In dem vorangegangenen Lernabschnitt wurde die Leitfrage aufgeworfen, wie bei der E-Mail- Kommunikation Vertraulichkeit hergestellt werden kann. Die Antwort auf diese Frage liegt nahe: Verschl\u00fcsselung! Taucht man\u00a0 tiefer in das Gebiet der Kryptographie ein und setzt es mit dem Informatiksystem E-Mail in Verbindung, so st\u00f6\u00dft man auf weitere Probleme, deren L\u00f6sung Aufgabe der Informatik war (und auch zuk\u00fcnftig sein wird).<\/p>\n
Die Sch\u00fclerinnen und Sch\u00fcler lernen in diesem Abschnitt der Unterrichtseinheit zun\u00e4chst klassische Verschl\u00fcsselungsverfahren kennen. Dabei erkennen sie \u2013 indem sie sich selbst als Kryptoanalytiker versuchen \u2013 dass selbst das \u201eKnacken\u201c komplexer Verschl\u00fcsselungen mittels Logik, Kombinatorik und Mathematik mit etwas \u00fcbung leicht durchzuf\u00fchren ist. Dabei erzeugt der Wille der Sch\u00fclerinnen und Sch\u00fcler, verschl\u00fcsselte Inhalte zu entschl\u00fcsseln, erfahrungsgem\u00e4\u00df eine hohe Motivation.
\nDie Behandlung der symmetrischen Verschl\u00fcsselungsverfahren endet mit der Erkenntnis, dass es ein Verfahren existiert, das erwiesenerma\u00dfen nicht zu entschl\u00fcsseln ist (\u201eOne-Time-Pad\u201c, siehe unten). Die kritische Stelle dieser Verschl\u00fcsselung liegt jedoch nicht im Verfahren selbst, sondern in der \u00fcbermittlung des Schl\u00fcssels. W\u00e4hrend in der realen Welt an Handgelenke gekettete Koffer als Transportmittel f\u00fcr Schl\u00fcssel eine gewisse Sicherheit bieten m\u00f6gen, so ist dies mit dem Blick auf den Kontext \u2013 E-Mail und Internet \u2013 nat\u00fcrlich keine Option.<\/p>\n
Der Einstieg in die asymmetrischen Verschl\u00fcsselungsverfahren, die den Austausch von Schl\u00fcsseln auf einem geheimen Kanal er\u00fcbrigen, findet anhand des Diffie-Hellmann-Verfahrens statt. F\u00fcr die Erarbeitung des Verfahrens im Unterricht gen\u00fcgen eine Box und zwei Vorh\u00e4ngeschl\u00f6sser: Die Sch\u00fclerinnen und Sch\u00fcler erhalten\u00a0 die Aufgabe, eine Nachricht an ihre Mitsch\u00fcler zu senden, ohne dass die Box von einer dritten Partei auf dem Transportweg ge\u00f6ffnet werden kann.<\/p>\n
Im letzten Teil des Lernabschnitts werden aktuelle asymmetrische Verfahren am wichtigsten Beispiel RSA erarbeitet. Um die Sch\u00fclerinnen und Sch\u00fcler f\u00fcr die Angriffsm\u00f6glichkeiten, die auch dieses Verfahren bietet, zu sensibilisieren werden die mathematischen Grundlagen des Verfahrens behandelt und Angriffsm\u00f6glichkeiten von RSA aufgezeigt (Stichwort: Primzahlfaktorisierung). Am Ende des Lernabschnitts ist somit die Leitfrage beantwortet, wie bei der E-Mail-Kommunikation absolute Vertraulichkeit gew\u00e4hrleistet werden kann \u2013 es bleiben noch die Fragen nach der Sicherung von Authentizit\u00e4t und Integrit\u00e4t der elektronischen Post, die in dem nachfolgenden Lernabschnitt 4 beantwortet werden.<\/p>\n
Die Forderung nach Vertraulichkeit einer Nachricht l\u00e4sst sich erf\u00fcllen, wenn die Nachricht so verschl\u00fcsselt wird, dass nur der Empf\u00e4nger der Nachricht diese wieder entschl\u00fcsseln kann. Bei den einfachen\u00a0 \u201eklassischen\u201c Verfahren lassen sich die Substitution bei denen Zeichen des Klartexts durch andere Zeichen ersetzt werden von der Transposition unterscheiden, bei denen die Zeichen des Klartexts lediglich in ihrer Reihenfolge vertauscht werden. Aus Gr\u00fcnden der Reduktion werden in dieser Unterrichstsreihe Transpositionsverfahren nicht besprochen, bei Interesse und zus\u00e4tzlicher Zeit bieten sich optionale Exkurse zur Skytale und Flei\u00dfnerschen Scheibe an.<\/p>\n
Einfache Substitutionssverfahren wie das Caesar-Verfahren arbeiten mit der Verschiebung von kompletten Alphabeten, ohne die Reihenfolge der Zeichen zu variieren. So l\u00e4sst sich eine mit Caesar verschl\u00fcsselte Nachricht in 25 Versuchen durch systematisches Ausprobieren auch ohne Kenntnis des Schl\u00fcssels knacken.<\/p>\n
Werden die Zeichen des Geheimtextalphabets jedoch in beliebiger Reihenfolge arrangiert, so erh\u00f6ht sich die Anzahl m\u00f6glicher Zuordnungen von 25 beim Caesar-Verfahren erheblich:<\/p>\n
26! = 403.291.461.126.605.635.584.000.000.<\/p>\n
Nimmt man an, dass ein Computer zur Anwendung eines Schl\u00fcssels 0,01 Sekunden ben\u00f6tigt, so w\u00fcrde ein systematisches Ausprobieren s\u00e4mtlicher Schl\u00fcssels 4.032.914.611.266.056.355.840.000 Sekunden dauern. Da ein Jahr 60 \u2219 60 \u2219 24 \u2219 365 = 31536000 Sekunden hat, w\u00fcrde das systematische Ausprobieren s\u00e4mtlicher Schl\u00fcssel 127.882.883.411.531.467 Jahre dauern. Bedenkt man, dass die Erde ca. 4.600.000.000 Jahre alt ist, erweist sich das Vorgehen als praktisch unm\u00f6glich!<\/p>\n
Bei Verf\u00fcgbarkeit l\u00e4ngerer Textpassagen lassen sich jedoch auf Grundlage einer H\u00e4ufigkeitsanalyse Codezeichen entsprechend der in der Zielsprache typischen H\u00e4ufigkeit Klartextzeichen zuordnen und die Verschl\u00fcsselung so knacken. Diese Erkenntnis hat zur Entwicklung polyalphabetischer Verfahren wie z. B. dem Vigen\u00e8re-Verfahren gef\u00fchrt . Hierbei wird bei jedem Buchstaben das Caesar-Verfahren mit einem anderen Schl\u00fcsselbuchstaben angewendet, es handelt sich sozusagen um ein Multi-Caesar-Verfahren. Die wechselnden Schl\u00fcsselbuchstaben werden in einem Schl\u00fcsselwort zusammengefasst. Wenn das Schl\u00fcsselwort allerdings zu kurz gew\u00e4hlt wurde, l\u00e4sst sich auch eine l\u00e4ngere, mit dem dem Vigen\u00e8re-Verfahren verschl\u00fcsselte Nachricht knacken, z.\u00a0B. durch die Analyse von Parallelstellen (Kasiski-Test). Ist die L\u00e4nge des Schl\u00fcssels erst einmal bestimmt, kann der Text in einzelne Teile zerlegt werden, die dann nur noch mit dem selben Schl\u00fcsselbuchstaben verschl\u00fcsselt sind und daher leicht entschl\u00fcsselt werden k\u00f6nnen.<\/p>\n
Sind die Schl\u00fcsselw\u00f6rter jedoch l\u00e4nger als der Klartext, zuf\u00e4llig gew\u00e4hlt und werden nur einmalig verwendet (Prinzip One-Time-Pad), so garantiert das Verfahren 100%ige Sicherheit. Aufbewahrung und Transport der geheimen Schl\u00fcsselw\u00f6rter, die Absender und Empf\u00e4nger gleicherma\u00dfen ben\u00f6tigen, stellte selbst f\u00fcr Geheimdienste im 20. Jahrhundert eine gro\u00dfe Herausforderung dar. Mit der asymmetrischen Kryptographie wurden in der zweiten H\u00e4lfte des 20. Jahrhunderts Verfahren entwickelt, die ohne den vorherigen Austausch geheimer Schl\u00fcssel auskommt. Das bekannteste Verfahren RSA wird heute in vielen Web-Sicherheits-Technologien wie SSL\/TSL benutzt, um Sitzungsschl\u00fcssel f\u00fcr eine symmetrische Verschl\u00fcsselung auf sicherem Wege auszutauschen.<\/p>\n
Die Sch\u00fclerinnen und Sch\u00fcler …<\/p>\n
Eine sehr anschauliche und zugleich spannend beschriebene Anwendung eines Substitutionsverfahrens sowie der Kryptoanalyse durch H\u00e4ufigkeitsanalyse\u00a0findet sich in der Geschichte Der Goldk\u00e4fer<\/a> (The Gold-Bug<\/a>) von Edgar Allan Poe. Dieser Abschnitt der Unterrichtseinheit stellt einen optionalen Einstieg in das Thema Verschl\u00fcsselung dar und ben\u00f6tigt erfahrungsgem\u00e4\u00df eine Doppelstunde. Die im \u201eGoldk\u00e4fer\u201c durchgef\u00fchrte Dechiffrierung durch den Helden der Geschichte basiert auf einem f\u00fcr die Kryptoanalyse wichtigen Verfahren: der H\u00e4ufigkeitsanalyse. Ausgehend von der Analyse erschlie\u00dft sich der Geheimtext durch die Anwendung von Heuristiken, die auf dem Aufbau von Sprache basieren. Die Sch\u00fclerinnen und Sch\u00fcler erhalten dabei zun\u00e4chst nur einen Teil des Textes, der den L\u00f6sungsweg zur Dechiffrierung zun\u00e4chst ausblendet. Aufgabe ist es, nachdem die H\u00e4ufigkeitsanalyse durchgef\u00fchrt wurde, selbst Heuristiken zu entdecken, die der Entschl\u00fcsselung des Geheimtextes dienen.<\/p>\n Das Ausz\u00e4hlen der H\u00e4ufigkeit der Codezeichen sollte zur Beschleunigung des Verfahrens arbeitsteilig durchgef\u00fchrt und die Ergebnisse in einer Folie gesammelt werden. Alternativ zum manuellen Ausz\u00e4hlen l\u00e4sst sich die H\u00e4ufigkeit von Zeichen eines Codes auch gut mit dem Werkzeug CrypTool ermitteln:<\/p>\n Auf Grundlage eines Vergleichs\u00a0des Ergebnis mit der\u00a0durchschnittlichen Buchstabenh\u00e4ufigkeit im Deutschen k\u00f6nnen dann Vermutungen entwickelt werden, die \u00fcber ein zeichenweises\u00a0Ersetzen der Zeichen \u00fcberpr\u00fcft werden k\u00f6nnen:<\/p>\n Falls der \u201eGoldk\u00e4fer\u201c nicht als Einstieg in den Lernabschnitt gew\u00e4hlt, sondern nur das Caesar-Verfahren behandelt wird, so sollte in der Caesar-Stunde die H\u00e4ufigkeitsanalyse als L\u00f6sungsm\u00f6glichkeit f\u00fcr verschl\u00fcsselte Texte behandelt werden. Grund daf\u00fcr ist, dass das Knacken beliebiger monoalphabetischer Substitutionscodes durch die H\u00e4ufigkeitsanalyse die Motivation f\u00fcr die Entwicklung von polyalphabetischen Verschl\u00fcsselungen darstellte. M\u00f6chte man diese wiederum knacken, so muss man sie zun\u00e4chst auf eine monoalphabetische Verschl\u00fcsselung reduzieren, um sie durch eine H\u00e4ufigkeitsanalyse angreifbar zu machen. Ist f\u00fcr die Unterrichtseinheit genug Zeit vorhanden, empfehlen wir den \u201eGoldk\u00e4fer\u201c als Einstieg in die Verschl\u00fcsselung zu w\u00e4hlen \u2013 nicht zuletzt weil die Geschichte \u00fcber Piraten und vergrabene Sch\u00e4tze bei den Sch\u00fclerinnen und Sch\u00fclern Spannung, Neugier und somit auch Motivation erzeugt.<\/p>\n => Verlaufsplanung Der Goldk\u00e4fer<\/a><\/p>\n Die Sch\u00fclerinnen und Sch\u00fcler werden aufgefordert, sich gegenseitig mit Hilfe von je zwei untereinander angeordnet und seitlich gegeneinander verschoben Doppelalphabet-Streifen <\/em>verschl\u00fcsselte Nachrichten per E-Mail zuzusenden und erhaltene Nachrichten zu entschl\u00fcsseln. Dabei lernen die Sch\u00fclerinnen und Sch\u00fcler erste Fachbegriffe aus der Kryptologie kennen und wenden diese sachgerecht an.<\/p>\n In einem zweiten Arbeitsauftrag sollen die Sch\u00fclerinnen und Sch\u00fcler versuchen, eine Nachricht auch ohne Kenntnis des Schl\u00fcssels zu entschl\u00fcsseln. Hier werden sie erfahren, dass mit dem Caesar-Verfahren verschl\u00fcsselte Nachrichten sich durch Ausprobieren aller m\u00f6glichen 25 Abst\u00e4nde mit vertretbarem Aufwand knacken l\u00e4sst. Falls f\u00fcr den Einstieg in die Verschl\u00fcsselung nicht die optionale Doppelstunde \u201eDer Goldk\u00e4fer\u201c gew\u00e4hlt wird, so muss an dieser Stelle auch die H\u00e4ufigkeitsanalyse als Methode zum Entschl\u00fcsseln monalphabetischer Verschl\u00fcsselungen eingef\u00fchrt werden (siehe oben).<\/p>\n Abschlie\u00dfend sollte unter Einsatz des Werkzeugs Krypto 1.5 gezeigt werden, wie das Ausprobieren verschiedener Schl\u00fcssel mit Hilfe des Computers drastisch beschleunigt wird.<\/p>\n Optional kann das Caesar-Verfahren anschlie\u00dfend auch als Programm umgesetzt werden. Der Vorteil daran ist, dass anhand der Thematik \u201eVerschl\u00fcsselung\u201c Programmierkonzepte eingef\u00fchrt werden k\u00f6nnen. Es besteht dabei jedoch auch die Gefahr, dass der rote Faden der Unterrichtseinheit verloren geht, da erfahrungsgem\u00e4\u00df die Programmierung neue Probleme und Fragen aufwirft, die mit den zentralen Fragestellungen der Unterrichtseinheit keine Verbindung besitzen. Wenn die klassische Kryptographie mit \u00fcbungen zur Programmierung verbunden werden soll, erscheint es uns daher sinnvoller, dies in einer vorausgehenden Unterrichtsreihe umzusetzen.<\/p>\n => Verlaufsplanung Stunde 6\/7<\/a><\/p>\n Die Erfahrung, dass auch ein beliebiger monoalphabetischer Substitutionscode durch eine H\u00e4ufigkeitsanalyse geknackt werden kann f\u00fchrte zu der Idee von Blaise de Vigen\u00e8re, die Zeichen eines Textes abwechselnd mit verschiedenen Abst\u00e4nden von\u00a0Geheimtextalphabet und Klartextalphabet\u00a0zu verschl\u00fcsseln. Ein Schl\u00fcsselwort bestimmt, mit welchem Geheimtext- alphabet ein Zeichen an einer bestimmten Position im Klartext verschl\u00fcsselt wird. Insgesamt werden so viele\u00a0Geheimtextalphabete verwendet, wie das Schl\u00fcsselwort verschiedene Zeichen enth\u00e4lt, es handelt sich also um ein\u00a0polyalphabetisches Verfahren.<\/p>\n Das Werkzeug\u00a0Krypto 1.5\u00a0 bietet\u00a0eine sehr \u00fcbersichtliche Animation des\u00a0Vigin\u00e8re-Verfahrens. Als Arbeitsauftrag sollten die Sch\u00fclerinnen und Sch\u00fcler aufgefordert werden, eine Nachricht, die sie per E-Mail verschicken wollen, mit Krypto 1.5 unter dem Men\u00fcpunkt Demos >> Vigen\u00e8re-Verschl\u00fcsselung zu verschl\u00fcsseln und dabei die Animation\u00a0 zu beobachten um das Vorgehen zu erkl\u00e4ren. Die verschl\u00fcsselte Nachricht kann einfach aus dem Chiffre-Feld von Krypto 1.5 in den E-Mail-Client kopiert bzw. aus dem E-Mail-Client zum entschl\u00fcsseln in das Chiffre-Feld von Krypto 1.5 kopiert werden. Der „Arbeitsbogen H\u00e4ufigkeitsanalyse mit Vigenere verhindern“ bietet geeignete Arbeitsauftr\u00e4ge, durch die die Sch\u00fclerinnen und Sch\u00fcler sich die Funktionsweise des Verfahrens anhand der Animation erschlie\u00dfen.<\/p>\n Das Verfahren wurde lange Zeit als sicher angesehen. Wird das\u00a0Schl\u00fcsselwort bei der Verschl\u00fcsselung l\u00e4ngerer Textpassagen jedoch oft genug angewendet, so treten in der Chiffre aufgrund der in einer Sprache typischen Buchstabengruppen (Bi- und Trigramme) oder auch h\u00e4ufig auftretender kurzer W\u00f6rter wie z. B. Artikel wiederkehrende Zeichenkombinationen auf, auf deren Grundlage auf die L\u00e4nge des Schl\u00fcsselwortes geschlossen werden kann. Ist die erst einmal gelungen, so l\u00e4sst sich auf der Menge der Zeichen, die mit der gelichen Position des Schl\u00fcsselworts verschl\u00fcsselt wurden jeweils eine H\u00e4ufigkeitsanalyse durchf\u00fchren.<\/p>\n Mit dem Werkzeug CrypTool l\u00e4sst sich zeigen, dass auch diese Verschl\u00fcsselung geknackt werden kann (Men\u00fc Analyse >> Symmetrische Verschl\u00fcsselung (klassisch) >> Chyphertext Only >> Vigen\u00e8re). So k\u00f6nnte z.B. die Lehrkraft eine mit Vigenere verschl\u00fcsselte E-Mail mit einem spannenden Betreff an alle Sch\u00fclerinnen und Sch\u00fcler senden, die offenbar aus Versehen an sie gelangte. Die Sch\u00fclerinnen und Sch\u00fcler wollen nat\u00fcrlich die Nachricht entschl\u00fcsseln und werden in diesem Moment auf die M\u00f6glichkeit aufmerksam gemacht, mit CrypTool die Chiffre zu knacken (Die gesuchte Person ist Blaise de Vigenere – das m\u00fcssen die Sch\u00fclerinnen und Sch\u00fcler dann wiederum selbst herausfinden).<\/p>\n Aus dieser statistischen Angriffsm\u00f6glichkeit folgt die Schlussfolgerung, dass sie bei einer sicheren Verschl\u00fcsselung mit dem Vigen\u00e8re-Verfahren das Schl\u00fcsselwort sich \u2013 bezogen auf den Klartext – nicht wiederholen darf, d.h. seine L\u00e4nge sollte gr\u00f6\u00dfer als die der verschl\u00fcsselten Nachricht sein. Au\u00dferdem sollte das Schl\u00fcsselwort selbst nicht ein nat\u00fcrlichsprachliches Wort sondern eine zuf\u00e4llig erzeugte Zeichenfolge sein, die jeweils nur ein einziges Mal eingesetzt werden darf. Dieses Prinzip (One-Time-Pad) wurde z.B. von Agenten im Kalten Krieg eingesetzt (Ein interessanter Bericht zu von Funkern entdeckten merkw\u00fcrdigen Zahlencodes:\u00a0http:\/\/www.astrosol.ch\/numberstations\/<\/a> ). Das One-Time-Pad verhindert somit Angriffe auf die Verschl\u00fcsselung mittels statistischer Verfahren. Die Schwachstelle des Verfahrens liegt jedoch in der \u00fcbermittlung des Schl\u00fcssels. Die Beseitigung dieser Angriffsm\u00f6glichkeit wird durch asymmetrische Verschl\u00fcsselungsverfahren erm\u00f6glicht, die in den folgenden Stunden des Lernabschnitts behandelt werden.<\/p>\n => Verlaufsplanung Stunde 8<\/a><\/p>\n Das Knacken einer Vigen\u00e8re-Verschl\u00fcsselung per Hand ist \u2013 selbst mit einem arbeitsteiligen Vorgehen \u2013 nicht ohne einen gewissen Zeitaufwand durchzuf\u00fchren. Deshalb schlagen wir vor, diese Stunde nur durchzuf\u00fchren, wenn die Lerngruppe in der vorangegangenen Stunde Probleme mit dem Verst\u00e4ndnis der polyalphabetischen Verschl\u00fcsselung hatte.<\/p>\n Im R\u00fcckblick auf die letzte Stuunde sollte nun \u00fcberlegt werden, wie ein Knacken der Chiffre m\u00f6glich ist. Mit den Arbeitsb\u00f6gen Vigen\u00e8re knacken kann das Verfahren zur Bestimmung der Schl\u00fcsselwortl\u00e4nge durch den Vergleich der Abst\u00e4nde zwischen Parallelstellen h\u00e4ndisch nachvollzogen werden. Je nach Vorkenntnissen der Lernenden sollte die Bestimmung des gr\u00f6\u00dften gemeinsamen Teilers ggf. im gef\u00fchrten Unterrichtsgespr\u00e4ch erfolgen. Die Sch\u00fclerinnen und Sch\u00fcler sollten nun in die \u00fcberlegungen eingebunden werden, wie sich bei bekannter L\u00e4nge des Schl\u00fcsselworts die einzelnen Buchstaben des angewendeten Geheimworts durch eine H\u00e4ufigkeitsanalyse auf den wiederkehrend durch einen Buchstaben des Geheimworts verschl\u00fcsselten Geheimzeichen rekonstruiert werden k\u00f6nnen. Die Anwendung der H\u00e4ufigkeitsanalyse f\u00fcr die mit dem 2. bis 7. Buchstaben des Schl\u00fcsselworts verschl\u00fcsselten Geheimtext sollte dann arbeitsteilig f\u00fcr die jeweiligen Buchstaben des Geheimworts erfolgen – lassen Sie die Sch\u00fcler einfach von 2 bis 7 reihum abz\u00e4hlen!.<\/p>\n Durch die Bestimmung der L\u00e4nge des Schl\u00fcssels kann die Vigen\u00e8re-Verschl\u00fcsselung auf eine monoalphabetische Verschl\u00fcsselung reduziert werden, die wiederum mit dem den Sch\u00fclerinnen und Sch\u00fclern bekannten Verfahren der H\u00e4ufigkeitsanalyse geknackt werden kann. Der Geheimtext wurde so angelegt, dass der am h\u00e4ufigsten auftretende Buchstabe pro Spalte (mit einer Ausnahme) dem \u201eE\u201c entspricht. Das Schl\u00fcsselwort f\u00fcr den Text lautet: \u201eLOGISCH\u201c. Anschlie\u00dfend wird das Vorgehen im Plenum schriftlich festgehalten.<\/p>\n => Verlaufsplanung Exkurs Vigen\u00e8re per Hand knacken<\/a><\/p>\n Der BBC-Dokumentarfilm \u201eKrieg der Buchstaben\u201c (dt., ca. 45 Min.) bietet die M\u00f6glichkeit den Kontext \u201eE-Mail\u201c zu verlassen und das Thema Verschl\u00fcsselung aus der Perspektive der historischen Ereignisse des 20. Jahrhunderts zu betrachten. Bevor die Verschl\u00fcsselung durch das Aufkommen moderner Kommunikationsmittel in das Blickfeld von Unternehmen und Privatpersonen r\u00fcckte, war sie im 20. Jahrhundert besonders Mittel von Staat und Milit\u00e4r die eigene Kommunikation geheim zu halten. Der Film bietet den Sch\u00fclerinnen und Sch\u00fclern die M\u00f6glichkeit, die Funktionsweise historischer Chiffriermaschinen kennen zu lernen (etwa der deutschen Enigma) und mit den im vorangegangenen Unterricht behandelten Verschl\u00fcsselungs- verfahren in Beziehung zu setzen. Gleichzeitig kann der Film als Anregung f\u00fcr eine Diskussion \u00fcber Vertrauen bzw.. Misstrauen in zwischenstaatlichen Beziehungen dienen, um den Einsatz von\u00a0 Entschl\u00fcsselungsmethoden kritisch zu hinterfragen.<\/p>\n Zu diesem Zweck erhalten die Sch\u00fclerinnen und Sch\u00fcler Beobachtungsauftr\u00e4ge, die sowohl die technische, als auch die gesellschaftliche Dimension von den im Film vorgestellten Ver- schl\u00fcsselungstechniken betreffen. Nach der Sichtung des Films haben die Sch\u00fclerinnen und Sch\u00fcler Zeit, sich \u00fcber ihre Arbeitsergebnisse auszutauschen, um anschlie\u00dfend im Plenum ihre Ergebnisse und Meinungen zu pr\u00e4sentieren. Erfahrungsgem\u00e4\u00df ist die Diskussion \u00fcber Ver- schl\u00fcsselung sehr fruchtbar, sodass f\u00fcr den Film eine Doppelstunde eingeplant werden sollte.<\/p>\n => Verlaufsplanung Exkurs Krieg der Buchstaben<\/a><\/p>\n Grundlegend f\u00fcr die asymmetrische Kryptographie sind Einwegfunktionen mit Fallt\u00fcr. Einwegfunktionen sind dadurch charakterisiert, dass sie leicht berechenbar sind, ihre Umkehrfunktion aber nur mit riesigem Rechenaufwand bestimmt werden kann. Ein klassisches Beispiel daf\u00fcr ist ein Telefonbuch: W\u00e4hrend die Telefonnummer leicht zu finden ist, wenn man den Namen kennt, ist das Auffinden des Namens sehr schwer, wenn\u00a0 nur die Telefonnummer bekannt ist. Auch das Zerrei\u00dfen ein eines Blatts Papier l\u00e4sst sich leicht durchf\u00fchren, das Zusammenf\u00fcgen der zerrissenen Teile ist dagegen f\u00fcr den Restaurator eine anspruchsvolle Aufgabe.<\/p>\n Bei einer Einwegfunktion mit Fallt\u00fcr (kurz: Fallt\u00fcrfunktion) gibt es sozusagen eine \u201eHintert\u00fcr\u201c, mit deren Kenntnis die Umkehrfunktion wiederum leicht zu bestimmen ist. Ein Beispiel daf\u00fcr ist ein Briefkasten:\u00a0 W\u00e4hrend das Einwerfen eines Briefes leicht geschieht, ist es schwer, ihn danach wieder herauszufischen \u2013 es sei denn, man hat den Schl\u00fcssel zum Briefkasten. In dieser Stunde werden Vorh\u00e4ngeschl\u00f6sser als ein Beispiel f\u00fcr eine Fallt\u00fcrfunktion eingesetzt. Auch hier ist es einfach, ein Schloss durch Zudr\u00fccken zu schlie\u00dfen, das Schloss ohne Schl\u00fcssel zu \u00f6ffnen ist allerdings aufw\u00e4ndig.<\/p>\n Zur Einf\u00fchrung in die asymmetrische Kryptographie wird den Sch\u00fclerinnen und Sch\u00fclern der Arbeitsauftrag erteilt, ein Geheimnis mittels einer Kiste zu \u00fcbertragen, wobei jeder Kommunikationspartner \u00fcber ein Vorh\u00e4ngeschloss mit passendem Schl\u00fcssel verf\u00fcgt. Damit k\u00f6nnen sie selbstst\u00e4ndig erarbeiten, wie durch eine Trennung von Ver- und\u00a0 inverser Entschl\u00fcsselungsfunktion das \u00fcbermitteln geheimer Schl\u00fcssel vermieden werden kann:<\/p>\n Die Sch\u00fclerinnen und Sch\u00fcler teilen sich sich in zwei Gruppen, um ein Rollenspiel durchzuf\u00fchren. Jede Gruppe erh\u00e4lt ein Vorh\u00e4ngeschloss, eine der Gruppen zus\u00e4tzlich einen Karton\/Truhe. Die Gruppen erhalten die Aufgabe, eine Nachricht in dem Karton an die andere Gruppe zu versenden. Dabei muss der Karton den in der Mitte platzierten Lehrer passieren, ohne dass dieser die M\u00f6glichkeit hat, die Nachricht zu lesen.<\/p>\n Die L\u00f6sung dieses Problems kann mit verschiedenen Verfahren gel\u00f6st werden. Im Diffie-Helmann-Schl\u00fcsseltausch schlie\u00dft die versendende Gruppe den Karton, in dem die Nachricht liegt, mit ihrem Schloss zu und schickt ihn zur anderen Gruppe. Diese Gruppe befestigt ihr Schloss ebenfalls am Karton und schickt ihn wieder zum urspr\u00fcnglichen Sender zur\u00fcck. Dieser entfernt nun sein Schloss und sendet den Karton zur\u00fcck, der nun ge\u00f6ffnet werden kann. Bei dem Diffie-Hellman-Schl\u00fcsseltausch handelt es sich nicht um ein vollwertiges asymmetrisches Verschl\u00fcsselungsverfahren. Es ist nicht gegen \u201eman-in-the-middle\u201c-Angriffe gesch\u00fctzt, so kann eine \u00fcbermittelnde Station die Antworten der Kommunikationspartners imitieren und seinen eigenen Schl\u00fcssel anstatt denen der Kommunikationspartner \u00fcbermitteln um so Kenntnis von der \u00fcbertragenen Botschaften zu erlangen. Der amerikanische Mathematiker ElGamal entwickelt 1985 aus dem Diffie-Hellman-Verfahren ein vollwertiges asymmetrisches Kryptosystem, das auch noch heute verwendet wird.<\/p>\n Um zu verdeutlichen, dass dieses Verfahren auch Angriffsm\u00f6glichkeiten bietet und die L\u00f6sung des Schl\u00fcsseltauschproblems nicht 100%ige Sicherheit bietet, kann das Szenario erneut durchgef\u00fchrt werden. Diesmal befestigt der Lehrer\/die Lehrerin jedoch ein eigenes Schloss an dem Karton und sendet ihn sofort an die sendende Gruppe zur\u00fcck. Diese entfernt nun korrekterweise ihr Schloss und versendet den Karton erneut. Der Lehrer\/die Lehrerin hat nun die M\u00f6glichkeit, die Nachricht zu lesen. Gleichzeitig nimmt der Lehrer\/die Lehrerin einen baugleichen Karton, der eine eigene Nachricht enth\u00e4lt und sendet ihn \u2013 anstatt des Originals \u2013 weiter. Der falsche Karton wird durch die Sch\u00fclerinnen und Sch\u00fcler mit einem Schloss versehen und an den Lehrer \/ die Lehrerin zur\u00fcck geschickt. Nun entfernt er\/sie sein\/ihr eigenes Schloss und sendet den Karton sogleich zur\u00fcck (man-in-the-middle-Angriff).<\/p>\n Die Modellierung Diffie-Hellman-Verfahren auf der Ebene von Kisten und Schl\u00f6ssern trennt nicht zwischen privatem und \u00f6ffentlichem Schl\u00fcssel und ist daher f\u00fcr die Anbahnung des RSA-Verfahrens ungeeignet. Entdecken die Sch\u00fclerinnen und Sch\u00fcler das Diffie-Hellman-Verfahren, so sollte durch\u00a0 die Demonstration des man-in-the-middle Angriffs eine weitergehende \u00fcberlegung motiviert\u00a0 werden, wie sich ein Austausch der Schl\u00f6sser verhindern l\u00e4sst. Hier sollte der Lehrer\/die Lehrerin das Szenario gezielt erweitern und ein Treffen der Kommunikationspartner zur Vorbereitung der sp\u00e4teren Kommunikation vorschlagen, wobei nach wie vor keine geheimen Informationen ausgetauscht werden sollen. Es bietet sich an, dass die Gruppen im Vorfeld der Kommunikation ihre Schl\u00f6sser austauschen (die dann die \u00f6ffentlichen Schl\u00fcssel symbolisieren) und dabei die zum Aufschlie\u00dfen notwendigen Schl\u00fcssel (die privaten Schl\u00fcssel im Sinne der asymmetrischen Kryptologie) behalten. Nun kann die Kiste direkt von der sendenden Gruppe mit dem Schloss der empfangenden Gruppe verschlossen und nur von der empfangenden Gruppe wieder ge\u00f6ffnet werden.<\/p>\n Abschlie\u00dfend sollten die Sch\u00fclerinnen und Sch\u00fcler aufgefordert werden, das zuletzt beschriebene Verfahren schriftlich festzuhalten und die Trennung von Ver- und Entschl\u00fcsslungsfunktion als zentrale Idee der L\u00f6sung zu benennen.<\/p>\n => Verlaufsplanung Stunde 9<\/a><\/p>\n F\u00fcr mathematisch interessierte Lerngruppen bietet es sich an, die mathematische Umsetzung des Diffie-Hellman-Verfahrens zu erarbeiten. Dazu eignet sich der Arbeitsbogen von Johann Penon (s. u.) sowie eine sehr sch\u00f6ne Veranschaulichung im Programm CrypTool unter Einzelverfahren \u2192 Protokolle \u2192 Diffie-Hellman-Verfahren. Fundierte Informationen zu dem Diffie-Hellman-Verfahren erh\u00e4lt man z. B. in der Online-Hilfe sowie im Skript von CrypTool. Zum \u201eKnacken\u201c dieses Systems wird im Gegensatz zur Primfaktorzerlegung bei RSA der diskrete Logarithmus bestimmt.<\/p>\n Arbeitsbogen von Johann Penon zum Diffie-Hellman-Verfahren: Die Sch\u00fclerinnen und Sch\u00fcler erarbeiten sich mit der Animation „Vertraulichkeit und Authenzit\u00e4t durch asymmetrische Kryptologie herstellen“ das Prinzip der asymmetrischen Kryptographie.\u00a0 Sie kn\u00fcpfen an das aus der letzten Stunde bekannte Schl\u00fcsselaustauschverfahren an und setzen es in den Kontext E-Mail. Dabei lernen sie die Funktion von \u00f6ffentlichen und privaten Schl\u00fcssel kennen. Eine Anleitung zur Bedienung der Animation ist auf der dazugeh\u00f6rigen Webseite vorhanden, es wird jedoch empfohlen, den Sch\u00fclerinnen und Sch\u00fclern die Anleitung in Papierform zu Verf\u00fcgung zu stellen, um ein st\u00e4ndiges auf- und abscrollen zu vermeiden. Nachdem die Sch\u00fclerinnen und Sch\u00fcler sich die Funktionsweise der asymmetrischen Kryptographie erarbeitet haben, sollen sie diese in Partnerarbeit in einem zusammenh\u00e4ngen- den Text verschriftlichen.<\/p>\n Diese Stunde legt die Grundlage f\u00fcr die Besch\u00e4ftigung mit RSA, w\u00e4hrend der eigentliche Verschl\u00fcsselungsvorgang hier noch als \u201eBlack-Box\u201c funktioniert.<\/p>\n Sollte die Erarbeitung der Animation auch nach erfolgreicher Sicherung des Verfahren die Stunde nicht f\u00fcllen, so kann bereits hier thematisiert werden, dass die Verschl\u00fcsselung mit dem \u00f6ffentlichen Schl\u00fcssel des Empf\u00e4ngers wie auch alle zuvor besprochenen Verfahren keine Aussagen \u00fcber die Authentizit\u00e4t des Absenders und die Integrit\u00e4t der Nachricht zul\u00e4sst. W\u00e4hrend die Integrit\u00e4t der Nachricht nur durch Erstellen und \u201esignieren\u201c eines Hashwerts sichergestellt werden kann, so kann die Authentizit\u00e4t des Absenders bereits hier belegt werden, wenn dieser eine zuvor vereinbarte Nachricht (z.B. seinen Vornamen) mit seinem privaten Schl\u00fcssel verschl\u00fcsselt. Dieses \u201evertauschen\u201c der Schl\u00fcssel um einen anderen Zweck zu erf\u00fcllen sollte nur dann bereits in dieser Stunde besprochen werden, wenn das Verst\u00e4ndnis f\u00fcr die Herstellung von Vertraulichkeit sichergestellt ist, da sonst die Gefahr besteht, beide Prozesse und die Zuordnung der Schl\u00fcssel zu vermischen.<\/p>\n => Verlaufsplanung Stunde 10<\/a><\/p>\n In den vorangegangenen Stunden haben die Sch\u00fclerinnen und Sch\u00fcler bereits ein Beispiel f\u00fcr eine Einwegfunktion mit Fallt\u00fcr (auch Fallt\u00fcrfunktion genannt – vom engl. \u201etrap door function\u201c) kennen gelernt: das Vorh\u00e4ngeschloss. F\u00fcr die asymmetrische Verschl\u00fcsselung ist aber eine andere Fallt\u00fcrfunktion von Interesse \u2013 die Primzahlfaktorisierung: Es ist zwar einfach, ein Produkt aus Primzahlen zu erzeugen, die Zerlegung gro\u00dfer Zahlen in ihre Primfaktoren ist jedoch \u2013 je nach Gr\u00f6\u00dfe der Zahl \u2013 schwierig. Eben diese Tatsache macht sich die asymmetrische Verschl\u00fcsselung mit dem RSA-Kryptosystem zu Nutze: W\u00e4hrend ich aus ausschlie\u00dflich mir bekannten Primzahlen ohne Schwierigkeiten ein Produkt erzeugen und ver\u00f6ffentlichen kann (\u00f6ffentlicher Schl\u00fcssel), so ist es mit heutiger Rechentechnik bei den \u00fcblichen Sch\u00fcsselgr\u00f6\u00dfen (mind, 1024 Bit) unm\u00f6glich, aus diesem Produkt auf die Primfaktoren\u00a0 zu schlie\u00dfen. Die erforderlichen Schl\u00fcsselgr\u00f6\u00dfen werden durch den RSA-Faktorisierungs- wettbewerb ermittelt. Die gr\u00f6\u00dfte Zahl, die in diesem Wettbewerb bisher faktorisiert wurde, ist die RSA-768, die \u2013 wie der Name sagt \u2013 768 Bit gro\u00df ist. Weil man annimmt, dass die Zahl RSA-1024 bis zum Jahr 2020 zerlegt sein wird, gelten 1024-Bit-Verschl\u00fcsselungen ab 2014 als nicht mehr sicher. Man nimmt an, dass mindestens\u00a0 2048-Bit-Verschl\u00fcsselungen f\u00fcr viele Jahre ausreichende Sicherheit bieten \u2013 mit zunehmender Rechenleistung (oder dem Erfinden eines revolution\u00e4ren Verfahrens zur Primzahlfaktorisierung) steigt auch der Aufwand, den man bei der Verschl\u00fcsselung betreiben muss.<\/p>\n F\u00fcr das Verst\u00e4ndnis des sp\u00e4ter in diesem Lernabschnitt behandelten RSA-Verfahrens, ist es zun\u00e4chst notwendig, dass sich die Sch\u00fclerinnen und Sch\u00fcler \u00fcber Eigenschaften der Prim- und Semiprimzahlen informieren. Daf\u00fcr werden die Definitionen der (Semi)Primzahlen erl\u00e4utert und ein Verfahren eingef\u00fchrt, dass das Auffinden von Primzahlen erm\u00f6glicht (Sieb des Eratosthenes). Abschlie\u00dfend sollen die Sch\u00fclerinnen und Sch\u00fcler Semiprimzahlen in ihre Faktoren zerlegen, wobei sie erkennen, dass mit steigender Gr\u00f6\u00dfe der Zahl der Aufwand der Faktorisierung immer h\u00f6her wird \u2013 und irgendwann so gro\u00df ist, dass die Faktorisierung ohne Hilfe eines Rechners nicht mehr durchzuf\u00fchren ist.<\/p>\n Das 1978 entwickelte RSA-Verfahren ist ein asymmetrisches Verschl\u00fcsselungsverfahren, das gen\u00fcgend gro\u00dfe Semiprimzahlen nutzt, um die n\u00f6tige Sicherheit des Verfahrens zu gew\u00e4hrleisten (z. Zt. 1024 Bit). Die unter dem Gesichtspunkt der Sicherheit wichtigsten Grundlagen des Verfahrens haben die Sch\u00fclerinnen und Sch\u00fcler bereits in der Stunde \u201eKonstruktion einer mathematischen Fallt\u00fcrfunktion \u2013 Semiprimzahlen und die Zerlegung in Primfaktoren\u201c kennen gelernt.<\/p>\n Da das RSA-Verfahren f\u00fcr Sch\u00fclerinnen und Sch\u00fcler meist nicht auf Anhieb zu verstehen ist, wurde dieser Unterrichtsabschnitt so gestaltet, dass zun\u00e4chst h\u00e4ndisch mit kleinen Zahlen operiert wird. Dabei berechnen die Sch\u00fclerinnen und Sch\u00fcler zun\u00e4chst einen eigenen geheimen und \u00f6ffentlichen Schl\u00fcssel und \u00fcben das Ver- und Entschl\u00fcsseln von Zahlen. Ein AB zum modularen Rechnen f\u00fchrt die SuS in diese f\u00fcr sie ungewohnte Rechenart ein, ein weiterer AB zum modularen Potenzieren kann bei Bedarf zus\u00e4tzlich eingesetzt werden. M\u00f6glich ist auch ein Exkurs zu dem \u201eSquare and Multiply\u201c Algorithmus, so wie er im Artikel \u201eRSA&Co., Neue Folge Teil 1\u201c ausf\u00fchrlich beschrieben wird (s. Literatur). Dieser Algorithmus l\u00e4sst sich auf die sog. \u00e4thiopische oder auch russische Bauern-Multiplikation aus der Unterhaltungsmathematik zur\u00fcckf\u00fchren.<\/p>\n Anschlie\u00dfend soll das Verfahren angewendet werden \u2013 auch hierbei wird in dieser Doppelstunde mit kleinen Zahlen operiert, die noch per Hand zu berechnen sind: Die Sch\u00fclerinnen und Sch\u00fcler erhalten die Aufgabe, ihren Geburtstag (Monat und Tag einzeln) zu verschl\u00fcsseln Sie tauschen zun\u00e4chst ihren \u00f6ffentlichen Schl\u00fcssel mit dem Nachbarn aus und nutzen den \u00f6ffentlichen Schl\u00fcssel des Nachbarn, um den eigenen Geburtstag zu chiffrieren. Sie \u00fcbermitteln das Chiffrat an ihren Nachbarn, der es mit seinem privaten Schl\u00fcssel entschl\u00fcsselt.<\/p>\n Die RSA-Verschl\u00fcsselung ist nicht fixpunktfrei, d. h. es kann besonders bei kleinen Schl\u00fcsseln relativ h\u00e4ufig vorkommen, dass die Originalzahl und die verschl\u00fcsselte Zahl identisch sind. Das ist kein Argument gegen die Verwendung von RSA, weil es bei den tats\u00e4chlich eingesetzten Schl\u00fcssell\u00e4ngen nur selten auftritt und auch kein Sicherheitsrisiko darstellt \u2013 im Gegenteil: Die Fixpunktfreiheit der Enigma hat Alan Turing einen entscheidenden Ansatz zum Brechen des Enigma-Codes geliefert. Allerdings kann diese Tatsache in dieser Phase zu Fragen bei den Lernenden f\u00fchren, die dann gekl\u00e4rt werden m\u00fcssen.<\/p>\n Um die Einsicht zu motivieren, dass bei der Verschl\u00fcsselung mit RSA gro\u00dfe Primzahlen gew\u00e4hlt werden sollten, wird nun im Plenum versucht, ein Chiffre zu knacken. Zu diesem Zweck k\u00f6nnen einige Sch\u00fclerinnen und Sch\u00fcler (oder alle \u2013 je nach Gr\u00f6\u00dfe des Kurses) ein Chiffre zur Verf\u00fcgung stellen. Gemeinsam versucht die Lerngruppe, den Modul zu faktorisieren. Sind die beiden Faktoren gefunden, so kann das Produkt phi(N) = (p-1) * (q-1) berechnet werden. Nun muss nur noch eine Zahl d (der geheime Schl\u00fcssel) gefunden werden, f\u00fcr die gilt:<\/p>\n (d * e) mod phi = 1<\/p>\n Mit dem gefundenen Schl\u00fcssel kann nun die Chiffre geknackt werden!<\/p>\n Wenn gen\u00fcgend Zeit vorhanden ist, kann zur \u00fcbung und Festigung des Umgangs mit dem RSA-Verfahren auch ein kleiner \u201eChiffrierwettbewerb\u201c eingeschaltet werden. Zweierteams von SuS w\u00e4hlen sich eine passenden Name wie \u201eBlechtley Park\u201c, \u201eRoom 40\u201c, \u201eBlack Chamber\u201c usw., \u00fcberlegen sich ein RSA-Schl\u00fcsselsystem und ver\u00f6ffentlichen an der Tafel ihren \u00f6ffentlichen Schl\u00fcssel zusammen mit einer chiffrierten Botschaft. Die Aufgabe f\u00fcr die Teams ist es dann, die von den anderen Teams ver\u00f6ffentlichen Schl\u00fcssel und Botschaften zu knacken. Dabei wird auch deutlich, das man beim RSA-Verfahren genau zwischen dem Modul N f\u00fcr das Ver- und Entschl\u00fcsseln und dem Modul phi(N) f\u00fcr das Erzeugen des Schl\u00fcsselpaares unterscheiden muss \u2013 jedenfalls ist die Verwechslung dieser Moduln nach unserer Erfahrung die h\u00e4ufigste Fehlerquelle, wenn das von den SuS erdachte System nicht funktioniert.<\/p>\n Ohne den erweiterten Euklidischen Algorithmus ist es \u2013 besonders bei gr\u00f6\u00dferen Schl\u00fcsseln \u2013 sehr aufw\u00e4ndig, die zu einer gegebenen Zahl e inverse Zahl d zu finden. Wenn dieses Problem in die Tiefe gehend behandelt werden soll, bietet sich ein weiterer Exkurs zu diesem Algorithmus an. Eine Unterrichtsskizze hierzu findet sich in \u201eRSA&Co., Neue Folge Teil 2\u201c (s. Literatur). F\u00fcr diese Unterrichtsreihe haben wir uns aber entschlossen, die mathematischen Anteile m\u00f6glichst knapp zu halten, um den roten Faden \u201eSicherheitsprobleme bei der E-Mail-Kommunikation\u201c nicht aus den Augen zu verlieren. Deshalb haben wir uns f\u00fcr den Einsatz der RSA-Demo von CrypTool entschieden; hier sind die genannten Algorithmen bereits eingebaut und stehen als \u201eBlack Box\u201c zur Verf\u00fcgung.<\/p>\n Nachdem die SuS in der letzten Doppelstunde erfahren haben, dass die h\u00e4ndische Anwendung des RSA-Verfahren wegen der notwendigerweise sehr kleinen Schl\u00fcsselgr\u00f6\u00dfen sehr unsicher ist, ist es naheliegend, nunmehr Computer einzusetzen.<\/p>\n Deshalb f\u00fchren die Sch\u00fclerinnen und Sch\u00fcler das RSA-Verfahren erneut durch, diesmal jedoch mit Zahlen, deren Gr\u00f6\u00dfe so zu w\u00e4hlen ist, dass eine Entschl\u00fcsselung ohne Hilfe des Computers nicht durchzuf\u00fchren ist. Zu diesem Zweck soll erneut das Geburtsdatum verschl\u00fcsselt werden, diesmal jedoch als gro\u00dfe Zahl der Form ttmmjjjj (z.B. wird der 12.06.1995 zur Zahl 12061995). Auch die Primzahlen sind aus einem Schl\u00fcsselsystem mit n > 32.000.000 zu w\u00e4hlen. Die Rechnungen werden nun von den Sch\u00fclerinnen und Sch\u00fclern mit Hilfe von CrypTool (RSA-Demo) durchgef\u00fchrt.<\/p>\n Da die Bedienung der RSA-Demo von CrypTool nach unseren Erfahrungen in den Lerngruppen der SekI nicht selbsterkl\u00e4rend ist, erhalten die SuS einen AB, der ihnen die ersten Schritte mit der RSA-Demo erleichtern soll.<\/p>\n Anschlie\u00dfend sollen die o. e. \u201eGeburtstagszahlen\u201c mit der RSA-Demo verschl\u00fcsselt und vom Kommunikationspartner wieder entschl\u00fcsselt werden. Die erste Herausforderung ist dabei, Primzahlen p und q zu finden, deren Produkt (der Schl\u00fcssel N) gr\u00f6\u00dfer als 32.000.000 ist. Als Ansatz hierf\u00fcr bietet es sich an, die Quadratwurzel aus dieser Zahl zu berechnen (\u2248 5700, nach oben gerundet). Mit der Untergrenze 5700 und der Obergrenze 5800 ist man damit auf der sicheren Seite.<\/p>\n Hat man sein eigenes Schl\u00fcsselsystem mit der RSA-Demo erstellt, soll der \u00f6ffentliche Schl\u00fcssel an den Kommunikationspartner geschickt werden, der damit sein Geburtsdatum wir oben beschrieben verschl\u00fcsseln soll. Die RSA-Demo bietet auch die M\u00f6glichkeit, nur mit \u00f6ffentlichen Schl\u00fcssels eines Partners Nachrichten zu verschl\u00fcsseln. Wenn im oberen Teil des Fensters diesen Knopf (den zweiten von oben) bet\u00e4tigt, verschwindet der eigene geheime Schl\u00fcssel und es bleibt nur der eigene \u00f6ffentliche Schl\u00fcssel lesbar. Hat man den vorher nicht notiert, hat man Pech gehabt: Er kommt nicht wieder zur\u00fcck, wenn man wieder auf den obersten Knopf dr\u00fcckt! Die einfachste L\u00f6sung ist es, eine zweite Inkarnation der RSA-Demo zu starten, dann hat man ein Fenster f\u00fcr das eigene Schl\u00fcsselpaar und ein zweites f\u00fcr den \u00f6ffentlichen Schl\u00fcssel des Partners.<\/p>\n Nach diesen Vorbereitungen k\u00f6nnen die gew\u00fcnschten Daten per mail und copy & paste an den Partner gesendet werden.<\/p>\n Zu Beginn der n\u00e4chsten Phase stellt der Unterrichtende die folgende Aufgabe: \u201eAlice \u00fcbermittelt Bob ihr verschl\u00fcsseltes Geburtsdatum. Der \u00f6ffentliche Schl\u00fcssel von Bob lautet 65537, der Modul N ist 32442353. K\u00f6nnt Ihr das Geburtsdatum von Alice auch ohne Bobs geheimen Schl\u00fcssel ermitteln?\u201c Hier sollten die Lernenden zun\u00e4chst versuchen, diese Aufgabe selbstst\u00e4ndig ohne weitere Hilfe zu l\u00f6sen. Am Lehrertisch liegt ein vorbereiteter AB: \u201eRSA mit CrypTool knacken\u201c, den die SuS holen k\u00f6nnen, wenn sie gar nicht mehr weiterkommen. Auf diese Weise sollte die Aufgabe von allen relativ schnell zu l\u00f6sen sein.<\/p>\n Dieser Arbeitsschritt motiviert die n\u00e4chste Aufgabe: \u201eWie gro\u00df muss der RSA-Schl\u00fcssel sein, damit er mit CrypTool nicht so schnell geknackt werden kann?\u201c Hier muss zun\u00e4chst \u00fcber die Bitl\u00e4nge von Primzahlen und RSA-Schl\u00fcsseln gesprochen werden. Wenn man z. B. einen 128-Bit-RSA-Schl\u00fcssel erzeugen will, ben\u00f6tigt man zwei Primzahlen mit 64 Bit L\u00e4nge. Bei der RSA-Demo w\u00fcrde man also folgenderma\u00dfen vorgehen: Man w\u00e4hlt Primzahlen generieren (Knopf rechts oberhalb der Mitte), gibt bei p und q jeweils 263<\/sup> als Untergrenze und 264<\/sup> als Obergrenze an. Damit erh\u00e4lt man 2 verschiedene 64-Bit-Primzahlen, mit dem Knopf \u201ePrimzahlen \u00fcbernehmen\u201c erh\u00e4lt man den gew\u00fcnschten 128-Bit-Schl\u00fcssel (den Modul N). <\/p>\n Die damit erstellten Nachrichten werden \u2013 wie bereits in den Stunden 2\/3 \u2013 mittels Socket Sniff analysiert, um den Unterschied zu unverschl\u00fcsselten E-Mails zu verdeutlichen. Mit dem Ende dieses Lernabschnitts haben die Sch\u00fclerinnen und Sch\u00fcler die F\u00e4higkeit erworben, selbstst\u00e4ndig mit Verschl\u00fcsselungssystemen umzugehen, ihr eigenes Schl\u00fcsselpaar zu erzeugen und mit Programmen wie Thunderbird oder Outlook verschl\u00fcsselte E-Mails zu senden und empfangen.<\/p>\n Nachdem sich die Sch\u00fclerinnen und Sch\u00fcler in den vorangegangenen Stunden die theoretischen Grundlagen der asymmetrischen Verschl\u00fcsselung erarbeitet haben, sollen sie sich nun in der praktischen Anwendung dieses Verfahrens \u00fcben. Am Ende der Stunde sollen alle Lernenden wissen, wie sie selbstst\u00e4ndig ein Schl\u00fcsselpaar erstellen und wie sie die Verschl\u00fcsselung in E-Mail-Programmen (z.B. Thunderbird oder Outlook) einsetzen k\u00f6nnen.<\/p>\n Der erste Schritt der Unterrichtsstunde besteht darin, Schl\u00fcsselpaare mittels OpenPGP (resp. PGP4Win f\u00fcr Outlook) zu erzeugen und zu verwalten, oder alternativ ein (leider zeitlich begrenztes) Zertifikat \u00fcber ein Truscenter anzufordern (z.B. bei Trustcenter.de \u2192 erzeugen einer sog. \u201eTC Internet-ID\u201c). Mit diesem Schl\u00fcsselpaar allein ist das Verschl\u00fcsseln von Mails noch nicht zu bewerkstelligen. Zun\u00e4chst muss den E-Mail-Programm \u201ebeigebracht\u201c werden, Verschl\u00fcsselung zu nutzen. Im Falle von Thunderbird sollte daf\u00fcr das Enigmail-Plugin installiert werden, f\u00fcr Outlook-Benutzer reicht das oben genannte Paket PGP4WIn.<\/p>\n Anschlie\u00dfend tauschen die Sch\u00fclerinnen und Sch\u00fcler ihre \u00f6ffentlichen Schl\u00fcssel aus und verwalten diese im E-Mail-Programm. Dadurch bilden sie ein \u201eWeb of Trust\u201c. Die Sch\u00fclerinnen und Sch\u00fcler verschicken und empfangen nun (\u00fcber den bekannten Hamster-Server) verschl\u00fcsselte und signierte E-Mails an ihre Mitsch\u00fclerinnen. Um sich wirklich davon zu \u00fcberzeugen, dass die erarbeiteten Anforderungen an sichere Kommunikation erreicht worden sind, erhalten die Sch\u00fclerinnen und Sch\u00fcler wieder den Auftrag, den aus- und eingehenden E-Mail-Verkehr mittels Socket-Sniff zu analysieren. Dabei werden sie erkennen, dass die Informationen der E-Mail nicht l\u00e4nger im Klartextformat verschickt werden. Damit hat die Lerngruppe \u2013 f\u00fcr sie nachvollziehbar –\u00a0 das Ziel erreicht, Authentizit\u00e4t, Integrit\u00e4t und Vertraulichkeit bei der E-Mail-Kommunikation herzustellen und die Sch\u00fclerinnen und Sch\u00fcler sind dazu in der Lage, ein solches System auf schulfremden PCs zu installieren.<\/p>\n => Verlaufsplanung Stunde 16<\/a><\/p>\n Wie kann ich mit Verschl\u00fcsseln Vertraulichkeit\u00a0herstellen? (11 Stunden) In dem vorangegangenen Lernabschnitt wurde die Leitfrage aufgeworfen, wie bei der E-Mail- Kommunikation Vertraulichkeit hergestellt werden kann. Die Antwort auf diese Frage liegt nahe: Verschl\u00fcsselung! Taucht man\u00a0 tiefer in das Gebiet der Kryptographie ein und setzt es mit dem Informatiksystem E-Mail in Verbindung, so st\u00f6\u00dft man auf […]<\/p>\n","protected":false},"author":1,"featured_media":0,"parent":74,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"class_list":["post-87","page","type-page","status-publish","hentry"],"_links":{"self":[{"href":"https:\/\/medienwissenschaft.uni-bayreuth.de\/inik\/wp-json\/wp\/v2\/pages\/87","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/medienwissenschaft.uni-bayreuth.de\/inik\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/medienwissenschaft.uni-bayreuth.de\/inik\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/medienwissenschaft.uni-bayreuth.de\/inik\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/medienwissenschaft.uni-bayreuth.de\/inik\/wp-json\/wp\/v2\/comments?post=87"}],"version-history":[{"count":3,"href":"https:\/\/medienwissenschaft.uni-bayreuth.de\/inik\/wp-json\/wp\/v2\/pages\/87\/revisions"}],"predecessor-version":[{"id":90,"href":"https:\/\/medienwissenschaft.uni-bayreuth.de\/inik\/wp-json\/wp\/v2\/pages\/87\/revisions\/90"}],"up":[{"embeddable":true,"href":"https:\/\/medienwissenschaft.uni-bayreuth.de\/inik\/wp-json\/wp\/v2\/pages\/74"}],"wp:attachment":[{"href":"https:\/\/medienwissenschaft.uni-bayreuth.de\/inik\/wp-json\/wp\/v2\/media?parent=87"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
\n
\n> Manuelle Analyse > Substitution\u00a0w\u00e4hlen<\/li>\n<\/ul>\nMaterial<\/h4>\n
\n
\n
\nder L\u00f6sung<\/li>\n
\n(ausdrucken und kopieren – Achtung: Text ohne Tabellen!)<\/li>\n<\/ul>\n<\/li>\n<\/ul>\nSoftware<\/h4>\n
\n
\n<\/a><\/li>\n<\/ul>\nStunden 6\/7:
\nMonoalphabetische Kryptographie \u2013 Caesars Geheimcode<\/h2>\nMaterial<\/h4>\n
\n
\nL\u00f6sung zu Aufgaben 2 und 3<\/a><\/li>\nSoftware<\/h4>\n
\n
Stunden 8:
\nPolyalphabetische Kryptographie \u2013 Vigen\u00e8re und One-Time-Pads<\/h2>\nMaterial<\/h4>\n
\n
Software<\/h4>\n
\n
Optionaler Exkurs:
\nVigen\u00e8re per Hand knacken (eine zus\u00e4tzliche Stunde)<\/h3>\nMaterial<\/h4>\n
\n
Optionaler Exkurs: Film \u201eKrieg der Buchstaben\u201c
\n(eine zus\u00e4tzliche Doppelstunde zwischen Stunden 8 und 9)<\/h3>\nMaterial:<\/h4>\n
\n
\n<\/a><\/li>\n<\/ul>\nStunde 9:
\nTrennung von Ver- und Entschl\u00fcsseln mittels Einwegfunktion<\/h3>\nMaterial<\/h4>\n
\n
Optionaler Exkurs:
\nMathematische Umsetzung des Diffie-Hellman-Verfahrens
\n(eine zus\u00e4tzliche Stunde zwischen Stunden 9 und 10)<\/h3>\nMaterial:<\/h4>\n
\nhttp:\/\/oszhandel.de\/gymnasium\/faecher\/informatik\/krypto\/diffie_hellmann_merkle.html<\/a><\/p>\nWeiterf\u00fchrende Internetquellen zu Diffie-Hellman- und ElGamal-Verfahren:<\/h4>\n
\n
\n<\/a><\/li>\n<\/ul>\nStunde 10:
\nDas Prinzip der asymmetrischen Kryptologie<\/h3>\nMaterial<\/h4>\n
\n
Stunde 11:
\nKonstruktion einer mathematischen Einwegfunktion – Semiprimzahlen und Zerlegung in Primfaktoren<\/h3>\nMaterial<\/h4>\n
\n
\n
Weiterf\u00fchrende Literatur und Internetquellen zu Stunde 11:<\/h4>\n
\n
\nhttp:\/\/www.rsa.com\/rsalabs\/node.asp?id=2092<\/a>
\nhttp:\/\/en.wikipedia.org\/wiki\/RSA_Factoring_Challenge<\/a><\/li>\n
\nOnline unter http:\/\/bscw.schule.de\/pub\/bscw.cgi\/d864891\/RSA_u_Co_NF4.pdf<\/a><\/li>\n<\/ul>\nStunde 12\/13:
\nImplementierung asymmetrischer Kryptologie am Beispiel RSA<\/h3>\nMaterial<\/h4>\n
\n
\n(Schl\u00fcsselpaare mit gro\u00dfen Primzahlen k\u00f6nnen mit CrypTool generiert werden, siehe Anleitung\u00a0Ver- und Entschluesseln mit der CrypTool-RSA-Demo<\/a>)<\/li>\n<\/ul>\nStunden 14\/15:
\nSicherheit von RSA<\/h3>\n
\nDiese \u00fcberlegung l\u00e4sst sich verallgemeinern: Bei einer gew\u00fcnschten Bitl\u00e4nge von 2n<\/sup> w\u00e4re 2n-1<\/sup> die Unter- und\u00a0 2n<\/sup> die Obergrenze. Wenn man mit diesen Werten experimentiert, zeigt sich, dass 128-Bit-Schl\u00fcssel noch sehr leicht mit CrypTool zerlegt werden k\u00f6nnen.<\/p>\nMaterial<\/h4>\n
\n
Software<\/h4>\n
\n
Stunde 16:
\nE-Mails mit Enigmail verschl\u00fcsseln<\/h3>\nMaterial<\/h4>\n
\n
Weiterf\u00fchrende Internetquelle zum Verschl\u00fcsseln und Signieren
\nvon E-Mails:<\/h4>\n\n
Software<\/h4>\n
\n
\ndirekter Link zum\u00a0Windows-Installer: ftp:\/\/ftp.gnupg.org\/gcrypt\/binary\/gnupg-w32cli-1.4.10b.exe<\/a><\/li>\n
\nhttps:\/\/addons.mozilla.org\/de\/thunderbird\/addon\/71\/<\/a>
\n(Dieses Add-On muss ggf. von jedem Benutzer installiert werden. In diesem Fall sollte die *.xpi-Datei in einem Tausch-Verzeichnis bereit gestellt werden.)<\/li>\n
\nhttps:\/\/www.trustcenter.de\/cs-bin\/MyCert.cgi\/de\/55<\/a><\/li>\n