rennradler
Anmeldungsdatum: 27. Februar 2010
Beiträge: 1833
|
Hallo Leute, man kann sich natürlich fragen, ob AES sicher ist und die NSA nicht doch ein Hintertürchen kennt. Aber das meine ich nicht. Ich bin irgendwo im Netz über einen Beitrag gestolpert, daß die Hardware-AES-Implementierungen von Intel & Co kompromittiert seien und man sie nicht verwenden sollte - sprich da sei eine Backdoor für die NSA eingebaut worden. Ich vermute stark, daß dies eine haltlose Verschwörungstheorie ist. Die AES-Implementierung selber kann m.E. nicht verändert worden sein. Das inverse Element ist eindeutig bestimmt und folglich müßte es auffallen, wenn man mit einer korrekten SW-Implementierung entschlüsselt. Eine mögliche Kompromittierung müßte also an anderer Stelle erfolgen, z.B. bei der Schlüsselgenerierung. Gibt es da irgendwelche Ansatzpunkte?
|
frostschutz
Anmeldungsdatum: 18. November 2010
Beiträge: 7651
|
Die AES-Implementierung selber kann m.E. nicht verändert worden sein.
Das Ergebnis muss stimmen, klar. Sonst kommt Quark bei raus. Würde auch auffallen. Wenn die Hardware den Job direkt übernimmt, gibst du ihr halt auch direkt den nötigen Schlüssel dazu. Der könnte dann irgendwie weitergegeben werden. Es ist deutlich schwieriger das aus dem allgemeinen Hintergrundrauschen herauszulesen als wenns speziell dafür eine Instruktion gibt. Kritischer ist das aber eigentlich bei SSDs die sich selbst verschlüsseln. Da ist ja alles beisammen, Daten und Schlüssel in einem Medium. Wäre nicht das erste Mal, daß sowas geknackt wird.
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5323
|
Mir sind keine Faelle von Hintertueren in AES-NI bekannt.
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17441
|
Ich glaube auch es ist einfacher sich mit dem Betriebssystem als mit AES-NI zu beschäftigen wenn man einen Angriffsvektor finden will. mfg Stefan
|
unbuntuS12
Anmeldungsdatum: 2. Juni 2010
Beiträge: 1816
|
Bei der Frage nach Hardwareimplementierungen für kryptographisch relevante Dinge, kommt am ehesten der Entropiequelle für den Zufallszahlengenerator infrage. Implementierungen, die sich für Zufallszahlen vollständig auf Hardwarelösungen verlassen sind dann natürlich anfällig. Der Linux-Kernel tut das, wie man lesen kann, nicht.
|
unbuntuS12
Anmeldungsdatum: 2. Juni 2010
Beiträge: 1816
|
unbuntuS12 schrieb: Bei der Frage nach Hardwareimplementierungen für kryptographisch relevante Dinge kommt am ehesten der Entropiequelle für den Zufallszahlengenerator infrage. Implementierungen, die sich für Zufallszahlen vollständig auf Hardwarelösungen verlassen sind dann natürlich anfällig. Der Linux-Kernel tut das, wie man lesen kann, nicht.
|
rennradler
(Themenstarter)
Anmeldungsdatum: 27. Februar 2010
Beiträge: 1833
|
encbladexp schrieb: Ich glaube auch es ist einfacher sich mit dem Betriebssystem als mit AES-NI zu beschäftigen wenn man einen Angriffsvektor finden will.
Ich gebe Dir im Fall des Verfahrens AES recht. Die Frage nach der Vertrauenswürdigkeit der Hardwareimplementierung ist aber m.E. eine sehr wichtige.
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17441
|
Ob AES-NI richtig verschlüsselt kann man prüfen indem man testet ob eine Software Implementierung auf das gleiche Ergebnis kommt. Auf welche Probleme zielt deine Frage ab? mfg Stefan
|
unbuntuS12
Anmeldungsdatum: 2. Juni 2010
Beiträge: 1816
|
@rennradler: Was willst du da denn manipulieren? Du musst der Hardware ohnehin vertrauen. Siehe die Auswüchse dieser unsäglichen Intel Management Engine. So sehr also die Hardwareimplementierung von obskuren Dingen Sorgen hervorrufen sollte, so wenig gilt das für die AES-NI-Engine, wo ungefähr alles zusammenbricht, wenn da was nicht stimmt. Will man Backdoors einbauen, dann baut man die einfach neben die entweder vorhandene oder eben nicht vorhandene AES-NI. edit: @encbladexp: So wollte ich das auch erst formulieren, aber das stimmt so in seiner Allgemeinheit nicht. Du kannst nur Stichprobenhaft prüfen. 2^128 Schlüssel zu testen dauert schon ein halbes Jahrhundert und bevor man 2^256 getestet hat, ist nicht nur unsere Sonne verglüht. Aber dann wieder: Wieso einzelne Schlüssel manipulieren, wenn man bei der Manipulation ganz woanders ansetzen könnte, oder über den Hardwarezufallszahlengenerator alle verwendeten Schlüssel berechnen kann.
|
rennradler
(Themenstarter)
Anmeldungsdatum: 27. Februar 2010
Beiträge: 1833
|
Wie ich Eingangs geschrieben habe: ich hab im Internet Blogs gefunden, daß AES-NI kompromittiert sei. Und deren Glaubwürdigkeit wollte ich hinterfragen. Daß AES selber korrekt implementiert sein muß, hab ich ja geschrieben - die Umkehrfunktion ist nun mal eindeutig, da kann man nicht dran drehen. Beim Entschlüssen mit einer korrekten Implementierung würde das auffallen. Aber es könnte in dem ganzen Prozeß andere Angriffspunkte geben, die ich nicht kenne.
|
unbuntuS12
Anmeldungsdatum: 2. Juni 2010
Beiträge: 1816
|
Genau, und meine Argumentation ist: Da man der Hardware eh vertrauen muss, hat derjenige, der manipulieren will viel bessere Angriffsvektoren als die AES-NI. Sei es die Management Engine oder sonstwas. Die Hardware könnte alle Schlüssel abgreifen, und zwar unabhängig davon, ob AES-NI implementiert ist oder nicht. Insofern: Der ganze Chip kann manipuliert sein. Es geht am Kern des Problems vorbei, sich zu Fragen, ob die AES-NI manipuliert sein könnte.
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5323
|
rennradler schrieb: Wie ich Eingangs geschrieben habe: ich hab im Internet Blogs gefunden, daß AES-NI kompromittiert sei.
Quelle?
|
rennradler
(Themenstarter)
Anmeldungsdatum: 27. Februar 2010
Beiträge: 1833
|
Finde ich leider nicht mehr. Es muß auf stackexchange, serverfault, stackoverflow o.d.gl. gewesen sein. Der etwas längliche Beitrag war unkommentiert bzw. unwidersprochen.
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17441
|
Gut, also eine unbewiesene These eines vermeidlichen Verschwörungstheoretikers? mfg Stefan
|
rennradler
(Themenstarter)
Anmeldungsdatum: 27. Februar 2010
Beiträge: 1833
|
Ich zitiere mal meinen Eingangspost:
rennradler schrieb: Ich bin irgendwo im Netz über einen Beitrag gestolpert, daß die Hardware-AES-Implementierungen von Intel & Co kompromittiert seien und man sie nicht verwenden sollte - sprich da sei eine Backdoor für die NSA eingebaut worden. Ich vermute stark, daß dies eine haltlose Verschwörungstheorie ist.
Wie gesagt: Die Frage ist, wo die Backdoor sein könnte(!!). Zwei realistische Möglichkeiten sehe ich da anhand der bisherigen Diskussion: 1. Der HW-Zufallszahlengenerator. 2. Der AES-Befehl löst innerhalb der CPU einen Mechanismus aus, den Key zu leaken. Ist zwar auch bei einer reinen SW-Implementierung nicht ausgeschlossen, aber daß die CPU erkennt, daß gerade AES-verschlüsselt wird, ist doch deutlich schwieriger zu realisieren.
|