...geknackt wurden

.. nicht immer nur von heise abschreiben, bitte!

Hjaldi
Ist korrigiert.

Naja, als unsicher gelten ist doch als Formulierung etwas überzogen.
Wenn man 2 Jahre inkl. üppigen Gerätefuhrpark braucht, um diese Verschlüsselung zu knacken, ist sie für ganz viele Zwecke immer noch sicher genug.
Wenn man das so sieht, gibt es sowieso keine Sicherheit, weil man jegliche Verschlüsselung irgendwann geknackt kriegt, wenn man nur genügend Anstrengungen unternimmt.
Sicherheit gründet sich in der Regel darauf, das die Hürde einfach so hoch gesetzt wird, das es für 99% der Fälle ausreicht. Wer rein will, kommt aber am Ende immer rein

"worden" ist richtig

meine passwörter werden alle 4 wochen neu generiert

@user_tron

und deine Passwörter haben genau was mit RSA zu tun? Änderst du z.B. deinen PGP Key (den du als sicherheitsbewusster Mensch sicher hast) auch alle 4 Wochen? Wäre irgendwie ziemlich an der Idee von PGP vorbei...

@diddom

so ist es. Also die 2 Jahre kann man sich leicht auf ein paar Tage (oder Stunden) runterrechnen, wenn man den "Fuhrpark" nur groß genug wählt, was heutzutage nicht mehr mal so teuer ist. Aber die Frage ist, wer investiert so viel Energie Also wenn's darum geht, seine Daten einfach davor zu schützen, dass die Ex Freundin dran kommt, oder der blöde Dieb, der den Laptop klaut, ist das natürlich ausreichend. Wenn man damit seine Weltformel schützen möchte muss man nochmal drüber nachdenken

perestroika

schön gesagt.

oder abschusscodes für nuklearraketen (ok ist sehr jamesbondlastig das beispiel) hängt ja einfach mal von der brisanz der daten ab...

perestroika:

Du vergisst, wo derlei Verschlüsselungsalgorithmen (entweder dieselben oder leicht abgewandelte oder auf deren Basis) inzwischen überall im Alltag Verwendung finden. Das geht bei Passwortverschlüsselungen im häuslichen IT-Bereich los, geht über Verschlüsselungen für den digitalen Fingerabdruck weiter bis hin zur Verschlüsselung von Chip- und Kreditkarten und anderen Zugangstoren.

Und per distributed computing (also verteiltem Rechnen) lässt sich der Fuhrpark an Rechnern, den Du da meinst, ganz schön schnell hochschrauben bzw. die Rechenzeiten, die zum Knacken nötig sind herunterschrauben. Erst recht, seit z.B. die Grafikkarten mittels CUDA und Co. auch noch schön Rechenpower beisteuern, die aufgrund ihrer implementierten Stärken für Brechnungen von Integer und Fließkommazahlen für sowas richtig gut geeignet sind. Und relativ leicht und schnell lässt sich dann z.B. ein solches Netz aus stinknormalen PCs mittels Schadsoftware weltweit zusammenstricken (unbemerkt von deren Nutzern natürlich), welches die Rechenpower von tausenden oder gar hunderttausenden von Privatrechnern nutzt, um z.B. für interessierte Kreise bestimmte Verschlüsselungen knacken zu lassen, Verschlüsselungen z.B. von zuvor geklauten Kreditkarten oder anderen interessanten Dingen etc.

Sowas ist keine Utopie, sondern sowas findet schon längst statt.

Nachtrag:

Pasend zum Thema:
Aktuelles Heft iX 01/2010 , Kryptografie -- Wettbewerb um SHA1-Nachfolge, Seite 88ff.

Dort geht es zwar um einen Wettbewerb zum Herausfinden eines geeigneten Nachfolgers für SHA1 (der dann wohl SHA2 heißen wird), aber das auch nur, weil SHA1 inzwischen geknackt bzw. unsicher ist. Der Wettbewerb ist weltweit ausgeschrieben, auch Deutsche sind daran beteiligt und liegen derzeit sogar ganz gut im Rennen mit ihrem Vorschlag namens "Skein".

Lesenswerter Artikel. Derzeit leider nur käuflich zu erwerben und nicht online lesbar.

@ sierkb

neinnein, das vergesse ich nicht Ich sage ja, es kommt drauf an, für was man es benutzt. Wenn Banken / Kreditkartenfirmen mit sowas laschem wie 768 Bit verschlüsseln, ist das grob fahrlässig, wenn ich aber meine privaten Urlaubsbilder damit verschlüssle, damit ein potentieller Laptopdieb die nicht gleich in Händen hält, ist das mmn OK.

Das zweite ist natürlich dass auch bei diesen Problemen irgendwann die Exponentialität zuschlägt... d.h. der Schritt von 768 auf 1024 ist noch vorstellbar (wenn auch verdammt hart), aber spätestens der auf 2048 oder 4096 ist noch völlig utopisch! Bei naiven Algorithmen (die sie natürlich nicht verwenden, aber im Prinzip läuft es ungefähr darauf hinaus), brauchst du bereits für 769 Bit doppelt so viele Rechner oder doppelt so viel Zeit! Bei einigen hundert Rechnern ist das schon gar nicht mehr so trivial, vor allem wenn man bedenkt, dass du dann z.B. für 1024 Bit bereits 2^256 mehr Rechenpower / oder Zeit brauchst. Das ist die nette Zahl: 115792089237316195423570985008687907853269984665640564039457584007913129639936

Und jetzt kommt das Gesetz der großen Zahlen ins Spiel. Selbst wenn du jetzt also sagst, ich spendiere jedem der Rechner 4 Grafikkarten, und jede von denen ersetzt mit ihrer Rechenleistung 50 CPUs, d.h. ein Rechner ersetzt damit 200 herkömmliche CPUs (was bei weitem nicht so trivial ist, denn Algorithmen müssen auch erst mal auf spezielle Gegebenheiten von GPUs usw. angepasst werden), dann brauchst du jetzt immer noch 578960446186580977117854925043439539266349923328202820197287920039565648199 mal mehr Rechner als für 768 Bit.

Um das Ganze jetzt noch krasser zu verdeutlichen:

Bredermann hat 62 bewiesen, das kein Datenverarbeitungssystem, weder lebend, künstlich noch technisch mehr als 10^47 Bits/Sekunde pro Gramm seiner Masse verarbeiten kann. Das basiert auf Quantenmechanischen Effekten usw. Also egal wie fortschrittlich und schnell unsere Computer einmal werden, diese Grenze ist nicht zu sprengen. Und jetzt stecken wir in der Klemme. D.h. nämlich, um den Schritt von 768 Bit auf 1024 Bit in einem zusätzlichen Jahr berechnen zu können, brauchen wir zusätzliche 36717430630808027 Tonnen von "optimalen" Prozessoren

Dass das alles am Ende nicht so ist, ist natürlich der Tatsache zu verdanken, dass die verwendeten Algorithmen nicht wirklich so schlecht sind, dass sie einfach nur ausprobieren! Aber man bekommt mal ein kleines Gefühl für die Größenordnung, von der wir hier sprechen. D.h. 4096 Bit sind auch weiterhin für alle Rechenpower dieser Welt ausgeschlossen.

Man muss also noch keine Horrorszenarien an die Wand malen

diddom

Es gibt diverse Verschlüsselungen, bei denen der bestmögliche Angriff nur in der vollständigen Schlüsselsuche besteht. Die jedoch würde bei einigen Verfahren mehrfach länger dauern als das Universum alt ist. Beziehungsweise würde sie einen Rechner erfordern, der mehr Strom benötigt, als wir weltweit produzieren können. Und das Welt-Brutto-Sozialprodukt brächte ebenfalls nicht genug Geld, um den nötigen Strom zu zahlen.
Vergleiche dazu das Buch "Kryptografie -Verfahren, Protokolle, Infrastrukturen" von Klaus Schmeh.

Ausführlicher:

Verschlüsselungsverfahren gelten als schlecht oder "geknackt", wenn es einen leichteren Weg gibt als per "brute force" alle Schlüssel auszuprobieren. Beim normalen AES (wie in FileVault) und Triple-DES ist mir ein solcher Knack-Fehler nicht bekannt.

Damit bleibt die Frage, kann man alle Schlüssel durchprobieren? Und wie schnell? Das oben genannte Buch "Kryptografie" von Klaus Schmeh macht dazu folgende Überlegung:

• 128-Bit Verschlüsselung hat 2^128 = 3,4 * 10^38 Schlüssel.
• Der Angreifer "Mallory" hat eine Super-CPU, die 10 Millionen Schlüssel pro Sekunde probiert. Dann benötigt Mallory 3,4 * 10^31 Sekunden.
• Nun soll Mallory eine Million dieser CPUs haben, dann braucht er 3,4 * 10^25 Sekunden.
• Mit Glück muß er nur 1% durchprobieren, um den richtigen Schlüssel zu erwischen: 3,4 * 10^23 Sekunden.

Ist das schnell? 3,4 * 10^23 Sekunden sind circa 10^16 Jahre. Das Universum ist zum Vergleich etwa 10^10 Jahre alt. Mallory müßte also vom Urknall bis heute eine Million Mal durchleben, um mit diesen Super-Chips und dem Glück von oben, den Schlüssel zu finden.

Ok, nun tun wir so, als ob wir einen Rechner hätten, der den 128-Bit-Schlüssel schnell genug findet. Der Rechner sei nicht nur superschnell, sondern auch extrem stromsparend: Er möge nur ein Billionstel Joule an Energie benötigen, um einen Schlüssel auszuprobieren, was völlig undenkbar ist zur Zeit, dann ergäbe sich folgendes:

• 3,4 * 10^38 Schlüssel mal ein Billionstel (10^-12) Joule ergeben 3,4 * 10^26 Joule, um alle Schlüssel zu probieren.
• Damit sind also 9,4 * 10^19 Kilowatt-Stunden nötig.
• Mallory möge Glück haben und muß nur 1% der Schlüssel probieren, um den richtigen zu erwischen, dann braucht er 9,4 * 10^17 Kilowatt-Stunden.

Um das Jahr 2007 lag die weltweit produzierte jährliche Energie aller Kraftwerke bei etwa 8,2 * 10^12 Kilowattstunden. Mallory müßte also alle Kraftwerke der Welt über 100 Jahre lang nur für sich arbeiten lassen. Bei einem billigen Preis von einem Cent pro Kilowatt-Stunde ergäbe das eine Stromrechnung von etwa 9,4 * 10^15 Euro. Das weltweite Bruttosozialprodukt lag jedoch nur bei 3 * 10^13 Euro.
Zusatz-Schmankerl: Ein anderer Autor wies darauf hin, daß ein solcher Rechner mehr Silizium benötigte als es im Universum gibt.
Schlußfolgerung: 128 Bit Schlüssellänge sind per Brute Force nicht mehr zu knacken.

Ausser es findet sich ein Ansatz, der auf ein grundsätzlicheres Problem bei RSA hinausläuft, sodass jede menge Rechenleistung unnötig wird.

@MacMark

Da haben wir aber beide eine schöne Fleißaufgabe im Rechnen gemacht

haemm0r

RSA hat ein grundsätzliches Problem, weil es darauf bessere Angriffe als die vollständige Schlüsselsuche gibt. Damit gilt RSA als geknackt. Eine Angriffsvarinate davon ist Thema dieser News.

perestroika:

Ich gebe Dir ja im Grunde recht, doch sollte auch mal deutlich gemacht werden, dass die akademische Theorie manchmal schneller von der tatsächlichen Praxis und den greifbaren und realisierbaren Möglichkeiten eingeholt wird als manchem ursprüngl. bewusst war.

Auch z.B. bzgl. Quantencomputer. Ein so praxisnahes Unternehmen wie Google hängt bei sowas auch schon tief mit drin und forscht da mit bzw. hat sogar einen solchen und hat da ganz konkrete Vorstellungen, wozu und wie man sowas bei Google einsetzen könnte bzw. einsetzen wird: , .

Angesichts solcher konkreten Entwicklungen (die sicherlich aus dem Stadium und Umfeld auch mal herauswachsen werden), mal herkömmliche Denk- und Zeitmuster, die Du da anführst bzgl. der notwendigen Prozessoranzahlen (herkömmlicher Art, also Silizium-basiert) und benötigten Rechenzeiten, einer erneuten Bewertung zu unterziehen, ob die nach herkömmlicher Lesart angewendet auf z.B. solche Rechner wie einen Quantencomputer (z.B. den im Artikel beschriebenen) noch so Gültigkeit haben, selbst wenn sie ein Herr Bredermann oder eine sonstige Koriphäe mal aufgestellt hat und die bisher sicher ihre Gültigkeit und Berechtigung hatte.

@ sierkb

das Bredermansche Gesetz kann man als Naturgesetz verstehen, d.h. das hat auch (oder gerade mit) dem Quantencomputer noch Gültigkeit. Der Punkt ist, dass es für den Quantencomputer einen Algorithmus (den von Shore) gibt, mit dem Primzahlfaktorisierung polynomial ist. D.h. Das ist schlecht für RSA, sagt aber nichts über andere kryptografische Verfahren wie z.B. elliptische Kurven aus. Primzahlfaktorisierung liegt (nach dem was man weiß) nicht in NP und daher ist mit diesem Algorithmus nicht der Beweis erbracht, dass auf Quantencomputern allgemein P=NP gilt. Es kann also gut sein, dass PZF in einer speziellen Komplexitätsklasse liegt, die auf herkömmlichen Rechnern nicht effizient, aber auf Quantencomputern effizient berechenbar ist.

Abgesehen davon ist der Quantencomputer noch reine Zukunftsmusik. Die große Problematik ist, das System stabil zu halten. Man hat mit großem Aufwand geschafft, ein 8 Bit System stabil zu halten (und hat damit sogar 15 in 5*3 faktorisiert), aber von großen Systemen und deren Marktreife sind wir schon noch sehr sehr lange entfernt!

perestroika:

Danke für die Aufklärung bzw. Vermittlung von für mich teilweise neuem Wissen.

Irgendwie lesen sich die Links, die ich Dir da gegeben habe so, als wäre man da inzwischen durchaus weiter als es den Anschein hat bzw. als Du jetzt mit diesem Satz sagen möchtest. Das hört sich alles schon ziemlich konkret und weniger als pure Zukunftsmusik an. Erst recht, wenn man dann mal ein wenig weiter stöbert, das hier: liest (Google arbeitet mit denen ja zusammen) und bei D-Wave , stöbert.

Sicher ist da noch Einiges Zukunftsmusik dran bei dem Thema, aber hättest Du gedacht, auf welche Weise Google da mitdrinhängt und mit D-Wave zusammenarbeitet und wie weit D-Wave auf diesem Feld tatsächlich ist (entgegen mancher Vermutung)? Und dass Google einen solchen Quantencomputer z.B. für ihre Bildererkennung nutzen wollen (Vorteil eines solchen Rechners neben der reinen Rechenkapazität: er verbraucht nur einen Bruchteil an Energie gegenüber herkömmlichen Rechnern) bzw. das Thema für Google wohl alles andere als rein theoretische Zukunftsmusik ist?

Im Gegensatz Gerhard Uhlhorn oder MacMark ist sierkb offen lernfähig und vor allem lernBEREIT.

ex_apple_user_neu
Wovon redest Du? Und wo ist hier ein Uhlhorn?

Wer hat das in Auftrag gegeben?