One-Time-Pad

Das One-Time-Pad (Abkürzung: OTP, deutsch: Einmalverschlüsselung oder Einmalschlüssel-Verfahren, seltener Vernam-Verschlüsselung, wörtlich Einmal-Block, nicht zu verwechseln mit dem Einmal-Passwort-Verfahren) ist eine kryptographische Methode zur geheimen Nachrichtenübermittlung. Kennzeichnend ist, dass ein Schlüssel verwendet wird, der so lang ist wie die Nachricht selbst. Es ist das einzige Verschlüsselungsverfahren, welches mathematisch beweisbar sicher ist und nachweislich nicht gebrochen werden kann - vorausgesetzt, es wird bestimmungsgemäß verwendet.

Das Verfahren geht auf den amerikanischen Kryptologen Gilbert Vernam (1890-1960) zurück, der die Idee dazu im Jahre 1918 geäußert hat. Der Amerikaner Joseph O. Mauborgne (1881-1971) setzte diese Idee um und nannte das Verfahren „One Time Pad“ (deutsch: Einmal-Block). Kurz darauf arbeiteten auch die Deutschen Werner Kunze, Rudolf Schauffler und Erich Langlotz an dieser Methode. Sie schlugen im Jahr 1921 vor, Blöcke, die mit zufällig erstellten Ziffern bedruckt waren, zur Überschlüsselung der damaligen diplomatischen Codes zu verwenden und bezeichneten diese als i-Wurm (individueller Wurm).

Seit dieser Zeit bis zum heutigen Tag, speziell auch während der Zeit des Kalten Krieges, wird dieses Verfahren verwendet. Beispielsweise soll das Rote Telefon, also die hochsichere direkte Sprechverbindung zwischen dem amerikanischen Präsidenten und dem sowjetischen Generalsekretär durch ein Einmalschlüssel-Verfahren geschützt worden sein.

Das One-Time-Pad gehört zu den polyalphabetischen Substitutionsverfahren, bei denen die einzelnen Buchstaben (oder Zeichen) in jeweils andere Buchstaben (oder Zeichen) umgewandelt (verschlüsselt) werden. Kennzeichnendes Merkmal der Einmalverschlüsselung ist die einmalige Verwendung eines zufälligen Schlüssels, der die Länge der zu verschlüsselnden Nachricht aufweist.

Andere historische und auch aktuelle kryptographische Verfahren verwenden Schlüssel (Passwörter), die in der Regel deutlich kürzer sind als die Länge des zu verschlüsselnden Klartextes. Das Einmalschlüssel-Verfahren hingegen basiert auf der Verwendung eines Schlüssels, dessen Länge so groß ist, dass jedes Zeichen des Klartextes mit einem anderen Zeichen des Schlüssels verschlüsselt werden kann.

Daraus folgt, dass es informationstheoretisch sicher ist und nicht entziffert werden kann, wenn bestimmungsgemäß der Schlüssel nur einmal zur Verschlüsselung verwendet wird. Allein mit Kenntnis des Schlüssels kann der Geheimtext entschlüsselt werden.

Die genaue Art der Durchführung der Kombination von Klartext und Schlüssel ist nebensächlich und kann auf unterschiedliche Weise vorgenommen werden. Hier kann man die Anforderungen der konkreten technischen Realisierung berücksichtigen. Bedient man sich beispielsweise zur Einmalverschlüsselung eines Computers, so bietet sich die Byte-weise Kombination von Klartext-Bytes und Schlüssel-Bytes an. Diese „Kombination“ lässt sich computergerecht besonders einfach mit einer Addition der einzelnen Bytes durchführen. Gebräuchlich ist auch eine Exklusiv-Oder-Verknüpfung (XOR) der einzelnen Bytes. Kryptographisch gleichwertig können ebenso gut auch andere Kombinationsmöglichkeiten von Klartext und Schlüssel realisiert werden. Wichtig ist nicht die Art oder Details der Verknüpfung und auch nicht die Geheimhaltung der verwendeten Methode, sondern allein die Wahrung des Geheimnisses des Schlüssels. Damit erfüllt das Einmalschlüsselverfahren das Kerckhoffs-Prinzip in idealer Weise:

„Die Sicherheit eines Kryptosystems darf nicht von der Geheimhaltung des Algorithmus abhängen. Die Sicherheit gründet sich nur auf die Geheimhaltung des Schlüssels.“

Grundlegende Voraussetzungen zur Wahrung der Sicherheit des Einmalschlüssel-Verfahrens sind neben der Erfüllung der Kerckhoffs-Maxime, also

• der Einmalschlüssel muss geheim bleiben, außerdem noch
• der Einmalschlüssel muss zufällig sein und schließlich
• der Einmalschlüssel darf nur einmal verwendet werden!

Das Einmalschlüsselverfahren ist gut geeignet für eine maschinelle Realisierung. Es ist jedoch - im Gegensatz zu vielen modernen kryptographischen Methoden (wie DES, PGP oder AES) - nicht auf Computer angewiesen und eignet sich ebenso gut zur manuellen Durchführung der Ver- und Entschlüsselung.

Eine einfache Handmethode zur Verschlüsselung ist beispielsweise die buchstabenweise Addition von Klartext und Schlüssel.

Hierzu ordnet man im einfachsten Fall den 26 Großbuchstaben des lateinischen Alphabets Zahlen zu, die ihrer Position im Alphabet entsprechen. Mit anderen Worten, man nummeriert das Alphabet wie folgt durch:

A  B  C  D  E  F  G  H  I  J  K  L  M  N  O  P  Q  R  S  T  U  V  W  X  Y  Z
1  2  3  4  5  6  7  8  9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26

Eine buchstabenweise Addition ist jetzt leicht möglich. Beispielsweise ergibt die Addition von A und F den Buchstaben G, entsprechend ihren Platznummern 1 + 6 = 7. Falls die Summe den Wert 26 überschreiten sollte, so zieht man einfach 26 ab (Modulo-Operation) und erhält so wieder einen der 26 Alphabetbuchstaben. Beispielsweise X plus U ist numerisch 24 + 21 = 45, nach abziehen von 26 ergibt sich 19 und damit der Buchstabe S, also X + U = S.

Die Zusammenhänge bei der Addition von Buchstaben lassen sich an der folgenden Tabelle, die Ähnlichkeit mit einer klassischen Tabula recta hat, übersichtlich darstellen:

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

In der fettgedruckten oberen Zeile und in der ersten Spalte am linken Rand sind die beiden zu addierenden Summanden angegeben. Im Kreuzungspunkt innerhalb der Tabelle lässt sich die Summe ablesen, also das Ergebnis der Summation von Klartext-Buchstaben und Schlüsselbuchstaben. Dies ist der entsprechende Buchstabe des Geheimtextes.

Zur Verschlüsselung wird man einen zufälligen Schlüssel zu benutzen, der in diesem Beispielfall passenderweise ebenfalls aus den 26 Großbuchstaben zusammengesetzt ist und dessen Länge (mindestens) der Länge des zu verschlüsselnden Klartextes, also 21 Buchstaben, entspricht. Entscheidend wichtig für die Sicherheit der Verschlüsselung ist, dass die einzelnen Buchstaben des Schlüssels wirklich zufällig verteilt sind und in keinerlei Zusammenhang untereinander stehen. Textpassagen als Schlüssel, selbst wenn sie einmalig sind, erfüllen diese Forderung nicht und dürfen keinesfalls verwendet werden. Aufgrund von statistischen Abhängigkeiten des Schlüssels kann es sonst einem Angreifer gelingen, in die Verschlüsselung einzubrechen und den Geheimtext zu entziffern.

Als Beispiel für einen zufälligen Schlüssel dient die Buchstabenfolge unten. Sie wurde mit einem aufwändigen Verfahren generiert, das in der Lage ist, sehr gute Zufallsfolgen zu erzeugen:

S = WZSLXWMFQUDMPJLYQOXXB

Der Schlüssel S ist in diesem Beispiel recht kurz, er umfasst nur 21 Buchstaben, und ist bei bestimmungsgemäßer Verwendung sehr schnell „verbraucht“, nämlich bereits nach Verschlüsselung eines Textes aus 21 Buchstaben. Mit Veröffentlichung in der Wikipedia ist er natürlich kompromittiert und kann nicht mehr für eine wirkliche Einmalverschlüsselung benutzt werden. Dennoch kann er dazu dienen, diese Methode zu illustrieren.

Beispielsweise soll der folgende Klartext K mit brisantem militärischen Nachrichteninhalt verschlüsselt werden:

K = ANGRIFFIMMORGENGRAUEN

Zur Verschlüsselung werden Klartext K und Schlüssel S, wie oben erläutert, buchstabenweise addiert. Als „Summe“ (K + S = G) erhält man nach der so durchgeführten Einmalverschlüsselung den Geheimtext G:

G = XNZDGCSODHSEWOZFIPSCP

Der im Ergebnis erhaltene Geheimtext G ist von einem Zufallstext nicht zu unterscheiden und kann prinzipiell mit keiner noch so gearteten kryptanalytischen Angriffsmethode (weder jetzt noch in Zukunft) entziffert werden. Allein die Kenntnis des Schlüssels S erlaubt es, aus dem Geheimtext G wieder den Klartext K zu gewinnen. Ohne den Schlüssel kann man prinzipiell alle denkbaren und mehr oder weniger sinnvollen Buchstabenkombinationen aus 21 Buchstaben „konstruieren“. Theoretisch könnte ein Angreifer dies probieren. Er würde so eine Unmenge an Sätzen erhalten, die in beliebigen Sprachen beliebige Informationen verkünden würden, beispielsweise

K' = WIKIPEDIAFINDENWIRGUT

mit dem dazu „passenden“ Schlüssel, der der Differenz zwischen Geheimtext G und dem konstruierten Pseudo-Klartext K' entspricht (S' = G - K'):

S' = AEOUQXOFCBJQSJLIZXLHV

Dieser Schlüssel S' erfüllt die Bedingung, dass die buchstabenweise Summe von ihm mit dem oben erzeugten (falschen) Klartext K' genau den gleichen Geheimtext ergibt wie die Summe aus dem echten - aber dem Angreifer unbekannten - Schlüssel S mit dem echten - und dem Angreifer ebenso unbekannten - Klartext K. So kann der Angreifer eine unübersehbare Fülle von denkbaren Klartext-Schlüsselpaaren konstruieren, die in (buchstabenweiser) Summe alle den gleichen echten Geheimtext ergeben. Er hat jedoch keine Möglichkeit, daraus auf den echten Klartext zurückschließen. Solange ihm der Schlüssel nicht in die Hände fällt, bleibt der Klartext auf ewig geschützt.

Aus diesem Grund sollte der Einmalschlüssel nach bestimmungsgemäßen Gebrauch sicher vernichtet werden.

Bei korrekter Anwendung des Einmalschlüsselverfahrens ist es nachweislich sicher und kann nicht gebrochen werden. In der praktischen Anwendung können jedoch Fehler passieren, die einen Einbruch möglich machen. Ursache dafür ist die Verletzung einer oder mehrerer der weiter oben formulierten grundlegenden Sicherheits-Voraussetzungen.

Ein möglicher Fehler ist, den Einmalschlüssel nicht geheim zwischen Sender und Empfänger auszutauschen, so dass er durch Dritte ausgespäht werden kann. Auch eine sichere Aufbewahrung des Schlüssels ist essentiell. Der Schlüssel kann ja im Gegensatz zu Passwörtern oder Kennwörtern nicht im Kopf behalten werden, sondern er muss auf irgendeinem Medium, sei es Papier, Datendiskette, CD-ROM oder Memory-Stick gespeichert sein. Dieses Medium kann kopiert werden und der Schlüssel ist dann kompromittiert. Ebenso darf nicht vergessen werden, den Einmalschlüssel nach Gebrauch sicher und unwiederbringlich zu vernichten. Gelingt es dem Angreifer, den Schlüssel nachträglich zu finden oder zu restaurieren, so ist die Kommunikation entlarvt.

Ein ebenso schon mehrfach begangener Fehler ist die unzureichende Zufälligkeit und Unabhängigkeit der einzelnen Zeichen des Schlüssels. Ein Kardinalfehler ist, als Einmalschlüssel keine zufällige Buchstabenfolge sondern eine Textpassage zu benutzen. Selbst, wenn der verwendete Text einmalig ist und niemandem (außer den beiden Kommunikationspartnern) bekannt ist, weisen Buchstabenfolgen, die aus einem „sinnvollen“ Text stammen, im Gegensatz zu zufälligen Buchstabenfolgen (Zufallstexten) statistisch auswertbare Abhängigkeiten auf, die eine Entzifferung möglich machen können. Selbst manuell erzeugte pseudozufällige Zeichenfolgen genügen nicht höchsten Ansprüchen an die Sicherheit, denn sie weisen eine Reihe von durchaus auffälligen Merkmalen auf, die ein Angreifer zu seinem Vorteil nutzen könnte. Beispielsweise scheut der Mensch bei der Kreation von möglichst zufälligen Texten vor Buchstabenverdopplungen und erst recht -verdreifachungen zurück, wohingegen echte Zufallstexte nicht selten zwei oder auch mehr identische Buchstaben in direkter Folge oder in kurzem Abstand enthalten können.

Der folgende Zufallstext wurde nach einem speziellen Verfahren maschinell erzeugt. Er besteht aus 1000 Buchstaben, die tatsächlich „gut“ zufällig verteilt sind. Interessanterweise erkennt man jedoch in der sechsten Zeile in kurzem Abstand hintereinander fünfmal den Buchstaben Z (durch Fettdruck hervorgehoben).

RBFALAZJGPUCWFCMPQUCEDTCXGXRGUHXATFYVLVCMQRJSDXRYU XMIOPUNYGTQOMQKRNCBPTBSCQZOICFQENNHWJFAAUTEXDYOMKY HPJVENSEFLKNYQMWKXFQEKPSYBCTRZSNRDPGOJLLDQNYSPMWBX XKFBEPJBUCIOLUGHBAUTXUSBAXSCTLDTFHSOQOIHAZAVQFINLG NFSVFWIIGDVCAPDWBRWIKJCUVQCDHPSBNUYCHALZRNTNFHMOOY GMQDAQASBKSGIZIZZTZCLNZNCMTVJBCFUBIEQSQNLPUMBCDBEH FSXGJADMYGDLXRKFKWSVCYQDGBILEBIEXEKGEUTJAOBZAKPJEJ YBNAWUCSPJZBTNMVHLKCDCPHSVNKWRGGWRAZLWSYCDXOEYKMRR NTOSHBFEXKKSKOSOPFRBYNZSDXTSJMIYNQFEHLBEEZSXRLPEWM QHKYWALNGMPJMYEXLPVXZYDMSABJAHLVPEESQYRHNBCQSBOUVR XARCSSNFRTWGHNWPRODKXHROCWZWZGJFVLEWYVDJANGJXWEIGT BHATMVYSCISMEPMORPWVQJRBFVZLSNMTKMEVYQYJQRDEHGPGVM GNPGCCBIBNJNVSHQZWODDYQEBAHKVOTCIUAAIOAERRPSEWIIOP OBDMMDXTRYWOFSWYLNDFQDDRPJFDPEOBAYWAOYDMUMOEWZVNMW ZGIAHASQJSGUXXBCURDQLSQLXONHNHRIFVMCKQLUYATXPCCQGG XHVFDALBJVRVEJGASEAXAWZZWJDAGASQHXINCADLBEOKNEDRJD UPGXDTYEIQWIHRYZAMQHDVNAFQKQDWIDMDXLDYZZFWSTAPAPQL VYUTAYKGPBOHHVGIVUOTEOVZTRGMWPZCKYCKVKXZJMTMUKQGVQ TUGCOEJHUCMROKQWMPTLADKNCFPYEXCBSPHVWYRQSJFTGQGJHJ YIVSQGIAUJJIBYUPCPWLKRLFIZYKVCYZXDSYPJLWHRIEXVQZGR

Ein Mensch würde - vor die Aufgabe gestellt, eine möglichst zufällige Buchstabenfolge zu erzeugen - wohl davor zurückschrecken, in so kurzem Abstand fünfmal auf die gleiche Taste zu tippen. Er würde die Buchstaben eher gleichmäßiger verteilen - was tatsächlich aber ein Fehler wäre und keine gute Zufälligkeit ergäbe, denn er hätte dabei den Grundsatz verletzt: „Der Zufall hat kein Gedächtnis!“

Ein in der praktischen Anwendung schon häufig passierter Fehler ist, mehr als nur die beiden allein für Sender und Empfänger bestimmten Kopien des Einmalschlüssels herzustellen und zu verteilen oder den Schlüssel mehr als einmal zur Verschlüsselung zu verwenden. Schon eine zweimalige Verwendung eines Einmalschlüssels genügt, um die Kommunikation erfolgversprechend angreifen zu können. Dies kann an einem Beispiel illustriert werden: Nachdem der oben erwähnte Klartext K mit dem Schlüssel S verschlüsselt worden ist, soll am nächsten Tag ein neuer Befehl, nämlich der Klartext K2 (mit völlig anderem Inhalt), verschlüsselt übermittelt werden.

K2 = RUECKZUGVONDENHUEGELN

Fehlerhafterweise wird zur Verschlüsselung der bereits „verbrauchte“ Einmalschlüssel S vom Vortag ein zweites mal benutzt.

 S = WZSLXWMFQUDMPJLYQOXXB

Wieder werden zur Verschlüsselung Klartext und Schlüssel buchstabenweise addiert. Als „Summe“ erhält man in diesem Fall den Geheimtext G2:

G2 = OUXOIWHMMJRQUXTTVVCJP

Für sich allein ist auch der Geheimtext G2 unknackbar. Hat der Angreifer jedoch zusätzlich den Geheimtext G vom Vortag abgefangen, so kann er beide miteinander kombinieren. (Zur Deutlichkeit und besseren Unterscheidung zum Geheimtext G2 wird der erste Geheimtext G im folgenden mit G1 bezeichnet.)

G1 = XNZDGCSODHSEWOZFIPSCP
G2 = OUXOIWHMMJRQUXTTVVCJP

Der Angreifer geht dabei von folgender Überlegung aus: Angenommen, der Absender der beiden Geheim-Nachrichten G1 und G2 hat in beiden Fällen (versehentlich) denselben Schlüssel verwendet, dann gelten folgenden Beziehungen zwischen den vorliegenden beiden Geheimtexten G1 und G2, dem unbekannten, aber in beiden Fällen identischen Schlüssel S und den beiden unbekannten Klartexten K1 und K2:

G1 = K1 + S
G2 = K2 + S

Durch Differenzbildung der beiden Geheimtexte kann der Angreifer nun den Schlüssel eliminieren!

G1 - G2 = (K1 + S) - (K2 + S) = K1 - K2

Das heißt, die Differenz der beiden Geheimtexte, die der Angreifer ja kennt, ist gleich der Differenz der beiden ihn interessierenden Klartexte. Dies ist der Agriffspunkt zur Entzifferung. Klartexte und folglich auch Differenzen von Klartexten zeigen nämlich im Gegensatz zu Zufallstexten eine Reihe von Auffälligkeiten, die statistisch ausgewertet und zur Entzifferung ausgenutzt werden können.

So zeigt das Häufigkeitsgebirge von Differenztexten ebenso charakteristische Auffälligkeiten wie beispielsweise das von deutschen Klartexten oder von monoalphabetisch verschlüsselten Texten. Bei Differenztexten - falls sie von zwei Klartexten oder von zwei nach dem Einmalschlüssel-Verfahren mit identischem Schlüssel verschlüsslten Geheimtexten stammen - dominiert der Buchstabe Z, der durch Koinzidenzen von identischen Buchstaben in beiden Klartexten und damit auch (bei zweifacher Verwendung desselben Einmalschlüssels) in beiden Geheimtexten auftritt. Ein Nebenmaximum tritt beim Buchstaben M auf. Ursache dafür sind Koinzidenzen der Buchstaben E und R beziehungsweise R und E, da sie beide die gleiche Differenz, nämlich 13 aufweisen. Falls der Angreifer diese Auffälligkeiten am Differenztext entdeckt, bestätigt dies seinen Verdacht der Mehrfachverwendung eines Einmalschlüssels. Basierend auf weiteren statistischen Abhängigkeiten und mithilfe von speziellen Differenztextbasen sowie passender Trigramm-, Tetragramm- und Pentagramm-Tabellen und rechnergestützter Untersuchung der verschiedenen Fälle können die Geheimtexte nun erfolgversprechend angegriffen werden.

Auf diese Weise kann das theoretisch unknackbare Einmalschlüssel-Verfahren plötzlich dennoch gebrochen werden, falls bei der praktischen Anwendung Fehler passieren.

• Das One-Time-Pad ist das einzig bekannte Verschlüsselungsverfahren, das informationstheoretisch sicher ist und nicht entziffert werden kann, wenn bestimmungsgemäß der Schlüssel zufällig ist und nur einmal zur Verschlüsselung verwendet wird. Allein mit Kenntnis des Schlüssels kann der Geheimtext entschlüsselt werden!

Andere Verschlüsselungsverfahren (z. B. RSA) erreichen ihre Sicherheit durch den immensen Berechnungsaufwand der theoretisch denkbaren Entzifferung, der praktisch nicht realisierbar ist. Mit anderen Worten, einem potenziellen Angreifer fehlt es an notwendigen Ressourcen (z. B. Rechenkapazität oder Zeit), um seinen Entzifferungsversuch erfolgreich durchführen zu können. Die Sicherheit des One-Time-Pad dagegen beruht auf der einmaligen Verwendung des Schlüssels sowie der hinreichenden Zufälligkeit des verwendeten Schlüssels. Es kann auch mit steigender Rechenleistung nicht gebrochen werden.

• Der verwendete Schlüssel des One-Time-Pad ist genauso lang wie die Nachricht. Um beispielsweise die gesamten Daten einer Festplatte zu verschlüsseln, ist eine zweite Festplatte (mit mindestens identischer Größe) zur Speicherung des Schlüssels nötig.
• Das One-Time-Pad erfordert einen sicheren zweiten Kommunikationskanal zum Austausch des Schlüssels. Fehlt er, beispielsweise weil die Teilnehmer nur über Telefon miteinander in Kontakt treten können, ist die hohe Sicherheit des One-Time-Pad nicht mehr gegeben. Auch andere Verfahren zum Schlüsseltausch bzw. -vereinbarung (z. B. Diffie-Hellman-Schlüsselaustausch) bieten keine ausreichende Lösung, da es allen (bekannten) an der informationstheoretischen Sicherheit fehlt. Somit ist der durch das OTP zur Verfügung gestellte Schutz meist nur so gut wie die Sicherheit des Schlüsseltauschs.
• Das One-Time-Pad erfordert viele unterschiedliche Schlüssel, wenn mehrere Personen miteinander vertraulich Daten austauschen wollen. Die Anzahl der Schlüssel steigt quadratisch mit der Anzahl der Teilnehmer, wenn jeder mit jedem geheim kommunizieren will.

Aus den genannten Gründen (Aufwand) hat sich das One-Time-Pad für die Verschlüsselung in größeren Kommunikationsnetzen nicht durchgesetzt. Für die zweiseitige geheime Kommunikation ist es in Punkto Sicherheit jedoch nach wie vor die erste Wahl.

• Friedrich L. Bauer: Entzifferte Geheimnisse: Methoden und Maximen der Kryptographie. Springer, Berlin 2000 (3. Aufl.). ISBN 3-540-67931-6
• Rudolf Kippenhahn: Verschlüsselte Botschaften: Geheimschrift, Enigma und Chipkarte. Rowohlt, Hamburg 1999. ISBN 3-499-60807-3

• graphische Variante des OTP als Webdemo
• OTP als Web-Applet