Nach Snowden: Wenig Schlaf für Kryptoforscher

Bei der Internet Engineering Task Force in Toronto stellte Lange vor kurzem einen Überblick über elliptische Kurven Verschlüsselung vor und riet dringend, sich für neuere Varianten zu entscheiden. Sie sprach am Rande der Veranstaltung mit heise Security.

Lesezeit: 8 Min.
In Pocket speichern
vorlesen Druckansicht
Von
  • Monika Ermert
Inhaltsverzeichnis

Die Kryptographie hat Zulauf seit den Enthüllungen der all umfassenden Ausspähung von Internetkommunikation durch Geheimdienste. Das kann auch Tanja Lange, Kryptoforscherin an der Universität Eindhoven bestätigen. Noch nie habe sie so viel mit Reportern gesprochen wie in den vergangenen 13 Monaten. Entscheidender aber ist für die Forscherin: "Ich schlafe weniger und ich habe wieder viel mehr Zeit damit verbracht, noch mal elliptische Kurven anzuschauen, um Schwachstellen zu finden."

Tanja Lange gehört zu den renommiertesten Kryptoforscherinnen aus Deutschland. Sie promovierte 2002 an der Universität Essen mit einer Arbeit über “Fast Arithmetic on Hyperelliptic Curves” und arbeitet derzeit als Professorin an der Technischen Universiteit Eindhoven.

Die mittlerweile auch von der US-Standardisierungsorganisation National Institute of Standards and Technology (NIST) eingeräumte mögliche Hintertür im Dual Elliptic Curve Deterministic Random Number Generator wird noch unterschätzt, schrieb Lange gemeinsam mit Eindhovener Kollegen Dan Bernstein und Ruben Niederhagen in einer von mehreren Post-Snowden-Aufarbeitungen, an der sich eine ganze Reihe von Kryptologen beteiligen.

Für Lange ist nach wie vor noch nicht vollends klar, was da bei der Kryptostandardisierung schief gelaufen ist. "Wie kann das passieren? Und wie oft ist das sonst noch passiert?" fragt sie sich. Nach dem "Wink mit dem Zaunpfahl", dass die NSA Kryptostandards unterwandert, ist sie die NIST-Kurven durchgegangen um gemeinsame Eigenschaften zu entdecken, die auf eine Hintertür schließen lassen. Entdeckt hat sie bislang nichts. Trotzdem bleibe das Misstrauen hoch und, sagt die Kryptoexpertin lächelnd: "Das NIST traut ja den eigenen Kurven nicht mehr."

Lange begrüßt angesichts der Entwicklung die Initiative der IETF. "Ich glaube, das ist eine gute Idee, dass die TLS-Arbeitsgruppe jetzt mutig ist und sich selbst um die Auswahl kümmert." Die TLS WG hatte ihrerseits das Crypto Forum Research Group (CFRG) gebeten, mögliche neue Kurven für die TLS-Verschlüsselung vorzuschlagen. Beim Treffen in Toronto bei dem Lange den Techies einen Überblick über elliptische Kurven bot, präsentierten Langes Kollege Dan Bernstein und eine Gruppe von Microsoft-Forschern verschiedene Vorschläge.

Der Krypto-Schönheitswettbewerb in Toronto lockte nicht nur so viele IETF-Teilnehmer, dass Sitzplätze Mangelware waren. Laut Lange war in dem überfüllten Raum mehr "Kurven-Expertise" versammelt, als es bei der NIST gebe. Noch beim Treffen der CFRG im März hatte Kevin Igoe von der NSA, der seit Jahren einer der Leiter der Arbeitsgruppe ist, zu Bedenken gegeben, dass Wettbewerbe zur Auswahl neuer Algorithmen teuer und die IETF dafür eher nicht der richtige Platz sei. Doch dem ersten Ruf, dass IETF und IRTF neue elliptische Kurven unabhängig von der NIST suchen wollen, sind viele Fachleute gefolgt und sie wird auf vielen anderen Listen, auf denen sich Kryptoexperten austauschen, diskutiert.

"TLS ist neben Geldautomaten der größte Nutzer von Krypto. Wenn die TLS-Community sagt, wir wollen etwas Neues, ist das sehr einflussreich," sagt Lange zu den Arbeiten bei IRTF/IETF. In Toronto lieferte Lange einen Überblick über Kryptographie mit elliptischen Kurven, eines ihrer Spezialgebiete. Elliptische Kurven Kryptographie – kurz ECC – hat vor allem wegen der kürzeren Schlüssellängen und besseren Effizienz Vorzüge gegenüber der bislang etablierten RSA-Verschlüsselung.

Statt mit natürlichen Zahlen arbeitet ECC mit Punkten etwa auf einer solchen Montgomery-Kurve, die folgende Gleichung erfüllen: 3y^2 = x^3 + 7x^2 + x

(Bild: Krishnavedala bei Wikipedia, CC BY-SA 3.0 )

Lange empfahl der CFRG dabei, auf jeden Fall auf neuere Kurvenvarianten zu setzen. Als Darstellung der Kurven wurde bislang immer die nach dem Mathematiker Karl Weierstraß benannte Weierstraß-Form genutzt. Langes Kritik an diesen Kurven ist nicht so sehr, dass sie möglicherweise mit Hintertüren erzeugt wurden, sondern dass diese Darstellung zu einer sehr komplexen Rechenregel führt und somit darauf basierende Implementierungen anfälliger für Fehler seien.

Stattdessen sollen Funktionen wie die sogenannte Edwards-, Twisted-Edwards- oder Montgomery-Form zum Einsatz kommen. Weil einfacher in der Anwendung bringe der Wechsel ein Mehr an operativer Sicherheit. Überdies sind die neueren Kurven schneller und damit effektiver.

Mit der Schnelligkeit argumentierte Langes Kollege Dan Bernstein bereits als er die in Toronto ebenfalls ins Rennen geschickte Curve25519 im Jahr 2006 vorstellte. Basierend auf einer Montgomery-Funktion sieht die Kurve für den Laien immer noch ausreichend kompliziert aus:

y^2 = x^3 +486662x^2 + x

Im Vergleich zu den für die NIST-Kurven eingesetzten Weierstraß-Funktionen kommt sie jedoch regelrecht leichtfüßig daher, versichern die Kryptoexperten. Bernstein war mit der "coolen Kurve" der Zeit einfach etwas voraus, schätzt Lange. Der Vorteil ist jetzt, dass die Kurve schon einige Zeit bei vielfältigen Anwendungen im Gebrauch sei – darunter das Anonymisierungsnetzwerk Tor oder das mobile Betriebssystem von Apple iOS, sowie Open Source Software von GNUnet bis OpenSSH. "Die Kurve hat schon die nötige Patina," erklärt Lange.

Nach den Enthüllungen von Snowden hat sich Silent Circle derweil mit einer ganz neuen Kurve versorgt – auf Wunsch des von PGP-Entwickler Phil Zimmermann gegründeten Sicherheitsunternehmens, das sich die starke und dabei gute bezahlte Absicherung von Kommunikation auf die Fahnen geschrieben hat, haben Bernstein und Lange eine neue Kurve geschaffen, Curve41417. Silent Circle promoted die Kurve als Teil seines Post-Snowden Sicherheits-Updates.

Ein Trend, der sich sowohl bei den Kurven von Bernstein/Lange, als auch bei der von Microsofts Krytoexperten vorgestellten Kurvenfamilie mit dem bezeichnenden Namen "Nothing up my sleeve" (NUMS), abzeichnet, ist, dass Kurven stärker deterministisch erzeugt werden. Alle vorgestellten Kurven arbeiten mit kürzeren Kurvengleichungen und mit Primzahlen, die man sich merken kann. So rechnet Curve25519 mit der Primzahl 2^255-19. Durch diese Simplizität wollen sie Fehler in der Anwendung verhindern.

Viele Attacken nutzen nämlich laut Langes und Bernsteins Analyse von Standardkurven gerade nicht Schwächen im Logarithmus der Kurve (elliptic-curve discrete-logarithm problem, ECDLP), sondern greifen direkt die Verschlüsselung an. So schickt ein Angreifer zum Beispiel spezielle Kurvenpunkte als Eingabe, die Fehler in Implementierungen triggern, um so Information über die geheimen Schlüssel zu erlangen, so das Resultat ihrer Analyse.

Unter anderem würden die Angriffe auf der Basis von Timing- oder anderen Meta-Informationen gestartet. Schutz gegen diese so genannten Seitenkanal-Attacken steht daher auch auf der Liste der Anforderungen bei der IETF. Ein Kernproblem vieler verfügbarer Standardkurven – darunter neben den NIST-Kurven auch die von Frankreichs Agence Nationale de la Sécurité des Systèmes d'Information und die vom Bundesamt für Sicherheit in der Informationstechnik vorgeschlagenen Brainpool-Kurven – ist, dass sich zu leicht Fehler im Betrieb einschleichen.

Für die eigenen Kurven setzen Lange und Bernstein daher nicht zuletzt neben der Sicherheit auch auf Simplizität. In den IETF-Diskussionen wurde dieser Trend grundsätzlich begrüßt. Am liebsten nur eine Kurve, oder doch nicht sehr viel mehr, wünscht überdies die TLS-Arbeitsgruppe, der die CFRG zuarbeiten muss.

Post-Quantum-Krypto

Quanten-Computern kann die ECC – egal mit welcher der jetzt vorgeschlagenen Kurven – übrigens nicht widerstehen, warnt Lange. "Ich denke aber, dass die jetzt vorgeschlagenen Kurven solange halten, bis wir Quanten-Computer haben", sagt sie. "Das heißt nicht, dass wir sie so lange benutzen sollten." An Forschung zu Post-Quantum-Kryptographie ist sie auch beteiligt, unter anderem mit auf Kodierung basierender Kryptographie. Es sei dafür höchste Zeit, sagt sie.

Und was sagt sie zur Ankündigung, dass Deutschland Verschlüsselungsweltmeister werden will? "Sollen sie mal machen. Es gibt schon recht gute Zentren in Bochum oder Darmstadt. Dort werden wirklich alle Aspekte von Kryptographie beforscht." Natürlich könne man immer mehr forschen und Snowdens Enthüllungen haben für die Disziplin viel neue Arbeit gebracht. Das ist nicht die schlechteste Folge aus Sicht der Krypto-Forscherin. (ju)