Angreifer-Modelle & das Kerckhoffs-Prinzip

Erstmal einfachDie wichtigste Spielregel

Nimm an, dein Gegner kennt dein Verfahren bis ins Detail — und sei trotzdem sicher. Geheim bleiben darf nur der Schlüssel. Wenn Sicherheit darauf beruht, dass keiner weiß wie du verschlüsselst, ist sie keine Sicherheit, sondern eine Wette.

Auguste Kerckhoffs formulierte das 1883 für die französische Militär-Krypto. Heute ist es das Fundament jeder seriösen Sicherheit: Das Verfahren ist öffentlich, der Schlüssel ist geheim. Klingt paradox? Ist aber der einzige Weg, der wirklich funktioniert.

Warum eigentlich?Warum nicht das Verfahren selber geheim halten?

Drei Gründe:

  1. Geheimnisse leaken. Mitarbeiter wechseln, Code wird disassembliert, Whistleblower packen aus. Schlüssel kann man wechseln — ein Algorithmus, der in tausend Geräten steckt, nicht.
  2. Geprüfte Algorithmen sind sicherer. AES, RSA, SHA-2 sind seit Jahrzehnten öffentlich, und die ganze Welt hat versucht, sie zu brechen. Was diese Folter überlebt, ist verdammt robust.
  3. Eigenes Verfahren ≈ kaputt. Krypto sieht einfach aus und ist es nicht. Praktisch jedes selbst ausgedachte „Geheimverfahren" wurde gebrochen, sobald es Leute angeschaut haben.
Häufiger Denkfehler„Security through obscurity“

So nennt man die Strategie „Sicherheit weil keiner weiß wie's geht". Sie funktioniert genau so lange, bis irgendwer hinschaut — und in der Praxis schaut immer irgendwer hin. DVD-Verschlüsselung (CSS), Wegfahrsperren, Skype-Krypto: alle gebrochen, sobald sie geleakt wurden.

Wichtig: Obscurity kann eine Schicht sein (Defense in Depth) — sie darf nur nicht die einzige sein.

Wer ist eigentlich der Angreifer?

Bevor man Sicherheit bauen kann, muss man wissen, wovor. In der Krypto gibt es ein Spektrum von Angreifer-Modellen — vom Schwächsten zum Stärksten:

Ciphertext-only: Der Angreifer sieht nur verschlüsselte Texte und muss daraus etwas ableiten. Schwächster Angreifer — und trotzdem schon stark genug, um Caesar zu brechen.
Known-plaintext: Er kennt zusätzlich ein paar Klartext-Geheimtext-Paare. Realistisch: viele Nachrichten beginnen mit „Sehr geehrte Damen und Herren". Genau das half, Enigma zu brechen.
Chosen-plaintext (CPA): Der Angreifer darf sich beliebige Klartexte verschlüsseln lassen. Moderne Verfahren müssen gegen das sicher sein — sonst sind sie wertlos.
Chosen-ciphertext (CCA): Stärkstes übliches Modell — er darf auch beliebige Geheimtexte entschlüsseln lassen (außer dem Zielciphertext). Klingt absurd, kommt in der Praxis aber durch Fehlermeldungen vor (Padding-Oracle-Angriffe).
Tiefer reinWas bedeutet eigentlich „sicher“?

Moderne Krypto definiert Sicherheit als Spiel: ein Angreifer mit begrenzten Ressourcen darf alles tun, was sein Modell erlaubt, und muss am Ende eine bestimmte Frage beantworten („War das jetzt die Verschlüsselung von Nachricht A oder B?"). Wenn er nicht wesentlich besser als Raten ist, gilt das Verfahren als sicher.

Konkret: IND-CPA bedeutet „nicht unterscheidbar unter gewählten Klartexten", IND-CCA2 dasselbe inklusive adaptiv gewählter Geheimtexte. AES-GCM ist IND-CCA2-sicher (bei richtiger Nutzung), reines AES-CBC ist es nicht.

Hängt zusammen mit…Wo das gleich relevant wird
  • Häufigkeitsanalyse — ein Ciphertext-only-Angriff auf Caesar.
  • Betriebsmodi & Padding — wie CBC ohne Authentifizierung zum CCA-Albtraum wird (Padding Oracle).
  • Hashes — auch hier gibt's Angreifer-Modelle: Preimage, Second-Preimage, Kollision.
Was ist Kryptografie?Zufall & Entropie