 Ich habe ein bisschen geforscht und es war nicht einfach, aber Diffy-Helmen-Schlüssel-Austausch ist so weit über meinem Bezahlstaat. Deswegen werde ich es jetzt ganz einfach halten. Bitte heißt willkommen Alex Haldermann von der Uni Michigan und Natalie Henniger von der Uni Pennsylvania. Danke, vielen, vielen Dank euch allen. Es ist wunderbar zurück zu sein beim 32C3. Mein Name ist Alex Haldermann von der Uni Michigan. Wieder dieses Jahr hier mit vielen meiner Studenten, meiner Gruppe in dem Publikum und die sprechen auch, wir studieren Sicherheit in der echten Welt. Also heute haben wir eine sehr besondere Story, die wir euch erzählen können, die wir sehr stolz sind, zusammen mit meiner Kollegin Nadja Henniger zu erzählen. Wir werden heute sprechen über Diskrete, Logarithmen, Diffy-Helmen und einiges der Forschung, die wir gemacht haben im vergangenen Jahr, um zu zeigen, wie die NSA möglicherweise so viel Kryptografie bricht, von denen wir wissen, dass sie eben brechen. Das ist eine gemeinsame Arbeit mit einigen anderen Co-Authoren, mit zwölf anderen Co-Authoren. Drei davon sind heute hier in diesem Raum und ich würde sie bitten aufzustehen, aber sie haben gesagt, sie möchten das nicht. Aber bitte, bitte applaudiert kurz meinen Co-Authoren auch. In genau diesem Raum heute vor einem Jahr, 31, 10, 3, hat Jakob Apelbaum und Laura Peutras haben gesprochen, wo sie neue Resultate der Snowden-Archive veröffentlicht haben. Und zwar haben sie uns gesagt, wie oder eben das die NSA Kryptografie, die in viel weitverbreiteten Online-Unterhaltungen benutzt wird, dass sie die eben brechen. Und sie haben später veröffentlicht einen Artikel im Spiegel, wo es darum ging, wo Dokumente inkludiert waren, die gezeigt haben, dass eben die Breite der Zerstörung, der Verschlüsselung, der es durch den NSA sehr signifikant war, dass die NSA eben nicht alle Verschlüsselungen durchbrochen haben, aber sehr viele verschiedene Krypto eben tatsächlich überwunden haben. Was die Leaks nicht mehr antwortet haben, ist die Frage, wie hat die NSA diese Kryptografie gebrochen. Und für Kryptologen ist die Sache, wenn wir nicht wissen, wie sie sie brechen, was können wir tun, um das zu verhindern. Und Nadja, ich und unsere Co-Autoren haben deswegen uns vorgenommen, durch unsere Forschung diese Fragen zu beantworten. Wie bricht die NSA wahrscheinlich die weitverbreitete Kryptografie und was können wir und andere Forscher machen, um diese Angriffe zu stoppen? Also erzählen wir jetzt die Geschichte. Wartet, bis ihr seht, wie die Geschichte endet. Also ich angefangen habe, als Angreifer, wenn ich ein Angreifer wäre und Krypto brechen würde, dann gäbe es verschiedene Optionen, das zu tun. Also einer der, das Entscheidungsbaum ist, ist hier die Implementationen anzugreifen. Also die Verletzlichkeiten zu finden oder eben Hintertüren einzubaren. Zum Beispiel mit Juniper haben wir das gesehen, deren Systeme kompromittiert wurden. Und es gibt aber noch eine andere Richtung, in die wir gehen können. Man könnte die Algorithmen direkt angreifen, also die Kryptografie selbst. Und der Unterschied ist, wenn wir die Implementation angreifen, dann müssen wir investieren jedes Mal, wenn neue Hardware, neue Software rauskommt, die diese Algorithmen implementiert. Wenn wir dagegen die unterliegenden Kryptografie angreifen, dann haben wir nur einen Anhaltspunkt, den wir angreifen müssen, um ganz, ganz viele Kryptografie zu brechen. Also eine kleine, ganz kleine Anzahl an Algorithmen dominieren, sowohl symmetrische als auch, also zum Beispiel AES und RC4 dominieren hier. Und die meisten Kryptologen glauben, dass diese Algorithmen zu brechen sehr, sehr hart ist, genau. Und stattdessen haben wir auch noch eine Menge an öffentlicher Schlüssel-Kryptografie, die sehr weit verbreitet wird bei den Diensten, die wir benutzen und mögen, zum Beispiel Diffy, Helmen und RSA. Und dort sind einfach weiße Flecken auf der Karte, wie man so sagt. Also das sind die Sachen, die praktisch die meisten Kryptologen glauben, die von der RSA angegriffen werden könnten. Also gebe ich jetzt an Nadia weiter, um über Public Key oder öffentlichen Schlüssel-Krypto zu sprechen. Um das jetzt zu verstehen, wie die Kryptoanalyse funktioniert, gehen wir ganz an den Anfang zurück, ganz an den Anfang der Public Key-Kryptografie. Ich will erst erklären, wie RSA funktioniert, also von Rivers Charmy Adelmann erfundene Kryptografie. Das ist jetzt der einfachste Fall, den man so erklären kann. Und danach geht es dann um Diffy Helmen, wie man da die Kryptoanalyse drauf macht. Das war die erste öffentliche Public Key-Kryptografie-Agrhythmus, und der wird auch heute noch verwendet. Das kann irgendwie was ausdrücken darüber, wie wenig Fortschritt wir gemacht haben oder einfach, dass manche Ideen sich natürlich ergeben. Und das ist das Textbuchbeispiel, wie das funktioniert. Also Alice and Bob wollen eine Kommunikation verschlüsseln über einen öffentlichen Kanal, und dazwischen sitzt ein Angreifer, der zuhören will. Und um das jetzt umzugehen, müssen sie irgendwie einen gemeinsamen Schlüssel oder ein gemeinsames Geheimnis teilen. RSA hilft dabei, das zu ermöglichen. Bob, derjenige auf der rechten Seite hier, der hat einen öffentlichen Schlüssel. Das ist in RSA ein große Integer, und den schickt er an Alice und gibt es ihr, um ihre Nachricht zu verschlüsseln. Die schickt es dann an ihn zurück und der kann es dann mit seinem Key wieder entschüsseln und kann damit die Betragenden Nachrichts dann entschüsseln für eine symmetrische Schifre. Der Grund, warum wir glauben, dass RSA sicher ist, ist der beste Weg, wie man das angreifen kann, ist, dass man eben diesen Schlüssel zerlegen kann in seine Bestandteile. Und das ist sehr hart. Wir hoffen einfach, dass diese Exponentation sowas wie eine Einwegfunktion ist. Es ist sehr einfach, es in der Vorwärtsrichtung zu machen, aber die Invertierung ist relativ hart. Das Beste, was wir dafür kennen, ist der Number-Fulsiv-Algorithmus. Wie das funktioniert, will ich jetzt nur kurz erklären, also sehr, sehr grob. Es ist ein Algorithmus mit mehreren Stufen, relativ kompliziert. Manche von den Schritten kann man relativ gut parallelisieren, manche etwas weniger gut. Also mehrere verschiedene Stufen, da gehen wir dann durch. Und am Ende des Algorithmus haben wir dann hoffentlich einen Primzahlfaktor von der Zahl, die wir als Ausgangspunkt gewählt haben gefunden. Wie lange dauert das jetzt? Eine Antwort. Hier ist das, was die Zahlen theoretiker euch sagen, wie lange es dauern wird. Das ist eine subexponentielle Funktion der Eingabe. Das ist vermutlich nichts, was euch was sagt. Aber hier ist was Konkreteres. Also hier, für 512-Bit-RSA-Schlüsse, dann, das war die erste standardisierte Größe. Das hat ungefähr 6 Monate und ein paar Supercomputer gedauert. Aber jetzt kann man das schon irgendwie stundenweise kaufen. Und einige Studenten von mir haben das in ungefähr 4 Stunden und 75 Dollar auf Amazon EC2 geknackt. Wenn ihr das auch machen wollt, dann ... Ihr könnt das auch machen, wir haben den Code veröffentlicht. Die Adresse steht da auf der Folie. Wir freuen uns über Feedback. Wenn man jetzt mit der Schüssellänge größer wird, also zum Beispiel in 768 Bit-Schlüsse, dann ist der momentane Schätzung, wie lange es dauert, ungefähr weniger als ein Kalenderjahr dauert. Die erste öffentliche Entschlüsselung eines so langen Schlüsse dieser Größe wurde 2009 durchgeführt. Und bei größeren Schlüsseln hat es noch niemand öffentlich durchgeführt. Wahrscheinlich ungefähr eine Million Kernjahre, also CPU-Kernjahre. Und man geht davon aus, dass es vielleicht sogar schon in Reichweite von großen Regierungsorganisationen ist. Deswegen ist unsere Empfehlung, dass man wenigstens 2048 Bit-Schlüsseln benutzt, weil sonst ist es relativ sicher, dass es schon geknackt werden kann relativ bald. Jetzt gehen wir weiter zu Diffy-Helmen. Das Paper, das Diffy-Helmen, raus geht über neue Richtungen in der Kryptografie. Wie viele von euch haben dieses Papier tatsächlich gelesen? Er soll alle anderen sollten das jetzt gleich sofort nach unserem Talk lesen. Der erste Satz in diesem Paper ist 1976. Wir stehen auf dem Amrand einer Revolution in der Kryptografie. Das ist eines der besten Öffnungssätze in einem akademischen Papier, dass wir das jemals gelesen haben. Und sie hatten 100% recht über alles, was in diesem Ding geschrieben hat. Und sie haben die Grundsteine für die komplette Kryptografie in den nächsten Jahrzehnten. Und sie kamen auch mit den Grundlagen des modernen Schlüsselaustauschs heraus, dass heute immer noch in allen modernen Verschlüsselungstechniken benutzt wird. Alles in einem Papier, Paper. Okay, Diffy-Helmen, wie funktioniert das? Wir haben einige Parameter. Wir haben einen Primzahl P und ein Element G, das kleiner ist als P. Da sagen wir mal, okay, G ist einfach 2, dann kann man sich das besser vorstellen. P ist eine sehr, sehr große Primzahl, sagen wir mal 2048 mit Primzahl. Alles und Bob, genau wie im vorigen Szenario, Sie wollen also eine Kommunikation aufrechterhalten und es könnte aber immer zuhören. Also was machen wir dann, alles generiert ein geheimes, geheimen Wert A. Und dann berechnet sie eben G hoch AB modus P. Und dann b b eben G hoch AB modus P. Und dann sieht ein Zuhörer, sieht die entsprechenden Werte, aber kann daraus nichts rausziehen. Aber alles und Bob können trotzdem individuell ihre, ihre Geheimnisse nehmen und dann praktisch entsprechend rausrechnen ein gemeinsames Geheimnis oder ein shared secret. Und damit können sie dann als Session Key oder wie auch immer können, damit können sie praktisch ihre Kommunikation symmetrisch verschlüsseln. Und das ist der Diffy-Helmen Schlüsselaustausch, der überall im Internet benutzt wird grundsätzlich. Einer der Gründe, warum Leute Diffy-Helmen immer wieder benutzen wollen und verbreiten wollen, also in der Stadt der Stadt RSA, ist das Diffy-Helmen, die sogenannte Perfect Forward Secrets hat oder die Zukunftssicherheit. Das heißt, alles und Bob können immer neue Werte generieren, für die neue Schlüssel generieren, für die Kommunikation und selbst wenn eine Regierungsorganisation all diese Werte mitloggt, müssen sie diese Keys ständig neue rausrechnen, und sie können auch später nicht einfach in Alice oder Bob's Computer sich reinhecken und dann diese Original Keys rausfinden und damit die Original Unterhaltungen wieder rausrechnen, weil sie haben, die beiden haben inzwischen die Keys schon wieder gelöscht, die sie benutzen. Sobald sie also jedes Mal neue zufällige Werte sich herausrechnen, sollten diese Werte nichts über die zukünftigen oder vorangegangenen Kommunikationen enthalten. Und das ist die Perfect Forward Secrecy oder Zukunftssichere Verschlüsselung. Und einige Leute empfehlen definitiv Diffy-Helmen, und selbst ich habe das gesagt, ihr solltet immer Diffy-Helmen benutzen, und nicht RSA, weil eben die perfekte Zukunftssicherheit da noch gegeben ist. Und hier ist eben eine Sammlung von Zitaten, die ich im Internet gefunden habe, durch die Suche von Perfect Forward Secrecy und wir finden Leute, die sagen, es ist sicherer und die NSA kann das gar nicht entschlüsseln und 2048 Bit Diffy-Helmen ist viel besser als 2048 Bit RSA. Oder 1024 Bit Diffy-Helmen ist besser, da ist irgendetwas, was RSA machen kann. Und das sind Leute, Leute, die Freunde und Leute, die ich respektiere und auch außerdem zufällige Rendos auf Stack Overflow. Aber wo, weil das ist da, wo die Leute natürlich ihre Empfehlungen herbekommen. Und man sieht also, dass viele Leute Diffy-Helmen und Perfect Forward Secrecy als Grund nehmen, um Diffy-Helmen zu empfehlen. Und wir hatten Unrecht, das tut uns sehr leid. Ich erzähle euch jetzt einfach mal genauer, wie diese Krypto-Analyse bei Diffy-Helmen aussieht. Also wir haben gehofft, dass das zugrunde liegende Problem, das man lösen muss, um zu entschlüsseln, hart ist. Also wenn man diesen Schüsselaustausch wert nimmt, der berechnet wurde, müsste man den faktorisieren können und genau so, das ist relativ ähnlich, dass der discrete Logarithmus ist deutlich härter zu berechnen als die Exponent-Session. Deswegen bietet es Sicherheit. Und das Beste, was wir dafür haben, ist eben das Number-Filsiv, um das zu berechnen. Das ist das Diagramm, wie das hier aussieht. Wir haben wieder ein mehrschrittiges Verfahren, wieder verschiedene Schritte mit unterschiedlicher Paralysierbarkeit. Der letzte Teil sieht ein bisschen anders aus als vorher, aber das ignorieren wir mal jetzt im Moment. Also wir haben jetzt ungefähr ein Bild im Kopf, wie das aussieht. Wie lange dauert es, wieder die Zahlen theoretische Antwort, selber Antwort. Das ist der Grund, warum jeder sagt, dass die Sicherheit von 10, 20 Bittschlüssel bei beiden Verfahren ist in etwa gleich schwer zu knacken. Die etwas detailliertere Antwort darauf ist, wie lange dauert es, wirklich um das in der Realität auszurechnen. Und wenn man das jetzt anschaut, ein klein wenig länger als es dauert für das RSA-Problem. Nicht so viel länger. Deswegen ist auch die unterste Schranke für das, was wir sicher halten, auch wieder 2048 Bitt. Also es sollte okay sein, wenn man das nimmt. Aber was, wenn man jetzt viele Verbindungen knacken will, die alle die gleichen Parameter p, wenn man da jedes Mal durch alles durchlaufen, jedes einzelne Mal, für jede einzelne Verbindung, das war so ein bisschen die Hoffnung oder die Rechtfertigung für die perfekte vorwärts gerichtete Sicherheit. Das ist bei gleicher Länge gesichert ist, aber das ist jetzt leider nicht der Fall, weil wenn man sich jetzt das Ziel anschaut, was wir errechnen wollen, dann ist es nur in der ganz letzten Schritt, dass das eingeht. Das heißt, man kann den Algorithmus in zwei Teile teilen. Den ersten Hälfte, die nur von dem Teil p abhängen und die zweite Hälfte, die den Ausbrot der ersten Stufe nimmt und dann wirklich abhängt von dem Ziel der diskretenden Algorithmusberechnung, die wir haben. Das heißt, das ist ein echtes Problem, weil den ersten Teil kann man vorberechnen. Ganz besonders, wenn man sehr viele Verbindungen hat, die dieselbe Primzahl verwendet, dann muss ich wirklich diese Aufwand für den ersten Teil schon vorab berechnen und dann kann ich das in den eigentlichen Anteil für das, was ich berechnet will, ist dann nur noch sehr, sehr klein. In unserer Schätzung aus unserem Paper, das wir veröffentlicht haben, sieht man, wie viel wir glauben, dass es in der Realität wirklich dauern wird und die Antwort ist, wenn man sich von der Regierung irgendwie bedroht fühlt, dann muss man sich ernsthaft fragen, ob die Schlüsselgrößen, die jetzt verwendet werden, noch ausreichen. So, jetzt Alex wieder. Also dieser Fakt, den uns Nadia gerade gesagt hat, dass Diffie Hellman und das Number-Fasif eben so ist, das ist eine Sache, über die die Kryptoleute Bescheid wussten, aber die meisten von uns, die System-Sicherheit betrieben haben, wie zum Beispiel ich, haben dieses Memo natürlich nie willkommen. Also ich stehe hier auch zum Teil, um mich zu entschuldigen, vorallem den Leuten, denen ich über Diffie Hellman Dachen beigebracht habe, wo ich über Perfect Forest Secrecy gesprochen habe und diesen Fakt in der Krypto, dass das genau darüber dazu passt, wobei das, was wir uns Sorgen machen und dann genau, dass dieser Fakt uns nicht bekannt war. Jetzt, wo wir aber darüber Bescheid wissen, wie können wir das ausnutzen, um Diffie Hellman kaputt zu machen, zu knacken und bei den Sachen, die uns wichtig sind. Wir schauen uns heute zwei Szenarien an. Der erste betrifft HTTPS, so verschlüsselte Internetverbindungen oder Webverbindungen. Und der betrifft also nicht nur Firmen, staatliche Organisationen, aber ganz normale Webseiten, wie Sachen, die du oder ich haben. Also das ist sehr, sehr, sehr down to earth. Das ist sehr, sehr einfach und normal. Wir nennen sie Logjam. Logjam erlaubt uns HTTPS-Verbindungen zu knacken, zu vielen verschiedenen modernen Webseiten, mit modernen Brousern und zwar dadurch, dass wir diese Webseiten dazu bringen, die Sicherheit nach unten zu drücken und woher kommt diese Angriffe früher aus den Krypto Wars in den 1990ern. Und zwar hatte da die USA, meine Land, eine Beschränkung, in welche Kryptografie exportiert werden, durfte zu anderen Ländern. Das heißt, US-Firmen durften keine Kryptografie exportieren, die mehr als stärker war als ein bestimmter Schwellenwert. Also bei RSA war zum Beispiel die Schlüsselgröße auf 512 Bit restrigiert und bei Diffie Hellman eben auch, weil die Primzahl eben auf 512 Bit zurückgesetzt. Und das haben, wir nehmen inzwischen an, dass das wahrscheinlich deswegen der Fall war, weil diese Größen einfach waren für die NSA zu knacken. Und das heißt, wenn wir in amerikanischen Filmen sind, wie zum Beispiel Netscape Navigator, also dieser Browser, der die ersten SSL-Protokolle initiiert hatte, dann würden wir also einen Weg brauchen, um zwischen Server in den Vereinigten Staaten und zu Clients in den anderen Ländern, wie zum Beispiel hier in Deutschland, zu sprechen. Und deswegen habe es ihnen eine Möglichkeit eingefallen, an TDPFS-Verbindungen automatisch die richtige Schlüsselstärke auswählen zu lassen, je nachdem, welche Stärke der Browser unterstützte. Und die Art und Weise, wie sie das gemacht haben, ist die sogenannte Export-Grade-Cypher-Suite, also Exportstärke der Verschlüsselungssuite. Das heißt, jedes Mal, wenn wir eine HTTPS-Verbindung aufbauen zu einer HTTPS URL, dann schickt der Browser zum Server eine Liste der Kryptografiemethoden, die er spricht, die sogenannte Cypher-Suite. Und der Server sucht sich davon eine aus, die mit dem Server und dem Browser kompatibel ist. Und dann wird diese Verschlüsselungsmethode für die Verbindung benutzt. Und die Art und Weise, wie das in den 90ern unterstützt wurde, doch die Hintertüchen, die sie da, also die Art und Weise, wie Krypto in den 90ern gemacht worden ist, ist das praktisch Browser exportiert worden, die eben nur 512-Bit gesprochen haben und damit konnte da die NSA mithören. Und das sind eben die Stärken, die wir hier sehen. Und obwohl kein Browser exportiert worden ist oder veröffentlicht worden ist, der nur diese Schlüsselstärken spricht. Also seit den 2000ern oder so, als die USA ihre Exportregulationen für aufgeweicht hatte, gibt es die Option oder die Möglichkeit, dass nicht sofort diese alten Browser weggegangen sind. Das heißt, viele, viele Server, selbst heutzutage, akzeptieren diese sehr schwachen Verschlüsselungsmethoden, wenn der Browser nur die spricht. Also zum Beispiel, wenn ich einen Internet-Shop-Best betreibe, in der E-Commerce-Seite, dann möchte ich ihr trotzdem mit Brousern oder Künden sprechen, die noch, Nebsket Navigator aus den 90ern benutzen, weil sonst würde ich ja einige Verkäufe verlieren. Also warum sollten wir das abschalten, obwohl kein moderner Browser diese Verschlüsselungsalgorithmen auswählen würde? Also dachten wir zumindest. Letzten Jahr, da gab es zwei Angriffe, die diese geschwächten Algorithmen ausgenutzt haben und haben dann die Browser eben dazu überredet, denen über die schwachen Algorithmen zu sprechen, anstatt den Stärkern. Der erste davon war die Freak-Angriff, der Anfang 2015 veröffentlicht wurde. Die Freakintake war tatsächlich eine Implementationsschwäche in vielen modernen Brousern. Und um das auszunutzen, musste man nur einfach relativ billig eine 512-Bit RSA-Schlösseln fakturisieren. Und wie wir bei Natya gerade gehört haben, ist das eine Sache von vielleicht 4 Stunden, 75 Dollar. Also wenn wir das machen, dann sind wir in der Lage, alle Verbindungen zu einem Zu- und von einem Schwachenserver zu knacken. Also einem, der all diese alten Ciphers spricht. Und das betrifft also die meisten modernen Browser. Also sagen wir mal, ungefähr 10% aller Top-Millionen hat die DPS-Website. Das hat immer noch den Diffie-Helmen-Algorithmus gelassen, der nicht mit Freak angreifbar ist. Und wir haben jetzt ein Paper geschrieben im Mai. Das zeigt, dass wir eine separate Angriff haben, den Lockdom-Angriff, der einen Fehler in TLS ausnutzt, der in allen modernen Brousern vorhanden ist, der uns erlaubt, alle modernen Browser down-to-graden auf den 512-Bit-Diffie-Helmen und damit ähnliche Angriffe zu fahren, wenn der so aber eben diese alten Ciphers noch unterstützt. Okay, und jetzt lasst mich das noch kurz erklären, wie das wirklich funktioniert. Ihr habt euch sicher schon gefragt, das ist jetzt die Chance für euch, das mal zu erklären. Also Lockdom passiert im Prinzip während dem Handshake am Anfang bei der Verschlüsselung. Oben sieht man das. Euer Browser verbindet sich jetzt mit einem Server auf der rechten Seite. Alles will jetzt Ihre Lieblings-Website angucken. Im ersten Schritt, ein normaler Klient würde jetzt sagen, ich will jetzt diese möglichen Schiffren benutzen, inklusive unter anderem Diffie-Helmen. Und die rechte Seite antwortet, indem er sagt, er nimmt jetzt eine bestimmte davon, zum Beispiel Diffie-Helmen und gibt seine Zertifat-Kette mit und seine Parameter für den Diffie-Helmen-Exchange P&G und benutzt dann seinen hoffentlich langen Schlüssel, mit dem das signiert ist, um diese Parameter rauszugeben. Und wenn man diese ganze Verhandlung dann durchgeführt hat, im Anschluss gibt es, also sagen wir mal, es gibt einen man in dem Mittel, der versucht mitzuhören. Das Erste, was er machen wird, ist, er wird den, die Hallonachricht am Anfang des Austauschs modifizieren, dass er den, diese exportierbaren alten Verfahren unterstützt oder anfragt. Und der Antwort, der Server kann dann nur antworten, dass er die unterstützt, weil eine andere hat er ja nicht angefragt bekommen. Und ungefähr zehn Prozent aller Servers machen das ja, also die werden dann antworten, ja, wenn das das Einzige ist, was du haben willst, dann kriegst du das auch. Und jetzt handeln beide die Verschlüsselung aus mit Diffie-Helmen, aber mit diesen kurzen, nur unterstützten Schlüsseln. An diesem Punkt würde jetzt ein normaler Browser das zurückweisen, weil er hat ja eigentlich das gar nicht angefragt. Aber jetzt kommt der Mann in der Mitte wieder und modifiziert dann auch die Nachricht des Servers, modifizieren und reinschreiben, dass es eben doch eine längere Nachricht ist. Aber das Problem liegt hier im Protokoll, weil es einfach keine Unterscheidungen gibt zwischen den beiden. Die schauen im Prinzip beide aus, beide gleich aus. Und wir haben in der Realität wirklich einen Haufen Seiten im Internet gefunden, die wirklich auch bei normaler Diffie-Helmen die kurzen Schlüssel verwendet und akzeptiert. Also modifiziert jetzt der Mann in der Mitte diese Antwort und der Kleinen kann auch nicht mal feststellen, dass das modifiziert wurde. Okay, jetzt gibt es noch einen letzten Schritt, wo man feststellen könnte, dass was schief gegangen ist als Klient. Und jede Seite muss jetzt eine abgeschossene Nachricht an die andere Seite schicken, um das abzuschließen. Dabei wird das Geheimnis dieser Session verwendet. Also die vier dieser Nachrichten, die dabei verschickt werden, müssen auf beiden Seiten gleich sein. Aber der Mann in der Mitte kann diesen Dialog auch abändern, weil man eben diesen kurzen Schlüssel verwendet. Also die Nachricht, die man in der Mitte schickt, kann diese Nachricht auch abändern, weil man eben diesen kurzen Schlüssel verwendet. Wir wissen durch das Numberfield sieb genug, um das zu brechen. Das heißt, man muss wirklich während der Dialog läuft die Verschlüsselung knacken. Dann kann man die Hallo-Nachrichten von beiden Seiten modifizieren und beide Seiten können wirklich nicht feststellen, dass sich was geändert hat. Tut mir leid, das ist ein bisschen komplizierter. So, und wie weit verbreitet sind jetzt diese Defi-Helmen öffentlichen Parameter? Wir haben jetzt einfach mal das Internet gescannt. Wir benutzen Z-Map. Das haben wir schon mal hier vorgestellt auf ein 31C3. Und das haben wir jetzt verwendet, um Verbindungen mit HTTPS-Servern im IP-Adress-Raum zu machen und haben dabei herausgefunden, wie verbreitet verschiedene Größen der Primzahlen sind. Wir haben herausgefunden, dass 97% der Server verwenden nur, verwenden noch drei dieser kurzen Schlüssel. Es liegt daran, dass die hart kodiert sind in verschiedenen Standards. Das häufigste davon ist ein öffentlicher, hart kodierter Parameter in Apache 2.2. Also, man muss wirklich Apache neu konfidieren, um dieses Problem zu beheben. Einzehn Prozent der Server unterstützen eine Primzahl, die hart kodiert ist in ModSSL. Und die nächsten vier Prozent waren in der SunJDK. Nur zehn Primzahlen haben im Prinzip 99% der Server ausgemacht, bei denen wir gefunden haben, dass sie 512-Bit Defi-Helmen unterstützt haben. Wenn wir das jetzt kompromitieren wollen, was müssen wir dann tun? Nadja hat euch gerade erzählt, wie lange es dauert, um das Nr.7 zu verwenden, um das discrete Logarithmus-Problem zu lösen. Wir haben jetzt diese Vorberechnung für die drei häufigsten 512-Bit Defi-Helmen Primzahlen durchgeführt. Einige Kollegen von uns, CatoFS, haben diesen Code für uns vorgeschrieben und haben das dann laufen gelassen auf diesen Primzahlen und haben das auf einem Cluster, den sie drum liegen hatten, durchlaufen lassen. Das hat ungefähr eine Woche pro Primzahl gedauert. Danach haben wir eine optimierte Version des letzten Teils das Nr.7 zu verwenden und es hat nur 70 Sekunden gedauert, um das dann jeweils rauszufinden. Das heißt, Logjam und unsere Vorberechnungen erlauben uns jede Verbindung auf ungefähr 8% der eine Million beliebtesten Webseiten zu knacken. Als wir das veröffentlicht haben, hat es im Prinzip bei jedem modernen Browser funktioniert. Okay, was können wir dagegen tun? Das ist sehr, sehr schlecht hier alle. Das ist die Krypto, die wir alle benutzen. Okay, wir haben einige Sachen, wo mit denen wir dagegen arbeiten können. Das ist tatsächlich ein positives Teil. Die Browserverkäufer haben angefangen, die minimal Stärke von Defi-Helmen zu erhöhen. Das heißt, IE Chrome und Firefox werden alles unter 1024-Bits und verweigern Safari alles weniger als 68. Und TL1.3 enthält ein Bit, das sagt, man darf das eben nicht mehr downgraden. Zurück zu 100, ja. Okay, wir haben euch versprochen, dass es tatsächlich eine Demo gibt. Wir haben Optionen. Nr.1 ist, ihr könnt das herunterladen, Cata1FS, diese ganze Geschichte und das selber laufen lassen, die ganzen diskreten Logarithmus-Algorithmen laufen lassen. Und dann könnt ihr einfach das überall selber besprechen. Aber nachdem wir die ganzen Berechnungen schon gemacht haben, haben wir ausgedacht, wir können auch die entsprechenden Vorberechnungen euch zur Verfügung stellen, nachdem wir die Arbeit ja schon gemacht haben. Das haben wir gemacht durch die Twitter-API. Das heißt, wir haben einen Bots auf Twitter. Und wenn ihr diskrete Logarithmen für irgendwelche dieser weitverbreiteten Parameter berechnen wollten, dann kann dieser Bots das für euch tun. Hier ist der Gruppengenerator und die Prim-Zahlen in Hexadecimal für die drei Gruppen, für die wir die Vorberechnung gemacht haben. Und wenn wir das ausprobieren wollen, dann machen wir ungefähr sowas. Das benutzt hier Sage, das ist eine Python-basierte Open-Source-Packet für Algebra, Zahlentheorie und so weiter. Sage ist da ziemlich cool für sowas. Also, zum Beispiel, meine Prime ist das jetzt, dann kann ich das einfach so machen. Dann nehme ich zwei und dem ist hoch, eins, drei, drei, sieben, Modulo M. Dann drücke ich das in Hexadecimal auf, dann bekomme ich eben diesen Wert heraus, dann kann ich den in einen Tweet paste oder einfügen zu D-Logboard. Dann passiert einiges auf unserem Ende. Das ist eine der Maschinen in meinem Labor. Also bitte nicht kaputt gehen und nach ungefähr einer Minute oder zwei bekommst du eine Antwort zurück. Wie wichtig? Also es gibt eine Queue, es gibt eine Schlange. Also nur eine Sache passiert auf einmal. Normalerweise sind es ungefähr 70 Saison, wo es dauert. Also wenn er nicht sofort antwortet oder nicht innerhalb von einer Stunde, dann könnt ihr uns mal anschreiben und mal gucken, ob das immer noch funktioniert oder ob der irgendetwas kaputt ging. Also viel Spaß, bitte benutzt das nicht für böse Zwecke. Wir haben auch schon einige zufriedene Kunden. Okay. Wir haben euch auch versprochen, dass es hier zwei Angriffe mit Defi-Helmen geben wird. Und die erste Geschichte, Logjam, alle können die Backdoors aus den 90ern benutzen und moderne Browser zu ponen. Und die zweite Sache ist ein kleines bisschen überwacht. Also sprechen wir jetzt mal, wie Defi-Helmen Schwächen für Massenüberwachung benutzt werden können. Wir glauben, dass Regierungen jetzt schon heute 1024 Bit diskrete Logarithmen Defi-Helmens so brechen können, dass sie praktisch weitverbreitete passive Überwachung von Internet-Kommunikation damit möglich ist. Ist denn das Brechen von 1024 Defi-Helmen schon irgendwie die Regierungen? Wir können mal sehen, dass für 512 Bit RSA und Defi-Helmen, dass das praktisch jeder entschlüsseln kann. Jeder von euch könnte eigentlich mal die Ressourcen aufbringen und das zu entschlüsseln. 768 Bit RSA oder Defi-Helmen ja, also wir glauben, das ist auf jeden Fall erreichbar für akademische Versuche. Für 1024 ist es noch ein bisschen komplizierter. Also dass das Feld der Algorithmen ist so schwierig, dass es sogar schwierig ist, überhaupt Abschätzungen zu erschaffen und es ist sehr schwierig, komplizierter überhaupt abzuschätzen, wie lange wir da brauchen. Aber wir haben mal ganz kontervativ das durchgerechnet und eine sehr konservative Schätzung für das 1024 Bit Defi-Helmen, um die zu brechen, brauchen wir ungefähr 45.000 Jahre an einem CPU-Kern. Also 45.000.000 Jahre, das klingt schon sehr lange, aber wenn wir uns mal drüber nachdenken und wenn wir es wirklich dann so groß arbeiten, dann gibt es einige Optimierungen, die wir eben durchführen können. Also zum Beispiel anstatt dass wir das auf normalen Computern machen, wie diese Schätzungen zeigen, vielleicht nehmen wir dann einige andere Chips und vielleicht erstellen wir sogar unsere eigene Hardware und können uns zum Beispiel mal einige Geschwindigkeitsvorteile von selbstgebauter Hardware anschauen. Dann denken wir mal, wir können das Ding ungefähr um 80 mal schneller machen, nur indem wir praktisch eigene Hardware benutzen. Dann fragen wir uns, was kostet das ungefähr? Wir denken, um eine entsprechende Maschine zu bauen, die einen 1024 Bit Primzahl pro Jahr knacken kann, würde ungefähr 100 Millionen Dollar kosten. Das heißt, wir können einmal pro Jahr eine Prähekompetition herausgeben, die jede Verbindung, die diesen Key benutzt, brechen kann. Die individuellen Logarithmen können dann praktisch fast in Echtzeit berechnen werden und man kann die selber Hardware benutzen, um diese Berechnungen auszuführen. So, und so sehen jetzt dann die Schätzungen aus, wie das dann wirklich aussieht. Also, kann die NSA das wirklich machen? Das ist, wo wir jetzt dann mit den Verschwörungstheorien anfangen. Es gab schon seit Jahrzehnten und Jahren, gab es immer wieder Gerüchte mit einigen Durchbrüchen, die die NSA irgendwie gemacht hat. Da gibt es zum Beispiel hier was aus Stanford, da gibt es einige Codebreaker, die dann eben gesagt haben, okay, was macht denn die NSA so? Ja, da hat einen Artikel geschrieben in 2012, der ganz klar gesagt, dass er zu einigen offiziellen Regierungsvertretern gesprochen hat und die haben gesagt, vor ein paar Jahren hat die NSR einen riesigen Durchbruch gemacht und jeder ist jetzt ein Ziel der Überwachung und dieser Durchbruch, der gibt eben in die Option, heutige öffentliche Verschlüsselung zu knacken und keiner hat da irgendwie Zugriff zu den Details gehabt, aber was auch immer es war, es war echt groß und es war echt massiv. Also wenn wir das gesagt haben, haben wir uns gedacht, okay, was kann das möglich? Haben sie etwa RSAG knackt und der Artikel geht dann weiter, dass sie dann spekulieren, dass das möglicherweise AES ist und das ist meiner Ansicht nach relativ unwahrscheinlich, weil Publiki ist viel interessanter. Also wir haben diese Gerüchte über diese großen Durchbrüche, dass sie das Zehntausende Mathematiker beim NSA eben dafür arbeiten und da durchbrechen. Ja, wir wissen auch, wir sehen auch an dem Geld, dass sie ausgeben, dass die NSA da auf jeden Fall ganz viel Geld ausgeben und dafür misst es aber auch dann Finanz gegeben und Dank ist, dann Edward Snowden haben wir da auch deren Budgets und sie geben tatsächlich hunderte von Millionen von Dollars pro Jahr für Personal und sie geben auch ganz viel aus für Computersysteme, Analyse, Neutations Solutions, das heißt wahrscheinlich Software und Hardware zum Knacken und sogar Mikro-Elektronik ist dann in diesem Budget drin in einem sehr großen Betrag. Also das ist sehr interessiert. Also 100 Millionen Dollar für speziell der Hardware ist definitiv erreichbar für eine Regierung wie unsere, damit sind die USA gemeint. Okay, was wäre denn jetzt die Auswirkung, wenn man das wirklich vorberechnet für eine einzige Primzahl? Die Antwort ist erschreckend groß. Also wenn man jetzt die Vorberechnung macht für eine einzige 1024 große Primzahl, das würde passives Mithören von 66% aller VPN-Verbindungen also Verbindungen an 66% aller VPN-Server und 26% aller SSH-Server möglichen und im Prinzip funktioniert es ja immer so dass man sagen muss was er unterstützt dieser Server was präferiert er. Und das sind nur die die sagen sie würden diese bestimmte Größe präferieren. Wenn man jetzt eine zweite hätte dann würde das für 18% der Top 1 Million hat die FES Domänen zunieren. Und das letzte Stück Beweis, das wir noch haben das ist wahrscheinlich schon innerhalb der Reichweite der NSA das sind jetzt die Folien die letztes Jahr raus kamen durch den Spiegel da ging es relativ weit ins Detail über die Entschlüsselung der also das passive Mitlauschen von VPN-Verbindungen und die Folien sagen ja, wir haben die Möglichkeit mitzulauschen bei den VPN-Verbindungen auf einer relativ großen Skala und sie sind auch relativ glücklich darüber und das ist meine Lieblingsfolie darüber also wenn man es jetzt nochmal also diese Folien die schauen sich relativ genau den Schlüsselaustausch an und wenn man sich den jetzt anschaut wie der funktioniert bei IPsec VPNs dann bauen die die Verbindung auf und der Schlüsselaustausch benutzt einen fixen Satz an Parameter aus einer sehr kleinen Anzahl zwischen Werten und da muss man aushandeln, welchen von den Parameter man verwendet daraus ermitteln sie dann ein gemeinsames Geheimnis das sie verwenden und in der gängigsten Modus, den sie verwenden ist quasi wie ein geteiltes Geheimnis als Passwort dieses Diffie-Helmen-Geheimnis was dann ausgemacht wird wird dann mit dem anderen vermischt so dass man einen Session-Key erhält wenn man also eine Verbindung dieser Art knacken will, muss man im Prinzip den vorher ausgemachten gemeinsamen Schlüssel klauen und mit einer anderen Methode und dann kann man es knacken wenn man jetzt also die Vorbedingungen anschaut die die NSA hat für die große angelegten Lauschangriff dann hängt es davon ab dass man den vorher ausgeschalten Tees den Schaffig dazu und man braucht noch den Metadaten dafür es sind deren Voraussetzungen um das entschliessen zu können und wenn man sich jetzt noch genauer anschaut wie ihr Entschlüsselung Ablauf wirklich aussieht es ist relativ kompliziert aber sie holen den IKE Austausch und die Metadaten und schicken das in ein System was sie haben also diese IKE Nachrichten packen sie in einen Hochperformantenrechner und kriegen dann da benutzen da aber noch auch Datenbanken vorher bekannter Werte und benutzen das um das zu entschüsseln so sieht der Ablauf aus aber wir haben keinen genauen Beteilts, wie die Analyses funktioniert aber wir wissen ungefähr wie sie zusammen bestellt werden es braucht ein hochperformantes Rechnen man braucht diese IKE und man kriegt dann den entschüsselten Nachrichten jetzt kann man das verbinden mit dem diskreten Logarithmus Ablauf und wenn man sich die Vorbedingungen mit dem Ablauf den wir bräuchten dafür vergleicht, stellt man fest dass es beides relativ ähnlich ist und dann abgleichen, stellt fest dass es quasi selbe ist in der gleichen Vorhinsatz den wir da hatten haben sie auch genaue Pläne veröffentlicht denen sie gegen bestimmte Dinge vorgehen würden wenn man ein vernünftiges Backdoor hätte dann hätte das weniger Vorbedingungen dann würde man sich das einfacher machen das zu entschüsseln ich lasse jetzt noch Alex den letzten Teil machen also um jetzt das ganze zum ende zu bringen was wir jetzt heute gesehen haben durch die Kryptoanalyse auf Diffie-Helmen wahrscheinlich ist das wirklich der feuchte Traum der Massenüberwachung wenn eine Regierung mit hinreichend vielen Ressourcen interessieren will in so eine Abhöhrmethode kann man im Prinzip unfassbar viele Verbindungen fast jeden Protokoll im Internet abhören hier sind noch mal paar Zahlen dazu die Top 100 Millionen Seiten bei HTTPS wir schätzen dass man 56% der Verbindungen passiv nacken kann bei dem Internet Version 1 und 2 dann sind wir sogar bei den 60% Range sogar mit derselben Hardware bei SSH mit verschusteten Verbindungen für SMTP mit STARTILS für IMAP alle diese Protokolle sind potenziell durch dieselben Methoden angreifbar im Prinzip alle Entwickler dieser Protokolle auf dieselbe Kryptografie zurückgreifen mit den gleichen Parameter die so weit verbreitet sind was können wir jetzt also dagegen machen also erstmal gegen die Logjam-Attacke jeder kann im Prinzip diese 90er Jahre Kryptoword-Technologie verwenden um die modernen Browser zu knacken manche von den Brousern haben sich schon verabredet und viele haben das schon ein gutes Stück weit aber es gibt immer noch genug zu tun unsere wichtigste Forderung ist aber benutzt keine Backdoor-Kryptografie von damals weil die kommt jetzt und macht uns das Leben schwer und dann haben wir noch die zweite Angriff wir müssen da wirklich darüber nachdenken ein paar Upgrades zu machen die einfachste Sache ist wahrscheinlich und jeder Kryptograf den wir fragen sagt uns nimmt elliptische Kurven als kryptografische Methoden ja die NIST-Kurven könnten möglicherweise von der NSA kompromittiert worden sein aber insgesamt ist es wahrscheinlich das vernünftigste was wir haben und wenn das keine Option ist und es gibt technische Gründe warum das so sein kann dann benutzt bitte wenigstens 2048 oder besser noch längere Primzahlen für Diffy-Helmen und wenn das auch keine Option ist weil er irgendwie Uralt-Versionen verwendet oder Java wenn irgendjemand hier ist der für Sun arbeitet oder für eure dann bitte sagt ihnen sie sollen bitte ihre Kryptofixen aber wenn das keine Option ist also wenn man die Wahl nicht hat dann kann man immer noch seine eigene 1024 Bit Primzahl generieren es ist richtig, dass man da verschiedene Tricks anwenden damit sie sicher ist und ja aber es gibt Implementierungen die in diese Arbeit abnehmen und es ist nicht ganz einfach aber es ist wirklich billig und es gibt fast keine andere Wahl und in dem Fall muss wenigstens die Regierung sich wirklich noch mal anstrengen und richtig viel Ressourcen reinstecken um das einfach zu kriegen und kriegt es nicht einfach umsonst das war unser Vortrag für heute Abend wir haben uns eine Haufen Zeit für die Fragen übrig gelassen ich danke euch fürs zuhören Nadja Nadja und Alex, danke dir sehr viel wir haben hier ein paar Mikrofonen in den Raum, also bitte Q-Up aber erst, Signal Angel, haben wir Fragen aus der Net? wir haben eine Haufen Fragen die erste Frage glauben Sie, dass die NSA Quantum Shore Faktorisierung benutzt? ich glaube mal es ist eher wahrscheinlich dass sie normale klassische Kryptografie für 1024 Bit Schlüssel benutzen anstatt dass sie einen Quantencomputer hätten von dem niemanden gehört hat ist es denkbar dass sie die NSA das N-P-Problem gelöst hat und nicht sagt wahrscheinlich nicht aber wenn sie das gehabt haben dann würden sie das wahrscheinlich sehr geheim halten ich glaube, ich hoffe sie würden es uns sagen aber ich bin zweifelers zwei Fragen eigentlich die erste ist es vernünftig anzunehmen oder ist es möglich dass sie einzelne NSA Schlüssel angreifen zum Beispiel in einer Woche Aufwand nacken können also als sie NSA Suite B rauskamen haben sie keinen Diffy Helman benutzt so in 2005 haben sie zum Prinzip gesagt wir verwenden keinen Diffy Helman das heißt, als sie das irgendwie geändert haben dass man den folgen soll also der erste Teil der Frage ob sie RSA Faktorisieren für 1024 ist ziemlich sicher ja, tun sie für wertvolle Ziele also wenn du eine große Webseite bist und du ein 1024 Bit RSA Schlüssel benutzt dann ist es sehr, sehr, sehr höchste Zeit einen stärkeren Schlüssel zu benutzen wenn die NSA nicht einen 1024 Bit RSA Key benutzt hat, dann bin ich sehr enttäuscht und ich frag mich, wo mein Steuergeld eigentlich hinfließt außerdem denke ich, der Grund dafür ist oder was die verteidigende Teil der NSA tatsächlich empfiehlt das zu lesen das ist tatsächlich, weil das wahrscheinlich eine sinnvolle Art und Weise eine sinnvolle Sache ist, die man tun also wir glauben, dass die öffentlichen Empfehlungen des Verteidigungsteil der NSA sagen wir glauben, dass die wir glauben, dass die Leute für Empfehlungen die klassifizierte Daten benutzen das heißt, wahrständig sind das gute Empfehlungen aber was die NSA mir gezeigt hat die Empfehlungen ist, solange man sie exakt befolgt, dann geht es einem gut aber sobald man auch nur ein minimal zur Seite geht links oder rechts, dann machen sie überhaupt keine Garantien mehr also denken wir darüber nach, was das bedeuten könnte bezüglich deiner Implementation genau nächstes mal, wenn du durch diese Empfehlungen durchliest also im Moment ist ein elektrische Kurven-Kryptografie basierte Diffie-Helmen sicher? wir hoffen mal also zumindest ist ja nicht durch genau diesen Angriff angreifbar soweit wir wissen, ist es nicht möglich diese gleiche Vorberechnung für elektrische Kurven Diffie-Helmen zu machen also was wir nicht erwähnt haben in dem Talk, ist der Grund warum Elective Curve Schlüssel so viel kürzer sind ist, dass wir sehr, sehr mächtigen Index Calculus Algorithmen haben, um diskrete Logarithmen über endliche Felder zu fakturisieren und wir haben keine equivalente für richtig generierte elektrische Kurven und deswegen sind diese Schlüsselgrößen kürz und deswegen wir glauben, dass die sicherer sind Sie haben gesagt wenn Sie die Vorberechnung durchführen für die häufig verwendeten Primzahlen dann können Sie den Aufwand sogar also dann können Sie den Aufwand für die eigentlich verwendeten Verbindungen auf 70 Sekunden drücken können, dann in der Zeit ist doch meine Verbindung schon längst durch also, da verweise ich auf das Paper für die volle Antwort aber es gibt einige Tricks, die man machen kann um einen Session Handshake offen zu halten und das ist möglicherweise nicht was du machen wirst mit der Verbindung zu einem Web Browser der index.itml lädt aber der Prozess der zum Beispiel dieses 1 Pixel Tracking JPEG lädt, das eh keiner sieht das ja auch die gleiche Session bekommt das da, das kannst du 70 Sekunden lang offenhalten ohne dass der Benutzer das bemerkt also, was also gelungen ist ist, dass wir haben einige Wege gefunden, mit dem wir diese Browser Implementation dazu bringen können die Verbindung lang genug offen zu halten außerdem, 70 Sekunden ist was wir mit einigen Wochen an Optimierung geschafft haben und ein bisschen rumhängen aber wir glauben aber mit nicht zu viel mehr Aufwand könnten wir diese Nummer nochmal deutlich reduzieren aber wir glauben, 70 Sekunden ist gar nicht mal so schlecht auf diese Art und Weise und sie wirft gerade ein noch Proof of Concept Wie lange schätzen sie braucht es um die Sicherheit die Sicherheit von RSA noch hält und wann werden wohl Quanten Algorithmen kommen um das zu ersetzen letzte Nacht war der Ort um über Quanten Kryptografie zu sprechen die kurze Antwort ist, dass die Leute die wissen, worüber man spricht ist, dass wir uns da jetzt um Sorgen machen und wir uns da jetzt überlegen weil wahrscheinlich innerhalb der nächsten 15 Jahre Quantencomputer rauskommen aber es ist sehr schwierig darüber zu spekulieren über Fortschritte in der Physik die noch relativ weit weg sind also Was ist Ihre Meinung zu den Nistkurven vor allem wegen der Gerüchte im Moment über die Backdoor da drin es gibt keine bekannten Arten mit diese Kurven hier sehr schön eingebohnt werden konnten mit den bekannten Parametern, aber wenn ihr den nicht glaubt, Bernstein hat eine Kurve die ihr auch benutzen könnt Glaubt ihr Dan oder vertraut ihr Dan oder vertraut ihr der NSA Sie sagen, dass Diffie Hermann jetzt schlimmer ist als RSA soll ich jetzt wirklich auf RSA zurückwechseln mit gleichlangen Schlüsselungen wenn die Primzahl ungefähr gleich groß ist oder der Modulo ist dann sagen wir das ja dass wenn wir jetzt im 1024 Bitfy uns befinden dann gibt es starke Gründe dafür diese sehr bekannten Diffie Hermann Primzahlen zu vermeiden das ist natürlich nicht die gesamte Story das ist nicht die ganze Geschichte für längere Schlüssellängen oder längere Modulozahlen ist RSA wahrscheinlich immer noch okay aber so oder so ist der Wechsel auf elliptische kurven Schlüsselaustausch die richtige Art und Weise das zu machen also das präzise Statement Diffie Hermann mit 1024 Bit RSA vergleichen und wenn wir Diffie Hermann mit den weitfavorittesten Primzahlen aus dieser Gruppe benutzen auch die auch alle anderen im Internet benutzen dann ist es sehr wahrscheinlich, dass eine große staatliche Organisation die Präkompetition für dieses Primzahl benutzt das heißt sie können diese Präberichtung Vorberechnung benutzen um deinen Diffie Hermann Key Exchange mit sehr viel weniger Aufwand berechnen können auch wenn 1024 Bit RSA Key Schlüssel berechnen müssten der jetzt für dich in die Welle ist auch wenn diese 1024 Bit RSA Key tatsächlich erreichbar wäre ist es möglicherweise den Aufwand nicht wert dagegen bei Diffie Hermann haben sie die harte Arbeit schon gemacht das für alle im Internet zu machen und deswegen ist es wahrscheinlich bist du nur noch ein kleiner Fisch und es ist trotzdem einfach für dich so die Sache ist die wenn wir 1024 Bit Diffie Hermann das dann geht es euch wahrscheinlich dann habt ihr das wahrscheinlich richtig gemacht wahrscheinlich ist es oder wie realistisch es ist, dass man eine neue Primzahl für jeden oder für immer einen kleinen Satz von Austauschen generieren kann leider sind die Eigenschaften die wir von diskreten Logarithmen brauchen sind sehr schwierig wir brauchen eine diskrete Primzahl wir möchten eine sichere Primzahl und sie sollte nicht verhalten und das ist trotzdem sehr schwierig also wenn du dein Laptop benutzt dann brauchst du bestimmt eine Minute dafür zum Beispiel also es ist tatsächlich viel Aufwand neue sichere Primzahlen zu erstellen also das heißt, benutzt einfach eine größere sichere Primzahl und dann ist es schon okay also ich habe jetzt gehört dass elliptische Kurvenkryptografien nicht anfällig ist für solche Rechnungsattacken ist das Zufall oder wurde das so ein bezogen ähnliches Design? Glück, Zufall eine Kombination von beiden also soweit wir wissen kann man bei elliptischen Kurven auch Vorberechnungen durchführen das heißt generisch kann man sagen die beste Sache die du sagen kannst ist du kannst sehr viel vorberechnen aber du musst so trotzdem bei elliptic Curve immer noch sehr viel Aufwand reinstecken also malerweise wenn ich jetzt einen elliptischen Curve algorithmen benutzen benutzen möchte dann hängt die Angriff immer noch von der Schlüsselgröße ab das heißt in die Größe der Schlüssel mehr Aufwand muss ich betreiben aber das heißt ich bekomme als Angreifer deutlich weniger raus aus der Vorberechnung was denkt ihr über Blacklisten diese Primzahlen in den modernen Browsern? diese bekannten Primzahlen einfach rauswerfen aus den Browsern haben wir uns damit zuerst rauskommen sind wenn wir das dann gemacht hätten dann hätten wir automatisch 10% der Top Webseiten kaputt gemacht weil es gibt da keine einfache Lösung was zu sagen wenn du diese Primzahlen nicht magst was wahrscheinlicher ist was die Browser machen ist die Helmen mit den kurzen Schlüssellängen einfach komplett ausbauen über die nächsten Jahre also wahrscheinlicher was erste was sie machen werden und was sie auch jetzt schon machen ist sehr sehr schwache Schlüssel zu verweigern aber über längere Zeit hinweg werden sie wahrscheinlich allen ihren Benutzern raten auf elliptische Curven Verschlüsselungsalgorithmen umzusteigen natürlich Alex vielen vielen Dank und das Übersetzerteam sagt auch danke, ihr habt die Übersetzung des Vortrags