Abo
  • Services:
Anzeige
Dan Bernstein fordert Algorithmen, bei denen man weniger falsch machen kann.
Dan Bernstein fordert Algorithmen, bei denen man weniger falsch machen kann. (Bild: Ordercrazy, Wikimedia Commons)

Dan J. Bernstein: Krypto-Algorithmen sicher designen

Dan Bernstein fordert Algorithmen, bei denen man weniger falsch machen kann.
Dan Bernstein fordert Algorithmen, bei denen man weniger falsch machen kann. (Bild: Ordercrazy, Wikimedia Commons)

Der Kryptograph Dan Bernstein fordert auf der Real World Crypto seine Kollegen auf, kryptographische Algorithmen so zu entwickeln, dass ein fehlerhafter Einsatz vermieden wird. Es sei keine gute Idee, immer den Programmierern die Schuld zu geben.

Anzeige

"Der arme Nutzer erhält ein Seil, mit dem er sich selbst erhängen kann - das ist etwas, was ein Standard nicht tun sollte" - dieses Zitat ist über zwanzig Jahre alt (1992) und stammt von Ron Rivest, einem der Erfinder des RSA-Standards. Dan Bernstein, bekannt unter seinem Kürzel DJB, nutzt es als Einleitung, um seinen Kollegen auf der Real-World-Krypto-Konferenz in London zu erläutern, wie seiner Ansicht nach Algorithmen oft falsch entwickelt werden. Rivests Zitat bezog sich auf die Standardisierung des DSA-Verfahrens (Digital Signature Algorithm) in den frühen 90er Jahren.

DSA und schlechte Zufallszahlen

Der DSA-Algorithmus hat eine besonders problematische Eigenschaft: Zum Erzeugen einer Signatur benötigt man eine Zufallszahl k, die sich niemals wiederholen darf. Denn wennn für zwei unterschiedliche Signaturen dieselbe Zahl k verwendet wird, hat das katastrophale Folgen: Mit einigen sehr einfachen Rechenschritten kann ein Angreifer dann den privaten Schlüssel berechnen. Rivests Kommentar von 1992 bezog sich auf diese Eigenschaft von DSA. Auch das ECDSA-Verfahren hat diese Eigenschaft. ECDSA ist eine Weiterentwicklung von DSA und basiert auf elliptischen Kurven.

Die Konsequenz: Wer DSA verwendet, muss darauf achten, dass ein guter Zufallszahlengenerator verwendet wird. Doch die Erfahrung zeigt, dass Probleme in Zufallszahlengeneratoren häufig sind. Das ist kein rein theoretisches Problem. Sony ist dieser Fehler beim Code-Signing der Playstation 3 unterlaufen. Damit konnten Angreifer den privaten Schlüssel von Sony regenerieren, ein Angriff, der als Fail-Overflow-Exploit bekanntwurde. Auch Bitcoin hatte bereits Probleme mit dieser Eigenschaft des ECDSA-Algorithmus, etwa in einigen Android-Clients für Bitcoins. Da die Bitcoin-Signaturen in der Blockchain öffentlich sind, konnten Angreifer die fehlerhaften Signaturen aufspüren und die Bitcoin-Konten der Betroffenen leerräumen.

Laut Bernstein ist die übliche Reaktion auf derartige Fehler, den Programmierern die Schuld zu geben. Vertritt man aber die Ansicht von Rivest, ist das falsch: Vielmehr ist die Schuld Bernstein zufolge ein kryptographischer Standard, durch den Programmierern leicht solche Fehler unterlaufen. Für DSA und ECDSA gibt es inzwischen - fast 20 Jahre später - mit RFC 6979 eine Spezifikation, der für das k keinen Zufallswert, sondern einen aus der Nachricht und dem privaten Schlüssel berechneten Wert verwendet. Damit ist gewährleistet, dass bei unterschiedlichen Eingaben sich der k-Wert nie wiederholt. Auch der von Bernstein mitentwickelte Signaturalgorithmus Ed25519 verwendet ein derartiges Konzept zur Vermeidung des Zufallszahlenproblems.

Seitenkanalangriffe auf AES 

eye home zur Startseite
__destruct() 13. Jan 2015

Der größte Angriffsvektor ist der Mensch, der keinen Bock darauf hat, Verschlüsselung...

hannob (golem.de) 12. Jan 2015

Danke für den Hinweis, das war tatsächlich ein Fehler im Artikel. Ich habe das jetzt...



Anzeige

Stellenmarkt
  1. GK Software AG, Schöneck, Pilsen (Tschechien)
  2. Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz
  3. über Ratbacher GmbH, Hamburg
  4. DATAGROUP Köln GmbH, Berlin, Dessau


Anzeige
Hardware-Angebote
  1. und Samsung Galaxy S7 edge, Galaxy S7 oder Galaxy Tab E gratis erhalten
  2. (reduzierte Überstände, Restposten & Co.)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Mehr dazu im aktuellen Whitepaper von IBM


  1. Red Star OS

    Sicherheitslücke in Nordkoreas Staats-Linux

  2. Elektroauto

    Porsche will 20.000 Elektrosportwagen pro Jahr verkaufen

  3. TV-Kabelnetz

    Tele Columbus will Marken abschaffen

  4. Barrierefreiheit

    Microsofts KI hilft Blinden in Office

  5. AdvanceTV

    Tele Columbus führt neue Set-Top-Box für 4K vor

  6. Oculus Touch im Test

    Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung

  7. 3D Xpoint

    Intels Optane-SSDs erscheinen nicht mehr 2016

  8. Webprogrammierung

    PHP 7.1 erweitert Nullen und das Nichts

  9. VSS Unity

    Virgin Galactic testet neues Raketenflugzeug

  10. Google, Apple und Mailaccounts

    Zwei-Faktor-Authentifizierung richtig nutzen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Robot Operating System: Was Bratwurst-Bot und autonome Autos gemeinsam haben
Robot Operating System
Was Bratwurst-Bot und autonome Autos gemeinsam haben
  1. Roboterarm Dobot M1 - der Industrieroboter für daheim
  2. Roboter Laundroid faltet die Wäsche
  3. Fahrbare Roboter Japanische Firmen arbeiten an Transformers

Super Mario Bros. (1985): Fahrt ab auf den Bruder!
Super Mario Bros. (1985)
Fahrt ab auf den Bruder!
  1. Quake (1996) Urknall für Mouselook, Mods und moderne 3D-Grafik
  2. NES Classic Mini im Vergleichstest Technischer K.o.-Sieg für die Original-Hardware

HPE: Was The Machine ist und was nicht
HPE
Was The Machine ist und was nicht
  1. IaaS und PaaS Suse bekommt Cloudtechnik von HPE und wird Lieblings-Linux
  2. Memory-Driven Computing HPE zeigt Prototyp von The Machine
  3. Micro Focus HP Enterprise verkauft Software für 2,5 Milliarden Dollar

  1. Re: VR Stand der Dinge (ich ergänze die Liste mal...

    ZyzyX | 17:21

  2. Re: BATTLETECH

    Moe479 | 17:19

  3. Re: PHP ist keine Programmiersprache

    NeoTiger | 17:19

  4. Re: Das Problem bei der NSA-Affäre ist, dass...

    SkalliN | 17:17

  5. und was ist mit

    Moe479 | 17:14


  1. 17:25

  2. 17:06

  3. 16:53

  4. 16:15

  5. 16:02

  6. 16:00

  7. 15:00

  8. 14:14


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel