Ansichten eines Informatikers

Krypto-Geschichte: “The Codebreakers”

Hadmut
5.7.2014 14:21

Auf FOCUS Online (naja…) ist ein Artikel von Klaus Schmeh über das Verhältnis der Amerikaner zur Kryptographie erschienen.

Er beschreibt (sehr kurz und allgemein), wie die Amerikaner in den 60er und 70er Jahren versucht hat, die Verbreitung von Kryptographie und der Kenntnisse davon zu verhindern. Das Buch „The Codebreakers” von David Kahn hat man unbedingt verhindern wollen. DES hat man von 128 Bit Schlüssellänge auf 56 Bit geschwächt. Israelischen Kryptologen hat man Gefängnis angedroht, wenn sie Verfahren veröffentlichen.

Was mich daran erinnert, dass ich mit Kahns Codebreakers auch ein seltsames Erlebnis hatte. Regelmäßige Leser wissen, dass ich mal kurz vor der Promotion in IT-Sicherheit stand, in der Dissertation in Zusammenhang mit dem damals geplanten Kryptoverbot ein Kapitel über Abwehrmaßnahmen drin hatte, und mir dann auf wundersame Weise die Dissertation abgelehnt wurde. Einer der vorgeschobenen Gründe war, dass ich im Literaturverzeichnis David Kahns „The Codebreakers” aufgelistet hatte. Ich hatte in der Dissertation eine kryptographische Eigenschaft des Jefferson Wheel erwähnt (Das Chiffrat ist nicht schon durch Schlüssel und Klartext festgelegt, sondern es wird bei jedem Verschlüsselungsvorgang zusätzliche Entropie eingebracht), und zum Jefferson Wheel Kahns Codebreakers als Quelle angegeben. Denn ich habe damals schlichtweg kein anderes Buch darüber in der Bibliothek gefunden (und WWW war damals gerade erst in der frühen Anfangsphase). Das wurde als ein Ablehnungsgrund der Dissertation genannt, denn das Werk sei unwissenschaftlich und dürfe nicht zitiert werden. (Damals war das noch so, dass man als unwissenschaftlich galt, wenn man unerwünschte Quellen zitiert hat. Seit zu Guttenberg ist es andersherum, heute gilt es als unwissenschaftlich, nicht zu jedem Buchstaben eine Quelle anzugeben.)

Ich habe das damals als schiere Dummheit, Willkür und Borniertheit des Prüfers abgetan. Da ich mittlerweile aber den starken Verdacht hege und ihm nachgehe, dass damals die USA hier über den BND Einfluss ausgeübt haben, um die Universitäten dumm zu halten, was Kryptographie angeht, fällt mir sowas natürlich jetzt auf.

Das ist auch deshalb wichtig, weil das Thema der staatlichen Kommunikationsüberwachung und der erzwungenen schwachen Kryptographie danach deutlich an Beachtung verlor. Als ich damals Wissenschaftler an der Uni war und an der Diss und dem Gutachten und der Stellungnahme für den Bundestag gearbeitet habe, war diese Diskussion gerade in vollem Gange. Man bekam Browser nur mit geschwächter 40-Bit-Verschlüsselung (die man mit Tricks mehr oder weniger wieder auf volle 128 Bit freischalten konnte), es gab Export-Verbote und den Clipper-Chip, ein bekannter Kryptologe wurde bei der Ausreise aus den USA festgenommen, weil er ein verschlüsselndes Telefon dabei hatte, und der Bundestag wollte eben auch Verschlüsselung verbieten. Es war HIP sich „Cypherpunk” zu nennen, Kryptosoftware als gedrucktes Buch unter dem Schutz der Freedom of Speech zu veröffentlichen und T-Shirts mit aufgedruckten Kryptoquelltexten zu tragen.

Und dann machte es plötzlich *Buffz* und das Thema war verschwunden. Aus der Politik, aus der Presse, aus der Wissenschaft, aus den Curricula.

Ich glaube, der interessante Teil kommt erst noch. Es wird da noch einiges an Aufklärung und Aufdeckung geben müssen, was damals in der Kryptologie und an den Universitäten an Schwindel und Manipulation gelaufen ist.

7 Kommentare (RSS-Feed)

Rainer
6.7.2014 2:49
Kommentarlink

Was haben die Us-Amerikaner getan als sie die Atombombe verwirklichten und keiner Gegenwehr gewahr waren, sie haben sie geworfen.

Das ist Militär!

Die USA sind ein militärischer Komplex und sie werden immer handeln wie Militärs.


Joe
6.7.2014 10:46
Kommentarlink

Man bekam Browser nur mit geschwächter 40-Bit-Verschlüsselung

Man bekam ein gewisses norwegisches Browser-Produkt mit rotem O von Anfang an mit 128-Bit-Verschlüsselung. Hat sich deshalb vor allen Rußland und Osteuropa stark verbreitet.


Johanna 2
6.7.2014 19:24
Kommentarlink

> DES hat man von 128 Bit Schlüssellänge auf 56 Bit geschwächt.

Was hat man daraus gelernt? Gar nichts, also wir nichts. Die NSA hat gelernt, das jetzt subtiler zu machen. die Schlüssellänge bleibt gleich, dafür werden die Rundenzahlen und dadurch die Rundenschlüssel verkürzt. Keiner merkts und alle verwenden AES.
Quelle: http://www.oqgc.com, Wir Menschen

> Man bekam Browser nur mit geschwächter 40-Bit-Verschlüsselung (die man mit Tricks mehr oder weniger wieder auf volle 128 Bit freischalten konnte),

Hast du dir mal GnuPG angesehen? Da ist das so ähnlich. Twofisch ist zwar da, taucht aber in der Cipherlist nicht auf, so dass er asymmetrisch nie verwendet wird. Aktuelle Algorithmen fehlen, RSA ist Standard 2048 bit, Begrenzung bei 4096 bit. sogar die EU hat gemerkt dass 15360 bit (nur kurzfristig 3072 bit) sicher wären.
Quelle 15360 bit: https://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/algorithms-key-sizes-and-parameters-report Algorithms – Key Sizes and Parameters Report 2013 recommendations


Fry
7.7.2014 0:22
Kommentarlink

“Ich glaube, der interessante Teil kommt erst noch.”

Ich hoffe, dass du Recht hast und weitere Enthüllungen folgen, und dann endlich auch mal Konsequenzen für die längst schließungsreifen Geheimdienste. Ich fürchte allerdings, nichts von alledem wird passieren, weil die Geheimdienste schlichtweg zu viel Einfluss haben.

Mir ist sehr unheimlich, wie in letzten Jahren Volksvertreter aller Nationen über private Affären stolpern, gleichzeitig andere Volksvertreter (allen voran Friedensfürst Obama) klar gegen das Gesetz verstoßen und ihnen niemand etwas anhaben kann.


Knut
7.7.2014 15:58
Kommentarlink

@Johanna 2

Das mit den Rundenzahlen gab es schon bei DES als Argument.
Wenn es nur 2 Runden weniger wären, könnte man den Schlüssel schneller errechnen. Leider war es immer so, dass es genug Runden waren und man den Schlüssel nur in Brute Force durch Zahl kleiner 10 errechnen kann.
DES gilt nur deshalb als knackbar, weil der Schlüsselraum zu klein ist.

Ich kenne kein Verfahren zum direkten Angriff auf AES-128, dass zielführend ist. Letztlich ist die Knackbarkeit immer das Verhältnis der Angriffskosten zum Wert des Geheimnisses. Wer für das Knacken meines Girokontos einige 10000 Euro in Strom investiert, macht kein Geschäft.

Die Schlüssellängen beim RSA sind übrigens nicht wirklich zielführend. Hier sollte man mal einen Äquivalenzwert einführen, der nur die Zahl der generierbaren Schlüssel betrachtet. Die erzeugbaren Primzahlen sind nicht wirklich dicht im Schlüsselraum.

Wenn jetzt 1024 Bit als unsicher gelten, sollte man sich mal das Knacken von RSA-768 in 2010 ansehen:
Es wurde 2,5 Jahre ein Cluster von mehreren 100 Rechnern verwendet. Also ein Einsatz von sagen wir mal 100000 Euro für 200 Rechner. Die brauchen Strom. Bei 100 W pro Rechner (Leerlauf ist nicht vorgesehen!) sind das 20kW. Macht 438000 kWh also weiter 100000 Euro für Strom. Das mag heute nur noch ein Viertel kosten, aber dafür fehlt in der Rechnung ja auch die Vernetzung, die Halle usw.. Ich gehe mal davon aus, dass keiner für die Entschlüsselung meiner EMails mehrere 10000 Euro ausgeben will.

Bei Firmen und Regierungen sieht das natürlich anders aus, aber der Privatmann, der jedes Jahr seinen Schlüssel ändert, ist relativ sicher. Solange man keine ewigen Geheimnisse schützt, sondern im wesentlichen Vergängliches, sind die Angriffe auf RSA-1024 eher eine akademische Randnotiz. Falls jemand in 10 Jahren meine EC-PIN hat, ist das ganz toll, nur ist die Karte dann seit Jahren abgelaufen.


anonym
10.7.2014 15:59
Kommentarlink

Ich kenne kein Verfahren zum direkten Angriff auf AES-128, dass zielführend ist.

Das ist, was da gemeint ist, denke ich. Wenn wir kein Verfahren kennen, heißt das ja nicht, dass es keins gibt. Dass AES schwächer gemacht wurde als Rijndael nachdem er bei der NSA war ist ja nicht neu, das stand damals in den Wettbewerbsunterlagen. Warum, weiß man nicht. Er wird dadurch schneller, das wird vom NIST aber als Grund bestritten. Ich sehe nur den kryptanalystischen Vorteil als andere mögliche Absicht. Für uns mit unseren 200 Rechnern kann das kein Vorteil sein, das sehe ich auch so aber für die NSA…


Knut
11.7.2014 14:46
Kommentarlink

@anonym
“Das ist, was da gemeint ist, denke ich. Wenn wir kein Verfahren kennen, heißt das ja nicht, dass es keins gibt.”

Das ist bei allen Verfahren außer dem One-Time-Pad so.
Auch nach dem Ende von DES ist kein wirklich nützlicher Crack bekannt. Für wertvolle Langzeitinformationen ist das zwar nicht mehr nutzbar, aber das heißt nicht, dass es durch Hinz&Kunz mal ebenso knackbar ist.

Selbst wenn man den Datenstrom hat und ein Chosen-Plain-Text-Attacke fahren kann, ist der Schlüssel nicht mal eben berechnet. Dazu braucht ein i7 noch ein halbes Jahr und mit Grafikkarten schätzungsweise eine Woche. Das ist nicht sicher, aber auch noch lange kein Echtzeithack.

Da bei AES 72 Bit mehr im Schlüssel sind, müsste ein Riesenknaller drin sein, damit die NSA mit schätzungsweise 1 Billion (Ich gehe von Customchips aus) mal schnelleren Rechnern in die Nähe eines Cracks kommt. Denn das läge immer noch im Bereich 2^54. Alles was mehr als 1000 Wochen braucht ist vielleicht für Historiker interessant, aber für Geheimdienste unbrauchbar.

Es ist nicht unmöglich, dass es die NSA geschafft hat, solch einen Knaller reinzubauen und geheim zu halten, aber extrem unwahrscheinlich. Es würden Leute davon wissen. Zumindest, die Tatsache, dass AES knackbar ist, nicht wie. Und irgendeiner schwätzt zur falschen Zeit an der Bar. Und wenn jemand dann ein Ziel hat, versucht er das Rätsel zu knacken. Das kann man im Westen torpedieren, aber in Russland, China und im Iran wird das nicht so einfach, insbesondere wenn der dortige Geheimdienst dran interessiert ist. Wenn man also nicht von irgendeiner Alientechnologie ausgeht, kann man so eine Technologie nicht 20 Jahre haben ohne das Fremddienste große Teile davon auskundschaften und es schließlich nicht mehr zu verhindern ist, dass es in wissenschaftlichen Arbeiten vorkommt. Da geht es aber nur zehntelbitweise voran. Wenn man statt Billionen Jahre nur noch Milliarden braucht, muss man trotzdem einen fetten Glückstreffer im Euromillionsbereich haben um in nützlicher Zeit ein Ergebnis zu haben.