Der unabhängige IT- und Tech-Kanal!
internet.board.entertainment.games.hardware
Bei der sogenannten Public-Key-Kryptographie, zu der auch RSA gehört, hat jeder Benutzer zwei Schlüssel. Der eine, der sogenannte öffentliche Schlüssel, dient der Verschlüsselung von Nachrichten. Der zweite, private Schlüssel wird zum Entschlüsseln der verschlüsselten Nachrichten verwendet. RSA wird beispielsweise zum Absichern sensibler Internet-Transaktionen (Shopping, Online-Banking und ähnliches) sowie für die Verschlüsselung von Chat-Systemen und E-Mails verwendet.
Da die öffentlichen Schlüssel sich in vielen Fällen im Internet befinden, um der betreffenden Person verschlüsselte Daten schicken zu können, konnten die Forscher diese analysieren. Dabei stellten sie fest, dass es in einer "kleinen, aber messbaren Anzahl von Fällen" ein Problem mit den Schlüsseln gibt. Verursacht offenbar durch ein Problem bei der Generierung der für die Schlüssel-Erstellung benötigten Pseudo-Zufallszahlen gibt es einige Schlüssel, die Unbefugten erlauben, die verschlüsselten Daten auszulesen. Die Wissenschaftler, die ihre Forschungsergebnisse am vergangenen Dienstag in einem wissenschaftlichen Paper veröffentlichten, befürchten, dass diese Problematik - trotz der eher geringen Anzahl von Fällen - das Vertrauen der Nutzer in die RSA-Verschlüsselung nachhaltig schwächen könnte. Es gibt keine Möglichkeit für normale Nutzer, festzustellen, ob ihr Schlüssel von dem Problem betroffen ist.
Die Forscher untersuchten insgesamt gut sieben Millionen öffentliche RSA-Schlüssel. Dabei seien sie über fast 27.000 Schlüssel, die keine angemessene Sicherheit bieten, "gestolpert", berichten die Experten. Das entspricht knapp 0,4% der Schlüssel beziehungsweise vier von 1000 generierten Schlüsseln - ein geringer Prozentsatz, aber angesichts der Verbreitung des Systems dennoch eine erhebliche Anzahl Betroffener. Jeder, der "sich die Mühe macht, unsere Arbeit zu reproduzieren", könnte in diesen Fällen die privaten Schlüssel der Betroffenen rekonstruieren, schreiben die Krypto-Experten. Zwar deutet dies auf einen äußerst eingeschränkten Kreis potentieller Angreifer hin - diese müssten nicht nur über erhebliche mathematische Fähigkeiten verfügen, sondern auch einiges an Ressourcen investieren - es gibt aber durchaus Fälle, in denen ein derartiger Angriff denkbar wäre.
Die genauen Gründe für das teilweise Versagen des Pseudozufallszahlen-Generators sind derzeit noch unbekannt. Die Wissenschaftler konnten lediglich ausschließen, dass es sich um ein reines Implementierungs-Problem einer bestimmten RSA-Umsetzung handelt: das Problem tauche in "mehr als der Arbeit eines einzelnen Software-Entwicklers" auf, heißt es in dem Forschungsbericht.
Die Forscher betonen, dass es durchaus im Bereich des Möglichen sei, dass schon vor ihrer Arbeit jemand - womöglich Personen mit bösartigen Zielen - diese Schwächen aufgedeckt habe. Ihre Erkenntnisse seien nicht sonderlich anspruchsvoll, weswegen es schwer zu glauben sei, dass diese Erkenntnisse vollkommen neu seien. Insbesondere "Geheimdienste und andere Gruppen, die für ihre Neugier in diesen Dingen bekannt sind", seien wahrscheinlich schon früher auf diese Angriffsmöglichkeit gekommen, so die Einschätzung der Experten.
Die Kryptologen bemühten sich, alle Betroffenen über das Problem in Kenntnis zu setzen. Dies gestalte sich allerdings äußerst schwierig angesichts des Ausmaßes der Probleme und der dezentralen Infrastruktur, erklärten sie. Sie hätten sich trotzdem für die Veröffentlichung ihrer Forschungsergebnisse entschieden. Dies sei allerdings eine Ermessensentscheidung gewesen.
Text-Quellen: The New York Times
Annika Kremer (g+) am Donnerstag, 16.02.2012 18:00 Uhr
Es gibt recht gute und kostengünstige Methoden, gute (nicht deterministische) Zufallswerte zu erzeugen, beispielsweise über Messung von Signalrauschen. Das könnte sich langsam durchsetzen. Zener-Diode kosten nur ein paar Cent... ...
Eine der sichersten Methoden dürfte wohl das ablesen des Zerfalls eines Radionuklids sein. Niemand kann vorhersagen, welches Uran/Thorium/... usw. atom als nächstes zerfällt. Ich mag ja ein Idiot sein, aber ich glaube einfach nicht, dass jemand von euch ein Radionukli ...
Es gibt genügend Radionuklide, deren Halbwertszeit wohl nicht mal die Menschheit erleben wird ;) Das ist nicht das Problem - das Problem ist, dass es ein einziges Ereignis irgendwann in der Zeit ist - und du die Zufallszahl erst hast, wenn es eingetreten ist. Verstehst ...
Damit hast du aber nur einen einzigen Zeitpunkt, und der liegt definitiv schonmal in der Zukunft (bzw. der Zeit nach Einbau des Nuklids). Ist das Nuklid zerfallen, brauchst du einen neuen Nummerngenerator, hältst du viele Nuklide vor, sind die Hälfte aller Zufallsdaten ...
Eine der sichersten Methoden dürfte wohl das ablesen des Zerfalls eines Radionuklids sein. Niemand kann vorhersagen, welches Uran/Thorium/... usw. atom als nächstes zerfällt. Damit hast du aber nur einen einzigen Zeitpunkt, und der liegt definitiv schonmal in der Zuku ...
Heutzutage ist die Internettelefonie neben Fest- und Mobilnetztelefonie immer gefragter. Per Internet zu kommunizieren ist nicht nur komfortabler und billiger, man ist zudem unabhängig von Tarifen, welche nur eine bestimmte Gesprächszeit günstig ermöglichen. Also wieso nicht auch Internet-Telefonie nutzen?
Sener Dincer am 14.06.2013, 11:47 Uhr
Bezugnehmend auf die anhaltende Protestbewegung gegen Ministerpräsident Erdogan hat nun auch der StudiVZ-Gründer Ehssan Dariani seine Ansichten offenbart. Via Facebook-Mitteilung teilt er mit, dass möglicherweise die Zeit für einen bewaffneten Kampf gegen die türkische Regierung gekommen sei – und zwar „Stauffenberg-like“.
mehr lesen...
