Abo
  • Services:
Anzeige
Beim Verschlüsselungsverfahren RSA wird mit großen Zahlen gerechnet.
Beim Verschlüsselungsverfahren RSA wird mit großen Zahlen gerechnet. (Bild: Screenshot Golem.de)

Fehlerhafter Code an riskanter Stelle in GnuPG

Anzeige

Ein subtiler Fehler in der Bibliothek Libgcrypt, die unter anderem von GnuPG verwendet wird, führte dazu, dass in bestimmten Situationen Bitmanipulationen durch die Funktion mpi_set_bit() fehlerhaft arbeiteten. Der Fehler trat nur zufällig auf, und das lag am Speicherlayout. In der Funktion wurde uninitialisierter Speicher verwendet. Falls der Speicher schon vorher genutzt worden war, konnte das die Funktionsweise beeinflussen.

Weinmann suchte nach Codestellen, die die entsprechende Funktion mpi_set_bit() aufrufen. Ausgerechnet bei der Erstellung des k-Wertes von DSA-Signaturen in GnuPG fand sich ein entsprechender Funktionsaufruf. Der k-Wert von DSA ist besonders kritisch, da ein Fehler hier katastrophale Auswirkungen haben kann. Falls derselbe k-Wert zweimal verwendet wird oder falls der Wert einem Angreifer bekannt ist, kann dieser dadurch den privaten Schlüssel zu einer Signatur berechnen. Weinmann kam letztendlich zu dem Schluss, dass das Problem vermutlich nicht zu einer Sicherheitslücke führt, er rief aber explizit dazu auf, dass weitere Personen den Fehler untersuchen sollten.

Neben der Analyse von bekannten Fehlern ging Weinmann auch der Frage nach, wie man derartige Fehler finden könnte. Mittels sogenannter Symbolic Execution ist es theoretisch möglich, zumindest die Äquivalenz von verschiedenen Funktionen zu beweisen. Damit könnte man etwa die Implementierungen bestimmter Rechenvorgänge von verschiedenen Verschlüsselungsbibliotheken vergleichen. Ein Forscherteam der Universität Stanford hat hierfür eine Variante des Tools KLEE entwickelt. Zwar ist das entsprechende Tool nicht öffentlich verfügbar, mit geringfügigen Modifikationen sei dieser Ansatz jedoch laut Weinmann auch mit der Originalversion von KLEE umsetzbar.

Symbolic Execution gerät an Grenzen

Allerdings gibt es dabei einige Hürden. KLEE arbeitet mit Hilfe des Compilerframeworks LLVM und nutzt dafür den Zwischencode, den LLVM erzeugt. Große Teile der Rechenfunktionen von Verschlüsselungsbibliotheken sind jedoch in Assembler geschrieben. Um diese zu verifizieren, muss der Code erst entsprechend zurückkonvertiert werden. Dafür gibt es einige experimentelle Tools. An komplexeren Funktionen scheitert die Methode der Symbolic Execution letztendlich, da es zu viele Zustände gibt, in die eine Funktion geraten kann. Für die meisten aufwendigeren Funktionen ist diese Methode daher - zumindest mit aktuellen Tools - nicht nutzbar.

Bestimmte Rechenfehler lassen sich auch innerhalb einer Bibliothek selbst testen. Den OpenSSL-Fehler in der Quadrierungsfunktion etwa könnte man finden, wenn man den entsprechenden Eingabewert einmal mit der Quadrierungsfunktion berechnet und anschließend die Zahl mit sich selbst multipliziert. Bei beiden Berechnungen müsste dasselbe Ergebnis herauskommen.

American Fuzzy Lop kann seltene Rechenfehler finden

Weinmann hatte ein kleines Programm geschrieben, das genau dies tut, und anschließend das Fuzzing-Tool American Fuzzy Lop darauf angewendet. Weinman sagte, er habe dabei gedacht, "das wird zwar bestimmt nicht funktionieren, aber ich sollte es zumindest ausprobieren". Erstaunlicherweise hatte diese Methode jedoch Erfolg. Innerhalb von einer Stunde fand American Fuzzy Lop in einer verwundbaren OpenSSL-Version einen der seltenen Ausnahmefälle, in denen die Quadrierung fehlerhafte Ergebnisse liefert.

 Kryptographie: Rechenfehler mit großen Zahlen

eye home zur Startseite
MartinPaul 09. Aug 2015

Ich meine meine Grammatik ist nicht nur wegen dem Smartphone das ich zum antworten nutze...

DerVorhangZuUnd... 07. Aug 2015

Danke für den Hinweis. Diese Implementierung kannte ich noch nicht. Trotzdem finde ich...



Anzeige

Stellenmarkt
  1. Vodafone GmbH, Düsseldorf
  2. über Ratbacher GmbH, Raum Bayreuth
  3. e.solutions GmbH, Erlangen
  4. Daimler AG, Stuttgart


Anzeige
Spiele-Angebote
  1. (-65%) 6,99€
  2. 23,99€
  3. 4,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. taz

    Strafbefehl in der Keylogger-Affäre

  2. Respawn Entertainment

    Live Fire soll in Titanfall 2 zünden

  3. Bootcode

    Freie Firmware für Raspberry Pi startet Linux-Kernel

  4. Brandgefahr

    Akku mit eingebautem Feuerlöscher

  5. Javascript und Node.js

    NPM ist weltweit größtes Paketarchiv

  6. Verdacht der Bestechung

    Staatsanwalt beantragt Haftbefehl gegen Samsung-Chef

  7. Nintendo Switch im Hands on

    Die Rückkehr der Fuchtel-Ritter

  8. Raspberry Pi

    Compute Module 3 ist verfügbar

  9. Microsoft

    Hyper-V bekommt Schnellassistenten und Speicherfragmente

  10. Airbus-Chef

    Fliegen ohne Piloten rückt näher



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Reverse Engineering: Mehr Spaß mit Amazons Dash-Button
Reverse Engineering
Mehr Spaß mit Amazons Dash-Button

Tado im Test: Heizkörperthermostate mit effizientem Stalker-Modus
Tado im Test
Heizkörperthermostate mit effizientem Stalker-Modus
  1. Focalcrest Mixtile Hub soll inkompatible Produkte in Homekit einbinden
  2. Airbot LG stellt Roboter für Flughäfen vor
  3. Smarte Lautsprecher Die Stimme ist das Interface der Zukunft

Routertest: Der nicht ganz so schnelle Linksys WRT3200ACM
Routertest
Der nicht ganz so schnelle Linksys WRT3200ACM
  1. Norton Core Symantec bietet sicheren Router mit Kreditkartenpflicht
  2. Routerfreiheit bei Vodafone Der Kampf um die eigene Telefonnummer
  3. Router-Schwachstellen 100.000 Kunden in Großbritannien von Störungen betroffen

  1. Re: Warum will das jemand?

    root666 | 05:42

  2. Re: Selbstverständlich muss es markenübergreifende

    maxule | 04:31

  3. Re: Erstaunliches Line-Up für das erste Jahr...

    unbekannt. | 04:10

  4. Ungenügender Umgang mit Subprime-Krediten

    Pjörn | 03:09

  5. Re: SMS nicht archivierbar?

    Pjörn | 03:02


  1. 18:02

  2. 17:38

  3. 17:13

  4. 14:17

  5. 13:21

  6. 12:30

  7. 12:08

  8. 12:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel