Konsequenzen für Smartcards und Netzwerke befürchtet

Angriff auf Sicherheitsschlüssel

06. Mai 2002
Von Patrick Goltzsch
Asymmetrische Verschlüsselung gehört zu den Standards bei Sicherheitslösungen. Doch sind die derzeit verwendeten Schlüssellängen noch ausreichend? Die gängige RSA-Kodierung mit 1024-Bit-Schlüsseln scheint jedenfalls angreifbar.

RSA ist als Industriestandard im Internet überall anzutreffen. Betriebssysteme, Hardware wie Netzwerkkarten und Smartcards, aber auch Netzprotokolle von SSL bis Secure HTTP bauen auf das 20 Jahre alte Verfahren. Das Alter von RSA gilt als Qualitätsnachweis: Es konnte ausgiebig auf Fehler und Schwachstellen getestet werden. Gefunden wurde bislang nichts.

RSA funktioniert durch die Multiplikation zweier Primzahlen mit wenigstens 160 Stellen. Die Sicherheit des Systems basiert darauf, dass das mathematische Ver-fahren zum Finden der Zahlen äußerst kompliziert ist. Mit einem Vorschlag, wie es sich beschleunigen ließe, hat Dan Bernstein nun eine lebhafte Diskussion ausgelöst. Durch Feilen am Algorithmus und den Einsatz spezieller Hardware will der Mathematiker einen Schlüssel deutlich schneller berechnen können. Im Rahmen der Debatte wurde auch die Sicherheit der heute üblichen Schlüssellängen von 1024 Bit infrage gestellt.

Schlüssellänge schafft Sicherheit

Für einen RSA-Schlüssel mit 512 Bit Länge brauchen heute gängige, untereinander vernetzte Rechner einige Wochen. Mit längeren Schlüsseln wächst diese Zeit exponenziell: Bei einer Länge von 768 Bit ist für die Entschlüsselung die 500fache Zeit nötig. Andreas Pfitzmann, Professor für Datensicherheit an der TU Dresden, schätzt, dass sich Schlüssel bis 530 Bit mittlerweile brechen lassen. Längere Varianten versprächen zwar mehr Sicherheit, ihr Einsatz erfordere aber einen deutlich höheren Rechenaufwand.

Die Meinungen darüber, ob Bernsteins Überlegungen realistisch sind, gehen auseinander. Bei der Darmstädter Firma Secude, einem Anbieter von Sicherheitslösungen, hält man das RSA-Problem für rein theoretisch. Zudem stünden Schlüssel bis zu 8192 Bit zur Verfügung.

René Grosser, Geschäftsführer von Hisolutions, Berlin, sieht indes durchaus ein Problem. "1024 Bit können zwar noch ausreichen, aber man sollte überlegen, was damit verschlüsselt wird. Handelt es sich um einfache Lieferdaten oder technische Details einer Patentanmeldung?" Bei den eigenen Lösungen, etwa bei virtuellen privaten Netzen, verwende Hisolutions deshalb seit geraumer Zeit Schlüssel mit 2048 Bit.

Verhaltener äußern sich die Sicherheitsberater von Secorvo aus Karlsruhe. In ihrem Gutachten für das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfehlen sie, Bernsteins Ansatz "aufmerksam zu verfolgen". Zugleich verweist Secorvo allerdings auf die mathematischen Schwierigkeiten und konstatiert, dass die erforderliche Hardware noch nicht existiere. Bis Ende 2005, schätzt das Unternehmen, könnten 1024-Bit-Schlüssel als sicher angesehen werden; danach sei eine Länge von 1280 Bit emfehlenswert.



Dan Bernstein, Mathematiker am Forschungsinstitut MSRI in Berkeley, will den RSA-Code schneller knacken.
Dan Bernstein, Mathematiker am Forschungsinstitut MSRI in Berkeley, will den RSA-Code schneller knacken.

Kommentare zum Artikel

comments powered by Disqus