RSA- und PGP-Verschlüsselung sind einfach angreifbar, wenn benutzte Zufallszahlen vorhergesehen werden können. Gute Zufallszahlen sind schwierig zu erzeugen. Dual_EC_DRBG - ein standardisiertes Verfahren (NIST SP 800-90A) - wurde wohlmöglich von der NSA manipuliert.
Verfahren für E-Mail und WWW-Verschlüsselung verwenden Zufallszahlen, um immer wieder neue Schlüssel zu erstellen. Diese werden beispielsweise für jeden Website-Aufruf immer wieder neu erzeugt. Langlebige Schlüsselpaare - wie bei GnuPG / PGP zur Verschlüsselung von E-Mails oder Dateien - werden ebenfalls mit Zufallszahlen erstellt. Gelingt es, Zufallszahlen vorherzuberechnen können private Schlüssel geknackt und so die jeweilige Verschlüsselung gebrochen werden.
Sichere Zufallszahlen sind jedoch schwer zu erzeugen. Was ist überhaupt Zufall? Ist 0 ein zufälliges Bit? 1? Wie kommt guter Zufall überhaupt in den Computer? Das OpenChaos im Juli beschäftigt sich dabei mit diesen Fragen:
- Wie kann Zufall über analoge Schaltungen erzeugt werden?
- Welche Hardware gibt es?
- Wie lässt sich die Sicherheit algorithmischer Verfahren beweisen?
- Und was ging eigentlich bei Dual_EC_DRBG schief?
Das OpenChaos findet am Donnerstag den 30. Juli 2015 in den Räumen des Chaos Computer Club Cologne [1] statt. Beginn ist wie immer um 20:00 Uhr . Der Eintritt ist selbstverständlich frei aber Spenden an den C4 sind gern gesehen. Wir freuen uns auf Euch!
links:
[1] http://koeln.ccc.de/c4/faq/index.xml#anreise
Ihr kommt zur Evoke [1] ? Ihr möchtet Euch schon vor der Evoke richtig auf diese großartige Demo-Party einstimmen? Perfekt! Dann kommt zur PrEvoke 2015.
Die Evoke [2] ist DAS Treffen der Demoscene in Köln. Wie schon in den letzten Jahren werden wir uns gemeinsam bei Bier, Musik und natürlich jeder Menge Demos aus den letzten Jahren auf die Evoke einstimmen.
Am 30. Juli 2015 geht es um 17 Uhr in den Raumen des Chaos Computer Club Cologne [3] los. Alle weiteren Infos auf der PrEvoke Seite [4] .
links:
[1] https://www.evoke.eu
[2] http://koeln.ccc.de/c4/faq/index.xml#anreise
[3] http://prevoke.t44.org/