Kryptografische Verfahren und ihre Sicherheit (Übersicht)
Die folgende Übersicht geht auf die Sicherheit der gängigen kryptografischen Verfahren ein und gibt die eine oder andere Empfehlung. Die Empfehlungen gehen auf die European Union Agency for Network and Information Security (ENISA) zurück, die einen Bericht zu Algorithmen und Schlüssellängen veröffentlicht hat (Stand Oktober 2013). Diese Empfehlungen sind vertrauenswürdiger, als die Empfehlungen des US-amerikanischen National Institute of Standards and Technology (NIST).
Die ENISA unterscheidet zwischen kurz-, mittel- und langfristig gespeicherten Daten. Kurzfristig gespeicherte Daten sind schutzbedürftige Transaktionsdaten und temporäre Kommunikationsverbindungen. Mittel- und langfristig gespeicherte Daten sind solche, die auf Datenträgern zum Abruf vorgehalten werden. Der Grad der Sicherheit ist jeweils an die aktuelle Gefährdungslage anzupassen. Berücksichtigen sollte man dabei auch, dass je länger die Daten gespeichert werden sollen, desto höher ist die Sicherheit anzusetzen.
Hinweis: Die hier empfohlenen kryptografischen Verfahren gelten bis 2012 als sicher. Das haben die 2013 geleakten Dokumente von Edward Snowden ergeben. Alle Entwicklungen danach sind Vermutungen.
Übersicht: Symmetrische Verfahren (Private-Key-Verfahren)
Stand: Mitte 2014 (Quelle: Heise iX Kompakt 2014 Security)
| Symmetrische Verfahren | DES | RC4 | 3DES | AES | Camellia |
|---|---|---|---|---|---|
| Schlüssellänge (Bit) | 56 | 128 | 168 | 128 / 192 / 256 | 128 / 192 / 256 |
| Aufwand zum Brechen | 239 | 215 | 2112 | 2126,1 / 2169,7 / 2254,4 | 2128 / 2192 / 2256 |
| Sicherheit | niedrig | extrem niedrig | mittel | hoch / sehr hoch / maximal | hoch / sehr hoch / maximal |
Der Kryptoexperte Bruce Schneier schätzt, dass die NSA (US-Geheimdienst) Kryptoverfahren mit einer Komplexität von 280 brechen kann. Vom Einsatz der symmetrischen Verfahren RC4 (Komplexität 215) und DES (Komplexität 239) ist also dringend abzuraten.
Die ENISA (European Union Agency for Network and Information Security) empfiehlt bei symmetrischen Schlüsseln für kurzfristig gespeicherte Daten, also Transaktionen, eine Länge von mindestens 80 Bit. Für mittelfristig gespeicherte Daten sollen es schon 128 Bit und für langfristig gespeicherte Daten 256 Bit sein.
Für Blockchiffren (Block Cipher) in Kombination mit AES werden 128 Bit und langfristig 256 Bit empfohlen. Von mehr als 256 Bit wird abgeraten, weil das unnötige Performance kostet.
Als Alternative bieten sich die symmetrischen Verfahren Blowfish, Camellia und Whirlpool an. Gute Stromchiffren (Stream Cipher) sind Rabbit und Snow 3G.
Übersicht: Asymmetrische Verfahren (Public-Key-Verfahren)
Stand: Mitte 2014 (Quelle: Heise iX Kompakt 2014 Security)
| Asymmetrische Verfahren | DSA (nur signieren) | RSA | ECC (NIST) | ECC (Curve25519) |
|---|---|---|---|---|
| Schlüssellänge (Bit) | 1.024 | 1.024 / 2.048 / 4.096 / 8.192 | 192 / 244 / 256 / 384 / 521 | 256 |
| Aufwand zum Brechen | 261 (wegen SHA-1) | 270,4 / 294,6 / 2126,3 / 2167,8 | 296 / 2112 / 2128 / 2192 / 2260,5 | 2128 |
| Sicherheit | niedrig | niedrig / mittel / hoch / sehr hoch | mittel bis maximal (wenn nicht manipuliert) | hoch |
Für die Public-Key-Verschlüsselung empfiehlt die ENISA den Einsatz von Elliptic Curve Cryptography (ECC). Für Transaktionen sind Kurven mit 160 Bit, für mittelfristige Speicherung 256 Bit und langfristig 512 Bit ausreichend.
Die Vertrauenswürdigkeit der spezifizierten Kurven wird allerdings wegen der Mitwirkung der NSA und die Standardisierung durch das NIST angezweifelt. Ob der Einsatz elliptischer Kurven mehr Sicherheit bringt, wird sich also erst in der Zukunft herausstellen.
Für asymmetrische Schlüssel (RSA) empfiehlt es sich für neue Schlüssel mindestens eine Länge von 3.072 Bit zu wählen. Für die längerfristige Sicherheit sollten die Schlüssel sogar eine Länge von 15.360 Bit haben. Das entspricht einer Sicherheit von 256-Bit-Schlüsseln bei symmetrischen Verfahren.
Übersicht: Kryptografische Hash-Verfahren
Stand: Mitte 2014 (Quelle: Heise iX Kompakt 2014 Security)
| Hash-Verfahren | MD5 | SHA-1 | RIPE-MD | SHA-2-Familie | SHA-3-Familie |
|---|---|---|---|---|---|
| Hash-Wert-Länge (Bit) | 128 | 160 | 160 / 256 / 320 | 224 / 256 / 384 / 512 | 224 / 256 / 384 / 512 |
| Aufwand zum Brechen | 218 | 261 | 280 / 2128 / 2160 | 2112 / 2128 / 2192 / 2256 | 2112 / 2128 / 2192 / 2256 |
| Sicherheit | extrem niedrig | niedrig | niedrig / mittel / hoch | mittel / hoch / sehr hoch / maximal | mittel / hoch / sehr hoch / maximal |
Als Hash-Funktion empfiehlt sich SHA-256 und für den langfristigen Einsatz SHA-512.
Beurteilung der Sicherheit kryptografischer Verfahren
Das Ziel eines Angreifers ist es, an den Klartext eines Geheimtextes zu gelangen. Auf dem Weg dahin versucht er das Verfahren zu brechen, das heißt, eine Vereinfachung im verwendeten Verfahren oder der verwendeten Implementierung zu finden.
Bei der Beurteilung der Sicherheit von kryptografischen Verfahren spielt deshalb immer auch die Annahme der Fähigkeiten eines möglichen Angreifers eine Rolle. Prinzipiell muss man nicht davon ausgehen, dass jeder Angreifer die Möglichkeiten, das Budget und die Ausdauer eines Geheimdienstes hat. Allerdings muss man berücksichtigen, dass viel kryptografische Verfahren nur deshalb sicher sind, weil noch keine Vereinfachung des mathematischen Verfahrens, auf dem das kryptografische Verfahren beruht, gefunden wurde. Oder weil für einen Brute-Force-Angriff nicht genug Rechenleistung zur Verfügung steht. Sobald ein Durchbruch für eine Vereinfachung eines mathematischen Verfahrens gefunden wird oder die Entwicklung der Rechenleistung fortgeschritten ist, dann wird der Kreis potentieller Angreifer, der über ausreichende Mittel verfügt, schnell größer. Insbesondere dann, wenn die verschlüsselten Informationen kommerziell interessant sind (Geschäftsmodell des Angreifers).
Manchmal schafft es ein Angreifer Fehler in das Verfahren oder die Implementierung einzubauen, in dem er sich mit seiner Expertise beteiligt. Die Gefahr geht davon aus, dass der US-Geheimdienst NSA gezielt Hintertüren in die Verschlüsselungs-Funktionen kommerzieller Hardware und Software einbaut. Auch gibt es die Möglichkeit das Schlüsselmaterial zu beeinflussen, um die Anzahl der möglichen Schlüssel zu begrenzen. Hier geht die Gefahr von schlechtem Zufall bei der Schlüsselgenerierung aus. Wenn das nicht hilft, dann muss der Angreifer alle Schlüssel ausprobieren. Das wäre der bestmöglichste Schutz, den man haben kann. Hier schützt allein die Schlüssellänge, so dass die unberechtigte Entschlüsselung irgendwann in der Zukunft liegt.
In der Vergangenheit wurde die Standardisierung von Verschlüsselungsverfahren und Zufallszahlengeneratoren unterwandert. Während sich Hardware nur schwer prüfen lässt, kann das Vertrauen in Software nur mit der Offenlegung des Quellcodes, also letztlich durch Open Source erreicht werden.
Ermittlungsbehörden gehen dazu über, Gerüchte zu streuen und gezielt den Eindruck zu erwecken, dass bestimmte Sicherheitsmaßnahmen nichts bringen und die Nutzer davon abzuschrecken bestimmte Dienste zu benutzen. Dabei wird darauf gebaut, dass sich diese Gerüchte nur sehr schwer widerlegen lassen. Wenn man einem Verfahren misstraut, dann kann man eine der alternativen Verfahren einzusetzen, die weniger bekannt, aber im Prinzip genauso sicher sind.
Außerdem gibt es auf politischer Ebene Bestrebungen die IT-Wirtschaft rechtlich "gleichzuschalten". Weil die Weltwirtschaft Großteils IT-Produkte von Firmen nutzt, die wirtschaftlich aus dem US-amerikanischen Raum kontrolliert werden, ist das besonders einfach.
Das größte Gefährdungspotential, dem jeder einzelne unterliegt ist die Massenüberwachung durch Geheimdienste und Ermittlungsbehörden. Von der NSA weiß man, dass sie Krypto-Initialisierung abfängt und speichert, um sie später mit Brute-Force-Attacken aufzubrechen, um an Schlüssel und Login-Informationen zu kommen. Beispielsweise bei SSL, TLS, IPsec und SSH.
Auch verschlüsselte Nachrichten werden massenhaft gespeichert, um diese zu einem späteren Zeitpunkt, wenn sich ein Durchbruch in der Kryptoanalyse mit Quantencomputern ergibt, entschlüsseln und lesen zu können.
Weitere verwandte Themen:
- Kryptografie
- Symmetrische Kryptografie
- Asymmetrische Kryptografie
- Kryptografische Hash-Funktionen
- Kryptografische Zufallsgeneratoren
- Kryptografische Protokolle
- Quantenkryptografie
Frag Elektronik-Kompendium.de
Netzwerktechnik-Fibel
Alles was Sie über Netzwerke wissen müssen.
Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.
Artikel-Sammlungen zum Thema Netzwerktechnik
Collection: Netzwerk-Grundlagen
Was du über Netzwerk-Grundlagen wissen solltest.
Schützen Sie Ihr Netzwerk
Die TrutzBox enthält einen leistungsstarken Content-Filter, der Werbetracker blockiert und vor Schadcode auf bösartigen Webseiten schützt.
Alle Internet-fähigen Geräte, egal ob Desktop-PCs, vernetzte Produktionsanlagen und IoT-Geräte, werden vor Überwachung durch Tracker, Einschleusen von Schadsoftware und dem unbedachten Zugriff auf bösartige Webseiten geschützt.
- Sicheres Surfen mit Content-Filter und Blocker gegen Werbetracker
- Mehrstufige Sicherheitsarchitektur mit Stateful-Inspection-Firewall und Intrusion-Prevention-System
- Laufende Aktualisierung gegen neue Bedrohungen
Bestellen Sie Ihre TrutzBox mit integriertem Videokonferenz-Server jetzt mit dem Gutschein-Code "elko50" und sparen Sie dabei 50 Euro.
Mehr über die TrutzBox TrutzBox jetzt mit Gutschein-Code bestellen