VerschlüsselungZufällige Sicherheit

Jede Verschlüsselung der Internetkommunikation kann geknackt werden, sogar die bislang zuverlässigste. Nun setzen Informatiker auf die Quantenmechanik. von 

Enigma, die Verschlüsselungsmaschine der deutschen Wehrmacht

Enigma, die Verschlüsselungsmaschine der deutschen Wehrmacht  |  © Ian Waldie/Getty Images

Die Experten hatten es schon länger geahnt. Hinter vorgehaltener Hand machte das Gerücht auf internationalen Konferenzen die Runde. Doch offiziell bekannt wurde der Skandal erst nach der Veröffentlichung einer wissenschaftlichen Arbeit Mitte Februar. Die Botschaft, salopp ausgedrückt: Das Internet wackelt. Die Basis unserer Online-Geschäfte, unseres E-Mail-Verkehrs, unserer Online-Bankbeziehungen – die Sicherheit durch Verschlüsselung – ist nicht garantiert. Unser Vertrauen in die Geschäftsgrundlage des Webs als Marktplatz ist möglicherweise nicht mehr zu rechtfertigen. Denn einem Team europäischer und amerikanischer Mathematiker und Kryptografiespezialisten ist es gelungen, die bislang beliebteste, als sicher geltende Web-Verschlüsselung RSA zu attackieren und teilweise zu knacken.

Früher überbrachten Brieftauben und getarnte Boten die geheimen Codes

Die sichere Verschlüsselung der Internetkommunikation ist Routine, funktioniert in Sekundenbruchteilen und fällt uns Normalnutzern nicht weiter auf. Gelegentlich fragen wir uns, warum manche der besuchten Seiten im Adresskopf statt des Kürzels http ein https stehen haben (s bedeutet hier: secure). Wenn wir aufmerksam unseren Browser inspizieren, entdecken wir bisweilen ein winziges Vorhängeschloss am Rand. Manchmal erhalten wir eine Meldung von irgendwoher, die uns interessierende Website besitze kein Sicherheitszertifikat – automatisch und genervt klicken wir »ich vertraue trotzdem« an, und weiter geht’s.

Anzeige

Was die meisten nicht ahnen: Web-Kommunikation, die nicht durch Verschlüsselung gesichert ist, kann prinzipiell von jedermann mitgelesen werden. Das betrifft Privates wie Online-Liebeskontakte oder den Besuch von Pornoseiten, aber ebenso Finanzgeschäfte oder Betriebsgeheimnisse.

Um all dies vor den Augen Dritter zu verbergen, entwickeln Kryptografen seit den siebziger Jahren des letzten Jahrhunderts Verschlüsselungsverfahren. Die beiden Pioniere der Web-Kryptografie waren Whitfeld Diffie und sein Rivale Ron Rivest. Letzterer setzte sich mit seinem »RSA-Verfahren« durch, für dessen Entwicklung er 2002 den Turing Award erhielt, eine Art Informatik-Nobelpreis. RSA ist just das System, das jetzt Schwächen zeigt. Darum trägt das beunruhigende Paper auch die Überschrift: Ron was wrong, Whit is right.

Alle gängigen Web-Verschlüsselungsverfahren beruhen auf Zufallszahlen, also Zahlen, deren Erzeugung auch leistungsstarke Rechner nicht nachvollziehen können. Genau das war die Schwachstelle, die der niederländische Mathematiker und Kryptograf Arjen K. Lenstra jetzt aufgedeckt hat. Er untersuchte 7,1 Millionen sogenannte öffentliche Schlüssel – und fand bei fast 27.000 dieser Schlüssel Auffälligkeiten oder Doppelungen, welche den Schutz obsolet machen. Die Zufallszahlen waren schlicht nicht zufällig genug.

Doch warum gibt es überhaupt öffentliche Schlüssel, die sich findige Mathematiker, aber auch Spitzbuben und Betrüger beschaffen können? Weil man mit solchen Schlüsseln nichts öffnen kann, solange sie auf echten Zufallszahlen beruhen. Sondern nur verschließen. Die geniale Idee von Ron Rivest und seinen Kollegen Adi Shamir und Leonard Adleman (daher das Kürzel RSA) löste nämlich dieses verzwickte Problem: Wie tausche ich auf einem prinzipiell abhörbaren, also unsicheren Kanal wie meiner Datenleitung einen geheimen Schlüssel aus, mit dem ich Mitteilungen verschlüsseln – und mein Kommunikationspartner sie entschlüsseln kann? In der Geschichte der Kryptografie überbrachten getarnte Boten den geheimen Schlüssel. Oder Brieftauben. Bei den Abermilliarden Internetkontakten täglich muss das cleverer gehen.

Rivest löste das Problem so: Meine Bank (zum Beispiel) veröffentlicht einen Schlüssel. Den besorge ich mir, verschlüssele damit meine Daten und schicke das kryptische Datenpäckchen zur Bank. Die besitzt zusätzlich noch einen Geheimschlüssel, mit dem – nur sie – das Päckchen öffnen kann. Das funktioniert wie manches Bügelschloss am Fahrrad: Jeder kann es verschließen. Aber nur der Schlüsselbesitzer kriegt es wieder auf.

Nun haben Schlüssel und Schloss gemeinhin viel miteinander zu tun. Mit etwas Mühe kann ich vom Bügelschloss, sobald ich es aufschraube, auf den Schlüssel schließen. Das aber darf im Internetalltag nicht geschehen. Gesucht ist also ein Schlüssel, für den ich sehr leicht ein Schloss machen kann, welches aber nichts über den Schlüssel preisgibt. Die Kryptografen erinnerten sich an eine alte Geschichte aus der Königsdisziplin der Mathematik, der Zahlentheorie.

Leserkommentare
  1. Was ist denn nun die große Neuigkeit? Ist es, dass manche Primzahlen zu oft verwendet werden? Oder dass schon zu sehr bekannte Primzahlen verwendet werden? Oder dass die programmierten Zufallsgeneratoren schlecht sind? Oder doch, dass IRGENDWANN ein Quantencomputer hohe Leistung haben wird?

    Der Artikel klärt nicht wirklich auf, sondern lässt den Leser mit dem Gefühl "Ich verwende besser kein Online-Banking mehr" alleine.

    Das theoretisch jede Verschlüsselung geknackt werden kann, ist bekannt. Das ist auch eine normale Entwicklung, sodass auch die Verschlüsselungstechnik auch immer weiterentwickelt werden muss.

    Und die im Artikel verwendete Methode: "Man verwendet immer größere Verschlüsselungszahlen" ist auch nicht einfach so mal anzuwenden. Das finden von immer größeren Primzahlen ist nämlich auch mehr eine Ratejagd, für welche auch eine hohe Computerleistung benötigt wird.

    3 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen

    "Der Artikel klärt nicht wirklich auf, sondern lässt den Leser mit dem Gefühl "Ich verwende besser kein Online-Banking mehr" alleine."

    Man beachte bitte vor allem den visonären Anfang ohne Gesang dafür mit alt bekannter Message.
    http://www.youtube.com/wa...

    »Der Artikel klärt nicht wirklich auf, sondern lässt den Leser mit dem Gefühl "Ich verwende besser kein Online-Banking mehr" alleine.«

    Dieses Gefühl ist doch gar nicht so verkehrt …

  2. "Der Mathematiker weist darauf hin, dass schon die wichtigste Voraussetzung für das Funktionieren der kryptografischen Verschlüsselung nach Ron Rivest, die Unmöglichkeit des Faktorisierens sehr großer Zahlen, eine möglicherweise windige Sache ist."

    Es ist momentan keine windige Sache, weil ausser dem Shor-Algorithmus nichts bekannt ist, was die Faktorisierung ermöglicht. Und für diesen gibt es keine Maschine.

    Dass in der Zukunft Chiffren geheim bleiben kann natürlich niemand garantieren, das ist aber kein neues Phänomen. Die aktuelle Schwachstelle hat jedenfalls nichts mit dem Prinzip zu tun, sie tritt durch Mängel der Praxis auf. Schlechte Zufallsgeneratoren stellen RSA und ElGamal jedenfalls nicht in Frage.

    4 Leserempfehlungen
  3. Das aufgezeigte Problem ist erst einmal kein Problem mit der Verschlüsselung selbst, sondern mit der Methode mit der die Zahlen generiert werden.
    Das sind für mich an sich schon zwei verschiedene Dinge. Wenn ich immer den gleichen Schlüssel für ein Schloss herstelle ist nicht sofort das Schloss unsicher - sondern die Methode mit der ich den Schlüssel generiere.

    Was in dieser Hinsicht überraschend ist, eigentlich gibt es nur wenige Unternehmen die SSL Zertifikate ausstellen. VeriSign ist sehr beliebt - sonst habe ich noch GoDaddy gesehen, das war es dann aber auch schon. Also gibt es vielleicht 10, 20 Firmen die diese Zertifikate ausstellen - da sollte es doch möglich sein unsichere RSA Schlüssel herauszufiltern? Es bräuchte nur ein wenig Kooperation.
    Die nicht vertrauenswürdigen Zertifikate sind jene welche ein Seitenbetreiber selbst erstellt - zum Beispiel weil er über FileZilla Server seinen eigenen FTP Server betreibt. Diese Zertifikate werden jedoch nur selten kommerzielle Interessen schützen die den Aufwand eines Angriffs rechtfertigen. Und Banken setzen ja sowieso auf Anbieter wie VeriSign.

    Insofern sehe in dem Paper eigentlich kein wirkliches Problem. Ja, es gibt ein Problem mit der Schlüsselerzeugung - aber erkannt kann dieses behoben werden.
    Eine weitere Option wäre es auf stärkere Verschlüsselungen umzusteigen - FileZilla unterstützt 4096Bit RSA, bei den Banken sehe ich aktuell 2048Bit RSA.
    Je weniger Schlüssel generiert werden, desto unwahrscheinlicher...

    2 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen
    • Rigel1
    • 05. Mai 2012 13:30 Uhr

    Zu DetlevCM: Sie machen es sich etwas zu einfach.
    "Was in dieser Hinsicht überraschend ist, eigentlich gibt es nur wenige Unternehmen die SSL Zertifikate ausstellen."
    Schauen Sie mal, wie viele Zertifizierungsstellen z.B. in Firefox als vertrauenswürdig voreingestellt sind. Selbst wenn: auch mit Zusammenarbeit wird nicht unbedingt jede Schwäche erkannt. Das ist aber gar nicht das eigentliche Problem, denn...
    "Die nicht vertrauenswürdigen Zertifikate sind jene welche ein Seitenbetreiber selbst erstellt - zum Beispiel weil er über FileZilla Server seinen eigenen FTP Server betreibt. Diese Zertifikate werden jedoch nur selten kommerzielle Interessen schützen die den Aufwand eines Angriffs rechtfertigen"
    Das Problem sind weniger die Zertifikate als die Schlüsselpaare selbst, die oft selbst erstellt werden. Viele werden auch gar nicht zertifiziert. Wenn nun der Webserver Ihres Vertrauens TLS mit sicherem Schlüssel und Zertifikat nutzt, aber für den Login auf dem gleichen Rechner mit SSH unsichere (aus schlechten Zufallszahlen generierte) Schlüsselpaare verwendet werden, dann haben Sie ein Problem, das keine CA erkennen kann.

  4. ...dass Primzahlen geteilt werden.

    Kurzzeitig würde dies als Lösung des Problems auf jeden Fall funktionieren. Alternativ könnte man auch dem Kunden einen von 10 oder 20 Zertifikaten beim Online Banking anbieten - bei jeder Serververbindung neu ausgelost, etc.

    Lösbar ist dieses Problemchen fürs Erste auf jeden Fall.

    Quantencomputer sind im Gegensatz dazu schon eher ein Problem - aber auch noch nicht. Quantencomputer sind teuer, groß und es gibt nicht viele Anbieter - kriminelle werden sie so schnell nicht bekommen. (Andererseits will ich auch nicht dass ein Geheimdienst meine Bankdaten mit-liest.)
    Insofern müssen wir uns da noch keine Sorgen machen.

    Auch dürfte es eine Weile dauern bevor Quantencomputer genügend Rechenleistung aufweisen. Zwar steigt die Rechenleistung deutlich schneller an, da ein Qubit 4 "Zustände" kennt und ein Transistor nur 2, doch brauchen wir heute Rechenzentren oder vernetzte Heim PCs in Millionenhöhe um RSA zu knacken - und bis wir einen Quantencomputer mit 1000 Qubits (oder so) haben wird noch eine Weile dauern.

    Andererseits sollte man diese Zeit nutzen um die Technologie von Morgen zu implementieren - eine Verschlüsselung die einem Quantencomputer standhält wenn er denn endlich auf dem Markt ist.

  5. steckt in diesem Artikel. Ausserdem sind die Formulierungen zu schwammig. Was soll denn z.B. "Verschlüsselung der Internetkommunikation" sein? SSL? Denn wenn ich mit meinem Kommunikationspartner via Email mittels One-Time-Pad kommuniziere ist das auch Internetkommunikation, und mit Sicherheit technisch nicht knackbar: http://de.wikipedia.org/w...

    Eine Leserempfehlung
    Reaktionen auf diesen Kommentar anzeigen

    Das OTP ist aber gar nicht immer eins. Pro Sitzung wird immer ein OTP bspw. per RSA als Seed für eine AES-Maschine ausgetauscht. Wenn innerhalb derselben Sitzung mehrere Files ausgetauscht werden, ist das auch eine Schwachstelle und von OTP kann man da eigentlich nicht mehr sprechen.

    Bei dem von Ihnen beschriebenen Szenario müssten natürlich pro Transaktion ein OTP benutzt werden um die maximale Sicherheit zu gewährleisten, und genau da liegt das Hauptproblem von OTP: der Aufwand ist zu groß. Sowohl zum Erstellen der Schlüssel, als auch zum sicheren Transferieren der vielen Schlüsselpaare zum Kommunikationspartner. In Zeiten der Massenkommunikation völlig unpraktikabel, aber technisch eben möglich und immer wieder gerne zitiert bei Menschen, die glauben, alles sei knackbar. :)

  6. "Der Artikel klärt nicht wirklich auf, sondern lässt den Leser mit dem Gefühl "Ich verwende besser kein Online-Banking mehr" alleine."

    Man beachte bitte vor allem den visonären Anfang ohne Gesang dafür mit alt bekannter Message.
    http://www.youtube.com/wa...

    Antwort auf "Verwirrender Artikel"
    • eeee
    • 05. Mai 2012 12:51 Uhr

    wird man mit einem Fusionsreaktor betreiben. Haha.

    Eine Leserempfehlung
  7. Das OTP ist aber gar nicht immer eins. Pro Sitzung wird immer ein OTP bspw. per RSA als Seed für eine AES-Maschine ausgetauscht. Wenn innerhalb derselben Sitzung mehrere Files ausgetauscht werden, ist das auch eine Schwachstelle und von OTP kann man da eigentlich nicht mehr sprechen.

    Antwort auf "Zu viel Halbwissen..."

Bitte melden Sie sich an, um zu kommentieren

Service