ArchivDÄ-TitelSupplement: PRAXiSPraxis Computer 1/2001Verschlüsselungstechnik: Elliptische Kurven

Supplement: Praxis Computer

Verschlüsselungstechnik: Elliptische Kurven

Dtsch Arztebl 2001; 98(11): [27]

Zeggel, Thomas

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...
LNSLNS Bei den asymmetrischen Verschlüsselungsverfahren wird neben dem „Klassiker“ RSA neuerdings die Kryptographie auf Basis „elliptischer Kurven“ immer wichtiger.

Mit der zunehmenden Digitalisierung des Arbeitsumfelds erhalten – gerade in empfindlichen Bereichen wie dem Gesundheitswesen – Sicherheitsaspekte eine wachsende Bedeutung. Digitale Verschlüsselungstechniken werden dabei sowohl beim Datenaustausch über eine potenziell abhörbare Verbindung, wie es das Internet darstellt, als auch bei der Authentifizierung über eine digitale Signatur oder dem Prüfen der Unverfälschtheit der Daten eingesetzt. Die rasanten Leistungssteigerungen der Hardware, die einem potenziellen Angreifer zur Verfügung steht, bringen es dabei mit sich, dass auch die Leistungsfähigkeit der eingesetzten Verschlüsselungsalgorithmen immer weiter gesteigert werden muss. In der Praxis kann dies durch eine einfache Verlängerung des eingesetzten Schlüssels oder durch die Einführung moderner, effektiverer Verfahren geschehen.
Symmetrische und
asymmetrische Verfahren
Moderne Verschlüsselungsalgorithmen können grob in zwei Klassen unterteilt werden: symmetrische und asymmetrische Verfahren, letztere auch als Public-Key-Verfahren bekannt. Symmetrische Verfahren werden gemeinhin zur Verschlüsselung bei der Übertragung größerer Datenmengen verwendet, wobei der geheime Schlüssel beiden Kommunikationspartnern bekannt sein muss. Asymmetrische Verfahren lassen sich einsetzen, um sich mittels einer digitalen Signatur zu authentifizieren oder um vor dem Austausch größerer Datenmengen einen symmetrischen Schlüssel zu vereinbaren, ohne dass dieser Schlüssel durch ein Abhören der Datenleitung ermittelt werden kann. Diese Kombination aus asymmetrischem Schlüsselaustausch und anschließender symmetrischer Verschlüsselung wird auch als hybrides Verschlüsselungsverfahren bezeichnet.
Das bekannteste Beispiel eines symmetrischen Verfahrens ist der DES-Algorithmus, der bereits Mitte der siebziger Jahre von IBM entwickelt wurde. Aufgrund der damals festgelegten Schlüssellänge von nur 56 Bit gilt dieses Verfahren heute allerdings nicht mehr als sicher. Daher wurde vom US-amerikanischen National Institute of Standards and Technology (NIST) im Rahmen einer öffentlichen Ausschreibung ein Nachfolger (Rijndael) bestimmt. Dieses Verfahren, das unter dem Namen AES (Advanced Encryption Standard) während der nächsten Jahre den Standard im Bereich symmetrischer Verfahren bilden soll, wird mit Schlüssellängen von 128, 192 und 256 Bit eingeführt.
Bei vergleichbarer Sicherheit benötigen asymmetrische Verfahren wesentlich größere Schlüssellängen als symmetrische Verfahren. Ein weit verbreitetes Verfahren ist das bereits 1976 vorgestellte RSA, das beispielsweise – mit einer Schlüssellänge von 1024 Bit – auch bei der deutschen Health Professional Card (HPC) eingesetzt wird, die zum Beispiel als elektronischer Arztausweis ab 2002 zur Verfügung stehen soll. Im Hinblick auf die beschleunigte Entwicklung im IT-Bereich sollten auch die asymmetrischen Verfahren eine Sicherheit bieten, die mit dem neuen, symmetrischen Standard vergleichbar ist; RSA benötigt allerdings Schlüssellängen von 4 096 bis über 10 000 Bit, um mit der Sicherheit von AES gleichzuziehen. Das ist in vielen Anwendungen problematisch, da eine Verlängerung des Schlüssels auch eine deutlich verlängerte Rechenzeit mit sich bringt.
ECC – Elliptic Curve Cryptography
Doch es gibt Alternativen hierzu: Die bekannteste ist die Verschlüsselung auf Basis elliptischer Kurven (Elliptic Curve Cryptography, ECC). Diese Art von Verfahren reduziert die benötigte Schlüssellänge und verringert die Rechenzeit. Ein Blick auf die Standardisierungsbemühungen der letzten Jahre zeigt, dass ECC sich immer weiter durchsetzt: So sind in den modernen Standards aus dem Bereich Public-Key-Kryptographie (zum Beispiel ANSI, IEEE, ISO) auch ECC-basierte Algorithmen vorgesehen. Bei der Spezifikation der deutschen HPC wurde ECC als mögliche Erweiterung des Standards explizit vorgesehen.
Während die Verschlüsselung bei RSA auf dem Problem der Zerlegung einer Zahl in ihre Primfaktoren beruht, basieren andere Verfahren auf dem Problem der Berechnung des diskreten Logarithmus (DL-Problem). Grundlegend dabei ist, dass in manchen mathematischen Strukturen die Umkehrung einer an sich einfachen Operation (Exponentiation) für gewisse Parameter extrem aufwendig (und damit praktisch nicht möglich) ist. Die Erkenntnis, dass diese Eigenheiten für kryptographische Fragestellungen nutzbar sind, bildete die Basis des nach ihren Entdeckern benannten Schlüsselaustauschverfahrens Diffie/ Hellman (1977).
1985 entdeckten unabhängig voneinander zwei Mathematiker, N. Koblitz und V. Miller, dass eine bekannte und bereits intensiv erforschte mathematische Struktur für Anwendungen in der Verschlüsselungstechnik geeignet ist. In der Gruppe der Punkte einer elliptischen Kurve kann nämlich ein Gruppengesetz formuliert werden, sodass einerseits sämtliche Methoden,
die für das DL-Problem entwickelt worden waren, einfach übertragen werden können; andererseits unterbindet die Struktur aber alle Angriffsmöglichkeiten, die das ursprüngliche DL-Problem aufweist, wirkungsvoll. Diese abstrakte Mathematik lässt sich sehr effizient in modernen Mikrocomputern implementieren.
Vorteile von ECC-Verfahren
Die Vorteile von ECC gegenüber RSA sind verblüffend: Es werden bei vergleichbarer Sicherheit sowohl geringere Schlüssellängen als auch eine kürzere Rechenzeit benötigt. Schlüssellängen von 160 Bit bei ECC entsprechen der Sicherheit eines RSA-Schlüssels von 1024 Bit, der heute als Mindeststandard gilt. Bei größeren Schlüssellängen wachsen die Vorteile von ECC gegenüber RSA überproportional. So wird zurzeit die Schlüssellänge bei RSA häufig auf 2048 Bit erhöht; das entspricht nach Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) für die im Rahmen des Signaturgesetzes vorgesehene Schlüssellänge einem Schlüssel von 192 Bit bei ECC.
Die Unterschiede in der benötigten Schlüssellänge werden besonders wichtig, wenn die Verfahren in Umgebungen eingesetzt werden sollen, die aufgrund einer eingeschränkten Systemleistung keine beliebige Vergrößerung der Schlüssellänge erlauben. Das ist allgemein bei Smartcards wie der deutschen HPC der Fall, die auf einer kompakten Chipkarte einen kompletten Mikrocomputer mit Prozessor, Arbeitsspeicher und Peripherie integrieren. Auch im Bereich einer digitalen Patientenakte, bei der für viele verschiedene Personengruppen differenzierte Nutzungsrechte vergeben werden müssen, bietet sich der Einsatz einer Verschlüsselung mittels ECC an.
Aber die Effizienz des Verfahrens ist nicht der einzige wichtige Faktor. Auch im Bereich der sicheren Erzeugung und Verteilung von Schlüsseln bietet ECC Vorteile gegenüber anderen Algorithmen. ECC-Verfahren haben bereits in vielen Bereichen ihre praktische Einsatzfähigkeit bewiesen und sind im Begriff, sich neben RSA als asymmetrisches Standardverfahren zu etablieren. Thomas Zeggel
Zum Autor: Dr. Thomas Zeggel ist Physiker und arbeitet bei cryptovision, Gelsenkirchen (www.cryptovision.com), im Bereich Sicherheit und Verschlüsselungstechnik.
Anzeige

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

Fachgebiet

Zum Artikel

Anzeige

Alle Leserbriefe zum Thema