Die Kryptografie basiert auf mathematischen Verfahren. Die Sicherheit eines Kryptosystems lässt sich also mathematisch beweisen und berechnen. Die mathematische Beweisführung einer gewissen Sicherheit beruht jedoch oft nur auf Annahmen. Zum Beispiel: „Solange diese Bedingung erfüllt ist, ist dieses Verschlüsselungsverfahren sicher.“ Das hat Konsequenzen. Denn ein ungeschickt implementiertes Kryptosystem kann ein eigentlich sicheres Verschlüsselungsverfahren unsicher machen.
Wie sicher ein kryptografisches Verfahren ist, ist zu allen Zeiten immer zu optimistisch gewesen. Prinzipiell neigen wir zur Selbstüberschätzung, was die Sicherheit einer Technik angeht. Dabei zeigt die Erfahrung, dass kein Aufwand zu groß ist, um ein Verfahren zu brechen. Die Fragestellung ist nur, ob sich der Aufwand, in Erwartung des Inhalts verschlüsselter Daten, lohnt.
Die Sicherheit des Verschlüsselungsverfahrens beruht nur auf der Geheimhaltung des Schlüssels und nicht auf der Geheimhaltung des Verschlüsselungsverfahrens! Die Sicherheit eines Systems sollte nie allein von der Geheimhaltung der Funktionsweise abhängig sein (sonst: Security by Obscurity).
Das Gegenprinzip „security by obscurity“ besagt, dass man Sicherheit dadurch gewinnen will, indem man den Verschlüsselungsvorgang verschleiert. Dieses Gegenprinzip hat sich vielfach als wenig tauglich erwiesen. Verfahren kann man meist nicht geheimhalten (irgendjemand hält sich nicht an die Geheimhaltung). Zudem ist es oft möglich, durch eine Art Reverse-Engineering das benutzte Verfahren zu rekonstruieren.
Bei der Entwicklung neuer Verfahren versucht man daher gar nicht erst, die Verfahren selbst geheim zu halten. Im Gegenteil, die Verfahren werden zur öffentlichen Diskussion allen Expertinnen zur Verfügung gestellt. Nur die Verfahren, die eine solche Prüfung bestehen, haben eine Chance, in moderen Chiffriersystemen verwendet zu werden.
Gute kryptografische Verfahren erfüllen heute in der Regel also die folgenden Kriterien:
Sie beruhen auf dem Kerckhoffs-Prinzip. Sie werden von Kryptologinnen (bzw. -analytikerinnen) weltweit untersucht. Sie durchlaufen erfolgreich alle möglichen Angriffszenarien.