Veilige sleutels hoeven niet altijd groot
Gepubliceerd: Vrijdag 19 mei 2006
Auteur:
Problemen met de veiligheid van online bankieren hebben ervoor gezorgd dat er een negatieve houding is tegenover cryptografie met kleine sleutels.
Ingenieur Walter Belgers van Madison Gurkha vindt kleine sleutels niet altijd een probleem. De expert waarschuwt ervoor dat helemaal meer encrypten - omdat het toch niets zou helpen - een slecht idee is.
Belgers zegt dat de meeste problemen met cryptografie ontstaan door foute implementatie of foutief gebruik. Zo is wep, de encryptie die in wlan's wordt gebruikt, een mislukking waar een systeembeheerder weinig aan kan veranderen. Dit omdat wep nog dateert van toen de VS nog een uitvoerverbod koesterden op sterke en dus moeilijk te kraken algoritmen.
Data Encryption Standard (des) daarentegen is een krasse oude knar die nog best een tijdje mee kan. "Er moet dan wel gekozen worden voor triple-des (3des), omdat daarmee de sleutel lang genoeg wordt. Die is bij het gewone des vandaag de dag wel te kort", zegt Belgers.
De ingenieur heeft overigens een heldere mening over wat goede cryptografie is. "Een goed protocol is er één dat bekend is (open) en langere tijd door velen is onderzocht en in orde bevonden. Bij die protocollen is de sleutellengte vaak zelf te kiezen â€" ofwel in het protocol zelf, ofwel door het algoritme meermalen achter elkaar te gebruiken met verschillende sleutels."
Zulke cryptografische protocollen verdienen dus de voorkeur. "De keuze mag ook niet beïnvloed worden door de tijd die het kost om een sleutel te genereren", zegt Belgers. RSA bijvoorbeeld, behoeft vrij lange sleutels. RSA is in tegenstelling tot des asymmetrisch en de makers ervan hebben een sleutellengte van 768 bits als het minimum aangegeven. Kortere sleutels zijn onlangs trouwens aan de Universiteit van Bonn gekraakt.
Nu blijkt RSA ontzettend traag. "Maar het wordt wel enkel gebruikt voor de veilige uitwisseling van sleutels en voor authenticatie waarna met een symmetrisch algoritme zoals rc5, 3des of aes de bulk van de gegevens wordt getransporteerd", legt Belgers uit. "Het trage, asymmetrische algoritme wordt dus maar heel even gebruikt."
De ingenieur adviseert dan ook een flinke sleutellengte (2048 bits) aangezien de extra berekeningen nauwelijks invloed hebben op de totale tijd die aan het versleutelen verloren gaat.
RSA-sleutels van 4096 of 16384 bits zijn dan weer zinloos. "Er zijn bedrijven die zelf crypto maken en verkopen. Ik ben altijd zeer wantrouwend, zeker als er wordt geschermd met woorden als 'onbreekbaar', met hele lange sleutels, of met allerlei wiskundige flauwekul", aldus nog Belgers.
Met simpele wiskunde kun je overigens aantonen dat een 128bit rc5-sleutel niet te kraken valt. Al er 4,3 miljard computers in een gedistribueerde aanval zouden worden ingezet, dan kunnen we 2 tot de macht 128 delen door 2 tot de macht 32 (want dat is hoeveel sneller dat computergeweld is dan één pc). Er blijven dan 2 tot de macht 96 bits over om te kraken. Met die 96 bits over is de sleutel 4,3 miljard keer sterker dan een 64 bit sleutel en dat is toevallig de grootste rc5-sleutel die in 2002 in een wereldrecord sneuvelde - na vijf jaar continue proberen.
Geen wonder dat de Amerikaanse overheid voor zijn top secret documenten 'slechts' een 256-bits aes-versleuteling gebruikt.
Bron: Techworld
