In einer aktuellen Publikation analysieren Shibam Mukherjee (Know Center), Christian Rechberger (Know Center & TU Graz) sowie Markus Schofnegger (TU Graz), wie sich bei der Implementierung von Zero-Knowledge-Protokollen (ZKPs) potenzielle Sicherheitslücken durch Cache-Timing-Seitenkanäle ergeben können. Der Beitrag mit dem Titel "Cache Timing Leakages in Zero-Knowledge Protocols" wurde auf der renommierten Konferenz Real World Crypto 2025 vorgestellt und ist auch als Preprint auf dem Portal der International Association for Cryptologic Research (IACR) verfügbar.

Effektive Angriffe unter realistischen Bedingungen

Bereits seit rund zwei Jahrzehnten ist bekannt, dass kryptografische Verfahren durch sogenannte Seitenkanalangriffe kompromittiert werden können – etwa durch das Auslesen von Zeit- oder Speicherverhalten. Die aktuelle Studie zeigt, dass Zero-Knowledge-Protokolle, die in vielen modernen Anwendungen wie digitaler Identifikation, Audits, privatem Zahlungsverkehr oder digitalen Abstimmungssystemen eingesetzt werden, ebenfalls durch solche Angriffe gefährdet sein könnten.

Zero-Knowledge: Sicher nur auf dem Papier?

Zero-Knowledge-Protokolle ermöglichen es, Aussagen mathematisch zu beweisen, ohne dabei das zugrunde liegende Geheimnis preiszugeben – eine elegante Lösung für viele datenschutzkritische Anwendungen. Doch wenn sich Speicherzugriffe in der Ausführungszeit unterscheiden, können Angreifer unter Umständen Rückschlüsse auf interne Zustände ziehen. Die Autoren demonstrieren dies an einem realistischen Angriffsmodell, das keine Administratorrechte oder spezielle Hardwarevoraussetzungen benötigt.

Empfehlungen für sichere Implementierungen

Als Konsequenz ihrer Analyse empfehlen die Forschenden konkrete Maßnahmen für die Absicherung von ZKP-Implementierungen – unter anderem durch den Verzicht auf datenabhängige Speicherzugriffe und eine sorgfältige Auswahl der verwendeten Hardware. Ihre Ergebnisse zeigen, dass Sicherheit in der Kryptografie nicht nur eine Frage des mathematischen Designs ist, sondern maßgeblich auch von der konkreten Umsetzung abhängt.

Beitrag zur Resilienz digitaler Systeme

Mit dieser Arbeit trägt das Know Center einmal mehr dazu bei, die Grundlagen für vertrauenswürdige digitale Systeme zu schaffen. Gerade in sicherheitskritischen Anwendungsfeldern ist es essenziell, auch potenzielle Risiken in der Praxis frühzeitig zu erkennen und gegenzusteuern.

Das Paper ist abrufbar unter: https://eprint.iacr.org/2024/1390

Informationen zur Präsentation bei Real World Crypto 2025: https://rwc.iacr.org/2025/program.php