Abo
  • Services:
Anzeige
Cloudfare wollte wissen, ob private Keys auslesbar sind.
Cloudfare wollte wissen, ob private Keys auslesbar sind. (Bild: Cloudfare/Screenshot: Golem.de)

Heartbleed: Keys auslesen ist einfacher als gedacht

Zwei Personen ist es gelungen, private Schlüssel mit Hilfe des Heartbleed-Bugs aus einem Nginx-Testserver auszulesen. Der Server gehört der Firma Cloudflare, die mit einem Wettbewerb sicherstellen wollte, dass das Auslesen privater Schlüssel unmöglich ist.

Anzeige

Der Heartbleed-Bug ist möglicherweise gravierender als gedacht. Zwar konnte vielfach gezeigt werden, dass Server Passwörter, TLS-Session-Cookies und andere kritische Daten preisgaben, aber nur wenigen ist es bisher gelungen, private Schlüssel zu extrahieren. Das gelang nur unter Laborbedingungen direkt nach dem Neustart eines Servers. Doch offenbar ist das Extrahieren der privaten Keys einfacher als angenommen.

Die Firma Cloudflare wollte es genauer wissen. Das Unternehmen setzt selbst viele HTTPS-Server mit der Software Nginx und OpenSSL ein. Nach einer Analyse gingen die Sicherheitsexperten von Cloudflare eigentlich davon aus, dass beim Webserver Nginx das Auslesen der privaten Keys extrem unwahrscheinlich oder sogar ganz unmöglich ist. Um das zu prüfen, hat Cloudflare am Freitag einen Testserver aufgesetzt und die Heartbleed Challenge ausgerufen.

Es hat nicht lange gedauert, bis die ersten Erfolge vermeldet wurden. Der Nodejs-Entwickler Fedor Indutny hat als Erster erfolgreich nachgewiesen, dass er im Besitz des privaten Schlüssels des Testservers ist. Er benötigte dafür 2,5 Millionen Anfragen. Kurz darauf gelang es einem zweiten Tester, Ilkka Mattila vom National Cyber Security Centre Finland (NCSC-FI), den privaten Key des Servers zu extrahieren. Er benötigte dafür nur etwa 100.000 Anfragen an den Server.

Damit ist wohl der Beweis erbracht, dass der Heartbleed-Bug das Extrahieren von privaten Keys ermöglicht. Da es bereits Hinweise gibt, dass Heartbleed von einigen Angreifern schon vor Monaten ausgenutzt worden war, dürfte zumindest bei sicherheitskritischen Services für Webadministratoren kaum ein Weg daran vorbeiführen, ihre Zertifikate zu tauschen. Problematisch ist dabei allerdings, dass die alten Zertifikate selbst dann eine Gefahr darstellen. Zwar kann man Zertifikate von der Zertifizierungsstelle zurückziehen lassen, doch von den heutigen Browsern wird die Gültigkeit der Zertifikate entweder gar nicht oder nur unzureichend getestet. Beide für den Rückruf zur Verfügung stehenden Verfahren - CRL (Certificate Revocation List) und OCSP (Online Certificate Status Protocol) - haben in der Praxis einige Probleme.

Details darüber, wie die beiden Entwickler an den privaten Key gelangten, wurden bislang nicht veröffentlicht. Interessant wäre dabei vor allem, ob sich die Angriffe auch auf andere Webserver übertragen lassen und ob insbesondere auch der Marktführer Apache verwundbar ist. Welche Daten ein Heartbleed-Angriff offenlegt, hängt vor allem davon ab, wie Betriebssystem und Serversoftware diese im Speicher ablegen.

Dan Kaminsky schreibt in seinem Blog, dass er davon ausgehe, dass innerhalb der nächste Wochen Software auftauchen werde, die auf einfache Weise das Extrahieren privater Keys von Servern mit der Heartbleed-Lücke ermöglichen werde.


eye home zur Startseite
jayrworthington 15. Apr 2014

Wenn die es dieselbe api sind, ja, aber auch bei dynamisch gelinkten applikationen...

bernd71 14. Apr 2014

Closed source muss ja nicht heißen das sich niemand den Code angesehen hat. Man kann ja...

lottikarotti 14. Apr 2014

Lass es dir schmecken..

widdermann 13. Apr 2014

Es zwingt dich ja niemand Firefox und eBay zu benutzen, zumal beides eh USA-Produkte sind...

Ext3h 13. Apr 2014

Postgeheimnis? In der Regel einfach durch das Öffnen des Briefes und anschließendes...



Anzeige

Stellenmarkt
  1. Vodafone GmbH, Düsseldorf
  2. Dürr IT Service GmbH, Bietigheim-Bissingen
  3. VISHAY ELECTRONIC GmbH, Selb bei Hof
  4. Endress+Hauser Conducta GmbH+Co. KG, Gerlingen


Anzeige
Hardware-Angebote
  1. bei Alternate
  2. und Gratis-Produkt erhalten
  3. (Rabattcode: MB10)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  3. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Raumfahrt

    Chang'e 5 fliegt zum Mond und wieder zurück

  2. Android 7.0

    Sony stoppt Nougat-Update für bestimmte Xperia-Geräte

  3. Dark Souls 3 The Ringed City

    Mit gigantischem Drachenschild ans Ende der Welt

  4. HTTPS

    Weiterhin rund 200.000 Systeme für Heartbleed anfällig

  5. Verkehrsexperten

    Smartphone-Nutzung am Steuer soll strenger geahndet werden

  6. Oracle

    Java entzieht MD5 und SHA-1 das Vertrauen

  7. Internetzensur

    China macht VPN genehmigungspflichtig

  8. Hawkeye

    ZTE will bei mediokrem Community-Smartphone nachbessern

  9. Valve

    Steam erhält Funktion, um Spiele zu verschieben

  10. Anet A6 im Test

    Wenn ein 3D-Drucker so viel wie seine Teile kostet



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mi Mix im Test: Xiaomis randlose Innovation mit kleinen Makeln
Mi Mix im Test
Xiaomis randlose Innovation mit kleinen Makeln
  1. Xiaomi Mi Note 2 im Test Ein Smartphone mit Ecken ohne Kanten

Donald Trump: Ein unsicherer Deal für die IT-Branche
Donald Trump
Ein unsicherer Deal für die IT-Branche
  1. USA Amazon will 100.000 neue Vollzeitstellen schaffen
  2. Trump auf Pressekonferenz "Die USA werden von jedem gehackt"
  3. US-Wahl US-Geheimdienste warnten Trump vor Erpressung durch Russland

Begnadigung: Danke, Chelsea Manning!
Begnadigung
Danke, Chelsea Manning!
  1. Die Woche im Video B/ow the Wh:st/e!
  2. Verwirrung Assange will nicht in die USA - oder doch?
  3. Whistleblowerin Obama begnadigt Chelsea Manning

  1. 2019 Ausgeliefert, bis dahin gibts 5 neue Versionen.

    Bizzi | 05:12

  2. Re: Der Herkunft aus den USA geschuldet...

    nexusbs | 04:05

  3. Re: 15 min? Dann aber mit 60 Bildern die Sekunde..

    ManMashine | 04:03

  4. Re: Gefährlich, wenn sich Dein Auto plötzlich...

    nexusbs | 03:45

  5. ganz einfach

    nexusbs | 03:35


  1. 18:19

  2. 17:28

  3. 17:07

  4. 16:55

  5. 16:49

  6. 16:15

  7. 15:52

  8. 15:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel