• IT-Karriere:
  • Services:

Verschlüsselung: Parallele Angriffe auf RSA-Schlüssel mit 1.024 Bit

Kurze RSA-Schlüssel lassen sich schneller und günstiger brechen, wenn man einen Angriff auf viele Schlüssel gleichzeitig durchführt. Insbesondere bei DNSSEC sind RSA-Schlüssel mit 1.024 Bit noch in breitem Einsatz.

Artikel veröffentlicht am , Hanno Böck
Kryptographische Angriffe mit handelsüblichen Grafikkarten sind deutlich günstiger.
Kryptographische Angriffe mit handelsüblichen Grafikkarten sind deutlich günstiger. (Bild: GBPublic_PR/Wikimedia Commons/CC by 2.0)

Die Kryptographen Daniel Bernstein und Tanja Lange haben den aktuellen Forschungsstand zu Angriffen auf RSA-Schlüssel untersucht. Dabei legten sie insbesondere ein Augenmerk auf parallele Angriffe auf viele RSA-Schlüssel. Viele Annahmen, mit denen der Einsatz von kurzen RSA-Schlüsseln begründet wird, seien nicht zutreffend, so Lange und Bernstein.

Bereits seit 2003 Warnungen

Stellenmarkt
  1. Deloitte, Frankfurt am Main, Hamburg, München, Berlin, Düsseldorf
  2. GEWOBAG Wohnungsbau-Aktiengesellschaft Berlin, Berlin

RSA ist das am häufigsten eingesetzte Public-Key-Verfahren, es ist in wichtigen Verschlüsselungsprotokollen wie OpenPGP oder TLS das Standardverfahren. Lange Zeit waren RSA-Schlüssel mit einer Länge von 1.024 Bit üblich. Bereits 2003 warnte Adi Shamir, einer der Erfinder von RSA, davor, dass solche Schlüssel nicht mehr sicher seien und ein Umstieg auf größere Schlüssellängen wie 2.048 oder 4.096 Bit anzuraten sei.

Angriffe auf RSA basieren auf der Faktorisierung großer Zahlen. Ein öffentlicher RSA-Schlüssel besteht unter anderem aus dem Produkt zweier Primzahlen. Wenn man diese Zahl in ihre Faktoren zerlegen kann, dann könne daraus der geheime Schlüssel berechnet werden. Der beste bisher bekannte Algorithmus zur Faktorisierung großer Zahlen ist das sogenannte Zahlkörpersieb (Number Field Sieve oder NFS).

Sämtliche Angriffsszenarien auf 1.024-Bit-RSA gehen davon aus, dass die Schlüssel mit großen Clustern angegriffen werden, die Kosten lägen in Millionenhöhe und die Berechnung würde Monate oder Jahre dauern. Daher hat es bisher auch noch keinen öffentlich bekannten Angriff auf solche Schlüssel gegeben. Doch die Schätzungen, was ein erfolgreicher Angriff kosten würde, werden immer weiter nach unten korrigiert. Dafür sorgt alleine schon der Fortschritt der Hardwareentwicklung, im vergangenen Jahr schätzte Eran Tromer die Kosten auf unter eine Million Dollar.

Bei DNSSEC sind 1.024 Bit verbreitet

Trotz der Warnungen kommt RSA mit 1.024 Bit immer noch zum Einsatz. Besonders verbreitet sind die kurzen RSA-Schlüssel bei DNSSEC. DNSSEC sieht unterschiedliche Schlüsselarten für verschiedene Zwecke vor - sogenannte Key-Signing-Keys, die üblicherweise längere Schlüssel verwenden, und Zone-Signing-Keys, die oft rotiert werden. Noch im Jahr 2012 wurde im Standard RFC 6781 festgehalten, dass 1.024-Bit-RSA-Schlüssel für die nächsten zehn Jahre für den Einsatz bei DNSSEC als sicher gelten können.

Dieser Einschätzung widersprechen Bernstein und Lange. Die DNSSEC-Autoren berücksichtigten nur Angriffe auf einzelne Schlüssel und führten an, dass ein Angriff viel zu teuer und zeitaufwendig wäre. Ein finanzstarker Angreifer könnte jedoch, statt nur einzelne Schlüssel anzugreifen, gleich einen Angriff auf viele Schlüssel parallel durchführen. Der Angriff auf einen einzelnen Schlüssel würde damit deutlich günstiger ausfallen. "Besonders bemerkenswert ist, dass für die optimale Wahl der Parameter die Wartezeit für einen Angriff sogar kürzer ist", sagte Lange gegenüber Golem.de.

Parallele Angriffe auf mehrere Schlüssel

Bernstein und Lange betrachten in ihrem Paper den Aufwand für Angriffe mit einem Batch-NFS-Verfahren, das die Faktorisierung vieler Zahlen gleichzeitig durchführt. Dabei seien einige Einsparungen möglich. Die üblichen Betrachtungen für Angriffe auf einzelne Keys setzen üblicherweise teure Spezialhardware voraus, aber laut Bernstein und Lange gelten dieselben Annahmen nicht für Angriffe auf mehrere Schlüssel. Die dortigen Berechnungen lassen sich vielmehr sehr gut mit handelsüblichen Grafikkarten durchführen. Genaue Kostenabschätzungen liefert das Paper jedoch nicht.

Der Grund, weshalb DNSSEC nach wie vor auf kurze RSA-Schlüssel setzt, sind zum einen Vorbehalte bei der Performance, zum anderen versucht man, die Menge der Signaturdaten, die in einem DNS-Record untergebracht sind, möglichst gering zu halten. Mit Verfahren auf Basis elliptischer Kurven könnte man jedoch schnellere Signaturen nutzen, die weniger Daten enthalten.

Doch nicht nur bei DNSSEC kommen 1.024-Bit-Schlüssel zum Einsatz. Auch in Webbrowsern werden nach wie vor Root-Zertifikate mitgeliefert, die RSA mit 1.024 Bit nutzen. Mozilla hat kürzlich angekündigt, dass man im Laufe des nächsten Jahres alle verbleibenden derartigen Root-Zertifikate entfernen möchte. Bei den Root-Zertifikaten ist der Einsatz schwacher Schlüssel besonders problematisch, denn hier reicht bereits ein einziger gebrochener Schlüssel, um gefälschte Zertifikate für nahezu beliebige Webseiten zu erstellen. Eine Ausnahme sind lediglich Webseiten, die sogenanntes Key-Pinning einsetzen, doch diese sind noch rar.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 27,99€ (ohne Prime oder unter 29€ zzgl. Versand)
  2. 27,99€ (ohne Prime oder unter 29€ zzgl. Versand)
  3. 91,99€
  4. 39,99€ (Bestpreis!)

gizless 11. Nov 2014

Das klingt für mich nach Unsinn. Erkläre doch mal bitte, wie symetrische Verfahren den...


Folgen Sie uns
       


Jedi Fallen Order - Fazit

Wer Fan von Star Wars ist und neben viel Macht auch eine gewisse Frusttoleranz in sich spürt, sollte Jedi Fallen Order eine Chance geben.

Jedi Fallen Order - Fazit Video aufrufen
Interview: Die Liebe für den Flight Simulator war immer da
Interview
"Die Liebe für den Flight Simulator war immer da"

Die prozedural erstellte Erde, der Quellcode vom letzten MS-Flugsimulator und eine Gemeinsamkeit mit Star Citizen: Golem.de hat mit Jörg Neumann über Technik und das Fliegen gesprochen. Neumann leitet bei Microsoft die Entwicklung des Flight Simulator.
Ein Interview von Peter Steinlechner

  1. Flug-Simulation Microsoft bereitet Alphatest des Flight Simulator vor
  2. Microsoft Neuer Flight Simulator soll Fokus auf Simulation legen

Jobs: Spielebranche sucht Entwickler (m/w/d)
Jobs
Spielebranche sucht Entwickler (m/w/d)

Die Hälfte aller Gamer ist weiblich. An der Entwicklung von Spielen sind aber nach wie vor deutlich weniger Frauen beteiligt.
Von Daniel Ziegener

  1. Medizinsoftware Forscher finden "rassistische Vorurteile" in Algorithmus
  2. Mordhau Toxische Spieler und Filter für Frauenhasser

Macbook Pro 16 Zoll im Test: Ein Schritt zurück sind zwei Schritte nach vorn
Macbook Pro 16 Zoll im Test
Ein Schritt zurück sind zwei Schritte nach vorn

Keine Butterfly-Tastatur mehr, eine physische Escape-Taste, dünnere Displayränder: Es scheint, als habe Apple beim Macbook Pro 16 doch auf das Feedback der Nutzer gehört und ist einen Schritt zurückgegangen. Golem.de hat sich angeschaut, ob sich die Änderungen auch lohnen.
Ein Test von Oliver Nickel

  1. Audioprobleme Knackgeräusche beim neuen Macbook Pro 16 Zoll
  2. iFixit Kleber und Nieten im neuen Macbook Pro 16 Zoll
  3. Macbook Pro Apple gibt fehlerhafte Butterfly-Tastatur auf

    •  /