Anzeige
Anzeige
News

379 Jahre alter Algorithmus knackt kryptografische Schlüssel

Der Journalist und Sicherheitsforscher Hanno Böck hat eine Handvoll schwacher Krypto-Schlüssel gefunden, die leicht zu knacken sind, aber in handelsüblichen Druckern zum Einsatz kommen. Sie wurden offenbar mit veralteter Software erstellt.

2 Min.
Artikel merken
Anzeige
Anzeige

Mathematik aus dem 17. Jahrhundert knackt Krypto-Schlüssel des 21. Jahrhunderts. (Bild: Shutterstock/Imilian) 

Wer ältere Software des Herstellers Rambus verwendet, könnte bei der Schlüsselerstellung auf die Nase fallen. Die betroffene Software stammt aus einer Basisversion der Safezone Crypto Libraries, die von einem Unternehmen namens Inside Secure entwickelt und von Rambus im Rahmen des Kaufs von Verimatrix im Jahr 2019 übernommen wurde. Rambus legt Wert auf die Feststellung, dass diese lange veraltete Version nicht mit der FIPS-zertifizierten Version, die das Unternehmen jetzt unter der Marke Rambus FIPS Security Toolkit verkauft, zu verwechseln ist.

Mathematik des 17. Jahrhunderts knackt heutige Krypto-Schlüssel

Anzeige
Anzeige

Hanno Böck hatte im Rahmen einer öffentlich geförderten Untersuchung herausgefunden, dass die anfällige Safezone-Bibliothek die beiden Primzahlen, die sie zur Erzeugung von Online-Verbindungen schützende RSA-Schlüsseln verwendet, nicht ausreichend randomisiert hatte. Das Safezone-Tool nutzte nämlich nach der Erstwahl einer Primzahl, um den Schlüssel zu bilden, eine zweite, die zu nah an der ersten lag.

Das sei mindestens fahrlässig, weil die beiden Primzahlen sich zu ähnlich seien. Kryptografen wissen seit Langem, dass RSA-Schlüssel, die mit zu nahe beieinander liegenden Primzahlen erzeugt werden, sehr einfach mit der Fermatschen Faktorisierungsmethode gebrochen werden können. Der französische Mathematiker Pierre de Fermat hatte diese Methode erstmals im Jahr 1643 – also vor 379 Jahren – beschrieben.

Anzeige
Anzeige

Dabei basiert der Algorithmus auf der Tatsache, dass sich jede ungerade Zahl als Differenz zwischen zwei Quadraten ausdrücken lässt. Wenn die Faktoren in der Nähe der Wurzel der Zahl liegen, lassen diese sich leicht und schnell berechnen. Unbrauchbar wird die Methode, wenn die Faktoren rein zufällig sind und weit auseinander liegen.

Anzeige
Anzeige

Schlüsselgenerierung sollte man sich nie leicht machen

Die Sicherheit von RSA-Schlüsseln hängt davon ab, wie schwierig es ist, die große zusammengesetzte Zahl eines Schlüssels (in der Regel als N bezeichnet) zu faktorisieren, um die beiden Faktoren (in der Regel als P und Q bezeichnet) abzuleiten. Sind die angeleiteten Faktoren P und Q hingegen öffentlich bekannt, ist der aus ihnen bestehende Schlüssel gebrochen und damit nicht mehr tauglich. Jede und jeder kann dann die durch den Schlüssel eigentlich geschützten Daten entschlüsseln oder den Schlüssel zur Authentifizierung von Nachrichten verwenden.

Böck hatte sich die Mühe gemacht, eine große Zahl an Schlüsseln, „zu denen ich entweder Zugang hatte, die uns von anderen Forschern zur Verfügung gestellt wurden oder die öffentlich zugänglich waren“, gegen die Lücke zu prüfen. Dabei konnte er etwas mehr als eine Handvoll Schlüssel in freier Wildbahn identifizieren, die für den 379-jährigen Faktorisierungsangriff anfällig waren. Die Funde konzentrierten sich auf Drucker der Hersteller Canon und Fujifilm (ehemals Fuji Xerox). Hier waren Schlüssel betroffen, mit denen Druckerbenutzer eine Zertifikatsanforderung (Certificate Signing Request) erstellen können. Die Erstellungsdaten lagen konsequent im Jahr 2020 und danach. Es handelt sich also nicht um ein uraltes Problem, das nur noch keiner gefunden hatte.

Anzeige
Anzeige

Schlüssel möglicherweise zu Testzwecken generiert

Ebenso fand Böck anfällige PGP-Schlüssel, die normalerweise zur Verschlüsselung von E-Mails verwendet werden. Die mit den Schlüsseln verknüpften Benutzer-IDs lassen ihn jedoch darauf schließen, dass sie gezielt zu Testzwecken erstellt worden waren. Eine aktive Nutzung scheint demnach ausgeschlossen.

Böck selbst rechnet seiner Entdeckung im Rahmen eines Beitrags für Golem keine große praktische Relevanz zu, resümiert aber, dass es sich stets lohne, „nach alten, bekannten Schwachstellen“ zu suchen.

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Kommentare

Community-Richtlinien

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Kommentar abgeben

Melde dich an, um Kommentare schreiben und mit anderen Leser:innen und unseren Autor:innen diskutieren zu können.

Anmelden und kommentieren

Du hast noch keinen t3n-Account? Hier registrieren

Anzeige
Anzeige