Abo
  • Services:
Anzeige
Das Vertrauen in die Standardisierungsbehörde Nist bröckelt.
Das Vertrauen in die Standardisierungsbehörde Nist bröckelt. (Bild: Nist)

Elliptische Kurven: Die Herkunft der Nist-Kurven

Nach den jüngsten Enthüllungen fragen sich Kryptographen, welche Algorithmen von der NSA beeinflusst sein könnten. Zweifel bestehen auch bei elliptischen Kurven, die für Public-Key-Kryptographie eingesetzt werden.

Anzeige

"Ich vertraue diesen Konstanten nicht mehr", schreibt Bruce Schneier in einem Blogkommentar über die Kryptographie mit elliptischen Kurven. "Ich glaube, dass die NSA diese durch ihre Verbindungen zur Industrie manipuliert hat."

Es ist eine bemerkenswerte Aussage. Kryptographie-Guru Bruce Schneier stellt damit einen wichtigen Kryptographiestandard infrage: die Verschlüsselung mit den elliptischen Kurven, die 1999 von der US-Behörde Nist (National Institute of Standards and Technology) standardisiert wurden. Anders als der Zufallsgenerator Dual_EC_DRBG, um den es in den vergangenen Tagen ebenfalls zahlreiche Spekulationen gab, werden die Nist-Kurven tatsächlich in vielen realen Anwendungen eingesetzt.

Der Hintergrund: Elliptische Kurven sind eine mathematische Struktur, in der sich bestimmte Kryptographieverfahren wie Diffie-Hellman oder ElGamal durchführen lassen. Die Verfahren kommen mit deutlich kürzeren Schlüssellängen aus als klassische Verfahren und sind dadurch schneller. Es gibt zahlreiche unterschiedliche elliptische Kurven. Zwar wäre es theoretisch auch möglich, für jede Verschlüsselung oder Signatur eine eigene Kurve zu erstellen, aber aus Gründen der Performance und der Einfachheit verwendet man üblicherweise standardisierte Kurven.

Kurven mit Hashverfahren erstellt

Manche Kryptographen vermuten, dass es bestimmte Kurven geben könnte, in denen die Verschlüsselung unsicherer ist und sich angreifen lässt. Um den Verdacht solcher Manipulationen nicht entstehen zu lassen, wurden die Kurvenparameter mit Hilfe der Hash-Funktion SHA-1 erstellt. Die Idee dabei: Da SHA-1 eine nicht umkehrbare Funktion ist, ist es nicht möglich, damit spezielle manipulierte Werte zu erstellen.

Das Problem: Als Eingabe für die Hash-Funktion wurden Werte verwendet, deren Herkunft unklar ist. Im Normalfall würde man hier einen trivialen Wert wie 0 oder 1 oder universelle Konstanten wie e oder Pi verwenden. Das Nist hat aber andere Werte verwendet, für die Kurve P-192 lautet dieser etwa 3045ae6f c8422f64 ed579528 d38120ea e12196d5. Geschrieben wurde der Standard von Jerry Solinas, einem Mitarbeiter der NSA.

Hintertür möglich

Es wäre theoretisch möglich, dass der NSA eine bestimmte Zahl von Kurven mit Hintertüren bekannt war - etwa eine aus einer Million. Dann könnte man so lange probieren, geeignete Werte für die SHA-1-Funktion zu finden, bis eine schwache Kurve dabei herauskommt.

Die Kryptographen Tanja Lange und Dan Bernstein haben im Mai - noch vor den Snowden-Enthüllungen - in einem Vortrag auf dieses und weitere Probleme der Nist-Kurven hingewiesen. Sie sind damit nicht die Ersten. Bereits 2005 wiesen die Autoren des Brainpool-Standards auf dieses Problem hin. Die Brainpool-Kurven sind eine mögliche Alternative zu den Nist-Kurven, werden aber nur selten eingesetzt.

"Ein Angreifer, der eine solche verwundbare Kurve konstruiert, müsste deutlich mehr wissen als die öffentlich bekannte Forschung", erklärte Tanja Lange Golem.de. "Nach den neuesten Enthüllungen bin ich mir nicht mehr sicher, ob meine Aussagen zu den Kurven nur paranoide Spekulation waren. Ich werde jetzt nochmal alle Eigenschaften der Nist-Kurven genau untersuchen - aber ich erwarte, dabei nichts zu finden."

Selbst im Nist werden kritische Stimmen laut. "Wenn die NSA ein Programm hat, um bewusst Schwächen in Kryptographiestandards einzufügen und dies bei mindestens einem Nist-Standard getan hat, dann sind alle Parameter mit möglichen Hintertüren beängstigend", schrieb Nist-Mitarbeiter John Kelsey kürzlich auf einer Mailingliste. "Wir können diese unmöglich in Standards belassen, von denen wir wollen, dass sie benutzt werden."

Alternative Curve25519

Lange und Bernstein empfehlen statt der Nist-Kurven die Nutzung von Curve25519. Diese wurde von Bernstein selbst entwickelt. "Auch aus anderen Gründen ist das sinnvoll", so Lange. "Die Implementierung der Nist-Kurven ist sehr fehleranfällig. Das liegt aber vermutlich nicht an bösem Willen, sondern daran, dass damals die Erforschung der elliptischen Kurven noch nicht so weit war."

Für die Nist-Kurven existieren zahlreiche Standards, sie lassen sich in bestehenden Anwendungen nicht einfach durch Alternativen wie Curve25519 ersetzen. So gibt es etwa bislang keine in Standards festgeschriebene Möglichkeit, Curve25519 zur Absicherung von TLS-Verbindungen zu nutzen. Es gibt hierzu aber erste Vorschläge.

Das Nist hat uns auf Anfrage eine Stellungnahme versprochen, bisher haben wir diese jedoch nicht erhalten.


eye home zur Startseite
narea 16. Sep 2013

Bei mir war der artikel irgendwie nicht mal auf der startseite - ich bin durch zufall...

jayrworthington 14. Sep 2013

Du meinst so, wie wenn ein Paar der 1000ende Augen in Debian's OpenSSL ein "memory leak...

nectan 13. Sep 2013

Kenne den Artikel. Ja, gerade wegen dem Artikel habe ich meinen Kommentar hier...

Henny T 13. Sep 2013

Man kann wirksame Maßnahmen ergreifen um sich selbst etwas, wenn auch nur etwas, aus der...



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, Leinfelden-Echterdingen
  2. Deutschlandradio, Berlin
  3. POLYTEC PLASTICS Germany GmbH & Co. KG, Lohne
  4. operational services GmbH & Co. KG, Braunschweig


Anzeige
Blu-ray-Angebote
  1. (u. a. Homefront 7,97€, The Wave 6,97€, Lone Survivor 6,97€)
  2. 5,49€
  3. (u. a. Jurassic World, Fast & Furious 7, Die Unfassbaren, Interstellar, Terminator 5)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Tipps für IT-Engagement in Fernost


  1. C-94

    Cratoni baut vernetzten Fahrradhelm mit Crash-Sensor

  2. Hybridluftschiff

    Airlander 10 streifte Überlandleitung

  3. Smartphones

    Apple will Diebe mit iPhone-Technik überführen

  4. 3D-Flash

    Intel veröffentlicht gleich sechs neue SSD-Reihen

  5. Galaxy Tab S

    Samsung verteilt Update auf Android 6.0

  6. Verschlüsselung

    OpenSSL veröffentlicht Version 1.1.0

  7. DJI Osmo+

    Drohnenkamera am Selfie-Stick

  8. Kaffeehaus lädt Smartphone

    Starbucks testet Wireless Charging in Deutschland

  9. Power9

    IBMs 24-Kern-Chip kann 8 TByte RAM pro Sockel nutzen

  10. Für Werbezwecke

    Whatsapp teilt alle Telefonnummern mit Facebook



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Next Gen Memory: So soll der Speicher der nahen Zukunft aussehen
Next Gen Memory
So soll der Speicher der nahen Zukunft aussehen
  1. Arbeitsspeicher DDR5 nähert sich langsam der Marktreife
  2. SK Hynix HBM2-Stacks mit 4 GByte ab dem dritten Quartal verfügbar
  3. Arbeitsspeicher Crucial liefert erste NVDIMMs mit DDR4 aus

Wiper Blitz 2.0 im Test: Kein spießiges Rasenmähen mehr am Samstag (Teil 2)
Wiper Blitz 2.0 im Test
Kein spießiges Rasenmähen mehr am Samstag (Teil 2)
  1. Warenzustellung Schweizer Post testet autonome Lieferroboter
  2. Lockheed Martin Roboter Spider repariert Luftschiffe
  3. Kinderroboter Myon Einauge lernt, Einauge hat Körper

8K- und VR-Bilder in Rio 2016: Wenn Olympia zur virtuellen Realität wird
8K- und VR-Bilder in Rio 2016
Wenn Olympia zur virtuellen Realität wird
  1. 400 MBit/s Telefónica und Huawei starten erstes deutsches 4.5G-Netz
  2. Medienanstalten Analoge TV-Verbreitung bindet hohe Netzkapazitäten
  3. Mehr Programme Vodafone Kabel muss Preise für HD-Einspeisung senken

  1. Re: Oder einfach USB kabel

    RicoBrassers | 10:17

  2. guckst Du DXOMark und andre Tests

    jo-1 | 10:17

  3. Re: Tja...und Threema will selbst niemand...

    unbuntu | 10:16

  4. Re: Wer nicht Telegram nutzt

    unbuntu | 10:15

  5. hypokritisch bis zum Anschlag

    jude | 10:15


  1. 10:20

  2. 09:55

  3. 09:38

  4. 09:15

  5. 08:56

  6. 08:21

  7. 08:05

  8. 07:31


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel