Abo
  • Services:

Seitenkanalangriffe auf AES

Bernstein zieht ein weiteres, etwas anderes Beispiel heran: Der AES-Verschlüsselungsalgorithmus. 2005 fand ein Team um Adi Shamir ein Problem im Linux-Kernel. Durch einen Timing-Angriff konnte ein Nutzer den Schlüssel für die Festplattenverschlüsselung des Systems herausfinden, der Angriff dauerte nur wenige Millisekunden. Das Problem hierbei ist laut Bernstein, dass praktisch alle schnellen AES-Implementierungen Tabellen vorberechnen. Die Abfrage der Tabellen ist sehr anfällig für verschiedene Seitenkanalangriffe, da sie den Prozessor-Cache und somit die Ladezeit beeinflusst. 2012 und 2014 gab es weitere Untersuchungen, die ähnliche Angriffe auf AES-Implementierungen zeigte.

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart
  2. Robert Bosch GmbH, Abstatt

Bernstein warnte an dieser Stelle, dass die Anzahl der veröffentlichten wissenschaftlichen Papers über einen Algorithmus kein Indikator für die Sicherheit sei. Für Akademiker sei eine derartige Situation von Vorteil, da sie immer weitere Papers veröffentlichen könnten, die neue Angriffe zeigten. Bei AES gibt es laut Bernstein schwerwiegende Konflikte zwischen Sicherheit, Einfachheit der Implementierung und der Geschwindigkeit.

Die einfachste Implementierung soll sicher sein

Bernsteins Lösungsansatz: Algorithmen sollten so gestaltet sein, dass die einfachste Implementierung automatisch auch die schnellste und die sicherste Implementierung ist. Das sei durchaus möglich, denn neuere Verschlüsselungsalgorithmen seien oft sogar schneller als AES und hätten einen eingebauten Schutz gegen Seitenkanalangriffe. Bernstein wirbt damit indirekt für die Verwendung seiner eigenen Algorithmen: Die von ihm entwickelte Stromverschlüsselung Salsa20 folgt genau diesen Designkriterien und war der Gewinner des ESTREAM-Wettbewerbs. Der Salsa20-Nachfolger mit dem Namen Chacha20 wird inzwischen bereits von Google und einigen anderen Webseiten eingesetzt, eine Standardisierung innerhalb von TLS dürfte in Kürze erfolgen. Auch die von Bernstein entwickelte, elliptische Kurve Curve25519 versucht Seitenkanalangriffe zu verhindern. Um die Standardisierung dieser Kurve wird zurzeit in der Kryptographie-Arbeitsgruppe der IETF gerungen.

Ein Problem sieht Bernstein darin, dass Wissenschaftler sich oft das einfachste Ziel für ihre Analysen aussuchten. So gebe es deutlich mehr Untersuchungen der mathematischen Grundlagen von ECDSA als von ECDSA selbst. Andererseits gebe es mehr Analysen von ECDSA als von den konkreten Protokollen und Implementierungen, in denen ECDSA real eingesetzt werde.

Einige Seitenhiebe verteilte Bernstein zu der sogenannten "beweisbaren Sicherheit": Dieser Forschungszweig habe oft zweifelhafte Ziele und führe manchmal dazu, dass bestimmte Dinge bewiesen würden, die in der Praxis völlig irrelevant seien. Einige Forscher hätten die Tendenz, die grundlegenden Primitiven immer weiter zu schwächen, damit sie beweisen könnten, dass das Gesamtdesign eines Protokolls mindestens so sicher sei wie die grundlegenden Krypto-Primitiven. Probleme wie Seitenkanalangriffe würden bei Sicherheitsbeweisen oft ignoriert. Ein besonderes Problem besteht laut Bernstein darin, dass die Sicherheitsbeweise oft Fehler enthalten, die niemand bemerkt. Bernstein sagte aber auf Nachfragen aus dem Publikum, dass er Sicherheitsbeweise nicht generell für schlecht hält.

Krypto-Horrorgeschichte HTTPS

Zum Abschluss nannte Bernstein als weiteres Negativbeispiel für schlecht umgesetzte Kryptographie HTTPS. Zwar sei zu hoffen, dass durch Let's Encrypt mehr Menschen überhaupt verschlüsselte HTTPS-Verbindungen einsetzten, aber es stelle sich die Frage, wie sicher HTTPS sei. Dabei verwies Bernstein auf den Bleichenbacher-Angriff gegen RSA, der immer wieder zu Problemen führe. Obwohl das Problem seit über zehn Jahren bekannt ist, wurden noch im letzten Jahr neue Varianten des Angriffs in der Java-TLS-Bibliothek und in OpenSSL gefunden. Auch die CBC-Konstruktion in TLS bringe immer wieder Probleme. Das ganze Konzept eines Public-Key-Verschlüsselungssystems ist laut Bernstein ein historischer Fehler.

Gut findet Bernstein den Vorschlag OPTLS, der kürzlich in der TLS-Arbeitsgruppe der IETF eingereicht wurde. Aber die Arbeitsgruppe werde den Vorschlag vermutlich ablehnen, so Bernstein, weil das ganze Konzept sich extrem von allem unterscheidet, was man bisher in TLS gemacht hat.

 Dan J. Bernstein: Krypto-Algorithmen sicher designen
  1.  
  2. 1
  3. 2


Anzeige
Spiele-Angebote
  1. 14,99€ + 1,99€ Versand oder Abholung im Markt
  2. (u. a. Assassin's Creed Origins PC für 29€)
  3. (-72%) 5,55€
  4. 54,99€ mit Vorbesteller-Preisgarantie

__destruct() 13. Jan 2015

Der größte Angriffsvektor ist der Mensch, der keinen Bock darauf hat, Verschlüsselung...

hannob (golem.de) 12. Jan 2015

Danke für den Hinweis, das war tatsächlich ein Fehler im Artikel. Ich habe das jetzt...


Folgen Sie uns
       


Xbox E3 2018 Pressekonferenz - Golem.de Live

Große Gefühle beim E3-2018-Livestream von Microsoft: Erlebt mit uns die Ankündigungen von Halo Infinite, Gears 5, Sekiro, Cyberpunk 2077 und vielem mehr.

Xbox E3 2018 Pressekonferenz - Golem.de Live Video aufrufen
Automatisiertes Fahren: Der schwierige Weg in den selbstfahrenden Stau
Automatisiertes Fahren
Der schwierige Weg in den selbstfahrenden Stau

Der Staupilot im neuen Audi A8 soll der erste Schritt auf dem Weg zum hochautomatisierten Fahren sein. Doch die Verhandlungen darüber, was solche Autos können müssen, sind sehr kompliziert. Und die Tests stellen Audi vor große Herausforderungen.
Ein Bericht von Friedhelm Greis

  1. Nach tödlichem Unfall Uber entlässt 100 Testfahrer für autonome Autos
  2. Autonomes Fahren Daimler und Bosch testen fahrerlose Flotte im Silicon Valley
  3. Kooperationen vereinbart Deutschland setzt beim Auto der Zukunft auf China

Indiegames-Rundschau: Schiffbruch, Anime und viel Brummbrumm
Indiegames-Rundschau
Schiffbruch, Anime und viel Brummbrumm

Gas geben, den weißen Hai besiegen und endlich die eine verlorene Socke wiederfinden: Die sommerlichen Indiegames bieten für jeden etwas - besonders fürs Spielen zu zweit.
Von Rainer Sigl

  1. Indiegames-Rundschau Schwerelose Action statt höllischer Qualen
  2. Indiegames-Rundschau Kampfkrieger und Abenteuer in 1001 Nacht
  3. Indiegames-Rundschau Mutige Mäuse und tapfere Trabbis

Krankenversicherung: Der Papierkrieg geht weiter
Krankenversicherung
Der Papierkrieg geht weiter

Die Krankenversicherung der Zukunft wird digital und direkt, aber eine tiefgreifende Disruption des Gesundheitswesens à la Amazon wird in Deutschland wohl ausbleiben. Die Beharrungskräfte sind zu groß.
Eine Analyse von Daniel Fallenstein

  1. Imagen Tech KI-System Osteodetect erkennt Knochenbrüche
  2. Medizintechnik Implantat wird per Ultraschall programmiert
  3. Telemedizin Neue Patienten für die Onlinepraxis

    •  /