Abo
  • Services:
Anzeige
Dan Bernstein fordert Algorithmen, bei denen man weniger falsch machen kann.
Dan Bernstein fordert Algorithmen, bei denen man weniger falsch machen kann. (Bild: Ordercrazy, Wikimedia Commons)

Dan J. Bernstein: Krypto-Algorithmen sicher designen

Dan Bernstein fordert Algorithmen, bei denen man weniger falsch machen kann.
Dan Bernstein fordert Algorithmen, bei denen man weniger falsch machen kann. (Bild: Ordercrazy, Wikimedia Commons)

Der Kryptograph Dan Bernstein fordert auf der Real World Crypto seine Kollegen auf, kryptographische Algorithmen so zu entwickeln, dass ein fehlerhafter Einsatz vermieden wird. Es sei keine gute Idee, immer den Programmierern die Schuld zu geben.

Anzeige

"Der arme Nutzer erhält ein Seil, mit dem er sich selbst erhängen kann - das ist etwas, was ein Standard nicht tun sollte" - dieses Zitat ist über zwanzig Jahre alt (1992) und stammt von Ron Rivest, einem der Erfinder des RSA-Standards. Dan Bernstein, bekannt unter seinem Kürzel DJB, nutzt es als Einleitung, um seinen Kollegen auf der Real-World-Krypto-Konferenz in London zu erläutern, wie seiner Ansicht nach Algorithmen oft falsch entwickelt werden. Rivests Zitat bezog sich auf die Standardisierung des DSA-Verfahrens (Digital Signature Algorithm) in den frühen 90er Jahren.

DSA und schlechte Zufallszahlen

Der DSA-Algorithmus hat eine besonders problematische Eigenschaft: Zum Erzeugen einer Signatur benötigt man eine Zufallszahl k, die sich niemals wiederholen darf. Denn wennn für zwei unterschiedliche Signaturen dieselbe Zahl k verwendet wird, hat das katastrophale Folgen: Mit einigen sehr einfachen Rechenschritten kann ein Angreifer dann den privaten Schlüssel berechnen. Rivests Kommentar von 1992 bezog sich auf diese Eigenschaft von DSA. Auch das ECDSA-Verfahren hat diese Eigenschaft. ECDSA ist eine Weiterentwicklung von DSA und basiert auf elliptischen Kurven.

Die Konsequenz: Wer DSA verwendet, muss darauf achten, dass ein guter Zufallszahlengenerator verwendet wird. Doch die Erfahrung zeigt, dass Probleme in Zufallszahlengeneratoren häufig sind. Das ist kein rein theoretisches Problem. Sony ist dieser Fehler beim Code-Signing der Playstation 3 unterlaufen. Damit konnten Angreifer den privaten Schlüssel von Sony regenerieren, ein Angriff, der als Fail-Overflow-Exploit bekanntwurde. Auch Bitcoin hatte bereits Probleme mit dieser Eigenschaft des ECDSA-Algorithmus, etwa in einigen Android-Clients für Bitcoins. Da die Bitcoin-Signaturen in der Blockchain öffentlich sind, konnten Angreifer die fehlerhaften Signaturen aufspüren und die Bitcoin-Konten der Betroffenen leerräumen.

Laut Bernstein ist die übliche Reaktion auf derartige Fehler, den Programmierern die Schuld zu geben. Vertritt man aber die Ansicht von Rivest, ist das falsch: Vielmehr ist die Schuld Bernstein zufolge ein kryptographischer Standard, durch den Programmierern leicht solche Fehler unterlaufen. Für DSA und ECDSA gibt es inzwischen - fast 20 Jahre später - mit RFC 6979 eine Spezifikation, der für das k keinen Zufallswert, sondern einen aus der Nachricht und dem privaten Schlüssel berechneten Wert verwendet. Damit ist gewährleistet, dass bei unterschiedlichen Eingaben sich der k-Wert nie wiederholt. Auch der von Bernstein mitentwickelte Signaturalgorithmus Ed25519 verwendet ein derartiges Konzept zur Vermeidung des Zufallszahlenproblems.

Seitenkanalangriffe auf AES 

eye home zur Startseite
__destruct() 13. Jan 2015

Der größte Angriffsvektor ist der Mensch, der keinen Bock darauf hat, Verschlüsselung...

hannob (golem.de) 12. Jan 2015

Danke für den Hinweis, das war tatsächlich ein Fehler im Artikel. Ich habe das jetzt...



Anzeige

Stellenmarkt
  1. BG-Phoenics GmbH, Hannover
  2. über Robert Half Technology, Hamburg (Home-Office möglich)
  3. BCC Unternehmensberatung GmbH, Eschborn bei Frankfurt am Main
  4. T-Systems on site services GmbH, München


Anzeige
Hardware-Angebote
  1. 699,00€
  2. 110,00€
  3. 1.299,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Mehr dazu im aktuellen Whitepaper von IBM
  3. Tipps für IT-Engagement in Fernost


  1. Autonomes Fahren

    Suchmaschinenkonzern Yandex baut fahrerlosen Bus

  2. No Man's Sky

    Steam wehrt sich gegen Erstattungen

  3. Electronic Arts

    Battlefield 1 setzt Gold, aber nicht Plus voraus

  4. Kaby Lake

    Intel stellt neue Chips für Mini-PCs und Ultrabooks vor

  5. Telefonnummern für Facebook

    Threema profitiert von Whatsapp-Datenaustausch

  6. Browser

    Google Cast ist nativ in Chrome eingebaut

  7. Master of Orion im Kurztest

    Geradlinig wie der Himmelsäquator

  8. EU-Kommission

    Apple soll 13 Milliarden Euro an Steuern nachzahlen

  9. Videocodec

    Für Netflix ist H.265 besser als VP9

  10. Weltraumforschung

    DFKI-Roboter soll auf dem Jupitermond Europa abtauchen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Avegant Glyph aufgesetzt: Echtes Kopfkino
Avegant Glyph aufgesetzt
Echtes Kopfkino

Next Gen Memory: So soll der Speicher der nahen Zukunft aussehen
Next Gen Memory
So soll der Speicher der nahen Zukunft aussehen
  1. Arbeitsspeicher DDR5 nähert sich langsam der Marktreife
  2. SK Hynix HBM2-Stacks mit 4 GByte ab dem dritten Quartal verfügbar
  3. Arbeitsspeicher Crucial liefert erste NVDIMMs mit DDR4 aus

Wiper Blitz 2.0 im Test: Kein spießiges Rasenmähen mehr am Samstag (Teil 2)
Wiper Blitz 2.0 im Test
Kein spießiges Rasenmähen mehr am Samstag (Teil 2)
  1. Softrobotik Oktopus-Roboter wird mit Gas angetrieben
  2. Warenzustellung Schweizer Post testet autonome Lieferroboter
  3. Lockheed Martin Roboter Spider repariert Luftschiffe

  1. Re: Der Grund ist... die Mehrheit hat kein...

    Thug | 06:19

  2. Re: Europäische Union einmischen

    gadthrawn | 06:17

  3. Re: Windows + Schnittstellen am Gerät

    Lasse Bierstrom | 06:07

  4. Re: Das sollte man mit anderen Konzernen auch machen

    Der Supporter | 05:18

  5. Re: "will fair behandelt werden"

    ClausWARE | 04:59


  1. 17:39

  2. 17:19

  3. 15:32

  4. 15:01

  5. 14:57

  6. 14:24

  7. 14:00

  8. 12:59


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel