Kryptoprofessor efter Diffie-Hellman-sårbarheder: Brug altid nøgler der er rigeligt store

27. maj 2015 kl. 15:394
Kryptoprofessor efter Diffie-Hellman-sårbarheder: Brug altid nøgler der er rigeligt store
Illustration: iStock.
Forskere har fundet flere svagheder ved brugen af den udbredte Diffie-Hellman-algoritme til nøgleudveksling. Og der er et par huskeregler, man bør notere sig, hvis det skal være sikkert.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Efter offentliggørelsen af LogJam-sårbarheden, der gennemhuller sikkerheden på et hav af webservere, peger professor ved datalogisk institut på Aarhus Universitet og ekspert i kryptologi, Ivan Damgaard, på, at der er et par tommelfingerregler, der er værd at følge.

»Man skal ikke have svag krypto sammen med stærk i det samme system. Det går altid galt,« skriver han i en mail til Version2.

Damgård henviser til, at LogJam-sårbarheden udnytter, at en stribe webservere den dag i dag understøtter for svag SSL/TLS-kryptering på 512 bit som følge af et amerikansk forbud mod stærk kryptering fra 1990'erne. Resultatet har vist sig at være, at det er muligt at narre en server og en klient til at anvende den svage kryptering, selvom begge i udgangspunktet understøter en stærkere kryptering.

Downgrade-angrebet til 512 bit, som det kaldes, udspringer af generelle svagheder i anvendelsen af den udbredte Diffie-Hellman-algoritme, som forskerne har fundet frem til.

Artiklen fortsætter efter annoncen

Algoritmen bliver blandt andet anvendt til HTTPS, SSH og VPN. Et af hovedproblemerne i den sammenhæng har vist sig at være, at mange af de sikre forbindelser, tager afsæt i samme primtal. Så selvom det er ressourcekrævende at knække eksempelvis et 1024 bit-primtal, så er det kun nødvendigt at gøre en enkelt gang for at kunne lytte med på sikkerheden i mange VPN-forbindelser.

Og netop i forhold til VPN-forbindelserne, har der vist sig - som Version2 tidligere har fortalt - at være en særlig stor udfordring. 1024 bit-primtallet er nemlig en del af de specifikationer, der ligger bag forbindelserne, og er derfor ikke muligt at slippe af med uden videre.

Det får Ivan Damgård til at bemærke:

»Ethvert system der bruger krypto skal have indbygget mulighed for at opdatere både de algoritmer og de nøglestørrelser der bruges, uden at det medfører uoverstigelige problemer.«

Artiklen fortsætter efter annoncen

Og endeligt har forskernes analyse af de praktiske svagheder ved Diffie-Hellman fået flere til at stille spørgsmålet - blandt andet i Version2's debat - hvad er sikkert nok? Det findes der ikke noget enkelt svar på, påpeger Ivan Damgård.

»Folk vil altid gerne have et svar, der siger: 'det er sikkert!' eller 'det er ikke sikkert!'. Det er nemt at forstå, men sådan er verden desværre ikke skruet sammen. Det matematikken kan sige er kun, at det er sikkert nok, hvis nøglerne er store nok. Og så er det op til folk i praksis at vælge den størrelse, de tror på i forhold til hvor stærk, man antager fjenden er«

Med henvisning til, at 1024 bit-nøgler ifølge forskerne bag LogJam nok er for lette at knække for nationalstater og NSA - opfordrer Ivan Damgård til at være rundhåndet med størrelsen på krypteringsnøgler.

»Lad være med at vælge nøgler, der er lige præcis store nok i forhold til, hvad du tror er nødvendigt. Den sikkkerhedsmargin, man bruger, bør være større, end der ser ud til at være tradition for. Den hardware vi har i dag er rigelig god nok til at håndtere større nøgler.«

4 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
4
28. maj 2015 kl. 14:53

Problemet her er vist lige så meget, at der bruges en Diffie-Hellman, hvis sikkerhed bygger på, at det er ineffektivt at faktorisere store tal, som at "1024" er for lille et tal. Se <a href="http://en.wikipedia.org/wiki/Key_size#Asymmetric_algorithm_key_lengths"…;

Sikkerheden i Diffie-Hellman er baseret på diskret logaritme-problem og ikke faktorisering. I RSA er sikkerheden til gengæld baseret på primtalsfaktorisering.

Der er indgår et primtal i Diffie-hellman nøgleudvekslingen, men der er faktisk ikke noget krav om, at det skal være holdt hemmeligt. Fidussen i Diffie-hellman er netop, at Alice og Bob ved at udveksle to konstanter i klartekst, et primtal p og en generator g, kan beregne sig frem til en delt hemmelighed, og dermed udveksle en nøgle.

2
28. maj 2015 kl. 01:25

Kan man ikke gøre en kort nøgle længere ved at kryptere budskabet flere gange med samme nøgle ?

1
27. maj 2015 kl. 22:11

Og er der nogen som kende en god metode til at huske kodeordet?