Diffie-Hellman/Sicherheit

Sicherheit

Diffie-Hellman-Problem

Computational-Diffie-Hellman-Problem (CDH)

Angenommen, die Lauscherin Eve erfährt an der unsicheren Leitung die Zahlen ${\displaystyle p}$, ${\displaystyle g}$, ${\displaystyle A}$ und ${\displaystyle B}$, aber nicht die diskreten Logarithmen ${\displaystyle a}$ von ${\displaystyle A}$ und ${\displaystyle b}$ von ${\displaystyle B}$ zur Basis ${\displaystyle g}$. Mit der Kenntnis von ${\displaystyle a}$ und ${\displaystyle b}$ wäre es für sie eine leichte Aufgabe, den Schlüssel ${\displaystyle K=g^{ab}\ {\bmod {\ }}p}$ zu bestimmen. Die Zahlen ${\displaystyle a}$ und ${\displaystyle b}$ herauszufinden ist jedoch sehr schwer, wenn die Zahlen ${\displaystyle p}$, ${\displaystyle a}$ und ${\displaystyle b}$ sehr groß sind, beispielsweise Zahlen mit mehreren hundert Stellen im Dezimalsystem.^[1] Aus dieser Problemstellung ergibt sich das Computational-Diffie-Hellman-Problem:

Wenn ein Element ${\displaystyle g}$ einer Gruppe und die Werte ${\displaystyle A=g^{a}}$ und ${\displaystyle B=g^{b}}$ gegeben sind, welchen Wert hat dann ${\displaystyle K=g^{ab}}$, mit ${\displaystyle a,b}$ unbekannt ?

Da dieses Problem in bestimmten Gruppen nur mit enormem Rechenaufwand zu lösen ist, kann ein Angreifer aus den beiden beim Diffie-Hellman-Merkle-Schlüsselaustausch übertragenen Nachrichten nicht den erzeugten Schlüssel berechnen.

Das Diffie-Hellman-Problem ist eng verwandt mit dem Diskreter-Logarithmus-Problem. Diskrete Logarithmen zu berechnen ist die einzige bekannte Methode, um das DHM-Verfahren zu brechen. Solange dies nicht in vertretbarer Zeit lösbar ist, ist es für einen Angreifer unmöglich, den geheimen Schlüssel zu bestimmen. Es ist allerdings nicht bewiesen, dass dies tatsächlich die einzige Methode ist, ob also jemand, der das Diffie-Hellman-Problem lösen könnte, auch diskrete Logarithmen effizient berechnen könnte.^[2] Ueli Maurer hat gezeigt, dass beide Probleme zumindest unter bestimmten Voraussetzungen äquivalent sind.^[3]

Decisional-Diffie-Hellman-Problem (DDH)

Soll es für einen Angreifer unmöglich sein, aus den öffentlich verfügbaren Informationen irgendwelche Informationen über den transportierten Schlüssel zu gewinnen, muss das Decisional-Diffie-Hellman-Problem (DDH) unangreifbar sein. Dieses Problem lässt sich folgendermaßen beschreiben:

Ein Angreifer erhält drei Zahlen: ${\displaystyle A=g^{a}\ {\bmod {\ }}p}$, ${\displaystyle B=g^{b}\ {\bmod {\ }}p}$ und ${\displaystyle C=g^{c}\ {\bmod {\ }}p}$. Dabei wurden entweder ${\displaystyle a}$, ${\displaystyle b}$ und ${\displaystyle c}$ zufällig und gleichverteilt in ${\displaystyle \{0,...,p-2\}}$ gewählt oder ${\displaystyle c=ab\ {\bmod {\ }}p}$ gesetzt. Im zweiten Fall heißt ${\displaystyle (A,B,C)}$ Diffie-Hellman-Tripel. Der Angreifer muss entscheiden, ob ein solches Tripel vorliegt oder nicht. Kann er das nicht, ist es ihm unmöglich, aus ${\displaystyle g^{a}}$ und ${\displaystyle g^{b}}$ Rückschlüsse auf ${\displaystyle g^{ab}}$ zu ziehen.^[4]

Das Problem besteht also darin, bei gegebenem ${\displaystyle g^{a}\ {\bmod {\ }}p}$, ${\displaystyle g^{b}\ {\bmod {\ }}p}$ und ${\displaystyle g^{c}\ {\bmod {\ }}p}$ zu entscheiden, ob ${\displaystyle g^{c}=g^{ab}}$ ist.

Wer das Computational-Diffie-Hellman-Problem lösen kann, ist offensichtlich auch dazu in der Lage, das Decisional-Diffie-Hellman-Problem zu lösen. Für den umgekehrten Fall ist das nicht klar.

Bei einer Auswahl von ${\displaystyle g}$ als Primitivwurzel kann das Decisional-Diffie-Hellman-Problem angegriffen werden. Dies liegt in folgendem Theorem begründet:

Sei ${\displaystyle p}$ eine Primzahl, sei ${\displaystyle g}$ eine Primitivwurzel modulo ${\displaystyle p}$ und seien ${\displaystyle a,b\in \{0,...,p-2\}}$. Dann ist ${\displaystyle g^{ab}}$ genau dann ein quadratischer Rest modulo ${\displaystyle p}$, wenn ${\displaystyle g^{a}}$ oder ${\displaystyle g^{b}}$ ein quadratischer Rest ist modulo ${\displaystyle p}$.

Das Theorem folgt daraus, dass eine Potenz von ${\displaystyle g}$ genau dann ein quadratischer Rest modulo ${\displaystyle p}$ ist, wenn der Exponent gerade ist.^[2]

Ein Angreifer kann also prüfen, ob das Kriterium aus diesem Theorem erfüllt ist. Er kann zwar nicht immer entscheiden, ob ein Diffie-Hellman-Tripel vorliegt, er antwortet aber zu 75 % richtig. Sein Vorteil gegenüber reinem Raten beträgt also 50 %.^[5]

Wahl der öffentlichen Zahlen

DHM-Primzahl p

Die Sicherheit des Verfahrens basiert nicht zuletzt auf der Länge der gewählten Zahlen. So muss die Primzahl ${\displaystyle p}$ dermaßen gewählt werden, dass diskrete Logarithmen modulo ${\displaystyle p}$ mit derzeit bekannten Methoden nicht (effizient genug) berechnet werden können. Je größer die verwendete Primzahl, desto sicherer das Verfahren, aber auch desto aufwendiger.^[6] Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt im Fall eines Einsatzzeitraum[s] über das Jahr 2022 hinaus für ${\displaystyle p}$ eine Schlüssellänge von mindestens 3000 Bit (Stand 2017).^[7]

Die DHM-Primzahl ${\displaystyle p}$ muss zudem so gewählt werden, dass Algorithmen zur Berechnung des diskreten Logarithmus kein leichtes Spiel haben. So muss beispielsweise vermieden werden, dass ${\displaystyle p-1}$ nur kleine Primfaktoren hat. Ansonsten kann nämlich der Pohlig-Hellman-Algorithmus angewandt werden, der nicht von der Gruppenordnung, sondern vom größten Faktor der Gruppenordnung abhängt. Außerdem sollte ${\displaystyle p}$ für das Zahlkörpersieb möglichst ungeeignet sein. Dies ist der Fall, wenn es ein irreduzibles Polynom vom Grad 5 gibt, das sehr kleine Koeffizienten und eine Nullstelle ${\displaystyle {\bmod {\ }}p}$ hat.^[8]

„Generator“ g

Die Zahl ${\displaystyle g}$ sollte so gewählt werden, dass alle Zahlen zwischen ${\displaystyle 1}$ und ${\displaystyle p-1}$ als Resultat der modularen Potenz ${\displaystyle g^{a}\ {\bmod {\ }}p}$ in Frage kommen. Erst dann ist es zu aufwändig, alle Zahlen durchzuprobieren (wenn darüber hinaus die Primzahl ${\displaystyle p}$ groß genug gewählt worden ist). Diese Eigenschaft erfüllt die Zahl ${\displaystyle g}$, wenn sie ein Primitivwurzel zum Modul ${\displaystyle p}$ ist, d. h. ein Erzeuger der Gruppe ${\displaystyle \mathbb {Z} _{p}^{*}}$.^[9] Wenn Alice und Bob beispielsweise ${\displaystyle g=1}$ wählen, so funktioniert das Verfahren zwar noch immer, doch der Schlüssel ${\displaystyle K}$ ist auf jeden Fall ${\displaystyle 1}$, denn ${\displaystyle 1}$ ist genau der Generator der Untergruppe von ${\displaystyle \mathbb {Z} _{p}^{*}}$ mit einem Element. Ähnlich unsicher ist das Verfahren, wenn Alice und Bob für ${\displaystyle g}$ einen Generator einer anderen kleinen Untergruppe wählen. Bei einem Generator einer großen Untergruppe ist das Verfahren sicherer, am besten wird ein Generator der ganzen Gruppe gewählt.^[10]

Wie im Abschnitt „Prime Restklassengruppe und Primitivwurzel“ gezeigt, lässt sich eine Primitivwurzel relativ leicht finden, wenn man die DHM-Primzahl als ${\displaystyle p=2\times q+1}$ mit einer Primzahl ${\displaystyle q}$ wählt. Wie jedoch im vorherigen Abschnitt gezeigt, kann das Decisional-Diffie-Hellman-Problem angegriffen werden, wenn man ${\displaystyle g}$ als Primitivwurzel wählt.

Vorlage:Zitat

Verwendung fester Gruppen und Primzahlen

Da die Erzeugung sicherer Primzahlen rechenaufwendig ist, verwenden viele Implementierungen eine feste Primzahl ${\displaystyle p}$.^[11] Einige Netzwerkprotokolle wie etwa Internet Key Exchange geben eine Liste von möglichen Gruppen und deren Primzahl vor.

Die Verwendung fester Gruppen und Primzahlen kann ein Angreifer ausnutzen, um einen Großteil der Berechnung zum Brechen des diskreten Logarithmus vorab durchzuführen und um mehrere Ziele gleichzeitig anzugreifen. Der Zahlkörpersieb-Algorithmus besteht aus vier Schritten, wobei die ersten drei Schritte lediglich die Primzahl ${\displaystyle p}$ benötigen. Ist ${\displaystyle p}$ bekannt, kann ein Angreifer somit den Großteil vorberechnen und die Ergebnisse für jeden auf ${\displaystyle p}$ basierenden Schlüsselaustausch wiederverwenden. Dadurch kann zum Beispiel der Logjam-Angriff in TLS, nach einer einwöchigen Vorberechnung, einen 512-Bit-DHM-Schlüsselaustausch in rund 70 Sekunden brechen.^[11]

Nach Schätzungen eines Forscherteams kann ein Angreifer mit Vorberechnung der 10 häufigsten 1024-Bit-Primzahlen den Netzwerkverkehr von 66 % der VPNs, 26 % der SSH-Server, 16 % der SMTP-Server und 24 % der HTTPS-Websites im Internet entschlüsseln. Die Forscher schätzen, dass der Rechenaufwand zum Brechen von 1024-Bit-Diffie-Hellman von einem staatlichen Angreifer wie der National Security Agency aufgebracht werden kann.^[11]

Man-in-the-Middle-Angriff

Man-in-the-Middle-Angriff

Der Diffie-Hellman-Merkle-Schlüsselaustausch ist nicht mehr sicher, wenn der Angreifer bei einem Man-in-the-Middle-Angriff Datenpakete verändern kann. Im Alice-und-Bob-Modell heißt ein solcher Angreifer, der aktiv in das Geschehen eingreifen kann, Mallory (von engl. malicious, dt. i. e. hinterhältig, heimtückisch). Mallory fängt bei einem Man-in-the-Middle-Angriff die von Alice und Bob gesendeten Nachrichten ab und sendet stattdessen jeweils seine eigene Nachricht

${\displaystyle Z=g^{z}\mod p}$

weiter, die er aus einer beliebigen Zahl ${\displaystyle z}$ und den öffentlich bekannten Zahlen ${\displaystyle g}$ und ${\displaystyle p}$ berechnet.

Nach dem Schlüsselaustausch besitzen die beiden Kommunikationspartner Alice und Bob unterschiedliche Schlüssel ${\displaystyle K_{A}}$ und ${\displaystyle K_{B}}$. Im Prinzip wurde zweimal ein DHM-Schlüsselaustausch durchgeführt: einmal zwischen Alice und Angreifer Mallory und einmal zwischen Mallory und Bob. Dabei erlangt Mallory Kenntnis der beiden Schlüssel ${\displaystyle K_{A}}$ und ${\displaystyle K_{B}}$.

${\displaystyle K_{A}=Z^{a}{\bmod {p}}=(g^{z})^{a}{\bmod {p}}=(g^{a})^{z}{\bmod {p}}=A^{z}{\bmod {p}}}$

${\displaystyle K_{B}=Z^{b}{\bmod {p}}=(g^{z})^{b}{\bmod {p}}=(g^{b})^{z}{\bmod {p}}=B^{z}{\bmod {p}}}$

Da Alice und Bob im weiteren Verlauf davon ausgehen, mit dem jeweils Anderen zu kommunizieren, kann Mallory die folgende symmetrisch verschlüsselte Kommunikation abhören. Diese leitet er dazu weiterhin über sich selbst um. Daten von Alice entschlüsselt Mallory mit ${\displaystyle K_{A}}$ und verschlüsselt sie wieder mit ${\displaystyle K_{B}}$, bevor er sie an Bob weiterschickt. Dabei kann Mallory den Nachrichteninhalt sowohl lesen als auch unbemerkt verändern. Die gleiche Vorgehensweise wendet er auch für die Gegenrichtung an.

Um einen solchen Man-in-the-Middle-Angriff auszuschließen, müssen die ausgetauschten Nachrichten authentifiziert werden. Dazu wird ein Informationsvorsprung benötigt, der über einen authentifizierten Kanal erreicht wird.^[12]

Seitenkanalangriffe

Ein Seitenkanalangriff bezeichnet eine kryptoanalytische Methode, die die physische Implementierung eines Kryptosystems in einem Gerät (z. B. einer Chipkarte, eines Security-Tokens oder eines Hardware-Sicherheitsmoduls) oder in einer Software ausnutzt. Dabei wird nicht das kryptographische Verfahren selbst, sondern nur eine bestimmte Implementierung angegriffen. Das Prinzip beruht darauf, ein kryptographisches Gerät bei der Ausführung der kryptologischen Algorithmen zu beobachten und Korrelationen zwischen den beobachteten Daten und dem verwendeten Schlüssel zu finden.

Zeitangriff

Im Jahr 1995 veröffentlichte Paul Kocher eine neuartige Methode, mit der es ihm gelang, Implementierungen von Diffie-Hellman, RSA und DSA zu brechen: der Zeitangriff (timing attack).^[13]

Ziel des Zeitangriffs ist die diskrete Exponentialfunktion. Wenn eine Krypto-Implementierung ${\displaystyle g^{a}\ {\bmod {\ }}p}$ für irgendwelche größeren Zahlen ${\displaystyle g}$, ${\displaystyle a}$ und ${\displaystyle p}$ berechnet, dann geschieht dies fast immer mit dem Square-and-Multiply-Algorithmus. Bei diesem ist für jedes Bit von ${\displaystyle a}$ eine Aktion festgesetzt: Hat das gerade bearbeitete Bit den Wert ${\displaystyle 1}$, dann ist diese Aktion eine Multiplikation, ansonsten eine Quadrierung. Da die Rechenzeiten für die Multiplikationen länger dauern als für die Quadrierungen, kann Eve aus Zeitmessungen Rückschlüsse auf die Zahl der Einsen in ${\displaystyle a}$ ziehen. Variiert er die Zahl ${\displaystyle g}$, reichen irgendwann die Informationen aus, um ${\displaystyle a}$ zu berechnen. Schon mit einigen Tausend Zeitmessungen lassen sich entsprechende Implementierungen mit 1024-Bit-Schlüsseln brechen.^[14]

Um solche Zeitangriffe zu verhindern, müssen jedoch bei der Implementierung lediglich Verzögerungen in den Ver- bzw. Entschlüsselungsprozess eingebaut werden. Mit dem als Blinding genannten Verfahren wird zum Beispiel an einer Stelle des Verfahrens eine Zufallszahl eingerechnet, die an anderer Stelle wieder herausgerechnet wird. Eine andere Möglichkeit besteht darin, den Prozess so zu gestalten, dass er unabhängig vom Eingabewert immer gleich lange dauert.^[15]

Stromangriff

Im Jahr 1998 stellten Paul Kocher, Joshua Jaffe und Benjamin Jun erstmals das Konzept des Stromangriffs vor.^[16] Bei Stromangriffen wird nicht nur die Verarbeitungszeit gemessen, sondern mit einem Oszilloskop auch der Stromverbrauch. Besonders Smartcards sind gegenüber Stromangriffen anfällig, da diese auf eine externe Stromversorgung angewiesen sind. Ein Angreifer misst die Ver- und Entschlüsselungsvorgänge und versucht bestimmte Stellen der Stromverbrauchskurve einzelnen Bestandteilen des Verfahrens zuzuordnen. Auch hier ist der Square-and-Multiply-Algorithmus ein geeignetes Ziel, da sich bei diesem Multiplikationen und Quadrierungen am Stromverbrauch oft gut unterscheiden lassen. Stromangriffe sind etwas aufwendiger in der Durchführung als Zeitangriffe, gelten jedoch als wirkungsvoller.^[17]

Als Gegenmaßnahme gegen Stromangriffe kann der Hersteller von Krypto-Modulen den Stromverbrauch verschleiern, indem er Dummy-Operationen in einen Ver- bzw. Entschlüsselungsvorgang einbaut. Eine weitere Möglichkeit besteht darin, ein künstliches Stromrauschen zu erzeugen, das den eigentlichen Stromverbrauch überlagert.^[18]