• IT-Karriere:
  • Services:

Wie leicht kann man eine schwache Kurve zufällig erzeugen?

Um auf unterhaltsame Art und Weise zu zeigen, wie leicht zufällig generierte Kurven manipuliert werden können, stellten Bernstein und sein Team 2014 in einem ironischen Paper (PDF) die BADA55-Kurven vor. Sie generierten mit ähnlichen Verfahren wie die NIST Kurven, bis sie eine schwache Kurve fanden, die wie zufällig erzeugt aussah und die öffentlichen Sicherheitskriterien erfüllte. Dabei entstanden keine echten Kurven mit bisher unbekannten Schwachstellen. Für die geheime Sicherheitslücke stand stellvertretend der Wert BADA55, der in hexadezimaler Schreibweise in den Kurvenparametern vorkommen sollte. Mit einem Cluster aus 41 leistungsfähigen Grafikprozessoren dauerte es sieben Stunden, um die erste BADA55-Kurve zu ermitteln.

Stellenmarkt
  1. Computacenter AG & Co. oHG, verschiedene Standorte
  2. Deutsches Krebsforschungszentrum (DKFZ), Heidelberg

Welche Kurven am Ende eingesetzt werden, liegt nicht nur daran, welche Kurve sicher und performant ist. Große Anbieter und Hersteller müssen sie auch akzeptieren. Das kam etwa zum Tragen, als Nachfolger für die in Ungnade gefallenen NIST-Kurven gesucht wurden. Die bereits erwähnte Curve25519 von Bernstein war bereits verbreitet und bei mehreren verschlüsselten Messengern und auf iOS-Geräten im Einsatz, doch auch Microsoft brachte einen eigenen Vorschlag ein. Mehrere Kryptographen vermuteten damals, es ginge Microsoft vor allem darum, einen eigenen Vorschlag einzubringen, um auch etwas beigetragen zu haben.

Das größte Sicherheitsrisiko ist die Implementierung

Neben Unsicherheiten durch schwache oder manipulierte Kurvenparameter ist das größte Einfallstor für Elliptische-Kurven-Kryptographie das gleiche wie bei anderen Kryptoverfahren: die Implementierung. Es gab beispielsweise einen Angriff auf Java-Bibliotheken, der ausnutzte, dass die Bibliothek nicht überprüfte, ob Teilnehmer eines Schlüsselaustauschs ihrem Gegenüber Punkte schicken, die wirklich auf der genutzten Kurve liegen. Ein Angreifer konnte dem Gegenüber einen Punkt senden, der auf einer kleineren Kurve liegt und so Informationen über dessen Punkt, sein Geheimnis, ermitteln.

Informationen über den geheimen Schlüssel können auch die Zeit oder der Energieverbrauch verraten, die für das Ver- und Entschlüsseln benötigt wird. Die Forscher Brumley und Tuveri konnten so 2011 den privaten Schlüssel eines Servers ermitteln, der ein ECC-Verfahren zur Authentifizierung einsetzte. Solche Angriffe wie Gegenmaßnahmen sind auch bei klassischen Verfahren bekannt und lassen sich vermeiden.

ECC ist also kein Allheilmittel, das die Kryptowelt schnell, energieeffizient und sicher macht. Sie machen aber eine der Ausflüchte obsolet, die die Schwemme an unsicheren smarten Geräten auf dem Markt begleitet. Denn sie ermöglichen eine sichere Authentifizierung und Datenübermittlung auch ohne viel zusätzlichen Energieverbrauch, Rechenleistung und Speicherplatz.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Kürzere Schlüssel, gleiche Sicherheit
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

jo-1 28. Aug 2018

sehr nett! Den Spruch merke ich mir ;-) Finde den Artikel aus 2015 hierzu übrigens sehr...

corruption 24. Aug 2018

Stimmt. Man kann z.B. bei DH zeigen, dass es mind. so schwer ist wie das Problem des...

corruption 24. Aug 2018

Im Endeffekt sind beides doch sogenannte "Hidden Subgroup Problems" über eine abelsche...

neokawasaki 19. Aug 2018

Dem kann ich mich anschließen. Unter anderem durch die Faszination an asymmetrischer...


Folgen Sie uns
       


Java 15: Sealed Classes - Code-Smell oder moderne Erweiterung?
Java 15
Sealed Classes - Code-Smell oder moderne Erweiterung?

Was bringt das Preview Feature aus Java 15, wie wird es benutzt und bricht das nicht das Prinzip der Kapselung?
Eine Analyse von Boris Mayer

  1. Java JDK 15 geht mit neuen Features in die General Availability
  2. Java Nicht die Bohne veraltet
  3. JDK Oracle will "Schmerzen" von Java beheben

Core i7-1185G7 (Tiger Lake) im Test: Gut gebrüllt, Intel
Core i7-1185G7 (Tiger Lake) im Test
Gut gebrüllt, Intel

Dank vier äußerst schneller CPU-Kerne und überraschend flotter iGPU gibt Tiger Lake verglichen zu AMDs Ryzen 4000 eine gute Figur ab.
Ein Test von Marc Sauter

  1. Tiger Lake Überblick zu Intels 11th-Gen-Laptops
  2. Project Athena 2.0 Evo-Ultrabooks gibt es nur mit Windows 10
  3. Ultrabook-Chip Das kann Intels Tiger Lake

Verkehrswende: Zaubertechnologie statt Citybahn
Verkehrswende
Zaubertechnologie statt Citybahn

In Wiesbaden wird um den Bau einer Straßenbahn gestritten, eine Bürgerinitiative kämpft mit sehr kuriosen Argumenten dagegen.
Eine Recherche von Hanno Böck

  1. Fernbus Roadjet mit zwei WLANs und Maskenerkennung gegen Flixbus
  2. Mobilität Wie sinnvoll sind synthetische Kraftstoffe?

    •  /