Datensicherheit : RSA-Verschlüsselung von Chipkarten geknackt

Eine Studie zeigt: Smartcards und sogenannte Token, die im Netz zur Identifizierung dienen, sind angreifbar. Auch estnische Personalausweise konnten die Forscher hacken.
Ein Hardware-Token von RSA

Smartcards und sogenannte USB-Token, kleine Speichersticks, die Passworte generieren, sind nicht sicher. Sechs Wissenschaftlern von verschiedenen europäischen Universitäten ist es gelungen, die Verschlüsselung solcher Systeme zu überwinden und sich damit in "praktikabler Zeit" Zugang zu verschlüsselten Botschaften und zu den Schlüsseln selbst zu verschaffen. Die entsprechende Studie mit dem Titel Efficient Padding Oracle Attacks on Cryptographic Hardware haben sie gerade veröffentlicht .

Viele Unternehmen und Regierungsorganisationen weltweit geben ihren Mitarbeitern solche Hardware-Token , damit diese sich identifizieren können und beispielsweise von außen Zugang zu einem Firmennetz haben. Die Sticks besitzen einen kleinen Bildschirm, auf dem ständig neue Zahlenkombinationen angezeigt werden. Jede dieser Kombinationen ist für wenige Minuten als Passwort gültig, dann verfällt sie.

Ähnlich arbeiten Smartcards , die beispielsweise beim Onlinebanking verwendet werden. Auf ihnen befindet sich ebenfalls ein Chip, der immer neue Schlüssel erzeugt und im Austausch mit einem Lesegerät den Besitzer der Karte identifiziert.

Die Verschlüsselung besteht dabei aus zwei Schlüsseln: einem öffentlichen, den jeder wissen kann und einem privaten, der geheim bleibt. RSA heißt dieses Verfahren . Benannt ist es nach den Nachnamen seiner Erfinder, den Mathematikern Ronald Linn Rivest, Adi Shamir und Leonard Adleman. RSA hat seit einiger Zeit bekannte Schwächen , gilt aber, wenn der Schlüssel nur lang genug ist, als vergleichsweise sicher.

"Padding Oracle"-Angriff

Will sich jemand mit einer solchen Karte oder einem solchen Token in einem System anmelden, schickt es Daten an die Karte, die mit dem öffentlichen Schlüssel verschlüsselt wurden. Die Karte wiederum entschlüsselt sie mit ihrem privaten Schlüssel und sendet Daten zurück, die signalisieren, dass die Botschaft empfangen und korrekt entschlüsselt wurde.

Kai Biermann

Kai Biermann ist Redakteur im Team Investigativ/Daten bei ZEIT ONLINE. Seine Profilseite finden Sie hier.

In der oben genannten Studie konnten die Forscher nun zeigen, dass es Umwege gibt, um die Verschlüsselung zu knacken. Sie nutzten dazu die Prüfmeldungen und sandten eine große Zahl von gefälschten Nachrichten an die Karte und beobachteten, welche Rückmeldung jeweils übermittelt wurde. Erhielten sie die Rückmeldung von der Karte, dass eine der Botschaften zufällig als korrekt erkannt wurde, konnten sie damit auf den Inhalt der Nachricht und so auf die Verschlüsselung selbst schließen.

Die Forscher gaukelten also dem Token vor, sie hätten einen verschlüsselten Code, den der Token entschlüsseln sollte und konnten aus dem Verhalten des Tokens Rückschlüsse auf den Verschlüsselungsalgorithmus ziehen. Verwendet haben sie dazu einen sogenannten Padding-Oracle -Angriff, wie ihn der Schweizer Kryptograf Daniel Bleichenbacher bereits 1998 vorgestellt hat , um ohne den eigentlich notwendigen Schlüssel Daten zu entschlüsseln.

Verlagsangebot

Hören Sie DIE ZEIT

Genießen Sie wöchentlich aktuelle ZEIT-Artikel mit ZEIT AUDIO

Hier reinhören

Kommentare

7 Kommentare Seite 1 von 2 Kommentieren

Verwirrend

Der Artikel ist sehr interessant, wie auch die dahintersteckende Technik. Habe mal ein Buch gelesen über Kryptographie, das bei RSA endete, und manche Dinge davon sogar verstanden.

Als Benutzer eines im Artikel abgebildeten SecurID-Token hat das sogar praktische Relevanz. Nur geht es im Text um ganz andere Hardware, die bilateral kommuniziert und mit Abfragen bombardiert werden kann.

Der gezeigte Token dagegen erzeugt alle 30 Sekunden eine neue 6stellige Zahl, die man (kombiniert mit weiteren Ziffern) auf der Webseite eingibt, nachdem man sich mit der Seriennummer des Tokens einmalig angemeldet hatte. Der Sicherheitsserver erkennt dann, ob die Zahl korrekt ist - meines Wissens anhand der S/N und Datum/Uhrzeit, weshalb man auch gelegentlich synchronisieren muss.

Ist also deutlich sicherer als ein am Netz hängendes Gerät, das man aktiv hacken kann. Wer durchschnittlich ein- bis zweimal täglich einen nur kurzfristig gültigen Code eingibt, gibt auch sehr hartnäckigen Lauschern m.E. kaum eine Chance zum Knacken der Verschlüsselung.

Erstmal zur Beruhigung:

der deutsche Personalausweis ist sicher, weil es verboten ist, den zu hacken ;-)

Zum Text: Was ich nicht so ganz verstehe ist, ob wirklich Krypto-Smartcards gemeint sind.
RSA (also asymetrische Schlüssel) werden eigentlich nur zum Schlüsselaustausch verwendet. Die eigentliche Verschlüsselung erfolgt mit dem wesentlich sichereren symetrischen Verfahren.
Also hätten die Angreifer nur einen relativ kleinen Text zur Verfügung, um damit den Angriff durchzuführen. Das erscheint mir doch eher unwahrscheinlich.

Kurz zum Verständnis: Asymetrische Verschlüsseulungsverfahren wie RSA oder Diffie-Helman sind deshalb angreifbar, weil der Schlüssel auf der Primzahlfaktorisierung beruht.
Aus einer Primzahl als privatem Schlüssel und einer weiteren als öffentlicher Schlüssel wird ein gemeinsamer Schlüssel generiert. Da die Zerlegung in einzelne Faktoren faktisch möglich, aber im Zahlenbereich 2^1024 sehr aufwendig ist, gilt dieser Schlüssel (zumindest für den Schlüsselaustausch) als sicher, wobei 1024 mittlerweile als nicht mehr sicher angesehen wird.

Notiz

dass die RSA-Verschlüsselung als solche "geknackt" wurde, halte ich für ausgeschlossen, ich korrigiere: das ist ausgeschlossen.

Es ist hier zwar - korrekt - notiert worden, dass die Zerlegung großer Primzahlen in Primzahlfaktoren im Prinzip (!) möglich ist. Es gibt aber keinen effizienten Algorithmus, korrigiere: es ist bis jetzt keiner bekannt (und hätte man einen gefunden, so wäre das bekannt, denn dies wäre durch alle Medien gerauscht).

Das "Knacken" der Chipkarten kann deshalb nicht im Knacken des RSA-Algorithmus als solchem bestehen. Die Schwachstellen bei solchen Verfahren bestehen in der "Peripherie" dieser Verfahren. Das ist im Artikel angedeutet, aber eben auch nur angedeutet.

Die Meldung von RSA halte ich deshalb für zutreffend.

C.