 Ja, herzlichen Dank. Es freut mich wirklich, dass so viele Leute beim sehr technischen und noch schlimmer auch teilweise mathematischen Vortrag da sind. Und um gleich mal was Hackerlaunisches zu sagen, ist es auch ein gutes Ding. Weil ich habe in einigen Vorträgen in den letzten Jahr relativ deutlich gesagt, Kryptografie kann das garantieren, was die Regierung uns nicht mehr bieten können. Nämlich Schutz der Privatsphäre. Also diese alte Hackerlürig, dass man Sachen in die eigene Hand ernehmen muss, wird im Moment von der Realität in einer relativ schmerzhaften Weise kommuniziert. Und wie auch schon im Eröffnungsvortrag genommen, wir nehmen das durchaus mit Freude zur Kenntnis, dass immer mehr US-Firmen jetzt dazu übergegangen sind, zum Beispiel Ende zu Ende Verschlüsselung anzubieten. Was das Spiel ändert. Nochmals Erinnerung, wenn wir Ende zu Ende Verschlüsselung haben, dann ist diese Methode, ich halte da eine Antenne in den Eta oder ich gehe an das Glasfasern, höre alles ab, nicht mehr möglich. Angriffe müssen dann wirklich auf die Endgeräte vorgenommen werden. Das ist auch noch keine große Sicherheit, aber es ist besser als diese massenhafte Überwachung. Dieser Vortrag wird relativ voll sein, weil ich eigentlich fast alle Gebiete der Kryptografie vielleicht ein kleines Update gibt, was jetzt nach einem Jahr das Noten da zu beachten ist. Und es sind glaube ich einige ganz interessante Details, die ich noch daher präsentieren will. Also ich werde ganz kurz absymetrische Verfahren eingehen. Hechtfunktion, eine Sache, die uns wahrscheinlich noch länger beschäftigt, die leider, obwohl jetzt ein bisschen mehr Interesse für dieses Thema da ist, immer noch etwas stiefmütterlich behandelt wird. Wir werden Paprikierverfahren und elektrische Kurven ansehen. Da gab es ja gestern auch einen sehr interessanten Talk. Wir werden das, was in der Ankündigung war, auch Prostquantankryptografie uns mal überlegen. Was bedeutet, dass wir ein wirklich Quantencomputer in die Anwendbarkeit gehen. Ich habe jetzt noch mal nachgelesen. Die GB war der Meinung, dass mit mittlerer Sicherheit bis 2025 und mit hoher Sicherheit bis, glaube ich, 2030 Quantencomputer relevant werden können. Und das ist, wenn man sich vor Augen hält, dass wir Geheimnisse schützen, die vielleicht 30, 40 Jahre auch halten müssen, ein bisschen problematische Sache. Also ganz interessant über die Lebenszeit von Krypto-Algorithmen war die Diskussion im Bereich AES. Da wurde gesagt auch von englischen Wissenschaftlern, dass das englische Recht z.B. bei ihnen Vitrofertilisation verpflichtet, dass der Name des Spenders irgendwie bis zum Lebensende des Kindes zugreifbar sein muss, aber auch geheim gehalten werden wird, sodass sie teilweise mit 150 Jahren Laufzeit wirklich rechnen müssen. Also wirklich juristische Anforderungen, die für uns Kryptografen natürlich auch schon sehr ambitioniert sind, weil auch wenn wir uns bemühen, also ganz die Zukunft voraussagen, das ist selbst für Mathematiker mitunter relativ schwierig. Der Punkt, der mir gute Laune macht, ist einfach, dass es fortgeschrittenen Protokolle gibt, die auch immer mehr eingesetzt werden. Also Protokolle, die wirklich überraschende Eigenschaften haben. Also z.B. bekannteste ist vielleicht das OTR-Protokoll in Jabba, das garantiert, dass wir wissen, dass eine Nachricht von jemanden kommt, aber diese Nachricht nicht gegen jemand verwenden können. Also wir wissen während der Kommunikation, dass es von diesem Absender kommt, nach der Kommunikation wird der Meckklüssel veröffentlicht, sodass niemand, also vor Gericht gezerrt werden kann für das, was er gesagt hat. Das sind irgendwie soziale Anforderungen an Protokolle, die man sehr schön kryptografisch adressieren kann und da möchte ich auch ein paar Beispiele machen. Beginnen wir bei symmetrischen Kryptografie, das ist relativ einfach, zusammenzufassen, RC4 ist wohl offensichtlich kaputt. Also das haben wir irgendwie vermutet, aber inzwischen können wir sagen, dass auch in der Industrie RC4 massiv zurückgedrängt wird. Eine industriekombatible Empfehlung ist immer noch AS256-Bit zu verwenden. Wenn es wirklich kritisch wird, dann kann man auch durchaus überlegen, zwei Cypher zu benutzen, AS und Hufig zum Beispiel. Und das ist eine Konstruktion, die gab es vor über zehn Jahren bei Kryptofon, gab es auch als Option bei TruKrypt. Das ist eine Konstruktion für wirklich Paradoide. Das sind Konstruktionen, die wirklich jede Art von Angriffen unheimlich stark erschweren. Und insofern kann man sich das angucken. Hier ist es relativ wichtig, sich klar zu machen, dass wenn man doppelt verschlüsselt, man doch überlegen soll, wie man es macht. Es gibt ein interessantes Paper von Maurer über die Wichtigkeit zuerst, also der erste Verschlüsselungsverfahren zu sein. Also man kann zeigen, dass eine Sicherheit sehr stark von dem ersten Verfahren in einer Kaskade abhängt. Der Hack, den wir uns natürlich als Hacker überlegt haben, wenn wir eine kommunikative Verknüpfung haben, wo A plus B gleich B plus A ist, dann ist es ja egal, wer als erstes ist. Also wenn wir eine kommunikative Verknüpfung machen, dann haben wir wirklich beweisbar die Sicherheit des stärkeren Verfahrens oder ein Angreifer muss halt beide brechen. Wie gesagt, also symmetrische Kryptokrieg, relativ wenig Neues. Spannender ist es im Bereich Hechfunktion. Schar 1, dass das praktisch angreifbar ist, ist auch eine Sache, da können wir unsere CCC-Vorträge von vor acht, neun Jahren irgendwie zitieren, nicht besonders aufregen. Aufregen ist die Tatsache, dass es immer noch relativ massiv im Einsatz ist und insbesondere bei neuen Trusted Computing-Standards zwar markiert als es ist keine gute Idee, aber ihr dürft es noch weiter benutzen. Und das ist natürlich der Albtraum. Sie sind Hersteller von Hardware, sie haben die Schar 1 Funktion schon fertig und dann kommt der Kryptografen sagt, ja, wir sollten es nicht benutzen, dann sagt natürlich es Kontroling, dürfen wir es benutzen, kostet nix, dann machen wir es weiter. Also wenn ihr den Standard weiterhin die Verwendung von MD5 noch schlimmer oder Schar 1 erlaubt, ist das in der Realität eine drastische Sicherheitsprobleme. Na ja, was verwenden wir, wenn wir es sicher heißchen wollen, verwenden wir im Moment in der Regel Schar 2, Schar 256, da ist allerdings ein bisschen bitter, das kommt auch offiziell aus dem Haus NSE. Es ist ähnlich konstruiert wie Schar 1 und bei dem Wettbewerb, der jetzt für Schar 3 stattfand, war ein zentraler Punkt von allen Kandidaten der Entrunde, dass sie ganz anders konstruiert sind. Also insofern Schar 2, Schar 256, das wir im Moment massiv benutzen, ist durchaus eine Sache, die wir etwas kritisch sehen sollten. Besser sieht die Situation aus bei Schar 3, aber das ist, wie gesagt, ganz, ganz, ganz neu. Es gab ein nachvollziehbarer Auswahlprozess, Analog von dem Auswahlprozess von AES. Es ist eine neue Konstruktion, das bedeutet die ganzen alten Probleme, die wir in der alten Konstruktion haben wir nicht und wir freuen uns jetzt als Wissenschaftler da jetzt neue Probleme zu finden. Es ist durchaus nachvollziehbar von guten Leuten gemacht, aber es ist halt ganz neu und deswegen halt auch eine Sache, die etwas kritisch ist. Ich habe dann noch eine freundliche Forderung an das NIST. NIST gab es eine Tendenz, diese Kryptoverfahren noch mal zu optimieren. Leute, das sind Leute, die gerade den Wettbewerb mit allen Kryptografen auf der Welt gewonnen haben und jetzt kommen in den US-Gabamenten Mitarbeiter, die meinen ja, aber wir wissen es besser, wir können schneller machen, keine gute Idee und auch die Autorenbahn extrem verärgert und das NIST hat dann auch vielleicht ein Erfolg unseres politischen Drucks da deutlich zurückgeroutert. Was haben wir für Workaround? Na ja, wir können das machen, was man als Kryptograf macht, wenn man irgendwie unsicher ist, nimmt man halt mal die größere Bazooka, also nimmt man vielleicht nicht die Schar 256, sondern wirklich die Schar 512. Man kann sogar sagen, vielleicht ist es sogar eine bessere Idee, selbst wenn man nur 256-Bit braucht, die Schar 512 zu nehmen und dann nur 256-Bit, die Niederwehr ist in der Höherwertesten zu verwenden. Hintergrund ist, Schar 512 macht mehr Runden und etwas vereinfacht gesagt, sind mehr Runden, bedeuten in aller Regel einen höheren Sicherheitsspielraum. Oder der andere Ansatz, den ich eigentlich ganz amisanter finde, ist Schar 256 zu benutzen, aber zu sagen, na ja, wir trauen es nicht und dann machen wir halt russische Raumfahrtechnologie. Wenn ein Balken nicht reicht, dann machen wir halt zwei Balken nebeneinander und das erhöht rastig die Sicherheit. Auch hier haben wir das damals bei Kryptophon so gemacht und es hat mich eigentlich gefreut und auch in Grinzen induziert, dass Bitcoin, die sehr auf Hechtfunktionen basieren, auch in allen Konstruktionen hergegangen sind und Schar 256 grundsätzlich zweimal gemacht haben. Wenn ihr da reinguckt in die Protokolle, da habt ihr irgendwie das Gefühl, das sind Leute, die waren sich unsicher, ob sicher ist, dann machen wir noch einen zweiten Balkengrin. Ich glaube, das ist gar nicht so eine unklävere Lösung. Anderer Punkt ist, den ich auch mehrfach angeregelt, wir können verschiedene Hechtfunktionen verwenden. Auch hier wurde es interessanterweise in Bitcoin verwendet, die konnte nun mal generieren, zu der wir später nochmal ganz kurz kommen. Wir hatten mit Schar 265 und Reib-MD gemacht. Hier ist ganz interessant, dass man eine Sache halt vom US-Geheimdienst nimmt. Das Reib-MD ist von Dopatin entwickelt worden, der hat beim BSI gearbeitet. Also man sagt, also wenn man Geheimdienst nicht vertraut, dann nimmt man halt beide und kombiniert so, dass irgendwie mehr nicht die Sicherheitsprobleme von beiden erbt. Also man muss ein bisschen aufpassen, aber Bitcoin hat es im Prinzip richtig gemacht. Also diese, ich sage immer, russische Raumvertechnik-Sachen, das sind die Sachen, wo man sagt, okay, man können es jetzt sehr elegant und sexy machen oder stabil, dass es hält. Und wie gesagt, Bitcoin, da geht es irgendwie um Geld, war die Entscheidung, dass wir irgendwas Langeweiliges machen, was aber sehr stabil ist, glaube ich, auch eine gute Entscheidung, um da höheres Vertrauen zu induzieren. Also sämtliche Angriffe gegen Schar 250 wird man Bitcoin mit Grinsen beantwortet. Ja, aber dann häschen wir noch einmal und dann viel Spaß, dann hast du irgendwie die nächste Angriffs-Sachen, die dann die Sache noch einmal deutlich schwerer waren. Das ist also, glaube ich, eine relativ gute Idee und das ist auch eigentlich von der technischen Seite sehr schön. Wenn man zum Beispiel die Sicherheit von einem Programmpaket macht, dann ist es durchaus sinnvoll, neben Schar 250 auch das zu nehmen, was noch rum liegt, dass man dann möglich, aber sogar ein MD5 noch dahin macht. Was ist ein Angreifer, muss irgendwie wackeln, um dann bei Schar 250 was zu erreichen, bei jedem wackeln, wackels auch durch MD5 durch. Also diese Konstruktion, verschiedene Heischfunktionen nebeneinander zu schreiben, was auch bei einigen Softwarepaketen gemacht wird, ist definitiv vom Engineering-Standpunkt eine gute Idee. So, nach den Heischfunktionen kommen wir zu den spannenderen Sachen. Wer war denn gestern in dem ECC Talk? Hach, hervorragend. Ich war ja kurz davor, irgendwie jetzt ein lustiges Battle über unterschiedliche Basisdarstellungen zu machen, aber ich glaube, bei 30 Minuten muss das relativ kurz kommen. Mit anderen Worten, ich verwende hier eine andere Darstellung als DJB und Tanja Lange, nämlich die klassische Weierstrasseform. Es bedeutet, es ist eine Kurve, das sind also Punkte in der normalen Ebene, die die Eigenschaft haben, y² gleich x hoch 3 plus ax plus b mit verschiedenen Anforderungen an a und b. Hier ist auch nochmal der erste Ding, der ein bisschen Respekt einrichten sollte. Also diese Bedingung ist für Mathematiker relativ einfach nachzuvollziehen, aber es zeigt, dass man bei der Auswahl von Parametern darauf achten muss, welche Kurve man kriegt, dass man keine Singularitäten kriegt oder keine Kurven, die sich etwas komvahal. Hier eine kurze Bemerkung, da habe ich ein bisschen andere Meinung als Bernstein und Lange. Es ist durchaus berechtigt, zu sagen, dass die Implementierer möglichst deutlich entlastet werden sollen. Aber der Angriff, den DJB dann gezeigt hat mit einem Punkt, der nicht auf der Kurve liegt, ist ehrlich gesagt sehr trivial, genauer gesagt mit einer einzigen Programmzeile zu verhindern. Der Test, ob ein Kurvenpunkt der uns jetzt dann präsentiert wird, auf der Kurve liegt, besteht einfach die x-Koordinate und die y-Koordinate in x und y einzusetzen und schauen, was da rauskommt. Mit anderem wollen dieser Kurventest den Bernstein als sehr problematisch angesehen hat und große Freude ausgelöst hat bei der Äußerung, dass die Implementierer sich nicht darum kümmern müssen, wenn sie seine tollen Kurven verwenden. Ich glaube, er hat bessere Argumente für seine Darstellung als hier das Vermeiden einer einzigen Zeile. Um noch mal ganz klar zu sagen, es ist gutes Engineering Design, die Parameter, die man von außen kriegt, zu testen. Wenn Mathematiker dann sagen, bitte testet es, dann ist es eine gute Idee, das in der Regel zu tun. Also noch einmal, wenn da drinsteh, ich teste bitte, ob die Parameter auf der Kurve sind, gewöhnen wir uns das als Implementierer an. Wobei ich natürlich mit der generellen Konstruktion, dass wenn wir Mathematiker schlechte Implementierung verhindern können, das auch verhindern sollten, durchaus mit DJ Bernstein einer Meinung bin. Aber noch einmal, ich halte es durchaus für sinnvoll, wenn man sich klar macht, dass dieses Testen auf einem Punkt auf der Kurve ist eine einzige Programmzeile, ist es bitte doch drin zu lassen. Kommen wir zur erlieblichen Kurve. Ich habe da ein schöneres Bild aus Wikipedia als dieses Urbild. Hier sehen wir eine Kurve, ganz normal, das sind die Punkte, die diese Sachen machen. Und die Idee ist einfach relativ schön, eine Punktverknüpfung zu definieren, die irgendwie geometrisch gerechtfertigt ist. Und die Punkte kann man so machen, indem man zwei Punkte einfach verbindet. Man nimmt den Schnittpunkt mit der Kurve, das ist geometrisch nachvollziehbar mit ein bisschen Mittelstufenmathematik, kann man auch ausrechnen, dass es da auf jeden Fall einen Schnittpunkt geben muss, zwischen der Gerade und der Kurve, muss man einfach die Gleichung da setzen und das spiegelt man dann auf der X-Achse oder Vornehmung ausgesagt, man nimmt das in versebezüglich irgendwie dieses Punktes Null. Das ist die geometrische Präsentation und da kann man zeigen, dass da die Eigenschaften einer mathematischen Gruppe sehr einfach zu erzeugen sind. Noch einmal, das ist das Bild im normalen Reellenraum. In der Praxis verwenden wir natürlich diskrete Sachen in Computern, da ist keine grafische Darstellung. Ich wollte die jetzt hier auch nur mal zeigen, um die Formeln, die nachher verwendet werden, ein bisschen zu motivieren. Also um mal ganz schön mathematisch hinzuschreiben, diskrete Locarythmus-Problem auf einer Durchpunkt-Artizon, gebildeten züglichen Gruppe eines Generator-Punkts auf einer erleblichen Kurve mit einem über einem endlichen Körper. Es ist immer schön, wenn man das auch bei Nicht-Hackern und Nicht-Informatikern da zu beobachten, wie die Gesichter sich bei der ersten Zahl und der zweiten Zahl und der dritten Zeile ändern. Also kurz, wir machen das Problem, dass wir mit dem wir irgendwie bisher mit normalen Zahlen arbeiten auf einer relativ interessanten mathematischen Struktur. Das ist eigentlich die Hauptidee, die wir haben und basierend auf dieser Hauptidee sagen wir, dann könnte es unter Umständen deutlich sicher sein. Naja, ich habe jetzt vier Punkte, die ich doch mal zu Bedenken geben will. Das erste ist ein generisches Problem. Wenn wir Verfahren mit dem sogenannten diskreten Locarythmus-Problem verwenden, dann haben wir das Problem, dass wir bei jeder Signatur einen neuen Zufallswert brauchen. Das ist für Hacker natürlich interessant, warum. Es gibt ein jahrzehntelanger Kampf zwischen Smart-Card-Hackern und Smart-Card-Hersteller. Das wird teilweise auf der Automaren- und Sub-Automanebene ausgetragen. Im CCC Berlin steht so ein Elektronen- Mikroskop, keine Ahnung, was die jungen Leute damit machen, aber damit kann man halt wirklich Atome hin und her schupsen und das ist natürlich ein Kampf. In der Regel ist es natürlich deutlich, einfach den Zufallscanerate zu manipulieren und wenn wir jetzt hier schon mal im Hacker-Bereich sind, es reicht da einfach die Zeit auch nochmal zu wiederholen. Wenn sich ein Wert wiederholt, dann knallt es gewaltig. Hier habe ich jetzt auch ein bisschen mathematische Zahlen, aber das ist aus dem Handbook Applied Kryptografie von 1997. Das ist frei im Netz holbar und das Interessante ist, dass diese Angriff der Hooks praxisrelevant ist, den Kryptografen irgendwie peinlich ist. Also diese Sicherheitsprobleme stehen nicht bei DSA, sondern nach zwei Verweisen bei diesem allgemeinen Signatur- Bereich auch nicht als Hauptpunkt, bitte passt da auf, sondern als Not 66, also als eine der letzten Bemerkungen und das ist natürlich auch ein Zeichen, dass Mathematiker und Implementiere ein bisschen stärker miteinander reden sollen, weil es ist wirklich ein drastisches Problem. Das ist ein drastisches Praktisches Problem, ich wurde am 27 C3 gezeigt, da wurde die Konsole von PS3 gehackt, genau mit dem Problem. Ich werde jetzt keinen Witz machen, dass damals keine Nordkoreaner beteiligt sind, sondern gleich einen Schritt weitergehen und da danke ich nochmal DTB, weil das war in seiner Folie. Das endestes Problem hatten wir mit Bitcoin. Bitcoin hatte einen kaputten Ja-Wart-Zufallsgenerator und es gab dann erste Kontobewegungen, die nicht autorisiert waren aus der Richtung. Also es ist ein praxisrelevantes Problem, die PS3 ist damit hochgenommen worden, Bitcoin ist teilweise oder bislang Imlementierung sind adressiert werden und im Bereich der Hardware kann ich ehrliches nicht besonders gut schlafen, wenn ich mir jetzt vorstelle, dass jetzt eliptische Kurven und diese ganze eliptische Kurvenkryptografie basiert halt auf einem Diskreten-Lager-Rhythmus-Problem an immer mehr Stellen da sind. Also vereinfacht gesagt, wenn ich im Personal aussehe, den eliptischen Kurven da, wenn es mir da gelingt, ich muss gar nicht an den gesicherten Schlüssel ran, ich muss einfach an ein Zufallsgenerator reinkommen und da zweimal denselben Wert machen, also ich muss überhaupt keine großen Mystiken machen, dann springt der Schlüssel mir schon in den Shows. Das ist kein gutes Ding. Also das ist ein Problem, das wäre ich bis zu meiner Pensionierung, glaube ich, wiederholen, weil irgendwie nicken die Leute immer und bestätigen das und ignorieren das dann weiter. Insofern, das ist ein Problem, das mir vielleicht mal, vielleicht gucke ich mir doch mal den Elikonchen-Personalausweis an. Kommen wir zum zweiten Programm und da habe ich auch irgendwie im gestrigen Talk leider nichts Neues gehört. Das Einzige, was wir wissen, ist das zwei ultrakohle Angriffsalgorithmen, nämlich der, oh verdammt, der Indux Calculus und der Zahlkörper Sieb, die sind exponentiell, aber superpoluminal, nicht übertragbar sein. Können wir dann aussagen, wir haben zwei Angriffe, die nicht übertragbar sind, können wir dann sagen, dann gibt es nur generische Angriffe. Wir können die Struktur der eliptischen Kurven überhaupt nicht nutzen, wir müssen irgendwie die Angriffe machen, die immer gehen, die gehen würde, wenn wir jetzt ein Kryptoverfahren auf Basis von Nudelsuppen generieren würden, dann würde es auch generisch dann angreifbar sein. Also mit anderen Worten, wir machen kürzere Schlüssel, weil wir davon ausgehen, dass nur generische Angriffe da sind. In kurz zu machen, wir sagen, es gibt nur diesen Try and Baby Step Algorithmus, der hat die Komplexität von O von Wurzel N. Da möchte ich immer ein bisschen böse sagen, dass es im Wesentlichen Geburtstagsparadox und Volklore, also was, was man in einer einführenden Vorlesung zeigen kann und zu meinen, dass es nichts anderes geht als diese ultraeinfachen Verfahren, halte ich für relativ problematisch. Auch problematisch ist, wenn wir 256-Bit machen, haben wir schon, wenn gar nichts falsch läuft, höchstens eine Sicherheit von 128-Bit. Kommen wir zu den ein bisschen spookigeren Sachen, und zwar, was ist mit Quantencomputern? Quantencomputern ist relativ wichtig, das ist, glaube ich, doch praxisrelevant, auf zwei Gründen. Der wichtigste Grund ist da, es ist sogar schon in Big Bang Theorie mal kurz aufgeführt worden im Physiquis. Und der zweite Punkt ist natürlich noch relevanter. Die NSE hat erhebliche Mittel da draufgebraten. Und wer die Formel sieht, sieht, dass eine Komplexität von O-Lock N hoch 3 wirklich sehr gering ist, also dass diese Angriffe sehr schnell gehen. Das sind Angriffe, zunächst war der Show Algorithmus für Faktorisieren. Wer ein bisschen genauer liest, findet auch, dass es das gräte Logarhythmus Problem da adressiert ist und auch das gräte Logarhythmus Problem bei erlieblichen Kurven, womit wir bei einem Hauptproblem sind. Erlebliche Kurven haben kürzere Schlüssel, das bedeutet, wir können mit deutlich weniger Q-Bits, also Quantenbits, die Sachen angreifen. Bittsel vereinfacht gesagt, wenn es durch Brüche im Bereich der Quantengryptographie knallst deutlich schneller bei diesen coolen, erleblichen Kurvenverfahren als bei den langweiligen ASA-Verfahren. Nach einem Snoten müssen wir zentgenau, dass die NSE erhebliche Mittel in diese Sachen wirft. Und wenn wir wirklich sagen, dass da irgendwie Fortschritte kommen sollen, müssen wir uns wirklich überlegen, wie wir damit weitergehen. Problem Nummer 3, Side Channel Angriffe wurde auch schon gesagt. Programmierfehleranfällig ist relativ lustig, da kann ich gleich auf meinen nächsten Vortrag verweisen. Microsoft hat eine Zertifikatsapokalypse in den letzten Wochen hingelegt, die wirklich sehr unterhaltsam ist. Und der ganze Miss ging los beim Überprüfen einer erleblichen Kurven-DSA-Signature. Mehr zu den schmutzigen Details in zwei Stunden in meinem Vortrag zu Windows 8 Problem. So, dann noch eine Sache. Ich war so beeindruckt, dass DTB ein paar Python-Snipplets präsentiert hat. Und ich bin auch ganz stolz, dass ich mal demonstrieren kann, dass ich eleganter, knapper und sicherer programmieren kann als DTB. Zugegeben nur, wenn ich ein bisschen mogel, aber der ernsthafte Teil dabei ist, RSA ist genau das, was da steht. Sie haben eine Message, sie haben eine Message hoch E, das ist auch bekannt. Das einzige Mystik, die da noch da ist, ist irgendwie dieses N. Und nochmal, das bedeutet, dass da einfach deutlich weniger Raum für Programmierfehler gegeben ist. RSA hat auch eine Reihe von interessanten Eigenschaften. Insbesondere bei der Signature-Generierung haben wir keine komplette Keinschmelze, wenn da irgendwas bei den Zufassgeneratoren etwas komisch drauf ist. Nächstes Problem, da habe ich auch nur eine kurze Sache. Ich bin nur mäßig begeistert über die Patentsituation in dem Bereich, insbesondere, dass einige mathematische Trivialitäten patentiert sind. Also, bei elliptischen Kurven verwendet ist in der Patenthülle ziemlich angekommen. Und nochmal, es hilft nichts, dass man sich als Mathematiker dauerfähig palmt, was jetzt wieder patentiert worden ist. Das ist leider die Welt, in der wir leben und wieder mal ein deutliches Argument, dass Software-Patente wirklich keine gute Idee sind. Dann zu der Standardfrage, kann man den NIST doch trauen, kann man den NIST Kurven grauen, die von der NSA, die sagen ja offiziell, das sind unsere Dienstleichter, die haben sich da was überlegt. Das wird sicher eine gute Idee sein. Ganz interessant, 160-Bit und Schaar 1 für die Psojno-Rendem-Kurve. Naja, will ich jetzt nichts sagen, aber wer die elliptische Kurve und Zufall irgendwie hat, erinnert sich doch, dass wir bei diesem elliptikörfte Minister-Rendem-Bit-Generator wirklich die NSA da erwischt haben, relativ schnell. Und auch das NIST erwischt haben, die eine kaputte, boshafte, offensichtlich trivialerweise Bektor versehene Sache standardisiert hat und ist auch bekannt, dass NSA das nach dem 10-Million-Vertrag auch als Standard eingebaut sind. Also elliptische Kurven und Rendem, sagen wir mal, hat es nicht zumindest eine einschlägliche Vorstrafen und deswegen sollte man sich in der Tat überlegen, dass da Alternativen da sind. Alternativen sind die Brain-Pool-Purven, die sind auch verschiedenen Forschungs-Sachen in der Europäischen Union entwickelt worden. Die Arbeiten von Bernstein und Lange sind auch sehr interessant, wobei einige marketing-artige Präsentationen vielleicht gar nicht so nötig sind. Ich glaube, dass es wirklich eine sehr interessante Arbeit ist, die er da abgeliefert hat und ich freue mich auch, dass das in immer mehr Produkte eingebrannt wird. Aber es ist weiterhin erheblicher Forschungs- und Entwicklungsbedarf da. Es ist jetzt knapp in der Zeit, aber ich habe Bitcoin angekündigt, deswegen will ich noch kurz was sagen. Ein Kritikpunkt bei Bitcoin ist in der Tat die Verwendung einer Kurve, die von Zertikon ist, 256-bit Schlüssellänge hat und die speziell konstruiert wurde, damit es Geschwindigkeit da ist. Und jetzt mal das kurze Quiz, was fällt euch da auf? Was ist denn da besonders schräg? Ah, ist gleich null. Richtig. Ah, ist gleich null. Noch mal. Ich zucke bei dem Wort zusammen, aber es heißt mathematisch so, ist es eine entartete Kurve. Wir sparen uns ein Parameter weg, können deswegen schneller rechnen und macht euch keine Sorge, das bleibt trotzdem sicher. Wot? Also, Entschuldigung noch mal ernsthaft formuliert. Also ein aggressives Performanceoptimieren und das Wecknullen von Parameter ist vielleicht nicht das, was man sich an Sicherheitsforscher in erster Linie wünscht. Gut, kommt man noch und zum anderen Punkt. Postquandum-Kryptografie gibt es erste Arbeiten. Die sind schon forschungsmäßig interessant, insbesondere heftbasierte Verfahren finde ich ganz spannend, aber es ist sehr großer Entwicklungsaufwand da noch nötig und da sollten Leute auch mal Geld draufschmeißen. Auch hier arbeitet der Kollege DTB sehr interessanten Sachen und wie gesagt, da möchte ich doch auch fordern, dadurch aus nochmal ein bisschen Geld reinzuschmeißen. Mathematiker sind auch nicht so teuer wie andere Leute. Insofern ist es, glaube ich, eine gute Idee. Lernen von Bitcoin nochmal. Bitcoin überlebt Quantencomputer. Weitere Härtungen sind durchaus wünschenswert. Interessanteste Idee ist dieses Konzept des Hinten-Publickeys. Das bedeutet, ich offenbar meinen öffentlichen Schlüssel nur, wenn ich die Überweisung mache und dann kommen wir wirklich zu der zentralen Sache. Sicherheitshinweis. Man sollte nach jeder Transaktion neues Konto einrichten. Warum? Wenn man sein Publici exposed hat, kann ja angegriffen werden. Wenn man den nur exposed für eine Überweisung und dann das Geld nicht mehr auf dem alten Konto ist, dann sind die Angreifer natürlich sehr praktisch eingeschränkt. Also das, was aus Datenschutzgründen empfohlen wurde, immer neues Konto zu machen, möchte ich hier nochmal ganz deutlich aus Sicherheitsgründen hinweisen. Die meisten Implementierung machen das jetzt noch. Gut, letzten Folien, vielleicht ein bisschen schneller. Also Forschung sollen wir im Bereich der Kurvenerzeugung machen. Wir sollten wirklich wahrnehmen, dass es Adwan Signature, Screams, Blind Signaturen, Gruppen Signaturen. Wir können die allgebreichen Eigenschaften nutzen, um damit rollenbasierte Sicherheitsmachen genauer gesagt, halt Sicherheitszuschätzung, mathematisch zu untermauern. Ein Beispiel, das auch sehr interessant ist, ist das durchaus durch unsere politischen Forderungen im Trusted Computing, eine lange Zeit die Direct Anonymous Attestation drin war. Das bedeutet, man kann Zusicherung auf dem System Eigenschaften machen, ohne damit die Privatsphäre zu verletzen. Das ist ein sehr feinkranulares Identitätsmanagement der Kollege Lux und ich haben 2006 da eine Analyse gemacht auf der Sengenkonferenz. Das müsste auch noch online sein. Die zeigt, dass durchaus Parameter sind, wo man einstellen kann, wie einfach es ist, die Identität aufzudecken. Also das bedeutet, wir können mathematisch wirklich rechtliche Sachen absichern. Fassen wir noch einmal zusammen. Eine der schönsten Zitate ist irgendwie wirklich von etwas Noten. Krypto arbeitet, es ist keine dunkle Geheimwissenschaft. Es ist eine Basisschutz gegen die dunklen Mächte der Überwachung in der Digitalwelt, ein bisschen lyrisch formuliert, aber durchaus nach zu verziehen. Und damit möchte ich schließen, wir müssen es implementieren und aktiv beforsten. Und ich glaube, das ist eine Dung, wo wir der Welt wirklich gut es tun können. Vielen Dank für eure Aufmerksamkeit.