Kryptographie-Frage: Symmetrische sicherer als asymmetrische Verschlüsselung?

C

cyberjonny

Active member
Themenstarter
Registriert
22 Sep. 2007
Beiträge
9.720
Guten Morgen miteinander,

ich habe vor einiger Zeit den - meines Erachtens recht interessanten - Guardian-Artikel "NSA surveillance: A guide to staying secure" von Bruce Schneier gelesen, in dem er auch Tipps gibt, wie man sich vor Abhörmaßnahmen schützen kann, welche Software und Protokolle dafür taugen, etc. Grundsätzlich sind die Ratschläge nicht neu, allerdings bin ich in einem der letzten Absätze [5) Try to use public-domain encryption that has to be compatible with other implementations. ...] über eine Aussage gestolpert, die ich nicht ganz verstehe bzw. nicht nachvollziehen kann. Dort rät Schneier nämlich:

Prefer symmetric cryptography over public-key cryptography.
Zum Vergrößern anklicken....

Mir sind die grundsätzlichen Funktionsweisen von symmetrischen und asymmetrischen (klassischerweise "public-key") Verschlüsselungsverfahren zwar vertraut (obschon ich weit davon entfernt bin, ein Experte auf dem Gebiet zu sein ;)); dennoch war mir bisher nicht bekannt, dass asymmetrische Verschlüsselung grundsätzlich "schlechter" respektive unsicherer ist als symmetrische Verschlüsselung. Ich weiß, dass beide Verfahren ihre Vor- und Nachteile haben (benötigte Rechenleistung, Komfort beim Schlüsseltausch etc.), aber dass das symmetrische Verfahren ganz konkret mehr Sicherheit bietet als das asymmetrische, habe ich so bisher noch nirgends gelesen.

Also:
Kann mir jemand erklären, warum Schneier in seinem Artikel dazu rät, grundsätzlich symmetrische Verschlüsselung asymmetrischer Verschlüsselung vorzuziehen?
Ist symmetrische Verschlüsselung wirklich sicherer - und warum ist das so, was ist der Grund hierfür?
Oder mache ich einen Denkfehler oder habe den Satz schlicht falsch verstanden?

Vielleicht kann der eine oder andere Experte hier ja etwas Licht ins Dunkel bringen... :)

Danke euch!
Gruß, Jonny
 
Vorweg:
Ich bin auch alles andere als ein Kryptoexperte.

Meinem Verständnis nach gibt es zwei Probleme mit asymetrischen Verfahren:

1. Da der öffentliche Schlüssel immer bekannt ist steht und fällt die Sicherheit dieses Verfahrens mit der Frage ob der private Schlüssel aus dem öffentlichen abgeleitet werden kann. Davon geht man in der Regel natürlich nicht aus, aber das zu beweisen ist wohl mathematisch schwierig. Ein Restrisiko wird also bleiben. Das Problem lässt sich umgehen indem man beim Verteilen des öffentlichen Schlüssels die gleiche Sorgfalt walten lässt als handle es sich um einen synchronen Schlüssel. Ich vermute darauf wollte der Artikelautor hinaus als er zu synchronen Verfahren riet. Es ging ihm nicht so sehr um das Verfahren an sich sondern viel mehr um den Umgang mit den zugehörigen Schlüsseln.

2. Asynchrone Schlüsselverfahren sind rechenintensiv. Aus Performancegründen wird daher oft nicht die Nachricht selbst verschlüsselt, sondern nur ein zweiter synchroner Schlüssel welcher zum Verschlüsseln der eigentlichen Nachricht verwendet wird. Ist dieser synchrone Nachrichtenschlüssel bekannt (z.B. weil er schon mal woanders abgegriffen wurde) lässt sich theoretisch der asynchrone öffentliche Schlüssel einfacher ermitteln da die Korrektheit einer gefundenen Entschlüsselung einfacher zu prüfen ist. Ob dieser Aspekt in der Paxis wirklich relevant ist weiß ich allerdings nicht.
 
Hi,

symmetrische und asymmetrische Kryptographieverfahren dürfen keinesfalls miteinander verglichen werden. Es handeln sich um zwei grundsätzlich verschiedene Verfahren und werden je nach Einsatzgebiet angewendet. Vielerlei werden diese jedoch, wie hikaru bereits erwähnt, kombiniert eingesetzt (https-Verbindungen).

Für die Erstellung einer sicheren, heutzutage gängigen AES-256 Verbindung, muss durch das eingesetzte Kryptomodul des Browsers zuerst ein asymmetrisches Schlüsselpaar erzeugt werden. Dafür wird normalerweise das RSA-Verfahren mit einer Länge von 2'048 Bit angewandt. Wurde dieses erstellt, wird der Key der symmetrischen Verschlüsselung der Anwendung auf dem verwendeten Server an den Browser übermittelt, welcher dann durch Anwendung einer symmetrischen Kryptomethode eine gesicherte Verbindung erstellt.

Bemerkung:
  • AES-256 ist Open Source und somit frei einzusetzen. Ausserdem wurden diverse strenge Anforderungen des Komitees (handelte sich um einen Wettbewerb) an die Entwickler gestellt. AES, welches den Wettbewerb gewann, ist bei heutigen CPUs hardwaremässig implementiert. Als Folge dessen sind asymmetrische Kryptoverfahren einiges rechenintensiver.
  • RSA in einer Bitlänge von 2'048 gilt als sicher. Die maximale Schlüssellänge liegt bei 4'096 Bit.
  • Die Wahl der manuell eingegebenen Passwörter ist von grosser Relevanz (mir ist kein Fall bekannt, bei welchem eines der beiden Verfahren bei ausreichend sicherem Passwort und obigen Prämissen bis dato geknackt wurde).
  • Moderne CPUs generieren entweder durch quantenmechanische oder nicht-quantenmechanische Prinzipien Zufallszahlen (siehe hier). Die erzeugten Zufallszahlen sollten statistisch betrachtet einer Gleichverteilung unterliegen.

LG Uwe
 
Zuletzt bearbeitet:
@ hikaru:

Mit deinem ersten Punkt könntest du - so betrachtet - recht haben. Ich bin eben davon ausgegangen, dass man anhand des öffentlichen Schlüssels keinerlei Rückschlüsse auf den privaten Schlüssel ziehen kann, und habe das als gegebene Grundvoraussetzung betrachtet. Wenn/falls diese Tatsache allerdings nicht sicher gegeben ist, wäre das ganze Konzept der asymmetrischen Verschlüsselung natürlich sehr an- und damit hinfällig, das ist klar. Aber zur Zeit geht man doch davon aus, dass es nicht möglich ist, den privaten Schlüssel anhand des öffentlichen Schlüssels abzuleiten - oder gibt es da mittlerweile realistische Ansätze/Entwicklungen/Vermutungen?

Mit Punkt 2 hast du grundsätzlich wohl auch recht, allerdings halte ich das persönlich doch für ein sehr theoretisches und konstruiertes Szenario. Hier wäre wohl das weitaus größere Problem, dass der "symmetrische Schlüssel" bekannt ist, als die Tatsache, dass sich damit womöglich das erfolgreiche Knacken einer asymmetrischen Verschlüsselung vereinfachen respektive verifizieren lassen könnte. Ich denke kaum, dass das praxisrelevant ist bzw. dass Schneier sich dashalb pro symmetrische Verfahren geäußert hat. Aus dieser Sichtweise ("Es gibt bereits einen irgendwie beschafften Hebel zum Ansetzen") wäre ja grundsätzlich jede Verschlüsselung gefährdet...



@ Helios:

In deinem Beitrag stehen lediglich allgemeine Fakten zum Thema [die man großteils auf Wikipedia nachlesen kann].
Auf meine Frage(n) geht er aber leider überhaupt nicht ein... schade!
 
Du brauchst die asymetrische wenn du den Key über ein unsicheres Medium übertragen musst.
 
cyberjonny schrieb:
@ Helios:

In deinem Beitrag stehen lediglich allgemeine Fakten zum Thema [die man großteils auf Wikipedia nachlesen kann].
Auf meine Frage(n) geht er aber leider überhaupt nicht ein... schade!
Zum Vergrößern anklicken....
Nun, die kurz und bündige Antwort auf deine Frage lautet: Nein.

Asymmetrische Kryptoverfahren sind weder sicherer noch unsicherer als symmetrische Verfahren. Wesentlich ergänzend zu dieser Thematik ist hingegen die Komplexitätstheorie.

LG Uwe
 
@ schoerg:
Ja, das ist bekannt und klar. Genau dafür ist die asymmetrische Verschlüsselung ja auch gedacht. ;)
Die Frage(n) beantwortet aber auch das nicht...


@ Helios:
Demnach hat Bruce Schneier einfach Blödsinn geschrieben oder eine Münze geworfen...? :D
Das kann ich mir nur schwer vorstellen; irgendwas wird er sich wohl schon dabei gedacht haben.
 
Wie erwähnt, symmetrische und asymmetrische Verschlüsselungen lassen sich generell nicht vergleichen. Sie sind grundlegend verschieden. Deswegen habe ich null Ahnung, wieso er überhaupt auf die Idee kommt, eine solche Aussage zu fällen.
 
Asymmetrische Krypto funktioniert nur weil man für die verwendeten Verfahren (Faktorisierung (zB RSA), und Diskreter Logarithmus (zB Diffie-Hellmann)) riesige Zahlen einsetzt. Sind die Zahlen groß genug, ähneln Faktorisierung und DisLog einer mathematischen Einwegfunktion: Der "normale" Weg, vom private Key zum public Key, lässt sich problemlos berechnen, doch der umgekehrte Weg ist sehr, sehr schwierig bzw. rechenaufwändig. Mit einem entsprechend großen Cluster sieht das vielleicht anders aus, doch hier hält sich die NSA bedeckt :). Ansonsten gibt es immer andere Möglichkeiten (-> http://xkcd.com/538/).

Bez. der Abhängigkeit von privatem und öffentlichem Schlüssel: Die genaue Abhängigkeit voneinander variiert leicht je nach Algorithmus, doch in allen wird der öffentliche aus/mit dem privaten Schlüssel berechnet.
Am Beispiel RSA: Der öffentliche Schlüssel ist die multiplikative Inverse des privaten in einer endlichen Menge. Dies ist sicher, weil die verwendete Menge Teil des privaten Schlüssels ist. Wenn man diese mittels Brute-Force angreifen möchte, steht man wieder vor dem Problem der Faktorisierung.


Wer sich genauer dafür interessiert, dem kann ich dieses Buch empfehlen: http://www.amazon.de/dp/3642041000
Prof. Paar schafft es die (durchaus komplizierten) Themen verständlich, aber auch interessant zu erläutern.
 
@Jonny:

Welche Fragen liegen dir denn speziell am Herzen zwischen... mathematische Hintergründe (bspw. Zusammenhang zwischen elliptischen Kurven und Modulformen, welche sehr oft in der Kryptographie eingesetzt wird), Implementationen und und und?

Die Thematik ist doch enorm umfassend.

LG Uwe
 
Zuletzt bearbeitet:
Hi Jonny,

vielleicht interessiert dich die folgende Seite (setzt allerdings ein tieferes Verständnis in gewissen Bereichen der Mathematik voraus): Cornell University Library - Cryptography and Security

Und wie erwähnt, symmetrische und asymmetrische Kryptoverfahren werden je nach Einsatzgebiet angewandt. Ein Vergleich ist somit nicht zulässig. Was der sehr geehrte Herr in seinem Artikel beschreibt, ist längst schon bekannt. Jedoch eine Aussage, dass eine symmetrische Verschlüsselung einer asymmetrischen vorzuziehen ist, ist gemäss obig aufgeführten Punkten auf gut Deutsch schlicht und einfach Schwachsinn par excellence!!!

LG Uwe
 
Zuletzt bearbeitet:
Wie gesagt, mir ging es um nicht mehr, als zu verstehen, warum der gute Bruce Schneier in seinem Artikel so pauschal dazu rät, symmetrische Verschlüsselung der asymmetrischen Verschlüsselung vorzuziehen. Auf diese eine ganz konkrete Aussage konnte (und kann) ich mir keinen richtigen Reim machen und verstehe sie nicht. Es geht mir nicht darum, die wahrlich komplizierte Theorie und Mathematik hinter den diversen Verschlüsselungsverfahren tiefergehend zu verstehen oder sonst irgendwas (wie du selbst schreibst - die Thematik ist wirklich enorm umfassend). Nur um diese eine Aussage.

Mit meinem (bisherigen) Wissen sehe ich es eigentlich wie du: Die Aussage ergibt so keinen Sinn bzw. wäre mir nicht bekannt, dass symmetrische per se sicherer sein soll als asymmetrische Verschlüsselung.

Allerdings tue ich mich etwas schwer damit, Bruce Schneiers Aussage als "Schwachsinn par excellence" abzutun, zumal der gute Mann ein verdienter Experte auf dem Gebiet ist und als Koryphäe gilt. Er wird sich bei dieser Aussage mit Sicherheit etwas gedacht haben. Die Frage ist nur was.

Der (bisher) einzige Aspekt, der hier aus meiner Sicht nicht völlig abwegig ist, ist hikarus erster Punkt, wonach theoretisch nicht völlig auszuschließen ist, dass man aus dem public key in irgendeiner Form Rückschlüsse auf den private key ziehen kann:

1. Da der öffentliche Schlüssel immer bekannt ist steht und fällt die Sicherheit dieses Verfahrens mit der Frage ob der private Schlüssel aus dem öffentlichen abgeleitet werden kann. Davon geht man in der Regel natürlich nicht aus, aber das zu beweisen ist wohl mathematisch schwierig. Ein Restrisiko wird also bleiben. Das Problem lässt sich umgehen indem man beim Verteilen des öffentlichen Schlüssels die gleiche Sorgfalt walten lässt als handle es sich um einen synchronen Schlüssel. Ich vermute darauf wollte der Artikelautor hinaus als er zu synchronen Verfahren riet. Es ging ihm nicht so sehr um das Verfahren an sich sondern viel mehr um den Umgang mit den zugehörigen Schlüsseln.
Zum Vergrößern anklicken....

Wenn man das als potenziell realistisches Szenario betrachtet, dann wäre eine asymmetrische Verschlüsselung wohl in der Tat nicht ratsam. Mir wäre allerdings kein realer Fall bekannt.
 
Mit einem hinreichend sicheren Public Key ist es in einer Zeitdauer, in welchen die verschlüsselten Informationen relevant sind, nicht möglich, den Private Key herzustellen. Selbst mit sämtlichen global zu Verfügung stehen Rechnerkapazitäten würde dies im wirklich minimalsten Falle Jahrhunderte dauern! Das Einzige... asymmetrische Verschlüsselungsverfahren sind im Vergleich zu symmetrischen hinsichtlich des Rechenaufwandes ein Vielfaches(!) höher. Vermutlich war dies der ausschlagende Punkt, weshalb der Autor des Artikels den Satz, welcher wohlgemerkt ohne nur ein profundes Argument zu liefern - einfach nur den Satz und Punkt, fertig :facepalm: - niedergeschrieben hat.
 
Moin

Es ging in dem Interview darum, wie man sich am besten gegen einen Angreifer schützen kann, der nahezu unbeschränkte Ressourcen hat und die Kommunikation auch sehr lange Zeit aufbewahren kann.

Der wesentliche Schwachpunkt einer PK-Crypto ist der immer gleich bleibende Schlüssel. Kann der Schlüssel irgendwann mal gefunden werden, ist alles, was mit dem Schlüssel verschlüsselt wurde kompromittiert. Außerdem ist mindestens der Empfänger eindeutig identifizierbar.

Bei der synchronen Verschlüsselung kann und sollte der Schlüssel für jede Kommunikation neu ausgehandelt werden. Ein Angriff muss also bei jeder Kommunikation erneut wiederholt werden. Die Gesprächspartner lassen sich mit entsprechenden Verfahren (z.B. OTR) nicht eindeutig identifizieren.

RomanX
 
Meine, gab erst vor ein paar Wochen eine Meldung, bei welcher ein Zufallsgenerator in Chips des Herstellers Renesas fehlerhaft war, d.h. er lieferte keine Gleichverteilung der Zahlen, obwohl dieser nicht nur selbst von Renesas, sondern auch durch internationale Behörden geprüft wurde (meine auch durch die deutsche Regierung). Diese konnten jedoch nichts auffälliges feststellen.

Einer Gruppe von Forschern war daraufhin erfolgreich gelungen, die Ungleichverteilung im Zufallsgenerator auszunutzen, um eine, glaube ich, RSA 1'024-Verschlüsselung zu knacken.

Falls jemand den/die Artikel im Web findet, wäre ich interessiert, diese mal durchzulesen, was wirklich nun Fakt war.


LG Uwe
 
RomanX schrieb:
Moin

Es ging in dem Interview darum, wie man sich am besten gegen einen Angreifer schützen kann, der nahezu unbeschränkte Ressourcen hat und die Kommunikation auch sehr lange Zeit aufbewahren kann.

Der wesentliche Schwachpunkt einer PK-Crypto ist der immer gleich bleibende Schlüssel. Kann der Schlüssel irgendwann mal gefunden werden, ist alles, was mit dem Schlüssel verschlüsselt wurde kompromittiert. Außerdem ist mindestens der Empfänger eindeutig identifizierbar.

Bei der synchronen Verschlüsselung kann und sollte der Schlüssel für jede Kommunikation neu ausgehandelt werden. Ein Angriff muss also bei jeder Kommunikation erneut wiederholt werden. Die Gesprächspartner lassen sich mit entsprechenden Verfahren (z.B. OTR) nicht eindeutig identifizieren.

RomanX
Zum Vergrößern anklicken....


Stimmt, das ist ein guter und nachvollziehbarer Punkt, RomanX!

Allerdings ist es hier auch wieder so, dass nicht die asymmetrische Verschlüsselung an sich angreifbar(er) bzw. weniger sicher ist, sondern es geht auch wieder um ein "Was-wäre-wenn"-Szenario. Wenn der private-key geheim bleibt, dann ist die asymmetrische Verschlüsselung weiterhin genau so sicher wie die symmetrische Verschlüsselung, oder? Dennoch: so könnte man durchaus zu dem Schluss kommen, dass eine symmetrische Verschlüsselung wenn (sinnvoll) möglich vorzuziehen ist.

Wie werden denn die symmetrischen Schlüssel eigentlich jeweils neu ausgehandelt?
Kommt dafür nicht oftmals auch ein asymmetrisches Verfahren zum Einsatz?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben