Kürzere Schlüssel, gleiche Sicherheit

In diesen langen Schlüsseln liegt einer der Nachteile klassischer asymmetrischer Kryptoverfahren. Um ein Sicherheitslevel zu erreichen, das äquivalent zu einem symmetrischen Schlüssel von 128 Bit ist, müsste der Schlüssel 3.248 Bit lang sein. Für eine Länge von 256 Bit im symmetrischen Fall wären schon 15.424 Bit nötig, da eben bessere als exponentielle Angriffe bekannt sind. Bei elliptischen Kurven ist das noch nicht der Fall. Hier erreicht man diese Sicherheit schon mit Längen von 256 beziehungsweise 512 Bit - solange niemand ein Verfahren findet, um den diskreten Logarithmus schneller zu ermitteln.

Stellenmarkt
  1. Project Lead (m/w/d)
    SEITENBAU GmbH, Konstanz, remote
  2. (Senior) Cloud Developer (m/w/d)
    AUSY Technologies Germany AG, verschiedene Standorte
Detailsuche

Das schont sowohl Rechenzeit und Leistung als auch Speicherplatz, was besonders bei Smartcards oder Geräten mit begrenzter Rechenleistung wichtig ist. Und so finden elliptische Kurven beim elektronischen Personalausweis Anwendung. Flexible und energiesparende Hardware-Umsetzungen wie der vom MIT vorgestellte Chip können zur weiteren Verbreitung in Systemen mit begrenzten Ressourcen beitragen. Sei es bei eingebetteten Systemen wie Car-2-Car-Kommunikation oder bei sogenannten Smart Devices.

Hat die NSA Kurven manipuliert?

Doch nicht alle beliebigen Parameter sind für eine sichere elliptische Kurve geeignet. Unter speziellen Umständen ist es leichter möglich, den diskreten Logarithmus zu berechnen. Solche schwachen Kurven lassen sich durch Tests erkennen, zumindest für bekannte Schwachstellen.

In der Praxis berechnet sich daher nicht jeder seine eigene Kurve, sondern verwendet bereits vordefinierte und geprüfte Kurven. Dazu gehören beispielsweise die Kurven der US-Standardisierungsbehörde NIST. Die Parameter dieser Kurven wurden durch eine Hashfunktion erzeugt. Das soll vermeiden, dass jemand leicht manipulierbare Werte einschleusen kann. Doch die NIST-Kurven zogen nach den Snowden-Enthüllungen Misstrauen auf sich. Ein NSA-Mitarbeiter erzeugte die Kurven, und die Startwerte für die Hashfunktion, die er nutzte, machten skeptisch.

Golem Akademie
  1. Adobe Photoshop Grundkurs: virtueller Drei-Tage-Workshop
    23.-25.05.2022, Virtuell
  2. Microsoft 365 Security: virtueller Drei-Tage-Workshop
    29.06.-01.07.2022, Virtuell
Weitere IT-Trainings

Warum er spezielle Werte und nicht etwa wie üblich triviale Werte oder Konstanten wie Pi verwendete, war nicht erklärbar. Daraus entstand die Angst, die NSA könnte eine öffentlich nicht bekannte Schwachstelle in der Hashfunktion ausnutzen, um von ihr gewählte schwache Parameter zu erzeugen. Denn es ist durchaus denkbar, dass ein Angreifer um weitere schwache Kurventypen weiß, dieses Wissen jedoch nicht öffentlich bekanntgibt.

Dass diese Parameter tatsächlich manipuliert waren und Schwächen aufweisen, konnte nicht bewiesen werden. Der Kryptograph Daniel J. Bernstein schlug jedoch bereits vor diesen Zweifeln vor, Kurvenparameter deterministisch zu bestimmen. 2006 veröffentlichte er die mittlerweile weit verbreitete Curve25519. Er nahm als Grundlage die Sicherheitsanforderungen und ermittelte jene Parameter, die diese erfüllen und effiziente Berechnungen erlauben. Er kam so auf eine elliptische Kurve mit der Gleichung y^2 = x^3 + 486662x^2 + x. Ihren Namen hat sie von dem endlichen Körper modulo 2^255 − 19. Wenn wir uns kurz an die vorherigen Ausflüge in die Mathematik erinnern: 2^255 − 19 beschreibt den Wertebereich, der zur Verfügung steht und ist eine sehr große Primzahl.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Elliptische Kurven sehen nicht aus wie EllipsenWie leicht kann man eine schwache Kurve zufällig erzeugen? 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


jo-1 28. Aug 2018

sehr nett! Den Spruch merke ich mir ;-) Finde den Artikel aus 2015 hierzu übrigens sehr...

corruption 24. Aug 2018

Stimmt. Man kann z.B. bei DH zeigen, dass es mind. so schwer ist wie das Problem des...

corruption 24. Aug 2018

Im Endeffekt sind beides doch sogenannte "Hidden Subgroup Problems" über eine abelsche...

neokawasaki 19. Aug 2018

Dem kann ich mich anschließen. Unter anderem durch die Faszination an asymmetrischer...



Aktuell auf der Startseite von Golem.de
Sicherheitslücke
Die Schadsoftware, die auf ausgeschalteten iPhones aktiv ist

Forschern ist es gelungen, eine Schadsoftware auf ausgeschalteten iPhones mit vermeintlich leerem Akku auszuführen. Denn ganz aus sind diese nicht.

Sicherheitslücke: Die Schadsoftware, die auf ausgeschalteten iPhones aktiv ist
Artikel
  1. Autoindustrie: Mit handgeknüpften Kabelbäumen gegen die Lieferkrise
    Autoindustrie
    Mit handgeknüpften Kabelbäumen gegen die Lieferkrise

    Der Krieg in der Ukraine unterbricht die Lieferkette bei den Kabelbäumen. Jetzt suchen Autohersteller nach neuen Produktionswegen.
    Von Wolfgang Gomoll

  2. Decentralized Finance: Die Bafin würde gern Defi regulieren
    Decentralized Finance
    Die Bafin würde gern Defi regulieren

    Und das am liebsten EU-weit. 97 Prozent der gestohlenen Kryptowährungen stammen aus Defi-Transaktionen.

  3. Homeoffice: Bastler baut Gestell für die liegende Büroarbeit im Bett
    Homeoffice
    Bastler baut Gestell für die liegende Büroarbeit im Bett

    Der Bildschirm über dem Kopf, die Tastatur hängt herab: Das Homeoffice aus dem Bett heraus funktioniert - mit Handwerk und Kreativität.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (u. a. Intel Core i9 529€, MSI RTX 3060 Ti 609€, Kingston Fury DDR5-4800 32GB 195€) • Razer Ornata V2 Gaming-Tastatur günstig wie nie: 54,99€ • AOC G3 Gaming-Monitor 34" UWQHD 165 Hz günstig wie nie: 404€ • Xbox Series X bestellbar [Werbung]
    •  /