Definition

Elliptische-Kurven-Kryptografie (Elliptic Curve Cryptography, ECC)

Elliptische Kurven-Kryptografie (Elliptic Curve Cryptography, ECC) ist ein Public-Key-Verfahren, das auf der Berechnung von elliptischen Kurven basiert. Es wird verwendet, um schneller kleine und effiziente Verschlüsselungs-Keys zu erstellen. ECC berechnet Keys mithilfe von Operationen auf Basis von elliptischen Kurven anstelle der sonst üblichen Zuhilfenahme von sehr großen Primzahlen. Die Technik kann in Verbindung mit den meisten Public-Key-Verfahren wie RSA und Diffie-Hellman eingesetzt werden. Nach Ansicht einiger Forscher bietet ECC bereits mit einem 164 Bit langen Schlüssel eine vergleichbare Sicherheit, für die ansonsten beim Einsatz anderer Verfahren ein 1024 Bit langer Schlüssel benötigt wird. Weil ECC die gleiche Sicherheit bei weniger Rechenleistung und Batterieverbrauch verspricht, wird die Technik vermehrt bei mobilen Anwendungen eingesetzt. ECC wurde von Certicom entwickelt, einem Anbieter von Sicherheitslösungen für mobile E-Business-Lösungen, der 2009 von RIM (heute BlackBerry) übernommen wurde. Sicherheitsanbieter wie zum Beispiel RSA haben ihre eigenen Varianten von ECC entwickelt. Viele Hersteller wie 3Com, Cylink, Motorola, Pitney Bowes, Siemens, TRW und VerFone haben Elliptic Curve Cryptography außerdem in ihre eigenen Produkte integriert.

 

Die Eigenschaften und Funktionen von elliptischen Kurven werden in der Mathematik seit über 150 Jahren untersucht. Ihr Einsatz in der Verschlüsselungstechnik wurde erstmals 1985 von Neal Koblitz von der University of Washington sowie unabhängig von ihm auch von Victor Miller von IBM vorgeschlagen. Eine elliptische Kurve ist nicht gleichzusetzen mit einer ovalen Ellipse. Stattdessen wird sie in der Regel als kurvige Linie dargestellt, die zwei Achsen schneidet. ECC basiert auf den besonderen Eigenschaften von mathematischen Gruppen (Werte, die verwendet werden, um aus zwei Zahlen aus einer Gruppe eine dritte zu berechnen). Diese bestehen aus den Punkten, an denen die Linie die Achsen schneidet. Wenn ein Punkt auf der Kurve mit einer Zahl multipliziert wird, erhält man einen anderen Punkt auf der Kurve. Es ist praktisch unmöglich, herauszufinden, welche Zahl dabei genutzt wurde, selbst wenn der verwendete Punkt und das Ergebnis bekannt sind. Berechnungen auf der Basis von elliptischen Kurven haben deswegen einen wichtigen Vorteil beim Einsatz von Verschlüsselungstechnik: Sie sind relativ leicht durchzuführen, aber nur sehr schwierig zurück berechnen.

 

Trotz allem herrschen bei vielen Herstellern noch Bedenken gegenüber dem Einsatz elliptischer Kurven vor. So hatte unter anderem Nigel Smart, ein Forscher bei Hewlett Packard, eine Schwachstelle gefunden. Danach sind manche elliptischen Kurven unsicher. Dem trat Philip Deck von Certicom entgegen. Es gebe zwar unsichere elliptische Kurven, man müsse sie aber ja nicht verwenden. Deck ist überzeugt, dass ECC das Potenzial hat, weltweit und in nahezu allen Geräten eingesetzt zu werden, um für eine sichere Verschlüsselung zu sorgen. Gegenüber Wired sagte er, dass man „dieses Ziel nur mit elliptischen Kurven erreichen kann”. In Deutschland wird ECC unter anderem für den neuen Personalausweis verwendet. Auch Firefox und Thunderbird unterstützen elliptische Kurven, Microsoft seit Windows Vista. 2011 haben die Forscher Billy Bob Brumley und Nocola Tuveri herausgefunden, dass ECC nicht sicher gegen sogenannte Timing-Angriffe sein soll. Dabei können sich Angreifer die Tatsache zunutze machen, dass das Ver- und Entschlüsseln mit unterschiedlichen Schlüssel auch unterschiedlich viel Zeit in Anspruch nimmt. Man nennt dies auch Seitenkanalangriffe.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Diese Definition wurde zuletzt im Juli 2016 aktualisiert

Erfahren Sie mehr über Datensicherheit

ComputerWeekly.de
Close