DNSSEC mit zu kurzen RSA-Schlüsseln
Unter anderem bei DNSSEC kommen noch sehr oft RSA-Schlüssel mit 1024 Bit zum Einsatz. Das könnte noch gefährlicher sein, als bisher angenommen, warnen Kryptologen.
Zwei renommierte Crypto-Forscher – Daniel J. Bernstein und Tanja Lange – warnen, dass der Einsatz von RSA-Schlüsseln mit 1024 Bit möglicherweise deutlich gefährlicher ist, als bisher angenommen. Solche Schlüssel kommen unter anderem im Rahmen von DNSSEC immer noch häufig zum Einsatz, das die Namensauflösung im Internet absichern soll.
RSA-Schlüssel mit 1024 Bit gelten schon seit geraumer Zeit als problematisch; von ihrer Nutzung wird eigentlich allgemein abgeraten – etwa von BSI, NIST und ENISA. Ihre Sicherheit entspricht lediglich der eines symmetrischen Verfahrens mit etwa 80 Bit – und das ist bedenklich nah an dem, was man bereits mit vertretbaren Kosten, etwas Zeit und roher Rechengewalt knacken kann. Im Übrigen hebt selbst ein Umstieg auf 2048 Bit das Niveau lediglich auf 112 Bit; für die eigentlich wünschenswerte Sicherheit von 128 Bit bräuchte man bereits RSA-Schlüssel mit 3070 Bit, für langfristige Sicherheit auf 256-Bit-Niveau bieten erst 15360-Bit-Schlüssel.
Bernstein und Lange argumentieren nun, dass die Situation eigentlich noch schlimmer ist, weil diese Kalkulationen davon ausgehen, dass man einen speziellen Schlüssel knacken will. Wenn das Angriffsziel jedoch Tausende oder gar Millionen von Schlüsseln sind, stimmt diese Voraussetzung nicht mehr. Und ihre Arbeiten geben zumindest starke Hinweise darauf, dass die Kosten pro geknacktem Schlüssel bei einem passend parallelisierten Angriff, den Bernstein und Lange Batch NFS getauft haben, deutlich niedriger ausfallen.
Insbesondere warnen die Forscher vor DNSSEC, wo zum großen Teil noch RSA-Schlüssel mit 1024 Bit zum Einsatz kommen. Bei einer Erhebung von Zone Signing Keys betraf das mehr als die Hälfte aller Schlüssel. Das ist auch kein Wunder, verteidigt doch der RFC 6781 zu DNSSEC Operational Practices diese Praxis mit der Tatsache, dass "bislang niemand einen regulären 1024-Bit-Schlüssel geknackt hat". So könnten die meisten Zonen 1024-Bit-Schlüssel sogar mindestens noch die nächsten 10 Jahre sicher einsetzen, folgern die Autoren. Zu Gute halten muss man den DNSSEC-Praktikern allerdings, dass die Schlüssel typischerweise nur für einen Monat gültig sind, was einen Angriff deutlich erschwert.
Bernstein propagiert den Einsatz von DNSCurve zur Sicherung der Namensauflösung und ist ein ausgewiesener Gegner von DNSSEC. Er lässt bekanntermaßen kaum eine Gelegenheit aus, dessen Probleme und Schwächen breit zu treten. Er tut dies jedoch mit guten Argumenten, die man nicht einfach ignorieren sollte. (ju)
