Cryptography Reference
In-Depth Information
4
Frische symmetrische Verschlüsselung:
Blockchiffren
4.1
Einführung
Das im vorherigen Kapitel untersuchte Szenarium 1 ist sehr eingeschränkt in mehrfacher
Hinsicht. Erstens haben wir dort angenommen, dass nur eine Nachricht vorher bekannter,
beschränkter Länge verschlüsselt wird - sollten mehrere Nachrichten geschickt werden,
so mussten Alice und Bob für jede Nachricht einen Schlüssel zufällig wählen. Zweitens
haben wir nur solche Angreifer zugelassen, die den unsicheren Kanal lediglich abhören
(Nur-Chiffretext-Angriffe, nach der Klassifikation in Abschnitt 2.4). Dafür konnten wir
jedoch nachweisen, dass geeignete Verschlüsselungsverfahren absolute Sicherheit, nämlich
informationstheoretische Sicherheit, garantieren.
In diesem Kapitel wollen wir ein erweitertes Szenarium studieren:
Szenarium 2 (frische Verschlüsselung). Alice möchte Bob mehrere unterschiedliche Klar-
texte vorher bekannter, begrenzter Länge zukommen lassen, wobei Alice und Bob immer
den gleichen zu Anfang gewählten Schlüssel verwenden. Eva hört die gesendeten Chiffre-
texte ab und kann sich einige wenige Klartexte mit dem von Alice und Bob verwendeten
Schlüssel verschlüsseln lassen.
Die Einschränkung, dass unterschiedliche Nachrichten verschlüsselt werden - wir wol-
len das als »frische Verschlüsselung« bezeichnen - ist hier wesentlich. Denn diese vielleicht
skurril anmutende Einschränkung enthebt uns der Verpflichtung, dafür zu sorgen, dass
derselbe Klartext bei mehrfacher Übertragung unterschiedlich verschlüsselt wird. Dass
diese Verpflichtung im Allgemeinen besteht, ist einfach einzusehen: Würde Alice immer
wieder denselben Chiffretext für denselben Klartext benutzen, könnte Eva leicht erkennen,
ob ein Klartext mehrfach übertragen wird. Das möchte man aber häufig vermeiden, insbe-
sondere dann, wenn Eva zwischenzeitlich erfahren hat, wie der Klartext lautet, z. B., weil
Alice oder Bob ihn direkt oder indirekt preisgegeben haben (siehe auch Aufgabe 4.9.1).
Die Annahme, dass Eva sich einige wenige Klartexte verschlüsseln lassen kann, kann
unter Verwendung der in Abschnitt 2.4 eingeführten Terminologie auch wie folgt be-
schrieben werden: Eva werden (bis zu einem gewissen Grad) Angriffe mit Klartextwahl
ermöglicht.
Fast alle der im letzten Kapitel beispielhaft betrachteten Kryptosysteme sind im Kon-
text von Szenarium 2 völlig nutzlos: Bei Vernamsystemen reicht ein beliebiges Klartext-
Schlüsseltext-Paar, um den Schlüssel zu bestimmen. Eva braucht sich zum Beispiel nur 0 l
verschlüsseln zu lassen, um direkt den Schlüssel zu erfahren. Anschließend kann sie jeden
weiteren Chiffretext »brechen«. Bei Verschiebe- und Vigenèrechiffren ist dies ebenso. Bei
anen Chiffren reichen zwei beliebige Klartext-Schlüsseltext-Paare.
Die Situation ist allerdings anders bei Substitutionschiffren; diese sind nämlich »op-
timal«: Wenn Eva von N Klartexten N 0 Klartexte abgefragt hat und Alice dann einen
Search WWH ::




Custom Search