Abo
  • Services:
Anzeige
Beim Verschlüsselungsverfahren RSA wird mit großen Zahlen gerechnet.
Beim Verschlüsselungsverfahren RSA wird mit großen Zahlen gerechnet. (Bild: Screenshot Golem.de)

Kryptographie: Rechenfehler mit großen Zahlen

Kryptographische Algorithmen benötigen oft Berechnungen mit großen Ganzzahlen. Immer wieder werden Fehler in den entsprechenden Bibliotheken gefunden. Diese können zu Sicherheitslücken werden.

Anzeige

Im Januar veröffentlichte OpenSSL ein Sicherheitsupdate, in dem ein Fehler in einer mathematischen Funktion behoben wurde. In sehr seltenen Fällen verrechnete sich OpenSSL beim Versuch, eine große Zahl zu quadrieren. Dieser Fehler in der Funktion BN_sqr() war Anlass für Ralph-Philipp Weinmann, mögliche Sicherheitslücken durch fehlerhafte Berechnungen in sogenannten Bignum-Funktionen zu untersuchen. Auf der Black-Hat-Konferenz in Las Vegas stellte er seine Ergebnisse vor.

Berechnungen mit großen Zahlen wichtig für Public-Key-Kryptographie

Insbesondere Public-Key-Algorithmen benötigen oft Berechnungen mit großen Ganzzahlen. So müssen etwa bei einer RSA-Verschlüsselung Zahlen mit mehreren Tausend Bit multipliziert und potenziert werden. Verschlüsselungsbibliotheken wie OpenSSL besitzen daher entsprechende Funktionen, um mit großen Zahlen zu rechnen.

Bereits 2008 veröffentlichten die Kryptographen Eli Biham, Yaniv Carmeli und Adi Shamir ein Paper, in dem sie der Frage nachgingen, wie Rechenfehler durch fehlerhafte Hardware zu Sicherheitslücken führen könnten. Das Paper betrachtete überwiegend theoretische Fehler, das einzige praxisrelevante Beispiel war der FDIV-Bug in Intel-Pentium-Prozessoren, der allerdings aus heutiger Sicht nur noch historische Bedeutung hat.

Bitcoin-Entwickler finden OpenSSL-Rechenfehler

Der oben bereits erwähnte Bug in OpenSSL wurde bei Tests der Bibliothek libsecp256k1 entdeckt, die von einigen Bitcoin-Implementierungen genutzt wird. Es handelt sich um einen Fehler beim Übertrag des Carry-Bits, der in einigen Spezialfällen auftritt. Zufällig finden kann man den Bug praktisch nicht, da der Rechenfehler nur in einem von 2^128 Fällen auftritt. Die OpenSSL-Entwickler untersuchten zahlreiche Möglichkeiten, wie der Fehler ausgenutzt werden könnte und schätzten das Risiko letztendlich als gering ein.

Bei der Berechnung von RSA wird die entsprechende Quadrier-Funktion nur unter wenigen Architekturen genutzt. Selbst dort, wo sie zum Einsatz kommt, sorgt das sogenannte RSA-Blinding dafür, dass die Eingabedaten durch einen Zufallswert beeinflusst werden und somit nicht durch einen Angreifer kontrolliert werden können. Beim Schlüsselaustausch mit elliptischen Kurven (ECDH) kann der Fehler zwar auftreten, allerdings nur bei der Verifikation von Kurvenpunkten, und es gibt keine praktikable Möglichkeit, derartige fehlerhafte Kurvenpunkte zu konstruieren. Die OpenSSL-Entwickler haben noch diverse weitere potenzielle Fehlerquellen untersucht, haben aber letztendlich alle als harmlos eingeschätzt.

Weinmann kann zwar den meisten Argumenten der OpenSSL-Entwickler folgen, er weist aber darauf hin, dass einige Szenarien dabei nicht beachtet wurden. Alle Argumente gelten nur dann, wenn die OpenSSL-eigenen Kryptofunktionen genutzt werden. Aber die Bignum-Berechnungsfunktionen können auch von anderen Bibliotheken genutzt werden. So nutzt beispielsweise die Java-Implementierung unter Android zur Verschlüsselung eine Bibliothek namens Spongy Castle, diese wiederum greift auf die Bignum-Funktionen von OpenSSL zurück.

Der Code für elliptische Kurven in OpenSSL wurde vor nicht allzu langer Zeit stark überarbeitet und durch eine optimierte Version ersetzt. Die Betrachtungen der OpenSSL-Entwickler gelten allerdings nur für den neuen Code, ältere Versionen - Weinmann nennt 1.0.1e - sind möglicherweise von ganz anderen Problemen betroffen.

Carry-Übertrag sehr fehleranfällig

Wie sich herausstellte, sind Fehler beim Carry-Übertrag extrem häufig, die überwiegende Zahl der Rechenfehler in Bignum-Bibliotheken tritt beim Carry-Übertrag auf. So behob die 2012 veröffentlichte Version 5.0.4 einen Rechenfehler bei bestimmten Multiplikationen mit dem Carry-Übertrag. Auch in der NaCl-Verschlüsselungsbibliothek wurde ein Fehler in der Implementierung von Ed25519-Signaturen gefunden, der ebenfalls mit dem Carry-Übertrag zusammenhing. Ein Sicherheitsproblem trat dort nicht auf, da der fehlerhafte Code lediglich bei der Schlüsselerzeugung und bei Signaturen genutzt wird und somit keine vom Angreifer kontrollierten Daten betroffen sind. Die Wahrscheinlichkeit für ein zufälliges Auftreten ist vernachlässigbar gering.

Das einzige Beispiel, in dem gezeigt werden konnte, dass ein Software-Rechenfehler auch ganz praktisch ausgenutzt werden kann, ist ein Paper aus dem Jahr 2011. Genutzt wurde dabei ein Fehler in der sehr alten OpenSSL-Version 0.9.8g. Mittels einiger gezielter Anfragen konnte damit der Schlüssel eines Schlüsselaustauschverfahrens mittels ECDH extrahiert werden.

Fehlerhafter Code an riskanter Stelle in GnuPG 

eye home zur Startseite
MartinPaul 09. Aug 2015

Ich meine meine Grammatik ist nicht nur wegen dem Smartphone das ich zum antworten nutze...

DerVorhangZuUnd... 07. Aug 2015

Danke für den Hinweis. Diese Implementierung kannte ich noch nicht. Trotzdem finde ich...



Anzeige

Stellenmarkt
  1. ATS Gesellschaft für angewandte technische Systeme mbH, Kassel
  2. Robert Bosch GmbH, Abstatt
  3. über JobLeads GmbH, München
  4. Pearson Deutschland GmbH, Hallbergmoos Raum München


Anzeige
Hardware-Angebote
  1. 59,90€
  2. 349.99$/316,98€
  3. bei Caseking

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Android 7

    Nougat für Smartphones von Sony, Oneplus, LG und Huawei

  2. Simplygon

    Microsoft reduziert 3D-Details

  3. Nach Begnadigung Mannings

    Assange weiter zu Auslieferung in die USA bereit

  4. Startups

    Rocket will 2017 drei Firmen in Gewinnzone bringen

  5. XMPP

    Chatsecure bringt OMEMO-Verschlüsselung fürs iPhone

  6. Special N.N.V.

    Nanoxias Lüfter sollen keinerlei Vibrationen übertragen

  7. Intel

    Internet-of-Things-Plattform auf x86-Basis angekündigt

  8. Content-ID

    Illegale Porno-Hoster umgehen Youtube-Filter

  9. Wayland

    Google erstellt Gamepad-Support für Android in Chrome OS

  10. Gabe Newell

    Valve-Chef über neue Spiele und Filme



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Tado im Test: Heizkörperthermostate mit effizientem Stalker-Modus
Tado im Test
Heizkörperthermostate mit effizientem Stalker-Modus
  1. Hausautomatisierung Google Nest kommt in deutsche Wohnzimmer
  2. Focalcrest Mixtile Hub soll inkompatible Produkte in Homekit einbinden
  3. Airbot LG stellt Roboter für Flughäfen vor

Routertest: Der nicht ganz so schnelle Linksys WRT3200ACM
Routertest
Der nicht ganz so schnelle Linksys WRT3200ACM
  1. Norton Core Symantec bietet sicheren Router mit Kreditkartenpflicht
  2. Routerfreiheit bei Vodafone Der Kampf um die eigene Telefonnummer
  3. Router-Schwachstellen 100.000 Kunden in Großbritannien von Störungen betroffen

U Ultra und U Play im Hands on: HTCs intelligente Smartphones hören immer zu
U Ultra und U Play im Hands on
HTCs intelligente Smartphones hören immer zu
  1. VR-Headset HTC stellt Kopfhörerband und Tracker für Vive vor
  2. HTC 10 Evo im Kurztest HTCs eigenwillige Evolution
  3. Virtual Reality HTC stellt Drahtlos-Kit für Vive vor

  1. Re: 4K & 60 FPS Streaming getestet?

    theFiend | 16:59

  2. Re: Ein Trauerspiel

    jayrworthington | 16:59

  3. wie kann jemand Hoster sein, wenn der Content bei...

    Poison Nuke | 16:56

  4. Re: 900p im Jahr 2017

    Crossfire579 | 16:52

  5. Re: Unlisted Videos - schon interessant

    AllDayPiano | 16:51


  1. 17:07

  2. 16:53

  3. 16:39

  4. 16:27

  5. 16:13

  6. 16:00

  7. 15:47

  8. 15:17


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel