Abo
  • Services:
Anzeige
Dan Bernstein fordert Algorithmen, bei denen man weniger falsch machen kann.
Dan Bernstein fordert Algorithmen, bei denen man weniger falsch machen kann. (Bild: Ordercrazy, Wikimedia Commons)

Seitenkanalangriffe auf AES

Anzeige

Bernstein zieht ein weiteres, etwas anderes Beispiel heran: Der AES-Verschlüsselungsalgorithmus. 2005 fand ein Team um Adi Shamir ein Problem im Linux-Kernel. Durch einen Timing-Angriff konnte ein Nutzer den Schlüssel für die Festplattenverschlüsselung des Systems herausfinden, der Angriff dauerte nur wenige Millisekunden. Das Problem hierbei ist laut Bernstein, dass praktisch alle schnellen AES-Implementierungen Tabellen vorberechnen. Die Abfrage der Tabellen ist sehr anfällig für verschiedene Seitenkanalangriffe, da sie den Prozessor-Cache und somit die Ladezeit beeinflusst. 2012 und 2014 gab es weitere Untersuchungen, die ähnliche Angriffe auf AES-Implementierungen zeigte.

Bernstein warnte an dieser Stelle, dass die Anzahl der veröffentlichten wissenschaftlichen Papers über einen Algorithmus kein Indikator für die Sicherheit sei. Für Akademiker sei eine derartige Situation von Vorteil, da sie immer weitere Papers veröffentlichen könnten, die neue Angriffe zeigten. Bei AES gibt es laut Bernstein schwerwiegende Konflikte zwischen Sicherheit, Einfachheit der Implementierung und der Geschwindigkeit.

Die einfachste Implementierung soll sicher sein

Bernsteins Lösungsansatz: Algorithmen sollten so gestaltet sein, dass die einfachste Implementierung automatisch auch die schnellste und die sicherste Implementierung ist. Das sei durchaus möglich, denn neuere Verschlüsselungsalgorithmen seien oft sogar schneller als AES und hätten einen eingebauten Schutz gegen Seitenkanalangriffe. Bernstein wirbt damit indirekt für die Verwendung seiner eigenen Algorithmen: Die von ihm entwickelte Stromverschlüsselung Salsa20 folgt genau diesen Designkriterien und war der Gewinner des ESTREAM-Wettbewerbs. Der Salsa20-Nachfolger mit dem Namen Chacha20 wird inzwischen bereits von Google und einigen anderen Webseiten eingesetzt, eine Standardisierung innerhalb von TLS dürfte in Kürze erfolgen. Auch die von Bernstein entwickelte, elliptische Kurve Curve25519 versucht Seitenkanalangriffe zu verhindern. Um die Standardisierung dieser Kurve wird zurzeit in der Kryptographie-Arbeitsgruppe der IETF gerungen.

Ein Problem sieht Bernstein darin, dass Wissenschaftler sich oft das einfachste Ziel für ihre Analysen aussuchten. So gebe es deutlich mehr Untersuchungen der mathematischen Grundlagen von ECDSA als von ECDSA selbst. Andererseits gebe es mehr Analysen von ECDSA als von den konkreten Protokollen und Implementierungen, in denen ECDSA real eingesetzt werde.

Einige Seitenhiebe verteilte Bernstein zu der sogenannten "beweisbaren Sicherheit": Dieser Forschungszweig habe oft zweifelhafte Ziele und führe manchmal dazu, dass bestimmte Dinge bewiesen würden, die in der Praxis völlig irrelevant seien. Einige Forscher hätten die Tendenz, die grundlegenden Primitiven immer weiter zu schwächen, damit sie beweisen könnten, dass das Gesamtdesign eines Protokolls mindestens so sicher sei wie die grundlegenden Krypto-Primitiven. Probleme wie Seitenkanalangriffe würden bei Sicherheitsbeweisen oft ignoriert. Ein besonderes Problem besteht laut Bernstein darin, dass die Sicherheitsbeweise oft Fehler enthalten, die niemand bemerkt. Bernstein sagte aber auf Nachfragen aus dem Publikum, dass er Sicherheitsbeweise nicht generell für schlecht hält.

Krypto-Horrorgeschichte HTTPS

Zum Abschluss nannte Bernstein als weiteres Negativbeispiel für schlecht umgesetzte Kryptographie HTTPS. Zwar sei zu hoffen, dass durch Let's Encrypt mehr Menschen überhaupt verschlüsselte HTTPS-Verbindungen einsetzten, aber es stelle sich die Frage, wie sicher HTTPS sei. Dabei verwies Bernstein auf den Bleichenbacher-Angriff gegen RSA, der immer wieder zu Problemen führe. Obwohl das Problem seit über zehn Jahren bekannt ist, wurden noch im letzten Jahr neue Varianten des Angriffs in der Java-TLS-Bibliothek und in OpenSSL gefunden. Auch die CBC-Konstruktion in TLS bringe immer wieder Probleme. Das ganze Konzept eines Public-Key-Verschlüsselungssystems ist laut Bernstein ein historischer Fehler.

Gut findet Bernstein den Vorschlag OPTLS, der kürzlich in der TLS-Arbeitsgruppe der IETF eingereicht wurde. Aber die Arbeitsgruppe werde den Vorschlag vermutlich ablehnen, so Bernstein, weil das ganze Konzept sich extrem von allem unterscheidet, was man bisher in TLS gemacht hat.

 Dan J. Bernstein: Krypto-Algorithmen sicher designen

eye home zur Startseite
__destruct() 13. Jan 2015

Der größte Angriffsvektor ist der Mensch, der keinen Bock darauf hat, Verschlüsselung...

hannob (golem.de) 12. Jan 2015

Danke für den Hinweis, das war tatsächlich ein Fehler im Artikel. Ich habe das jetzt...



Anzeige

Stellenmarkt
  1. Comline AG, Dortmund
  2. CCV Deutschland GmbH, Au i.d. Hallertau
  3. Home Shopping Europe GmbH, Ismaning Raum München
  4. HEKUMA GmbH, Hallbergmoos


Anzeige
Blu-ray-Angebote
  1. 24,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Apple

    Messages-App kann mit Nachricht zum Absturz gebracht werden

  2. Analog

    Kabelnetzkunden in falscher Sorge wegen DVB-T-Abschaltung

  3. Partnerprogramm

    Geld verdienen auf Youtube wird schwieriger

  4. Nur beratendes Gremium

    Bundestag setzt wieder Digitalausschuss ein

  5. Eclipse Foundation

    Erster EE4J-Code leitet Java-EE-Migration ein

  6. Breitbandmessung

    Provider halten versprochene Geschwindigkeit fast nie ein

  7. Virtualisierung

    Linux-Gasttreiber für Virtualbox bekommt Mainline-Support

  8. DJI Copilot von Lacie

    Festplatte kopiert SD-Karten ohne separaten Rechner

  9. Swift 5

    Acers dünnes Notebook kommt ab 1.000 Euro in den Handel

  10. Vodafone

    Callya-Flex-Tarife bekommen mehr Datenvolumen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Computerforschung: Quantencomputer aus Silizium werden realistisch
Computerforschung
Quantencomputer aus Silizium werden realistisch
  1. Tangle Lake Intel zeigt 49-Qubit-Chip
  2. Die Woche im Video Alles kaputt
  3. Q# und QDK Microsoft veröffentlicht Entwicklungskit für Quantenrechner

Netzsperren: Wie Katalonien die spanische Internetzensur austrickste
Netzsperren
Wie Katalonien die spanische Internetzensur austrickste

Spectre und Meltdown: All unsere moderne Technik ist kaputt
Spectre und Meltdown
All unsere moderne Technik ist kaputt
  1. Microsoft Fall Creators Update ist final für alle Geräte verfügbar
  2. BeA Noch mehr Sicherheitslücken im Anwaltspostfach
  3. VEP Charter Trump will etwas transparenter mit Sicherheitslücken umgehen

  1. Re: Schweiz/Österreich?

    zZz | 22:41

  2. Re: 100 Mbit/s bei der Telekom

    RipClaw | 22:39

  3. Re: langsam übertreibt youtube..

    FreierLukas | 22:34

  4. Falscher Ansatz

    FreierLukas | 22:32

  5. Re: "Dem Titel folgend [...] nicht weniger als...

    Eheran | 22:32


  1. 19:25

  2. 19:18

  3. 18:34

  4. 17:20

  5. 15:46

  6. 15:30

  7. 15:09

  8. 14:58


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel