Verschlüsselung Auf der Suche nach dem perfekten Code

Sichere Datenübertragung ist das A und O für professionelle Anwendungen im Internet. Doch was bedeutet überhaupt sicher? Der Mathematikprofessor Albrecht Beutelspacher hat sich für SPIEGEL ONLINE auf die Suche nach dem perfekten Code gemacht.

Von Albrecht Beutelspacher


Hacker haben Hochkonjunktur: Sie knacken Codes, sie dringen in Systeme ein, sie hebeln die Schutzsysteme aus. Man hat den Eindruck, dass es im Grunde keinen echten Schutz gibt. Mit genügend Computerpower, Intelligenz und Frechheit ist, so scheint es, jedes System zu knacken.

Die Kryptographie bemüht sich seit 100 Jahren ernsthaft, Systeme zu entwickeln, die ganz anders sind: Die weder mit Kaltschnäuzigkeit noch mit außerirdischer Intelligenz und schon gar nicht mit blind eingesetzter Computergewalt zu knacken sind.

Der erste Schritt der Aktion "Gib Hackern keine Chance" war die Entdeckung des ersten perfekten Codes, des so genannten one-time-pad durch den AT&T-Ingenieur Gilbert S. Vernam im Jahre 1917. Die Idee ist einfach: Der Klartext wird als Folge von Bits dargestellt, der Schlüssel ist eine zufällige Folge von Bits, die man sich etwa durch Münzwurf hergestellt denken kann. Zur Verschlüsselung werden Klartext und Schlüssel Bit für Bit miteinander verknüpft. Die Verknüpfung ist die übliche Addition, jedenfalls fast: Die einzige Abweichung ist die Regel 1+1=0. Wenn Klartextbit und Schlüsselbit gleich 1 ist, dann ist das entsprechende Geheimtextbit 0. So berechnet der Sender den Geheimtext. Der Empfänger benutzt den gleichen Schlüssel, addiert diesen Bit für Bit zu dem Geheimtext und erhält wieder den Klartext.

Dieser Code ist unknackbar. Das ist die gute Nachricht. Die schlechte Nachricht stammt von dem kürzlich verstorbenen Claude Shannon, dem Vater der Kommunikationstheorie: In seiner grundlegenden, 1948 veröffentlichten Arbeit wird zweifelsfrei nachgewiesen, dass perfekte Codes nur als one-time-pad möglich sind. Insbesondere braucht man einen Schlüssel, der ebenso lang ist wie der Klartext. Das bedeutet: Um eine Nachricht von einem Kilobyte geheim zu verschicken, muss man schon vorab eine Nachricht von einem Kilobyte geheim übermittelt haben. Klar, dass der praktischen Anwendbarkeit solcher Systeme enge Grenzen gesetzt sind.

Die heute verwendeten Codes sind nicht perfekt

Auch der im letzten Jahr gekürte Advanced Encryption Standard (AES) mit der guten Schlüssellänge von 128 Bits ist nicht perfekt. Zwar spricht alles dafür, dass dies ein sehr guter Algorithmus ist, aber auch hier gilt, pointiert gesagt: AES ist nur so lange sicher, solange er nicht geknackt ist.

Kürzlich hat nun Michael Rabin von der Harvard University, ein Altmeister der Kryptographie, zusammen mit seinen Kollegen Aumann und Ding eine spannende Idee publiziert: Er verspricht ewige Sicherheit (everlasting security) bei realistischen Anwendungsszenarien. Ihre Grundidee ist genial einfach: Als neues Mittel stellen sie sich vor, dass es eine allgemein zugängliche Quelle zufälliger Bits gibt. Man könnte etwa an Strahlenquellen aus dem All denken; diese hätten den Vorteil, dass sie nicht manipulierbar sind. Diese Zufallsbits werden permanent produziert, aber es sind so viele, dass kein Rechner all diese Bits speichern kann. Höchstens einen Bruchteil.

Das eigentliche Verschlüsseln zwischen Sender und Empfänger ist völlig traditionell: Sie brauchen einen Algorithmus, etwa den AES, und einen gemeinsamen Schlüssel, einen session key, im Falle des AES also 128 Bit. Diese werden von Sender und Empfänger aus den Bits der Zufallsquelle ausgewählt. Die Auswahl geschieht mit dem eigentlichen Schlüssel. Dieser besteht aus Zahlen. In unserem Fall 128 Zahlen, die jeweils eine Stelle im Zufallsstrom angeben.

Der Witz an der Sache ist folgender: Auch wenn irgendwann der Schlüssel der beiden Partner bekannt wird, kann man Geheimtexte nicht entschlüsseln, denn da der Zufallsstrom nicht gespeichert ist, kann auch niemand die Bits des session key rekonstruieren.

Ist das realistisch?

Ich glaube ja. Jedenfalls ist der Ansatz viel realistischer als die Quantenkryptographie. Ein Problem ist natürlich die Zufallsquelle. Das andere die Schlüsselgröße. Da man aber mit 256 Bits alle Atome des Universums adressieren kann (deren Zahl wird auf 2256 geschätzt), reichen 256 Bits sicher auch für die Adressierung der zufälligen Bits. Also braucht man, bei Verwendung von AES, 128 * 256 = 32768 Bits. Viel mehr als bei heutigen Algorithmen. Aber nicht unmöglich. Und: Keine Chance für Hacker!

Mehr zum Thema


© SPIEGEL ONLINE 2001
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.