Abo
  • Services:
Anzeige
Kryptographen versuchen herauszufinden, in welchen Situationen Hintertüren in Verschlüsselungsalgorithmen denkbar sind.
Kryptographen versuchen herauszufinden, in welchen Situationen Hintertüren in Verschlüsselungsalgorithmen denkbar sind. (Bild: Klearchos Kapoutsis, Wikimedia Commons/CC-BY 2.0)

DSA und Diffie Hellman: Primzahlen können Hintertür enthalten

Kryptographen versuchen herauszufinden, in welchen Situationen Hintertüren in Verschlüsselungsalgorithmen denkbar sind.
Kryptographen versuchen herauszufinden, in welchen Situationen Hintertüren in Verschlüsselungsalgorithmen denkbar sind. (Bild: Klearchos Kapoutsis, Wikimedia Commons/CC-BY 2.0)

Kryptographen ist es gelungen, einen Primzahlparameter für DSA und Diffie-Hellman zu erstellen, der eine geheime Hintertür enthält. Diskutiert wurde diese Möglichkeit schon vor 25 Jahren, doch trotz der Gefahr für die Sicherheit von Verschlüsselungen wurden oft keine Gegenmaßnahmen ergriffen.

Ein Zusammenschluss von Kryptographen, der sich Team Caramba nennt, hat es geschafft, eine 1024-Bit-Primzahl mit einer geheimen Hintertür zu erstellen. Wird eine derartige Primzahl für Signaturen mit dem Digital Signature Algorithm (DSA) oder für einen Schlüsselaustausch mit Diffie-Helllman eingesetzt, so kann derjenige, der die Primzahl erzeugt hat, die Verschlüsselung knacken oder Signaturen fälschen.

Anzeige

Diskussion auf der Eurocrypt 1992

Diskussionen darüber, dass Parameter von kryptographischen Algorithmen Hintertüren enthalten könnten, gibt es immer wieder. Der jetzt gezeigte Angriff geht dabei auf eine sehr alte Diskussion zurück. 1992 gab es auf der Eurocrypt-Konferenz eine Panel-Diskussion über die Möglichkeit einer Hintertür im DSA-Algorithmus. Die Grundlage des jetzigen Angriffs beschrieb Daniel Gordon ebenfalls bereits 1992. Für spezielle Primzahlen lässt sich das Zahlkörpersieb, der beste bekannte Algorithmus, um das hinter DSA und Diffie-Hellman stehende diskrete Logarithmusproblem zu berechnen, deutlich schneller erzeugen.

Die Kryptographen gingen damals überwiegend davon aus, dass eine solche Hintertür erkannt werden könnte. Das ist jedoch nicht der Fall. Wie Team Caramba jetzt zeigte, lässt sich in der Primzahl eine sogenannte Nobus-Backdoor (Nobody but us) verstecken. Derjenige, der die Primzahl festlegt, kann dies mit einer Methode machen, bei der er ein geheimes Polynom erhält. Nur mit diesem ist ein schnellerer Angriff möglich. Auf einem Cluster mit mehr als 2.000 Cores dauerte ein Angriff auf einen sogenannten diskreten Logarithmus mit einer solchen Hintertür-Primzahl mit 1.024 Bit ungefähr zwei Monate. Das ist um viele Größenordnungen schneller als ein normaler Angriff auf 1.024 Bit.

1.024 Bit gelten generell als nicht mehr sicher, allerdings ist es bislang noch niemandem gelungen, einen Angriff auf die normale Variante dieser Algorithmen - ohne Hintertür - öffentlich zu zeigen. Lediglich ein Angreifer, der teure Spezialhardware besitzt, wäre zu einem derartigen Angriff in der Lage. Nach wie vor verwenden viele Webserver einen Diffie-Hellman-Schlüsselaustausch mit dieser Größe.

Primzahlen unklarer Herkunft in RFC 5114 und in Apache

Da die Möglichkeit von Hintertüren in den Primzahlparametern schon vor langer Zeit diskutiert wurde, gibt es Verfahren, eine sogenannte Nothing-up-my-Sleeve-Zahl (NUMS) zu erzeugen. Beispielsweise kann eine mathematische Konstante wie Pi oder die Euler-Zahl e als Seed für das Verfahren genutzt werden. Allerdings verwenden viele verbreitete Standard-Primzahlen kein NUMS-Verfahren. In RFC 5114 beispielsweise werden Primzahlen verwendet, die angeblich mit einem Seed der US-Behörde Nist erstellt wurden. Allerdings ist dieser Seed nirgendwo dokumentiert und es ist nicht nachvollziehbar, wie diese Primzahlen erzeugt wurden. Der Apache-Webserver enthielt bis vor wenigen Jahren Standard-Parameter für den Diffie-Hellman-Schlüsselaustausch, die nicht geändert werden konnten. Für diese Parameter ist ebenfalls unklar, wie sie erzeugt wurden.

Es gibt jedoch auch andere Beispiele: RFC 7919 spezifiziert Primzahlen, die in TLS zum Einsatz kommen sollen. TLS 1.3 wird nur noch diese vordefinierten Primzahlen unterstützen. Diese Primzahlen verwenden als Seed die Zahl e.

Einige weitere Funde von Team Caramba sind zumindest bemerkenswert. So gibt es auch Primzahlen, für die sich die Hintertür leicht erkennen lässt und keine Kenntnis eines bestimmten Polynoms voraussetzt. 150 Internet-Server nutzen eine solche 512-Bit-Primzahl, und weitere 160 eine 1.024-Bit-Primzahl für den TLS-Schlüsselaustausch. In der Bibliothek libtomcrypt befinden sich ebenfalls mehrere Primzahlen dieser speziellen Form, die angreifbar sind. Allerdings fanden sich diese Primzahlen nirgendwo im realen Einsatz.

Parameter mit Hintertür 

eye home zur Startseite
Mingfu 14. Okt 2016

Ein einfacher Test wäre der Fermatsche Primzahltest. Real wird eher der Miller-Rabin...

Mingfu 12. Okt 2016

Nein, es sind keine schwachen Primzahlen im klassischen Sinne. Denn das Berechnen des...

Ovaron 12. Okt 2016

Sorgfalt bei der Formulierung der Satzaussage kann Leben retten. Auch hier wäre mehr...

Kleba 12. Okt 2016

Also wenn dann sollte ein "@Golem" in den Titel um die nötige Aufmerksamkeit zu erzeugen ;-)



Anzeige

Stellenmarkt
  1. Bizerba SE & Co. KG, Balingen
  2. Lahnpaper GmbH, Lahnstein
  3. Läpple Dienstleistungsgesellschaft mbH, Haßmersheim
  4. Schwarz Dienstleistung KG, Neckarsulm


Anzeige
Hardware-Angebote
  1. und bis zu 60€ Steam-Guthaben erhalten
  2. (täglich neue Deals)

Folgen Sie uns
       


  1. Betrugsverdacht

    Amazon Deutschland sperrt willkürlich Marketplace-Händler

  2. Take 2

    GTA 5 bringt weiter Geld in die Kassen

  3. 50 MBit/s

    Bundesland erreicht kompletten Internetausbau ohne Zuschüsse

  4. Microsoft

    Lautloses Surface Pro hält länger durch und bekommt LTE

  5. Matebook X

    Huawei stellt erstes Notebook vor

  6. Smart Home

    Nest bringt Thermostat Ende 2017 nach Deutschland

  7. Biometrie

    Iris-Scanner des Galaxy S8 kann einfach manipuliert werden

  8. Bundesnetzagentur

    Drillisch bekommt eigene Vorwahl zugeteilt

  9. Neuland erforschen

    Deutsches Internet-Institut entsteht in Berlin

  10. Squad

    Valve heuert Entwickler des Kerbal Space Program an



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Asus B9440 im Test: Leichtes Geschäftsnotebook liefert zu wenig Business
Asus B9440 im Test
Leichtes Geschäftsnotebook liefert zu wenig Business
  1. ROG-Event in Berlin Asus zeigt gekrümmtes 165-Hz-Quantum-Dot-Display und mehr

Quantencomputer: Was sind diese Qubits?
Quantencomputer
Was sind diese Qubits?
  1. IBM Q Mehr Qubits von IBM
  2. Verschlüsselung Kryptographie im Quantenzeitalter
  3. Quantencomputer Bosonen statt Qubits

HTC U11 im Hands on: HTCs neues Smartphone will gedrückt werden
HTC U11 im Hands on
HTCs neues Smartphone will gedrückt werden
  1. HTC Vive Virtual Reality im Monatsabo
  2. Sense Companion HTCs digitaler Assistent ist verfügbar
  3. HTC U Ultra im Test Neues Gehäuse, kleines Display, bekannte Kamera

  1. Re: Akku noch immer nicht wechselbar nehme ich an

    Serv__ | 20:48

  2. Re: Drillisch... sind das nicht die, die min. 1...

    jayjay | 20:44

  3. Re: Inexio = Monopolstellung mit überteuerten...

    Keksmonster226 | 20:42

  4. hatte erst Zweifel

    John2k | 20:40

  5. Re: Mafia 3

    Der_Hausmeister | 20:39


  1. 16:58

  2. 16:10

  3. 15:22

  4. 14:59

  5. 14:30

  6. 14:20

  7. 13:36

  8. 13:20


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel