Abo
  • Services:
Anzeige
Dan Bernstein fordert Algorithmen, bei denen man weniger falsch machen kann.
Dan Bernstein fordert Algorithmen, bei denen man weniger falsch machen kann. (Bild: Ordercrazy, Wikimedia Commons)

Dan J. Bernstein: Krypto-Algorithmen sicher designen

Dan Bernstein fordert Algorithmen, bei denen man weniger falsch machen kann.
Dan Bernstein fordert Algorithmen, bei denen man weniger falsch machen kann. (Bild: Ordercrazy, Wikimedia Commons)

Der Kryptograph Dan Bernstein fordert auf der Real World Crypto seine Kollegen auf, kryptographische Algorithmen so zu entwickeln, dass ein fehlerhafter Einsatz vermieden wird. Es sei keine gute Idee, immer den Programmierern die Schuld zu geben.

Anzeige

"Der arme Nutzer erhält ein Seil, mit dem er sich selbst erhängen kann - das ist etwas, was ein Standard nicht tun sollte" - dieses Zitat ist über zwanzig Jahre alt (1992) und stammt von Ron Rivest, einem der Erfinder des RSA-Standards. Dan Bernstein, bekannt unter seinem Kürzel DJB, nutzt es als Einleitung, um seinen Kollegen auf der Real-World-Krypto-Konferenz in London zu erläutern, wie seiner Ansicht nach Algorithmen oft falsch entwickelt werden. Rivests Zitat bezog sich auf die Standardisierung des DSA-Verfahrens (Digital Signature Algorithm) in den frühen 90er Jahren.

DSA und schlechte Zufallszahlen

Der DSA-Algorithmus hat eine besonders problematische Eigenschaft: Zum Erzeugen einer Signatur benötigt man eine Zufallszahl k, die sich niemals wiederholen darf. Denn wennn für zwei unterschiedliche Signaturen dieselbe Zahl k verwendet wird, hat das katastrophale Folgen: Mit einigen sehr einfachen Rechenschritten kann ein Angreifer dann den privaten Schlüssel berechnen. Rivests Kommentar von 1992 bezog sich auf diese Eigenschaft von DSA. Auch das ECDSA-Verfahren hat diese Eigenschaft. ECDSA ist eine Weiterentwicklung von DSA und basiert auf elliptischen Kurven.

Die Konsequenz: Wer DSA verwendet, muss darauf achten, dass ein guter Zufallszahlengenerator verwendet wird. Doch die Erfahrung zeigt, dass Probleme in Zufallszahlengeneratoren häufig sind. Das ist kein rein theoretisches Problem. Sony ist dieser Fehler beim Code-Signing der Playstation 3 unterlaufen. Damit konnten Angreifer den privaten Schlüssel von Sony regenerieren, ein Angriff, der als Fail-Overflow-Exploit bekanntwurde. Auch Bitcoin hatte bereits Probleme mit dieser Eigenschaft des ECDSA-Algorithmus, etwa in einigen Android-Clients für Bitcoins. Da die Bitcoin-Signaturen in der Blockchain öffentlich sind, konnten Angreifer die fehlerhaften Signaturen aufspüren und die Bitcoin-Konten der Betroffenen leerräumen.

Laut Bernstein ist die übliche Reaktion auf derartige Fehler, den Programmierern die Schuld zu geben. Vertritt man aber die Ansicht von Rivest, ist das falsch: Vielmehr ist die Schuld Bernstein zufolge ein kryptographischer Standard, durch den Programmierern leicht solche Fehler unterlaufen. Für DSA und ECDSA gibt es inzwischen - fast 20 Jahre später - mit RFC 6979 eine Spezifikation, der für das k keinen Zufallswert, sondern einen aus der Nachricht und dem privaten Schlüssel berechneten Wert verwendet. Damit ist gewährleistet, dass bei unterschiedlichen Eingaben sich der k-Wert nie wiederholt. Auch der von Bernstein mitentwickelte Signaturalgorithmus Ed25519 verwendet ein derartiges Konzept zur Vermeidung des Zufallszahlenproblems.

Seitenkanalangriffe auf AES 

eye home zur Startseite
__destruct() 13. Jan 2015

Der größte Angriffsvektor ist der Mensch, der keinen Bock darauf hat, Verschlüsselung...

hannob (golem.de) 12. Jan 2015

Danke für den Hinweis, das war tatsächlich ein Fehler im Artikel. Ich habe das jetzt...



Anzeige

Stellenmarkt
  1. HERMA GmbH, Filderstadt
  2. Vodafone GmbH, Düsseldorf, Eschborn
  3. wenglor sensoric gmbh, Tettnang
  4. Vodafone GmbH, Düsseldorf


Anzeige
Hardware-Angebote
  1. 17,99€ statt 29,99€
  2. bei Caseking
  3. (täglich neue Deals)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Social Bots

    Furcht vor den neuen Wahlkampfmaschinen

  2. Fire OS 5.2.4.0 im Test

    Amazon vernetflixt die Fire-TV-Oberfläche

  3. 5K-Display

    LG Ultrafine 5K mit Verbindungsproblemen zum Mac

  4. IOS, TVOS, MacOS und WatchOS

    Apple aktualisiert seine Betriebssysteme

  5. Ohrhörer

    Apples Airpods verlieren bei Telefonaten die Verbindung

  6. Raumfahrt

    Chang'e 5 fliegt zum Mond und wieder zurück

  7. Android 7.0

    Sony stoppt Nougat-Update für bestimmte Xperia-Geräte

  8. Dark Souls 3 The Ringed City

    Mit gigantischem Drachenschild ans Ende der Welt

  9. HTTPS

    Weiterhin rund 200.000 Systeme für Heartbleed anfällig

  10. Verkehrsexperten

    Smartphone-Nutzung am Steuer soll strenger geahndet werden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Shield TV (2017) im Test: Nvidias sonderbare Neuauflage
Shield TV (2017) im Test
Nvidias sonderbare Neuauflage
  1. Wayland Google erstellt Gamepad-Support für Android in Chrome OS
  2. Android Nougat Nvidia bringt Experience Upgrade 5.0 für Shield TV
  3. Nvidia Das Shield TV wird kleiner und kommt mit mehr Zubehör

Nintendo Switch im Hands on: Die Rückkehr der Fuchtel-Ritter
Nintendo Switch im Hands on
Die Rückkehr der Fuchtel-Ritter
  1. Nintendo Vorerst keine Videostreaming-Apps auf Switch
  2. Arms angespielt Besser boxen ohne echte Arme
  3. Nintendo Switch Eltern bekommen totale Kontrolle per App

Autonomes Fahren: Laserscanner für den Massenmarkt kommen
Autonomes Fahren
Laserscanner für den Massenmarkt kommen
  1. BMW Autonome Autos sollen mehr miteinander quatschen
  2. Nissan Leaf Autonome Elektroautos rollen ab Februar auf Londons Straßen
  3. Autonomes Fahren Neodriven fährt autonom wie Geohot

  1. Re: Selten so einen schlechten Artikel bei Golem...

    obermeier | 09:57

  2. Unverhältnismäßig viele Politiker sind Juristen

    Sumpfdotterblume | 09:57

  3. Re: Nicht so schlimm

    Dino13 | 09:57

  4. Re: 60 Euro sind auch ein Witz

    theonlyone | 09:56

  5. Re: "wünschen uns die alte Version zurück"

    nightmar17 | 09:56


  1. 09:40

  2. 09:03

  3. 07:59

  4. 07:39

  5. 07:23

  6. 18:19

  7. 17:28

  8. 17:07


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel