Sicherheit von RSA, Alternative ECC?

[sanbiber]

Hallo,

neulich bin ich ueber diesen Artikel gestolpert. Dort ist die Rede davon, dass gaengige Verschluesselungsmethoden (RSA, Diffie-Hellman) wohl bald nicht mehr sicher sein werden (oder es vielleicht jetzt schon nicht mehr sind), und dass dann andere sicherere Methoden (ECC - Elliptic Curve Cryptography) genutzt werden muessen. Geheimdienste nutzen wohl schon die neuere Methode ...
Ich kenne mich mit dem ganzen Krypto-Thema noch nicht so aus, aber ein Kommentator meinte, dass der Verfasser des Artikels wohl ein wenig mit den Begrifflichkeiten durcheinander gekommen ist.

Weiss jemand mehr Details zu diesem Thema und vielleicht auch ob die neuen Methoden schon fuer ein BSD verfuegbar sind oder ob da irgendwas geplant ist? Am ehesten wuerde sowas wohl aus der OpenBSD-Ecke kommen, oder?

sanbiber

 

[Crest]

Ja ECC gibt es schon seit jahren in den relevanten Libs nur die Anwendungen sich zu "faul" die 10 Zeilen zu schreiben um sie auch zu nutzen, weil die anderen schon funktionieren. Dazu kommt oft das Problem keine alten Clients aussperren zu wollen. Sonst hätte man z.B. auf BEAST und CRIME auch damit reagieren können als Hoster einfach alles unter TLS v1.2 zu deaktivieren und nur noch GCM Ciphersuites anzubieten.

 

[Yamagi]

Diffie-Hellman als Verschlüsselungsmethode zu bezeichnen, disqualifiziert den Artikel bereits. Es ist ein Verfahren zum sicheren Austausch von Schlüsseln über unsichere Kanäle. Davon abgesehen, hat der Autor im Kern natürlich recht. Die meisten Verschlüsselungsverfahren basieren darauf, dass ihre Umkehrung ohne den Schlüssel zu kennen de facto zu aufwändig ist, um sie in relevanten Zeitspannen durchführen zu können. Wenn es mit einer Methode gelingt diese Zeitspannen zu senken, hat die Welt theoretisch ein Problem. Praktisch ist es nicht ganz so einfach. Bei RSA hat man z.B. schon in der Vergangenheit mehrfach die üblichen Schlüssellängen erhöht, weil de Computer schneller wurden. Früher hatte man RSA 512, dann 1024, inzwischen geht der Trend aus gutem Grund stark zu 2048 oder noch mehr Bit. Solange Verfahren die Zeiten zum Brechen nur in Maßen senken, kann man also einfach seinen Schlüssel verlängern. Überhaupt, was heißt es, ein Verfahren schneller Knacken zu können? Ein extremes Beispiel wäre, dass man mit heutiger Rechenleistung 100.000 Jahre braucht. Eine Halbierung klingt schlimm, aber in 50.000 Jahren kann es uns auch egal sein... Schlimmer wäre es, wenn die Zeit um ganze Dimensionen sinkt. Von Jahrzehnten auf Tage. Oder das Verfahren sogar komplett umkehrbar wird, also das Knacken nicht mehr länger als das Verschlüsseln dauert.

Aber das ist alles nur theoretisches Geblubber. RSA wird bereits totgesagt, seitdem es das Verfahren gibt. RSA wurde der Legende nach entdeckt, als man Diffie-Hellman auf Schwachstellen analysierte. ECC wird seit 20 Jahren durch das Dorf getrieben. Der Punkt ist, niemand kann in die Zukunft schauen. Wir wissen nicht, ob morgen jemand die entscheidende Schwachstelle in RSA findet oder ob sie nie entdeckt wird. Wir wissen auch nicht, ob ECC-Verfahren vielleicht schon durch die NSA erfolgreich angegriffen wurden, ob der Angriff nächste Woche oder nie entdeckt wird. Und daher bleibt uns nur, uns ruhig zurückzulehnen und der allgemeinen Einschätzung zu vertrauen: RSA mit ausreichend langem Schlüssel ist hinreichend sicher.

 

[kith]

Bitte aussagekräftigen Threadtitel vorschlagen.

 

[Tronar]

Der Artikel enthält noch mehr Fehler, wie in den Kommentaren angemerkt ist, etwa bzgl. diskreter Logarithmen. Da hat wohl einer RSA mit DSA verwechselt.

RSA wird bereits totgesagt, seitdem es das Verfahren gibt. RSA wurde der Legende nach entdeckt, als man Diffie-Hellman auf Schwachstellen analysierte. ECC wird seit 20 Jahren durch das Dorf getrieben.

Daß RSA so alt ist, sollte man als Vorteil sehen: Es ist das am besten untersuchte Verfahren.
RSA mit 1024 bit ist bisher offiziell noch nicht geknackt worden. Inoffiziell mag das bei geeigneter Ausstattung mit Supercomputer usw. anders aussehen, aber vor gewöhnlichen Kriminellen muß man sich damit nicht fürchten. 2048 bit ist heute üblich, aber wenn man nicht einen extrem langsamen Prozessor hat (Smartphone), kann man noch viel mehr drauflegen. Auf meinem alten Pentium IV mit 1.6 GHz kann ich einen 7680-bit-RSA-Schlüssel in unter 5 min erzeugen. Also, warum kleckern, wenn man auch klotzen kann.
ECC hat den Vorteil, daß es schneller und effizienter läuft, bei gleichem Sicherheitsniveau. (Eine kleine Vergleichsstudie.) Eigentlich ist ECC "nur" eine spezielle Art Mathematik, auf deren Basis man dann wieder das RSA-Verfahren implementieren kann - oder das DSA-Verfahren.
Im "Digital Signature Standard" des NIST werden drei asymmetrische Kryptosysteme aufgeführt: RSA, DSA und DSA auf elliptischen Kurven. Genau diese drei sind auch in OpenSSL definiert, dessen Libraries doch sehr verbreitet sind. Und weil die DSAs reine Signaturverfahren sind, ergibt das ein gutes Argument für RSA.
Also, tot ist es noch lange nicht, selbst wenn man vielleicht bald doppelt so lange Schlüssel braucht.

 

[Crest]

Tornar: Es gibt kaum noch einen Grund nicht ECDHE-ECDSA zu verwenden, wenn man die Möglichkeit dazu hat. Das bisschen Overhead ist PFS schon wert.

 

[Tronar]

Kommt natürlich drauf an, wofür. Bei E-mails geht kein DH.
Aber klar, so Sachen wie PFS oder Deniability sind natürlich das Sahnehäubchen.

 

[k_e_x]

Der Artikel ist lächerlich. Natürlich sind Firmen immer ganz vorne dabei Panik zu machen um den Verkauf der eigenen Produkte zu verkaufen.

Die Fehler sind teilweise schon benannt worden. Auch wenn die Arithmetik von RSA (Ringe) und ECC (Körper in GF(p^n)) unterschiedlich ist, so liegt prinzipiell eine ähnliche mathematische Annahme zu Grunde. Die Wahl von Parametern bei ECC ist nicht ganz trivial -- es gibt durchaus "Schwache" Kurvenparameter die ein brechen von ECC leicht ermöglichen. Bei RSA ist das hingegen relativ unwahrscheinlich.

Sollte es bspw. Quantencomputer geben, sind beide Verfahren hinfällig. Statt dessen sollte man vielleicht noch mehr in PQ-Verfahren investieren, bspw. Niederreiter, NTRU, ...

 

[Athaba]

Ich glaube auch, dass der nächste größere Schritt in Richtung Post-Quantum-Computing-Cryptography gehen wird. Da gibt es einiges an Forschung und erste Algorithmen, die schon nahe an den Level an Sicherheit, der von RSA gewohnt ist rankommt. Auch die Geschwindigkeit hat in dem Bereich Fortschritte gemacht.

Natürlich ist es noch ein junges Feld und quasi jeder Algorithmus hat noch größere und kleinere Fehler und solange es nicht mehr große Durchbrüche gibt sieht das keiner für realistisch und rund um das Feld Kryptographie gibt es ja größere Probleme, aber irgendwann wird man sich wahrscheinlich mit dem Gedanken, dass Quantencomputer eine reale Bedrohung sind anfreunden müssen. Naja, als Mathematiker wird man eben nicht so schnell arbeitslos.

Anmerkung: Es geht nicht unbedingt darum, dass jeder einen Quantencomputer zu Hause hat, aber gerade der Bereich Kryptographie ist einfach viel Stoff für Diskussionen in dem Bereich und ich denke es ist realistisch, dass das wohl das erste Bereich sein wird in dem Quantencomputer breit eingesetzt werden, allerdings vielleicht sogar zur Verschlüsselung.

Schöner Blog Beitrag: http://www.schneier.com/blog/archives/2013/09/the_nsas_crypto_1.html

 

[Athaba]

Zu ECC wollte ich noch erwähnen, dass Schneier mal meinte, dass die NSA das ziemlich pusht, was ein Hinweis darauf sein könnte, dass sich die da leichter mit dem Cracken tun[1], wobei natürlich leichter nicht bedeutet, dass sie es auf magische Weise in Echtzeit entschlüsseln, aber vielleicht haben sie da einen oder mehrere gewiefte Mathematiker, die wissen, wie's ein wenig besser geht.. mit genügend known Plaintext und so.

Und zu dem Artikel. Ja, klar, vielleicht kommt mal jemand drauf wie man Zahlen besser faktorisiert (leicht ironisch gemeint) und was P vs NP betrifft, aber das geht in die Richtung "Forschung macht <irgendwas aus deinem Liebsings-Scifi> möglich". Sowas kann von einem Tag auf den anderen passieren, aber es jetzt nicht was, was man tagtäglich erwartet. Den Artikel halte ich für den üblichen Sensationsjournalismus. Das sage ich mal als jemand, der auch nicht viel Schimmer hat, aber zumindest genug um zu wissen, wie naiv meine Fragen in diesem Forum vor einigen Jahren waren.

[1] "Certainly the fact that the NSA is pushing elliptic-curve cryptography is some indication that it can break them more easily." https://www.schneier.com/blog/archives/2013/09/the_nsas_crypto_1.html

 

[Tronar]

Zu ECC wollte ich noch erwähnen, dass Schneier mal meinte, dass die NSA das ziemlich pusht, was ein Hinweis darauf sein könnte, dass sich die da leichter mit dem Cracken tun

Andererseits verwenden NSA und CIA ja selber exzessiv ECC, und da gehen sie dann ein Risiko ein.
Es geht wohl eher um die schwachen Kurvenparameter, die k_e_x erwähnte. Selbst verwendet die NSA die allerbesten, aber bei Standardisierungen von Verfahren und Algorithmen durch NIST & Co. versuchen sie, denen vergleichsweise schwache elliptische Kurven unterzujubeln. So etwas hat Schneier auch mal angedeutet.
Sollte tatsächlich mal eine der wenigen Koryphäen auf dem Gebiet das offenlegen, kann man immer noch auf blöd machen: "Hach, da war'n wir aber schusselig!"