info
Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Perfect Forward Secrecy (was: Re: Aktuielle Eigenschaften von Telefoniegesprächen)
2 views
Skip to first unread message
Christian Weisgerber
Nov 23, 2021, 4:30:05 PM11/23/21
to
On 2021-11-23, Kay Martinen <use...@martinen.de> wrote:
> M.W. braucht man zu Verschlüsselung ohne Hintertür mit
> Ja-Echt-Jetzt-Wirklich-Keine-Drin auch Perfect Forward Secrecy damit
> nicht in Jahren neue HW oder SW alte gespeicherte Verschlüsselte Daten
> doch noch knackbar machte.
Bei Verschlüsselung ohne PFS werden die Sitzungsschlüssel vom
geheimen Schlüssel des Servers abgeleitet; fällt der in falsche
Hände, können damit aufgezeichnete Sitzungen nachträglich entschlüsselt
werden.
Mit PFS werden für jede Sitzung frische Schlüssel erzeugt, so das
nur die beiden Endpunkte sie kennen. In der Praxis geschieht das
mit einer Variante des Diffie-Hellman-Verfahrens. Dieses ist
allerdings anfällig gegen Angriffe mit hypothetischen Quantencomputern.
In der Quantencomputerzukunft könnten also mitgeschnittene alte
Sitzungen entschlüsselt werden, auch wenn sie heute durch ein
PFS-Verfahren abgesichert sind.
Schutz dagegen bietet nur ein Schlüsselaustauschverfahren, das
quantensicher ist, wie z.B. Streamlined NTRU Prime.
OpenSSH ab 8.5 bietet inzwischen mit "sntrup761x2...@openssh.com"
ein solches Verfahren an: Es kombiniert das hoffentlich quantensichere
sntrup761 mit dem bewährten x25519; der Schlüsselaustauch ist damit
so sicher wie das stärkere der beiden Verfahren.
Wer's ausprobieren will:
KexAlgorithms ^sntrup761x2...@openssh.com
Das hier kann man sich merken:
quantensicher altes kryptografisches Bauelement
nein Diffie-Hellman-Schlüsselaustausch
nein asymmetrische Verschlüsselung, z.B. RSA, DSA
ja symmetrisch Verschlüsselung, z.B. AES
ja Hashfunktion, z.B. SHA2
Weiter ggfs. in de.comp.security.misc.
--
Christian "naddy" Weisgerber na...@mips.inka.de
> M.W. braucht man zu Verschlüsselung ohne Hintertür mit
> Ja-Echt-Jetzt-Wirklich-Keine-Drin auch Perfect Forward Secrecy damit
> nicht in Jahren neue HW oder SW alte gespeicherte Verschlüsselte Daten
> doch noch knackbar machte.
Bei Verschlüsselung ohne PFS werden die Sitzungsschlüssel vom
geheimen Schlüssel des Servers abgeleitet; fällt der in falsche
Hände, können damit aufgezeichnete Sitzungen nachträglich entschlüsselt
werden.
Mit PFS werden für jede Sitzung frische Schlüssel erzeugt, so das
nur die beiden Endpunkte sie kennen. In der Praxis geschieht das
mit einer Variante des Diffie-Hellman-Verfahrens. Dieses ist
allerdings anfällig gegen Angriffe mit hypothetischen Quantencomputern.
In der Quantencomputerzukunft könnten also mitgeschnittene alte
Sitzungen entschlüsselt werden, auch wenn sie heute durch ein
PFS-Verfahren abgesichert sind.
Schutz dagegen bietet nur ein Schlüsselaustauschverfahren, das
quantensicher ist, wie z.B. Streamlined NTRU Prime.
OpenSSH ab 8.5 bietet inzwischen mit "sntrup761x2...@openssh.com"
ein solches Verfahren an: Es kombiniert das hoffentlich quantensichere
sntrup761 mit dem bewährten x25519; der Schlüsselaustauch ist damit
so sicher wie das stärkere der beiden Verfahren.
Wer's ausprobieren will:
KexAlgorithms ^sntrup761x2...@openssh.com
Das hier kann man sich merken:
quantensicher altes kryptografisches Bauelement
nein Diffie-Hellman-Schlüsselaustausch
nein asymmetrische Verschlüsselung, z.B. RSA, DSA
ja symmetrisch Verschlüsselung, z.B. AES
ja Hashfunktion, z.B. SHA2
Weiter ggfs. in de.comp.security.misc.
--
Christian "naddy" Weisgerber na...@mips.inka.de
0 new messages