Hallo

Ich lese mich im skript ein und da bin ich über ein problem gestolpert :

Crypthographic Security teilt sich (nach meinem Verständnis) in zwei Annahmen auf:

1. Unconditional Security

2. Conditional Security

Also Conditional Security habe ich schon verstanden, das man davon ausgeht das eigentlich eine Methode geknackt werden kann, aber der Aufwand nicht realistisch ist. Aber was meint die Definition von unconditional Security mit "System is secure even if advesary has unbounded computing power."


Danke für antworten

Ein Verschlüsselungssystem ist dann "uncoditional secure", wenn unabhängig der zur Verfügung stehenden Menge an verschlüsselten Material, der Inhalt nicht entschlüsselt werden kann, einfach deswegen, weil die Information dafür nicht da ist. Das einzige was dem entspricht, sind endlos zufällig generierte Codes (blöde Übersetzung, ist von mir [10]. -> One-Time Pads.

Also wenn ich dich richtig verstanden habe : Muss man hier beim verschlüsseltem Text, verheimlichen was es für einen Inhalt es hat.

z.B. Ich habe 1000 Verschlüsselte Dateien. Wenn ich niemanden sage, was es für Dateien sind (also z.B. Bilder) kann niemand dies entschlüsseln. Richtig verstanden ?

Nein, es geht hier wirklich um das System ansich. Es wird einfach dadurch unconditional secure, dass der Angreifer nicht den verwendeten Schlüssel kennt und dieser auch nicht mehrfach verwendet wird, es somit also keine Rückschlüssel gibt. Bei DES z. B. hast Du einen 56-Bit-Schlüssel, den Du für beliebig lange Texte verwendest. Dadurch treten Wiederholungen auf, die bei genügend Daten erkennbar werden und Rückschlüsse ermöglichen. Bei One-Time-Pads ist die Länge des Schlüssels identische zur Länge des zu verschlüsselnden Inhaltes. Es gibt also überhaupt keine Symmetrien mehr, wenn der Schlüssel zufällig generiert wurde, ist der verschlüsselte Text einfach Chaos und kann mathematisch nicht geknackt werden.

Das kommt aufs Verfahren an. Wenn das Verfahren z.B. Prüfsummen oder ähnliches hat, lässt sich per Brute-Force schon feststellen, ob man den richtigen Schlüssel hat. Generell wenn beim probieren aller Schlüssel nur einmal oder wenige Male korrekte Daten rauskommen, kanne in Angreifer das schon noch schließen. Da die meisten Daten irgendwelchen Formaten folgen, ist das eigentlich immer der Fall.

Das One-Time-Pad ist das einzige Verfahren für Unconditional-Security, weil man dort beim Bruteforcen einfach alle Dokumente rausbekommt,. die es gibt. Ein Angreifer kann nicht im geringsten darauf schließen, welches nun das "echte" Originaldokument war, da alle Originaldokumente gleich wahrscheinlich das richtige sind.

Das kommt aufs Verfahren an. Wenn das Verfahren z.B. Prüfsummen oder ähnliches hat, lässt sich per Brute-Force schon feststellen, ob man den richtigen Schlüssel hat.

Du meinst nicht das Verschlüssellungsverfahren (One-Time Pads haben keine Prüfsumme) sondern den Inhalt selbst. Aber das ist für die Bewertung ja nicht interessant. Es geht ja um mathematische Rückschlüsse.

Edit: Außerdem muss man für Deinen Einwand schon sehr, sehr, sehr genau wissen, was zu erwarten ist. Immerhin sind alle Kombinationen möglich. Hast Du ein Bild verschlüsselt, dass dann 100k groß ist, bekommst Du per Brute-Force bei dieser Methode alle Bilder, die mit 100k erzeugt werden können. Da hilft auch eine Prüfsumme nichts.

okey jetzt verstanden. danke

Mein Kommentar dazu:

Erstens:
Unbounded computing power hätt ich auch gern.

Zweitens:
Mit unconditional security, also mit nicht erfolgreich durchführbaren Angriffen mit unbounded computing power ist in der Regel gemeint, dass der Angriff mit Hilfe modernster Rechner (und nicht mit fiktiven 10.000 GHz-Prozessoren) nicht innerhalb eines sinnvollen Zeitrahmens erfolgreich durchgeführt werden kann, also so, dass das erfolgreiche Knacken auch noch einen Nutzen bringen würde. Der Fall, dass ein Schlüssel garantiert nach genau 10 Jahren berechnet werden kann, würde also auch unter unconditional security fallen (unter der Annahme, dass der Schlüssel nicht 10 Jahre benutzt wird…). Die Unterscheidung zwischen conditional und unconditional security ist halt mehr konzeptueller Art, um die Unterschiede der eingesetzten Sicherheitsverfahren hervorzuheben.

Mit unconditional security, also mit nicht erfolgreich durchführbaren Angriffen mit unbounded computing power ist in der Regel gemeint, dass der Angriff mit Hilfe modernster Rechner (und nicht mit fiktiven 10.000 GHz-Prozessoren) nicht innerhalb eines sinnvollen Zeitrahmens erfolgreich durchgeführt werden kann, also so, dass das erfolgreiche Knacken auch noch einen Nutzen bringen würde. Der Fall, dass ein Schlüssel garantiert nach genau 10 Jahren berechnet werden kann, würde also auch unter unconditional security fallen (unter der Annahme, dass der Schlüssel nicht 10 Jahre benutzt wird…). Die Unterscheidung zwischen conditional und unconditional security ist halt mehr konzeptueller Art, um die Unterschiede der eingesetzten Sicherheitsverfahren hervorzuheben.

Das deckt sich definitiv nicht mit der Semantik des Begriffs "unconditional security", die wir in der GSS-Vorlesung kennengelernt haben. Auch Stallings definiert diesen Begriff nicht so, wie Du ihn darstellst.

[…]

Ein Verfahren, welches nach 10.000 Jahren geknackt werden kann, fällt (nach den Definitionen aus GSS und aus dem Stallings) immer noch unter "Conditional Security".

Meine Güte Fred, Du bist Dir Deiner Sache ja ganz schön sicher. Als ob es immer nur richtig und falsch geben würde.

Klar soll aus dem One-Time-Pad auch mit unbounded computing power nichts berechnet werden können. Aber das heißt eben noch nicht, dass "unconditional security == one-time-pad". Es gibt diverse Quellen, die zu unconditional security auch praktisch nicht durchführbare Angriffe mit unbegrenzten Rechenressourcen zählen. Habe mich nämlich in jüngster Zeit intensiv mit dieser Thematik befasst und könnte die Quellen auf Wunsch sicher noch heraussuchen.

Es ist wie immer bei Definitionen. Der eine definiert es so, der andere so. Solange der Professor sich nicht auf eine Definition versteifen würde, was ich nicht annehme, schadet es sicher nicht, den von mir genannten Punkt der praktischen Durchführbarkeit zu berücksichtigen.

Vorsicht skillz, nicht mit unconditionally und computationally secure durcheinanderkommen. Wovon Du sprichst, ist computationally secure. Genauer aufgeschlüsselt trifft das dann zu, wenn der Aufwand zum Brechen der Verschlüsselung den Wert der verschlüsselten Informationen übersteigen oder die Zeit die zum Brechen benötigt wird, die Lebenszeit der Information übersteigt.

Um nochmal einen Begriff einzubringen: Das nennt man auch computationally infeasible

Meine Güte Fred, Du bist Dir Deiner Sache ja ganz schön sicher. Als ob es immer nur richtig und falsch geben würde.

Ich zitiere mal aus dem Stallings:

An encryption scheme is unconditionally secure if the ciphertext generated by the scheme does not contain enough information to determine uniquely the corresponding plaintext, no matter how much ciphertext is available. That is, no matter how much time an opponent has, it is impossible for him or her to decrypt the ciphertext, simply because the required information is not there. With the exception of a scheme known as the one-time pad, there is no encryption algorithm that is unconditionally secure.

An encryption scheme is said to be computationally secure if […] it is very difficult to estimate the amount of effort required to cryptanalyze ciphertext successfully.

Aber das heißt eben noch nicht, dass "unconditional security == one-time-pad".

Doch, vielleicht noch mit Ausnahme der Quantenkryptographie. Dafür ist der Stallings aber wohl zu alt :)

Es gibt diverse Quellen, die zu unconditional security auch praktisch nicht durchführbare Angriffe mit unbegrenzten Rechenressourcen zählen. Habe mich nämlich in jüngster Zeit intensiv mit dieser Thematik befasst und könnte die Quellen auf Wunsch sicher noch heraussuchen.

Ja, gerne. Würde mich interessieren.

Was ist denn laut diesen Quellen der Unterschied zwischen unconditional security und computational security?

[offtopic]

Ich zitiere mal aus dem Stallings:

Stallings riecht. Nach nassem Pudel. So ein unscheinbares Buch, aber so dünne Seiten mit so kleiner Schrift… und dann wird der Inhalt mir auch gerade mal nur als 4 SWS für meine Schwerpunktprüfung angerechnet. Das könnten auch alle 12 sein… [17][/offtopic]

Ich bin erkältet und rieche nichts :) Posegga empfiehlt das Buch, von daher kann es ja sooo schlecht nicht als Klausurvorbereitung sein.

Na ja. Ich habe ihn jetzt drei mal gelesen. Den letzten Horby fand ich unterhaltsamer. ;)

Der Abschnitt aus dem Stallings ist mir bekannt. Seinen eigenen Standpunkt mit Zitaten zu belegen ist gut. Das heißt trotzdem nicht, dass die Darlegungen umfassend und einzig und allein richtig sind (da nur von einem Autor). Zumindest ist mir noch kein Beweis untergekommen, dass Stallings diese beiden Begriffe als erster definiert/geprägt hat.

Was die Stallings'sche Definition angeht, gebe ich Dir natürlich recht. Aber das haben die anderen Poster vor Dir bereits richtig beschrieben.

Die erweiterte Sichtweise der Begriffe habe ich aus den folgenden Büchern:

STAJANO, Frank: Security for Ubiquitous Computing. John Wiley & Sons, 2002
BISHOP, Matt: Introduction to Computer Security. Pearson Education, 2005
SCHWENK, Jörg: Sicherheit und Kryptographie im Internet. Ruhr-Universität Bochum : Vieweg-Verlag, 2005

Genaue Angaben zu Seitenzahlen oder Zitaten kann ich ohne die Bücher nicht machen (aber alle in der Bib vorhanden).

Was ich lediglich nicht so nett fand, war, dass Du einfach meinen kompletten Beitrag als "definitiv falsch" deklariert hast. Die Definition aus dem Stallings ist für diese Beurteilung sicher kein hinreichendes Kriterium, da die Frage nicht lautete "Was heißt unconditional security nach Stallings?"

Hmm. Ich sehe nicht, wieso es hier nötig ist zu wissen, wer was zuerst definiert hat, da es sich um selbstbeschreibende Begriffe handelt. Einen Zeitrahmen oder eine CPU-Leistung zu setzen ist eine Bedingung. Das als bedingungslos zu beschreiben, ergibt einfach keinen Sinn. Vielleicht steht das tatsächlich so in den Büchern (aber wenn Du sie jetzt offensichtlich nicht zum Nachschlagen hast, würde ich weiterhin darauf tippen, dass Du das einfach durcheinander gebracht hast), aber ads macht es doch nicht richtiger.

Außerdem bleibt Freds interessante Frage, was dann noch die rechentechnische Sicherheit beschreiben soll. Wenn nicht das, was Du beschreibst, würde mir dazwischen nichts sinnvolles mehr einfallen.

Der Abschnitt aus dem Stallings ist mir bekannt. Seinen eigenen Standpunkt mit Zitaten zu belegen ist gut. Das heißt trotzdem nicht, dass die Darlegungen umfassend und einzig und allein richtig sind (da nur von einem Autor).

Was steht denn im Skript von Posegga?

Unconditional Security: System is secure even if adversary has unbounded computing power.
- Security can be measured using information theory

Conditional Security: System can be broken in principle, but this requires more computing power than a realistic adversary would have.
- Security can be measured using complexity theory

Zum One-Time Pad schreibt er:

- Every key sequence is equally likely, so is every plaintext!
- Provides unconditional (information theoretic) security, if key is not being reused!

Wobei wir uns über diese Richtung ja bereits einig waren. Über die Gegenrichtung habe ich auf Anhieb im Skript nichts gefunden. Ich war aber bei fast allen Vorlesungsterminen, und dort hat Posegga mindestens einmal erwähnt, dass nur das One-Time Pad unconditional security bietet.

Die erweiterte Sichtweise der Begriffe habe ich aus den folgenden Büchern:

STAJANO, Frank: Security for Ubiquitous Computing. John Wiley & Sons, 2002
BISHOP, Matt: Introduction to Computer Security. Pearson Education, 2005
SCHWENK, Jörg: Sicherheit und Kryptographie im Internet. Ruhr-Universität Bochum : Vieweg-Verlag, 2005

Genaue Angaben zu Seitenzahlen oder Zitaten kann ich ohne die Bücher nicht machen (aber alle in der Bib vorhanden).

Ich bin heute sowieso in der Bibliothek, dann kann ich ja mal reinschauen, sofern die Bücher vorhanden sind.

EDIT: laut online-Suche ist nur der Bishop vorhanden, dann werde ich da mal reinschauen und mich wieder melden.

Was ich lediglich nicht so nett fand, war, dass Du einfach meinen kompletten Beitrag als "definitiv falsch" deklariert hast. Die Definition aus dem Stallings ist für diese Beurteilung sicher kein hinreichendes Kriterium, da die Frage nicht lautete "Was heißt unconditional security nach Stallings?"

Mag sein, dass andere Autoren das anders definieren, aber hier geht es ja ganz konkret um die GSS Veranstaltung. Da muss man in der Klausur halt das ankreuzen, was einem in der Vorlesung als Wahrheit verkauft wird. Dann werde ich meinen Beitrag mal entsprechend abändern.

Achso ok. Also das habe ich nicht gecheckt, dass es um eine spezielle Klausur von Herrn Posegga geht. War mir aus dem Topic nicht ersichtlich. Dann habe ich wohl eher Verwirrung gestiftet…

Was soll's. Ihr habt recht und ich hab unrecht. Und wer recht hat, gibt einen aus.

Piep piep piep, wir ham uns alle lieb :)

Da muss man in der Klausur halt das ankreuzen, ……

Ankreuzen? gibts du mir schon die Erleichterung, dass morgen die Klausur, eine Multiple Choice Klausur ist? Wurde was gesagt, wie die Klausur aussieht?

Gruß

nK

Ankreuzen? gibts du mir schon die Erleichterung, dass morgen die Klausur, eine Multiple Choice Klausur ist? Wurde was gesagt, wie die Klausur aussieht?

Äußerst wenig. Uns wurde zu bedenken gegeben, dass keine Taschenrechner erlaubt sind (also wohl keine allzu komplizierten Rechnungen vorkommen werden) und dass sich Freitext schwer korrigieren lässt (wenn Prosa-Aufgaben kommen, wird also wohl eher nach den 2-3 wichtigen Schlüsselworten im Text geguckt, die erwartet werden). Multiple Choice - Fragen könnten drin vorkommen (unser Übungsgruppenleiter hat so lange mit uns diskutiert, wie man die Kreuze werten würde). Und dass die Klausur zweieinhalb Stunden hat, lässt vermuten, dass nicht nur an der Oberfläche der Themen gekratzt wird.
Ansonsten halt das übliche. Man soll nicht alles auswendig lernen. Aber das ist ja fast überall so.

…. Multiple Choice - Fragen könnten drin vorkommen (unser Übungsgruppenleiter hat so lange mit uns diskutiert, wie man die Kreuze werten würde).

Das klingt schon mal gut.

Und dass die Klausur zweieinhalb Stunden hat, lässt vermuten, dass nicht nur an der Oberfläche der Themen gekratzt wird.

Naja, ich bin Diplomer Inf.. Deswegen meine Frage wie oberflächlich bzw. wie die Fragen in der Klausur aussehen werden. Wir haben immerhin nur 1 Stunde Zeit für die Klausur. Wir werden entweder wenige und schwere Fragen bekommen, was scheisse ist wenn man nicht alles soooo gut ins Detail kann, oder viele einfache Fragen z.B. Multiple Choice. Wir werden ja morgen sehen.

nK

Lückentext :) mit einer Menge von Begriffen die man dann nach einsetzen wegstreichen kann :) das wäre toll!

Laut diesem Post soll sie ja "relativ einfach" sein. *wildrumverlink* Ich bin auch gespannt. [8]

Die Klausur war mehr als fair. Trotzdem habe ich natürlich ein paar dumme Fehler gemacht [22] Sollte für den Schein aber reichen.