Schlüssel und Komplexität
PINs einer EC-Karte haben ursprünglich vier Stellen. Wenn hierbei die Ziffern von 1 bis 9 erlaubt sind, existieren 9*9*9*9 = 94 = 6561 mögliche PINs. Wenn man davon ausgeht, dass 400 Mio. EU-Bürger solch eine EC-Karte haben, teilen sich somit etwa 61.000 Personen die selbe PIN. Ist das sicher?Darauf gibt es keine einfach Antwort. Zunächst sei zu bemerken, dass die Tatsache, dass mehrere Personen die selbe PIN haben, an sich keine Gefahr bedeutet, denn diese Personen wissen ja dadurch noch nicht, wer sie ebenfalls hat. Allerdings ist das mehrfache Auftreten des selben Schlüssels grundsätzlich ein Hinweis darauf, dass die Komplexität gering ist. Die Komplexität eines Schlüssels ist die Angabe davon, wie viele mögliche Schlüssel in Frage kommen - der sogenannte Schlüsselraum -, und wird gewöhnlich in Bit angegeben - dies ist vereinfacht gesagt eine Angabe davon, wie viele Nullen und Einsen benötigt werden, um einen Schlüssel darzustellen.
Mit Sicherheit hast du schonmal erlebt, dass du dich irgendwo registrieren wolltest, aber dein Passwort nicht anerkannt wurde, da es nicht Großbuchstaben, Kleinbuchstaben und Ziffern enthielt, oder andere Kriterien nicht erfüllt wurden. Wenn der Betreiber des Angebotes besonders viel Wert auf sichere Passwörter gelegt hat, lehnt er vielleicht sogar Wörter ab, die in einem Wörterbuch zu finden sind, oder Namen darstellen.
Aber warum ist das so? Ein Schlüssel (ein Passwort ist eigentlich nur ein Schlüssel, der besonders gut von Menschen gemerkt werden kann) muss, wie bereits angesprochen haben, eine gewisse Komplexität haben. Hat er diese nicht, ist es sehr einfach, diesen durch die Brute-Force-Methode zu ermitteln, indem einfach alle Schlüssel ausprobiert werden. Das Ausprobieren aller Schlüssel ist natürlich immer möglich, aber wenn der Schlüssel zu komplex ist, dauert dies zu lange, um praktikabel zu sein - siehe Sicherheitsargumentation.
Die folgende Tabelle zeigt dir, wie lange es mit einem normalen Laptop für 400 Euro (280.000 Schlüssel je Sekunde) dauert, ein Passwort herauszufinden, je nach Komplexität des Passwortes:
| 5 Kleinbuchstaben | 1 Minute |
| 5 Groß/Kleinbuchstaben | 23 Minuten |
| 7 Groß/Kleinbuchstaben und Ziffern | 5 Monate |
| 9 Groß/Kleinbuchstaben und Ziffern | 1555 Jahre |
| 12 Groß/Kleinbuchstaben und Ziffern | 370 Mio. Jahre |
| Komplexität | Dauer |
|---|
Zuletzt noch etwas zur Berechnung der Komplexität in Bit: Die Komplexität in Bit errechnet sich aus der Anzahl möglicher Kombinationen zum Logarithmus der Basis 2 (da angegeben wird, wie viele Nullen und Einsen - binäre Ziffern erforderlich sind). Die Anzahl möglicher Kombinationen lässt sich häufig durch die Anzahl der möglichen Zeichen mit der Anzahl an existierenden Zeichen (in der Fachsprache die Symbolanzahl und Mächtigkeit des Alphabets) miteinander Potenziert berechnen, wie es oben bei dem Beispiel mit der PIN bereits getan wurde. Hier noch ein Beispiel:
Ein Passwort enthält potentiell acht Groß/Kleinbuchstaben oder Ziffern, es kommen also jeweils 62 Symbole in Frage (26*2 + 10). Wie hoch ist die Komplexität in Bit?
log2(628) = 47,63 bit
Noch zwei Hinweise: Bei der Komplexität in Bit angegeben neigt der Mensch wegen seiner Alltagserfahrungen zu Fehleinschätzungen. Es dauert nicht etwa doppelt so lange, einen Schlüssel mit 96 Bit per Brute-Force-Methode zu finden, wie einen mit 48 Bit, sondern die Differenz in Bit ist die zusätzliche Komplexität, es dauert somit 2(96-48) = 281.474.976.710.656 Mal länger. Jedes Bit verdoppelt die Komplexität.
Ein weiterer Hinweis: Bei vielen Taschenrechnern ist der Logarithmus zur Basis 2 unter der Bezeichnung ld zu finden. Leicht getestet werden kann dies damit, dass 64 als Ergebnis 6 haben sollte. Wenn diese Funktion nicht vorhanden ist, kann die normale log-Taste verwendet werden (dies ist meist der Logarithmus zur Basis 10 oder e, der Euler'schen Zahl), und das Ergebnis durch den Logarithmus der Zahl 2 mit der gleichen Funktion geteilt werden.