Das glaube ich nicht
Schon in der Antike haben Kaiser, Könige und Kriegsherren ihre geheime Korrespondenz verschlüsselt. Vor 2500 Jahren schrieben die Spartaner vertrauliche Botschaften auf schmale Pergamentstreifen, die sie in vielen Windungen um einen Zylinder gewickelt hatten. Die Nachricht wurde am Stab entlang von oben nach unten geschrieben, der Rest der Pergamentwindungen wurde mit sinnlosen Buchstaben gefüllt. Nur wer einen Zylinder gleichen Durchmessers besaß, sah die Buchstaben der Nachricht in einer Reihe untereinander. Julius Cäsar benutzte eine andere Methode: Er ersetzte einfach jeden Buchstaben des Textes durch das Zeichen, daß im Alphabet drei Plätze weiter steht.
Nach dem zweiten Weltkrieg entwikkelte sich die Kryptologie zu einem etablierten Zweig der Mathematik, der an den Universitäten gelehrt wird. So richtig ins Bewußtsein einer breiten Öffentlichkeit traten moderne Verschlüsselungstechniken allerdings erst im Zusammenhang mit dem Internet.
Eines der ersten Verfahren war DES (Data Encryption Standard), das in den siebziger Jahren entwickelt wurde und heute noch in Gebrauch ist. Es ähnelt der von Deutschland im Zweiten Weltkrieg benutzten mechanischen Chiffriermaschine „Enigma“. DES vertauscht Zeichengruppen des Textes anhand eines Schlüssels und ersetzt sie durch andere Buchstaben. Seit 1990 hat sich ein deutlich sichereres Verfahren Namens IDEA (International Data Encryption Algorithmus) etabliert. Es wurde von Xuejia Lai und James Massey entwickelt und gilt als eines der modernsten Verschlüsselungsverfahren. Der IDEA-Algorithmus verwendet einen 128 Bit langen Schlüssel, aus dem 52 Teilschlüssel erzeugt werden. Der Klartext wird zunächst in Datenblöcke mit einer Länge von 64 Bit zerlegt. Jeder dieser Blöcke wird anschließend wieder in vier 16 Bit lange Blöcke aufgeteilt. In jedem Verschlüsselungsschritt ersetzt der Algorithmus jeden dieser 16 Bit Blöcke anhand der Schlüssel durch ein vollkommen anderes Bitmuster gleicher Länge. Das geschieht insgesamt acht mal. Am Ende wird aus den Teilblöcken wieder eine 64 Zeichen lange – allerdings nun verschlüsselte – Bitfolge erzeugt.
Zum Schutz von Nachrichten, die über das Internet verbreitet werden sollen, ist IDEA genauso schlecht geeignet wie DES, denn beide Verfahren beruhen auf dem symmetrischen Verschlüsselungsprinzip. Eine Buchstabenvertauschung wird vom Empfänger Schritt für Schritt rückgängig gemacht. Er benötigt dazu den exakt gleichen Schlüssel wie der Absender der Botschaft. In einem Netz mit vielen Teilnehmern, die sich kaum kennen, ist es praktisch unmöglich, jedem Teilnehmer den passenden Schlüssel zukommen zu lassen, ohne daß diese Schlüssel gelegentlich in falsche Hände geraten.
Zum Glück für die Internet-Gemeinde entwickelten bereits 1976 Whitfield Diffie und Martin Hellmann ein vollkommen neues Chiffrierverfahren, das die bisherige Kryptografie auf den Kopf stellte. Es arbeitet asymmetrisch, das heißt mit zwei verschiedenen Schlüsseln. Den einen kann man nur zum Verschlüsseln, den anderen nur zum Entschlüsseln verwenden. Deshalb kann man einen der beiden Schlüssel öffentlich zugänglich machen. Die Schlüssel entstehen aus der Multiplikation zweier großer Primzahlen mit mehreren hundert Stellen. Die Sicherheit beruht darauf, daß es äußerst schwer ist, das Produkt zweier sehr großer Primzahlen wieder in Faktoren zu zerlegen.
Bereits 1977 stellten Ron Rivest, Adi Shamir und Leonhard Adleman RSA vor, das bis heute wichtigste asymmetrische Verschlüsselungsverfahren. Es gilt als sehr sicher, braucht aber zum Chiffrieren einer Nachricht rund tausendmal länger als DES oder IDEA. Für lange Texte ist RSA daher ungeeignet. Philip Zimmermann kombinierte deshalb für seine Pretty Good Privacy (PGP) beide Methoden. Die eigentliche Botschaft wird mit IDEA verwürfelt, der verwendete Schlüssel mit RSA codiert und an die Nachricht geheftet. Für jede Botschaft erzeugt PGP einen eigenen IDEA-Schlüssel. PGP setzt allerdings voraus, daß es Stellen gibt, bei denen die authentischen öffentlichen Schlüssel der einzelnen Teilnehmer hinterlegt sind.
Ein Beispiel mag verdeutlichen, wie das funktioniert: Alice will Bob eine Nachricht senden und sicher sein, daß niemand mitliest. Wenn sie die Botschaft mit einem symmetrischen Verfahren verschlüsseln würde, müßte sie vorher Bob den Schlüssel geben. Beide müßten diesen Schlüssel so verwahren, das er nicht in falsche Hände geraten kann. Dasselbe gilt für die Übermittlung: Kein Fremder darf den Code einsehen. Wenn sich beide nicht regelmäßig sehen, ist das eine schwierige Aufgabe.
Doch das ist nicht das einzige Problem: Alice will nämlich auch Caesar und Doris vertrauliche Nachrichten senden, ohne daß Bob diese mitlesen kann. Sie braucht also für jeden ihrer elektronischen Briefpartner einen eigenen Schlüssel. Da alle Schlüssel sicher verwahrt werden müssen und nicht verwechselt werden dürfen, wird Alice die Schlüssel vermutlich mehrfach benutzen – damit könnte es sich für Angreifer lohnen, diese auch bei größerem Aufwand zu entschlüsseln.
Ganz anders sieht die Sache aus, wenn Alice, Bob, Caesar und Doris PGP verwenden. Alice kennt Bob persönlich. Irgendwann hat er ihr eine Diskette mit seinem öffentlichen PGP Schlüssel übergeben. Wenn sie eine Nachricht an ihn schicken will, nimmt sie seinen öffentlichen Schlüssel und chiffriert damit den Text. Sie selber kann die Botschaft dann nicht mehr lesen, das kann nur noch Bob, denn nur er besitzt den geheimen Gegenschlüssel. Alice will auch Doris eine Nachricht schicken, kennt sie aber nicht persönlich. Deshalb ruft sie von einer Institution, der sie vertraut, den öffentlichen Schlüssel von Doris ab, und verschlüsselt damit die Nachricht für sie.
Das Spiel mit den zwei Schlüsseln läßt sich auch umkehren. Die Botschaft wird dann mit dem geheimen Schlüssel des Senders codiert. Jeder, der den dazugehörenden öffentlichen Schlüssel kennt, kann damit überprüfen, ob der Verfasser auch derjenige ist, für den er sich ausgibt. Das ist die Grundlage der digitalen Unterschrift. Allerdings wird auch hier nicht die ganze Nachricht verschlüsselt, sondern nur eine Art Inhaltsangabe, eine Prüfsumme. Im einfachsten Fall wäre das die Summe aller im Text vorkommenden Zeichen. Doch moderne Prüfsummenfunktionen verraten nichts über den Inhalt der Nachricht. Denn von ihnen hängt einiges ab: Es muß sicher sein, daß niemals zwei Botschaften dieselbe Prüfsumme ergeben. Ansonsten könnte man den Inhalt des so gesiegelten Dokumentes unbemerkt verändern. Denn bei der Verifikation der Unterschrift wird lediglich noch einmal die Prüfsumme des unterzeichneten Dokumentes ermittelt, und dann das Ergebnis mit dem entschlüsselten Wert aus der Unterschrift verglichen.
Der RSA-Algorithmus
Um eine Nachricht mit RSA zu codieren, müssen zunächst die beiden Schlüssel – öffentlicher und privater – erzeugt werden. Eine zentrale Rolle spielen dabei Primzahlen und die Modulo-Funktion. Sie gibt den Rest bei einer ganzzahligen Division an. Beispiel:
14 mod 4 = 2 (14 : 4 = 3, Rest 2) Am Beginn der Berechnungen stehen drei zufällig ausgewählte Primzahlen: Z1; Z2; Z3, wobei die Zahl Z3 so gewählt wird, daß das Produkt (Z1 – 1)Ÿ(Z2 – 1) keinen gemeinsamen Teiler mit Z3 hat. Da sich echter Zufall nicht aus einer mathematischen Funktion ableiten läßt, greift man hier am besten auf physikalische Prozesse zurück, zum Beispiel die Tippgeschwindigkeit des Benutzers auf seiner Tastatur, die völlig unvorhersehbar ist. Als nächstes wird das Produkt Z1 Ÿ Z2 = P gebildet. Dieses Produkt ist der Modulus für das Schlüsselpaar. Der öffentliche Schlüssel: Er besteht aus den Zahlen P und Z3. Soll der Buchstabe einer Botschaft verschlüsselt werden, so wird zunächst jedem Buchstaben eine Zahl zugeordnet. Diese Zahl nennen wir Klarziffer K, um sie von ihrem verschlüsselten Gegenstück unterscheiden zu können. Es besteht der Zusammenhang: KZ3 mod P = Codierte Botschaft B Der geheime Schlüssel: Er besteht wie der öffentliche Schlüssel aus dem Produkt der beiden ersten Zufallszahlen. Als zweite Zahl – und damit als Exponent in der Modulo-Berechnung – wird jedoch ein geheimer Exponent G benötigt. Er wird folgendermaßen berechnet: G = Z3-1 mod (Z1 – 1)Ÿ(Z2 – 1) Wer diesen geheimen Exponenten kennt, kann aus der geschützten Botschaft durch eine einfache Berechnung wieder die Klarziffer erzeugen: BG mod P = K Hier ein einfaches Beispiel mit den Zufallszahlen: Z1 = 13, Z2 = 19, Z3 = 5 Der erste Teil des Schlüssels lautet: Z1ŸZ2 = 247 Der geheime Exponent G errechnet sich über G = Z3-1 mod (Z1 – 1)Ÿ(Z2 – 1) = 0,2 mod 216 = 173 Unsere Botschaft sei die Klarziffer K = 12, die zum Beispiel für den 12ten Buchstaben des Alphabets (L) stehen könnte. Sie gilt es zu schützen. Die Verschlüsselung ergibt: 125 = 248832 mod 247 = 103 Das Chiffre von 12 lautet also 103. Der Empfänger rechnet zum Entschlüsseln: 103173 mod 247 = 12 Wer die beiden Primzahlen Z1 und Z2 kennt, kann leicht beide Schlüssel berechnen. Ein unberechtigter Angreifer dagegen müßte das Produkt der beiden Primzahlen faktorisieren – bei großen Zahlen eine zeitaufwendige Aufgabe. In der Praxis verwendet man zudem nicht dreistellige Exponenten, sondern Zahlen mit 100 und mehr Stellen.
Bernd Schöne
