Abo
  • Services:
Anzeige
Kryptographen versuchen herauszufinden, in welchen Situationen Hintertüren in Verschlüsselungsalgorithmen denkbar sind.
Kryptographen versuchen herauszufinden, in welchen Situationen Hintertüren in Verschlüsselungsalgorithmen denkbar sind. (Bild: Klearchos Kapoutsis, Wikimedia Commons/CC-BY 2.0)

DSA und Diffie Hellman: Primzahlen können Hintertür enthalten

Kryptographen versuchen herauszufinden, in welchen Situationen Hintertüren in Verschlüsselungsalgorithmen denkbar sind.
Kryptographen versuchen herauszufinden, in welchen Situationen Hintertüren in Verschlüsselungsalgorithmen denkbar sind. (Bild: Klearchos Kapoutsis, Wikimedia Commons/CC-BY 2.0)

Kryptographen ist es gelungen, einen Primzahlparameter für DSA und Diffie-Hellman zu erstellen, der eine geheime Hintertür enthält. Diskutiert wurde diese Möglichkeit schon vor 25 Jahren, doch trotz der Gefahr für die Sicherheit von Verschlüsselungen wurden oft keine Gegenmaßnahmen ergriffen.

Ein Zusammenschluss von Kryptographen, der sich Team Caramba nennt, hat es geschafft, eine 1024-Bit-Primzahl mit einer geheimen Hintertür zu erstellen. Wird eine derartige Primzahl für Signaturen mit dem Digital Signature Algorithm (DSA) oder für einen Schlüsselaustausch mit Diffie-Helllman eingesetzt, so kann derjenige, der die Primzahl erzeugt hat, die Verschlüsselung knacken oder Signaturen fälschen.

Anzeige

Diskussion auf der Eurocrypt 1992

Diskussionen darüber, dass Parameter von kryptographischen Algorithmen Hintertüren enthalten könnten, gibt es immer wieder. Der jetzt gezeigte Angriff geht dabei auf eine sehr alte Diskussion zurück. 1992 gab es auf der Eurocrypt-Konferenz eine Panel-Diskussion über die Möglichkeit einer Hintertür im DSA-Algorithmus. Die Grundlage des jetzigen Angriffs beschrieb Daniel Gordon ebenfalls bereits 1992. Für spezielle Primzahlen lässt sich das Zahlkörpersieb, der beste bekannte Algorithmus, um das hinter DSA und Diffie-Hellman stehende diskrete Logarithmusproblem zu berechnen, deutlich schneller erzeugen.

Die Kryptographen gingen damals überwiegend davon aus, dass eine solche Hintertür erkannt werden könnte. Das ist jedoch nicht der Fall. Wie Team Caramba jetzt zeigte, lässt sich in der Primzahl eine sogenannte Nobus-Backdoor (Nobody but us) verstecken. Derjenige, der die Primzahl festlegt, kann dies mit einer Methode machen, bei der er ein geheimes Polynom erhält. Nur mit diesem ist ein schnellerer Angriff möglich. Auf einem Cluster mit mehr als 2.000 Cores dauerte ein Angriff auf einen sogenannten diskreten Logarithmus mit einer solchen Hintertür-Primzahl mit 1.024 Bit ungefähr zwei Monate. Das ist um viele Größenordnungen schneller als ein normaler Angriff auf 1.024 Bit.

1.024 Bit gelten generell als nicht mehr sicher, allerdings ist es bislang noch niemandem gelungen, einen Angriff auf die normale Variante dieser Algorithmen - ohne Hintertür - öffentlich zu zeigen. Lediglich ein Angreifer, der teure Spezialhardware besitzt, wäre zu einem derartigen Angriff in der Lage. Nach wie vor verwenden viele Webserver einen Diffie-Hellman-Schlüsselaustausch mit dieser Größe.

Primzahlen unklarer Herkunft in RFC 5114 und in Apache

Da die Möglichkeit von Hintertüren in den Primzahlparametern schon vor langer Zeit diskutiert wurde, gibt es Verfahren, eine sogenannte Nothing-up-my-Sleeve-Zahl (NUMS) zu erzeugen. Beispielsweise kann eine mathematische Konstante wie Pi oder die Euler-Zahl e als Seed für das Verfahren genutzt werden. Allerdings verwenden viele verbreitete Standard-Primzahlen kein NUMS-Verfahren. In RFC 5114 beispielsweise werden Primzahlen verwendet, die angeblich mit einem Seed der US-Behörde Nist erstellt wurden. Allerdings ist dieser Seed nirgendwo dokumentiert und es ist nicht nachvollziehbar, wie diese Primzahlen erzeugt wurden. Der Apache-Webserver enthielt bis vor wenigen Jahren Standard-Parameter für den Diffie-Hellman-Schlüsselaustausch, die nicht geändert werden konnten. Für diese Parameter ist ebenfalls unklar, wie sie erzeugt wurden.

Es gibt jedoch auch andere Beispiele: RFC 7919 spezifiziert Primzahlen, die in TLS zum Einsatz kommen sollen. TLS 1.3 wird nur noch diese vordefinierten Primzahlen unterstützen. Diese Primzahlen verwenden als Seed die Zahl e.

Einige weitere Funde von Team Caramba sind zumindest bemerkenswert. So gibt es auch Primzahlen, für die sich die Hintertür leicht erkennen lässt und keine Kenntnis eines bestimmten Polynoms voraussetzt. 150 Internet-Server nutzen eine solche 512-Bit-Primzahl, und weitere 160 eine 1.024-Bit-Primzahl für den TLS-Schlüsselaustausch. In der Bibliothek libtomcrypt befinden sich ebenfalls mehrere Primzahlen dieser speziellen Form, die angreifbar sind. Allerdings fanden sich diese Primzahlen nirgendwo im realen Einsatz.

Parameter mit Hintertür 

eye home zur Startseite
Mingfu 14. Okt 2016

Ein einfacher Test wäre der Fermatsche Primzahltest. Real wird eher der Miller-Rabin...

Mingfu 12. Okt 2016

Nein, es sind keine schwachen Primzahlen im klassischen Sinne. Denn das Berechnen des...

Ovaron 12. Okt 2016

Sorgfalt bei der Formulierung der Satzaussage kann Leben retten. Auch hier wäre mehr...

Kleba 12. Okt 2016

Also wenn dann sollte ein "@Golem" in den Titel um die nötige Aufmerksamkeit zu erzeugen ;-)



Anzeige

Stellenmarkt
  1. OSRAM GmbH, Regensburg
  2. Aufzugswerke Schmitt+Sohn GmbH & Co. KG, Nürnberg
  3. Dataport, Bremen, Hamburg, Rostock
  4. Robert Bosch GmbH, Böblingen


Anzeige
Hardware-Angebote
  1. ab 192,90€ bei Alternate gelistet
  2. ab 232,90€ bei Alternate gelistet

Folgen Sie uns
       


  1. HP, Philips, Fujitsu

    Bloatware auf Millionen Notebooks ermöglicht Codeausführung

  2. Mali-C71

    ARM bringt seinen ersten ISP für Automotive

  3. SUNET

    Forschungsnetz erhält 100 GBit/s und ROADM-Technologie

  4. Cisco

    Kontrollzentrum verwaltet Smartphones im Unternehmen

  5. Datenschutz

    Facebook erhält weiterhin keine Whatsapp-Daten

  6. FTTH

    Telekom will mehr Kooperationen für echte Glasfaser

  7. Open Data

    OKFN will deutsche Wetterdaten befreien

  8. Spectrum Next

    Voll kompatible Neuauflage des ZX Spectrum ist finanziert

  9. OmniOS

    Freier Solaris-Nachfolger steht vor dem Ende

  10. Cybercrime

    Computerkriminalität nimmt statistisch gesehen zu



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
OWASP Top 10: Die zehn wichtigsten Sicherheitsrisiken bekommen ein Update
OWASP Top 10
Die zehn wichtigsten Sicherheitsrisiken bekommen ein Update
  1. Malware Schadsoftware bei 1.200 Holiday-Inn- und Crowne-Plaza-Hotels
  2. Zero Day Exploit Magento-Onlineshops sind wieder gefährdet
  3. Staatstrojaner Office 0-Day zur Verbreitung von Finfisher-Trojaner genutzt

Creators Update: Game Mode macht Spiele runder und Windows 10 ruckelig
Creators Update
Game Mode macht Spiele runder und Windows 10 ruckelig
  1. Microsoft Zwei große Updates pro Jahr für Windows 10
  2. Windows 10 Version 17xx-2 Stromsparmodus kommt für die nächste Windows-Version
  3. Windows as a Service Die erste Windows-10-Version hat noch drei Wochen Support

Linux auf dem Switch: Freiheit kann ganz schön kompliziert sein!
Linux auf dem Switch
Freiheit kann ganz schön kompliziert sein!
  1. Digital Ocean Cloud-Hoster löscht versehentlich Primärdatenbank
  2. Google Cloud Platform für weitere Microsoft-Produkte angepasst
  3. Marktforschung Cloud-Geschäft wächst rasant, Amazon dominiert den Markt

  1. Re: Ein Gesetz muss her...

    RemoCH | 00:13

  2. Re: kann nicht sein...

    Prinzeumel | 00:04

  3. Habe seit Jahren das BQ Aquaris mit Ubuntu und...

    Djore | 25.04. 23:25

  4. Re: unsrer Vorgehen in der Firma

    stiGGG | 25.04. 23:04

  5. Re: Gleiches bitte mit dem A500/A1200 (mit...

    Bigfoo29 | 25.04. 23:03


  1. 19:00

  2. 18:44

  3. 18:14

  4. 17:47

  5. 16:19

  6. 16:02

  7. 15:40

  8. 14:51


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel