Lehrtext zur Klassischen Kryptographie

Lehrtext zur Klassischen Kryptographie

2

Inhaltsverzeichnis 1 Klassische Kryptographie 5 1.1 Arten der Kryptographie...................... 6 1.1.1 Transpositionen....................... 7 1.1.2 Substitution......................... 9 1.2 Das One Time Pad......................... 15 1.3 Moderne Verschlüsselungsmethoden................ 19 1.3.1 DES............................. 19 1.3.2 Asymmetrische Verschlüsselungen............. 20 Einschub: Mathematische Grundlagen 1.......... 22 1.3.2.1 Schlüsselaustausch nach Diffie und Hellman.. 23 1.3.2.2 RSA....................... 24 1.3.3 PGP............................. 26 3 Anhang 29 3.1 RSA Algorithmus.......................... 29 3.2 Ausschnitt aus: Der Goldkäfer, Edgar Allen Poe.......... 32 Literaturverzeichnis 37 3

4 INHALTSVERZEICHNIS

Kapitel 1 Klassische Kryptographie Die geheime Kommunikation lässt sich in zwei voneinander unabängige Disziplinen untergliedern, die Steganographie 1 und die Kryptographie 2. Geht es rein um die Wissenschaft des Verschlüsselns, so spricht man von der Kryptographie und von der Kryptoanalyse, wenn es um das Entziffern geheimer Botschaften, ohne Kenntnis des Schlüssels geht. Spricht der Kryptograph von einem Klartext, so meint er den Originalzustand der Nachricht. Die verschlüsselte Botschaft heißt Geheimtext. Zur besseren Unterscheidung wird der Klartext meist in kleinbuchstaben, der Geheimtext in GROSSBUCHSTABEN geschrieben. Bei der Steganographie liegt der Sinn der Geheimhaltung darin, die Botschaft zu verdecken, so dass ihre Existenz von vornherein verborgen bleibt, insbesondere dann, wenn Kryptographie verboten ist. Diese Art der geheimen Kommunikation reicht bis weit in das fünfte Jahrhundert vor Christus zurück: Griechen, Perser und Chinesen verwendeten sie zur Kommunikation mit Spionen und zur Übermittlung strategischer Pläne. Unzählige Mythen und Geschichten berichten über kriegsentscheidende Nachrichtenübermittlungen, auf die ich hier jedoch nicht näher eingehen möchte. Doch sollen kurz einige der damaligen Techniken vorgestellt werden: In der Antike verwendeten die Griechen Boten, deren Kopf sie rasierten und auf diesen eine Nachricht einbrannten oder tätowierten. Nachdem das Haar nachgewachsen war, schickte man sie zur Zielperson. In einem anderem Fall wurde von einer Schreibtafel berichtet, bei der das Wachs heruntergekratzt, die Mitteilung in das Holz geschrieben und später mit Wachs wieder überzogen wurde. 1 Steganographie lässt sich aus dem griechischen Wort steganos (=bedeckt) ableiten. 2 Kryptographie setzt sich zusammen aus den Worten krypto (=verborgen) und graphein (=schreiben). 5

6 KAPITEL 1. KLASSISCHE KRYPTOGRAPHIE Die Chinesen schrieben ihre Botschaften auf sehr dünnes Papier oder Seide, rollten diese ein und tauchten sie in Wachs. Die Boten konnten die Kugeln in ihrer Kleidung verstecken oder verschluckten sie gar. Im 1. Jahrhundert verwendeten die Römer die sogenannte Thithymallus- Pflanze um aus ihrem Saft eine unsichtbare Tinte herzustellen. Im 20. Jahrhundert war die Steganographie fester Bestandteil der Nachrichtenübermittlung. Insbesonders während der ersten Hälfte dieses Jahrhunderts war der Erfindungsreichtum der Wissenschaftler groß. Auf punktgröße verkleinerte Mikrofilme, sogenannte Microdots dienten zur Übertragung geheimer Botschaften. Dabei wurden Dokumente fotografiert, verkleinert und mithilfe einer Spritze an die Stelle eines i-punktes auf einen unbedeutenden Brief fixiert. Diese Technik wurde bis weit in die Phase des Kalten Krieges verwendet. Der Nachteil dieser Kommunikation besteht darin, dass bei einer Enttarnung der Botschaft, der Inhalt offen vorliegt. Bei nur akribisch genauer und intensiver Kontrolle bleibt die Sicherheit der Geheimhaltung auf der Strecke. Hier liegt der Vorteil der Kryptographie. Fast genauso alt wie die Steganographie versucht sie nicht die Existenz der Botschaft zu verschleiern, vielmehr soll der Sinn der Mitteilung verborgen bleiben und mithilfe eines Verfahrens (Algorithmus) jederzeit verschlüsselt und entschlüsselt werden können. Im Allgemeinen dient hierzu ein Schlüssel, der zwischen Sender und Empfänger vereinbart wird, so dass einer dritten Person das Entschlüsseln der Nachricht nicht möglich ist oder einen zu großen Zeitaufwand benötigen würde. Einer der Gründe für die rasante Entwicklung der Kryptographie liegt in dem Nutzen der geheimen Kommunikation des Militärs. Gerade in den Zeiten der Militarisierung des Kalten Krieges wurde von den Kryptographen und -analytikern viel abverlangt. Immer komplexere Methoden der Verschlüsselung wurden entwickelt und immer leistungsfähigere Maschinen zu deren Entschlüsselung gebaut. Im Folgenden wollen wir uns mit den Grundlagen der Kryptographie beschäftigen. Einfache Beispiele sollen die Methoden anschaulich darstellen, sowie die Vor- und Nachteile zeigen. Wir werden uns dem sogenannten One Time Pad etwas genauer zuwenden, da es die Grundlage der Quantenkryptographie liefert, und am Ende des Kapitels einige moderne Verschlüsselungsmethoden betrachten. 1.1 Arten der Kryptographie Man unterteilt die Verfahren der Verschlüsselung in Transpositionen und Substitutionen und letzteres nochmals in Codes und Chiffren (siehe dazu auch Abbildung 1.1). Der Begriff Chiffrieren wird jedoch im Allgemeinem bei beiden Verfahren benutzt. Eine andere Unterteilung gliedert nach der Art der Verschlüsselung auf.

1.1. ARTEN DER KRYPTOGRAPHIE 7 Geheime Kommunikation Steganographie Kryptographie Substitution Transposition Codierung (Wörter ersetzen) Chiffrierung (Buchstaben ersetzen) Abbildung 1.1: Gliederung der geheimen Kommunikation (Quelle: SINGH [5]) Man unterscheidet zwischen symmetrischer und asymmetrischer Verschlüsselung. Die nun folgenden Techniken gehören alle zur symmetrischen Verschlüsselung. Hierbei vereinbaren beide Kommunikationspartner einen gemeinsamen Schlüssel, dessen Übergabe vor einer geheimen Kommunikation stattfinden muss. Die Vor- und Nachteile dieses Verfahrens zeigen sich in den nächsten Unterkapiteln. Am Ende dieses Kapitels wird kurz auf die asymmetrische Verschlüsselung eingegangen. Sie kommt ohne Schlüsselvereinbarung aus. 1.1.1 Transpositionen Die Transposition ist eine Methode, bei der die einzelnen Buchstaben eines Wortes oder Satzes vertauscht werden, ohne einzelne Buchstaben zu ersetzen. Die Sicherheit beruht dabei auf der Anzahl der Permutationen, die mit n! 3 (gesprochen: n-fakultät) zunimmt, wobei n die Anzahl der Zeichen in der Mitteilung ist. Das Wort geheimnis besitzt 362.880 verschiedene Permutationen, die Wörter geheime botschaft sogar 355.687.428.096.000. Dieses bietet ein scheinbar hohes Maß an Sicherheit. Es kann jedoch nicht jede beliebige Permutation verwendet werden, da der Empfänger mit einer zufällig angeordneten Buchstabenreihe ebenso wenig anfangen kann, wie ein Lauscher. Somit muss hinter einer Transposition stets ein Algorithmus stecken, der vorschreibt, wie die Vertauschung stattzufinden hat. Nur so kann auch eine Entschlüsselung möglich sein. Ein Kryptoanalytiker hat es nun sehr viel einfacher, da er zum einen einen Transpositionsalgorithmus vermuten muss und des Weiteren alle Buchstaben der Nachricht kennt. Ein erfah- 3 n! = 1 2 3... (n 1) n 2πn ( n e ) n (Approximation durch die Stirlingformel).

8 KAPITEL 1. KLASSISCHE KRYPTOGRAPHIE rener Analytiker kann mithilfe der Sprachanalyse und etwas Geschick diese Art der Verschlüsselungen knacken. Bei den Substiutionen (Kapitel 1.1.2) werden einige Analysemöglichkeiten vorgestellt. Heute werden reine Transpositionen kaum noch verwendet. Sie dienen mehr zur Erschwernis bestehender kryptographischer Verschlüsselungen, die auf der Substitution beruhen. R F A N G R I F D E R P E R S E Abbildung 1.2: Skytale Die ältesten Transpositionsmethoden sind um das 5. Jahrhundert vor Christus bekannt. Die Spartaner benutzten zur damaligen Zeit einen Holzstab (eine sogenannte Skytale), umwickelt mit einem Leder- oder Pergamentstreifen. Beschrieben mit dem Klartext, längs entlang der Skytale wird der Streifen wieder abgewickelt. Die Nachricht war somit unlesbar und nur der Empfänger, der eine gleiche Bauart der Skytale besaß, konnte die Botschaft entschlüsseln (siehe Abbildung 1.2). Im Jahre 404 v. Chr. benutzte ein Bote seinen Gürtel als Lederstreifen, bei dem sich der Geheimtext auf der Innenseite befand. Den Geschichtsbüchern nach, konnte dieser Soldat mit der Botschaft einer Warnung den Angriff der Perser auf Sparta vereiteln. Eine weitere, jedoch einfachere Form der Transposition ist die Gartenzaun - Transposition: Die Buchstaben werden abwechselnd auf zwei Zeilen geschrieben und zeilenweise aneinandergehängt. Die Entschlüsselung muss folglich umgekehrt erfolgen. Zahlreiche Varianten können die Entschlüsselung des Geheimtextes erschweren, sind aber im Allgemeinem nicht sicher. Im folgenden Beispiel 4 ist eine solche Transposition dargestellt: 4 aus EDGAR ALLEN POE s Der Goldkäfer von 1843 [9]

1.1. ARTEN DER KRYPTOGRAPHIE 9 Klartext: ohne allzu große mühe! habe ich doch geheimschriften gelesen, die tausendmal schwieriger waren" 1.Zeile: O N A L U R ß M H 2.Zeile: H E L Z G O E Ü Geheimtext in 10er Blöcken: 1.1.2 Substitution ONALURßMHH BIHOHEEMCR FEGLSNITUE DASHIRGRAE HELZGOEÜEA ECDCGHISHI TNEEEDEASN MLCWEIEWRN Tabelle 1.1: Gartenzauntechnik Bei dem Verfahren der Substitution wird der Klartext durch Austauschen der Buchstaben mit anderen Buchstaben, Ziffern oder Zeichen (Homophon) verschlüsselt. Aus dem Wort geheimschrift wird 7 5 8 5 9 13 19 3 8 18 9 6 20, wenn man die Buchstaben durch die entsprechenden Ordnungszahlen des Alphabetes ersetzt, wie in Tabelle 1.2 zu sehen ist. Eine Variante erhält man beispielsweise durch das Ersetzen des Alphabets mit der Buchstabenreihenfolge der deutschen Tastaturbelegung. Wird bei der Verschlüsselung nur ein Geheimtextalphabet verwendet, so spricht man von einer monoalphabetischen Substitution. Das Geheimtextalphabet dient zugleich als Schlüssel zum Dechiffrieren der Botschaft. Klartextalphabet: a b c d e f g h i j k l m n o p q r s t u v w x y z Geheimtextalphabet: 1 2 3 4 5 6 7 8 9 1011121314151617181920212223242526 Variante: QWERTZUIO P A S D F G H J K L Y X C V B N M Tabelle 1.2: Geheimtextalphabet Die älteste und wohl einfachste Form der Buchstabensubstitution ist die Cesar- Verschiebung, die erstmals belegbar von Julius Cäsar in den Gallischen Kriegen verwendet wurde. Dabei wird jeder Buchstabe im Klartextalphabet um eine bestimmte Anzahl von Stellen verschoben. Dies ist in Tabelle 1.3 mit drei Stellen dargestellt. Klartextalphabet: a b c d e f g h i j k l m n o p q r s t u v w x y z Geheimtextalphabet: D E F G H I J K L M N O P Q R S T U V W X Y Z A B C Klartext: veni vidi vici" Geheimtext: YHQL YLGL YLFL" Tabelle 1.3: Cesarverschlüsselung Vermutet jedoch ein Gegner die Cesar-Verschiebung, so bleiben ihm nur 25 verschiedene Möglichkeiten eine Verschiebung zu testen, welches zu einer sehr

10 KAPITEL 1. KLASSISCHE KRYPTOGRAPHIE unsicheren Verschlüsselung führt. Bei einer allgemeinen Herstellung eines Geheimtextalphabetes gibt es 26! Möglichkeiten, was 4, 03 10 26 verschiedenen Verschlüsselungen entspricht. Diese Unmenge an Möglichkeiten bescherte den Verwendern der monoalphabetischen Substitution über die Jahrhunderte absolute Sicherheit und man glaubte lange Zeit, auf der sicheren Seite zu stehen. Doch der Schein trügt. Das Zauberwort lautete damals: Häufigkeitsanalyse. Dieses Verfahren hat seine Wurzeln in den arabischen Ländern und verdankt ihre Entdeckung den dort lebenden Theologen, die akribisch genau den Koran studierten. Diese analysierten nicht nur den Inhalt, sondern auch die Häufigkeit einzelner Buchstaben, Wörter und Sätze. Sie erhofften sich so mehr Aufschluss über den chronologischen Aufbau des Korans zu erhalten. Die Häufigkeitsanalyse als Mittel zur Entschlüsselung von Geheimschriften wurde jedoch erstmals belegbar im neunten Jahrhundert beschrieben. In seinem Werk Abhandlung über die Entzifferung kryptographischer Botschaften beschreibt der Gelehrte ABU YUSUF YAQUB IBN IS-HAQ IBN AS SABBAH IBN OMRAN IBN ISMAIL AL-KINDI, wie durch eine Analyse der Häufigkeit einzelner Buchstaben die Entzifferung des Geheimtextes möglich ist, sofern ein genügend langer Geheimtext vorliegt. In den meisten Sprachen kommt jeder Buchstabe mit einer bestimmten Häufigkeit vor. Im Deutschen besitzt der Buchstabe e eine Häufigkeit von 17, 40%, hingegen das y nur eine von 0, 03%. In der Abbildung 1.3 sind jeweils die Buchstabenhäufigkeiten der deutschen und englischen Sprache dargestellt. Besonders die unterschiedlichen Peaks (Buchstaben mit erhöhter Häufigkeit) fallen ins Auge. Sie sind charakteristisch für die jeweilige Sprache. (a) 20% (b) 15% 15% 12% 9% 10% 6% 5% 3% 0% a b c d e f g h i j k l m n o p q r s t u v w x y z 0% a b c d e f g h i j k l m n o p q r s t u v w x y z Abbildung 1.3: (a) Buchstabenhäufigkeit der deutschen und (b) englischen Sprache (Quelle: SINGH [5]) Besitzt man eine Vermutung über die Sprache 5, in der die Botschaft geschrieben wurde, kann man die Häufigkeit der verwendeten Zeichen mit der Buchsta- 5 Eine solche Vermutung erhält man leicht mithilfe des sogenannten Übereinstimmungs-Index κ, der Aufschluss über die verwendete Sprache geben kann. Dabei wird der Geheimtext in zwei

1.1. ARTEN DER KRYPTOGRAPHIE 11 benhäufigkeit der verwendeten Sprache vergleichen. Je länger dabei der Geheimtext ist, desto einfacher wird die Entschlüsselung. Selbstverständlich werden nur relative Häufigkeiten verwendet, was mit einer eins zu eins Übersetzung der Häufigkeiten nicht unbedingt zum Erfolg führen muss. Jedoch helfen des Weiteren auch Biagramme 6, Endungen oder Eigenschaften einzelner Buchstaben (im Deutschen folgt auf ein q stets ein u) beim Entziffern. Gerade die Anfangszeit der Kryptoanalyse wurde vorwiegend von Sprachwissenschaftlern dominiert. An einem Beispiel, wie es auch in dem Werk Der Goldkäfer (The Gold Bug) von EDGAR ALLEN POE beschrieben wird, möchte ich die Einfachheit dieses Verfahrens aufzeigen. Geheimtext: 53==+ 305)) 6*;48 26)4=.)4=; 806*; 48+8/ 60))8 5;I=( ;:=*8 +83(8 8)5*+ ;46(; 88*96 *?;8) *=;48 5);5* +2:*( ;4956 *2(5* - 4)8/ 8*;40 69285 );)6+ 8)4== ;I(=9 ;4808 1;8:8 =I;48 +85;4 )485+ 52880 6*81( =9;48 ;(88; 4(=?3 4;48) 4=;16 1;:18 8;=?; Tabelle 1.4: Homophon verschlüsselter Text aus EDGAR ALLEN POES The Gold Bug Zeichen: 8 ; 4 = ) * 5 6 + I Häufigkeit: 33 26 19 16 16 13 12 11 8 8 in %: 18,8 14,8 10,8 9,1 9,1 7,4 6,8 6,3 4,6 4,6 Zeichen: 0 9 2 3? I / -. Häufigkeit: 6 5 5 4 3 3 2 1 1 in %: 3,4 2,8 2,8 2,3 1,7 1,7 1,1 0,6 0,6 Tabelle 1.5: Häufigkeitsanalyse der Geheimbotschaft aus EDGAR ALLEN POES The Gold Bug In Tabelle 1.4 liegt der verschlüsselte Text vor. Wie oft jedes Zeichen vorkommt, ist in Tabelle 1.5 illustriert. Diese werden dann wie folgt mit den Buchstabenhäufigkeiten der englischen Spache (Abb. 1.3) verglichen: Da im Englischen der Buchstabe e am häufigsten vorkommt, kann man ihn im obenstehenden Text für das Zeichen 8 vermuten. Dies wird bestärkt durch das vermehrte Auftreten einer doppel 8, was im Klartext ein doppel e wäre. Im Englischen ist dies eine sehr oft vorkommende Konstellation, wie z.b. in meet, seed Teile gegliedert und zeilenweise untereinander gestellt. Der prozentuale Anteil der gleichen Buchstaben, die genau untereinander stehen ist charakteristisch für eine Sprache. 6 Biagramme sind zwei hintereinander auftretende Buchstaben. Auch ihre Häufigkeit ist von der verwendeten Sprache abhängig. Ein oft auftretendes Biagramm der deutschen Sprache ist das st. Das Biagramm th ist in der deutschen Sprache eher selten. In der englischen Sprache hingegen tritt es sehr häufig auf.

12 KAPITEL 1. KLASSISCHE KRYPTOGRAPHIE oder feet. Ein sehr häufig auftretendes Wort ist the. Sucht man gleiche Buchstabenkombinationen in der die 8 hinten steht, so findet man sieben an der Zahl, nämlich ;48. Damit ist es uns nun gelungen schon drei Buchstaben zu entziffern. Den Rest der Entschlüsselung erhält man ebenfalls mit dieser Methode 7. Trotz dieser Schwäche der Verschlüsselung hatte sie bis zum Ende des 16. Jahrhunderts Bestand. Varianten der monoalphabetischen Verschlüsselung gaben nur kurz Sicherheit und mit Entstehen der schwarzen Kammern 8 wurden auch diese nach und nach entziffert. Die Häufigkeitsanalyse forderte letztlich auch das Leben der schottischen Königin MARIA STUART ( 08.02.1587). Ihr Mordkomplott an der englischen Königin Elisabeth wurde aufgedeckt, als Kryptoanalytiker am Hofe der englischen Königin mittels dieses Verfahrens die Geheimnachrichten MARIA STUARTS entzifferten. Nur ein Jahr zuvor (1585) veröffentlichte BLAISE DE VIGENÈRE 9 sein Werk Traicté des Chiffres, eine Abhandlung über Geheimschriften. In dieser beschreibt er basierend auf den Ideen des Benediktinermönches JOHANNES TRITHEMIUS (1462-1516) eine vollständig polyalphabetische Verschlüsselung, welche heute noch seinen Namen trägt: Die Vignère Verschlüsselung. In Tabelle 1.6 sehen Sie eine typische Verschlüsselung nach Vignère. Schlüsselwort:BAUMBAUMBAUMBAUMBAUMBA U MB A UMBAUM Klartext: h o l m e s h a t t e s t u n d e n l a n g s c h w e i g s a m Geheimtext: I O F Y F S BMUTY E UUH P FN F MOGMO I WYUHSUY Tabelle 1.6: Vignère Verschlüsselung mit dem Schlüsselwort BAUM Das Schlüsselwort Baum hat die Funktion jedem Klartextbuchstaben sein Geheimtextalphabet zuzuordenen. Der erste Buchstabe h wird mit dem Geheimtextalphabet verschlüsselt, das im Vignère Quadrat (Tabelle 1.7) mit B beginnt, das o mit dem letzten Geheimtextalphabet, welches mit A beginnt, usw. Vignère s Absicht war es aber nicht, kurze Schlüsselwörter zu verwenden oder die Geheimtextalphabete alphabetisch anzuordnen. Der Einfachheit halber wurde es aber von vielen genauso praktiziert und sie galt über Generationen als undechiffrierbar 10. Doch gerade diese zyklische Verschlüsselung wurde ihr zum Verhängnis. 7 Eine detaillierte Lösung des Rätsels finden Sie im Auschnitt aus Der Goldkäfer im Anhang 3.2. 8 Schwarze Kammern waren im 16. Jahrhunderte Institute der europäischen Mächte zur Entschlüsselung geheimer Botschaften, vergleichbar mit der amerikanischen NSA (National Security Agency). 9 BLAISE DE VIGENÈRE (1523-1596), französischer Diplomat und Kryptograph. 10 Sie trug den Beinamen le chiffre indéchiffrable (die nicht zu entziffernde Chiffre).

1.1. ARTEN DER KRYPTOGRAPHIE 13 Klar: a b c d e f g h i j k l m n o p q r s t u v w x y z 1. B C D E F G H I J K L M N O P Q R S T U V W X Y Z A 2. C D E F G H I J K L M N O P Q R S T U V W X Y Z A B 3. D E F G H I J K L M N O P Q R S T U V W X Y Z A B C 4. E F G H I J K L M N O P Q R S T U V W X Y Z A B C D 5. F G H I J K L M N O P Q R S T U V W X Y Z A B C D E 6. G H I J K L M N O P Q R S T U V W X Y Z A B C D E F 7. H I J K L M N O P Q R S T U V W X Y Z A B C D E F G 8. I J K L M N O P Q R S T U V W X Y Z A B C D E F G H 9. J K L M N O P Q R S T U V W X Y Z A B C D E F G H I 10. K L M N O P Q R S T U V W X Y Z A B C D E F G H I J 11. L M N O P Q R S T U V W X Y Z A B C D E F G H I J K 12. M N O P Q R S T U V W X Y Z A B C D E F G H I J K L 13. N O P Q R S T U V W X Y Z A B C D E F G H I J K L M 14. O P Q R S T U V W X Y Z A B C D E F G H I J K L M N 15. P Q R S T U V W X Y Z A B C D E F G H I J K L M N O 16. Q R S T U V W X Y Z A B C D E F G H I J K L M N O P 17. R S T U V W X Y Z A B C D E F G H I J K L M N O P Q 18. S T U V W X Y Z A B C D E F G H I J K L M N O P Q R 19. T U V W X Y Z A B C D E F G H I J K L M N O P Q R S 20. U V W X Y Z A B C D E F G H I J K L M N O P Q R S T 21. V W X Y Z A B C D E F G H I J K L M N O P Q R S T U 22. W X Y Z A B C D E F G H I J K L M N O P Q R S T U V 23. X Y Z A B C D E F G H I J K L M N O P Q R S T U V W 24. Y Z A B C D E F G H I J K L M N O P Q R S T U V W X 25. Z A B C D E F G H I J K L M N O P Q R S T U V W X Y 26. A B C D E F G H I J K L M N O P Q R S T U V W X Y Z Tabelle 1.7: Vignère Quadrat In Tabelle 1.8 befindet sich eine ausführliche Vignère Verschlüsselung. Zur einfacheren Veranschaulichung sind Leer- und Satzzeichen übernommen worden, die unverschlüsselt blieben. Zur damaligen Zeit sind diese natürlich nicht mit übernommen worden. Die Silbe ein wurde hier, wie zu sehen ist, mit verschiedenen Folgen verschlüsselt. CHARLES BABBAGE gelang es im 19. Jahrhundert als erstem die Vignère Verschlüsselung zu lösen: Aufgrund eines Streites wurde er im Wettstreit aufgefordert eine vignère-verschlüsselte Nachricht zu dechiffrieren. Babbage bemerkte als erster die Schwäche des Systems. Bei einem Schlüsselwort wie BAUM wird jeder vierte Buchstabe mit dem selben Alphabet verschlüsselt. Findet man im Geheimtext gleiche aufeinanderfolgende Buchstabenketten (mindestens drei, z.b. QJN oder YUO), dann kann davon ausgegangen werden, dass ein häufig auftretendes Wort oder auch eine Silbe (hier ein) auf dieselbe Art verschlüsselt wurde. Die Anzahl der Stellen zwischen einer solchen Folge gibt Aufschluss über die Länge des Schlüsselwortes, denn die Freistellen gleicher Folgen müssen ein Vielfaches der Länge des Schlüsselwortes ergeben. In unserem Beispiel betragen die freien Stellen zwischen den QJN s 36 sowie 236. Die gemeinsamen Teiler (2 oder 4) der beiden Zahlen sind die einzigen Möglichkeiten für die Schlüssellänge. Auch bei den YUO s ist der gemeinsame Teiler der Abstandszahlen (220, 192) 2 oder 4. Bei genügend vorhandenen Folgen dezimiert sich der gemeinsame Teiler auf meist ein oder zwei Möglichkeiten, wel-

14 KAPITEL 1. KLASSISCHE KRYPTOGRAPHIE Klartext: Geheimtext: holmes hatte stundenlang schweigsam dagesessen, den langen schmalen ruecken ueber eine retorte gebeugt, in der er ein besonders ekelhaft riechendes chemisches produkt braute. der kopf war ihm auf die brust gesunken, und er kam mir vor wie ein fremdartiger schmaechtiger vogel mit einem stumpfem grauem gefieder und schwarzem schopf.»also, watson«, sagte er auf einmal,»sie haben nicht die absicht, in suedafrikanische anleihen zu investieren?«. ueberrascht zuckte ich zusammen. wenn ich auch mit holmes seltsamen faehigkeiten vertraut war, so blieb mir doch dieses ploetzliche eindringen in meine innersten gedanken ganz unerklaerlich. IOFYFS BMUTY EUUHPFNFMOG MOIWYUHSUY EAAQTE- MEFN, XQO LUZHEH EDHGMMEH DVEWWFN OQCEL QJNY DFTIDUE AQCEOSU, IH PFR YD FIH NFSIZEELE FKYXIAZF SIYOIEHPFS WTFMCEDHYE QRIPVKN NSAOFF. DYD LOJR XAL UIM UGG DCQ CROEU GYEVNEQO, UHP FR EMN MCD WOL IJE YUO FLQNDUDUIAQS SWTNAYOIT- CSFR PAHEF YJT YUOEG EUUGBGEG SSAOQN GYR- JEXQS UHP TCBIBRTQN SWTPPZ.»MMSI, IBTMAO«, SU- SUE YD BUZ QJNGMM,»SCQ IAVQO NCOIT XUF AVE- JCBF, JN MGFDURSIEMOIMOIE UZMECTFN TG JNPQTT- CQSEH?«. GFBYDSAMOIT TGDKNQ JCB LVSUYNEH. IFNH UDH UGDH GUU HIXNEM EFLNEBMYZ GAYTJGEQJTYZ WELFSAOF XAL, EP BFUFB GUS DIOI DCQTEM BMOYFAL- COIE YUODLUOGYZ JN GQJNY UONYDTTYZ HEXMOKYZ HAHL VNYDLLUQSLCOI. Tabelle 1.8: Vignère Verschlüsselung einer Textpassage aus Die tanzenden Männchen (1903) von CONAN DOYLE [25] ches hier schon durch eine Folge geschehen ist. Da die Länge 2 als Schlüsselwort wohl unwahrscheinlich ist, sollte die Länge des Schlüsselwortes 4 betragen. Die Wahrscheinlichkeit rein zufälliger gleich auftretender Folgen ist schon bei einer Kette von drei Buchstaben sehr gering. Der vorhandene Geheimtext wird nun in vier Gruppen aufgegliedert. Jede dieser Gruppen entspricht einer Cesar- Verschlüsselung. Das Problem ist somit auf vier einzelne Häufigkeitsanalysen reduziert worden. Die Vignère Verschlüsselung ist also über die Ermittlung der Schlüssellänge, auch Kasiski-Test 11 genannt, zu entziffern. Aber auch die Verwen- 11 Der Kasiski-Test geht auf den preußischen Infanteriemajor FRIEDRICH WILHELM KASISKI (1805-1881) zurück. Erfunden wurde dieser Test zwar 1854 von dem englischen Mathematiker CHARLES BABBAGE (1792-1871), jedoch hat BABBAGE seinen Test nie veröffentlicht. Beim Kasiski-Test wird der Geheimtext nach Wiederholungen von Zeichenfolgen mit mindestens drei Zeichen untersucht und deren Abstand gemessen.

1.2. DAS ONE TIME PAD 15 dung von langen Schlüsselwörtern, die sogar der Länge des Textes entsprechen, kann keine absolute Sicherheit gewährleisten. Sinnvolle Wörter oder Sätze im Schlüsselwort dienen schon oftmals als Angriffspunkt. Kryptoanalytiker setzen dabei häufig auftretende Wörter oder Silben (z.b. die) an beliebige Stellen in den Klartext ein und überprüfen die dabei entstehenden Teile des Schlüsselwortes. Ergeben die Fragmente einen Sinn (z.b. YPT, wie in Ägypten) bleiben die Wörter/ Silben vorerst bestehen, ansonsten werden sie verworfen und an anderen Stellen eingesetzt (z.b. kommt die Folge RLT in der deutschen Sprache nicht vor). Bei mehrmaliger Anwendung können die Schlüsselwörter teilweise entziffert, bzw. erraten werden. Ebenso die Wiederverwendung des Schlüssels für mehrere Nachrichten ist ein Angriffspunkt für Kryptoanalytiker. Mit einer ähnlichen Taktik wie oben können Analytiker auch solche Chiffren lösen. SIMON SINGH schrieb in seinem Buch Geheime Botschaften: "Die Wiederholung ist der Feind der Geheimhaltung. Wiederholungen ergeben Muster und dies sind die Lieblingskinder der Kryptoanalytiker." 1.2 Das One Time Pad Ende des Ersten Weltkrieges gelang es erstmals eine 100 % sichere Verschlüsselung zu entwerfen. MAJOR JOSEPH MAUBORGNE 12 erkannte die Schwächen der Vignère Verschlüsselung und entwickelte das sogenannte One Time Pad. Er lies sich dabei von GILBERT VERNAM 13 inspirieren, der 1917 erstmals einen binären (Baudot Code) Vignère Chiffriersatz für einen Fernschreiber mit Lochstreifen baute. MAUBORGNEs Schlüssel sollte 1. rein zufällig gewählt werden, 2. genauso lang wie der zu verschlüsselnde Text sein und 3. nur einmal verwendet werden. Diese drei Kriterien garantieren eine absolute Sicherheit, wie später von CLAUDE SHANNON 14 mathematisch bewiesen wurde. MAUBORGNE schlug seinen Zufallsschlüssel erstmals für den Fernschreiber von VERNAM vor. Später wurden auch andere Formen verwendet. 12 MAJOR JOSEPH MAUBORGNE (1874-1971): Leiter des kryptographischen Institutes der amerikanischen Armee. 13 GILBERT SANDFORT VERNAM (1890-1960): Mitarbeiter bei AT&T New York. 14 CLAUDE ELWOOD SHANNON (1916-2001): amerikanischer Mathematiker.

16 KAPITEL 1. KLASSISCHE KRYPTOGRAPHIE Für die Kommunikation und die Verschlüsselung mit dem One Time Pad stelle man sich zwei identische Stapel mit Blättern vor. Auf jedem dieser Blätter stehen hunderte von verschiedenen, rein zufällig gewählte Buchstabenfolgen. Sender und Empfänger besitzen jeweils einen Stapel. Bei jeder zu sendenden Nachricht wurden die Buchstabenfolgen eines Blattes als Schlüsselfolge im Vignère Quadrat verwendet und nach dem Gebrauch vernichtet. Die Nachricht konnte nun absolut sicher verschickt werden. Zum Entschlüsseln verwendete der Empfänger das gleiche Blatt aus seinem Stapel und vernichtete auch dieses nach Gebrauch. Ein Abhörer hatte ohne den Schlüssel keinerlei Möglichkeiten die Nachricht zu dechiffrieren. Warum ist diese Verschlüsselung nun so sicher? Man stelle sich folgende zu verschlüsselnde Nachricht vor: warenuebergabe um zehn uhr Als verwendeten Schlüssel nehmen wir eine zufällige Folge von Buchstaben, wie es in Tabelle 1.9 illustriert ist. Schlüsselwort: Y P K L J H W Q V X H D F A T W P I O V B M D N Klartext: w a r e n u e b e r g a b e u m f u e n f u h r Geheimtext: U P B P W B A R Z O N D G E N I U C S I G G K E Tabelle 1.9: Verschlüsselung mit dem One Time Pad Bei einer Nachricht von 24 Buchstaben, gibt es 26 24 = 9, 11 10 33 Möglichkeiten für die Auswahl des Schlüssels. Einem Kryptoanalytiker bliebe aber nur die Möglichkeit alle Schlüssel auszuprobieren, da unser gewählter Schlüssel sich weder wiederholt noch eine innere Ordnung oder ein Muster besitzt, an dem man einen Angriffspunkt hat. Vielmehr besteht für ihn das Problem, dass er bei einem brute force attack 15 auch jede andere sinnvolle Nachricht mit einer Länge von 24 Buchstaben erhält. So enthält der gleiche Geheimtext wie oben auch die Nachricht: warenuebergabe verschoben, wenn ein anderer Schlüssel zum Entziffern verwendet wird (siehe Tabelle 1.10). Da der Schlüssel keinen sprachlichen Angriffspunkt liefert, bleibt nur die brute force Methode. Aber auch diese wird keine eindeutige Lösung liefern, denn es kommen alle Klartexte mit gleicher Länge in Frage. Ebenso erhält man die Nachricht 15 brute force attack: kryptonalytischer Angriff, bei dem alle möglichen Schlüssel des Schlüsselraums durchprobiert werden, in der Hoffnung, möglichst schnell auf den richtigen Schlüssel zu treffen.

1.2. DAS ONE TIME PAD 17 Geheimtext: U P B P W B A R Z O N D G E N I U C S I G G K E Schlüsselwort: Y P K L J H W Q V X H D F A S E D K Q B S F G R Klartext: w a r e n u e b e r g a b e v e r s c h o b e n Tabelle 1.10: Entzifferung des Geheimtextes unter Verwendung eines anderen Schlüssels fc bayern wird heuer meister unter Verwendung eines anderen Schlüssels. Es ist unmöglich die ursprüngliche Nachricht zu entziffern ohne im Besitz des Schlüssels zu sein. Diese Sicherheit beruht jedoch auf der Bedingung, dass der Schlüssel lediglich einmal verwendet wird. Man kann zeigen, dass schon bei zweifacher Benutzung eines Schlüssels der Code keine 100 %ige Sicherheit mehr leistet und evtentuell dechiffrierbar ist. Trotz der absoluten Sicherheit setzte sich dieses Verfahren nur vereinzelt durch. In Abbildung 1.4 ist ein russisches One Time Pad abgelichtet, das zu Zeiten des Kalten Krieges und der Spionage verwendet wurde. Beide Kommunikationspartner waren in Besitz eines solchen kleinen Buches, das mit einer großen Anzahl zufälliger Buchstabenfolgen bedruckt wurde. Abbildung 1.4: Russisches One Time Pad (Quelle: [23]) Die Verteilung und Koordination des Schlüssels ist jedoch mit sehr großem Aufwand verbunden, was in der Praxis oftmals nicht umzusetzen war. Die Antwort auf dieses Problem während des Zweiten Weltkrieges waren die Chiffriermaschinen. Zwar lösten sie nicht das Problem der Schlüsselübergabe, jedoch benötigte man nur noch die jeweiligen Einstellungen der Maschine um sicher kommunizieren zu können. Die Enigma, wohl die bekannteste unter ihnen, verschlüsselte die Nachricht nach einem zur damaligen Zeit sehr komplizierten Muster. Die Zufälligkeit des Schlüssels war aber nicht gegeben, was den Deutschen später zum

18 KAPITEL 1. KLASSISCHE KRYPTOGRAPHIE Verhängnis wurde. Die Chiffriersätze der Enigma wurden erstmals unter polnischer Leitung durch den Statistikstudenten MARIAN REJEWDKI und später nach etwaigen Änderungen an der Enigma mit deren Hilfe von den Engländern geknackt. Hierbei sei der Name ALAN TOURING genannt, der die wesentliche Rolle unter den Codebrechern des Bletchley Park 16 trug. Er setzte erstmals Maschinen zur Dechiffrierung ein. Diese ersten Rechenmaschinen haben im späteren Verlauf auch die Lorentz SZ40, eine weitaus kompliziertere Chiffriermaschine, geknackt. Sie diente zur Chiffrierung des Nachrichtenverkehrs zwischen Adolf Hitler und seinem Generalstab. Auch heutzutage wird die Methode des One time Pads allgemein nicht praktiziert. Dieses zeigt sich an folgendem Beispiel. Die Stadtsparkasse München betreut ca. 691.000 Kunden 17. Gehen wir davon aus, dass jeder Kunde im Monat rund drei Transaktionen online durchführen möchte. Das bedeutet, dass jeder Kunde mit der Bank 3 Schlüssel pro Monat austauschen muss. Für das Geldinstitut bedeutet das 2.073.000 Schlüsselübergaben jeden Monat. Deutschlandweit gibt es rund 30 Millionen Online Konten 18. Bezieht man noch die Transaktionen der Banken untereinander mit ein und betrachtet die riesigen Datenmengen (große Datenmengen erfordern lange Schlüssel), so scheint das One Time Pad ein logistischer Alptraum zu sein. Letztendlich bleibt die Schlüsselübergabe immer noch ein Sicherheitsrisko. Wer weiß denn, ob nicht der Bote bestochen oder die geheime Leitung angezapft wurde. Ein weiteres Problem ist die Generierung von Zufallszahlen. Die Herstellung von reinen Zufallszahlen mittels Computer ist ohne weiteres nicht möglich. Diese können lediglich einen Algorithmus befolgen, die dem Wort Zufall gegenüber steht. Auch wenn heutzutage sogenannte Pseudozufallszahlen den meisten Tests standhalten, kann nicht von einer reinen Zufallszahl gesprochen werden, welches jedoch eine Bedingung für das One Time Pad ist. Eine Lösung wäre, sich die Zufälligkeit der Natur zu Nutze zu machen, z.b. der Zerfall radioaktiver Elemente. Dies wäre jedoch ein nicht unerheblicher Aufwand zur Generierung großer und langer Schlüssel. Im späteren Verlauf werden wir sehen, dass sich dieses Problem in der Quantenkryptographie von selbst löst. 16 Bletchley Park: ist der Name eines englischen Landsitzes in Buckinghamshire, etwa 70 km nordwestlich von London, welcher auf Anweisung von Winston Churchill gegründet wurde. Dort bemühten sich während des Zweiten Weltkriegs Wissenschaftler aus Großbritannien und Polen darum, die Verschlüsselungsmethoden beim Nachrichtenverkehr der deutschen Wehrmacht zu brechen. 17 Stand März 2003 18 Stand Juli 2003

1.3. MODERNE VERSCHLÜSSELUNGSMETHODEN 19 1.3 Moderne Verschlüsselungsmethoden In der heutigen Zeit werden auf nicht quantenmechanischer Ebene viele verschiedene Techniken zum Verschlüsseln angeboten: DES 19, IDEA 20, 3DES 21, AES 22, RSA 23 und PGP 24. Wie schon am Anfang dieses Kapitels beschrieben, untergliedert man die Arten der Schlüsselverwendungen in symmetrische und asymmetrische Verschlüsselungen. Der Vorteil der symmetrischen Verschlüsselung liegt in der Geschwindigkeit. Sie besitzen meist sehr hohe Chiffrieraten. Bei DES liegen diese in Größenordnungen von 100 MB/s. Der Nachteil liegt im Schlüsselmanagement und der Problematik einer spontanen Kommunikation, da zuerst eine Schlüsselübergabe stattfinden muss. Die asymmetrische Verschlüsselung umgeht das Problem der Schlüsselübergabe, indem sie sich algebraischer Methoden bedient. Die dafür verwendeten Algorithmen sind sogenannte Einwegfunktionen. Ihr Nachteil liegt in der nicht bewiesenen Sicherheit und der niedrigeren Geschwindigkeiten. Die genaue Funktionsweise wird beim RSA-Algorithmus erläutert. Anhand einiger Beispiele sollen die Vor- und Nachteile der heutigen Kommunikation gezeigt und die Notwendigkeit der Quantenkryptographie verdeutlicht werden. 1.3.1 DES DES ist eine symmetrische Verschlüsselung und entstand aus einer Modifikation des LUCIFER-Algorithmus. Dieser wurde 1974 von dem zur damaligen Zeit beim IBM angestellten HORST FEISTEL entwickelt. Nach Einreichung dieses Verfahrens beim Federal Register, beschränkte die NSA jedoch die Schlüssellänge von 128-Bit auf 56-Bit 25. 1975 wurde das Data Encryption Standard vom National Bureau of Standards veröffentlicht. Die Anzahl der möglichen Schlüssel beträgt 19 Data Encryption Standard: symmetrische Verschlüsselung, Anwendung beim EC-Pin- Verfahren und Passwortverschlüsselung in Unix. 20 International Data Encryption Algorithm: symmetrische Verschlüsselung, ähnlich wie DES, jedoch schneller und sicherer, verwendet 128 Bit. 21 Triple-DES: symmetrische Verschlüsselung, dreifache Anwendung des DES Algoritmus mit verschiedenen Schlüsseln. Der mittlere Algorithmus wird dabei invers verschlüsselt. 22 Advanced Encryption Standard: symmetrische Verschlüsselung, Anwendung beim Verschlüsselungsprotokoll für WLAN und SSH. 23 Nach seinen Erfindern RONALD L. RIVEST, ADI SHAMIR und LEONARD ADLEMAN benannt, antisymmetrische Verschlüsselung. 24 Pretty Good Privacy: hybrides Verfahren. 25 Eigentlich handelt es sich um einen 64-Bit Schlüssel, bei dem nur 56 Bit frei wählbar sind und 8 Bit zur Überprüfung von Übertragungsfehlern (durch einen Paritätsvergleich) verwendet werden.

20 KAPITEL 1. KLASSISCHE KRYPTOGRAPHIE 2 56 = 7, 21 10 16. Warum der Schlüsselraum so stark dezimiert wurde, unterliegt vielen Spekulationen und Gerüchten. Der glaubhafteste Grund ist wohl, dass die NSA, die sich selber America s Codemakers and Codebreakers nennt, schon lange über die nötigen Rechenkapazitäten verfügt, um in genügend schneller Zeit alle 72, 1 Billiarden Möglichkeiten zu testen ( brute force attack ). Einen Schlüsselraum in der Größe von 1,33 Sextillionen (entspricht: 2 120 = 1, 33 10 36 ) wäre durch einen brute force Angriff nicht mehr zu dechiffrieren. Die Kritik an der kurzen Schlüssellänge war und ist groß und nicht unberechtigt. 1994 wurde ein DES Schlüssel in 50 Tagen mithilfe eines Netzwerkes von 12 Workstations ermittelt. 1998 entschlüsselte ein Spezialcomputer einen DES Schlüssel in nur 56 Stunden und im Jahre 2001 knackte ein System im Internet parallel geschalteter Computer den Schlüssel in 22 Stunden. Der DES Algorithmus ist eine Mischung aus Substitution und Transposition. Eine Nachricht, in binärer Folge codiert, wird in Blöcke von je 64 Bit aufgeteilt. In 16 Runden wird jeder Block erst durch Transposition verschlüsselt und nachdem er halbiert wurde, substituiert und zur anderen Hälfte addiert. Die Einzelheiten der Verschlüsselung sind veränderbar und legen den Schlüssel fest. Nur mit diesem kann eine mit DES chiffrierte Nachricht entziffert werden. Ein Abhörer müsste alle möglichen Schlüssel ausprobieren. Wie wir aber gesehen haben, ist dies schon seit langem nicht mehr unmöglich. Der Vorteil des DES Algorithmus zeigt sich beim Implementieren in die Hardware. Chiffrierraten von 100 MB/s werden dabei erreicht. Zudem haben minimale Veränderungen des Schlüssels bzw. des Klartextes erhebliche Auswirkungen auf den Geheimtext. Auch die Kombination beider Verfahren (Substitution und Transposition) verkomplizieren die Beziehung zwischen Klar-und Geheimtext. Alternativen bilden beispielsweise Triple-DES (Schlüssellänge von 108 Bit) oder IDEA, jedoch beruhen all diese Verfahren auf symmetrischer Verschlüsselung und beheben nicht das Problem der Schlüsselübergabe. 1.3.2 Asymmetrische Verschlüsselungen Im Gegensatz zu den vorherigen Verfahren unterscheidet sich die asymmetrische Verschlüsselung weitgehend von den bisher gezeigten Algorithmen. RSA gehört zur Zeit zu den sichersten Verschlüsselungstechniken, wenn man von der Quantenkryptographie absieht. Eine absolute Sicherheit kann RSA aber nicht gewährleisten, denn die Sicherheit des Verfahrens beruht auf dem komplizierten Zerlegen großer Zahlen in ihre Primfaktoren. Dieses ist zwar sehr kompliziert aber nicht unmöglich. 1996 fand man die Primfaktoren einer Zahl der Größenordnung von 1, 8 10 130. Diese Leistung ist zwar sehr beeindruckend, aber bei deutlich größeren Zahlen ist das Faktorisieren mit heutigen üblichen Algorithmen sehr zeitaufwendig und