Challenge

Im Internet ist am 10. Februar ein weltweiter Dechiffrierwettbewerb erfolgreich beendet worden. Ausgeschrieben hatte ihn die Firma RSA, die Kryptologiesoftware entwickelt und vermarktet und im Dauerstreit mit der amerikanischen Regierung über deren Exportbeschränkungen für Chiffriertechnik liegt.

Der Wettbewerb funktionierte, vereinfacht ausgedrückt, folgendermaßen: Ein Stück Text wird mit einem Key von 48 Bit Länge nach dem RC5-Verfahren verschlüsselt. Die Teilnehmer des Wettbewerbs erhalten die kryptographierten Daten, RSA selbst kennt den Ursprungstext, aber nicht den richtigen Schlüssel. Um die maschinelle Auswertung der Ergebnisse zu ermöglichen, hat RSA in die Aufgabe eine Erleichterung eingebaut: dekodiert man richtig, erscheinen vor dem Text die Worte ‘The unknown message is: ’.

Hintergrund ist die andauernde Debatte um Sinn und Unsinn gesetzlicher Einschränkungen von Chiffrierung überhaupt beziehungsweise der zugelassenen Schlüssellängen - sei es nur für den Export, sei es auch für die eigenen Bürger. Die USA beispielsweise erlauben nur das Ausführen von Soft- und Hardware für 40 Bit lange Schlüssel beziehungsweise 56 Bit mit Genehmigung und Hintertür für amerikanische Behörden.

Die technische Möglichkeit, einen Code verteilt auf mehreren Rechnern zu knacken, schuf Germano Caronni von der ETH Zürich in Zusammenarbeit mit Werner Almesberger - ein kleines Programm, fertig vorliegend für Windows 95/NT und verschiedene Unix-Plattformen. Gegenstück war ein Server in der Schweiz, der die Anmeldung des Clients entgegennahm und ihm eine bestimmte Menge aus dem theoretisch möglichen Schlüsselraum zur Überprüfung zuwies.

Der Client probierte dann der Reihe nach durch, ob der passende Key dabei ist. ‘brute force’ ist in Dechiffriererkreisen die schöne Bezeichnung für diese Methode.

Mit dem nötigen Glück hätte schon der erste vergebene Schlüssel der richtige sein können, im schlechtesten Falle wären bei einem 48-Bit-Schlüssel 2⁴⁸ = 281 474 976 710 656 Möglichkeiten durchzurechnen. Mit jeden weiteren 8 Bit vergrößert sich der Schlüsselraum um den Faktor 256.

Wie haltbar ein 40-Bit-Key ist, bewies schon die Lösung der ersten sogenannten ‘RSA Challenge’. Von zwei unabhängig voneinander arbeitenden Gruppen wurde in 3,5 Stunden beziehungsweise 4 Stunden der Klartext ermittelt.

Für das Knacken des 48-Bit-Schlüssels mußten etwa 5000 Rechner 13 Tage lang rechnen und beackerten dabei 57,6 % des Schlüsselraums - etwas Glück gehört auch dazu. In maximal 26 Tagen ist mit dieser technischen Konstellation also jeder so verschlüsselte Text dechiffrierbar.

Also alles ganz unsicher? Ganz so einfach liegen die Dinge nicht. Zunächst einmal könnte man einwenden, daß die beteiligte Anzahl der Systeme eine beachtliche Rechenleistung repräsentiert. Doch schon heute bringen einzelne Superrechner eine höhere Performance, und sie hätten nicht den Kommunikations-Overhead über das Internet. Man muß da gar nicht bis zu Intels MP-Maschine mit 7200 PentiumPros gehen. Die Verfügungsgewalt über solche Systeme ist allein eine Frage von Geld oder Staatsmacht.

Wichtiger ist: das Feststellen der Lösung ist bei der RSA Challenge vereinfacht, da ein Teil des Klartextes bekannt ist. In der Realität wäre der richtige Text nicht immer durch einen simplen String-Vergleich zu ermitteln. Es müßten auf die dekodierten Dokumente noch weitere Analyseprogramme angesetzt werden, die eine mehr oder weniger große Menge plausibler Lösungen vorab herausfiltern. Je nach vermutetem Inhalt wäre das eine statistische Untersuchung der verwendeten Zeichenverteilung, der Vergleich mit gängigen Headern von Bild- oder Audioformaten und so fort.

Gerade bei einer kurzen Mitteilung, die nur in einem bestimmten Kontext zu verstehen ist, pflegt dies sehr schwierig zu sein. Wenn ich einem Bekannten von mir eine unformatierte Datei mit dem Inhalt ‘HH-Hbf., 7.1., 17,12’ schicke, weiß der, daß es um ein Treffen am Hamburger Hauptbahnhof geht. Eine maschinelle Textanalyse läuft hier eher auf. (Es sei denn, man kann nach EMail-Headern fahnden ...)

Der Streit um die erlaubte Schlüssellänge geht deswegen am eigentlichen Problem vorbei. Schon ein 40-Bit-Schlüssel kann, unter ‘günstigen’ Randbedingungen, die Dekodierung eines Dokumentes nahezu unmöglich machen.

Deswegen hat es mit Liberalisierung nichts zu tun, wenn die amerikanische Regierung jetzt unter bestimmten Vorausetzungen den Export von 56-Bit-Technik erlaubt. Sie ist lediglich technisch gut beraten, wenn sie damit durchsetzt, daß ihre Behörden für jeden Anwender einen Generalschlüssel erhalten. Denn dadurch wird die Debatte über Schlüssellängen obsolet. (js)