2 Punkte von GN⁺ 2025-09-01 | 1 Kommentare | Auf WhatsApp teilen
  • Beim US-Militär gab es den Grundsatz, dieselbe Nachricht nicht zweimal mit unterschiedlichen Verschlüsselungsverfahren zu senden (einschließlich des Falls ganz ohne Verschlüsselung)
  • Dafür wurde der Ausdruck "paraphrase" (Umformulierung) verwendet: Die ursprüngliche Bedeutung bleibt erhalten, aber Ausdruck und Satzstruktur werden stark verändert
  • Es handelt sich um ein sicherheitsbezogenes Verfahren, das verhindern soll, dass der Feind durch den Vergleich von Klartext und Chiffretext Schwächen des Kryptosystems erkennt
  • Betont wurden umformuliertes Kürzen sowie Methoden, Wiederholungen von Wörtern und Eigennamen zu reduzieren
  • In der Vergangenheit führte auch beim deutschen Militär der Fehler, dieselbe Nachricht mehrfach in verschiedenen Verschlüsselungen zu übertragen, letztlich dazu, dass die Enigma-Chiffre entschlüsselt wurde

Hintergrund und das Konzept des Paraphrasierens

  • In der US-Militärkommunikationsdoktrin war es verboten, exakt dieselbe Nachricht zweimal mit unterschiedlicher Verschlüsselung (oder ganz ohne Verschlüsselung) zu übermitteln
  • Der dabei verwendete Fachbegriff war "paraphrase" (Umformulierung). Gemeint ist, eine Nachricht neu zu formulieren, ohne ihre Bedeutung zu verändern, dabei aber möglichst viele Formulierungen des Originals zu verändern

Richtlinien zum Paraphrasieren im Kryptografie-Handbuch der US Army

  • Im 1950 veröffentlichten technischen Handbuch der US Army "BASIC CRYPTOGRAPHY" (TM 32-220) werden Richtlinien zum Paraphrasieren ausführlich beschrieben
  • In diesen Richtlinien werden folgende Grundsätze hervorgehoben
    • Wenn der Klartext einer identischen Nachricht bereits als Chiffretext gesendet wurde, soll die schon verschlüsselt übermittelte Nachricht nicht noch einmal als Klartext wiederholt werden
    • Wenn ein Paar aus Klartext und Chiffretext dem Feind bekannt wird, stellt dies eine große Gefahr für die Sicherheit des Kryptosystems dar und ist daher äußerst riskant
  • Wenn es unbedingt nötig ist, dass mehrere Personen mit den Informationen arbeiten oder eine externe Bekanntgabe erforderlich ist, muss der Klartext sehr sorgfältig umformuliert und verteilt werden, damit der Feind aus einem Vergleich keine Informationen gewinnen kann

Methoden des Umformulierens (Paraphrase)

  • Die Satzstruktur, der Wortschatz und die Ausdrucksweise einer Nachricht werden verändert, während die Bedeutung identisch bleibt
    • Änderung der Satzreihenfolge
    • Verschiebung der Position von Phrasen und Nebensätzen
    • Möglichst viele Synonyme oder neue Formulierungen verwenden
  • Eine bloße Erweiterung der Nachricht durch ausführlicheres Umschreiben sollte vermieden werden
    • Eine solche Erweiterung macht es letztlich leicht, die ursprüngliche Bedeutung zu rekonstruieren, und ist daher sicherheitstechnisch anfällig
  • Wiederholte Wörter oder Eigennamen werden durch Pronomen, "former/latter" usw. ersetzt

Ausnahmen und Vorschriften zum Paraphrasieren

  • Selbst wenn bereits ein Chiffretext existiert, gilt grundsätzlich, dass der betreffende Klartext (oder sogar ein umformulierter Klartext) nicht erneut übermittelt werden soll, sofern dies nicht ausdrücklich durch Vorschriften erlaubt ist

Historischer Kontext und Bedeutung

  • Die Bedeutung solcher Sicherheitsregeln zeigte sich tatsächlich auch bei der Entschlüsselung der Enigma
    • Das deutsche Militär machte den Fehler, dieselbe Nachricht wiederholt mit unterschiedlichen Verschlüsselungsverfahren zu senden. Dadurch konnten die Alliierten Paare aus Klartext und Chiffretext gewinnen, was den Weg dafür ebnete, selbst starke Chiffren wie Enigma zu brechen
  • Ausschlaggebend waren weniger technische Schwächen der Enigma selbst als vielmehr solche Verfahrensfehler und operative Probleme

1 Kommentare

 
GN⁺ 2025-09-01
Hacker-News-Kommentar
  • Ich habe dazu mal eine Geschichte gehört, dass die Briten einmal eine ziemlich verrückte Known-Plaintext-Attacke versucht haben. Dabei wurde einem deutschen Soldaten eine handschriftliche wichtige Notiz in die Tasche gesteckt, in der Hoffnung, denselben Inhalt später in verschlüsselten Enigma-Nachrichten wiederzufinden.
  • ETA: Wahrscheinlich lag ich falsch mit meiner Aussage, dass das direkt mit ENIAC zusammenhing. Das als "in depth" bezeichnete Vorgehen, denselben Inhalt mit demselben Schlüssel paraphrasiert noch einmal zu senden, ist ebenfalls ziemlich gefährlich. Auf diese Weise knackten die Alliierten die Lorenz-("Tunny")-Verschlüsselung, und Bletchley Park brach sie damals allein auf Basis von Vermutungen, ohne je eine Lorenz-Maschine direkt gesehen zu haben. Diese Arbeit führte zur Entwicklung von Colossus, dem ersten Röhrencomputer, und Colossus beeinflusste wiederum auch ENIAC. Heute vermeidet man solche Fehler durch den Verzicht auf die Wiederverwendung eines nonce, aber es gab auch Fälle, in denen bei Bitcoin-Hardware-Wallets durch Wiederverwendung des Nonce private Schlüssel entwendet wurden. AES-GCM und Kryptowährungssysteme sind zwar unterschiedlich, aber die Wiederverwendung eines Nonce ist in beiden Fällen gleichermaßen fatal. Zur Lorenz-Entzifferung lasse ich auch noch einen Link sowie ein Computerphile-Video (16 Minuten) hier. p.s. Mich würde die Herkunft des Begriffs "in depth" interessieren — weiß das zufällig jemand? Vielleicht wegen der fischbezogenen Namensgebung in Bletchley Park? Ich habe dazu auch noch dieses kryptografische Glossar konsultiert, Seite 28 des Dokuments.
    • Ich weise gelegentlich darauf hin, dass Colossus kein Computer, sondern eine Schlüsselerprobungsmaschine war. Ein bisschen wie ein Bitcoin-Miner. Es gibt auch ein Blockdiagramm von Colossus. Vor den spezialisierten programmgesteuerten Computern gab es viele Geräte für Sonderzwecke. IBM experimentierte ebenfalls mit elektronischer Arithmetik, musste das aber mit Kriegsausbruch einstellen, und 1939 bauten die Columbia University und IBM etwas, das schon ziemlich wie ein programmierbarer Computer aussah. Auch die britische G.P.O. forschte seit 1934 an elektronischer Vermittlungstechnik, und Tommy Flowers von Colossus kam von dort. Er hatte nach dem Krieg ein schweres Leben, weil er seine Computerlaufbahn wegen der Geheimhaltung nicht offenlegen durfte. Der Speicher von Colossus bestand nur aus Röhrenregistern und Steckfeldern; echte Speichermedien kamen erst nach dem Krieg. Mehr dazu in Tommy Flowers auf Wikipedia.
    • Als ich in London war, habe ich das Bletchley-Park-Museum besucht, und ich kann es wirklich empfehlen. Vom Bahnhof London Euston sind es 50 Minuten mit dem Zug und dann 5 Minuten zu Fuß. Meine ganze Familie mochte es, einschließlich zweier Teenager. In der Nähe gibt es auch das National Museum of Computing, wo restaurierte Anlagen wie Bombe und Colossus ausgestellt sind. Da die meisten Geräte nach dem Krieg aus Gründen der nationalen Sicherheit vernichtet wurden, sind die heutigen Exponate vollständig funktionsfähige Repliken. Dort werden auch Computer der neueren Geschichte gezeigt. Bletchley Park lohnt sich also auch, wenn man sich nicht für Computer interessiert, während das Computermuseum eher etwas für echte Nerds ist.
    • Wenn man Nachrichten als Baumstruktur von Sender → Empfänger modelliert, kann man die Wiederverwendung von Schlüsseln als „strukturelle Tiefe“ analysieren.
    • Bei Ethereum wird eine Contract-Adresse durch die Kombination aus Adresse des Deployers und Nonce bestimmt. Man kann also ETH im Voraus an einen noch nicht existierenden Contract senden und es später zurückholen, indem man den Contract erst danach deployt.
    • Ich vermute, dass der Begriff "in depth" daher kommt, dass dem Angreifer mehr „Tiefe“ an Material gegeben wird. Belege habe ich dafür aber nicht.
  • Spannendes Thema. Mir gefiel die Erklärung in der Antwort. Besonders die Regel „Wiederhole denselben Text, den du als Chiffrat gesendet hast, nicht noch einmal im Klartext, und wiederhole umgekehrt einen im Klartext gesendeten Text nicht noch einmal als Chiffrat“ fand ich einprägsam. Als Kind habe ich mir aus Bibliotheksbüchern Kryptografie beigebracht und war vom One-Time Pad fasziniert, also habe ich es ein paarmal mit einem Freund ausprobiert. Am Ende blieb aber nicht viel dabei übrig, und ich verlor das Interesse. Deshalb habe ich mich gefragt, wie es wohl für Menschen ist, die beruflich mit Geheimhaltung zu tun haben. Verschlüsselte Kommunikation fühlt sich wie das genaue Gegenteil wissenschaftlicher Kommunikation an. Leute aus der Welt der Geheimnisse stehen am Ende wahrscheinlich eher der Politik nahe.
    • Am Ende blieb aber nicht viel dabei übrig — das erinnert mich an den Witz, dass Ovaltine und decodierte Nachrichten gut zusammenpassen.

    • Erinnerst du dich zufällig noch, welches Buch das war? Ich mochte Alvin's Secret Code aus dem Bücherregal unseres Klassenzimmers in der vierten Klasse sehr.
    • Am Ende blieb aber nicht viel dabei übrig — dazu fällt mir auch dieser Artikel über die Juicero-Kontroverse ein.

  • Wiederhole einen als Chiffrat gesendeten Text nicht im Klartext, und wiederhole einen im Klartext gesendeten Text nicht als Chiffrat — genau nach diesem Prinzip wurde Enigma tatsächlich gebrochen. Die Gewohnheit, Wetterberichte immer mit „weather“ zu beginnen, war eine Schwachstelle.

    • Ebenso problematisch war es, immer mit derselben Grußformel zu enden, etwa einer Schlussformel mit dem Namen des Anführers.
  • Wenn du dich für so etwas interessierst, sind Militärhandbücher im Internet Archive spannend. Sie decken viele Themen ab, bis hin zu Analysemethoden für handbetriebene Chiffren aus der Zeit vor dem Computer. FM3440.2 Basic Cryptanalysis
    • Das ist eine wirklich gute Quelle. Es könnte auch eine hervorragende Ergänzung zum GCHQ Puzzle Book sein.
  • Durch Nachrichtenwiederholungen knackten die Alliierten anfangs auch Geheimschreiber, ein noch deutlich schwierigeres Chiffriersystem als Enigma. Es basierte auf XOR und Rotoren. Siemens and Halske T52
  • Wenn du mehr dazu wissen willst, kannst du nach "Known plaintext attack" suchen.
    • Ich hatte den Kontext zuerst völlig falsch verstanden. Zunächst dachte ich, es gehe darum, dass Gefangene über Briefe nach Hause verschlüsselte Botschaften schicken und die Gefängniswärter versuchen, sie durcheinanderzubringen.
  • Das ist ein Thema, das man aus Büchern über Spione im Zweiten Weltkrieg kennt, etwa Between Silk and Cyanide. Aber wirklich interessant ist hier die Schrift im ursprünglichen Brief. Anstelle eines kleinen e wird ein großes E verwendet. Ich frage mich, warum.
    • Das ist wirklich seltsam. Nach einer kurzen Suche habe ich auf Reddit einen ähnlichen Fall gefunden, samt zugehörigem Schreibmaschinenbeispiel. Eine Deutung war, dass versehentlich Teile einer kyrillischen Schreibmaschine hineingeraten sein könnten. Beim Übertragen diplomatischer Depeschen könnte eine kyrillische Schreibmaschine nötig gewesen sein.
    • Das hat mit diesem Fall vielleicht nichts zu tun, aber bei einer groben Verschlüsselung im Stil von ROT13 ist das e ein verräterischer Hinweis. Das Mischen von Groß- und Kleinschreibung könnte ein bisschen helfen, aber bei diesem Brief liegt der Grund wahrscheinlich woanders.
    • Ich finde das große E auch faszinierend. Einige E sehen sogar aus wie ein griechisches kleines Epsilon, was aber auch eine optische Täuschung sein könnte. Und die Ziffer 3 in "chancE3" ist ebenfalls bemerkenswert.
    • Meine Vermutung wäre Lesbarkeit. Vielleicht sollte so verhindert werden, dass das kleine e (ᴇ) mit c verwechselt wird.
  • Ich habe die beiden erwähnten Handbücher gefunden: [RadioNerds-TM 11-485 (PDF)](https://radionerds.com/index.php/File:TM_11-485.pdf) / Internet Archive-US Army Cryptography Manuals Collection (siehe TM_11-485.pdf)
  • Interessant ist daran, dass in diesem Prozess eher Löschen als Erweitern bevorzugt wird. Wenn jemand dieselbe Nachricht mehrfach senden muss, schränkt das Weglassen von Teilen die Möglichkeiten für Variationen nicht eher ein? Beim Komprimieren scheint die Bandbreite an Varianten kleiner zu werden und beim Erweitern größer. Wenn alle nur zum Kürzen angewiesen werden, dürften Duplikate doch viel schneller entstehen. Vielleicht steckt die Idee dahinter, dass man nach zweimaligem Löschen absichtlich einen Teil der ursprünglichen Information entfernt hat, sodass eine Rekonstruktion unwahrscheinlicher wird, während eine Erweiterung leicht wieder auf den ursprünglichen Klartext zurückgeführt werden kann und so den Zugang zur Ausgangsnachricht eröffnet. Andererseits frage ich mich, ob das hilft, wenn nur eine der beiden Versionen rekonstruiert wird und das andere Chiffrat weiterhin nur die erweiterte Fassung ist.

    • Diese Richtlinie bezieht sich eher auf den Fall, dass verschlüsselte Nachrichten später offengelegt werden. Bei Padding durch zusätzliche schmückende Wörter kann ein Hacker die ursprüngliche Nachricht leicht erraten. Bei einer gekürzten Nachricht, aus der Teile entfernt wurden, ist es für den Angreifer hingegen schwer abzuschätzen, was ergänzt werden müsste, weshalb eine Rekonstruktion schwieriger ist.