Seminar – Sicherheit in der IT

Seminar – Sicherheit in der IT
Thema: RSA, DES & PGP
von Timo Pannes & Jan Nett

Inhaltsverzeichnis
Einleitung/Motivation............................................................3
• Kerckhoff's Gesetz 4
• Symmetrische vs. asymmetrische Verschlüsselung 4
RSA......................................................................................8
• Generierung der Schlüssel 8
• Funktionsweise des Algorithmus 8
• Mathematische Grundlagen 9
• Beispiel 10
• Praktische und theoretische Sicherheit 11
DES....................................................................................13
• Geschichte von DES 13
• Funktionsweise des Algorithmus 14
• Decodierung von DES 18
• Sicherheitsfragen 19
• Schwachstellen 20
PGP....................................................................................22
• Schlüsselmanagment 22
• Geschichte von PGP 23
Anhang...............................................................................25
Quellenverzeichnis..............................................................26

Einleitung / Motivation:
In der heutigen Zeit nimmt der sichere Austausch von Daten über ungesicherte Verbindungen wie das
Internet einen immer größeren Stellenwert ein. Die Anzahl und Nutzung von sogenannten eServices
(eMail, eCommerce, eBanking, eGovernment, ...) ist in den letzen Jahren stark gestiegen und damit
natürlich auch die möglichen Risiken.
Typische Gefahren für Informationen im Netz sind z.B. Abhören, Manipulieren, Vorspielen einer
falschen Identität, Unautorisiertes Nutzen, Denial of Service, um nur die wichtigsten zu nennen. Gegen
diese Bedrohungen hat die Kryptographie, also die Wissenschaft der Verschlüsselung von
Informationen, passende Lösungen parat.
Da heutzutage jeder Mensch (zumindest indirekt) auf funktionierende und sichere Computersysteme
angewiesen ist, spielt die Kryptographie eine sehr wichtige Rolle im täglichen Leben, die allerdings
von den meisten Menschen kaum beachtet wird. Der Begriff “Sicherheit” steht dabei für eine ganze
Reihe unterschiedlicher Sicherheitsanforderungen, die es zu berücksichtigen gilt. Die wichtigesten sind:
• Vertaulichkeit: Schutz der Informationen vor unbefugter Einsichtnahme, typischerweise durch
Verschlüsselung
• Integrität: Schutz vor unauthorisierten Änderungen, z.B. durch MACs (message Authentication
Codes) oder digitale Signaturen
• Authentifizierung und Autorisierung: Die Authentifizierung (Wer bin ich?) verhindert das
Vorspiegeln einer falschen Identität, die Autorisierung (Was darf ich?) schützt vor unberechtigter
Nutzung. Diese Maßnahmen lassen sich z.B. durch Challenge­Response­Mechanismen, digitale
Signaturen, oder auch biometrische Techniken erreichen.
• Unleugbarkeit: Schützt den Empfänger davor, dass der Absender später abstreitet, dass die Nachricht
von ihm stammt. Dies ist technisch sehr schwer zu realisieren, ein wichtiger Baustein sind sicherlich
digitale Signaturen.
• Verfügbarkeit: Garantiert, das Informationen bereitstehen, wenn jemand sie braucht. Dies ist äußerst
schwierig zu realisieren und steht oft in Konflikt mit anderen Sicherheitsmaßnahmen. Es gibt kein
generelles Konzept, um diese Anforderung zu gewährleisten.
Im Mittelpunkt dieser Arbeit steht das Thema Vertraulichkeit, also die Verschlüsselung von Daten:
Wir werden die Funktionsweise zweier sehr wichtiger kryptographischer Protokolle, RSA und DES
näher erläutern sowie das Programm PGP als eines der am meisten verbreiteten Kryptosysteme
vorstellen. Die Verschlüsselung stellt, wie man anhand der obigen Liste sieht, aber lediglich einen
Teilaspekt eines sicheren (Kryto­)Systems dar. Manche Leute denken, dass verschlüsselte Nachrichten
auch vor Manipulation geschützt wären. Nichts könnte falscher sein. Oft ist es sehr einfach, den
verschlüsselten Text beliebig zu ändern ohne den Schlüssel zu kennen. Ein Beispiel dafür ist RC4, das
früher oft von Mircrosoft eingesetzt und fast immer falsch verwendet wurde. Ohne entsprechenden
Integritätsschutz bietet es praktisch keine Sicherheit.
Allgemein können wir also festhalten, dass in einem sicheren System eine ganze Reihe
unterschiedlicher Verfahren / Algorithmen zum Einsatz kommen, die perfekt aufeinander abgestimmt
sein müssen, um die Sicherheit nicht zu untergraben. Das Thema Verschlüsselung hat dabei eine

wichtige Funktion, deren volle Wirkung sich allerdings erst entfalten kann, wenn auch das Umfeld
stimmt und sie richtig eingesetzt wird.
Nun wollen wir zunächst ein sehr wichtiges Prinzip der modernen Kryptographie ansprechen, das als
Kerckhoff's Gesetz bekannt geworden ist. Im Anschluss daran werden wir auf die grundlegenden
Unterschiede zwischen symmetrischer und asymmetrischer Verschlüsselung eingehen, um das weitere
Verständnis zu erleichtern.
Kerckhoff's Gesetz:
Im 19. Jahrhundert hat der Niederländer Auguste Kerckhoff ein Prinzip formuliert, dass gerade in der
heutigen Zeit wieder ein sehr aktuelles Thema ist. Es besagt, dass die Sicherheit eines
kryptographischen Systems nur auf der Geheimhaltung des Schlüssels beruhen darf und nicht auf dem
zu Grunde liegenden Verfahren bzw. Algorithmus. Das heisst, selbst wenn ein Angreifer die genaue
Kenntnis des Kryptosystems hat, darf dies keine Auswirkung auf die Sicherheit haben, da diese einzig
und allein vom verwendeten und geheim zu haltenden Schlüssel abhängt.
Später wurde Kerckhoff's Gesetz von Claude Shannon als “the enemy knows the system” neu
formuliert und ist in dieser Form als Shannon's Maxim bekannt.
Die meisten Kryptographen und Wissenschaftler, die sich mit IT­Sicherheit beschäftigen, sind heute
Befürworter dieses Prinzips. Ein Algorithmus gilt dann als relativ sicher, wenn er mehrere Jahre
veröffentlich ist und niemand eine praktische oder realistisch erscheinende theoretische Attacke
veröffentlicht hat.
Es hat sich sich gezeigt, dass viele Systeme, deren Sicherheit auf der Geheimhaltung des verwendeten
Algorithmus beruht (“security through obscurity”), gravierende Lücken haben, die früher oder später
(meistens früher) entdeckt und ausgenutzt werden. Bekannte Beispiele sind der beim Mobilfunkstandard
GSM verwendete COMP128 Algorithmus [4] oder das DVD­Kopierschutzverfahren CSS [5].
Viele von Regierungen und dem Militär eingesetzte Verfahren beruhen indes auf diesem Prinzip.
Symmetrische vs. asymmetrische Verschlüsselung:
Es gibt mittlerweile eine Vielzahl von unterschiedlichen Algorithmen, die für eine Verschlüsselung von
Informationen sorgen. Sie lassen sich grob in zwei Klassen einteilen: symmetrische und asymmetrische
Verfahren. Im Folgenden beschreiben wir die Unterschiede dieser beiden grundsätzlich verschiedenen
Ansätze und gehen auch auf die in der Praxis oft verwendete hybride Verschlüsselung ein.
Symmetrische Verfahren:
Bei dieser Form der Verschlüsselung wird der gleiche Schlüssel zur Ver­ und Entschlüsselung
verwendet (genauer geagt reicht es schon, wenn der Schlüssel zum Entschlüsseln einfach aus dem
Schlüssel zum Verschlüsseln berechenbar ist und andersherum).
Dabei wird das Problem der sicheren Übertragung von einem Problem mit großen Datenmengen (den
Klartext­Nachrichten) in ein Problem mit einer kleinen Datenmenge (dem Schlüssel) reduziert.
Wichtig dabei ist, das sich Absender und Empfänger auf einen geheimen Schlüssel einigen und diesen
über einen sicheren Kanal austauschen müssen (beispielsweise ein verschlossener Umschlag). Die

Funktionsweise ist in Abbildung 1 schematisch dargestellt.
Symmetrische Verschlüsselungsverfahren lassen sich nochmal in Stromchiffren und Blockchiffren
einteilen, Letzere können wiederum verschiedene Modi (CBC, ECB, CFB) definieren.
Stromchiffren verschlüsseln die Daten byteweise, während Blockchiffren immer einen ganzen Block
einer bestimmten Größe auf einmal verarbeiten. Ein bekanntes Beispiel für eine Stromchiffre ist RC4,
das mit einer Pseudozufallszahlenfolge arbeitet und den Schlüsselstrom einfach per XOR mit den
Klartextdaten verknüpft. Der Empfänger erzeugt denselben Schlüsselstrom und entschlüsselt den
Chiffretext wiederum mit XOR (XOR ist kommutativ).
Beispiel für Blockchiffren sind DES, IDEA oder AES. Sie verschlüsseln Daten blockweise, meist 64
(DES) oder 128 Bit (AES) am Stück. Sie sind schwieriger zu verwenden als Stromchiffren, bieten aber
meist eine höhere Sicherheit im Bereich Integritätsschutz, da ein verändertes Chiffretext­Bit etwa die
Hälfte aller Klartext­Bits umdreht. Bei RC4 hingegen kann ein Angreifer seine Manipulation Bytegenau
ansetzen, da jedes Klartext­Byte auf genau ein Chiffretext­Byte abgebildet wird.
Aber auch bei Blockchiffren gibt es Sicherheitsbedenken, so sollte der ECB­Modus (Electonic
Codebook) nicht mehr verwendet werden, der jeden Block unabhängig von den anderen verschlüsselt.
Am weitesten verbreitet ist CBC (Cipher Block Chaining). Bei CBC und CFB (Cipher Feedback) hängt
Block n vom Inhalt des Blocks n­1 ab, außerdem wird der erste Block duch einen frei gewählten
Initialisierungsvektor geschützt.
Vorteile symmetrischer Verfahren sind besonders ihre Schnelligkeit und ihre einfache und
kostengünstige Implementierbarkeit, vor allem in Hardware. Eine ältere 1­GHz­CPU verschlüsselt mit
3DES etwa 50MBit/s, mit AES, das extra auf Geschwindigkeit hin optimiert wurde, sogar rund 100
MBit/s.
Der größte Nachteil dieser Verfahren ist der Schlüsselaustausch. Dieser gestaltet sich in größeren
Umgebungen mit vielen Benutzern als sehr schwierig. Schlüssel müssen erzeugt, verteilt und
gespeichert werden und mit der Anzahl der Benutzer wächst auch das Risiko eines Misbrauchs oder
menschlichen Fehlers. Wenn bei einem System mit 100 Benutzern ein zusätzlicher Benutzer
hinzukommt, müssen 100 neue Schlüssel erzeugt werden, einer für jeden Benutzer, mit dem der neue
Benutzer kommunizieren will. Allgemein benötigt ein n­user­System n*(n­1)/2 Schlüssel.
Abbildung1: Symmetrische Verschlüsselung

Asymmetrische Verfahren:
Diese Form der Verschlüsselung ist noch relativ jung. Im Jahr 1976 veröffentlichten Whitfield Diffie
und Martin Hellman eine radikal neue Methode der Schlüsselverteilung, welche als Public Key
Kryptografie bekannt wurde. Dabei werden zwei verschiedene Schlüssel zur Ver­ und Entschlüsselung
benutzt, die mittels einer bestimmten mathematischen Funktion, einer sogenannten Trapdoor­
Einwegfunktion, miteinander verknüpft sind. Diese Funktionen zeichnen sich dadurch aus, dass sie in
der einen Richtung leicht, d.h. in Polynomialzeit, berechnet werden können, während die Rückrichtung
nur sehr “schwer” berechenbar ist. Das “Trapdoor” (engl. für Geheimtür) steht dabei für eine gewisse
Zusatzinformation (den richtigen Schlüssel), mit Hilfe derer auch die Rückrichtung schnell berechnet
werden kann. Beispiele für solche Funktionen sind die Primfaktorzerlegung, diskrete Logarithmen oder
Algorithmen, die auf Basis von Elliptischer­Kurven­Kryptographie (ECC) arbeiten [8].
Jedem Benutzer ist ein Schlüsselpaar zugeordnet, bestehend aus öffentlichem Schlüssel (public key)
und privatem Schlüssel (private key). Der private Schlüssel ist dabei unter allen Umständen geheim zu
halten, während der öffentliche Schlüssel zum Beispiel auf einer Website oder einem Keyserver im
Internet veröffentlicht werden darf.
Das Schlüsselpaar arbeitet dabei wie ein Vorhängeschloss: Jeder kann es verriegeln (public key), aber
nur der Inhaber des passenden Schlüssels (private key) kann es wieder aufschliessen. Der Absender
chiffriert die Nachricht mit dem öffentlichen Schlüssel des Empfängers, der sie dann mit seinem
privaten Schlüssel entschlüsselt. Abbildung 2 zeigt diesen Ablauf.
Beispiele für Public­Key Algorithmen sind RSA, Diffie­Hellmann (DH) oder ElGamal. Sie werden
heute in vielen Protokollen wie z.B. SSL/TLS eingesetzt. Im allgemeinen ist ein solches System nicht
umkehrbar, d.h. eine Nachricht, welche mit dem privaten Schlüssel verschlüsselt wurde, kann nicht mit
dem öffentlichen Schlüssel entschlüsselt werden. RSA stellt in diesem Zusammenhang eine Ausnahme
dar. Wie wir später sehen werden, ist es egal ob man erst verschlüselt und dann entschlüsselt oder
umgekehrt. Dies wird zur Signierung von Daten genutzt: der Absender verschlüsselt seine
Informationen mit seinem privaten Schlüssel, so dass sie von jedermann mit dem öffentlichen Schlüssel
entschlüsselt werden kann. Somit ist sichergestellt, das die Information vom Absender stammt, denn
nur er hat Zugriff auf den privaten Schlüssel. Wie dies in der Praxis aussieht werden wir später im
Kapitel über PGP sehen.
Der große Vorteil asymmetrischer Verfahren ist, das keine geheimen Schlüssel mehr zu übertragen
sind, man ist also nicht mehr auf die Existenz sicherer Kanäle angewiesen.
Leider haben die asymmetrischen Verfahren auch einen großen Nachteil: Sie sind ziemlich langsam,
typischerweise einige tausendmal langsamer als die symmetrischen Verfahren. Dabei ist auch der
Rechenaufwand asymmetrisch verteilt, das Ver­ und Entschlüsseln dauert also unterschiedlich lange.
Die Berechnungen mit dem öffentlichen Schlüssel sind meist sehr viel schneller als die mit dem
privaten Gegenstück. Bei RSA, dem gängisten Algorithmus, gilt z.B.: Die Public­Key­Operation mit
einem 1­KBit­Schlüssel läuft zwanzigmal schneller als die Private­Key­Berechnung. Mit einem 2­
KBit­Schlüssel läuft sie sogar fünfzigmal schneller. Die meisten Protokolle berücksichtigen diese
Tatsache. Sie führen aufwändige Private­Key­Operationen möglichst selten aus (Zertifikate signieren)
oder berechnen sie auf leistungsfähigen Rechnern (Webserver), wohingegen die einfachen Public­Key­
Operationen oft und meist auf den schwächeren Clients (Webbrowser) ablaufen.

Hybride Verfahren:
Abbildung2: Asymmetrische Verschlüsselung
Da die ausschließliche Verwendung von Public­Key­Kryptographie bei größeren Datenmengen schlicht
zu kostspielig wäre, kombiniert man in der Praxis die Vorteile beider oben genannter Techniken. Die
Public­Key­Verschlüsselung wird verwendet, um einen sicheren Kanal zwischen Absender und
Empfänger herzustellen, über den dann ein symmetrischer Schlüssel ausgetauscht werden kann. Dieser
symmetrische Schlüssel wird auch Sitzungsschlüssel genannt, da er nur für diese Sitzung gilt. Der
Absender chiffriert die Nachricht anschließend mit dem Situngsschlüssel und einem schnellen
symmtrischen Algorithmus. Dieser hybride Prozess ist in Abbildung 3 dargestellt.
Abbildung3: Hybride Verschlüsselung

RSA:
Bei RSA handelt es sich um ein asymmetrisches Verschlüsselungsverfahren, das 1977 von Ron Rivest,
Adi Shamir und Len Adleman entwickelt wurde. Die Abkürzung RSA steht dabei für die
Anfangsbuchstaben seiner Erfinder.
Das Verfahren basiert auf der Idee, dass die Faktorisierung einer großen Zahl, also ihre Zerlegung in
(mindestens zwei) Faktoren, eine sehr aufwändige Angelegenheit ist, während das Erzeugen einer Zahl
durch Multiplikation zweier Primzahlen trivial ist. Dabei werden Erkenntnisse der Zahlentheorie und
der modularen Arithmetik genutzt. Im Folgenden beschreiben wir den genauen Ablauf des Algorithmus
und veranschaulichen dies anhand eines Beispiels. Anschließend gehen wir auf einige praktische und
theoretische Sicherheitsfragen ein.
1. Generierung der Schlüssel
Da es sich bei RSA um ein asymmetrisches Verfahren handelt, werden zwei Schlüssel benötigt. Diese
erhält man wie folgt:
1.) Wähle zufällig und stochastisch unabhängig zwei Primzaheln p ≠ q, die etwa gleich lang sein
sollten und berechne deren Produkt N = p∙q.
In der Praxis werden diese Primzahlen durch Raten einer Zahl und darauffolgendes Anwenden eines
Primzahltests bestimmt, dazu später mehr..
2.) Berechne �(N) = (p­1) ∙ (q­1), wobei � für die Eulersche Funktion steht (siehe mathematische
Grundlagen)
3.) Wähle eine Zahl e > 1, die teilerfremd zu �(N) ist. Dies kann z.B. dadurch geschehen, das man die
Zahl e so wählt, dass sie jeweils größer als (p­1) und (q­1) ist.
4.) Berechne die Zahl d so, dass gilt: e∙d ≡ 1 mod �(N). Dies kann z.B. mit dem Erweiterten
Euklidischen Algorithmus geschehen.
Das Paar (N,e) bildet den öffentlichen Schlüssel (public key), das Paar (N,d) den privaten Schlüssel
(private key). Dabei ist jedoch nur d wirklich geheim. Die Zahlen p, q und �(N) können nun sicher
gelöscht werden. Manchmal werden p und q auch zusammen mit d gespeichert, um eine schnellere
Decodierung bzw. schnelleres Signieren mittels des Chinesischen Restsatzes zu ermöglichen.
2. Funktionsweise des Algorithmus
Nachdem man ein passendes Schlüsselpaar erzeugt hat, folgt nun die eigentliche Anwendung des
Algorithmus. Um einen gegebenen Klartext K zu verschlüsseln, berechnet der Absender den
Chiffretext C wie folgt:
C ≡ Ke
mod N
Dadurch das die Exponentiation modulo N erfolgt, ist es schwierig, K e zu faktorisieren.
Das Entschlüsseln funktioniert analog:
K ≡Cd mod N

Aufgrund der Symmetrieeigenschaft der modularen Arithmetik sind die Ver­ und Entschlüsselung
invers zueinander, d.h. es ist egal, in welcher Reihenfolge man die beiden Funktionen verwendet.
Mathematisch ausgedrückt heißt das:
Das dies tatsächlich so ist, werden wir nun zeigen:
3. Mathematische Grundlagen
K = C d mod N = (K d)e mod N = (K e)d mod N
a) Eulersche Phi-Funktion und Satz von Euler:
Die Eulersche Phi­Funktion ordnet jeder natürlichen Zahl n die Anzahl der natürlichen Zahlen a von 1
bis n zu, die zu n teilerfremd sind (also ggT(a,n) = 1). Sie ist nach Leonhard Euler benannt und wird
mit dem griechischen Buchstaben � (Phi) bezeichnet.
Wenn p eine Primzahl ist, dann ist � (n)=(p­1) . Die �­Funktion ist außerdem multiplikativ für zwei
Zahlen m und n, sofern diese keinen kleinsten gemeinsamen Teiler haben, d.h. es gilt:
�(m∙n)= �(m) � (n) , falls ggT(m,n)=1
Eine der wichtigsten Anwendungen findet die �­Funktion im Satz von Euler:
Er besagt, dass für zwei teilerfremde, ganze Zahlen x und n≥2 gilt: n teilt x �(n) ­1, oder anders
ausgedrückt:
x �(n) ≡ 1 (mod n)
Ein Spezialfall (für n ist Primzahl) dieses Satzes ist der Kleine Fermatsche Satz:
b) Chinesischer Restsatz:
x p­1 ≡ 1 (mod p) , falls p Primzahl
Der Chinesischer Restsatz macht eine Aussage über simultane Kongruenzen für den Fall, dass die
Moduln teilerfremd sind:
Seien m 1 , ..., m n paarweise teilerfremde positive ganze Zahlen, dann existiert für jedes Tupel
ganzer Zahlen a 1 , ..., a n eine ganze Zahl x, die die folgende simultane Kongruenz erfüllt:
x ≡ ai mod mi für i = 1,...,n
Alle Lösungen dieser Kongruenz sind kongruent modulo M:=m 1 m 2 m 3 ...m n .

Um nun zu zeigen das e und d inverse Operationen sind, gehen wir von folgender Gleichung aus:
e∙d ≡ 1 mod �(N) bzw. e∙d = k∙ �(N) +1 , k � ℕ (1)
Nun formen wir den Kleinen Fermatschen Satz wie folgt um:
K p­1 ≡ 1 (mod p) ⇔ K k∙�(n) ≡ 1 (mod p) ⇔ K k∙�(n)+1 ≡ K (mod p) (2)
Im ersten Schritt haben wir (p­1) durch k∙�(N) ersetzt. Dies dürfen wir, da (p­1) ein Faktor von �(N)
ist. Im zweiten Schritt haben wir beide Seiten mit K multipliziert. Dasselbe Argument gilt auch für q,
das heisst wir erhalten genauso: K k∙�(n)+1 ≡ K (mod q) (3) .
Aus der Kombination von (2) und (3) erhalten wir nun:
(K e)d = K e∙d
= (1) K k∙�(n)+1 =K (mod p) = K (mod q).
Wegen dem Chinesischen Restsatz gilt: (K e)d =K (mod p∙q) = K (mod n) □
4. Beispiel
Sei p = 11 und q = 13. Dann ist N = 143 und � (n)=(p­1)(q­1)=120.
Für die zu � (n)=120 teilerfremde Zahl e wählen wir e = 23. Damit erhalten wir für d die Bedingung:
23∙d ≡ 1 mod 120,
das Produkt 23∙d soll also bei Division durch 120 den Rest 1 lassen. Die Kongruenz
läßt sich auch als Gleichung schreiben:
23∙d = k∙120 + 1, wobei k eine ganze Zahl ist.
Diese sog. diophantische Gleichung läßt sich nun mit dem erweiterten euklidischen Algorithmus lösen.
Eine Lösung ist z.B. gegeben durch d = 47 und k = 9. Damit wird N = 143 und d = 47 der geheime
Schlüssel.
Verschlüsselung:
Nehmen wir an, es soll die Nachricht K = 7 verschlüsselt werden. Der Absender benutzt den
veröffentlichten Schlüssel N = 143, e = 23 und berechnet
C ≡ Ke
mod N, also C ≡ 723
mod 143
Die Berechnung von 7 23 mod 143 kann dabei wie folgt schrittweise erfolgen, um die Ergebnisse
möglichst klein zu halten:
7 23 = 7 20+3 = 7 (5∙4) +3 = 7 (5∙(2∙2)) +3 = 7 5∙2∙2 ∙ 7 3 = (7 5 ) 2∙2 ∙ 7 3
7 5 = 16.807 => 16.807 mod 143 ≡ 76 mod 143 C = ((76) 2∙2 ∙ 7 3 ) mod 143
7 3 = 343 => 343 mod 143 ≡ 57 mod 143 C = ((76) 2∙2 ∙ 57) mod 143
762 = 5.776 => 5.776 mod 143 ≡ 56 mod 143 C = ((56) 2 ∙ 57) mod 143
(56) 2 = 3.136 => 3.136 mod 143 ≡ 133 mod 143 C = (133∙57) mod 143
(133∙57) = 7.581 => 7.581 mod 143 ≡ 2 mod 143 C = 2 mod 143
Man erhält also den Geheimtext C = 2 (mod 143)

Entschlüsselung:
Der Geheimtext C kann nun mittels des geheimen Schlüssels d wieder entschlüsselt werden:
K ≡ Cd
mod N, also K ≡ 247
mod 143
K ≡ 2
47 mod 143 ≡ (2
15 ) 3 ∙2 2 mod 143 ≡ 21
3 ∙ 4 mod 143 ≡ 37044 mod 143 ≡ 7 mod 143
Aus C = 2 wird also wieder K = 7, die Entschlüsselung hat funktioniert.
5. Praktische und theoretische Sicherheit
Die Zahlen p und q müssen in der Praxis sehr groß sein, um eine angemessene Sicherheit im Hinblick
auf die Rechenleistung zu gewährleisten, die heute und in näherer Zukunft zur Vefügung steht.
Typischerweise verwendet man heute Zahlen mit 200 und mehr Stellen, die erzeugten Schlüssel haben
meist eine Länge von 1024 Bit. Nachdem Shamir und Tromer im Jahr 2003 ein theoretisches Hardware
Gerät namens TWIRL vorgestellt haben, gibt es bereits Leute, die an der Sicherheit von 1024Bit­
Schlüssels zweifeln und eine Schlüssellänge von mind. 2048 Bit empfehlen.
Bei so großen Zahlen ist es mit vertretbarem Aufwand nicht möglich, die Primzahleigenschaft von p
und q zu garantieren, es müssten mindestens 10^50 mögliche Faktoren durchprobiert werden. Deshalb
verwendet man sogenannte Primzahltests, die anhand von speziellen Testverfahren die
Wahrscheinlichkeit, dass p und q keine Primzahlen sind, auf ein beliebiges Maß reduzieren. Ein solcher
Test ist der heuristische Algorithmus von Solovay und Strassen. Er funktioniert wie folgt:
a) Rate eine vermeindliche Primzahl p und wähle eine beliebige ganze Zahl r

Primfaktoren enthalten. Der geheime Schlüssel d sollte “groß genug” sein: Wiener zeigte im Jahr 1990,
dass wenn p zwischen q und 2q liegt (was nicht ungewöhnlich ist) und d

DES:
DES, der Data Encryption Standard, wurde in den 70er Jahren für die US­Regierung entwickelt, und
wurde daraufhin auch der Öffentlichkeit zur Nutzung zur Verfügung gestellt. Er ist als
kryptographischer Standard sowohl in den USA als auch in anderen Ländern akzeptiert, auch wenn
heute seine Sicherheit in Frage gestellt wird.
1. Geschichte von DES
1972 veröffentlichte das NBS (National Bureau of Standards), das heutige NIST (National Institute of
Standards and Technology), eine Ausschreibung, in der nach einem Codierungssystem gefragt wurde,
das vorher spezifizierte Kriterien erfüllen sollte:
• hoher Sicherheitsstandard
• komplett spezifiziert und einfach zu verstehen
• Sicherheit soll nur durch den Algorithmus gewährleistet werden, nicht durch dessen
Geheimhaltung
• für alle Benutzer verfügbar
• für verschiedene Einsatzmöglichkeiten nutzbar
• effizient in der Benutzung
• exportierbar
• überprüfbar
Als 1973 die Vorschläge begutachtet wurden, stellte sich allerdings heraus, dass keiner von ihnen den
Ansprüchen genügte. 1974 veröffentlichte das NBS eine zweite Ausschreibung, woraufhin IBM seinen
Lucifer­Algorithmus einreichte. Dieser wurde unter anderem von Horst Feistel, Walter Tuchman und
Don Coppersmith entworfen und versprach einen brauchbaren Ansatz. Der Algorithmus wurde schon
vorher veröffentlicht und war somit also schon geprüft und validiert worden. Obwohl der Algorithmus
lang ist, ist er doch gradlinig und überschaubar und somit einfach zu implementieren. Im Vergleich zu
RSA, was auf sehr großen Zahlen operiert, nutzt Lucifer nur logische Operatoren und relativ kleine
Zahlen.
Auf dieser Basis entwickelten IBM und NBS einen Algorithmus zur Kodierung von Daten, der dann als
DES (Data Encrytion Standard) oder DEA (Data Encryption Algorithm) bekannt wurde. Mit Hilfe der
NSA (National Security Agency) wurde der neue Algorithmus überprüft und verbessert und
letztendlich am 17. März 1975 veröffentlicht. Die NSA verbesserte dabei vor allem das Design der S­
Boxen (dazu später mehr), was von einigen Experten allerdings sehr misstrauisch betrachtet wurde. Sie
dachten, die NSA hätte sich selbst einige Hintertüren geschaffen, um verschlüsselte Daten einfach lesen
zu können. Nachdem allerdings 1990 die differentielle Kryptoanalyse von Eli Biham und Adi Shamir
veröffentlicht wurde, konnten einige dieser Zweifel zerstreut werden. Wie sich herausstellte, hatte die
NSA schon in den 70er Jahren Kenntnis von dieser Angriffsmethode und konnte die S­Boxen .
dementsprechend sicherer gestalten. Am 23. November 1976 wurde DES von der US­Regierung
schließlich als Standard etabliert und zur öffentlichen Nutzung freigegeben.

2. Funktionsweise des Algorithmus
DES ist ein symmetrisches Blockchiffriersystem, das auf zwei fundamentalten Prinzipien der
Codierungstheorie aufsetzt, der Substitution und der Permutation. Die Sicherheit des Algorithmus
beruht dabei auf der wiederholten Anwendung dieser beiden Prinzipien in insgesamt 16 Schritten.
Der Klartext wird in 64 Bit lange Blöcke unterteilt und mit einem 64 Bit langen Schlüssel, von dem
allerdings nur 56 Bit genutzt werden, codiert. Der Algorithmus ist von zwei Techniken aus Shannons
Informationstheorie abgeleitet, der
Konfusion und Diffusion. Bei der
Konfusion werden einzelne
Informationsbits geändert, also
substituiert, wohingegen bei der
Diffusion die Information in den
einzelnen Bits auf andere Bits
verteilt wird. Letzteres geschieht
im DES­Algorithmus in den
Permutationen. Der Algorithmus
selbst nutzt dabei nur einfache
Rechenoperationen und logische
Operatoren auf 64 Bit langen
Zahlen, somit zeigt er auch auf
älteren Rechnern noch sehr gute
Performance. Zusätzlich gibt es
noch einige spezielle Chips, die
darauf optimiert sind, den
Algorithmus abzuarbeiten.
Nach der Initialisierung operiert der
Algorithmus auf 64 Bit langen
Datenblöcken. Diese Blöcke
Abbildung 4: Ein Durchlauf in DES
werden in zwei Hälften geteilt, jede
Hälfte wird unabhängig durcheinander gemischt, eine Hälfte wird mit dem Schlüssel verknüpft und
anschließend mit der anderen getauscht. Dieser Prozess wird 16 mal wiederholt, wobei in den einzelnen
iterativen Schritten nur Tabellen und einfache Bit­Operatoren benutzt werden. (Abbildung 4) Dadurch
ist dieser Algorithmus effizient zu implementieren, auch wenn die Manipulationen an den einzelnen
Bits sehr komplex sind.
Die 64 Bit langen Inputblöcke werden in einer sogenannten initialen Permutation als erstes einmal
verändert. Anschließend werden sie mit Hilfe des 64 Bit­Schlüssels transformiert, wobei allerdings nur
56 Bit genutzt werden. Jedes achte Bit des Schlüssels wird verworfen, sie werden zum Paritätscheck
genutzt. Danach beginnt der Durchlauf der 16 Wiederholungen, in denen die 64 Datenbits zuerst in
zwei Hälften geteilt werden. Der Schlüssel wird um eine bestimmte Anzahl von Stellen nach links
verschoben und dann mit der rechten Hälfte kombiniert. Diese neue Hälfte wird dann wieder mit der
unveränderten linken Hälfte kombiniert und wird dann zur neuen rechten Hälfte im nächsten Durchlauf,
die alte rechte Hälfte wird zur neuen linken Hälfte. Nach Durchlauf dieser 16 Schritte wird das
Ergebnis noch einmal in einer sogenannten finalen Permutation, der Inversen zur initialen Permutation,
verändert.

Um die 32 Bit langen Hälften mit den 56 Bits des Schlüssels kombinieren zu können, sind vorher aber
zwei weitere Schritte notwendig. Die 32 Bit langen Datenblöcke werden zu 48 Bit langen Blöcken
aufgebläht; der 56 Bit lange
Schlüssel wird auf 48 Bit
reduziert. Diese Schritte
werden “expansion
permutation” und “permuted
choice” (Abbildung 5)
genannt. Im Folgenden
werden diese einzelnen
Schritte noch einmal
Abbildung 5: Verschiedene Permutationen
detailiert beschrieben.
• Details eines Durchlaufs
Ein Durchlauf besteht aus vier seperaten Operationen.
Zuerst wird die rechte Hälfte von 32 auf 48 Bits
vergrößert, danach wird sie mit dem Schlüssel kombiniert.
Das Ergebnis wird dann substituiert und wieder auf 32 Bit
geschrumpft. Diese 32 Bit werden noch einmal permutiert
und dann mit der linken Hälfte kombiniert. Sie ergeben
dann die neue rechte Hälfte für den nächsten Durchlauf.
(Abbildung 6)
• Expansinon Permutation
Durch die Expansion Permutation wird die rechte Hälfte
von 32 auf 48 Bit vergrößert. Bei der Permutation werden
die Stellen der einzelnen Bits verändert und ausserdem
einige Bits verdoppelt. Dies hat den Zweck, die Hälfte mit
dem Schlüssel kombinieren zu können und sie später ohne
Informationsverlust wieder verkleinern zu können. Diese
Permutation wird anhand von Tabelle 1 durchgeführt. In
jedem 4­Bit­Block werden das erste und das vierte Bit
verdoppelt, das zweite und dritte Bit werden nur einfach
Abbildung 6: Details eines Durchlaufs
verwendet. Die Tabelle zeigt, welches Inputbit zu welchem
Outputbit wird, in jeder Zeile werden die Veränderungen von 8 Bits dargestellt. (Tabelle 1)
Tabelle 1: Expansion Permutation

• Schlüsseltransformation
Wie oben beschrieben wird der 64 Bit lange Schlüssel zu einem
56 Bit langen Schlüssel verkleinert, indem jedes acht Bit
verworfen wird. Dann wird dieser verkleinerte Schlüssel in zwei
28 Bit lange Hälften geteilt, die um eine bestimmte Anzahl von
Stellen nach links verschoben werden. Anschließend werden die
beiden Hälften wieder zusammengefügt und durch eine weitere
Permutation auf 48 Bit verkleinert, die den endgültigen Schlüssel
für diesen Durchlauf ergeben.
Dieser Schlüssel wird durch eine exklusive Oder­Funktion mit
der rechten Hälfte kombiniert und durch die S­Boxen verändert.
In jedem Durchlauf wird der Schlüssel um eine bestimmte
Anzahl an Stellen nach links verschoben. Dies ist in Tabelle 2
dargestellt. Der veränderte Schlüssel wird dann durch eine
weitere Permutation von 56 auf 48 Bits verkleinert, dargestellt in
Tabelle 3.
Tabelle 3: Choice Permutation
• S­Boxen
Tabelle 2: Bitverschiebung in jedem
Durchlauf
Die Substitutionen im DES werden durch 8 sogenannte S­Boxen durchgeführt. Dies sind Tabellen, in
denen genau festgehalten wird, wie die Datenbits durch neue Werte substituiert werden. Die 48
Inputbits werden dabei in 8 sechs Bit lange Blöcke B1B2...B8 unterteilt, wobei Block Bj mit Hilfe von S­
Box Sj substituiert wird. (Abbildung 7) Die S­Boxen sind Tabellen, bestehend aus 4 Zeilen und 16
Spalten. Aus den 6 Bitblöcken ergeben sich nun die Spalten­ und Zeilennummern gemäß folgendem
Schema: Aus einem Block mit den Bits b1 bis b6 ergibt sich die Zeilennummer aus den Bits 1 und 6,
diese zweistellige Binärzahl zwischen 0 und 3 gibt die zugehörige Zeile in der S­Box an. Die Bits 2 bis
5 ergeben eine Binärzahl zwischen 0 und 15 und geben die Spalte an, in der der zugehörige
Substitutionswert zu finden ist. Aus dem Wert 010011 für den Block 7 ergibt sich dann z.B. eine
Zeilennummer von z=01=1 und eine Spaltennummer von s=1001=9. Aus der Tabelle liest man so den

Abbildung 7: S­Boxen Operationen
Substitutionswert 3=0011 ab, durch den der Wert 010011 ersetzt wird. (siehe Tabelle 9 im Anhang)
• P­Boxen
Nach der Permutation durch die S­
Boxen durchlaufen die Daten noch
einmal eine Permutation durch die
sogenannten P­Boxen. Dies ist allerdings
eine einfache Permutation, bei der keine
Verkleinerung der Daten stattfindet. Bit
1 wandert dabei z.B. an Position 9, Bit
10 an Position 16. (Tabelle 4)
Tabelle 4: P­Box Permutation
• Initiale und finale Permutation
Genau wie die P­Boxen sind auch die initiale (Tabelle 5) und die finale Permutation (Tabelle 6)
einfache Permutationen auf den Daten. Dabei ist die finale Permutation genau invers zur initialen
Permutation.
Tabelle 5: Initiale Permutation
Tabelle 6: Finale Permutation

• Kompletter DES­Algorithmus
Aus diesen einzelnen Teilen ergibt sich nun der
komplette Algorithmus. Zuerst wird der Schlüssel
auf 56 Bit verkleinert, dann wird ein 64 bit langer
Datenblock durch die initiale Permutation verändert.
Darauf folgen 16 Durchläufe, in denen der Schlüssel
verschoben und permutiert wird, die eine Hälfte der
Daten durch die S­ und P­Boxen verändert wird und
anschließend wieder mit der verbliebenen Hälfte
kombiniert wird. Nach dem letzten Durchlauf wird
der Datenblock noch einmal durch die finale
Permutation verändert. Dies alles ist auch noch
einmal in Abbildung 8 dargestellt.
3. Decodierung von DES
Zum Decodieren eines mit DES verschlüsselten
Textes wird der selbe Algorithmus verwendet. Dies
ergibt sich aus dem folgenden Zusammenhang
zwischen Durchlauf j und Durchlauf (j­1):
Lj = Rj­1 (1)
Rj = Lj­1⊕ f(Rj­1, kj) (2)
mit ⊕ als exklusiver Oder­Funktion, k als
entsprechender Schlüssel und f als Funktion in einem
der 16 Durchläufe, durch die die Datenblöcke
verändert werden.Hieraus lässt sich erkennen, das
sich jeder Durchlauf allein durch den vorherigen
ergibt. Formt man diese Gleichungen jetzt nach Lj­1
und Rj­1 um, ergibt sich:
Rj­1 = Lj (3)
Lj­1 = Rj ⊕ f(Rj­1, kj) (4)
Durch Substitution von Rj­1 durch Lj ergibt sich dann:
Lj­1 = Rj ⊕ f(Lj, kj) (5)
Die Gleichungen (3) und (5) zeigen, dass sich die
Werte auch aus späteren Durchläufen berechnen
lassen, diese Eigenschaft macht den Algorithmus
also reversibel.
Im DES­Algorithmus wird also die selbe Funktion f
sowohl zum Codieren als auch zum Decodieren
benutzt. Die einzige Änderung, die man vornehmen
muss, sind die Schlüssel, die in umgekehrter Reihenfolge
in den 16 Durchläufen zu verwenden sind.
Abbildung 8: DES im Überblick

4. Sicherheitsfragen
• Design des Algorithmus
Während der Entwicklung des Algorithmus wurden einige Elemente von der NSA geheim gehalten.
Darunter fielen unter anderem das Design der S­ und P­Boxen, aber auch die Veränderungen am
Schlüssel. Aus diesem Grund wurde angenommen, dass die NSA sich selbst einige Hintertüren im
Algorithmus eingebaut hatte, um die Möglichkeit zu haben, private Nachrichten abzuhören. Von
diesem Vorwurf wurde die NSA allerdings nach einer Untersuchung durch den US­Kongress
freigesprochen.
Eine andere Vermutung war, dass sich im Algorithmus Designschwächen verbargen, durch die DES
angreifbar wäre. Allerdings haben sich bis zum heutigen Tag viele Untersuchungen mit DES
beschäftigt, es wurde aber noch keine schwerwiegende Schwäche gefunden oder veröffenlicht. Nach
diesen Vorwürfen veröffentlichte die NSA einige Informationen zu den S­Boxen, um die
Befürchtungen zu zerstreuen:
• keine S­Box ist eine lineare oder affine Funktion der Inputbits, d.h. dass die vier Outputbits
nicht durch eine lineare Abbildung der sechs Inputbits dargestellt werden können,
• Änderung eines einzelnen Inputbits bewirkt eine Änderung in wenigstens zwei Outputbits,
• die S­Boxen minimieren die Anzahl an Einsen und Nullen, wenn ein einzelnes Inputbit
konstant gehalten wird.
• Anzahl der Durchläufe
Einige Experten meinen, dass 16 Durchläufe innerhalb des Algorithmus nicht ausreichen könnten, um
die Information im Chiffrat genügend zu verteilen. Bei einem einzigen Durchlauf z.B. wird ein
einzelnes Bit im Chiffrat nur von einigen wenigen Bits im Klartext abhängen. Je mehr Durchläufe nun
gemacht werden, desto größer wird die Diffusion und desto kleiner die Abhängigkeiten vom Klartext.
Das NBS und IBM haben daraufhin einige experimentelle Untersuchungen gestartet, die gezeigt haben,
dass bereits bei 8 Durchläufen keine erkennbaren Abhängigkeiten mehr bestehen. 16 Durchläufe sollten
also mehr als ausreichend sein.
• Schlüssellänge
Die Schlüssellänge ist die schwerwiegendste Schwachstelle von DES. Im originalen Lucifer­
Algorithmus lag sie bei 128 Bit, bei DES werden im Endeffekt nur 56 Bit lange Schlüssel verwendet.
Hier setzen einige Angriffsmethoden an, die darauf abzielen, den verwendeten Schlüssel
herauszufinden, mit dem dann der chiffrierte Text einfach decodiert werden kann.
Eine Bruteforceattacke bei 2 56 möglichen Schlüsseln und einer Testzeit von 100 ms pro Schlüssel
würde aber immer noch 228 Millionen Jahre dauern, bei 1 ns pro Schlüssel immer noch über 2 Jahre.
Allerdings ist diese Zeit auf heutigen Rechnern noch nicht zu erreichen.
Diffie und Hellman machten sich Gedanken über eine parallele Attacke auf die Schlüssel. Dabei
werden mehrere Prozessoren gleichzeitig zum Testen benutzt, was die Bearbeitungszeit drastisch
senken würde. 1998 baute die EFF (Electronic Frontier Foundation) eine ca. 250.000 $ teure Maschine
namens „DES­Cracker“ mit 1536 speziell entwickelten Chips. Diese konnte pro Sekunde etwa 88 Mrd.
Schlüssel testen und den Schlüssel in wenigen Tagen brechen
Eine weitere Angriffsmöglichkeit ist durch eine “Chosen Plaintext Attack” gegeben. Dabei wird ein
bekannter Klartext mitcodiert, das so erhaltene Chiffrat kann man dann mit allen möglichen

Codierungen des Klartextes vergleichen und so den Schlüssel herausfinden. Mit einer effizienten
Hardware wäre es möglich, alle Alternativen in der Codierung vorher zu berechnen, wodurch man dann
nur noch den codierten Text mit den vorher Berechneten vergleichen müsste, um den Schlüssel zu
erhalten. Mit fortschreitender Entwicklung der Hardware wird diese Methode immer billiger zu
realisieren.
5. Schwachstellen
Es sind einige Schwachstellen von DES bekannt, allerdings beschränken sie nicht die Effektivität des
Algorithmus.
• Komplemente
Wird eine Nachricht mit einem bestimmten Schlüssel codiert, so ist das Komplement dieser Codierung
das Komplement der originalen Nachricht, codiert mit dem komplementären Schlüsel. Formal kann
man dies so ausdrücken: Wenn c = DES(p, k) ist, ergibt sich für ¬c = DES(¬p,¬k); mit p = Klartext, c =
Chiffrat und k dem verwendeten Schlüssel. Da die meisten Anwendungen aber nicht mit
komplementären Nachrichten arbeiten, und Benutzer vor komplementären Schlüsseln gewarnt werden
können, ist dies keine ernsthaft Gefährdung des Algorithmus.
• Schwache Schlüssel
Da der Schlüssel in zwei Hälften
geteilt wird und diese unabhängig
voneinander verschoben werden,
kann es passieren, wenn die Hälften
nur aus Nullen oder Einsen bestehen,
dass der verwendete Schlüssel in
allen Durchläufen der gleiche ist. Da
sich die Schlüssel bei der
Tabelle 7: Schwache Schlüssel in hexadezimaler Notation
Decodierung nur durch das
Verschieben unterscheiden, werden in diesem Fall zum Ver­ und Entschlüsseln die gleichen Schlüssel
verwendet, diese Schlüssel werden schwache Schlüssel genannt. Das gleiche passiert, wenn die
Schlüssel zur Hälfte aus Nullen und zur Hälfte aus Einsen bestehen (Tabelle 7). Da man die Benutzung
dieser Schlüssel aber einfach vermeiden kann, besteht hier auch keine Gefährdung.
• Semi­schwache Schlüssel
Bestimmte Schlüsselpaare haben die
gleichen Decodierungen, d.h. es gilt c =
DES(p, k1) = DES(p, k2) für zwei
unterschiedliche Schlüssel k1 und k2.
Diese Schlüsselpaare nennt man semischwache
Schlüssel und sind in Tabelle
8 zu sehen. Weitere Paare als diese sind
bis zum jetzigen Zeitpunkt nicht
gefunden, also sollte man vermeiden, Tabelle 8: Semi­schwache Schlüssel in hexadezimaler Notation
diese Schlüssel zu benutzen.

• Key Clustering
Unter Key Clustering versteht man Schlüsselpaare, die aus dem gleichen Klartext das gleiche Chiffrat
erzeugen, also genau der Effekt, der auch bei den semi­schwachen Schlüsseln auftritt. Allerdings geben
sich die Forscher mit diesen Schlüsselpaaren nicht zufrieden und suchen noch nach weiteren. Dabei
suchen sie nach Schlüsseln, die in einem Durchlauf im DES den gleichen codierten Text erzeugen, und
nach solchen, in denen diese Eigenschaft auch nach zwei oder mehr Durchläufen noch gegeben ist. Bis
heute wurden nur Paare gefunden, die nach drei Durchläufen den gleichen codierten Text erzeugen,
danach wird diese Art der Analyse so komplex, dass keine weiteren Ergebnisse gefunden wurden.
• Differentielle Cryptoanalyse
1990 wurde von Biham und Shamir eine neue Methode mit Namen differentielle Cryptoanalyse
vorgestellt, die vor allem gegen Algortihmen mit Permutationen und Substitutionen effektiv ist. Die
Methode benutzte sorgfältig ausgewählte Paare von Klartext mit nur geringfügigen Unterschieden und
beobachtet deren Chiffrate. Aus den Ergebnissen lassen sich dann Rückschlüsse auf den ursprünglich
verwendeten Klartext ziehen.
So lässt sich z.B. Lucifer unter Verwendung von 30 Klartextpaaren knacken, die Auswirkungen auf
DES sind ebenfalls sehr gravierend. Geht man davon aus, dass bei den urprünglich 16 Durchläufen 2 58
Tests notwendig sind, um DES zu knacken, so verkleinert sich diese Zahl mit Verringern der
Durchläufe sehr stark. Bei 15 Runden braucht man nur noch 2 52 Tests, bei 6 Durchläufen nur noch 2 8
Tests. Bei vollen 16 Durchläufen liegt die Zahl allerdings 2 4 mal höher als eine vollständige Suche nach
dem Schlüssel dauern würde.
Desweiteren zeigen die beiden Autoren noch, dass es eine Änderung in den Werten der S­Boxen auch
leichter macht, DES zu knacken, sogar wenn sich nur ein einziger Eintrag ändert. Daran sieht man, dass
die S­Boxen von Anfang an ein optimales Design hatten.
Im allgemeinen kann man also festhalten, dass DES ein Algorithmus ohne große Sicherheitslücken ist,
der allerdings durch fortschreitende Entwicklung in der Hardware in naher Zukunft nicht mehr die
Sicherheit mit sich bringt, die von ihm erwartet wird. Um dem entgegen zu wirken wurde er bereits
weiter entwickelt, von ihm leiten sich andere Algorithmen ab, z.B. Triple­DES oder AES (Advanced
Encryption Standard).

PGP:
PGP steht für “Pretty Good Privacy” und ist ein 1991 von Phil Zimmermann entwickeltes Programm
zur Verschlüsselung von Daten. Es ist weltweit das am häufigsten verwendete Kryptosystem und wird
hauptsächlich für den sicheren Versand von emails eingesetzt. Dabei bietet es sowohl Verschlüsselung
als auch Authentifizierung.
Die Verschlüsselung geschieht dabei wie folgt (Hybridverschlüsselung):
1) Der Sender erzeugt einen zufälligen symmetrischen Sitzungsschlüssel und verschlüsselt damit die
Nachricht.
2) Der Sitzungsschlüssel wird dann mit dem öffentlichen Schlüssel des Empfängers verschlüsselt
und der codierten Nachricht angehängt.
3) Der Empfänger decodiert die Nachricht mit seinem privaten Schlüssel, erhält somit den
Sitzungsschlüssel und kann die Nachricht entschlüsseln.
Es ist auch möglich, eine verschlüsselte Nachricht an mehrere Empfänger gleichzeitig zu senden,
indem der Sitzungsschlüssel der Nachricht mehrfach (jeweils mit dem öffentlichen Schlüssel des
Empfängers verschlüsselt) angehängt wird.
Die andere wichtige Funktion von PGP, das Signieren von Nachrichten, läuft folgendermaßen ab:
1) Der Sender berechnet einen Hashwert der Nachricht (z.B. MD5 oder SHA1), verschlüsselt diesen
mit seinem privaten Schlüssel und hängt ihn der Nachricht an.
2) Der Empfänger entschlüsselt die digitale Signatur mit dem öffentlichen Schlüssel des Absenders,
berechnet seinerseits den Hashwert des Klartextes und vergleicht die beiden Werte. Stimmen sie
überein, kann er sich sicher sein, dass die Nachricht vom Absender stammt.
Es ist natürlich auch möglich, eine Nachricht sowohl zu verschlüsseln als auch zu signieren. Dazu
wendet man die beiden Verfahren einfach nacheinander an, wobei erst signiert und das Ergebnis
(Kartext + Signatur) dann verschlüsselt wird.
Schlüsselmanagement:
Die Sicherheit von PGP hängt, wie bei jedem anderen Kryptosystem auch, entscheidend von der
Glaubwürdigkeit der verwendeten Schlüssel ab. Beispielsweise ist bei einem Schlüssel, der auf einer
Webseite publiziert wird, nicht unbedingt sichergestellt, das er auch wirklich dem richtigen Empfänger
gehört. Schließlich kann die Seite auch durch einen Hacker manipuliert und der Schlüssel ausgetauscht
worden sein. So wäre z.B. ein Man­in­the­middle­Angriff möglich.
Um die Echtheit eines Schlüssels zu garantieren, wurden sogenannte Public­key­Infrastrukturen (PKI)
entwickelt. Dies sind hierarchisch aufgebaute Systeme, welche es ermöglichten, digitale Zertifikate
auszustellen, zu verteilen und zu prüfen. Dazu wird der eigene öffentliche Schlüsssel mit dem privaten
Schlüssel einer Zertifizierungsstelle (CA) signiert. Deren öffentlicher Schlüssel ist wiederum mit dem
privaten Schlüssel der nächsthöheren CA signiert etc.. So muss man sich nur noch auf die Echtheit der
Schlüssel der obersten Institutionen dieser Hierarchie verlassen können. Sie sind oft in die
verarbeitende Software integriert.
Die Beantragung eines Zertifikats bei einer CA (z.B. Verisign) ist i.A. mit (teilweise hohen) Kosten
verbunden und/oder zeitlich begrenzt. Allerdings bietet die Zeitschrift c't im Rahmen ihrer 1997
gestarteten Krypto­Kampagne einen kostenlosen Zertifizierungs­Service für PGP Schlüssel an.

Eine Alternative zu PKIs stellt bei PGP das sog. “Web­of­trust” bzw. “Netz des Vertrauens” dar. Hier
stellen die Anwender selbst Zertifikate aus, unabhängig von zentralen Autorisierungsstellen. Sie
verbreiten ihre Zertifikate durch öffentliche PGP­Keyserver, also über ungesicherte Verzeichnisse, die
keinerlei Garantien für die darin veröffentlichten Schlüsseldaten übernehmen. Insbesondere prüfen sie
die Zusammengehörigkeit von Schlüssel und Inhaber nicht.
Vertrauenswürdig sind PGP­Zertifikate nur, wenn jemand für sie bürgt, der selbst vertrauenswürdig ist.
Jeder Teilnehmer kann den öffentlichen Schlüssel eines anderen signieren und so dafür bürgen, das die
Angaben im Schlüsselmaterial korrekt sind. Auf diese Weise entstehen "Ketten des Vertrauen". Je
kürzer diese Ketten sind, bzw. je mehr vertrauenswürdige Personen einen Schlüssel bestätigen, desto
sicherer ist die Echtheit dieses Schlüssels.
Geschichte von PGP:
Im Jahr 1991 veröffenlichte Phil Zimmermann die erste Version von PGP. Sie war OpenSource
Software und verbreitete sich schnell über das Usenet, später auch über das Internet. Im Jahr 1993
wurde Zimmermann Ziel von Untersuchungen durch die US­Regierung wegen unerlaubter
Waffenexporte. Die Exportbeschränkungen der USA erlaubten den Export von Kryptosystemen nur bis
zu einer Schlüssellänge von 40 Bit. PGP nutzte jedoch niemals kürzere Schlüssel als 128Bit.
Die Situation entspannte sich erst um 1996 aufgrund einer Liberalisierung der Gesetze – die Anklage
gegen Zimmermann wurde fallen gelassen.
Ein anderes Problem stellten die bis dato verwendeten Algorithmen IDEA und RSA dar, da es mit
beiden gewisse Patentschwierigkeiten gab. Deshalb wurde PGP 3 von einer eigens von Zimmermann
gegründeten Firma entwickelt, das weitere Verbesserungen enthielt und neue Algorithmen einführte:
CAST128 als symmetrischen Algorithmus sowie DSA und Elgamal als asymmetrische Algorithmen.
Seit 2000 ist RSA wieder in PGP enthalten, da das Patent abgelaufen ist.
Im weiteren Verlauf folgten mehrere mehrere Firmengründungen, Zusammenschlüsse und Übernahmen
(Viacrypt, PGP Inc., NAI, PGP Corp.), auf die wir aber nicht weiter eingehen. Bemerkenswert ist noch
die Tatsache, das die Version5 von PGP als Quellcode in Buchform aus den USA exportiert wurde und
später von einigen Freiwilligen wieder eingescannt und neu kompiliert wurde. Daraus wurde die
international verfügbare Version PGPi [6].
Zur Zeit existiert eine kommerzielle Version von PGP, die in der Version 8.1 von der Firma PGP
Corporation vertrieben wird. Für privaten Gebrauch gibt es eine kostenlose Version, die man beim
Hersteller herunterladen kann.
Aufgrund der Tatsache, dass der Quelltext von PGP zeitweilig nicht offengelegt wurde und Features
implementiert wurden, welche die automatische Verschlüsselung an einen weiteren Empfänger
ermöglichten, wurde das Programm GnuPG (GNU Privacy Guard) [7] von der Free Software
Foundation als freie Alternative zu PGP entwickelt. Es basiert auf dem 1997 von der IETF (Internet
Engineering Task Force) eingeführten OpenPGP­Standard, der für Kombatibilität zwischen den
unterschiedlichen PGP­Versionen sorgen soll. Dank des aus Bundesmitteln geförderten Ägypten­
Projekts unterstützt GnuPG inzwischen auch S/MIME, eine von Firmen und Behörden bevorzugte,
zentralisierte Vertrauensstruktur.
Die beiden Screenshots unten zeigen, wie PGP im praktischen Einsatz aussehen kann. Das erste Bild
zeigt den virtuellen Schlüsselbund eines Anwenders, in dem die öffentlichen Schlüssel seiner Freunde
oder Bekannten eingetragen sind. Es gibt die Möglichkeit, weitere Schlüssel zu importieren, bestehende
zu exportieren, Schlüssel zu signieren (Web­of­trust), zurückzuziehen (revocation), zu ändern usw.

Das zweite Bild zeigt ein typisches Dialogfeld eines mail­Programms, mit dem man die gewünschten
PGP­Funktionen (verschlüsseln, signieren oder beides) auswählen kann.
Abbildung 9: GnuPG Schlüsselbund­Editor
Abbildung 10: PGP­Optionen auswählen...

Anhang:
Tabelle 9: S­Boxen

Literatur / Links:
[1] Charles P. Pfleeger, Shari Lawrence Pfleeger:
„Security in Computing“, Third Edition, Prentice Hall, 2002
[2] http://www.en.wikipedia.org
[3] http://www.rsasecurity.com/rsalabs/node.asp?id=2152
[4] http://www.ccc.de/gsm/
[5] http://en.wikipedia.org/wiki/DeCSS
[6] http://www.pgpi.org/doc
[7] http://www.gnupg.org
[8] http://www.elliptische­kurven.de
[9] http://www.quantencomputer.de