News Chrome: Google schützt TLS-Verbindungen schon jetzt vor Quantencomputern

[DevPandi]

Hashing Texte sollen gespeichert sein, um diese mit Quantencomputer wieder in normalen Text umzuwandeln.
Dinge mit bspw. AES 256 Bit Verschlüsselungen sollen dann wertlos werden.

Auch wenn einige bereits darauf geantwortet haben, will ich da zumindest ein paar Quellen beisteuern:

https://thequantuminsider.com/2020/04/30/is-aes-256-quantum-resistant/
https://www.fierceelectronics.com/electronics/aes-256-joins-quantum-resistance
https://www.qusecure.com/aes-256-is-quantum-resistant-rsa-is-not/
https://www.researchgate.net/publication/316284124_The_AES-256_Cryptosystem_Resists_Quantum_Attacks
https://de.wikipedia.org/wiki/Post-Quanten-Kryptographie

AES-256-Bit ist weitgehend sicher, weil hier die Schlüssel per Hash aus einem "Passwort" erstellt werden und bereits kleinste Änderungen an dem Passwort einen vollständig neuen Hash erzeugen. Bei symetrischen Verfahren wird je nach Algorithmus zur Hash-Erstellung eher nach Kollisionsangriffen und Co gesucht.

Bei der asymetrischen Verschlüsselung werden die "Passwörter" aus dem Schlüsselpaar anhand von Kurven, Elipsen und Co berechnet und es kommt der Faktor der Primzahl hinzu und genau hier zeigen Quantencomputer ihre Stärke, in dem sie die Zeit zur Berechnung der Primzahlen massiv verkürzen können und damit einer der bestimmenden Faktoren bekannt ist. Daraus dann den Schlüssel für die Kommunikation zu errechnen ist dann relativ einfach möglich.

(Und ja, das ist Stark vereinfacht, dessen bin ich mir bewusst!)

 

[DieRenteEnte]

@DevPandi
In der Doku ging es nur darum, dass man die Verfahren zur Entschlüsselung noch entwickelt.
"Noch" bzw. vor ein einiger Zeit, als ich die Doku sah, war AES 256 als sicher eingestuft.
Dort sprach man von der Möglichkeit, es vielleicht in 10+ Jahren entschlüsseln zu können, weshalb die Daten und Geräte noch eingelagert werden.
Ich meine, es ging auch nur darum, dass man den Schlüssel zur Entschlüsselung von AES 256 knacken können wird, nicht das Verschlüsselungsverfahren von AES 256 selbst.

Was bringt mir der stärkste Tresor (AES 256), wenn der Schlüssel dazu (Passwort) irgendwann einfach erstellt/erraten/ausgerechnet werden kann?

Ich selbst bin kein Fachmann.
Zurückgelehnt werde ich beobachten, was die Forschungs- und Entwicklungsteam aller Welt in den nächsten Jahren / Jahrzehnten schaffen werden.

Einiges, was vor 10 Jahren als sicher eingestuft wurde, ist heute ein Risiko.

 

[riloka]

Noch ist WA&Signal sicher verschlüsselt. Protokoll dazu ist bekannt. Die Lücke ist eher das nur wenige die Öffentlichen Schlüssel des Gegenübers abgleichen und so MitM Angriffe stattfinden könnten.

 

[Gnarfoz]

Anders formuliert: du weißt es auch nicht.

Ich jetzt schon: https://openquantumsafe.org/applications/tls.html
Sie haben da ein paar Optionen, wie man das auch jetzt schon testen kann. (OpenSSL-Fork, OpenSSL-Engine, BoringSSL, WolfSSL, etc.)

@DieRenteEnte: keine Ahnung warum do sowas verbreitest, aber die Keys für das Signal Protocol, das WhatsApp verwendet, liegen auf den Geräten, nicht auf den Servern.

 

[ripa]

Mit welchem Algorithmus soll das möglich sein? Effektiv wird die Bitzahl "nur" halbiert.

Verstehe ich die Vorgehensweise nicht? Ist es etwas anderes als BruteForce nur in schnell?
Denn selbst mit unendlich RechenPower wäre es unmöglich.

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

Oder das ganze Video schauen. Eine besser verständliche Erklärung habe ich noch nicht gefunden.

 

[DieRenteEnte]

@Gnarfoz
Ich habe den letzten Teil wieder herausgelöscht, weil es ein völlig neues Thema wäre.
Das Ziel war auf Hintertüren und ungeschlossene Lücken hinzuweisen, welche die Verschlüsselung absolut irrelevant machen. Stichwort: z.B. Pegasus der NSO Group.

Genauso bringen verschlüsselte WhatsApp Nachrichten wenig, wenn diese in die Cloud hochgeladen und auf 2+ Smartphones gespeichert sind. Stichwort: z.B. Cloud Act

Aber wie geschrieben, ist es ein völlig anderes Thema.

 

[catch 22]

Ich sehe die Rückkehr zu Kopieren und großen Aktenschränken 😎

Mach daraus Mikrofilm / Mikrofiche und du hast eine der tatsächlich sichersten, besten und einfachsten Speichermethoden, die die Menschheit derzeit (seit ~160 Jahren) hat

 

[CyrionX]

Ich will mir gar nicht vorstellen "wie einseitig" es wird wenn die Rolle der USA nicht besetzt sein würde.

Finde ich auch. Eine absolute Dominanz ist aber auch nicht das Ziel oder? Lieber halten sich zwei, drei Akteure in Schach wenn einer allein dazu neigt die Position für sich auszunutzen. Spieltheorie eben

 

[Novasun]

Aber nicht per BruteForce, das wäre unmöglich. Keine Ahnung, ob man es anders umgehen kann.

Doch genau das kann ein Quantencomputer in der Theorie. Genug Rechenoperationen liefert er.
Ich meine IBM hat 2019 schon darauf aufmerksam gemacht das wir zukünftig andere Verschlüsselungsverfahren brauchen werden.

 

[Whitehorse1979]

Ja Google ist schon ein tolles Unternehmen und wenn es um Spionage geht tatsächlich kaum zu greifen. Wenn man allerdings die Wahrheit über das Netz kennt ist das alles eher schwer zu ertragen, was hier einem täglich aufgetischt wird. Google gibts nämlich zweimal. Genauso wie Facebook, Instagram und wie die alle heißen. Datenströme die einfach dupliziert bei verschiedenen Zielen ankommen. Klar Quantencomputer brauchst Du auch. Aber ja Google sorgt sich um die Sicherheit für die Welt. Bravo.

 

[Novasun]

Auch wenn einige bereits darauf geantwortet haben, will ich da zumindest ein paar Quellen beisteuern:

https://www.qusecure.com/aes-256-is-quantum-resistant-rsa-is-not/

Dir ist aber schon klar das deine eigene Quelle berichtet das AES 256 nicht sicher ist.
Ich zitiere:

Effectively, a quantum computer of sufficient strength can cut an AES key size in half, so the recommendation is to double your AES key length. If you use AES-128 you should convert to AES-256 and if you use AES-256 you should convert to AES-512. With quantum computing quickly becoming a reality, it has been estimated in a research paper by Kryptera that these computers capable of more than “6,600 logical, error-corrected qubits would be required” to significantly impact AES-256. To provide you with a comparison, “IBM’s quantum computer is only expected to achieve 1,121 qubits in 2023.”

Es ist mit dem Wissen von heute noch sicher. Weil IBM erst bei 1200 QBits ist. Nur wie sehen die nächsten Itterationen der Maschine aus. Wie schnell werden die Beteiligten die Anzahl erhöhen? Vielleicht sind die 6600 nicht mehr weit entfernt.

 

[Gnarfoz]

"Significantly impact" bedeutet aber nicht "unsicher". Der Impact wäre hier eine Reduzierung um 50%, auf AES-128-Niveau. AES-128 ist aber immer noch alles andere als unsicher.

Randnotiz: AES-256 (und 192) existiert überhaupt nur, weil die US-Regierung mehrere Stufen für verschiedene Geheimhaltungsklassen haben wollte. Es ist nicht nennenswert sicherer als AES-128, wenn man Quantencomputer außen vor lässt. So gesehen praktisch, dass man diese bisher eher belächelte Anforderung erfüllt hat.

 

[Der-Orden-Xar]

@ripa Die Stelle, die du verlinkt hast spricht ja klar von RSA (übrings ohne Angabe, wie groß die Primzahlen sind, das gibt Abzüge in der B Note).
RSA ist aber asymmetrisch, AES ist symmetrisch.

 

[k0ntr]

Hashing Texte sollen gespeichert sein, um diese mit Quantencomputer wieder in normalen Text umzuwandeln.
Dinge mit bspw. AES 256 Bit Verschlüsselungen sollen dann wertlos werden.

Dann verschlüsselt man die Verschlüsselung mit der neuen Technologie und fertig der Rest spielt keine Rolle mehr.

 

[ripa]

@ripa Die Stelle, die du verlinkt hast spricht ja klar von RSA (übrings ohne Angabe, wie groß die Primzahlen sind, das gibt Abzüge in der B Note).
RSA ist aber asymmetrisch, AES ist symmetrisch.

Da hast du Recht. AES hat auch nichts mit SSL Webverbindungen zu tun. Ich meinte natürlich RSA.
Hab's geändert.

 

[Discovery_1]

Quantencomputer für die Masse? Habe ich das richtig verstanden? Bin mal gespannt, wie schnell sich die anderen Browser-Entwickler den Schritt von Mr.
Google anpassen werden.

 

[Azdak]

Da hast du Recht. AES hat auch nichts mit SSL Webverbindungen zu tun. Ich meinte natürlich RSA.
Hab's geändert.

Also entweder steh ich gerade auf dem Schlauch oder ...
Ich meine AES ist immer noch sehr gebräuchlich für die SSL-Verbindung. "Nur" der Schlüssel dazu wird per Diffie-Hellman, RSA, elliptischen Kurven, ... ausgetauscht.

Mein Wissen zu Quantencomputern und Kryptographie ist leider schon bissl veraltet* und damals hieß es, einige Klassen von Algorithmen kann ein Quantencomputer erheblich beschleunigen (z.B. Fourier-Transformation oder eben Primzahlzerlegung), andere dagegen kaum bis gar nicht. Daher kam auch damals* die Aussage, asymetrische Verschlüsselung ist durch Quantencomputer extrem gefährdet, symetrische nicht wirklich. (und natürlich wieder die Disskusion um N=NP oder eben nicht)

*aber das war auch so ca. 2005

 

[Der-Orden-Xar]

AES hat auch nichts mit SSL Webverbindungen zu tun. Ich meinte natürlich RSA.

Wie bitte? Ich schaue mir mal kurz meine aktuelle Verbindung zu Computerbase an...
TLS 1.3 mit TLS_AES_128_GCM_SHA256
Schlüsselaustausch über die elliptische Kurve x25519
Zertifikat des Servers ist mittels ECDSA über Kurve P-256 erstellt, sie Signatur mittels SHA-256 mit RSA Encryption

Da sind sehr viele elliptische Kurven im Spiel, RSA nur für eine Signatur, aber AES für die komplette Verschlüsselung.

Gut, das Serverzertifikat ist signiert von Let's Encrypts R3 Zertifikat, dass halt ein RSA2048 Zertifikat ist, aber irgendwann(tm) sollte auch LE das EC-Zwischenzertifikat für alle freigeben.
Und ja, computerbase nutzt auch ein RSA Zertifikat, das sollte aber nur bei sehr alten Geräten (so Android 5, falls es da nicht eh ein Problem mit LE gibt) genutzt werden.

Um AES kommt man in TLS 1.3 aber nur mit ChaCHa20 drum herum, aber warum sollte man das machen?

 

[dev/random]

Mich bewegt erstmal die Frage: wann können nginx und OpenSSL das?
Oder eine andere, vergleichbare Software?

OpenSSH hat das gleiche hybride Verfahren mit einem anderen post-quantum Algorithmus schon vor 1,5 Jahren eingeführt:
https://www.openssh.com/txt/release-9.0

 

[Gnarfoz]

@dev/random ok, mit vergleichbar meinte ich andere Webserver / Reverse Proxies wie Apache, Caddy, Varnish, etc. 😅