Skip to content

Secrets and Spies

17. November 2007

Über eine beunruhigende Entdeckung berichtet der bekannte IT-Security-Experte und Kryptologe Bruce Schneier auf seinem Blog. Unter dem Titel The Strange Story of Dual_EC_DRBG berichtet er über einen gleichnamigen Algorithmus zum Erzeugen von Pseudozufallszahlen auf dem Computer.

Bei Pseudozufallszahlen handelt es sich um möglichst unvorhersehbare Zahlen, die generiert werden, um sie für verschiedene sicherheitsrelevante Funktionen auf dem Computer einzusetzen (mehr davon später). Von Pseudozufallszahlen spricht man deshalb, weil diese Zahlen zufälliges Verhalten an den Tag legen sollen, in ihrer Entstehung aber nicht zufällig sind (anders als beispielsweise Zahlenfolgen, die anhand von natürlichen Phänomenen wie Meteoritenschauern, natürlichen Radiowellen oder Atomzerfall generiert werden; diese finden aber aufgrund des erhöhten Aufwands allenfalls beim Militär und bei Geheimdiensten Anwendung). Pseudozufallszahlen werden durch verschiedene Mechanismen erzeugt. Sie alle benötigen einen sogenannten „Seed“, also eine Eingabe, anhand derer dann die herauskommenden (zufällig wirkenden) Zahlen anhand spezieller Algorithmen berechnet werden. Gebräuchlich sind beispielsweise Benutzeraktivitäten wie die Bewegung des Mauszeigers, Netzwerk-Traffic oder andere System-Parameter.

Benötigt werden diese Pseudozufallszahlen als „Seed“ für Verschlüsselungen. Eine Verschlüsselung wird um ein vielfaches sicherer, wenn man einen zufälligen (beziehungsweise eben pseudozufälligen) Wert, den sogenannten „Salt“ mit einrechnet. Dieser macht Angriffe wie Known Plaintext Attacks (bei denen zu bestimmten, bekannten oder wahrscheinlichen, Klartexten das verschlüsselte Gegenstück gebildet und dies mit dem verschlüsselten Text, der bereits vorliegt, verglichen wird) oder dessen Weiterentwicklungen wie Rainbow Tables wirkungslos. Arbeitet man beim Verschlüsseln mit Salting, kann ein verschlüsselter Text jeden beliebigen Klartext ergeben, je nachdem, welche Zahl als Salt benutzt wurde.

Bruce Schneier über die Bedeutung von Pseudozufallszahlen: „Zufallszahlen haben eine wichtige Bedeutung für die Kryptographie: für Schlüssel, zufällige „Authentication Challenges“, Initialisierungsvektoren [wichtig beispielsweise bei der Verschlüsselung von WLANs], um Primzahlen zu generieren und so weiter. Knacke den Zufallszahlengenerator und du knackst in den meisten Fällen das ganze Sicherheitssystem.“

Dementsprechend problematisch ist es natürlich, wenn die generierten „Zufallszahlen“ nicht ganz so zufällig ausfallen. Dies ist offenbar der Fall bei einem der neuen Zufallszahlengeneratoren, die die NSA in Auftrag gegeben hat- besagtem Dual_EC_DRBG, der seine Zahlen mit Hilfe von elliptischen Kurven generiert. Dies haben nun zwei von Bruce Schneiers Kollegen herausgefunden. Zwei Kryptoanalysten namens Nils Ferguson und Dan Shumow beschrieben auf der Konferenz Crypto 2007 eine Schwäche des Generators (für ganz hartgesottene Nerds: nachzulesen hier) beschrieben.

Die Ergebnisse des Generators „korrespondieren mit einem zweiten Wertepaar“. Wer im Besitz dieses zweiten Wertepaares ist, könnte mit wesentlich geringerem Aufwand den Algorithmus berechnen und somit die Verschlüsselung knacken. Kryptologen sprechen in solchen Fällen von einer „Backdoor“, da ein Algorithmus auf wesentlich einfachere als die übliche Weise berechnet wird. Im beschriebenen Fall wäre der Vorteil, den man aus dem Besitz des zweiten, geheimen Zahlensatzes ziehen könnte, immens. Bruce Schneier berichtet, dass man lediglich 32 Bytes vom Output von Dual_EC_DRBG mitlesen müsste, um dessen weitere Ergebnisse berechnen zu können. Dies entspricht nach Schneiers Aussagen „einer TLS-Verbindung„. Wer jemals mit einem Packet Sniffer gearbeitet hat, weiß, dass es nicht sehr schwer ist, an eine derartige Datenmenge heranzukommen. Gelegenheiten gibt es genug, beispielsweise im Firmennetz oder auch unterwegs in nicht oder schlecht verschlüsselten WLANs – beziehungsweise für die NSA direkt auf dem Server.

Eine solche Backdoor ist natürlich nicht erwünscht, wenn es einem darum geht, seine Daten möglichst effektiv vor dem Zugriff Dritter zu schützen. Geht es einem allerdings darum, möglichst viel von der Konversation anderer Leute mitzulesen, ist man natürlich über eine solche Möglichkeit alles andere als böse- vorausgesetzt, man hat selbst den „Generalschlüssel“ oder rechnet sich aus, an diesen herankommen zu können. Und genau das könnte eine mögliche Motivation der NSA sein, die weitere Verbreitung von Dual_EC_DRBG trotz der Sicherheitslücken vorantreiben zu wollen.

Dies ist natürlich reine Spekulation, aber, wie Schneier laut The Register zusammenfasst: „Wir haben keine Möglichkeit, herauszufinden, ob die NSA die geheimen Zahlen kennt, mit denen man Dual_EC-DRBG knacken kann… Wir wissen nicht, wo die Konstanten hergekommen sind. Wir wissen nur, dass derjenige, der sie erstellt hat, den Schlüssel zu dieser Backdoor haben könnte. Und NIST- oder die NSA- haben keine Möglichkeit, das Gegenteil zu beweisen.“

Die Geschichte der NSA spricht dabei gegen sie, hat man doch schon oft (teilweise mit Hilfe der US-Regierung) versucht, den privaten Gebrauch von Kryptographie einzuschränken. So machte man sich beispielsweise für den sogenannten „key escrow“ stark, der besagte, dass sämtliche Schlüssel bei der Regierung „hinterlegt“ werden, oder sprach sich für Verschlüsselungschips aus, die Regierungsbehörden den Zugriff erlaubten. Auch gegen den Export von Kryptographie und die Veröffentlichung bestimmter Forschungsergebnisse setzte man sich ein. Wäre es da wirklich erstaunlich, wenn die NSA nun mit Absicht einen Algorithmus mit einer Backdoor fördern würde? Private Verschlüsselung, einer der wenigen effektiven Wege, seine Sicherheit und Privatsphäre bei der Computernutzung zu schützen, erschwert der NSA ihre Arbeit- wieso also nicht einen „Super Top-Trumpf“ in der Hinterhand behalten?

Allein dies macht den vorgestellten Algorithmus indiskutabel. Niemand möchte wohl, dass die NSA seine Daten mitliest, sonst würde er kaum Verschlüsselung einsetzen. Außerdem besteht ja auch noch das Risiko, dass die Daten in falsche Hände gelangen, wie beispielsweise auch Markus vom Open Mind Blog, unter Bezugname auf die in letzter Zeit immer wieder fehlerhaften IT-Sicherheits-Konzepte von US-Behörden, schreibt. Einmal in der Hand von Kriminellen wäre der Schlüssel dann schnell in der Szene verbreitet und auf Dual_EC-DRBG basierende Verschlüsselungen „nur noch so sicher wie eine Postkarte“.

Bruce Schneier fasst es folgendermaßen zusammen: „Selbst wenn niemand die geheimen Zahlen kennt, macht die Tatsache, dass die Backdoor existiert, Dual_EC_DRBG sehr verwundbar. Wenn jemand nur eine Instanz von dem im Algorithmus vorkommenden Problem elliptischer Kurven löst, würde er im Endeffekt die Schlüssel zum Königreich in der Hand halten. Er könnte sie für jeden kriminellen Zweck benutzen, der ihm einfällt. Oder er könnte sie veröffentlichen und jede Implementierung des Zufallszahlengenerators komplett unsicher machen.“

Das alles ist wirklich, wie Schneier es nennt, „scary stuff“. Die geforderten Erklärungen aber werden wir alle wohl nie bekommen, immerhin handelt es sich hier um die NSA (also „Never Say Anything“). Wenn es sich hier, wie es momentan den Anschein hat, um einen Versuch dieser Behörde handelt, die User-Community für dumm zu verkaufen und zu Opfern zu machen, kann man glücklicherweise sagen, dass dieser Versuch misslungen ist. Dank der Arbeit einiger hervorragender Experten wurde die Lücke aufgedeckt und bekannt gemacht, bevor der Algorithmus weitreichende Verbreitung fand. Bitte mehr Leute wie Schneier, Ferguson und Shumow im Netz, die durch Neugier und Fachkenntnisse Sicherheitslücken aufdecken und User vor ihnen schützen- und bitte weniger von der Regierung aufgezwungene Kontrolle, die das Medium letzten Endes, wie man hier sieht, nur unsicherer macht.

Advertisements
No comments yet

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: