Cryptography Reference
In-Depth Information
Die Exponentialfunktion in einem endlichen Körper spielt bei den Verfahren
RSA, DSA, ElGamal und Diffie-Hellman eine zentrale Rolle. Genau diese sind
anfällig gegenüber einem Zeitangriff auf den Square-and-Multiply-Algorithmus.
Schon mit einigen Tausend Zeitmessungen lassen sich entsprechende Implemen-
tierungen mit 1.024-Bit-Schlüsseln knacken. Auf den ersten Blick scheint auch
das symmetrische Verschlüsselungsverfahren SAFER von einem solchen Angriff
bedroht, da dieses die Exponentialfunktion nutzt (mit
a
=45 und
n
=257). Aller-
dings verwenden fast alle Implementierungen eine Ersetzungstabelle.
Dennoch gibt es auch symmetrische Verschlüsselungsverfahren, die als anfäl-
lig gegenüber einem Zeitangriff gelten. Das bekannteste Beispiel ist IDEA, das in
den neunziger Jahren als wichtigste DES-Alternative galt. IDEA verwendet Mul-
tiplikationen modulo 2
16
+1. Deren Ausführungsdauer ist stark von den beiden
Eingabewerten abhängig. 1998 veröffentlichten Kelsey, Schneier, Wagner und
Hall die Grundzüge eines Zeitangriffs, der dies ausnutzte [KeScWH]. Einige wei-
tere Zeitangriffe beziehen sich auf sehr spezielle Implementierungen. Im Jahr
2003 gelang es beispielsweise Dan Boneh und David Brumley, einen Webserver,
der mit der Open-Source-Lösung OpenSSL arbeitete, anzugreifen. Ihr Zeitangriff
ermittelte den privaten RSA-Schlüssel innerhalb einiger Stunden [BonBru].
Maßnahmen gegen Zeitangriffe
Zum Glück ist es nicht allzu schwierig, Zeitangriffe zu verhindern. Der Hersteller
einer Krypto-Implementierung muss lediglich künstliche Verzögerungen in den
Ver- bzw. Entschlüsselungsprozess einbauen. Beispielsweise kann er einen solchen
Prozess so gestalten, dass dieser unabhängig vom Eingabewert immer gleich
lange dauert. Oder es wird an einer Stelle des Verfahrens eine Zufallszahl einge-
rechnet, die an anderer Stelle wieder herausgerechnet wird. Dies bezeichnet man
auch als
Blinding
. Beim Design symmetrischer Chiffren gibt es eine weitere Mög-
lichkeit: Man kann auf Bestandteile verzichten, die Unterschiede in der Rechen-
zeit aufweisen.
17.1.2
Stromangriffe
Eine weitere Form des Seitenkanalangriffs ist der
Stromangriff
. Mallory füttert
hierbei ein kryptografisches Modul mit Nachrichten und misst den Stromver-
brauch, der beim Verschlüsseln (bzw. Entschlüsseln) entsteht. Aus den Schwan-
kungen der Stromstärke, die er an einem Oszilloskop ablesen kann, zieht Mallory
Rückschlüsse auf den Schlüssel. Dass ein Stromangriff funktioniert, liegt daran,
dass die verschiedenen Bauteile eines Hardwaremoduls einen unterschiedlichen
Stromverbrauch haben und dieser obendrein davon abhängt, ob eine bestimmte
Schaltung geschlossen (eins) oder offen (null) ist.
Stromangriffe wurden 1998 von Paul Kocher der Öffentlichkeit vorgestellt
[JaJuKo]. Sie sind etwas aufwendiger in der Durchführung als Zeitangriffe, gelten
