Abo
  • Services:
Anzeige
Erneut gerät die BSAFE-Bibliothek von RSA Security ins Zwielicht.
Erneut gerät die BSAFE-Bibliothek von RSA Security ins Zwielicht. (Bild: RSA Security)

Dual EC: Angriff auf Zufallsgenerator mit Hintertür

Schwächen im Zufallsgenerator Dual EC DRBG lassen sich praktisch ausnutzen, um TLS-Verbindungen anzugreifen. Eine TLS-Erweiterung, die nie standardisiert wurde, erleichtert die Attacke enorm. Schon länger wird vermutet, dass Dual EC eine Hintertür der NSA enthält.

Anzeige

Ein Forscherteam hat die Auswirkungen einer möglichen Hintertür im Zufallsgenerator Dual EC DRBG auf TLS-Verbindungen untersucht. In verschiedenen Szenarien konnten TLS-Verbindungen praktisch angegriffen werden. Große Auswirkungen dürften die Angriffe dennoch nicht haben: Die Implementierungen von Dual EC werden nur selten genutzt. Ein Schlaglicht wirft die Untersuchung auf einen Vorschlag für eine TLS-Erweiterung namens "Extended Random".

Bereits 2007, kurz nach der Veröffentlichung von Dual EC durch die US-Behörde Nist, zeigten die Kryptographen Dan Shumow und Niels Ferguson auf der Konferenz Crypto 2007, dass der Zufallsgenerator möglicherweise eine Hintertür enthält. Später wurde bekannt, dass bereits vor dieser Konferenz ein Patent angemeldet wurde, welches den Angriff beschreibt. Der Algorithmus nutzt zwei feste Parameter, P und Q, bei denen es sich um Punkte auf einer elliptischen Kurve handelt. Diese Punkte könnte man so wählen, dass man einen geheimen Wert kennt, der einen Angriff auf den Algorithmus ermöglicht. Unklar ist, ob dies absichtlich geschah, doch seit den Snowden-Enthüllungen gehen viele Kryptographen davon aus, dass man hier auf eine Hintertür der NSA gestoßen ist. Das Nist selbst empfiehlt inzwischen, Dual EC nicht mehr zu benutzten.

In der jetzt veröffentlichten Forschungsarbeit untersuchten die Autoren die Verschlüsselungsbibliotheken BSAFE, SChannel und OpenSSL. In allen dreien ist Dual EC implementiert. BSAFE, ein Produkt der Firma RSA, ist dabei die einzige Bibliothek, die Dual EC zeitweise in der Standardeinstellung nutzte. Wie bereits im vergangenen Jahr bekanntwurde, hatte die NSA 10 Millionen Dollar dafür bezahlt, dass RSA den Algorithmus in sein Produkt aufnimmt.

Um den Angriff zu ermöglichen, mussten die Autoren die Parameter P und Q durch ihre eigenen manipulierten Parameter ersetzen, von denen sie den geheimen Wert kannten, der einen Angriff auf den Algorithmus ermöglicht. Dabei stellten sie fest, dass die Implementierung von Dual EC in OpenSSL aufgrund eines Fehlers überhaupt nicht für TLS nutzbar war. Doch der Fehler ließ sich einfach korrigieren und für die weitere Untersuchung nutzten die Autoren eine selbst korrigierte Version von OpenSSL.

Um einen Angriff auf den Zufallsgenerator zu ermöglichen, muss der Angreifer zunächst Kenntnis von einigen Zufallswerten erhalten, die der Algorithmus ausgibt. In den meisten Fällen reicht dabei die Ausgabe von 256 Bit. Die Arbeitsweise von TLS ermöglicht es in vielen Fällen bereits, durch simples Belauschen des Verbindungsaufbaus genügend Zufallswerte zu erfahren. Denn bereits hier wird ein Nonce und eine Session-ID erzeugt. Wenn die TLS-Implementierung hierfür denselben Zufallsgenerator wie für den späteren geheimen Verbindungsschlüssel wählt, lässt sich hiermit eine Verbindung angreifen und entschlüsseln. Falls als Public-Key-Algorithmus DSA oder DSA mit elliptischen Kurven (ECDSA) genutzt wird, ist sogar ein Knacken des privaten Schlüssels eines Servers möglich. Grund hierfür ist eine bekannte Schwäche von DSA und ECDSA bei der Nutzung schlechter Zufallszahlen. Beide Algorithmen kommen jedoch in der Praxis nur sehr selten bei TLS zum Einsatz.

Eine weitere Entdeckung dürfte wohl noch für manche Diskussionen sorgen: Eine Erweiterung des TLS-Protokolls namens Extended Random, die 2008 vorgeschlagen wurde, erleichtert den Angriff enorm. Statt über eine Stunde dauert ein Angriff hier nur noch Sekunden. Hierbei werden beim TLS-Handshake zusätzliche Zufallswerte ausgetauscht. Extended Random schaffte es nie über den Status eines Vorschlages ("Draft") bei der IETF hinaus. Von denselben Autoren gab es bereits einen früheren ähnlichen Entwurf und 2010 wurde erneut ein ähnlicher Vorschlag eingereicht. Keiner dieser Vorschläge wurde je standardisiert.

Das Besondere an Extended Random: Obwohl es nicht zum offiziellen Standard wurde, hatte RSA die Funktion bereits in seine Bibliothek BSAFE aufgenommen. In der untersuchten Version fand sich noch der deaktivierte Code für Extended Random und ließ sich durch die Änderung einer Variablen anschalten. Extended Random wurde von der NSA-Mitarbeiterin Margaret Salter und Eric Rescorla entwickelt. Rescorla arbeitet heute für Mozilla und war laut Aussage der Nachrichtenagentur Reuters nicht zu einer Stellungnahme bereit. Rescorla ist noch heute aktiv in der TLS-Arbeitsgruppe der IETF und hat erst kürzlich Vorschläge für eine Überarbeitung des TLS-Protokolls entwickelt.

Matthew Green, einer der Autoren des Angriffs, sagte laut Reuters, dass die offizielle Erklärung für die Einführung von Extended Random schwer zu glauben sei. Das Protokoll bietet offenbar keinerlei erkennbaren Sicherheitsgewinn gegenüber einer gewöhnlichen TLS-Verbindung.

Große praktische Auswirkungen haben die Entdeckungen vermutlich nicht. Die Autoren versuchten herauszufinden, wie viele Server im Internet eine der problematischen Verschlüsselungsbibliotheken nutzten. Das Problem dabei: Ohne die Kenntnis des geheimen Parameters lässt sich der Angriff nicht durchführen. Leicht erkennen ließ sich die Java-Implementierung von BSAFE. Diese fanden die Autoren jedoch nur auf etwa 700 Servern. Unklar ist, wie viele Server die C++-Version von BSAFE nutzten, denn diese lässt sich nicht durch einen einfachen Verbindungsaufbau erkennen. Deutlich verbreiteter ist Microsofts SChannel-Bibliothek, doch hier wird Dual EC in der Standardeinstellung nicht genutzt. Nur ein Server, bei dem der umstrittene Zufallsgenerator bewusst aktiviert wurde, wäre verwundbar. Da die OpenSSL-Version von Dual EC fehlerhaft war, wird sie vermutlich, wenn überhaupt, nur extrem selten eingesetzt. Die Autoren halten es dennoch in Ausnahmefällen für denkbar, denn die Korrektur des Fehlers sei relativ leicht möglich gewesen.

Nachtrag vom 1. April 2014, 21:30 Uhr

Einige der beteiligten Forscher haben inzwischen eine Webseite online gestellt, in der weitere Hintergründe zu Dual EC DRBG und den darin vorhandenen Problemen erläutert werden.


eye home zur Startseite
M. 02. Apr 2014

Das ist gar nicht mal nötig. Es gibt viele Verfahren, die nach aktuellem Stand der...



Anzeige

Stellenmarkt
  1. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Darmstadt
  2. INTENSE AG, Würzburg, Köln
  3. Alfred Kärcher GmbH & Co. KG, Winnenden bei Stuttgart
  4. Hermes Germany GmbH, Hamburg


Anzeige
Blu-ray-Angebote
  1. (u. a. Vier Fäuste für ein Halleluja, Zwei bärenstarke Typen,Vier Fäuste gegen Rio)
  2. 127,00€
  3. (u. a. Apollo 13, Insidious, Horns, King Kong, E.T. The Untouchables, Der Sternwanderer)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Kritische Bereiche der IT-Sicherheit in Unternehmen
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Sicherheitskonzeption für das App-getriebene Geschäft


  1. Raspberry Pi

    Schutz gegen Übernahme durch Hacker und Botnetze verbessert

  2. UHD-Blu-ray

    PowerDVD spielt 4K-Discs

  3. Raumfahrt

    Europa bleibt im All

  4. Nationale Sicherheit

    Obama verhindert Aixtron-Verkauf nach China

  5. Die Woche im Video

    Telekom fällt aus und HPE erfindet den Computer neu - fast

  6. Hololens

    Microsoft holoportiert Leute aus dem Auto ins Büro

  7. Star Wars

    Todesstern kostet 6,25 Quadrilliarden britische Pfund am Tag

  8. NSA-Ausschuss

    Wikileaks könnte Bundestagsquelle enttarnt haben

  9. Transparenzverordnung

    Angaben-Wirrwarr statt einer ehrlichen Datenratenangabe

  10. Urteil zu Sofortüberweisung

    OLG empfiehlt Verbrauchern Einkauf im Ladengeschäft



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Final Fantasy 15 im Test: Weltenrettung mit der Boyband des Wahnsinns
Final Fantasy 15 im Test
Weltenrettung mit der Boyband des Wahnsinns
  1. Square Enix Koop-Modus von Final Fantasy 15 folgt kostenpflichtig

Udacity: Selbstfahrendes Auto selbst programmieren
Udacity
Selbstfahrendes Auto selbst programmieren
  1. Strategiepapier EU fordert europaweite Standards für vernetzte Autos
  2. Autonomes Fahren Comma One veröffentlicht Baupläne für Geohot-Nachrüstsatz
  3. Autonomes Fahren Intel baut Prozessoren für Delphi und Mobileye

Quake (1996): Urknall für Mouselook, Mods und moderne 3D-Grafik
Quake (1996)
Urknall für Mouselook, Mods und moderne 3D-Grafik
  1. Künstliche Intelligenz Doom geht in Deckung

  1. Mehr Zeit mit PowerDVD als mit Filmschauen verbracht

    Poison Nuke | 22:32

  2. Re: Noch umständlicherer Kopierschutz

    throgh | 22:29

  3. Re: Memristor fehlt noch

    Ach | 22:29

  4. Re: "Raubkopierer" und "Piraten" vs. "Mafia...

    FreiGeistler | 22:24

  5. Re: Inhaltlich falsch - leider

    Jbrahms | 22:17


  1. 15:33

  2. 14:43

  3. 13:37

  4. 11:12

  5. 09:02

  6. 18:27

  7. 18:01

  8. 17:46


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel