Verschlüsselung: Zufällige Sicherheit
Jede Verschlüsselung der Internetkommunikation kann geknackt werden, sogar die bislang zuverlässigste. Nun setzen Informatiker auf die Quantenmechanik.
© Ian Waldie/Getty Images
Enigma, die Verschlüsselungsmaschine der deutschen Wehrmacht
Die Experten hatten es schon länger geahnt. Hinter vorgehaltener Hand machte das Gerücht auf internationalen Konferenzen die Runde. Doch offiziell bekannt wurde der Skandal erst nach der Veröffentlichung einer wissenschaftlichen Arbeit Mitte Februar. Die Botschaft, salopp ausgedrückt: Das Internet wackelt. Die Basis unserer Online-Geschäfte, unseres E-Mail-Verkehrs, unserer Online-Bankbeziehungen – die Sicherheit durch Verschlüsselung – ist nicht garantiert. Unser Vertrauen in die Geschäftsgrundlage des Webs als Marktplatz ist möglicherweise nicht mehr zu rechtfertigen. Denn einem Team europäischer und amerikanischer Mathematiker und Kryptografiespezialisten ist es gelungen, die bislang beliebteste, als sicher geltende Web-Verschlüsselung RSA zu attackieren und teilweise zu knacken.
Früher überbrachten Brieftauben und getarnte Boten die geheimen Codes
Die sichere Verschlüsselung der Internetkommunikation ist Routine, funktioniert in Sekundenbruchteilen und fällt uns Normalnutzern nicht weiter auf. Gelegentlich fragen wir uns, warum manche der besuchten Seiten im Adresskopf statt des Kürzels http ein https stehen haben (s bedeutet hier: secure). Wenn wir aufmerksam unseren Browser inspizieren, entdecken wir bisweilen ein winziges Vorhängeschloss am Rand. Manchmal erhalten wir eine Meldung von irgendwoher, die uns interessierende Website besitze kein Sicherheitszertifikat – automatisch und genervt klicken wir »ich vertraue trotzdem« an, und weiter geht’s.
Was die meisten nicht ahnen: Web-Kommunikation, die nicht durch Verschlüsselung gesichert ist, kann prinzipiell von jedermann mitgelesen werden. Das betrifft Privates wie Online-Liebeskontakte oder den Besuch von Pornoseiten, aber ebenso Finanzgeschäfte oder Betriebsgeheimnisse.
Um all dies vor den Augen Dritter zu verbergen, entwickeln Kryptografen seit den siebziger Jahren des letzten Jahrhunderts Verschlüsselungsverfahren. Die beiden Pioniere der Web-Kryptografie waren Whitfeld Diffie und sein Rivale Ron Rivest. Letzterer setzte sich mit seinem »RSA-Verfahren« durch, für dessen Entwicklung er 2002 den Turing Award erhielt, eine Art Informatik-Nobelpreis. RSA ist just das System, das jetzt Schwächen zeigt. Darum trägt das beunruhigende Paper auch die Überschrift: Ron was wrong, Whit is right.
Alle gängigen Web-Verschlüsselungsverfahren beruhen auf Zufallszahlen, also Zahlen, deren Erzeugung auch leistungsstarke Rechner nicht nachvollziehen können. Genau das war die Schwachstelle, die der niederländische Mathematiker und Kryptograf Arjen K. Lenstra jetzt aufgedeckt hat. Er untersuchte 7,1 Millionen sogenannte öffentliche Schlüssel – und fand bei fast 27.000 dieser Schlüssel Auffälligkeiten oder Doppelungen, welche den Schutz obsolet machen. Die Zufallszahlen waren schlicht nicht zufällig genug.
Doch warum gibt es überhaupt öffentliche Schlüssel, die sich findige Mathematiker, aber auch Spitzbuben und Betrüger beschaffen können? Weil man mit solchen Schlüsseln nichts öffnen kann, solange sie auf echten Zufallszahlen beruhen. Sondern nur verschließen. Die geniale Idee von Ron Rivest und seinen Kollegen Adi Shamir und Leonard Adleman (daher das Kürzel RSA) löste nämlich dieses verzwickte Problem: Wie tausche ich auf einem prinzipiell abhörbaren, also unsicheren Kanal wie meiner Datenleitung einen geheimen Schlüssel aus, mit dem ich Mitteilungen verschlüsseln – und mein Kommunikationspartner sie entschlüsseln kann? In der Geschichte der Kryptografie überbrachten getarnte Boten den geheimen Schlüssel. Oder Brieftauben. Bei den Abermilliarden Internetkontakten täglich muss das cleverer gehen.
Rivest löste das Problem so: Meine Bank (zum Beispiel) veröffentlicht einen Schlüssel. Den besorge ich mir, verschlüssele damit meine Daten und schicke das kryptische Datenpäckchen zur Bank. Die besitzt zusätzlich noch einen Geheimschlüssel, mit dem – nur sie – das Päckchen öffnen kann. Das funktioniert wie manches Bügelschloss am Fahrrad: Jeder kann es verschließen. Aber nur der Schlüsselbesitzer kriegt es wieder auf.
Nun haben Schlüssel und Schloss gemeinhin viel miteinander zu tun. Mit etwas Mühe kann ich vom Bügelschloss, sobald ich es aufschraube, auf den Schlüssel schließen. Das aber darf im Internetalltag nicht geschehen. Gesucht ist also ein Schlüssel, für den ich sehr leicht ein Schloss machen kann, welches aber nichts über den Schlüssel preisgibt. Die Kryptografen erinnerten sich an eine alte Geschichte aus der Königsdisziplin der Mathematik, der Zahlentheorie.
Das Problem lässt sich nur Lösen, wenn ein erfolgreicher Internetbetrug nicht mehr, irgendwo auf der Welt, versteckt werden kann! Dann gibt es auch keine Steuerhinterziehung mehr!
Es ist, wie immer wieder, ein Politisches Problem!
.. was ist ein "erfolgreicher Internetbetrug" und wieso gehen Sie einfach davon aus der der irgendwo "versteckt" wird oder wurde ?
Und wieso sollte es keine Steuerhinterziehung mehr geben können. Wenn, anders wie bisher, ELSTER auch für jeden der eine Steuererklärung macht, verpflichtend wäre, wer könne den garantieren das alle Angaben richtig oder wahrheitsgemäß gemacht worden sind ?
Irgendwer oder irgendwas "im Internet" kann das sicher nicht. das geht nur wenn jeder jemanden hat der ihn rund um die Uhr hinsichtlich allem was der mit Geld zu tun hat überwacht. Damit hat man dann aber noch immer keine Sicherheit das der Überwacher alles richtig und wahrheitsgemäß angibt.
Altes Problem jedweden Überwachungsstaates. Die doppellte Anzahl der Leute die überwacht werden müssen reicht nicht für Sicherheitsansprüche, also müssen mehr überwachen wie es unter Umständen Leute in der Bevölkerung gibt. Diese Paradoxie macht klassischer Weise wütend, und darum werden solche Überwachungsstaaten totalitär und represiv, wenn nicht gar garstig.
.. was ist ein "erfolgreicher Internetbetrug" und wieso gehen Sie einfach davon aus der der irgendwo "versteckt" wird oder wurde ?
Und wieso sollte es keine Steuerhinterziehung mehr geben können. Wenn, anders wie bisher, ELSTER auch für jeden der eine Steuererklärung macht, verpflichtend wäre, wer könne den garantieren das alle Angaben richtig oder wahrheitsgemäß gemacht worden sind ?
Irgendwer oder irgendwas "im Internet" kann das sicher nicht. das geht nur wenn jeder jemanden hat der ihn rund um die Uhr hinsichtlich allem was der mit Geld zu tun hat überwacht. Damit hat man dann aber noch immer keine Sicherheit das der Überwacher alles richtig und wahrheitsgemäß angibt.
Altes Problem jedweden Überwachungsstaates. Die doppellte Anzahl der Leute die überwacht werden müssen reicht nicht für Sicherheitsansprüche, also müssen mehr überwachen wie es unter Umständen Leute in der Bevölkerung gibt. Diese Paradoxie macht klassischer Weise wütend, und darum werden solche Überwachungsstaaten totalitär und represiv, wenn nicht gar garstig.
"Sowohl zum Erstellen der Schlüssel, als auch zum sicheren Transferieren der vielen Schlüsselpaare zum Kommunikationspartner."
Von Schlüsselpaaren spricht man doch im allgemeinen bei asymmetrischer Kryptographie. Ich kenne kein System welches, sagen wir, per RSA Paare austauscht. Wozu soll das gut sein?
aber soweit ich es verstehe, hat der Quantencomputer (falls er jemals real existiert) die Möglichkeit, eine Aufgabe (wie die Faktorzerlegung) in ein einem Rechenschritt (oder einem kurzen Alg.) alle möglichen Lösungen gleichzeitig zu berechnen. Das Problem ist, die Lösungen herauszulesen. Ein serieller herkömmlicher Rechner müsste alle Lösungen nacheinander berechnen. Das dauert Milliarden von Jahren.
Die sichere VErschlüsselung mittel Quantenphysik beruht im Prinzip da drauf, dass man erkennt, das jemand ein QBit bereits vor mir gelesen hat. Das heisst der Schlüssel ist nicht besser als bislang , aber ich weiss, das ihn emand anders kennt.
das Problem ist, mit ist keine existierende, praktikable Lösung bekannt. Quantencomputer sind ja meist iregndwelche Glasspinsysteme, oder bestenfalls Molekülzustände in Magenetfeldern oder bei Tiefsttemperaturen. (Hochtemperatur sind noch immer -70 grd Celsius).
Aber vielleicht gibt es ja schon neue Entwicklungen.
"Das heisst der Schlüssel ist nicht besser als bislang , aber ich weiss, das ihn emand anders kennt."
Nein. Die Sicherheit der Verschlüsselung mit Qubits beruht darauf, dass man OTPs übertragen kann. Damit schliesst man dessen Übertragung per RSA aus und somit einen potentiellen Schwachpunkt. Die Komplexität des Brechens von RSA ist ja nicht bekannt, und so könnte es sein, dass jemand einen polynomialen Faktorisierungsalgorithmus findet.
"Das heisst der Schlüssel ist nicht besser als bislang , aber ich weiss, das ihn emand anders kennt."
Nein. Die Sicherheit der Verschlüsselung mit Qubits beruht darauf, dass man OTPs übertragen kann. Damit schliesst man dessen Übertragung per RSA aus und somit einen potentiellen Schwachpunkt. Die Komplexität des Brechens von RSA ist ja nicht bekannt, und so könnte es sein, dass jemand einen polynomialen Faktorisierungsalgorithmus findet.
wer verschlüsselt heute denn noch mit RSA ?
der Autor sollte sich nicht mit veralteten Sicherheitsstandards befassen
Jede Webseite die eine Verschlüsselte Verbindung nutzt, nutzt erst einmal die RSA Verschlüsselung.
Veraltet ist da erst einmal nichts.
Jede Webseite die eine Verschlüsselte Verbindung nutzt, nutzt erst einmal die RSA Verschlüsselung.
Veraltet ist da erst einmal nichts.
"Das heisst der Schlüssel ist nicht besser als bislang , aber ich weiss, das ihn emand anders kennt."
Nein. Die Sicherheit der Verschlüsselung mit Qubits beruht darauf, dass man OTPs übertragen kann. Damit schliesst man dessen Übertragung per RSA aus und somit einen potentiellen Schwachpunkt. Die Komplexität des Brechens von RSA ist ja nicht bekannt, und so könnte es sein, dass jemand einen polynomialen Faktorisierungsalgorithmus findet.
Jede Webseite die eine Verschlüsselte Verbindung nutzt, nutzt erst einmal die RSA Verschlüsselung.
Veraltet ist da erst einmal nichts.
Na, RSA ist nicht die einzige Option bei SSL-Zertifikaten, man kann auch ECC nehmen. Die meisten Seiten benutzen RSA, weil, wie immer, das ältere System auch weiter verbreitet ist. Klar, wenn RSA morgen wirklich geknackt wird, dann müsste man hektisch auf ECC umstellen.
Das mit den Quantencomputern ist ein "red herring", die Dinger gibt's nur in ganz klein, und je mehr Qbits man 'reinpackt, desto langsamer werden sie - gleiches gilt für die Quantenkryptographie und den Abstand. Da sind keine praktisch nutzbaren Ergebnisse in Sicht. Da muss man nicht jede Werbung für den Forschungsmittelantrag glauben.
Eine Anmerkung noch zum Schlüsselaustausch: Da wird auch etwas versprochen, was nicht wirklich eingelöst wird. Das Public-Key-Verfahren (egal welches) erlaubt zwar einen sicheren Schlüsselaustausch, wenn die Leitung belauscht wird, aber das Problem der Man-in-the-Middle-Attacke löst sie nicht. Und das Zertifikat-System in SSL auch nicht, da muss nämlich nur einer der 600 CAs unzuverlässig sein. Und da sind ja letztes Jahr reihenweise CAs gehackt oder sonstwie kompromittiert worden.
Na, RSA ist nicht die einzige Option bei SSL-Zertifikaten, man kann auch ECC nehmen. Die meisten Seiten benutzen RSA, weil, wie immer, das ältere System auch weiter verbreitet ist. Klar, wenn RSA morgen wirklich geknackt wird, dann müsste man hektisch auf ECC umstellen.
Das mit den Quantencomputern ist ein "red herring", die Dinger gibt's nur in ganz klein, und je mehr Qbits man 'reinpackt, desto langsamer werden sie - gleiches gilt für die Quantenkryptographie und den Abstand. Da sind keine praktisch nutzbaren Ergebnisse in Sicht. Da muss man nicht jede Werbung für den Forschungsmittelantrag glauben.
Eine Anmerkung noch zum Schlüsselaustausch: Da wird auch etwas versprochen, was nicht wirklich eingelöst wird. Das Public-Key-Verfahren (egal welches) erlaubt zwar einen sicheren Schlüsselaustausch, wenn die Leitung belauscht wird, aber das Problem der Man-in-the-Middle-Attacke löst sie nicht. Und das Zertifikat-System in SSL auch nicht, da muss nämlich nur einer der 600 CAs unzuverlässig sein. Und da sind ja letztes Jahr reihenweise CAs gehackt oder sonstwie kompromittiert worden.
Der Artikel endet mit der frohen Aussicht, dass die menschlichen Fehler bei der Umsetzung eines verteilten Schlüsselaustauschs ja bald der Vergangenheit angehören, weil QKD (quantum key distribution) alles heilen könnte, wenn man denn nur.
http://phys.org/news/2011... zeigt, dass das ein Irrschluss ist. Auf dem Papier kann ein System unangreifbar sein, in Praxis muss die Umsetzung immer sorgfältig geprüft werden. Siehe auch ... RSA-keyfob-Algorithmen auf einem Server.
mit Paaren meinte ich hier den jeweils gleichen Schlüssel bei beiden Kommunikationspartnern, natürlich nicht asymmetrische Schlüsselpaare, das war mißverständlich.
Das dachte ich mir schon. Aber auch bei zwei ("beiden") Kommunikationspartnern wird i. a. nur einmal ein symmetrischer Schlüssel geschickt. Bei Konferenzen sieht das natürlich anders aus, wobei auch da die Schlüsselchiffren alle unterschiedlich sind.
Das dachte ich mir schon. Aber auch bei zwei ("beiden") Kommunikationspartnern wird i. a. nur einmal ein symmetrischer Schlüssel geschickt. Bei Konferenzen sieht das natürlich anders aus, wobei auch da die Schlüsselchiffren alle unterschiedlich sind.
Bitte melden Sie sich an, um zu kommentieren