DatensicherheitRSA-Verschlüsselung von Chipkarten geknackt

Eine Studie zeigt: Smartcards und sogenannte Token, die im Netz zur Identifizierung dienen, sind angreifbar. Auch estnische Personalausweise konnten die Forscher hacken. von 

Ein Hardware-Token von RSA

Ein Hardware-Token von RSA  |  © RSA

Smartcards und sogenannte USB-Token, kleine Speichersticks, die Passworte generieren, sind nicht sicher. Sechs Wissenschaftlern von verschiedenen europäischen Universitäten ist es gelungen, die Verschlüsselung solcher Systeme zu überwinden und sich damit in "praktikabler Zeit" Zugang zu verschlüsselten Botschaften und zu den Schlüsseln selbst zu verschaffen. Die entsprechende Studie mit dem Titel Efficient Padding Oracle Attacks on Cryptographic Hardware haben sie gerade veröffentlicht .

Viele Unternehmen und Regierungsorganisationen weltweit geben ihren Mitarbeitern solche Hardware-Token , damit diese sich identifizieren können und beispielsweise von außen Zugang zu einem Firmennetz haben. Die Sticks besitzen einen kleinen Bildschirm, auf dem ständig neue Zahlenkombinationen angezeigt werden. Jede dieser Kombinationen ist für wenige Minuten als Passwort gültig, dann verfällt sie.

Anzeige

Ähnlich arbeiten Smartcards , die beispielsweise beim Onlinebanking verwendet werden. Auf ihnen befindet sich ebenfalls ein Chip, der immer neue Schlüssel erzeugt und im Austausch mit einem Lesegerät den Besitzer der Karte identifiziert.

Die Verschlüsselung besteht dabei aus zwei Schlüsseln: einem öffentlichen, den jeder wissen kann und einem privaten, der geheim bleibt. RSA heißt dieses Verfahren . Benannt ist es nach den Nachnamen seiner Erfinder, den Mathematikern Ronald Linn Rivest, Adi Shamir und Leonard Adleman. RSA hat seit einiger Zeit bekannte Schwächen , gilt aber, wenn der Schlüssel nur lang genug ist, als vergleichsweise sicher.

"Padding Oracle"-Angriff

Will sich jemand mit einer solchen Karte oder einem solchen Token in einem System anmelden, schickt es Daten an die Karte, die mit dem öffentlichen Schlüssel verschlüsselt wurden. Die Karte wiederum entschlüsselt sie mit ihrem privaten Schlüssel und sendet Daten zurück, die signalisieren, dass die Botschaft empfangen und korrekt entschlüsselt wurde.

Kai Biermann
Kai Biermann

Kai Biermann ist Redakteur im Team Investigativ/Daten bei ZEIT ONLINE. Seine Profilseite finden Sie hier.

In der oben genannten Studie konnten die Forscher nun zeigen, dass es Umwege gibt, um die Verschlüsselung zu knacken. Sie nutzten dazu die Prüfmeldungen und sandten eine große Zahl von gefälschten Nachrichten an die Karte und beobachteten, welche Rückmeldung jeweils übermittelt wurde. Erhielten sie die Rückmeldung von der Karte, dass eine der Botschaften zufällig als korrekt erkannt wurde, konnten sie damit auf den Inhalt der Nachricht und so auf die Verschlüsselung selbst schließen.

Die Forscher gaukelten also dem Token vor, sie hätten einen verschlüsselten Code, den der Token entschlüsseln sollte und konnten aus dem Verhalten des Tokens Rückschlüsse auf den Verschlüsselungsalgorithmus ziehen. Verwendet haben sie dazu einen sogenannten Padding-Oracle -Angriff, wie ihn der Schweizer Kryptograf Daniel Bleichenbacher bereits 1998 vorgestellt hat , um ohne den eigentlich notwendigen Schlüssel Daten zu entschlüsseln.

Leserkommentare
    • -lupo-
    • 27. Juni 2012 19:55 Uhr

    ... aber was ich nicht verstehe ist: "Es gelang den Wissenschaftlern aber auch, den Personalausweis von Estland zu knacken....". Was bedeutet das, sind die auch so verschlüsselt?

  1. Der Artikel ist sehr interessant, wie auch die dahintersteckende Technik. Habe mal ein Buch gelesen über Kryptographie, das bei RSA endete, und manche Dinge davon sogar verstanden.

    Als Benutzer eines im Artikel abgebildeten SecurID-Token hat das sogar praktische Relevanz. Nur geht es im Text um ganz andere Hardware, die bilateral kommuniziert und mit Abfragen bombardiert werden kann.

    Der gezeigte Token dagegen erzeugt alle 30 Sekunden eine neue 6stellige Zahl, die man (kombiniert mit weiteren Ziffern) auf der Webseite eingibt, nachdem man sich mit der Seriennummer des Tokens einmalig angemeldet hatte. Der Sicherheitsserver erkennt dann, ob die Zahl korrekt ist - meines Wissens anhand der S/N und Datum/Uhrzeit, weshalb man auch gelegentlich synchronisieren muss.

    Ist also deutlich sicherer als ein am Netz hängendes Gerät, das man aktiv hacken kann. Wer durchschnittlich ein- bis zweimal täglich einen nur kurzfristig gültigen Code eingibt, gibt auch sehr hartnäckigen Lauschern m.E. kaum eine Chance zum Knacken der Verschlüsselung.

  2. der deutsche Personalausweis ist sicher, weil es verboten ist, den zu hacken ;-)

    Zum Text: Was ich nicht so ganz verstehe ist, ob wirklich Krypto-Smartcards gemeint sind.
    RSA (also asymetrische Schlüssel) werden eigentlich nur zum Schlüsselaustausch verwendet. Die eigentliche Verschlüsselung erfolgt mit dem wesentlich sichereren symetrischen Verfahren.
    Also hätten die Angreifer nur einen relativ kleinen Text zur Verfügung, um damit den Angriff durchzuführen. Das erscheint mir doch eher unwahrscheinlich.

    Kurz zum Verständnis: Asymetrische Verschlüsseulungsverfahren wie RSA oder Diffie-Helman sind deshalb angreifbar, weil der Schlüssel auf der Primzahlfaktorisierung beruht.
    Aus einer Primzahl als privatem Schlüssel und einer weiteren als öffentlicher Schlüssel wird ein gemeinsamer Schlüssel generiert. Da die Zerlegung in einzelne Faktoren faktisch möglich, aber im Zahlenbereich 2^1024 sehr aufwendig ist, gilt dieser Schlüssel (zumindest für den Schlüsselaustausch) als sicher, wobei 1024 mittlerweile als nicht mehr sicher angesehen wird.

    • Crest
    • 28. Juni 2012 0:33 Uhr
    4. Notiz

    dass die RSA-Verschlüsselung als solche "geknackt" wurde, halte ich für ausgeschlossen, ich korrigiere: das ist ausgeschlossen.

    Es ist hier zwar - korrekt - notiert worden, dass die Zerlegung großer Primzahlen in Primzahlfaktoren im Prinzip (!) möglich ist. Es gibt aber keinen effizienten Algorithmus, korrigiere: es ist bis jetzt keiner bekannt (und hätte man einen gefunden, so wäre das bekannt, denn dies wäre durch alle Medien gerauscht).

    Das "Knacken" der Chipkarten kann deshalb nicht im Knacken des RSA-Algorithmus als solchem bestehen. Die Schwachstellen bei solchen Verfahren bestehen in der "Peripherie" dieser Verfahren. Das ist im Artikel angedeutet, aber eben auch nur angedeutet.

    Die Meldung von RSA halte ich deshalb für zutreffend.

    C.

    Reaktionen auf diesen Kommentar anzeigen
    • Crest
    • 28. Juni 2012 0:35 Uhr

    im 2. Abschnitt findet sich ein sinnentstellender "Druck"fehler, wie Sie sicher schon bemerkt haben :-) C.

    • Crest
    • 28. Juni 2012 0:35 Uhr
    5. suppl.

    im 2. Abschnitt findet sich ein sinnentstellender "Druck"fehler, wie Sie sicher schon bemerkt haben :-) C.

    Antwort auf "Notiz"
    • Rend
    • 28. Juni 2012 9:48 Uhr

    "und hätte man einen gefunden, so wäre das bekannt, denn dies wäre durch alle Medien gerauscht"

    Warum sollte man das bekanntgeben, wenn man damit für sein Leben ausgesorgt hätte. Interessenten gäbe es genug.

    Reaktionen auf diesen Kommentar anzeigen
    • Crest
    • 28. Juni 2012 16:05 Uhr

    Mit Geld besticht man (nur) Politiker. ;-) (Journalisten mit den Pulitzerpreis und Wissenschaftler mit dem Eintrag in die Britannica.)

    Die bessere Frage ist also, kann man Wissenschaftler zwingen, nicht zu veröffentlichen?

    Ja, man kann

    a. in totalitären Staaten (brute force)
    b. bei Angstellten im Geheimdienst.

    Könnte man dort etwas entdeckt haben?

    Auch hier ist die Antwort ja.

    (Ich meine sogar, dass z.B. Diffie-Hellman im engl. Geheimdient schon vor Diffie und Hellman entdeckt wurde.)

    Wenn Sie mich also "festnageln" wollten ("also könnte, ...oder könnte, ...oder könnte..."), dann könnte ich mir vorstellen, dass jemand (und dieser jemand wäre eine staatliche Stelle) hier mehr weiß.

    Jetzt haben wir es hier aber mit einer anderen Ausgangslage zu tun: die Forscher, die sich die Chipkarten vorgenommen haben, haben sowieso alles publiziert. Hätten sie also ganz neue und effiziente Algorithmen zur Primzahlfaktorisierung eingesetzt, dann hätten sie dies auch publiziert.

    In diesem Sinne bleibe ich bei meiner oben beschriebenen Quintessenz.

    C.

    P.S.
    Wir haben in der Wissenschaft immer wieder das Phänomen der Mehrfachentdeckungen. Und Diffie-Hellman (s.o.) ist dafür ein gutes Beispiel. Das Problem der Primzahlfaktorisierung ist eine Fragestellung mit (sehr) hohem "Sex-Appeal".Gehen wir also davon aus, dass viele sich immer mal wieder hiermit beschäftigen.Ein Wissensvorsprung hätte vermutlich nur eine kurze Halbwertszeit.

    • Crest
    • 28. Juni 2012 16:05 Uhr

    Mit Geld besticht man (nur) Politiker. ;-) (Journalisten mit den Pulitzerpreis und Wissenschaftler mit dem Eintrag in die Britannica.)

    Die bessere Frage ist also, kann man Wissenschaftler zwingen, nicht zu veröffentlichen?

    Ja, man kann

    a. in totalitären Staaten (brute force)
    b. bei Angstellten im Geheimdienst.

    Könnte man dort etwas entdeckt haben?

    Auch hier ist die Antwort ja.

    (Ich meine sogar, dass z.B. Diffie-Hellman im engl. Geheimdient schon vor Diffie und Hellman entdeckt wurde.)

    Wenn Sie mich also "festnageln" wollten ("also könnte, ...oder könnte, ...oder könnte..."), dann könnte ich mir vorstellen, dass jemand (und dieser jemand wäre eine staatliche Stelle) hier mehr weiß.

    Jetzt haben wir es hier aber mit einer anderen Ausgangslage zu tun: die Forscher, die sich die Chipkarten vorgenommen haben, haben sowieso alles publiziert. Hätten sie also ganz neue und effiziente Algorithmen zur Primzahlfaktorisierung eingesetzt, dann hätten sie dies auch publiziert.

    In diesem Sinne bleibe ich bei meiner oben beschriebenen Quintessenz.

    C.

    P.S.
    Wir haben in der Wissenschaft immer wieder das Phänomen der Mehrfachentdeckungen. Und Diffie-Hellman (s.o.) ist dafür ein gutes Beispiel. Das Problem der Primzahlfaktorisierung ist eine Fragestellung mit (sehr) hohem "Sex-Appeal".Gehen wir also davon aus, dass viele sich immer mal wieder hiermit beschäftigen.Ein Wissensvorsprung hätte vermutlich nur eine kurze Halbwertszeit.

    Eine Leserempfehlung
    Antwort auf "Warum bekanntgeben?"

Bitte melden Sie sich an, um zu kommentieren

  • Artikel Auf einer Seite lesen
  • Quelle ZEIT ONLINE
  • Schlagworte Datensicherheit | Botschaft | Estland | Hardware | Onlinebanking | Personalausweis
Service