Abo
  • Services:

Seitenkanalangriffe auf AES

Bernstein zieht ein weiteres, etwas anderes Beispiel heran: Der AES-Verschlüsselungsalgorithmus. 2005 fand ein Team um Adi Shamir ein Problem im Linux-Kernel. Durch einen Timing-Angriff konnte ein Nutzer den Schlüssel für die Festplattenverschlüsselung des Systems herausfinden, der Angriff dauerte nur wenige Millisekunden. Das Problem hierbei ist laut Bernstein, dass praktisch alle schnellen AES-Implementierungen Tabellen vorberechnen. Die Abfrage der Tabellen ist sehr anfällig für verschiedene Seitenkanalangriffe, da sie den Prozessor-Cache und somit die Ladezeit beeinflusst. 2012 und 2014 gab es weitere Untersuchungen, die ähnliche Angriffe auf AES-Implementierungen zeigte.

Stellenmarkt
  1. comemso GmbH, Ostfildern
  2. Bundeskriminalamt, Wiesbaden

Bernstein warnte an dieser Stelle, dass die Anzahl der veröffentlichten wissenschaftlichen Papers über einen Algorithmus kein Indikator für die Sicherheit sei. Für Akademiker sei eine derartige Situation von Vorteil, da sie immer weitere Papers veröffentlichen könnten, die neue Angriffe zeigten. Bei AES gibt es laut Bernstein schwerwiegende Konflikte zwischen Sicherheit, Einfachheit der Implementierung und der Geschwindigkeit.

Die einfachste Implementierung soll sicher sein

Bernsteins Lösungsansatz: Algorithmen sollten so gestaltet sein, dass die einfachste Implementierung automatisch auch die schnellste und die sicherste Implementierung ist. Das sei durchaus möglich, denn neuere Verschlüsselungsalgorithmen seien oft sogar schneller als AES und hätten einen eingebauten Schutz gegen Seitenkanalangriffe. Bernstein wirbt damit indirekt für die Verwendung seiner eigenen Algorithmen: Die von ihm entwickelte Stromverschlüsselung Salsa20 folgt genau diesen Designkriterien und war der Gewinner des ESTREAM-Wettbewerbs. Der Salsa20-Nachfolger mit dem Namen Chacha20 wird inzwischen bereits von Google und einigen anderen Webseiten eingesetzt, eine Standardisierung innerhalb von TLS dürfte in Kürze erfolgen. Auch die von Bernstein entwickelte, elliptische Kurve Curve25519 versucht Seitenkanalangriffe zu verhindern. Um die Standardisierung dieser Kurve wird zurzeit in der Kryptographie-Arbeitsgruppe der IETF gerungen.

Ein Problem sieht Bernstein darin, dass Wissenschaftler sich oft das einfachste Ziel für ihre Analysen aussuchten. So gebe es deutlich mehr Untersuchungen der mathematischen Grundlagen von ECDSA als von ECDSA selbst. Andererseits gebe es mehr Analysen von ECDSA als von den konkreten Protokollen und Implementierungen, in denen ECDSA real eingesetzt werde.

Einige Seitenhiebe verteilte Bernstein zu der sogenannten "beweisbaren Sicherheit": Dieser Forschungszweig habe oft zweifelhafte Ziele und führe manchmal dazu, dass bestimmte Dinge bewiesen würden, die in der Praxis völlig irrelevant seien. Einige Forscher hätten die Tendenz, die grundlegenden Primitiven immer weiter zu schwächen, damit sie beweisen könnten, dass das Gesamtdesign eines Protokolls mindestens so sicher sei wie die grundlegenden Krypto-Primitiven. Probleme wie Seitenkanalangriffe würden bei Sicherheitsbeweisen oft ignoriert. Ein besonderes Problem besteht laut Bernstein darin, dass die Sicherheitsbeweise oft Fehler enthalten, die niemand bemerkt. Bernstein sagte aber auf Nachfragen aus dem Publikum, dass er Sicherheitsbeweise nicht generell für schlecht hält.

Krypto-Horrorgeschichte HTTPS

Zum Abschluss nannte Bernstein als weiteres Negativbeispiel für schlecht umgesetzte Kryptographie HTTPS. Zwar sei zu hoffen, dass durch Let's Encrypt mehr Menschen überhaupt verschlüsselte HTTPS-Verbindungen einsetzten, aber es stelle sich die Frage, wie sicher HTTPS sei. Dabei verwies Bernstein auf den Bleichenbacher-Angriff gegen RSA, der immer wieder zu Problemen führe. Obwohl das Problem seit über zehn Jahren bekannt ist, wurden noch im letzten Jahr neue Varianten des Angriffs in der Java-TLS-Bibliothek und in OpenSSL gefunden. Auch die CBC-Konstruktion in TLS bringe immer wieder Probleme. Das ganze Konzept eines Public-Key-Verschlüsselungssystems ist laut Bernstein ein historischer Fehler.

Gut findet Bernstein den Vorschlag OPTLS, der kürzlich in der TLS-Arbeitsgruppe der IETF eingereicht wurde. Aber die Arbeitsgruppe werde den Vorschlag vermutlich ablehnen, so Bernstein, weil das ganze Konzept sich extrem von allem unterscheidet, was man bisher in TLS gemacht hat.

 Dan J. Bernstein: Krypto-Algorithmen sicher designen
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. ab 399€
  3. und Assassins Creed Odyssey, Strange Brigade und Star Control Origins kostenlos dazu erhalten

__destruct() 13. Jan 2015

Der größte Angriffsvektor ist der Mensch, der keinen Bock darauf hat, Verschlüsselung...

hannob (golem.de) 12. Jan 2015

Danke für den Hinweis, das war tatsächlich ein Fehler im Artikel. Ich habe das jetzt...


Folgen Sie uns
       


Nvidia Geforce RTX 2080 und 2080 Ti - Test

Nvidia hat mit der RTX 2080 und 2080 Ti die derzeit leistungsstärksten Grafikkarten am Markt. Wir haben sie getestet.

Nvidia Geforce RTX 2080 und 2080 Ti - Test Video aufrufen
Gigabit: 5G-Planungen gehen völlig an den Nutzern vorbei
Gigabit
5G-Planungen gehen völlig an den Nutzern vorbei

Fast täglich hören wir Erklärungen aus der Telekommunikationsbranche, was 5G erfüllen müsse und warum sonst das Ende der Welt drohe. Wir haben die Konzerngruppen nach Interessenlage kartografiert.
Ein IMHO von Achim Sawall

  1. Fixed Wireless Access Nokia bringt mehrere 100 MBit/s mit LTE ins Festnetz
  2. Funklöcher Telekom bietet freiwillig hohe 5G-Netzabdeckung an
  3. 5G Telekom hat ihr Mobilfunknetz mit Glasfaser versorgt

Life is Strange 2 im Test: Interaktiver Road-Movie-Mystery-Thriller
Life is Strange 2 im Test
Interaktiver Road-Movie-Mystery-Thriller

Keine heile Teenagerwelt mit Partys und Liebeskummer: Allein in den USA der Trump-Ära müssen zwei Brüder mit mexikanischen Wurzeln in Life is Strange 2 nach einem mysteriösen Unfall überleben. Das Adventure ist bewegend und spannend - trotz eines grundsätzlichen Problems.
Von Peter Steinlechner

  1. Adventure Leisure Suit Larry landet im 21. Jahrhundert

Neuer Echo Dot im Test: Amazon kann doch gute Mini-Lautsprecher bauen
Neuer Echo Dot im Test
Amazon kann doch gute Mini-Lautsprecher bauen

Echo Dot steht bisher für muffigen, schlechten Klang. Mit dem neuen Modell zeigt Amazon, dass es doch gute smarte Mini-Lautsprecher mit dem Alexa-Sprachassistenten bauen kann, die sogar gegen die Konkurrenz von Google ankommen.
Ein Test von Ingo Pakalski


      •  /