Die Kryptoanalyse (in neueren Publikationen auch Kryptanalyse) bezeichnet im ursprünglichen Sinne das Studium von Methoden und Techniken, um Informationen aus verschlüsselten Texten zu gewinnen. Diese Informationen können sowohl der verwendete Schlüssel als auch der Originaltext sein. Heutzutage bezeichnet der Begriff Kryptoanalyse allgemeiner die Analyse von kryptographischen Verfahren (nicht nur zur Verschlüsselung) mit dem Ziel, diese entweder zu „brechen“, d. h. ihre Schutzfunktion aufzuheben bzw. zu umgehen, oder ihre Sicherheit nachzuweisen und zu quantifizieren. Kryptoanalyse ist damit das „Gegenstück“ zur Kryptographie. Beide sind Teilgebiete der Kryptologie.
Steganalyse Bearbeiten
Analog zur Kryptoanalyse, welche auf die Kryptographie fokussiert ist, kann man die Steganalyse als „Gegenstück“ zur Steganografie verstehen. Im Gegensatz jedoch zur Kryptoanalyse, wo ein kryptografischer Inhalt vorliegt und analysiert bzw. gebrochen werden soll, wird bei der Steganalyse zunächst nur mit der Annahme gearbeitet werden, dass sich in einem Trägermedium eine versteckte Information befindet. Erst wenn diese Annahme erhärtet werden konnte, wird versucht, die eigentlichen Informationen zu extrahieren. Dabei können auch Methoden aus der Kryptoanalyse verwendet werden.
Die Sicherheit der Steganographie beruht darauf, dass Dritte ihre Verwendung nicht bemerken. Selbst wenn sie davon wissen, sollen Dritte den eigentlichen Inhalt nicht im Klartext auslesen können.
Entschlüsselung und Entzifferung Bearbeiten
In der Kryptologie haben die Begriffe „Entzifferung“ und „Entschlüsselung“ unterschiedliche Bedeutung: Als (befugte) Entschlüsselung bezeichnet man das Verfahren, mit Hilfe des bekannten Schlüssels den Geheimtext wieder in den Klartext zurückzuverwandeln und so die Nachricht lesen zu können. Die (unbefugte) Entzifferung hingegen ist die Kunst, dem Geheimtext ohne Kenntnis des Schlüssels die Nachricht zu entringen. Statt des Verbs entziffern wird in der Kryptanalyse auch der Ausdruck „brechen“ oder umgangssprachlich auch „knacken“ verwendet.
In der Archäologie hingegen, also wenn es um die Analyse einer alten, nicht mehr bekannten Schrift geht, werden die Begriffe Entschlüsselung und Entzifferung oft als Synonyme verwendet.
Methoden der Kryptoanalyse Bearbeiten
Ein wichtiger Ansatz der Kryptoanalyse ist es, alle verfügbaren Informationen über das untersuchte Verfahren, seine Parameter und die geschützten Daten in die Analyse miteinzubeziehen. Diese Informationen können öffentlich sein, plausiblen Vermutungen entstammen oder gezielt in Erfahrung gebracht werden (z. B. durch Social Engineering). Die Art der verfügbaren Informationen und ihre Kontrolle darüber wird in verschiedene Angriffsszenarien eingeteilt (siehe Modelle und Aussagen zur Sicherheit) und qualifizieren die Relevanz des Angriffes bzw. der Aussage zur Sicherheit.
Bevor mechanische Apparate wie die Enigma oder Computer der Kryptographie ermöglichten, Nachrichten zu Pseudo-Zufallsfolgen zu verwürfeln, war die Statistik die stärkste Waffe, um Nachrichten zu entziffern. Solange ein Mensch die Texte von Hand verschlüsselt, muss der verwendete Algorithmus einfach genug bleiben, um die Nachricht in vertretbarer Zeit fehlerfrei umzusetzen. Diese Verschlüsselungsverfahren sind meist durch die Statistik angreifbar. Mit ihr wird die Häufigkeit bestimmter Zeichen und Zeichenfolgen bestimmt. Mit dem Wissen über die Gesetzmäßigkeiten einer Sprache können Buchstaben und Wörter zugeordnet werden und der Klartext rekonstruiert werden.
Seitdem Computer durch ihre Geschwindigkeit und Präzision die statistischen Bindungen in einem verschlüsselten Text auf fast Null reduzieren, müssen neue Analysetechniken verwendet werden, den Verschlüsselungsalgorithmus aufzudecken, eine Schwachstelle im Algorithmus auszunutzen (wie auch schon die Statistik Schwachstellen nutzte) und den Schlüssel zu rekonstruieren, mit dem die Nachricht verschlüsselt wurde. Dazu werden häufig komplizierte mathematische Theorien und Verfahren angewendet, z. B. aus der Algebra oder der Stochastik.
Nachfolgend einige wichtige Angriffs- und Analysemethoden:
Modelle und Aussagen zur Sicherheit Bearbeiten
Der Nachweis der Sicherheit kryptographischer Verfahren kann nur selten strikt, d. h. im Sinne der Informationstheorie geführt werden. Häufiger wird die Sicherheit von Verfahren im Sinne der Komplexitätstheorie nachgewiesen, d. h. sie wird auf mehr oder weniger akzeptierte Annahmen über die Schwierigkeit von Berechnungsproblemen (z. B. NP-vollständige Probleme, Faktorisierung oder diskreten Logarithmus) oder anderer kryptographischer Verfahren zurückgeführt. In manchen Fällen werden auch theoretische Modelle zu Idealisierung von Bestandteilen des Verfahrens (z. B. Random-Oracle-Modell) oder der Möglichkeiten potentieller Angreifer (z. B. generische Algorithmen) zugrunde gelegt; daraus gewonnene Erkenntnisse über die Sicherheit eines Verfahrens sind jedoch immer im Kontext des Modells zu sehen und werden zum Teil kontrovers bewertet.
Bei der Analyse der Sicherheit kryptographischer Verfahren und den daraus resultierenden Aussagen zur Sicherheit werden verschiedene Angriffs- und Sicherheitsmodelle zugrunde gelegt. So hängt die Qualität einer Aussage zur Sicherheit eines Verfahren gegen bestimmte Angreifer von den angenommenen Angriffszielen und dem Angriffsszenario ab.
Ziele Bearbeiten
Aussagen zur Sicherheit eines kryptographischen Verfahrens beziehen sich in der Regel auf bestimmte Angriffsziele. Die möglichen Ziele hängen von der Art des kryptographischen Verfahrens ab. Für alle kryptographischen Verfahren, die einen geheimen Schlüssel verwenden, ist die Ermittlung des geheimen Schlüssels das weitreichendste Ziel eines Angriffes, da damit die Sicherheit des Verfahrens komplett ausgehebelt wird.
Für Verschlüsselungsverfahren sind weiterhin folgende Angriffsziele relevant:
- Entschlüsselung, d. h. die Ermittlung des Klartextes.
- Der Angreifer muss zu einem Chiffretext und zwei potenziellen Klartexten ermitteln, welches der richtige Klartext ist. Falls dies nicht effizient (d. h. in Polynomialzeit) möglich ist, wird diese Eigenschaft als Semantic Security oder Ciphertext Indistinguishability bezeichnet. Semantic Security wird sowohl für asymmetrische als auch für symmetrischen Kryptoverfahren betrachtet. Nur probabilistische Verschlüsselungsverfahren können diese Eigenschaft besitzen.
- Der Angreifer versucht, einen Chiffretext so zu verändern, dass der zugehörige neue Klartext, den man bei Entschlüsselung des veränderten Chiffretextes erhalten würde, mit dem ursprünglichen Klartext in einer bestimmten (dem Angreifer bekannten) Relation steht. Zum Beispiel könnte es sein Ziel sein, den Chiffretext so zu verändern, dass eine im Klartext angegebene Zahl (z. B. ein Kaufpreis) sich verringert. Ein Verschlüsselungsverfahren, das gegen solche Angriffe sicher ist, weil ein Angreifer bei einer Manipulation des Chiffretextes keine Kontrolle über die resultierende Veränderung im Klartext besitzt, nennt man Non-Malleable (zu deutsch Nicht Verformbar).
- Der Angreifer versucht, einen gültigen Chiffretext zu erzeugen, ohne den dazugehörigen Klartext zu kennen. Falls dies nicht effizient (d. h. in Polynomialzeit) möglich ist, wird diese Eigenschaft als Plaintext Awareness bezeichnet. Nur Verschlüsselungsverfahren, bei denen die Chiffretexte eine definierte Struktur (Redundanz) besitzen, können diese Eigenschaft besitzen.
Bei digitalen Signaturen und Message Authentication Codes (MAC) betrachtet man üblicherweise das Ziel, eine Signatur bzw. einen MAC zu einer neuen Nachricht zu erzeugen. Falls die Nachricht beliebig sein kann, nennt man dies Existential Forgery. Falls es möglich sein muss, die Nachricht frei zu wählen, wird dies als Selective Forgery bezeichnet.
Angriffsszenarien Bearbeiten
In der Forschung wird Kryptoanalyse heute meistens angewendet auf Verfahren, deren Spezifikation bekannt ist. Dies entspricht Kerckhoffs’ Prinzip, wonach die Sicherheit eines Verfahrens nur auf der Geheimhaltung des Schlüssels beruhen sollte. Die Geheimhaltung des Algorithmus (Security through obscurity) verhindert eine Analyse durch die Fachwelt und wird daher heute als eher kontraproduktiv für die Sicherheit angesehen. Geheime kryptographische Verfahren wurden in der Vergangenheit wiederholt aufgedeckt, analysiert und gebrochen (z. B. bei GSM, Mifare-Karten oder der Verschlüsselung kommerzieller DVDs). Geheime Verfahren werden heute seltener eingesetzt, vorwiegend im militärischen Bereich und für den Schutz von Verschlusssachen (z. B. Chiasmus oder Libelle), sowie in geschlossenen kommerziellen Systemen, wie z. B. beim Pay-TV, bei der Zutrittskontrolle (z. B. Mifare) oder der Digitalen Rechteverwaltung.
Man unterscheidet verschiedene Angriffsszenarien auf ein Verschlüsselungssystem (nach Stärke geordnet):
Siehe auch Bearbeiten
Literatur Bearbeiten
- David Kahn: The Codebreakers: The Comprehensive History of Secret Communication from Ancient Times to the Internet ISBN 978-0-684-83130-5
- Edgar Allan Poe: Der Goldkäfer (Erzählung von 1843, in der eine Geheimschrift systematisch entschlüsselt wird)
- Klaus Schmeh: Codeknacker gegen Codemacher. Die faszinierende Geschichte der Verschlüsselung. Verlag: W3l; 2. Auflage, 2007, ISBN 978-3-937137-89-6
- Simon Singh: Geheime Botschaften. ISBN 3-423-33071-6
- Douglas R. Stinson: Cryptography - Theory and Practice. ISBN 1-58488-206-9
- A. J. Menezes, P. C. van Oorschot und S. A. Vanstone: Handbook of Applied Cryptography
- Mark Stamp und Richard M. Low: Applied Cryptanalysis: Breaking Ciphers in the Real World, 2007, Wiley-Interscience
Weblinks Bearbeiten
Einzelnachweise Bearbeiten
- Eli Biham, Adi Shamir: Differential cryptanalysis of DES-like cryptosystems. In: Journal of Cryptology. 4. Jahrgang, Nr. 1, Januar 1991, S. 3–72, doi:10.1007/BF00630563 (psu.edu [PDF]).
- Frank A. Stevenson: Cryptanalysis of Contents Scrambling System. 1999 ( (Memento vom 2. März 2000 im Internet Archive)). (Memento des vom 6. Februar 2003 im Internet Archive) Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.