Anzeige
Das Padding von RSA schafft Probleme.
Das Padding von RSA schafft Probleme. (Bild: Chris Meyer)

Bleichenbacher-Angriff: TLS-Probleme in Java

In der TLS-Bibliothek von Java wurde ein Problem gefunden, welches unter Umständen das Entschlüsseln von Verbindungen erlaubt. Es handelt sich dabei um die Wiederbelebung eines Angriffs, der bereits seit 1998 bekannt ist.

Anzeige

Der Sicherheitsforscher Chris Meyer hat mehrere Probleme in JSSE entdeckt, der Verschlüsselungsbibliothek von Java. Meyer ist es gelungen, ein uraltes und längst bekanntes Problem der RSA-Verschlüsselung erneut auszunutzen: Die sogenannte "Million Message Attack", die Daniel Bleichenbacher 1998 erstmals beschrieben hat. Oracle hat ein Update von Java veröffentlicht, welches das Problem behebt.

Das Vorgehen von Bleichenbacher: Eine mit dem RSA-Schlüssel eines Servers verschlüsselte Nachricht wird gezielt mit Fehlern versehen und in vielen Variationen an einen Server gesendet. Die Antworten der Fehlerbehandlung des Servers lassen Rückschlüsse auf den verschlüsselten Inhalt zu. Um sich vor diesem Angriff zu schützen, müssen Server gewährleisten, dass die Fehlermeldungen keine Informationen über die Art des Entschlüsselungsfehlers enthalten. Auch die Geschwindigkeit der Antwort darf keine Rückschlüsse auf den Nachrichteninhalt zulassen.

Meyer entdeckte nun, dass Java bei bestimmten Fehlern in der Codierung von RSA-verschlüsselten Nachrichten eine andere Fehlermeldung schickte als gewöhnlich. Damit ließ sich die Bleichenbacher-Attacke wiederholen. Bereits 2012 gab es eine Forschungsarbeit, die eine beschleunigte Version des originalen Bleichenbacher-Angriffs entwickelt hatte. Diese Verfahren konnte Meyer ausnutzen und brauchte für seinen Angriff weit weniger als eine Million Versuche. Nach circa 70.000 Serverantworten gelang es, eine mit einem 4096-Bit-RSA-Schlüssel verschlüsselte Nachricht zu entschlüsseln.

Für TLS-Verbindungen bedeutet das, dass ein Angreifer damit das sogenannte Pre-Master Secret herausfinden kann. Daraus wird der Sitzungsschlüssel für eine TLS-Verbindung erzeugt. Wird kein Forward Secrecy eingesetzt, lässt sich damit ein vorher belauschter Datenverkehr mitlesen.

Doch selbst wenn JSSE nur noch eine Fehlermeldung schickt, ist das Problem nicht völlig aus der Welt. Denn nach wie vor besteht ein Timing-Problem, da der Dekodierungsfehler eine Java-Exception auslöst. Diese benötigt so viel Rechenzeit, dass ein Angreifer aufgrund der Antwortzeit erfahren kann, ob ein solcher Dekodierungsfehler aufgetreten ist.

Meyer weist darauf hin, dass offenbar OpenSSL bis vor kurzem ein ähnliches Problem hatte. Ein entsprechender Patch, der dieses Problem behebt, wurde im Juni vergangenen Jahres in den Code von OpenSSL eingepflegt.

Der Bleichenbacher-Angriff macht sich die besonders einfache Struktur der RSA-Verschlüsselung nach dem alten Standard PKCS #1 1.5 zunutze. Zwar gibt es schon länger den neueren Standard PKCS #1 2.1, der die verbesserten RSA-Modi OAEP (für Verschlüsselung) und PSS (für Signaturen) unterstützt, doch TLS und die meisten anderen Anwendungen setzen weiterhin auf den alten Standard. Meyer warnt jedoch davor, OAEP als Allheilmittel zu betrachten. Manche Probleme von RSA würden damit zwar verhindert, doch Meyer verweist auf eine Forschungsarbeit von James Manger aus dem Jahr 2001, in der ein ähnliches Problem in OAEP beschrieben wird. Meyer untersuchte daraufhin den OAEP-Code von JSSE und stellte fest, dass sich ein solcher Fehler eingeschlichen hatte und vermutlich ein ähnlicher Angriff möglich wäre, wenn TLS bereits OAEP unterstützen würde.

Die Fehler in JSSE hat Chris Meyer im Rahmen seiner Dissertation mit dem Titel 20 Years of SSL/TLS Research entdeckt. Alle beschriebenen Fehler in JSSE wurden von Oracle behoben, allerdings erklärt Meyer, dass er noch weitere Probleme entdeckt habe, an deren Behebung gearbeitet werde und zu denen er in Kürze weitere Details veröffentlichen werde.


eye home zur Startseite
TrudleR 19. Apr 2014

+1 Die Infos aus dem Startthread reichen wirklich aus, um den Sachkundemangel festzustellen.

redmord 19. Apr 2014

Einfach auf Windows Phone umsteigen... *SCNR*

Kommentieren



Anzeige

  1. Software-Entwickler (m/w) für Embedded-Systeme
    Diehl Metering GmbH, Nürnberg
  2. Senior Consultant (m/w) SAP CRM, HR SSF
    Robert Bosch GmbH, Stuttgart-Feuerbach
  3. Sachbearbeiter (m/w)
    Bundeskartellamt, Bonn
  4. IT-Komponentenverantwortlich- e/r für Backupsysteme
    Landeshauptstadt München, München

Detailsuche



Anzeige

Folgen Sie uns
       


  1. Internetwirtschaft

    Das ist so was von 2006

  2. NVM Express und U.2

    Supermicro gibt SATA- und SAS-SSDs bald auf

  3. 100 MBit/s

    Telekom bringt 10.000 Haushalten in Großstadt Vectoring

  4. Zum Weltnichtrauchertag

    BSI warnt vor Malware in E-Zigaretten

  5. Analoges Radio

    UKW-Sendeanlage bei laufendem Betrieb umgezogen

  6. Kernel

    Linux 4.7-rc1 unterstützt AMDs Polaris

  7. Fehler in Blogsystem

    200.000 Zugangsdaten von SZ-Magazin kopiert

  8. Aufräumen von Prozessen beim Logout

    Systemd-Neuerung sorgt für Nutzerkontroversen

  9. Overwatch im Test

    Superhelden ohne Sammelsucht

  10. Mobilfunk

    Wirtschaftssenatorin will 5G-Testbed in Berlin durchsetzen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Traceroute: Wann ist ein Nerd ein Nerd?
Traceroute
Wann ist ein Nerd ein Nerd?

Formel E: Monaco-Feeling beim E-Prix in Berlin-Mitte
Formel E
Monaco-Feeling beim E-Prix in Berlin-Mitte
  1. Hewlett Packard Enterprise "IT wird beim Autorennen immer wichtiger"
  2. Roborace Roboterrennwagen fahren mit Nvidia-Computer
  3. Elektromobilität BMW und Nissan wollen in die Formel E

Moto G4 Plus im Hands on: Lenovos sonderbare Entscheidung
Moto G4 Plus im Hands on
Lenovos sonderbare Entscheidung
  1. Lenovo Moto G4 kann doch mit mehr Speicher bestellt werden
  2. Android-Smartphone Lenovos neues Moto G gibt es gleich zweimal
  3. Motorola Aktionspreise für aktuelle Moto-Smartphones

  1. SuperMicro sind schon super.

    grslbr | 01:59

  2. Re: Analog abschalten ist dumm

    ManMashine | 01:55

  3. Re: Was hat wenig Kalorien und hält lange satt?

    AnonymerHH | 01:47

  4. Re: Einfach nicht wählen.

    burzum | 01:47

  5. Re: Lobbyirrsinn.

    grslbr | 01:42


  1. 18:53

  2. 18:47

  3. 18:38

  4. 17:41

  5. 16:36

  6. 16:29

  7. 15:57

  8. 15:15


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel