Abo
  • Services:
Anzeige
Spezialchip zum Angriff auf das Verschlüsselungsverfahren DES
Spezialchip zum Angriff auf das Verschlüsselungsverfahren DES (Bild: Electronic Frontier Foundation)

RSA, zu kurze Schlüssel und das Padding

Anzeige

Bei den asymmetrischen Verschlüsselungsverfahren, also Verfahren, bei denen ein öffentlicher und ein privater Schlüssel genutzt werden, heißt der wichtigste Algorithmus immer noch RSA. Das Verfahren wurde 1977 von Ron Rivest, Adi Shamir und Leonard Adleman entwickelt und basiert auf dem Faktorisierungsproblem. Die Faktorisierung großer Zahlen gilt als schwieriges Problem und die Sicherheit von RSA hängt davon ab.

In den 90er Jahren wurde RSA mit Schlüssellängen zwischen 512 und 1.024 Bit genutzt. Das entsprach etwa den Möglichkeiten des damals aufkommenden Programms Pretty Good Privacy (PGP). 1999 wurde zum ersten Mal eine 512-Bit-Zahl faktorisiert. 2003 warnte Adi Shamir, einer der Erfinder des Verfahrens, dass auch RSA mit einer Schlüssellänge von 1.024 Bit nicht mehr sicher ist. Verbesserungen bei Faktorisierungsalgorithmen und die Möglichkeit von Spezialhardware würden es einem finanzkräftigen Angreifer ermöglichen, derartige Schlüssel zu brechen.

Eran Tromer, ein ehemaliger Student von Adi Shamir, geht inzwischen davon aus, dass die Kosten für einen derartigen Supercomputer bei etwa einer Million Dollar liegen. Dass die NSA derartige Schlüssel brechen kann, daran dürften kaum noch Zweifel bestehen. Die Frage ist allerdings: Ist sie auch in der Lage, 1.024-Bit-Schlüssel in großer Zahl zu brechen und somit - ganz praktisch - den Internetverkehr zu überwachen?

RSA mit 1.024 Bit wird nach wie vor von vielen HTTPS-Webseiten eingesetzt, auch das Anonymisierungsnetzwerk Tor arbeitet mit solch kurzen RSA-Schlüsseln.

Ein weiterer Aspekt bei RSA ist das Padding-Verfahren. Bevor ein Datenblock mit RSA verschlüsselt oder signiert werden kann, findet ein Vorverarbeitungsschritt statt. Fast alle RSA-Implementierungen nutzen hierbei noch das veraltete Verfahren aus dem Standard PKCS #1 1.5. Das hat zwar keine bekannten Sicherheitsprobleme, allerdings ist es sehr leicht möglich, PKCS #1 1.5 in unsicherer Art und Weise zu implementieren.

Die beiden Kryptographen Mihir Bellare und Philip Rogaway haben bereits 1994 zwei bessere Padding-Verfahren vorgeschlagen: OAEP für die RSA-Verschlüsselung und PSS für RSA-Signaturen. Sie sind im Standard PKCS #1 2.1 spezifiziert. Leider nutzt bislang fast niemand OAEP oder PSS.

Fazit: Zehn Jahre, nachdem der Erfinder von RSA vor seinem eigenen Algorithmus gewarnt hat, ist es höchste Zeit, diese Warnung ernst zu nehmen. RSA-Schlüssel mit einer Länge von 1.024 Bit sollten nicht mehr genutzt werden. 2.048 Bit gelten als sicher. Wer paranoid ist, kann auch 4.096 Bit verwenden, fast alle Anwendungen unterstützen das. OAEP und PSS sind älteren Padding-Verfahren vorzuziehen, sie werden allerdings bislang von Protokollen und Software kaum unterstützt.

 Verschlüsselungsmodi - CBC und HMACDSA, ElGamal und Diffie-Hellman 

eye home zur Startseite
krüptoscheff 13. Mai 2015

Auch deine tollen "Regierungsmittel" bringen rein garnichts bei AES256. Selbst wenn du...

nur so 28. Jan 2014

Was sind bei dir "echte Zufallszahlen"? Nur weil etwas aus der Natur per Geräusch...

hardwerker 09. Dez 2013

Arcady, du schreibst an den Fakten vorbei, Enigma hat sich nicht bewährt, sondern wurde...

Tiberius Kirk 08. Dez 2013

He, die Seite gibt's ja wirklich! Allerdings hat die wohl eine ganz eigene...

Goody 19. Okt 2013

Sqrt(2^256) = 2^(256 / 2) = 2^128 Hier geht es um Bit Verschlüsselung. Richtig...



Anzeige

Stellenmarkt
  1. Stabilus GmbH, Koblenz
  2. DATAGROUP Köln GmbH, Köln (Home-Office)
  3. Versicherungskammer Bayern, München
  4. Bizerba SE & Co. KG, Balingen


Anzeige
Top-Angebote
  1. 189,00€ + 4,99€ Versand (Vergleichspreis 224€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Delid Die Mate 2

    Prozessoren köpfen leichter gemacht

  2. Rückzieher

    Assange will nun doch nicht in die USA

  3. Oracle

    Critical-Patch-Update schließt 270 Sicherheitslücken

  4. Android 7.0

    Samsung verteilt Nougat-Update für S7-Modelle

  5. Forcepoint

    Carbanak nutzt Google-Dienste für Malware-Hosting

  6. Fabric

    Google kauft Twitters App-Werkzeuge mit Milliarden Nutzern

  7. D-Link

    Büro-Switch mit PoE-Passthrough - aber wenig Anschlüssen

  8. Flash und Reader

    Adobe liefert XSS-Lücke als Sicherheitsupdate

  9. GW4 und Mont-Blanc-Projekt

    In Europa entstehen zwei ARM-Supercomputer

  10. Kabelnetz

    Vodafone stellt Bayern auf 1 GBit/s um



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Glasfaser: Nun hängt die Kabel doch endlich auf!
Glasfaser
Nun hängt die Kabel doch endlich auf!
  1. Fake News Für Facebook wird es hässlich
  2. Nach Angriff auf Telekom Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  3. Soziales Netzwerk Facebook wird auch Instagram kaputt machen

Western Digital Pidrive im Test: Festplatte am Raspberry Pi leicht gemacht
Western Digital Pidrive im Test
Festplatte am Raspberry Pi leicht gemacht
  1. Sopine A64 Weiterer Bastelrechner im Speicherriegel-Format erscheint
  2. Bootcode Freie Firmware für Raspberry Pi startet Linux-Kernel
  3. Raspberry Pi Compute Module 3 ist verfügbar

Autonomes Fahren: Wenn die Strecke dem Zug ein Telegramm schickt
Autonomes Fahren
Wenn die Strecke dem Zug ein Telegramm schickt
  1. Fahrgastverband "WLAN im Zug funktioniert ordentlich"
  2. Deutsche Bahn WLAN im ICE wird kostenlos
  3. Mobilfunk Telekom baut LTE an Regionalbahnstrecken aus

  1. Re: Mozilla und das offene Web: Erstmal EME...

    Vollbluthonk | 20:10

  2. From hero to zero

    WoainiLustig | 20:09

  3. Re: Wie ist das bei AMD?

    tg-- | 20:08

  4. Re: Bitte nicht mit Sandy Bridge CPUs verwenden !!

    ms (Golem.de) | 20:06

  5. Re: "Sentence Commuted" IST NICHT GLEICH PARDON

    VI | 20:05


  1. 18:28

  2. 18:07

  3. 17:51

  4. 16:55

  5. 16:19

  6. 15:57

  7. 15:31

  8. 15:21


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel