Mathematik

Neue Gefahr für die Sicherheit im Netz

18.08.2002
, 12:00
Ein Mathematiker will das wichtigste Verschlüsselungssystem knacken. Gelingt es, bricht Chaos aus. Anträge auf Forschungsgelder bergen selten Sensationen, und so entfalteten die spröden Formeln des amerikanischen Mathematikers Daniel Bernstein ihre Sprengkraft mit Verzögerung.
ANZEIGE

Ein Mathematiker will das wichtigste Verschlüsselungssystem knacken. Gelingt es, bricht Chaos aus. Anträge auf Forschungsgelder bergen selten Sensationen, und so entfalteten die spröden Formeln des amerikanischen Mathematikers Daniel Bernstein ihre Sprengkraft mit Verzögerung. Bernstein warb im vergangenen Oktober bei der amerikanischen National Science Foundation für den Bau einer Rechenmaschine, die auf einen einzigen Zweck spezialisiert ist: Sie zerlegt natürliche Zahlen in ihre atomaren Bausteine, ihre Primfaktoren. Erst einige Monate später schlugen Kryptologen, also Experten für Chiffrierung, Alarm. Denn gerade die Annahme, daß sich große Zahlen nur äußerst schwer "faktorisieren" lassen, sichert jeden Tag Milliarden von vertraulichen Botschaften und Billionen Euro im elektronischen Daten- und Zahlungsverkehr. Auf diese Annahme verläßt sich, wer Geld ins Ausland überweist, die Verschlüsselungsfunktion seines E-Mail-Programms aktiviert oder ein Buch bei Amazon kauft. Mit einer schnellen Faktorisiertechnik bekämen Hacker und Geheimdienste einen digitalen Generalschlüssel in die Hand.

Elektronische Nachrichten lassen sich nicht wie Papierpost in einen Umschlag stecken und versiegeln. Doch vor 25 Jahren fanden die Mathematiker Ronald Rivest, Adi Shamir und Leonard Adleman am Massachusetts Institute of Technology ein elegantes Verfahren - nach ihren Initialen RSA abgekürzt -, das auch Bits und Bytes vor fremden Augen schützt. Kernstück von RSA ist eine mathematische Rarität: eine sogenannte Einwegfunktion.

ANZEIGE

Anders als die Welt der Zahlen strotzt unser Alltag vor Einwegfunktionen - schon beim Frühstück: Wer den Kaffee einmal mit Milch verrührt hat, kann ihn nicht mehr schwarz trinken. Unmöglich, beide Flüssigkeiten wieder zu trennen. Die Zutaten zur RSA-Einwegfunktion sind Primzahlen: Zahlen, die sich nicht als Produkt kleinerer Zahlen schreiben lassen. Um Primzahlen miteinander zu multiplizieren, genügen Papier, Bleistift und Grundschulbildung. Für die umgekehrte Richtung jedoch hat in zwei Jahrtausenden Zahlentheorie niemand ein schnelles Rezept gefunden. Auch Rechengenies wie Erathostenes, Fibonacci und Gauß mußten raten, wenn sie große Zahlen in ihre Primfaktoren zerlegen wollten.

Zwar haben Mathematiker die Faktorisierungsverfahren inzwischen verfeinert: Mit Hunderten vernetzten Computern können sie in monatelanger Rechenzeit hartnäckige Zahlen mit bis zu 158 Stellen knacken. Doch auch die geballte Computerkraft muß sich umständlich durch die Menge der möglichen Lösungen wühlen, die sich mit jeder neuen Stelle vervielfacht. Aus dieser Asymmetrie - eine Richtung ganz einfach, in der anderen Richtung geht nichts - konstruierten Rivest, Adleman und Shamir einen virtuellen Briefkasten, in den jeder seine Botschaften einwerfen kann, aber zu dem nur der rechtmäßige Empfänger den Schlüssel hat. Der Empfänger, im Krypto-Jargon traditionell Bob genannt, wählt zwei möglichst große Primzahlen p und q. Deren Produkt n, seinen "öffentlichen Schlüssel", posaunt er getrost in alle Welt hinaus. Die Faktoren p und q behält er als geheimen Schlüssel für sich. Mit Bobs öffentlichem Schlüssel kann Alice, die Senderin einer Botschaft, ihren Klartext in unverständlichen Zeichensalat verwandeln: Das ist die leichte Richtung der Einwegfunktion. Doch wer die Botschaft wieder entziffern will, braucht p und q - und die kennt nur Bob. Denn p und q sind zwar im Prinzip durch n festgelegt, aber praktisch nicht zu finden.

ANZEIGE

Heute ist RSA Geschäftsgrundlage des E-Commerce. Jeder Webbrowser und viele E-Mail-Programme verstehen RSA. Transfers in Swift, dem weltweiten Netzwerk für Zahlungsverkehr, sind in RSA verschlüsselt - täglich eine Summe entsprechend dem halben globalen Bruttosozialprodukt. Mit RSA-gesicherten Digitalkameras überwachen die Vereinten Nationen die Einhaltung des Atomwaffen-Sperrvertrags. "Inzwischen ist die Gesellschaft von RSA abhängig", sagt der Kryptologe Johannes Buchmann von der Technischen Universität Darmstadt.

Für Spannung ist damit gesorgt, denn jederzeit könnte ein kluger Kopf einen schnellen Weg um die RSA-Einbahnstraße finden. Doch diesen Trick versucht Daniel Bernstein gar nicht erst. Er will statt dessen das beste bekannte Verfahren zur Faktorisierung großer Zahlen, das sogenannte Zahlkörpersieb, auf effizientere Weise als bisher umsetzen. Anstatt das Zahlkörpersieb als Programm auf gewöhnlichen Mehrzweckcomputern laufen zu lassen, will Bernstein es fest in maßgeschneiderten Schaltkreisen verdrahten. Dadurch, kalkuliert Bernstein, könnte sein Rechenwerk bei gleichem Aufwand dreimal so lange Zahlen zerlegen wie bisher - und die RSA-Welt erschüttern.

ANZEIGE

Die meisten RSA-Botschaften sind heutzutage mit 1024-Bit-Schlüsseln chiffriert: mit 1024stelligen Zahlen in computergerechter Binärschreibweise. 512-Bit-Zahlen können bereits binnen weniger Wochen mit der Hardware-Ausstattung eines großen Büros geknackt werden. "Ist es jetzt möglich, 1536-Bit-Zahlen zu vernünftigen Kosten zu faktorisieren?" fragt Bernstein. Genau dies war die Frage, mit der Bernstein seine Kollegen in Aufregung versetzte.

"So gut wie alle geschäftliche und private Kommunikation über das Internet" sei bedroht, warnte Lucky Green von den Cypherpunks, einer amerikanischen Kryptologengruppe. Green und andere Experten widerriefen ihre einst sicher geglaubten 1024-Bit-Schlüssel und ersetzten sie durch doppelt so lange Zahlen. Auch deutsche Kryptologen forderten, 1024-Bit-Schlüssel schnellstens aus dem Verkehr zu ziehen.

Das Bonner Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ebenfalls aufgehorcht, doch Gerhard Schabhüser, Kryptographie-Experte beim BSI, äußert sich verhalten: "Wir prüfen derzeit die Korrektheit und Praxisrelevanz der Bernsteinschen Vorschläge." Vorsorglich empfiehlt das BSI, spätestens ab dem Jahr 2006 nur noch Schlüssel der Länge 2048 Bit zu benutzen.

ANZEIGE

"Genau die falsche Denkweise", kritisiert Johannes Buchmann. "In ein paar Jahren kommt vielleicht ein neuer Bernstein, und das Theater geht von vorne los." Dagegen helfe nur eine flexiblere Sicherheitsinfrastruktur, glaubt der Darmstädter Informatiker: "Wir müssen notfalls von RSA auf andere Verfahren umschalten können." Tatsächlich verläßt sich auch das BSI beim Schutz hochsensibler Staatsgeheimnisse immer weniger auf RSA: "Der Trend geht weg von der Fokussierung auf Kryptographie mit öffentlichen Schlüsseln", sagt Schabhüser.

Noch existiert Bernsteins Maschine nur auf dem Papier. Ob sie wirklich leisten kann, was ihr Erfinder verspricht, ist umstritten. "Es kann Jahre dauern, bis wir Resultate sehen", räumt Bernstein selbst ein. Doch an RSA hängt weit mehr als ein Gelehrtenstreit - und so predigt Johannes Buchmann mit dem Evangelisten Matthäus: "Seid wachsam! Denn ihr wißt weder den Tag noch die Stunde."

Quelle: Frankfurter Allgemeine Sonntagszeitung, 18.08.2002, Nr. 33 / Seite 49
  Zur Startseite
Verlagsangebot
Verlagsangebot
Werkzeugkoffer
Werkzeugkoffer im Test
Automarkt
Finden Sie Ihren Gebrauchtwagen mit Garantie
Wallboxen
Wallboxen im Test
ANZEIGE