In der Geheimschrift ist das ehemalige Polster (OTP) ein Typ der Verschlüsselung, die, wie man bewiesen hat, unmöglich gewesen ist, wenn verwendet, richtig zu krachen. Jedes Bit oder Charakter vom plaintext sind encrypted durch eine Modulhinzufügung mit ein bisschen oder Charakter von einem heimlichen zufälligen Schlüssel (oder Polster) derselben Länge wie der plaintext, auf einen ciphertext hinauslaufend. Wenn der Schlüssel aufrichtig zufällig, so groß ist wie oder größere als der plaintext, der nie im Ganzen oder Teil wiederverwendet ist, und heimlich gehalten hat, wird der ciphertext unmöglich sein, zu entschlüsseln oder zu brechen, ohne den Schlüssel zu wissen. Es ist auch bewiesen worden, dass jede Ziffer mit dem vollkommenen Geheimhaltungseigentum Schlüssel mit effektiv denselben Voraussetzungen wie OTP Schlüssel verwenden muss. Jedoch haben praktische Probleme ehemalige Polster davon abgehalten, weit verwendet zu werden.

Zuerst beschrieben von Frank Miller 1882 wurde das ehemalige Polster 1917 wiedererfunden und hat ein paar Jahre später patentiert. Es wird aus der Ziffer von Vernam, genannt nach Gilbert Vernam, einem seiner Erfinder abgeleitet. Das System von Vernam war eine Ziffer, die eine Nachricht mit einem von einem geschlagenen Band gelesenen Schlüssel verbunden hat. In seiner ursprünglichen Form war das System von Vernam verwundbar, weil das Schlüsselband eine Schleife war, die wiederverwendet wurde, wann auch immer die Schleife einen vollen Zyklus gemacht hat. Ehemaliger Gebrauch ist ein wenig später gekommen, als Joseph Mauborgne anerkannt hat, dass, wenn das Schlüsselband völlig zufällig war, cryptanalysis unmöglich sein würde.

Der "Polster"-Teil des Namens kommt aus frühen Durchführungen, wo das Schlüsselmaterial als ein Polster von Papier verteilt wurde, so konnte die Spitzenplatte leicht abgerissen und nach dem Gebrauch zerstört werden. Für das leichte Verbergen wurde das Polster manchmal auf solch eine kleine Größe reduziert, dass ein starkes Vergrößerungsglas erforderlich war, es zu verwenden. Foto-Show hat KGB-Polster gewonnen, die die Palme von jemandes Hand, oder in einer Walnuss-Schale einfügen. Um Sicherheit zu vergrößern, wurden ehemalige Polster manchmal auf Platten von hoch feuergefährlichem nitrocellulose gedruckt.

Es gibt etwas Zweideutigkeit zum Begriff, weil einige Autoren die Begriffe "Ziffer von Vernam" und "ehemaliges Polster" synonymisch gebrauchen, während andere jede zusätzliche Strom-Ziffer als eine "Ziffer von Vernam", einschließlich derjenigen kennzeichnen, die auf einem kryptografisch sicheren Pseudozufallszahlengenerator (CSPRNG) gestützt sind.

Geschichte der Erfindung

Die Geschichte des ehemaligen Polsters wird durch vielfache unabhängige aber nah zusammenhängende Entdeckungen gekennzeichnet.

Frank Miller 1882 war erst, um das ehemalige Polster-System zu beschreiben, um Telegrafie zu sichern.

Das folgende ehemalige Polster-System war elektrisch. 1917 Gilbert Vernam (AT&T) erfunden und später patentiert 1919 eine Ziffer auf der Fernschreiber-Technologie gestützt. Jeder Charakter in einer Nachricht wurde mit einem Charakter auf einem Lochstreifen-Schlüssel elektrisch verbunden. Joseph Mauborgne (dann ein Kapitän in den Vereinigten Staaten Armee- und später Chef des Signalkorps) hat anerkannt, dass die Charakter-Folge auf dem Schlüsselband völlig zufällig sein konnte, und dass, wenn so, cryptanalysis schwieriger sein würde. Zusammen haben sie das erste ehemalige Band-System erfunden.

Die folgende Entwicklung war das Papierpolster-System. Diplomaten hatten lange Codes und Ziffern für die Vertraulichkeit verwendet und Telegraf-Kosten zu minimieren. Für die Codes wurden Wörter und Ausdrücke zu Gruppen von Zahlen (normalerweise 4 oder 5 Ziffern) das Verwenden eines einem Wörterbuch ähnlichen codebook umgewandelt. Für die zusätzliche Sicherheit konnten heimliche Zahlen mit (gewöhnlich modulare Hinzufügung) jede Codegruppe vor der Übertragung mit den heimlichen Zahlen verbunden werden, die regelmäßig ändern werden (das wurde Superverschlüsselung genannt). Am Anfang der 1920er Jahre, drei deutsche Kryptographen (Werner Kunze, Rudolf Schauffler und Erich Langlotz), die am Brechen solcher Systeme beteiligt wurden, hat begriffen, dass sie nie gebrochen werden konnten, wenn eine getrennte zufällig gewählte zusätzliche Zahl für jede Codegruppe verwendet wurde. Sie hatten mit Linien von Zufallszahl-Gruppen gedruckte Doppelpapierpolster. Jede Seite hatte eine Seriennummer und acht Linien. Jede Linie hatte sechs 5-stellige Zahlen. Eine Seite würde als eine Arbeitsplatte verwendet, um eine Nachricht zu verschlüsseln, und dann zerstört. Die Seriennummer der Seite würde mit der verschlüsselten Nachricht gesandt. Der Empfänger würde das Verfahren umkehren und dann seine Kopie der Seite zerstören. Das deutsche Außenministerium hat dieses System vor 1923 in Betrieb gesetzt.

Ein getrennter Begriff war der Gebrauch eines ehemaligen Polsters von Briefen, um plaintext direkt als im Beispiel unten zu verschlüsseln. Leo Marks beschreibt Erfindung solch eines Systems für den britischen Speziellen Operationsmanager während des Zweiten Weltkriegs, obwohl er zurzeit vermutet hat, dass es bereits in der hoch aufgeteilten Welt der Geheimschrift bezüglich des Beispiels am Bletchley Park bekannt war.

Die Endentdeckung war durch Claude Shannon in den 1940er Jahren, der anerkannt hat und die theoretische Bedeutung des ehemaligen Polster-Systems bewiesen hat. Shannon hat seine Ergebnisse in einem klassifizierten Bericht 1945 geliefert, und hat sie offen 1949 veröffentlicht. Zur gleichen Zeit hatte Vladimir Kotelnikov absolute Sicherheit des ehemaligen Polsters unabhängig bewiesen; seine Ergebnisse wurden 1941 in einem Bericht geliefert, der anscheinend klassifiziert bleibt.

Beispiel

Nehmen Sie Wünsche von Alice an, die Nachricht "HALLO" zu senden, um Sich Auf und ab zu bewegen. Nehmen Sie an, dass zwei Polster von Papier, das identische Zufallsfolgen von Briefen enthält, irgendwie vorher erzeugt wurden und sicher zu beiden herausgekommen haben. Alice wählt die passende unbenutzte Seite aus dem Polster. Die Weise zu tun wird dafür normalerweise im Voraus Vorkehrungen getroffen, bezüglich des Beispiels 'verwenden die 12. Platte am 1. Mai', oder 'verwenden die folgende verfügbare Platte für die folgende Nachricht'. Das Material auf der ausgewählten Platte ist der Schlüssel für diese Nachricht. Jeder Brief vom Polster wird auf eine vorher bestimmte Weise mit einem Brief der Nachricht verbunden. Es ist üblich, aber nicht erforderlich, um jeden Brief ein numerischer Wert zuzuteilen: z.B" " Ist 0, "B" ist 1 und so weiter. In diesem Beispiel soll die Technik den Schlüssel und die Nachricht mit der Modulhinzufügung verbinden. Die numerischen Werte der entsprechenden Nachricht und Schlüsselbriefe werden zusammen, modulo 26 hinzugefügt. Wenn Schlüsselmaterial mit "XMCKL" beginnt und die Nachricht "HALLO" ist, dann würde das Codieren wie folgt getan:

H E L L O Nachricht

7 (H) 4 (E) 11 (L) 11 (L) 14 (O) Nachricht

+ 23 (X) 12 (M) 2 (C) 10 (K) 11 (L) Schlüssel

= 30 16 13 21 25 Nachricht + Schlüssel

= 4 (E) 16 (Q) 13 (N) 21 (V) 25 (Z) Nachricht + Schlüssel (mod 26)

E Q N V Z  ciphertext

Wenn eine Zahl größer ist als 25, dann wird der Rest nach der Subtraktion 26 auf die arithmetische Modulmode genommen. Das bedeutet einfach, dass, wenn Ihre Berechnung "vorbei" Z geht, Sie wieder an A anfangen.

Der ciphertext, der zu senden ist, um Sich Auf und ab zu bewegen, ist so "EQNVZ". Bob verwendet die zusammenpassende Schlüsselseite und denselben Prozess, aber rückwärts, um den plaintext zu erhalten. Hier wird der Schlüssel vom ciphertext wieder mit der Modularithmetik abgezogen:

E Q N V Z ciphertext

4 (E) 16 (Q) 13 (N) 21 (V) 25 (Z) ciphertext

- 23 (X) 12 (M) 2 (C) 10 (K) 11 (L) Schlüssel

=-19 4 11 11 14 ciphertext — Schlüssel

= 7 (H) 4 (E) 11 (L) 11 (L) 14 (O) ciphertext — Schlüssel (mod 26)

H E L L O  Nachricht

Ähnlich dem obengenannten, wenn eine Zahl dann 26 negativ ist, wird hinzugefügt, um die Zahl positiv zu machen.

So erlangt Bob den plaintext von Alice, die Nachricht "HALLO" wieder. Sowohl Alice als auch Bob zerstören die Schlüsselplatte sofort nach dem Gebrauch, so Wiedergebrauch und einen Angriff gegen die Ziffer verhindernd. Der KGB hat häufig seine Reagenzien ehemalige Polster ausgegeben, die auf winzigen Platten von "Blitz-Papier" — Papier chemisch gedruckt sind, das zu nitrocellulose umgewandelt ist, der fast sofort brennt und keine Asche verlässt.

Das klassische ehemalige Polster der Spionage hat wirkliche Polster von winzigem, leicht verborgenem Papier, einem scharfen Bleistift und einem Kopfrechnen verwendet. Die Methode kann jetzt als ein Softwareprogramm, mit Datendateien als Eingang (plaintext), Produktion (ciphertext) und Schlüsselmaterial (die erforderliche Zufallsfolge) durchgeführt werden. Die XOR Operation wird häufig verwendet, um den plaintext und die Schlüsselelemente zu verbinden, und ist auf Computern besonders attraktiv, da es gewöhnlich eine heimische Maschineninstruktion ist und deshalb sehr schnell ist. Jedoch wird das Sicherstellen, dass das Schlüsselmaterial wirklich zufällig ist, nur einmal verwendet, wird nie bekannt der Opposition und wird völlig zerstört, nachdem Gebrauch hart ist zu tun. Die Hilfsteile einer Software ehemalige Polster-Durchführung präsentieren echte Herausforderungen: sicheres Berühren/Übertragung von plaintext, aufrichtig zufälligen Schlüsseln und einmaligem Gebrauch des Schlüssels.

Versuch von cryptanalysis

Um das Beispiel von oben fortzusetzen, nehmen Sie an, dass Eve den ciphertext von Alice abfängt: "EQNVZ". Wenn Eve unendliche Rechenmacht hätte, würde sie schnell finden, dass der Schlüssel "XMCKL" den plaintext "HALLO" erzeugen würde, aber sie würde auch finden, dass der Schlüssel "TQURI" den plaintext "SPÄTER", eine ebenso plausible Nachricht erzeugen würde:

4 (E) 16 (Q) 13 (N) 21 (V) 25 (Z) ciphertext

 19 (T) 16 (Q) 20 (U) 17 (R) 8 (I) möglicher Schlüssel

= 15 0 7 4 17 Ciphertext-Schlüssel

= 11 (L) 0 (A) 19 (T) 4 (E) 17 (R) Ciphertext-Schlüssel (mod 26)

Tatsächlich ist es möglich, aus dem ciphertext jede Nachricht überhaupt mit derselben Zahl von Charakteren, einfach durch das Verwenden eines verschiedenen Schlüssels "zu entschlüsseln", und es gibt keine Information im ciphertext, der Eve erlauben wird, unter den verschiedenen möglichen Lesungen des ciphertext zu wählen.

Vollkommene Geheimhaltung

Ehemalige Polster sind "Information theoretisch sicher" darin die encrypted Nachricht (d. h., der ciphertext) gibt keine Auskunft über die ursprüngliche Nachricht an einen cryptanalyst (außer der maximalen möglichen Länge der Nachricht). Das ist ein sehr starker Begriff der Sicherheit, die zuerst während WWII durch Claude Shannon entwickelt ist, und hat sich mathematisch erwiesen, auf das ehemalige Polster durch Shannon über dieselbe Zeit zuzutreffen. Sein Ergebnis wurde in der Glockenlaboratorium-Fachzeitschrift 1949 veröffentlicht. Richtig verwendete ehemalige Polster sind in diesem Sinn sogar gegen Gegner mit der unendlichen rechenbetonten Macht sicher.

Claude Shannon hat sich mit Informationstheorie-Rücksichten erwiesen, dass das ehemalige Polster ein Eigentum hat, hat er vollkommene Geheimhaltung genannt; d. h. der ciphertext C gibt gar keine Zusatzinformation über den plaintext. Das ist, weil in Anbetracht eines aufrichtig zufälligen Schlüssels, der nur einmal verwendet wird, ein ciphertext in jeden plaintext derselben Länge übersetzt werden kann, und alle ebenso wahrscheinlich sind. So ist die a priori Wahrscheinlichkeit einer plaintext Nachricht M dasselbe als a posteriori Wahrscheinlichkeit einer plaintext Nachricht M gegeben der entsprechende ciphertext. Mathematisch wird das als ausgedrückt, wo das Wärmegewicht des plaintext ist und das bedingte Wärmegewicht des plaintext gegeben der ciphertext C ist. Vollkommene Geheimhaltung ist ein starker Begriff der cryptanalytic Schwierigkeit.

Herkömmliche symmetrische Verschlüsselungsalgorithmen verwenden komplizierte Muster des Ersatzes und der Umstellungen. Für den besten von diesen zurzeit im Gebrauch ist es nicht bekannt, ob es ein cryptanalytic Verfahren geben kann, das umkehren (oder nützlich teilweise umkehren kann) diese Transformationen, ohne den während der Verschlüsselung verwendeten Schlüssel zu wissen. Asymmetrische Verschlüsselungsalgorithmen hängen von mathematischen Problemen ab, die, wie man denkt, schwierig sind, wie ganze Zahl factorization und getrennte Logarithmen zu lösen. Jedoch gibt es keinen Beweis, dass diese Probleme hart sind und ein mathematischer Durchbruch vorhandene Systeme verwundbar für den Angriff machen konnte.

Probleme

Trotz des Beweises von Shannon seiner Sicherheit hat das ehemalige Polster ernste Nachteile in der Praxis:

• es verlangt vollkommen zufällige ehemalige Polster, der eine nichttriviale Softwarevoraussetzung ist
• sichere Generation und Austausch des ehemaligen Polster-Materials, das mindestens so lange die Nachricht sein muss. (Die Sicherheit des ehemaligen Polsters ist nur so sicher wie die Sicherheit des ehemaligen Polster-Schlüsselaustausches).
• sorgfältige Behandlung, um sicherzustellen, dass es fortsetzt, heimlich von jedem Gegner zu bleiben, und das richtige Verhindern jedes Wiedergebrauchs im Ganzen oder Teil — folglich "eine Zeit" verfügt wird. Sieh Datenremanenz für eine Diskussion von Schwierigkeiten im abgeschlossenen Auslöschen von Computermedien.

Die theoretische vollkommene Sicherheit des eines maligen Polsters gilt nur in einer theoretisch vollkommenen Einstellung; keine wirkliche Durchführung jedes cryptosystem kann vollkommene Sicherheit zur Verfügung stellen, weil praktische Rücksichten potenzielle Verwundbarkeit einführen. Diese praktischen Rücksichten der Sicherheit und Bequemlichkeit haben bedeutet, dass das ein malige Polster in der Praxis wenig verwendet wird. Durchführungsschwierigkeiten haben zu ehemaligen Polster-Systemen geführt, die brechen werden und sind so ernst, dass sie das ehemalige Polster davon abgehalten haben, als ein weit verbreitetes Werkzeug in der Informationssicherheit angenommen zu werden.

Ehemalige Polster beheben wenige aktuelle praktische Probleme in der Geheimschrift. Hohe Qualitätsziffern sind weit verfügbar, und ihre Sicherheit wird als keine Hauptsorge zurzeit betrachtet. Solche Ziffern sind fast immer leichter zu verwenden als ehemalige Polster; der Betrag des Schlüsselmaterials, das richtig erzeugt und sicher verteilt werden muss, ist viel kleiner, und öffentliche Schlüsselgeheimschrift überwindet dieses Problem.

Schlüsselvertrieb

Weil das Polster passiert und sicher behalten werden muss, und das Polster mindestens so lange die Nachricht sein muss, gibt es häufig nichts im Verwenden ehemaligen Polsterns, weil Sie einfach den Klartext statt des Polsters senden können (weil sowohl dieselbe Größe sein als auch haben kann, um sicher gesandt zu werden). Jedoch, sobald ein sehr langes Polster (z.B, eine Computerplatte sicher gesandt worden ist, die mit zufälligen Daten voll ist), kann es für zahlreiche zukünftige Nachrichten verwendet werden, bis die Summe ihrer Größen der Größe des Polsters gleichkommt.

Das Verteilen sehr langer ehemaliger Polster-Schlüssel ist ungünstig und stellt gewöhnlich ein bedeutendes Sicherheitsrisiko auf. Das Polster ist im Wesentlichen der Verschlüsselungsschlüssel, aber verschieden von Schlüsseln für moderne Ziffern muss es äußerst lang sein und ist für Menschen viel zu schwierig sich zu erinnern. Speichermedien wie Daumen fahren, DVD-Rs oder persönliche Digitalaudiospieler können verwendet werden, um ein sehr großes ein maliges Polster von Ort zu Ort auf eine nichtmisstrauische Weise zu tragen, aber trotzdem ist das Bedürfnis, das Polster zu transportieren, physisch eine Last im Vergleich zu den Schlüsselverhandlungsprotokollen eines modernen öffentlichen Schlüssels cryptosystem, und solche Medien können sicher vielleicht knapp an der physischen Zerstörung (z.B, Einäscherung) nicht zuverlässig gelöscht werden. Eine mit Ein-Maliges-Polsterdaten volle 4.7-GB-DVD-R, wenn shredded in Partikeln 1 Mm ² in der Größe, verlässt mehr als 100 kibibits (zugegebenermaßen hart, um zu genesen, aber nicht unmöglich so) Daten auf jeder Partikel. Außerdem ist die Gefahr des Kompromisses während der Durchfahrt (zum Beispiel, ein Taschendieb, der dreinschlägt, kopierend und das Polster ersetzend), wahrscheinlich in der Praxis viel größer als die Wahrscheinlichkeit des Kompromisses für eine Ziffer wie AES. Schließlich musste die Anstrengung ehemalige Polster-Schlüsselmaterial-Skalen sehr schlecht für große Netze von Kommunikanten führen — die Zahl von erforderlichen Polstern steigt als das Quadrat der Zahl von Benutzern, die frei Nachrichten austauschen. Für die Kommunikation zwischen nur zwei Personen oder eine Sternnetzwerkarchitektur ist das weniger von einem Problem.

Über das Schlüsselmaterial muss sicher verfügt werden nach dem Gebrauch, um das Schlüsselmaterial zu sichern, wird nie wiederverwendet und die gesandten Nachrichten zu schützen. Weil das Schlüsselmaterial von einem Endpunkt bis einen anderen transportiert werden und andauern muss, bis die Nachricht gesandt oder erhalten wird, kann es für die forensische Wiederherstellung verwundbarer sein als der vergängliche plaintext, den es schützt (sieh Datenremanenz).

Beglaubigung

Wie traditionell verwendet, stellen ehemalige Polster keine Nachrichtenbeglaubigung zur Verfügung, deren Mangel eine Sicherheitsbedrohung in wirklichen Systemen darstellen kann. Der aufrichtige XORing mit dem keystream oder der Gebrauch jeder Invertible-Funktion, die dem Angreifer, wie mod 26 Hinzufügung bekannt ist, schafft eine potenzielle Verwundbarkeit in der Nachrichtenintegrität. Zum Beispiel entspricht ein Angreifer, der weiß, dass die Nachricht enthält, "jane und mich Morgen an drei dreißig Premierminister" an einem besonderen Punkt kann diesen Inhalt durch jeden anderen Inhalt genau derselben Länge, solcher wie "drei ersetzen dreißig Sitzung wird annulliert, bleiben Sie", zu Hause, ohne Zugang zum ehemaligen Polster, einem Eigentum aller als Geschmeidigkeit bekannten Strom-Ziffern zu haben. Siehe auch Strom-Ziffer-Angriff. Standardtechniken, um das wie der Gebrauch eines Nachrichtenbeglaubigungscodes zu verhindern, können zusammen mit einem ehemaligen Polster-System verwendet werden, um solche Angriffe zu verhindern, wie klassische Methoden wie Polstern der variablen Länge und russische Verbindung kann, aber sie alle haben an der vollkommenen Sicherheit Mangel, die der OTP selbst hat. Universaler hashing stellt eine Weise zur Verfügung, Nachrichten bis zu einer willkürlichen gebundenen Sicherheit zu beglaubigen (d. h. für jeden p> 0, ein genug großes Kuddelmuddel stellt sicher, dass sogar eine Wahrscheinlichkeit eines rechenbetont unbegrenzten Angreifers der erfolgreichen Fälschung weniger ist als p), aber das verwendet zusätzliche zufällige Daten vom Polster, und entfernt die Möglichkeit, das System ohne einen Computer durchzuführen.

Wahre Zufälligkeit

Qualitätszufallszahlen sind schwierig zu erzeugen. Die Zufallszahl-Generationsfunktionen in den meisten Programmiersprache-Bibliotheken sind für den kryptografischen Gebrauch nicht passend. Sogar jene Generatoren, die für den normalen kryptografischen Gebrauch, einschließlich/dev/random und vieler Hardware-Zufallszahlengeneratoren passend sind, machen etwas Gebrauch von kryptografischen Funktionen, deren Sicherheit unbewiesen ist.

Insbesondere ehemaliger Gebrauch ist absolut notwendig. Wenn ein ehemaliges Polster gerade zweimal verwendet wird, können einfache mathematische Operationen es auf eine laufende Schlüsselziffer reduzieren. Wenn beide plaintexts sind in einer natürlichen Sprache (z.B Englisch oder Russisch oder Irisch) dann, wenn auch beide heimlich sind, jeder eine sehr hohe Chance erträgt, durch heuristischen cryptanalysis mit vielleicht einigen Zweideutigkeiten wieder erlangt zu werden. Natürlich kann die längere Nachricht nur für den Teil gebrochen werden, der auf die kürzere Nachricht, plus vielleicht etwas mehr durch die Vollendung eines Wortes oder Ausdrucks übergreift. Die berühmteste Großtat dieser Verwundbarkeit ist das VENONA-Projekt.

Gebrauch

Anwendbarkeit

Trotz seiner Probleme behält das ein malige Polster etwas praktisches Interesse. In einigen hypothetischen Spionage-Situationen könnte das ehemalige Polster nützlich sein, weil es mit der Hand mit nur dem Bleistift und Papier geschätzt werden kann. Tatsächlich sind fast alle anderen hohen Qualitätsziffern ohne Computer völlig unpraktisch. Spione können ihre Polster persönlich von ihren "Dressierern" erhalten. In der modernen Welt, jedoch, sind Computer (wie diejenigen, die in persönlichen elektronischen Geräten wie Mobiltelefone eingebettet sind), so allgegenwärtig, dass das Besitzen eines Computers, der passend ist, um herkömmliche Verschlüsselung (zum Beispiel, ein Telefon durchzuführen, das verborgene kryptografische Software führen kann), gewöhnlich Verdacht nicht anziehen wird.

• Das ein malige Polster ist der einzige cryptosystem mit der theoretisch vollkommenen Geheimhaltung.
• Das ein malige Polster ist eine der praktischsten Methoden der Verschlüsselung, wo eine oder beide Parteien die ganze Arbeit mit der Hand ohne die Hilfe eines Computers tun müssen. Das hat es wichtig im Vorcomputerzeitalter gemacht, und es konnte denkbar noch in Situationen nützlich sein, wo der Besitz eines Computers ungesetzlich oder belastend ist, oder wo vertrauenswürdige Computer nicht verfügbar sind.
• Ehemalige Polster sind in Situationen praktisch, wo zwei Parteien in einer sicheren Umgebung im Stande sein müssen, von einander abzuweichen und von zwei getrennten sicheren Umgebungen mit der vollkommenen Geheimhaltung zu kommunizieren.
• Das ein malige Polster kann in der Superverschlüsselung verwendet werden
• Der mit dem Quant-Schlüsselvertrieb meistens vereinigte Algorithmus ist das ehemalige Polster.
• Das ehemalige Polster wird durch Strom-Ziffern nachgeahmt.
• Das ehemalige Polster kann ein Teil einer Einführung in die Geheimschrift sein.

Historischer Gebrauch

Ehemalige Polster sind in speziellen Verhältnissen seit dem Anfang der 1900er Jahre verwendet worden. Der Weimarer Diplomatische Republik-Dienst hat begonnen, die Methode ungefähr 1920 zu verwenden. Das Brechen der schlechten sowjetischen Geheimschrift durch die Briten, mit Nachrichten, die aus politischen Gründen in zwei Beispielen in den 1920er Jahren bekannt gegeben sind, scheint, die UdSSR veranlasst zu haben, ehemalige Polster zu einigen Zwecken ungefähr vor 1930 anzunehmen. Wie man auch bekannt, haben KGB Spione Bleistift und Papier ehemalige Polster mehr kürzlich verwendet. Beispiele schließen Obersten Rudolf Abel ein, der angehalten und in New York City in den 1950er Jahren und 'Krogers' verurteilt wurde (d. h., Morris und Lona Cohen), die angehalten und wegen der Spionage im Vereinigten Königreich am Anfang der 1960er Jahre verurteilt wurden. Beide wurden mit physischen ehemaligen Polstern in ihrem Besitz gefunden.

Mehrere Nationen haben ehemalige Polster-Systeme für ihren empfindlichen Verkehr verwendet. Leo Marks berichtet, dass der britische Spezielle Operationsmanager ehemalige Polster im Zweiten Weltkrieg verwendet hat, um Verkehr zwischen seinen Büros zu verschlüsseln. Ehemalige Polster für den Gebrauch mit seinen überseeischen Agenten wurden spät im Krieg eingeführt. Andere ehemalige Band-Chiffriermaschinen schließen die britischen Maschinen Rockex und Noreen ein.

Der Stimmenzerhacker des Zweiten Weltkriegs SIGSALY war auch eine Form des ehemaligen Systems. Es hat Geräusch zum Signal an einem Ende hinzugefügt und hat es am anderen Ende entfernt. Das Geräusch wurde zu den Kanalenden in der Form von großen Schellack-Aufzeichnungen verteilt, die in einzigartigen Paaren verfertigt wurden. Dort fingen Synchronisation und längerfristige Phase-Antrieb-Probleme sowohl an, die entstanden sind und gelöst wurden, bevor das System verwendet werden konnte.

Der NSA beschreibt ehemalige Band-Systeme wie SIGTOT und 5-UCO, als für den Nachrichtendienstverkehr verwendet werden, bis die Einführung der elektronischen Ziffer KILOWATT 26 1957 gestützt hat.

Der heiße Draht zwischen Moskau und Washington D.C., gegründet 1963 nach der kubanischen Raketenkrise, hat durch ein kommerzielles ehemaliges Band-System geschützte Fernschreiber verwendet. Jedes Land hat sich vorbereitet die Texteingabe-Bänder haben gepflegt, seine Nachrichten zu verschlüsseln, und haben ihnen über ihre Botschaft im anderen Land geliefert. Ein einzigartiger Vorteil des OTP bestand in diesem Fall darin, dass kein Land empfindlichere Verschlüsselungsmethoden dem anderen offenbaren musste.

Während der 1983-Invasion Grenadas haben amerikanische Kräfte eine Versorgung von Paaren von ehemaligen Polster-Büchern in einem kubanischen Lager gefunden.

Der BATCO taktische Nachrichtencode der britischen Armee ist ein Bleistift-Und-Papiersystem des eines maligen Polsters. Schlüsselmaterial wird auf Papierplatten zur Verfügung gestellt, die in einer speziellen Plastikbrieftasche mit einem gleitenden Zeigestock behalten werden, der den letzten verwendeten Schlüssel anzeigt. Neue Platten werden täglich zur Verfügung gestellt (obwohl eine kleine Reihe von "Lehr-BATCO" gewöhnlich auf der Übung wiederverwandt wird), und die alten zerstörten. BATCO wird in Schlachtfeld-Stimmennetzen verwendet; die empfindlichsten Teile einer Nachricht (normalerweise Bratrost-Verweisungen) werden verschlüsselt, und der ciphertext wird Brief brieflich vorgelesen.

Ein zusammenhängender Begriff ist der ehemalige Code — ein Signal, verwendet nur einmal, z.B hat "das Alpha" für die "Mission vollendet" und "Bravo" für die "Mission gescheitert" kann in keiner angemessenen Bedeutung des Wortes "entschlüsselt" werden. Das Verstehen der Nachricht wird Zusatzinformation, häufig 'Tiefe' der Wiederholung oder etwas Verkehrsanalyse verlangen. Jedoch sind solche Strategien (obwohl häufig verwendet, durch echten operatives und Baseball-Trainer) nicht ein kryptografisches ehemaliges Polster in jedem bedeutenden Sinn.

Großtaten

Während ehemalige Polster vollkommene Geheimhaltung, wenn erzeugt und verwendet richtig zur Verfügung stellen, können kleine Fehler zu erfolgreichem cryptanalysis führen:

• In 1944-1945 ist der Signalgeheimdienst der amerikanischen Armee im Stande gewesen, ein ehemaliges Polster-System zu lösen, das vom deutschen Außenministerium für seinen Verkehr auf höchster Ebene, codenamed ALLE ACHTUNG (Erskine, 2001) verwendet ist. ALLE ACHTUNG war unsicher, weil die Polster nicht völlig zufällig waren — hat die Maschine gepflegt, erzeugte voraussagbare Produktion der Polster zu erzeugen.
• 1945 haben die Vereinigten Staaten entdeckt, dass Canberra-Moskauer Nachrichten encrypted zuerst mit einem Codebuch und dann mit einem ehemaligen Polster waren. Jedoch war das ehemalige verwendete Polster dasselbe ein verwendeter durch Moskau für Washington, Nachrichten von Gleichstrom-Moskau. Verbunden mit der Tatsache, dass einige der Canberras-Moskauer Nachrichten bekannte britische Regierungsdokumente eingeschlossen haben, hat das einigen der encrypted Nachrichten erlaubt, gebrochen zu werden.
• Ehemalige Polster wurden von sowjetischen Spionage-Agenturen für versteckte Kommunikationen mit Agenten und Reagenz-Kontrolleuren verwendet. Analyse hat gezeigt, dass diese Polster von Maschinenschreibern erzeugt wurden, die wirkliche Schreibmaschinen verwenden. Diese Methode ist natürlich nicht "aufrichtig" zufällig, weil sie bestimmte günstige Tastenfolgen macht wahrscheinlicher als andere, noch hat es sich erwiesen, allgemein wirksam zu sein. Ohne Kopien des verwendeten Schlüsselmaterials hat nur etwas Defekt in der Generationsmethode oder dem Wiedergebrauch von Schlüsseln viel Hoffnung auf cryptanalysis angeboten. Gegen Ende der 1940er Jahre, der Vereinigten Staaten und Vereinigten Königreichs beginnend. Geheimdienste sind im Stande gewesen, etwas vom sowjetischen ehemaligen Polster-Verkehr nach Moskau während WWII infolge Fehler zu brechen, die im Erzeugen und Verteilen des Schlüsselmaterials gemacht sind. Ein Vorschlag ist, dass Moskauer Zentrum-Personal durch die Anwesenheit deutscher Truppen gerade außerhalb Moskaus gegen Ende 1941 und Anfang 1942 etwas getrieben wurde, und sie mehr als eine Kopie desselben Schlüsselmaterials während dieser Periode erzeugt haben. Diese Jahrzehnt-lange Anstrengung war schließlich codenamed VENONA (BRAUT war ein früherer Name gewesen); es hat einen beträchtlichen Betrag der Information, einschließlich mehr als etwas über einige der sowjetischen Atom-Spione erzeugt. Trotzdem, nur ein kleine Prozentsatz der abgefangenen Nachrichten wurden entweder (einiger tausend aus mehrerer hunderttausend) völlig oder teilweise entschlüsselt.

Wahre Zufälligkeitsvoraussetzungen

Im Besprechen des ehemaligen Polsters müssen zwei Begriffe der Sicherheit verschieden behalten werden. Das erste ist die vollkommene Geheimhaltung des ehemaligen Polster-Systems, wie bewiesen, durch Shannon (Sicherheit von Shannon). Das zweite ist die durch die modernsten Ziffern angebotene Sicherheit (z.B. AES) hat mit Grundsätzen entwickelt, die in der langen Geschichte vom Codebrechen erfahren sind und der umfassenden Prüfung in einem Standardisierungsprozess, entweder öffentlich oder durch einen Spitzenkerbe-Sicherheitsdienst (empirische Sicherheit) unterworfen sind. Der erstere, wird Thema der praktischen Verfügbarkeit von Zufallszahlen mathematisch bewiesen. Der Letztere ist unbewiesen, aber durch die meisten Regierungen darauf gebaut, um ihre lebenswichtigsten Geheimnisse (insofern als öffentlich bekannt so weit) zu schützen.

Methoden, die praktische Sicherheit anbieten können, aber Sicherheit von Shannon nicht haben

Wenn das Schlüsselmaterial durch ein deterministisches Programm erzeugt wird, dann ist es nicht zufällig, und das Verschlüsselungssystem hat nicht mehr vollkommene Geheimhaltung. Solch ein System wird eine Strom-Ziffer genannt. Diese verwenden allgemein einen kurzen Schlüssel, der verwendet wird, um einen langen pseudozufälligen Strom zu entsamen, der dann mit der Nachricht mit einem solchem Mechanismus wie diejenigen verbunden wird, die in ehemaligen Polstern (z.B, XOR) verwendet sind. Strom-Ziffern können in der Praxis sicher sein, aber sie können vollkommene Geheimhaltung wie das ehemalige Polster nicht erreichen tut.

Die Fischziffern, die vom deutschen Militär in WWII verwendet sind, haben sich erwiesen, unsichere Strom-Ziffern, nicht praktische automatisierte ehemalige Polster zu sein, wie ihre Entwerfer beabsichtigt hatten. Der Bletchley Park hat einen von ihnen, der Chiffriermaschine von Lorenz regelmäßig gebrochen.

Jedoch, wenn ein moderner so genannter kryptografisch sicherer pseudozufälliger Zahlengenerator verwendet wird, kann er die Basis für eine empirisch sichere Strom-Ziffer bilden. Es gibt viele gut untersuchte Designs im öffentlichen Gebiet, im Intervall vom einfachen (aber kryptografisch unvollständig) RC4, um Ziffern wie in der Gegenweise verwendeter AES zu blockieren.

Methoden, die weder praktische Sicherheit noch Sicherheit von Shannon anbieten

Die Ähnlichkeit zwischen Strom-Ziffern und ehemaligen Polstern bringt häufig kryptografisch unvorsichtig dazu, unsichere Strom-Ziffern unter dem falschen Eindruck zu erfinden, dass sie eine praktische Version des ehemaligen Polsters entwickelt haben. Eine besonders unsichere Annäherung soll einigen der Zufallszahlengeneratoren verwenden, die in vielen (vielleicht die meisten) Computerprogrammiersprache-Laufzeitunterstützungspakete verteilt werden, oder wie Betriebssystemsystem ruft. Diese erzeugen normalerweise Folgen, die einigen (oder sogar viele) statistische Tests bestehen, aber dennoch durch cryptoanalytic Techniken zerbrechlich sind. Für einige Zeit hat der ANSI C Standard die Zufallszahl-Routine-Produktion der c Sprache auf eine ganze Zahl der einfachen Präzision für die meisten Durchführungen eingeschränkt, die 16 Bit sein würden, höchstens 32768 verschiedene Werte vor dem Wiederholen gebend (das Annehmen eines zyklischen Algorithmus, wie üblich, aber nicht obligatorisch ist). Das ist völlig unsicher und ist durch den erschöpfenden Test leicht zerbrechlich (für die Perspektive, ein 1 GHz Computer, der 10,000 Uhr-Zyklen bringt, um zu überprüfen, ein Ausgleich innerhalb des Zyklus des RNG würde weniger als ein Drittel einer Sekunde nehmen, um jeden möglichen Ausgleich zu überprüfen). Standardcomputerzufallszahlengeneratoren sind zu kryptografischen Zwecken spezifisch einschließlich des ehemaligen Polsters nicht passend. Insbesondere der relativ kürzlich entwickelte und weit bewunderte Dreher-Algorithmus von Mersenne, während "genug zufällig", für den grössten Teil des Forschungs- oder Simulierungsgebrauches, besser als fast jeder andere solcher Generator, und ziemlich schnell ebenso, sollte nicht verwendet werden, um ehemaliges Polster-Schlüsselmaterial zu erzeugen. Der Algorithmus ist deterministisch und wurde für die kryptografische Sicherheit nicht entworfen. Einige Programme verwenden einen benutzergelieferten Schlüssel, die Produktion eines pseudozufälligen Zahlengenerators in einem Weg einzigartig zu streuen, der Kenntnisse des Schlüssels und irgendwelcher verwendeten Initialisierungsvektoren verlangt, um die Endproduktion vorauszusagen.

Tatsächlich sogar aufrichtig können Zufallsfolgen, die veröffentlicht worden sind, nicht verwendet werden, weil sie jetzt, wenn identifiziert, voraussagbar sind. Ein Beispiel ist die Veröffentlichung der 1950er Jahre von RAND Corporation von einer Million zufälligen Ziffern; es hat jeden statistischen Test für die Zufälligkeit so weit bestanden und wird gedacht, wirklich zufällig zu sein. Aber, veröffentlicht worden zu sein, ist es völlig voraussagbar. So sind die Ziffern des Pis, e, phi, und anderen irrationalen oder transzendenten Zahlen; die Folgen können statistisch zufällig sein, aber sind dennoch völlig voraussagbar.

Das Erzielen der Sicherheit von Shannon

Um Sicherheit von Shannon zu erreichen, ist eine Quelle von vollkommen unvorhersehbaren zufälligen Daten erforderlich.

Normalerweise werden diese zufälligen Bit durch einen Hardware-Zufallszahlengenerator erzeugt.

Eine theoretische Basis für die physische Existenz der Unvorhersehbarkeit ist Quant-Mechanik. Seine Behauptungen der Unvorhersehbarkeit sind dem experimentellen Test unterworfen. Sieh: Glockentestexperimente. Eine andere Basis ist die Theorie von nicht stabilen dynamischen Systemen und Verwirrungstheorie. Diese Theorien weisen darauf hin, dass sogar in der deterministischen Welt der Newtonischen Mechanik sich wirkliche Systeme auf Weisen entwickeln, die in der Praxis nicht vorausgesagt werden können, weil man die anfänglichen Bedingungen zu einer Genauigkeit würde wissen müssen, die exponential mit der Zeit wächst.

Für den Gebrauch in einem ehemaligen Polster sollten Daten vollkommene Zufälligkeit ausstellen. Praktischste Quellen stellen etwas Schönheitsfehler oder Neigung aus. Die Qualität der Zufälligkeit wird durch das Wärmegewicht gemessen. Ein vollkommen zufälliges Bit hat ein Wärmegewicht von einem Bit. Eine Idee wegen Von Neumanns soll einen Algorithmus verwenden, um vielfache, unvollständig zufällige Bit, jeden mit dem Wärmegewicht weniger als ein zu verbinden, um ein einzelnes Bit mit dem einem gleichen Wärmegewicht zu schaffen. Dieser Prozess wird Wärmegewicht-Destillation oder Wärmegewicht-Förderung genannt. Von Neumann hat die folgende Methode, genannt "Von Neumann vorgeschlagen, der weiß wird":

Das wird gleichförmig zufällige Produktionsbit erzeugen, wenn die Eingangsbit statistisch unabhängig sind und alle, die von demselben Vertrieb gezogen sind. Jedoch ist das nicht eine realistische Annahme, da die meisten physischen Zufälligkeitsquellen etwas Korrelation in der Produktion haben können, und sich der Vertrieb mit der Gerät-Temperatur usw. ändern kann. 2003 haben Boaz Barak, Ronen Shaltiel und Eran Tromer einige angemessene Sicherheitskriterien für die Wärmegewicht-Destillation festgesetzt und haben einen Algorithmus gebaut, um sie zu tun.

In vielen Unix ähnlichen Systemen verwendet der Zufallszahlengenerator des Kerns,/dev/random, Umweltgeräusch, um zufällige Daten zu erzeugen, und ist besser als viele solche Systemanruf-Designs. Es versucht, den Betrag des Wärmegewichtes zu schätzen, das es sammelt und blockiert, wenn die Wärmegewicht-Lache erschöpft wird. Es ist beabsichtigt, um zu sein und wird weit gedacht, wirklich besser zu sein, als die meisten solche Generatoren, und wenn so an hinreichend zufälligem eher näher ist. Aber dieser Prozess wird auf Systemen langsam sein, die wenige verwendbare Geräuschquellen haben. Es kann jedoch zusätzliches Wärmegewicht durch das Lesen von einem beigefügten Geräuscherzeugen-Gerät gefüttert werden.

Viele Unix ähnliche Systeme stellen auch/dev/urandom zur Verfügung, der einen deterministischen Algorithmus verwendet, um die Daten zu erzeugen, wann auch immer Umweltgeräusch nicht verfügbar ist. Verbesserte Designs, wie der Schafgarbe-Algorithmus, sind verfügbar. Ehemaliges Polster-Schlüsselmaterial erzeugt auf diese Weise (d. h., von deterministischen Zufallszahlengeneratoren) hat an der mit der Information theoretischen Sicherheit eines ehemaligen Polsters Mangel. Schafgarbe bietet mindestens so viel Kraft an wie eine auf dreifachem DES gestützte Block-Ziffer.

Wenn ein für die ehemalige Polster-Generation verwendeter Computer, durch ein Computervirus oder anderen malware oder von einem Gegner in Verlegenheit gebracht wird, der physischen Zugang gewinnt, kann die Software modifiziert werden, um die Polster-Daten durchzulassen oder anscheinend zufällige Daten zu erzeugen, der tatsächlich voraussagbar ist. Sieh Zufallszahlengenerator-Angriff. Eine Weise, diese Gefahr zu reduzieren, ist, Polster auf einer Maschine zu erzeugen, die mit jedem Computernetz nie verbunden und vorzugsweise zu jedem anderen Zweck nicht verwendet wird. Das Sammeln des Schlüsselmaterials auf neuen, leeren Medien (z.B Disketten oder CD-Rs) beseitigt einen anderen Weg für malware Infektion. Wenn Papierpolster erzeugt werden sollen, wird der Drucker am besten ebenso gewidmet. Eine Annäherung könnte sein, einen älteren Laptop für die OTP Generation zu verwenden, die gereinigt und mit einer frischen, nachweisbaren Kopie einer offenen Quelle Betriebssystem, wie Linux oder BSD wieder aufgebaut ist. Die kleinere Größe würde ihm erlauben, in einem Safe wenn nicht im Gebrauch leicht abgeschlossen zu werden.

Das Bilden ehemaliger Polster mit der Hand

Ehemalige Polster wurden ohne den Gebrauch eines Computers ursprünglich gemacht, und das ist noch heute möglich. Der Prozess kann langweilig sein, aber wenn getan, richtig und das Polster hat nur einmal verwendet, das Ergebnis ist unzerbrechlich.

Es gibt zwei Bestandteile musste ein ehemaliges Polster machen: Eine Weise, Briefe aufs Geratewohl und eine Weise zu erzeugen, zwei Kopien des Ergebnisses zu registrieren. Die traditionelle Weise, die Letzteren zu tun, war, ein Schreibmaschinenpapier und Kohlepapier zu verwenden. Das Kohlepapier und Schreibmaschine-Zierband würden dann zerstört, da es für die Polster-Daten möglich sein kann, von ihnen wieder erlangt zu werden. Da Schreibmaschinen knapp geworden sind, ist es auch annehmbar zu reichen schreiben die Briefe ordentlich in Gruppen fünf auf zwei Teil carbonless Kopierpapier-Platten, die an Bürobedarf-Läden gekauft werden können. Jede Platte sollte eine Seriennummer oder eine andere einzigartige Markierung gegeben werden.

Die einfachste Weise, zufällige Briefe zu erzeugen, ist, 26 identische Gegenstände mit jedem auf einem Gegenstand gekennzeichneten Buchstaben vom Alphabet zu erhalten. Ziegel vom Spiel Kratzen kann verwendet werden (als lange, weil nur ein jedes Briefs ausgewählt wird). Bastelsätze, um Namencharme-Armbänder zu machen, sind eine andere Möglichkeit. Man kann auch die Briefe auf 26 sonst identischen Münzen mit einem Markierungskugelschreiber schreiben. Die Gegenstände werden in einen Kasten oder Tasse gelegt und kräftig geschüttelt, dann wird ein Gegenstand zurückgezogen, und sein Brief wird registriert. Der Gegenstand wird in den Kasten zurückgegeben, und der Prozess wird wiederholt.

Eine andere Weise, Zeitpolster zu machen, soll Würfel verwenden. Sie können Zufallszahl-Gruppen erzeugen, indem Sie 4 oder 5 zehnseitige Würfel auf einmal rollen und die Zahlen für jede Rolle registrieren. Diese Methode wird zufällige Codegruppen viel schneller erzeugen, als das Verwenden Ziegel Scharrt. Die resultierenden numerischen Zeitpolster sind an encrypt eine plaintext Nachricht gewöhnt, die in numerische Werte mit einer rittlings sitzenden Damebrett-Verwenden-Nichttragen-Hinzufügung umgewandelt ist. Sie können dann entweder die numerischen Gruppen übersenden, wie ist, oder verwenden Sie das rittlings sitzende Damebrett, um die Zahlen zurück in Briefe umzuwandeln und dieses Ergebnis zu übersenden. Regelmäßige sechsseitige Würfel sollten nicht verwendet werden.

Siehe auch

• Hardware-Zufallszahlengenerator
• Information theoretische Sicherheit
• Unterschrift von Lamport
• Zahl-Station
• Ehemaliges Kennwort
• Sitzungsschlüssel
• SQR codiert
• Steganography
• Entfernung von Unicity

Zeichen

• Erskine, Ralph, "die Sicherheit des Mysteriums: Was die Deutschen Wirklich", in der "Handlung an diesem Tag", editiert von Ralph Erskine und Michael Smith, Seiten 370-386, 2001 Gewusst haben.

Weiterführende Literatur

• Robert Wallace und H. Keith Melton, mit Henry R. Schlesinger, Spycraft: Die Heimliche Geschichte des Spytechs des CIA, vom Kommunismus bis Al Qaeda, New York, Dutton, 2008. Internationale Standardbuchnummer 0-525-94980-1

Außenverbindungen

• Detaillieren des Ehemaligen Polsters mit Beispielen und Images auf Cipher Machines und Cryptology
• Die ehemaligen häufig gestellten Polster-Fragen von Marcus Ranum
• Befreit Wörterverzeichnis-Zugang mit einer Diskussion von OTP Schwächen/blass
• Führer, um Kommunikationen mit der ehemaligen Polster-Ziffer (pdf) durch Dirk Rijmenants zu sichern
• Fotographien von zahlreichen OTP Kunsterzeugnissen
• Das Beispiel einer Zeit polstert Papiersystem aus