• IT-Karriere:
  • Services:

DSA und Diffie Hellman: Primzahlen können Hintertür enthalten

Kryptographen ist es gelungen, einen Primzahlparameter für DSA und Diffie-Hellman zu erstellen, der eine geheime Hintertür enthält. Diskutiert wurde diese Möglichkeit schon vor 25 Jahren, doch trotz der Gefahr für die Sicherheit von Verschlüsselungen wurden oft keine Gegenmaßnahmen ergriffen.

Artikel veröffentlicht am , Hanno Böck
Kryptographen versuchen herauszufinden, in welchen Situationen Hintertüren in Verschlüsselungsalgorithmen denkbar sind.
Kryptographen versuchen herauszufinden, in welchen Situationen Hintertüren in Verschlüsselungsalgorithmen denkbar sind. (Bild: Klearchos Kapoutsis, Wikimedia Commons/CC-BY 2.0)

Ein Zusammenschluss von Kryptographen, der sich Team Caramba nennt, hat es geschafft, eine 1024-Bit-Primzahl mit einer geheimen Hintertür zu erstellen. Wird eine derartige Primzahl für Signaturen mit dem Digital Signature Algorithm (DSA) oder für einen Schlüsselaustausch mit Diffie-Helllman eingesetzt, so kann derjenige, der die Primzahl erzeugt hat, die Verschlüsselung knacken oder Signaturen fälschen.

Diskussion auf der Eurocrypt 1992

Inhalt:
  1. DSA und Diffie Hellman: Primzahlen können Hintertür enthalten
  2. Parameter mit Hintertür

Diskussionen darüber, dass Parameter von kryptographischen Algorithmen Hintertüren enthalten könnten, gibt es immer wieder. Der jetzt gezeigte Angriff geht dabei auf eine sehr alte Diskussion zurück. 1992 gab es auf der Eurocrypt-Konferenz eine Panel-Diskussion über die Möglichkeit einer Hintertür im DSA-Algorithmus. Die Grundlage des jetzigen Angriffs beschrieb Daniel Gordon ebenfalls bereits 1992. Für spezielle Primzahlen lässt sich das Zahlkörpersieb, der beste bekannte Algorithmus, um das hinter DSA und Diffie-Hellman stehende diskrete Logarithmusproblem zu berechnen, deutlich schneller erzeugen.

Die Kryptographen gingen damals überwiegend davon aus, dass eine solche Hintertür erkannt werden könnte. Das ist jedoch nicht der Fall. Wie Team Caramba jetzt zeigte, lässt sich in der Primzahl eine sogenannte Nobus-Backdoor (Nobody but us) verstecken. Derjenige, der die Primzahl festlegt, kann dies mit einer Methode machen, bei der er ein geheimes Polynom erhält. Nur mit diesem ist ein schnellerer Angriff möglich. Auf einem Cluster mit mehr als 2.000 Cores dauerte ein Angriff auf einen sogenannten diskreten Logarithmus mit einer solchen Hintertür-Primzahl mit 1.024 Bit ungefähr zwei Monate. Das ist um viele Größenordnungen schneller als ein normaler Angriff auf 1.024 Bit.

1.024 Bit gelten generell als nicht mehr sicher, allerdings ist es bislang noch niemandem gelungen, einen Angriff auf die normale Variante dieser Algorithmen - ohne Hintertür - öffentlich zu zeigen. Lediglich ein Angreifer, der teure Spezialhardware besitzt, wäre zu einem derartigen Angriff in der Lage. Nach wie vor verwenden viele Webserver einen Diffie-Hellman-Schlüsselaustausch mit dieser Größe.

Primzahlen unklarer Herkunft in RFC 5114 und in Apache

Stellenmarkt
  1. Schmidt + Clemens GmbH + Co. KG, Lindlar
  2. AdS Consulting GmbH, Aschaffenburg

Da die Möglichkeit von Hintertüren in den Primzahlparametern schon vor langer Zeit diskutiert wurde, gibt es Verfahren, eine sogenannte Nothing-up-my-Sleeve-Zahl (NUMS) zu erzeugen. Beispielsweise kann eine mathematische Konstante wie Pi oder die Euler-Zahl e als Seed für das Verfahren genutzt werden. Allerdings verwenden viele verbreitete Standard-Primzahlen kein NUMS-Verfahren. In RFC 5114 beispielsweise werden Primzahlen verwendet, die angeblich mit einem Seed der US-Behörde Nist erstellt wurden. Allerdings ist dieser Seed nirgendwo dokumentiert und es ist nicht nachvollziehbar, wie diese Primzahlen erzeugt wurden. Der Apache-Webserver enthielt bis vor wenigen Jahren Standard-Parameter für den Diffie-Hellman-Schlüsselaustausch, die nicht geändert werden konnten. Für diese Parameter ist ebenfalls unklar, wie sie erzeugt wurden.

Es gibt jedoch auch andere Beispiele: RFC 7919 spezifiziert Primzahlen, die in TLS zum Einsatz kommen sollen. TLS 1.3 wird nur noch diese vordefinierten Primzahlen unterstützen. Diese Primzahlen verwenden als Seed die Zahl e.

Einige weitere Funde von Team Caramba sind zumindest bemerkenswert. So gibt es auch Primzahlen, für die sich die Hintertür leicht erkennen lässt und keine Kenntnis eines bestimmten Polynoms voraussetzt. 150 Internet-Server nutzen eine solche 512-Bit-Primzahl, und weitere 160 eine 1.024-Bit-Primzahl für den TLS-Schlüsselaustausch. In der Bibliothek libtomcrypt befinden sich ebenfalls mehrere Primzahlen dieser speziellen Form, die angreifbar sind. Allerdings fanden sich diese Primzahlen nirgendwo im realen Einsatz.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Parameter mit Hintertür 
  1. 1
  2. 2
  3.  


Anzeige
Spiele-Angebote
  1. Tom Clancy's Rainbow Six Siege für 7,99€, Assassin's Creed Odyssey für 17,99€, Far Cry 5 für...
  2. 31,49€
  3. (u. a. The Bradwell Conspiracy für 8,99€, Days of War: Definitive Edition für 8,30€, The King...
  4. 24,99€ (PS4 und Xbox One)

Mingfu 14. Okt 2016

Ein einfacher Test wäre der Fermatsche Primzahltest. Real wird eher der Miller-Rabin...

Mingfu 12. Okt 2016

Nein, es sind keine schwachen Primzahlen im klassischen Sinne. Denn das Berechnen des...

Ovaron 12. Okt 2016

Sorgfalt bei der Formulierung der Satzaussage kann Leben retten. Auch hier wäre mehr...

Kleba 12. Okt 2016

Also wenn dann sollte ein "@Golem" in den Titel um die nötige Aufmerksamkeit zu erzeugen ;-)


Folgen Sie uns
       


Golem.de baut das Makerphone zusammen (Zeitraffer)

Das Makerphone ist ein Handy zum Zusammenbauen. Kinder wie auch Erwachsene können so die Funktionsweise eines Mobiltelefons nachvollziehen.

Golem.de baut das Makerphone zusammen (Zeitraffer) Video aufrufen
5G: Neue US-Sanktionen sollen Huawei in Europa erledigen
5G
Neue US-Sanktionen sollen Huawei in Europa erledigen

Die USA verbieten ausländischen Chipherstellern, für Huawei zu arbeiten und prompt fordern die US-Lobbyisten wieder einen Ausschluss in Europa.
Eine Analyse von Achim Sawall

  1. Android Huawei bringt Smartphone mit großem Akku für 150 Euro
  2. Android Huawei stellt kleines Smartphone für 110 Euro vor
  3. Global Analyst Summit Huaweis "gegenwärtiges Ziel ist, zu überleben"

Minecraft Dungeons im Test: Diablo im Quadrat
Minecraft Dungeons im Test
Diablo im Quadrat

Minecraft Dungeons sieht aus wie ein Re-Skin von Diablo, ist viel einfacher aufgebaut - und fesselt uns trotzdem an den Bildschirm.
Ein Test von Peter Steinlechner

  1. Mojang Studios Mehr als 200 Millionen Einheiten von Minecraft verkauft
  2. Minecraft RTX im Test Klötzchen klotzen mit Pathtracing
  3. Raytracing Beta von Minecraft RTX startet am 16. April

Energieversorgung: Wasserstoff-Fabrik auf hoher See
Energieversorgung
Wasserstoff-Fabrik auf hoher See

Um überschüssigen Strom sinnvoll zu nutzen, sollen in der Nähe von Offshore-Windparks sogenannte Elektrolyseure installiert werden. Der dort produzierte Wasserstoff wird in bestehende Erdgaspipelines eingespeist.
Ein Bericht von Wolfgang Kempkens

  1. Industriestrategie EU plant Allianz für sauberen Wasserstoff
  2. Energie Dieses Blatt soll es wenden
  3. Energiewende Grüner Wasserstoff aus der Zinnschmelze

    •  /