Wien/Klosterneuburg - Die Kryptografie ist nicht das Problem. "Es gibt kryptografische Schemata, die eigentlich nicht mehr gebrochen werden können", sagt Krzysztof Pietrzak. Selbst wenn Moore's Law - jene bekannte Vorhersage, dass sich die Rechenleistung von Prozessoren alle eineinhalb Jahre verdoppelt - noch auf Jahrzehnte gültig sei, werden sie sicher sein. Um aktuelle mathematische Verschlüsselungsmethoden mit Schlüssellängen von 128 oder 256 Bits zu knacken, ist so eine hohe Anzahl von Rechenschritten nötig, dass selbst leistungsstarke Computer damit auf Jahre beschäftigt wären.

Nein, das Problem ist, wie die Kryptografie eingesetzt wird. Wie sie in Hard- und Software, in Informationssicherheitskonzepte implementiert ist. "Der sicherste Schlüssel hilft nichts, wenn das Passwort zwischen Tastatur und Prozessor abgefangen wird."

Krzysztof Pietrzak forscht mit seiner Arbeitsgruppe am Institute of Science and Technology Austria (IST Austria) in Maria Gugging in Niederösterreich an den Grundlagen der Kryptografie. Eine Disziplin, die mit dem Aufstieg der Informationstechnologien und mit deren Missbrauch in Form totaler Überwachung ungeheuer an Bedeutung gewonnen hat. Der 1977 geborene polnisch-schweizerische Informatiker und Absolvent der ETH Zürich erhielt 2010 einen hochdotierten ERC Starting Grant des Europäischen Forschungsrats für seine Arbeit im Bereich der Informationssicherheit. 2011 kam er an das IST Austria.

In einer neuen Studie, die im August auf der "Crypto"-Konferenz an der University of California in Santa Barbara präsentiert wird, konnte Pietrzak mit seinen Kollegen Peter Gazi und Michal Rybár etwa Zweifel an der Sicherheit eines in der Netzkommunikation weit verbreiteten Authentifikationsschemas ausräumen.

Konkret geht es dabei um den Hash-based Message Authentication Code (HMAC), der als Teil von Verschlüsselungsprotokollen wie SSL und TSL Datenintegrität und Authentizität von Nachrichten garantiert. "Dank HMAC erkennt man, ob in einem unsicheren Datenkanal wie dem Internet eine Nachricht tatsächlich vom Absender kommt und ob sie manipuliert wurde", sagt Pietrzak. Wenn im Browser vor einer Adresse "https://" (Hypertext Transfer Protocol Secure) auftaucht, dann garantiert meistens HMAC die sichere Authentifizierung.

Ungültiger Beweis

HMAC verbindet den geheimen Schlüssel mit einer sogenannten kryptografischen Hash-Funktion, die eine Zeichenkette beliebiger Länge in eine mit fester Länge verwandelt. Der ursprüngliche Beweis aus 1996, der HMAC Sicherheit attestierte, hielt nicht lange. Er ging davon aus, dass die Hash-Funktion kollissionsresistent sein müsse, also dass man nicht einfach zwei unterschiedliche Zeichenketten finden kann, die nach dem "Hashen" idente 256-Zeichen-Outputs liefern. Eine Dekade später zeigte sich, dass das relativ leicht möglich ist. Die dem Sicherheitsbeweis zugrundeliegende Annahme war also ungültig. Pietrzaks Gruppe legte nun einen neuen Beweis vor, der ohne die Annahme auskommt, dass die Hash-Funktion kollisionsresistent sei, und das Vertrauen in HMAC wiederherstellt.

Neben der Verifikation bestehender Ansätze geht es den Forschern vor allem um die Entwicklung neuer Methoden. Bewährte Lösungen funktionieren nicht mehr, wenn den Geräten die Rechenpower fehlt. RFID-Chips, die etwa zur Identifizierung von Medikamenten eingesetzt werden, fehlt die Kapazität für konventionelle Verschlüsselung. Sie haben keine eigene Batterie und kaum Platz für Code. Pietrzaks Gruppe entwickelte für diese Systeme eine Methode, die auf einem simplen, aber immens schwer lösbaren Problem aus der mathematischen Kodierungstheorie beruht. Ihr Ansatz soll künftig starke Kryptografie auch auf schwachen Geräten möglich machen.

Und für noch ein weiteres Problem haben die Klosterneuburger Kryptologen eine Lösung parat: Bei sogenannten Seitenkanalattacken nutzen Hacker Information, die man rund um ein System messen kann: die Zeit, die es braucht, um eine Anfrage zu verarbeiten, die Energie, die nötig ist, oder die Strahlung, die entweicht. Heute sichert man Systeme gegen solche Attacken ab, indem man die Chips gegen Strahlung abschirmt oder zusätzliche Transistoren einbaut, um die Messung des Energieverbrauchs zu erschweren.

"Wir wollen das Problem aber wieder auf das Gebiet der theoretischen Kryptografie zurückführen", sagt Pietrzak. Die Forscher arbeiten an der Konstruktion von sogenannten "leakage-resilient" Kryptosystemen, welche beweisbar sicher gegen jede Art von Seitenkanalattacken sind. Man müsse dabei garantieren, dass die Informationsmenge, die ein Angreifer messen kann, beschränkt ist.

Ungenutzte Möglichkeiten

Die Enthüllungen über die umfassende Überwachung der NSA haben eine Konjunktur der Informationssicherheitsforschung ausgelöst. "Es ist im Moment einfacher, Forschungsgelder zu bekommen, auch für theoretische Fragestellungen", sagt Pietrzak. "Die Kryptologen hat am NSA-Skandal aber am meisten überrascht, dass die Geheimdienste so weit gingen und Einfluss auf Standardisierungen von Kryptosystemen nahmen, um diese dann brechen zu können."

In der Krypto-Community wundere man sich schon seit langem, dass vorhandene Techniken kaum genutzt werden. Eine Implementierung gemeinsamer Standards wäre notwendig. "Die Sachen existieren. Aber ich verschlüssele meine Mails auch nicht, weil es keinen Sinn macht, wenn der Empfänger keine passende Software installiert hat." (Alois Pumhösel, DER STANDARD, 30.7.2014)