Herr Kaliski, welche Schlüssellängen empfehlen Sie unseren Lesern?

Burt Kaliski: Wir hatten einen Wettbewerb ausgeschrieben, um einen RC5-Schlüssel mit 64 Bit Länge zu knacken. Vor einigen Monaten ist dies mit einem aufwendigen Brute-Force-Angriff gelungen. Dazu waren vier Jahre und mehr als 300000 Beteiligte im Internet nötig. Sie mussten neunzig Prozent aller möglichen Schlüssel durchprobieren, bis sie den richtigen Schlüssel gefunden haben. Stellen Sie sich die Zahl der Schlüsselmöglichkeiten bei 64 Bit Länge so vor: Wenn die komplette Landoberfläche der Erde mit Gras bedeckt wäre, wäre jeder Grashalm einen Schlüssel.

Bei symmetrischen Verfahren gelten achtzig Bit derzeit als sehr sicher, bei asymmetrischen 1024 Bit und bei elliptischen Kurven 160 Bit. Für eine Sicherheit bis ins Jahr 2035 empfiehlt das (amerikanische) National Institute of Standards and Technologie mindestens 128 Bit bei symmetrischen Schlüsseln, 3027 Bit bei asymmetrischen und 256 Bit bei Verfahren mit elliptischen Kurven.

Der Mathematiker Daniel Bernstein forscht an einem Verfahren, das die Zerlegung großer Zahlen in ihre Faktoren um ein dreifaches beschleunigen könnten. RSA beruht auf diesem mathematischen Problem. Welche Auswirkungen hat Bernsteins Ansatz auf die Sicherheit von RSA?

Kaliski: Keine. Bernsteins Verfahren gilt nur für sehr, sehr große Zahlen wie 100000 Bits. In dieser Größenordnung will er durch die Optimierung von Hardware bessere Ergebnisse schaffen. Meine vorher angesprochen Empfehlungen, beruhen auf konservativen Annahmen, die Verbesserungen dieser Art bereits mit einberechnen.

Und wie sieht es aus mit Quantencomputern, die die Rechnerleistung ins Unvorstellbare steigern werden?

Kaliski: Heutige Schlüssel, die auf Faktorisierung beruhen, wären in der Tat in Sekunden gebrochen. Anders ist es bei symmetrischen. Mathematisch ist nachgewiesen, dass ein Quantencomputer die Schlüsselsicherheit halbiert. Wenn Sie die Schlüssellänge verdoppeln, sind Sie bei der ursprünglichen Sicherheit.

Gibt es denn schon Quantencomputer?

Kaliski: Im Labor gibt es Ansätze. Vergleicht man die Entwicklung von Quantencomputern mit der der konventionellen Computer, dann hat die Forschung das Stadium der Transistoren erreicht. Bis zur Digitalisierung ist es noch ein langer Weg. Ich rechne nicht mit technisch einsatzfähigen Quantencomputern in den nächsten dreißig Jahren - unter Berücksichtigung der derzeitigen Entwicklung.

Könnte es nicht sein, dass Geheimdienste wie die NSA über mathematisches Geheimwissen verfügt, die Faktorisierung zu beschleunigen?

Kaliski: Das halte ich für unwahrscheinlich, denn die NSA empfiehlt ja der amerikanischen Regierung sichere Standards. Das würde sie nicht tun, wenn sie diese für unsicher hält. Aber niemand weiß das genau.

Wie sehen denn künftige Algorithmen aus?

Kaliski: Für sehr interessant halte ich Identity Based Encryption. Dabei ist der persönliche Name oder die E-Mail-Adresse der öffentliche Schlüssel. Das vereinfacht den Umgang mit asymmetrischer Verschlüsselung erheblich.

Ist ein einfacher Name als Schlüssel nicht viel zu kurz? Meiner hat z.B. nur sieben Zeichen.

Kaliski: Nein, nein. Das Verfahren setzt voraus, dass ein längerer Schlüssel auf einem öffentlich zugänglichen Server liegt, der dann abgefragt wird.

Ein anderes neues Verfahren wechselt den privaten Schlüssel in regelmäßigen Zeitabständen, z.B. täglich. Dabei bleibt der öffentliche Schlüssel gleich. Wenn ein Angreifer einen Schlüssel geknackt hat, ist dieser bereits wieder ungültig.

Viele Dank für das Gespräch, Herr Kaliski.

Das Interview führte Wolf Hosbach und es erschien in Heft 2/2003 des PC-Magazins.