Abo
  • Services:
Anzeige
Kryptographen versuchen herauszufinden, in welchen Situationen Hintertüren in Verschlüsselungsalgorithmen denkbar sind.
Kryptographen versuchen herauszufinden, in welchen Situationen Hintertüren in Verschlüsselungsalgorithmen denkbar sind. (Bild: Klearchos Kapoutsis, Wikimedia Commons/CC-BY 2.0)

DSA und Diffie Hellman: Primzahlen können Hintertür enthalten

Kryptographen versuchen herauszufinden, in welchen Situationen Hintertüren in Verschlüsselungsalgorithmen denkbar sind.
Kryptographen versuchen herauszufinden, in welchen Situationen Hintertüren in Verschlüsselungsalgorithmen denkbar sind. (Bild: Klearchos Kapoutsis, Wikimedia Commons/CC-BY 2.0)

Kryptographen ist es gelungen, einen Primzahlparameter für DSA und Diffie-Hellman zu erstellen, der eine geheime Hintertür enthält. Diskutiert wurde diese Möglichkeit schon vor 25 Jahren, doch trotz der Gefahr für die Sicherheit von Verschlüsselungen wurden oft keine Gegenmaßnahmen ergriffen.

Ein Zusammenschluss von Kryptographen, der sich Team Caramba nennt, hat es geschafft, eine 1024-Bit-Primzahl mit einer geheimen Hintertür zu erstellen. Wird eine derartige Primzahl für Signaturen mit dem Digital Signature Algorithm (DSA) oder für einen Schlüsselaustausch mit Diffie-Helllman eingesetzt, so kann derjenige, der die Primzahl erzeugt hat, die Verschlüsselung knacken oder Signaturen fälschen.

Anzeige

Diskussion auf der Eurocrypt 1992

Diskussionen darüber, dass Parameter von kryptographischen Algorithmen Hintertüren enthalten könnten, gibt es immer wieder. Der jetzt gezeigte Angriff geht dabei auf eine sehr alte Diskussion zurück. 1992 gab es auf der Eurocrypt-Konferenz eine Panel-Diskussion über die Möglichkeit einer Hintertür im DSA-Algorithmus. Die Grundlage des jetzigen Angriffs beschrieb Daniel Gordon ebenfalls bereits 1992. Für spezielle Primzahlen lässt sich das Zahlkörpersieb, der beste bekannte Algorithmus, um das hinter DSA und Diffie-Hellman stehende diskrete Logarithmusproblem zu berechnen, deutlich schneller erzeugen.

Die Kryptographen gingen damals überwiegend davon aus, dass eine solche Hintertür erkannt werden könnte. Das ist jedoch nicht der Fall. Wie Team Caramba jetzt zeigte, lässt sich in der Primzahl eine sogenannte Nobus-Backdoor (Nobody but us) verstecken. Derjenige, der die Primzahl festlegt, kann dies mit einer Methode machen, bei der er ein geheimes Polynom erhält. Nur mit diesem ist ein schnellerer Angriff möglich. Auf einem Cluster mit mehr als 2.000 Cores dauerte ein Angriff auf einen sogenannten diskreten Logarithmus mit einer solchen Hintertür-Primzahl mit 1.024 Bit ungefähr zwei Monate. Das ist um viele Größenordnungen schneller als ein normaler Angriff auf 1.024 Bit.

1.024 Bit gelten generell als nicht mehr sicher, allerdings ist es bislang noch niemandem gelungen, einen Angriff auf die normale Variante dieser Algorithmen - ohne Hintertür - öffentlich zu zeigen. Lediglich ein Angreifer, der teure Spezialhardware besitzt, wäre zu einem derartigen Angriff in der Lage. Nach wie vor verwenden viele Webserver einen Diffie-Hellman-Schlüsselaustausch mit dieser Größe.

Primzahlen unklarer Herkunft in RFC 5114 und in Apache

Da die Möglichkeit von Hintertüren in den Primzahlparametern schon vor langer Zeit diskutiert wurde, gibt es Verfahren, eine sogenannte Nothing-up-my-Sleeve-Zahl (NUMS) zu erzeugen. Beispielsweise kann eine mathematische Konstante wie Pi oder die Euler-Zahl e als Seed für das Verfahren genutzt werden. Allerdings verwenden viele verbreitete Standard-Primzahlen kein NUMS-Verfahren. In RFC 5114 beispielsweise werden Primzahlen verwendet, die angeblich mit einem Seed der US-Behörde Nist erstellt wurden. Allerdings ist dieser Seed nirgendwo dokumentiert und es ist nicht nachvollziehbar, wie diese Primzahlen erzeugt wurden. Der Apache-Webserver enthielt bis vor wenigen Jahren Standard-Parameter für den Diffie-Hellman-Schlüsselaustausch, die nicht geändert werden konnten. Für diese Parameter ist ebenfalls unklar, wie sie erzeugt wurden.

Es gibt jedoch auch andere Beispiele: RFC 7919 spezifiziert Primzahlen, die in TLS zum Einsatz kommen sollen. TLS 1.3 wird nur noch diese vordefinierten Primzahlen unterstützen. Diese Primzahlen verwenden als Seed die Zahl e.

Einige weitere Funde von Team Caramba sind zumindest bemerkenswert. So gibt es auch Primzahlen, für die sich die Hintertür leicht erkennen lässt und keine Kenntnis eines bestimmten Polynoms voraussetzt. 150 Internet-Server nutzen eine solche 512-Bit-Primzahl, und weitere 160 eine 1.024-Bit-Primzahl für den TLS-Schlüsselaustausch. In der Bibliothek libtomcrypt befinden sich ebenfalls mehrere Primzahlen dieser speziellen Form, die angreifbar sind. Allerdings fanden sich diese Primzahlen nirgendwo im realen Einsatz.

Parameter mit Hintertür 

eye home zur Startseite
Mingfu 14. Okt 2016

Ein einfacher Test wäre der Fermatsche Primzahltest. Real wird eher der Miller-Rabin...

Mingfu 12. Okt 2016

Nein, es sind keine schwachen Primzahlen im klassischen Sinne. Denn das Berechnen des...

Ovaron 12. Okt 2016

Sorgfalt bei der Formulierung der Satzaussage kann Leben retten. Auch hier wäre mehr...

Kleba 12. Okt 2016

Also wenn dann sollte ein "@Golem" in den Titel um die nötige Aufmerksamkeit zu erzeugen ;-)



Anzeige

Stellenmarkt
  1. Fresenius Medical Care Deutschland GmbH, Bad Homburg
  2. LEW Verteilnetz GmbH, Augsburg
  3. über Ratbacher GmbH, Raum Frankfurt am Main
  4. Allianz Deutschland AG, München-Unterföhring


Anzeige
Blu-ray-Angebote
  1. (u. a. Die Unfassbaren, Ghostbusters I & II, Jurassic World, Fast & Furious 7 Extended Version)
  2. 18,99€ (ohne Prime bzw. unter 29€-Einkaufswert zzgl. 3€ Versand)
  3. 29,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Verbraucherzentrale

    O2-Datenautomatik dürfte vor Bundesgerichtshof gehen

  2. TLS-Zertifikate

    Symantec verpeilt es schon wieder

  3. Werbung

    Vodafone will mit DVB-T-Abschaltung einschüchtern

  4. Zaber Sentry

    Mini-ITX-Gehäuse mit 7 Litern Volumen und für 30-cm-Karten

  5. Weltraumteleskop

    Erosita soll Hinweise auf Dunkle Energie finden

  6. Anonymität

    Protonmail ist als Hidden-Service verfügbar

  7. Sicherheitsbehörde

    Zitis soll von München aus Whatsapp knacken

  8. OLG München

    Sharehoster Uploaded.net haftet nicht für Nutzerinhalte

  9. Linux

    Kernel-Maintainer brauchen ein Manifest zum Arbeiten

  10. Micro Machines Word Series

    Kleine Autos in Kampfarenen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Glasfaser: Nun hängt die Kabel doch endlich auf!
Glasfaser
Nun hängt die Kabel doch endlich auf!
  1. Fake News Für Facebook wird es hässlich
  2. Nach Angriff auf Telekom Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  3. Soziales Netzwerk Facebook wird auch Instagram kaputt machen

Western Digital Pidrive im Test: Festplatte am Raspberry Pi leicht gemacht
Western Digital Pidrive im Test
Festplatte am Raspberry Pi leicht gemacht
  1. Sopine A64 Weiterer Bastelrechner im Speicherriegel-Format erscheint
  2. Bootcode Freie Firmware für Raspberry Pi startet Linux-Kernel
  3. Raspberry Pi Compute Module 3 ist verfügbar

Autonomes Fahren: Wenn die Strecke dem Zug ein Telegramm schickt
Autonomes Fahren
Wenn die Strecke dem Zug ein Telegramm schickt
  1. Fahrgastverband "WLAN im Zug funktioniert ordentlich"
  2. Deutsche Bahn WLAN im ICE wird kostenlos
  3. Mobilfunk Telekom baut LTE an Regionalbahnstrecken aus

  1. Re: Von Trump ist keine Rede

    torrbox | 03:37

  2. Re: Mahngebühren und Zahlungsverzug stecken...

    torrbox | 03:29

  3. Re: Es wird immer was vergessen

    wasdeeh | 03:28

  4. Re: Gefällt mir

    Cohaagen | 03:08

  5. Re: Naja, ganz so klar ist das auch nicht

    logged_in | 02:50


  1. 19:03

  2. 18:45

  3. 18:27

  4. 18:12

  5. 17:57

  6. 17:41

  7. 17:24

  8. 17:06


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel