Abo
  • Services:
Anzeige
Kryptographische Angriffe mit handelsüblichen Grafikkarten sind deutlich günstiger.
Kryptographische Angriffe mit handelsüblichen Grafikkarten sind deutlich günstiger. (Bild: GBPublic_PR/Wikimedia Commons/CC by 2.0)

Verschlüsselung: Parallele Angriffe auf RSA-Schlüssel mit 1.024 Bit

Kryptographische Angriffe mit handelsüblichen Grafikkarten sind deutlich günstiger.
Kryptographische Angriffe mit handelsüblichen Grafikkarten sind deutlich günstiger. (Bild: GBPublic_PR/Wikimedia Commons/CC by 2.0)

Kurze RSA-Schlüssel lassen sich schneller und günstiger brechen, wenn man einen Angriff auf viele Schlüssel gleichzeitig durchführt. Insbesondere bei DNSSEC sind RSA-Schlüssel mit 1.024 Bit noch in breitem Einsatz.

Anzeige

Die Kryptographen Daniel Bernstein und Tanja Lange haben den aktuellen Forschungsstand zu Angriffen auf RSA-Schlüssel untersucht. Dabei legten sie insbesondere ein Augenmerk auf parallele Angriffe auf viele RSA-Schlüssel. Viele Annahmen, mit denen der Einsatz von kurzen RSA-Schlüsseln begründet wird, seien nicht zutreffend, so Lange und Bernstein.

Bereits seit 2003 Warnungen

RSA ist das am häufigsten eingesetzte Public-Key-Verfahren, es ist in wichtigen Verschlüsselungsprotokollen wie OpenPGP oder TLS das Standardverfahren. Lange Zeit waren RSA-Schlüssel mit einer Länge von 1.024 Bit üblich. Bereits 2003 warnte Adi Shamir, einer der Erfinder von RSA, davor, dass solche Schlüssel nicht mehr sicher seien und ein Umstieg auf größere Schlüssellängen wie 2.048 oder 4.096 Bit anzuraten sei.

Angriffe auf RSA basieren auf der Faktorisierung großer Zahlen. Ein öffentlicher RSA-Schlüssel besteht unter anderem aus dem Produkt zweier Primzahlen. Wenn man diese Zahl in ihre Faktoren zerlegen kann, dann könne daraus der geheime Schlüssel berechnet werden. Der beste bisher bekannte Algorithmus zur Faktorisierung großer Zahlen ist das sogenannte Zahlkörpersieb (Number Field Sieve oder NFS).

Sämtliche Angriffsszenarien auf 1.024-Bit-RSA gehen davon aus, dass die Schlüssel mit großen Clustern angegriffen werden, die Kosten lägen in Millionenhöhe und die Berechnung würde Monate oder Jahre dauern. Daher hat es bisher auch noch keinen öffentlich bekannten Angriff auf solche Schlüssel gegeben. Doch die Schätzungen, was ein erfolgreicher Angriff kosten würde, werden immer weiter nach unten korrigiert. Dafür sorgt alleine schon der Fortschritt der Hardwareentwicklung, im vergangenen Jahr schätzte Eran Tromer die Kosten auf unter eine Million Dollar.

Bei DNSSEC sind 1.024 Bit verbreitet

Trotz der Warnungen kommt RSA mit 1.024 Bit immer noch zum Einsatz. Besonders verbreitet sind die kurzen RSA-Schlüssel bei DNSSEC. DNSSEC sieht unterschiedliche Schlüsselarten für verschiedene Zwecke vor - sogenannte Key-Signing-Keys, die üblicherweise längere Schlüssel verwenden, und Zone-Signing-Keys, die oft rotiert werden. Noch im Jahr 2012 wurde im Standard RFC 6781 festgehalten, dass 1.024-Bit-RSA-Schlüssel für die nächsten zehn Jahre für den Einsatz bei DNSSEC als sicher gelten können.

Dieser Einschätzung widersprechen Bernstein und Lange. Die DNSSEC-Autoren berücksichtigten nur Angriffe auf einzelne Schlüssel und führten an, dass ein Angriff viel zu teuer und zeitaufwendig wäre. Ein finanzstarker Angreifer könnte jedoch, statt nur einzelne Schlüssel anzugreifen, gleich einen Angriff auf viele Schlüssel parallel durchführen. Der Angriff auf einen einzelnen Schlüssel würde damit deutlich günstiger ausfallen. "Besonders bemerkenswert ist, dass für die optimale Wahl der Parameter die Wartezeit für einen Angriff sogar kürzer ist", sagte Lange gegenüber Golem.de.

Parallele Angriffe auf mehrere Schlüssel

Bernstein und Lange betrachten in ihrem Paper den Aufwand für Angriffe mit einem Batch-NFS-Verfahren, das die Faktorisierung vieler Zahlen gleichzeitig durchführt. Dabei seien einige Einsparungen möglich. Die üblichen Betrachtungen für Angriffe auf einzelne Keys setzen üblicherweise teure Spezialhardware voraus, aber laut Bernstein und Lange gelten dieselben Annahmen nicht für Angriffe auf mehrere Schlüssel. Die dortigen Berechnungen lassen sich vielmehr sehr gut mit handelsüblichen Grafikkarten durchführen. Genaue Kostenabschätzungen liefert das Paper jedoch nicht.

Der Grund, weshalb DNSSEC nach wie vor auf kurze RSA-Schlüssel setzt, sind zum einen Vorbehalte bei der Performance, zum anderen versucht man, die Menge der Signaturdaten, die in einem DNS-Record untergebracht sind, möglichst gering zu halten. Mit Verfahren auf Basis elliptischer Kurven könnte man jedoch schnellere Signaturen nutzen, die weniger Daten enthalten.

Doch nicht nur bei DNSSEC kommen 1.024-Bit-Schlüssel zum Einsatz. Auch in Webbrowsern werden nach wie vor Root-Zertifikate mitgeliefert, die RSA mit 1.024 Bit nutzen. Mozilla hat kürzlich angekündigt, dass man im Laufe des nächsten Jahres alle verbleibenden derartigen Root-Zertifikate entfernen möchte. Bei den Root-Zertifikaten ist der Einsatz schwacher Schlüssel besonders problematisch, denn hier reicht bereits ein einziger gebrochener Schlüssel, um gefälschte Zertifikate für nahezu beliebige Webseiten zu erstellen. Eine Ausnahme sind lediglich Webseiten, die sogenanntes Key-Pinning einsetzen, doch diese sind noch rar.


eye home zur Startseite
gizless 11. Nov 2014

Das klingt für mich nach Unsinn. Erkläre doch mal bitte, wie symetrische Verfahren den...



Anzeige

Stellenmarkt
  1. FERCHAU Engineering GmbH, Region Zwickau und Chemnitz
  2. Robert Bosch GmbH, Crailsheim
  3. Robert Bosch GmbH, Leonberg
  4. Hemmersbach GmbH & Co. KG, Nürnberg


Anzeige
Spiele-Angebote
  1. 299,00€
  2. 349,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  2. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  3. Mit digitalen Workflows Geschäftsprozesse agiler machen


  1. Teilzeitarbeit

    Amazon probiert 30-Stunden-Woche aus

  2. Archos

    Neues Smartphone mit Fingerabdrucksensor für 150 Euro

  3. Sicherheit

    Operas Server wurden angegriffen

  4. Maru

    Quellcode von Desktop-Android als Open Source verfügbar

  5. Linux

    Kernel-Sicherheitsinitiative wächst "langsam aber stetig"

  6. VR-Handschuh

    Dexta Robotics' Exoskelett für Motion Capturing

  7. Dragonfly 44

    Eine Galaxie fast ganz aus dunkler Materie

  8. Gigabit-Breitband

    Google Fiber soll Alphabet zu teuer sein

  9. Google-Steuer

    EU-Kommission plädiert für europäisches Leistungsschutzrecht

  10. Code-Gründer Thomas Bachem

    "Wir wollen weg vom Frontalunterricht"



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Next Gen Memory: So soll der Speicher der nahen Zukunft aussehen
Next Gen Memory
So soll der Speicher der nahen Zukunft aussehen
  1. Arbeitsspeicher DDR5 nähert sich langsam der Marktreife
  2. SK Hynix HBM2-Stacks mit 4 GByte ab dem dritten Quartal verfügbar
  3. Arbeitsspeicher Crucial liefert erste NVDIMMs mit DDR4 aus

Wiper Blitz 2.0 im Test: Kein spießiges Rasenmähen mehr am Samstag (Teil 2)
Wiper Blitz 2.0 im Test
Kein spießiges Rasenmähen mehr am Samstag (Teil 2)
  1. Softrobotik Oktopus-Roboter wird mit Gas angetrieben
  2. Warenzustellung Schweizer Post testet autonome Lieferroboter
  3. Lockheed Martin Roboter Spider repariert Luftschiffe

8K- und VR-Bilder in Rio 2016: Wenn Olympia zur virtuellen Realität wird
8K- und VR-Bilder in Rio 2016
Wenn Olympia zur virtuellen Realität wird
  1. 400 MBit/s Telefónica und Huawei starten erstes deutsches 4.5G-Netz
  2. Medienanstalten Analoge TV-Verbreitung bindet hohe Netzkapazitäten
  3. Mehr Programme Vodafone Kabel muss Preise für HD-Einspeisung senken

  1. Re: 30 Stunden auf Abruf ?!?

    Pete Sabacker | 00:00

  2. Re: WC`ehn müsste Linux mittelfristg (ab 2020)

    grslbr | 27.08. 23:55

  3. Re: Gibt es einen Lagerarbeitsplatz, wo es einem...

    DrWatson | 27.08. 23:51

  4. Re: Teure Geräte

    t3st3rst3st | 27.08. 23:50

  5. Re: Was für ein Unfug...

    Trockenobst | 27.08. 23:49


  1. 15:59

  2. 15:18

  3. 13:51

  4. 12:59

  5. 15:33

  6. 15:17

  7. 14:29

  8. 12:57


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel