Viele User glauben an die Sicherheit aktueller Verschlüsselung. Doch Kryptoanalytiker können die Stärke des Schlüssels reduzieren. ZDNet zeigt, wann die Sicherheit der gestiegenen Rechenleistung nicht mehr standhält.
Die Verschlüsselungsstärke wird heute üblicherweise in Bit gemessen, beispielsweise 128-Bit-Verschlüsselung. Gemeint ist damit die Länge des Schlüssels[1]. Doch damit wird nur ein Teil der relevanten Fakten beschrieben, nämlich wie viele Versuche maximal nötig sind, um bei einer Brute-Force-Attacke[2] den Schlüssel garantiert zu knacken.
Bildergalerie
Wie sicher sind unsere Daten?[3]
» zur Bildergalerie ...[3]Andere Faktoren sind jedoch die Rechenzeit pro Versuch, die je nach Algorithmus stark unterschiedlich ist, und vor allem kryptoanalytische Verfahren, die die Länge des Schlüssels faktisch reduzieren.
Zwei Verschlüsselungsmethoden müssen grundsätzlich unterschieden werden - symmetrische und asymmetrische Algorithmen. Symmetrische Algorithmen verwenden zum Ver- und Entschlüsseln denselben Schlüssel. Das ist in vielen Szenarien nicht praktikabel.
Im E-Mail-Verkehr beispielsweise müsste man mit jedem einzelnen Teilnehmer einen Schlüssel ausmachen, den man zum Austausch von E-Mails verwendet. Dieser Schlüssel sollte bei einem persönlichen Treffen vereinbart werden, um sicherzustellen, dass kein anderer davon Kenntnis nimmt. Auf keinen Fall dürfte der Schlüssel per E-Mail ausgetauscht werden. Hinzu kommt, dass sich beide Teilnehmer darauf verlassen müssen, dass der Schlüssel nicht absichtlich oder versehentlich anderen in die Hände fällt.
Asymmetrische Verfahren verwenden zwei Schlüssel, einen zum Verschlüsseln und einen zum Entschlüsseln. Ersterer wird Public-Key genannt, letzterer Private-Key. Der Public-Key kann jedem mitgeteilt werden. Man bittet einfach seinen Kommunikationspartner, jede Nachricht mit diesem Schlüssel zu verschlüsseln. Mit dem Private-Key, den man niemandem mitteilt, lässt sich die Nachricht wieder entschlüsseln.
So weit die Theorie. In der Praxis sieht es so aus, dass asymmetrische Verfahren, beispielsweise RSA[4], mindestens das tausendfache an Rechenzeit benötigen wie gleichwertige symmetrische Verfahren, etwa AES[5].
Rechenzeit ist bei der Verschlüsselung ein wichtiges Thema. Einmal angenommen, ein Algorithmus verbraucht ein Prozent Rechenzeit einer CPU. Das ist natürlich nicht viel, jedenfalls von einem Client aus betrachtet, der beispielsweise eine Webseite per HTTPS[6] abruft. Ein Server mit gleicher Rechenleistung, der 100 Clients simultan bedient, benötigt jedoch 100 Prozent seiner CPU-Leistung nur für die Verschlüsselung.
In einer Verbindung wie HTTPS ist es nach dem Stand der heutigen Technik gar nicht möglich, alle Daten asymmetrisch zu verschlüsseln. Jeder Webserver wäre sofort überlastet. Man bedient sich daher eines Tricks. Beim Verbindungsaufbau tauschen die Rechner mittels asymmetrischer Verschlüsselung nur den Schlüssel eines symmetrischen Algorithmus aus, der mit einem Zufallsgenerator erzeugt wird. Dieser Schlüssel gilt für die Dauer der Verbindung. Die eigentlichen Nutzdaten werden mittels eines symmetrischen Verfahrens verschlüsselt.
Für dieses zweistufige Modell gibt es standardisierte Protokolle, welche die Verschlüsselungsalgorithmen aushandeln und den Austausch des symmetrischen Schlüssels regeln. Das bekannteste Protokoll ist SSL[7], das mittlerweile offiziell TLS[8] heißt. Meist verwendet man jedoch weiterhin den Begriff SSL.
SSL ist also mitnichten ein Verschlüsselungsalgorithmus. Der wird erst ausgehandelt. Als asymmetrischer Algorithmus wird heute meist RSA, DSA[9] oder Diffie-Hellmann[10] verwendet. Beim symmetrischen verwendet man RC4[11], Triple-DES[12], AES oder Camellia[13]. RC2[14], IDEA[15] und DES[16] werden aus Sicherheitsgründen nicht mehr verwendet. Verwendet man eine Kombination aus asymmetrischen und symmetrischen Verschlüsselungsmethoden, so erhöht sich die Angriffsfläche. Es reicht aus, einen der beiden Algorithmen zu knacken, um die Daten lesen zu können.
Praktisch alle heute verwendeten asymmetrischen Verfahren basieren auf Primzahlen. Die beiden Schlüssel werden aus dem Produkt zweier großer Primzahlen berechnet. Die Sicherheit kommt daher, dass Mathematiker seit vielen tausend Jahren versuchen, Regelmäßigkeiten bei Primzahlen zu entdecken. Geschafft wurde das bisher noch nicht. Das Zerlegen von großen Zahlen in Primfaktoren benötigt sehr viel Rechenzeit.
Bei den symmetrischen Verfahren kann jede beliebige Kombination von Nullen und Einsen in einem Schlüssel verwendet werden. Ein symmetrischer 40-Bit-Schlüssel bietet daher knapp 1,1 Billionen Möglichkeiten. Ein asymmetricher 40-Bit-Schlüssel bietet nur so viele Möglichkeiten wie das Quadrat der Anzahl der Primzahlen, die in einer 20-Bit-Zahl dargestellt werden können. Das wären nur etwa 6 Milliarden Möglichkeiten.
Ein asymmetrischer Algorithmus mit einem 128-Bit-Schlüssel wäre mit jedem PC zu knacken. Daher werden heute meist 1024-Bit-Schlüssel oder mehr verwendet, wie im Beispiel von Bild 1[17].
Der älteste heute noch verwendete symmetrische Algorithmus ist DES. Er wurde von IBM[18] und der NSA[19] entwickelt und 1976 zum Standard für die US-Regierung erklärt. DES verwendet in der "offiziellen" Version einen 56-Bit-Schlüssel. IBMs ursprüngliche Variante setzte bereits damals 128-Bit-Schlüssel ein. Auf Drängen der NSA wurde die Schlüssellänge erst auf 64 Bit, später gar auf 56 Bit verkürzt. Es ist daher anzunehmen, dass die NSA bereits vor über 30 Jahren genug Rechenleistung besaß, um DES mit 56 Bit zu knacken.
1998 stellte die EFF[20] die 250.000 Dollar teure Maschine "Deep Crack[21]" vor, die etwa zwei Tage benötigt, um DES zu knacken. 2006 nahmen die Universitäten Bochum und Kiel die "Copacobana[22]" in Betrieb, die zwar einige Tage braucht, aber dafür nur 10.000 Dollar kostet und zudem aus rekonfigurierbarer Hardware besteht.
Heute ist die ideale Hardware eine gute Grafikkarte[23]. Grafikkarten sind im wesentlichen massiv parallele CPUs, von den Herstellern GPUs genannt, die bis zu 128 32-Bit-Operationen gleichzeitig ausführen. Ältere Grafikkarten können nur Single-Precision-Floating-Point-Zahlen verarbeiten. Neuere beherrschen auch die für die symmetrische Verschlüsselung wichtige Integer-Arithmetik.
Da jeder Schlüssel unabhängig getestet werden kann, eignen sich symmetrische Verschlüsselungen idealerweise für Distributed-Computing-Netzwerke[24]. Einige PCs mit je zwei High-End-Grafikkarten machen DES zur Farce.
Um DES sicherer zu machen, entwickelte man Triple-DES. Dabei werden die verschlüsselten Bytes noch je zweimal mit jeweils einem anderen 56-Bit-Schlüssel verschlüsselt. Bei einer naiven Brute-Force-Attacke müssen daher 2168 Möglichkeiten durchprobiert werden.
Man kann allerdings Schwachstellen ausnutzen. DES hat die Eigenschaft, dass das Komplement eines unverschlüsselten Textes, welches mit dem Komplement eines Schlüssels verschlüsselt wird, wiederum das Komplement des verschlüsselten Textes ergibt. Damit reduziert sich die effektive Sicherheit auf 55 Bits.
Durch die Mehrfach-Verschlüsselung bei Triple-DES ergibt sich die Möglichkeit der Meet-In-Middle-Attacke[25], nicht zu verwechseln mit der Man-In-The-Middle-Attacke[26]. Dabei reduziert sich effektive Schlüssellänge auf 111 Bit.
DES basiert auf einem sogenannten Feistel-Netzwerk[27]. Diese Verschlüsselungen benötigen sehr viel Zeit, wenn sie mit konventionellen Computern in Software implementiert werden, sind aber dafür umso besser geeignet, in Hardware, sprich Kryptochips, gegossen zu werden.
Anders als DES ist Triple-DES heute eine der sichersten Verschlüsselungsmethoden. Auch mit Hardware-Implementierungen lässt sich Triple-DES nicht knacken. Nicht zu vernachlässigen ist die Tatsache, dass DES ein relativ altes Verfahren ist. Das bedeutet, dass Kryptoanalytiker[28] seit über 30 Jahren versuchen, DES beziehungsweise Triple-DES zu kompromittieren.
Auf Webservern und in vielen anderen Bereichen ist Triple-DES allerdings recht unbeliebt, da die CPUs von Servern stark belastet werden, wenn keine teure Hardwarelösung verwendet wird. Hinzu kommt, dass sich in vielen Köpfen festgesetzt hat, dass Triple-DES aufgrund seines Namens nur dreimal so viel Rechenzeit zum Knacken brauche wie das unsichere DES. Mit jedem zusätzlichen Bit an Schlüssellänge wird allerdings die nötige Rechenzeit verdoppelt.
In den 90er Jahren war RC4 sehr beliebt. RC4 ist eine Stromchiffre[29] (englisch: Stream Cipher), die dadurch Aufsehen erregte, dass extrem wenig Rechenzeit erforderlich ist. Damit ist sie ideal für Webserver und kann auch in Geräten mit schwacher CPU, beispielsweise Handys, implementiert werden. Die USA verboten gar den Export von 128-Bit-RC4-Verschlüsselungstechnologie und wollten den Rest der Welt mit 40 Bit auskommen lassen.
Doch Stromverschlüsselungen haben im Gegensatz zu Blockverschlüsselungen[30], etwa DES oder AES, viele Angriffspunkte. Um eine Stromverschlüsselung sicher zu machen, muss der Schlüssel theoretisch genauso lang[31] sein wie die zu verschlüsselnde Nachricht. Das ist natürlich unpraktisch. Will man ein ISO-Image[32] einer CD downloaden, müsste vorher ein Schlüssel in gleicher Größe ausgetauscht werden.
Daher wird bei RC4 wird eine Einmalzahl mit einem "Long-Term Key" gehasht, um einen sich nicht wiederholenden Schlüsselstrom zu generieren. Dies erzeugt aber keinen echten zufälligen Schlüssel in der Länge der Nachricht.
Bereits 2001 konnten Fluhrer, Mantin und Shamir[33] für RC4 zeigen, dass der Schlüssel aufgrund von Ungleichverteilungen im verschlüsselten Strom berechnet werden kann, wenn man genug Samples angesammelt hat. Andreas Klein konnte 2005 noch weitere Korrelationen feststellen, so dass es heute möglich ist, WEP-Verschlüsselungen[34] in WLAN[35]-Access-Points mit nominellen 128 Bits beziehungsweise effektiv 104 Bits mit einer Wahrscheinlichkeit von 50 Prozent in einer Minute zu knacken. Rechnet man etwa zwei Minuten, so steigt die Wahrscheinlichkeit auf 95 Prozent.
Dass WEP RC4 verwendet, ist aus Gründen der Performance nur allzu verständlich. WLAN-Access-Point haben meist eine stromsparende, aber leistungsschwache CPU. WPA[36] setzt ebenfalls RC4 ein, allerdings mit dem wesentlich sicherem Key-Scheduling-Mechanismus TKIP[37], der alle 10 KByte einen neuen Schlüssel verlangt. Obwohl auch WPA das wesentlich sicherere AES nutzen kann, erlauben das die meisten WLAN-Geräte erst ab WPA2[38].
WPA2 bedeutet für die meisten Consumer-WLAN-Access-Points einen deutlichen Performanceverlust. ZDNet überprüft dies mit einer Fritzbox 7170. Mit WPA und TKIP werden 20 MBit/s erreicht, mit WPA2 und AES nur noch etwa 5 MBit/s.
Auch für RC4 in der TKIP-Variante gibt es bereits Brute-Force-Programme, die WPA-Verschlüsselung knacken können. Grundlage bilden die Arbeiten von Maximow und Chowratowitsch[39]. Das Program Cowpatty, siehe Bild 7[40], arbeitet auf einem Standard-x86-PC und ist sehr erfolgreich bei Wörterbuchangriffen[41]. Brute-Force-Angriffe sind mittels Rainbow-Tabellen[42] möglich, können aber mehrere Monate dauern. Portierte man ein Programm wie Cowpatty allerdings auf eine GPU, so wären nur einige Tage nötig.
RC4 findet auch in allen Microsoft-Webservern bis einschließlich IIS[43] 6.0 Verwendung. Erst Windows Server 2008[44] mit IIS 7.0 bringt AES. Laut Netcraft[45] werden über 35 Prozent aller Websites im Internet mit Microsoft-Servern betrieben. Die überwiegende Anzahl der Microsoft-Webserver basiert heute nicht auf Windows 2008. Da es Microsoft mit der Rückwärtskompatibilität nicht so genau nimmt, wird es noch eine Zeit dauern, bis RC4 von den Microsoft-Servern verschwindet.
Website-Betreiber haben einen erheblichen Aufwand, ihre Anwendungen auf neue Versionen bringen. So betreibt Ebay seine Website noch immer unter Windows 2000 und IIS 5.0, siehe Bild 1[17].
Der Anwender ist hier machtlos. Bietet eine Website nur RC4 an, so kann man dies entweder akzeptieren oder die Website verlassen. Betreiber von Microsoft-Webservern haben die Möglichkeit, den vorinstallierten SSL-Dienst gegen einen anderen auszutauschen, beispielsweise Stunnel[46], das AES ermöglicht. Die Praxis zeigt, dass die meisten Betreiber Microsofts SSL bevorzugen, siehe Bild 5[47].
RC4 auf Webservern lässt sich allerdings nicht ganz so leicht knacken wie auf WLAN-Access-Points. Das liegt vor allem daran, dass bei jedem HTTPS-Request ein völlig neuer Schlüssel generiert wird. Auf einer Webseite sind meist nicht genug Samples vorhanden, um die Verschlüsselung zu dechiffrieren.
Auch in anderen Bereichen finden unsichere Stromverschlüsselungen Einzug. Im Mobilfunkstandard GSM wird A5/1[48] verwendet. Der schwächere A5/2-Standard kommt nur in Ländern mit Verschlüsselungsbeschränkungen zum Einsatz. Mittlerweile ist es möglich, mit Standard-Hardware ein mitgeschnittenes GSM-Telefonat mittels Rainbow-Tabellen innerhalb von etwa zwei Stunden zu entschlüsseln, siehe Bild 6[49].
Noch für 2008 werden erste Geräte für das Abhören durch jedermann erwartet. Damit lassen sich im Umkreis von etwa zwei Kilometern alle Handy-Gespräche und SMS abhören. In Deutschland sind Entwicklung, Besitz und Betrieb eines solchen Gerätes strafbar.
Mittlerweile haben die Betreiber von GSM-Netzen dazugelernt und implementieren die Blockverschlüsselung Kasumi[50], im GSM-Jargon A5/3 genannt. Allerdings kommt A5/3 bisher nur in UMTS-Netzen zum Einsatz. Wenn im GSM-Band A5/3 eingeführt wird, dauert es noch Jahre, bis alle Geräte den neuen Standard beherrschen.
Auch viele Blockverschlüsselungen, etwa AES, machen den Kryptoanalytikern Sorge. Eine 128-Bit-AES-Verschlüsselung benötigt zehn Runden identischer Verfahrensweise, während Triple-DES 48 Runden benötigt. AES ist anders als Triple-DES kein Feistel-Netzwerk, sondern ein Substitutions-Permutations-Netzwerk[51]. Damit wird sichergestellt, dass auch Softwareimplementierungen performant laufen.
Bereits 2006 war es Kryptoanalytikern gelungen, einen erfolgreichen Angriff auf die ersten sieben Runden zu entwickeln. Daher kann vermutet werden, dass zehn Runden zu wenig sind, um die AES-Verschlüsselung viele weitere Jahre sicher zu halten.
Ebenfalls nicht zu unterschätzen sind die erfolgreichen Angriffe auf asymmetrische Verschlüsselungen. Die höchste RSA-Primzahl, die bereits faktorisiert wurde, hat 663 Bits[52]. Das dauert etwa 55 Jahre auf einem 2 GHz Prozessor oder ein Jahr auf 55 gleichwertigen Rechnern oder etwa zwei Monate mit 25 High-End-Grafikkarten.
Anders als bei den symmetrischen Verschlüsselungen verdoppelt sich die Rechenzeit nicht pro Bit an Schlüssellänge, da nur so viele Schlüssel zur Verfügung stehen, wie durch Multiplikation zweier Primzahlen generiert werden können.
Zieht man dies in Betracht, so kann RSA mit 1024 Bits durchaus mit einigem Aufwand an Zeit und Rechenleistung gebrochen werden. Gelingt dies, so hat man Zugang zum symmetrischen Schlüssel und kann mitgeschnittene Datenströme sofort entschlüsseln. 1024 Bits[53] sind eine gefürchtete Grenze, da die meisten Webserver im Internet RSA mit 1024 Bit Schlüssellänge anbieten. RSA Laboratories[54] hat das ursprünglich ausgelobte Preisgeld von 100.000 Dollar[53] bereits zurückgezogen[55].Der Begriff 128-Bit-Verschlüsselung kann heute nicht mehr als Synonym für sichere Datenübertragung verwendet werden. Die Vielzahl der veröffentlichten Angriffsmöglichkeiten auf Algorithmen, beispielsweise RC4[11], sind bereits praktisch demonstriert worden.
Hardware, die massiv parallele Berechnung erlaubt, gibt es heute für den Consumer-Markt in Form von Grafikkarten. Prozessoren wie der Cell[56], den IBM für die Playstation entwickelt hat, dienen dem gleichen Zweck. Während eine Grafikkarte nur etwa 20 Mal schneller als ein PC ist, schafft die Playstation das Hundertfache[57].
Die Entwicklung geht indes weiter: Intel hat einen Experimental-Prozessor mit 80 Kernen[58] vorgestellt. AMD will in Zukunft CPU und GPU zur APU[59] auf einem Chip vereinen.
Derartige Rechenleistung wird Stromverschlüsselungen[60], etwa RC4 mit 128 Bits, in jeder Implementierung leicht knacken können. Die Handy-Verschlüsselung A5/1[61] gilt bereits als geknackt.
Auch Blockverschlüsselungen[30] und asymmetrischen Verfahren[62] wird mit der Kombination aus theoretischer Kryptoanalyse[28], Rainbow-Tabellen[63] und geballter Rechenpower das Fürchten beigebracht.
Bei der Wahl einer geeigneten Verschlüsselung und deren Schlüsselstärke kommt man heute in eine echte Zwickmühle. Einerseits steht massiv parallele Rechenpower mit bis zu einem Teraflop heute jedermann mit einer Grafikkarte zur Verfügung. Gruppen wie distributed.net, die über 1000 aktive Mitglieder haben, können theoretisch ein Petaflop an Rechenleistung nutzen, wenn jedes Mitglied eine Grafikkarte hat.
Andererseits will man preiswerte und stromsparende Endgeräte, beispielsweise Handys, PDAs und WLAN-Access-Points bereitstellen. Bei diesen Geräten ist an Triple-DES[12] ohne Hardwarelösung nicht zu denken. Auch das softwarefreundlichere AES[64] ist nur mit massiven Durchsatzverlusten auf WLAN-Routern implementierbar.
URLs in diesem Artikel:
[1] = http:/
[2] = http:/
[3] = http:/
[4] = http:/
[5] = http:/
[6] = http:/
[7] = http:/
[8] = http:/
[9] = http:/
[10] = http:/
[11] = http:/
[12] = http:/
[13] = http:/
[14] = http:/
[15] = http:/
[16] = http:/
[17] = http:/
[18] = http:/
[19] = http:/
[20] = http:/
[21] = http:/
[22] = http:/
[23] = http:/
[24] = http:/
[25] = http:/
[26] = http:/
[27] = http:/
[28] = http:/
[29] = http:/
[30] = http:/
[31] = http:/
[32] = http:/
[33] = http:/
[34] = http:/
[35] = http:/
[36] = http:/
[37] = http:/
[38] = http:/
[39] = http:/
[40] = http:/
[41] = http:/
[42] = http:/
[43] = http:/
[44] = http:/
[45] = http:/
[46] = http:/
[47] = http:/
[48] = http:/
[49] = http:/
[50] = http:/
[51] = http:/
[52] = http:/
[53] = http:/