128-Bit-Verschlüsselung: längst nicht mehr sicher

Verwendet man eine Kombination aus asymmetrischen und symmetrischen Verschlüsselungsmethoden, so erhöht sich die Angriffsfläche. Es reicht aus, einen der beiden Algorithmen zu knacken, um die Daten lesen zu können.

Praktisch alle heute verwendeten asymmetrischen Verfahren basieren auf Primzahlen. Die beiden Schlüssel werden aus dem Produkt zweier großer Primzahlen berechnet. Die Sicherheit kommt daher, dass Mathematiker seit vielen tausend Jahren versuchen, Regelmäßigkeiten bei Primzahlen zu entdecken. Geschafft wurde das bisher noch nicht. Das Zerlegen von großen Zahlen in Primfaktoren benötigt sehr viel Rechenzeit.

Bei den symmetrischen Verfahren kann jede beliebige Kombination von Nullen und Einsen in einem Schlüssel verwendet werden. Ein symmetrischer 40-Bit-Schlüssel bietet daher knapp 1,1 Billionen Möglichkeiten. Ein asymmetricher 40-Bit-Schlüssel bietet nur so viele Möglichkeiten wie das Quadrat der Anzahl der Primzahlen, die in einer 20-Bit-Zahl dargestellt werden können. Das wären nur etwa 6 Milliarden Möglichkeiten.

Ein asymmetrischer Algorithmus mit einem 128-Bit-Schlüssel wäre mit jedem PC zu knacken. Daher werden heute meist 1024-Bit-Schlüssel oder mehr verwendet, wie im Beispiel von Bild 1.

Der älteste heute noch verwendete symmetrische Algorithmus ist DES. Er wurde von IBM und der NSA entwickelt und 1976 zum Standard für die US-Regierung erklärt. DES verwendet in der „offiziellen“ Version einen 56-Bit-Schlüssel. IBMs ursprüngliche Variante setzte bereits damals 128-Bit-Schlüssel ein. Auf Drängen der NSA wurde die Schlüssellänge erst auf 64 Bit, später gar auf 56 Bit verkürzt. Es ist daher anzunehmen, dass die NSA bereits vor über 30 Jahren genug Rechenleistung besaß, um DES mit 56 Bit zu knacken.

1998 stellte die EFF die 250.000 Dollar teure Maschine „Deep Crack“ vor, die etwa zwei Tage benötigt, um DES zu knacken. 2006 nahmen die Universitäten Bochum und Kiel die „Copacobana“ in Betrieb, die zwar einige Tage braucht, aber dafür nur 10.000 Dollar kostet und zudem aus rekonfigurierbarer Hardware besteht.

Heute ist die ideale Hardware eine gute Grafikkarte. Grafikkarten sind im wesentlichen massiv parallele CPUs, von den Herstellern GPUs genannt, die bis zu 128 32-Bit-Operationen gleichzeitig ausführen. Ältere Grafikkarten können nur Single-Precision-Floating-Point-Zahlen verarbeiten. Neuere beherrschen auch die für die symmetrische Verschlüsselung wichtige Integer-Arithmetik.

Da jeder Schlüssel unabhängig getestet werden kann, eignen sich symmetrische Verschlüsselungen idealerweise für Distributed-Computing-Netzwerke. Einige PCs mit je zwei High-End-Grafikkarten machen DES zur Farce.

Um DES sicherer zu machen, entwickelte man Triple-DES. Dabei werden die verschlüsselten Bytes noch je zweimal mit jeweils einem anderen 56-Bit-Schlüssel verschlüsselt. Bei einer naiven Brute-Force-Attacke müssen daher 2¹⁶⁸ Möglichkeiten durchprobiert werden.

Man kann allerdings Schwachstellen ausnutzen. DES hat die Eigenschaft, dass das Komplement eines unverschlüsselten Textes, welches mit dem Komplement eines Schlüssels verschlüsselt wird, wiederum das Komplement des verschlüsselten Textes ergibt. Damit reduziert sich die effektive Sicherheit auf 55 Bits.

Durch die Mehrfach-Verschlüsselung bei Triple-DES ergibt sich die Möglichkeit der Meet-In-Middle-Attacke, nicht zu verwechseln mit der Man-In-The-Middle-Attacke. Dabei reduziert sich effektive Schlüssellänge auf 111 Bit.

DES basiert auf einem sogenannten Feistel-Netzwerk. Diese Verschlüsselungen benötigen sehr viel Zeit, wenn sie mit konventionellen Computern in Software implementiert werden, sind aber dafür umso besser geeignet, in Hardware, sprich Kryptochips, gegossen zu werden.

Anders als DES ist Triple-DES heute eine der sichersten Verschlüsselungsmethoden. Auch mit Hardware-Implementierungen lässt sich Triple-DES nicht knacken. Nicht zu vernachlässigen ist die Tatsache, dass DES ein relativ altes Verfahren ist. Das bedeutet, dass Kryptoanalytiker seit über 30 Jahren versuchen, DES beziehungsweise Triple-DES zu kompromittieren.

Auf Webservern und in vielen anderen Bereichen ist Triple-DES allerdings recht unbeliebt, da die CPUs von Servern stark belastet werden, wenn keine teure Hardwarelösung verwendet wird. Hinzu kommt, dass sich in vielen Köpfen festgesetzt hat, dass Triple-DES aufgrund seines Namens nur dreimal so viel Rechenzeit zum Knacken brauche wie das unsichere DES. Mit jedem zusätzlichen Bit an Schlüssellänge wird allerdings die nötige Rechenzeit verdoppelt.