A Anhang: Perfekte Sicherheit Und Praktische Sicherheit
Total Page:16
File Type:pdf, Size:1020Kb
A Anhang: Perfekte Sicherheit und praktische Sicherheit "The logic of secrecy was the mirror-image of the logic of information" Colin Burke, 1994 Perfekte Sicherheit wurde seit jeher gerne von den Erfindern von Chiffriersy stemen, im besonderen von Chiffriermaschinen, versprochen (Bazeries: je suis indechiffrable, 2.1.1 Abb. 19). Jedoch gab erst 1949 Claude E. Shannon eine saubere Definition davon, was mit perfekter Sicherheit gemeint sei; er gab sie im allgemeinen Rahmen seiner Informationstheorie. 1 Da der wahrschein lichkeitstheoretische Apparat, den sie benutzt, auBerhalb des Rahmens dieses Buches liegt, geben wir nur eine verkiirzte, dafiir aber axiomatische Ubersicht. A.I Axiome einer axiomatischen Informationstheorie Man geht zweckmaBigerweise aus von der Unsicherheit (engl. uncertainty, equivocation) iiber eine Menge X von Ereignissen, der "Entropie" von X - eine reelle Zahl . Auch Y und Z seien Mengen von Ereignissen. Hy(X) bezeichne die Unsicherheit iiber X, falls Y bekannt ist. A.I.1 Intuitiv einleuchtende Axiome fUr die zweistellige Mengenfunktion H sind: (0) 0::; Hy(X) ("Unsicherheit ist nichtnegativ") Fiir 0 = Hy(X) sagen wir "Y bestimmt eindeutig X." (1) Hyuz(X) ::;Hz(X) ("Unsicherheit nimmtnicht zu, wennmehr bekannt") Fiir Hyuz(X)=Hz(X) sagen wir "Y sagt nichts aus iiber X." Von entscheidender Bedeutung ist das Axiom (2) Hz(X U Y) = Hyuz(X) + Hz(Y) . ("Unsicherheit kann additiv iiber der Vereinigung von Ereignissen aufgebaut werden"). 1 Shannon hatte friihzeitig Beriihrung mit der Kryptanalysej er arbeitete 1936-1938 im Team von Vannevar Bush, der den COMPARATOR zur Bestimmung der Zeichen Koinzidenz entwickelte. Seine bis 1940 zuriickreichende Arbeit in den Bell Laboratories (vgl. 16.5) fiihrte zu einem vertraulichen Bericht (A Mathematical Theory of Communi cation) vom 1. Sept. 1945, der neben der Definition der Shannon-Entropie (16.5) die nach folgend eriirterten Grundbeziehungen enthiilt (publiziert 1949: Communication Theory of Secrecy Systems, Bell System Technical Journal 28, 656-715 (1949). A.l Axiome einer axiomatischen Informationstheorie 465 (Das iibliche stochastische Modell fiir diese axiomatische Informati onstheorie geht aus von px(a) = Pr [X = a], der Wahrscheinlichkeit, daB die Zufallsvariable X den Wert a annimmt, und definiert H0({X}) = - L Px(s) ·ld Px(s) s :px(s) >0 H0({X}U{Y})=- L PX,y(s,t)·ldpx,y(s,t) s,t: PX,Y (s,t) >0 H{y}({X})=- L PX,y(s,t)·ldpx/y(s/t) s,t: PxjY (s/t) >0 wobei px,y(a, b) =def Pr[(X = a) /\ (Y = b)] und px/y(a/b) der Bayesschen Regel fUr bedingte Wahrscheinlichkeiten geniigt: pX,Y(s, t) = py(t) . Px/y(s/t) ,also -ld PX,Y(s, t) = -ld py(t) -ld Px/y(s/t) .) A.1.2 Aus (0), (1) und (2) konnen all die anderen Eigenschaften erhalten werden, die fiir das klassischerweise iibliche stochastische Modell gelten. Aus (2) ergibt sich mit Y = 0 (2a) Hz(0) = 0 ("Uber die leere Ereignismenge gibt es keine Unsicherheit") Aus (1) und (2) ergibt sich beispielsweise (3a) Hz(X U Y) :s: Hz(X) + Hz(Y) (" U nsicherheit ist subadditiv") Aus (0) und (2) ergibt sich iiberdies (3b) Hz(Y) :s: Hz(X U Y) ("Unsicherheit wiichst mit Ereignismenge") Unter Benutzung der Kommutativitiit von. U . erhiilt man aus (2) (4) Hz(X) - Hyuz(X) = Hz(Y) - Hxuz(Y) ("Y sagt nichts iiber X aus" und "X sagt nichts iiber Y aus" sind gleichwertig) (4) legt folgende Definition nahe: Die gegenseitige Information ('mutual information ') von X und Y bei Kenntnis von Z ist definiert als lz(X, Y) =def Hz(X) - Hyuz(X) . Die Information Iz(X, Y) ist somit eine symmetrische und wegen (1) nicht negative Funktion der Ereignismengen X und y. Es ist wegen (2) Iz(X, Y) = Hz(X) + Hz(Y) - Hz(X U Y) . Iz(X, Y) = 0 besagt, daB Hyuz(X) = Hz(X) und Hxuz(Y) = Hz(Y) ist. Dafiir sagt man auch, daB "bei Kenntnis von Z Y nichts iiber X aussagt und X nichts iiber y, daB also X und Y gegenseitig unabhangig sind". (1m iiblichen stochastischen Modellliegt diese Situation gerade dann vor, wenn X, Y unabhiingige Zufallsvariable sind: PX,y(s, t) = Px(s)·py(t) .) Iz(X, Y) = 0 ist gleichwertig mit der Additivitiit von H: (5) lz(X, Y) = 0 genau dann, wenn Hz(X) + Hz(Y) = Hz(X U Y) . 466 Anhang: Perfekte Sicherheit und pmktische Sicherheit A.2 Informationstheorie von Chiffrierungen Ftir eine Chiffrierung X seien Ereignisse im Sinne der abstrakten Informa tionstheorie Mengen von endlichen Texten, tiber Zm als Alphabet. Es sei P ein Klartext-, C ein Geheimtext-, K ein Schltissel-Ereignis.2 A.2.1 Ftir die Unsicherheiten (equivocations) H(K), Hc(K) , Hp(K), H(C), Hp(C), HK(C), H(P), HK(P), Hc(P) erhiiJt man aus (1), invariant gegen zyklische Vertauschung von P, C, K: H(K) 2' Hp(K) , H(C) 2' Hp(C) , H(C) 2' HK(C) , H(P) 2' HK(P) , H(P) 2' Hc(P) , H(K) 2' Hc(K) . A.2.1.1 1st X funktional, so ist C durch P und K eindeutig bestimmt: (CRIFF) Hp,K(C) = 0 d.h. h(P, C) = HK(C) , Jp(K, C) = Hp(C) ("Klartext und Schltissel zusammen lassen keine Unsicherheit tiber den Geheimtext zu"). A.2.1.2 1st X injektiv, so ist P durch C und K eindeutig bestimmt: (DECRIFF) HC,K(P) = 0 d.h. h(P, C) = HK(P) , Jc(K, P) = Hc(P) ("Geheimtext und Schltissel zusammen lassen keine Unsicherheit tiber den Klartext zu"). A.2.1.3 1st X eine Shannonsche Chiffrierung, so ist auch der Schltissel K durch Klartext P und Geheimtext C eindeutig bestimmt: (SHANN) Hp,c(K) = 0 d.h. Jp(K, C) = Hp(K) , Jc(K, P) = Hc(K) ("Klartext und Geheimtext zusammen lassen keine Unsicherheit tiber den Schltissel zu"). A.2.2 Aus (4) folgt sofort HK(C) + HK,c(P) = HK(P) + Hp,K(C) , Hp(C) + Hp,c(K) = Hp(K) + Hp,dC) , HK(P) + HK,p(C) = HK(C) + HC,K(P) , Hc(P) + He,p(K) = Hc(K) + He,dP) , Hp(K) + Hp,dC) = Hp(C) + Hp,c(K) , Hc(K) + He,K(P) = Hc(P) + Hp,c(K) . Mit (1) erhiilt man daraus Satz 1: (CRIFF) impliziert HK(C)::::: HK(P) , Hp(C)::::: Hp(K) , (DECRIFF) impliziert HK(P)::::: HK(C) , Hc(P)::::: Hc(K) , (SHANN) impliziert Hp(K)::::: Hp(C) , Hc(K)::::: Hc(P) . 2 Einem weitverbreiteten notationellen MiBbrauch folgend, ersetzen wir im folgenden {X} durch X und {X} U {Y} durch X, Y ; auch lassen wir 0 als Subskript weg. A.2 Injormation8theoT'ie von Ch~ffrieTungen 467 H(K) H(C) ~HP(KI Hp(C) ~ VI VI H(P) > ~~ < Hc(K) ---Hc(P) HK(P)--- HK(C) Abb.163. Relationen zwischen Unsicherheiten fur injektive Chiffrierungen Chiffrierungen sind normalerweise injektiv, (DECRIFF) gilt. Aus Abb. 163 sind graphisch die daraus resultierenden numerischen Relationen zwischen den Unsicherheiten zu ersehen. A.2.3 Die Konjunktion von irgendwelchen zwei der drei Bedingungen (CRIFF), (DECRIFF), (SRANN) fiihrt wegen der Antisymmetrie der Kleiner-Gleich-Relation zu Gleichheiten: Satz 2: (CRIFF) 1\ (DECRIFF) impliziert HK(P) = HK(C) , (DECRIFF) 1\ (SRANN) impliziert Hc(P) = Hc(K) , (CRIFF) 1\ (SRANN) impliziert Hp(C) = Hp(K) . In einer klassischen Chiffrierung, d.h. einer ohne Romophone und Polyphone, gelten (CRIFF) und (DEC RIFF) , also "Die Unsicherheit iiber den Geheimtext bei Kenntnis des Schliissels ist gleich der Unsicherheit iiber den Klartext bei Kenntnis des Schliissels". In vielen professionellen Chiffrierungen gilt (vgl. 2.6.4) die Shannon-Bcdin gung (SRANN). In einer klassischen Shannonschen Chiffrierung gelten alle drei Gleichheiten (Abb.164). Monoalphabetische einfache Substitution und Transposition sind triviale, VIGENERE, BEAUFORT und VERNAM sind ernsthafte Beispiele solcher klassischen Shannonschen Chiffrierungen. H(K) H(C) ~HP(KI HP(CI~ VI VI H(P) ~~ Hc(K) = Hc(P) HK(P) = HK(C) Abb.164. Relationen zwischen Unsicherhciten fUr klassische Shannonschc Chiffrierungen 468 Anhang: Perfekte Sicherheit und praktische Sicherheit A.3 Perfekte und individuelle Chiffrierungen A.3.1 Eine Chiffrierung X soIl perfekt heiBen, wenn Klartext und Geheim text gegenseitig unabhangig sind: I(P, C) = o. Dies ist aquivalent zu H(P) = Hc(P) und zu H(C) = Hp(C) ("Ohne Kenntnis des Schltissels andert die Kenntnis des Geheimtextes nichts an der Unsicherheit tiber den Klartext, und die Kenntnis des Klartextes nichts an der Unsicherheit tiber den Geheimtext"), wie auch nach (5) aquivalent zu H(P, C) = H(P) + H(C) . Satz 3K : (Shannons pessimistische U ngleichung) In einer perfekten klassischen Chiffrierung gilt H(P) ::::: Hc(K) ::::: H(K) und H(C)::::: Hp(K) ::::: H(K) . Bew.: H(P) = Hc(P) (ist perfekt) Hc(P) ::::: Hc(K) (DECHIFF), Satz 1 Hc(K)::::: H(K) (1) Analog mit (CHIFF) und Satz 1 fUr H (C) . In einer perfekten klassischen Chiffrierung ist also die Unsicherheit tiber den Schltissel nicht kleiner als die Unsicherheit tiber den Klartext sowie nicht kleiner als die Unsicherheit tiber den Geheimtext. A.3.2 Eine Chiffrierung X soIl Chiffrierung mit individuellem Einmal Schliissel, kurz individuelle Chiffrierung heiBen, wenn Klartext und Schltissel gegenseitig unabhangig sind: I(K,P) = o. Dies ist aquivalent zu H(K) = Hp(K) und zu H(P) = HK(P) ("Ohne Kenntnis des Geheimtexts andert die Kenntnis des Schltissels nichts an der Unsicherheit tiber den Klartext, und die Kenntnis des Schltissels nichts an der Unsicherheit tiber den Klartext"), wie auch nach (5) aquivalent zu H(K, P) = H(K) + H(P) . Satz 3c : In einer individuellen Shannonschen Chiffrierung gilt H(K) ::::: Hp(C) ::::: H(C) und H(P)::::: HK(C) ::::: H(C) . Bew.: H(K) = Hp(K) (ist individuell) Hp(K) ::::: Hp(C) (SHANN), Satz 1 Hp(C) ::::: H(C) (1) Analog mit (DECHIFF) und Satz 1 fur H(P) .