Seite 3: Kryptanalyse

Inhaltsverzeichnis

Kryptanalyse

Um zu beurteilen, wie sicher ein Verschlüsselungsalgorithmus ist, muss man sich überlegen, wie einfach und mit welchen Mitteln er auszuhebeln ist. Im einfachsten Fall knackt man einen Algorithmus, indem man alle möglichen Schlüssel durchprobiert und testet, ob sich bei Dechiffrierung ein sinnvoller Klartext ergibt. Diese Methode heißt „Brute Force“ und hat ihre Grenzen. Schlüssellängen von 32 oder auch 40 Bit sind für heutige PCs keine Hürde mehr. Einen 56-Bit-Schlüssel von DES kann Spezialhardware erraten [5], und 64 Bit sind für weltweit verteilte, parallel arbeitende Rechner noch machbar. Dass das Durchprobieren aller 128 Bit langen Schlüssel in vorstellbarer Zukunft ein Wunschtraum bleiben wird, mag sich jeder selbst ausrechnen. Ein Algorithmus gilt als sicher, wenn Brute Force die effektivste bekannte Angriffsmethode ist.

Der Begriff „Kryptanalyse“ wird jedoch viel weiter gefasst: Nicht nur die Rekonstruktion des Klartextes aus dem Geheimtext ohne Kenntnis des Schlüssels ist damit gemeint, sondern auch die Gewinnung jeglicher Aussagen über den Klartext (wie etwa die Sprache) oder über den Schlüssel (Wert einzelner Bits) zählt dazu. Oft kennt man auch einige Bytes des Klartextes (bekannte Headerstrukturen bei Word-Dokumenten) und versucht nur, damit die Zahl möglicher Schlüssel zu verringern. Ebenso interessant kann es sein, bekannte oder gar ausgewählte Klartexte unterzuschieben und den erzeugten Geheimtext zu analysieren. Im zweiten Weltkrieg bombardierten Alliierte zu diesem Zweck Leuchtbojen, weil daraufhin „erloschen ist Leuchttonne“ chiffriert und gefunkt wurde [3]. Manchmal gelingt es auch einem Angreifer, einzelne Bits des Klartextes beziehungsweise des Schlüssels (in Smartcards) umzukippen und die Chiffrierung wiederholen zu lassen. Gegenüber dem letzteren Angriff zeigte sich zum Beispiel DES empfindlich. Weitere kryptanalytische Methoden finden sich in [1] und [2].

Wie man sieht, ist in der Kryptanalyse alles erlaubt - Hauptsache, es ist praktizierbar und führt zum Ziel. Nicht einmal mathematische Strenge ist gefordert, sogar Computersimulationen werden eingesetzt. Das alles bringt die Designer der Algorithmen, die Kryptographen, in eine schwierige Lage. Formulierungen wie „resistent gegen alle bekannten Angriffe“ belegen schon ihr Dilemma. Bis auf das fast nie anwendbare One-Time Pad ist bisher die Sicherheit nicht eines Algorithmus beweisbar. Vermutlich wird sich daran auch nicht so schnell etwas ändern.

Dennoch besteht kein Grund zum Verzweifeln. Die Kryptanalyse hat in den letzten zehn Jahren große Fortschritte gemacht, aber die Kryptographen ebenfalls. Eine erfolgreiche Kryptanalyse muss noch lange keinen praktikablen Angriff bedeuten. Ein gutes Beispiel hierfür liefert DES: Die beste bekannte Analyse setzt 2⁴³ bekannte Klartextblöcke voraus, das entspricht etwa 70 Terabyte. Die anschließende Rechenarbeit auf zwölf Workstations HP 9735 würde dann noch 50 Tage dauern (mit heutigen Rechnern sicherlich kürzer). Gegenüber dieser Methode ist Brute Force mit Deep Crack [5] um Größenordnungen gefährlicher. Analog sind die für Theoretiker beunruhigenden Ergebnisse zu AES zu sehen [7]. Allerdings darf man einem Algorithmus erst vertrauen, wenn er offen gelegt wurde und über viele Jahre hinweg das Interesse zahlreicher Kryptanalytiker fand. Flops wie die Chiffrierungen von WordPerfect und PKZIP belegen dies [2].