen stattfinden. Hellmanns Verfahren hat Alice und Bob in die Lage versetzt, einen Schlüssel zu vereinbaren; doch sie mussten sich nicht treffen. Der verblüffende Erfolg besteht darin, dass sie den geheimen Schlüssel über eine gewöhnliche Telefonverbindung vereinbart haben. Doch wenn Eve die Verbindung anzapfen kann nützt es ihr nichts, da die über die Telefonverbindung ausgetauschten Zahlen (Y und P, sowie α und β), erst in Verbindung mit den beiden jeweils geheim gehaltenen Zahlen (A und B) den geheimen Schlüssel ergeben (ähnlich Farbmischung mit 2 Farben). 19

19 Der Diffie-Hellman-Merkle-Schlüsselaustausch war zwar ein gewaltiger Sprung nach vorne, doch das Verfahren war noch recht umständlich. Hellmann hatte jedoch eine der Grundfesten der Kryptographie erschüttert und bewiesen, dass Bob und Alice sich nicht unbedingt treffen müssen, um einen geheimen Schlüssel zu vereinbaren. 2.8 Kryptographie mit Öffentlichem Schlüssel Während Hellmann sein Verfahren des Schlüsselaustauschs entwickelte, arbeitete Whitfield Diffie an einem völlig anderen Ansatz, um das Problem der Schlüsselverteilung zu lösen. Dabei entwickelte Diffie schließlich ein neues Verschlüsselungsverfahren, das mit einem asymmetrischen Schlüssel arbeitete. Alle bisher dargestellten Verfahren sind symmetrisch (Enigma, DES, etc.). Beim asymmetrischen Schlüsselsystem sind hingegen Verschlüsselungs-Schlüssel und Entschlüsselungsschlüssel nicht identisch. Beim asymmetrischen Verfahren kann Alice zwar, wenn sie den Chiffrier-Schlüssel kennt, eine Botschaft verschlüsseln, jedoch nicht wieder entschlüsseln. Dazu braucht sie Zugang zum Dechiffrier-Schlüssel. Diese Unterscheidung zwischen Chiffrier-Schlüssel und Dechiffrier-Schlüssel ist das Kennzeichen der asymmetrischen Verschlüsselung. Diffie hatte zwar den Begriff einer asymmetrischen Verschlüsselung entwickelt, doch noch kein konkretes Beispiel dafür. Allerdings war schon der bloße Begriff einer asymmetrischen Verschlüsselung revolutionär. Wenn die Kryptographen eine echte funktionierende asymmetrische Verschlüsselung finden konnten, ein System, das Diffies Anforderungen erfüllte, dann würde dies die Lage von Alice und Bob grundlegend verändern. Alice könnte dann ihr eigenes Schlüsselpaar herstellen: einen Chiffrier- Schlüssel und einen Dechiffrier-Schlüssel. Wenn wir davon ausgehen, dass die asymmetrische Chiffre computergeschützt ist, dann ist Alices Chiffrier-Schlüssel eine Zahl und ihr Dechiffrier-Schlüssel eine andere Zahl. Alice hält ihren Dechiffrier-Schlüssel geheim, weshalb er als privater Schlüssel bezeichnet wird. Hingegen veröffentlicht sie ihren Chiffrier-Schlüssel und stellt ihn allen zur Verfügung, weshalb er als öffentlicher Schlüssel bezeichnet wird. Wenn Bob an Alice eine Mitteilung schicken will, sucht er einfach ihren öffentlichen Schlüssel heraus, den er in einem Verzeichnis, ähnlich einem Telefonregister, aufbewahrt. Dann verwendet Bob den öffentlichen Schlüssel von Alice, um die Mitteilung zu chiffrieren. Er schickt sie an Alice und wenn die Mitteilung angekommen ist, kann Alice sie mit ihrem privaten Schlüssel dechiffrieren. Der große Vorteil dieses Verfahrens ist, dass ein Hin und Her wie bei der Schlüsselvereinbarung nach Diffie, Hellmann und Merkle überflüssig ist. Bob muss nicht warten, bis er Informationen von Alice bekommt, bevor er verschlüsseln und ihr eine Nachricht schicken kann. Er sucht einfach ihren öffentlichen Schlüssel heraus. Zudem erledigt das asymmetrische Verfahren endgültig das Problem der Schlüsselverteilung. Alice muss ihren öffentlichen Schlüssel keineswegs auf sicherem Weg an Bob überbringen, im Gegenteil, sie kann ihn, wenn sie will, allen anderen zur Verfügung stellen. Sie will ja, dass alle Welt ihren öffentlichen Schlüssel kennt, damit es allen freisteht, ihr verschlüsselte Nachrichten zu schicken. Allerdings kann niemand, auch Eve nicht, irgendeine damit verschlüsselte Nachricht dechiffrieren, weil der öffentliche Schlüssel dazu nicht taugt. Daher kann nicht einmal Bob, sobald er mit Alices öffentlichem Schlüssel eine 20

20 Nachricht chiffriert hat, diese wieder entschlüsseln. Das kann nur Alice mit ihrem privaten Schlüssel. Dieses Verfahren ist das genaue Gegenteil der herkömmlichen symmetrischen Verschlüsselung, bei der Alice einigen Aufwand treiben muss, um den Schlüssel auf sicherem Wege an Bob zu überbringen. Bei einer symmetrischen Verschlüsselung sind Chiffrier- und Dechiffrier-Schlüssel identisch, daher müssen Alice und Bob scharf darauf achten, ihn nicht in Eves Hände fallen zu lassen. Das ist der Kern des Schlüsselverteilungsproblems. Es ist allerdings nicht einfach, eine mathematische Funktion zu finden, die für diese Aufgabe geeignet ist und in ein brauchbares kryptographisches Verfahren eingebaut werden kann. Um die großartige Idee einer asymmetrischen Verschlüsselung in eine praktische Neuerung zu verwandeln, musste eine geeignete mathematische Funktion gefunden werden. Dennoch, Ende 1976 hatte die Gruppe Diffie, Hellman und Merkle das Feld der Kryptographie von Grund auf verändert. Sie hatten alle Welt davon überzeugt, dass es eine Lösung für das Problem der Schlüsselverteilung gab, und das nach ihnen benannte Verfahren entwickelt - ein perfektes, in der Praxis allerdings noch nicht funktionsfähiges System. Sie trieben ihre Forschungen an der Universität Stanford weiter, auf der Suche nach einer speziellen Einwegfunktion, mit der man die asymmetrische Verschlüsselung in die Praxis umsetzen konnte. Doch es waren nicht sie, denen die Entdeckung gelang. Das Wettrennen um die asymmetrische Verschlüsselung gewann eine andere Forschergruppe, die 5000 Kilometer entfernt an der amerikanischen Ostküste arbeitete. 2.9 Asymmetrische RSA-Verschlüsselung Basierend auf dem von Diffie und Hellmann vorgestellten Konzept der asymmetrischen Verschlüsselung beschlossen Ron Rivest (Computerwissenschaftler), Adi Shamir (Computerwissenschaftler) und Leonard Adleman (Mathematiker) am MIT-Labor für Computerwissenschaften nach einer Einwegfunktion zu suchen, die den Anforderungen entsprach. Die Kernfrage war: Ist es möglich eine asymmetrische Verschlüsselung zu entwickeln? Ist es möglich, eine Einwegfunktion zu finden, die nur umgekehrt werden kann, wenn der Empfänger eine besondere Information besitzt? Schließlich fand Rivest die Lösung und das Verfahren, das sie RSA (Rivest, Shamir, Adleman) tauften, sollte die einflussreichste Verschlüsselung der modernen Kryptographie werden, die die folgenden beiden Anforderungen voll erfüllte: (1) Alice muss einen öffentlichen Schlüssel erzeugen, den sie öffentlich an Bob (und andere) weitergibt, damit er Mitteilungen an sie verschlüsseln kann. Der öffentliche Schlüssel muss eine Einwegfunktion sein, es muss also praktisch unmöglich sein, die Funktion umzukehren und die Mitteilungen für Alice zu entschlüsseln. (2) Alice muss jedoch die ihr zugeschickten Mitteilungen entschlüsseln können. Dazu braucht sie einen privaten Schlüssel, ein besonderes Stück Information, das es ihr erlaubt, die Wirkung des öffentlichen Schlüssels umzukehren. So hat Alice (und nur Alice) die Möglichkeit, an sie gerichtete Mitteilungen zu entschlüsseln. Kern der asymmetrischen Verschlüsselung von Rivest ist eine Einwegfunktion, die auf dem Produkt zweier Primzahlen (p * q = N) und der Modulo-Arithmetik beruht. Rivests Einwegfunktion kann zur Verschlüsselung einer Nachricht verwendet werden - die 21

21 Nachricht, letztlich eine Zahl, wird in die Funktion eingesetzt, und das Ergebnis ist ebenfalls eine Zahl, nämlich der Geheimtext. N ist ein variabler Bestandteil der Einwegfunktion, der es ermöglicht, dass jeder Anwender einen anderen Wert von N wählen kann. Um ihren eigenen Wert zu bestimmen, nimmt Alice zwei Primzahlen, p und q, und multipliziert sie. Alices N wird nun ihr öffentlicher Schlüssel, den sie entsprechend veröffentlicht. Wenn Bob eine Botschaft an Alice verschlüsseln will, sucht er sich den Wert für N für Alice (z.b. aus einer Datenbank und setzt ihn in die allgemeine Form der Einwegfunktion ein, die ebenfalls öffentlich bekannt ist. Bob hat jetzt eine Einwegfunktion, die auf den Schlüssel von Alices Schlüssel zugeschnitten ist, man könnte sie daher als Einwegfunktion von Alice bezeichnen. Um eine Mitteilung an Alice zu verschlüsseln, nimmt er die Einwegfunktion von Alice, fügt die Nachricht ein, notiert das Ergebnis und schickt es an Alice. Um die für sie bestimmte Nachricht zu lesen, muss Alice die Möglichkeit haben, die Einwegfunktion umzukehren. Sie braucht ein besonderes Stück Information, das es ihr erlaubt, die Nachricht zu entschlüsseln. Rivest hat die Umkehrfunktion so angelegt, dass sie für jemanden, der die Werte von p und q kennt, umkehrbar ist. Zwar hat Alice überall verkündet, dass ihr Wert N lautet, doch ihre Werte für p und q deren Produkt N ist, hält sie streng geheim. Nur sie besitzt die besondere Information, die zur Entschlüsselung ihrer Post nötig ist. Sei N = p*q das Produkt zweier verschiedener Primzahlen p und q. Dann gilt für jede natürliche Zahl m <= N und jede natürliche Zahl k die Gleichung: m k(p-1)*(q-1) + 1 mod N = m. (Beachte: Kleiner Satz von Fermat: Sei p eine Primzahl und a kein Vielfaches von p: Dann gilt: a p-1 1 (mod p). ) Zur Realisierung des RSA-Algorithmus wählt man zwei natürliche Zahlen e und d deren Produkt von der Form e*d = k*(p-1)*(q-1) + 1 mit k N ist. Dann gilt: (m e ) d mod N = m und (m d ) e mod N = m. Konkret geht man zur Schlüsselerzeugung wie folgt vor: Für jeden Teilnehmer werden zwei verschieden große Primzahlen p und q gewählt, deren Produkt N = p*q und die Zahl ϕ(n) = (p-1)*(q-1) berechnet. 22

22 Dann wählt man eine natürliche Zahl e, die teilerfremd zu ϕ(n) ist und berechnet, etwa mit Hilfe des erweiterten euklidischen Algorithmus eine Zahl d mit: also für eine natürliche Zahl k. e*d mod ϕ(n) = 1, e*d = 1 + k*(p-1)*(q-1) Dann bildet e zusammen mit N den öffentlichen Schlüssel, und d ist der geheime Schlüssel des Teilnehmers. Die Zahlen p,q und ϕ(n) sind ebenfalls geheimzuhalten; sie können aber nach der Berechnung von d auch vernichtet werden, da sie im laufenden Betrieb nicht benutzt werden müssen. Die Verschlüsselung erfolgt dann durch: f e (m) := m e mod N, und die Entschlüsselung durch: f d (c) := c d mod N. Damit ist die Public-Key Eigenschaft erfüllt, denn wenn man nur die Zahl N kennt (und nicht etwa die Faktoren p und q oder die Zahl ϕ(n) = (p-1)*(q-1)), so kann man aus e nicht d berechnen. Falls für p und q Primzahlen mit Werten in der Größe von gewählt werden, dann ist N etwa groß. Ein heutiger Computer würde etwa 10 Jahre benötigen, um die Primfaktoren von N zu finden. Falls hundert Millionen PCs miteinander vernetzt würden um N zu finden, dann würde die Lösung in wenigen Sekunden vorliegen. Man legt daher noch höhere Werte für N, die im Bereich von liegen, fest. Der einzige Sicherheitsvorbehalt bei der Public-Key-Methode RSA ist, dass irgendwann in der Zukunft ein schnellerer Weg gefunden werden könnte, um N in Faktoren zu zerlegen. Allerdings suchen die Mathematiker seit zweitausend Jahren vergeblich nach einer Abkürzung und die Faktorenzerlegung ist eine zeitaufwendige Beschäftigung. Der große Vorteil der RSA-Kryptographie ist, dass sie alle Probleme, die mit den herkömmlichen Verfahren und dem Schlüsselaustauschverfahren verbunden sind beseitigt. Alice muss sich nicht mehr darum sorgen wie sie Bob den Schlüssel sicher überbringen kann und ob Eve ihn vielleicht abfangen könnte. Im Gegenteil, Alice ist es gleich, wer den öffentlichen Schlüssel sieht - je mehr, desto besser, denn der öffentliche Schlüssel dient nur zur Chiffrierung, nicht zur Dechiffrierung. Das einzige, was geheim bleiben muss ist der private Schlüssel zur Dechiffrierung, und den kann Alice immer bei sich tragen. 23

23 3. Sicherheitsaspekte im INTERNET (Smith) 3.1 Organisationen Während der weitgehend experimentellen Phase des Internets bzw. zum Austausch von Informationen zwischen Universitäten und Forschungseinrichtungen in den 80-er Jahren war der Datenaustausch noch durch hohe Freizügigkeit geprägt, wobei Sicherheits- Aspekte noch keine große Beachtung fanden. Das Auftreten des "Internet-Wurms" (1988), der eigentlich dazu gedacht war Erfahrung in Computersicherheit zu machen und die Sicherheitslücken in verschiedenen Internet- Diensten zu untersuchen, wobei allerdings einige Prozeduren die eine Begrenzung garantieren sollten nicht funktionierten, so dass schließlich Tausende Computer befallen wurden und stillstanden, löste ein derartiges Chaos aus, dass die US-Regierung Maßnahmen zur Verbesserung der Computer- und Netzsicherheit ergriff. Eine Maßnahme bestand in der Einrichtung von Organisationen, die sich mit Problemen der Computersicherheit befassen und Berichte zu deren Behebung veröffentlichen, wie: CERT (Computer Emergency Response Team) CIAC (Computer Incidence Advisory Capability) FIRST (Forum of Incident Response Teams) 3.2 Arten von Angriffen auf das INTERNET Fälschung Henry, der Fälscher, hat den einfachsten Job; er braucht nichts weiter zu tun, als Internet- Nachrichten zu konstruieren und sie an sein Opfer zu senden. Dies ist einfach zu bewerkstelligen, sofern er über einen Internet-Rechner verfügt, der seinem Opfer Pakete zuschicken kann. Die meiste Zeit ist er damit beschäftigt, die einzelnen Bits gemäß der Protokollspezifikationen korrekt zusammenzustellen, so dass sein Opfer die Fälschung nicht von einem echten Paket unterscheiden kann. Dies gilt insbesondere für Protokolle, die keine Antwort erfordern, wie zum Beispiel oder auf Datagrammen basierende Protokolle wie etwa NFS (Network File Service). Die Sache wird schon schwieriger, wenn sich die Fälschung auf eine bidirektionale Verbindung bezieht. Dann muss Henry sicherstellen, dass die Pakete seines Opfers an ihn und nicht an den wirklichen Bestimmungsort geleitet werden. Dies ist bei kurzen Routen durch ein gut verwaltetes Netz oft schwierig, kann aber zum Gelegenheitsverbrechen werden, wenn sich der Datenverkehr durch das globale INTERNET schlängelt. Abhören Tom, der Schnüffler, beschäftigt sich mit dem Abhören von Paßwörtern. Er hat einen härteren Job als Henry, da er Zugriff auf den Datenverkehr seines Opfers besitzen muss. Das bedeutet, dass er in einen Routingrechner oder ein Netz, das die Nachrichten seines Opfers übertragt, eindringen oder bereits kontrollieren muss. Die Aufgabe ist keineswegs unlösbar, Meldungen über das Abhören von Paßwörtern erscheinen regelmäßig in den Berichten des CERT. Sobald Tom Zugriff auf den Datenverkehr seines Opfers hat, wartet 24

24 er einfach auf interessante Informationen wie Paßwörter und andere Zugriffscodes, verwertbare Firmengeheimnisse oder andere vertrauliche Daten. Die Standard-Internet- Protokolle bieten keinen Schutz gegen Toms Schnüffelei. Wiederholtes Absenden Sam kombiniert Toms Abhören mit Henrys Fälschen. Sam fängt verwertbare oder bedeutsame Nachrichten ab und sendet sie den Empfängern erneut zu. Er könnte zum Beispiel eine von Alices,,Zahle Euro 100"-Nachrichten an Bob abfangen und ein paar Mal wiederholen, was mehrere nicht beabsichtigte Zahlungen zur Folge hätte. Henry könnte mit seinen Fälschungen dasselbe erreichen, Sams Spezialgebiet stellt jedoch eine besondere Gefahr für kryptographische Systeme dar. Verändern Vera hat den härtesten Job von allen. Sie fängt Nachrichten ab, nimmt behutsam Änderungen vor und sendet sie weiter. Sie könnte zum Beispiel eine Nachricht von Alice abfangen, den Betrag von Euro 100 auf Euro 900 heraufsetzen und die Nachricht dann an Bob weiterleiten. Häufig muss sie die Nachrichten nahezu in Echtzeit ändern, so dass ihr kaum Zeit zur Verfügung steht. Viele Protokolle enthalten Zeitvorgaben, so dass die veränderten Nachrichten rechtzeitig bei ihrem Opfer ankommen müssen, damit sie akzeptiert werden. Manchmal kann Vera einen,,programmierten Angriff" konstruieren, der die Nachrichten automatisch ändert. Trotz der mit solchen Angriffen verbundenen Schwierigkeiten kann sie mit einem einfach einsetzbaren programmierten Angriff zu einer realen und ernstzunehmenden Bedrohung werden. 3.3 Angemessene Kommunikationssicherheit Realistische Sicherheit besteht aus der Balance dreier Aspekte: Welche Ziele sollen angestrebt werden? Durch welche Sicherheitsmaßnahmen sollen sie verwirklicht werden? Wie sind die Kosten der entsprechenden Sicherheitsmaßnahmen? Ziele der Kommunikationssicherheit Wirtschaftlichkeit von Anschaffungskosten und Benutzerfreundlichkeit Dies stellt für die meisten Organisationen die wichtigste Überlegung dar. Teure, unhandliche Lösungen sind für viele Organisationen unbrauchbar. Manche Organisationen nehmen jedoch höhere Kosten für bessere Sicherheit in Kauf. Einfache Kommunikation mit vielen Rechnern Dies ist heute der Normalfall: Jeder Rechner im Unternehmen muss mit einer wachsenden Zahl anderer Rechner kommunizieren. Dies bedeutet im allgemeinen, dass jeder Rechner an mindestens ein LAN angeschlossen ist. Direkter INTERNET-Zugang Manche Benutzer müssen sich für ihre Arbeit regelmäßig Informationen aus dem World Wide Web besorgen oder mit anderen Mitgliedern der Internet-Gemeinde ungeschützte austauschen. Dieser Aspekt stellt eine andere wichtige Über- 25

25 legung dar. Das INTERNET bietet zwar eine Fülle von Informationen und Kommunikationsmöglichkeiten, bringt aber auch eine breit gefächerte internationale Bedrohung direkt auf den Desktop-Computer. Anbieten von Produkten an Außenstehende über das INTERNET Vorhandene und potentielle Kunden müssen auf die Rechner einer Firma zugreifen, die Produktpalette durchsehen und einen Kauf sicher abschließen können. Sowohl der Käufer als auch der Verkäufer möchten den jeweils anderen zuverlässig identifizieren und die Transaktion vor Störungen von außen schützen. Es gibt jedoch keine Möglichkeit, im vornhinein festzustellen, ob es sich bei den Besuchern um neue, potentielle Kunden handelt oder um Angreifer, die in den Standort eindringen wollen. Strenge Geheimhaltung Für die meisten Organisationen spielt Vertraulichkeit eine wichtige Rolle, für manche ist sie wirklich entscheidend. In solchen Fällen kann der Verlust einer einzigen Nachricht die Ziele der Organisation ernsthaft beeinträchtigen und Schaden verursachen, der sehr schwer zu beheben ist. Strenge Geheimhaltung ist mit hohen Kosten verbunden. Strenge Authentifizierung von Nachrichten Die Organisation muss Nachrichten bestimmten Einzelpersonen oder berechtigten Agenten zuordnen können, und das äußerst zuverlässig. Wenn wichtige Nachrichten gefälscht werden, entsteht ernster Schaden oder großer Verlust. Jedes der oben genannten dieser Ziele kann für bestimmte geschäftliche Aktivitäten vorteilhaft sein. Es ist aber unmöglich, all diese Ziele gleichzeitig mit einer einzigen Anwendung zu verwirklichen. Wenn widersprüchliche Ziele zu verfolgen sind, ist es unter Umständen angebracht, dafür getrennte Netze vorzusehen. Deshalb sollte man sich zunächst auf Anforderungen konzentrieren, die für den unmittelbaren Einsatz erfüllt werden müssen. Sicherheit kann schnell kostspielig werden; deshalb sollten erst einmal die unmittelbaren Gefahren und Betriebsanforderungen abgedeckt werden. 3.4 Kryptographische Verfahren für das INTERNET Die verschiedenen kryptographischen Verfahren, die im INTERNET verwendet werden befinden sich an einer anderen Stelle in der Software eines Gesamtsystems. Verschlüsselung von Punkt-zu-Punkt-Verbindungen Zwischen zwei Computern wird durch Kryptographie am Netzanschluß eine vollständig isolierte Verbindung hergestellt. Damit wird die größte Sicherheit erreicht, da der physische und elektronische Zugang am stärksten eingeschränkt ist. Es ist nicht unbedingt eine Internet-Lösung, da keine TCP/IP-Software verwendet werden muss. Dies ist die einfachste Lösung, gleichzeitig aber auch die teuerste hinsichtlich der Implementierung und Erweiterung. 26

26 Verschlüsselung von IP-Verbindungen Diese Lösung stellt ein hochgradig sicheres, erweiterbares TCP/IP-Netz her, da Kryptographie am Netzanschluß angewendet wird und der physische Zugang auf Rechner im selben Netzwerk beschränkt ist. Diese Architektur blockiert jede Kommunikation mit nicht vertrauenswürdigen Rechnern und Standorten. Die Standorte benutzen Punkt-zu-Punkt-Verbindungen und verschlüsseln den gesamten Datenverkehr über diese Verbindungen. Ein virtuelles privates Netz (VPN) mit IPSEC Routern (IP Security Protocol) Diese Lösung entspricht einem VPN, das über das INTERNET Datenverkehr zwischen vertrauenswürdigen Standorten überträgt. Kryptographie wird in der Internet Schicht mit IPSEC angewendet. Dieser Ansatz verwendet Router zur Verschlüsselung und bietet den Standorten keinen Zugang zu nicht vertrauenswürdigen Internet-Standorten. Ein virtuelles privates Netz (VPN) mit IPSEC-Firewalls Diese Lösung stellt einen anderen VPN-Ansatz dar, der Firewalls statt Router zur Verschlüsselung verwendet. Kryptographie wird in der lnternet-schicht mit IPSEC angewendet. Die Firewalls verschlüsseln den gesamten Datenverkehr zwischen vertrauenswürdigen Standorten und bieten zudem konventionellen Zugriff auf nicht vertrauenswürdige Rechner. Starke Zugriffssteuerung durch Firewalls ist notwendig, um das Risiko von Angriffen auf Verfahren sowie Angriffe auf Rechner innerhalb der vertrauenswürdigen Standorte zu vermindern. World-Wide-Web-Dienst mit dem SSL-Protokoll (Secure Socket Layer) Diese Lösung verwendet kryptographische Dienste auf Basis des SSL-Protokolls. Das Protokoll ist in Anwendungssoftware für Web-Clients und -Server integriert. Dies schützt ausgewählte Datenübertragungen zwischen Web-Client und Web-Server. mit Pretty Good Privacy (PGP) Diese Lösung wendet verschiedene kryptographische Verfahren auf an, die das Verschlüsselungspaket PGP für benutzen. Eine wichtige Funktionalität dieses Softwarepakets besteht darin, dass unabhängige Einzelpersonen oder Gruppen eigene kryptographische, "digitale Ausweise" erstellen, die die Authentizität der von ihnen erzeugten elektronischen Dateien bezeugen. mit Privacy Enhanced Mail (PEM) Diese Lösung wendet verschiedene kryptographische Verfahren auf an, die das Protokoll PEM benutzen. Es gibt einige technische Unterschiede in der Art, wie PGP und PEM vergleichbaren Schutz gewährleisten. Der wichtigste Unterschied besteht darin, wie PEM die kryptographischen digitalen Ausweise behandelt. PEM verwendet ein hierarchisches System zur Erzeugung von digitalen Ausweisen. Einzelpersonen können ihre Ausweise nicht selbst erzeugen. Dies erhöht die Sicherheit in gewisser Hinsicht, erfordert aber auch mehr Verwaltungsaufwand. 27

27 3.5 Verschlüsselungsalgorithmen und Chiffriermodi Jedes moderne Chiffriergerät besitzt einige grundlegende Elemente, die seine Funktionsweise charakterisieren. Das erste ist der kryptographische Algorithmus, der die mathematische Transformation bestimmt, die an den Daten zur Ver- oder Entschlüsselung vorgenommen wird. Manche Algorithmen führen eine Stromchiffrierung durch, bei der ein digitaler Datenstrom bitweise verschlüsselt wird. Die bekanntesten Algorithmen arbeiten dagegen mit Blockchiffrierung, bei der die Daten als Blöcke bestimmter Länge transformiert werden. Bei der Blockchiffrierung eines Datenstroms definiert der Chiffriermodus in welcher Art der Algorithmus blockweise auf den Datenstrom angewendet wird. Ein kryptographischer Algorithmus ist eine Prozedur, die die Klartextdaten auf reversible Weise in Chiffretext transformiert. Ein guter Algorithmus erzeugt Chiffretext, der möglichst wenige Anhaltspunkte auf den Schlüssel oder den ursprünglichen Klartext liefert. In der Praxis kommen kryptographische Algorithmen meist in Form von elektronischen Schaltkreisen oder Softwarepaketen vor. Wenn ein Gerät, Paket oder Produkt für sich in Anspruch nimmt, einen bestimmten Algorithmus exakt zu implementieren, enthält es gleichzeitig auch die Schwächen dieses Algorithmus. Selbstverständlich sollten dann auch die Stärken vorhanden sein, vorausgesetzt, dass diese nicht durch andere Eigenschaften im Aufbau geschwächt sind. Eine wichtige Unterscheidung bei kryptographischen Algorithmen besteht darin, ob sie mit: geheimen Schlüsseln (secret key), oder öffentlichen Schlüsseln (public key) arbeiten. Man muss grundsätzlich davon ausgehen, dass sowohl Ver- als auch Entschlüsselungs- Funktion bekannt sind. Es gibt zwar auch geheime Verfahren, doch jeder praktisch eingesetzte Algorithmus geht bei der Entwicklung, Spezifikation, Normung, Programmierung, Evaluierung und Implementierung durch so viele Hände, dass es großer Sicherheitsvorkehrungen bedarf, um ihn geheimzuhalten. Eine Verschlüsselungsfunktion f ist sicher, wenn sie die folgenden Angriffe übersteht: Ciphertext-only attack: Der Angreifer kennt eine begrenzte Anzahl von Geheimtexten und möchte daraus die zugehörigen Klartexte bzw. den verwendeten Schlüssel berechnen. Known-plaintext attack: Der Angreifer kennt eine begrenzte Anzahl von Geheimtexten mit den zugehörigen Klartexten und möchte daraus den verwendeten Schlüssel bzw. den Klartext zu einem weiteren Chiffretext berechnen. Chosen-plaintext attack: Der Angreifer hat sich Zugang zu der mit dem Schlüssel k parametrisierten Verschlüsselungsfunktion f verschafft. Er kann den Schlüssel k zwar nicht auslesen, aber bestimmte von ihm ausgewählte Klartexte (z.b. spezielle Klartexte wie ") mit Hilfe von f k verschlüsseln. Mit Hilfe dieser Information möchte er 28

28 andere Geheimtexte entschlüsseln bzw. den Schlüssel k berechnen. (Dieser Angriff erscheint zunächst etwas akademisch, er stellt aber bei der Public-Key Kryptographie eine echte Bedrohung dar.) Chosen-ciphertext attack: Der Angreifer hat sich Zugang zu der mit dem Schlüssel k parametrisierten Entschlüsselungsfunktion f* verschafft. Er kann den Schlüssel k zwar nicht auslesen, aber bestimmte von ihm ausgewählte Geheimtexte mit Hilfe von f k * entschlüsseln. Mit Hilfe dieser Information versucht er, den Schlüssel k zu berechnen. Die Algorithmen zur symmetrischen Verschlüsselung von Daten unterteilt man in Blockchiffren und Stromchiffren. Bei einer Blockchiffre wird die Nachricht in Blöcke m 1, m 2, m 3,... fester Länge eingeteilt (eine typische Zahl ist 64 Bit), und jeder Block m i ; wird unter Verwendung des Schlüssels einzeln verschlüsselt: c i =f(k,m i ) für i =1,2, 3,... Beispiele für Blockchiffren sind der DES (Data Encryption Standard) und der IDEA (International Data Encryption Algorithm). Beides sind Algorithmen mit einer Blocklänge von 64 Bit; beim DES werden Schlüssel mit 56 Bit benutzt, während ein IDEA- Schlüssel aus 128 Bit besteht. Blockchiffren können in verschiedenen Modi betrieben werden. Bei einer Stromchiffre wird eine Nachricht zeichenweise verschlüsselt. Hierzu wird ein Schlüsselstrom erzeugt, der die gleiche Länge hat wie der Klartext, so dass jeweils ein Klartextzeichen mit einem Schlüsselzeichen zu einem Chiffretextzeichen verknüpft werden können. Während also bei einer Blockchiffre (jedenfalls im Grundmodus) gleiche Klartextblöcke in gleiche Geheimtextblöcke überführt werden, so wird (und sollte) eine Stromchiffre gleiche Klartextzeichen nicht in gleiche Geheimtextzeichen verschlüsseln. Der Prototyp aller Stromchiffren ist das One-time-pad. Dazu muss die Nachricht als Folge von Bits vorliegen. Der Schlüssel ist ebenfalls eine Folge von Bits, die (im Gegensatz zu den Bits der Nachricht) zufällig und unabhängig voneinander gewählt wurden. Die Verschlüsselung ist denkbar einfach: Entsprechende Bits des Klartextes und des Schlüssels werden modulo 2 addiert, das heißt nach den Regeln "exklusives ODER": 0 0 = = = = 0 In diesem Fall verläuft die Entschlüsselung genauso wie die Verschlüsselung, es ist also f* = f: Zur Geheimtextfolge wird die Schlüsselfolge modulo 2 addiert, und man erhält wieder den Klartext. 29

29 Wenn der Schlüssel nur einmal verwendet wird, ist dies ein absolut sicheres ( perfektes") Verfahren, dessen Sicherheit sogar theoretisch bewiesen werden kann. Allerdings hat es den Nachteil, dass der Schlüssel genauso lang sein muss wie der Klartext. Wird derselbe Schlüssel mehrmals verwendet, so kann das System mit einem Known- Plaintext-Angriff gebrochen werden. Bemerkung: Unter einem One-time-pad kann man sich einen Abreißblock vorstellen. Auf jedem Blatt steht ein Schlüsselbit; wenn dieses verwendet wurde, wird das Blatt abgerissen und weggeworfen. In der Praxis benutzt man in der Regel keine perfekten Stromchiffren, sondern setzt zur Erzeugung der Schlüsselfolge einen Pseudozufallsgenerator ein. Der Vorteil ist dabei, dass nur eine kurze geheime Information zur Initialisierung des Pseudozufallsgenerators benötigt wird; wie bei den Blockchiffren muss also nur eine kurze geheime Information vom Sender zum Empfänger übertragen werden Stromchiffrierung Algorithmen mit Stromchiffrierung erzeugen aus einem Klartextstrom und einem Chiffrierschlüssel einen Strom von Chiffretext. Die klassische digitale Stromchiffrierung ist die Vernam-Chiffrierung, die Anfang des zwanzigsten Jahrhunderts zur Verschlüsselung von Fernschreiben entwickelt wurde. Die ursprüngliche Vernam-Chiffrierung arbeitete mit einem Chiffrierschlüssel, der auf einem sehr langen in sich geschlossenen Papierstreifen gespeichert war. Der Chiffretext wird erzeugt, indem jedes Bit im Klartextstrom zu einem Schlüsselbit auf dem Papierstreifen addiert wird; ein eventueller Übertrag wird dabei ignoriert. Diese Addition entspricht einer logischen XOR-Verknüpfung (exklusives ODER). In der Praxis sind einfache Vernam-Chiffrierungen leicht zu knacken. Ein Angreifer kann Chiffretext-Nachrichten paarweise mathematisch kombinieren, um daraus den Schlüsselstrom zu gewinnen und eine Nachricht zu erzeugen, die einfacher zu knacken ist. Hat er eine Nachricht geknackt und den Klartext aus dem Chiffretext extrahiert, kann er diesen Klartext zur Ableitung des Schlüsselstroms verwenden. Ist ihm dies gelungen, kann er alle weiteren mit diesem Schlüsselstrom geschützten Nachrichten dechiffrieren. Dies veranschaulicht, wie wesentlich es bei der Entwicklung von kryptographischen Systemen ist, die Schwächen der Chiffrierung genau zu untersuchen. Trotz ihrer Schwächen in einfachen Anwendungen spielt die Vernam-Chiffrierung immer noch eine wichtige Rolle. Sie ist bei sich wiederholenden Schlüsseln angreifbar, aber durchaus wirksam, wenn sich der Schlüsselstrom fortlaufend ändert. Ein solcher Ansatz wird in modernen Stromchiffrierungen häufig verwendet. Diese bestehen aus zwei Teilen: einer Prozedur zur Erzeugung einer von Außenstehenden nicht zu erratenden Bitfolge und einer Vernam-Chiffrierung, die diese Bitfolge als Schlüssel benutzt. Wir können den ursprünglichen, zufällig erzeugten Vernam-Schlüssel bis ins logische Extrem führen und für jedes Bit einer jeden Nachricht ein neues, zufällig generiertes Schlüsselbit verwenden. Dies führt zu einer besonderen Chiffrierung namens OneTime- Pad (Einmal-Block; siehe oben). Eine wichtige Erkenntnis aus der Informationstheorie 30

30 besagt, dass es unmöglich ist, den Klartext aus dem mit einem One-Time-Pad erzeugten Chiffretext zu extrahieren, sofern der Schlüsselstrom echt zufällig ist und nicht wiederverwendet wird. Der "heiße Draht" zwischen den Präsidenten in Moskau und Washington wurde/wird mit One-Time-Pads verschlüsselt. Ein One-Time-Pad schützt jedoch nicht vor allen Angriffen. In kommerziellen Systemen werden heute nur sehr wenige Stromchiffrierungen eingesetzt. Die bekannteste ist RC4 (Rivest Cipher 4), die von Ron Rivest bei RSA Data Security entwickelt wurde. RC4 wird zum Teil deshalb häufig verwendet, da die US-Regierung den Export erlaubt, wenn die Software einen hinreichend kurzen geheimen Schlüssel benutzt Blockchiffrierung Bei der Blockchiffrierung werden Datenblöcke fester Länge mit einem Schlüssel fester Länge zu Chiffretextblöcken fester Länge verschlüsselt. Bei den derzeit in der Praxis eingesetzten Blockchiffrierungen haben Klar- und Chiffretext die gleiche Blocklänge. Unter den verschiedenen Blockchiffrierungen, die unterschiedliche Eigenschaften haben, ist DES (Data Encryption Standard) wohl am bekanntesten. DES ist seit zwanzig Jahren US- Standard und nach wie vor weit verbreitet. DES ist für viele Benutzer deshalb attraktiv, weil seine Erhebung zum nationalen Standard sicherstellt, dass er von der US-Regierung zum Schutz privater und kommerzieller Daten unterstützt wird. Die verschiedenen Blockchiffrierungen wurden auf ihre Fähigkeit geprüft, Datenblöcke der vorgegebenen Blocklänge zu verschlüsseln. Eine gute Chiffrierung sollte einen Chiffretext erzeugen, an dem sich möglichst wenige Gesetzmäßigkeiten erkennen lassen. Eine statistische Auswertung des von einem Blockchiffrieralgorithmus erzeugten Chiffretexts sollte ergeben, dass sowohl Datenbits als auch Bitmuster vollkommen zufällig sind. Ein Codebrecher sucht schließlich zuerst nach Gesetzmäßigkeiten, die gewöhnlich auch ein Schlupfloch zum Knacken der Chiffrierung bieten. Bei Klartext sinnvoller Länge und insbesondere bei Daten zur Computerübertragung entstehen immer derartige Wiederholungen. Bei blockweiser Verschlüsselung eines Datenstroms werden Muster im Klartext in statistisch signifikante Muster im Chiffretext überführt. Über solche Muster erhält ein Codebrecher unter Umständen das Schlupfloch für einen Angriff. Ein anderes, möglicherweise schlimmeres Problem bei kommerziellen Anwendungen besteht darin, dass ein Angreifer, der den Nachrichteninhalt teilweise kennt, verschlüsselte Blöcke aus einer Nachricht ausschneiden und in eine andere Nachricht einfügen kann (ein sogenannter cut-and-paste-angriff). Er könnte zum Beispiel Teile aus einer Kontoeinzahlung ausschneiden und in eine Kontoabbuchung einfügen und so eine für ihn vorteilhafte Nachricht fälschen. Dazu muss er nicht einmal die Chiffrierschlüssel kennen. Der Begriff Chiffriermodus bezieht sich auf eine Reihe von Verfahren, die eingesetzt werden können, um eine Blockchiffrierung auf den Datenstrom anzuwenden. Es wurden verschiedene Modi entwickelt, um wiederholt auftretende Klartextblöcke zu verschleiern und andere Sicherheitsaspekte von Blockchiffrierungen zu verbessern. Der Modus definiert, wie Klartext, Chiffrierschlüssel und verschlüsselter Text zur Erzeugung des Chiffretextstroms kombiniert werden, der schließlich an den Empfänger gesendet wird. Die veröffentlichten DES-Standards enthalten Spezifikationen zu den Chiffriermodi, mit denen 31

31 DES standardmäßig eingesetzt werden kann. Theoretisch gibt es unzählige Möglichkeiten für die logische Verknüpfung und Rückkopplung der Ein- und Ausgaben einer Chiffrierung. Praktisch eingesetzt werden die vier folgenden grundlegenden Modi: Electronic-Codebook-Modus (ECB) Cipher Block Chaining (CBC) Cipher-Feedback-Modus (CFB) Output-Feedback-Modus (OFB) Electronic-Codebook-Modus (ECB) Der ECB-Modus ist der einfachste Fall. Die Verschlüsselung wird einfach blockweise auf den KIartext angewendet. Dieser Modus ist am effizientesten, da er mit paralleler Hardware beschleunigt werden kann und im Gegensatz zu den anderen Modi kein zusätzlicher Speicher für die Rückkopplung erforderlich ist. Unter Umständen muss aber ein Block aufgefüllt werden (sogenanntes Padding), da nur vollständige Blöcke ver- oder entschlüsselt werden können. Der ECB-Modus weist Schwächen auf, die seinen Einsatz begrenzen. Muster im Klartext können zu Mustern im Chiffretext führen. Außerdem lässt sich eine Chiffretextnachricht Ieicht ändern, indem verschlüsselte Blöcke hinzugefügt, entfernt oder ersetzt werden. Cipher Block Chaining (CBC) Der CBC-Modus verbirgt Muster im Klartext, indem er jeden Klartextblock vor der eigentlichen Verschlüsselung bitweise mit einem Chiffretextblock XOR-verknüpft. Die Klartextdaten werden nicht sofort verschlüsselt, sondern zuerst mit einem zufällig erscheinenden Chiffretext verknüpft. Damit der KIartext immer mit einem zufällig erscheinenden Chiffretext verknüpft wird, wird der Vorgang mit einem Block zufälliger Bits, dem sogenannten Initialisierungsvektor (IV), eingeleitet. Zwei Nachrichten werden somit selbst bei gleichem Klartext niemals in denselben Chiffretext überführt, sofern unterschiedliche IVs verwendet werden. Beim Einsatz für Netzübertragungen übermitteln die meisten CBC-Implementierungen den IV vor der Nachricht im Klartext. Bei Netzanwendungen hat der CBC-Modus den Nachteil, dass verschlüsselte Nachrichten bis zu zwei Blöcke länger sind als im ECB-Modus. Ein Block kommt bei Übertragung des IV an den Empfänger hinzu, da die Rückkopplung zur korrekten Entschlüsselung mit dem IV begonnen werden muss. Der zweite Block wird per Padding aufgefüllt, damit immer ein vollständiger Block ver- oder entschlüsselt wird. Manche Anwendungen übertragen den IV zu Beginn in einem eigenen Paket und überlassen es dem Empfänger, darauf zu achten, welcher Block zuletzt entschlüsselt wurde. Dies macht die Entschlüsselung wirksamer, da der Empfänger Pakete nicht sofort entschlüsselt, die in der falschen Reihenfolge ankommen. 32

32 Der CBC-Modus ist beliebt, weil er hinreichende Sicherheit bietet. Muster im Klartext werden wie beabsichtigt verborgen. Außerdem bewirkt der durch das Chaining hergestellte Bezug zwischen den Datenblöcken, dass strukturierte Nachrichten nur schwer sinnvoll zu verändern sind. Es besteht jedoch die Gefahr von cut-and-paste-angriffen auf unstrukturierte Nachrichten wie . Vera, die Verdreherin, könnte eine Folge von Blöcken aus einer Nachricht ausschneiden und in eine andere mit demselben Schlüssel chiffrierte Nachricht einfügen. Im CBC-Modus würde an der Stelle, an der die Daten eingefügt wurden, ein Block mit unsinnigem Text erzeugt, und die übrige Nachricht korrekt entschlüsselt. Eine Nachricht wird auch korrekt entschlüsselt, wenn Vera am Anfang oder Ende etwas abschneidet. Cipher-Feedback-Modus (CFB) Der CFB- ähnelt dem CBC-Modus, da auch er bei der Blockchiffrierung eine "Rückkopplung" des Chiffretextblocks bewirkt. Der Unterschied besteht darin, dass der Klartext nicht sofort verschlüsselt wird, sondern die Blockchiffrierung zuerst einen ständig wechselnden neuen Schlüssel erzeugt. Der Klartext wird also im Endeffekt mit einer Vernam-Chiffrierung verschlüsselt. Anders ausgedrückt entsteht der Chiffretext, indem Chiffretextblöcke mit aufeinanderfolgenden Datenblöcken XOR-verknüpft werden, die von der Blockchiffrierung generiert wurden. Dieser Modus wird in militärischen Anwendungen auch Ciphertext Autokey (CTAK) genannt. Der CFB-Modus zeichnet sich insbesondere dadurch aus, dass er Daten in Einheiten verschlüsseln kann, die kleiner als die Blocklänge sind. Er lässt sich so anpassen, dass kleinere Blöcke bis zu einzelnen Bits verarbeitet werden können. Beim CBC-Modus besteht das Problem, dass immer vollständige Klartextblöcke benötigt werden, obwohl Nachrichten selten die exakte Blocklänge einnehmen. In dieser Hinsicht ist der CFB- Modus zur Verschlüsselung von Netzverkehr effizienter. Wie CBC-Nachrichten benötigen jedoch auch CFB-Nachrichten einen Zufallswert als Initialisierungsvektor. Der erzeugte Chiffretext besitzt dem CBC-Modus vergleichbare Sicherheitsmerkmale. Angreifer können per cut-and-paste versuchen, neue aus alten Nachrichten zu erstellen, die mit demselben Schlüssel chiffriert wurden. Solche Nachrichten ergeben dann an der eingefügten Stelle unverständlichen Klartext, werden aber von da an korrekt entschlüsselt. Output- Feedback-Modus (OFB) Der OFB-Modus ähnelt dem CFB-Modus, ist jedoch etwas einfacher. Er erzeugt die Vernam-Schlüssel nur mit der Blockchiffrierung. Im Gegensatz zu den beiden anderen Modi hängt der Schlüsselstrom in keiner Weise vom Datenstrom ab. Die Verschlüsselung wird nicht durch Rückkopplung des Klar- oder Chiffretexts beeinflusst. Im OFB-Modus hat die Blockchiffrierung keinen Anteil an der Verarbeitung der Nachricht, sondern wird nur zur Schlüsselerzeugung verwendet. Dieser Modus wird in militärischen Anwendungen auch Autokey-Modus genannt. Wie beim CFB-Modus muss sich der Klartext nicht genau an die Blocklänge halten. Jede Nachricht benötigt einen IV, so dass der übertragene Chiffretext einen zusätzlichen Datenblock mit dem IV enthalten muss. Der OFB-Modus ist insofern effizient, als sich der 33

33 Schlüsselstrom bereits vor dem Senden oder Empfangen der Daten berechnen lässt, da er nur durch den Schlüssel und IV beeinflusst wird. Die OFB-Verschlüsselung weist zwar bessere Sicherheitsmerkmale als der ECB-Modus auf kann jedoch einem Vergleich mit den anderen Modi nicht standhalten. Ein wesentlicher Nachteil ist dass zwischen den Bits im Klar- und Chiffretext eine direkte Beziehung besteht, so dass eine Nachricht mit bekanntem Klartext für Änderungen anfällig ist. Ein entsprechender rewrite-angriff hat gute Chancen, unentdeckt zu bleiben, da er keinen Unsinn im entschlüsselten Klartext hinterlässt. Es ist zwar möglich, für spezielle Anwendungen ausgefallenere Modi zu entwickeln, man sollte jedoch am besten einen der vier hier angeführten Modi wählen. Die hier beschriebenen Nachteile treffen nicht unbedingt auf alle Anwendungen zu. In mancher Hinsicht attraktive Modi sind für bestimmte Anwendungen in bezug auf Betrieb und Fehlerbehandlung nicht immer eine gute Wahl. 34

34 3.6 Wichtige kryptographische Algorithmen DES (Data Encryption Standard) DES hat den Vorteil eines geläufigen Algorithmus, dessen Stärken und Schwächen bekannt sind. In üblichen Anwendungen ist er für Angriffe, die nicht mit Brute-Force durchgeführt werden, kaum anfällig. Die öffentliche Kryptanalyse-Forschergemeinschaft entwickelte in den späten achtziger Jahren ein Verfahren namens differentielle Kryptanalyse, das erfolgreich gegen DES eingesetzt werden konnte, jedoch nur unter sehr speziellen und praktisch kaum herstellbaren Bedingungen (insbesondere müssen riesige Mengen Klartext mit speziellem Aufbau sowie entsprechender Chiffretext vorhanden sein). Diese Art von Angriff spielt jedoch für die DES-Sicherheit in üblichen Anwendungen keine Rolle. Das heute am häufigsten diskutierte Problem von DES ist sein relativ kurzer 56-Bit- Schlüssel. DES ist für viele Benutzer deshalb attraktiv, weil er von der US-Regierung zum Standard erklärt wurde. Er hat somit den Vorteil, dass sein Einsatz von oben abgesegnet ist. Das DES-Verschlüsselungsverfahren ist eine modifizierte Feistel-Chiffre mit Alphabet {0, 1} und Blocklänge 64. Feistel-Chiffre Der DES-Algorithmus ist eine sogenannte Feistel- Chiffre. Benötigt wird eine Blockchiffre mit Alphabet {0, 1}. Sei t die Blocklänge. Die Verschlüsselungsfunktion zum Schlüssel K sei f K. Daraus kann man folgendermaßen eine Feistel-Chiffre konstruieren. Die Feistel- Chiffre ist eine Blockchiffre mit Blocklänge 2t und Alphabet {0, 1}. Man legt einen Schlüsselraum K fest. Außerdem legt man eine Rundenzahl r 1 fest und wählt eine Methode, die aus einem Schlüssel k K eine Folge K 1,...,K r von Rundenschlüsseln konstruiert. Die Rundenschlüssel gehören zum Schlüsselraum der zugrundeliegenden Blockchiffre. Die Verschlüsselungsfunktion E k der Feistel-Chiffre zum Schlüssel k K funktioniert so: Sei p ein Klartext der Länge 2t. Man teilt den Klartext in zwei Hälften der Länge t auf. Man schreibt also p = (L 0, R 0 ). Dabei ist L 0 die linke Hälfte des Klartextes, und R 0 ist seine rechte Hälfte. Danach konstruiert man eine Folge ((L i, R i )) 0 i r nach folgender Vorschrift: Dann setzt man (L i, R i ) = (R i - 1, L i - 1 f Ki (R i - 1 )), 1 i r E k (L 0, R 0 ) = (R r, L r ). Die Sicherheit der Feistel-Chiffre hängt natürlich zentral von der Sicherheit der internen Blockchiffre ab. Deren Sicherheit wird aber durch iterierte Verwendung noch gesteigert. Die Entschlüsselung der Feistel-Chiffre erfolgt in umgekehrter Weise: (R i-1, L i-1 ) = (L i, R i f Ki (L i )), 1 i r. Daher kann man unter Verwendung der Schlüsselfolge (K r,k r-1,..., K 1 ) in 35

35 r Runden das Paar (R 0, L 0 ) aus dem Schlüsseltext (R r,l r ) zurückgewinnen. Die Feistel-Chiffre wird also entschlüsselt, indem man sie mit umgekehrter Schlüsselfolge auf den Schlüsseltext anwendet. Klartext- und Schlüsselraum Klartext und Schlüsselraum des DES ist P = C = {0,1} 64. Die DES-Schlüssel sind Bitstrings der Länge 64, die folgende Eigenschaft haben: Teilt man einen String der Länge 64 in acht Oktets (Bytes) auf, so ist das letzte Bit eines jeden Bytes so gesetzt, dass die Quersumme aller Bits im betreffenden Byte ungerade ist. Es ist also 8 K = {(b 1,...,b 64 ) {0,1} 64 : Σ b 8k + i = 1 mod 2; 0 k 7} i=1 Die ersten sieben Bits eines Bytes in einem DES-Schlüssel legen das achte Bit fest. Dies ermöglicht die Korrektur von Speicher- und Übertragungsfehlern. In einem DES-Schlüssel sind also nur 56 Bits frei wählbar. Insgesamt gibt es 2 56 ~ 7.2 * viele DES-Schlüssel. Der DES-Schlüssel für Ver- und Entschlüsselung ist derselbe. Beispiel: Ein gültiger DES Schlüssel ist hexadezimal geschrieben: BBCDFF1. Die Binärentwicklung ergibt: Initiale Permutation Bei Eingabe eines Klartextwortes p arbeitet der DES-Algorithmus in drei Schritten. Im ersten Schritt wird auf p eine initiale Permutation (IP) angewandt. Dies ist eine für das Verfahren fest gewählte, vom Schlüssel unabhängige, Bitpermutation auf Bitvektoren der Länge 64. Die Permutation IP und die entsprechende inverse Permutation IP -1 sind: IP IP -1 36

36 Ist p {0,1} 64, p = p 1,p 2,...p 64, dann ist IP(p) = p 58, p 50, p p 7. Auf das Ergebnis wird eine 16-Runden Feistel-Chiffre angewendet. Zuletzt wird die Ausgabe als c = IP -1 (R 16,L 16 ) erzeugt. Interne Blockchiffre Als nächstes wird die interne Blockchiffre beschrieben. Die Verschlüsselungsfunktion f K ist schematisch dargestellt. Sei ein Schlüssel K E {0, 1} 48 fixiert. Dann ist f K : {0, 1} 32 {0,1} 32. Das Argument R wird mittels einer Expansionsfunktion E : {0,1} 32 {0,1} 48 verlängert. Diese Funktion ist in Tabelle 5.3 dargestellt Ist R = R 1... R 32 dann ist E(R) = R 32 R 1 R 2... R 32 R 1. Anschließend wird der String E(R) K gebildet und in 8 Blöcke B i, 1 i 8, der Länge 6 aufgeteilt. Es wird also E(R) K = B 1 B 2 B 3 B 4 B 5 B 6 B 7 B 8 gebildet mit B i {0,1} 6, 1 i 8. Im nächsten Schritt werden Funktionen S i : {0,1} 6 {0,1} 4 1 i 8 verwendet (die sogenannten S-Boxen), die unten noch genauer beschrieben sind. Mit diesen Funktionen wird der String C = C 1 C 2 C 3 C 4 C 5 C 8 C 7 C 8 berechnet, wobei C i = S i (B i ), 1 i 8 ist. Er hat die Länge 32. Dieser Bitstring wird gemäß der Permutation P aus Tabelle 5.3 permutiert. Das Ergebnis ist f K (R). 37

37 S-Boxen Die Funktionen S i, 1 i 8 heißen S-Boxen. Sie werden in Tabelle 5.4 dargestellt. Jede S- Box wird durch eine Tabelle mit vier Zeilen und 16 Spalten beschrieben. Für einen String B = b 1 b 2 b 3 b 4 b 5 b 6 wird der Funktionswert S i (B) folgendermaßen berechnet: Man interpretiert die natürliche Zahl mit Binärentwicklung b 1 b 6 als Zeilenindex und die natürliche Zahl mit Binärentwicklung b 2 b 3 b 4 b 5 als Spaltenindex. Den Eintrag in dieser Zeile und Spalte der S-Box stellt man binär dar und füllt diese Binärentwicklung vorne so mit Nullen auf, dass ihre Länge 4 wird. Das Ergebnis ist S i (B). Beispiel: Wir berechnen S 1 (001011). Das erste Bit des Argumentes ist 0 und das letzte Bit ist 1. Also ist der Zeilenindex die ganze Zahl mit Binärentwicklung 01, also 1. Die vier mittleren Bits des Argumentes sind Dies ist die Binärentwicklung von 5. Also ist der Spaltenindex 5. In der ersten S-Box steht in Zeile 1 und Spalte 5 die Zahl 2. Die Binärentwicklung von 2 ist 10. Also ist S 1 (001011) = Rundenschlüssel Zuletzt muß noch erklärt werden, wie die Rundenschlüssel berechnet werden. Sei ein DES-Schlüssel k {0,1} 64 gegeben. Daraus werden Rundenschlüssel K i 1 i 16, der Länge 48 generiert. Dazu definiert man v i,1 i 16, folgendermaßen: v i = 1 für i {1,2,9,16} 2 andernfalls. Nun werden zwei Funktionen PC1: {0, 1} 64 {0, 1} 28 x {0, 1} 28, PC2: {0, 1} 28 x {0, 1} 28 {0,1} 48, benutzt. Diese Funktionen werden unten beschrieben. Mit diesen Bausteinen erhält man die Schlüssel so: 1. Setze (C 0,D 0 ) = PC1(k). 2. Für 1 i 16 berechne K i folgendermaßen. Setze C i auf den String, den man durch einen zirkulären Linksshift um v i Stellen aus C i-1 gewinnt und D i auf den String, den man durch einen zirkulären Linksshift um v i Stellen aus D i-1 gewinnt. Berechne dann K i = PC2(C i, D i ). Die Funktion PC1 bildet einen Bitstring k der Länge 64 auf zwei Bitstrings C und D der Länge 28 ab. Dies geschieht gemäß der Tabelle 5.5. Die obere Hälfte der Tabelle beschreibt, welche Bits aus K in C verwendet werden. Ist k = k 1 k 2... k 64, dann ist C = k 57 k k 36. Die untere Hälfte dient der Konstruktion von D, also D =k 63 k k 4. Die Funktion PC2 bildet umgekehrt ein Paar (C, D) von Bitstrings der Länge 28 (also einen Bitstring der Länge 56) auf einen Bitstring der Länge 48 ab. Die Funktion wird in Tabelle 5.5 dargestellt. Der Wert PC2(b 1... b 56 ) ist b 14 b b