Zitat:
|
Da ich den Klartext mit zufälligen Bytes exklusiv verodere, ist ein völliges Verwischen der Nachricht zuverlässig gegeben.
|
Das ist genau der Punkt. In der Kryptoanalyse muss man auch berücksichtigen, dass diverse Muster erkannt werden, die in jedem "System" herrschen.
Nehmen wir als "System" die Deutsche Sprache. Es gibt gewisse Regeln. Der Vokal "e" folgt fast immer nach einem Konsonanten, nicht nur das, lt. Statistik sogar am häufigsten nach ein paar bestimmten (nur als Beispiel). Es sind immer Muster zu erkennen. Auch in GIF-Files (Header, Palette am Ende des Files, usw.) oder sonstigen Daten. Diese Muster sind bei normalem "verxoren" z.B. linear vorhanden, bei weiterführender Verxorung (wie in Deinem Beispiel) ist der Klartext zwar noch verschleierter geworden, aber die Muster sind nach wie vor enthalten, zwar nicht mehr linear, aber der Geheimtext ist durch Kryptoanalyse zu entschlüsseln.
Ein 256Bit-Schlüssel bietet nicht die gewünschte Sicherheit. Ein Bruteforceangriff kann den Hacker hier ungemein helfen. Der Schlüssel muss so groß wie der Klartext sein. Das ist das Prinzip des Onetimepad. Das Onetimepad-Verfahren ist die einzige Möglichkeit wirklich sicher zweiweg zu verschlüsseln.
Sagen wir mal so: Ein Onetimepad-Algorhythmus ist absolut sicher, da es keine Muster mehr gibt. Man kann keinerlei Rückschlüsse mehr ziehen. Trotzdem gibt es wie immer Hürden die es zu überwinden gilt, damit auch die Anwendung sicher ist. Dass z.B. die Eingabe/Erzeugung von Keys nicht abgehört werden kann, die Sourcecodes nicht mit einem Debugger entsprechend manipuliert werden können um sich einen Vorteil zu verschaffen (evtl. Code mitloggen, usw. bei gecrackten Versionen, usw.). Aber wenn wir rein den Algo bertrachten, ist nichts so sicher wie Onetimepad. XOR ist kein Verschlüsselungsalgorhythmus. Jeden Algo kann man mit XOR anwenden. XOR ist nichts anderes als die Werte zu ändern. Ob ich da jetzt Addition, Subtraktion, Multiplikation, Potenz oder XOR verwende ist völlig egal.
Aber wie gesagt muss man abwägen wie sicher die zu verschlüsselten Daten sein sollen. Wenn da nur die Geburtstage von einem Schachclub verschlüsselt werden sollen, braucht man sich sicher nicht solche Gedanken zu machen als wenn man einen Algorhythmus für die Transaktionen einer Bank entwickelt
