Diskussion:One-Time-Pad

aus Wikipedia, der freien Enzyklopädie
Letzter Kommentar: vor 4 Monaten von Sanandros in Abschnitt Beweisbarkeit
Zur Navigation springen Zur Suche springen
Diese Diskussionsseite dient dazu, Verbesserungen am Artikel „One-Time-Pad“ zu besprechen. Persönliche Betrachtungen zum Thema gehören nicht hierher. Für allgemeine Wissensfragen gibt es die Auskunft.

Füge neue Diskussionsthemen unten an:

Klicke auf Abschnitt hinzufügen, um ein neues Diskussionsthema zu beginnen.
Auf dieser Seite werden Abschnitte ab Überschriftenebene 2 automatisch archiviert, die seit 10 Tagen mit dem Baustein {{Erledigt|1=--~~~~}} versehen sind.
Vorlage:Autoarchiv-Erledigt/Wartung/Festes_Ziel
Archiv
Wie wird ein Archiv angelegt?

Brute Force

[Quelltext bearbeiten]

Bei der mehrfachen Verwendung eines eigentlich einmaligen Schlüssels kann nicht nur statistisch der Klartext "wiederbelebt" werden. Dann könnte man auch Brute-Force den Text knacken, da es extrem unwahrscheinlich ist, dass der selbe Schlüsse aus beiden verschlüsselten Texten sinnvollen Klartext erzeugt. Bei der Mitteilung mit den 21 Buchstaben wäre auch der Rechenaufwand überschaubar...

Karsten (nicht signierter Beitrag von 80.132.39.97 (Diskussion | Beiträge) 17:57, 15. Apr. 2009 (CEST)) Beantworten

  • Hallo Karsten, unterschätze bitte die Mächtigkeit von 21 Buchstaben nicht! Wenn du einen Geheimtext dieser dir relativ kurz erscheinenden Länge wirklich per „Brute Force“ knacken möchtest, musst du 26 hoch 21 Fälle durchprobieren. Das sind genau 518.131.871.275.444.637.960.845.131.776 Möglichkeiten. Nehmen wir an, du hast einen Rechner, der eine Milliarde Fälle pro Sekunde abarbeiten kann, dann hast du nach 518.131.871.275.444.637.961 Sekunden alle Fälle durchprobiert und sicher die Lösung gefunden. Diese Zeitspanne in Jahre umgerechnet ergibt 16.418.608.236.223 Jahre, in Worten mehr als Tausend Mal die angenommene Existenzdauer unseres Universums von rund 15 Milliarden Jahren. Ich wünsche es dir, aber ich glaube nicht, dass du auf diese Weise deine „Wiederbelebung des Klartextes“ noch erleben wirst. Gruß von --OS 09:18, 23. Aug. 2011 (CEST)Beantworten
Hallo OS, ich denke das sich die Anzahl der Fälle deutlich reduzieren lässt. Angenommen ich möchte Schlüssel aussortieren, die Nonsens produzieren (Voraussetzung ich kenne die Zielsprache). Dann entschlüssel ich nur die ersten n Zeichen. Wenn da Blödsinn bei rauskommt, ist der Schlüssel unbrauchbar. Aber nicht nur der eine Schlüssel, sondern alle Schlüssel die mit der gleichen (n langen) Zeichenfolge starten. Je nachdem wie groß n ist und wie viele sinnvolle Texte dieser Länge existieren, kann man da einiges an Zeit sparen (besonders weil es für zwei Chiffre gilt). Diese Annahmen treffen sicher nicht immer zu, aber einfach ignorieren lässt sich das nicht. Ob das dann reicht, um das Brute-Force in sinnvoller Zeit enden zu lassen, muss für jeden Fall einzeln bewertet werden. --Zeilenleser 11:25, 17. Feb. 2014 (CEST)Beantworten
Man kann nicht nur die Fälle reduzieren. Hier gibt es ein schönes, grafisches Beispiel: [1]. Tatsächlich kann man den Schlüssel einfach abziehen und entfernt damit alle Zufälligkeit. Was übrig bleibt ist nur eine Vermischung der beiden Klartexte.  — Felix Reimann 13:15, 17. Feb. 2014 (CET)Beantworten
Welchen Schlüssel? Der ist doch nicht bekannt. --77.3.109.251 15:43, 28. Jul. 2024 (CEST)Beantworten
Es nützt nichts. Angenommen, die kryptierten Texte hätten jeweils N Zeichen, und man zerlegt sie in k=N/n Abschnitte der Länge n. Dann bruteforced man die einzelnen Abschnitte, bis man Sinnvolles findet. Das sind k*26^n Rechenoperationen, was weniger als 26^N Operationen sind. - Hm, nützt vielleicht doch: Mit N=21 und n=3, also k=7, braucht man nur maximal 7*26^3=123.032 Fälle durchzuprobieren. Das geht eigentlich ruck-zuck... Und der Aufwand ist auch nur linear in N, also auch für sehr viel längere Chiffrate noch durchaus überschaubar. Wenn man das dreimal, mit jeweils um eine Position versetzten Abschnitten macht, dann findet man mögliche Schlüssel für häufige Tripel wie "der", "die", "das", "sch", "ein" usw. Und aus dechiffrierten Bruchstücken lassen sich dann längere Cribs raten. Oder man rät gleich "ganz lange Cribs" wie "OberkommandoderWehrmacht" und nimmt die ca. N Schlüsselabschnitte, die dieses Cribs auf dem einen Chiffrat entschlüsseln, und sieht nach, ob die auf dem anderen zu sinnvollen Klartextabschnitten führen. Fazit: Saublöde Idee, OTPs mehrfach zu verwenden - bereits die zweimalige Verwendung kompromittiert die Chiffrierung. (Und wahrscheinliche Cribs gibt es reichlich: Man nimmt einfach die ersten paar tausend häufigsten Begriffe aus einem Wörterbuch.) --77.3.109.251 16:15, 28. Jul. 2024 (CEST)Beantworten
  • Hallo Zeilenleser, danke für deinen Hinweis! Du könntest recht haben. Aber Kryptographie ist kompliziert und du könntest auch völlig daneben liegen. Nimm mal an, der Verschlüssler fügt in seinen Klartext am Anfang und am Schluss ein paar sinnlose Zeichen ein, wie beispielsweise „södlkfj“. Zum Schutz gegen Attacken auf stereotype Begrüßungs- oder Schlussfloskeln ist es üblich, so etwas tatsächlich zu machen. Man nennt das, wie du sicher weißt, Blender. Befolgst du nun deinen eigenen Vorschlag (von oben) „Dann entschlüssel ich nur die ersten n Zeichen. Wenn da Blödsinn bei rauskommt, ist der Schlüssel unbrauchbar“ würdest du die Lösung verpassen und auch nach voller Exhaustion noch immer keinen Klartext gefunden haben. Dein Entzifferungsversuch wäre somit klassisch schief gelaufen! Gruß von --OS (Diskussion) 06:42, 15. Jan. 2016 (CET)Beantworten

One-Time-Pad vs. One-Time Pad

[Quelltext bearbeiten]

Ist es notwendig, beide Schreibweisen im Artikel zu verwenden? Wenn beide Schreibweisen gängig sind, lässt sich darauf ja einmalig hinweisen. Der englische Artikel zu dem Thema verwendet "One-time pad" (inkl. der Quellen 5 und 10). Die Variante mit Großbuchstaben finde ich für den deutschen Artikel allerdings auch passender.

Gruß --Zeilenleser d 10:43, 17. Feb. 2013 (CET)Beantworten

Im Deutschen werden solche Ausdrücke durchgekoppelt, korrekt wäre also "One-Time-Pad".--Plankton314 (Diskussion) 13:00, 17. Feb. 2014 (CET)Beantworten
Warum gilt das Argument Eigenname hier nicht? --Zeilenleser (Zeilenleser)) 13:13, 25. Feb. 2014 (CET)Beantworten
Eigennamen werden in der deutschsprachigen Wikipedia zwar erwähnt, die Schreibung im Artikel und Lemma richtet sich jedoch nach der deutschen Rechtschreibung (zB. Der Spiegel).--Plankton314 (Diskussion) 15:08, 25. Feb. 2014 (CET)Beantworten
weil es kein eigenname ist. der englische artikel verwendet die englische schreibweise, der deutsche artikel die deutsche. --Mario d 15:21, 25. Feb. 2014 (CET)Beantworten
Ok, da muss ich natürlich weiterfragen warum es kein Eigenname ist (Kategorie Produktname könnte man doch anwenden). Als Argument dagegen kann ich mir vorstellen, dass es sich um eine Klasse von Verschlüsselungsalgorithmen handelt (und damit eher ein Gattungsname ist). --Zeilenleser (Zeilenleser)) 18:25, 25. Feb. 2014 (CET)Beantworten

Beispiel - fehlerhaft ?

[Quelltext bearbeiten]

Hallo,

habe das Beispiel, dass fehlerhaft ist, korrigiert. Die Korrektur wurde mir von OS wieder rückgängig gemacht.

Nichtsdestrotz ist das Beispiel falsch.

Die Buchstaben MÜSSEN von 0 bis 25 durchnummeriert werden, wenn man mit Modulo 26 arbeitet. Nett der Hinweis, dass es ja mit umdefinierter Modulo-Funktion (wobei ich die gerne mal sehen würde) geht, aber hier ist nur vom ("normalen") Modulo 26 die rede.

Den Buchstaben Z (=26) kann man so nie erreichen, da 26 Mod 26 = 0 ist... das wäre dann ebenso nicht definiert, da wir bei 1 anfangen.

Wir in der Kryptologie (und der Informatik) fangen bei Alphabeten gerne mit der 0 an... macht vieles einfacher.

Bevor ich jetzt hier einen Edit-War starte, wollte ich das mal gerne zur Diskussion geben.

Weitere Argumente GEGEN die aktuelle Version des Beispiels:

  • Im Text oben wird von 0 bis 25 gesprochen,
  • die englische Wikipedia spricht auch nur on 0 bis 25,
  • in der Kryptologie/Informatik arbeiten wir eigentlich immer von 0 bis 25 für Alphabete,
  • 0 bis 25 macht das Modulo "einfacher"...

Von daher würde ich gerne meine Version wieder als die aktuelle einstellen.

Viele Grüße,

NiKo (Diskussion) 17:21, 11. Jan. 2016 (CET)Beantworten

Ausschnittsvergrößerung der Hinweisplakette der Enigma
  • Hallo NiKo, alles Gute zum neuen Jahr und danke, dass du keinen Edit-War startest. Die Buchstaben müssen keineswegs von 0 bis 25 durchnummeriert werden, wie du irrtümlich behauptest. Auch ist das Beispiel nicht fehlerhaft, wie du hier im Titel nachfragst und im Text falsch schreibst. Gerade in der klassischen Kryptologie ist die „natürliche“ Nummerierung von 1 bis 26 üblich. Ein prominentes Beispiel ist die Enigma-Maschine, deren (in der Innenseite des Deckels angebrachte) Hinweisplakette ich hier für dich noch einmal zeige. Bitte beachte die beiden unteren Zeilen. Falls du aber wirklich nicht wissen solltest, wie (einfach) man die Modulo-Funktion umdefinieren kann, so dass der Zahlenbereich statt auf 0 bis 25 dann auf 1 bis 26 „umgebrochen“ wird, könntest du dich vielleicht einmal kundig machen. Unsere Wikipedia ist immer eine exzellente Wissensquelle. Gruß von --OS (Diskussion) 07:09, 12. Jan. 2016 (CET)Beantworten
da , sind [0..25] und [1..26] zwei äquivalente repräsentationen der gleichen menge (auch wenn [0..25] kanonisch ist). es ist also nicht nötig, etwas unzudefinieren. welcher zahl man welchen buchstaben zuordnet ist geschmackssache, keine der beiden alternativen ist falsch. in der informatik beginnt man üblicherweise bei a=0, in der klassischen kryptographie wird wohl häufig a=1 gesetzt. da man sowohl über die klassische als auch über die moderne kryptographie einen zugang zum OTP haben kann, würde ich dem grundsatz folgen, etwas richtiges nicht ohne not in etwas anderes zu ändern, das genauso richtig ist. --Mario d 15:49, 17. Jan. 2016 (CET)Beantworten

Kann mir diesen Satz mal einer erklären?

[Quelltext bearbeiten]

Im Beispiel steht im letzten Absatz dieser Satz: "Dieser Schlüssel S' erfüllt die Bedingung, dass die buchstabenweise Summe von ihm mit dem oben erzeugten (falschen) Klartext K' genau den gleichen Geheimtext ergibt wie die Summe aus dem echten, aber dem Angreifer unbekannten Schlüssel S mit dem echten, aber dem Angreifer ebenso unbekannten Klartext K."

Kann das mal einer klarstellen? Ich kann diesen Satz nämlich nicht deuten.

--BrokenSoul1979 (Diskussion) 16:02, 12. Nov. 2016 (CET)Beantworten

  • Sei mir bitte nicht böse, aber dann hast du das OTP-Verfahren vielleicht nicht richtig verstanden? Am besten wäre es, du nimmst dir noch einmal die Zeit den Artikel in Ruhe zu lesen und danach arbeitest du am besten das Beispiel durch und verschlüsselst bitte erstens den Klartext K mithilfe des Schlüssels S. Danach verschlüsselst du bitte zweitens den angegebenen Klartext K’ mithilfe des Schlüssels S’. Nun vergleiche bitte die beiden so erhaltenen Geheimtexte miteinander. Fällt dir etwas auf? Falls du noch Fragen hast, bitteschön. Gruß von --OS (Diskussion) 06:56, 14. Nov. 2016 (CET)Beantworten

Nicht das dass jetzt so wichtig wäre, aber… "sicher" vs "sicherer"

[Quelltext bearbeiten]

Versionsunterschied @Dr.üsenfieber

Also in deinem Beispiel wäre doch meine Idee gegeben:

  • "USB" ist ein sicherer Kanal als "Internet"
  • Eine Übertragung des OTP via "Internet" (ohne zusätzliche Verschlüsselung o.ä.), um später Nachrichten über "Internet" zu verschicken, macht keinen Sinn.


Und wenn wir davon ausgehen, dass "Internet" beispielsweise über HTTPS abgewickelt wird, dann kann man nicht prinzipiell sagen "Internet" wäre unsicher. Deswegen von mir die relative Formulierung, dass der Kanal (nicht nur) sicher sein muss, sondern - um Sinn zu machen - sicherer. Ich hoffe, dass ist jetzt verständlich. ;)

--rugk (Diskussion) 00:06, 17. Nov. 2016 (CET)Beantworten

Echt Zufällig, nicht-deterministisch

[Quelltext bearbeiten]

"Um einen kryptologisch sicheren Schlüssel zu erzeugen, wird im Idealfall ein physikalischer Zufallszahlengenerator verwendet, da nur solche echt zufällige, das heißt nicht-deterministische, Werte liefern."

Physikalische Zufallsgeneratoren sind nicht nicht-deterministisch, der Determinismus kann nur nicht nachvollzogen werden, d.h. das Ergebnis kann nicht vorhergesagt werden.

Es gibt auch keine echt zufälligen Werte.

Jwalter (Diskussion) 09:47, 7. Sep. 2017 (CEST)Beantworten

Da sagt der Artikel Zufallszahlengenerator aber was anderes. Ansonsten könnte man überhaupt keine nicht-deterministische Zufallszahlen erzeugen.--Sanandros (Diskussion) 15:09, 7. Sep. 2017 (CEST)Beantworten
Das sagt er nicht. Du missverstehst den OT komplet. Der Effekt ist der Gleiche, logischerweise können wir unvorhersagbare, aber (theoretisch) deterministische Zufalszahlen nicht von nicht-deterministischen unterscheiden. Nur weil wir kein Computer in der Grösse unseres Universums bauen können, plus Beobachtungen das Messergebnis verändern, heisst das nicht, dass die zugrundeliegenden Effekte zufällig sind. Sonst wäre etwa selbst der Versuch, das künftige Wetter richtig vorherzusagen, vom Prinzip her sinnlos, dh es griffen nicht mal statistische Methoden...Der Albtraum (Diskussion) 18:13, 8. Sep. 2017 (CEST)Beantworten
ich finde, dass der besagte Artikel ebenso fehlerbehaftet ist - ansonsten d'accord. Jwalter
Seit der Quantenmechanik, also schon ziemlich lange, gibt es Determinismus nur noch in unzutreffenden Modellen der Wirklichkeit, z.B. Algorithmen. --Rainald62 (Diskussion) 00:57, 8. Okt. 2017 (CEST)Beantworten
Gib ein Beispiel für etwas nicht determiniertes. Jwalter (Diskussion) 14:07, 8. Okt. 2017 (CEST)Beantworten
Kopenhagener Deutung#Deutung des Zufalls in der Quantenphysik --Rainald62 (Diskussion) 12:57, 22. Okt. 2017 (CEST)Beantworten
Du hast kein solches Beispiel gegeben, sondern den Hinweis, dass es unterschiedliche Auffassungen dazu gibt, wie man mit dem Umstand umgehen solle, dass bestimmt Ereignisse nicht vorhersagbar sind, sondern nur statistisch beschrieben werden können: "Die Quantentheorie gestattet keine exakte Vorhersage von Einzelereignissen, z.B. beim radioaktiven Zerfall oder bei der Beugung von Teilchenstrahlen, sie lassen sich nur statistisch voraussagen". Ja, das bedeutet nicht, dass sie indeterminiert sind. "...ist im mathematischen Sinn zufällig". Das ist Dummschwätz, weil eine Nullaussage, und sollte im Artikel geändert werden. "Ob dieser Zufall irreduzibel ist oder auf dahinterliegende Ursachen rückführbar, ist seit der Formulierung dieser Theorie umstritten". Also handelt es sich um Meinungen und nichts mehr. "Nur ein kleiner Teil der Physiker publiziert zu Unterschieden zwischen den verschiedenen Interpretationen. Ein Motiv mag hierbei sein, dass die wesentlichen Interpretationen sich hinsichtlich der Vorhersagen nicht unterscheiden, weshalb eine Falsifizierbarkeit ausgeschlossen ist". Oder anders gesagt, die praktische Relevanz dieser Frage ist handlungsleitend. Damit ist zugegeben, dass diese philosophische Frage und die Wahrheit die Physik an dieser Stelle nicht interressiert. Jwalter (Diskussion) 13:29, 22. Okt. 2017 (CEST)Beantworten
"Nicht falsifizierbar" schließt "auf dahinterliegende Ursachen rückführbar" aus (blamier dich ruhig weiter). Die Philosophen können sich gerne beliebige Wahrheiten vorstellen, aber es ist irrelevant, insbesondere für die Sicherheit physikalischer Zufallszahlengeneratoren. --Rainald62 (Diskussion) 15:41, 22. Okt. 2017 (CEST)Beantworten

Beispiel fehlerhaft, Substitutionstabelle genügt nicht der Fano-Bedingung

[Quelltext bearbeiten]

Hallo, ich bin zwar neu in diesem Thema, aber mir ist beim Dechiffrieren des Beispiels aufgefallen, dass es mit dieser Art der Substitution (A bis Z entspricht 1 bis 26) nicht funktioniert. Die ersten drei Zahlen beim Dechiffrieren durch Substraktion sind 114. Dies kann sowohl AAD, KD, oder AN bedeuten. Nach weiterer Forschung bin ich auf die https://de.wikipedia.org/wiki/Fano-Bedingung gestoßen, die besagt, dass eine Sprache kein Wort enthalten darf, welches der Anfang eines anderen Wortes ist. Nur dann genügt sie der Fano-Bedingung. Das ist bei der Substitution aus dem Beispiel nicht der Fall, deshalb ist keine eindeutige Entschlüsselung möglich. Auf der Suche nach anderen Substitutionstabellen bin ich als erstes auf die Substionstabelle Tapir der NVA gestoßen: http://kryptografie.de/kryptografie/chiffre/tapir.htm diese erfüllt die Bedinung.

Daher würde ich vorschlagen, den Artikel dahingehend zu ändern. (Würde ich auch selbst machen).

Was sagt ihr dazu?

EDIT:Unterschrift --MariusRohd (Diskussion) 09:57, 8. Apr. 2018 (CEST)Beantworten

Wenn du die Unterschrift nicht vegisst dann darfst du nach einem besseren Beispiel suchen und es dann einfügen ;) --Sanandros (Diskussion) 23:14, 7. Apr. 2018 (CEST)Beantworten
Also grundsätzlich weiss ich nicht wehr hier sonst noch mit liest aber evtl mal im p:informatik oder p:Mathematik fragen? Ich habe nicht so viel Ahnung von Kryptologie.--Sanandros (Diskussion) 22:27, 8. Apr. 2018 (CEST)Beantworten
  • Hallo MariusRohd, nein, im Gegensatz zu Verfahren bei denen eine Ziffernfolge als „Wurm“ im Geheimtext verwendet wird, bestehen hier Klar- und Geheimtext nur aus Buchstaben. Die Zahlen dienen nur als Zwischenschritt beim Ver- und Entschlüsseln und müssen bitte einzeln behandelt werden. Das Beispiel ist korrekt. Gruß von --OS (Diskussion) 06:40, 9. Apr. 2018 (CEST)Beantworten

Entfernen des Bildes Datei:PersonalStorageDevices.agr.jpg

[Quelltext bearbeiten]

Die Illustration von (teilweise schon veralteten) Datenträgern bringt m.E. keinen enzyklopädischen Nutzen für den Artikel. --2003:DF:B71E:1400:AC8D:8E43:9FB8:E31E 20:02, 20. Apr. 2020 (CEST)Beantworten

FinalCrypt

[Quelltext bearbeiten]

FinalCrypt ist eine quelloffene Implementierung eines OTP. Wäre das nicht eine Erwähnung wert? --217.254.183.234 11:11, 14. Feb. 2023 (CET)Beantworten

Gibt es dazu auch sonst noch Erwähnungen die Grösser sind? Also in eine Namhaften Computerzeitschfrif oder ähnliches.--Sanandros (Diskussion) 21:05, 28. Jul. 2024 (CEST)Beantworten

Beweisbarkeit

[Quelltext bearbeiten]

Es sollte erwähnt werden, daß ein Empfänger gegenüber einem Dritten normalerweise nicht beweisen kann, daß ein dechiffrierter Klartext zutreffend ist. Ebenso kann er den Empfang beliebiger Botschaften abstreiten, wenn man ihm die Kenntnis des OTP nicht nachweisen kann. Und letzteres kann er erreichen, indem er zusätzlich zum verwendeten OTP nach der Dechiffrierung "falsche" OTPs erzeugt, die das - vom "Feind" vermutlich mitgeschnittene - Chiffrat zu harmlosen Botschaften dechiffriert. Am besten macht er aber nichts davon, sondern vernichtet den OTP vorschriftsmäßig und schreibt einige harmlose Botschaften gleicher Länge. Jede davon könnte ein Klartext zum Chiffrat sein. --77.3.109.251 17:07, 28. Jul. 2024 (CEST)Beantworten

Also kann man gerne erähnen, aber eine Quelle wäre schon noch gut.--Sanandros (Diskussion) 21:28, 28. Jul. 2024 (CEST)Beantworten