Ein geradezu klassisches Beispiel für gelebte Pseudosicherheit ist der Eiertanz um ‚logjam‘ (das ist ein Angriff auf den Diffie-Hellman Schlüsseltausch).  Das wird jetzt genau deswegen der erste Kommentar, weil heute im Standard (eine österr. Tageszeitung) ein Artikel zu dem Thema erschienen ist. Kurz: zwar technisch meist richtig, allerdings insgesamt haarsträubend und zeigt dabei recht schonungslos die eigentliche Misere auf. Dem Autor ist da kein Vorwurf zu machen; für einen Journalisten einer Tageszeitung hat er sich geradezu in vorbildlicher Weise offensichtlich mit dem Thema auseinandergesetzt.

Was mir daran nicht passt? Nun, zum einen wird es quasi als gegeben hingenommen, dass es Hard- und Software gibt, bei denen man eben dhparam nicht setzen kann und in dem Fall ein ‚upgrade‘ auf auf die Gruppe mit 2048 Bit (oder höher) empfohlen. Nur wird damit das eigentliche Problem nicht behoben, sondern der Angriff einfach komplizierter. Allerdings kann ein solcher wieder lohnend werden, wenn ausreichend Ziele eben alle denselben 2048 Bit langen Parameter verwenden. Wenn allerdings jeder seinen eigenen Primzahlen verwendet, diese also selbst erzeugt (und seine Hard- und Software solche auch akzeptiert) wird so ein Angriff in den seltensten Fällen lohnend sein. Ja, auch die 1024 Bit sind so noch einigermaßen sicher; laut dem Paper beläuft sich der Aufwand für die notwendigen Vorberechnungen auf ca. 10 Mio Core-Jahre. Für große, staatliche Angreifer möglich – aber sehr aufwendig. Außerdem spricht nichts dagegen, eben den dhparam von Zeit zu Zeit neu erzeugen zu lassen. Für 1024 Bit dauert das ein paar Sekunden, für 2048 ein paar Minuten. Rechenzeit ist also kein Argument, das lässt sich automatisiert alle paar Monate durchführen.

Kurz zusammengefasst: logjam ist ein ausgezeichnetes Beispiel, wie Sicherheit aufgrund von ‚convenience‘ unter die Räder kommt. Ja, natürlich ist es einfacher einfach eine vordefinierte Gruppe zu nehmen, als sich einen eigenen Parameter z.B. via

openssl dhparam 1024

erzeugen zu lassen; obiges kostet zusätzlich noch wertvolle Sekunden an Lebenszeit. Allerdings müsste man sich ja dann tatsächlich mit den eingesetzten Verschlüsselungsalgorithmen auseinandersetzten. Dass letzteres geradezu fanatisch vermieden wird, zeigt auch dass die ganze Sache wegen der ‚export‘-Grade Cipher aufgeflogen ist. Und sollte wer immer noch solche Cipher im Einsatz haben: export-grade werden Cipher nicht wegen ihrer außergewöhnlich hohen Sicherheit genannt. Soviel sei verraten.