Abo
  • Services:
Anzeige
Kryptographische Angriffe mit handelsüblichen Grafikkarten sind deutlich günstiger.
Kryptographische Angriffe mit handelsüblichen Grafikkarten sind deutlich günstiger. (Bild: GBPublic_PR/Wikimedia Commons/CC by 2.0)

Verschlüsselung: Parallele Angriffe auf RSA-Schlüssel mit 1.024 Bit

Kryptographische Angriffe mit handelsüblichen Grafikkarten sind deutlich günstiger.
Kryptographische Angriffe mit handelsüblichen Grafikkarten sind deutlich günstiger. (Bild: GBPublic_PR/Wikimedia Commons/CC by 2.0)

Kurze RSA-Schlüssel lassen sich schneller und günstiger brechen, wenn man einen Angriff auf viele Schlüssel gleichzeitig durchführt. Insbesondere bei DNSSEC sind RSA-Schlüssel mit 1.024 Bit noch in breitem Einsatz.

Anzeige

Die Kryptographen Daniel Bernstein und Tanja Lange haben den aktuellen Forschungsstand zu Angriffen auf RSA-Schlüssel untersucht. Dabei legten sie insbesondere ein Augenmerk auf parallele Angriffe auf viele RSA-Schlüssel. Viele Annahmen, mit denen der Einsatz von kurzen RSA-Schlüsseln begründet wird, seien nicht zutreffend, so Lange und Bernstein.

Bereits seit 2003 Warnungen

RSA ist das am häufigsten eingesetzte Public-Key-Verfahren, es ist in wichtigen Verschlüsselungsprotokollen wie OpenPGP oder TLS das Standardverfahren. Lange Zeit waren RSA-Schlüssel mit einer Länge von 1.024 Bit üblich. Bereits 2003 warnte Adi Shamir, einer der Erfinder von RSA, davor, dass solche Schlüssel nicht mehr sicher seien und ein Umstieg auf größere Schlüssellängen wie 2.048 oder 4.096 Bit anzuraten sei.

Angriffe auf RSA basieren auf der Faktorisierung großer Zahlen. Ein öffentlicher RSA-Schlüssel besteht unter anderem aus dem Produkt zweier Primzahlen. Wenn man diese Zahl in ihre Faktoren zerlegen kann, dann könne daraus der geheime Schlüssel berechnet werden. Der beste bisher bekannte Algorithmus zur Faktorisierung großer Zahlen ist das sogenannte Zahlkörpersieb (Number Field Sieve oder NFS).

Sämtliche Angriffsszenarien auf 1.024-Bit-RSA gehen davon aus, dass die Schlüssel mit großen Clustern angegriffen werden, die Kosten lägen in Millionenhöhe und die Berechnung würde Monate oder Jahre dauern. Daher hat es bisher auch noch keinen öffentlich bekannten Angriff auf solche Schlüssel gegeben. Doch die Schätzungen, was ein erfolgreicher Angriff kosten würde, werden immer weiter nach unten korrigiert. Dafür sorgt alleine schon der Fortschritt der Hardwareentwicklung, im vergangenen Jahr schätzte Eran Tromer die Kosten auf unter eine Million Dollar.

Bei DNSSEC sind 1.024 Bit verbreitet

Trotz der Warnungen kommt RSA mit 1.024 Bit immer noch zum Einsatz. Besonders verbreitet sind die kurzen RSA-Schlüssel bei DNSSEC. DNSSEC sieht unterschiedliche Schlüsselarten für verschiedene Zwecke vor - sogenannte Key-Signing-Keys, die üblicherweise längere Schlüssel verwenden, und Zone-Signing-Keys, die oft rotiert werden. Noch im Jahr 2012 wurde im Standard RFC 6781 festgehalten, dass 1.024-Bit-RSA-Schlüssel für die nächsten zehn Jahre für den Einsatz bei DNSSEC als sicher gelten können.

Dieser Einschätzung widersprechen Bernstein und Lange. Die DNSSEC-Autoren berücksichtigten nur Angriffe auf einzelne Schlüssel und führten an, dass ein Angriff viel zu teuer und zeitaufwendig wäre. Ein finanzstarker Angreifer könnte jedoch, statt nur einzelne Schlüssel anzugreifen, gleich einen Angriff auf viele Schlüssel parallel durchführen. Der Angriff auf einen einzelnen Schlüssel würde damit deutlich günstiger ausfallen. "Besonders bemerkenswert ist, dass für die optimale Wahl der Parameter die Wartezeit für einen Angriff sogar kürzer ist", sagte Lange gegenüber Golem.de.

Parallele Angriffe auf mehrere Schlüssel

Bernstein und Lange betrachten in ihrem Paper den Aufwand für Angriffe mit einem Batch-NFS-Verfahren, das die Faktorisierung vieler Zahlen gleichzeitig durchführt. Dabei seien einige Einsparungen möglich. Die üblichen Betrachtungen für Angriffe auf einzelne Keys setzen üblicherweise teure Spezialhardware voraus, aber laut Bernstein und Lange gelten dieselben Annahmen nicht für Angriffe auf mehrere Schlüssel. Die dortigen Berechnungen lassen sich vielmehr sehr gut mit handelsüblichen Grafikkarten durchführen. Genaue Kostenabschätzungen liefert das Paper jedoch nicht.

Der Grund, weshalb DNSSEC nach wie vor auf kurze RSA-Schlüssel setzt, sind zum einen Vorbehalte bei der Performance, zum anderen versucht man, die Menge der Signaturdaten, die in einem DNS-Record untergebracht sind, möglichst gering zu halten. Mit Verfahren auf Basis elliptischer Kurven könnte man jedoch schnellere Signaturen nutzen, die weniger Daten enthalten.

Doch nicht nur bei DNSSEC kommen 1.024-Bit-Schlüssel zum Einsatz. Auch in Webbrowsern werden nach wie vor Root-Zertifikate mitgeliefert, die RSA mit 1.024 Bit nutzen. Mozilla hat kürzlich angekündigt, dass man im Laufe des nächsten Jahres alle verbleibenden derartigen Root-Zertifikate entfernen möchte. Bei den Root-Zertifikaten ist der Einsatz schwacher Schlüssel besonders problematisch, denn hier reicht bereits ein einziger gebrochener Schlüssel, um gefälschte Zertifikate für nahezu beliebige Webseiten zu erstellen. Eine Ausnahme sind lediglich Webseiten, die sogenanntes Key-Pinning einsetzen, doch diese sind noch rar.


eye home zur Startseite
gizless 11. Nov 2014

Das klingt für mich nach Unsinn. Erkläre doch mal bitte, wie symetrische Verfahren den...



Anzeige

Stellenmarkt
  1. AKDB Anstalt für kommunale Datenverarbeitung in Bayern, Regensburg
  2. Daimler AG, Berlin, Stuttgart, Hamburg
  3. Swyx Solutions AG, Dortmund
  4. Meierhofer AG, München, St. Valentin (Österreich), Bern (Schweiz), Berlin, Leipzig


Anzeige
Hardware-Angebote
  1. ab 446,30€
  2. (reduzierte Überstände, Restposten & Co.)
  3. ab 649,90€

Folgen Sie uns
       


  1. Gnome

    Freiheit ist mehr als nur Code

  2. For Honor

    Samurai, Wikinger und Ritter bekommen dedizierte Server

  3. Smartphones

    Broadpwn-Lücke könnte drahtlosen Wurm ermöglichen

  4. Docsis 3.0

    Huawei erreicht 1,6 GBit/s mit altem Kabelnetzstandard

  5. Tasty One Top

    Buzzfeed stellt vernetzte Kochplatte vor

  6. Automated Valet Parking

    Lass das Parkhaus das Auto parken!

  7. Log-in-Allianz

    Prosieben, GMX und Zalando starten Single-Sign-on-Dienst

  8. Andreas Kaufmann

    Leica-Chef träumt vom eigenen Kamera-Smartphone

  9. Elektromobilität

    Porsche kommt in die Formel E

  10. Keylogger

    Arbeitgeber dürfen Mitarbeiter nicht generell ausspähen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Ausprobiert: JPEGmini Pro komprimiert riesige JPEGs um bis zu 80 Prozent
Ausprobiert
JPEGmini Pro komprimiert riesige JPEGs um bis zu 80 Prozent
  1. Google KI erstellt professionelle Panoramen
  2. Bildbearbeitung Google gibt Nik Collection auf

Kryptowährungen: Bitcoin steht vor grundlegenden Änderungen
Kryptowährungen
Bitcoin steht vor grundlegenden Änderungen
  1. Geldwäsche Mutmaßlicher Betreiber von BTC-e angeklagt und festgenommen
  2. Linux-Distributionen Mehr als 90 Prozent der Debian-Pakete reproduzierbar
  3. Kryptowährung Bitcoin notiert auf neuem Rekordhoch

Matebook X im Test: Huaweis erstes Ultrabook glänzt
Matebook X im Test
Huaweis erstes Ultrabook glänzt
  1. Porsche Design Huaweis Porsche-Smartwatch kostet 800 Euro
  2. Smartphone Neues Huawei Y6 für 150 Euro bei Aldi erhältlich
  3. Matebook X Huaweis erstes Notebook im Handel erhältlich

  1. Re: Ein Abschnitt des Artikels hat mich zum...

    chewbacca0815 | 14:57

  2. Re: Amazon macht alles richtig

    heidegger | 14:55

  3. Re: Mach deinen Scheiß doch mal selbst.

    rldml | 14:53

  4. Re: Die Anwendung gibt beispielsweise Signale...

    MrAnderson | 14:53

  5. Re: Kleine Akkus sind viel besser als Große!

    Dwalinn | 14:53


  1. 14:02

  2. 13:44

  3. 13:00

  4. 12:45

  5. 12:29

  6. 11:58

  7. 11:47

  8. 11:34


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel