FAQ: Kryptologie

Verschlüsselung, Signaturen und Hashes sichern unsere gängige ­Kommuni­kation. Viele Details der Verfahren sind für Nicht-Kryptologen nicht sofort einleuchtend.

Lesezeit: 4 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen
Über 50.000 Datenbank-Sever über Uralt-Windows-Bug mit Krypto-Minern infiziert

(Bild: ronstik/Shutterstock.com)

Von
  • Wilhelm Drehling
  • Jan Mahn
  • Sylvester Tremmel

Verschlüsselung und Entschlüsselung von Informationen – da steigt nicht jeder auf Anhieb durch. Wir haben Antworten auf die häufigsten Fragen.

Drei Begriffe tauchen immer wieder auf: Kryptologie, Kryptografie und manchmal Kryptoanalyse. Was ist denn jetzt richtig?

Die Wissenschaft, die sich unter anderem mit Verschlüsselung, Hashes, Signaturen und dem Austausch von Schlüsseln befasst, heißt Kryptologie. Innerhalb der Disziplin gibt es eine traditionelle Aufteilung: Die Kryptografie befasst sich mit den Verfahren zum sicheren Verschlüsseln, ihre Gegenspielerin ist die Kryptoanalyse. Sie entwickelt Ansätze, um die Arbeit der Kryptografen an wunden Punkten anzugreifen.

In der Alltagssprache sind die Begriffe Kryptografie und Kryptologie nicht so scharf abgegrenzt. Häufig spricht man eher von Kryptografie, wenn es um praktische Anwendungen geht ("Meine Daten sind mit einem kryptografischen Verfahren gesichert."), und eher von Kryptologie, wenn es um wissenschaftliche Erkenntnisse und Grundlagen geht.

Mehr von c't Magazin Mehr von c't Magazin

Ein Diffie-Hellman-Schlüsselaustausch ist eine spannende Sache. Weil am Ende beide Seiten dasselbe Geheimnis haben, müsste es sich um ein symmetrisches Verfahren handeln, oder?

Nein. Der Diffie-Hellman-Schlüsselaustausch wird den asymmetrischen Verfahren zugeordnet. Ausführlich vorgestellt haben wir diesen Austausch eines Geheimnisses über eine unsichere Leitung in c’t 7/2021.

Asymmetrisch ist das Verfahren, weil beide Parteien ein eigenes Schlüsselpaar aus öffentlichem und privatem Schlüssel erzeugen und damit arbeiten. Weil sie dieses Schlüsselpaar per Zufallszahl generieren, wird es niemals identisch mit dem Paar des Gegenübers sein – die Ausgangslage ist also asymmetrisch. Am Ende des Verfahrens haben beiden Parteien ein gemeinsames Geheimnis, das sie wiederum für symmetrische Verschlüsselung nutzen können. Symmetrische und asymmetrische Verfahren arbeiten oft Hand in Hand.

Sehr häufig wird erwähnt, dass neben Whitfield Diffie und Martin Hellman auch Ralph Merkle an der Entwicklung beteiligt war; man liest aber sehr selten "Diffie-Hellman-Merkle" oder "DHM", der arme Ralph Merkle wird meist unterschlagen. Wissen Sie, woran das liegt?

Das Schlüsselaustauschverfahren selbst stammt von Whitfield Diffie und Martin Hellman. Sie nutzten aber als Grundlage die Arbeiten zu "Merkles Puzzle" von besagtem Ralph Merkle – das war einer der ersten Ansätze zum Schlüsselaustausch über unsichere Leitungen überhaupt, aber noch nicht perfekt. Weil diese Vorarbeit aber nicht unwichtig war, nennen einige Merkle im Namen DHM ebenfalls.

Ralph Merkle hat aber auch andere große Leistungen erbracht und wird in der Kryptologie durchaus gewürdigt. Im Zusammenhang mit der Erzeugung von Hashes kommen zum Beispiel die Merkle Trees vor, die nach ihm benannt sind. Heute befasst er sich laut seiner Homepage (merkle.com) mit molekularer Nanotechnologie.

Alle drei vereint: Ralph Merkle, Martin Hellman und Whitfield Diffie im Jahr 1977. Merkle legte die Grundlagen, die beiden anderen erfanden den nach ihnen benannten Schlüsselaustausch.

(Bild: Chuck Painter / Stanford News Service)

Insgesamt basiert viel der heutigen Kryptologie auf den Grundlagenarbeiten weniger großer Denker, die in den 70ern das Fach begründet und aus geheimen Kellern der Militärinstitute an die öffentlichen Universitäten geholt haben: Rivest, Shamir und Adleman (bekannt für RSA), Diffie, Hellman und Merkle tauchen immer mal wieder auf. Kryptologie war eine ziemlich kleine Disziplin, man kannte und schätzte sich und versuchte auch immer, die Ideen der anderen zu knacken.

Adi Shamir zum Beispiel war einer der beiden Wissenschaftler, die 1998 noch während der ersten Präsentation im Zuschauerraum einen Beweis fanden, dass das von der Deutschen Telekom neu entwickelte Verschlüsselungsverfahren "Magenta" im Kern unsicher ist. Das war zwar nicht die feine Art, aber in der Sache behielten sie recht. Den schriftlichen Beweis reichten sie kurz darauf nach – acht Jahre Entwicklungsarbeit der Telekom waren damit hinfällig.


Für RSA braucht man ja große Primzahlen. Wo kommen die bei der Schlüsselerzeugung eigentlich her? Gibt es da einen Pool, an dem man sich bedienen kann?

Eine Speicherung vieler Primzahlen in einem Pool wäre sehr gefährlich, weil die Gefahr besteht, dass Software immer dieselben Zahlen aus dem Pool nutzt. Solche Ideen hatte man früher, heute lässt man davon die Finger. Stattdessen wird alles dem Zufall überlassen: Zuerst erzeugt eine Software, die eine große Primzahl braucht, eine Zufallszahl in der benötigten Größenordnung. Dann kommt zum Beispiel der probabilistische Miller-Rabin-Test zum Einsatz, der sehr effizient erkennt, ob es sich um eine Primzahl handelt. Wenn nicht, wird weitergesucht. Hat man eine gefunden, wiederholt man bei RSA das Verfahren für eine zweite Zahl, die in etwa die gleiche Länge hat, aber trotzdem weit genug entfernt von der ersten Primzahl ist.

Kann man zum Knacken von RSA nicht einfach eine Liste aller Primzahlen und ihrer Multiplikationen anfertigen? Das wäre für Geheimdienste doch praktisch. Sie hätten dann alle möglichen RSA-Schlüssel griffbereit und müssten sich nicht am Faktorisieren riesiger Zahlen die Zähne ausbeißen.

Die Sicherheit von RSA basiert darauf, dass man zwei Primzahlen schnell miteinander multiplizieren kann. Der Rückweg, also das Finden der beiden Primzahlen, die für das Ergebnis verantwortlich sind, ist bei ausreichend großen Zahlen aber nicht in endlicher Zeit machbar. Da liegt die Idee nahe, einfach eine riesige Liste vorzubereiten.

Das ist bei der Größe der eingesetzten Zahlen (zum Glück für alle Anwender) ein Ding der Unmöglichkeit. Bei RSA kommen zurzeit rund 300-stellige Primzahlen zum Einsatz. Alle Primzahlen zu bestimmen ist extrem schwierig, da es dafür keine Formel gibt und jede Zahl getestet werden muss und jede Primzahl mit jeder anderen multipliziert. Selbst wenn man sich an dieses aussichtslose Projekt machen würde, wäre die Speicherung aller gefundenen Paare das nächste Problem. Nach aktuellem Stand ist das unmöglich.

Eine Zahl in Faktoren aus Primzahlen zu zerlegen wird immer schwieriger mit steigender Länge. Der Zusammenhang ist aber keinesfalls linear. Eine Zahl mit 15 Stellen ist in unter einer Sekunde geknackt, eine mit 74 Stellen beschäftigte unseren PC sechs Minuten.

Wenn RSA doch so sicher ist, weshalb werden die Schlüssellängen ständig angepasst?

RSA ist mittlerweile mehr als 40 Jahre alt. Mathematisch wurde bis heute keine Schwäche in der Idee gefunden, obwohl schon eine ganze Generation von Kryptoanalytikern danach gesucht hat. In diesem Zeitraum haben sich aber Computer so weit entwickelt, dass es bei zu kurzen Schlüsseln ein erfolgversprechender Angriff ist, stumpf alle Möglichkeiten auszuprobieren, bis man ein Schlüsselpaar geknackt hat.

Um die Sicherheit von RSA weiterhin garantieren zu können, passte man daher mit der Zeit die Schlüssellängen an die technische Entwicklung an. Die Entwickler empfahlen noch eine Schlüssellänge von 663 Bit. Eine Zahl dieser Größenordnung konnte erstmals unter Einsatz von knapp 75 Prozessorjahren im Jahr 2005 aufgelöst werden.

Heutzutage sind wir bei einer Empfehlung von 2048 Bit angekommen, wobei die Standards immer mehr zu 4096 Bit tendieren. Kryptologen sind nach wie vor weit entfernt von einer Auflösung solcher großen Zahlen. Selbst 1024-Bit-Schlüssel, bis vor wenigen Jahren noch Standard, sind noch ungebrochen.

Also muss man nur alle paar Jahre die Schlüssellänge von RSA erhöhen und alles ist gut?

Leider nein. Längere Schlüssel bieten zwar mehr Sicherheit, aber der Zusammenhang ist nicht linear: Immer längere Schlüssel bringen immer weniger zusätzliche Sicherheit. Der Punkt, an dem man unpraktisch große Schlüssel weiter vergrößert und kaum mehr Sicherheit erreicht, liegt auch nicht in ferner Zukunft: Das GnuPG-Projekt stellt schon den Sinn von RSA-Schlüsseln mit 4096 Bit (und erst recht solche mit 8192 Bit) infrage.

Ein Ausweg aus dieser Situation ist Kryptografie auf Basis elliptischer Kurven (elliptic curve cryptography, ECC), die sich auch zunehmend durchsetzt. ECC-Verfahren erreichen die Sicherheit etablierter Verfahren mit viel kürzeren Schlüsseln, was ihr Hauptvorteil ist. Schon ein Schlüssel mit 224 Bit Länge wird als gleichwertig zu 2048 Bit RSA angesehen.

Praktisch ist auch, dass viele bekannte Verfahren – zum Beispiel der Diffie-Hellman-Schlüsselaustausch – Pendants haben, die elliptischen Kurven verwenden. Solche relativ direkten Adaptionen vereinfachen die Verbreitung von ECC-Verfahren, weil man sie schnell austauschen kann.

c’t Ausgabe 13/2021

Windows-User kennen die Ermahnung, das Microsoft-Konto zu nutzen. Fluch und Segen dieses Kontos beleuchten wir in c’t 13/2021. Wir zeigen, wie Sie Internet-Ausfälle überbrücken, haben Mini-PCs fürs Homeoffice, Mainboards für Ryzen-CPUs, Tools für virtuelle Gruppenchats und diverse Android-Smartphones getestet und Infoquellen für Wertpapier-Anleger zusammengetragen. Ausgabe 13/2021 finden Sie ab dem 4. Juni im Heise-Shop und am gut sortierten Zeitschriftenkiosk.

(jam)