IETF will selbst elliptische Kurven standardisieren

Die Internet Engineering Task Force macht Ernst mit ihrer Ankündigung, selbst eigene kryptographische Standards für ihre Protokolle auszuwählen. Erstes Ziel ist die Auswahl einer oder mehrerer neuer elliptischer Kurven für die Transportverschlüsselung, Transport Layer Security (TLS).

Die IETF werde künftig nicht mehr einfach Kurven akzeptieren, die ihr vom National Institute of Standards and Technology (NIST) auf dem Silbertablett präsentiert würden. Nach den Enthüllungen zu Unregelmäßigkeiten im Standardisierungsprozess von NIST vermutet man nämlich, dass das NIST seinerseits die Kurven auf einem Silbertablett bekam, und zwar von der National Security Agency.

Die TLS Arbeitsgruppe der IETF hat entschieden, eigene Kryptostandards für TLS (und PKIX) auszuwählen und zum IETF-Standard zu erheben. Über Jahrzehnte hatte die IETF sich bei Kryptostandards auf Dritte verlassen, unter anderem auf NIST. Kryptographie gehöre nicht zu den Kompetenzen der IETF, lautete bislang die Philosophie. Doch nach den Enthüllungen Edward Snowdens, und mehr noch nach dem Eingeständnis vom Kryptostandardprovider NIST, man der NSA Privilegien im Standardisierungsverfahren zugestanden habe, war das Maß für viele IETF-Teilnehmer voll.

"Beauty Contest" in Toronto

In Toronto starteten die Vorarbeiten dafür. Die TLS-Arbeitsgruppe soll die neuen Kurven nicht selbst auswählen, das fällt dem Crypto Forum Research Group (CFRG) der Internet Research Task Force (IRTF) zu. Die IRTF ist praktisch der Forschungsarm der IETF. Die CFRG startete in Toronto ihren ersten “Beauty Contest”, bei dem ein Team von Microsoft einerseits und der US-Cryptoforscher Dan Bernstein, Universität Eindhoven, neue elliptische Kurven vorschlugen. Beide warben dabei für Vorzüge neuerer Kurvenvarianten, nicht zuletzt der auf Bernsteins Arbeit zurückgehenden Twisted-Edwards-Funktionen. Zentraler Vorschlag von Bernstein ist seine aus 2006 stammende “Curve 25519”, Microsoft kann sich dagegen mehrere parallele Kurven-Familien vorstellen.

Krypto-Funktionen auf der Basis elliptischer Kurven sind seit 1999 im Standardset der NIST. Sie beruhen auf einem mathematischen Problem, das analog zu dem des diskreten Logarithmus bei reellen Zahlen funktioniert, wie es DSA und Diffie Hellman einsetzen. Vorteil gegenüber den auf Primzahl-Zerlegung basierenden RSA-Funktionen sind die kompakteren Schlüssel und damit Effizienz und Geschwindigkeit. Die jetzt diskutierten Edwards-Funktionen sollen noch einmal einen Effizienzgewinn gegenüber den aktuell verwendeten Weierstraß-Funktionen bringen, versicherte die deutsche Kryptographin Tanja Lange von der Universität Eindhoven.

NIST will nachziehen

Tim Polk, über mehrere Jahre Security Area Director bei NIST, beeilte sich, der IETF anzukündigen, dass auch NIST selbst sich mit dem Gedanken trage, nun neue Elliptic Curves zu standardisieren. NIST habe seine hauseigene Untersuchung möglicher Schwachstellen bei der Standardisierung abgeschlossen und just einen Schlussbericht und Empfehlungen externer Experten vorgelegt, unter denen Edward Felten beispielsweise klar die Schaffung neuer elliptischer Kurven und möglicherweise weiterer Algorithmen vorschlägt. Nun erwarte man Kommentare der interessierten Kreise. Sähen die Anwender kein Problem mit der Anwendung der bestehenden Kurven, könne man diese beibehalten. Doch davon gehe er nicht aus, erklärte Polk.

Wahrscheinlicher sei, dass NIST tatsächlich neue Kurven, oder möglicherweise auch eine Kurven-Familien in seinen Standardkatalog aufnehmen werde. Der Erfolg einer solchen Maßnahme dürfte allerdings auch davon abhängen, inwieweit man auch die im Abschlussbericht enthaltenen Empfehlungen beherzigt, das Verhältnisses von NIST und NSA zu klären.

Princeton-Professor Edward Felten empfiehlt, im MoU beider Organisationen wieder die Unabhängigkeit des Standardisierungsprozesses der NIST klar zu stellen. Möglich, dass es für die Aufholjagd der NIST schon zu spät ist. Vielleicht wird die IETF künftig Standardprovider für Kryptoalgorithmen. Das Rennen ist offen. (ju)