 Dankeschön. Vielen Dank. Vielen Dank fürs Kommen. Es ist ein mathematischer Vortrag und danke, dass so viele kommen für so einen Vortrag, der so früh am Morgen ist. Es ist mehr eine To-Do-List, die ich heute mit euch durchgehen werde, als jetzt wirklich wirklich vorhin. Ich bin glücklich, dass so viele Leute Krypto-Parties machen und deswegen versuche ich jetzt, die Aufmerksamkeit auf einen weiteren Krypto-Event zu lenken. Und ich möchte ein paar Bemerkungen darüber verlieren. Also, fangen wir mal an. Wir hatten eine Situation, die etwas überraschend war, dass in der Edward Snowden-Diskussion von Edward Snowden ein Statement kam, nämlich, dass Krypto funktioniert. Und das ist keine schwarze Magie, sondern es ist eine Technik. Eine einfache grundlegende Möglichkeit ist sich, gegen die dunklen Ecken im Internet zu schützen. Man braucht also keine Leute mit komischen Huten, sondern es ist keine Magie, es ist einfach Mathematik. Und es ist sehr schöne Mathematik. Und um es als Wissenschaftler zu sagen, mein Standpunkt als Wissenschaftler, ist, dass wenn man Krypto richtig verwendet, dann kann man sie sicher... Dann kann man sie unsere Welt verändern. Wenn man in einer Welt, wo die Sicherheitsgewählten alles zuhören und an denen alles egal ist, dann ist diese Sache viel wichtiger. Wenn man mit ASE verschlüsselt, ein Nachricht versendet und NSA dazuhört, dann kann sie nur sagen, wo sehr schönes Zufall zahlen. Und es ist eine dramatische Spieländerung. Es sind kryptografische wissenschaftliche Sachen. Unsere Arbeit wurde so wichtig, dass wir wirklich gut darüber nachdenken sollen, was sind die sozialen Folgen unserer Arbeit. Und wir sind sehr froh, dass meine Arbeit ist in einem Bereich, wo wissenschaftlicher Fortschritt wirklich den ärmeren, den schlechten oder dargestellten Personen hilft. In den meisten wissenschaftlichen Feltern, wenn man etwas Neues entwickelt, dann hilft es meistens den wichtigen Leuten. Aber in kryptografischen hilft es wirklich den Leuten, gegen sehr kräftige oder sehr mächtige Leute zu verteidigen. Sehr kräftige Angreifer umgehen kann. Auch in unserer SIM-Karte, in unserem Handy kann Verschlüsselung mit einem sehr einfachen Algorithmus das Geheimagenten nicht diese Kommunikation zu greifen kann. Um sehr klar darüber zu sein, Kryptografie löst nicht alle Probleme. Also der wichtigste Grund ist darüber zu reden, wie wir die Kryptografie in einer Art und Weise benutzen können, wo die Geheimagenten alles mitschreiben. Wir müssen etwas veröffentlichen, die die schwächeren Leute hilft, die Möglichkeit zu geben, mit diesen Geheimagenten umzugehen oder den gegenzutreten. Und die Situation ist nicht so schlecht. Es wird viel besser. Also vor zwei Jahren zum Beispiel hatten wir viele Felder, wo wir Kryptografen viel Arbeit machen müssen. Aber in manchen Feldern haben wir wirklich gute Erfolge gehabt hat in der letzten Zeit und viel besser. Viele unserer Veröffentlichungen sind jetzt in Internetstandards verwendet werden. Der wichtigste Punkt, den ich jetzt ansprechen möchte, ist, dass wir schlechte Kryptografie verbinden müssen, der schwache Kryptografie. Es entfällt, wo wir wirklich die ganze Spiel verändern können. Es wäre eine richtige Stelle klicken. Und zum Beispiel erst sie vor auszuschalten, ist eine häufige Lösung, das Problem zu umgehen. Oh, das ist nicht okay. Ich liebe mein Linux. Das zweite Teil ist Hedgefunktionen. Das ist eine schlechtere Situation, aber auch in diesem Feld würden wir Verbesserungen gemacht. Also ein Problem fehlt, wo ich auch schon seit langerweilen drüber rede, sind elektrische Kurven-Kryptografie. In dieser Situation haben wir ein riesiges Durcheinander. Dieses Durcheinander ist von dem Nationalen Institut der Standards, also einer amerikanischen Standardisierungsorganisation, die eine Hintertür einstandisiert hat. Die sehr einfach zu finden ist. Und dann müssen Sie damit arbeiten, dass niemand in mehr vertrauten in elektrischen Kurven und Kryptografien ist. Es ist viele kritische Parameter. Und wenn man nicht den Parametern, die Institutionen diese Parameter uns zur Verfügung stellt, einfach nicht vertraut, dann haben wir ein großes Problem. Ein elektrische Kurven ist etwas, wo viele interessante Forschungen passiert. Und es entfällt, wo ich auch viel Angst um habe. Der letzte zwei Punkte sind Post-Quantum-Kryptografie, über die wir nachdenken müssen. Das war jetzt drüber nachdenken müssen. Ich weiß noch nicht wirklich, wann und wie die Angreifer-Quantum-Kryptografie einsenden können. Aber die Ingenieurs Gedanken, die ich habe, ist es gut, sicher zu sein. Es ist besser, sicher zu sein, als später sich vorbei zu sein. Also wir müssen jetzt Geld daran tun, dass komische Mathematiker, komische Algorithmen entwickeln, dass wir damit besser arbeiten können, wenn die Quantum-Kryptografien ein wirkliches Problem darstellen. Um es einfach zu machen, ein einfaches Beispiel zu machen. Quantum-Kryptografien würden viele, nicht nur ASE und Diffie-Helmen zerstören, aber auch in einem früheren Stadion aller elektrischen Kurven-Kryptografie umgehen. Da müssen wir dort Arbeit reinstecken. Und ich möchte noch ein bisschen optimistische Informationen geben. Wir haben ein paar soziale Protokolle und ein paar weitergeleitete Kryptografie, die sehr hilfreich sein könnte, eine G-Bung zu entwickeln, wo man gut digital kommunizieren kann. Also wie können wir schlechte Kryptografie vernichten in unserer Zeit? Ich habe letztes Jahrtausend darüber geredet und über Windersicherheit geredet. Heute Abend haben wir heute eine Windersicherheitssache und ein großes Teil des Patch-Disasters kommen wirklich von den alten kryptografischen Krieg. Wir verlieren, wir benutzen sehr schlechte Haschfunktionen und das ein sehr interessanter Punkt, dass selbst weggehen von schlechten Verschlüsselungsverfahren führt immer noch zu Problemen. Schlechte, symptomatische Kryptografie kann man sehr einfach umgehen. Wir sollten es einfach nicht benutzen. ASCIV sollte nicht mehr benutzt werden. Das sind sehr alte Anfrage der Wissenschaftler, die jetzt auch in Internetstandards angekommen sind, wo das verboten wird. Und das ist eine gute Sache. Wenn man die Geschichte schaut von ASCIV, dann ist es eine tolle Idee von einem Träumacher. Aber von einem Ingenieurregion ist es zu elegant, um es wirklich sich jetzt zu machen. Und wissenschaftliche Research, in das die Ängste, die wir gesagt haben, kurz nach Snowden-Veröffentlichung, ist die Idee, dass die NSA-RC4-Einbrechenkern in der Zeit könnte wirklich funktionieren. Da benutzt nicht RC4. Wir haben andere Kryptografien wie zum Beispiel AIS, aber da gibt es zwar auch Probleme, aber die sind noch nicht benutzbar. Also ich würde AIS 256 benutzen, andere sagen 128 ist auch eine gute Lösung. Aber ich habe in der Meinung, dass wenn man ein paar Prozessorzyklen dafür benutzen kann, längerer Schlüssel ist eine sehr gute Idee. Und um einen kleinen Hacker zu machen, wenn man nicht AIS vertraut, dann gibt es von einem mathematischen Anreiferstandpunkt noch die Idee, dass man zwei Systeme kombinieren kann, dass der Anreifer beide einbrechen muss, zumindest das härtere. Und wenn man diese zwei Zahlfahren mit XOR benutzen kann, dann muss der Anreifer beide oder zumindest den Stärkern der beiden Algorithmen einbrechen. Und wenn man eine kommunative Erlösung hat, dann muss der Anreifer beide benutzen kann, wenn man es ordentlich XORt, also mit exklusivem Oder verknüpft. Und es ist witzig, dass es einen Punkt gab, wo ich war nicht sicher, ob ich zu paranoid war, um das zu sagen, um TrueFish und AIS-Verschüsselung zu benutzen. Aber es ist interessant zu sehen, dass es auch eine benutzen in TrueCrypt benutzt wurde. Und ich war sehr interessant, dass Edward Snowden und Bruce Snyder darüber diskutiert haben, wie man das benutzt. Bruce Snyder hat weitergegen. Ich habe die Angst, dass er vielleicht richtet, aber auf der anderen Seite bin ich sicher, dass die Konstruktion, die erfolgreich getestet wurde von mir und anderen Wissenschaftlern, ein gutes Gefühl verbreiten wird. Entschuldigung, so. Der nächste Punkt ist ein bisschen ängstereinflößend. Ich habe häufig gesehen, um besseren Leute zu sagen, aber ich werde ein paar Hintergrundinformationen geben. Wir haben in Deutschland die Situation, dass Schaar 1 und MD5 kaputt ist in einer Art und Weise, dass man es eingreifen kann erfolgreich mit einem Standardcomputer. Das ist kaputt. MD5 ist sehr bekannt, aber auch in Sprech von Schaar 1 in den letzten Jahren wurde gezeigt, dass diese Angreifen sehr möglich sind. Vor ein paar Jahren war eine Präsentation von Applebaum und anderen Wissenschaftlern. Die haben gezeigt, dass man die Zertifizierungsgebung von einer Organisation, die MD5 benutzt, angreifen kann. Dann kann man dieselbe Sache funktionieren mit Schaar 1. Das ist ein signifikantes Problem. Wie signifikant ist es? Ich habe einen Vortrag über Windows 10 heute Abend gegeben. Und jetzt März gab es ein Update in Microsoft, die von Schaar 1 entwecken wollte. Es ist jetzt seit 20 Jahren, dass wir eine komplett kaputte Funktion benutzen. Jetzt haben wir eine sehr interessante Situation, dass Schaar 1 wurde von der NSA entwickelt. Das ist auch eine interessante Geschichte. Die Seilen von der NSA wurden vorgetragen und haben gesagt, wir haben etwas vergessen und haben eine Umdrehung hineingemacht. Das System wurde stärker, aber es wurde kein Beispiel gegeben. Wir benutzen eine NSA-Funktion, wo wir, ich bin ziemlich sicher, dass nur wenige Felder sind, wo die NSA einen Vorteil über die öffentliche Leute wissen hat. In hash Funktionen wäre das vielleicht möglich, wenn man die Statsnex analysiert und findet Technologien, die sehr interessant sind. NSA hat sehr starke Kryptografie benutzt, sowohl zum Anzugreifen, wo es nicht notwendig gewesen wäre. Sie haben wirklich gezeigt, dass sie Werkzeuge haben, die noch nicht praktisch notwendig waren. Also kann ich nur wirklich sagen, dass hash Funktionen ein Feld ist, wo viel oder schlechte Erwissenschaften innerhalb der NSA durchgeführt wurden. Aber ich erzähle diese Geschichte, weil diese hash Funktion, die Heuseteige von Microsoft benutzt wird, Schar 256 ist auch von der NSA entwickelt worden und hat ähnliche Designs wie Schar 1. Die witzige Sache ist, dass das NIST gesagt hat, dass eine Schad 3-Kompition nötig ist, weil sie Angst hat, dass jemand Schad 256 brechen würde. Es ist seit Jahren kein Erfolge gewesen, aber wir haben jetzt eine Schad 256-Ersatz, aber Schad 3 wurde noch nicht ausreichend analysiert. Also habe ich auch ein bisschen Angst drum. Sonderweise habe ich Ihnen erzählt, dass es manchmal eine komische Situation, die ich gemacht habe. Wenn man etwas nicht versteht, wie sicher es wirklich ist, ist es einfach doppelt zu machen. Schad 256 ist ein der Hauptalgorithmen in Bitcoin. Und die witzige Sache ist, in Bitcoin, bei der Kryptograf, bei Bitcoin, auch sehr paranoid war, benutzen sie ist doppelt. Und selbst wenn man Probleme mit Schad 256 hat, die Leute von Bitcoin, hat es einfach doppelt gemacht. Und da ist ein Fall von Bitcoin-Sicherheitsabereich noch deutlich größer. Selbst die NSA könnte wahrscheinlich nichts dagegen machen. Es ist eine sehr gute Situation. Leute, Sachen könnten vielleicht besser werden. Schad 3, die Schad 3-Funktion ist neu, die in der offenen Konzentration gestellt wurde mit guten Erklärungen. Es gab ein paar Probleme mit potenzieller NIST-Bereinflussung und im Schad 3-Prozess. Aber hauptsächlich die meisten Kritikpunkte wurden adressiert von der NIST und Schad 3 könnte eventuell eine gute Idee sein. Also ein komplett anderes Design als Schad 1 sind MD5 und Schad 256, aber es war auch eine Anforderung von dieser Kompetition, dass die eine komplett andere Design hat als bisherige. Und das ist eine sehr interessante Idee. Insofern könnte ich sagen, Schad 3 könnte die beste Lösung sein, aber es ist ein Weg, eine sehr, sehr neue Funktion und eine sehr, sehr neue Hash-Funktion, die rubbspringt. Und wir sollten wirklich diese neue Sachen ordentlich analysieren. Aber im Moment würde ich wirklich vorschlagen, Schad 3 zu benutzen. Okay, dann kommen wir jetzt zum ECC, Desaster. Die Frage ist, wie wir damit umgehen. Es geht jetzt um politische Kurven. Ein Problem, was ich im Moment habe, wir haben NIST erwischt, dass es eine Backdoor gibt, eine Hintertür gibt. Und zwar eine ziemlich gut gemachte Hintertür. Das heißt, wir können NIST nicht mehr trauen über elliptische Kurven trauen. Es ist soweit, es gibt eine Hintertür und das war es. Das heißt, wir müssen neu an den Vertrauen arbeiten. Die gute Nachricht ist, dass es auch eine mathematische Lösung geben könnte für dieses Problem. Aber im Moment mit den Kryptografien auf elliptischen Kurven ist momentan ganz wichtig, dass die Parameter, die man verwendet, keinen Hintertür zulassen. Das ist eine offizielle Anforderung an die Kryptografie mit elliptischen Kurven. Und wir müssen sehr viel Forschung reinstecken, um das auszuschließen. Wir müssen wirklich sicher sein, dass die Parameter so konstruierend, dass sie keine Hintertür zulassen. Warum brauchen wir überhaupt diese Standardisierung? Elliptische Kurven sind sehr kompliziert. Und es gibt noch ein anderes Forschungsgebiet, ungefähr 100 Patterns. Es ist nützlich, dass jemand anderes nochmal alle diese Patterns durchgeht. Die NIST kümmert sich um ziemlich viele dieser Probleme. Und wenn man ... Man sagt, ich kümmere mich nicht um diese komischen Mathematiker, die sagen, elliptische Kurven sind nicht sicher genug. Da muss man trotzdem sagen, man nutzt trotzdem standardisierte Kurven, wenn man keine legalen, nicht vor Gericht gezerrt werden möchte, wegen Patentin-Problemen. Also, die meisten Patente in den elliptischen Kurven sind ... Die meisten von denen sind komplett sinnfrei und witzig, aber es sollte nicht patentierbar sein. Aber wir brauchen gute Diskussion, wie man mit solchen Patenten umgehen kann. Und wie ich schon gesagt hatte, wir brauchen elliptische Kurven und Standardisierung auch für dieses Problem, dieses Problem zu lösen. Auf der anderen Seite haben wir gute Nachrichten. Es wird viel Wissenschaft in der Europäischen Union dabei gemacht, wie man elliptische Kurven umsetzen kann. Es gibt aber auch sehr gute Arbeit von Brandpool. Und wir können zu einem Platz gehen, wo wir auch europäische Standardisierungsversuche haben. Es wurde viel Arbeit von der europäischen kryptografischen Kommunität reingesteckt. Wir müssen sie nun standardisieren. Noch eine Anmerkung ist, man sollte sehr gut auf Bruce Schneider Arbeit schauen. Der sagt seit 20 Jahren, wir sollten so gut benutzt für elliptische Kurven dort benutzen, wo wir sehr limitiert sind. Also, benutzt Reben oder AES und die sind sehr unterschiedlich, sind sehr gut verteidigt gegen Faktorisierung. Das haben wir seit Jahrzehnten verstanden haben, dass es sehr einfach zu implementieren ist. Selbst der Schüsselgeneration ist sehr einfach. Wir können in einer Unterrichtsstunde zeigen, wenn wir die kryptografischen Kurse in der Universität benutzen. Das ist ein sehr einfacher Beispiel. Wir brauchen ungefähr 40, 50 Minuten, um zu erklären, wie AES-Schüsselgeneration zu meinen Studenten funktioniert. Die erste elliptische Kurve-Diskussion habe ich vor mehr als 10 Jahren gemacht. Aber ich verstehe sie immer noch nicht so gut in den letzten 20 Jahren. Das ist eine große Menge von Parametern, das sind sehr kritische Parameter. Selbst wenn wir es seit 20 Jahren daran forschen und über ein Namba-Theorie daran arbeiten, müsste man es immer noch sehr vorsichtig benutzen. Jeder, der die elliptischen Kurven wirklich versteht, versteht, warum Leute es nicht unbedingt benutzen sollen. Es ist eine sehr interessante Idee, dass wir trotzdem noch die Wissenschaft in diesem Feld fördern. Es ist eine Region, wo mehr Geld auf die Wissenschaft geschmissen werden soll. Die elliptische Kurve ist eine sehr wichtige in einem Bereich von Feldern, wo wir sehr limitierte Umgebungen haben. Im Internet ist es wichtig, gute elliptische Kurven zu haben. Wenn man aber ein Handy hat, den anderen Element sollte ich sagen, dass wir noch bei das E bleiben sollten, 2096 oder noch längere Schlüssel. Auch die Schlechtnissen, die ISTC-Internationsanalyse werden zeigen, dass zum Beispiel beim Überprüfen von AES-Signaturen mit einem sehr kleinen öffentlichen Exponenten, bin ich nicht sicher, ob elliptische Kurven schneller beim Prozessaktivitäten ist. Und Rabin benutzt das öffentliche Experiment 2 und das noch schneller beim Überprüfen als zu AES mit einem geringen öffentlichen Exponenten. Außerdem die letzten 5 Minuten, bevor ich den Quantencomputern komme, und es sind nur 5 Minuten, das ist ein gewisses Schade. Das ist ein Bereich, der sehr interessant ist. Und, ups, Entschuldigung. Entschuldigung. Der Quantengruppe ist ein sehr interessantes Feld, um es kurz zu erklären. Es sieht im Moment so aus, wenn man Quantencomputern hat dann funktionieren unsere ganzen normale Kriptografie nicht. Die ist einfach kaputt. AES ist broke, die für Helmen ist kaputt, aber etwas, was ich sehr klar machen möchte, ist, wenn wir Quantencomputern haben, dann können elliptische Kurven noch einfacher angegriffen werden, weil dort sehr kürzere Schlüsse sind. 256 Bits in vielen Situationen gegen 2.690 Bits. Wenn man Quantencomputern hat, haben wir ein sehr großes Problem mit ägyptischen Kurven viel schneller als in anderen Feldern. Ich möchte jetzt nicht zusätzlich Vorschlag machen, aber wir haben auch viel Optimisierung Möglichkeiten, um elliptische Kurven noch schneller anzugreifen, als die... ägyptische Kurvenkriptografie macht vielleicht noch ein bisschen einfacher anzugreifen. Und jetzt noch ein paar Sachen über sehr witzige Sachen. Ich habe jetzt sozusagen gesehen, dass diese verrückten Sachen von Mathematikern, die rumrennen und sagen, wenn man Quantencomputern hat, dann haben wir ein Problem. Es ist auch zu Microsoft gekommen. Microsoft hat das erste Mal einen wirklichen Vorsteig gemacht, wenn man ein Post-Quantum, also nachquantencomputern haben wir eine Position von TLS. Und wenn man diese Parameter sich anschaut, sind wir im Zwischen bei 11 Kilobytes Nachrichten. Und noch bei 21 Prozent. Das ist sehr gut, weil in den früheren Tagen haben wir Megabytes auch von Daten benutzen müssen, um diese sehr gute Post-Quantum-Kriptografie verwenden zu können. Also diese Idee von Post-Quantum-Kriptografie ist die wir können Protokolle entwickeln, die Quanten-Kriptografie oder Quanten-Kriptografische Angriffe überstehen können. Und eine vom WhatsApp-Journal wurde ich gefragt, eine Sache zu evaluieren, die Sicherheit von Bitcoin zu evaluieren. Und ich sage, ja, da sind Probleme mit Bitcoin, weil Bitcoin elektrische Kurven benutzt, wenn man Quantencomputern hat. Das ganze System ist entwickelt in einer Art und Weise, dass selbst ein Durchbruch in diesem Feld nicht die ganze ökonomische Philosophie dahinter zerstört. Und wenn man sich Bitcoin anschaut, dann kann man lernen, wie man Kriptografie entwickelt, die auch Quanten-Kriptografische Angriffe übersteht. Die die Überschrift war Wissenschaftler, arbeitet wegen Quantencomputern aufgrund von ähptischen Kurven-Diskussionen. Aber die Diskussion, dass Bitcoin ein geringeres Problem hat, als die meisten anderen Geldsysteme haben. Also ich möchte jetzt nicht ein Finale, das seitdem man über Bitcoin abgeben hat bei einem kryptografischen Feld, das sind netten Leute, das sind Leute, die gutes Wissen über Kryptografie haben, aber sie wissen auch, dass sie nicht zugutes Wissen über Kryptografie haben. Sie arbeiten in einem Weg, dass sie konservative und best konservativ ingenieren. Darum ist die Kryptografie in Bitcoin in Konstruktionen, die manchmal sehr freue und daumen anschauen und nach implementieren für eigene Projekte. Einen der wirklich letzten Punkte, die Ideen, das sind manche Sachen, wir haben fortgeschrittene Kryptografie, die benutzt werden kann um soziale Organisationen zu einigen Sachen. Einen der Beispiel ist OTR, auf the record. Sehr fortgeschrittene kryptografische Protokolle wie zum Beispiel wie wie auf the record ist eine Art zu chatten ohne dass jemand die zuhören kann. Wir können sie authentifizieren, aber sie ist nur lokal. Das heißt, wir können nicht es kann nicht bewiesen werden, dass wir diese Informationen gemacht haben, obwohl während der Kommunikation klar ist, dass nur der jeweils andere dieses Nachricht geschickt hat. Das heißt, es kann nicht bewiesen werden, dass wer die Sache geschickt hat. Das ist sehr wichtig, dass obwohl es so ein privater Kommunikation in der Kryptografie ist und das ist eine tolle Arbeit in dem Bereich. Es ist auch ein sehr interessantes Bereich in privaten Signaturen. Das ist noch ein zweites Mal, aber es gibt noch ein paar andere Signaturen. Ich finde es schade, dass in den letzten 20 Jahren niemand blinde Signaturen benutzt hat und heutzutage sind die meisten der gefährlichen Software-Patenten umgegangen sind. Wir können jetzt blinde Signaturen benutzen können ohne legale Probleme. Es ist eine gute Sache, darüber nachzudenken aber viel der Vorschläge ergänzt. Wenn man sollte ein Wahlkomputer einwenden, dann sollte sehr vorgeschrittene Kryptografie benutzt werden, um demokratische Vorschränge anzuzeigen. Vielleicht wird in einer zukünftigen Generation die Sachen besser benutzt werden. Können wir diese ganzen Anforderungen an Edward Snowden passen? Wir haben ein moralisch-philosophisches und technisches Anforderungen, um die Freiheiten zu verteidigen. Wir sind Mathematiker, die manchmal hecken wollen im Camp. Aber jetzt sind wir in einem großen Kampf um unser Internet. Das Problem ist, dass das Internet nicht ein Problem oder ein Fitscher ist. Es ist nicht nur unser Spielbereich sondern auch für die ganze Gesellschaft wichtig. Wir müssen daran arbeiten, sowas moralisch als auch aus technischen Gründen. Darum warte ich, Hanoff diese Bühne zu kommen, falls er immer noch da ist. In diesem Situation möchte ich wirklich sagen, dass Sie wirklich bitten, benutzt Eure Fähigkeiten und versucht die Welt einen besseren Platz zu machen. Können wir alles machen, wofür wir gebeten werden? Ja, ich bin der Meinung, wir können das. Ich möchte nur ganz kurz eine Ankündigung machen. Es gibt eine offene Krypto-Veranstaltung im Workshop-Zelt 3 um 3 Uhr. Einfach, dass es darum geht, was hier die Hintergründe sind ein bisschen aktueller über TLS, was auch immer besprochen werden soll. Workshop 10 Zelt 3, Dankeschön. Im Moment wird geredet. Es gibt noch ein paar Minuten. Wenn also kurze Fragen bitte nur, dann einfach zum Mikrofon gehen, links rechts und stellt Eure Fragen kurz und knapp. Eine Anmerkung. Ah, okay, der Referent. Hier gibt es eine kleine Bemerkung zu Microsoft. Das Mikrofon fehlt gerade. Jetzt wird geantwortet. Es war nur gesagt, dass Microsoft darüber nachdenkt, dass es so zu machen mit esoterischer Mathematik zu starten. Aber es ist noch nicht klar. Wenn es Patente geben wird, haben wir wieder ein neues Problem. Ich habe mir das nicht genau angeguckt. Eigentlich ist es sehr positiv, was sie tun. Das einzige Problem ist, dass es halt das Problem geben kann, dass Microsoft esoterische Mathematik verwendet. Das Einzige, was ich gut finde, ist, dass Microsoft esoterische Mathematik verwendet. Das ist die Hauptaussage. Ist es richtig, dass Postkantankryptografie sehr wichtig, dass Kantankryptografie sehr gut gegen einem Mittelmann Angriffe ist? Und das andere auch mit verändert? Könnte man das auch standardisieren oder wirklich benutzen? Ja, darüber haben wir nachgedacht und es ist sehr schwer eine kurze Antwort dazu zu geben. Aber wenn wir eine pessimistischen Kantankryptografie haben, dann ist jede kryptografische Angriffe, die wir auf kryptograf öffentlichen Schlüssel oder elektrischen Kurven ist, dann ist es kaputt und so kaputt, dass der private Schlüssel öffentlich wird und dann ist es halt kaputt. Deine Vorschlage ist, dass man, wie man in Bitcoin anderen Protokollen kann, diese Protokolle verändern in der Art und Weise, dass man selbst wenn die öffentlichen Schlüssel-Kryptografie kaputt ist, dann könnte die ganze Konstruktion problematisch-kyptografischen Forscher. Das ist der Grund, warum die meisten Websites im Moment ICC verwenden ist, weil die Größe der zu übertragenen Daten um eine Verbindung herzustellen, ist so groß, wenn man RSA verwendet und es wird noch größer, wenn man einen anderen Key verwendet und die Frage, wir haben mal eine Idee, wie man das lösen kann, und zwar, wir haben alle Cookies und haben ICC und können schlecht zurück zur RSA. Dazu möchte ich sagen, vielleicht bin ich ein bisschen verärgert als kryptografischer Forscher, über was reden wir hier, weil ich habe empfohlen ... Okay, es gibt ein bisschen Diskussion, ich warte mal kurz. Es geht wieder um die Übertragung von Daten. Wenn man am Anfang von der Show ein Schlüssel austauscht und dann kann man alles Mögliche übertragen, egal was, Gigabytes auf Spiele und wir Kryptografen sollten ... Mein Mobiltelefon nicht und mein ThinkPad ist nicht so mächtig wie das Handy um jetzt noch mal klarzustellen um es noch mal in etwas angreifslüssigerem Art zu beantworten. Wir benutzen von AES mit 4000 bits, es könnte das Klima schaden. Ja, es schadet um das Klima und wir vernünften Millionen von Euros um diese Sachen um Kryptografie zu verstören. Ja, wir haben sehr lange sehr kurze kryptografische Schlüssel um für kurzzeitige Verbindungen, aber ich würde wirklich vorschlagen, dass wir lange zeitliche Sicherheit und Schlüssel haben, sollten wir sehr häufig AES 4096 benutzen. Und wie ich gesagt habe, wenn man Umgebungen hat, wo es gibt Umgebungen wo AES 4096 zu kompliziert ist aber es wäre vielleicht eine gute Idee dort eliptische Kurven zu verwenden, dass auch Ross Bruce Schneier gesagt hat, wenn wir die Option haben um die Kryptografie zu benutzen und wenn wir keine Option haben oder wenn wir die Option haben um keine Kryptografie zu benutzen oder um die Kryptografie zu benutzen dann sollte man eliptische Kurven benutzen. Aber das ist eine Diskussion in Kryptografie und ich habe eine kleinere Position. Letzte Fahre von dort. Vielen Dank. Sie haben sehr klar gemacht dass sie eliptische Kurven im skeptischen Gegensehen haben. Dass dieser Punkt nur für die nisten standardisierten Kurven entspricht oder auch anderen Kurven. Um sehr klar zu sein viel der Kritik in diesem Vortrag und ich rede hier wirklich Verschandisierungsproblem ist nicht gültig für andere Schlüsse ist keine Kritik für deren Arbeit von anderen Verschandisierungen. Die müssen sehr stark unterstützt werden. Aus sehr tollen fanden Kryptografie Ideen verstehe mich nicht falsch. Aber RSA ist der Konservative und der potenziell sichere Sache ist in vielen Fällen wo wir eliptische Kurve wirklich benutzen sollten wir wirklich eine Brainpool Kurve benutzen und in vielen Fällen wurden da interessante Sachen veröffentlicht. Um sehr klar zu sein die Kryptische die Standardisierungskritik ist nicht für alle Kurven gültig sondern nur die NIST Kurven aber auch noch ein paar anderen und wir müssen die benutzen wir TNS 1.3 noch nicht benutzen können. Wir müssen darüber reden und diese problematische Situation ist auch nicht möglich innerhalb von NIST und wir müssen weiterarbeiten und NIST weiterhin auf NIST einarbeiten Sie haben sehr gute Sachen gemacht sehr menschliche Sachen für die Menschlichkeit Wir sollen die Möglichkeit geben zurückzukommen aber es ist nicht möglich dass sie irgendwelche Parameter die eventuell eine Hintergrund Hintertür haben ohne sicherzustellen dass sie keine Hintertüren haben und das ist eine öffentliche Sache was auch NIST macht mit der nächsten Kryptostandards Also Vielen Dank