Kategorie:Crypto

Inhaltsverzeichnis 1 Einführung 2 Geschichte 3 Angriffe auf Chiffren 4 Verfahren 4.1 Monoalphabetische Verschlüsselungen (Cäsar Chiffre) 4.1.1 Funktionsweise 4.1.2 Angriffe auf die Cäsar-Chiffre 4.1.3 "Weiterentwicklung" bei der Cäsar Chiffre 4.1.3.1 Homophone Verschlüsselung 4.2 Polyalphabetische Verschlüsselung (Vigenère-Chiffre) 4.2.1 Funktionsweise 4.2.2 Angriffe auf die Vigenère-Chiffre 4.2.3 "Weiterentwicklung" der Vigenère-Chiffre (Autokey-Verschlüsselung) 4.2.3.1 "Krönung" der Vigenère-Chiffre (One Time Pads) 4.3 Weitere Beispiele von Chiffern 4.3.1 Enigma 4.3.2 Lorenz Chiffre 4.3.3 Navajo Sprache 4.3.4 Lucifer aka DES 4.3.5 AES oder die DES Nachfolger 5 Sicherheit von Verschlüsselungen

Einführung

Eine ganz wichtige Rolle spielen Primzahlen in den Techniken der digitalen Verschlüsselung und Signierung. Während es bei der Verschlüsselung oder Chiffrierung darum geht Inhalte für Unberechtigte unbrauchbar zu machen, geht es bei der Signierung von Daten darum:

• Sicherstellung der Datenintegrität
  • hier geht es darum die Möglichkeit einer zuverlässigen Methode zu haben den Inhalt von Daten zu verifizieren
  • es soll damit sichergestellt werden können, dass Daten unverändert vorliegen
• Verifizierung des Senders
  • Moderne Signaturverfahren basieren auf dem Public Key Verfahren
  • durch die Verwendung der asymmetrischen Verschlüsselung kann der Absender verifiziert werden

Geschichte

Seit den Urzeiten der Menscheit wird versucht Informationen wirkungsvoll vor dem Einblick Unberechtigter zu schützen.Oder das Ziel war es den Versender einer Nachricht und auch deren Inhalt zu verifizieren. Bei der Chiffrierung fanden verschiedenste Techniken Anwendung: Vom einfachen Vertauschen von Buchstaben, über Chiffriermaschinen wie die Enigma bis hin zu hochkomplizierten asymmetrischen Mehrwegverschlüsselungen von heute.
Bei der Signierung und Verifizierung wurden z.B. Siegel, Plomben oder gesicherte Nachrichtenbehälter eingesetzt.

Den richtigen Durchbruch bei kryptografischen Methoden erzielte man erst als die ersten Computer herauskamen. Bis dann efolgten nahezu alle Chiffrierungen mit Methoden auf Zeichenbasis. Aber erst die Methoden auf Bit und Byte Basis ermöglichten es praktisch unknackbare Systeme zu entwickeln. Alle bisherigen Verfahren waren sicher ABER unpraktikabel. Die Übertragung erfolgte zu diesen Zeiten meist mit Telegrafen oder via Radiowellen. Und v.a. für Telegramme waren Verschlüsselungen sehr langsam, da ein guter Telegrafist rund 200 Zeichen pro Minute übermitteln konnte, weil er sich die Meldung merkte und dann aus dem Kopf in Morsezeichen umsetzen konnte. Nur bei verschlüsselten Meldungen konnte man nicht grössere Teile im Gedächtnis behalten. Der Telegrafist musste praktisch Zeichen für Zeichen ablesen und morsen. Ausserdem konnte - je nach Chiffre - ein einziges falsches Zeichen die ganze Chiffre unentschlüsselbar machen.

Als dann die ersten Computer kamen wurde es möglich die Zeichen aus Bits und Bytes zu verschlüsseln. Ein Zeichen besteht aus 8 Bits oder 1 Byte. Damit ware es möglich die einzelnen Bits eines Zeichens völlig frei zu bearbeiten: Sie können zufällig gemischt, in Blöcke aufgeteilt und verschlüsselt werden. So konnte man die "Hälfte" (4 Bits) des Klartextzeichens A nehmen und an eine beliebige andere "Hälfte" eines Zeichens anfügen. Kurz und einfach: Mit Bits und Bytes gibt es viel mehr und viel komplexere Methoden der Verschlüsselung als auf Zeichenbasis.

Allen Techniken der Chiffrierung ist gemeinsam, dass sie auf einem geheimzuhaltenden Schlüssel beruhen, um aus einem chffrierten Text wieder lesbare Zeichen zu erhalten. Alle Techniken widerstehen mehr oder weniger gut kryptoanalytischen Angriffen auf ihren Inhalt und/oder den Schlüsseln. Dabei wird z.B. versucht ohne Kenntnis des Schlüssels den Klartext zu erhalten oder der Angreifer versucht den Schlüssel zu brechen.

Dabei bestanden für alle Methoden die zwei grundlegenden Probleme der Kryptografie: Schlüsselverteilung und Schlüsseltausch. Bis zu Diffie und Hellman glaubte man, dass dies ein unlösbares Problem für die Kryptografie wäre. Das Problem der Schlüsselverteilung ist eigentlich ein rein logistisches: Die Schlüssel mussten verteilt werden und es mussten unvorstellbare Mengen davon verteilt werden. Diese mussten physisch überbracht werden, da eine Übermittlung via Telefon zu unsicher war. Wenn also Alice und Bob Meldungen austauschen wollten dann mussten sie einem Dritten vertrauen, dass er diese Schlüssel wie gewünscht vorbeibringt. Und wenn die Post überwacht wird und alle Kuriere korrupt sind, dann können Alice und Bob nur noch persönlich diese Schlüssel austauschen, was sehr sicher aber unpraktikabel wäre.

Beim Schlüsselaustausch besteht das Problem, dass wenn Alice und Bob sicher Meldungen austauschen wollen, dann müssen sie erst die Schlüssel ausgetauscht haben. Und dieser Schlüssel musste über ein allenfalls unsicheres Medium übermittelt werden. Wie können Alice und Bob sich auf ein Geheimnis (den Schlüssel) einigen ohne dass Carl etwas damit anfangen kann?

Angriffe auf Chiffren

Dabei haben einfache Buchstabentauschverfahren keine Chance, weil sie statistisch geknackt werden können. Jede Sprache hat für ihre einzelnen Buchstaben typische Häufigkeiten. Wenn man jetzt also weiss, dass der Buchstabe e zu 20% vorkommt und man einen verschlüsselten Buchstaben x hat, der ebenfalls zu 20% vorkommt, dann kann man darauf schliessen, dass jedes x einem e im Klartext entsprechen könnte. Dann muss man nur noch solange probieren bis der Text einen Sinn ergibt. Das geht mit heutigen Computern in Sekundenbruchteilen !

Das Beispiel der Enigma zeigt die Problematik von symmetrischen Verschlüsselungen sehr gut. Die ganze Sicherheit beruht darauf, dass der Schlüssel geheim bleiben muss. Dies da sowohl zum Ver-als auch zum Entschlüsseln der gleiche Schlüssel verwendet wird. Allein mit einer eroberten Enigma Maschine konnte nichts angefangen werden, wenn man den Tagescode nicht kannte. Die Allierten versuchten also Anfangs primär durch Aufklärung (Social Engeneering heutzutage) die Tagescodes abzufangen und weniger den Algorithmus der Enigma zu knacken.

Social Engeneering ist im Zeitalter der heutigen sehr sicheren Verschlüsselungstechniken "wichtiger" denn je. Denn wenn Carl, der die Email von Alice an Bob lesen will, bei Bob einbricht und sich eine Kopie seines privaten Schlüssels besorgt, dann ist dies bei Weitem weniger aufwändig für Carl, als Bob's privaten Schlüssel aus dessen öffentlichen zu berechnen. Heutige Algorithmen können eine Schlüssellänge von 4096 Bit und mehr erzeugen. Das entspricht einem Produkt aus zwei Primzahlen mit über 1000 Dezimalstellen !! Einen solch langen öffentlichen Schüssel in seine zwei einzigen Primfaktoren zu zerlegen, und damit den privaten Schlüssel zu berechnen, ist selbst für die gesamte Rechenpower auf der Welt gemeinsam nicht in Dimensionen von Menschenleben zu erreichen.

Das Problem der Schlüsselverteilung symmetrischer Verschlüsselungen war lange Zeit der Knackpunkt in der Kryptografie. Egal wie gut der Algorithmus auch war, irgendwie musste der Schlüssel von Alice zu Bob kommen. Und dabei konnte er abgefangen werden. Es war schon seit den Urzeiten der Kryptografie die vorherrschende Meinung der Krytografen, dass die Sicheheit einer Verschlüsselung nicht auf der Geheimhaltung des verwendeten Algorithmus beruhen durfte. Ausserden musste das Schlüssel-Tausch-Problem gelöst werden.

Verfahren

Monoalphabetische Verschlüsselungen (Cäsar Chiffre)

Benannt ist dieses Verfahren nach Julius Cäsar, der diese Art der Verschlüsselung so häufig verwendet hat, dass es sogar von damaligen Geschichtsschreibern in ihren Werken erwähnt wurde.

Funktionsweise

Das Prinzip hinter dieser Art der Verschlüsselung ist eine Buchstabenverschiebung um eine konstante Weite. Konstant wird hier besonders hervorgehoben, weil dies zugleich der Pferdefuss dieser Verschlüsselungsart ist und den Kryptoanalytikern die Möglichkeit gab solche Chiffren sehr schnell zu knacken

<runphp> echo 'Klartext: TRUPPEN ZUM LIMES
'; echo 'Klartext-Alphabet:'." "; foreach(range('A','Z') as $wert){

echo $wert."\t\t";

} echo '
'; echo 'Crypto-Alphabet:'."  "; $cr = array_merge(range('G','Z'),range('A','F')); foreach($cr as $wert){

echo $wert."\t\t";

} echo '
'; echo 'Chiffre:   ZXAVVLG FAS RCSLY
'; </runphp>

Das Crypto-Alphabet ist der Schlüssel mit dem der Klartext zur Chiffre verschlüsselt wird. Dieser muss dem Empfänger bekannt sein. Beim obigen klassischen Beispiel von Cäsar gibt es insgesamt 25 verschiedene Schlüssel. Dies da die Schrittweite der Verschiebung eben konstant war. Zum Knacken der Chiffre würde man einfach alle Möglichkeiten der Schlüssel darstellen und dann die Verschlüsselung umkehren. Dazu würde man für jedes Zeichen der Chiffre den Schlüssel anwenden und am Ende schauen ob mit diesem Schlüssel etwas sinnvolles herauskommt. Wenn nicht dann nimmt man den nächsten Schlüssel. Das Problem ist, dass es pro Zeichen "nur" 25 Möglichkeiten gibt dieses zu verschlüsseln!

Man wusste schon zu Cäsars Zeiten, dass die fixe Schrittweite der Schlüssel das ganze Verfahren extrem limitierte. Wenn man eine variable Schrittweite erlaubt dann ergeben sich 26! mögliche Schlüssel. Keine Angst nicht 26 sondern 26! also 403'291'461'126'605'635'584'000'000 mögliche Schlüssel ;-) Das schliesst pure Brute-Force Attacken aus, auch im heutigen Computerzeitalter (selbst für einen sehr schnellen Computer würde es immer noch jahrzehntelang dauern alle Möglichkeiten durchzuprobieren)

Angriffe auf die Cäsar-Chiffre

Neben der oben gezeigten Möglichkeit der Brute-Force, die bei ALLEN existierenden Verfahren gegeben ist, wurden kryptoanalytische Methoden immer wichtiger. Denn die Grenzen der Brute-Force waren bereits bei der Cäsar Chiffre mit variabler Schrittweite erreicht. Oben beim verschlüsselten ZXAVVLG FAS RCSLY sieht man die Schwachstelle jeder monoalphabetischen Verschlüsselung. Der gleiche Buchstabe in der Chiffre KANN nur EINE Entsprechung im Klartext haben Basierend darauf konnte man statistische Angriffe auf die Chiffre durchführen. Bereits die alten Araber kannten Methoden wie man solche Angriffe durchführen könnte. Dabei nutzt man aus, dass es für jede Sprache eine eine bestimmte Verteilung der Buchstaben gibt. So ist z.B. E der häufigste Buchstabe der englischen Sprache, der mit ca 13% Häufung in Worten vorkommt. So kann man "Ranglisten" der einzelnen Buchstaben aufstellen und diese mit der Häufung der einzelnen Zeichen in der Chiffre vergleichen. Dann kann man anhand der Verteilung darauf schliessen welchem Klartextbuchstaben ein Chiffrezeichen entsprechen könnte. Dabei gilt dass solche statistischen Verfahren auf Buchstabenbasis bei sehr kurzen Texten nicht funktionieren. Da muss dann die Brute Force her wobei man stur bei jedem Zeichen alle Möglichkeiten durchprobieren muss.

Als Verfeinerung der statistischen Angriffe auf Zeichenbasis wurden diese auf Buchstabenfolgen erweitert. Bestimmte Buchstabenkombinationen sind häufiger, andere weniger und gewisse kommen gar nie vor. Oder man verwendete gleich ganze Worte und ihre Häufigkeiten. Durch diese Methoden werden die Möglichkeiten nochmals gewaltig eingeschränkt und die verbleibenden Optionen müssen durchprobiert (Brute Force) werden

"Weiterentwicklung" bei der Cäsar Chiffre

Um Angriffe weiter zu erschweren verwendete man verschiedenste Möglichkeiten um die monoalphabetische Verschlüsselungen zu verbessen. Alleine schon das entfernen der Leerzeichen ist ein immenses Hindernis. Zusätzlich wurde das Alphabet um Zahlen und alle möglichen Sonderzeichen "erweitert". Oder es wurden Störzeichen eingefügt wo der Kryptoanalytiker nicht wissen konnte, dass es keine Bedeutung hatte. Oder "Steuerzeichen" die das vorausgehende Zeichen "löschten". Etwas Weiteres was oft vorkam waren vorsätzliche Rechtschreibefehler, die statistische Angriffe ebenfalls ins Leere laufen liessen. Oder man verwendete Codeworte, die selber eine ganz andere Bedeutung hatten, und verschlüsselte diese. Es wurden gar Worte erfunden.

Die eigentliche Schwachstelle einer monoalphabetischen Verschlüsselung konnte jedoch keine Methode aus der Welt schaffen: Zwei gleiche Zeichen einer Chiffre müssen auch im Klartext identisch sein. Damit liessen sich IMMER statistische Angriffe durchführen!

Homophone Verschlüsselung

Wie bei allen monoalphabetischen Substitutionsverfahren, wird auch bei der homophonen Verschlüsselung nur ein einziges festes Substitutionsalphabet zur Ver- und Entschlüsselung verwendet. Um das Ziel, nämlich die Einebnung der unterschiedlichen Häufigkeiten der Klartextbuchstaben zu erreichen, kann man beispielsweise jedem Buchstaben des Alphabets so viele Geheimtextzeichen zuordnen wie seiner relativen Häufigkeit in Prozent entspricht, was ein Geheimtextalphabet von 100 Zeichen ergibt. Die typischen Häufigkeiten der Buchstaben in der deutschen Sprache sind in der folgenden Tabelle in Prozent angegeben:

 
A  B  C  D  E  F  G  H  I  J  K  L  M  N  O  P  Q  R  S  T  U  V  W  X  Y  Z
6  2  2  5 17  2  3  5  8  1  1  3  2 10  2  1  1  7  7  6  4  1  1  1  1  1
 

Bildet man nun die 26 Buchstaben des Alphabets auf 100 Geheimzeichen ab, im einfachsten Fall auf die Zahlen 00 bis 99, und zwar so, dass dem A sechs Geheimzeichen, dem B zwei, dem C zwei, dem D fünf zugeordnet werden, und so weiter, so tritt im Geheimtext jede (Geheim-) Zahl mit einer mittleren Häufigkeit von 1 % auf. Eine Häufigkeitsanalyse der Einzelzeichen ergibt nun keine Ansatzpunkte mehr für die Entzifferung.

Um den Text dennoch zu knacken, muss der Angreifer nun raffiniertere Methoden anwenden. Hierzu kann er anstelle von einzelnen Zeichen (Monogrammen) die Analyse auf Bigramme (Zeichenpaare), Trigramme oder Tetragramme ausweiten. Mögliche Angriffspunkte sind charakteristische Bigramme wie CH, CK oder QU sowie die reversen EN und NE oder ER und RE. Hierzu benötigt er jedoch deutlich längere Texte. Hinreichend kurze, homophon verschlüsselte Texte (weniger als achtzig Buchstaben) sind gegen unbefugte Entzifferung recht gut geschützt.

Polyalphabetische Verschlüsselung (Vigenère-Chiffre)

Die Vigenère-Verschlüsselung (nach Blaise de Vigenère) galt lange als sicherer Chiffrieralgorithmus („Le Chiffre indéchiffrable“, deutsch: „Die unentzifferbare Verschlüsselung“). Ein Schlüsselwort bestimmt, wie viele Alphabete genutzt werden. Die Alphabete leiten sich aus der Caesar-Substitution ab.

Dem britischen Mathematiker Charles Babbage gelang um das Jahr 1854 erstmals die Entzifferung einer Vigenère-Chiffre. Diese Entdeckung wurde jedoch damals nicht öffentlich bekannt gemacht. Der preußische Offizier Friedrich Kasiski veröffentlichte im Jahr 1863 seine Lösung und ging damit in die Geschichte ein.

Funktionsweise

Das Schlüsselwort sei „AKEY“, der Text „geheimnis“. Vier Caesar-Substitutionen verschlüsseln den Text. Die erste Substitution ist eine Caesar-Verschlüsselung mit dem Schlüssel „A“. „A“ ist der erste Buchstabe im Alphabet. Er verschiebt den ersten Buchstaben des zu verschlüsselnden Textes, das „g“, um 0 Stellen, es bleibt „G“. Der zweite Buchstabe des Schlüssels, das „K“, ist der elfte Buchstabe im Alphabet, er verschiebt das zweite Zeichen des Textes, das „e“, um zehn Zeichen. Aus „e“ wird ein „O“ (siehe Tabelle). Das dritte Zeichen des Schlüssels („E“) verschiebt um 4, „Y“ um 24 Stellen. Die Verschiebung des nächsten Buchstabens des Textes beginnt wieder bei „A“, dem ersten Buchstaben des Schlüssels:

Text:       geheimnis
Schlüssel:  AKEYAKEYA
Chiffrat:   GOLCIWRGS

Vigenère-Quadrat

		Text
		A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
S c h l ü s s e l	1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26	A B C D E F G H I J K L M N O P Q R S T U V W X Y Z B C D E F G H I J K L M N O P Q R S T U V W X Y Z A C D E F G H I J K L M N O P Q R S T U V W X Y Z A B D E F G H I J K L M N O P Q R S T U V W X Y Z A B C E F G H I J K L M N O P Q R S T U V W X Y Z A B C D F G H I J K L M N O P Q R S T U V W X Y Z A B C D E G H I J K L M N O P Q R S T U V W X Y Z A B C D E F H I J K L M N O P Q R S T U V W X Y Z A B C D E F G I J K L M N O P Q R S T U V W X Y Z A B C D E F G H J K L M N O P Q R S T U V W X Y Z A B C D E F G H I K L M N O P Q R S T U V W X Y Z A B C D E F G H I J L M N O P Q R S T U V W X Y Z A B C D E F G H I J K M N O P Q R S T U V W X Y Z A B C D E F G H I J K L N O P Q R S T U V W X Y Z A B C D E F G H I J K L M O P Q R S T U V W X Y Z A B C D E F G H I J K L M N P Q R S T U V W X Y Z A B C D E F G H I J K L M N O Q R S T U V W X Y Z A B C D E F G H I J K L M N O P R S T U V W X Y Z A B C D E F G H I J K L M N O P Q S T U V W X Y Z A B C D E F G H I J K L M N O P Q R T U V W X Y Z A B C D E F G H I J K L M N O P Q R S U V W X Y Z A B C D E F G H I J K L M N O P Q R S T V W X Y Z A B C D E F G H I J K L M N O P Q R S T U W X Y Z A B C D E F G H I J K L M N O P Q R S T U V X Y Z A B C D E F G H I J K L M N O P Q R S T U V W Y Z A B C D E F G H I J K L M N O P Q R S T U V W X Z A B C D E F G H I J K L M N O P Q R S T U V W X Y	G e h e i m t e x t

Angriffe auf die Vigenère-Chiffre

Schlüsselwörter, die im Verhältnis zum Text relativ kurz sind, bieten kaum Sicherheit. Die Länge des Schlüssels lässt sich herausfinden, indem der Text mit sich selbst (um n Stellen verschoben) korreliert und das n mit dem größten Korrelationswert ermittelt wird. Ist somit die Schlüssellänge (Periode) n bekannt, reduziert sich die Kryptoanalyse der Vigenère-Verschlüsselung auf die der Caesar-Verschlüsselung: alle ersten, zweiten, ..., n-ten Buchstaben einer Periode gehören jeweils zur selben Caesar-Verschlüsselung und eine Häufigkeitsanalyse verrät die Buchstabenzuordnung.

Bei einem Text, der nur aus der Wiederholung eines Zeichens besteht, zeigt sich die Periode unmittelbar im Geheimtext. Ein normaler Text weist ausreichend Redundanzen auf, so dass ab einer gewissen Länge des Textes im Vergleich zum Schlüssel auch hier die Periode abgeleitet werden kann (Kasiski-Test, Friedman-Test). Einzig ein Text aus statistisch gleich verteilten Buchstaben wäre einem Ciphertext-only-Angriff nicht ohne Weiteres zugänglich.

 
Text:          eeeeeeeeeeeee
Schlüssel:     AKEYAKEYAKEYA
Cyphertext:    eoiceoiceoice
 

Auf diese Weise bekommt man recht schnell die Schlüssellänge des verschlüsselten Textes heraus. Jetzt muss nur noch der Geheimtext spaltenweise zerlegt werden. Die Spalten, welche mit dem selben Buchstaben verschlüsselt wurden, werden zusammengefasst. Die entsprechende Alphabetverschiebung der einzelnen Teiltexte löst man nun mittels Häufigkeitsanalyse.

"Weiterentwicklung" der Vigenère-Chiffre (Autokey-Verschlüsselung)

Die Autokey-Vigenère-Verschlüsselung (auch als Vigenère-Selbstschlüssel-Verfahren bekannt) vermeidet die Periodizität des Schlüsselwortes indem sie den Schlüssel durch Anhängen des Klartextes verlängert:

 
Text:          geheimnis
Schlüsselwort: AKEY 
Schlüssel:     AKEYGEHEI  
Cyphertext:    GOLCOQUMA
 

Wenn der verwendete Schlüssel gleichlang ist als der Klartext (länger macht keinen Sinn, denn nur die Länge des Klartextes wird als Schlüssel verwendet), dann sind überhaupt keine Wiederholungen vorhanden. Damit sind Angriffe auf den Schlüssel ausgeschlossen. Dann kann den Schlüssel nur noch gebrochen werden, indem sehr viele Schlüsselworte, die innerhalb des Schlüssels vorkommen könnten, durchprobiert werden und der daraus resultierende Klartext auf Sinn geprüft wird. Dabei ist Sinn ein sehr weit gefasster Begriff, denn die Schlüsselworte sind meist relativ kurz und ergeben nur wenige Zeichen Klartext. Diese Klartextbrocken werden dann mit der Wahrscheinlichkeit des Vorkommens in der Sprache verglichen. In allen englischsprachigen Werken zum Thema wird meist vom 'the'-Test gesprochen. Dabei wird der häufige Artikel the an allen möglichen Positionen des Schlüssels platziert und das Resultat im Klartext beurteilt. Dabei sieht man das Hauptproblem dieser 'Try and Error'-Methode sehr schnell. Je länger der Klartext und damit auch die maximale Länge des Schlüssels, desto umfangreicher werden die Möglichkeiten, die es durchzuprobieren gilt. ABER je länger der Text und der Schlüssel DESTO wahrscheinlicher ist es, dass solche Schlüsselworte im Schlüssel vorkommen.

"Krönung" der Vigenère-Chiffre (One Time Pads)

Lange galt die Vigenère als zu unsicher, um damit die höchsten Geheimnisse zu schützen. Gegen Ende des 1. Weltkrieges kam der amerikanische Major Joseph Mauborgne, Leiter der kryptografischen Abteilung der US-Army, auf die verblüffend einfache Idee. Wenn als Schlüssel der Vigenère Chiffe eine vollkommen zufällige Zeichenfolge verwendet wird, dann sind Angriffe auf den Klartext via Schlüssel ausgeschlossen. Angriffe mit Schlüsselworten sind vollkommen ausgeschlossen, sämtliche statistischen Ansätze laufen ins Leere. Zusätzlich propagierte Mauborgne, dass dieser Zufallsschlüssel nur ein einziges Mal verwendet werden darf. Dies stellte sicher, dass "Flankenangriffe" auf die Chiffre, durch den Vergleich verschiedener Chiffren, die mit dem gleichen Schlüssel verschlüsslelt wurden, ausgeschlossen waren. Mit One Time Pads in Zusammenspiel mit einem zufälligen Schlüssel (genügend langen!) hat man die mathematische Sicherheit, dass keinerlei Alternativen zur Brute-Force bestehen. Das Problem dabei ist, dass sicher mehrere sinnvolle Klartexte ergeben werden. Folgendes Beispiel soll das illustrieren

 
Schlüssel:  P L M O E Z Q K J Z L R T E A V C R C B Y
Klartext:   a t t a c k t h e v a l l e y a t d a w n
Chiffre:    P E F O G J J R N U L C E I Y V V U C X L
 
Jetzt probiert der Kryptoanlytiker folgenden Schlüssel
 
Schlüssel:  M A A K T G Q K J N D R T I F D B H K T S
Klartxt:    d e f e n d t h e h i l l a t s u n s e t
Chiffre:    P E F O G J J R N U L C E I Y V V U C X L
 
Diese Information macht durchaus Sinn, ist aber falsch. Dies soll illustrieren, dass eingentlich
auch die Brute Force bei zufälligen Einmalschlüsseln überhaupt keinen Ansatz bietet. Es werden 
etliche sinnvolle Klartexte herauskommen. Einige davon kann man vom Zusammenhang
her ausschliessen (z.b. wird ein Befehl an die Truppen kaum jemals von Friedenstauben und Olivenzweigen handeln). 
Aber welcher Klartext oben ist jetzt korrekt? Tja der nächste Tag wird es weisen denkt sich der Kryptoanlytiker, verflucht Vigenère und 
Mauborgne, kippt eine Flasche Schnapps und geht unverichteter Dinge schlafen :-)
 

Ein Problem bei zufälligen One Time Pads war damals diese herzustellen und dann zu verteilen. Zuerst wollte man Schreibmaschinen verwenden und Menschen daran zufällige Zeichenfolgen eingeben zu lassen. Nur stellte sich heraus, dass die meisten Personen unter Zufall verstanden abwechselnd einen Buchstaben der linken Hand (z.B. A) und einen der rechten Hand (z.B. M) zu tippen. Das hat nur leider überhaupt nichts mehr mit Zufall zu tun, der nächste Buchstabe des Schlüssels lässt sich einschränken auf eine bestimmte Menge Zeichen. Eine zufällige Verteilung liegt erst dann vor wenn nur 50% der Buchstaben der linken Hand einem der rechten Hand folgen. Den restlichen 50% der Buchstaben der linken Hand muss ebenfalls ein Buchstabe der linken Hand folgen.

Um das Problem zu lösen bediente man sich der Radioaktivität der Elemente, welche völlig zufällige Schwankungen der Strahlung aufweisen. Manchmal kommen schnelle Abfolgen der Emmission vor und dann wieder eine Zeit wo praktisch nichts kommt. Die Zeit zwischen Emmissionen ist vollkommen zufällig. Also baute man Maschinen mit Geigerzählern, die diese Schwankungen messen konnten. Die Buchstaben des Alphabets wurden zufällig gemischt. Die Maschine liess beim messbaren Emmissionen eine Schleife über die Buchstaben laufen, welche bei "Inaktivität" der Emmissionen angehalten wurde. Der Buchstabe an der Halteposition wurde geschrieben und weiter gings. Somit liessen sich wirklich zufällige Zeichenfolgen erzeugen. Dafür aber tonnenweise davon. Und diese zu verteilen war ein derart immenses Logistikproblem, dass sich Einweg-Zufalls-Schlüssel, als nicht wirklich praktikabel erwiesen. Da mussten ganze Telefonbücher voll Schlüsseln zu den Empfängern gebracht werden. Und wenn ein Buch abhanden kam, dann mussten alle Schlüssel der Serie eingestampft werden.

---

• Praktisch sind One Time Pads also nur dann nicht knackbar, wenn
  • der Schlüssel sehr sehr lange ist,
  • der Schlüssel vollkommen zufällig ist
  • und Schlüssel nur einmal verwendet wird
• Theoretisch sind sie knackbar, weil
  • der Schlüssel nicht unendlich lange sein kann ;-)
  • es Leute gibt, die behaupten, dass es den vollkommenen Zufall nicht gibt :-)
  • es immer möglich ist mit einem Zufallstreffer Erfolg zu haben :-)

---

Zugegeben die theoretischen Aussichten sind eingentlich nicht ganz ernst gemeint. Sie sollen aber doch ein Problem zeigen, dass auch die "sicherste" Chiffre der Welt nicht ausschalten kann: Der Angriff durch rohe Gewalt gepaart mit ein wenig Fortuna kann THEORETISCH den Treffer in Sekundenbruchteilen liefern. Mathematisch ist aber sichergestellt, dass man im schlimmsten Fall den Brute-Force Angriff über die volle Länge gehen muss. Und die ist ab bestimmten Schlüssellängen immens lang. Wie wir oben gesehen haben gibt es bei einem 26 Zeichen langen Schlüssel bereits verdammt viele Möglichkeiten (26!). Wenn man also eine Schlüssellänge von 500 Stellen (Buchstaben A-Z) nimmt dann ergeben sich so circa 14.9 Undezilliarden mögliche Schlüssel (500²⁶=14.9*10⁶⁹ d.h. eine 1 gefolgt von 70 Nullen)

Einer der schnellsten Computer (RoadRunner von IBM in Los Alamos) der Welt mit 1026 TeraFlops pro Sekunde würde mindestens 3.3*10³⁷ mal länger daran rechnen als das Universum heute alt ist!
Nur schon für die 26! Möglichkeiten einer variablen Verschiebung wäre RoadRunner mindestens 12'464 Jahre ausgelastet Und wenn dann dazu der 500 Stellen lange Schlüssel nur einmal verwendet wird, ist es gar nicht praktikabel einen solchen One Time Pad überhaupt versuchen wollen zu knacken. Denn wenn man ihn hat wurde er wohl schon benutzt und bringt bei der nächsten Chiffre überhaupt nichts mehr.

Als zusätzliche Sicherheit verwendet man in modernen Verfahren One Time Pads mit einer maximalen "Lebensdauer". Der Schlüssel ist nur während einer möglichst kurzen Zeitspanne gültig. Danach kommt ein neuer Schlüssel. Ein Beispiel wären die Code-Generatoren, die beim Online Banking eingesetzt werden. Strenggenommen ist das aber keine Chiffrierung sondern eine Authentifizierung durch One Time Pads. Und 6 stellige Schlüssel wie sie viele Banken verwenden sind auch keine echten One Time Pads, genau genommen sind das sogar äusserst Schwache. Das wissen auch die Banken und sichern die Logins zusätzlich mit Pasworten ab. Ausserdem gibt es gibt es Accountsperren, da die 1 Mio Möglichkeiten bei 6 Stellen und nur Zahlen innerhalb der Lebensdauer eines Schlüssels locker zu berechnen sind. Also wird nach 3 falschen Pads der Account gesperrt.

Praktisch eingesetzt werden echte - und damit sichere - One Time Pads eigentlich nur in Hochsicherheitsbereichen. So ist z.B. die direkte Telefonverbindung zwischen dem Weissen Haus und dem Kremel durch eine auf One Time Pads basierenden Verschlüsselung geschützt. Man munkelt von Schlüssellängen jenseits der 4000Bit, welche den 500 Zeichen einer sicheren Vigenère-Verschlüsselung entsprechen würden. Dabei werden die Schlüssel nach einer bestimmten Gesprächsdauer immer wieder gewechselt.

Weitere Beispiele von Chiffern

Enigma

Die Sicherheit der Enigma im zweiten Weltkrieg beruhte darauf, dass die Tagescodes (im Falle der Enigma die Walzenstellungen), die Codes zum entschlüsseln also, geheim bleiben mussten. Das Problem dabei war, dass dieses Gerät auch auf U-Booten eingesetzt wurde und damit die Codes lange im Voraus festgelegt werden mussten. Da dies eigentlich nicht wirklich praktikabel war wurde versucht diese Codes via unsicheres Medium (d.h. unverschlüsselt via Funk) an die Truppen zu senden. Dabei wurden die Schlüssel z.B. in Wettermeldungen versteckt (das würde man heute als Steganografie bezeichnen). Es war natürlich nur eine Frage der Zeit bis die Allierten hinter das System kamen und damit, zusammen mit einer eroberten Enigma, die Tagesschlüssel kannten und die Meldungen entschlüsseln konnten. Der Algorithmus der Enigma an sich wurde schon in den 30-iger Jahren vom polnischen Kryptografen Marian Rejewski geknackt. Im Verlaufe des Krieges entwickelten die Alliierten sogar wirksame Methoden der Brute-Force, um ohne Kenntnis der verwendeten Schlüssel eine abgefangene Meldung zu entschlüsseln. Wenn man so will ist das die Geburtsstunde der Computer.

Eine grosse Hilfe war den Alliierten ein deutscher Spion, der Interna der Enigma und auch Listen von Tagesschlüsseln an den französischen Geheimdienst übergeben hatte. Nach dem Kriegsausbruch versiegte diese Quelle an Tagescodes und es mussten andere Wege gefunden werden. So wurde v.a. versucht die Enigmasysteme der Marine zu knacken, da die Verluste durch U-Boote einfach zu gross waren. Dazu verminte man bestimmte Gebiete und wartete auf die entsprechenden Enigmameldungen. Da die Alliierten wussten wo sie die Minen gelegt haben wussten sie auch, dass diese Meldungen Koordinaten enthalten mussten. So konnten die möglichen Ausgangstellungen der Walzen eingeschränkt werden.

Die Sicherheit am Algorithmus der Enigma war, dass die sogenannten Walzen in unterschiedliche Stellungen gebracht werden konnten und sich diese Stellungen während dem Verschlüsseln auch änderten. Das Wort OTTO konnte z.B. als PQWS chiffriert werden. Damit waren statistische Angriffe ausgeschlossen. Solange die verwendete Walzenstellung geheim blieb konnte auch mit einem Enigma Gerät und dem verschlüsselten Mitteilung nichts angefangen werden. Es waren einfach zu viele mögliche Walzenstellungen, als dass man das händisch hätte durchprobieren können. Die erste Bombe gegen die Enigma basierte auf den Erkenntnissen von Rejewski und nutzte zudem eine schwere Designsünde der frühen Enigmaversionen aus: Am Anfang jeder Meldung wurde zweimal nacheinander die verwendete Walzenstellung verschlüsselt mitübertragen. Damit wussten die Kryptografen, dass die ersten zwei Blöcke dem gleichen Klartext entsprachen und konnten damit die möglichen Walzenstellungen gewaltig einschränken. Diese verbleibenden möglichen Stellungen wurden dann mittels der Bombe ausprobiert und man schaute bei jeder Stellung ob sinnvoller Text herauskam.

Die Deutschen waren jedoch gezwungen den Schlüssel mindestens einmal zu übermitteln. Denn wenn nicht jede Nachricht mit einem individuellen Schlüssel chiffriert worden wäre, dann wären an einem Tag sämtliche Enigmameldungen mit dem Tagesschlüssel verschlüsselt worden. Somit wären vergleichende Angriffe auf die Chiffren möglich. Darum wurde am Anfang jeder Meldung der verwendetete "Einmalschlüssel" mit dem Tagsschlüssel verschlüsselt übetragen.

Alan Turing kam auf die Idee diese Bomben als motorgetriebene Maschinen zu bauen. Mit bis zu 120 Umdrehungen pro Minute probierte die Maschine mögliche Walzenstellungen aus. Mit 60 solcher Turing-Bomben, jeweils eine für jede Walzenanlage, konnte die Suchzeit auf 6 Minuten reduziert werden. Das ganze Verfahren beruhte aber darauf, dass wahrscheinliche Wörter in den Meldungen verschlüsselt sein mussten. Das war bei den meisten militärischen Chffren der Fall z.B. Worte wie OBERKOMMANDO DER MARINE. Wenn dies hingegen nicht der Fall war, dann konnten auch die Bomben nichts ausrichten. So konnten die Alliierten zwei Enigma Systeme der Deutschen Reichsbahn nicht knacken, weil diese keine der erwarteten wahrscheinlichen Wörter vewendeten

Lorenz Chiffre

Das Knacken der Lorenz Chiffre zeigt sehr anschaulich wie kleinste Fehler oder Unachtsamkeiten ein ganzes System kompromittieren können. Das System wurde im Gegensatz zur Enigma, welche für Morseübertragungen verwendet wurde, für den datenreicheren Fernschreibeverkehr entwickelt. Es basiert auf sogenannten One-Time-Pads (Einmal-Schlüssel). Die Sicherheit basiert darauf, dass niemals zwei Meldungen mit dem gleichen Schlüssel verschlüsselt werden dürfen. Wenn diese Bedingung eingehalten ist, dann gelten One-Time-Pads als unknackbar.

Und genau diese Todsünde wurde begangen. 1941 wurde auf der Fernmeldestrecke Athen-Wien ein 4000 Zeichen Fernschreiben zweimal mit dem gleichen Schlüssel (gleiche Ausgangsstellung der Walzen) übertragen. Einzig ein Wort SPRUCHNUMMER wurde in SPRUCHNR. geändert. Aus dieser kleinen Verschiebung konnten die Alliierten auf das "Innenleben" der Lorenz Maschine schliessen. Die richtigen Ausgangsstellungen der Walzen konnten 1943 in etwa 4 Tagen manueller Arbeit ermittelt werden. 1944 wurde Colossus erfunden, der automatisiert die Ausgangsstellungen der Lorenz Maschine ermitteln konnte.

Navajo Sprache

Im zweiten Weltkrieg eroberten die Japaner sehr schnell grosse Teile des Pazifiks, was u.a. darauf zurückzuführen war, dass der japanische Geheimdienst die amerikanischen Codes zum grossen Teil geknackt hatte. Daraufhin begann die US-Army Navajo Indianer als Funker einzusetzen, die einen auf ihrer Muttersprache basierenden Geheimcode verwendeten. Worte aus der Navajo Sprache bekamen eine militärische Bedeutung (z.B. Schildkröte war die Bezeichnung für einen Panzer). Diese Methode hatte eine doppelte Sicherheit und setzte darauf, dass die Japaner, selbst wenn sie die Sprache verstehen würden, die Zuordnungen der Worte nicht herausfinden konnten. Einzig und allein durch das Verhören von Gefangenen Funkern hätten die Japaner eine Chance gehabt Meldungen zu decodieren.

Soviel ich weiss, ist das einer der wenigen Codes in der Geschichte, die auch mit grösstem Aufwand nicht geknackt werden konnten. Dieses Beispiel zeigt sehr anschaulich das es verschiedenste Anzatzpunkte zur sicheren Übertragung von Information gibt. Eine Sprache die keine Schrift kennt ist ein sehr guter Ansatz. Deshalb war dieser Ansatz nur für das gesprochene Wort zu verwenden. Zusätzlich kam bei dieser Methode noch die Steganografie dazu, indem die Klartextworte noch in ihre Codeentsprechungen getauscht wurden. Selbst wenn die Japaner die Sprache verstanden hätten, sie würden nur unverfängliches zu Lesen bekommen haben: "Die Schildkröte kriecht über die grüne Wiese. Die Nacht wird zum Tag" konnte heissen "Achtung Panzer 3 Uhr 250 Meter. Wir brauchen Artillerie"

Der entscheidenen Vorteile einer solchen Methode sind aber, zum einen, dass sie selbst für heutige Superrechner nicht knackbar ist und zum anderen, dass die Verschlüsselung nahezu in "Echtzeit" erfolgte (ein Navajo-Funker konnte einen englischen Befehl "on-the-fly" übermitteln!!). Denn wie will man eine Sprache die keine Schrift kennt einer Maschine beibringen? Wie sollte die Maschine, wenn sie die Sprache denn verstünde, hinter die Zuordnungen der Codeworte kommen? Statistische Methoden bei einer Sprache ohne Schrift keine grosse Chance.

Und trotzdem hat auch diese Methode grundsätzlich die zwei gleichen Probleme wie alle symmetrischen Verschlüsselungsarten: Wenn der Schlüssel (in diesem Fall die Zuordnung Klartext-Codewort) bekannt ist, dann ist die Methode nicht mehr sicher. Man muss ALLE Schlüssel austauschen, was dann wieder zu einem logistischen Problem werden würde

Lucifer aka DES

Das Beispiel der Lucifer Chiffre zeigt sehr anschaulich wie auch "politische" Entscheidungen die Stärke einer Verschlüsselung entscheidend einschränken können. Horst Feistel ein Deutscher, der 1934 bereits in die USA eingewandert ist, erfand diesen Algorithmus in den 70-iger Jahren. Lucifer war eine der ersten Chiffren, die komplett auf Bits basierte. Im Gegensatz zu den Vorgängern, die eine Substitution auf Zeichenbasis machten, ist es auf Bitbasis möglich ein Klartextzeichen auf mehrere Chiffrezeichen zu verteilen. Das heisst ein Byte (8 Bit oder ein Zeichen) konnte sowohl Teile eines A als auch Teile eines B enthalten. Die obwohl das Zeichen im Klartext z.B. ein X war! Solche Systeme ermöglichen nahezu ein beliebiges Mischen der Chiffre bevor diese übermittelt wird. Bei Systemen auf Zeichenbasis ist das erste Zeichen im Klartext auch das erste Zeichen in der Chiffre.

Feistel entwickelte ein System, das neben einer Zeichensubstitution (vgl. alphabetische Chiffren) auch eine Vertauschung der Chiffrezeichen vornimmt. Dabei wird der Klartext erst in den Binärstring verwandelt (basierend auf dem ASCII-Code des Zeichens). Dann wird dieser String in 64Bit lange Blöcke (B0,B1,B2 ...) aufgeteilt und die Verschlüsselung findet für jeden dieser Blöcke einzeln statt. Dann werden die Bits eines jeden Blockes zufällig angeordnet. Ein solcher Block wird dann wiederum auf zwei 32Bit Blöcke aufgeteilt (L0 und R0). Die "rechten" 32Bit (R0) werden dann mit einer hochkomplexen Substitutionsmethode "umgewandelt" (wenn man so will ist das wie bei den alphabetischen Methoden). Dieser Block wird dann mit dem unveränderten linken Block (L0) zu einem neuen 32Bit Block zusammengefügt (R1). Der unveränderte rechte Block (R0) wird dann zu L1 und damit links an Block (R1) angefügt. Diesen Prozess bezeichnet man als Runde. Nun startet eine neue Runde, diesmal aber für den neuen Block bestehend aus L1 und R1. Nach insgesamt 16 Runden wird ist die Bearbeitung von B0 abgeschlossen und es folgen 16 Runden für B1 und dann für B2...

Nach Bearbeitung aller B-Blöcke wird alles wieder zusammengefügt und als verschlüsselte Meldung verschickt. Die hochkomplexe Substitutionsmethode definiert sich durch den verwendeten Schlüssel und damit kann der Empfänger, wenn er diesen Schlüssel kennt, den Prozess umkehren und den Klartext lesen. Bei genügend langen Schlüsseln wäre Lucifer auch heute noch nicht knackbar. Doch die US-Regierung, vorallem aber die NSA machten eine "Zulassung" des Algorithmus davon abhängig, dass maximal 56Bit lange Schlüssel zulässig sein dürfen. Damals galten 56Bit als vollkommen sicher, denn die einzigen, die die nötige Rechenpower dazu hätten, war eben die NSA. Nach Implementierung dieser Anforderungen wurde Lucifer als DES (Data Encryption Standart) zum Industriestandart erhoben. (56Bit entsprechen 2⁵⁶ (72'057'594'037'927'936) möglichen Schlüsseln)

Doch die Rechnung wurde ohne das Moorsche Gesetz gemacht. Schon bald hatten auch Heimcomputer eine genügend grosse Power um einen 56Bit langen Schlüssel innert brauchbarer Zeit zu berechnen. Also wurde als Steigerungsform 3DES (Tripple DES) "entwickelt", welche allerdings "nur" eine dreifache Anwendung von DES ist. Heuzutage sind 56Bit auch mit einem besseren Taschenrechner zu machen ;-) Die immense zusätzliche Sicherheit von 3DES kommt daher, dass es 3 unabhängige Schlüssel gibt die nacheinander verwendet werden. Damit konnte die Gesamtschlüssellänge auf 112Bit gebracht werden (entspricht 2¹¹² also 5.192296858534827628530496329220*10³³ möglichen Schlüsseln)

Die EFF baute 1998 eine etwa 250.000 Dollar teure Maschine mit dem Namen „Deep Crack“. Dieser Superrechner enthielt 1536 spezielle Krypto-Chips und konnte pro Sekunde etwa 88 Milliarden Schlüssel testen. Im Juli 1998 gelang es mit dieser Maschine, einen DES-Code in 56 Stunden zu knacken und damit die „DES Challenge II-2“ zu gewinnen, die von der Firma RSA Security ausgeschrieben worden war. 1999 gewann die gleiche Maschine die „DES Challenge III“; dazu arbeitete sie mit dem weltweiten Netzwerk von distributed.net, bestehend aus etwa 100.000 Rechnern, zusammen. Der DES-Schlüssel wurde in 22 Stunden und 15 Minuten gefunden, mehr als 245 Milliarden Schlüssel wurden pro Sekunde getestet.

Die einzige andere öffentlich bekannte Maschine zum Brechen von DES ist COPACOBANA. Sie wurde 2006 von zwei Arbeitsgruppen an den Universitäten Bochum und Kiel gebaut. Im Gegensatz zu Deep Crack besteht eine COPACOBANA aus rekonfigurierbaren Hardware-Bausteinen, so genannten FPGAs. 120 FPGAs vom Typ XILINX Spartan3-1000 sind in einer Maschine auf 20 DIMM Modulen zusammen gefasst, wobei jedes DIMM Modul sechs FPGAs enthält. COPACOBANA kann 65 Milliarden DES-Schlüssel pro Sekunde testen, woraus sich eine durchschnittliche Suchzeit von 6,4 Tagen für eine DES-Attacke ergibt. Durch den Einsatz rekonfigurierbarer Hardware kann COPACOBANA auch zum Brechen anderer Chiffren wie A5 eingesetzt werden. Die Material- und Herstellungskosten von COPACOBANA belaufen sich auf etwa 10.000 Dollar. Der Kostenvorteil gegenüber Deep Crack um einen Faktor 25 ist ein beeindruckendes Beispiel für das Mooresche Gesetz. Hiernach wäre ein Kostenvorteil von etwa 32 = 25 zu erwarten gewesen, da acht Jahre zwischen dem Bau der beiden Maschinen verstrichen sind (das Mooresche Gesetz sagt eine Halbierungen der Kosten digitaler ICs alle 1,5 Jahre voraus, so dass bei acht Jahren etwa 5 Halbierungen stattgefunden haben sollten).

56Bit lange Schlüssel gelten heute für die meisten Anwendungen als nicht mehr sicher. Dabei gilt aber: Je kürzer die "Lebensdauer" eines Schlüssels ist, desto sicherer ist er. Für ein zeitlich begrenzte One Time Pads sind 56Bit sicherlich mehr als ausreichend, wenn der Schlüssel NIEMALS wieder verwendet wird! Für gespeicherte Daten (z.B. Dokumente) ist eine solche Schlüssellänge jedoch nicht mehr ausreichend. Denn wenn die verschlüsselten Daten einmal kopiert wurden, dann kann der Kryptoanalyst und sein Superrechner solange probieren wie er will. Für gespeicherte Daten sollten Schlüssel von mindestens 256Bit (1.1579208923731619542357098500869*10⁷⁷ mögliche Schlüssel) verwendet werden. Es gilt, dass längere Schlüssel nur dann sicherer sind wenn auch ein sicherer Algorithmus verwendet wird!

AES oder die DES Nachfolger

Nachdem sich abzeichnete, dass DES für hochsensible Informationen nicht mehr sicher genug sei, wurde Ausschau nach einem Nachfolger gehalten. Advanced Encryption Standart nach seinen Entwicklern Joan Daemen und Vincent Rijmen wird er auch Rijndael-Algorithmus genannt (gesprochen wie dt. „Reyndahl“).
Der Rijndael-Algorithmus besitzt eine variable Blockgröße von 128, 192 oder 256 Bit und eine variable Schlüssellänge von 128, 192 oder 256 Bit. Rijndael bietet ein sehr hohes Maß an Sicherheit. Das Verfahren wurde eingehenden kryptoanalytischen Prüfungen unterzogen. AES schränkt die Blocklänge auf 128 Bit ein, während die Wahl der Schlüssellänge von 128, 192 oder 256 Bits unverändert übernommen worden ist. Anhand der Schlüssellänge wird zwischen den drei AES-Varianten AES-128, AES-192 und AES-256 unterschieden. Der Algorithmus ist frei verfügbar und darf ohne Lizenzgebühren eingesetzt sowie in Software bzw. Hardware implementiert werden. AES ist in den USA für staatliche Dokumente mit höchster Geheimhaltungsstufe zugelassen.

In den "Final" um den neuen Standart kam auch Serpent, der sich nach ausgiebigen Tests und Angriffen als der robusteste aller Finalisten erwies. Serpent ist ein symmetrischer Verschlüsselungsalgorithmus, der von den Kryptografen Ross Anderson, Eli Biham und Lars Knudsen entwickelt wurde. Dieser Algorithmus war ein Kandidat für den Advanced Encryption Standard und gehörte mit Twofish, Rijndael, MARS und RC6 zu den fünf Finalisten des AES-Standard-Ausscheidungsverfahrens. Serpent scheint eine sicherere Architektur als Rijndael zu haben, war aber der langsamste der Finalisten. MARS, Twofish und Serpent wurden als hoch-sicher eingestuft, während Rijndael und RC6 "nur" als hinreichend-sicher eingestuft wurden. Rijndael wurde vor allem wegen seiner mathematischen Struktur, die möglicherweise zu Angriffen führen könnte, kritisiert. Im Gegensatz zu den beiden anderen als hoch-sicher eingestuften Kandidaten der letzten Runde, MARS und Twofish, wurde Serpent bezüglich seiner Sicherheit nicht kritisiert und es wurde angenommen, dass dieser der sicherste Verschlüsselungsalgorithmus der fünf Finalisten sei. Vor allem der Geschwindigkeitsvorteil Rijndaels gegenüber den anderen Finalisten - sowohl als Hardware- als auch als Software-Implementierung - dürfte bei der Entscheidung, ausgerechnet Rijndael zum AES-Standard zu erklären, den Ausschlag gegeben haben.

Serpent ist eine Blockchiffre mit einer Blockgröße von 128 Bit und kann mit jeder Schlüsselgröße bis 256 Bit umgehen. Der Algorithmus arbeitet anders als Twofish (16 Runden) über 32 Runden und operiert auf Blöcken von vier 32-Bit-Worten. Durch die Verwendung von 32 Runden ist Serpent etwas langsamer als andere Algorithmen.

Sicherheit von Verschlüsselungen

Zusammenfassend: Eine absolute Sicherheit dafür, dass etwas nicht dechiffriert werden kann, gibt es nicht und kann es auch nicht geben. Durch Brute-Force d.h. durch probieren ALLER Möglichkeiten ist es IMMER möglich eine Chiffre zu knacken. Dies gilt zumindest für alle maschinenbasierten Verschlüsselungsverfahren. Die theoretische Dauer zum Errechnen aller Möglichkeiten steigt exponetial zur verwendeten Schlüssellänge. Die Wahrscheinlichkeit einen Schlüssel zu knacken ist durch die zur Verfügung stehende Computerpower begrenzt. Theoretisch sind alle Verschlüsselungssysteme knackbar zumindest aber bei Public-Key mit der Garantie, dass man schlimmstenfalls ALLE Möglichkeiten durchprobieren muss. Annäherungen sind durch die Verwendung modularer Arithmetik bei Public-Key Verfahren nicht möglich!

256Bit lange Schlüssel gelten heute als sicher. Aber bei allen Verfahren gilt: Nur solange sicher wie es niemandem gelingt den verwendeten Algorithmus auf eine andere Art als die der Brute Force zu knacken. Wenn es z.B. jemandem gelingt das Diffie-Hellman-Problem effizient zu lösen oder jemand einen Weg findet die Primfaktorzerlegung entscheiden zu verkürzen, dann sind sogar die hochsicheren asymmetrischen Verfahren mit Schlüssellängen von 1000 und mehr Stellen für die Tonne.

RSA-2048 erzeugt Schlüssel mit 617 Dezimalstellen. Rein theoretisch kann auch ein solcher Schlüssel mittels eines Zufalltreffers binnen Sekundenbruchteilen gefunden werden. Oder man hat Pech und rechnet Jahrzehnte-lang daran herum. Und genau darum kann es keinen 100%-ige Sicherheit geben. Ein Zufallstreffer ist IMMER möglich - wenn auch höchst unwahrscheinlich - und auch der Faktor Mensch kann, neben konzeptionellen Fehlern des Verschlüsselungssystems, gefährlich werden:

• Es ist gut möglich, dass es Menschen gibt, die Muster in chiffrierten Meldungen einfach so erkennen - sicher das ist nicht der Regelfall - und daraus den Klartext ablesen können
• Oder ein Mensch begeht bei der Ãœbermittlung einen schweren Fehler wie bei der Lorenz Chiffre
• Oder aber die Technik selber hat einen schweren Designfehler, wie die ersten Versionen der Enigma

Die besten Chancen nicht geknackt zu werden haben Methoden, die sich nicht in Computern implementieren lassen. Solche Methoden basieren meist auf der Sprache: Wenn ich blau schreibe und rot meine, dann hat ein Computer niemals eine Chance das herauszufinden. Solange die Zuordnung der Worte geheim bleibt und eine sehr seltene Sprache verwendet wird (am besten noch ohne Schrift), dann hat eine solche Methode die höchste Garantie auf ewig nicht geknackt zu werden. Zumindest nicht durch eine Maschine! (Navajo Sprache)

Die Sicherheit hängt entscheidend von 3 Faktoren ab

• Länge des verwendeten Schlüssels
  • je länger der Schlüssel, desto länger dauert eine Brute Force Attacke gegen den Code
  • eine Zerlegung einer 617-stelligen Zahl (RSA-2048) in ihre Primfaktoren dauert Jahre (auch für alle Computer der Welt zusammen)
• Länge des verschlüsselten Texts
  • oft wird vergessen, dass durch einen sehr kurzen verschlüsselten Text eine Brute Force Attacke auf den Code extrem erleichtert wird
  • allgemein gilt: Wenn man in etwa vorhersagen kann welche Worte verschlüsselt wurden, dann sinkt die Sicherheit des Codes enorm.
  • anhand von möglichen Worten wird dann in der Chiffre nach diesen Mustern gesucht
• Häufigkeit der Verwendung eines Schlüssels
  • je öfter ein Schlüssel verwendet wurde, desto unsicherer ist die verschlüsselte Chiffre
  • Alice und Bob können die Sicherheit maximieren indem sie für jede Mitteilung einen neuen Schlüssel erstellen und diesen nur einmal verwenden
  • sogenannte One-Time-Pads (Einmalschlüssel) gelten gemeinhin als unknackbar. Die Lorenz Chiffre basierte auf diesem Prinzip

Ein weiterer Nachteil der meisten Verschlüsselungen ist es, dass eine verschlüsselte Meldung auffällig ist und sich damit als potentiell wichtige Information aus der Masse des Datenstroms hervorhebt. Daher werden heute vermehrt steganografische Methoden eingesetzt, um die auffälligen Chiffren in Code zu verstecken. Dazu eignen sich sehr viele Dateiformate (z.B. Bilder oder Musikdateien). Dabei werden die verschlüsselten Daten in die Träger-Dateien "eingewoben". Verschickt wird dann diese Trägerdatei, die an sich sehr unauffällig ist und keinerlei sichtbaren Unterschied zur "nackten" Trägerdatei (ohne versteckte Daten) aufweist. Das Bild kann angeschaut werden und das Musikstück lässt sich auch mit den versteckten Daten abspielen. Solche Methoden erfordern sehr aufwändige kryptoanalytische Methoden, nur um festzustellen, ob in einer Datei etwas versteckt sein könnte oder nicht. Da ist der folgende Aufwand zur Entschlüsselung noch nicht mit eingerechnet.