Abo
  • Services:
Anzeige
Dan Bernstein fordert Algorithmen, bei denen man weniger falsch machen kann.
Dan Bernstein fordert Algorithmen, bei denen man weniger falsch machen kann. (Bild: Ordercrazy, Wikimedia Commons)

Seitenkanalangriffe auf AES

Anzeige

Bernstein zieht ein weiteres, etwas anderes Beispiel heran: Der AES-Verschlüsselungsalgorithmus. 2005 fand ein Team um Adi Shamir ein Problem im Linux-Kernel. Durch einen Timing-Angriff konnte ein Nutzer den Schlüssel für die Festplattenverschlüsselung des Systems herausfinden, der Angriff dauerte nur wenige Millisekunden. Das Problem hierbei ist laut Bernstein, dass praktisch alle schnellen AES-Implementierungen Tabellen vorberechnen. Die Abfrage der Tabellen ist sehr anfällig für verschiedene Seitenkanalangriffe, da sie den Prozessor-Cache und somit die Ladezeit beeinflusst. 2012 und 2014 gab es weitere Untersuchungen, die ähnliche Angriffe auf AES-Implementierungen zeigte.

Bernstein warnte an dieser Stelle, dass die Anzahl der veröffentlichten wissenschaftlichen Papers über einen Algorithmus kein Indikator für die Sicherheit sei. Für Akademiker sei eine derartige Situation von Vorteil, da sie immer weitere Papers veröffentlichen könnten, die neue Angriffe zeigten. Bei AES gibt es laut Bernstein schwerwiegende Konflikte zwischen Sicherheit, Einfachheit der Implementierung und der Geschwindigkeit.

Die einfachste Implementierung soll sicher sein

Bernsteins Lösungsansatz: Algorithmen sollten so gestaltet sein, dass die einfachste Implementierung automatisch auch die schnellste und die sicherste Implementierung ist. Das sei durchaus möglich, denn neuere Verschlüsselungsalgorithmen seien oft sogar schneller als AES und hätten einen eingebauten Schutz gegen Seitenkanalangriffe. Bernstein wirbt damit indirekt für die Verwendung seiner eigenen Algorithmen: Die von ihm entwickelte Stromverschlüsselung Salsa20 folgt genau diesen Designkriterien und war der Gewinner des ESTREAM-Wettbewerbs. Der Salsa20-Nachfolger mit dem Namen Chacha20 wird inzwischen bereits von Google und einigen anderen Webseiten eingesetzt, eine Standardisierung innerhalb von TLS dürfte in Kürze erfolgen. Auch die von Bernstein entwickelte, elliptische Kurve Curve25519 versucht Seitenkanalangriffe zu verhindern. Um die Standardisierung dieser Kurve wird zurzeit in der Kryptographie-Arbeitsgruppe der IETF gerungen.

Ein Problem sieht Bernstein darin, dass Wissenschaftler sich oft das einfachste Ziel für ihre Analysen aussuchten. So gebe es deutlich mehr Untersuchungen der mathematischen Grundlagen von ECDSA als von ECDSA selbst. Andererseits gebe es mehr Analysen von ECDSA als von den konkreten Protokollen und Implementierungen, in denen ECDSA real eingesetzt werde.

Einige Seitenhiebe verteilte Bernstein zu der sogenannten "beweisbaren Sicherheit": Dieser Forschungszweig habe oft zweifelhafte Ziele und führe manchmal dazu, dass bestimmte Dinge bewiesen würden, die in der Praxis völlig irrelevant seien. Einige Forscher hätten die Tendenz, die grundlegenden Primitiven immer weiter zu schwächen, damit sie beweisen könnten, dass das Gesamtdesign eines Protokolls mindestens so sicher sei wie die grundlegenden Krypto-Primitiven. Probleme wie Seitenkanalangriffe würden bei Sicherheitsbeweisen oft ignoriert. Ein besonderes Problem besteht laut Bernstein darin, dass die Sicherheitsbeweise oft Fehler enthalten, die niemand bemerkt. Bernstein sagte aber auf Nachfragen aus dem Publikum, dass er Sicherheitsbeweise nicht generell für schlecht hält.

Krypto-Horrorgeschichte HTTPS

Zum Abschluss nannte Bernstein als weiteres Negativbeispiel für schlecht umgesetzte Kryptographie HTTPS. Zwar sei zu hoffen, dass durch Let's Encrypt mehr Menschen überhaupt verschlüsselte HTTPS-Verbindungen einsetzten, aber es stelle sich die Frage, wie sicher HTTPS sei. Dabei verwies Bernstein auf den Bleichenbacher-Angriff gegen RSA, der immer wieder zu Problemen führe. Obwohl das Problem seit über zehn Jahren bekannt ist, wurden noch im letzten Jahr neue Varianten des Angriffs in der Java-TLS-Bibliothek und in OpenSSL gefunden. Auch die CBC-Konstruktion in TLS bringe immer wieder Probleme. Das ganze Konzept eines Public-Key-Verschlüsselungssystems ist laut Bernstein ein historischer Fehler.

Gut findet Bernstein den Vorschlag OPTLS, der kürzlich in der TLS-Arbeitsgruppe der IETF eingereicht wurde. Aber die Arbeitsgruppe werde den Vorschlag vermutlich ablehnen, so Bernstein, weil das ganze Konzept sich extrem von allem unterscheidet, was man bisher in TLS gemacht hat.

 Dan J. Bernstein: Krypto-Algorithmen sicher designen

eye home zur Startseite
__destruct() 13. Jan 2015

Der größte Angriffsvektor ist der Mensch, der keinen Bock darauf hat, Verschlüsselung...

hannob (golem.de) 12. Jan 2015

Danke für den Hinweis, das war tatsächlich ein Fehler im Artikel. Ich habe das jetzt...



Anzeige

Stellenmarkt
  1. SWARCO TRAFFIC SYSTEMS GmbH, Hamburg
  2. weil engineering gmbh, Müllheim
  3. Bahlsen GmbH & Co. KG, Hannover
  4. Heraeus infosystems GmbH, Hanau bei Frankfurt am Main


Anzeige
Spiele-Angebote
  1. (-10%) 35,99€
  2. 32,99€
  3. 499,99€

Folgen Sie uns
       


  1. SuperSignal

    Vodafone Deutschland schaltet Smart-Cells ab

  2. Top Gun 3D

    Mit VR-Headset kostenlos ins Kino

  3. Übernahme

    Marvell kauft Cavium für 6 Milliarden US-Dollar

  4. Wilhelm.tel

    Weiterer Kabelnetzbetreiber schaltet Analog-TV ab

  5. Grafiktreiber

    AMDs Display-Code in Linux-Kernel aufgenommen

  6. Oneplus 5T im Test

    Praktische Änderungen ohne Preiserhöhung

  7. Vito, Sprinter, Citan

    Mercedes bringt Lieferwagen als Elektrofahrzeuge heraus

  8. JoltandBleed

    Oracle veröffentlicht Notfallpatch für Universitäts-Software

  9. Medion Akoya P56000

    Aldi-PC mit Ryzen 5 und RX 560D kostet 600 Euro

  10. The Update Aquatic

    Minecraft bekommt Klötzchendelfine



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Smartphoneversicherungen im Überblick: Teuer und meistens überflüssig
Smartphoneversicherungen im Überblick
Teuer und meistens überflüssig
  1. Winphone 5.0 Trekstor will es nochmal mit Windows 10 Mobile versuchen
  2. Librem 5 Das freie Linux-Smartphone ist finanziert
  3. Aquaris-V- und U2-Reihe BQ stellt neue Smartphones ab 180 Euro vor

Erneuerbare Energien: Siemens leitet die neue Steinzeit ein
Erneuerbare Energien
Siemens leitet die neue Steinzeit ein
  1. Siemens und Schunk Akkufahrzeuge werden mit 600 bis 1.000 Kilowatt aufgeladen
  2. Parkplatz-Erkennung Bosch und Siemens scheitern mit Pilotprojekten

Cubesats: Startup steuert riesigen Satellitenschwarm von Berlin aus
Cubesats
Startup steuert riesigen Satellitenschwarm von Berlin aus
  1. Arkyd-6 Planetary Resources startet bald ein neues Weltraumteleskop
  2. SAEx Internet-Seekabel für Südatlantikinsel St. Helena
  3. Sputnik Piep, piep, kleiner Satellit

  1. Re: #CDU 22% | #SPD 19% | #AfD 16% | #FDP...

    teenriot* | 18:34

  2. Re: Stromkosten

    Hegakalle | 18:33

  3. Re: Fährt der E-Golf auch ohne die 148...

    bernd71 | 18:32

  4. Re: Falsch bzgl der Wahlgänge

    throgh | 18:31

  5. Re: Also wieder nur umbauten

    Sharra | 18:29


  1. 17:26

  2. 17:02

  3. 16:21

  4. 15:59

  5. 15:28

  6. 15:00

  7. 13:46

  8. 12:50


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel