128-Bit-Verschlüsselung: längst nicht mehr sicher

Auch in anderen Bereichen finden unsichere Stromverschlüsselungen Einzug. Im Mobilfunkstandard GSM wird A5/1 verwendet. Der schwächere A5/2-Standard kommt nur in Ländern mit Verschlüsselungsbeschränkungen zum Einsatz. Mittlerweile ist es möglich, mit Standard-Hardware ein mitgeschnittenes GSM-Telefonat mittels Rainbow-Tabellen innerhalb von etwa zwei Stunden zu entschlüsseln, siehe Bild 6.

Noch für 2008 werden erste Geräte für das Abhören durch jedermann erwartet. Damit lassen sich im Umkreis von etwa zwei Kilometern alle Handy-Gespräche und SMS abhören. In Deutschland sind Entwicklung, Besitz und Betrieb eines solchen Gerätes strafbar.

Mittlerweile haben die Betreiber von GSM-Netzen dazugelernt und implementieren die Blockverschlüsselung Kasumi, im GSM-Jargon A5/3 genannt. Allerdings kommt A5/3 bisher nur in UMTS-Netzen zum Einsatz. Wenn im GSM-Band A5/3 eingeführt wird, dauert es noch Jahre, bis alle Geräte den neuen Standard beherrschen.

Auch viele Blockverschlüsselungen, etwa AES, machen den Kryptoanalytikern Sorge. Eine 128-Bit-AES-Verschlüsselung benötigt zehn Runden identischer Verfahrensweise, während Triple-DES 48 Runden benötigt. AES ist anders als Triple-DES kein Feistel-Netzwerk, sondern ein Substitutions-Permutations-Netzwerk. Damit wird sichergestellt, dass auch Softwareimplementierungen performant laufen.

Bereits 2006 war es Kryptoanalytikern gelungen, einen erfolgreichen Angriff auf die ersten sieben Runden zu entwickeln. Daher kann vermutet werden, dass zehn Runden zu wenig sind, um die AES-Verschlüsselung viele weitere Jahre sicher zu halten.

Ebenfalls nicht zu unterschätzen sind die erfolgreichen Angriffe auf asymmetrische Verschlüsselungen. Die höchste RSA-Primzahl, die bereits faktorisiert wurde, hat 663 Bits. Das dauert etwa 55 Jahre auf einem 2 GHz Prozessor oder ein Jahr auf 55 gleichwertigen Rechnern oder etwa zwei Monate mit 25 High-End-Grafikkarten.

Anders als bei den symmetrischen Verschlüsselungen verdoppelt sich die Rechenzeit nicht pro Bit an Schlüssellänge, da nur so viele Schlüssel zur Verfügung stehen, wie durch Multiplikation zweier Primzahlen generiert werden können.

Zieht man dies in Betracht, so kann RSA mit 1024 Bits durchaus mit einigem Aufwand an Zeit und Rechenleistung gebrochen werden. Gelingt dies, so hat man Zugang zum symmetrischen Schlüssel und kann mitgeschnittene Datenströme sofort entschlüsseln. 1024 Bits sind eine gefürchtete Grenze, da die meisten Webserver im Internet RSA mit 1024 Bit Schlüssellänge anbieten. RSA Laboratories hat das ursprünglich ausgelobte Preisgeld von 100.000 Dollar bereits zurückgezogen.