Abo
  • Services:

Verschlüsselung: Parallele Angriffe auf RSA-Schlüssel mit 1.024 Bit

Kurze RSA-Schlüssel lassen sich schneller und günstiger brechen, wenn man einen Angriff auf viele Schlüssel gleichzeitig durchführt. Insbesondere bei DNSSEC sind RSA-Schlüssel mit 1.024 Bit noch in breitem Einsatz.

Artikel veröffentlicht am , Hanno Böck
Kryptographische Angriffe mit handelsüblichen Grafikkarten sind deutlich günstiger.
Kryptographische Angriffe mit handelsüblichen Grafikkarten sind deutlich günstiger. (Bild: GBPublic_PR/Wikimedia Commons/CC by 2.0)

Die Kryptographen Daniel Bernstein und Tanja Lange haben den aktuellen Forschungsstand zu Angriffen auf RSA-Schlüssel untersucht. Dabei legten sie insbesondere ein Augenmerk auf parallele Angriffe auf viele RSA-Schlüssel. Viele Annahmen, mit denen der Einsatz von kurzen RSA-Schlüsseln begründet wird, seien nicht zutreffend, so Lange und Bernstein.

Bereits seit 2003 Warnungen

Stellenmarkt
  1. Janoschka Deutschland GmbH, Kippenheim
  2. Lidl Dienstleistung GmbH & Co. KG, Neckarsulm

RSA ist das am häufigsten eingesetzte Public-Key-Verfahren, es ist in wichtigen Verschlüsselungsprotokollen wie OpenPGP oder TLS das Standardverfahren. Lange Zeit waren RSA-Schlüssel mit einer Länge von 1.024 Bit üblich. Bereits 2003 warnte Adi Shamir, einer der Erfinder von RSA, davor, dass solche Schlüssel nicht mehr sicher seien und ein Umstieg auf größere Schlüssellängen wie 2.048 oder 4.096 Bit anzuraten sei.

Angriffe auf RSA basieren auf der Faktorisierung großer Zahlen. Ein öffentlicher RSA-Schlüssel besteht unter anderem aus dem Produkt zweier Primzahlen. Wenn man diese Zahl in ihre Faktoren zerlegen kann, dann könne daraus der geheime Schlüssel berechnet werden. Der beste bisher bekannte Algorithmus zur Faktorisierung großer Zahlen ist das sogenannte Zahlkörpersieb (Number Field Sieve oder NFS).

Sämtliche Angriffsszenarien auf 1.024-Bit-RSA gehen davon aus, dass die Schlüssel mit großen Clustern angegriffen werden, die Kosten lägen in Millionenhöhe und die Berechnung würde Monate oder Jahre dauern. Daher hat es bisher auch noch keinen öffentlich bekannten Angriff auf solche Schlüssel gegeben. Doch die Schätzungen, was ein erfolgreicher Angriff kosten würde, werden immer weiter nach unten korrigiert. Dafür sorgt alleine schon der Fortschritt der Hardwareentwicklung, im vergangenen Jahr schätzte Eran Tromer die Kosten auf unter eine Million Dollar.

Bei DNSSEC sind 1.024 Bit verbreitet

Trotz der Warnungen kommt RSA mit 1.024 Bit immer noch zum Einsatz. Besonders verbreitet sind die kurzen RSA-Schlüssel bei DNSSEC. DNSSEC sieht unterschiedliche Schlüsselarten für verschiedene Zwecke vor - sogenannte Key-Signing-Keys, die üblicherweise längere Schlüssel verwenden, und Zone-Signing-Keys, die oft rotiert werden. Noch im Jahr 2012 wurde im Standard RFC 6781 festgehalten, dass 1.024-Bit-RSA-Schlüssel für die nächsten zehn Jahre für den Einsatz bei DNSSEC als sicher gelten können.

Dieser Einschätzung widersprechen Bernstein und Lange. Die DNSSEC-Autoren berücksichtigten nur Angriffe auf einzelne Schlüssel und führten an, dass ein Angriff viel zu teuer und zeitaufwendig wäre. Ein finanzstarker Angreifer könnte jedoch, statt nur einzelne Schlüssel anzugreifen, gleich einen Angriff auf viele Schlüssel parallel durchführen. Der Angriff auf einen einzelnen Schlüssel würde damit deutlich günstiger ausfallen. "Besonders bemerkenswert ist, dass für die optimale Wahl der Parameter die Wartezeit für einen Angriff sogar kürzer ist", sagte Lange gegenüber Golem.de.

Parallele Angriffe auf mehrere Schlüssel

Bernstein und Lange betrachten in ihrem Paper den Aufwand für Angriffe mit einem Batch-NFS-Verfahren, das die Faktorisierung vieler Zahlen gleichzeitig durchführt. Dabei seien einige Einsparungen möglich. Die üblichen Betrachtungen für Angriffe auf einzelne Keys setzen üblicherweise teure Spezialhardware voraus, aber laut Bernstein und Lange gelten dieselben Annahmen nicht für Angriffe auf mehrere Schlüssel. Die dortigen Berechnungen lassen sich vielmehr sehr gut mit handelsüblichen Grafikkarten durchführen. Genaue Kostenabschätzungen liefert das Paper jedoch nicht.

Der Grund, weshalb DNSSEC nach wie vor auf kurze RSA-Schlüssel setzt, sind zum einen Vorbehalte bei der Performance, zum anderen versucht man, die Menge der Signaturdaten, die in einem DNS-Record untergebracht sind, möglichst gering zu halten. Mit Verfahren auf Basis elliptischer Kurven könnte man jedoch schnellere Signaturen nutzen, die weniger Daten enthalten.

Doch nicht nur bei DNSSEC kommen 1.024-Bit-Schlüssel zum Einsatz. Auch in Webbrowsern werden nach wie vor Root-Zertifikate mitgeliefert, die RSA mit 1.024 Bit nutzen. Mozilla hat kürzlich angekündigt, dass man im Laufe des nächsten Jahres alle verbleibenden derartigen Root-Zertifikate entfernen möchte. Bei den Root-Zertifikaten ist der Einsatz schwacher Schlüssel besonders problematisch, denn hier reicht bereits ein einziger gebrochener Schlüssel, um gefälschte Zertifikate für nahezu beliebige Webseiten zu erstellen. Eine Ausnahme sind lediglich Webseiten, die sogenanntes Key-Pinning einsetzen, doch diese sind noch rar.



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 119,90€
  3. 216,50€

gizless 11. Nov 2014

Das klingt für mich nach Unsinn. Erkläre doch mal bitte, wie symetrische Verfahren den...


Folgen Sie uns
       


Asus Zenbook Pro 14 - Test

Das Touchpad des Asus Zenbook Pro 14 ist ein kleiner Bildschirm. Hört sich nutzlos an, hat uns aber dennoch im Test überzeugt.

Asus Zenbook Pro 14 - Test Video aufrufen
Klimaschutz: Energieausweis für Nahrungsmittel
Klimaschutz
Energieausweis für Nahrungsmittel

Dänemark will ein Klimalabel für Lebensmittel. Es soll Auskunft über den CO2-Fußabdruck geben und dem Kunden Orientierung zu Ökofragen liefern.
Ein Bericht von Daniel Hautmann

  1. Standard Cognition Konkurrenz zu kassenlosen Amazon-Go-Supermärkten eröffnet
  2. Amazon-Go-Konkurrenz Microsoft arbeitet am kassenlosen Lebensmittel-Einkauf

Far Cry New Dawn im Test: Die Apokalypse ist chaotisch, spaßig und hat Pay to Win
Far Cry New Dawn im Test
Die Apokalypse ist chaotisch, spaßig und hat Pay to Win

Grizzly frisst Bandit, Buggy rammt Grizzly: Far Cry New Dawn zeigt eine wunderbar chaotische Postapokalypse, die gerade bei der Geschichte und dem Schwierigkeitsgrad viel besser macht als der Vorgänger. Schade, dass die bunte Welt von Mikrotransaktionen getrübt wird.
Ein Test von Oliver Nickel

  1. Far Cry New Dawn angespielt Das gleiche Chaos im neuen Gewand
  2. New Dawn Ubisoft setzt Far Cry 5 postapokalyptisch fort

Honor Magic 2 im Test: Die Smartphone-Revolution ist aufgeschoben
Honor Magic 2 im Test
Die Smartphone-Revolution ist aufgeschoben

Ein Smartphone, dessen vordere Seite vollständig vom Display ausgefüllt wird: Diesem Ideal kommt Honor mit dem Magic 2 schon ziemlich nahe. Nicht mit Magie, sondern mit Hilfe eines Slider-Mechanismus. Honor verschenkt beim Magic 2 aber viel Potenzial, wie der Test zeigt.
Ein Test von Tobias Czullay

  1. Honor Neues Magic 2 mit Slider und ohne Notch vorgestellt
  2. Huawei Neues Honor 8X kostet 250 Euro
  3. Honor 10 vs. Oneplus 6 Oberklasse ab 400 Euro

    •  /