Kryptanalyse

Kryptanalysen (i nyere publikasjoner også kryptanalyse ) beskriver i opprinnelig forstand studiet av metoder og teknikker for å skaffe informasjon fra krypterte tekster. Denne informasjonen kan enten være nøkkelen som brukes eller originalteksten. I dag refererer begrepet kryptanalyse generelt til analyse av kryptografiske prosesser (ikke bare for kryptering) med sikte på enten å " bryte " dem, dvs. fjerne eller omgå deres beskyttende funksjon, eller bevise og kvantifisere deres sikkerhet. Kryptanalyse er derfor "motstykke" til kryptografi . Begge er underområder innen kryptologi .

Bar analyse

Analogt med kryptanalyse, som er fokusert på kryptografi, kan stanganalysen forstås som "motstykke" til steganografi . I motsetning til kryptografisk analyse, der kryptografisk innhold er tilgjengelig og skal analyseres eller brytes, fungerer nettanalysen imidlertid først med antagelsen om at det er skjult informasjon i et bæremedium. Først når denne antagelsen kan bekreftes, vil det bli forsøkt å trekke ut den faktiske informasjonen. Metoder fra kryptanalyse kan også brukes for dette.

Sikkerheten ved steganografi er basert på det faktum at tredjeparter ikke merker bruken av den. Selv om de vet om det, bør ikke tredjeparter kunne lese det faktiske innholdet i ren tekst.

Dekryptering og dekryptering

I kryptologi har begrepene " dekryptering " og " dekryptering " forskjellige betydninger: (Autorisert) dekryptering er prosessen med å konvertere chifferteksten tilbake til ren tekst ved hjelp av den kjente nøkkelen og dermed kunne lese meldingen. Den (uautoriserte) dechiffrering, derimot, er kunsten å trekke ut meldingen fra chifferteksten uten å kjenne nøkkelen. I stedet for verbet å dechiffrere , brukes uttrykket " break " eller i fellesskap også "crack" i kryptanalyse.

I arkeologi, derimot, når det gjelder analyse av et gammelt, ikke lenger kjent skript, brukes begrepene dekoding og dekryptering ofte som synonymer .

Metoder for kryptanalyse

En viktig tilnærming i kryptanalyse er å inkludere all tilgjengelig informasjon om den undersøkte metoden, dens parametere og de beskyttede dataene i analysen. Denne informasjonen kan være offentlig, den kan komme fra plausible forutsetninger eller den kan fås på en målrettet måte (f.eks. Gjennom sosial ingeniørkunst ). Type informasjon som er tilgjengelig og dens kontroll over den er delt inn i forskjellige angrepsscenarier (se modeller og uttalelser om sikkerhet ) og kvalifiserer relevansen av angrepet eller uttalelsen om sikkerhet.

Før mekaniske enheter som Enigma eller datamaskiner gjorde det mulig for kryptografi å kryptere meldinger til pseudo-tilfeldige sekvenser, var statistikk det kraftigste våpenet for å tyde meldinger. Så lenge en person krypterer tekstene for hånd, må algoritmen som brukes, være enkel nok til å implementere meldingen feilfritt i rimelig tid. Disse krypteringsmetodene kan vanligvis angripes av statistikk. Den brukes til å bestemme frekvensen til bestemte tegn og tegnstrenger. Med kunnskap om lovene i et språk kan bokstaver og ord tildeles og ren tekst rekonstrueres.

Siden datamaskiner, takket være deres hastighet og presisjon, har redusert de statistiske båndene i en kryptert tekst til nesten null, må nye analyseteknikker brukes for å avdekke krypteringsalgoritmen, for å utnytte et svakt punkt i algoritmen (akkurat som statistikk allerede har brukte svake punkter) og for å rekonstruere nøkkelen med at meldingen var kryptert. Kompliserte matematiske teorier og prosedyrer brukes ofte til dette formålet, f.eks. B. fra algebra eller stokastikk .

Her er noen viktige angreps- og analysemetoder:

Brute force -metode : Alle mulige nøkler prøves ut etter hverandre. Rekkefølgen velges, om nødvendig, i henhold til sannsynligheten. Denne metoden er også nyttig med moderne krypteringsmetoder hvis bruk av et relativt svakt passord kan antas. Selv på kommersielt tilgjengelige datamaskiner (fra 2008) kan flere millioner nøkler per sekund enkelt prøves ut.
Ordbokangrep : Alle nøkler fra spesialopprettede passordsamlinger prøves etter hverandre. Rekkefølgen velges, om nødvendig, i henhold til sannsynligheten. Denne metoden er også nyttig med moderne krypteringsmetoder hvis bruk av et relativt enkelt passord kan antas.

Det er også mulig å prøve ut alle tenkelige ord uten videre. Med et aktivt vokabular på 50 000 ord per språk, kan dusinvis av språk prøves ut i løpet av få sekunder, selv på vanlige datamaskiner. Et enkelt ord som nøkkel er derfor veldig usikkert.

Sidekanalangrep : Angriperen prøver å samle andre data i tillegg til ren tekst, krypteringen eller nøkkelen og for å skaffe informasjon om algoritmen og nøkkelen som brukes fra den. For eksempel: varigheten av krypteringen (tidsangrep), den tidsmessige utviklingen av strømforbruket til en brikke (enkel / differensial effektanalyse), beregningsfeil på grunn av ekstreme miljøforhold (differensialfeilanalyse), en grenanalyse (enkel gren prediksjonsanalyse) eller utslipp av elektromagnetiske bølger ( TEMPEST -angrep ).
Lineær kryptanalyse : Denne metoden ble utgitt av Mitsuru Matsui i 1993. Metoden er basert på den lineære tilnærmingen til den mest sannsynlige nøkkelen til å bryte blokkekoder.
Differensial kryptanalyse : Differensial kryptanalysen ble utviklet i 1991 av Eli Biham og Adi Shamir for å angripe DES . ^[1] Dette angrepsforsøket mislyktes fordi NSAs differensialanalyse allerede var kjent da DES ble utviklet. I differensialanalysen krypteres klartekstpar med visse forskjeller (forskjellene) for å utlede den hemmelige nøkkelen til det symmetriske kryptosystemet fra forskjellene i chifferne.
Mann-i-midten-angrep : angriperen er mellom to kommunikasjonspartnere og kan overhøre og til og med endre alle meldinger eller sette inn nye meldinger.
Algebraiske angrepsmetoder : Hvis den kryptografiske algoritmen opererer på en passende algebraisk struktur eller kan representeres av passende algebraiske operasjoner, kan spesielle egenskaper til den algebraiske strukturen muligens utnyttes for å angripe algoritmen vellykket. Ofte kan bruddet på prosedyren spores tilbake til å løse et ligningssystem over strukturen eller en proposisjonsformel . Slike angrep brukes hovedsakelig på asymmetriske metoder, som ofte opererer på begrensede grupper. Men også strøm krypteringsmetoder og noen blokkekrypteringsmetoder , som f.eks. B. AES , kan modelleres algebraisk og dermed angripes mer eller mindre vellykket.
Angrep ved reduksjon av gitterbase : Mange kryptografiske metoder kan angripes ved å bestemme en kort vektor i et bestemt gitter . Denne angrepsmetoden brukes i kryptografiske metoder basert på rutenettet eller ryggsekkproblemet , for eksempel e. B. NTRU eller Merkle -Hellman -kryptosystemet, men kan også - i kombinasjon med algebraiske angrepsmetoder - med andre asymmetriske kryptometoder, som f.eks. B. RSA kan brukes.

Modeller og uttalelser om sikkerhet

Beviset for sikkerheten til kryptografiske prosedyrer kan bare sjelden være streng, dvs. H. i betydningen informasjonsteori . Oftere er prosedyresikkerheten bevist når det gjelder kompleksitetsteori , dvs. H. det reduseres til mer eller mindre aksepterte antagelser om vanskeligheten med beregningsproblemer (f.eks. NP-komplette problemer , faktorisering eller diskret logaritme ) eller andre kryptografiske metoder. I noen tilfeller brukes teoretiske modeller for idealisering av komponenter i prosessen (f.eks. Random Oracle -modellen ) eller mulighetene til potensielle angripere (f.eks. Generiske algoritmer ) som grunnlag; Kunnskapen som er oppnådd fra dette om sikkerheten til en prosess må imidlertid alltid sees i sammenheng med modellen og blir noen ganger evaluert kontroversielt.

Når du analyserer sikkerheten til kryptografiske prosedyrer og de resulterende uttalelsene om sikkerhet, brukes forskjellige angreps- og sikkerhetsmodeller som grunnlag. Kvaliteten på en uttalelse om sikkerheten til en prosedyre mot visse angripere avhenger av de antatte målene og angrepsscenariet.

mål

Uttalelser om sikkerheten til en kryptografisk prosess gjelder vanligvis spesifikke mål. De mulige målene avhenger av typen kryptografisk metode. For alle kryptografiske prosesser som bruker en hemmelig nøkkel, er bestemmelsen av den hemmelige nøkkelen det mest vidtrekkende målet for et angrep, siden det undergraver prosessens sikkerhet fullstendig.

Følgende mål er også relevante for krypteringsmetoder:

Dekryptering, dvs. bestemmelse av ren tekst.
For en krypteringstekst og to potensielle klartekster må angriperen finne ut hvilken som er riktig klartekst. Hvis dette ikke er mulig effektivt (dvs. i polynomtid ), blir denne egenskapen referert til som semantisk sikkerhet eller krypteringstekst som ikke kan skilles . Semantisk sikkerhet er vurdert for både asymmetriske og symmetriske kryptografiske metoder . Bare probabilistiske krypteringsmetoder kan ha denne egenskapen.
Angriperen prøver å endre en krypteringstekst på en slik måte at den tilhørende nye klarteksten, som ville bli oppnådd hvis den endrede krypteringsteksten ble dekryptert, har en viss relasjon (kjent for angriperen) med den opprinnelige klarteksten. For eksempel kan målet hans være å endre chifferteksten på en slik måte at et tall gitt i ren tekst (f.eks. En kjøpesum) reduseres. En krypteringsmetode som er mot slike angrep er sikker fordi en angriper ved manipulering av chifferteksten ikke har kontroll over den resulterende endringen i ren tekst, den kalles Non-Malleable (til tysk ikke Deformable).
Angriperen prøver å generere en gyldig chiffertekst uten å vite den korrekte tekst. Hvis dette ikke er mulig effektivt (dvs. i polynomtid ), kalles denne egenskapen ren tekstbevissthet . Bare krypteringsmetoder der chiffertekstene har en definert struktur (redundans) kan ha denne egenskapen.

Når det gjelder digitale signaturer og Message Authentication Codes (MAC), vurderer man vanligvis målet om å generere en signatur eller en MAC for en ny melding. Hvis meldingen kan være noe, kalles det eksistensiell forfalskning . Hvis det må være mulig å velge meldingen fritt, kalles dette selektiv forfalskning .

Angrepsscenarier

I forskning i dag brukes kryptanalyse for det meste på metoder hvis spesifikasjon er kjent. Dette tilsvarer Kerckhoffs 'prinsipp , ifølge hvilken sikkerheten til en prosedyre bare bør være basert på hemmeligholdelsen av nøkkelen. Taushetsplikten til algoritmen ( sikkerhet gjennom uklarhet ) forhindrer en analyse av yrkesverdenen og blir derfor sett på i dag som ganske kontraproduktiv for sikkerhet. Hemmelige kryptografiske prosedyrer har blitt oppdaget, analysert og ødelagt flere ganger (f.eks. Når det gjelder GSM , Mifare -kort eller kryptering av kommersielle DVDer ^[2] ). Hemmelige prosedyrer brukes sjeldnere i dag, hovedsakelig i den militære sektoren og for å beskytte klassifisert informasjon (f.eks. Chiasmus eller øyenstikker ), så vel som i lukkede kommersielle systemer, f.eks. B. Betal -TV , tilgangskontroll (f.eks. Mifare) eller digital rettighetsbehandling .

Det skilles mellom forskjellige angrepsscenarier på et krypteringssystem (sortert etter styrke):

Bare chiffertekst: Noen ganger blir dette scenariet også referert til som kjent chiffertekst . Angriperen kjenner en eller flere chiffertekster og prøver med deres hjelp å utlede ren tekst eller nøkkel. I motsetning til de følgende sakene har han imidlertid ingen ytterligere informasjon.

Sannsynligvis ren tekst: Angriperen har chiffertekst og har grunn til å tro at den inneholder visse setninger eller særegne ord som kan brukes til å prøve analyse. De velkjente ordene kalles barneseng .; For eksempel kan Enigma bli sprukket med en innledende kunnskap om at i begynnelsen ble nøkkelen for resten av meldingen (kryptert med en ukjent daglig nøkkel ) sendt to ganger, etterfulgt av dato og værmelding. Du kan bruke den til å rekonstruere den daglige nøkkelen. Denne metoden kalles også mønstersøk .

Kjent ren tekst: Angriperen har chiffertekst (er) og tilhørende klartekst (er). Begge brukes til å bestemme nøkkelen.; Et aktuelt eksempel er forbedringen, publisert i midten av 2006, av et angrep på Wired Equivalent Privacy (WEP) -protokollen som har vært kjent siden 2001, som brukes til autentisering og kryptering av trådløse LAN . Det optimaliserte angrepet utnytter det faktum at deler av den krypterte meldingen - overskriftene til 802.11 -protokollen - er forutsigbare.

Valgt ren tekst (selvvalgt ren tekst): Angriperen (kryptanalytikeren) kan fritt velge klartekstene som skal krypteres og har tilgang til de tilsvarende kryptertekstene. Sammenlignet med angrepet med kjent ren tekst, har denne varianten fordelen at angriperen kan variere ren tekst på en målrettet måte og analysere de resulterende endringene i chifferteksten. Vanligvis slipper angriperen meldingene som skal krypteres til offeret på en slik måte at offeret ikke er klar over valget av en annen person.; Et spesielt kraftig angrepsscenario er det adaptive valgte klartekstangrepet . I dette tilfellet kan angriperen analysere kryptotekstene som er mottatt så langt, og, avhengig av resultatet, velge en ny ren tekst for kryptering (derav "adaptiv").; Dette er det minimale scenariet med asymmetrisk kryptering. Siden krypteringsnøkkelen er offentlig, kan angriperen kryptere meldinger etter ønske.

Valgt chiffertekst (selvvalgt chiffertekst): Angriperen har den midlertidige muligheten til å dekryptere chiffertekster etter eget valg. Dette kan gjøres ved å få tilgang til et maskinvaresystem gjennom et innbrudd; Imidlertid inkluderer dette også tilgang til uforutsette bivirkninger, for eksempel forskjellige feilmeldinger etter vellykket eller mislykket dekryptering. Et eksempel på dette er Bleichenbachers angrep på PKCS # 1.

Med noen kryptosystemer , for eksempel Rabin , er han i stand til å bestemme den hemmelige nøkkelen som kryptertekstene ble kryptert fra dataparene som ble oppnådd.

Adaptivt valgt chiffertekst (adaptivt selvvalgt krypteringstekst): I likhet med det forrige angrepet, men angriperen har tilgang til systemet over lengre tid og kan velge en ny kryptotekst for dekryptering etter hver analyse.

Valgt tekst (selvvalgt tekst): Kombinasjon av valgt tekst og valgt chiffertekst.

Adaptiv valgt tekst: Kombinasjon av Adaptive Chosen Plaintext og Adaptive Chosed Ciphertext.

Se også

Krybbe
Dybde (kryptologi)
Kiss (kryptologi)
Gummislange kryptanalyse

litteratur

David Kahn : The Codebreakers: The Comprehensive History of Secret Communication from Ancient Times to the Internet ISBN 978-0-684-83130-5
Edgar Allan Poe : The Gold Beetle (historie fra 1843, der et hemmelig manus systematisk blir dechiffrert)
Klaus Schmeh : Kodebrytere kontra kodeprodusenter . Den fascinerende historien om kryptering . Utgiver: W3l; 2. utgave, 2007, ISBN 978-3-937137-89-6
Simon Singh : Hemmelige meldinger . ISBN 3-423-33071-6
Douglas R. Stinson: Kryptografi - teori og praksis . ISBN 1-58488-206-9
AJ Menezes, PC van Oorschot og SA Vanstone: Handbook of Applied Cryptography
Mark Stamp og Richard M. Low: Applied Cryptanalysis: Breaking Ciphers in the Real World , 2007, Wiley-Interscience

weblenker

Oversikt og historie om kryptologi
Kryptografiske termer
CrypTool - open source -program for kryptografi og kryptanalyse

Individuelle bevis

^ Eli Biham, Adi Shamir: Differensial kryptanalyse av DES-lignende kryptosystemer . (PDF) I: Journal of Cryptology . 4, nr. 1, januar 1991, s. 3-72. doi : 10.1007 / BF00630563 .
^ Frank A. Stevenson: Kryptanalyse av innholdskrypteringssystem . 1999 ( Online ( minne fra 2. mars 2000 i Internettarkivet )). Cryptanalysis of Contents Scrambling System ( Memento av originalen datert 6. februar 2003 i Internettarkivet ) Info: Arkivkoblingen ble satt inn automatisk og er ikke kontrollert ennå. Vennligst sjekk den originale og arkivkoblingen i henhold til instruksjonene, og fjern deretter denne merknaden. @ 1 @ 2

[biham-1] Eli Biham, Adi Shamir: Differensial kryptanalyse av DES-lignende kryptosystemer . (PDF) I: Journal of Cryptology . 4, nr. 1, januar 1991, s. 3-72. doi : 10.1007 / BF00630563 .

[2] Frank A. Stevenson: Kryptanalyse av innholdskrypteringssystem . 1999 ( Online ( minne fra 2. mars 2000 i Internettarkivet )). Cryptanalysis of Contents Scrambling System ( Memento av originalen datert 6. februar 2003 i Internettarkivet ) Info: Arkivkoblingen ble satt inn automatisk og er ikke kontrollert ennå. Vennligst sjekk den originale og arkivkoblingen i henhold til instruksjonene, og fjern deretter denne merknaden. @ 1 @ 2

[1]

[2]