Kuznyechik/Streebog: Russische Verschlüsselungsalgorithmen infrage gestellt

Eine E-Mail an die Verschlüsselungsarbeitsgruppe der IETF wirft einige Fragen zum Verschlüsselungsalgorithmus Kuznyechik und dem damit eng verwandten Hashalgorithmus Streebog auf. Léo Perrin, ein Kryptograph, der am französischen Forschungsinstitut Inria arbeitet, berichtet darin, dass er die Struktur der sogenannten S-Boxen sehr verdächtig findet.

Kuznyechik und Streebog sind Teil der sogenannten GOST-Standards, die von der russischen Föderation herausgegeben werden. Von der IETF gibt es Spezifikationsdokumente für diese Algorithmen, sie sind als RFC 7801 und RFC 6986 veröffentlicht.

Ein Entwurfsdokument beschreibt auch, wie man Kuznyechik in TLS nutzen kann. Diese Algorithmen werden vor allem für staatliche Anwendungen in Russland genutzt, vereinzelt findet man sie aber auch in anderer Software. So unterstützt das Verschlüsselungstool Veracrypt Kuznyechik.

S-Box mit unerklärbarer Struktur

S-Boxen sind ein gängiger Baustein von symmetrischen Verschlüsselungsalgorithmen, sie spielen eine wichtige Rolle für die Sicherheit. Die beiden Algorithmen Kuznyechik und Streebog verwenden beide eine S-Box namens Pi, von der nirgendwo erklärt wird, wie sie generiert wurde und welche Überlegungen ihr zugrunde liegen.

Laut Perrin besitzt diese S-Box eine Struktur, die es so nirgendwo anders in der kryptographischen Literatur gibt und die auch kein Zufall sein kann. Bei derartigen Eigenschaften müsste man laut Perrin analysieren, welche Auswirkungen das auf die Sicherheit hat, aber eine solche Analyse gibt es nicht.

Perrin deutet an, dass er sich vorstellen kann, dass es sich hier um eine Hintertür handelt. Er verweist auf eine frühere Forschungsarbeit zu Verschlüsselungsalgorithmen mit Hintertüren, die eine Struktur verwenden, die der hier vorgefundenen ähnlich ist. Allerdings betont Perrin auch, dass er bisher keine Möglichkeit gefunden hat, die gefundenen Eigenschaften anzugreifen.

Seine Forschung hat Perrin in einem Paper veröffentlicht, das in Kürze in der Fachpublikation Transactions on Symmetric Cryptology veröffentlicht wird. Eine Vorabversion ist bereits öffentlich verfügbar.

Die Frage, ob Verschlüsselungsalgorithmen Hintertüren enthalten, beschäftigt Kryptographen immer wieder. Der bekannteste Fall ist der Zufallszahlengenerator Dual EC DRBG, bei dem es inzwischen als praktisch sicher gilt, dass er von der NSA bewusst mit einer Schwachstelle ausgestattet wurde, die jedoch wiederum nur vom Besitzer eines bestimmten privaten Schlüssels - also der NSA selbst - ausgenutzt werden kann.

Abhilfe: Transparenz bei der Standardisierung

Als Abhilfe für solche Gefahren sollten Standardisierungsprozesse für Algorithmen so transparent wie möglich sein. Als Vorbild gilt dafür der Prozess zur Standardisierung des Advanced Encryption Standard, bei dem mehrere Teams von Kryptographen Vorschläge einreichten und diese anschließend versuchten, gegenseitig anzugreifen.

Spätere Standardisierungsverfahren, etwa zum Hash-Algorithmus SHA-3 und aktuell zu künftigen Post-Quanten-Algorithmen, laufen oder liefen ähnlich ab. Ganz wichtig dabei ist, dass Entwickler von Algorithmen alle Entscheidungen, die sie dabei treffen, gut begründen - so dass ihre Fachkollegen das nachvollziehen können.