{"id":918,"date":"2013-09-12T13:05:09","date_gmt":"2013-09-12T11:05:09","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=918"},"modified":"2022-06-28T11:46:38","modified_gmt":"2022-06-28T09:46:38","slug":"verschlusselung-sicher-ist-sicher-oder","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/verschlusselung-sicher-ist-sicher-oder\/","title":{"rendered":"Verschl\u00fcsselung: Sicher ist sicher. Oder?"},"content":{"rendered":"

Laut den j\u00fcngsten Enth\u00fcllungen Edward Snowdens sollen der US-Geheimdienst NSA und die britische Variante GCHQ in der Lage sein, bei verschl\u00fcsselten Verbindungen\u00a0\u00fcber SSL-Zertifikate<\/a> mitzulesen. Zu Recht fragen uns viele Kunden, inwieweit man der Berichterstattung trauen k\u00f6nnte und was denn nun wirklich noch sicher ist.<\/p>\n

<\/p>\n

Medienberichterstattung: NSA liest mit<\/h2>\n

Es soll im Jahre 2010 erstmals gelungen sein, durch Sicherheitsl\u00fccken und Hintert\u00fcren verschl\u00fcsselte Verbindungen mitzulesen. In der Berichterstattung werden die vielen Probleme fokussiert, die in Protokollen und Algorithmen in den letzten Jahren gefunden wurden. Zahlreiche der meistverbreiteten Verschl\u00fcsselungstechnologien setzen auf Algorithmen, die veraltet sind und nicht den heutigen technischen M\u00f6glichkeiten entsprechen. Nun ist das gro\u00dfe R\u00e4tseln ausgebrochen: Welche Algorithmen sind denn noch sicher? Im Folgenden geben wir Ihnen einen \u00dcberblick zum aktuellen Stand.<\/p>\n

 <\/p>\n

AES-Verschl\u00fcsselung<\/h3>\n

AES steht f\u00fcr Advanced Encryption Standard. Dieser symmetrische Verschl\u00fcsselungsalgorithmus gilt heute als der wichtigste und stammt urspr\u00fcnglich aus einem von der NIST<\/a> veranstalteten Wettbewerb im Jahre 2001. Kritiker gaben seinerzeit zu bedenken, dass der Rijndael<\/a>-Algorithmus (benannt nach seinen Entwicklern Joan Daemen und Vincent Rijmen) eine zu simple mathematische Struktur aufwies. Viele Kryptographen meinen, dass man auf weitere Finalisten wie Twofish<\/a> oder Serpent<\/a> h\u00e4tte setzen sollen. Trotz aller Kritik scheitern s\u00e4mtliche Angriffe an dem Verfahren und die drei m\u00f6glichen Varianten 128, 192 und 256 Bit gelten als sicher.<\/p>\n

Im Jahre 2012 wollten es Alex Biryukov und Johann Gro\u00dfsch\u00e4dl genau wissen: In einem Versuch<\/a> (PDF) sollte der Aufwand ausgerechnet werden, der n\u00f6tig w\u00e4re, um mit einem Supercomputer eine 128 Bit-Verschl\u00fcsselung zu knacken. Unm\u00f6glich ist es zugegebener Ma\u00dfen nicht. Aber allein die Chipproduktion w\u00fcrde rund 80 Milliarden US-Dollar verschlingen und einem solchen Superrechner br\u00e4uchte eine Leistung von 4 Terawatt: Mehr, als die USA insgesamt an Energie verbrauchen!<\/p>\n

Theoretisch ist es also m\u00f6glich, einen Supercomputer zum Mitlesen von AES-Verschl\u00fcsselungen zu bauen. Aber um ihn einsatztauglich zu machen, w\u00e4ren der Energieaufwand und der Platzanspruch viel zu immens. Damit gilt die AES-Verschl\u00fcsselung als sicher \u2013 wenngleich es nicht unbedingt der beste Algorithmus ist. Wer ganz sicher gehen will, kann mit 256 Bit verschl\u00fcsseln oder Alternativen wie Twofish verwenden.<\/p>\n

 <\/p>\n

RSA-Verschl\u00fcsselung<\/h3>\n

1977 entwickelt, ergibt sich die Abk\u00fcrzung RSA schlichtweg aus den ersten Buchstaben der Nachnamen seiner \u201eV\u00e4ter\u201c: Rivest, Shamir und Adleman. Als asymmetrisches Verschl\u00fcsselungsverfahren wird ein privater und ein \u00f6ffentlicher Schl\u00fcssel ben\u00f6tigt. In den 90ern setzte man auf L\u00e4ngen von 512 bis 1.024 Bit \u2013 damit entsprachen die L\u00e4ngen etwa denen des seinerzeit aufkommenden PGP<\/a>. Die Sicherheit von RSA-Verschl\u00fcsselungen h\u00e4ngt von der Faktorisierung gro\u00dfer Zahlen ab \u2013 erstmals wurde 1999 eine 512 Bit-Zahl faktorisiert. Im Jahre 2003 warnte der Erfinder Shamir davor, dass der 1.024 Bit-Schl\u00fcssel unsicher sei: Neben der Optimierung von Faktorisierungsalgorithmen gab es mittlerweile Spezialhardware, um die Schl\u00fcssel zu brechen.<\/p>\n

Die Kosten f\u00fcr einen Supercomputer, der diese Schl\u00fcssel knacken k\u00f6nnte, liegt laut Berechnungen<\/a> von Eran Tromer bei rund einer Million US-Dollar \u2013 und damit wohl locker im Bereich des Finanzierbaren f\u00fcr die NSA. Die einzig noch offene Frage ist praktischer Natur: K\u00f6nnen die Geheimdienste 1.024 Bit-Verschl\u00fcsselungen in gro\u00dfer Zahl brechen oder nicht? Einsatz findet RSA mit 1.024 Bit in vielen HTTPS-Webseiten und im Anonymisierungsnetzwerk Tor<\/a>.<\/p>\n

Im wahrsten Sinne des Wortes ist ein weiterer Knackpunkt bei RSA das Padding-Verfahren. In einem Vorverarbeitungsschritt, also vor der Verschl\u00fcsselung oder Signierung, wird auf den Standard PKCS #1 1.5 gesetzt \u2013 und damit auf ein veraltetes Verfahren, bei dem zwar keine Sicherheitsprobleme bekannt sind, das aber unsicher zu implementieren ist. Schon 1994 kamen von den Kryptographie-Experten Bellare und Rogaway mit OAEP und PSS zwei bessere Padding-Varianten f\u00fcr Verschl\u00fcsselung und Signaturen. Spezifiziert im Standard PKCS #1 2.1, nutzt diese Verfahren bis heute allerdings kaum jemand.<\/p>\n

Schon vor zehn Jahren warnte einer der Entwickler von RSA vor selbigem. W\u00e4hrend RSA-Schl\u00fcssel mit einer L\u00e4nge von 2.048 Bit als sicher gelten, sollte diese Warnung vor 1.024 Bit-Schl\u00fcsseln ernst genommen werden. Fast alle Anwendungen unterst\u00fctzen auch 4.096 Bit \u2013 entgegen zu OAEP und PSS, die von Software und Protokollen bislang kaum unterst\u00fctzt werden.<\/p>\n

 <\/p>\n

Hash-Verschl\u00fcsselung<\/h3>\n

In vielen Verschl\u00fcsselungsprotokollen finden kryptografische Hash-Algorithmen Anwendung. Als vor acht Jahren die Chinesin Wang Xiaoyun einen Kollisionsangriff auf das h\u00e4ufig eingesetzte MD5 pr\u00e4sentierte, galt dieses Verfahren und das j\u00fcngere SHA-1 nicht mehr als sicher. \u00d6ffentliche Kollisionen auf SHA-1 blieben bislang zwar aus, Experten rechnen aber damit, dass das nur eine Frage der Zeit ist. Nebenher ist die Tatsache nicht gerade vertrauenserweckend, dass SHA-1 und SHA-2 von der NSA entwickelt wurden. SHA-3<\/a> entstand in einem Wettbewerb, bislang gibt es allerdings keine endg\u00fcltige Version des aktuellsten Standards.<\/p>\n

Zum Sicherheitsproblem werden Kollisionsangriffe nur unter speziellen Bedingungen, etwa bei digitalen Signaturen oder alten Hash-Verfahren. Kollisionsresistente Verfahren sind im Zweifel die sicherere Alternative. Obwohl der Standard SHA-2 von der NSA entwickelt wurde, gilt er als sehr sicher, w\u00e4hrend man nicht mehr auf MD5 und SHA-1 setzen sollte.<\/p>\n

 <\/p>\n

RC4-Verschl\u00fcsselung<\/h3>\n

RC4 gilt als einer der Kandidaten, bei denen kryptografische Angriffe am wahrscheinlichsten gelingen. Die Stromverschl\u00fcsselung wurde 1987 von Ron Rivest entwickelt und der Algorithmus sollte eigentlich nicht ver\u00f6ffentlicht werden; 1994 wurde allerdings der Quellcode in einer Newsgroup offengelegt. Durch Schw\u00e4chen beim CBC-Verfahren von TLS nahm die RC4-Nutzung j\u00fcngst deutlich zu; viele Serverbetreiber wechselten. Derzeit werden noch immer Verbindungen zu google.com via RC4 abgesichert.<\/p>\n

Der Algorithmus ist \u00e4u\u00dferst schnell und der Code nicht gerade lang. Besonders sicher ist RC4 nicht. Adi Shamir, einer der Entwickler der RSA-Verschl\u00fcsselung, zeigte im Jahre 2001, dass die Struktur der ersten 256 Bytes des RC4-Schl\u00fcsselstroms durchaus vorhersehbar ist. Die ersten Schl\u00fcsselstrombytes wurden daraufhin verworfen, aktuelle Forschungsergebnisse zeigen aber, dass sich auch weitere Schl\u00fcsselstrombytes nicht wie Zufallbytes verhalten. Auf RC4 sollte nicht mehr gesetzt werden \u2013 es ist alt und nicht sicher.<\/p>\n

 <\/p>\n

CBC \/ HMAC<\/h3>\n

Bei CBC<\/a> und HMAC<\/a> handelt es sich um Verschl\u00fcsselungsmodi: Soll AES in einem Protokoll, etwa TLS<\/a>, genutzt werden, wird daf\u00fcr ein Verschl\u00fcsselungsmodus \u2013 \u00fcblicherweise bisher CBC \u2013 ausgew\u00e4hlt. Neben der Verschl\u00fcsselung muss ein Verfahren angewendet werden, welches die Integrit\u00e4t einer Verbindung garantiert \u2013 hier wird dann das MAC-Verfahren HMAC eingesetzt. Echte Sicherheit bietet folgende Konstruktion: Erst werden die Daten verschl\u00fcsselt, anschlie\u00dfend ein MAC \u00fcber diese verschl\u00fcsselten Daten gebildet (\u201eEncrypt-then-MAC\u201c-Verfahren). TLS arbeitet entgegengesetzt: \u201eMAC-then-Encrypt\u201c. Wenn ein Angreifer nun erkennen kann, dass ein mit Fehlern versehenes Paket beim Entschl\u00fcsseln oder der MAC-Pr\u00fcfung abgelehnt wurde, ist die verschl\u00fcsselte Verbindung angreifbar.<\/p>\n

In der neusten Version TLS 1.2 kommt der GCM<\/a> zum Einsatz \u2013 ein authentifizierter Verschl\u00fcsselungsmodus, der in einem Step f\u00fcr Integrit\u00e4t und Verschl\u00fcsselung sorgt. Das Problem bei der Sache: Kaum ein Browser unterst\u00fctzt bislang diese neueste Version; Mozilla und Google geloben<\/a> f\u00fcr Firefox und Chrome allerdings Besserung. Wenn Blockchiffren also genutzt werden, dann mit authentifizierten Verschl\u00fcsselungsmodi. Setzt man auf CBC, dann nur mit OpenSSH ab der Version 6.2, die die Variante Encrypt-then-MAC unterst\u00fctzt (zuerst wird verschl\u00fcsselt, aber der MAC \u00fcber die unverschl\u00fcsselten Daten gebildet).<\/p>\n

 <\/p>\n

Gute Verschl\u00fcsselung sch\u00fctzt<\/h2>\n

Viele haben in den vergangenen Wochen aufgeschrien: Die NSA k\u00f6nne jedwede Art von Verschl\u00fcsselung knacken. Dem ist nicht so! Es gibt an vielen Ecken und Enden Nachholbedarf: Alte, noch immer angewendete Algorithmen m\u00fcssen abgeschafft und durch sichere ersetzt werden. L\u00e4ngst sind diese besseren Verfahren verf\u00fcgbar, werden aber nicht beziehungsweise unzureichend genutzt. So ist die TLS-Version 1.2 seit \u00fcber f\u00fcnf Jahren (August 2008) verf\u00fcgbar, aber erst jetzt soll die Version Einzug halten. Das Grundproblem liegt oftmals darin, dass Kompatibilit\u00e4t der Sicherheit vorangestellt wird. Edward Snowden selbst res\u00fcmierte<\/a> im Juni: „Verschl\u00fcsselung funktioniert [\u2026] Gut implementierte, starke Verschl\u00fcsselung ist eines der wenigen Dinge, auf die man sich verlassen kann.“<\/p>\n