Aaron hat geschrieben:auf dem 20C3 lief vor kurzenen ein Vortrag über die Sicherheit von 1024bit RSA Schlüsseln. Diese Schlüssel sind nun langsam veraltet und können jetzt schon in aktzeptablen Zeiten mit Heim PC geknackt werden.(bzw. Spezial Hardware -> nich Teuere (optisches Rechnen))
Da ich im moment in meiner Sicherheitsphase bin und sowieso äußerst sensible Daten habe die unbedingt verschlüsselt werden müssen wollte ich mir eben ein Keyring erstellen und erschreckt festgestellt das ich mit
nur 4096 bit Keys erstellen kann.
Also ich war auch bei diesem Vortrag "1024-bit RSA ist unsicher" (siehe
http://www.ccc.de/congress/2003/fahrpla ... 46.de.html ): Es wurde gesagt, dass Adi Shamir (das 'S' in RSA) die Vermutung geäußert hatte, dass es eventuell möglich wäre mit 10 Millionen Euro teuerer Hardware innerhalb eines Jahres einen 1024-Bit-Schlüssel zu knacken. Fakt ist aber, dass dies bisher noch niemandem
dokumentiert gelungen ist. Natürlich kann man aber davon ausgehen, dass es beispielsweise der NSA (nicht aber z.B. deutschen Strafverfolgungsbehörden oder europäischen Geheimdiensten) mit sehr großem Aufwand in absehbarer Zeit möglich wäre, einen 1024-Bit-Key zu knacken.
Was du wahrscheinlich damit verwechselt hast, ist nur ein kleiner Teil der Kryptoanalyse bei RSA, nämlich die Matrixredukton (wenn ich das richtig im Kopfe habe), die früher oft noch als zusätzliche Hürde zur Entschlüsselung genannt wurde aber spätestens heute diese Funktion nicht mehr erfüllen kann, da schon kleine Großrechner in wenigen Tagen diese Aufgabe erledigen.
Wenn dir übrigens wirklich viel an der Sicherheit deiner verschlüsselten Daten gelegen ist, solltest du am besten GnuPG einsetzen. In Volker Grassmucks "Freie Sofware" (siehe
http://freie-software.bpb.de/) steht einiges zu den Vorteilen von GnuPG gegenüber PGP:
PGP weist zwei Probleme auf. Erstens steht es nicht unter der GPL. Das heißt, der Source Code ist zwar verfügbar, aber es ist nicht erlaubt, Modifikationen daran vorzunehmen und zu vertreiben, also zusätzliche Features einzubauen, Teile aus PGP zu entfernen, die man für Sicherheitsrisiken hält und Software bereitzustellen, die auf PGP basiert. Zweitens wurde PGP von Network Associates gekauft. Als kommerzielles amerikanisches Produkt unterliegtes den Exportbeschränkungen. Starkes PGP ab einer bestimmten Schlüssellänge darf nicht ausgeführt werden. Außerdem war Network Associates Mitglied der Key Recovery Alliance, einem Zusammenschluss von US-Firmen, der es ermöglichen soll, eine Key Recovery Infrastruktur nach den Vorstellungen der US-Regierung zu betreiben, die nur dann an eine Firma Aufträge vergibt, wenn sie Mitglied in der Key Recovery Alliance ist. Dann sind Network Associates wieder ausgetreten und wieder eingetreten. Phil Zimmerman behauptetzwar, es gäbe eine klare Position gegen Key Recovery, aber die Firma, der diese Software gehört, hat offensichtlich eine andere Meinung. In der jüngsten Entwicklung von PGP sind Features hinzugekommen, die sicherheitstechnisch bedenklich sind und die Rückwärtskompatibilität einschränken. Einerder Kritikpunkte betrifft das Corporate Message Recovery (CMR). Anders als beim firmenexternen Key Recovery, das die NSA anstrebt, wird dabei jede Mail an einen Angestellten einer Firma nicht nur mit dessen persönlichem öffentlichem Schlüssel, sondern auch mit dem seines Unternehmens verschlüsselt. Ziel ist, dass die Firma auch dann noch aufdie Korrespondenz dieses Mitarbeiters zugreifen kann, wenn er selbst nicht mehr zur Verfügung steht. Andreas Bogk (CCC) sieht darin die Unterscheidung zwischen der Lagerung und der Übertragung von Informationen verletzt.
"Eigentlich viel sinnvoller wäre es, einen Mechanismus einzubauen, der einensogenannten Storage Key verwendet. Das heißt, wenn etwas an mich geschickt wird, lege ich das mit einem Storage Key ab, auf den die ganze Abteilung Zugriff hat. Essind auch Verfahren denkbar, bei denen Abteilungsschlüssel existieren, mit denen jeweils zwei Personen aus der Abteilung zusammen die Mail eines dritten lesen können usw. Also, die Art, wie diese Corporate Message Recovery angewendet werden soll, ist nicht wirklich nachvollziehbar. Aber sie ist natürlich hervorragend dafür verwendbar, zu einem späteren Zeitpunkt eine Überwachung einzurichten, indem man einfach bestimmten Firmen vorschreibt, eine solche Corporate Message Recovery mit einem Schlüssel zu verwenden, der bei staatlichen Stellen hinterlegt ist."
Eine weitere bedenkliche Neuerung ist die Message-ID, die seit PGP-Version 5.0 unverschlüsselt im Header steht. Offiziell soll sie dazu dienen, eine Mail, die in mehreren Teilen verschlüsselt ist, wieder zusammenzusetzten, doch existiert für diese Aufgabe der technische Standard Multipart-MIME. Vollkommen unbegründet ist diese Message-ID in einer PGP-Message, die nur aus einem Teil besteht. Andreas Bogk (CCC) sieht darin einen weiteren Weg, über den eine PGP-Nachricht angegriffen werden kann.
"PGP ist ja ein Hybridverfahren, d.h., ich habe einmal ein Public Key-Verfahren, mitdem ein Session Key verschlüsselt wird. Mit diesem Session Key wird dann in einem klassischen symmetrischen Verfahren der Rest der Mail verschlüsselt. Die beiden Punkte, die ich angreifen kann, sind einmal das Public Key-Verfahren. Wenn ich es schaffe, aus dem Public Key den Secrete Key zu generieren, kann ich die Message lesen. Der zweite Punkt, den ich angreifen kann, ist der Session Key, der für den symmetrischen Schlüssel verwendet wird. Wenn ich den knacke, kann ich die Message auch lesen. Und diese Message-ID bringt nun einen dritten Angriffsweg mit. Der Session Key wird nämlich aus einem Entropie-Pool generiert. Da werden also Random-Informationen gesammelt, miteinander verhasht, und daraus wird der Session Key gewonnen. Und direkt nachdem der Session Key generiert wurde, wird diese Message-ID aus demselben Pool generiert. Da ist zwar ein Prozess dazwischen, der sich Whitening nennt und der mit Hilfe eines Hashing-Algorithmus verhindern soll, dass man daraus den Zustand des Pools zurückrechnet, aber erstens ist die Forschung auf dem Gebiet noch ein bißchen dünn und zweitens wird hier grundlosein weiterer Angriffsweg eingeführt."
Die oben angesprochenen Exportbeschränkungen gelten AFAIK nicht mehr, trotzdem bleibt vor allem das Argument mit den Message-IDs. Darüber hinaus ist es in der aktuellen PGP-Versin zwar AFAIK erlaubt in den Sourcecode zu sehen aber nicht daraus selbst das Programm zu kompilieren. Somit ist es nicht sicher, ob das erhaltene Binary auch wirklich aus dem vorliegendem Quelltext kompiliert wurde.
Ich benutze einen 4096-Bit und GnuPG und halte das für völlig ausreichend. Einige Freund evon mir benutzen paranoide Keys mit einer Schlüssellänge von 8192 Bit aber dann ein Windows-Betriebssystem, was ich für völlig widersinnig halte.
