Heim

Wasserzeichenangriff

Der Wasserzeichenangriff (englisch watermark attack) ist eine Methode der Kryptoanalyse. Anders als die meisten Verfahren der Kryptoanalyse zielt das Verfahren nicht auf die Dechiffrierung des gesamten Geheimtextes ab, vielmehr geht es lediglich darum, die Existenz eines bestimmten Musters (Wasserzeichen) im Klartext nachzuweisen.

Inhaltsverzeichnis

Szenario

Das Opfer lädt sich eine verbotene Datei (z. B. eine unerlaubte Kopie eines urheberrechtlich geschützten Werkes) auf seine verschlüsselte Festplatte. Die Datei hat ein spezielles, charakteristisches Muster (dies weiß das Opfer jedoch nicht notwendigerweise). Die Festplatte wird beschlagnahmt. Mit dem Wasserzeichenangriff wird nachgewiesen, dass das Muster auf der Festplatte vorhanden ist, mithin die Wahrscheinlichkeit gegeben ist, dass das Opfer (Täter?) tatsächlich diese "verbotene" Datei auf seinem Rechner vorliegen hatte.

Verfahren

Verfahren am Beispiel der Festplattenverschlüsselung:

Bei der Festplattenverschlüsselung im CBC-Modus (englisch Cipher Block Chaining Mode) wird oft die Sektornummer als Initialisierungsvektor (IV) genutzt. Nehmen wir nun 2 aufeinanderfolgende Sektoren, die sich nur in dem letzten Bit unterscheiden und generieren 2 Klartexte, die sich ebenfalls nur um das letzte Bit unterscheiden. Solange die Bits XOR verschlüsselt werden, folgt aus der Definition, dass der verschlüsselte Text ebenfalls identisch sein könnte.

Beispiel:
Sektor 1: 10010000
Plaintext 1: 00101100

Sektor 2: 10010001
Plaintext 2: 00101101

Chiffrierter Text 1(XOR): 10111100
Chiffrierter Text 2(XOR): 10111100

Da Sektornummer und Chiffriertext bekannt sind, besteht eine hohe Wahrscheinlichkeit, dass aufeinanderfolgende Sektoren mit identischem Chiffriertext mit einem Wasserzeichen markiert sind. Dieses Verfahren gelingt jedoch nur, wenn das Dateisystem nicht stark fragmentierbar ist, so dass Dateien auf nacheinander folgenden Sektoren geschrieben werden (zum Beispiel bei ext2, ext3, ReiserFS - nicht jedoch zwingend bei FAT).

Betroffene Systeme

Fast jedes derzeitige System zur Partitionsverschlüsselung oder Festplattenverschlüsselung (unter Umständen auch Dateiverschlüsselung) kann davon betroffen sein. Dazu gehören unter anderem auch frühere Versionen von dm-crypt, da erst seit dem Ende des Jahres 2004 Initialisierungsvektorhashing mittels des ESSIV Modus unterstützt wird.

Spezifikation