Abo
  • Services:
Anzeige
Kryptographische Angriffe mit handelsüblichen Grafikkarten sind deutlich günstiger.
Kryptographische Angriffe mit handelsüblichen Grafikkarten sind deutlich günstiger. (Bild: GBPublic_PR/Wikimedia Commons/CC by 2.0)

Verschlüsselung: Parallele Angriffe auf RSA-Schlüssel mit 1.024 Bit

Kryptographische Angriffe mit handelsüblichen Grafikkarten sind deutlich günstiger.
Kryptographische Angriffe mit handelsüblichen Grafikkarten sind deutlich günstiger. (Bild: GBPublic_PR/Wikimedia Commons/CC by 2.0)

Kurze RSA-Schlüssel lassen sich schneller und günstiger brechen, wenn man einen Angriff auf viele Schlüssel gleichzeitig durchführt. Insbesondere bei DNSSEC sind RSA-Schlüssel mit 1.024 Bit noch in breitem Einsatz.

Anzeige

Die Kryptographen Daniel Bernstein und Tanja Lange haben den aktuellen Forschungsstand zu Angriffen auf RSA-Schlüssel untersucht. Dabei legten sie insbesondere ein Augenmerk auf parallele Angriffe auf viele RSA-Schlüssel. Viele Annahmen, mit denen der Einsatz von kurzen RSA-Schlüsseln begründet wird, seien nicht zutreffend, so Lange und Bernstein.

Bereits seit 2003 Warnungen

RSA ist das am häufigsten eingesetzte Public-Key-Verfahren, es ist in wichtigen Verschlüsselungsprotokollen wie OpenPGP oder TLS das Standardverfahren. Lange Zeit waren RSA-Schlüssel mit einer Länge von 1.024 Bit üblich. Bereits 2003 warnte Adi Shamir, einer der Erfinder von RSA, davor, dass solche Schlüssel nicht mehr sicher seien und ein Umstieg auf größere Schlüssellängen wie 2.048 oder 4.096 Bit anzuraten sei.

Angriffe auf RSA basieren auf der Faktorisierung großer Zahlen. Ein öffentlicher RSA-Schlüssel besteht unter anderem aus dem Produkt zweier Primzahlen. Wenn man diese Zahl in ihre Faktoren zerlegen kann, dann könne daraus der geheime Schlüssel berechnet werden. Der beste bisher bekannte Algorithmus zur Faktorisierung großer Zahlen ist das sogenannte Zahlkörpersieb (Number Field Sieve oder NFS).

Sämtliche Angriffsszenarien auf 1.024-Bit-RSA gehen davon aus, dass die Schlüssel mit großen Clustern angegriffen werden, die Kosten lägen in Millionenhöhe und die Berechnung würde Monate oder Jahre dauern. Daher hat es bisher auch noch keinen öffentlich bekannten Angriff auf solche Schlüssel gegeben. Doch die Schätzungen, was ein erfolgreicher Angriff kosten würde, werden immer weiter nach unten korrigiert. Dafür sorgt alleine schon der Fortschritt der Hardwareentwicklung, im vergangenen Jahr schätzte Eran Tromer die Kosten auf unter eine Million Dollar.

Bei DNSSEC sind 1.024 Bit verbreitet

Trotz der Warnungen kommt RSA mit 1.024 Bit immer noch zum Einsatz. Besonders verbreitet sind die kurzen RSA-Schlüssel bei DNSSEC. DNSSEC sieht unterschiedliche Schlüsselarten für verschiedene Zwecke vor - sogenannte Key-Signing-Keys, die üblicherweise längere Schlüssel verwenden, und Zone-Signing-Keys, die oft rotiert werden. Noch im Jahr 2012 wurde im Standard RFC 6781 festgehalten, dass 1.024-Bit-RSA-Schlüssel für die nächsten zehn Jahre für den Einsatz bei DNSSEC als sicher gelten können.

Dieser Einschätzung widersprechen Bernstein und Lange. Die DNSSEC-Autoren berücksichtigten nur Angriffe auf einzelne Schlüssel und führten an, dass ein Angriff viel zu teuer und zeitaufwendig wäre. Ein finanzstarker Angreifer könnte jedoch, statt nur einzelne Schlüssel anzugreifen, gleich einen Angriff auf viele Schlüssel parallel durchführen. Der Angriff auf einen einzelnen Schlüssel würde damit deutlich günstiger ausfallen. "Besonders bemerkenswert ist, dass für die optimale Wahl der Parameter die Wartezeit für einen Angriff sogar kürzer ist", sagte Lange gegenüber Golem.de.

Parallele Angriffe auf mehrere Schlüssel

Bernstein und Lange betrachten in ihrem Paper den Aufwand für Angriffe mit einem Batch-NFS-Verfahren, das die Faktorisierung vieler Zahlen gleichzeitig durchführt. Dabei seien einige Einsparungen möglich. Die üblichen Betrachtungen für Angriffe auf einzelne Keys setzen üblicherweise teure Spezialhardware voraus, aber laut Bernstein und Lange gelten dieselben Annahmen nicht für Angriffe auf mehrere Schlüssel. Die dortigen Berechnungen lassen sich vielmehr sehr gut mit handelsüblichen Grafikkarten durchführen. Genaue Kostenabschätzungen liefert das Paper jedoch nicht.

Der Grund, weshalb DNSSEC nach wie vor auf kurze RSA-Schlüssel setzt, sind zum einen Vorbehalte bei der Performance, zum anderen versucht man, die Menge der Signaturdaten, die in einem DNS-Record untergebracht sind, möglichst gering zu halten. Mit Verfahren auf Basis elliptischer Kurven könnte man jedoch schnellere Signaturen nutzen, die weniger Daten enthalten.

Doch nicht nur bei DNSSEC kommen 1.024-Bit-Schlüssel zum Einsatz. Auch in Webbrowsern werden nach wie vor Root-Zertifikate mitgeliefert, die RSA mit 1.024 Bit nutzen. Mozilla hat kürzlich angekündigt, dass man im Laufe des nächsten Jahres alle verbleibenden derartigen Root-Zertifikate entfernen möchte. Bei den Root-Zertifikaten ist der Einsatz schwacher Schlüssel besonders problematisch, denn hier reicht bereits ein einziger gebrochener Schlüssel, um gefälschte Zertifikate für nahezu beliebige Webseiten zu erstellen. Eine Ausnahme sind lediglich Webseiten, die sogenanntes Key-Pinning einsetzen, doch diese sind noch rar.


eye home zur Startseite
gizless 11. Nov 2014

Das klingt für mich nach Unsinn. Erkläre doch mal bitte, wie symetrische Verfahren den...



Anzeige

Stellenmarkt
  1. Hornbach-Baumarkt-AG, Großraum Mannheim/Karlsruhe
  2. Hermle Maschinenbau GmbH, Ottobrunn bei München
  3. RUESS GROUP, Stuttgart
  4. Leica Microsystems CMS GmbH, Wetzlar


Anzeige
Hardware-Angebote
  1. 239,00€
  2. und bis zu 50€ Cashback erhalten
  3. ab 649,90€

Folgen Sie uns
       


  1. Privacy Phone

    John McAfee stellt fragwürdiges Smartphone vor

  2. Hacon

    Siemens übernimmt Software-Anbieter aus Hannover

  3. Quartalszahlen

    Intel bestätigt Skylake-Xeons für Sommer 2017

  4. Sony

    20 Millionen Playstation im Geschäftsjahr verkauft

  5. Razer Lancehead

    Symmetrische 16.000-dpi-Maus läuft ohne Cloud-Zwang

  6. TV

    SD-Abschaltung kommt auch bei Satellitenfernsehen

  7. ZBook G4

    HP stellt Grafiker-Workstations für unterwegs vor

  8. Messenger Lite

    Facebook bringt abgespeckte Messenger-App nach Deutschland

  9. Intel

    Edison-Module und Arduino-Board werden eingestellt

  10. Linux-Distribution

    Debian 9 verzichtet auf Secure-Boot-Unterstützung



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
DLR-Projekt Eden ISS: Das Paradies ist ein Container
DLR-Projekt Eden ISS
Das Paradies ist ein Container
  1. Weltraumschrott "Der neue Aspekt sind die Megakonstellationen"
  2. Transport Der Güterzug der Zukunft ist ein schneller Roboter
  3. "Die Astronautin" Ich habe heute leider keinen Flug ins All für dich

Radeon RX 580 und RX 570 im Test: AMDs Grafikkarten sind schneller und sparsamer
Radeon RX 580 und RX 570 im Test
AMDs Grafikkarten sind schneller und sparsamer
  1. Grafikkarte Manche Radeon RX 400 lassen sich zu Radeon RX 500 flashen
  2. Radeon Pro Duo AMD bringt Profi-Grafikkarte mit zwei Polaris-Chips
  3. Grafikkarten AMD bringt vier neue alte Radeons für Komplett-PCs

Miniatur Wunderland: Schiffe versenken die schönsten Pläne
Miniatur Wunderland
Schiffe versenken die schönsten Pläne
  1. Transport Üo, der fahrbare Ball
  2. Transport Sea Bubbles testet foilendes Elektroboot
  3. Verkehr Eine Ampel mit Kamera und Gesichtserkennung

  1. Re: Hardwareschalter sind prinzipiell was gutes

    vkl | 23:18

  2. Re: 70 km - zu kurzes Intervall

    WonderGoal | 23:12

  3. Re: Illegitime Rechnungen verschicken und Geld...

    quineloe | 23:06

  4. Re: Interessante Sicherheitsausstattung

    kommentar4711 | 23:01

  5. Re: Aber zum Glück haben wir unseren Unfall mit...

    Friko44 | 22:54


  1. 18:05

  2. 17:30

  3. 17:08

  4. 16:51

  5. 16:31

  6. 16:10

  7. 16:00

  8. 15:26


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel