Cryptography Reference
In-Depth Information
gegeben, wenn es um asymmetrische Verschlüsselung geht, da dann Eva zu selbst ge-
wählten Klartexten, Chiffretexte unter Verwendung des entsprechenden öffentlichen
Schlüssels erzeugen kann. Aber es sind auch im Fall der symmetrischen Verschlüsse-
lung Situationen denkbar, in denen Eva Klartexte wählen kann: Wenn zum Beispiel
innerhalb einer Firma Eva Mitarbeiterin von Alice ist und Eva die Nachrichten, die
Alice an Bob schickt, bestimmen bzw. beeinflussen kann. Scheidet Eva dann später
aus der Firma aus, sollte es ihr dennoch nicht gelingen, die dann von Alice an Bob
gesendeten Chiffretexte zu entschlüsseln bzw. Informationen über die zugehörigen
Klartexte zu erhalten.
4. Eva hat vorübergehend Zugriff auf die »Entschlüsselungsmaschinerie« von Bob und
kann daher zu einzelnen selbst gewählten Chiffretexten die Klartexte bestimmen.
Hier spricht man von einem
Angriff mit Chiffretextwahl (chosen ciphertext attack,
kurz CCA)
. Ähnlich wie im vorherigen Fall ist es durchaus denkbar, dass es Eva
gelingt, Bob davon zu überzeugen, bestimmte selbstgewählte Chiffretexte zu ent-
schlüsseln. Selbst wenn dies der Fall ist, sollten die Klartexte anderer Chiffretexte
- die sie nicht auf diese Weise zu entschlüsseln vermag - geheim bleiben. Außer-
dem werden Verschlüsselungsverfahren häufig in kryptographischen Protokollen, wie
Authentifizierungs- oder Schlüsselaustauschprotokollen, eingesetzt: Ein Kommunika-
tionspartner sendet eine verschlüsselte Nachricht und ein anderer Kommunikations-
partner entschlüsselt diese Nachricht und sendet sie in veränderter Form zurück. Der
zweite Kommunikationspartner stellt ein Entschlüssungsorakel dar.
5. Eva hat die beiden unter 3. und 4. genannten Möglichkeiten. Es ist üblich, dass
auch 3. angenommen wird, wenn 4. angenommen wird. Umgekehrt, auch in diesem
Buch, wird 3. häufig ohne 4. betrachtet.
In diesem Buch werden wir uns vor allem auf Angriffe mit Klartextwahl konzentrieren
und Angriffe mit Chiffretextwahl nur kurz diskutieren.
2.4.2
Ressourcen des Angreifers
Bestandteil eines Bedrohungsszenariums ist natürlich auch der Umfang der Ressourcen,
die Eva zur Verfügung stehen, um aus den ihr vorliegenden Rohdaten - die abgehörten
Chiffretexte und die Antworten der Ver- und Entschlüsselungsmaschinerie bei Angrif-
fen mit Klartext- bzw. Chiffretextwahl - Erkenntnisse über den Klartext zu gewinnen.
Folgende Möglichkeiten kommen in Betracht:
1. Eva besitzt unbegrenzte Rechenkapazitäten. Man fordert dann
informationstheore-
tische Sicherheit
, d. h., Eva soll keinerlei Information über den Klartext erlangen,
ungeachtet der Ressourcen (Speicherplatz und Rechenzeit), die sie einsetzt.
2. Eva kann eine beschränkte Anzahl von Rechenoperationen ausführen, z. B.
2
60
.In
diesem Fall fordert man, dass Eva unter Einsatz dieser Ressourcen (fast) nichts über
Klartexte lernt und spricht von
konkreter Sicherheit
, da die Rechenzeit, die Eva zur
Verfügung steht, präzise vorgegeben wird.
3. Eva hat einen begrenzten Speicher, z. B. 1.000 TB. Man fordert dann
Sicherheit
im Modell mit begrenztem Speicher,
d. h., dass Eva (fast) keine Information über
Klartexte gewinnen kann, wenn ihre Berechnungen den vorgegeben Speicherbedarf
nicht überschreiten. Zu beachten ist, dass im Fall der konkreten Sicherheit der Spei-
