Wasserzeichenangriff

Der Wasserzeichenangriff (englisch watermark attack) ist eine Methode der Kryptoanalyse. Anders als die meisten Verfahren der Kryptoanalyse zielt das Verfahren nicht auf die Dechiffrierung des gesamten Geheimtextes ab, vielmehr geht es lediglich darum, die Existenz eines bestimmten Musters (Wasserzeichen) im Klartext nachzuweisen.

Szenario

Das Opfer lädt sich eine Datei auf seine verschlüsselte Festplatte. Diese Datei hat ein spezielles, charakteristisches Muster (dies weiß das Opfer jedoch nicht notwendigerweise). Mit dem Wasserzeichenangriff kann ohne Kenntnis des Schlüssels nachgewiesen werden, dass das Muster auf der Festplatte vorhanden ist, mithin die Wahrscheinlichkeit gegeben ist, dass diese speziell markierte Datei auf dem verschlüsselten Datenträger gespeichert ist.

Verfahren

Verfahren am Beispiel der Festplattenverschlüsselung:

Bei der Festplattenverschlüsselung im CBC-Modus (englisch Cipher Block Chaining Mode) wird oft die Sektornummer als Initialisierungsvektor (IV) genutzt. Nehmen wir nun 2 aufeinanderfolgende Sektoren, die sich nur in dem letzten Bit unterscheiden und generieren 2 Klartexte, die sich ebenfalls nur um das letzte Bit unterscheiden. Solange die Bits XOR verschlüsselt werden, folgt aus der Definition, dass der verschlüsselte Text ebenfalls identisch sein könnte.

Beispiel:

Sektor 1:     10010000

Klartext 1:   00101100

Sektor 2:     10010001

Klartext 2:   00101101

Chiffriert 1: 10111100

Chiffriert 2: 10111100

Da Sektornummer und Chiffriertext bekannt sind, besteht eine hohe Wahrscheinlichkeit, dass aufeinanderfolgende Sektoren mit identischem Chiffriertext mit einem Wasserzeichen markiert sind. Dieses Verfahren gelingt jedoch nur, wenn das Dateisystem nicht stark fragmentierbar ist, so dass Dateien auf nacheinander folgenden Sektoren geschrieben werden (zum Beispiel bei ext2, ext3, ReiserFS – nicht jedoch zwingend bei FAT).

Betroffene Systeme

Fast jedes derzeitige System zur Partitionsverschlüsselung oder Festplattenverschlüsselung (unter Umständen auch Dateiverschlüsselung) kann davon betroffen sein. Dazu gehören unter anderem auch frühere Versionen von dm-crypt, da erst seit dem Ende des Jahres 2004 Initialisierungsvektorhashing mittels des ESSIV Modus unterstützt wird.

Spezifikation

Markku-Juhani O. Saarinen: "Linux for the Information Smuggler", Seite 3 (PDF-Datei; 70 kB)

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. The authors of the article are listed here. Additional terms may apply for the media files, click on images to show image meta data.