Neues eBook: "Verschlüsselung im NSA-Zeitalter"
Bei entwickler.press ist mein E-Book zur Verschlüsselung nach den Snowden-Enthüllungen über die NSA-Spionage erschienen: "Verschlüsselung im NSA-Zeitalter".
Seit der Veröffentlichung der von Edward Snowden geleakten NSA-Daten ist die Verunsicherung groß: Wo hat die NSA überall die Finger im Spiel? Was ist noch sicher? Welchen Protokollen kann man noch vertrauen? Ich habe versucht, diese Fragen in einem kleinen eBook zu beantworten, auf das ich hier einen kleinen Vorgeschmack geben möchte:
Kapitel 1: Sicherheit von symmetrischen Verfahren
Im ersten Kapitel geht es um die symmetrische Verschlüsselung, bei der zum Ver- und Entschlüsseln der gleiche Schlüssel verwendet wird.
Erst mal gilt: Die Verschlüsselungsalgorithmen, in diesem Fall speziell AES, sind sicher. DES war schon vor Edwards Snowdens Veröffentlichungen aufgrund der zu geringen Schlüssellänge unsicher, ob die NSA bei der Entwicklung die Finger im Spiel hatte oder nicht ist inzwischen eigentlich nur noch für Historiker interessant.
Wie es mit den jeweiligen Implementierungen aussieht, ist eine andere Frage. Auch Edward Snowden selbst hält Verschlüsselung allgemein für sicher:
"Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it."
Und was AES selbst betrifft: Von dessen Sicherheit ist Bruce Schneier überzeugt:
"I am trusting it."
AES als Verfahren können Sie also, einen langen Schlüssel vorausgesetzt, relativ bedenkenlos weiter verwenden ohne Angst vor der NSA haben zu müssen. Sie sollten aber darauf achten, welche Implementierung sie verwenden. Open Source Software hat hier den Vorteil, dass eine Hintertür darin eher auffallen wird als in Closed Source Software. Vor allem, wenn sich jetzt Forscher die Quelltexte genauer Ansehen. In Closed Source Software ist das Entdecken einer Hintertür dagegen fast unmöglich.
Kapitel 2: Sicherheit von asymmetrischen und hybriden Verfahren
Im zweiten Kapitel geht es um asymmetrische Verschlüsselung, bei der zum Ver- und Entschlüsseln verschiedene Schlüssel verwendet werden, und die aus symmetrischen und asymmetrischen Systemen kombinierten hybriden Systeme.
Das bekannteste asymmetrische Verfahren, RSA, ist an sich sicher, und die mathematischen Grundlagen kann auch die NSA nicht bestechen oder manipulieren. Die entscheidende Frage ist: Wie lange dauert es, den öffentlichen Schlüssel zu faktorisieren und damit den privaten Schlüssel für die Entschlüsselung zu erhalten? So lange die Faktorisierungsannahme gilt, ist die Faktorisierung nicht effektiv möglich, und so lange beißt sich die NSA an einem ausreichend langen RSA-Schlüssel die Zähne aus. Und zumindest bisher gibt es keinerlei Hinweis darauf, dass sie nicht gilt.
Bei der Elliptic Curve Cryptography sieht es etwas anders aus, da vertraue ich persönlich keinem Verfahren, an dessen Entwicklung ein Geheimdienst beteiligt war. Die Gefahr, dass die zu Grunde liegende elliptische Kurve für den Geheimdienst günstig gewählt wurde (um es mal höflich zu formulieren), ist mir zu groß. Vor allem angesichts der bekannten Hintertür im ebenfalls auf elliptischen Kurven basierenden Zufallszahlengenerator Dual_EC_DRBG (auf den ich im dritten Kapitel näher eingehe).
Womit wir indirekt zu den hybriden Systemen kommen: Auch wenn sowohl asymmetrisches als auch symmetrisches Verfahren sicher sind, kann das Gesamtsystem unsicher sein - wenn zum Beispiel für die Erzeugung des symmetrischen Schlüssels ein unsicherer Zufallszahlengenerator verwendet wird. Einige Forscher konnten die Hintertür in Dual_EC_DRBG in einem Laborversuch ausnutzen, um die Verschlüsselung von TLS-Verbindungen mit Hilfe der Hintertür zu brechen. Man kann also davon ausgehen, dass die NSA es auch kann. Zumindest wenn die von er NSA festgelegten Parameter aus dem Standard verwendet werden.
Wenn Sie ein hybrides Verfahren nutzen, achten Sie also darauf, woher der Schlüssel für das symmetrische Verfahren stammt. Er muss nicht nur ausreichend lang sein, sondern auch aus einer vertrauenswürdigen Quelle stammen. Und der Dual_EC_DRBG ist das auf gar keinem Fall.
In dieser Hinsicht hat sich OpenSSL als Glücksgriff herausgestellt (über die Heartbleed-Schwachstelle darin werfen wir an dieser Stelle mal den Mantel des Schweigens, oder besser gleich eine ganze LKW-Ladung davon): Darin gab es zwar auch eine Implementierung des Dual_EC_DRBG, aber die war so kaputt, dass man sie nicht benutzen konnte. Was niemanden gestört hat, da niemand diesen Zufallszahlengenerator nutzen wollte. Und was jetzt natürlich auch nicht geändert wird.
Kapitel 3: Die NSA und ihr Einfluss auf Standards
Im dritten Kapitel geht es dann, wie eben schon erwähnt, um den Einfluss der NSA auf Krypto-Standards. Wobei "Einfluss" für die gezielte Schwächung sicherheitsrelevanter Standards viel zu harmlos klingt. Eigentlich ist sowas ja Sabotage. Alles natürlich nur im Interesse der nationalen Sicherheit der USA. Andere nationale Sicherheiten und die Sicherheit von Wirtschaft und Bevölkerung müssen dahinter natürlich zurückstehen. Meint die NSA.
Fest steht, dass die NSA Standards manipuliert hat. Und zwar sehr wahrscheinlich mehr, als wir bisher wissen. Da nicht nur US-amerikanische NIST-Standards, sondern auch RFCs und internationale Standards betroffen sind, führt das zu einer Reihe von Problemen: Welchen Standards darf man noch vertrauen? Was nimmt man, wenn man einem Standard nicht mehr vertrauen will? Wem kann man eigentlich vertrauen, wenn es um die Bewertung von Standards und Algorithmen geht?
Aber kommen wir kurz zurück zur Kryptographie. Eigentlich gibt es für alle Zwecke von offiziellen Standards „unabhängige“ Alternativen. Wobei sich dann natürlich wieder die Frage stellt, wer garantiert, dass da nicht auch ein Geheimdienst seine Finger im Spiel hat. Aber lassen wir das.
Gute Beispiele für solche Alternativen bieten AES und SHA-3. Beide Standards sind das Ergebnis von Wettbewerben, wobei der Gewinner für die Veröffentlichung als Standard noch etwas angepasst wurde/wird. Wenn man dem Standard selbst nicht vertraut, kann man also zum Beispiel entweder die Originalversion des Gewinners oder einen anderen Algorithmus der Endrunde verwenden. Diese Algorithmen sind alle gut untersucht und entsprechend sicher.
Zumindest bei AES erübrigt sich das, der Algorithmus gilt weiterhin als sicher. Bei SHA-3 bleibt der endgültige Standard abzuwarten. Aber nach dem Rummel bei den bisherigen harmlosen Änderungen durch die NSA dürfte die NSA an einer Manipulation des Algorithmus kein Interesse mehr haben. Zumal ja bis auf weiteres der bisher nicht aufgefallene SHA-2 sicher genug ist.
Und hier noch die
Links und Literaturverweise
Kapitel 1: Sicherheit von symmetrischen Verfahren
- [1] FIPS PUB 46-2, Data Encryption Standard (DES)
- [2] FIPS PUB 46-3, Data Encryption Standard (DES) (PDF)
- [3] Eli Biham, Adi Shamir: "Differential Cryptanalysis of DES-like Cryptosystems" (PS.GZ)
- [4] Bruce Schneier: "Applied Cryptography" (englisch, John Wiley & Sons 1996) / "Angewandte Kryptographie" (deutsch, Addison Wesley 1996) (Website)
- [5] Tom R. Johnson: " American Cryptology during the Cold War, 1945–1989: Book III: Retrenchment and Reform", NSA, DOCID 3417193 (Seite 232 = Seite 114 im PDF) (PDF)
- [6] Tom R. Johnson: " American Cryptology during the Cold War, 1945–1989: Book III: Retrenchment and Reform", FOIA-Veröffentlichung auf cryptome.org mit weniger Schwärzungen
- [7] Don Coppersmith: "The Data Encryption Standard (DES) and its strength against attacks" (PDF)
- [8] FAQ zum "DES Cracker" der Electronic Frontier Foundation
- [9] Electronic Frontier Foundation: "Cracking DES: Secrets of Encryption Research, Wiretap Politics, and Chip Design"
- [10] COPACOBANA - Special-Purpose Hardware for Code-Breaking
- [11] SciEngines: "Break DES in less than a single day"
- [12] Department of Commerce, National Institute of Standards and Technology: "Announcing development of a federal information processing standard for advanced encryption standard"
- [13] Department of Commerce, National Institute of Standards and Technology: "Announcing request for candidate algorithm nominations for the advanced encryption standard (AES)"
- [14] NIST: AES Round 2 Information
- [15] NIST Announces Encryption Standard Finalists (PDF)
- [16] Presseerklärung "Commerce Department Announces Winner of Global Information Security Competition" auf archive.org
- [17] Federal Information Processing Standards Publication 197: Specification for the ADVANCED ENCRYPTION STANDARD (AES) (PDF)
- [18] Bruce Schneier, Schneier on Security: "The NSA's Cryptographic Capabilities", 6. September 2013
- [19] James Ball, Julian Borger, Glenn Greenwald; The Guardian: "Revealed: how US and UK spy agencies defeat internet privacy and security"
- [20] Nicole Perlroth, Jeff Larson, Scott Shane; The New York Times: "N.S.A. Able to Foil Basic Safeguards of Privacy on Web"
- [21] Jeff Larson, Nicole Perlroth, Scott Shane; ProPublica: "Revealed: The NSA’s Secret Campaign to Crack, Undermine Internet Security"
- [22] Glenn Greenwald, The Guardian: "Edward Snowden: NSA whistleblower answers reader questions", Antwort auf die Frage "Is encrypting my email any good at defeating the NSA survelielance? Id my data protected by standard encryption?"
- [23] Bruce Schneier, Schneier on Security: "The NSA Is Breaking Most Encryption on the Internet", 5. September 2013, Antwort auf die Frage "Ok, on to the big question. Is AES safe?" vom 6. September 2013
Kapitel 2: Sicherheit von asymmetrischen und hybriden Verfahren
- [1] siehe Kapitel 1
- [2] Ronald L. Rivest, Adi Shamir, Leonard Adleman: "A Method for Obtaining Digital Signatures and Public-Key Cryptosystems" (PDF)
- [3] Wikipedia: Erweiterter euklidischer Algorithmus
- [4] Wikipedia: Eulersche Phi-Funktion
- [5] Newsgroup sci.crypt: "RSA factoring challenge", 18.3.1991
- [6] RSA Laboratories: "The RSA Factoring Challenge"
- [7] RSA Laboratories: "The New RSA Factoring Challenge" (14.7.2001, via archive.org)
- [8] RSA Laboratories: "The RSA Challenge Numbers" (5.8.2001, via archive.org)
- [9] RSA Honor Roll (As of March 5, 1999)
- [10] RSA Laboratories: "RSA-140 IS FACTORED!"
- [11] Kazumaro Aoki, Yuji Kida, Takeshi Shimoyama, Hiroki Ueda: "GNFS Factoring Statistics of RSA-100, 110, ..., 150"
- [12] RSA Laboratories: "RSA-155 IS FACTORED!"
- [13] RSA Laboratories: "RSA-160 IS FACTORED!"
- [14] Jens Franke: "We have factored RSA160 by gnfs."
- [15] Dominik Bonenberger, Martin Krone: "Factorization of RSA-170" (PDF)
- [16] RSA Laboratories: "RSA-576 IS FACTORED!"
- [17] S.A. Danilov, I.A. Popovyan: "Factorization of RSA-180"
- [18] I. Popovyan, A. Timofeev; mersenneforum.org: "RSA-190 factored"
- [19] RSA Laboratories: "RSA-640 IS FACTORED!"
- [20] Jens Franke: "We have factored RSA640 by GNFS."
- [21] RSA Laboratories: "RSA-200 IS FACTORED!"
- [22] Thorsten Kleinjung: "We have factored RSA200 by GNFS."
- [23] mersenneforum.org: "RSA-210 factored"
- [24] Shi Bai, Emmanuel Thomé, Paul Zimmermann: "Factorisation of RSA-704 with CADO-NFS" (PDF)
- [25] RSA Laboratories: "RSA-768 IS FACTORED!"
- [26] Thorsten Kleinjung, Kazumaro Aoki, Jens Franke, Arjen Lenstra, Emmanuel Thomé, Joppe Bos, Pierrick Gaudry, Alexander Kruppa, Peter Montgomery, Dag Arne Osvik, Herman te Riele, Andrey Timofeev, Paul Zimmermann: "Factorization of a 768-bit RSA modulus"
- [27] RSA Laboratories: The RSA Challenge Numbers
- [28] RSA Laboratories: The RSA Factoring Challenge FAQ
- [29] Steven Rich, Barton Gellman; The Washington Post: "NSA seeks to build quantum computer that could crack most types of encryption"
- [30] Bruce Schneier: "I personally am concerned about any constant whose origins I don't personally trust." (Kommentar unter: Bruce Schneier: "The NSA Is Breaking Most Encryption on the Internet")
- [31] Bruce Schneier, theguardian.com: "NSA surveillance: A guide to staying secure"
- [32] Carsten Eilers: "Quo vadis, SSL? - Wie sicher sind HTTPS-Verbindungen noch?", Entwickler Magazin 4.2012
- [33] Joseph Menn, Reuters: "Exclusive: Secret contract tied NSA and security industry pioneer"
- [34] Speaking of Security - The RSA Blog and Podcast: "RSA Response to Media Claims Regarding NSA Relationship"
- [35] Jacob Appelbaum (@ioerror): "RC4 is broken in real time by the #NSA - stop using it."
- [36] Jacob Appelbaum (@ioerror): "I have confirmed it with several sources - including some with knowledge of #NSA #CES"
- [37] Steve Marquess; Mailingliste openssl-announce: "Flaw in Dual EC DRBG (no, not that one)"
Kapitel 3: Die NSA und ihr Einfluss auf Standards
- [1] siehe Kapitel 1
- [2] siehe Kapitel 2
- [3] Daniel J. Bernstein: "Curve25519: A state-of-the-art Diffie-Hellman function"
- [4] OpenSSH: Changes since OpenSSH 6.4
- [5] Ed25519: high-speed high-security signatures
- [6] NIST Special Publication (SP) 800-90A: Recommendation for Random Number Generation Using Deterministic Random Bit Generators (PDF, Version vom Januar 2012)
- [7] Berry Schoenmakers, Andrey Sidorenko: "Cryptanalysis of the Dual Elliptic Curve Pseudorandom Generator"
- [8] Daniel R. L. Brown, Kristian Gjøsteen: "A Security Analysis of the NIST SP 800-90 Elliptic Curve Random Number Generator"
- [9] Dan Shumow, Niels Ferguson: "On the Possibility of a Back Door in the NIST SP800-90 Dual Ec Prng" (PDF)
- [10] Matthew Green: "The Many Flaws of Dual_EC_DRBG"
- [11] FIPS 140-2 - Security Requirements for Cryptographic Modules (PDF)
- [12] Steve Marquess, Mailingliste openssl-announce: "Flaw in Dual EC DRBG (no, not that one)"
- [13] RSA BSAFE
- [14] Joseph Menn, Reuters: "Exclusive: Secret contract tied NSA and security industry pioneer"
- [15] RSA Security: RSA Response to Media Claims Regarding NSA Relationship
- [16] Nicole Perlroth, Jeff Larson, Scott Shane; New York Times: "N.S.A. Able to Foil Basic Safeguards of Privacy on Web"
- [17] James Ball, Julian Borger, Glenn Greenwald; The Guardian: "Revealed: how US and UK spy agencies defeat internet privacy and security"
- [18] Jeff Larson, Nicole Perlroth, Scott Shane; ProPublica: "Revealed: The NSA’s Secret Campaign to Crack, Undermine Internet Security"
- [19] Nicole Perlroth, New York Times: "Government Announces Steps to Restore Confidence on Encryption Standards"
- [20] NIST: Supplemental ITL Bulletin for September 2013 (PDF)
- [21] Kim Zetter, Wired: "RSA Tells Its Developer Customers: Stop Using NSA-Linked Algorithm"
- [22] Matthew Green: "RSA warns developers not to use RSA products"
- [23] NIST, Office of the Director: "Cryptographic Standards Statement"
- [24] NIST: SP 800-90 Arev1-B-C - DRAFT Draft SP 800-90 Series: Random Bit Generators
- [25] NIST initiating Review of Cryptographic Standards Development Process
- [26] RFC 4301 - Security Architecture for the Internet Protocol
- [27] Niels Ferguson, Bruce Schneier: "A Cryptographic Evaluation of IPsec"
- [28] John Gilmore: "Re: [Cryptography] Opening Discussion: Speculation on "BULLRUN""
- [29] Counterpane Labs: CMEA Cryptanalysis
- [30] Microsoft Security Advisory (2880823) - Deprecation of SHA-1 Hashing Algorithm for Microsoft Root Certificate Program
- [31] Amerk, Windows PKI blog: "SHA1 Deprecation Policy"
- [32] William Peteroy, Security Research & Defense Blog: "Security Advisory 2880823: Recommendation to discontinue use of SHA-1"
- [33] Microsoft Security Advisory (2862973) - Update for Deprecation of MD5 Hashing Algorithm for Microsoft Root Certificate Program
- [34] NIST Computer Security Division - The SHA-3 Cryptographic Hash Algorithm Competition, November 2007 - October 2012
- [35] The Keccak sponge function family
- [36] NIST Computer Security Division - SHA-3 WINNER
- [37] John Kelsey: "SHA3 - Past, Present, and Future" (PDF)
- [38] Keccak-Entwickler: "Yes, this is Keccak!"
- [39] Bruce Schneier: "Will Keccak = SHA-3?"
- [40] John M. Kelsey: "Moving forward with SHA3" (PDF)
- [41] European Union Agency for Network and Information Security (ENISA): "Algorithms, Key Sizes and Parameters Report"
- [42] Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen: "Bekanntmachung zur elektronischen Signatur nach dem Signaturgesetz und der Signaturverordnung (Übersicht über geeignete Algorithmen)"
- [43] NIST Special Publication (SP) 800-57: Recommendation for Key Management – Part 1: General (Revision 3) (PDF)
- [44] BetterCrypto*org
- [45] BetterCrypto*org: "Applied Crypto Hardening" (PDF)
Trackbacks
Dipl.-Inform. Carsten Eilers am : SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 5
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Grafikkarten-Malware, Metadaten, NSA - Neues zu alten Artikeln
Vorschau anzeigen