VerschlüsselungZufällige Sicherheit

Jede Verschlüsselung der Internetkommunikation kann geknackt werden, sogar die bislang zuverlässigste. Nun setzen Informatiker auf die Quantenmechanik. von 

Enigma, die Verschlüsselungsmaschine der deutschen Wehrmacht

Enigma, die Verschlüsselungsmaschine der deutschen Wehrmacht  |  © Ian Waldie/Getty Images

Die Experten hatten es schon länger geahnt. Hinter vorgehaltener Hand machte das Gerücht auf internationalen Konferenzen die Runde. Doch offiziell bekannt wurde der Skandal erst nach der Veröffentlichung einer wissenschaftlichen Arbeit Mitte Februar. Die Botschaft, salopp ausgedrückt: Das Internet wackelt. Die Basis unserer Online-Geschäfte, unseres E-Mail-Verkehrs, unserer Online-Bankbeziehungen – die Sicherheit durch Verschlüsselung – ist nicht garantiert. Unser Vertrauen in die Geschäftsgrundlage des Webs als Marktplatz ist möglicherweise nicht mehr zu rechtfertigen. Denn einem Team europäischer und amerikanischer Mathematiker und Kryptografiespezialisten ist es gelungen, die bislang beliebteste, als sicher geltende Web-Verschlüsselung RSA zu attackieren und teilweise zu knacken.

Früher überbrachten Brieftauben und getarnte Boten die geheimen Codes

Die sichere Verschlüsselung der Internetkommunikation ist Routine, funktioniert in Sekundenbruchteilen und fällt uns Normalnutzern nicht weiter auf. Gelegentlich fragen wir uns, warum manche der besuchten Seiten im Adresskopf statt des Kürzels http ein https stehen haben (s bedeutet hier: secure). Wenn wir aufmerksam unseren Browser inspizieren, entdecken wir bisweilen ein winziges Vorhängeschloss am Rand. Manchmal erhalten wir eine Meldung von irgendwoher, die uns interessierende Website besitze kein Sicherheitszertifikat – automatisch und genervt klicken wir »ich vertraue trotzdem« an, und weiter geht’s.

Anzeige

Was die meisten nicht ahnen: Web-Kommunikation, die nicht durch Verschlüsselung gesichert ist, kann prinzipiell von jedermann mitgelesen werden. Das betrifft Privates wie Online-Liebeskontakte oder den Besuch von Pornoseiten, aber ebenso Finanzgeschäfte oder Betriebsgeheimnisse.

Um all dies vor den Augen Dritter zu verbergen, entwickeln Kryptografen seit den siebziger Jahren des letzten Jahrhunderts Verschlüsselungsverfahren. Die beiden Pioniere der Web-Kryptografie waren Whitfeld Diffie und sein Rivale Ron Rivest. Letzterer setzte sich mit seinem »RSA-Verfahren« durch, für dessen Entwicklung er 2002 den Turing Award erhielt, eine Art Informatik-Nobelpreis. RSA ist just das System, das jetzt Schwächen zeigt. Darum trägt das beunruhigende Paper auch die Überschrift: Ron was wrong, Whit is right.

Alle gängigen Web-Verschlüsselungsverfahren beruhen auf Zufallszahlen, also Zahlen, deren Erzeugung auch leistungsstarke Rechner nicht nachvollziehen können. Genau das war die Schwachstelle, die der niederländische Mathematiker und Kryptograf Arjen K. Lenstra jetzt aufgedeckt hat. Er untersuchte 7,1 Millionen sogenannte öffentliche Schlüssel – und fand bei fast 27.000 dieser Schlüssel Auffälligkeiten oder Doppelungen, welche den Schutz obsolet machen. Die Zufallszahlen waren schlicht nicht zufällig genug.

Doch warum gibt es überhaupt öffentliche Schlüssel, die sich findige Mathematiker, aber auch Spitzbuben und Betrüger beschaffen können? Weil man mit solchen Schlüsseln nichts öffnen kann, solange sie auf echten Zufallszahlen beruhen. Sondern nur verschließen. Die geniale Idee von Ron Rivest und seinen Kollegen Adi Shamir und Leonard Adleman (daher das Kürzel RSA) löste nämlich dieses verzwickte Problem: Wie tausche ich auf einem prinzipiell abhörbaren, also unsicheren Kanal wie meiner Datenleitung einen geheimen Schlüssel aus, mit dem ich Mitteilungen verschlüsseln – und mein Kommunikationspartner sie entschlüsseln kann? In der Geschichte der Kryptografie überbrachten getarnte Boten den geheimen Schlüssel. Oder Brieftauben. Bei den Abermilliarden Internetkontakten täglich muss das cleverer gehen.

Rivest löste das Problem so: Meine Bank (zum Beispiel) veröffentlicht einen Schlüssel. Den besorge ich mir, verschlüssele damit meine Daten und schicke das kryptische Datenpäckchen zur Bank. Die besitzt zusätzlich noch einen Geheimschlüssel, mit dem – nur sie – das Päckchen öffnen kann. Das funktioniert wie manches Bügelschloss am Fahrrad: Jeder kann es verschließen. Aber nur der Schlüsselbesitzer kriegt es wieder auf.

Nun haben Schlüssel und Schloss gemeinhin viel miteinander zu tun. Mit etwas Mühe kann ich vom Bügelschloss, sobald ich es aufschraube, auf den Schlüssel schließen. Das aber darf im Internetalltag nicht geschehen. Gesucht ist also ein Schlüssel, für den ich sehr leicht ein Schloss machen kann, welches aber nichts über den Schlüssel preisgibt. Die Kryptografen erinnerten sich an eine alte Geschichte aus der Königsdisziplin der Mathematik, der Zahlentheorie.

Leserkommentare
  1. "Das heisst der Schlüssel ist nicht besser als bislang , aber ich weiss, das ihn emand anders kennt."

    Nein. Die Sicherheit der Verschlüsselung mit Qubits beruht darauf, dass man OTPs übertragen kann. Damit schliesst man dessen Übertragung per RSA aus und somit einen potentiellen Schwachpunkt. Die Komplexität des Brechens von RSA ist ja nicht bekannt, und so könnte es sein, dass jemand einen polynomialen Faktorisierungsalgorithmus findet.

    Antwort auf "Bin kein Experte"
  2. Jede Webseite die eine Verschlüsselte Verbindung nutzt, nutzt erst einmal die RSA Verschlüsselung.
    Veraltet ist da erst einmal nichts.

    Antwort auf "RSA - heutzutage Oo"
    Reaktionen auf diesen Kommentar anzeigen

    Na, RSA ist nicht die einzige Option bei SSL-Zertifikaten, man kann auch ECC nehmen. Die meisten Seiten benutzen RSA, weil, wie immer, das ältere System auch weiter verbreitet ist. Klar, wenn RSA morgen wirklich geknackt wird, dann müsste man hektisch auf ECC umstellen.

    Das mit den Quantencomputern ist ein "red herring", die Dinger gibt's nur in ganz klein, und je mehr Qbits man 'reinpackt, desto langsamer werden sie - gleiches gilt für die Quantenkryptographie und den Abstand. Da sind keine praktisch nutzbaren Ergebnisse in Sicht. Da muss man nicht jede Werbung für den Forschungsmittelantrag glauben.

    Eine Anmerkung noch zum Schlüsselaustausch: Da wird auch etwas versprochen, was nicht wirklich eingelöst wird. Das Public-Key-Verfahren (egal welches) erlaubt zwar einen sicheren Schlüsselaustausch, wenn die Leitung belauscht wird, aber das Problem der Man-in-the-Middle-Attacke löst sie nicht. Und das Zertifikat-System in SSL auch nicht, da muss nämlich nur einer der 600 CAs unzuverlässig sein. Und da sind ja letztes Jahr reihenweise CAs gehackt oder sonstwie kompromittiert worden.

    • Petka
    • 05. Mai 2012 15:03 Uhr

    Der Artikel endet mit der frohen Aussicht, dass die menschlichen Fehler bei der Umsetzung eines verteilten Schlüsselaustauschs ja bald der Vergangenheit angehören, weil QKD (quantum key distribution) alles heilen könnte, wenn man denn nur.

    http://phys.org/news/2011... zeigt, dass das ein Irrschluss ist. Auf dem Papier kann ein System unangreifbar sein, in Praxis muss die Umsetzung immer sorgfältig geprüft werden. Siehe auch ... RSA-keyfob-Algorithmen auf einem Server.

  3. mit Paaren meinte ich hier den jeweils gleichen Schlüssel bei beiden Kommunikationspartnern, natürlich nicht asymmetrische Schlüsselpaare, das war mißverständlich.

    Antwort auf "X-Time-Pad"
    Reaktionen auf diesen Kommentar anzeigen

    Das dachte ich mir schon. Aber auch bei zwei ("beiden") Kommunikationspartnern wird i. a. nur einmal ein symmetrischer Schlüssel geschickt. Bei Konferenzen sieht das natürlich anders aus, wobei auch da die Schlüsselchiffren alle unterschiedlich sind.

  4. ..., wie sie im Artikel beschrieben wird, ist nur beschränkt nutzbar, da die genannte Glasfaser beide Teilnehmer unterbrechungsfrei verbinden muss; es darf also keine Relay-Stationen geben (Verstärker, Switches, Router), sofern diese nicht ebenfalls rein optisch arbeiten (WDM = Wavelength Division Multiplexer). Da auf absehbare Zeit aus verschiedenen Gründen die Relay-Stationen (nennen wir sie mal so) elektronisch arbeiten werden, wird es rein optische Ende-zu-Ende-Kommunikation nur für Regierungsstellen bzw. Militär geben oder für teure private Exklusiv-Betreiber.

    Will sagen: Das hat mit "Praxis" wenig zu tun.

    Gruß
    FRWBonn

  5. Das dachte ich mir schon. Aber auch bei zwei ("beiden") Kommunikationspartnern wird i. a. nur einmal ein symmetrischer Schlüssel geschickt. Bei Konferenzen sieht das natürlich anders aus, wobei auch da die Schlüsselchiffren alle unterschiedlich sind.

    Antwort auf "Schlüsselpaare"
    • Crest
    • 05. Mai 2012 15:30 Uhr

    Mikrophysikalsiche Prozesse, die quantenmechanisch zu beschreiben sind, können in der Verschlüsselungstechnik auf unterschiedliche Weise eingesetzt werden:

    1. Zum sicheren Übertragen i.S. der Abhörsicherheit der Informationen. (Man erkennt, dass abgehört wurde.)

    2. Zum Erzeugen absolut zufälliger Zahlen

    3. Zum Faktorisieren von Zahlen, also zum "Knacken" einer etwa mittels RSA verschlüsselten Botschaft.

    Der Artikel betrifft 1. und 2.

    Beginnen wir dennoch mit 3:
    Hier handelt es sich um "Zukunftsmusik". (Verschwörungstheoretiker vermuten, dass der NSA solche Quantencomputer schon heute zur Verfügung stehen. Vergessen Sie's!)

    zu 2: Das ist State of the Art.

    zu 1: das ist ebenfalls State of the Art. Sie können solche Komponenten käuflich erwerben. Aber auch hier gilt, dass es Schwachpunkte in der technischen Realisierung gibt: Die Umsetzung des theoretischen Konzepts gelingt physikalisch nur angenähert.

    Zu RSA: diese Verschlüsselungstechnik ist sicher, aber langsam.

    Man benötigt hierzu Primzahlen die zufällig gewählt sind. (Hier spielt 1. eine Rolle.)

    Symmetrische Verschlüsselungsverfahen sind demgegenüber (sehr) viel effizienter. Man kann beide Verfahren koppeln, indem man in der ersten Stufe RSA benutzt um symmetrische Schlüsel sicher zu verteilen. In einem solchen Fall lässt sich auch aus "miserabler Übertragungsrate" ein Schuh machen. (Auch via Satellit, denn dass schafft eine Brieftaube dann doch nicht. :-)

    C.

    Reaktionen auf diesen Kommentar anzeigen

    "Hier handelt es sich um "Zukunftsmusik". (Verschwörungstheoretiker vermuten, dass der NSA solche Quantencomputer schon heute zur Verfügung stehen. Vergessen Sie's!)"

    Immerhin hat die NSA schon per Anzeige Softwareentwickler für Quantencomputer gesucht. Sicher nicht, um Pseudocode zu entwickeln oder um Unsicherheit zu schüren.

  6. .. was ist ein "erfolgreicher Internetbetrug" und wieso gehen Sie einfach davon aus der der irgendwo "versteckt" wird oder wurde ?

    Und wieso sollte es keine Steuerhinterziehung mehr geben können. Wenn, anders wie bisher, ELSTER auch für jeden der eine Steuererklärung macht, verpflichtend wäre, wer könne den garantieren das alle Angaben richtig oder wahrheitsgemäß gemacht worden sind ?

    Irgendwer oder irgendwas "im Internet" kann das sicher nicht. das geht nur wenn jeder jemanden hat der ihn rund um die Uhr hinsichtlich allem was der mit Geld zu tun hat überwacht. Damit hat man dann aber noch immer keine Sicherheit das der Überwacher alles richtig und wahrheitsgemäß angibt.

    Altes Problem jedweden Überwachungsstaates. Die doppellte Anzahl der Leute die überwacht werden müssen reicht nicht für Sicherheitsansprüche, also müssen mehr überwachen wie es unter Umständen Leute in der Bevölkerung gibt. Diese Paradoxie macht klassischer Weise wütend, und darum werden solche Überwachungsstaaten totalitär und represiv, wenn nicht gar garstig.

    Reaktionen auf diesen Kommentar anzeigen

    Zahlungen auf ein Konto im Ausland, mit anschließender Auflösung des Kontos. Noch Schlimmer, Bargeldabhebungen im Ausland.

    Bei Steuerhinterziehung würde die Meldung von Auslandguthaben dem jeweiligen Heimatland, genau dieses Verhindern! Wird auch Hilfreich sein, bei der Festsetzung einer Erbschaftsteuer! Die wird von den jeweiligen Staaten organisiert, wo das Geld angelegt ist, oder Gewinne anfallen.

    Ein Link wohin die Richtung gehen wird:

    http://www.start-trading....

    Wobei der komplette Bargeldlose Geldverkehr (auf meiner Profilseite - letzter Artikel - Bitte auch Lesen) Problematisch ist, wenn die Kontrolle darüber, fest in Staatshänden liegt!

    Fatal wenn so etwas von einer Diktatur umgesetzt wird.

    Die Kontrolle und Einsicht kann nur in Händen liegen, welche außerhalb des Staatlichen Rechts (Auskunftpflicht gegenüber dem Staat nur, wenn das Rechtssystem Moralischen Ansprüchen genügt) liegen. Internationales Kontrollgremium, bei gleichzeitiger gegenseitiger Kontrolle! Dies betrifft nur den jeweiligen Inländischen Zahlungsverkehr!

    Viele Verbrechen können nicht mehr getätigt werden.

    Und dann alles andere Umsetzten, Reformierung des Geldsystems und alles weitere!

Bitte melden Sie sich an, um zu kommentieren

Service