Proseminar „Kryptologie in der Schule“ Sommersemester 2007 Prof. Dr. Michael Fothe Casio-Stiftungsprofessur für Didaktik der Informatik/Mathematik Friedrich-Schiller-Universität Jena Fakultät für Mathematik und Informatik Ernst-Abbe-Platz 2 07743 Jena fothe@minet.uni-jena.de http://www.uni-jena.de/casio.html

Michael Fothe: Kryptologie in der Schule

2

Arbeits- und Zeitplan (Entwurf) A Mono- und polyalphabetische Substitution: 16. April 2007 B Problemlösen mit Python: 23. April -7. Mai 2007 C Ausarbeitung und Vortrag: 14. Mai-18. Juni 2007 Die ersten Vorträge werden nach Möglichkeit bereits vor dem Beginn der Vorle-sungszeit vergeben. Nehmen Sie bitte bei Interesse Kontakt zu Prof. Fothe auf.

1 Vigenère-Chiffre (Geschiche, Verschlüsseln, Ent-schlüsseln, Bezug zum Cäsar-Code, Kasiski-Test, Friedman-Test)

Vortrag am 14. Mai 2007

2 ENIGMA (Geschichte, Aufbau und Arbeitsweise, Verschlüsseln, Entschlüsseln, Angriffe)

Vortrag am 14. Mai 2007

3 RSA-Algorithmus (Verschlüsseln, Entschlüsseln, Erzeugen der Schlüssel, Bewerten der Sicherheit des Verfahrens)

Vortrag am 21. Mai 2007

4 DES Vortrag am 21. Mai 2007 Lineare Schieberegister Anwendung des diskreten Logarithmus Hash-Funktionen und Nachrichtenauthentizität Zero-Knowledge-Protokolle Elektronisches Geld Quantenkryptografie PGP

Bitte beachten Sie:

Abgabe eines Ausarbeitungsentwurfs zwei Wochen vor dem Vortrag (10-15 Seiten DIN A4)

Konsultation eine Woche vor dem Vortrag Vortrag (45 min einschließlich Diskussion) Abgabe der Ausarbeitung eine Woche nach dem Vortrag

D Rollenspiel zum Verschlüsseln: 25. Juni 2007 E Praktikum (Python): 2.-16. Juli 2007 Leistungspunkte (ECTS credits) 3 Arbeitsaufwand Proseminar (2 SWS): 30 Stunden

Selbststudium: 40 Stunden Vorbereitung des Vortrags: 10 Stunden Ausarbeitung: 10 Stunden Gesamtarbeitsaufwand: 90 Stunden

Voraussetzung für die Vergabe von Leistungspunkten (Prüfungsform)

Präsenz; Vortrag; Ausarbeitung; erfolgreiche Bearbeitung der Übungsaufgaben

Inhalte

symmetrische Verfahren; mono- und polyalphabetische Substitution; DES; IDEA; One-Time-Pad; Schieberegister; asymmetrische Verfahren; digitale Signatur; zahlentheore-tische Grundlagen; Chiffriersicherheit; Steganographie; Au-thentifikation; historische Bezüge wie z. B. ENIGMA; aktuelle Entwicklungen wie z. B. elektronisches Geld

(Qualifikations)Ziele

Kompetenzerwerb für das didaktisch sinnvolle Thematisieren kryptologischer Verfahren im Mathematikunterricht; Vorberei-ten und Halten eines mathematischen Vortrags; schriftliche Darstellung mathematischer Zusammenhänge

Michael Fothe: Kryptologie in der Schule

3

A Mono- und polyalphabetische Substitution Wichtige Anforderungen an sichere Systeme

Vertraulichkeit: Nur berechtigte Personen können in Besitz der übertragenen Information gelangen.

Authentizität: Nur Personen/Computer, deren Identität erwiesen ist, können an der Kommunikation teilnehmen.

Integrität: Nachrichten können auf dem Weg vom Sender zum Empfänger nicht verfälscht werden, d. h. keine Verdopplung, Einfügung, Änderung, Um-ordnung oder Zerstörung von Nachrichten.

Verbindlichkeit: Senden bzw. Empfangen einer Nachricht können nicht bestritten werden.

Verfügbarkeit: Die Verfügbarkeit des Gesamtsystems kann durch einen Angriff nicht eingeschränkt werden.

Kommunikation über das Internet

Das Internet ist nicht vertrauenswürdig. Als Konsequenz sollten alle oder zumindest wichtige E-Mails verschlüsselt verschickt werden.

Hinweis auf die Geschichte des Internets Pro und contra Verschlüsselungsverbot Hinweis auf Steganographie

Symmetrische Verschlüsselungsverfahren

Kennzeichen: ein gemeinsamer Schlüssel für Ver- und Entschlüsseln Vorteil: hohe Geschwindigkeit Nachteil: Schlüsselverwaltung (Wie viele Schlüssel werden benötigt, wenn

n Personen untereinander kommunizieren wollen?) Beispiele:

monoalphabetische Substitution polyalphabetische Substitution DES (Data Encryption Standard) IDEA (International Data Encryption Algorithm)

1 Sender

Schlüssel s

2 Empfänger Schlüssel s

Michael Fothe: Kryptologie in der Schule

4

Begriffe und Abkürzungen Schlüssel s Klartext Klarbuchstabe k Geheimtext Geheimbuchstabe g Verschlüsseln V Entschlüsseln E

Als Klar- und Geheimbuchstaben sind ausschließlich Kleinbuchstaben zugelassen. Keine Ziffern, keine Sonderzeichen, keine Leerzeichen! Prinzip von Kerckhoffs Die Sicherheit eines Kryptosystems darf nicht von der Geheimhaltung des Algorith-mus abhängen. Die Sicherheit gründet sich nur auf die Geheimhaltung des Schlüs-sels. Monoalphabetischen Substitution Bei der monoalphabetischen Substitution gibt es eine feste Zuordnung der Klar- zu den Geheimbuchstaben. Beispiel: K: a b c d e f g h i j k l m n o p q r s t u v w x y z G: k w a m u g h q f t i c e z l d p r y b j v o n s x s = ”kwamughqfticezldprybjvonsx” Verschlüsseln: Vs ( k ) = g Entschlüsseln: Es ( g ) = k Invariante: Es ( Vs ( k ) ) = k Bewertung der Chiffriersicherheit: Ein Angriff kann durch Anwendung der Häufigkeitsreihenfolge der Buchstaben (deut-sche Sprache) erfolgen: e n i r s a t d h u l g o c m b f w k z p v j y x q (F. L. BAUER)

Michael Fothe: Kryptologie in der Schule

5

Cäsar-Code Der Cäsar-Code ist ein Spezialfall der monoalphabetischen Substitution. s = ”defghijklmnopqrstuvwxyzabc” bzw. s = 3

s = ”ghijklmnopqrstuvwxyzabcdef” bzw. s = 6

Das Verschlüsselungsverfahren (mit s = 3) wurde bereits von Gajus Julius Cäsar (100 - 44 v. Chr.) benutzt.

Bewertung der Chiffriersicherheit Lässt sich automatisiert (also ohne als Mensch zu lesen) entscheiden, ob ein

Text in einer natürlichen Sprache (z. B. der deutschen Sprache) geschrieben wurde? Falls ja: Wie?

Polyalphabetische Substitution (Vigenère-Chiffre) Dieses Verfahren wurde mehrfach erfunden. ALBERTI (1466), TRITHEMIUS (1518) und VIGENÈRE (1585) sollen genannt werden. Nach THOMAS VON RANDOW hätte Königin Maria Stuart (1542 - 1587) ihren Kopf behalten können, wenn sie ihre Briefe mit polyalphabetischer Substitution verschlüs-selt hätte. s = [ 19 , 14 , 12 ] bzw. s = [ t , o , m ] bzw. s = ”tom” Beispiel: Der Klartext ”bittekommemorgen” wird zum Geheimtext ”uwfmswhayxaakuqg”

a 0 b 1 c 2 d 3 e 4 f 5 g 6 h 7 i 8 j 9 k 10 l 11 m 12 n 13 o 14 p 15 q 16 r 17 s 18 t 19 u 20 v 21 w 22 x 23 y 24 z 25

Michael Fothe: Kryptologie in der Schule

6

D Rollenspiel zum Verschlüsseln Einführung Anna und Bert wollen sicher kommunizieren. Sie verwenden dazu ein symmetrisches Verschlüsselungsverfahren. In einer ersten Szene erzeugt Anna einen Sitzungs-schlüssel und sendet diesen an Bert. Mit diesem Schlüssel werden die Nachrichten ver- und entschlüsselt. Weitere Szenen stellen mögliche Angriffe von dritter Seite und Abwehrmaßnahmen dagegen dar. Dabei wird ein asymmetrisches Verschlüsse-lungsverfahren eingesetzt. Die Szenen des Rollenspiels werden von Anna, Bert, Clara, Dirk und einer Person, die ein Trustcenter darstellt, aufgeführt. Dabei kommen die folgenden farbigen Karten der Größe DIN A4 zum Einsatz:

Art Farbe Aufschrift Verschlüsseln Entschlüsseln Signieren Überprüfen Hashwert berechnen

Vorgänge rot

Hashwerte vergleichen K Klartext KS signierter Klartext KV verfälschter Klartext HK Hashwert vom Klartext HKS signierter Hashwert vom Klartext G Geheimtext

Texte

gelb

GV verfälschter Geheimtext S Sitzungsschlüssel SAÖ öffentlicher Schlüssel von Anna SAÖZ öffentlicher Schlüssel von Anna – zertifiziert SAP privater Schlüssel von Anna SBÖ öffentlicher Schlüssel von Bert SBÖZ öffentlicher Schlüssel von Bert – zertifiziert SBP privater Schlüssel von Bert SCÖ öffentlicher Schlüssel von Clara SCÖZ öffentlicher Schlüssel von Clara – zertifiziert SCP privater Schlüssel von Clara SDÖ öffentlicher Schlüssel von Dirk SDÖZ öffentlicher Schlüssel von Dirk – zertifiziert SDP privater Schlüssel von Dirk STÖ öffentlicher Schlüssel vom Trustcenter

Schlüssel grün

STP privater Schlüssel vom Trustcenter Zu Beginn einer Szene werden die richtigen Karten ausgewählt und in die richtige Reihenfolge gebracht. Beim Erläutern der Vorgänge werden die Karten wie beim Kartenspiel gehalten – jedoch deutlich sichtbar für jedermann. Benötigte Schlüssel und Texte werden von einem zu einem anderen Akteur „physisch“ übergeben.

Michael Fothe: Kryptologie in der Schule

7

Beschreibung der 1.-4. Szene Für das Rollenspiel werden nachfolgend fünf Szenen näher beschrieben.

1. Szene Anna und Bert wollen sicher kommunizieren. Sie verwenden dazu ein symmetrisches Verschlüsselungsverfahren. Anna sendet einen Sitzungsschlüssel S an Bert. Mit die-sem Schlüssel werden die Nachrichten ver- und entschlüsselt. Anna übergibt Bert die Karte mit dem Sitzungsschlüssel S. Dann erläutert sie das Verschlüsseln des Klartextes K mit dem Sitzungsschlüssel S zum Geheimtext G:

Sie übergibt dann Bert die Karte mit dem Geheimtext G. Bert erläutert das Ent-schlüsseln anhand der folgenden Karten:

G Geheimtext

Entschlüsseln

S Sitzungsschlüssel

K Klartext

K Klartext

Verschlüsseln

S Sitzungsschlüssel

G Geheimtext

Michael Fothe: Kryptologie in der Schule

8

2. Szene Clara greift beim Senden des Sitzungsschlüssels S von Anna nach Bert an. Sie fängt den Schlüssel ab, liest ihn und leitet ihn an Bert weiter. Clara kann nun alle Nach-richten im Klartext mitlesen oder sogar verfälschen. 3. Szene Für den sicheren Transport des Sitzungsschlüssels S wird ein asymmetrisches Ver-schlüsselungsverfahren verwendet1. Anna bittet Bert um Zusendung seines öffentli-chen Schlüssels SBÖ, verschlüsselt den Klartext mit diesem Schlüssel und sendet den erhaltenen Geheimtext an Bert. Bert entschlüsselt den Geheimtext mit seinem privaten Schlüssel SBP und kennt nun den Klartext (also den Sitzungsschlüssel S). 4. Szene Dirk greift beim Senden des Schlüssels SBÖ von Bert nach Anna an. Er fängt den Schlüssel ab und sendet Anna seinen eigenen öffentlichen Schlüssel SDÖ. Anna erhält den Schlüssel und denkt, dass es der öffentliche Schlüssel von Bert ist. Sie verschlüsselt den Klartext mit dem Schlüssel SDÖ und sendet die Nachricht zu Bert. Dirk fängt die Nachricht ab und entschlüsselt sie mit dem Schlüssel SDP. Er liest den Klartext und kann ihn sogar verändern. Dann verschlüsselt er den Klartext mit SBÖ und sendet den Geheimtext an Bert. Bert entschlüsselt mit dem Schlüssel SBP. Anna und Bert merken von Dirks Machenschaften nichts. Signieren und Überprüfen Vor der 5. Szene wird die digitale Signatur thematisiert. Das Signieren eines Klar-textes K durch Bert wird mit folgenden Karten beschrieben:

Bert sendet den signierten Klartext KS nach Anna.

1 Der Sitzungsschlüssel S wird nachfolgend Klartext genannt, um ihn nicht mit dem Schlüssel zu verwechseln, der im asymmetrischen Verfahren verwendet wird.

K Klartext

Signieren

SBP privater Schlüssel von Bert

KS signierter Klartext

Michael Fothe: Kryptologie in der Schule

9

Anna überprüft nun, ob alles mit rechten Dingen zugegangen ist:

Wenn beim Überprüfen ein sinnvoller Klartext entsteht, so kann davon ausgegangen werden, dass kein erfolgreicher Angriff stattgefunden hat. Folgerichtig (vom Rechenaufwand her) ist nicht das Signieren des Klartextes, son-dern das Signieren des Hashwertes vom Klartext. Der Hashwert wird mit einer Ein-weg-Hash-Funktion berechnet. Solche Funktionen bilden eine Zeichenfolge variabler Länge auf eine Zeichenfolge fester Länge ab. Die Funktion f ist eine Einweg-Hash-Funktion, wenn sich f(x) leicht und f-1(x) praktisch nicht berechnen lässt. Bei einer Einweg-Hash-Funktion ist es praktisch unmöglich, zwei Zeichenfolgen zu finden, die den gleichen Hashwert haben. Wird eine Zeichenfolge geringfügig verändert, so hat dies eine beträchtliche Änderung des Hashwertes zur Folge.

K Klartext

Hashwert berechnen

HK Hashwert vom Klartext

Signieren

SBP privater Schlüssel von Bert

HKS signierter Hashwert vom Klartext

KS signierter Klartext

Überprüfen

SBÖ öffentlicher Schlüssel von Bert

K Klartext

Michael Fothe: Kryptologie in der Schule

10

Bert verschickt den Klartext K und den signierten Hashwert HKS vom Klartext (das ist die digitale Signatur) an Anna. Anna überprüft die digitale Signatur und erhält dabei den Hashwert HK vom Klartext. Sie berechnet den Hashwert des erhaltenen Klartex-tes K neu und vergleicht dann diesen mit dem übermittelten Hashwert:

Eine Variante ist das zusätzliche Verschlüsseln des Klartextes zusammen mit der digitalen Signatur. Nur der dabei entstehende Geheimtext wird verschickt.

HKS signierter Hashwert vom Klartext

Überprüfen

SBÖ öffentlicher Schlüssel von Bert

HK Hashwert vom Klartext

K Klartext

Hashwert berechnen

HK Hashwert vom Klartext

Hashwerte vergleichen

Michael Fothe: Kryptologie in der Schule

11

Beschreibung der 5. Szene 5. Szene Anna benötigt den öffentlichen Schlüssel SBÖ von Bert unverfälscht. Um dies zu garantieren, lässt ihn Bert von einem Trustcenter zertifizieren. Er sendet an Anna seinen zertifizierten Schlüssel SBÖZ. Anna überprüft das Zertifikat und kann dann sehr sicher sein, dass sie wirklich den öffentlichen Schlüssel von Bert besitzt. Diese Szenenbeschreibung wird in folgende Schritte umgesetzt: Bert sendet seinen öffentlichen Schlüssel SBÖ zu einem Trustcenter. Das Trustcenter überprüft die Authentizität von Bert und zertifiziert dann seinen Schlüssel. Das Zerti-fizieren erfolgt durch Signieren mit dem privaten Schlüssel STP:

Bert erhält vom Trustcenter seinen zertifizierten öffentlicher Schlüssel SBÖZ. Er sen-det diesen nach Anna. Anna überprüft das Zertifikat:

Der öffentliche Schlüssel STÖ vom Trustcenter ist jedermann, also auch Anna, sicher bekannt.

SBÖZ öffentlicher Schlüssel von Bert – zertifiziert Überprüfen

STÖ öffentlicher Schlüssel vom Trustcenter

SBÖ öffentlicher Schlüssel von Bert

SBÖ öffentlicher Schlüssel von Bert

Signieren

STP privater Schlüssel vom Trustcenter

SBÖZ öffentlicher Schlüssel von Bert – zertifiziert

Michael Fothe: Kryptologie in der Schule

12

E Praktikum (Python) Hinweis für alle nachfolgenden Aufgaben: Klar- und Geheimtexte können als Zei-chenketten (Strings) dargestellt werden. Als Klar- und Geheimbuchstaben sind aus-schließlich Kleinbuchstaben zugelassen. Keine Ziffern, keine Sonderzeichen, keine Leerzeichen! Pflichtteil:

1. Gegeben ist das folgende Python-Programm, das das Verschlüsseln mit dem Cäsar-Code durchführt (s = 3):

def verschluesseln3(klartext):

geheimtext = "" for i in range(0, len(klartext), 1): zahl = ord(klartext[i]) + 3 if zahl > ord("z"): zahl = zahl - 26 geheimtext = geheimtext + chr(zahl) return geheimtext

print verschluesseln3("bittekommemorgenumzehnuhr")

Tippen Sie das Programm ein und probieren Sie es aus. Erarbeiten Sie dann ein Programm, das das Entschlüsseln durchführt.

2. Die beiden Alphabete (siehe 1. Aufgabe) können um eine beliebige Anzahl

von Zeichen versetzt sein. Die Anzahl ist der Schlüssel. Gegeben ist das folgende Programm, das das Verschlüsseln durchführt:

def verschluesselnC(klartext, schluessel):

geheimtext = "" for i in range(0, len(klartext), 1): zahl = ord(klartext[i]) + schluessel if zahl > ord("z"): zahl = zahl - 26 geheimtext = geheimtext + chr(zahl) return geheimtext

print verschluesselnC("bittekommemorgenumzehnuhr", 4)

Tippen Sie das Programm ein und probieren Sie es aus. Erarbeiten Sie dann ein Programm, das das Entschlüsseln durchführt.

3. Erarbeiten Sie ein Programm, das das Ver- und Entschlüsseln mit der Vige-

nère-Chiffre durchführt. 4. Erarbeiten Sie ein Programm, das das One-Time-Pad realisiert.

5. Erarbeiten Sie ein Programm zum Ver- und Entschlüsseln mit dem RSA-Algo-

rithmus.

Michael Fothe: Kryptologie in der Schule

13

Wahlteil: 6. Bei der monoalphabetischen Substitution gibt es eine feste Zuordnung der

Klar- zu den Geheimbuchstaben. Ein Angreifer will die Zuordnung herausfin-den. Erarbeiten Sie dazu ein Programm, das für einen (Geheim-)Text ermittelt, wie häufig jeder Kleinbuchstabe vorkommt.

7. Sender und Empfänger einer Nachricht vereinbaren einen Schlüssel (siehe 2.

Aufgabe). Ein Angreifer will den Geheimtext entschlüsseln. Erarbeiten Sie ein Programm, das das unbefugte Entschlüsseln realisiert.

8. Erarbeiten Sie ein Programm, das den Kasiski-Test durchführt.

9. Erarbeiten Sie ein Programm zur Schlüsselerzeugung für den RSA-Algorith-

mus (siehe 5. Aufgabe).

10. Erarbeiten Sie ein Programm, das Steganographie mithilfe eines Fotos reali-siert.

11. freie Aufgabe (in Abstimmung)

Die Aufgaben sollen Sie nicht dazu ermuntern, im täglichen Leben unbefugte Angriffe auf Kryptosysteme durchzuführen. Es geht hier nur um das Bewerten der Chiffrier-sicherheit.

Literatur (Auswahl) Bauer, F. L.: Entzifferte Geheimnisse. Methoden und Maximen der Kryptologie. 2. Aufl. Springer Berlin, Heidelberg, New York 1997 Beutelspacher, A.: Kryptologie. 7. Aufl. Friedr. Vieweg & Sohn Verlag Wiesbaden 2005 Beutelspacher, A.; Neumann, H. B.; Schwarzpaul, T.: Kryptografie in Theorie und Praxis. Friedr. Vieweg & Sohn Verlag Wiesbaden 2005 Fothe, M.: Ein Rollenspiel zum Verschlüsseln. In: LOG IN Heft Nr. 138/139 (2006), S. 82-85 Fothe, M.: Problemlösen mit Python. Reihe „Materialien“ Heft 72. ThILLM Bad Berka 2002 (im Internet verfügbar) Singh, S.: Geheime Botschaften. Deutscher Taschenbuch Verlag München 2000 zusätzlich diverse, teilweise ausgezeichnete Materialien im Internet

Quellen sind stets anzugeben. Zitate sind als solche zu kennzeichnen.