Von: Dr. Klaus Plessner
Public-Key-Verfahren machen den Datenaustausch über das Internet sicher. Wie sicher, hängt zunächst einmal von der Länge des privaten und des öffentlichen Schlüssels ab. Je größer die Summe der Bits beider Zahlen, desto besser sind chiffrierte Geheimnachrichten vor Spionen geschützt. Ob eine Methode im Einzelfall den Anforderungen des Anwenders genügt, lässt sich jedoch allein damit noch nicht entscheiden. Zum Beurteilen der Stärke eines Public-Key braucht der Benutzer einen Maßstab, auf dessen Skala er Sollwerte und Istwerte vergleichen kann.
Es liegt nahe, dass man die Qualität eines öffentlichen Schlüssels durch den Aufwand ihn zu brechen abschätzt. Die bekannteste Einheit dafür heißt MIPS-Jahr (MIPS = Million Instructions per Second) und steht für die Zahl von Programmbefehlen, die ein Computer der Rechengeschwindigkeit 1 MIPS in einem Jahr vollführt. Ein MIPS-Jahr entspricht somit 3 * 1013 Instruktionen. Zum Zerlegen eines RSA-Schlüssels sind rund 1011 MIPS-Jahre nötig.
Ob sicher oder nicht, entscheiden die Angriffskosten
Anstatt den mathematischen Aufwand eines Hackers zu berücksichtigen, beziehen die Entwickler der RSA-Laboratories ihre Qualitätsurteile auf eine finanzielle Größe: die Kosten zum Brechen eines Schlüssels in einer vorgegebenen Zeit. Und darin gehen zwei Faktoren ein, nämlich der Preis für die Rechengeschwindigkeit und das Geld für den nötigen Hauptspeicher. Gleichzeitig, so betonen die Forscher, bestimme auch der Wert der geschützten Daten die Sicherheit eines Keys. So genüge zum Schutz einer 10 000 Mark teuren Datenbank ein Geheimcode, den ein Angreifer nur mit einem Aufwand von 100 000 Mark entschlüsseln kann.
Hinzu kommt, dass die Spionagekosten zunehmen, wenn die mittlere Lebensdauer der Einträge kurz ist. Denn dann müssen die Eindringlinge schnell sein und vor allem in Computer-Performance investieren. Anders ausgedrückt ist ein Public-Key dann sicher genug, wenn die Kosten zum Berechnen des Private-Key den Wert der chiffrierte Daten klar übersteigen, wobei die Rechenzeit deutlich kürzer sein muss als die Lebensdauer der Daten. Zur Zeit sind 1024-Bit-Keys für alle Zwecke weitaus sicher genug. Die Mitglieder des Forschungslabors von RSA geben sich damit jedoch nicht zufrieden. Sie wollen wissen, wie lange sie dem Frieden trauen dürfen, wann die ersten erfolgreichen Angriffe auf 1024-Verfahren zu erwarten sind.Dem Kostenmodell legen die Theoretiker die Annahme zugrunde, dass es nur eine Methode zum Berechnen privater Schlüssel gibt, nämlich den so genannten NFS-Algorithmus (NFS = Number Field Sieve). Andere Vorgehensweisen könnten zwar die Ausgaben eines Spions reduzieren, seien jedoch noch zu unausgereift, als dass sie in den nächsten Jahren zum Zug kommen könnten.
Hacker brauchen Rechenzeit und Hauptspeicher
Die mathematischen Gleichungen sind Eingeweihten längst bekannt: eine für den Rechenaufwand als Funktion der Schlüssellänge und eine für die Größe des erforderlichen Hauptspeichers. Sie sind das Material, mit dem die RSA-Analysten den Preis für eine Hackerausrüstung berechnen. Dieser wächst proportional zum Aufwand und nimmt außerdem zu, wenn sich die Rechenzeit verkürzen soll. Dabei können sich mehrere Rechner sowohl die Arbeit als auch den Hauptspeicher teilen, wenn sie miteinander kommunizieren. Zwei Computer mit jeweils 500 MByte RAM arbeiten dann genauso schnell, so die bewusst einfache Prämisse von RSA, wie ein Gerät mit 1 GByte Hauptspeicher.
Chips werden laufend billiger
Ein paar Zahlenbeispiele: Das Knacken eines 512-Bit-RSA-Schlüssels erfordert nach den Formeln rund 8000 MIPS-Jahre und einen Hauptspeicher von 2,3 GByte. Entsprechend spuckten 300 PCs mit jeweils 400 MHz Taktfrequenz und 64 MByte RAM das Ergebnis nach zwei Monaten aus. Eine Cray C90 mit 2,3 GByte Speicher würde dasselbe in zehn Tagen schaffen. Zum Berechnen eines 768-Bit-Keys erhöht sich der Aufwand demgegenüber um einen Faktor 6000 und steigt auf das 7-millionenfache für Schlüssel der Länge 1024 Bit. Gleichzeitig steigt der Speicherbedarf auf 177 GByte beziehungsweise 6 TByte an.
Was nun die Preise für das Equipment anbelangt, kommt das Datum ins Spiel, weil sie laufend fallen. Hardware, die heute selbst für Großunternehmen unbezahlbar ist, wird in wenigen Jahren vielleicht zur Standardausrüstung von Heimanwendern gehören. Wie schnell die Verbilligung fortschreitet, hängt von der Geschwindigkeit der technischen Entwicklung ab beziehungsweise von den Herstellungskosten. Damit begeben sich die Forscher der RSA-Labs auf den schwankenden Boden der Prognosen, denn die Frage liegt nahe: Wann sind Prozessoren und Hauptspeicher so billig, dass die bisher unangreifbaren 1024er-Schlüssel ins Feuer der Internet-Räuber kommen.
Wann 6-Terabyte-Maschinen auf den Markt kommen, frage man besser eine Kristallkugel, sagen die Spezialisten von RSA. Um dennoch zu einem Ergebniss zu kommen, stützen sie sich auf ein einfaches Gesetz. Gordon Moore, Mitbegründer von Intel, stellte im Jahr 1965 fest, dass seit der Erfindung von ICs die Zahl von Transistoren pro Quadradzentimeter jedes Jahr auf das Doppelte angestiegen war. Daraufhin fasste er seine Beobachtung in ein Gesetz, das unter dem Namen "Moore’s Law" bekannt wurde. Mittlerweile behauptet die Regel allerdings nicht mehr einen jährlichen Zuwachs um 100 sondern lediglich um circa 59 Prozent. Der Speicherplatz verdoppelt sich alle 18 Monate.
1024-Bit-Schlösser halten noch 20 Jahre
Unter der Bedingung, dass das Mooresche Gesetz weiterhin gilt - und damit kommen wir zum Ergebnis der RSA-Studie -, dürfte ein 1024-Bit-Key erst in 27 Jahren bedroht sein. Dabei geht sie davon aus, dass heute rund 600 Bit als "gerade noch zu knacken" gelten. Die Kalkulation ist einfach: der Aufwand für 1024-Bit-Nummern ist um den Faktor 300 000 größer als für 600-Bit-Geheimcodes. Andererseits wird Hardware Moore zufolge in wenig mehr als 27 Jahren in demselben Maß billiger. Und um auf der sicheren Seite zu bleiben, macht die Prognose aus der 27 eine 20.
Dass mehrere Rechner beim Knacken parallel arbeiten können, ohne durch den Datenaustausch Zeit zu verlieren, und dass die Regel von Moore unangetastet bleibt, sind Vereinfachungen, die das Ergebnis nicht schmälern, heißt es in der Untersuchung. Denn ohne sie, also mit komplexeren und realistischeren Modellen, würden die 1024-Bit-Schlüssel nach Ansicht der Autoren noch länger taugen. Sicherlich sind Prozessorverbände in der Praxis langsamer als einzelne, entsprechend "starke" CPUs.
Die Bausteine skalieren bekanntlich schlechter als linear. Demgegenüber ist die Behauptung, der technische Fortschritt verlaufe voraussichtlich langsamer als Moore gemäß, reine Ansichtssache. Sie stimmt, sofern man streng nach der Gesetzesdefinition nur auf dem Boden der Transistoren bleibt, weil die Entwicklung von ICs spätestens dann ins Stocken gerät, wenn die Schaltkreise annähernd so klein wie Atome werden. In Frage wird sie jedoch durch alternative Techniken gestellt, zum Beispiel durch optische Computer oder Quantenrechner. Für die gelten andere Gesetze als das Mooresche, und wer weiß, ob sie nicht schon in zehn Jahren den Markt erobert haben.