Durch die Hintertür - Methoden der Kryptanalyse

Kryptographie ist die Lehre vom Verschlüsseln, Kryptanalyse die Wissenschaft davon, die Algorithmen und Protokolle zu knacken. Erst die Kenntnis kryptanalytischer Methoden erlaubt es, die Sicherheit von Verschlüsselungsverfahren einzuschätzen.

In Pocket speichern vorlesen Druckansicht
Lesezeit: 23 Min.
Von
  • Dr. Reinhard Wobst
Inhaltsverzeichnis

Daten durch Verschlüsselung zu schützen, ist mittlerweile weit verbreitet. Wie man aber Verschlüsselung bricht, können sich anscheinend selbst IT-Fachleute oft nicht vorstellen. Es scheint zwei beliebte Extrem-Vorstellungen darüber zu geben: "Die Geheimdienste können sowieso alle Algorithmen brechen" oder "Ich habe mir ein ganz wildes Verfahren ausgedacht, das garantiert keiner knacken kann".

Die erste Ansicht ist genauso falsch wie die zweite. Leider sind Verfechter der zweiten Aussage oft deutlich hartnäckiger und richten sogar Schaden an, wenn sie katastrophal unsichere Verschlüsselungsprodukte (so genanntes "snake oil") als Stein der Weisen anpreisen. Um es vorwegzunehmen: Gegen moderne, jahrelang öffentlich untersuchte Algorithmen wie AES, 3DES und RSA können mit an Sicherheit grenzender Wahrscheinlichkeit selbst Geheimdienste nichts ausrichten. Sie werden nicht die Algorithmen selbst angreifen, sondern nach Schwachstellen in der konkreten Implementierung oder den Protokollen zum Schlüsselaustausch suchen.

Sichere Verschlüsselungsverfahren bauen nicht darauf, dass das Verfahren unbekannt ist -- für fast alle renommierten Verfahren sind die Algorithmen öffentlich verfügbar. "Der Feind kennt Dein System", schrieb Shannon schon 1949, und dieser Spruch ist nach wie vor aktuell. Geheimhaltung beruht auf Schlüsseln, nicht auf Verfahren. Bei renommierten Verfahren wie Blowfish oder AES ist der Algorithmus öffentlich bekannt und eben damit lässt sich beweisen, dass derzeit kein effektiver Angriff gegen diese Verfahren existiert.

Der Wunschtraum jedes Kryptanalytikers ist, aus möglichst kleinen Mengen Geheimtexts den Schlüssel zu rekonstruieren und damit gleich die gesamte Nachricht zu dechiffrieren. Dieser "Geheimtextangriff" führt leider in den seltensten Fällen zum Ziel, es sei denn, man kann die Brechstange ansetzen: Beim so genannten Brute-Force-Angriff werden einfach alle möglichen Schlüssel durchprobiert. Schlüssellängen von 40 Bit, entsprechend etwa 1012 Möglichkeiten, bewältigt ein heutiger PC noch in realistischer Zeit. Bei jeder probeweisen Dechiffrierung wird getestet, ob sich ein sinnvoller Klartext ergibt. Genau genommen ist es also doch kein reiner Geheimtextangriff. Allerdings hat man in der Praxis immer ausreichend Kenntnis über die Art des Klartextes.

Spezielle Hardware wie Deep Crack [1] beweist, dass für finanzstarke Angreifer auch 56 Bit lange DES-Schlüssel keine Hürde mehr sind. Dies hatte dem 20 Jahre lang standardmäßig genutzten DES-Algorithmus endgültig das Genick gebrochen [2] Jedoch waren umsichtige Anwender schon längst auf 3DES mit einer Schlüssellänge von 112 Bit umgestiegen.

Eine Verdoppelung der Schlüssellänge bedeutet, dass die Anzahl der Schlüssel quadriert wird. Daher ist auch die naive Annahme falsch, dass das Knacken von 128-Bit-Schlüsseln eine reine Finanz- und Zeitfrage wäre: Mit hypothetischen Prozessoren im Terahertz-Bereich, die eine Billion Dechiffrierungen pro Sekunde ausführen könnten, bräuchte man etwa 1019 solcher CPUs, um alle Schlüssel binnen eines Jahres durchzuprobieren. Selbst wenn nur 1 Gramm Silizium pro Prozessor dafür ausreichen würde, entspräche die Gesamtmasse der Rechner ungefähr dem 108-fachen der Erdmasse. Da Silizium nur im vergleichsweise dünnen Erdmantel vorkommt, besteht doch der Verdacht, dass diese Kryptanalyse schlicht am Rohstoffproblem scheitern würde (von Energieverbrauch und Arbeitskraft mal ganz abgesehen). Zum Brute-Force-Angriff auf 256 Bit müsste auch der utopischste Rechner bereits ein schwarzes Loch bilden.