{"id":22138,"date":"2014-09-16T07:30:51","date_gmt":"2014-09-16T05:30:51","guid":{"rendered":"https:\/\/astrodicticum-simplex.ulrich.digital\/index.php\/2014\/09\/16\/verschluesselungsverfahren-und-ihre-sicherheit\/"},"modified":"2025-05-14T16:15:18","modified_gmt":"2025-05-14T14:15:18","slug":"verschluesselungsverfahren-und-ihre-sicherheit","status":"publish","type":"post","link":"https:\/\/astrodicticum-simplex.ulrich.digital\/index.php\/2014\/09\/16\/verschluesselungsverfahren-und-ihre-sicherheit\/","title":{"rendered":"Verschl\u00fcsselungsverfahren und ihre Sicherheit"},"content":{"rendered":"

Dieser Gastartikel ist ein Beitrag zum ScienceBlogs Blog-Schreibwettbewerb<\/a>. Alle eingereichten Beitr\u00e4ge werden im Lauf des Septembers hier im Blog vorgestellt. Danach werden sie von einer Jury bewertet. Aber auch alle Leserinnen und Leser k\u00f6nnen mitmachen. Wie ihr eure Wertung abgeben k\u00f6nnt, erfahrt ihr hier<\/a>.<\/i><\/p>\n

\"sb-wettbewerb\"<\/a><\/p>\n

Dieser Beitrag wurde von Dominic W\u00e4sch<\/b> eingereicht.<\/i>
\n———————————————————————————————————————–
\nDie Nachrichten um die NSA und Edward Snowden rei\u00dfen nicht ab, und oft h\u00f6rt man, dass Verschl\u00fcsselung das wahre Mittel zur Gegenwehr gegen die allm\u00e4chtigen Geheimdienste w\u00e4re. Zeit, einmal einen Blick auf die Verfahren zu werfen und zu schauen, wie es um die Sicherheit steht.<\/p>\n

Grunds\u00e4tzlich gibt es zwei verschiedene Arten, Nachrichten zu verschl\u00fcsseln: Symmetrische und asymmetrische Verfahren. Die symmetrischen Verfahren sind schon seit \u00fcber zweitausend Jahren in Gebrauch; am bekanntesten d\u00fcrfte die C\u00e4sar-Chiffre[1] sein. Das Hauptproblem bei solchen symmetrischen Verfahren ist meist die \u00dcbermittlung des Schl\u00fcssels. Dies ist n\u00f6tig, da f\u00fcr das Ver- und Entschl\u00fcsseln derselbe Schl\u00fcssel verwendet wird (deswegen \u201esymmetrisch\u201c). Da der Kanal, \u00fcber den die Nachricht verschickt wird, als unsicher angesehen wird (sonst br\u00e4uchte die Nachricht nicht verschl\u00fcsselt werden), ist dieser Kanal f\u00fcr die Weitergabe des Schl\u00fcssels ungeeignet.<\/p>\n

Asymmetrische Verfahren sind erst seit den 1970er Jahren bekannt. Bei diesen wird f\u00fcr das Chiffrieren ein \u00f6ffentlicher Schl\u00fcssel benutzt, f\u00fcr das Dechiffrieren ein geheimer Schl\u00fcssel, den nur der Empf\u00e4nger kennt und niemandem verr\u00e4t. Das Sch\u00f6ne hieran ist, dass jeder, der meinen \u00f6ffentlichen Schl\u00fcssel kennt, mir eine verschl\u00fcsselte Nachricht schicken kann. Es ist aber nicht m\u00f6glich, mit dem \u00f6ffentlichen Schl\u00fcssel eine chiffrierte Nachricht zu entziffern. Ich muss also nur daf\u00fcr sorgen, dass jeder andere Mensch meinen \u00f6ffentlichen Schl\u00fcssel kennt und benutzen kann; der geheime Schl\u00fcssel darf hingegen nicht an die \u00d6ffentlichkeit gelangen.<\/p>\n

Jetzt k\u00f6nnte man meinen, symmetrische Verfahren spielen heute keine Rolle mehr, denn wir haben die asymmetrischen. Einfach die Nachricht verschl\u00fcsseln und verschicken. Nun kann man aber beispielsweise mit GnuPG[2] mehreren Empf\u00e4ngern gleichzeitig eine verschl\u00fcsselte Nachricht schreiben. Es w\u00e4re naheliegend, die gesamte Nachricht einfach f\u00fcr jeden Empf\u00e4nger erneut zu verschl\u00fcsseln. Doch das ist leider unpraktikabel, da dann die Datenmege mit der Anzahl der Empf\u00e4nger proportional ansteigt.<\/p>\n

Hier ist die Idee, dass man nicht die Nachricht selber, sondern nur einen zuf\u00e4llig erzeugten Schl\u00fcssel f\u00fcr ein symmetrisches Verfahren verschl\u00fcsselt (der im Vergleich mit der Nachricht im Allgemeinen kurz ist). F\u00fcr verschiedene Empf\u00e4nger muss dann nur noch dieser Schl\u00fcssel mit den unterschiedlichen \u00f6ffentlichen Schl\u00fcsseln chiffriert werden. Als weiterer Vorteil ergibt sich, dass asymmetrische Verfahren meist mit erheblich h\u00f6herem Rechenaufwand verbunden sind als die symmetrischen. Das Ganze hat allerdings den Nachteil, dass die Sicherheit an zwei Verschl\u00fcsselungen h\u00e4ngt: einer symmetrischen Chiffrierung der Nachricht und einer asymmetrischen Chiffrierung des Schl\u00fcssels.<\/p>\n

Noch mal der Reihe nach: Alice m\u00f6chte eine verschl\u00fcsselte Nachricht an Bob schicken. <\/p>\n

* Vorbereitung. Beide einigen sich zun\u00e4chst auf ein symmetrisches und ein asymmetrisches Verschl\u00fcsselungsverfahren. Bob erzeugt f\u00fcr das asymmetrische Verfahren einen geheimen und einen \u00f6ffentlichen Schl\u00fcssel. Den \u00f6ffentlichen Schl\u00fcssel stellt Bob der Welt zur Verf\u00fcgung (z.B. auf einem Key-Server, seiner Webseite und in seiner E-Mail-Signatur).<\/p>\n

* Verschl\u00fcsselung. Alice erzeugt dann zuf\u00e4llig einen Schl\u00fcssel f\u00fcr das symmetrische Verfahren und chiffriert damit die Nachricht. Damit Bob diese Nachricht entschl\u00fcsseln kann, braucht er sowohl die verschl\u00fcsselte Nachricht, als auch den Schl\u00fcssel. Den Schl\u00fcssel chiffriert Alice jetzt mit dem \u00f6ffentlichen Schl\u00fcssel von Bob und schickt beides – den asymmetrisch verschl\u00fcsselten Schl\u00fcssel und die symmetrisch verschl\u00fcsselte Nachricht – an Bob.<\/p>\n

* Entschl\u00fcsselung. Bob bekommt das Paket der beiden unterschiedlich verschl\u00fcsselten Nachrichten. Er dechiffriert den Schl\u00fcssel f\u00fcr das symmetrische Verfahren mit seinem geheimen Schl\u00fcssel und benutzt dann diesen, um die Nachricht zu entschl\u00fcsseln.<\/p>\n

Das gesamte Verfahren \u2013 Einigung auf Verfahren, Schl\u00fcssel generieren usw. \u2013 ist mittlerweile komplett in Software verborgen. Als Anwender kann ich zwischen zwei Verfahren w\u00e4hlen: einerseits gibt es das bereits erw\u00e4hnte GnuPG[2] und andererseits S\/MIME[3]. Sie unterscheiden sich von der Art, wie die Daten verpackt werden, welche Algorithmen verwendet werden und wie die \u00f6ffentlichen Schl\u00fcssel in der Welt bekannt gemacht werden und sind daher leider nicht kompatibel. Ein genauerer Vergleich ist nicht leicht, die Vor- und Nachteile sind von der konkreten Situation abh\u00e4ngig[4].<\/p>\n

Wie steht es mit der Sicherheit? Hier wird die Kryptologie auf einmal zur Naturwissenschaft. Eine begr\u00fcndete Hypothese wird aufgestellt (\u201eDieser Algorithmus ist sicher!\u201c) und die Gemeinde der Kryptographen st\u00fcrzt sich darauf, um diese Hypothese zu entkr\u00e4ften. Gelingt das nicht, gilt ein Verfahren so lange als sicher, bis es Hinweise auf seine Unsicherheit gibt.<\/p>\n

Die Sicherheit der asymmetrischen Verfahren basieren fast alle auf der Vermutung, dass P\u2260NP[5] ist. Diese vier Zeichen beschreiben eine der gr\u00f6\u00dften offenen Fragen unserer Zeit: Sind bestimmte Probleme, die uns schwierig vorkommen, auf eine schnelle Art und Weise zu l\u00f6sen (z.B. das Rucksackproblem[6] oder die Primfaktorzerlegung[7])? Die meisten Informatiker und Mathematiker gehen davon aus, dass diese Probleme tats\u00e4chlich schwierig sind. (In Wahrheit ist P\u2260NP nur ein Teil des Problems. Die Vermutung, auf die hier gesetzt wird, ist noch st\u00e4rker, da auch zufallsgesteuerte Algorithmen erlaubt sind.) Dar\u00fcber hinaus kann es noch weitere Unsicherheiten geben, wie z.B. beim Merkle-Hellman-Kryptosystem[8], bei dem es in kurzer Zeit m\u00f6glich ist, mit Hilfe des \u00f6ffentlichen Schl\u00fcssels einen Ersatz-Geheim-Schl\u00fcssel zu berechnen.<\/p>\n

Die momentan viel eingesetzten Algorithmen sind RSA[9], ElGamal[10] und Elliptic Curve[11]. Sie gelten im Allgemeinen als sicher. Trotzdem k\u00f6nnen nat\u00fcrlich durch ung\u00fcnstige Wahl von Parametern oder durch Programmierfehler Sicherheitsl\u00fccken oder Hintert\u00fcren entstehen. Au\u00dferdem gibt es Ger\u00fcchte, dass die NSA im Bereich der Primfaktorzerlegung gro\u00dfe Fortschritte gemacht hat, was die Sicherheit von RSA gef\u00e4hrden kann.<\/p>\n

Bei den symmetrischen Verfahren gibt es ein bewiesenerma\u00dfen sicheres, das Vernam-Chiffre oder One-Time-Pad genannt wird: Ein echt zuf\u00e4lliger Strom von Einsen und Nullen wird mit der Bin\u00e4rdarstellung der Nachricht via XOR verkn\u00fcpft (1 XOR 0=0 XOR 1=1, sonst 0). Der zuf\u00e4llige Strom ist dann gleichzeitig der Schl\u00fcssel und ist immer genau so lang, wie die zu verschl\u00fcsselnde Nachricht ist. Die Entschl\u00fcsselung funktioniert genau mit demselben Algorithmus wie die Verschl\u00fcsselung. Dieses Verfahren hat zwei Nachteile. Erstens ist der Schl\u00fcssel sehr lang und zweitens ist es extrem schwierig, schnell an echte Zufallszahlen zu kommen. Daher ist es naheliegend, statt echter Zufallszahlen Pseudozufallszahlen zu benutzen, die ausgehend von einem Schl\u00fcssel generiert werden. Dazu ben\u00f6tigt man dann einen m\u00f6glichst guten Pseudozufallszahlengenerator.<\/p>\n

Klarerweise ist die Sicherheit solcher Strom-Chiffres durch die Qualit\u00e4t des Zufallszahlengenerators begrenzt, wie zuletzt am Beispiel von RC4[12] zu sehen war. Der sehr kompakte Algorithmus, den viele Kryptographen auswendig gelernt haben um nach einer Zombiekalypse eine gute Chiffre zur Verf\u00fcgung zu haben, kann vermutlich in Echtzeit von der NSA gebrochen werden[13]. Es gibt einige bewiesenerma\u00dfen perfekte Pseudozufallszahlengeneratoren, die aber alle von der Zeit-Performance nicht f\u00fcr praktische Anwendungen geeignet sind. Gute, praxisrelevante Algorithmen wurden beispielsweise im eSTREAM-Projekt[14] in den Jahren 2004 bis 2008 ausgew\u00e4hlt.<\/p>\n

Davon unabh\u00e4ngig besteht bei den Strom-Chiffres immer die Gefahr, dass derselbe Zufallsstrom mehrfach verwendet wird. Auf dieser Basis wurde die WLAN-Verschl\u00fcsselung WEP gebrochen.<\/p>\n

Die andere gro\u00dfe Gruppe von symmetrischen Verschl\u00fcsselungen sind die Block-Chiffren, welche immer eine bestimmte Anzahl an Bits gleichzeitig verschl\u00fcsseln (h\u00e4ufig 128 oder 64). Die Schwierigkeit ist, dass die Verschl\u00fcsselung immer umkehrbar sein muss. Dies wird bei vielen modernen Verfahren (z.B. Twofish[15])] dadurch gel\u00f6st, dass ein Feistelnetzwerk[16] implementiert wird. Dabei werden in einem mehrstufigen Verfahren (\u201eRunden\u201c) aus dem Schl\u00fcssel und dem zu chiffrierenden Inhalt pseudozuf\u00e4llige Zahlen generiert, die immer wieder mit dem Block via XOR verkn\u00fcpft werden. Durch geschickte Zerlegung der Daten k\u00f6nnen diese Verkn\u00fcpfungen zur Entschl\u00fcsselung r\u00fcckw\u00e4rts angewendet werden. Au\u00dferdem erh\u00f6hen viele Runden die Sicherheit und man kann den Algorithmus aus sicheren Einzelteilen zusammensetzen. Aber auch Feistelnetzwerke garantieren keine Sicherheit; als Beispiel f\u00fcr einen Algorithmus mit Schw\u00e4chen sei hier TEA[17] genannt. DES[18] gilt zwar als unsicher, dies resultiert jedoch im Wesentlichen aus der zu kurzen Schl\u00fcssell\u00e4nge von 56 Bit (wobei auch die einzelnen Schritte von DES anscheinend nicht ideal sind, wie Analysen aus den 1990ern und Anfang der 2000er zeigen[19]).<\/p>\n

Die Sicherheit von Feistelnetzwerken kann gut eingesch\u00e4tzt werden. Es existiert offenbar sogar ein Beweis von Luby und Rackoff aus dem Jahre 1988, der zeigt, dass es m\u00f6glich ist, nach bereits vier Runden eine perfekt sichere Verschl\u00fcsselung zu haben. Die praktischen Anforderungen sind dabei allerdings so hoch, dass sie in der Realit\u00e4t nicht erf\u00fcllbar sind. Zudem ist die Sicherheit des Algorithmus von der Breite der Bl\u00f6cke abh\u00e4ngig; je sicherer der Algorithmus sein soll, umso breiter m\u00fcssen die Bl\u00f6cke sein.<\/p>\n

Vermutlich ist der momentan wichtigste Algorithmus f\u00fcr Verschl\u00fcsselung \u2013 AES[20] (oder auch Rijndael) \u2013 gerade aus diesem Grund kein Feistelnetzwerk. Bisher hat sich der Gewinner der AES-Wettbewerbs gegen alle Arten von Angriffen als ziemlich robust erwiesen. Auch die Ger\u00fcchte aus dem Herbst 2013, dass die NSA starke Verschl\u00fcsselung brechen kann, haben wohl nichts mit AES oder anderen starken Kryptoalgorithmen zu tun sondern eher mit der Zertifikats-Infrastruktur oder der Implementierung von kommerziellen Umsetzungen von AES. Es gibt jedoch die Kritik, dass der Sicherheitspuffer zu klein gew\u00e4hlt ist f\u00fcr ein Verfahren, welches die n\u00e4chsten Jahrzehnte halten muss. Zudem ist AES eine der wenigen Chiffren (vielleicht sogar die einzige?), die durch geschlossene algebraische Formulierungen darstellbar ist[21]. Damit ist der Angriff auf den Algorithmus auf einmal von einer Seite der Mathematik m\u00f6glich, die bisher wenig mit Kryptographie zu tun hat.<\/p>\n

\u00c4hnlich wie die Wiederverwendung von One-Time-Pads gibt es bei den Block-Chiffren Anwendungsfehler, die die Sicherheit unabh\u00e4ngig vom Algorithmus schm\u00e4lern. Ein Block-Chiffre erlaubt es normalerweise nur Nachrichten zu verschl\u00fcsseln, die h\u00f6chstens einen Block lang sind. Es gibt unterschiedliche Ideen (\u201eBetriebsarten\u201c), wie man l\u00e4ngere Nachrichten chiffriert. Alleine vom NIST, dem amerikanischen National Institute of Standards and Technology, werden ein Dutzend akzeptierte Betriebsarten beschrieben[21]. Sie reichen vom einfachen ECB (\u201eIch verschl\u00fcssele jeden Block unabh\u00e4ngig voneinander\u201c) bis hin zu Arten, die Sicherheit und Integrit\u00e4t erm\u00f6glichen, wie dem CCM (\u201eIch verwende f\u00fcr jeden Block einen neuen Schl\u00fcssel und bilde zus\u00e4tzlich eine kryptographisch sichere Pr\u00fcfsumme mit Hilfe des Chiffres\u201c). Die Frage nach der besten Betriebsart ist davon abh\u00e4ngig, wie genau die Anforderungen aussehen und kann nicht pauschal beantwortet werden.<\/p>\n

Verschl\u00fcsselungsverfahren sind und bleiben ein spannendes Thema, bei dem der Forschungsbedarf hoch ist. Es gibt viele offene Fragen und durch die Tatsache, dass heute die kryptographische Sicherheit auf Vermutungen beruht, r\u00fcckt die Kryptographie deutlich in die N\u00e4he der Naturwissenschaften. Zudem wird das Spektrum der mathematischen Werkzeuge erweitert und l\u00e4sst auf neue Analysemethoden und Ideen f\u00fcr Chiffren hoffen. Dagegen h\u00e4lt die Umsetzung und Benutzung der Algorithmen viele T\u00fccken bereit und die j\u00fcngsten Skandale um Sicherheitsl\u00fccken in popul\u00e4rer Software (\u201egoto fail\u201c[23] und \u201eheartbleed\u201d[24]) zeigen, dass sogar Open-Source-Software nicht sicher vor Programmierfehlern oder Hintert\u00fcren ist. Wir k\u00f6nnen gespannt sein, wohin uns die Zukunft bringt.<\/p>\n

Links:<\/p>\n

[1] https:\/\/de.wikipedia.org\/wiki\/C\u00e4sar-Chiffre
\n[2] https:\/\/www.gnupg.org\/index.de.html
\n[3] https:\/\/tools.ietf.org\/html\/rfc5751
\n[4] https:\/\/www.kes.info\/archiv\/online\/01-01-60-SMIMEvsOpenPGP.htm
\n[5] https:\/\/de.wikipedia.org\/wiki\/P-NP-Problem
\n[6] https:\/\/de.wikipedia.org\/wiki\/Rucksackproblem
\n[7] https:\/\/de.wikipedia.org\/wiki\/Primfaktorzerlegung
\n[8] https:\/\/cacr.uwaterloo.ca\/hac\/about\/chap8.pdf (S. 300ff)
\n[9] https:\/\/de.wikipedia.org\/wiki\/RSA-Kryptosystem
\n[10] https:\/\/de.wikipedia.org\/wiki\/Elgamal-Verschl\u00fcsselungsverfahren
\n[11] https:\/\/de.wikipedia.org\/wiki\/Elliptic_Curve_Cryptography
\n[12] https:\/\/de.wikipedia.org\/wiki\/RC4
\n[13] https:\/\/twitter.com\/ioerror\/status\/398059565947699200
\n[14] https:\/\/www.ecrypt.eu.org\/stream\/
\n[15] https:\/\/de.wikipedia.org\/wiki\/Twofish
\n[16] https:\/\/www.am.hs-mannheim.de\/KryptoLern\/feistel.php
\n[17] https:\/\/www.csshl.net\/sites\/default\/files\/downloadable\/crypto\/TEA_Cryptanalysis_-_VRAndem.pdf
\n[18] https:\/\/page.math.tu-berlin.de\/~kant\/teaching\/hess\/krypto-ws2006\/des.htm
\n[19] https:\/\/crypto.junod.info\/sac01.pdf
\n[20] https:\/\/de.wikipedia.org\/wiki\/Advanced_Encryption_Standard
\n[21] https:\/\/www.dpunkt.de\/leseproben\/3112\/Kapitel%208.pdf (S. 136)
\n[22] https:\/\/csrc.nist.gov\/groups\/ST\/toolkit\/BCM\/index.html
\n[23] https:\/\/gotofail.com
\n[24] https:\/\/heartbleed.com<\/p>\n","protected":false},"excerpt":{"rendered":"

Dieser Gastartikel ist ein Beitrag zum ScienceBlogs Blog-Schreibwettbewerb. Alle eingereichten Beitr\u00e4ge werden im Lauf des Septembers hier im Blog vorgestellt. Danach werden sie von einer Jury bewertet. Aber auch alle Leserinnen und Leser k\u00f6nnen mitmachen. Wie ihr eure Wertung abgeben k\u00f6nnt, erfahrt ihr hier. Dieser Beitrag wurde von Dominic W\u00e4sch eingereicht. ———————————————————————————————————————– Die Nachrichten um […]<\/p>\n","protected":false},"author":1,"featured_media":953,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[764,12],"tags":[2666,13279,15337],"class_list":["post-22138","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-schreibwettbewerb","category-technik","tag-blog-schreibwettbewerb","tag-sicherheit","tag-verschluesseling"],"_links":{"self":[{"href":"https:\/\/astrodicticum-simplex.ulrich.digital\/index.php\/wp-json\/wp\/v2\/posts\/22138","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/astrodicticum-simplex.ulrich.digital\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/astrodicticum-simplex.ulrich.digital\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/astrodicticum-simplex.ulrich.digital\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/astrodicticum-simplex.ulrich.digital\/index.php\/wp-json\/wp\/v2\/comments?post=22138"}],"version-history":[{"count":1,"href":"https:\/\/astrodicticum-simplex.ulrich.digital\/index.php\/wp-json\/wp\/v2\/posts\/22138\/revisions"}],"predecessor-version":[{"id":22139,"href":"https:\/\/astrodicticum-simplex.ulrich.digital\/index.php\/wp-json\/wp\/v2\/posts\/22138\/revisions\/22139"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/astrodicticum-simplex.ulrich.digital\/index.php\/wp-json\/wp\/v2\/media\/953"}],"wp:attachment":[{"href":"https:\/\/astrodicticum-simplex.ulrich.digital\/index.php\/wp-json\/wp\/v2\/media?parent=22138"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/astrodicticum-simplex.ulrich.digital\/index.php\/wp-json\/wp\/v2\/categories?post=22138"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/astrodicticum-simplex.ulrich.digital\/index.php\/wp-json\/wp\/v2\/tags?post=22138"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}