ENISA-Empfehlungen zu Krypto-Verfahren
Der Zeitpunkt ist günstiger denn je: Während das Vertrauen in das amerikanische NIST auf dem Tiefpunkt angekommen ist, gibt die oberste, europäische Sicherheitsbehörde, die ENISA, eigene Empfehlungen zu Algorithmen und Schlüssellängen.
- Michael Brenner
Die jüngsten Empfehlungen der ENISA zu Algorithmen und Schlüssellängen sind als Fortführung der Empfehlungen aus den Projekten ECRYPT und ECRYPT2 zu betrachten. Doch im Gegensatz zu diesen ist der vorliegende ENISA-Report deutlich praxisorientierter. Dies äußert sich beispielsweise in einer verringerten Tiefe der mathematischen Argumentationsführung oder auch in fehlenden Prognosen für die Stärke zukünftiger Angriffsverfahren in Hard- und Software.
Der Report zu "Algorithms, Key Sizes and Parameters" richtet sich in erster Linie an Entscheider im Bereich IT-Sicherheit, sowie Implementierer. Dabei fokussiert der Bericht Verfahren, die mathematisch beweisbar sicher sind, ohne diese Beweise im Detail aufzugreifen. Als Konsequenz werden keine Angriffe betrachtet, die keinen kryptografischen Angriffsvektor nutzen, also Sidechannels wie Timing-, Power- oder Cache-Analyse. AuĂźerdem gelten die Empfehlungen ausdrĂĽcklich nur unter der Voraussetzung, dass in naher Zukunft kein Durchbruch beim Quantum-Computing erfolgt.
Die Autoren – vorwiegend Mitglieder der gegenwärtigen, akademischen Kryptoforschung – unterscheiden zwischen mittel- und langfristig gespeicherten Daten (MF/LF), sowie kurzfristig schutzbedürftigen Transaktionsdaten. Grundsätzlich beurteilt der Report symmetrische 80-Bit Schlüssel als ausreichend für Transaktionsdaten und bestehende Systeme, die in den nächsten 5-10 Jahren ausgetauscht werden, symmetrische 128-Bit Schlüssel für mittel- und symmetrische 256-Bit Schlüssel für langfristig gespeicherte Daten.
Die Empfehlungen gliedern sich in drei Ebenen: Kryptografische Primitive (Block Cipher, Hashes, Pairings, DLP etc.), die darauf aufbauenden Schemata (AES-CBC, RSA-PKCS, etc.) und die Protokolle, die diese dann einsetzen. Recht konkret sind die Empfehlungen für die Primitive: Als Block Cipher spricht sich die ENISA für AES mit 128 und langfristig mit 256 Bit aus. Als Hash-Funktion präferiert der Report SHA-256 und für langfristigen Einsatz SHA-512. Alternativen wie Camellia, SHA-3 und Whirlpool werden ebenfalls angesprochen. Empfohlene Stream Ciphers sind Rabbit und Snow 3G; RC4 ist ausdrücklich zu ersetzen.
Im Bereich Public-Key-Verschlüsselung empfiehlt die ENISA den Einsatz von Elliptic Curve Cryptography (ECC) – und zwar möglichst nah an existierenden Standards. Transaktional genügen dabei Kurven mit 160 Bit, für mittelfristige Speicherung 256 und langfristig 512. Auf die aktuellen Diskussionen um die Vertrauenswürdigkeit dieser Standards, an denen die NSA maßgeblich mitgewirkt hat, lässt sich die ENISA nicht ein. Im Gefolge der Veröffentlichungen rund um die Spionage-Aktivitäten der NSA hatten mehrere Krypto-Experten Bedenken geäußert, was den Einsatz von ECC allgemein und der durch das NIST spezifizierten Kurven im speziellen angeht.
Auch herkömmliches RSA darf man noch benutzen; allerdings sollte man gemäß ENISA Systeme mit RSA-Schlüsseln unter 3072-Bit nur noch für Legacy-Systeme einsetzen; für mittelfristig gespeicherte Daten werden mindestens 3072 Bit und für langfristige Sicherheit sogar nur Systeme mit 15360-Bit-Schlüsseln empfohlen (das entspricht dann der Sicherheit von 256-Bit-Schlüsseln bei symmetrischen Verfahren). Damit unterscheiden sich die ENISA-Empfehlungen deutlich von denen des NIST, das den Einsatz von 2048-Bit-RSA-Schlüsseln bis zum Jahr 2030 als akzeptabel klassifiziert [2].
Derart einfache Empfehlungen darf man bei den Schemata naturgemäß nicht erwarten. Doch der Report geht systematisch alle Einsatzszenarien von der einfachen Blockverschlüsselung über Authenticated Encryption bis hin zu Public Key Signaturen durch und analysiert die jeweils zur Verfügung stehenden Optionen.
Der Report weist explizit darauf hin, dass zwar die Primitive und Schemata recht gut untersucht sind, im Bereich der Protokolle jedoch noch Defizite bestehen und diese Empfehlungen somit noch problematischer sind. Trotzdem spricht die ENISA recht konkrete Empfehlungen fĂĽr eine Reihe wichtiger Protokolle wie TLS (Camellia_128_GCM_SHA256, AES_128_GCM_SHA256), SSH (u.a. aes128-ctr mit hmac-sha2-256) Kerberos und IPSEC aus.
Insgesamt ist der Report ein nĂĽtzlicher Leitfaden fĂĽr den Einsatz von Krypto-Verfahren. Auch wenn die Unterschiede zu den NIST-Empfehlungen eher in den Nuancen als der generellen Linie liegen, ist es fĂĽr Europa wichtiger denn je, Flagge zu zeigen und sich den Einsatz von Krypto-Verfahren nicht vom "groĂźen Bruder" diktieren zu lassen.
Siehe dazu auch:
- Algorithms, Key Sizes and Parameters Report, Empfehlungen der ENISA (Okt. 2013)
- Recommendation for Key Management, Empfehlungen des NIST (Special Publication 800-57, Juli 2012)
- Algorithmenkatalog fĂĽr elektonische Signatur, Entwurf einer Empfehlung des BSI (Okt 2013)
- Kryptographische Verfahren: Empfehlungen und Schlüssellängen, (Technische Richtlinie TR-02102-2 des BSI, Jan. 2013)
(ju)