Kryptografische Verfahren und ihre Sicherheit (Übersicht)

ELektronik-KOmpendium.de
Online

Preis auf Anfrage
Vergleichen Sie diesen Kurs mit ähnlichen Kursen
Mehr ansehen

Wichtige informationen

  • Kurs
  • Online
Beschreibung

Kryptografische Verfahren und ihre Sicherheit (Übersicht) Die folgenden Übersichten gehen auf die Sicherheit der gängigen kryptografischen Verfahren ein und gibt die eine oder andere Empfehlung. Die Empfehlungen gehen auf die European Union Agency for Network and Information Security (ENISA) zurück, die einen Bericht zu Algorithmen und Schlüssellängen veröffentlicht hat (Stand Oktober 2013). Diese Empfehlungen sind vertrauenswürdiger, als die Empfehlungen des US-amerikanischen National Institute of Standards and Technology (NIST). Algorithms, Key Sizes and Parameters Report, Empfehlungen der ENISA (Okt. 2013)
Die ENISA unterscheidet zwischen kurzfristig, mittel- und langfristig gespeicherten Daten. Kurzfristig gespeicherte Daten sind schutzbedürftige Transaktionsdaten und temporäre Kommunikationsverbindungen. Mittel- und langfristig gespeicherte Daten sind solche, die auf Datenträgern zum Abruf vorgehalten werden. Der Grad der Sicherheit ist jeweils an die aktuelle Gefährdungslage anzupassen. Berücksichtigen sollte man dabei auch, dass je länger die Daten gespeichert werden sollen, desto höher ist die Sicherheit anzusetzen. Hinweis: Die hier empfohlenen kryptografischen Verfahren gelten bis 2012 als sicher. Das haben die 2013 geleakten Dokumente von Edward Snowden ergeben. Alle Entwicklungen danach sind Vermutungen.

Wichtige informationen

Was lernen Sie in diesem Kurs?

Sicherheit

Themenkreis

Übersicht: Symmetrische Verfahren (Private-Key-Verfahren)

Stand: Mitte 2014 (Quelle: Heise iX Kompakt 2014 Security)

Symmetrische Verfahren DES RC4 3DES AES Camellia Schlüssellänge (Bit) 56 128 168 128 / 192 / 256 128 / 192 / 256 Aufwand zum Brechen 239 215 2112 2126,1 / 2169,7 / 2254,4 2128 / 2192 / 2256 Sicherheit niedrig extrem niedrig mittel hoch / sehr hoch / maximal hoch / sehr hoch / maximal

Der Kryptoexperte Bruce Schneier schätzt, dass die NSA (US-Geheimdienst) Kryptoverfahren mit einer Komplexität von 2-80 brechen kann. Vom Einsatz der symmetrischen Verfahren RC4 (Komplexität 2-15) und DES (Komplexität 2-39) ist also dringend abzuraten.

Die ENISA (European Union Agency for Network and Information Security) empfiehlt bei symmetrischen Schlüsseln für kurzfristig gespeicherte Daten, als Transaktionen, eine Länge von mindestens 80 Bit. Für mittelfristig gespeicherte Daten sollen es schon 128 Bit und für langfristig gespeicherte Daten 256 Bit sein.

Für Blockchiffren (Block Cipher) in Kombination mit AES werden 128 Bit und langfristig 256 Bit empfohlen. Von mehr als 256 Bit wird abgeraten, weil das unnötige Performance kostet.
Als Alternative bieten sich die symmetrischen Verfahren Blowfish, Camellia und Whirlpool an. Gute Stromchiffren (Stream Cipher) sind Rabbit und Snow 3G.

Übersicht: Asymmetrische Verfahren (Public-Key-Verfahren)

Stand: Mitte 2014 (Quelle: Heise iX Kompakt 2014 Security)

Asymmetrische Verfahren DSA (nur signieren) RSA ECC (NIST) ECC (Curve25519) Schlüssellänge (Bit) 1.024 1.024 / 2.048 / 4.096 / 8.192 192 / 244 / 256 / 384 / 521 256 Aufwand zum Brechen 261 (wegen SHA-1) 270,4 / 294,6 / 2126,3 / 2167,8 296 / 2112 / 2128 / 2192 / 2260,5 2128 Sicherheit niedrig niedrig / mittel / hoch / sehr hoch mittel bis maximal (wenn nicht manipuliert) hoch

Für die Public-Key-Verschlüsselung empfiehlt die ENISA den Einsatz von Elliptic Curve Cryptography (ECC). Für Transaktionen sind Kurven mit 160 Bit, für mittelfristige Speicherung 256 Bit und langfristig 512 Bit ausreichend.
Die Vertrauenswürdigkeit der spezifizierten Kurven wird allerdings wegen der Mitwirkung der NSA und die Standardisierung durch das NIST angezweifelt. Ob der Einsatz elliptischer Kurven mehr Sicherheit bringt, wird sich also erst in der Zukunft herausstellen.

Für asymmetrische Schlüssel (RSA) empfiehlt es sich für neue Schlüssel mindestens eine Länge von 3.072 Bit zu wählen. Für die längerfristige Sicherheit sollten die Schlüssel sogar eine Länge von 15.360 Bit haben. Das entspricht einer Sicherheit von 256-Bit-Schlüsseln bei symmetrischen Verfahren.

Übersicht: Kryptografische Hash-Verfahren

Stand: Mitte 2014 (Quelle: Heise iX Kompakt 2014 Security)

Hash-Verfahren MD5 SHA-1 RIPE-MD SHA-2-Familie SHA-3-Familie Hash-Wert-Länge (Bit) 128 160 160 / 256 / 320 224 / 256 / 384 / 512 224 / 256 / 384 / 512 Aufwand zum Brechen 218 261 280 / 2128 / 2160 2112 / 2128 / 2192 / 2256 2112 / 2128 / 2192 / 2256 Sicherheit extrem niedrig niedrig niedrig / mittel / hoch mittel / hoch / sehr hoch / maximal mittel / hoch / sehr hoch / maximal

Als Hash-Funktion empfiehlt sich SHA-256 und für den langfristigen Einsatz SHA-512 einzusetzen.

Beurteilung der Sicherheit kryptografischer Verfahren

Bei der Beurteilung der Sicherheit von kryptografischen Verfahren spielt immer auch die Annahme der Fähigkeiten eines möglichen Angreifers eine Rolle. Prinzipiell muss man nicht davon ausgehen, dass ein Angreifer die Möglichkeiten eines Geheimdienstes hat. Allerdings muss man berücksichtigen, dass viel kryptografische Verfahren nur deshalb sicher sind, weil noch keine Vereinfachung eines mathematischen Verfahrens gefunden wurde, oder weil für einen Brute-Force-Angriff nicht genug Rechenleistung zur Verfügung steht. Sobald ein Durchbruch für eine Vereinfachung eines mathematischen Verfahrens gefunden wird oder die Entwicklung der Rechenleistung fortgeschritten ist, dann wird der Kreis potentieller Angreifer, der über ausreichende Mittel verfügt, schnell größer. Insbesondere dann, wenn die verschlüsselten Informationen kommerziell interessant sind.

Das Ziel eines Angreifers ist an den Klartext eines Geheimtextes zu gelangen. Auf dem Weg dahin versucht er das Verfahren zu brechen, das heißt, eine Vereinfachung im Verfahren oder der Implementierung zu finden. Manchmal schafft der Angreifer es auch Fehler in das Verfahren oder die Implementierung einzuschleusen, in dem er sich daran beteiligt. Ein anderer Weg ist das Herausfinden des Schlüssels. Auch gibt es die Möglichkeit das Schlüsselmaterial zu beeinflussen, um die Anzahl der möglichen Schlüssel zu begrenzen. Hier geht auch die Gefahr von schlechtem Zufall bei der Schlüsselgenerierung aus. Wenn das nicht hilft, dann muss der Angreifer alle Schlüssel auszuprobieren. Das wäre der bestmöglichste Schutz, den man haben kann. Hier schützt allein die Schlüssellänge, dass der Entschlüsselungsvorgang für den Angreifer irgendwann in der Zukunft liegt.

Eine große Gefahr geht davon aus, dass die NSA gezielt Hintertüren in die Verschlüsselungs-Funktionen kommerzieller Hard- und Software einbaut. So wurden in der Vergangenheit die Standardisierung von Verschlüsselungsverfahren und Zufallszahlengeneratoren unterwandert.
Während sich Hardware nur schwer prüfen lässt, kann das Vertrauen in Software nur mit der Offenlegung des Quellcodes, also letztlich durch Open Source erreicht werden.
Außerdem gibt es auf politischer Ebene Bestrebungen die IT-Wirtschaft rechtlich "gleichzuschalten". Weil die Weltwirtschaft Großteils IT-Produkte von Firmen nutzt, die wirtschaftlich aus dem US-amerikanischen Raum kontrolliert werden, ist das besonders einfach.

Inzwischen gehen Ermittlungsbehörden dazu über, Gerüchte zu streuen und gezielt den Eindruck zu erwecken, dass bestimmte Sicherheitsmaßnahmen nichts bringen und die Nutzer davon abzuschrecken bestimmte Dienste zu benutzen. Dabei wird darauf gebaut, dass sich diese Gerüchte nur sehr schwer widerlegen lassen.
So gibt es Hinweise darauf, dass Angriffsflächen beim Verschlüsselungsstandard AES gefunden wurden. Wenn man AES misstraut, dann kann man eine der alternativen Verschlüsselungsverfahren einzusetzen, die weniger bekannt, aber im Prinzip genauso sicher sind.

Das größte Gefährdungspotential, dem jeder einzelne unterliegt ist die Massenüberwachung durch Geheimdienste und Ermittlungsbehörden. Von der NSA weiß man, dass sie Krypto-Initialisierung abfängt und speichert, um sie später mit Brute-Force-Attacken aufzubrechen, um an Schlüssel und Login-Informationen zu kommen. Beispielsweise bei SSL, IPsec und SSH.
Auch verschlüsselte Nachrichten werden gespeichert, um diese zu einem späteren Zeitpunkt, wenn sich ein Durchbruch in der Kryptoanalyse oder bei Quantencomputern ergibt, entschlüsseln und lesen zu können.

Wer sicher kommunizieren will, er ist nur mit Ende-zu-Ende-Verschlüsselungsprotokollen, wie PGP (E-Mail), OTR (Instant-Messaging) und ZRTP (Voice over IP) sicher. Werden diese Protokolle zusammen mit dem Anonymisierungsdienst Tor verwendet, dann haben Geheimdienste keine Chance.

Auch die Verschlüsselung von SSL/TLS/HTTPS ist ausreichend sicher. Zwar gab es hier in den letzten Jahren immer wieder Sicherheitsprobleme, die nur zum Teil ausgemerzt sind. Die meisten davon lassen sich nur durch gezielte Angriffe ausnutzen, was zusätzlich mit einem großen Aufwand verbunden ist. Für die Massenüberwachung sind die meisten Angriffe auf SSL/TLS ungeeignet und mit einem gewissen Entdeckungsrisiko verbunden. Wirklich erfolgreich sind nur die Angriffe, die auf dem Unterschieben falscher Zertifikate basieren, die jeder Browser als gültig akzeptiert. Dass das CA-Modell für die Authentifizierung kaputt ist, ist schon länger bekannt und wir leben schon seit vielen Jahren damit. Lösungen, wie SSL-Pinning und DANE, setzen sich langsam durch.

Weitere verwandte Themen:
  • Kryptografie
  • Symmetrische Kryptografie
  • Asymmetrische Kryptografie
  • Kryptografische Hash-Funktionen
  • Kryptografische Zufallsgeneratoren
  • Kryptografische Protokolle

Vergleichen Sie diesen Kurs mit ähnlichen Kursen
Mehr ansehen