Kryptologie
Fünfte, abermals leicht verbesserte Auflage, 1996
Verlag Vieweg
ISBN 3-528-38990-7
180 Seiten
DM 34,--
Aut prodesse volunt aut delectare poetae
aut simul et iucunda et idonea dicere vitae.
(Horaz)
Seit es mit Sprache begabte Lebewesen gibt, gibt es auch vertrauliche Mitteilungen, also Mitteilungen, die nur für eine einzige Person oder nur für einen ganz bestimmten Personenkreis gedacht sind, und von denen Außenstehende keine Kenntnis erhalten sollen.
Wie kann eine Nachricht 'sicher' übermittelt werden, also so, daß kein Unbefugter Kenntnis vom Inhalt dieser Nachricht erhält? Eine damit zusammenhängende, fast noch wichtigere Frage ist die folgende: Wie kann man erreichen, daß die Nachricht wirklich beim Empfänger ankommt, und zwar genauso, wie man sie losgeschickt hat?
Traditionell gibt es zwei Möglichkeiten, diese Probleme zu lösen. Einmal kann man die Existenz der Nachricht verheimlichen. Man könnte die vertrauliche Nachricht zum Beispiel mit unsichtbarer Tinte schreiben. Man kann aber auch die Mitteilung durch eine vertrauenswürdige Person übermitteln lassen. Dies haben zu allen Zeiten heimlich Verliebte versucht - und fast alle klassischen Tragödien zeugen vom letztlichen Scheitern dieser Bemühungen.
Eine ganz andersartige Methode besteht darin, vertrauliche Nachrichten zu verschlüsseln. In diesem Fall verheimlicht man nicht ihre Existenz. Im Gegenteil: Man übermittelt die Nachricht über einen unsicheren Kanal, aber so "chiffriert", daß niemand - außer dem wirklichen Empfänger - die Nachricht "dechiffrieren" kann. Dies ist eine ganz perfide Herausforderung des Gegners; solche Herausforderungen wurden in der Regel auch angenommen - und nicht selten wurde der Spieß umgedreht.
Wir werden uns in diesem Buch vornehmlich mit der zweiten Methode, also der Verschlüsselung der Nachrichten zum Zwecke der Geheimhaltung beschäftigen. Ein weiterer Schwerpunkt ist die Integrität und Authentikation von Daten. Hier geht es nicht darum, die Nachricht gegen unberechtigtes Lesen zu schützen, sondern vor unberechtigter Änderung.
Bis vor einigen Jahren waren Militärs die einzigen, die sich professionell mit solchen Geheimhaltungssystemen abgegeben haben. Nur im militärischen Bereich gab es genügend Motivation - und ausreichende Mittel -, um die damaligen Chiffriermaschinen, die ausgeklügelte mechanische Wunderwerke waren, zu entwickeln. Besonders berühmt war die ENIGMA (griechisch für Geheimnis), die im 2. Weltkrieg von den Deutschen benutzt wurde. Systematische Angriffe auf den "ENIGMA-Code" wurden bereits vor dem Krieg in Polen und dann während des zweiten Weltkriegs im Britischen Dechiffrierzentrum in Bletchley Park unternommen. Den Briten gelang es nicht nur, das ENIGMA-System zu knacken, sondern sie konnten diese Tatsache auch bis zum Ende des zweiten Weltkriegs vor den Deutschen geheimhalten. (Eine andere Maschine, der Geheimschreiber T-52 von Siemens & Halske, der zur Übermittlung streng geheimer Nachrichten eingesetzt wurde, blieb während des ganzes Krieges sicher.)
Es gibt eine interessante Verbindung zwischen diesen kryptoanalytischen Attacken und den Anfängen der Computerentwicklung. Während des zweiten Weltkriegs entwickelten die Engländer elektromechanische und elektronische Maschinen, um die deutschen verschlüsselten Nachrichten zu knacken. Die berühmteste dieser Maschinen, die Röhrenrechenanlage COLOSSUS, kann als der erste digitale Computer angesehen werden. Es ist eine bemerkenswerte Tatsache, daß der englische Mathematiker Alan M. Turing (1912 bis 1954), der später als der Vater der theoretischen Informatik berühmt wurde, zwar eine entscheidende Rolle im Dechiffrierteam von Bletchley Park gespielt hat, nicht aber an der Entwicklung des COLOSSUS beteiligt war.
Die Tatsache, daß die Kryptologie bei der Geburt der modernen Computer beteiligt war, hat Symbolcharakter. Mit der überwältigenden Verbreitung der elektronischen Datenverarbeitung seit den 60er Jahren ist die Kryptologie auf neue Füße gestellt worden. Dies hat verschiedene Gründe; einige seien hier genannt:
Beim Versuch, ein gegnerisches System zu brechen, müssen Unmengen von Daten (Buchstabenketten, Zahlenkolonnen) verarbeitet werden; man muß Daten vergleichen, Mittelwerte, Standardabweichungen und vieles andere mehr berechnen - alles Dinge, die ein Computer sehr viel schneller und besser kann als der Mensch. Die Konsequenz ist, daß Kryptosysteme, die heute mit Erfolg eingesetzt werden sollen, wesentlich komplexer sein müssen als ihre Vorgänger vor zwei Generationen.
Andererseits ermöglicht moderne Hard- und Software die Implementierung von komplexen und anspruchsvollen mathematischen Algorithmen. Mit diesen kann ein Grad von Sicherheit erreicht werden, zu dem es in der Geschichte keine Parallele gibt: Ein kleiner Zuwachs in der Komplexität eines Algorithmus führt zu einem überdimensionalen Anwachsen der Ressourcen, die zum Brechen des Systems benötigt werden. Der Witz der modernen Kryptologie ist, daß der Computer nicht nur die Ursache vieler Probleme ist, sondern gleichzeitig der Schlüssel zur ihrer Lösung.
Durch das Vordringen elektronischer Datenverarbeitung und insbesondere von elektronischer Kommunikation in immer mehr Bereiche öffnen sich gänzlich neue Aufgabenfelder für die Kryptologie. Neben den 'klassischen' militärischen Anwendungen treten heute ganz neuartige Anforderungen an die Kryptologie heran. Es gehört nicht viel Prophetengabe dazu, vorauszusagen, daß die Kryptologie (die zur Zeit gerade dabei ist, sich als seriöse Wissenschaft zu etablieren) in den kommenden Jahren einen weiteren rasanten Aufschwung erleben wird.
Als typische neuartige Probleme seien die folgenden genannt.
Viele Telefongespräche werden heute schon über Satellit gesendet. Damit kann jeder im Prinzip diese Gespräche abhören. Folglich müssen zumindest die geheimzuhaltenden Telefongespräche so chiffriert werden, daß ein Abhörer nur einen sinnlosen Tonsalat erkennt.
Ein ähnliches Problem betrifft Pay-TV. Hier besteht das Problem darin, daß ein unautorisierter Benutzer seine Lieblingsfilme anschauen möchte, ohne dafür zu bezahlen. Mit den Mitteln der Benutzerauthentikation, die in Kapitel 4 vorgestellt werden, kann man solchen Schmarotzern von vornherein das Handwerk legen.
In zunehmendem Maße werden Geldüberweisungen elektronisch getätigt (Stichworte sind etwa "Homebanking" und "electronic cash"). Hier wird ein elektronischer Ersatz für die herkömmliche handschriftliche Unterschrift benötigt. In mehr als einer Hinsicht ist die sogenannte elektronische Unterschrift besser als die vertraute handschriftliche Unterschrift (siehe Kapitel 5).
Die meisten der heutigen mittleren und größeren Computer sind so ausgelegt, daß viele Benutzer prinzipiell unabhängig voneinander mit dem Rechner arbeiten können (Multiuser-Systeme). In solchen Situationen muß sich der Rechner von der Identität der Benutzer überzeugen können. Heute geschieht das durch Paßwortverfahren; in Zukunft wird hierfür insbesondere bei Sicherheitsanwendungen eine "Chipkarte" eingesetzt werden. Dieses neue Medium werden wir in Kapitel 4 vorstellen.
Schließlich kann man hier auch die Computerviren nennen. Dies sind Programme, die praktisch unbemerkt in ein Computerprogramm eingeschleust werden; sie haben die Fähigkeit, sich selbst zu reproduzieren, und das ist der Grund dafür, daß sie großen Schaden an Programmen, Daten und ganzen Systemen anrichten können. Ganz grob gesprochen, verändert ein Virus sein "Wirtsprogramm"; also können die Methoden der Datenauthentikation, die wir in Kapitel 4 und 5 vorstellen werden, auch als Mittel zur Erkennung von Viren eingesetzt werden.
*
Jeder, der mit solchen oder ähnlichen Anwendungen zu tun hat, wird zustimmend bekennen: "Selbstverständlich brauchen wir Sicherheit! Aber - warum soll die Kryptologie das Allheilmittel sein? Gibt es nicht auch andere Methoden, um Sicherheit zu erreichen?" Natürlich gibt es andere Methoden! Denken sie etwa an die über Jahrhunderte entwickelten ausgefeilten Techniken, die dazu dienen, unsere Banknoten sicher zu machen: Spezialpapier, komplexe (manchmal sogar schöne) Bilder, Präzisionsdruck, Wasserzeichen, Silberdraht, und vieles andere mehr. Also nochmals die Frage: Warum Kryptologie?
Die Antwort ist einfach: Kryptologie ist besser! Ein Grund dafür ist: Kryptologie ist eine mathematische Disziplin. Das mag übertrieben klingen, ist es aber nicht: Die Mathematik liefert, jedenfalls im Prinzip, die theoretische Rechtfertigung für die Stärke eines Algorithmus oder eines Protokolls. Mit Mathematik kann man (im Idealfall) beweisen, daß ein kryptographischer Algorithmus ein gewisses Sicherheitsniveau hat. Und wenn die Sicherheit einmal mathematisch bewiesen ist, ist kein Zweifel mehr möglich, daß dieser Algorithmus wirklich sicher ist; man muß sich dann nicht mehr auf (sich in der Regel widersprechende) Expertenmeinungen verlassen, man braucht sich bei der Einschätzung der Sicherheit nicht auf die "heutige Technologie" (die morgen ganz anders sein kann) zu berufen usw.
Ich muß allerdings zugeben, daß solche Beweise bislang nur in sehr wenigen Fällen gelungen sind. Dennoch: Mathematik ist ein vertrauenswürdiges Instrument, um Kryptosysteme systematisch zu untersuchen (das heißt zu entwerfen und zu analysieren). Das ist der Grund, weshalb kryptologische Mechanismen im Zweifel anderen Sicherheitsmechanismen vorzuziehen sind: In dubio pro mathematica!
Die Wissenschaft, die sich mit all diesen Problemen (und vielen anderen mehr) beschäftigt, heißt Kryptologie oder auch Kryptographie. In den sechs Kapiteln dieses Buches werde ich ihnen die Themen vorstellen, die meiner Meinung nach wesentlich für das Verständnis der modernen Kryptologie sind, also den Teil der Kryptologie, der zur Allgemeinbildung gehört. Mein Ziel ist es, die Grundgedanken dieses Gebiets darzulegen. Das kann man nicht leisten, ohne wenigsten ab und zu ein System im Detail zu betrachten. Andererseits habe ich versucht, einen lesbaren Text zu schreiben, der weitgehend ohne formalen Ballast auskommt.
Das erste Kapitel hat zwei Ziele. Zunächst stellen wir einige klassische monoalphabetische Algorithmen über dem natürlichen Alphabet vor, wie etwa die Caesar-Chiffre. Es wird sich herausstellen, daß all diese Chiffrierungen relativ leicht zu brechen sind. Bei der Darstellung dieser Algorithmen werden wir zwanglos die grundlegenden kryptologischen Begriffe und Bezeichnungen einführen können.
Das zweite Kapitel ist polyalphabetischen Chiffrierungen (über dem natürlichen Alphabet) gewidmet. Diese sind komplizierter aufgebaut, und man benötigt daher auch präzisere Methoden, um sie zu brechen. Zwei solche Methoden, nämlich den Kasiski-Test und den Friedman-Test werden wir detailliert besprechen.
Das dritte Kapitel ist ein theoretischer Exkurs. Dort werden Sie nicht nur eine Erklärung des Begriffs "sicher", sondern auch ein perfektes Chiffriersystem (das sogenannte one-time pad) finden. Die zweite Hälfte dieses Kapitels dient dem Studium von "rückgekoppelten Schieberegistern", auf denen sehr viele moderne Algorithmen beruhen.
Im vierten Kapitel werden wir uns mit den Diensten "Integrität" und "Authentikation" beschäftigen. In diesem Gebiet der Kryptographie versucht man nicht, Daten geheim zu halten, sondern vielmehr, ihre Unversehrtheit zu garantieren. Diese Problemstellung hat in den letzten Jahren der reinen Geheimhaltung der Daten den Rang abgelaufen und ist dafür verantwortlich, daß die Kryptologie nicht mehr auf den abgeschotteten Bereich der militärischen Anwendungen beschränkt ist, sondern sich im rauhen Wind der freien Wirtschaft bewähren kann. (An einem alltäglichen Beispiel wird die Bedeutung der Datenintegrität klar: Ich kann es zur Not verschmerzen, wenn ein Unbefugter erfährt, wieviel Geld mir der Verlag Vieweg als Honorar für dieses Buch jährlich überweist; mindestens einer der Beteiligten würde aber ziemlich unfreundlich reagieren, wenn der Unbefugte an den Überweisungen etwas verändern kann, sei es den Betrag, sei es die Kontonummer!) In diesem Kapitel werden wir auch die sensationellen "Zero-Knowledge-Algorithmen" behandeln (kann ich Ihnen beweisen, ein Geheimnis zu haben, ohne dieses zu verraten?); diese Algorithmen haben in den letzten Jahren sowohl aus theoretischer als auch aus praktischer Sicht enormes Interesse gefunden. Wir werden auch die sogenannten "Chipkarten" behandeln, die sich als das Werkzeug zur Realisierung von kryptographischen Diensten für jedermann anbieten.
Im fünften Kapitel werden wir die vielversprechenden neuen "asymmetrischen" Kryptosysteme vorstellen, deren Einführung durch Diffie und Hellman 1976 nach Meinung aller Fachleute eine Revolution der Kryptologie war. Dies zeigt sich zuletzt auch darin, daß seitdem die Kryptologie mehr und mehr Ansehen in der Mathematik und der Informatik gewonnen hat. Die Eleganz der public-key Algorithmen (wie die asymmetrischen Verfahren auch genannt werden) ist allerdings weit mehr als ein Spielzeug für ein paar Mathematiker: die Erfindung von asymmetrischen Systemen war nicht nur durch praktische Probleme motiviert; wie wir sehen werden, kann man mit solchen Algorithmen auch eine ganze Reihe von praktischen Problemen auf sehr befriedigende Art und Weise lösen.
Im abschließenden sechsten Kapitel studieren wir ein Problem, das etwas außerhalb eines üblichen Kryptologie-Kurses liegt: In vielen rechnergestützten Systemen wird Sicherheit vor allem dadurch erreicht, daß alle relevanten Vorgänge aufgezeichnet und ausgewertet werden. Damit sind all diese Ereignisse rekonstruierbar, und nichts bleibt verborgen: Der Computer spielt in gewisser Weise die Rolle Gottes und weiß alles. Frage: Ist es möglich, ein elektronisches System zu entwerfen (beispielsweise für elektronisches Einkaufen), das nicht ganz so allwissend ist, aber dennoch die notwendige Sicherheit bietet? Anders gefragt: Widersprechen sich Sicherheit und Anonymität? - Wir werden zwei Systeme vorstellen, bei denen sich diese beiden Qualitäten nicht widersprechen. Insbesondere werden wir diskutieren, ob es ein elektronisches Äquivalent zum üblichen Münzgeld geben kann.
*
Sie merken: Das sind zum großen Teil neue, aufregende, sehr praxisbezogene Themen. Sie fürchten vielleicht, daß alles sehr kompliziert und undurchschaubar wird. Keine Angst: Die Kryptologie ist ein Glücksfall, da man gerade die neuen und zukunftsweisenden Dinge ziemlich anschaulich erklären kann. Ich habe jedenfalls versucht, alles möglichst verständlich, klar und unterhaltsam darzustellen.
Es ist nicht notwendig, die Kapitel der Reihe nach zu lesen. Erschrecken Sie nicht, wenn Ihnen die eine oder andere Stelle zunächst kryptisch vorkommt. In den allermeisten Fällen ist der folgende Text auch ohne Kenntnis dieser 'schwierigen' Stelle verständlich - und oft werden obskure Teile im Nachhinein klar. Mein Rat: Überblättern Sie ruhig die eine oder andere Stelle - und tun Sie das guten Gewissens!
Ich hoffe, daß Sie Spaß bei der Lektüre dieses Buches haben. Eine Erfahrung will ich Ihnen nicht vorenthalten: Ich habe von mehr als einer hübschen jungen Dame gehört, die es anregend fand, mit diesem Buch in die Badewanne zu steigen und sich dort der Lektüre hinzugeben. Ein schöneres Kompliment kann ich mir kaum vorstellen!
Für die zweite Auflage wurde das Buch vollständig neu bearbeitet. Die Grobstruktur des Buches wurde beibehalten, aber in jedem Kapitel gibt es ausführliche Zusätze. Zwei wichtige neue Aspekte möchte ich hier nennen: Das Kapitel über Authentikation (Kapitel 4) wurde gänzlich neu geschrieben; dort werden jetzt auch die Zero-Knowledge Protokolle behandelt. Die größte Neuerung in Kapitel 5 ist die Behandlung von Kryptosystemen auf Basis von "diskreten Logarithmen". Das Buch kann nun auch als appetitanregende Vorspeise in Vorlesungen über Kryptologie empfohlen werden.
Diese Auflage wurde neu bearbeitet im Zusammenhang mit der Übersetzung ins Englische. Mein Freund Chris Fisher hat die Aufgabe des Übersetzers übernommen - aber er war viel mehr: Unter der unschuldigen Ausrede "das verstehe ich nicht" hat er mich dazu gebracht, jede Zeile des Buches neu zu durchdenken. Herausgekommen ist ein neues Buch, ich hoffe: kein schlechteres!
*
Mein Dank gilt allen, die dieses Buchprojekt unterstützten, kritisch begleiteten und förderten; es sind zu viele, als daß ich sie hier alle nennen könnte.
An erster Stelle danke ich meinen nächsten Angehörigen, Monika, Christoph und Maria. Sie mußten nicht nur häufig als Versuchskaninchen herhalten, sondern haben mir auch mehrere Male großzügig Urlaub zum Bücherschreiben gewährt.
Ferner gilt mein Dank meinen Kollegen A, C, F, I, J, L, M, R, U (in alphabetischer Reihenfolge, wobei einige Buchstaben mehrfach zu zählen sind und mindestens einer fett zu drucken gewesen wäre); sie haben das Entstehen dieses Buches auf mannigfaltige Weise gefördert: durch akribische Kritik, durch konstruktive Vorschläge, durch aufmunternde Gespräche, durch inspirierende Sitzungen, durch schnelles Beschaffen von Material u.v.a.m.
Dem Verlag Vieweg danke ich für die nach wie vor problemlose, engagierte und freundliche Zusammenarbeit.