01.09.2014, 15:24 Uhr | 0 |

https ist sicher Mit Testattacken beweisen Forscher die Sicherheit verschlüsselter Internetverbindungen

Was ist heute schon sicher im Internet? Nichts. Allerdings stimmt das nicht ganz. https-Verbindungen, über die beispielsweise gerne Onlinebanking abgewickelt wird, halten offenbar, was sie versprechen. Das ergaben jedenfalls Testattacken der Kryptographen der TU Graz.

Sichere Internetverbindungen per https
Á

https-Verbindungen sind sicher, erhaben Tests der TU Graz. Über https-Verbindungen werden vor allem Onlinebanking und Shopping abgewickelt.

Foto: TU Graz

Eine sichere Internetverbindung erkennen Nutzer in der Regel an der Protokollangabe https in der Adresszeile des Browsers, die Abkürzung für Hypertext Transfer Protocol Secure. Das Übertragungsprotokoll wird der Adresse der aufgerufenen Webseite vorangestellt. Benutzerdaten, die auf dieser Seite eingegeben werden, oder sonstige sensible Daten, die der Benutzer über diese Seite abruft, werden über eine verschlüsselte Verbindung übertragen – beim Internetbanking zum Beispiel, beim Onlineshopping oder beim Ausfüllen von Formularen.

Es gibt verschiedene kryptographische Verfahren zur Verschlüsselung von Internetverbindungen und E-Mails. Die meisten heute gängigen Verfahren sind offenbar sicher. Forscher der TU Graz haben eines der Verfahren auf Herz und Nieren getestet. Die Kryptographen Erich Wenger und sein Kollege Paul Wolfger vom Institut für Angewandte Informationsverarbeitung und Kommunikationstechnologie betätigten sich sozusagen im Dienste der Sicherheit als Codeknacker.

Anhand einer Testattacke kamen sie zu dem Ergebnis, dass selbst ein riesiger Rechnerverbund 41 Jahre brauchen würde, um auch nur einen der kleinsten gängigen Codes von sicheren Internetverbindungen zu knacken.

Mit selbst gebauter Rechenmaschine den Code geknackt

Um die Sicherheit gängiger Internetverschlüsselungen zu überprüfen, attackierten Wenger und sein Kollege Wolfger eine 113-Bit-Koblitz-Kurve. Elliptische-Kurven-Kryptographie ist ein gängiges Public-Key-Verschlüsselungsverfahren. Eine 113-Bit-Koblitz-Kurve stellt eine relativ schwache Verschlüsselung dar. Mindeststandard bei gängigen Verschlüsselungsverfahren ist heute eine 163-Bit-Kurve.

Für ihre Testattacke bauten Wenger und sein Kollege eine Rechenmaschine, die ausschließlich Schlüsselberechnungen für Koblitz-Kurven durchführen kann. Das aber extrem schnell: Pro Rechenschritt brauchte sie nur sechs Nanosekunden. Ein herkömmlicher Computer braucht nach Angaben der Kryptographen pro Rechenoperation drei Millisekunden. „Die Maschine rechnete ungefähr 9 Millionen Mal schneller als mein Notebook“, überschlägt Wenger die Leistungsfähigkeit der selbst gebauten Rechenmaschine.

Eine unvorstellbare Zahl an Rechenoperationen, nämlich 8,5 x 10 hoch 15 einzelne Rechenschritte, wie Wenger ausrechnet, musste die Maschine ausführen, bis der Code geknackt war. 45 Tage brauchte sie dafür. Gekostet hatte die Maschine insgesamt 23.400 Euro. Wenger und Wolfger rechneten nun hoch, dass zur Entschlüsselung einer 163-bit-Koblitz-Kurve ein Rechnerverbund im Wert von rund einer Milliarden US-Dollar 41 Jahre brauchen würde. Ein immenser Aufwand an Zeit und Geld. Das könnte selbst die Rechnerkapazitäten der Geheimdienste überfordern. Aber – wer weiß.

Vom mathematischen Aspekt her sicher

„Vom mathematischen Aspekt her sind die Standard-Algorithmen zur Verschlüsselung von Internetverbindungen sicher“, resümiert Wenger die Ergebnisse der Testattacke im Gespräch mit Ingenieur.de. Aber heißt das auch, dass die Verbindung tatsächlich immer sicher ist, wenn https in der Webadresse steht?

Eine Aussage zur tatsächlichen Sicherheit verschlüsselter Verbindungen werde er nicht treffen, stellt Wenger klar. „Geglückte Angriffe resultieren aus menschlichen Programmierfehlern, nicht aus der fehlenden Sicherheit“, fasst er zusammen. Und verweist auf die als Heartbleed bekannt gewordene Sicherheitslücke, die im April dieses Jahres veröffentlicht wurde: Dabei handelt es sich um einen Bug in der weit verbreiteten Verschlüsselungs-Software OpenSSL, der es Hackern ermöglicht, vertrauliche Daten auszuspähen.

Anzeige
Von Susanne Neumann
Zur StartseiteZur Startseite
schlagworte: 
kommentare

Aktuell wurden noch keine Kommentare zu diesem Artikel abgegeben. Loggen Sie ich ein oder melden Sie sich neu an, wenn Sie noch keine Zugangsdaten haben
> Zum Login     > Neu anmelden