Verschlüsselungsverfahren

niet@htl-steyr.ac.at Verschlüsselung Seite Bernhard Nietrost Verschlüsselungsverfahren bernhard.nietrost@htl-steyr.at Mathematische / Fachliche Inhalte in Stichworten: Modulofunktion, Matrizenrechnung, ASCII Code, Zufallszahlen, beschreibenden Statistik, beurteilende Stastistik,, Test auf Gleichverteilung mit dem Chiquadrattest Kurzzusammenfassung Verschiedene Verfahren zur Ver/Entschlüsselung werden vorgestellt und in MCD realisiert. Didaktische Überlegungen / Zeitaufwand: Die beschriebenen Kapitel berühren Stoffgebiete aller Jahrgänge und können daher begleitend über die Jahrgänge immer wieder eingesetzt werden um mögliche Anwendungen aufzuzeigen oder um besonders interessierte/begabte Schüler zu fördern. Lehrplanbezug (bzw. Gegenstand / Abteilung / Jahrgang): Angewandte Mathematik, alle Jahrgänge, alle Abteilungen Mathcad-Version: Mathcad Literaturangaben: Friedrich L. Bauer: Entzifferte Geheimnisse Rudolf Kippenhahn: Verschlüsselte Botschaften Simon Singh: Geheime Botschaften Albrecht Beutelsbacher: Kryptologie Ni 0

niet@htl-steyr.ac.at Verschlüsselung Seite 0. Grundlagen 0. Buchstaben als Zahlen, ASCII Code Um die Verschlüsselung mathematisch behandeln zu können, müssen die einzelnen Buchstaben (oder auch Kombinationen, Silben...) in Zahlen übersetzt werden. Meist wird dem Buchstaben a die Zahl 00, b die Zahl 0...und z die Zahl zugewiesen. Leerzeichen ignoriert man oder drückt diese durch seltene Buchstaben zb: x aus. Groß- und Kleinbuchstaben werden nicht unterschieden, Ziffern ausgeschrieben (zb: = eins). a... 00 b... 0 c... 0... z... Der Computer verwendet den ACSII Code um Buchstaben/Zeichen zu beschreiben. Die Buchstaben a - z entsprechen den ASCII Codes 9 - und sind daher um 9 gegenüber dem obigen Alphabet verschoben. 0. Die Modulo Funktion Eine wichtige Funktion in der Kryptologie ist die Modulofunktion (a mod b; MATHCAD: mod(a,b) =...), welche den Rest der Division a : b angibt. Die Wertemenge dieser Funktion sind die natürlichen Zahlen von 0 bis b -. Eventuelle negative Werte werden durch Addition von b zu positiven Werten. Beim Alphabet wird für den Divisor b meist der Wert verwendet (= Anzahl der Buchstaben des Alphabets). Die Verwendung der Modulofunktion bedeutet, dass für die Berechnungen die Gruppe Z verwendet wird. mod( ) Der Rest der Division : ist.. Monoalphabetische Verschlüsselung ("CAESAR") Die einfachsten Verschlüsselungen weisen einem Buchstaben des Klartextes eindeutig einen entsprechenden Buchstaben des Geheimtextes zu ("Monoalphabetische Verschlüsselung"). CAESAR wendete diese Methode an indem er die Buchstaben des Alphabets um nach rechts verschob. Damit wurde aus A (= 0) der Buchstabe D (= ) usw... aus Z (= ) wurde der Buchstabe C (= mod( ) ). Caesar Klar "zeeman" Klartext Klarvektor zfinvek( Klar) 9 Klarvektor T ( 0 ) zfinvek übersetzt die einzelnen Buchstaben in ASCII, dann wird 9 subtrahiert (siehe 0.) um Zahlen von 0 bis zu erhalten. Geheimvektor mod( Klarvektor ) Verschlüsselung durch Verschiebung um ergibt die chiffrierte Nachricht. Ni 0

niet@htl-steyr.ac.at Verschlüsselung Seite Geheimvektor T ( ) Geheim vekinzf( Geheimvektor 9) vekinzv wandelt die Zahlen wieder in Buchstaben um; hier ist dann wieder 9 zu addieren. Geheim "chhpdq" Dechiffvek mod( Geheimvektor ) Entschlüsselung durch Rückverschiebung um Dechiffvek T ( 0 ) und Addition von 9 (siehe 0.) sowie von (um einen eventuell negativen Reste zu umgehen) ergibt die dechiffrierte Nachricht. Dechiff vekinzf( Dechiffvek 9) Werden - wie hier - gleiche Schlüssel zum Chiffrieren und zum Dechiffrieren verwendet so spricht man von einem symmetrischen Schlüssel. Dechiff "zeeman" Bei Verschlüsselung mit CAESAR gibt es nur verschiedene Möglichkeiten (Schlüssel) und somit aus heutiger Sicht nicht sinnvoll verwendbar.. Variation des Caesar (Multiplikation) Anstelle der Verschiebung kann auch eine Multiplikation verwendet werden, aber auch in diesem Fall gibt es nur sehr wenige Möglichkeiten. Mit dem Zahlenpaar und 9 kann jeder Buchstabe durch Multiplikation mit verschlüsselt bzw. durch Multiplikation mit 9 wieder entschlüsselt werden. Dies ist ein Beispiel für einen sogenannten asymmetrischen Schlüssel, bei dem unterschiedliche Zahlen zum Verschlüsseln bzw. Entschlüsseln benötigt werden. Für jedes Schlüsselpaar muss gelten, dass das Produkt modulo den Rest ergibt: mod( 9) Geheimvekmult mod( Klarvektor ) Geheimvekmult T ( 0 ) Geheimmult vekinzf( Geheimvekmult 9) Geheimmult "psscan" Dechiffvekmult mod( Geheimvekmult 9 ) Dechiffmult vekinzf( Dechiffvekmult 9) Dechiffmult "zeeman" Übung: Finden Sie andere Zahlenpaare zum Ver- bzw. Entschlüsseln des Textes entsprechend.. Übung: Finden Sie ein Zahlenpaar für die symmetrische Verschlüsselung entsprechened. Ni 0

niet@htl-steyr.ac.at Verschlüsselung Seite. Häufigkeitsanalyse Verschlüsselte Texte können (v.a. bei monoalphabetischer Verschlüsselung und entsprechender Länge der Nachricht) durch sogenannte Häufigkeitsanalysen geknackt werden. Diese nutzen die Eigenschaften der Sprache, dass gewisse Buchstaben besonders häufig vorkommen. (z.b: e mit, % in der deutschen Sprache). Für die deutsche Sprache gelten folgende Häufigkeiten in % (nach Wikipedia "Buchstabenanalyse"): D "a" 0. "b".9 "c". "d". "e". "f". "g" "h". "i". "j" 9 0. "k" 0. "l". "m". "n" 9. "o". "p" 0. "q" 0.0 "r" "s". "t" 9. 0 Häufigkeit der deutschen Sprache Häufigkeit in % 0 0 9 0 9 0 Buchstabe Text zfinvek ("diemonoalphabetischeverschluesselungistdurchhaeufigkeitsanalysenleichtknackbarundsieso Caesarvektor mod[ ( Text ) ] Anzahl zeilen( Caesarvektor) Anzahl Anzahl der Buchstaben des Textes Caesar vekinzf[ mod[ ( Text ) ] 9] Caesar "glhprqrdoskdehwlvfkhyhuvfkoxhvvhoxqjlvwgxufkkdhxiljnhlwvdqdobvhqohlfkwnqdfneduxqgvlhvroow i 0 k i i 0. Bestimmung der Klassen für Analyse h Histogramm( k Caesarvektor) Analyse des verschlüsselten Textes mit Histogramm liefert die absoluten Häufigkeiten der einzelnen Buchstaben. (erste Zeile: Nummer, zweite Zeile: absolute Häufigkeit) Ni 0

niet@htl-steyr.ac.at Verschlüsselung Seite h T 0 9 0 9 0 9 0 0 9 0 0 0 Vergleich der Häufigkeiten (Blau Alphabet, rot Geheimtext) Häufigkeit in % 0 0 0 0 0 Buchstabennummer Durch eine Verschiebung um des Alphabets (oder des Geheimtextes) ergibt sich eine sehr gute Übereinstimmung der Häufigkeiten. Verschiebung 0 Vergleich der Häufigkeiten (Blau Alphabet, rot Geheimtext) Häufigkeit in % 0 0 0 0 0 Buchstabennummer Der optische Eindruck des obigen Diagramms kann auch mathematisch durch die Summe der Beträge der Abweichungen bestätigt werden, wo bei das eindeutige Minimum zu erkennen ist (Siehe nachfolgendes Diagramm). Abweichung( v) h mod( iv) 00 D i v 0 Anzahl i 0 Ni 0

niet@htl-steyr.ac.at Verschlüsselung Seite Vergleich der Summe der Abweichungen (Beträge) Summe der Abweichungen 00 0 9 9 Verschiebung Dieses Ergebnis ist natürlich sehr beeindruckend, bei anderen getesteten Texten gab es ähnliche Resultate, aber es ist zu bedenken, dass es sich hier nur um eine statistische Analyse handet, die von Fall zu Fall unterschiedlich ist.. Verschlüsselung durch Matrizen Durch die Verwendung von Matrizen kann man mit dem in Punkt. beschriebenen Verfahren - auf die Matrizenmultiplikation angewendet - eine polyalphabetische Verschlüsselung erreichen, d.h. es wird nicht mehr jeder Buchstabe des Klartextes in den gleichen Buchstaben des Geheimtextes übersetzt.. Konstruktion einer Matrix zum Verschlüsseln. Man erstellt eine Dreiecksmatrix L mit Diagonalelementen, damit die Determinante = ist und rechnet anschließend. C = L L T (und gegebenfalls das Ergebnis modulo ). L 0 C L L T 0 0 C C Die Matrix C kann zum Verschlüsseln von jeweils Buchstaben verwendet werden.. Verschlüsselung und Entschlüsselung mit Matrix Klar "zeeman" Klarvektor T ( 0 ) Vektor wird in zwei Vektoren aufgeteilt. Ni 0

niet@htl-steyr.ac.at Verschlüsselung Seite i 0 KV i Klarvektor i KV T ( ) KV i Klarvektor i KV T ( 0 ) GM mod( C KV ) GM mod( C KV ) 9 0 Durch die x Matrix M muss der Text in Vektoren der Länge zerlegt werden. KV und KV sind die Vektoren in Klartext; GM und GM sind diese Vektoren dann verschlüsselt. stapeln fasst die beiden Vektoren wieder zu einem Vektor zusammen. Geheimmatrix stapeln( GM GM) Geheimtextmat vekinzf( Geheimmatrix 9) Geheimtextmat "tyhzyk" Der Geheimtext weist nun keine so einfachen Häufigkeitsmerkmale auf (e wird in y und h verschlüsselt, y kommt zwei mal vor bedeutet aber unterschiedliche Buchstaben im Klartext) Die Matrix D zum dechiffrieren muss die Bedingung C D = E mod( ) erfüllen, dh: D = C (D ist die Inverse zu C) und weiters gilt: C = D = mod. Berechnung der Inverse: (Multiplkation mit der Determinante ist aus numerischer Sicht sinnvoll, da sonst beim Vektor D Rundungsfehler und somit Kommazahlen entstehen können ; mit dem Befehl "Vektorisieren" wird anschließend die Matrix D noch modulo gerechnet. D C C D D mod( D ) D Ni 0

niet@htl-steyr.ac.at Verschlüsselung Seite DM mod( D GM ) DM und DM sind die beiden wieder entschlüsselten Vektoren der Länge, die dann mit stapeln wieder zu einem Vektor zusammengefasst werden. DM mod( D GM ) 0 Dechiffmatvek stapeln( DM DM) ( Dechiffmatvek 9) T ( 0 0 09 9 0 ) Dechiffmat vekinzf( Dechiffmatvek 9) Dechiffmat "zeeman" Die Sicherheit dieses Verfahrens steigt mit der Größe der Matrix ist aber trotzdem für längere Texte nicht geeignet, da dann wieder (fortgeschrittene) Verfahren der Häufigkeitsanalysen möglich sind. Übung : Erstellen Sie eine Matrix zum Ver- und Entschlüsseln der Größe ( x ) Ver- und Entschlüsseln Sie den Text: MAMAPAPA Ni 0

niet@htl-steyr.ac.at Verschlüsselung Seite 9. Vernamverschlüsselung Diese Verschlüsselung ist bei richtiger Verwendung fast 00 % sicher (Che Guevara verwendete sie angeblich im Kontakt mit Fidel Castro) mit einem sehr einfachen Algorithmus, hat allerdings einige Nachteile: der Schlüssel muss aus lauter echten Zufallszahlen bestehen und genauso lang wie die Nachricht sein; (ONETIMEPAD) - hoher Aufwand! er darf nur einmal verwendet werden und ist symmetrisch, dh zum Ver- und Entschlüsseln wird der gleiche Satz von Zufallszahlen verwendet. Das Problem bei dieser Art der Verschlüsselung ist die sichere Weitergabe des symmetrischen Schlüssels, die über andere Wege erfolgen muss (Kurier, Post,...). Besonders bei einer großen Anzahl von Nutzern steigt das Risiko, dass der Schlüssel in unbefugte Hände gelangt und somit die Nachrichten unsicher werden. Diese Methode eignet sich daher in dieser Form für einen eingeschränkten und vertrauenswürdigen Personenkreis. (Freunde, enge Geschäftspartner,...) Als moderne Variante bietet die Quantenkryptographie eine Möglichkeit ONETIMEPADS relativ einfach in der geforderden Qualität zu erzeugen und sicher zu übermitteln (dazu werden sogenannte verschränkte Photonen verwendet) womit das oben beschriebene Problem der Schlüsselerzeugung und Übermittlung mit Hilfe der Quantenphysik gelöst erscheint. Die eigenliche Nachricht wird dann mit dem quantenkryptographisch erzeugten ONETIMEPAD verschlüsselt mittels Mail übertragen werden und ist nach heutigem Stand praktisch unknackbar, da die verschlüsselte Nachricht nicht mehr von zufälligen Zahlenfolgen unterscheidbar sind. (siehe auch die nachstehenden statistische Analysen) Die praktische Umsetzung dieses Konzepts machte in den letzten Jahren große Fortschritte und so erscheint eine zukünftige großflächige Verwendung der Vernamverschlüsselung möglich. Der österreichische Physiker Anton Zeilinger hat mit seinem Team sehr viel zur Weiterentwicklung in diesem Bereich beigetragen. Die Nachricht wird in der Quantenkryptographie bitweise (= duales System) übertragen (es sind aber auch andere Zahlenbereiche zb: 0-... möglich). Der Code besteht aus Zufallsbits (bzw Zufallszahlen von 0 bis ) für jede zu übertragende Stelle. Die Nachricht und der Code werden in Z (bzw Z ) addiert, wodurch die zu übertragende, verschlüsselte Nachricht entsteht, die wie eine Zufallsfolge wirkt. Zum Entschlüsseln wird der Code von jeder Zahl wieder subtrahiert. Besonders einfach ist dies in Z, wo die Addition und die Subtraktion ident sind, daher ist in diesem Fall der Code einfach ein zweites Mal zu addieren. Ein besonderes wichtiges Merkmal einer mit entsprechend den obigen Vorgaben mit Vernam verschlüsselten Nachricht ist, dass diese wie eine zufällig erzeugte Zeichenfolge wirkt und sich daher keine Ansatzpunkte für das Knacken mit Häufigkeitsanalyse ergeben. Diese Eigenschaft wird in den folgenden Beispielen mit Methoden der Statistik untersucht und nachgewiesen.. ONETIMEPAD für Texte Die Qualität der Verschlüsselung hängt von der Qualität der verwendeten Zufallszahlen ab. Zufallszahlengeneratoren liefern in der Praxis keine ausreichende Qualität, da es sich um Pseudozufallszahlen handelt aber zur Demonstration sind sie durchaus geeignet. (--> Quantenkryptographie) Cver floor( runif( Anzahl 0 ) ) Erzeugung eines Schlüssels mit Zufallszahlengenerator: Cver T 0 9 0... Ni 0

niet@htl-steyr.ac.at Verschlüsselung Seite 0 Gehvervek mod( Text Cver ) Gehver vekinzf( Gehvervek 9) verschlüsselte Nachricht Gehver "fdfstefwdnhwgizzwrshkpsmgiwtntijcrsalfyimiejgchpbnygvrkhzfzarnppddvnaiqfhhtjcphqciwjjlllp Dechvervek mod( Gehvervek Cver ) Dechver vekinzf( Dechvervek 9) entschlüsselte Nachricht Dechver "diemonoalphabetischeverschluesselungistdurchhaeufigkeitsanalysenleichtknackbarundsies. Statistische Untersuchungen zur Vernamchiffre hver Histogramm( k Gehvervek) hver T 0 0 9 0 0 9 0 cver Histogramm( k Cver) cver T 0 9 9 0 9 0 Obige Tabellen: erste Zeile: Nummer, zweite Zeile: Häufigkeit Mit dem Befehl "Histogramm" werden die Häufigkeiten der einzelnen Buchstaben des Schlüssels (cver) und der verschlüsselten Nachricht (hver) bestimmt. Ni 0

niet@htl-steyr.ac.at Verschlüsselung Seite Bestimmung eines Zufallsstreubereichs: Unter der Annahme, dass alle Buchstaben gleich häufig vorkommen, kann das Modell der Binomialverteilung verwendet werden um einen 90% Zufallsstreubereich zu bestimmen, der für die verschlüsselte Nachricht Gültigkeit hat. OG qbinom9% Anzahl OG 9 UG qbinom% Anzahl UG pbinom Anzahl pbinom0 Anzahl.9 % Im diesem Zufallsstreubereich sollten ca. 9% der Werte liegen. (wegen diskreter Grenzen) 0 Vergleich der Häufigkeiten (Blau Klartext, rot Geheimtext, grün Schlüssel) Häufigkeit 0 OG UG 0 0 0 0 Buchstabennummer Klassen UG 0.99 OG.0 00 Statistische Untersuchung auf Basis der Grenzen des Zufallsstreubereichs. (Wieviel % liegen jeweils innerhalb der Grenzen des Zufallsstreubereichs) Checkgeh Histogramm Klassen hver Checkgeh 0.9.. Checkgeh. % Checkklar Histogramm Klassen h Ni 0

niet@htl-steyr.ac.at Verschlüsselung Seite Checkklar 0.9.. Checkklar. % Checkcver Histogramm Klassen cver 0.9 Checkcver. Checkcver. 0 0 00 % Das Ergebnis liefert Hinweise, dass beim Klartext ein deutlich geringerer als der zu erwartende Prozentsatz von 90% auftritt, da hier keine Gleichverteilung gilt, während der Schlüssel und die verschlüsselte Nachricht höhere Werte (> 0%) aufweisen. Chiquadrattest auf Gleichverteilung mit f = - = Freiheitsgraden: Hypothesen: H0: es liegt Gleichverteilung vor gegen H: es liegt keine Gleichverteilung vor. Anzahl pgleich pgleich.0 Für die Durchführung dieses Tests benötigt man mindestens 0 Buchstaben. (siehe Rohm: Mathematik Formelsammlung für HTL Seite ). Dies ist beim vorliegenden Text erfüllt (Anzahl Buchstaben) prüfgeh i 0 hver i pgleich pgleich prüfgeh 9. prüfklar i 0 h i pgleich pgleich prüfklar. cver i pgleich prüfcver prüfcver 0. pgleich i 0 qchisq( 99% ). kritischer Wert Der Chiquadrattest zeigt, dass für den Klartext H0 eindeutig abzulehnen ist -> H (keine Gleichverteilung) während für die beiden anderen Werte auf dem Niveau 99% H0 nicht abgelehnt wird. (Gleichverteilung). Ni 0

niet@htl-steyr.ac.at Verschlüsselung Seite. ONETIMEPAD für Bilder Besonders eindrucksvoll ist das Ergebnis einer Verschlüsselung mit Vernam am Beispiel eines Bildes zu erkennen. A BMPLESEN ("c:/bild.jpg" ) (den PFAD in BMPLESEN "c:/bild.jpg" anpassen, d.h. den Ort angeben, wo das Bild gespeichert wurde) S spalten( A) Z zeilen( A) Mathcad liest eine Bitmap A aus der Datei Bild bestehend aus Z Zeilen und S 0 Spalten. Die einzelnen Einträge entsprechen den Grauwerten des Bildes an der jeweiligen Stelle wobei 0 schwarz und weiß entspricht. (bei Bit Quantisierung entsprechend Graustufen) A 0 9 0 0 9 9 0 9 0 9 0 9 0 0 9 9 0 9 0 0 0 0 9 0 9 0... Ni 0

niet@htl-steyr.ac.at Verschlüsselung Seite ORIGINALBILD A SCHLÜSSEL aus ZUFALLSZAHLEN (ONETIMEPAD) Konstruktion einer Matrix gleicher Größe mit Zufallszahlen, die ein Rauschmuster erzeugt. i 0 S j 0 Z C ji floor( rnd( ) ) max( C) min( C) 0 C Ni 0

niet@htl-steyr.ac.at Verschlüsselung Seite Zum Verschlüsseln werden - wie beim Text - an jeder Stelle der Bitmap die beiden Grauwerte modulo addiert. Das dabei entstehende Bild (= verschlüsselte Nachricht) zeigt ein ebenfalls ein typisches Rauschmuster. SCHLÜSSEL + NACHRICHT = VERSCHLÜSSELTE NACHRICHT N ji mod A ji C ji N ORIGINAL ENTSCHLÜSSELT Zum Entschlüsseln wird - wie beim Text - an jeder Stelle der Bitmap der Schlüssel modulo subrahiert. Dadurch entstehend wieder das Orginalbild. N ji mod N ji C ji Ni 0

niet@htl-steyr.ac.at Verschlüsselung Seite N. Statistische Untersuchung der Bilder n Z S n 00 Anzahl der Bildpunkte k 0 I k k AH Histogramm( I A) Auszählung der Grauwerte der Matrix A bzw. N NH Histogramm( I N) ug qbinom% n ug 9 og qbinom9% n og 90% Zufallsstreubereich Ni 0

niet@htl-steyr.ac.at Verschlüsselung Seite 000 Vergleich der Grauwerte (Bild blau; Verschlüsselt rot) 00 Häufigkeit 000 00 og ug 0 00 00 00 schwarz <--- Grauwert --> weiß Vergrößerung der Grauwerte (Zufallsstreubereich) 00 og Häufigkeit 00 ug 0 00 00 00 Grauwerte Ni 0

niet@htl-steyr.ac.at Verschlüsselung Seite Chiquadrattest auf Gleichverteilung mit f = - = Freiheitsgraden: Hypothesen: H0: es liegt Gleichverteilung vor gegen H: es liegt keine Gleichverteilung vor. n pbild pbild 9.9 Für die Durchführung dieses Tests benötigt man mindestens 0 Werte. (siehe Rohm: Mathematik Formelsammlung für HTL Seite ; Verlag Jugend und Volk). Dies ist bei den vorliegenden Matrizen deutlich erfüllt. ( Z S 00 ) AH i pbild prüfbild prüfbild. 0 pbild i 0 prüfchiff i 0 NH i pbild pbild prüfchiff.0 chiq krit qchisq( 99% ) 0. kritischer Wert Hier liefert der Chiquadrattest eine eindeutige Aussage und bestätigt den optischen Eindruck! (beim Orginalbild ist H0 abzulehnen beim chiffrierten Bild gibt es keinen Grund H0 zu verwerfen.) Die untenstehende Grafik der Wahrscheinlichkeitsdichte der Chiquadratverteilung zeigt die Lage des kritischen Wertes und jenen des chiffrierten Bildes, der dritte Wert (des Orginalbildes) wäre ganz weit rechts bei,*0 aufzutragen. Wahrscheinlichkeitsdichte der Chiquadratverteilung prüfchiff chiq krit 0 00 0 00 0 x Ni 0