Sicherheit: Verschlüsselung:
Forscher knacken RSA-Verschlüsselung mit 1024 Bit
Mitarbeiter der University of Michigan haben eine Schwachstelle in der Verschlüsselungstechnik von RSA entdeckt. Sie erlaubt es, das Authentifizierungsverfahren des Herstellers auszuhebeln.
Drei Wissenschaftler der Uni Michigan (US-Bundesstaat Illinois) haben nachgewiesen, dass das Verschlüsslungs- und Authentifizierungsverfahren von RSA [1] eine Sicherheitslücke aufweist. Details dazu sind in dem Aufsatz Fault-Based Attack of RSA Authentication [2] nachzulesen.
Das zugebenermaßen etwas verwirrende Schema, nach dem die Forscher der Universität Michigan den RSA-Private-Key ermittelten
RSA führte das Verfahren im Jahr 1978 ein. Es basiert auf öffentlichen und privaten Schlüsseln (Public und Private keys). Der private Schlüssel hat eine Länge von 1024 Bit und galt bislang als unknackbar. Zum Vergleich: Das AES-Verfahren (Advanced Encryption Standard) verwendet Keys mit maximal 256 Bit.
Den drei Fachleuten gelang es nun, den 1024 Bit langen Private Key zu ermitteln. Das dauerte nach Angaben der Forscher rund 100 Stunden.
Ansatzpunkt OpenSSL
Sie nutzen dazu eine nach ihren Angaben »schwer wiegende Schwachstelle« in der Implementierung des RSA-Algorithmus in OpenSSL. Diese weit verbreitete Open-Source-Software bietet Funktionen für die Verwaltung von Zertifikaten und die Verschlüsselung.
Um den Schlüssel zu ermitteln, manipulierten sie zudem die Stromversorgung des Zielsystems, auf dem sich der Key befand. Dies provoziert kleinere Fehlfunktionen des Chips, der für das Ver- und Entschlüsseln zuständig ist. Die Daten, die dabei offengelegt werden, lassen sich auslesen und für die Rekonstruktion des Private Key verwenden.
Die Forscher testeten den Ansatz bei einem Server mit Sparc-Prozessor und dem Betriebssystem Linux. Sie sammelten laut ihrem Bericht an die 10.000 Signaturen, aus denen sie den 1024-Bit-Schlüssel zusammensetzten. Dies dauerte 104 Stunden.
Allerdings haben die Experten auch eine Lösung für das Problem entwickelt. Sie basiert auf Zufallszahlen, die zum Erstellen des Private Key herangezogen werden.
[1] http://www.rsa.com/
[2] http://www.eecs.umich.edu/%7Evaleria/research/publications/DATE10RSA.pdf
» Newsletter abonnieren
Täglich aktuelle News und Hintergründe für Fachhändler, ITK-Hersteller, Distributoren und aus der Online-Welt.
» Tipp der Redaktion
Das sind die Top-Notebooks
Auf der Suche nach neuen Notebooks sieht man oft den Wald vor lauter Bäumen nicht. Unsere Kollegen von der PC Go haben daher die besten Geräte für Sie getestet.
NEC prämiert die schönste Installation
Einen Fotowettbewerb der etwas anderen Art startet NEC Display Solutions für seine Partner. Unter dem Motto »Application Picture Competition« können NEC-Partner Bilder einsenden, die NEC-Produkte im Einsatz zeigen. Für die kreativsten Fotografen winkt als Preis ein iPhone.
SAP will den Cloud-Anbieter Ariba übernehmen
Der Softwareanbieter SAP steht vor einem weiteren großen Zukauf im SaaS-Segment: Für 4,3 Milliarden Dollar wollen sich die Walldorfer den kalifornischen Beschaffungsspezialisten Ariba einverleiben und das Cloud-Geschäft auf diese Weise ausbauen.
» Bilderstrecken
» Meistgelesene News
So sexy sind Deutschlands Bäuerinnen
Vor kurzem war es wieder soweit: Die Macher des Deutschen Bauernkalenders suchten nach den schönsten Botschafterinnen für die Landwirtschaft. Die ansprechendsten Bewerberinnen kamen zum Casting nach München und Hamburg. Wir zeigen Ihnen die besten Bilder der Vorauswahlen in unserer Bilderstrecke ...
Massenentlassungen bei HP geplant
Der Rückgang der PC-Nachfrage und die Zusammenlegung von PC-und Druckersparte haben einschneidende Konsequenzen für die Mitarbeiter von HP. Es sollen laut Medienberichten 30.000 Mitarbeiter entlassen werden.