Wie leicht kann man eine schwache Kurve zufällig erzeugen?

Um auf unterhaltsame Art und Weise zu zeigen, wie leicht zufällig generierte Kurven manipuliert werden können, stellten Bernstein und sein Team 2014 in einem ironischen Paper (PDF) die BADA55-Kurven vor. Sie generierten mit ähnlichen Verfahren wie die NIST Kurven, bis sie eine schwache Kurve fanden, die wie zufällig erzeugt aussah und die öffentlichen Sicherheitskriterien erfüllte. Dabei entstanden keine echten Kurven mit bisher unbekannten Schwachstellen. Für die geheime Sicherheitslücke stand stellvertretend der Wert BADA55, der in hexadezimaler Schreibweise in den Kurvenparametern vorkommen sollte. Mit einem Cluster aus 41 leistungsfähigen Grafikprozessoren dauerte es sieben Stunden, um die erste BADA55-Kurve zu ermitteln.

Stellenmarkt
  1. Produktmanager (m/w/d) Geschäftskundenprodukte
    htp GmbH, Hannover
  2. IT Support Mitarbeiter (m/w/d) im 2nd/3rd Level
    igus GmbH, Köln
Detailsuche

Welche Kurven am Ende eingesetzt werden, liegt nicht nur daran, welche Kurve sicher und performant ist. Große Anbieter und Hersteller müssen sie auch akzeptieren. Das kam etwa zum Tragen, als Nachfolger für die in Ungnade gefallenen NIST-Kurven gesucht wurden. Die bereits erwähnte Curve25519 von Bernstein war bereits verbreitet und bei mehreren verschlüsselten Messengern und auf iOS-Geräten im Einsatz, doch auch Microsoft brachte einen eigenen Vorschlag ein. Mehrere Kryptographen vermuteten damals, es ginge Microsoft vor allem darum, einen eigenen Vorschlag einzubringen, um auch etwas beigetragen zu haben.

Das größte Sicherheitsrisiko ist die Implementierung

Neben Unsicherheiten durch schwache oder manipulierte Kurvenparameter ist das größte Einfallstor für Elliptische-Kurven-Kryptographie das gleiche wie bei anderen Kryptoverfahren: die Implementierung. Es gab beispielsweise einen Angriff auf Java-Bibliotheken, der ausnutzte, dass die Bibliothek nicht überprüfte, ob Teilnehmer eines Schlüsselaustauschs ihrem Gegenüber Punkte schicken, die wirklich auf der genutzten Kurve liegen. Ein Angreifer konnte dem Gegenüber einen Punkt senden, der auf einer kleineren Kurve liegt und so Informationen über dessen Punkt, sein Geheimnis, ermitteln.

Informationen über den geheimen Schlüssel können auch die Zeit oder der Energieverbrauch verraten, die für das Ver- und Entschlüsseln benötigt wird. Die Forscher Brumley und Tuveri konnten so 2011 den privaten Schlüssel eines Servers ermitteln, der ein ECC-Verfahren zur Authentifizierung einsetzte. Solche Angriffe wie Gegenmaßnahmen sind auch bei klassischen Verfahren bekannt und lassen sich vermeiden.

Golem Akademie
  1. LPI DevOps Tools Engineer – Prüfungsvorbereitung: virtueller Zwei-Tage-Workshop
    21./22.07.2022, Virtuell
  2. IT-Grundschutz-Praktiker mit Zertifikat: Drei-Tage-Workshop
    04.-06.07.2022, Virtuell
Weitere IT-Trainings

ECC ist also kein Allheilmittel, das die Kryptowelt schnell, energieeffizient und sicher macht. Sie machen aber eine der Ausflüchte obsolet, die die Schwemme an unsicheren smarten Geräten auf dem Markt begleitet. Denn sie ermöglichen eine sichere Authentifizierung und Datenübermittlung auch ohne viel zusätzlichen Energieverbrauch, Rechenleistung und Speicherplatz.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Kürzere Schlüssel, gleiche Sicherheit
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5


jo-1 28. Aug 2018

sehr nett! Den Spruch merke ich mir ;-) Finde den Artikel aus 2015 hierzu übrigens sehr...

corruption 24. Aug 2018

Stimmt. Man kann z.B. bei DH zeigen, dass es mind. so schwer ist wie das Problem des...

corruption 24. Aug 2018

Im Endeffekt sind beides doch sogenannte "Hidden Subgroup Problems" über eine abelsche...

neokawasaki 19. Aug 2018

Dem kann ich mich anschließen. Unter anderem durch die Faszination an asymmetrischer...



Aktuell auf der Startseite von Golem.de
Cariad
Aufsichtsrat greift bei VWs Softwareentwicklung durch

Die Sorge um die Volkswagen-Softwarefirma Cariad hat den Aufsichtsrat veranlasst, ein überarbeitetes Konzept für die ehrgeizigen Pläne vorzulegen.

Cariad: Aufsichtsrat greift bei VWs Softwareentwicklung durch
Artikel
  1. Delfast Top 3.0: Ukrainische Armee setzt E-Motorräder zur Panzerjagd ein
    Delfast Top 3.0
    Ukrainische Armee setzt E-Motorräder zur Panzerjagd ein

    Ukrainische Infanteristen nutzen E-Motorräder, um leise und schnell zum Einsatz zu gelangen und die Panzerabwehrlenkwaffe NLAW zu transportieren.

  2. Überwachung: Polizei setzt Handy-Erkennungskamera gegen Autofahrer ein
    Überwachung
    Polizei setzt Handy-Erkennungskamera gegen Autofahrer ein

    In Rheinland-Pfalz werden Handynutzer am Steuer eines Autos automatisch erkannt. Dazu wird das System Monocam aus den Niederlanden genutzt.

  3. Love, Death + Robots 3: Mal spannend, mal tragisch, mal gelungen, mal nicht so
    Love, Death + Robots 3
    Mal spannend, mal tragisch, mal gelungen, mal nicht so

    Die abwechslungsreichste Science-Fiction-Serie unserer Zeit ist wieder da - mit acht neuen Folgen der von David Fincher produzierten Anthologie-Reihe.
    Von Peter Osteried

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Borderlands 3 gratis • CW: Top-Rabatte auf PC-Komponenten • Inno3D RTX 3070 günstig wie nie: 614€ • Ryzen 9 5900X 398€ • Top-Laptops zu Tiefpreisen • Edifier Lautsprecher 129€ • Kingston SSD 2TB günstig wie nie: 129,90€ • Samsung Soundbar + Subwoofer günstig wie nie: 228,52€ [Werbung]
    •  /