5 Etwas über Kryptanalyse

Wir haben im bisherigen Verlauf schon ein wenig über Kryptanalyse kennengelernt. Wir wollen uns nun mit ein paar pfiffigeren Methoden beschäftigen. Vorher jedoch wollen wir die verschiedenen Typen von Angriffen beschreiben, die heute als Klassifizierung benutzt werden.

Welche Angriffe kann man denn nun gegen eine verschlüsselte Übermittlung ansetzen? Man unterscheidet sechs Grundtypen:

  1. Brute Force Attack
    Man kann Verfahren mit "nackter Gewalt" angreifen, das heißt, man probiert alle möglichen Schlüssel aus. Da hierzu keine Gedankenarbeit, sondern praktisch nur entsprechend gute Rechenleistung nötig ist, waren solche Angriffe bisher nicht so sehr interessant. Inzwischen ist Rechenleistung jedoch so billig und gleichzeitig so leistungsfähig geworden, daß Verfahren, die in den 70er Jahren noch als ziemlich sicher galten, heute praktisch wertlos geworden sind.
    Mit entsprechendem Aufwand (und dem Gegener muß man zutrauen, diesen Aufwand zu treiben), kann man sich dann einen Fuhrpark von modernen Hochleistungsrechnern bauen lassen oder kaufen, die das verwendete Verfahren nutzlos machen - ohne daß in irgendeiner Art und Weise höhere analytische Kenntnisse nötig wären. Eine unelegante, aber gefährliche Methode. Da man den brute force attack in den verschiedensten Ansätzen betreiben kann, wird er meist nicht als eigenständige Gruppe beschrieben, sondern als eine Möglichkeit innerhalb der folgenden fünf Angriffstypen.

  2. Known Ciphertext Attack oder Ciphertext Only Attack
    In diesem einfachen Fall steht dem Angreifer ein entsprechend großes Stück Geheimtext zur Verfügung. Was durchaus realistisch ist, denn wenn ich jemanden abhören kann, steht mir zumindest ein Stück verschlüsselter Text zur Verfügung. Diesen kann man dann beispielsweise nach sichtbarer Entropie untersuchen. Ein Verfahren, das nicht einmal diesem einfachsten Angriff widersteht, ist wertlos.

  3. Known Plaintext Attack
    Der Gegner kennt ein zusammengehöriges Paar Geheimtext/Klartext. Dabei kann es sich bei dem Klartext auch um begründete Vermutungen über den Inhalt handeln. Vor allem dann, wenn sich im Text Standardformulierungen finden lassen, ist diese Methode oft wirkungsvoll. Damit wurde diese eine Nachricht geknackt, nicht notwendigerweise die ganze Übermittlung. Allerdings gibt es Verfahren, die bei erfolgreichen Angriffen dieser Art komplett bloßgestellt werden.

  4. Chosen Plaintext Attack
    Steht dem Gegner das Verfahren mit integriertem aktuellem (aber nicht bekannten) Schlüssel zur Verfügung, kann er selbstgewählte Klartexte damit verschlüsseln und daraus Rückschlüsse auf den verwendeten Schlüssel ziehen. Beispielsweise kann man einen Text voller Nullen oder "A"s verschlüsseln und nach sich wiederholenden Mustern schauen.
    Auch wenn solch ein Angriff nicht gelingt, kann der Eindringling selbst Meldungen einschleusen. Verfahren, die diesem und den folgenden widerstehen, sind als äußerst sicher einzustufen.

  5. Chosen Cyphertext Attack
    Ähnlich wie der chosen plaintext attack, nur daß der Angreifer nun eine Auswahl von Geheimtext aussuchen kann und damit dann den entschlüsselten Text finden kann. Dieser Angriff kann bei public key- Systemen eingesetzt werden.

  6. Adaptive Chosen Plaintext Attack
    Bei diesem Angriff wählt der Gegner den Klartext wiederholt aus, indem er den Klartext für die aktuelle Analyse erst wählt, nachdem die Analyse des vorhergehenden Angriffs durchgeführt wurde. In diesem interaktiven Verfahren basieren die ausgewählten Klartexte auf den bisherigen Ergebnissen. Unter dieser Bezeichnung versteht man die sogenannte "differential cryptanalysis", ein Verfahren das in den letzten 2 Jahrzehnten zweimal erfunden wurde [12].

    In der cryptology-FAQ lesen wir:

    Differential cryptanalysis is a statistical attack that can be applied to any iterated mapping (i.e., any mapping which is based on a repeated round function). The method was recently popularized by Biham and Shamir [BIH91], but Coppersmith has remarked that the S-boxes of DES were optimized against this attack some 20 years ago. This method has proved effective against several product ciphers, notably FEAL [BI91a].

Daneben gibt es noch andere Angriffe, die nicht unbedingt ein Entschlüsseln des Geheimtextes erfordern. Als Beispiel hierfür sei der Playback Attack genannt. Bei diesem Angriff reicht es zu wissen (aus beliebiger Quelle), daß eine Nachricht einen bestimmten Inhalt haben muß, beispielweise "Ok, abgemacht!". Wird eine solche Nachricht abgefangen, so kann man sie aufbewahren und später verschicken. Wenn das in völlig anderem Zusammenhang geschieht, kann man die Nachrichtenübermittlung zwischen zwei Parteien empfindlich stören. Lösungen hierfür sind beispielsweise Kontextinformation in der Nachricht, signierte Zeitstempel, etc.