Abo
  • Services:
Anzeige
Kryptographen versuchen herauszufinden, in welchen Situationen Hintertüren in Verschlüsselungsalgorithmen denkbar sind.
Kryptographen versuchen herauszufinden, in welchen Situationen Hintertüren in Verschlüsselungsalgorithmen denkbar sind. (Bild: Klearchos Kapoutsis, Wikimedia Commons/CC-BY 2.0)

DSA und Diffie Hellman: Primzahlen können Hintertür enthalten

Kryptographen versuchen herauszufinden, in welchen Situationen Hintertüren in Verschlüsselungsalgorithmen denkbar sind.
Kryptographen versuchen herauszufinden, in welchen Situationen Hintertüren in Verschlüsselungsalgorithmen denkbar sind. (Bild: Klearchos Kapoutsis, Wikimedia Commons/CC-BY 2.0)

Kryptographen ist es gelungen, einen Primzahlparameter für DSA und Diffie-Hellman zu erstellen, der eine geheime Hintertür enthält. Diskutiert wurde diese Möglichkeit schon vor 25 Jahren, doch trotz der Gefahr für die Sicherheit von Verschlüsselungen wurden oft keine Gegenmaßnahmen ergriffen.

Ein Zusammenschluss von Kryptographen, der sich Team Caramba nennt, hat es geschafft, eine 1024-Bit-Primzahl mit einer geheimen Hintertür zu erstellen. Wird eine derartige Primzahl für Signaturen mit dem Digital Signature Algorithm (DSA) oder für einen Schlüsselaustausch mit Diffie-Helllman eingesetzt, so kann derjenige, der die Primzahl erzeugt hat, die Verschlüsselung knacken oder Signaturen fälschen.

Anzeige

Diskussion auf der Eurocrypt 1992

Diskussionen darüber, dass Parameter von kryptographischen Algorithmen Hintertüren enthalten könnten, gibt es immer wieder. Der jetzt gezeigte Angriff geht dabei auf eine sehr alte Diskussion zurück. 1992 gab es auf der Eurocrypt-Konferenz eine Panel-Diskussion über die Möglichkeit einer Hintertür im DSA-Algorithmus. Die Grundlage des jetzigen Angriffs beschrieb Daniel Gordon ebenfalls bereits 1992. Für spezielle Primzahlen lässt sich das Zahlkörpersieb, der beste bekannte Algorithmus, um das hinter DSA und Diffie-Hellman stehende diskrete Logarithmusproblem zu berechnen, deutlich schneller erzeugen.

Die Kryptographen gingen damals überwiegend davon aus, dass eine solche Hintertür erkannt werden könnte. Das ist jedoch nicht der Fall. Wie Team Caramba jetzt zeigte, lässt sich in der Primzahl eine sogenannte Nobus-Backdoor (Nobody but us) verstecken. Derjenige, der die Primzahl festlegt, kann dies mit einer Methode machen, bei der er ein geheimes Polynom erhält. Nur mit diesem ist ein schnellerer Angriff möglich. Auf einem Cluster mit mehr als 2.000 Cores dauerte ein Angriff auf einen sogenannten diskreten Logarithmus mit einer solchen Hintertür-Primzahl mit 1.024 Bit ungefähr zwei Monate. Das ist um viele Größenordnungen schneller als ein normaler Angriff auf 1.024 Bit.

1.024 Bit gelten generell als nicht mehr sicher, allerdings ist es bislang noch niemandem gelungen, einen Angriff auf die normale Variante dieser Algorithmen - ohne Hintertür - öffentlich zu zeigen. Lediglich ein Angreifer, der teure Spezialhardware besitzt, wäre zu einem derartigen Angriff in der Lage. Nach wie vor verwenden viele Webserver einen Diffie-Hellman-Schlüsselaustausch mit dieser Größe.

Primzahlen unklarer Herkunft in RFC 5114 und in Apache

Da die Möglichkeit von Hintertüren in den Primzahlparametern schon vor langer Zeit diskutiert wurde, gibt es Verfahren, eine sogenannte Nothing-up-my-Sleeve-Zahl (NUMS) zu erzeugen. Beispielsweise kann eine mathematische Konstante wie Pi oder die Euler-Zahl e als Seed für das Verfahren genutzt werden. Allerdings verwenden viele verbreitete Standard-Primzahlen kein NUMS-Verfahren. In RFC 5114 beispielsweise werden Primzahlen verwendet, die angeblich mit einem Seed der US-Behörde Nist erstellt wurden. Allerdings ist dieser Seed nirgendwo dokumentiert und es ist nicht nachvollziehbar, wie diese Primzahlen erzeugt wurden. Der Apache-Webserver enthielt bis vor wenigen Jahren Standard-Parameter für den Diffie-Hellman-Schlüsselaustausch, die nicht geändert werden konnten. Für diese Parameter ist ebenfalls unklar, wie sie erzeugt wurden.

Es gibt jedoch auch andere Beispiele: RFC 7919 spezifiziert Primzahlen, die in TLS zum Einsatz kommen sollen. TLS 1.3 wird nur noch diese vordefinierten Primzahlen unterstützen. Diese Primzahlen verwenden als Seed die Zahl e.

Einige weitere Funde von Team Caramba sind zumindest bemerkenswert. So gibt es auch Primzahlen, für die sich die Hintertür leicht erkennen lässt und keine Kenntnis eines bestimmten Polynoms voraussetzt. 150 Internet-Server nutzen eine solche 512-Bit-Primzahl, und weitere 160 eine 1.024-Bit-Primzahl für den TLS-Schlüsselaustausch. In der Bibliothek libtomcrypt befinden sich ebenfalls mehrere Primzahlen dieser speziellen Form, die angreifbar sind. Allerdings fanden sich diese Primzahlen nirgendwo im realen Einsatz.

Parameter mit Hintertür 

eye home zur Startseite
Mingfu 14. Okt 2016

Ein einfacher Test wäre der Fermatsche Primzahltest. Real wird eher der Miller-Rabin...

Mingfu 12. Okt 2016

Nein, es sind keine schwachen Primzahlen im klassischen Sinne. Denn das Berechnen des...

Ovaron 12. Okt 2016

Sorgfalt bei der Formulierung der Satzaussage kann Leben retten. Auch hier wäre mehr...

Kleba 12. Okt 2016

Also wenn dann sollte ein "@Golem" in den Titel um die nötige Aufmerksamkeit zu erzeugen ;-)



Anzeige

Stellenmarkt
  1. FIEGE Logistik Stiftung & Co. KG, Hamburg, Greven
  2. BSH Hausgeräte GmbH, München
  3. SCHOTTEL GmbH, Spay am Rhein
  4. Deutsche Post DHL Group, Staufenberg


Anzeige
Spiele-Angebote
  1. 49,99€
  2. (-13%) 34,99€

Folgen Sie uns
       


  1. Signal Foundation

    Whatsapp-Gründer investiert 50 Millionen US-Dollar in Signal

  2. Astronomie

    Amateur beobachtet erstmals die Geburt einer Supernova

  3. Internet der Dinge

    Bosch will die totale Vernetzung

  4. Bad News

    Browsergame soll Mechanismen von Fake News erklären

  5. Facebook

    Denn sie wissen nicht, worin sie einwilligen

  6. Opensignal

    Deutschland soll auch beim LTE-Ausbau abgehängt sein

  7. IBM Spectrum NAS

    NAS-Software ist klein gehalten und leicht installierbar

  8. Ryzen V1000 und Epyc 3000

    AMD bringt Zen-Architektur für den Embedded-Markt

  9. Dragon Ball FighterZ im Test

    Kame-hame-ha!

  10. Für 4G und 5G

    Ericsson und Swisscom demonstrieren Network Slicing



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
HP Omen X VR im Test: VR auf dem Rücken kann nur teils entzücken
HP Omen X VR im Test
VR auf dem Rücken kann nur teils entzücken
  1. 3D Rudder Blackhawk Mehr Frags mit Fußschlaufen
  2. Kreativ-Apps für VR-Headsets Austoben im VR-Atelier
  3. Apps und Games für VR-Headsets Der virtuelle Blade Runner und Sport mit Sparc

Entdeckertour angespielt: Assassin's Creed Origins und die Spur der Geschichte
Entdeckertour angespielt
Assassin's Creed Origins und die Spur der Geschichte
  1. Assassin's Creed Denuvo und VM Protect bei Origins ausgehebelt
  2. Sea of Thieves angespielt Zwischen bärbeißig und böse
  3. Rogue Remastered Assassin's Creed segelt noch mal zum Nordpol

Axel Voss: "Das Leistungsschutzrecht ist nicht die beste Idee"
Axel Voss
"Das Leistungsschutzrecht ist nicht die beste Idee"
  1. Leistungsschutzrecht EU-Ratspräsidentschaft schlägt deutsches Modell vor
  2. Fake News Murdoch fordert von Facebook Sendegebühr für Medien
  3. EU-Urheberrechtsreform Abmahnungen treffen "nur die Dummen"

  1. Re: Wissenschaft lol

    Desertdelphin | 04:00

  2. Re: Warum sind Ports aufs PCB gelötet?

    Sarkastius | 03:59

  3. Re: Jetzt sind Autos endlich leise

    bentol | 03:39

  4. Re: Danke für die Offenlegung

    Neuro-Chef | 03:38

  5. Re: Airbus für mich ein NoGo

    Neuro-Chef | 03:37


  1. 21:26

  2. 19:00

  3. 17:48

  4. 16:29

  5. 16:01

  6. 15:30

  7. 15:15

  8. 15:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel