Seite 4: Algebraische Angriffe

Inhaltsverzeichnis

Algebraische Angriffe

In neuester Zeit gibt es Versuche, Algorithmen mit algebraischen Methoden anzugreifen: man stellt sie als sehr große, nichtlineare Gleichungsysteme dar, die zu lösen sind. Besonders spektakulär erscheinen solche Bemühungen bei AES, das sich erstaunlich einfach beschreiben lässt und daher schon Misstrauen weckte [2]. Die Fachwelt ist gespalten: Manche verwerfen die neuesten Forschungen als ungangbar, andere bezeichnen sie als sehr spannend. Fakt ist: Wenn solche Methoden greifen, dann stellen sie hocheffektive Geheimtextangriffe dar.

Einen praktikablen algebraischen Angriff gibt es gegen GSM-Mobiltelefone, die "auf Anforderung" (zum Beispiel von einem IMSI-Catcher!) vom mäßig sicheren A5/1-Algorithmus auf den bekannt unsicheren A5/2-Algorithmus umschalten. Die Klartexte werden bei GSM mit einer CRC-Prüfsumme gesichert, was eine zusätzliche Abhängigkeit darstellt. Die israelischen Mathematiker Barkan, Biham und Keller stellten kürzlich einen Angriff vor, der chiffrierte A5/2-Kommunikation bereits nach wenigen Hundertstel Sekunden Mithörens sowie einer Sekunde Rechenzeit entziffern kann [5]. Allerdings wurde auch A5/1 schon vor Jahren beunruhigend effektiv gebrochen [6] – zwei Minuten Mithören und eine Sekunde Rechnen auf einem PC mit zwei Festplatten zu je 73 GByte sind dazu notwendig. Dennoch beschränkt sich algebraische Kryptanalyse auf besonders "geeignete" Algorithmen; eine Anwendung beispielsweise auf DES oder Twofish erscheint nicht aussichtsreich.

Gemeine Tricks

Besonders kritisch verfolgen Kryptologen die Entwicklung bei asymmetrischer Kryptographie (Public-Key-Kryptographie), die genaugenommen nur auf zwei Prinzipien beruht: Der Schwierigkeit, den so genannten diskreten Logarithmus zu berechnen und die Faktoren des Produkts zweier riesiger Primzahlen zu ermitteln [3, 4, 1]. Die Forschung hier ist reine Mathematik und macht zwar Fortschritte, doch der große Durchbruch ist noch nicht in Sicht. Parallel dazu greift man kryptographische Protokolle an. Schon die geringste Unachtsamkeit hat auf diesem Gebiet katastrophale Folgen. Der Vorteil asymmetrischer Kryptographie ist allerdings, dass sich das schwächste Glied der Kette -- die Absicherung mittels Passwörter/Passphrasen -- bei richtiger Handhabung nicht auf die Netzsicherheit auswirkt (denn der private, asymmetrische Schlüssel sollte niemals über ein Netz laufen, auch nicht chiffriert).

Alle Versuche, asymmetrische Kryptographie auf andere Prinzipien als die beiden bekannten zu stützten, wurden bisher Opfer findiger Kryptanalytiker. Die geschätzte Zeit zum Knacken des Verfahrens NTRU-256 wurde in einem Vortrag auf der EUROCRYPT 2001 mit 658 Milliarden Jahren angegeben. Am gleichen Abend noch hatte sie sich auf 3 Minuten reduziert -- inklusive Vorführung der Software.

Wenn Algorithmen "zu sicher" sind, lassen sich Kryptanalytiker etwas anderes einfallen. In der Regel wird wenigstens ein Bestandteil eines Systems per Passwort geschützt. Dort setzt der Wörterbuchangriff an: Nicht alle 2¹²⁸ möglichen Schlüssel interessieren, sondern nur die wenigen Millionen oder Milliarden, die aus bekannten Wörtern und Begriffen der Alltagssprache nebst ihren Verballhornungen erzeugt werden. Wörterbuchangriffe sind nichts anderes als Brute Force auf wahrscheinlichen Teilmengen. Ein Paradebeispiel liefert die Verschlüsselungstechnik, die Microsoft für seinen LAN-Manager erfunden hat und die Windows-Server bis heute standardmäßig vewenden. Dort werden die Passwort-Hashes ohne "Salt" erzeugt, also ohne zufällige Bits, die man vor dem Hashen hinzufügt (ein Anfängerfehler, der schon vor 30 Jahren vermieden wurde). So ergibt jedes Passwort immer wieder den gleichen Hash. In der Folge können die Passwörter des LAN-Managers nach nur einmal auszuführenden Vorberechnungen in durchschnittlich 13 Sekunden gefunden werden [7].

Jeder Trick ist erlaubt. Bei privaten, stromchiffrierten RSA-OpenPGP-Schlüsseln kann ein Angreifer ein Bit verändern (der Schutz durch die CRC-Prüfsumme ist zu schwach). Das verändert einen der beiden Faktoren. Der Schlüssel wird so zum Produkt einer großen Primzahl und kleiner Primzahlen: Er lässt sich leicht faktorisieren. Schon ist der eine große Faktor bekannt und damit auch der andere. Der Angreifer muss dazu allerdings dem Besitzer einen so manipulierten Schlüssel unterjubeln. Mit der ersten Signatur, die das Opfer damit erzeugt, wird der alte private Schlüssel bekannt. GnuPG wie PGP prüfen inzwischen auf diesen Angriff [1].

Noch einfacher: In alten Smartcards, die einen geheimen DES-Schlüssel enthielten, setzte man mit primitiven Mitteln ein Schlüsselbit auf 1 (das Auslesen war schwierig, das Setzen nicht). Gab es einen Paritätsfehler, war das Bit vorher 0. So kam man an den Schlüssel heran. Heute analysiert man bei Chipkarten zeitliche Änderungen des Stromverbrauchs (inklusive der benötigten Taktzeiten), um an geheime, gespeicherte Schlüssel heranzukommen. Einzelne Hersteller wie IBM wollen hier nachgebessert haben, etwa mit eingeschobenen Taktzeiten und firmware-gesteuerte Blindströmen, doch billig ist diese Art von Abwehr gewiss nicht.

Sicherheit lässt sich auf viele Weisen durchlöchern: Mit Pufferüberläufen, Blumensträußen für die Sekretärin, Lasermikrofonen, Reparaturen an der Heizungsanlage und unchiffrierten Mails. Kryptanalyse ist nur eine Angriffsmethode. Sie ist nicht immer erfolgreich, doch die "unsichtbarste" und daher potenziell die gefährlichste.