Einführungsphase E1/E2 · Themenfeld E.5

E5 – Kryptologie

Verschlüsselungsverfahren analysieren, bewerten und modellhaft umsetzen

Das Kurshalbjahr E1/E2 führt in zentrale Arbeitsweisen und Grundideen der Informatik ein. Ausgehend von Rechnernetzen und Internetprotokollen werden der Aufbau von HTML-Dokumenten, grundlegende Konzepte der Programmierung sowie projektorientierte Arbeitsformen behandelt.

Das Themenfeld E5 Kryptologie greift diese Grundlagen auf und nutzt sie in einem Anwendungskontext, in dem Verfahren analysiert, bewertet und modellhaft implementiert werden.

Kerncurriculum
Kerncurriculum kompakt
Einordnung und Inhalte des Themenfelds

1. Allgemeine Einordnung

Programmierung wird im Kerncurriculum als eine Primärerfahrung mit der Informatik verstanden. Sie spielt eine zentrale Rolle für das Verständnis informatischer Grundbegriffe, weil Lernende bei der Bearbeitung konkreter Problemstellungen typische Modellierungs- und Problemlösekompetenzen entwickeln.

Kontexte wie Kryptologie ermöglichen es, informatische Konzepte problemorientiert an anschaulichen Anwendungen zu erarbeiten. Gleichzeitig können hier Programmierkenntnisse aus vorherigen Themenfeldern praktisch vertieft werden.

2. Inhalte des Themenfelds E.5 Kryptologie

Quelle

Hessisches Ministerium für Kultus, Bildung und Chancen (2024): Kerncurriculum gymnasiale Oberstufe Informatik, S. 30 ff.

Einfache kryptologische Verfahren
Einfache kryptologische Verfahren
Substitution und Transposition

Symmetrische Verschlüsselungsverfahren

Ein Verschlüsselungsverfahren ist ein Algorithmus, der einen Klartext mithilfe eines Schlüssels in einen Geheimtext umwandelt. Bei symmetrischen Verschlüsselungsverfahren wird derselbe Schlüssel sowohl zum Verschlüsseln als auch zum Entschlüsseln verwendet. Sender und Empfänger müssen also denselben geheimen Schlüssel kennen.

Das Grundprinzip ist anschaulich und schnell verständlich, weil beide Seiten mit demselben geheimen Schlüssel arbeiten. Gleichzeitig entsteht daraus ein zentrales Sicherheitsproblem: Der gemeinsame Schlüssel muss vorab vertraulich ausgetauscht werden. Genau diese Herausforderung führt in Kapitel 3 zur Frage, wie Schlüsselaustausch ohne vorher geteiltes Geheimnis gelingen kann.

Definition: symmetrische Verschlüsselung
Bei symmetrischer Verschlüsselung verwenden Sender und Empfänger denselben geheimen Schlüssel.

Die Caesar-Chiffre

Die Caesar-Chiffre ist ein klassisches Verschlüsselungsverfahren, bei dem jeder Buchstabe des Klartexts um eine feste Anzahl von Stellen im Alphabet verschoben wird – dem sogenannten Schlüssel.

Definition: Schlüssel
Der Schlüssel ist die Verschiebungszahl k, die angibt, um wie viele Stellen ein Buchstabe im Alphabet verschoben wird.

Die Methode wurde nach Julius Caesar benannt, der sie zur militärischen Kommunikation verwendet haben soll. Dabei wird jeder Buchstabe des Klartexts im Geheimtext durch einen anderen Buchstaben ersetzt (substituiert), weswegen es sich bei der Caesar-Chiffre um ein Substitutionsverfahren handelt.

Fachlich wird die Caesar-Chiffre als monoalphabetische Substitution eingeordnet: Für alle Zeichen gilt dieselbe Verschiebung. Dadurch ist der Schlüsselraum mit 26 möglichen Schlüsseln sehr klein, und ein Angriff durch systematisches Ausprobieren ist leicht möglich. Außerdem bleiben typische Sprachmuster oft erkennbar. Heute ist das Verfahren deshalb vor allem historisch und didaktisch bedeutsam.

Definition: Substitution
Bei einer Substitution wird jedes Zeichen eines Textes systematisch durch ein anderes Zeichen ersetzt.
\(Formel: E(x) = (x + k) \bmod 26 \)

Interpretation der Formel:

  • x – Position des Buchstabens im Alphabet
  • k – Schlüssel bzw. Verschiebung
  • mod 26 – Der Modulo-Operator gibt den Rest einer Division an. Der Ausruck 𝑎 mod 𝑛 bedeutet: Der Rest, der entsteht, wenn 𝑎 durch 𝑛 geteilt wird. Sorgt hier für den Umlauf im Alphabet, also z. B. von z zurück zu a
Beispiel: Caesar-Verschlüsselung

Der Klartext GEHEIM wird mit dem Schlüssel k = 3 verschlüsselt.

Nachricht G E H E I M
Position 6 4 7 4 8 12
+ k +3 +3 +3 +3 +3 +3
Neu 9 7 10 7 11 15
verschlüsselt J H K H L P

Transpositionsverfahren

Neben Substitutionsverfahren existieren auch sogenannte Transpositionsverfahren. Dabei werden die Zeichen eines Textes nicht ersetzt, sondern nur in ihrer Reihenfolge verändert.

Der Unterschied ist zentral: Bei der Substitution werden Zeichen ersetzt, bei der Transposition nur umgeordnet. Deshalb bleiben bei Transpositionsverfahren Buchstabenhäufigkeiten im Vergleich oft stärker erhalten als bei Substitutionsverfahren.

Definition: Transposition
Bei einer Transposition werden die Zeichen eines Textes nach einer bestimmten Regel umgeordnet. Die Buchstaben bleiben also erhalten – nur ihre Positionen ändern sich.

Die Zick-Zack-Verschlüsselung (Rail-Fence-Cipher)

Ein bekanntes Transpositionsverfahren ist die sogenannte Zick-Zack-Verschlüsselung. Dabei wird der Klartext in mehreren Zeilen im Zick-Zack-Muster geschrieben. Der Geheimtext entsteht anschließend durch das zeilenweise Ablesen der Buchstaben.

Die Rail-Fence-Cipher ist damit ein anschauliches Beispiel für reine Transposition: Sie macht den Unterschied zu Substitutionsverfahren gut sichtbar, bietet aber nur eine geringe Sicherheit.

Beispiel: Zick-Zack-Verschlüsselung

Der Klartext EIN WIRKLICH VERWIRRENDER GARTENZAUN wird in Großbuchstaben ohne Leerzeichen notiert: EINWIRKLICHVERWIRRENDERGARTENZAUN

E     I     I     E     R     D     A     N     N
  I  W  R  L  C  V  R  I  R  N  E  G  R  E  Z  U
    N     K     H     W     E     R     T     A

Der Geheimtext lautet: EIIERDANN IWRLCVRIRNEGREZU NKHWE RTA

Hier sieht man gut: Die Buchstaben wurden nicht ersetzt, sondern nur anders angeordnet.

Anders als bei der Caesar-Chiffre werden hier also keine Buchstaben verändert. Die Sicherheit entsteht allein durch die Umordnung (Transposition) der Zeichen.

Weiterführende Übungen

Passende Übungen zu diesem Kapitel findest du auf der Seite Übungen im Abschnitt „Einfache Verschlüsselungsverfahren“.

Wichtige Fachbegriffe im Glossar: symmetrische Verschlüsselung, Schlüssel, Substitution, Transposition, Modulo.

Polyalphabetische Verfahren
Polyalphabetische Verfahren
One-Time-Pad

Vom monoalphabetischen zum polyalphabetischen Verfahren

In Kapitel 1 wurde mit der Caesar-Chiffre ein klassisches monoalphabetisches Substitutionsverfahren eingeführt: Jedes Zeichen wird mit derselben festen Verschiebung ersetzt. Dadurch bleiben typische Häufigkeitsmuster oft erkennbar, was die Häufigkeitsanalyse als Angriffsmethode begünstigt.

Ein zentraler Entwicklungsschritt sind polyalphabetische Verfahren. Hier wird nicht mit nur einem festen Schlüsselwert gearbeitet, sondern mit einem Schlüsselstrom unterschiedlicher Werte. Das One-Time-Pad ist die konsequenteste Ausprägung dieses Prinzips: Jedes Zeichen erhält einen eigenen Schlüsselwert.

Entwicklung und Einordnung des One-Time-Pads

Die Grundidee des One-Time-Pads wurde zu Beginn des 20. Jahrhunderts entwickelt und in militärischen sowie diplomatischen Kontexten weitergeführt. Historisch wurden Schlüssel häufig als gedruckte Blöcke („Pads“) bereitgestellt, deren Seiten nach Verwendung vernichtet wurden.

Dieses historische Vorgehen knüpft an die Pad-Idee an: vorbereitete Schlüsselblöcke mit einmal nutzbaren Schlüsselwerten. Im Umfeld früher Fernschreibtechnik wurde diese Logik unter anderem in Vernam-basierten Verfahren technisch aufgegriffen.

Aus informationstheoretischer Sicht gilt das Verfahren als besonders bedeutsam: Bei korrekter Anwendung liefert der Geheimtext keine eindeutige Information über den ursprünglichen Klartext. Deshalb wird das One-Time-Pad als Referenzmodell für „informationstheoretische Sicherheit“ betrachtet.

Diese Aussage gilt jedoch nur unter strengen Bedingungen: Der Schlüssel muss wirklich zufällig sein, mindestens die Länge der Nachricht besitzen, ausschließlich einmal verwendet werden und geheim zwischen den Kommunikationspartnern verteilt werden. Bereits die Verletzung einer dieser Bedingungen schwächt das Sicherheitsniveau deutlich.

Besonders kritisch ist die Wiederverwendung von Schlüsselmaterial: Wird derselbe Schlüssel zweimal genutzt, geht der zentrale Sicherheitsvorteil des One-Time-Pads verloren.

Definition: Polyalphabetische Verschlüsselung
Bei einer polyalphabetischen Verschlüsselung wird ein Klartext nicht mit nur einem festen Ersetzungsalphabet verschlüsselt, sondern mit mehreren. Dadurch kann derselbe Klartextbuchstabe an verschiedenen Stellen unterschiedlich verschlüsselt werden.
Definition: Schlüsselstrom
Der Schlüsselstrom ist die Folge der Schlüsselwerte, die nacheinander auf die Zeichen des Klartexts angewendet wird. Beim One-Time-Pad hat der Schlüsselstrom genau so viele Werte wie der Klartext Zeichen enthält.
Definition: One-Time-Pad
Das One-Time-Pad ist ein symmetrisches, polyalphabetisches Verfahren. Jedes Zeichen wird mit einem eigenen Schlüsselwert verschlüsselt. Im schulischen Modell wird der Schlüsselstrom meist zufällig erzeugt; informationstheoretisch sicher ist das Verfahren nur dann, wenn der Schlüsselstrom wirklich zufällig, mindestens so lang wie der Klartext, nur einmal verwendet und sicher zwischen den Kommunikationspartnern ausgetauscht wird.

Typische Einsatzkontexte und praktische Grenzen

Das One-Time-Pad ist vor allem für Kommunikationssituationen relevant, in denen höchste Vertraulichkeit gefordert ist und ein sicherer Schlüsselaustausch organisatorisch vorbereitet werden kann. Typische Leitidee ist daher nicht der Masseneinsatz, sondern der Schutz ausgewählter, besonders sensibler Informationen.

Die praktische Umsetzung ist jedoch anspruchsvoll: Für jede Nachricht muss frisches, echtes Zufallsmaterial in ausreichender Länge vorliegen. Der Schlüssel darf niemals wiederverwendet werden, muss vertraulich verteilt, sicher gespeichert und nach Gebrauch zuverlässig entfernt werden. Diese Bedingungen verursachen hohen organisatorischen Aufwand.

Damit wird ein zentraler Unterschied deutlich: Die theoretische Sicherheitsstärke des One-Time-Pads ist außergewöhnlich hoch, die praktische Alltagstauglichkeit ist jedoch durch Erzeugung, Verteilung und Verwaltung der Schlüssel stark begrenzt.

\( E(x_i) = (x_i + k_i) \bmod 26 \)

Hinweis: Die Darstellung mit mod 26 ist ein schulisches, alphabetisches Modell zur Veranschaulichung. Reale Systeme arbeiten oft auf Bit- oder Byte-Ebene.

Interpretation der Formel:

  • xi – Position des i-ten Klartextzeichens
  • ki – i-ter Wert im Schlüsselstrom
  • mod 26 – sorgt für den Umlauf im Alphabet
Beispiel: One-Time-Pad (vereinfachtes Modell)

Der Klartext HALLO wird mit dem Schlüsselstrom 4, 19, 2, 11, 7 verschlüsselt.

Klartext H A L L O
Position 7 0 11 11 14
Schlüsselstrom +4 +19 +2 +11 +7
Neu 11 19 13 22 21
Geheimtext L T N W V

Wichtig: Der Buchstabe L kommt im Klartext zweimal vor, wird aber durch unterschiedliche Schlüsselwerte verschieden verschlüsselt (N und W). Dadurch entstehen im Geheimtext deutlich weniger stabile Wiederholungsmuster, was die unmittelbare Mustererkennung erschwert.

Weiterführende Übungen

Passende Übungen zu diesem Kapitel findest du auf der Seite Übungen im Abschnitt „Polyalphabetische Verfahren“.

Wichtige Fachbegriffe im Glossar: polyalphabetische Verschlüsselung, Schlüsselstrom, One-Time-Pad.

Asymmetrische Verfahren
Asymmetrische und hybride Verfahren
Diffie-Hellman, RSA, Hybridmodelle

Asymmetrische Verschlüsselungsverfahren

1) Grundidee: zwei Schlüssel statt ein gemeinsames Geheimnis

Die Verfahren aus Kapitel 1 und 2 sind symmetrisch aufgebaut: Für Ver- und Entschlüsselung wird derselbe geheime Schlüssel benötigt. Dieses Prinzip ist fachlich klar, erzeugt aber ein praktisches Problem: Der gemeinsame Schlüssel muss vorab sicher ausgetauscht werden.

Asymmetrische Verfahren lösen genau dieses Problem mit einem Schlüsselpaar: Es besteht aus einem öffentlichen und einem privaten Schlüssel. Der öffentliche Schlüssel darf verteilt werden, der private Schlüssel bleibt geheim. So kann eine Person verschlüsselte Nachrichten empfangen, ohne vorher einen geheimen gemeinsamen Schlüssel übertragen zu müssen.

Definition: asymmetrische Verschlüsselung
Bei der asymmetrischen Verschlüsselung werden zwei verschiedene, mathematisch zusammengehörige Schlüssel verwendet: ein öffentlicher Schlüssel zum Verschlüsseln und ein privater Schlüssel zum Entschlüsseln.
Definition: öffentlicher Schlüssel
Der öffentliche Schlüssel ist frei weitergebbar. Er wird genutzt, um Nachrichten für die zugehörige Person zu verschlüsseln oder Signaturen dieser Person zu prüfen.
Definition: privater Schlüssel
Der private Schlüssel verbleibt ausschließlich bei der Schlüsselinhaberin oder beim Schlüsselinhaber. Er wird genutzt, um eingehende Nachrichten zu entschlüsseln oder digitale Signaturen zu erzeugen.
2) Einordnung: Diffie-Hellman und RSA

Das Schlüsselaustauschverfahren nach Diffie-Hellman zeigt, wie zwei Kommunikationspartner über einen unsicheren Kanal einen gemeinsamen symmetrischen Schlüssel aufbauen können. Der Schwerpunkt liegt dabei auf dem Austausch eines Schlüssels.

RSA setzt den Schwerpunkt anders: Es ist ein konkretes asymmetrisches Verfahren, das sowohl Verschlüsselung als auch digitale Signatur unterstützt. Im Folgenden wird RSA deshalb als zusammenhängender Prozess betrachtet.

Definition: RSA
RSA ist ein asymmetrisches Kryptoverfahren. Im Schulkontext steht die Grundidee im Vordergrund: Verschlüsselung mit öffentlichem Schlüssel, Entschlüsselung mit privatem Schlüssel.

RSA-Grundprinzip (schulgeeignetes Modell)

Der öffentliche Schlüssel besteht aus zwei Werten (üblich als (n, e)), der private Schlüssel enthält den dazu passenden Wert d. Der Wert n ist Teil beider Schlüssel, d bleibt geheim.

\( c = m^e \bmod n \)   und   \( m = c^d \bmod n \)

Interpretation der Formel:

  • m – Nachrichtenwert (vereinfachte Codierung des Klartexts)
  • c – verschlüsselter Wert (Geheimtext)
  • e – Teil des öffentlichen Schlüssels
  • d – Teil des privaten Schlüssels
  • mod n – begrenzt die Ergebnisse auf den Zahlenraum von n (Modulo)
3) RSA als Prozess: vom Schlüssel zur Nachricht

Für ein klares Gesamtbild wird RSA als Ablauf mit festen Schritten betrachtet: Schlüssel erzeugen, Nachricht mathematisch transformieren, Nachricht rekonstruieren.

  1. Primzahlen wählen: Es werden zwei Primzahlen p und q festgelegt.
  2. Modul und Eulersche Funktion berechnen: \( n = p \cdot q \) und \( \varphi(n) = (p-1)(q-1) \).
  3. Öffentlichen Exponenten wählen: e wird so gewählt, dass e und \( \varphi(n) \) teilerfremd sind.
  4. Privaten Exponenten bestimmen: d ist die modulare Inverse zu e modulo \(\varphi(n)\), also \( e \cdot d \equiv 1 \pmod{\varphi(n)} \).
  5. Verschlüsseln: \( c = m^e \bmod n \).
  6. Entschlüsseln: \( m = c^d \bmod n \).
Statisches Prozessdiagramm zum RSA-Ablauf mit Schritten A bis H von der Schlüsselerzeugung bis zur Entschlüsselung
Abbildung 2: RSA-Prozessdarstellung (A–H) mit Schlüsselpaar, Nachrichtentransformation und Rückführung.

Die Darstellung übernimmt die Prozesslogik des RSA-Werkzeugs in statischer Form: klare Zustände, eindeutige Pfeile, keine Eingabefelder. So wird aus der Interaktion ein erklärbarer Fachablauf.

Beispiel: Vereinfachter RSA-Ablauf

Person B veröffentlicht den öffentlichen Schlüssel (n = 33, e = 3) und hält den privaten Schlüssel d = 7 geheim. Person A möchte den Nachrichtenwert m = 4 senden.

  1. Verschlüsselung bei Person A: \( c = 4^3 \bmod 33 = 64 \bmod 33 = 31 \). Gesendet wird der Geheimtextwert 31.
  2. Entschlüsselung bei Person B: \( m = 31^7 \bmod 33 = 4 \). Der ursprüngliche Nachrichtenwert wird rekonstruiert.

Das Beispiel dient nur der Veranschaulichung mit kleinen Zahlen. In realen Systemen werden sehr große Zahlen verwendet, damit ein Angriff durch Ausprobieren praktisch nicht effizient ist.

Mathematische Grundlage: Primfaktorzerlegung

4) Was Primfaktorzerlegung konkret bedeutet

Jede natürliche Zahl größer als 1 lässt sich als Produkt von Primzahlen darstellen. Beispiel: \(221 = 13 \cdot 17\). Bei RSA ist genau diese Zerlegung relevant, weil \(n\) als Produkt zweier Primzahlen entsteht.

5) Wie die Zerlegung prinzipiell funktioniert

Bei unbekannten Faktoren wird systematisch geprüft, ob kleine Primzahlen Teiler sind: 2, 3, 5, 7, 11, 13, ... Trifft ein Teiler, wird geteilt und die Suche mit dem Restfaktor fortgesetzt. Ohne Treffer muss mit größeren Kandidaten weitergeprüft werden. Das ist konzeptionell ein Rückwärtsrechnen durch Probieren.

Schrittweise Primfaktorzerlegung der Zahl 221 durch Testen möglicher Primteiler bis 13 mal 17 gefunden wird
Abbildung 3: Schematischer Ablauf der Primfaktorzerlegung am Beispiel \(221 = 13 \cdot 17\).
6) Warum große Zahlen den Aufwand stark erhöhen

Für kleine Zahlen ist das Testen von Teilern gut handhabbar. Für sehr große Zahlen wächst der Suchraum jedoch stark an, und die Anzahl nötiger Prüfungen steigt überproportional. Für das Faktorisieren großer RSA-Zahlen ist mit bekannten Verfahren kein effizienter allgemeiner Algorithmus bekannt.

Genau hier liegt die Einwegstruktur von RSA: \( n = p \cdot q \) ist schnell berechnet, die Umkehrung von \( n \) zu \( p \) und \( q \) ist bei großen Zahlen aufwendig. Auf dieser Asymmetrie basiert die praktische Sicherheit.

Visualisierung eines großen Zahlenbereichs mit ausdünnender Primzahlverteilung und steigender Faktorisierungsproblematik
Abbildung 4: Große Zahlenräume, Primzahlverteilung und steigender Faktorisierungsaufwand im RSA-Kontext.

Warum ist RSA sicher?

RSA ist nicht „unlösbar". Sicherheit bedeutet hier: Bei geeigneten Parametern ist ein Angriff mit bekannten Verfahren praktisch nicht effizient berechenbar.

  • Schlüsselgröße: Ausreichend große Werte sind notwendig, damit der Rechenaufwand hoch bleibt.
  • Schlüsselerzeugung: Primzahlen und Parameter müssen korrekt gewählt werden.
  • Implementierung: Fehler in Software können Sicherheit unabhängig von der Mathematik schwächen.
  • Rechenleistung: Sicherheitsbewertungen hängen auch von verfügbarer Hardware ab.

Hybride Verschlüsselungsverfahren

Grundidee

Ein hybrides Verfahren kombiniert asymmetrische und symmetrische Kryptografie in einem gemeinsamen Ablauf.

  • Asymmetrisch: sichert den Schlüsselaustausch.
  • Symmetrisch: verschlüsselt die eigentlichen Daten effizient.
Ablauf (prozesshaft)
  1. Schlüsselübergabe asymmetrisch: Ein symmetrischer Sitzungsschlüssel wird geschützt übertragen.
  2. Datenübertragung symmetrisch: Die eigentliche Nachricht wird mit diesem Schlüssel schnell verschlüsselt.

Bei HTTPS/TLS wird dieses Prinzip in vereinfachter Form sichtbar: Zuerst wird ein Schlüssel sicher ausgehandelt, danach werden laufende Daten symmetrisch übertragen.

Sequenzdiagramm zum hybriden Verschlüsselungssystem mit Kundin und Bank: asymmetrischer Schlüsselaustausch und symmetrische Datenübertragung
Abbildung 5: Hybrides Verschlüsselungssystem als Sequenzdiagramm – zuerst asymmetrischer Schlüsselaustausch, danach symmetrische Datenübertragung.

Digitale Signatur

Asymmetrische Verfahren werden nicht nur zur Vertraulichkeit eingesetzt. Mit demselben Schlüsselpaar kann auch die Herkunft einer Nachricht nachweisbar gemacht werden.

Definition: digitale Signatur
Eine digitale Signatur ist ein kryptographischer Nachweis, dass eine Nachricht von einer bestimmten Person stammt (Authentizität) und seit dem Signieren nicht verändert wurde (Integrität).

Dabei ist die Rollenverteilung gegenüber der Verschlüsselung umgekehrt:

  • Signieren: mit dem privaten Schlüssel
  • Prüfen: mit dem öffentlichen Schlüssel

Damit wird auch der fachliche Unterschied deutlich: Verschlüsselung schützt vor unbefugtem Lesen (Vertraulichkeit), digitale Signatur belegt Urheberschaft und Unverändertheit.

Eine digitale Signatur stellt also Authentizität und Integrität sicher, erzeugt jedoch keine Vertraulichkeit.

Weiterführende Übungen

Passende Übungen zu diesem Kapitel findest du auf der Seite Übungen im Abschnitt „Asymmetrische Verfahren“.