RSA unsicher?

„RSA teil­weise geknackt“; „Online Sicherheit im Web nicht mehr gewähr­leistet“. Solche und andere Schlag­zeilen sind seit Februar dieses Jahres in den Medien zu finden. Was ist pas­siert? Ist die Kom­mu­ni­kation im Internet wirklich nicht mehr sicher?

Die sichere Kom­mu­ni­kation im Internet, die Basis vieler Geschäfts­mo­delle, wird sehr oft durch Ver­schlüs­selung mit dem RSA-Ver­­­fahren erreicht. RSA steht für die Namen der Erfinder dieses Ver­fahrens: Ron Rivest, Adi Shamir und Leonard Adleman. RSA ist ein asym­me­tri­sches kryp­to­gra­phi­sches Ver­fahren, das von den drei Erfindern als Alter­native und Kon­kurrenz zum Ver­fahren von Whit­field Diffie, Martin Hellmann und Ralph Merkle („Diffie-Hellmann“-Protokoll) ent­worfen und bereits 1977 ver­öf­fent­licht wurde.

RSA – was ist das?
Das RSA-Ver­­­fahren benutzt einen öffent­lichen und einen pri­vaten Schlüssel. Der öffent­liche Schlüssel wird zur Ver­schlüs­selung der Daten ver­wendet, welche dann nur noch mit dem geheimen pri­vaten Schlüssel lesbar gemacht werden können. Die Sicherheit der Methode beruht auf der soge­nannten „Ein­weg­funktion“. Die Ein­weg­funktion ist eine mathe­ma­tische Funktion deren Hinweg leicht, deren Rückweg aber schwierig zu berechnen ist. Beim RSA-Ver­­­fahren wird dafür im Prinzip die Prim­fak­tor­zer­legung ver­wendet. Die Mul­ti­pli­kation zweier Prim­zahlen ist einfach, die Zer­legung des resul­tie­renden Pro­dukts in seine Prim­fak­toren dagegen nur sehr auf­wändig zu berechnen.

RSA – wie sicher ist das?
In der Ver­gan­genheit gab es immer wieder Ver­suche die RSA-Ver­­­schlüs­­selung zu brechen. Vor allem auch Schwach­stellen in der Imple­men­tierung des Algo­rithmus boten immer wieder Angriffs­flächen. Für die Prim­fak­tor­zer­legung benötigt man bei genügend großen Zahlen mit den heu­tigen bekannten Mitteln auf­wändige und zeit­rau­bende Rechen­ope­ra­tionen. Es gibt aber keinen mathe­ma­ti­schen Beweis dafür, dass es sich dabei um ein prin­zi­piell schwie­riges Problem handelt. Und mit der stei­genden Rechen­leistung können immer größere Zahlen in Prim­fak­toren zerlegt werden. So wurde im Dezember 2009 eine Zahl mit 232 Stellen (768 Bits: RSA-768) mit großem Rechen­aufwand in ihre Prim­fak­toren zerlegt (Quelle).

Trotz dieser Erfolge glaubte man bisher mit einer großen Zahl (1024 Bits: RSA-1024 oder 2048 Bits: RSA-2048) noch sicher zu sein. Die Prim­fak­tor­zer­legung eines RSA-2048 – Schlüssels dauert mit den heute bekannten Mitteln mehr als eine Lebens­spanne.

RSA – neue Stu­di­en­ergeb­nisse
Mitte Februar dieses Jahres hat nun der nie­der­län­dische For­scher Arjen K. Lenstra eine Studie  ver­öf­fent­licht, bei der über 11 Mil­lionen öffent­liche RSA-Schlüssel unter­sucht wurden. Das Ergebnis der Studie: 99,8 % der Schlüssel sind in Ordnung. Im Umkehr­schluss heißt das aber, dass 0,2 % der Schlüssel unsicher sind. Immerhin betrifft das mehrere tausend RSA-Schlüssel mit 1024 Bit Schlüs­sel­länge (RSA-1024). Sogar einige 2048 Bit lange RSA-Schlüssel waren betroffen. Die Schwie­rig­keiten beginnen bei der Erzeugung der Prim­zahlen. Die erste Rechen­vor­schrift zur Erzeugung eines RSA-Schlüs­­sel­­paars lautet:

„Wähle zufällig und sto­chas­tisch unab­hängig zwei Prim­zahlen p ≠ q.“

RSA – wackelt die Sicherheit?
Das Problem liegt in den Worten „zufällig“ und „sto­chas­tisch unab­hängig“. Für einen Com­puter ist es nicht einfach eine wirklich „zufällige“ Zufallszahl zu erzeugen. Oft werden dazu „zufällige“ Infor­ma­tionen aus der Umgebung des Com­puters ver­wendet, zum Bei­spiel die Bewegung der Maus oder die Tem­pe­ratur des Pro­zessors. Wenn die Tem­pe­ratur der CPU oder die Maus­be­wegung aber nicht wirklich zufällig sind, ist die Her­stellung der Schlüssel unsicher und even­tuell sogar repro­du­zierbar.

Als Folge daraus gibt es dann RSA-Schlüs­­sel­­paare mit dem gleichen öffent­lichen Schlüssel. Der „Nachbar“ im Internet mit dem gleichen Schlüssel-Paar kann dann die eigentlich ver­trau­lichen und ver­schlüs­selten Daten mit­lesen. Das könnte fast alle HTTPS-Ver­­­bin­­dungen im Internet betreffen, also jeg­licher Daten­transfer der durch das Schloss-Symbol im Browser so sicher aus­sieht.

Sind die Schlag­zeilen aus der Presse also gerecht­fertigt, „wackelt“ das Internet so wie es DIE ZEIT in einem Artikel titu­lierte?

RSA — oder gibt es keine absolute Sicherheit?
Wie auch in der Quan­ten­physik so muss man auch in der IT-Sicherheit mit einer gewissen „Unschärfe“ leben. Ja, das Problem besteht – in Ein­zel­fällen. Es gibt natürlich auch viele sichere RSA-Schlüssel. Für einen ein­fachen Internet-Nutzer ist so eine unsi­chere von einer sicheren HTTPS-Ver­­­bindung nicht zu unter­scheiden, vor allem nicht am Schloss-Symbol im Browser. Und auch ein IT-Spe­­zialist kann einer Zahl nicht ansehen, ob sie zufällig erzeugt wurde. Und wenn dann wirklich zwei „zufällig“ erzeugte gleiche RSA-Schlüssel gefunden werden, gehört immer noch viel Wissen und kri­mi­nelle Energie dazu dies aus­zu­nutzen. Die von Lenstra gefun­denen „schwachen“ RSA-Schlüssel wurden übrigens – wenn möglich – den Eigen­tümern gemeldet.

Das zeigt auch wieder das IT-Sicherheit zu 100 Prozent nicht zu erreichen ist. Ein gewisses Rest­risiko, eine „Unschärfe“ bleibt.

Da das Thema Quan­ten­physik schon ange­sprochen wurde, sei an dieser Stelle ein kurzer Hinweis erlaubt: Wem diese vor­handene „unsi­chere“ Technik nicht genügt, sollte einen Blick auf die Quan­ten­com­puter werfen. Erste Ver­suche mit quan­ten­kryp­to­gra­phisch ver­schlüs­selten Über­tra­gungen sind erfolg­reich ver­laufen und ver­sprechen sichere Kom­mu­ni­kation. Viel­leicht erreicht man ja dadurch die 100 Prozent Marke.

Bild:  © Dieter Schütz / pixelio.de