Cryptography Reference
In-Depth Information
er problemlos Alices privaten Schlüssel berechnen. Dieser Angriff wird als Fakto-
risierungsangriff bezeichnet. Die Funktionsweise des RSA-Verfahrens beruht
jedoch gerade darauf, dass die Berechnung von p und q aus n besonders schwierig
ist - es handelt sich ja um eine Einwegfunktion. Eine Faktorisierungsattacke läuft
daher auf das Umkehren einer Einwegfunktion hinaus und ist äußerst aufwendig.
Wie aufwendig eine Faktorisierungsattacke ist, hängt von der Methode ab,
die zur Faktorisierung von n verwendet wird. Möglichkeiten gibt es dazu viele -
man könnte problemlos ein ganzes Buch über Faktorisierungsverfahren schrei-
ben. Uns interessiert an dieser Stelle jedoch nur eines: Keine der bisher bekannten
Methoden zur Faktorisierung ist auch nur annähernd leistungsfähig genug, um
mit realistischem Aufwand eine 1.024-Bit-Zahl zu zerlegen (wäre es anders, dann
hätte sich RSA nie durchgesetzt). Vermutlich wird das auch in Zukunft so blei-
ben. Es wird zwar weiterhin geforscht, und es sind weitere Fortschritte zu erwar-
ten - ein Quantensprung auf dem Gebiet der Faktorisierungsverfahren ist derzeit
jedoch nicht in Sicht.
Sicherlich fragen Sie sich nun, bis zu welcher Größe Zahlen heutzutage fakto-
risiert werden können. Der gegenwärtige Weltrekord liegt bei 768 Bit, was 232
Dezimalstellen entspricht (siehe Abschnitt 40.4.1). Dieser Rekord bezieht sich
natürlich nur auf bekannt gewordene Faktorisierungen. Zweifellos sind die NSA
und andere Geheimdienste in der Lage, auch längere Zahlen zu zerlegen. Daraus
können wir schließen, dass 512 Bit als RSA-Schlüssellänge für besonders sicher-
heitskritische Daten nicht mehr ausreichen. Auch 1.024 Bit gelten inzwischen als
knapp bemessen. 2.048 Bit dürften dagegen vorläufig nicht zu knacken sein.
Low-Exponent-Attacke
Wie in Abschnitt 11.3.1 bereits erwähnt, verwenden viele RSA-Implementierun-
gen kleine Werte für die Zahl e (meist 3 oder 17), da diese eine besonders schnelle
Verschlüsselung ermöglichen. Dabei ist jedoch Vorsicht geboten: Wird die gleiche
Nachricht an e Empfänger gesendet und jeweils mit der gleichen Zahl e verschlüs-
selt, dann gibt es einen Angriff, mit dem Mallory den Geheimtext wiederherstel-
len kann ( Low-Exponent-Attacke ). Auch wenn nur Teile der Nachricht gleich
sind, ist dies teilweise schon möglich. Natürlich gibt es gegen eine Low-Expo-
nent-Attacke wirksame Gegenmaßnahmen. So können Alice und Bob etwa die
Zahl e einfach etwas größer wählen. 65.537 ist etwa ähnlich günstig für die Per-
formanz wie 3 und 17, aber deutlich weniger anfällig. Der PKCS#1-Standard
(Abschnitt 19.4.1) geht dagegen einen anderen Weg: Er sieht vor, dass jede zu ver-
schlüsselnde Nachricht in einer bestimmten Weise aufbereitet wird, wodurch glei-
che Nachrichten nicht mehr vorkommen.
Search WWH ::




Custom Search