Zur Haupt­na­vi­ga­ti­on sprin­gen [Alt]+[0] Zum Sei­ten­in­halt sprin­gen [Alt]+[1]

Sym­me­tri­sche Chif­fren

Klas­si­sche Chif­fren hei­ßen →sym­me­trisch, weil Ab­sen­der und Emp­fän­ger den glei­chen Schlüs­sel haben, mit dem die Nach­richt ver- und ent­schlüs­selt wird. Sie ver­fü­gen also über ein ge­mein­sa­mes Ge­heim­nis. Ob­wohl →asym­me­tri­sche Krypto­sys­te­me oft „mo­der­ne“ Kryp­to­ver­fah­ren ge­nannt wer­den, weil sie erst im 20. Jahr­hun­dert auf­ka­men und ganz neue Mög­lich­kei­ten bie­ten, sind die sym­me­tri­schen Chif­fren nach wie vor un­ver­zicht­bar. Bei Schü­lern ent­steht oft die Fehl­vor­stel­lung, asym­me­tri­sche Ver­fah­ren seien ir­gend­wie „bes­ser“, weil sie neuer sind; tat­säch­lich er­öff­nen sie nur an­de­re Ein­satz­ge­bie­te. Ein Bei­spiel hier­für ist →SSL/TLS, das so­wohl auf star­ke sym­me­tri­sche als auch asym­me­tri­sche Chif­fren an­ge­wie­sen ist.

Di­dak­tisch-me­tho­di­sche Hin­wei­se

Die Aus­wahl der hier vor­ge­stell­ten sym­me­tri­schen Chif­fren ist un­voll­stän­dig. Die Cae­sar-Chif­fre bie­tet als Ein­stieg aber den Vor­teil, dass fun­da­men­ta­le Be­grif­fe und Vor­gän­ge (Nach­richt, →Klar­text, →Chif­fre­text, →Chif­fre, →Schlüs­sel, →chif­frie­ren/de­chif­frie­ren, →bre­chen, →An­griff) an einem sehr ein­fa­chen Bei­spiel er­läu­tert wer­den kön­nen. In der hier vor­ge­schla­ge­nen Reihen­folge wer­den die Chif­fren nach­ein­an­der ge­bro­chen und die je­weils ent­schei­den­de Schwach­stel­le dann in der nächs­ten Chif­fre ge­schlos­sen, was einen gut sicht­ba­ren roten Faden durch die Ein­heit er­gibt. Auch in der Ge­schich­te der Kryp­to­gra­fie be­wegt man sich damit all­mäh­lich voran. Dabei kön­nen aus Zeit­grün­den nicht alle Ver­fah­ren in Klas­se 7 be­spro­chen wer­den. Die Klas­se 7 kann nur einen ers­ten Ein­blick in die Kryp­to­lo­gie ge­wäh­ren.

An­fangs sind bei den Schü­lern ins­be­son­de­re die Be­grif­fe Chif­fre, Schlüs­sel, ver-/ent­schlüs­seln (de-/chif­frie­ren) und bre­chen noch sehr un­scharf. Eine prä­zi­se Fach­spra­che er­leich­tert hier die Kon­zept­bil­dung (s. Glos­sar). Auch den Be­griff →Co­die­rung soll­te man zu­nächst ver­mei­den, weil er sonst mit ver­schlüs­seln ver­wech­selt wird.

Es bie­tet sich an, die hier vor­ge­stell­ten klas­si­schen sym­me­tri­schen Chif­fren alle nach dem glei­chen Mus­ter zu be­han­deln:

  • Wie wird ver­schlüs­selt?
  • Wie wird ent­schlüs­selt?
  • Wel­che Schwach­stel­le hat die Chif­fre? Wie nutzt man sie aus, um die Chif­fre zu bre­chen?

Nor­ma­ler­wei­se be­han­delt der Schul­un­ter­richt (aller Fä­cher) nur die Frage, wie etwas funk­tio­niert. Dabei ist das Ver­sa­gen eines Sys­tems doch viel in­ter­es­san­ter! Kryp­to­gra­fie bie­tet die Ge­le­gen­heit für einen ent­spre­chen­den Per­spek­ti­ven­wech­sel: Beim An­griff auf eine Chif­fre kann man auch ein­mal Feh­ler, Schwä­chen und Schei­tern zum Ge­gen­stand des Un­ter­richts ma­chen. Das ist nicht nur für zu­künf­ti­ge Kryp­to­lo­gen loh­nend.

Cae­s­ar­chif­fre (ca. 55 vor Chr.)

Die Ver­wen­dung die­ser Chif­fre durch Ju­li­us Cae­sar ist his­to­risch ver­bürgt.

Ver­schlüs­seln: Jeden Buch­sta­ben des Klar­tex­tes ver­schiebt man im Al­pha­bet um einen be­stimm­ten Ab­stand nach hin­ten; die­sen Ab­stand haben Ab­sen­der und Emp­fän­ger vor­her ver­ein­bart und hal­ten ihn ge­heim. Ein sol­ches Ge­heim­nis heißt →Schlüs­sel. Den re­sul­tie­ren­den Buch­sta­ben schreibt man in den Chif­fre­text1:

Caesar1

Den Chif­frier­vor­gang kann man z.B. so auf­schrei­ben:

Caesar2

Ent­schlüs­seln: Der le­gi­ti­me Emp­fän­ger kennt den Schlüs­sel, macht die Ver­schie­bung buch­sta­ben­wei­se rück­gän­gig und er­hält wie­der den Klar­text.

Schwach­stel­le und An­griff: Es gibt über­haupt nur 26 Ver­schie­bun­gen des Al­pha­bets; wenn man das un­ver­scho­be­ne Al­pha­bet bei­sei­te lässt, hat die Cae­sar-Chif­fre nur 25 mög­li­che Schlüs­sel.1 Man kann schlicht und ein­fach alle Schlüs­sel durch­probieren (in einer Klas­se reicht es, wenn jeder Schü­ler eine Ver­schie­bung tes­tet) und be­kommt frü­her oder spä­ter sinn­vol­len Klar­text her­aus. Diese Art An­griff heißt wegen des voll­stän­di­gen Feh­lens jed­we­der Raf­fi­nes­se auch →brute-force-An­griff.

Schü­ler ar­gu­men­tie­ren hier (oder bei der Sub­sti­tu­ti­ons­chif­fre) oft, der Geg­ner könne die­sen An­griff aber nur durch­füh­ren, wenn er schon weiß, dass es sich um eine Cae­s­ar­chif­fre han­delt; so lange das ver­wen­de­te Sys­tem ge­heim ist, sei alles in Ord­nung. Die Lehr­per­son soll­te diese Ge­le­gen­heit un­be­dingt nut­zen, das Kerck­hoff'sche Prin­zip zu er­läu­tern.

Kerck­hoff'sches Prin­zip

Im Jahr 1883 for­mu­lier­te Au­gus­te Kerck­hoff ein Grund­prin­zip der Kryp­to­lo­gie:2

In einem guten Krypto­sys­tem muss nur der Schlüs­sel ge­heim blei­ben.

Wer eine Chif­fre oder ein an­de­res Krypto­sys­tem er­fin­det oder ein­setzt, soll­te sich also nie dar­auf ver­las­sen, dass des­sen zu­grun­de­lie­gen­den Ideen, Al­go­rith­men und Im­ple­men­tie­run­gen ge­heim blei­ben. Diese Hoff­nung ist meis­tens trü­ge­risch. Im mi­li­tä­ri­schen Be­reich ist das zu­min­dest für tak­ti­sche Kom­mu­ni­ka­ti­on auch of­fen­sicht­lich, denn frü­her oder spä­ter wird der Geg­ner na­tür­lich Chif­frier­ge­rä­te er­beu­ten und einen dafür aus­ge­bil­de­ten Fun­ker ge­fan­gen neh­men. Der Ver­such, ein Sys­tem durch das Ver­schlei­ern sei­ner Funk­ti­ons­wei­se si­cher zu ma­chen, heißt „se­cu­ri­ty by ob­scu­ri­ty“ und gilt unter Kryp­to­gra­fen als un­se­ri­ös.

Dass man sich für die Si­cher­heit eines Sys­tems nicht auf Ge­heim­hal­tung stüt­zen soll, heißt an­de­rer­seits nicht, dass man es un­be­dingt pu­bli­zie­ren muss. Diese Ent­schei­dung hängt auch davon ab, ob man auf die sorg­fäl­ti­ge Ana­ly­se durch ein auf­merk­sa­mes Fach­pu­bli­kum und eine ent­spre­chen­de Rück­mel­dung hof­fen kann. Auch si­cher­heits­re­le­van­te Teile eines Betriebs­systems ste­hen ja buch­stäb­lich jedem Nut­zer zur Ver­fü­gung, las­sen sich also nicht wirk­lich ge­heim hal­ten (auch wenn ohne Pro­gramm­quell­text ihre Ana­ly­se äu­ßerst müh­sam ist). Das Kerck­hoff'sche Prin­zip wird daher als Ar­gu­ment zu­guns­ten von Open-Sour­ce-Soft­ware (OSS) ver­wen­det. Al­ler­dings zeigt die 2014 als „Heart­bleed“ be­kannt ge­wor­de­ne Si­cher­heits­lü­cke in OpenS­SL genau wie an­de­re spek­ta­ku­lä­re Feh­ler in OSS, dass die Fach­welt die Chan­ce für eine gründ­li­che Prü­fung nicht immer nutzt.

Un­strit­tig ist aber die fol­gen­de Aus­le­gung des Kerck­hoff'schen Prin­zips:

Je we­ni­ger Ge­heim­nis­se ein Krypto­sys­tem braucht, desto ro­bus­ter ist es.

Sub­sti­tu­ti­ons­chif­fre (ca. 800 n. Chr.)

Es gilt nun, einen brute-force-An­griff wie auf die Cae­sar-Chif­fre aus­zu­schlie­ßen. Das ge­lingt mit der Sub­sti­tu­ti­ons­chif­fre. Die Ver­wen­dung die­ser Chif­fre wird Karl dem Gro­ßen und Hil­de­gard von Bin­gen nach­ge­sagt3. Ver­schlüs­seln: Das Al­pha­bet wird nicht mehr ro­tiert, son­dern „ver­wür­felt“. Jedem Buch­sta­ben des Al­pha­bets wird ein an­de­rer Buch­sta­be zu­ge­ord­net; diese Zu­ord­nung haben Ab­sen­der und Emp­fän­ger vor­her ver­ein­bart und hal­ten sie ge­heim.
Substitutionschiffre1

Die obere Zeile lau­tet na­tür­lich immer gleich und ist damit nicht ge­heim. Der Schlüs­sel be­steht also aus der zwei­ten Zeile die­ser Ta­bel­le4. Weil für den gan­zen Klar­text ein ein­zi­ges Er­set­zungs­al­pha­bet ver­wen­det wird, heißt eine sol­che Chif­fren auch →mo­no­al­pha­be­tisch. Die Cäsar-Chif­fre stellt einen Spe­zi­al­fall der mo­no­al­pha­be­ti­schen Sub­sti­tu­ti­on dar.

Den Chif­frier­vor­gang kann man z.B. so auf­schrei­ben:

Substitutionschiffre2

Ent­schlüs­seln: Der le­gi­ti­me Emp­fän­ger kennt den Schlüs­sel, macht die Zu­ord­nung buchstaben­weise rück­gän­gig und er­hält wie­der den Klar­text.

Schwach­stel­le und An­griff: Wi­der­steht diese Chif­fre jetzt einem brute-force-An­griff? Wie viele denk­ba­re Schlüs­sel hat die Sub­sti­tu­ti­ons­chif­fre?

Der Schlüs­sel ist eine Per­mu­ta­ti­on des Al­pha­bets, es gibt also 26! ≈ 4∙1026 ver­schie­de­ne Schlüs­sel. Aus­führ­li­cher: Für den Schlüs­sel­buch­sta­ben unter A gibt es 26 Mög­lich­kei­ten, einen Schlüs­sel­buch­sta­ben aus­zu­wäh­len, für den unter B nur noch 25 usw. Ins­ge­samt gibt es also 26∙25∙24∙...∙2∙1=26! ver­schie­de­ne Schlüs­sel.

Ist 26! genug?

Für diese Ab­schät­zung den­ken wir uns den An­griff auf einer ex­trem schnel­len, aber frei er­fun­de­nen Ma­schi­ne. Einen sol­chen Rech­ner kann auch die NSA nicht bauen. Wie lange kann der brute-force-An­griff damit höchs­tens brau­chen, wenn diese Ma­schi­ne...:

  • mit Spe­zi­al­pro­zes­so­ren ar­bei­tet, die in jedem Takt einen Schlüs­sel tes­ten kön­nen (also in einem Takt fest­stel­len, ob es der rich­ti­ge Schlüs­sel ist oder nicht);
  • mit 10 GHz Takt­fre­quenz läuft, also jeder Pro­zes­sor zehn Mil­li­ar­den Takte pro Se­kun­de aus­führt;
  • 100 sol­cher Pro­zes­so­ren in jedem Ser­ver­schrank ste­cken hat;
  • aus 100 sol­cher Schrän­ke im Re­chen­zen­trum der NSA be­steht?

Se­kun­den? Mi­nu­ten? Jahr­tau­sen­de?

Es dau­ert höchs­tens 26! ≈ 4∙1026 Pro­zes­sort­ak­te, bis die Ma­schi­ne alle Schlüs­sel aus­pro­biert hat. Dafür braucht sie 120000 Jahre, im Mit­tel also 60000 Jahre.

Dabei ist diese Ma­schi­ne ja schon Uto­pie! Die Sub­sti­tu­ti­ons­chif­fre ist also immun gegen einen brute-force-An­griff. Lässt man die Schü­ler jetzt Schluss­fol­ge­run­gen zie­hen, be­wer­ten viele sie als „un­knack­bar“. Das ist di­dak­tisch ge­wollt, denn der glei­che Feh­ler ist auch in der Ge­schich­te der Kryp­to­gra­fie immer wie­der ge­macht wor­den: „Mir fällt kein An­griff ein. Dann wird das Sys­tem wohl si­cher sein!“. Oder, wie es der Kryp­to­lo­gie-Ex­per­te Bruce Schnei­er aus­drückt: „Ever­y­bo­dy can in­vent a ci­pher that he him­s­elf can­not break“.

Tat­säch­lich ist diese Chif­fre sehr schwach.

Die Häu­fig­kei­ten der ein­zel­nen Buch­sta­ben blei­ben auch nach der Sub­sti­tu­ti­ons­chif­fre er­hal­ten. Ab­bil­dung 4 zeigt die Häu­fig­keits­ver­tei­lung der Buch­sta­ben in deut­schen Tex­ten; das E als mit Ab­stand häu­figs­ter Buch­sta­be der deut­schen Spra­che sticht deut­lich her­aus. Im Bei­spiel von Seite 8 würde man es im Chif­fre­text als häu­fi­ges S wieder­finden.

Buchstabenhäufigkeit

Ab­bil­dung 4: Buch­sta­ben­häu­fig­kei­ten der deut­schen Spra­che, hier mit Um­lau­ten, Leer- und Satz­zei­chen. Links sieht man deut­lich das E, das im Deut­schen stark her­aus­sticht und sich bei einer mo­no­al­pha­be­ti­schen Chif­fre so­fort ver­rät. Die nächst­häu­fi­ge­ren Buch­sta­ben I, N, R, S, T un­ter­schei­den sich aber kaum noch; man ge­winnt sie statt­des­sen durch die Ana­ly­se von Buch­sta­ben­paa­ren und -tri­peln. Rechts sind Um­lau­te, Satz- und das auf­fäl­li­ge Leer­zei­chen. Die­ses lässt man bei der Ver­schlüs­se­lung aber oft ein­fach weg.

Bild „Al­pha­bet Häu­fig­keit“, Ar­beits­grup­pe EBUSS. URL: https://​de.​wi­ki­pe­dia.​org/​wiki/​Datei:​Al­pha­be­t_​hau­fig­keit.​svg (ab­ge­ru­fen: No­vem­ber 2016) [GNU-Li­zenz für freie Do­ku­men­ta­ti­on]

In Ab­bil­dung 4 fällt au­ßer­dem auch die Häu­fig­keit des Leer­zei­chens auf. Weil es nicht nur oft, son­dern auch noch in cha­rak­te­ris­ti­schen Ab­stän­den auf­tritt, wäre es ein­fach zu iden­ti­fi­zie­ren und würde dann so­fort Rück­schlüs­se auf Wort­län­gen zu­las­sen. Des­we­gen →nor­ma­li­siert man bei allen klas­si­schen Chif­fren den Klar­text vor dem Chif­frie­ren:

NAECHSTERANGRIFFZWEIUHRFUENFZEHN

Trigramme

Ab­bil­dung 5: Die häu­figs­ten Tri­gram­me der deut­schen Spra­che

Siehe Seite „N-Gramm“. URL: https://​de.​wi­ki­pe­dia.​org/​wiki/​N-​Gramm (ab­ge­ru­fen: No­vem­ber 2016)

Außer dem E sind dann zwar keine wei­te­ren Einzelbuch­staben so­fort aus dem His­to­gramm er­sicht­lich; aber auch Buch­sta­ben­paa­re und -tri­pel (→Di­gram­me und →Trigram­me) wei­sen in jeder Spra­che cha­rak­te­ris­ti­sche Häufig­keiten auf (Abb. 5). Falls der Chif­fre­text lang genug ist, er­laubt das einen ein­fa­chen und schnel­len An­griff: Das schon be­kann­te E kommt in drei der häu­figs­ten Tri­gram­me vor und ver­rät damit auch die Chiffrebuch­staben zu N, I, D, U und R. Dazu kom­men C und H. Wer etwas Übung mit Kreuz­wort- und ähn­li­chen Rät­seln hat, kann den Rest des Al­pha­bets schnell er­schlie­ßen.

Es gibt viele Spe­zi­al­fäl­le der Sub­sti­tu­ti­ons­chif­fre. Man kann den Schlüs­sel etwa aus einem leicht zu mer­ken­den Satz kon­stru­ie­ren, der den An­fang des Schlüs­sels bil­det:

Spezialfälle1

Sol­che Va­ri­an­ten sind na­tür­lich nie schwie­ri­ger zu bre­chen als der all­ge­mei­ne Fall der mono­alpha­betischen Sub­sti­tu­ti­on, meis­tens wird der An­griff sogar deut­lich er­leich­tert: In die­sem Fall kon­zen­trie­ren sich etwa die sel­te­ne­ren Buch­sta­ben im hin­te­ren Teil des Schlüs­sel­al­pha­bets, und wer den Ab­sen­der der Nach­richt kennt, kann plau­si­ble Ver­mu­tun­gen dar­über an­stel­len, wel­che Wör­ter im Schlüs­sel wohl auf­tau­chen wer­den.

Ho­mo­pho­ne Chif­fre

Die ho­mo­pho­ne Chif­fre ist eben­falls mo­no­al­pha­be­tisch; sie ver­schlei­ert aber die cha­rak­te­ris­ti­schen Buch­sta­ben­häu­fig­kei­ten, indem sie für häu­fi­ge­re Buch­sta­ben meh­re­re Er­set­zungs­zei­chen vor­sieht, aus denen beim Ver­schlüs­seln ge­wählt wer­den kann.

Homophone Chiffre

Ab­bil­dung 6: Er­set­zung der Zei­chen bei einer ho­mo­pho­nen Chif­fre. Ein Zif­fern­paar steht je­weils für ein Sym­bol des Schlüs­sel­al­pha­bets. Für das im Deut­schen mit 16% sehr häu­fi­ge E gibt es 16 mög­li­che Er­set­zun­gen, für Q nur eine.

Bild „Ho­mo­pho­ne Chif­fren“, Mar­cel Brätz. URL: https://​www.​kry​ptog​raph​iesp​ielp​latz.​de (ab­ge­ru­fen: No­vem­ber 2016)

Für den An­griff rei­chen Häu­fig­kei­ten al­lein dann nicht mehr aus. Er ge­lingt aber wie­der über Buch­sta­ben­grup­pen: Die Tat­sa­che bei­spiels­wei­se, dass im Deut­schen auf Q fast immer U folgt, zeigt sich auch im Kryp­to­text darin, dass nach der 18 fast immer 07, 16, 25 und 34 ste­hen, und zwar je­weils gleich häu­fig. Sol­che Mus­ter er­lau­ben das Bre­chen der Chif­fre.

Vigenère-Chif­fre (16.-19. Jahr­hun­dert)

Um die ein­fa­che Häu­fig­keits­ana­ly­se ab­zu­weh­ren, ent­stan­den po­ly­al­pha­be­ti­sche Sys­te­me wie die Vigenère-Chif­fre – sie galt sogar 300 Jahre lang als un­an­greif­bar. Hier ver­wen­det man für auf­ein­an­der­fol­gen­de Buch­sta­ben je­weils ver­schie­de­ne Al­pha­be­te, so dass sich die Häu­fig­kei­ten der Buch­sta­ben im Ge­heim­text weit­ge­hend ni­vel­lie­ren.

Ver­schlüs­seln: Alice und Bob haben ein Schlüs­sel­wort k ver­ein­bart, k=TOM. Alice schreibt es wie­der­ho­lend unter ihren Klar­text:

Spezialfälle1

Nun wird das erste A mit dem Schlüs­sel­al­pha­bet T ver­schlüs­selt (also wie mit einer Cae­sar-Schei­be in der Stel­lung „T unter A“5). Das U wird mit dem Al­pha­bet O, das S mit M und das K wie­der mit T ver­schlüs­selt. Am ein­fachs­ten geht das mit dem Vigenère-Qua­drat (vgl. Seite 23): Darin sucht man Schlüs­sel- bzw. Klar­text­buch­sta­be an der lin­ken bzw. obe­ren Achse und fin­det den zu­ge­hö­ri­gen Ge­heim­text­buch­sta­ben im In­ne­ren der Ta­bel­le.

Spezialfälle1

Die Häu­fig­keits­ana­ly­se schei­tert dies­mal, weil jeder Klar­text­buch­sta­be jetzt zu ver­schie­de­nen Ge­heim­text­buch­sta­ben chif­friert wird (aus R bei­spiels­wei­se wird K oder F oder D).

Ent­schlüs­seln: Emp­fän­ger Bob schreibt den Schlüs­sel unter den Ge­heim­text und ver­folgt die Buch­sta­ben zu­rück: Er fin­det dabei (was vie­len Schü­lern nicht gleich klar ist) den Ge­heim­text­buch­sta­ben im In­ne­ren der Ta­bel­le, den Schlüs­sel auf der einen und den Klar­text auf der an­de­ren Achse.

Spezialfälle1

Schwach­stel­le und An­griff: Die Chif­fre hat zwar ge­nü­gend mög­li­che Schlüs­sel, und sie ebnet die sprach­ty­pi­sche Häu­fig­keits­ver­tei­lung ein. Der An­griff ge­lingt statt­des­sen durch die Pe­ri­odi­zi­tät. Eve er­mit­telt zu­erst die Schlüs­sel­län­ge L und führt dann L-mal einen Cae­sar-An­griff durch, näm­lich einen für jeden Buch­sta­ben des Schlüs­sel­wor­tes. Für den Un­ter­richt kann man diese Rei­hen­fol­ge aber um­keh­ren. Oft fin­den Schü­ler die ent­schei­den­den Ideen dann sel­ber.

1. Man nimmt der Ein­fach­heit hal­ber an, die Schlüs­sel­län­ge sei be­kannt: L=3. Wie at­ta­ckiert man dann den Ge­heim­text c= VRUJEGXEAVNGVBXEDXISILR?

Bei Schlüs­sel­län­ge 3 ist jeder drit­te Buch­sta­be mit dem­sel­ben Schlüs­sel­al­pha­bet chif­friert wor­den: das V so wie das fol­gen­de J, das X usw. All­ge­mein wur­den die Buch­sta­ben an Po­si­ti­on 1, 4, 7, 10 usw. auf die glei­che Weise chif­friert. Man könn­te sie „Grup­pe 1“ nen­nen. Das glei­che gilt na­tür­lich auch für Po­si­ti­on 2, 5, 8, 11 usw. („Grup­pe 2“). In­ner­halb jeder der drei Grup­pen liegt ja le­dig­lich eine Cae­sar-Chif­fre vor. Man kann also grup­pen­wei­se Häu­fig­kei­ten zäh­len und auf diese Weise jede Grup­pe ein­zeln an­grei­fen. Zu­guns­ten der Über­sicht kann man die Grup­pen ge­trennt auf­schrei­ben:

Vigenère brechen 1

In Grup­pe 1 ist das V sehr häu­fig, man ver­mu­tet da­hin­ter ein E. Wenn das stimmt, müss­te der erste Schlüs­sel­buch­sta­be R sein. Grup­pe 3 führt ana­log auf T als Schlüs­sel. In Grup­pe 2 sind E und R häu­fig, damit lie­gen A und N als Schlüs­sel­buch­sta­be am nächs­ten. Man kann ein­fach beide aus­pro­bie­ren, oder man ver­wirft N, weil das auf den Wort­an­fang „EE“ füh­ren würde, der im Deut­schen nor­ma­ler­wei­se nicht vor­kommt.

Der Schlüs­sel ist also RAT, der Klar­text ERBSENGEHENNEBENDERSPUR.

2. Der nächs­te Schritt im Un­ter­richt ist na­tür­lich die Er­mitt­lung der Schlüs­sel­län­ge, die der An­grei­fer ja ei­gent­lich noch nicht kennt. Für die Schu­le eig­nen sich Ka­si­ski-Test, Au­to­kor­re­la­ti­on und der par­ti­el­le brute-force-An­griff.

Ka­si­ski-Test zur Be­stim­mung der Schlüs­sel­län­ge

Im fol­gen­den Ge­heim­text fällt bei ge­nau­em Hin­se­hen die Folge HQQH auf:

Vigenère brechen 2

Auch ohne Kennt­nis des Klar­tex­tes liegt die Ver­mu­tung nahe, dass hier das glei­che Text­frag­ment mehr­fach ver­schlüs­selt wurde, und zwar beide Male mit dem glei­chen Teil des Schlüs­sels. HQQH tritt ab Po­si­ti­on 8 und ein zwei­tes Mal ab Po­si­ti­on 23 auf. Wenn die Ver­mu­tung stimmt, muss der Ab­stand 23-8=15=3∙5 zwi­schen den Frag­men­ten also ein Viel­fa­ches der Schlüs­sel­län­ge sein, d.h. man ver­mu­tet L=3 oder L=5 oder L=15. Wenn an­de­re Zei­chen­fol­gen eben­falls mehr­fach auf­tre­ten, kann man auf diese Weise die Schlüs­sel­län­ge schnell ein­gren­zen – und mit dem oben be­schrie­ben An­griff wei­ter­ma­chen.

Das obige Bei­spiel wurde na­tür­lich pas­send vor­be­rei­tet, aber in län­ge­ren Tex­ten pas­siert das tat­säch­lich auch von selbst, vor allem mit häu­fi­gen →Di- und →Tri­gram­men.

Au­to­kor­re­la­ti­on zur Be­stim­mung der Schlüs­sel­län­ge

Die Au­to­kor­re­la­ti­ons­me­tho­de lässt sich be­son­ders gut au­to­ma­ti­sie­ren. „Von Hand“ ist sie zwar etwas müh­sa­mer als der Ka­si­ski-Test; dafür funk­tio­niert sie aber auch bei Tex­ten, die gar keine sich wie­der­ho­len­den Buch­sta­ben­fol­gen ent­hal­ten.

Die Vigenère-Chif­fre ebnet zwar die Häu­fig­keits­un­ter­schie­de zwi­schen den Grup­pen ein, aber in­ner­halb einer Grup­pe sind immer die glei­chen Buch­sta­ben häu­fig (bzw. sel­ten). Das nutzt man aus, indem man den Ge­heim­text buch­sta­ben­wei­se ver­schiebt und seine Über­ein­stim­mun­gen mit sich sel­ber zählt. Wenn nach der rich­ti­gen Ver­schie­bung (näm­lich um genau eine Schlüs­sel­län­ge) alle Buch­sta­ben wie­der mit denen ihrer ei­ge­nen Grup­pe zu­sam­men­tref­fen, fällt das bei der Zäh­lung so­fort auf:

Vigenère brechen 3

Die sechs Tref­fer bei Ver­schie­bung drei ste­chen hier deut­lich her­aus, die nächs­ten Ma­xi­ma tre­ten er­war­tungs­ge­mäß bei Ver­schie­bung 6 und 9 auf (mit nach­las­sen­der Ten­denz wegen ab­neh­men­der Über­lap­pung der bei­den Texte): Die Schlüs­sel­län­ge ist offensicht­lich 3. Diese Zäh­lung kann man Schü­ler sehr gut mit Pa­pier­strei­fen ma­chen las­sen. Da­nach kön­nen viele auch mit ei­ge­nen Wor­ten be­grün­den, warum eine Au­to­kor­re­la­ti­on die Schlüssel­länge auf­deckt.

Par­ti­el­ler brute-force-An­griff zur Be­stim­mung der Schlüs­sel­län­ge

Da Vigenère bei be­kann­ter Schlüs­sel­län­ge so ein­fach zu bre­chen ist, kann man den An­griff auch ein­fach mit allen mög­li­chen Schlüs­sel­län­gen durch­füh­ren. So­bald man die rich­ti­ge Länge rät, fällt das an­hand der statis­tischen Ei­gen­schaf­ten der Buch­sta­ben­grup­pen so­fort auf. Es han­delt sich also um einen brute-force-An­griff nur auf einen Teil des Schlüs­sels. Das Vor­ge­hen ist des­we­gen in­ter­es­sant, weil ein voll­stän­di­ger brute-force-An­griff auf den ge­sam­ten Schlüs­sel zu auf­wän­dig wäre; der zwei­tei­li­ge An­griff (näm­lich die Länge des Schlüs­sels per brute-force, da­nach sei­nen In­halt auf die oben be­spro­che­ne Weise zu er­mit­teln) ist hin­ge­gen ab­so­lut rea­lis­tisch.6 Auch die­ser An­griff ist üb­ri­gens leicht zu au­to­ma­ti­sie­ren.

Die Vigenère-Chif­fre ist damit voll­stän­dig ge­bro­chen. Ge­schicht­lich mar­kie­ren die An­grif­fe auf Vigenère den Wan­del der Kryp­to­lo­gie (vor allem der Kryp­to­ana­ly­se) von einer lin­gu­is­tisch zu einer ma­the­ma­tisch ge­präg­ten Dis­zi­plin. Der ame­ri­ka­ni­sche Kryp­to­lo­ge Wil­li­am Fre­de­rick Fried­man ent­warf um 1920 sogar einen An­griff auf die Schlüs­sel­län­ge, in den (neben statis­tischen Ei­gen­schaf­ten der Klar­text­spra­che) nur die Aus­zäh­lung der Buchstaben­häufig­keiten im Chif­fre­text ein­geht7.

Trans­po­si­ti­ons­chif­fre

Bei Trans­po­si­ti­ons­chif­fren blei­ben die Zei­chen einer Bot­schaft un­ver­än­dert er­hal­ten, wer­den statt­des­sen aber um­sor­tiert. Diese Chif­fren bil­den damit eine zwei­te Klas­se neben den Substi­tu­tionen, bei denen jedes Klar­text­zei­chen am Platz bleibt und dort durch ein an­de­res er­setzt („sub­sti­tu­iert“) wird.8

Ein ein­fa­ches Bei­spiel hier­zu ist die „Gar­ten­zaun­trans­po­si­ti­on“:

Transpositionschiffre

Bei­spie­le für diese Ver­schlüs­se­lungs­klas­se sind Sky­ta­le, Fleiß­ner­sche Scha­blo­ne oder auch →ADFGX.

One-Time-Pad (OTP, ca. 1880)

Beim hier vor­ge­schla­ge­nen Un­ter­richts­gang mar­kiert das One-Time-Pad einen char­man­ten Wen­de­punkt in der Un­ter­richts­ein­heit: Nach­dem die Schü­ler sich ge­ra­de daran ge­wöhnt haben, dass nun mal jede Chif­fre frü­her oder spä­ter ge­bro­chen wird, hal­ten sie die „un­knack­ba­re“ für ein Hirn­ge­spinst. Un­knack­ba­re Chif­fren gibt es aber.

Für die Be­grün­dung die­ser be­mer­kens­wer­ten Ei­gen­schaft ver­wen­den wir den Be­griff „Infor­mation“ wie in der In­for­ma­ti­ons­theo­rie, aber auf in­for­mel­le Weise und qua­li­ta­tiv: Er be­deu­tet hier „Aus­schluss von Mög­lich­kei­ten“. Eine Chif­fre nen­nen wir dann „per­fekt si­cher“, wenn Eve durch das Ab­fan­gen der Nach­richt kei­ner­lei In­for­ma­ti­on ge­win­nen kann.

Bei­spiel: Die Aus­sa­ge „Je­mand in Deutsch­land hat letz­ten Mitt­woch im Lotto ge­won­nen.“ lässt etwa 80 Mio. Mög­lich­kei­ten, wer das sein könn­te. Jede Ein­schrän­kung die­ser Mög­lich­kei­ten be­trach­ten wir als In­for­ma­ti­ons­zu­wachs.

  • Die Aus­sa­ge „Rü­di­ger Ober­mül­ler aus Of­fen­burg war's“ schränkt die Aus­wahl auf eine ein­zi­ge Per­son ein – mehr In­for­ma­ti­on kann man nicht be­kom­men.
  • Die Aus­sa­ge „Die Ge­win­ne­rin ist weib­lich, über 80 Jahre alt und hat min­des­tens Schuh­grö­ße 44“ schränkt die An­zahl der Kan­di­dat(inn)en dras­tisch ein – der Informa­tions­gewinn ist immer noch sehr groß.
  • Die Aus­sa­ge „Die Per­son ist älter als 9 Jahre“ ver­rin­gert den Kreis der mög­li­chen Ge­win­ner um im­mer­hin 8.000.000 Men­schen und stellt damit einen ge­rin­gen Informa­tions­gewinn dar.
  • Die Aus­sa­ge „Ich war es lei­der nicht“ schließt nur eine Per­son aus, 79999999 blei­ben übrig. Der In­for­ma­ti­ons­ge­winn ist win­zig.

Be­trach­ten wir die Sub­sti­tu­ti­ons­chif­fre noch ein­mal aus die­ser Per­spek­ti­ve und be­schrän­ken uns auf Klar­tex­te mit elf Buch­sta­ben. Wenn wir wis­sen, dass es sich um eine Sub­sti­tu­ti­ons­chif­fre han­delt (wir er­in­nern uns ans Kerck­hoff'sche Prin­zip: Über die­ses Wis­sen ver­fügt der Angrei­fer immer) – hilft uns der Ge­heim­text dann, Mög­lich­kei­ten (also Klar­tex­te) aus­zu­schlie­ßen? An­ders ge­fragt: Wel­cher elf­buch­sta­bi­ge Klar­text ist hier nicht ver­schlüs­selt wor­den?

OTP

Auch die Klar­tex­te FRUEHSTUECK, KRYPTOGRAPH, CHIFFRIEREN oder INTELLIGENT kom­men wegen ähn­li­cher Kon­flik­te nicht in Frage. Der An­grei­fer kann viele Klar­tex­te aus­schlie­ßen, nach­dem er den Ge­heim­text ab­ge­fan­gen hat. Viel­leicht kann er sogar den ech­ten Klar­text er­mit­teln. Je­den­falls ver­schafft die Kennt­nis des Ge­heim­tex­tes ihm einen ge­wis­sen Informa­tions­gewinn im oben be­schrie­be­nen Sinn. Ent­schei­dend ist, dass die­ser Zu­ge­winn durch das Abfan­gen der Nach­richt ent­steht.

Auch für die Cae­sar-Chif­fre kon­stru­iert man leicht einen Ge­heim­text und sieht, dass man mit sei­ner Hilfe Klar­tex­te aus­schlie­ßen kann. Bei Cae­sar reicht dafür schon eine kurze Nach­richt mit nur we­ni­gen Buch­sta­ben – des­we­gen ist Cae­sar ja so schwach.

Eine per­fekt si­che­re Chif­fre muss also fol­gen­de Ei­gen­schaft haben: Auch nach­dem Eve den Ge­heim­text ab­ge­fan­gen hat, kommt für sie immer noch jeder Klar­text in Frage9 (der passen­de Länge hat).

Das One-Time-Pad hat tat­säch­lich diese Ei­gen­schaft.

Schlüs­se­l­er­zeu­gung: Der Schlüs­sel muss

  1. ab­so­lut zu­fäl­lig ge­wählt wer­den,
  2. min­des­tens so lang sein wie die Nach­richt
  3. und na­tür­lich ge­heim blei­ben.

Im Un­ter­richt kann man OTP-Schlüs­sel z.B. mit einem Al­pha­bet aus Scrabb­le-Stei­nen er­zeu­gen, die man ver­deckt aus einer Ta­sche zieht. Man zieht min­des­tens so viele Buch­sta­ben, wie man spä­ter chif­frie­ren möch­te.

Ver­schlüs­seln: Genau wie bei Vigenère schreibt man Schlüs­sel und Klar­text un­ter­ein­an­der und be­nutzt das Vigenère-Ver­fah­ren. Namens­gebend ist insbeson­dere die Tat­sa­che, dass der so er­zeug­te Schlüs­sel auch...

  1. nur ein ein­zi­ges Mal ver­wen­det wer­den darf.

Den nicht be­nutz­ten Teil des Schlüs­sels kann man für die nächs­te Nach­richt auf­he­ben oder weg­wer­fen. Den be­nutz­ten Teil muss man weg­wer­fen.

Ent­schlüs­seln: Genau wie bei Vigenère schreibt man Schlüs­sel und Ge­heim­text un­ter­ein­an­der und be­nutzt die Vigenère-Ta­bel­le.

Warum ist OTP nun per­fekt si­cher?

Auch mit dem Wis­sen c=GSSPZDF kann Eve kei­nen ein­zi­gen (sie­ben­buch­sta­bi­gen) Klar­text aus­schlie­ßen. An­ders ge­sagt: Sie kann zu jedem hy­po­the­ti­schen Klar­text m' auch einen Schlüs­sel k' an­ge­ben, der aus die­sem m' den Chif­fre­text c=GSSPZDF ge­macht hätte, und die­ses k' ist ge­nau­so wahr­schein­lich wie alle an­de­ren auch. Sie muss also alle m' nach wie vor in Be­tracht zie­hen. Eve er­fährt daher nichts Neues über m (was sie nicht auch schon vor dem Ab­fan­gen der Nach­richt wuss­te).

Aber der Su­per­rech­ner der NSA kann es doch be­stimmt mit brute force?! Brute force lie­fert eine Liste aller Klar­tex­te (mit pas­sen­der Länge) – und kein ein­zi­ger sticht ir­gend­wie her­aus. Man hat nichts ge­won­nen. Es gibt eben keine An­grif­fe auf OTP, nicht heute und nicht mor­gen. Sie kön­nen auch nicht er­fun­den wer­den. Weder schnel­le­re Ma­schi­nen noch Quan­ten­com­pu­ter kön­nen OTP an­grei­fen. Wenn die In­for­ma­ti­on im Chif­fre­text gar nicht drin­steckt – dann kann auch kein Ver­fah­ren sie her­aus­ho­len.

OTP ist per­fekt si­cher. Prima! Dann waren ja alle kryp­to­gra­fi­schen Pro­ble­me schon 1880 ge­löst. Aber woran ar­bei­ten Kryp­to­gra­fen dann über­haupt? OTP ist zwar sehr ein­fach und sehr si­cher, wirft aber in der prak­ti­schen An­wen­dung mas­si­ve Pro­ble­me auf.

Pro­blem des →Schlüs­sel­aus­tauschs: Wenn man genau so viel Schlüs­sel­ma­te­ri­al braucht, wie auch die Nach­richt lang ist, und der Schlüs­sel auf einem si­che­ren Weg über­mit­telt wer­den muss – dann könn­te man dar­über ja auch gleich die Nach­richt sel­ber ver­schi­cken.

Pro­blem der Schlüs­sel­ver­wal­tung: Das kom­plet­te OTP-Schlüs­sel­ma­te­ri­al muss nicht nur er­zeugt und über­ge­ben, son­dern an­schlie­ßend bis zur Ver­wen­dung auch si­cher auf­be­wahrt wer­den. Das ist in vie­len Sze­na­ri­en („Ge­heim­agent in Fein­des­land“) gar nicht mach­bar.

Auch die man­geln­de Ro­bust­heit von OTP ist pro­ble­ma­tisch: Es bie­tet per­fek­te Si­cher­heit – bei rich­ti­ger Durch­füh­rung. Aber schon bei kleins­ten Feh­lern in der Hand­ha­bung stürzt OTP wie ein Kar­ten­haus in sich zu­sam­men. Das ist im All­tag ge­fähr­lich, und zwar nicht nur wenn Laien die Chif­fre ein­set­zen.

Ob­wohl das One-Time-Pad für die meis­ten An­wen­dun­gen un­prak­tisch ist, wurde und wird es tat­säch­lich ein­ge­setzt, wenn ei­ner­seits Geld keine Rolle spielt und an­de­rer­seits Schlüssel­verteilung und -ver­wal­tung lo­gis­tisch mach­bar sind. Das war bei­spiels­wei­se beim „Hei­ßen Draht“ zwi­schen Mos­kau und Wa­shing­ton der Fall: Diese Fernschreib­verbin­dung soll­te im Kal­ten Krieg ver­hin­dern, dass auf­grund von Miss­ver­ständ­nis­sen Ra­ke­ten star­ten. Auch im Zwei­ten Welt­krieg war die Wei­ter­ga­be ge­bro­che­ner Enig­ma-Funk­sprü­che von Bletch­ley Park nach Lon­don zwar sehr eilig; noch wich­ti­ger war den Bri­ten aber die ab­so­lu­te Ge­heim­hal­tung ihres Ein­bruchs in Enig­ma. Ein OTP leis­tet bei­des.

Beide Sze­na­ri­en (Kal­ter Krieg und Bletch­ley) er­lau­ben den Ein­satz von OTP, weil der vorheri­ge Aus­tausch aus­rei­chen­der Men­gen Schlüssel­material „auf Vor­rat“ ohne wei­te­res durch­führ­bar war. In bei­den Fäl­len ver­ein­facht auch die Punkt-zu-Punkt-Ver­bin­dung die Schlüs­sel­ver­tei­lung (im Ver­gleich zu einem Kom­mu­ni­ka­ti­ons­netz).

Viele an­de­re Krypto­sys­te­me ahmen die Idee nach, indem sie aus einem kur­zen Schlüs­sel einen lan­gen, un­re­gel­mä­ßi­gen, aber eben nur pseu­do­zu­fäl­li­gen „Schlüs­sel­strom“ er­zeu­gen, mit dem dann der Klar­text chif­friert wird; auch Enig­ma ist dafür ein Bei­spiel. Die Si­cher­heit eines One-Time-Pad er­reicht man damit aber nicht.

Enig­ma

Die Chif­frier­ma­schi­ne Enig­ma10 wurde von den Zwan­zi­ger­jah­ren bis 1945 vom deut­schen Mi­li­tär ver­wen­det. Trotz re­gel­mä­ßi­ger Ver­bes­se­run­gen vor allem wäh­rend des Krie­ges ge­lan­gen den Al­li­ier­ten immer wie­der Ein­brü­che in die Chif­fre; letzt­lich konn­ten deut­sche Enig­ma-Funk­sprü­che na­he­zu kon­ti­nu­ier­lich ent­zif­fert wer­den, was den Krieg ver­mut­lich um Jahre ver­kürzt hat.

Ob­wohl das Thema sehr span­nend ist und im Un­ter­richt auch gut an­kommt, wird hier auf De­tails ver­zich­tet. Eine aus­ge­zeich­ne­te Dar­stel­lung fin­det sich bei swis­se­duc.ch11, auch sehr gute Si­mu­la­to­ren sind leicht ver­füg­bar12.

Mo­der­ne sym­me­tri­sche Chif­fren: DES, AES und ihre An­wen­dung

Nach der Ein­füh­rung asym­me­tri­scher Ver­fah­ren (siehe unten) ent­steht oft die Fehl­vor­stel­lung, sym­me­tri­sche Ver­fah­ren seien nun über­flüs­sig oder zu schwach, asym­me­tri­sche hin­ge­gen neu und si­cher. Ganz im Ge­gen­teil sind star­ke sym­me­tri­sche Ver­fah­ren auch bei sehr mo­der­nen Anwen­dun­gen wie etwa SSL/TLS prin­zi­pi­ell un­ver­zicht­bar.

Sym­me­tri­sche Chif­fren sind auch in ak­tu­el­len An­wen­dun­gen weit ver­brei­tet. Für Clouds oder ver­schlüs­sel­te Con­tai­ner auf ei­ge­nen Spei­cher­me­di­en ist bei­spiels­wei­se kein auf­wän­di­ger Schlüs­sel­aus­tausch nötig, wenn nur eine Per­son oder eine klei­ne Grup­pe dar­auf zu­greift.

Sym­me­tri­sche Chif­fren wie DES und AES wer­den für viele mo­der­ne An­wen­dun­gen ein­ge­setzt. Das Por­tal inf-schu­le.de bie­tet hier­zu (wie für viele wei­te­re The­men) Ma­te­ri­al und Auf­ga­ben.

Inf-schu­le.de: AES – Ein mo­dern­des sym­me­tri­sches Chif­frier­ver­fah­ren.

Di­dak­ti­scher Hin­weis: Es bie­tet sich an, eine prak­ti­sche Ein­heit etwa mit Ver­a­Crypt anzuschlie­ßen. Der­zeit (Früh­jahr 2016) ist Ver­a­Crypt das ein­zi­ge Kryp­to­con­tai­ner-Werk­zeug, das Open Sour­ce ist, als hin­rei­chend si­cher gilt und unter Linux, MacOS und Win­dows glei­cher­ma­ßen kom­for­ta­bel funk­tio­niert. Daran kön­nen Schü­ler ganz kon­kret er­le­ben, wie Kryp­to­gra­fie mit wenig Auf­wand und ge­rin­ger Ein­ar­bei­tung ihren All­tag er­leich­tert. Da sich die Tools und ihre Hand­ha­bung immer wie­der än­dern, wird hier auf fer­ti­ge Ar­beits­blät­ter und Ab­lauf­be­schrei­bun­gen ver­zich­tet. Unter http://​leh​rerf​ortb​ildu​ng-​bw.​de/​werk­statt/​si­cher­heit/​stick­crypt/​vc/ kön­nen Sie der­zeit Un­ter­la­gen zu Ver­a­Crypt ab­ru­fen.

Aus dem­sel­ben Grund soll­te auch bei einer prak­ti­schen Ein­heit Wert dar­auf ge­legt wer­den, die kryp­to­gra­fi­schen Fach­kon­zep­te wie­der­zu­er­ken­nen und zu be­nen­nen: Warum ist für diese An­wen­dung eine sym­me­tri­sche Chif­fre sinn­voll? Warum ein star­kes Pass­wort? Warum muss man beim Schlüs­se­l­er­zeu­gen in Ver­a­Crypt „so ko­misch an der Maus wa­ckeln“? Die Er­zeu­gung der Zu­falls­zah­len aus der Maus­be­we­gung ist eine gute Ge­le­gen­heit, über vom Rech­ner er­zeug­te Pseu­do­zu­falls­zah­len und ihren Ein­fluss auf die Si­cher­heit eines Krypto­systems zu spre­chen.

 

1 Cae­sar soll zu­sätz­lich die Buch­sta­ben ins grie­chi­sche Al­pha­bet über­tra­gen haben. Weil dabei kein Ge­heim­nis (kein Schlüs­sel) be­nö­tigt wird, han­delt es sich aber im kryp­to­gra­fi­schen Sinn nicht um eine Chif­fre, son­dern eine Co­die­rung (hier im Sinne einer Ge­heim­schrift).

2 Den Schlüs­sel 0 wol­len Schü­ler in­tui­tiv aus­schlie­ßen, ob­wohl er zu­min­dest für sehr kurze Klar­tex­te (mit einem oder zwei Buch­sta­ben) nicht un­si­che­rer ist als an­de­re. Die­ser Über­le­gung gehen wir auf Seite 15 nach.

3 Siehe Seite „Ge­schich­te der Kryp­to­gra­phie“. URL:https://​de.​wi­ki­pe­dia.​org/​wiki/​Ge­schich­te_​der_​Kry​ptog​raph​ie (ab­ge­ru­fen: No­vem­ber 2016) – ver­weist auf Fried­rich L. Bauer: Ent­zif­fer­te Ge­heim­nis­se. 3., über­ar­bei­te­te und er­wei­ter­te Auf­la­ge. Sprin­ger, 2000, ISBN 3-540-67931-6

4 Der Schlüs­sel im Bei­spiel wurde durch ver­deck­tes Zie­hen (ohne Zu­rück­le­gen) von Scrabb­le-Stei­nen er­zeugt. Dabei wurde zuvor von jedem Buch­sta­ben genau ein Stein in den Sack ge­legt. Nun wird hier ein Buch­sta­be (das T) auf sich selbst ab­ge­bil­det. Ist das schlimm? Soll­te man es kor­ri­gie­ren? Den gan­zen Schlüs­sel ver­wer­fen? Oder we­nigs­tens das T neu zie­hen? Schü­ler plä­die­ren oft für eine Kor­rek­tur, „weil der Schlüs­sel sonst nicht zu­fäl­lig genug“ sei. Tat­säch­lich würde das Ver­wer­fen ver­meint­lich „un­zu­fäl­li­ger“ Schlüs­sel das Sys­tem aber sogar schwä­chen, weil dann we­ni­ger Mög­lich­kei­ten blei­ben. Und (Kerck­hoff'sches Prin­zip!) der Geg­ner weiß ja, ob wir Schlüs­sel ver­wer­fen, die uns nicht ge­fal­len, und wenn ja, wel­che. Der glei­che Feh­ler un­ter­lief im zwei­ten Welt­krieg auch den Deut­schen bei der Er­zeu­gung von Enig­ma-Schlüs­seln: Keine Walze durf­te am nächs­ten Tag wie­der an der glei­chen Stel­le ste­cken, weil das als „un­zu­fäl­lig“ an­ge­se­hen wurde. Die­ser Hand­ha­bungs­feh­ler er­leich­ter­te (wie viele an­de­re) den Bri­ten auch tat­säch­lich den An­griff auf Enig­ma.

5 Me­tho­di­scher Hin­weis: Die Lehr­per­son muss nicht un­be­dingt for­mu­lie­ren, dass hier „wie mit Cae­sar“ ge­ar­bei­tet wird. Man­che Schü­ler be­mer­ken das auch selbst, ins­be­son­de­re wenn sie die Chif­fre dann bre­chen sol­len. Spätes­tens für den An­griff soll­te diese Ein­sicht aber bei allen vor­han­den sein.

6 Durch ein ver­gleich­ba­res Vor­ge­hen ge­lang dem pol­ni­schen Team um Ma­ri­an Re­je­w­ski schon Mitte der 30er Jahre ein Ein­bruch in die deut­sche Chif­fre Enig­ma: Auch Enig­ma hatte einen zwei­tei­li­gen Schlüs­sel, und es ge­lang Re­je­w­ski, die bei­den Teile ge­trennt an­zu­grei­fen. Für den ers­ten Teil ließ Re­je­w­ski be­stimm­te Ei­gen­schaf­ten von ca. 100000 Ein­stel­lun­gen vor­aus­be­rech­nen (das dau­er­te etwa ein Jahr), der zwei­te war ein Spe­zi­al­fall einer Substi­tutionschiffre. Re­je­w­ski legte damit den Grund­stein für die spä­te­ren bri­ti­schen Er­fol­ge gegen Enig­ma.

7 Siehe Seite „Fried­man-Test“. URL: https://​de.​wi­ki­pe­dia.​org/​wiki/​Fried­man-​Test (ab­ge­ru­fen: No­vem­ber 2016)

8 Siehe Seite „Trans­po­si­ti­on (Kryp­to­gra­phie)“. URL: https://​de.​wi­ki­pe­dia.​org/​wiki/​Tra​nspo​siti​on_(Kryp­to­gra­phie) (ab­ge­ru­fen: No­vem­ber 2016)

9 Dabei darf Eve durch­aus wis­sen, dass be­stimm­te Nach­rich­ten vor­kom­men kön­nen und an­de­re nicht, oder dass ANGRIFFIMMORGENGRAUEN im Mo­ment plau­si­bler ist als HABLUSTAUFPIZZAFUNGHI – aber das wuss­te sie ja auch schon vor dem Ab­fan­gen der Nach­richt. Ent­schei­dend ist, dass sie da­nach keine zu­sätz­li­che In­for­ma­ti­on hat.

10 Siehe Seite „Enig­ma_(Ma­schi­ne)“. URL: https://​de.​wi­ki­pe­dia.​org/​wiki/​Enig­ma_(Ma­schi­ne) (ab­ge­ru­fen: No­vem­ber 2016)

11 Siehe Seite „Ei­nig­ma Do­ku­men­ta­ti­on“. URL: http://​www.​swis­se­duc.​ch/​in­for­ma­tik/​daten/​kryp­to­lo­gie_​ge­schich­te /docs/enig­ma_do­ku­men­ta­ti­on.pdf (ab­ge­ru­fen: No­vem­ber 2016)

12 Siehe Seite „Uni­ver­sal Enig­ma“. URL: https://​peop­le.​phy­sik.​hu-​ber­lin.​de/~pal­loks/js/enig­ma/enig­ma-u_v20.html Siehe Seite „Enig­ma­si­mu­la­tor 7.0“. URL: http://​users.​te­l­e­net.​be/​d.​ri­j­men­ants/​en/​enig­ma­sim.​htm (ab­ge­ru­fen: No­vem­ber 2016)

 

Hin­ter­grund: Kryp­to­gra­phie: Her­un­ter­la­den [odt][408 KB]

Hin­ter­grund: Kryp­to­gra­phie: Her­un­ter­la­den [pdf][379 KB]

 

Wei­ter zu Asym­me­tri­sche Chif­fren