Home > Kryptographie > Kryptoanalyse

Kryptographie

4. Kryptoanalyse

In diesem Kapitel werde ich Ihnen einige Kryptoanalyse-Techniken vorstellen, von denen wir bereits einige kennengelernt haben. Es gibt sechs verschiedene Grundtypen der Kryptoanalyse:

Angriffstypen

Brute Force Attack
Dies ist eine ziemlich plumpe, aber sehr gefährliche Attacke. Man greift das Verfahren mit "nackter Gewalt" an, d. h. man probiert einfach alle möglichen Schlüssel aus. Früher, als DES veröffentlicht wurde, war dieser Angriff nicht besonders interessant. Heute jedoch ist Rechenleistung sehr billig geworden. Wenn der Gegner Zeit und Geld hat, kann er einen Fuhrpark hochmoderner Rechner auffahren. Über das Internet erschließen sich dem gewitzten Angreifer aber noch ganz andere Möglichkeiten: Zum Beispiel kann er einen Virus verbreiten, der unbemerkt im Hintergrund Schlüssel ausprobiert und über einen Server Ergebnisse austauscht. Heutzutage kann man mit dieser Attacke DES innerhalb weniger Tage/Stunden knacken. Modernere Verfahren sind gegen Brute Force durch ihre Schlüssellänge >= 128 Bit abgesichert.

 nach obennach unten

Known Ciphertext Attack oder Ciphertext Only Attack
Wenn dem Gegner ein größeres Stück Geheimtext zur Verfügung steht, kann er diese Attacke darauf anwenden – dies ist durchaus realistisch, da es dem Angreifer möglich ist, auf einem nichtsicheren (offenen) Kanal zu lauschen. Diesen Geheimtext kann man auf Muster hin untersuchen. Die Vigenère-Chiffrierung lässt sich so knacken, gegen moderne (und sichere!) Verfahren ist diese Attacke allerdings so gut wie wirkungslos.

 nach obennach unten

Known Plaintext Attack
Der Gegner kennt ein zusammengehöriges Paar Klartext/Geheimtext. Dabei kann es sich bei dem Klartext auch um vermuteten Inhalt handeln, z. B. Standardformulierungen wie "Mit freundlichen Grüßen" etc. Einige Verfahren wurden mit Hilfe dieser Attacke geknackt.

 nach obennach unten

Chosen Plaintext Attack
Steht dem Gegner ein Verfahren mit integriertem (aber nicht bekannten) Schlüssel zur Verfügung, kann er selbst Nachrichten/Texte verschlüsseln. Er kann z. B. lauter binärer Nullen verschlüsseln und versuchen, Rückschlüsse auf den verwendeten Schlüssel zu ziehen. Selbst wenn dem Gegner dieser Angriff nicht gelingt, kann er möglicherweise selbst Nachrichten verschlüsseln und übermitteln. Verfahren, die diesem und dem folgenden Angriff widerstehen, gelten als sehr sicher.

 nach obennach unten

Chosen Ciphertext Attack
Ähnlich wie die chosen plaintext attack, nur dass der Angreifer nun eine Auswahl von Geheimtexten aussuchen kann und damit dann den Klartext finden kann. Dieser Angriff kann bei Public-Key-Systemen eingesetzt werden.

 nach obennach unten

Adaptive Chosen Plaintext Attack
Bei diesem Angriff wählt der Gegner den Klartext wiederholt aus, indem er den Klartext für die aktuelle Analyse erst wählt, nachdem die Analyse des vorhergehenden Angriffs durchgeführt wurde. In diesem interaktiven Verfahren basieren die ausgewählten Klartexte auf den bisherigen Ergebnissen. Unter dieser Bezeichnung versteht man die sogenannte differential cryptanalysis, ein Verfahren, das in den letzten 2 Jahrzehnten zweimal erfunden wurde. Aus der Cryptology FAQ (Original und Übersetzung mit Anmerkungen):

"Differential cryptanalysis is a statistical attack that can be applied to any iterated mapping (i.e., any mapping which is based on a repeated round function). The method was recently popularized by Biham and Shamir [BIH91], but Coppersmith has remarked that the S-boxes of DES were optimized against this attack some 20 years ago. This method has proved effective against several product ciphers, notably FEAL [BI91a]."

Differentielle Kryptoanalyse ist ein Angriff, der auf jede iterierte Abbildung (d. h. jede Abbildung, die auf einer wiederholten Rundenfunktion basiert) angewandt werden kann. Diese Methode wurde kürzlich [im Jahre 1990, Anm. d. Übers.] von Biham und Shamir [beide anerkannte Kryptologen; Shamir war Mitentwickler von RSA] veröffentlicht, allerdings hat Coppersmith [einer der Entwickler von DES] angemerkt, dass die S-Boxen von DES gegen eben diese Attacke optimiert worden waren. Die Methode erwies sich als wirkungsvoll gegenüber mehreren Produktchiffrierungen, insbesondere FEAL. [FEAL, gedacht als DES-ähnlicher Algorithmus mit stärkerer Rundenfunktion und höherer Geschwindigkeit, ist ein besonders schwacher japanischer Algorithmus von Akihiro Shimizu und Shoji Miyaguchi mit Block- und Schlüssellänge von 64 Bit; der Algorithmus in seiner ursprünglichen Version kann bereits mit wenigen bekannten Klartexten gebrochen werden (ein Angriff gegen FEAL mit 4 Runden benötigt z. B. nur fünf (!) bekannte Klartexte). Auch alle Varianten von FEAL, die das Konzept des Verfahrens retten sollten, wurden von Biham und Shamir gebrochen. Aufgrund des beispielhaft unglücklichen Designs von FEAL scheint ein neuer Angriff zuallererst immer an dieser Chiffrierung getestet zu werden.]

 nach obennach unten

Fazit

Daneben gibt es noch andere Attacken, wie z. B. die Meet-In-The-Middle-Attacke, die jedoch nur für bestimmte Verfahren in Frage kommt. Bei der sog. Playback Attack, einem recht plumpen Angriff, reicht es dem Angreifer zu wissen, dass die abgefangene verschlüsselte Botschaft einen bestimmten Inhalt hat, z. B. "Brauchen Verstärkung". Man kann diese Nachricht aufbewahren und später verschicken, um die Sender/Empfänger-Kommunikation empfindlich zu stören und ordentlich Verwirrung zu stiften.

Ein Verfahren gilt als sicher, wenn keine der oben genannten Attacken funktioniert. Gibt es eine Attacke, die leichter ist als Brute Force, so gilt das Verfahren (zumindest theoretisch) als gebrochen oder geknackt. Beachten Sie, dass ein Verfahren erst nach vielen Jahren erfolgloser Kryptoanalyse als sicher angesehen werden kann. Selbst dann besteht noch ein gewisses "Restrisiko", da es neue, schnellere Analyse-Verfahren geben kann. Außerdem verzehnfacht sich die Rechenleistung alle fünf Jahre, seien Sie sich dessen bewusst ... (Allerdings ist nicht anzunehmen, dass sich diese Entwicklung ins Unendliche fortsetzen wird.)

Einige Angriffe sind nur theoretischer Natur und können in der Praxis nicht umgesetzt werden; auch gibt es Angriffe, die sich nur auf einen bestimmten Einsatzbereich eines Verfahrens (z. B. dem Einsatz als Einweg-Hashfunktion) beziehen: Dort sollte der Algorithmus dann nicht mehr verwendet und durch geeignetere Lösungen ersetzt werden.

Als Hauptquelle für dieses Kapitel diente das Online-Book "Verschlüsselungsverfahren für PC-Daten" von Claus Schönleber.

Zurück zu: Das One-Time-Pad  Zurück nach oben  nach oben Home Übersicht  Übersicht Weiter  Weiter zu: Moderne Kryptographie