Diskussion:Buch-Verschlüsselung
Wieso nennt man die Buch-Verschlüsselung auch Ottendorf-Verschlüsselung und wer zum Teufel ist/war Ottendorf?
- (Jetzt) Siehe Artikel. Nicholas Dietrich, Baron de Ottendorf, war ein deutscher Söldner der im Amerikanischen Unabhängigkeitskrieg erst auf amerikanischer, später auf britischer Seite kämpfte, <http://www.si.umich.edu/spies/people.html> <http://archiver.rootsweb.com/th/read/AMREV-HESSIANS/2001-01/0980641484> . Ob die Bezeichnung Ottendorf-Verschlüsselung korrekt ist, weiß ich nicht. --84.162.46.27 23:11, 20. Jan. 2008 (CET)
Sicherheit
[Quelltext bearbeiten]Im Abschnitt Sicherheit wird empfohlen, Unikate als gemeinsame Buchwahl zu verwenden. Falls der "Angreifer" nur Zugriff auf die Nachricht hat, ist dies nachvollziehbar; wenn aber gefürchtet werden muss, dass die Wohnung/das Besitztum eines der Kommunikationspartner Ziel eines Angriffs wird, müssen solche Raritäten eher auffallen als harmlose Allerweltstitel.
Andernfalls lässt sich das einzigartige Buch auch durch ein eigens zum Zwecke der Übermittlung angelegten Codebuches ersetzen. (nicht signierter Beitrag von 84.60.25.228 (Diskussion) 23:27, 4. Feb. 2011 (CET))
"Die kryptographische Sicherheit dieses Verfahrens gegen unbefugte Entzifferung ist als sehr hoch einzuschätzen", "[...] ist das Verfahren der Buch-Verschlüsselung als praktisch „unbrechbar“ zu bezeichnen" - diese behauptungen sind sowohl vage als auch unbelegt. gibt es dafuer irgendwelche quellen? ansonsten muesste das etwas entschaerft werden. --Mario d 12:49, 22. Aug. 2011 (CEST)
- Hallo Mario, schön dich auch hier wiederzutreffen! Ja, du hast natürlich recht! Diese (meine) Behauptung ist etwas krass. Sie entspricht meiner unmaßgeblichen Erfahrung und es ist nach meiner ebenso unmaßgeblichen Meinung zwar tatsächlich so, vorausgesetzt das „Buch“ ist dem Angreifer unbekannt, da ich dies aber nicht belegen kann, ist es wahrscheinlich am besten, es zu löschen, so wie du es gemacht hast. Traust du dir denn vielleicht eine „unkrasse“ Aussage über das Sicherheitsniveau zu, damit unsere Leser nicht völlig im Dunkeln bleiben? Gruß von --OS 13:37, 22. Aug. 2011 (CEST)
schoen, dass du dich freust :) was meinst du mit "erfahrung"? der halbsatz, den ich geloescht habe, war, dass das verfahren "der sicherheit des OTP nahkommt", eine mMn irrefuehrende und schwer zu belegende aussage. was bedeutet es denn "fast beweisbar informationstheoretisch sicher" zu sein? mein gefuehl sagt mir, dass das verfahren fuer eine richtige analyse unterspezifiziert ist - wie waehle ich denn die stelle mit dem zu kodierenden buchstaben aus? da das buch in natuerlicher sprache verfasst ist, gibt es vielleicht probleme wenn die stellen zu nahe beieinander liegen. im englischen artikel steht "[the code version] is still susceptible to other methods of cryptanalysis, and as such is quite easily broken, even without sophsitcated means, without the cryptanalist having any idea what book the cipher is keyed to." ich weiss nicht, was genau mit "code version" gemeint ist und auf das buch, das als quelle angegeben ist, habe ich keinen zugriff. das einzige, was ich mir in einem solchen fall zutraue, ist aussagen aus reputablen quellen abzuschreiben. --Mario d 14:48, 22. Aug. 2011 (CEST)
- Hallo Mario, um zunächst einmal deine direkte Frage zu beantworten: Mit „Erfahrung“ meine ich, dass ich mich seit mehr als einem Jahrzehnt theoretisch und praktisch vor allem mit klassischen Methoden der Kryptographie und der Kryptanalyse befasse und mich selbst als einen Hobby-Kryptologen bezeichnen würde. Habe viel gelesen und auch eine Reihe von Computer-Programmen geschrieben, um diverse zumeist klassische Verfahren, wie beispielsweise Playfair oder die Enigma, anzugreifen. Auch habe ich mich schon bei diversen Knackwettbewerben beteiligt und traue mir eine gewisse realistische Einschätzung der Stärke unterschiedlicher kryptographischer Methoden zu. Mal abgesehen davon, dass ich mich auch bei Simon Singhs legendärem „Cipher Challenge“ bis zur Stufe 9 hochgearbeitet hatte, bevor das schwedische Team die Gesamtlösung veröffentlichte, war die Meinung der Siegermannschaft (wie auch meine), dass eine der härtseten Nüsse dieses „Challenge“ die Stufe 5 war, der eine klassische Buch-Verschlüsselung zugrunde lag. Die Schweden waren Singh fast schon böse, weil er solch eine „unfaire“ Aufgabe integriert hatte, an der selbst sie fast gescheitert wären. Dabei war diese Aufgabe im Grund gar nicht so schwiereig, denn das „Buch“ war ein Kapitel aus einem anderen seiner veröffentlichten Bücher (Fermats Letzter Satz), also im Grund naheliegend. Wenn ich mir nun vorstelle, man nähme irgendein „Buch“ aus der praktisch unübersehbaren Fülle von Publikationen und auch Nicht-Publikationen auf der Welt, dann sehe ich (wohlgemerkt: ich) keine Chance, eine darauf basierende Buch-Verschlüsselung zu knacken. Selbstverständlich dürfen dem Verschlüssler keine Fehler passieren, ebenso wie das auch nicht bei dem ansonsten so sicheren OTP passieren darf. Sonst ist selbstverständlich auch eine Buch-Verschlüsselung, ebenso, wie wir beide wissen, auch ein OTP zu knacken. Du schreibst etwas von „"fast beweisbar informationstheoretisch sicher"“ und setzt es in Anführungsstriche. Damit suggerierst du, es sei ein Zitat aus dem Artikel. Das ist aber nicht so! Danke für deinen Hinweis auf die englische Wiki! Aber es wäre natürlich ein gravierender Fehler des Verschlüsslers, mehrere gleiche Buchstaben des Klartextes mit demselben Geheimzeichen zu verschlüsseln, oder Positionen zu nehmen, die sehr eng beieinanderliegen. Aus „reputablen quellen abzuschreiben“, wie du schreibst und was du dir zutraust, davon würde ich strikt abraten. Gruß von --OS 09:43, 23. Aug. 2011 (CEST)
das klingt sehr beeindruckend, klassische krypto ist ein gebiet von dem ich fast keine ahnung habe, abgesehen von dem "was man so mitbekommt". gut, dass wir dich an bord haben.
zu deinem edit: der halbsatz, "Wichtig ist natürlich auch, dass dem Verschlüssler keine Fehler passieren" ist mMn so selbstverstaendlich, dass man ihn auch weglassen koennte. wichtiger finde ich, dass gar nicht klar ist, was ein fehler ist, weil das verfahren im ganzen artikel nicht wirklich beschrieben ist. deshalb sollte unbedingt ein abschnitt mit der beschreibung vor dem beispiel eingefuegt werden; da waeren dann auch deine tipps besser aufgehoben, als im abschnitt "sicherheit". vielleicht koennte man dort auch auf die verschiedenen variationen des verfahrens eingehen, die wohl existieren.
der ausdruck "fast beweisbar informationstheoretisch sicher" sollte ein sinngemaesses zitat der aussage "der sicherheit des OTP nahkommt" sein. das OTP ist ja inf.th. sicher, und mit der aussage "inf.th. sicherheit nahekommen" kann ich nicht viel anfangen. fuer inf.th. sicherheit ist charakteristisch, dass der angreifer (im komplexitaetstheoretischem sinne, also hinsichtlich seiner laufzeit) unbeschraenkt sein darf. ein problem bei der buch-verschluesselung sehe ich darin, dass die menge aller "buecher" (als zeichenketten) vermutlich einer fuer die natuerliche sprache typischen verteilung unterliegt, also nicht, wie der schluessel beim OTP, gleichverteilt ist. laut Buch#Rekorde_und_Skurriles schaetzt google die zahl der buecher auf 130 mio. (~ 2^27) weltweit; eine vollstaendige suche ist also problemlos moeglich (unter der annahme, dass sich die parteien kein buch teilen auf das der angreifer keinen zugriff hat). die frage ist, wie viele moegliche klartexte ich zu einem chiffrat erhalte. falls die antwort "alle, und alle mit gleicher wahrscheinlichkeit" lautet, haben wir inf.th. sicherheit, ansonsten informationen ueber den klartext. in dem fall beruht die sicherheit also massgeblich auf der annahme, dass sich niemand zugang zu dem buch verschaffen kann. diese annahme kann man zwar treffen (wie es der artikel ja auch tut), sie ist aber sehr stark und trifft vermutlich in vielen faellen nicht zu (ich z.b. wuesste nicht, woher ich so ein buch bekommen sollte). in beiden faellen (dem aus dem artikel und dem eben von dir beschriebenen) ist mir nicht klar, wie viel information man aus dem chiffrat wirklich bekommt. die beiden einschaetzungen "sehr hoch" und "praktisch unbrechbar" beduerfen also einer begruendung. gibt es keine zeitschriften fuer hobby-kryptologen, in denen das mal analysiert wurde?
mit dem "abschreiben aus reputablen quellen" wollte ich auf WP:Q verweisen, denn meine spekulationen ueber die sicherheit sind reinste TF, was in einem artikel ja nichts verloren hat. der artikel hat leider noch keine einzelnachweise, gerade bei der beschreibung des verfahrens und dem abschnitt "sicherheit" waere es sicherlich kein fehler, noch welche zu finden.--Mario d 14:39, 23. Aug. 2011 (CEST)
- Danke für deine freundlichen Worte! Deiner Ansicht, das Verfahren sei „im ganzen artikel nicht wirklich beschrieben“, kann ich allerdings nicht ganz zustimmen, denn das Kapitel „Beispiel“ beschreibt doch das Verfahren. Vielleicht hast du aber trotzdem recht, und man könnte davor noch ein weiteres Kapitel mit einer allgemeinen Verfahrensbeschreibung platzieren. Mit den insgesamt 130 Millionen unterschiedlichen Büchern, die es weltweit geben soll (eine interessante Information, die ich noch nicht kannte), wäre ich vorsichtig und würde nicht voreilig möglicherweise inkorrekte Schlüsse ziehen. Diese Zahl allein bedeutet bei weitem noch nicht „eine vollstaendige suche ist also problemlos moeglich“, wie du schreibst. Mit ein bisschen Intelligenz werden die beiden Kommunikationspartner nämlich zumindet einen „Offset“, also einen Versatz zwischen angegebenen „Ortskoordinaten“, also Seite, Zeile und Buchstabennummer im Buch und dem tatsächlichen Ort vereinbaren oder eine andere Art der „Überverschlüsselung“ wählen. So ist es jedenfalls gang und gäbe. Auch ist es möglich, dass sie sich auf eine bestimmte Seite oder ein Kapitel im Buch geeinigt haben und dies nicht im Geheimtext angeben, oder, dass die Zeichenzählung rückwärts statt vorwärts erfolgt oder nur jeder zweite Buhstabe gezählt wird etc. All diese Fallunterscheidungen führen zu einem gewaltigen Aufwandsfaktor, den der Angreifer nun plötzlich zusätzlich abarbeiten muss. So verlässt man schnell den praktischen Bereich des „problemlos exhaustierbaren“. Außerdem kommen ja als „Buch“, also als Basis für die Verschlüsselung, außer den genannten „nur“ 130 Millionen unterschiedlichen „wirklichen“ Büchern noch die ungezählten Schriftstücke in Frage, die es auf der Welt gibt, und die vermutlich nicht Teil dieser von dir zitierten Google-Zählung (oder Abschätzung) sind, beispielsweise Briefe oder E-Mails oder Zeitschriften, Groschenromane, Urkunden, Verträge, Prospekte, Kataloge oder Tageszeitungen. Darüber hinaus wäre es sogar noch denkbar, dass sich die beiden Kommunikationspartner speziell zum Zweck der Verschlüsselung ein eigenes „Buch“ kreiert haben. Hier beginnt dann fließend der Übergang hin zum OTP, nämlich dann, wenn sie sich ein (mehr oder weniger „gutes“) Zufallsbuch generiert haben, was mit heutigen Computer-Mitteln ganz einfach möglich ist. Spätestens dann gilt meine Aussage (die du aus dem Artikel gelöscht hast, was ich dir nicht übel nehme), nämlich, dass die Sicherheit der Buchverschlüsselung der des OTP nahekommt. (Die Sache mit der Hausdurchsuchung und den „harmlosen“ und den „verdächtigen“ Büchern, vor der hier weiter oben ein anonymer Kollege warnt, ist mir natürlich auch klar, aber das ist ein anderes Thema, denn solche versteckten Bücher muss man zunächst einmal finden und identifizieren können. Sie könnten beispielsweise ja auch mithilfe steganographischer Verfahrenn Teil einer x-beliebigen Bilddatei auf deinem und meinem Computer sein.) Wenn der Verschlüssler meinem Rat folgt und pro Zeile des Buchs nur ein einziges Zeichen entnimmt, dann löst sich auch dein Argument der typischen Verteilung einer natürlichen Sprache in Luft auf. Die Informationen, die du nachfragst und die der Angreifer dann allein aus dem Chiffrat herausziehen kann sind aus meiner Sicht dann völlig nutzlos und reichen keinesfalls aus, um den Text per „ciphertext only cryptanalysis“ angreifen zu können. Wer das nicht glaubt, kann beispielsweise versuchen, den ersten Teil der „Beale-Chiffre“, einem klassischen Beispiel einer Buch-Verschlüsselung, zu knacken. Gruß von --OS 08:43, 24. Aug. 2011 (CEST)
deine argumentation liefert bereits den besten grund, warum das verfahren im artikel ordentlich beschrieben werden sollte. von offsets oder anderen zaehlweisen steht im artikel naemlich nichts. das waere eine modifikation des verfahrens, die zusaetzlich zum buch noch einen weiteren (kurzen) schluessel als parameter nimmt. eine weitere frage ist fuer mich, ob der schluessel das buch selbst ist (also das ganze buch niemand anderem bekannt sein darf) oder nur ein index in die menge aller buecher (also nur geheimgehalten werden muss, welches buch verwendet wird). die code-variante, statt buchstaben ganze woerter zu nehmen sollte auch erwaehnt werden, dann koennte man schoen den unterschied in der sicherheit rausstellen. ein eigenes buch zu generieren, wuerde ich den teilnehmern nicht erlauben, das ist ja nichts anderes als ein schluesselaustausch - und den zu vermeiden ist doch einer der vorteile des verfahrens oder? sonst kann ich auch einfach ein OTP verwenden und mir die expansion des chiffrats sparen. mit einer weiteren ueberverschluesselung bekomme ich natuerlich jedes beliebige verfahren sicher, deshalb gleicht das ja schon einem eingestaendnis, dass das verfahren ohne diese unsicher ist. --Mario d 12:37, 24. Aug. 2011 (CEST)
- Hallo Mario, bei dem „Buch“ darf es sich selbstverständlich um ein allgemein bekanntes Schriftstück handeln, das weltbekannt ist (dies ist auch so im Artikel beschrieben). Es muss also kein geheimes Schriftstück sein. Entscheidend ist, ob der Angreifer auf die Idee kommt, das richtige „Buch“ als Grundlage der Verschlüsselung anzunehmen. Ein wichtiger Teil des Schlüssels ist somit der „index in die menge aller buecher“, so wie du es nennst, wobei ich noch einmal darauf hinweisen möchte, dass mit „Buch“ sehr viel mehr gemeint ist, als nur die 130 Millionen „echten Bücher“, die du genannt hattest. Darüber hinaus kann es grundsätzlich aber selbstverständlich auch nicht schaden, wenn der Angreifer das richtige „Buch“ nicht findet, weil es sich um ein geheimes Werk handelt (wie es auch im Artikel beschrieben ist). Im übrigen geht es, glaube ich, nicht darum, was du den Teilnehmern erlaubst oder nicht erlaubst. Tatsache ist, sie könnten sich ein mehr oder weniger gutes Zufalls-Buch erzeugen und damit arbeiten. Und, ob sie so einen Schlüsselaustausch vornehmen wollen oder nicht, bleibt auch ihnen überlassen. Nur nebenbei bemerkt, ein Schlüsselaustausch, egal auf welche Weise, ist (bei dem im Artikel beschriebenen Verfahren) ohnehin unverzichtbar. Insofern kann ich deine Sichtweise, die Vermeidung eines Schlüsselaustauschs sei einer der Vorteile des Verfahrens, überhaupt nicht teilen. Aber selbstverständlich habe ich dieses Beispiel einer Buch-Verschlüsselung unter Verwendung eines selbstkreierten Zufalls-Buchs als optionale Variante nur für dich konstruiert, um dir den fließenden Übergang von der Buch-Verschlüsselung hin zum OTP zu illustrieren und auch noch einmal meine (von dir gelöschte) Bemerkung aus dem Artikel zu belegen, dass dann die Sicherheit der Buchverschlüsselung der des OTP nahe kommt. Bei deiner Schlussbemerkung hier kann ich dir leider nicht zustimmen sondern muss gleich doppelt widersprechen, denn erstens bekommt man selbstverständlich nicht mit einer (wie genannt relativ schwachen) Überverschlüsselung ein beliebiges (möglicherweise unsicheres) Verfahren sicher, wie du falsch annimmst, und zweitens ist selbst für den Fall, dass du mit deiner ersten (tatsächlich falschen) Aussage recht hättest, deine daraus gezogene Schlussfolgerung unlogisch und deshalb ebenso falsch, denn es gibt tatsächlich Beispiele dafür, dass sogar ein beweisbar sicheres Verfahren überverschlüsselt wurde (wie du im Artikel über das OTP nachlesen kannst). Mit anderen Worten, die Tatsache der Durchführung einer Überverschlüsselung eines Verfahrens, beweist oder widerlegt nichts über das Verfahren, weder, dass es vorher oder nachher sicher war oder ist, noch, dass es vorher oder nachher unsicher war oder ist. Gruß von --OS 08:51, 25. Aug. 2011 (CEST)
meine frage ist: was ist der vorteil der buchverschluesselung? warum wuerde ueberhaupt jemand auf die idee kommen, so etwas zu verwenden? ein vorteil ist, dass ich aus einer kurzen geheimen information (buchtitel, kapitelnummer) eine lange zeichenkette erhalte, mit der ich verschluesseln kann. mit dieser kette koennte ich auch eine vernam-chiffre benutzen, aber das ist wegen bestimmter eigenschaften natuerlicher sprache keine gute idee. wenn die teilnehmer zuerst ein zufallsbuch erzeugen, dann wuerden sie sicherlich nicht mit der buchverschluesselung arbeiten, sondern ein OTP benutzen, das perfekt sicher ist und ihnen einen faktor 6 bei der chiffratlaenge spart (angenommen ich brauche je 2 zeichen fuer seite, zeile, position). mit der argumentation waere vielleicht auch AES inf.th. sicher, ich koennte ja fuer jeden block einen neuen schluessel benutzen. ich halte die zwei varianten fuer unterschiedliche verfahren, eben weil einmal der schluessel der index ist, einmal fas ganze buch.
zur ueberverschluesselung: im artikel OTP steht lediglich, dass man das OTP benutzt hat um einen codierten text ueberzuverschluesseln; sicher eine gute idee, dein ein code alleine bietet vermutlich nicht die gewuenschte sicherheit. wenn ich ein beliebiges chiffrat nochmal mit einem OTP ueberverschluessle (natuerlich mit einem neuen, unabhaengigen schluessel), ist das ergebnis perfekt sicher, wie jedes OTP-chiffrat. du hat lediglich "eine andere Art der „Überverschlüsselung“" vorgeschlagen, da stand nichts von "relativ schwach". --Mario d 14:59, 25. Aug. 2011 (CEST)
- Ich hatte geschrieben: „Mit ein bisschen Intelligenz werden die beiden Kommunikationspartner nämlich zumindet einen „Offset“ [...] oder eine andere Art der „Überverschlüsselung“ wählen.“ Das Wählen eines Offsets ist eine relativ schwache Überverschlüsselung und in dem Zusammenhang im Satz als ein Beispiel für die eine oder andere Art einer schwachen Überverschlüsselung gemeint. Gruß von --OS 09:26, 26. Aug. 2011 (CEST)