5 Etwas über Kryptanalyse
Wir haben im bisherigen Verlauf schon ein wenig über Kryptanalyse
kennengelernt. Wir wollen uns nun mit ein paar pfiffigeren Methoden
beschäftigen. Vorher jedoch wollen wir die verschiedenen Typen von
Angriffen beschreiben, die heute als Klassifizierung benutzt werden.
Welche Angriffe kann man denn nun gegen eine verschlüsselte
Übermittlung ansetzen? Man unterscheidet sechs Grundtypen:
- Brute Force Attack
Man kann Verfahren mit "nackter Gewalt"
angreifen, das heißt, man probiert alle möglichen Schlüssel
aus. Da hierzu keine Gedankenarbeit, sondern praktisch nur entsprechend
gute Rechenleistung nötig ist, waren solche Angriffe bisher nicht
so sehr interessant. Inzwischen ist Rechenleistung jedoch so billig
und gleichzeitig so leistungsfähig geworden, daß Verfahren,
die in den 70er Jahren noch als ziemlich sicher galten, heute praktisch
wertlos geworden sind.
Mit entsprechendem Aufwand (und dem Gegener
muß man zutrauen, diesen Aufwand zu treiben), kann man sich dann
einen Fuhrpark von modernen Hochleistungsrechnern bauen lassen oder
kaufen, die das verwendete Verfahren nutzlos machen - ohne daß
in irgendeiner Art und Weise höhere analytische Kenntnisse nötig
wären. Eine unelegante, aber gefährliche Methode. Da man
den brute force attack in den verschiedensten Ansätzen betreiben
kann, wird er meist nicht als eigenständige Gruppe beschrieben,
sondern als eine Möglichkeit innerhalb der folgenden fünf
Angriffstypen.
- Known Ciphertext Attack oder Ciphertext Only Attack
In diesem einfachen Fall steht dem Angreifer
ein entsprechend großes Stück Geheimtext zur Verfügung.
Was durchaus realistisch ist, denn wenn ich jemanden abhören
kann, steht mir zumindest ein Stück verschlüsselter Text
zur Verfügung. Diesen kann man dann beispielsweise nach sichtbarer
Entropie untersuchen. Ein Verfahren, das nicht einmal diesem einfachsten
Angriff widersteht, ist wertlos.
- Known Plaintext Attack
Der Gegner kennt ein zusammengehöriges
Paar Geheimtext/Klartext. Dabei kann es sich bei dem Klartext auch
um begründete Vermutungen über den Inhalt handeln. Vor allem
dann, wenn sich im Text Standardformulierungen finden lassen, ist
diese Methode oft wirkungsvoll. Damit wurde diese eine Nachricht geknackt,
nicht notwendigerweise die ganze Übermittlung. Allerdings gibt
es Verfahren, die bei erfolgreichen Angriffen dieser Art komplett
bloßgestellt werden.
- Chosen Plaintext Attack
Steht dem Gegner das Verfahren mit integriertem
aktuellem (aber nicht bekannten) Schlüssel zur Verfügung,
kann er selbstgewählte Klartexte damit verschlüsseln und
daraus Rückschlüsse auf den verwendeten Schlüssel ziehen.
Beispielsweise kann man einen Text voller Nullen oder "A"s
verschlüsseln und nach sich wiederholenden Mustern schauen.
Auch wenn solch ein Angriff nicht gelingt,
kann der Eindringling selbst Meldungen einschleusen. Verfahren, die
diesem und den folgenden widerstehen, sind als äußerst sicher
einzustufen.
- Chosen Cyphertext Attack
Ähnlich wie der chosen plaintext
attack, nur daß der Angreifer nun eine Auswahl von Geheimtext
aussuchen kann und damit dann den entschlüsselten Text finden
kann. Dieser Angriff kann bei public key- Systemen eingesetzt werden.
- Adaptive Chosen Plaintext Attack
Bei diesem Angriff wählt der Gegner den
Klartext wiederholt aus, indem er den Klartext für die aktuelle
Analyse erst wählt, nachdem die Analyse des vorhergehenden Angriffs
durchgeführt wurde. In diesem interaktiven Verfahren basieren
die ausgewählten Klartexte auf den bisherigen Ergebnissen. Unter
dieser Bezeichnung versteht man die sogenannte "differential
cryptanalysis", ein Verfahren das in den letzten 2 Jahrzehnten
zweimal erfunden wurde [12].
In der cryptology-FAQ lesen wir:
Differential cryptanalysis is a statistical
attack that can be applied to any iterated mapping (i.e., any mapping
which is based on a repeated round function). The method was recently
popularized by Biham and Shamir [BIH91], but Coppersmith has remarked
that the S-boxes of DES were optimized against this attack some 20
years ago. This method has proved effective against several
product ciphers, notably FEAL [BI91a].
Daneben gibt es noch andere Angriffe, die nicht unbedingt ein
Entschlüsseln
des Geheimtextes erfordern. Als Beispiel hierfür sei der Playback
Attack genannt. Bei diesem Angriff reicht es zu wissen (aus beliebiger
Quelle), daß eine Nachricht einen bestimmten Inhalt haben muß,
beispielweise "Ok, abgemacht!". Wird eine solche Nachricht
abgefangen, so kann man sie aufbewahren und später verschicken.
Wenn das in völlig anderem Zusammenhang geschieht, kann man die
Nachrichtenübermittlung zwischen zwei Parteien empfindlich stören.
Lösungen hierfür sind beispielsweise Kontextinformation
in der Nachricht, signierte Zeitstempel, etc.