Wasserzeichenangriff
Der Wasserzeichenangriff (englisch
) ist eine Methode der Kryptoanalyse. Anders als die meisten Verfahren der Kryptoanalyse zielt das Verfahren nicht auf die Dechiffrierung des gesamten Geheimtextes ab, vielmehr geht es lediglich darum, die Existenz eines bestimmten Musters (Wasserzeichen) im Klartext nachzuweisen.
Szenario
Das Opfer lädt sich eine Datei auf seine verschlüsselte Festplatte. Diese Datei hat ein spezielles, charakteristisches Muster (dies weiß das Opfer jedoch nicht notwendigerweise). Mit dem Wasserzeichenangriff kann ohne Kenntnis des Schlüssels nachgewiesen werden, dass das Muster auf der Festplatte vorhanden ist, mithin die Wahrscheinlichkeit gegeben ist, dass diese speziell markierte Datei auf dem verschlüsselten Datenträger gespeichert ist.
Verfahren
Verfahren am Beispiel der Festplattenverschlüsselung:
Bei der Festplattenverschlüsselung im CBC-Modus (englisch
) wird oft die Sektornummer als Initialisierungsvektor (IV) genutzt.
Nehmen wir nun 2 aufeinanderfolgende Sektoren, die sich nur in dem letzten Bit unterscheiden und generieren 2 Klartexte, die sich ebenfalls nur um das letzte Bit unterscheiden. Solange die Bits XOR verschlüsselt werden, folgt aus der Definition, dass der verschlüsselte Text ebenfalls identisch sein könnte.
Beispiel:
Sektor 1: 10010000
Klartext 1: 00101100
Sektor 2: 10010001
Klartext 2: 00101101
Chiffriert 1: 10111100
Chiffriert 2: 10111100
Da Sektornummer und Chiffriertext bekannt sind, besteht eine hohe Wahrscheinlichkeit, dass aufeinanderfolgende Sektoren mit identischem Chiffriertext mit einem Wasserzeichen markiert sind. Dieses Verfahren gelingt jedoch nur, wenn das Dateisystem nicht stark fragmentierbar ist, so dass Dateien auf nacheinander folgenden Sektoren geschrieben werden (zum Beispiel bei ext2, ext3, ReiserFS – nicht jedoch zwingend bei FAT).
Betroffene Systeme
Fast jedes derzeitige System zur Partitionsverschlüsselung oder Festplattenverschlüsselung (unter Umständen auch Dateiverschlüsselung) kann davon betroffen sein. Dazu gehören unter anderem auch frühere Versionen von dm-crypt, da erst seit dem Ende des Jahres 2004 Initialisierungsvektorhashing mittels des ESSIV-Modus unterstützt wird.
Spezifikation
- Markku-Juhani O. Saarinen: "Linux for the Information Smuggler", Seite 3 (PDF-Datei; 70 kB)