Wie werde ich zum Börsenguru?

Eine – sicherheitstechnisch – interessante Methode, aus der man was über Angriffe lernen kann.

Gefunden in Focus Money vom 21. Mai 2008 (nee, ich kaufe das Blatt nicht, hab ich mal im Flieger geschenkt bekommen…), Seite 27:

Wie werde ich zum Börsenguru? Ein amerikanischer Autor hat dafür ein einfaches Rezept. Man nehme einen elektronischen Börsenbrief, den Sie an 64000 Adressen senden. Der einen Hälfte prognostizieren Sie einen Anstieg der Weltbörsen, der anderen einen Rückschlag. Nach ein paar Wochen wiederholen Sie die Aussendung an die 32000 Empfänger, bei denen Sie mit Ihrer Prognose richtig lagen, und kündigen der einen Hälfte wieder steigende, der anderen fallende Kurse an. Nach fünf Runden werden 2000 Adressaten übrig bleiben, denen Sie stets den richtigen Tipp gaben und die nun bereit sind, Sie zu ihrem Vermögensverwalter zu küren.

Das hat deutliche Ähnlichkeit mit einem Angriff auf ein Protokoll. Von der Börse mal abstrahiert geht es immer darum, ein Bit zu raten. Es gibt einige Protokolle, bei denen man sein gegenüber davon überzeugt, daß man ein (kryptographisches) Geheimnis kennt, indem man mehrfach hintereinander etwas richtig rät, ohne dabei Beweise zu hinterlassen (geht in Richtung Zero-Knowledge-Beweise und Coin-Flipping). Wer bei einer 50:50-Chance zehnmal richtig rät, muß nach Glauben des Empfängers mit einer 1:1024-Chance bewiesen haben, daß er etwas weiß.

Das ist übrigens eine interessante Eigenschaft von Kryptoprotokollen, die meistens mißachtet wird: Oft sprechen da nur “Alice und Bob” exemplarisch miteinander. Daß wir aber etwa 1 Milliarde Internet-Nutzer haben und man eigentlich auch den Fall mitbetrachten muß, daß Alice mit 1 Milliarde Bobs spricht, und man sich überlegen muß, mit welcher Quote es einen der Bobs erwischt, wird bisweilen übersehen. Im Zeitalter der Bots und des Spam mitunter tückisch.