Abo
  • Services:
Anzeige
Dan Bernstein fordert Algorithmen, bei denen man weniger falsch machen kann.
Dan Bernstein fordert Algorithmen, bei denen man weniger falsch machen kann. (Bild: Ordercrazy, Wikimedia Commons)

Seitenkanalangriffe auf AES

Anzeige

Bernstein zieht ein weiteres, etwas anderes Beispiel heran: Der AES-Verschlüsselungsalgorithmus. 2005 fand ein Team um Adi Shamir ein Problem im Linux-Kernel. Durch einen Timing-Angriff konnte ein Nutzer den Schlüssel für die Festplattenverschlüsselung des Systems herausfinden, der Angriff dauerte nur wenige Millisekunden. Das Problem hierbei ist laut Bernstein, dass praktisch alle schnellen AES-Implementierungen Tabellen vorberechnen. Die Abfrage der Tabellen ist sehr anfällig für verschiedene Seitenkanalangriffe, da sie den Prozessor-Cache und somit die Ladezeit beeinflusst. 2012 und 2014 gab es weitere Untersuchungen, die ähnliche Angriffe auf AES-Implementierungen zeigte.

Bernstein warnte an dieser Stelle, dass die Anzahl der veröffentlichten wissenschaftlichen Papers über einen Algorithmus kein Indikator für die Sicherheit sei. Für Akademiker sei eine derartige Situation von Vorteil, da sie immer weitere Papers veröffentlichen könnten, die neue Angriffe zeigten. Bei AES gibt es laut Bernstein schwerwiegende Konflikte zwischen Sicherheit, Einfachheit der Implementierung und der Geschwindigkeit.

Die einfachste Implementierung soll sicher sein

Bernsteins Lösungsansatz: Algorithmen sollten so gestaltet sein, dass die einfachste Implementierung automatisch auch die schnellste und die sicherste Implementierung ist. Das sei durchaus möglich, denn neuere Verschlüsselungsalgorithmen seien oft sogar schneller als AES und hätten einen eingebauten Schutz gegen Seitenkanalangriffe. Bernstein wirbt damit indirekt für die Verwendung seiner eigenen Algorithmen: Die von ihm entwickelte Stromverschlüsselung Salsa20 folgt genau diesen Designkriterien und war der Gewinner des ESTREAM-Wettbewerbs. Der Salsa20-Nachfolger mit dem Namen Chacha20 wird inzwischen bereits von Google und einigen anderen Webseiten eingesetzt, eine Standardisierung innerhalb von TLS dürfte in Kürze erfolgen. Auch die von Bernstein entwickelte, elliptische Kurve Curve25519 versucht Seitenkanalangriffe zu verhindern. Um die Standardisierung dieser Kurve wird zurzeit in der Kryptographie-Arbeitsgruppe der IETF gerungen.

Ein Problem sieht Bernstein darin, dass Wissenschaftler sich oft das einfachste Ziel für ihre Analysen aussuchten. So gebe es deutlich mehr Untersuchungen der mathematischen Grundlagen von ECDSA als von ECDSA selbst. Andererseits gebe es mehr Analysen von ECDSA als von den konkreten Protokollen und Implementierungen, in denen ECDSA real eingesetzt werde.

Einige Seitenhiebe verteilte Bernstein zu der sogenannten "beweisbaren Sicherheit": Dieser Forschungszweig habe oft zweifelhafte Ziele und führe manchmal dazu, dass bestimmte Dinge bewiesen würden, die in der Praxis völlig irrelevant seien. Einige Forscher hätten die Tendenz, die grundlegenden Primitiven immer weiter zu schwächen, damit sie beweisen könnten, dass das Gesamtdesign eines Protokolls mindestens so sicher sei wie die grundlegenden Krypto-Primitiven. Probleme wie Seitenkanalangriffe würden bei Sicherheitsbeweisen oft ignoriert. Ein besonderes Problem besteht laut Bernstein darin, dass die Sicherheitsbeweise oft Fehler enthalten, die niemand bemerkt. Bernstein sagte aber auf Nachfragen aus dem Publikum, dass er Sicherheitsbeweise nicht generell für schlecht hält.

Krypto-Horrorgeschichte HTTPS

Zum Abschluss nannte Bernstein als weiteres Negativbeispiel für schlecht umgesetzte Kryptographie HTTPS. Zwar sei zu hoffen, dass durch Let's Encrypt mehr Menschen überhaupt verschlüsselte HTTPS-Verbindungen einsetzten, aber es stelle sich die Frage, wie sicher HTTPS sei. Dabei verwies Bernstein auf den Bleichenbacher-Angriff gegen RSA, der immer wieder zu Problemen führe. Obwohl das Problem seit über zehn Jahren bekannt ist, wurden noch im letzten Jahr neue Varianten des Angriffs in der Java-TLS-Bibliothek und in OpenSSL gefunden. Auch die CBC-Konstruktion in TLS bringe immer wieder Probleme. Das ganze Konzept eines Public-Key-Verschlüsselungssystems ist laut Bernstein ein historischer Fehler.

Gut findet Bernstein den Vorschlag OPTLS, der kürzlich in der TLS-Arbeitsgruppe der IETF eingereicht wurde. Aber die Arbeitsgruppe werde den Vorschlag vermutlich ablehnen, so Bernstein, weil das ganze Konzept sich extrem von allem unterscheidet, was man bisher in TLS gemacht hat.

 Dan J. Bernstein: Krypto-Algorithmen sicher designen

eye home zur Startseite
__destruct() 13. Jan 2015

Der größte Angriffsvektor ist der Mensch, der keinen Bock darauf hat, Verschlüsselung...

hannob (golem.de) 12. Jan 2015

Danke für den Hinweis, das war tatsächlich ein Fehler im Artikel. Ich habe das jetzt...



Anzeige

Stellenmarkt
  1. Rohde & Schwarz Cybersecurity GmbH, Berlin
  2. WALHALLA Fachverlag, Regensburg
  3. OPITZ CONSULTING Deutschland GmbH, verschiedene Standorte
  4. LogPay Financial Services GmbH, Eschborn


Anzeige
Hardware-Angebote
  1. 56,08€ (Vergleichspreis ab ca. 65€)

Folgen Sie uns
       


  1. Fahrdienst

    London stoppt Uber, Protest wächst

  2. Facebook

    Mark Zuckerberg lenkt im Streit mit Investoren ein

  3. Merged-Reality-Headset

    Intel stellt Project Alloy ein

  4. Teardown

    Glasrückseite des iPhone 8 kann zum Problem werden

  5. E-Mail

    Adobe veröffentlicht versehentlich privaten PGP-Key im Blog

  6. Die Woche im Video

    Schwachstellen, wohin man schaut

  7. UAV

    Matternet startet Drohnenlieferdienst in der Schweiz

  8. Joint Venture

    Microsoft und Facebook verlegen Seekabel mit 160 Terabit/s

  9. Remote Forensics

    BKA kann eigenen Staatstrojaner nicht einsetzen

  10. Datenbank

    Börsengang von MongoDB soll 100 Millionen US-Dollar bringen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Metroid Samus Returns im Kurztest: Rückkehr der gelenkigen Kopfgeldjägerin
Metroid Samus Returns im Kurztest
Rückkehr der gelenkigen Kopfgeldjägerin
  1. Doom, Wolfenstein, Minecraft Nintendo kriegt große Namen
  2. Nintendo Das NES Classic Mini kommt 2018 noch einmal auf den Markt
  3. Nintendo Mario verlegt keine Rohre mehr

Galaxy Note 8 im Test: Samsungs teure Dual-Kamera-Premiere
Galaxy Note 8 im Test
Samsungs teure Dual-Kamera-Premiere
  1. Galaxy S8 und Note 8 Bixby-Button lässt sich teilweise deaktivieren
  2. Videos Youtube bringt HDR auf Smartphones
  3. Galaxy Note 8 im Hands on Auch das Galaxy Note sieht jetzt doppelt - für 1.000 Euro

Zukunft des Autos: "Unsere Elektrofahrzeuge sollen typische Porsche sein"
Zukunft des Autos
"Unsere Elektrofahrzeuge sollen typische Porsche sein"
  1. Concept EQA Mercedes elektrifiziert die Kompaktklasse
  2. GLC F-Cell Mercedes stellt SUV mit Brennstoffzelle und Akku vor
  3. ID Crozz VW stellt elektrisches Crossover vor

  1. Re: Reiner Zufall...

    ArcherV | 16:47

  2. Re: Und bei DSL?

    Ovaron | 16:46

  3. Re: hmmm

    derJimmy | 16:43

  4. Re: Wieviel Energie benötigt es, um von Europa...

    Ovaron | 16:42

  5. Re: Wie soll das in der freien Wildbahn...

    lear | 16:29


  1. 15:37

  2. 15:08

  3. 14:28

  4. 13:28

  5. 11:03

  6. 09:03

  7. 17:43

  8. 17:25


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel