Abo
  • Services:
Anzeige
Mit großen PC-Clustern lassen sich Angriffe auf Diffie-Hellman mit 512 Bit vorberechnen.
Mit großen PC-Clustern lassen sich Angriffe auf Diffie-Hellman mit 512 Bit vorberechnen. (Bild: Megware Computer GmbH/CC BY-SA 3.0)

Logjam-Angriff: Schwäche im TLS-Verfahren gefährdet Zehntausende Webseiten

Mit großen PC-Clustern lassen sich Angriffe auf Diffie-Hellman mit 512 Bit vorberechnen.
Mit großen PC-Clustern lassen sich Angriffe auf Diffie-Hellman mit 512 Bit vorberechnen. (Bild: Megware Computer GmbH/CC BY-SA 3.0)

Verschlüsselte Verbindungen können durch eine Schwäche im TLS-Verfahren in vielen Fällen auf einen unsicheren Diffie-Hellman-Schlüsselaustausch mit 512 Bit reduziert werden. Forscher vermuten, dass eine Variante dieses Angriffs für das NSA-Programm Turmoil verantwortlich sein könnte.

Anzeige

Ein Team von Kryptographen hat sich in einer ausführlichen Analyse mit dem Diffie-Hellman-Schlüsselaustausch in TLS und anderen Protokollen beschäftigt. Es gelang ihnen dabei, mittels eines Man-in-the-Middle-Angriffs HTTPS-Verbindungen in einen unsicheren Export-Modus zu zwingen, der angreifbar ist. Damit könnte ein Angreifer etwa Javascript-Code in die Verbindung einfügen oder den Datenverkehr mitlesen. Betroffen sind etwa acht Prozent der wichtigsten Webseiten. Diesen Angriff bezeichnen sie als Logjam, benannt nach dem diskreten Logarithmus, der für die Sicherheit des Diffie-Hellman-Verfahrens entscheidend ist. Doch das ist nur eines von einer ganzen Reihe von Problemen. Die Autoren vermuten, dass ein ähnlicher Angriff von der NSA verwendet wird.

Forward Secrecy durch Diffie-Hellman-Schlüsselaustausch

Der klassische Diffie-Hellman-Schlüsselaustausch ist ein relativ altes Verfahren, mit dem man Forward Secrecy bei verschlüsselten Verbindungen gewährleisten kann. Dabei müssen sich die beiden Kommunikationspartner vorher auf eine sogenannte Gruppe und einen Generator einigen - beim klassischen Diffie-Hellman-Verfahren ist die Gruppe schlicht eine große Primzahl. Die Größe dieser Gruppe ist entscheidend für die Sicherheit des Verfahrens. 512 Bit gelten als extrem unsicher, werden aber nach wie vor teilweise genutzt, 1.024 Bit gelten als problematisch und 2.048 Bit sind nach aktuellem Kenntnisstand sicher.

In den 90er Jahren gab es in den USA gesetzliche Beschränkungen für den Export von Kryptographie. Um dem gerecht zu werden, wurde in SSL (dem Vorgänger von TLS) ein Export-Modus für den Diffie-Hellman-Schlüsselaustausch eingeführt, der die Gruppenlänge auf 512 Bit begrenzt. Dieser veraltete Modus fällt nun vielen Implementierungen auf die Füße. Zwar wird er normalerweise nicht genutzt, manche Server unterstützen ihn aber noch aus Kompatibilitätsgründen. Unter den Millionen beliebtesten Seiten laut der Statistik von Alexa unterstützen acht Prozent noch den unsicheren Export-Modus.

An sich wäre das kein Problem, denn kein normaler Browser wählt diesen Modus aus. Doch die Autoren fanden eine Schwäche im TLS-Handshake. Dieser läuft so ab, dass der Client dem Server eine Liste von Algorithmen schickt, aus denen der Server einen auswählen kann. Was nun zum Problem wird: An dieser Stelle ist der Handshake noch nicht signiert. Ein aktiver Angreifer kann also einen Handshake des Nutzers ändern und dem Server statt des gewöhnlichen Diffie-Hellman-Schlüsselaustauschs einen unsicheren Export-Schlüsselaustausch anbieten. Der Server wiederum antwortet mit einer unsicheren 512-Bit-Gruppe.

Die Krux dabei: Die meisten Clients akzeptieren auch im normalen Modus 512-Bit-Gruppen. Insofern kann der Angreifer die Serverantwort ändern und dem Client einen normalen Diffie-Hellman-Schlüsselaustausch mit 512 Bit vorgaukeln. Eine Analyse von Golem.de hat im vergangenen Jahr ergeben, dass einige Browser sogar komplett unsichere Gruppen von wenigen Bits akzeptieren.

Um diesen Angriff durchzuführen, ist es notwendig, dass der Angreifer den Schlüsselaustausch in Echtzeit angreifen kann. Das wäre selbst mit den besten Algorithmen und großen Spezialcomputern eine extreme Herausforderung. Um den Diffie-Hellman-Schlüsselaustausch anzugreifen, muss ein diskreter Logarithmus berechnet werden, das beste hierfür bekannte Verfahren ist das sogenannte Zahlkörpersieb.

Vorberechnungen ermöglichen Angriff in Minuten

Doch das Zahlkörpersieb erlaubt ein sehr gezieltes Tuning des Angriffs. Wenn die verwendete Gruppe vorher bekannt ist, kann ein Großteil der Berechnungen vorab durchgeführt werden. Die verwendete Gruppe ist kein Geheimnis und ein Server setzt üblicherweise für alle Verbindungen die gleichen Gruppen ein. Vielfach sind die Gruppen sogar bereits Teil der Software. Unter den Servern, die den Export-Modus unterstützen, nutzen 93 Prozent die gleiche Gruppe.

Mittels eines Clusters von mehreren Tausend PCs gelang es den Forschern, innerhalb von einer Woche Vorberechnungen für eine bestimmte Gruppe durchzuführen. Anschließend ließ sich der aktive Angriff auf einem System mit vier Intel-Xeon-E7-Prozessoren mit jeweils sechs Cores in durchschnittlich 90 Sekunden durchführen. Dabei variierte die Geschwindigkeit jedoch deutlich, zwischen 36 und 260 Sekunden. Mit Spezialhardware und weiteren Optimierungen ließe sich dieser Angriff, so spekulieren die Forscher, vermutlich auf unter eine Minute reduzieren.

Für einen aktiven Angriff ist das nach wie vor relativ viel. Doch einige Eigenschaften von Browsern erleichtern den Angriff unter Umständen. TLS unterstützt ein Feature namens Warning Alerts. Diese Pakete werden von Browsern zwar ignoriert, jedoch führen sie dazu, dass der Timeout-Counter zurückgesetzt wird. In Firefox lässt sich damit ein Handshake beliebig lange verzögern, in anderen Browsern wird die Verbindung nach einer Minute abgebrochen. Um einen Angriff auf eine HTTPS-Verbindung unbemerkt durchzuführen, könnte der Angreifer nicht die eigentliche Seite, sondern stattdessen eine externe Ressource, etwa einen Tracking- oder Werbe-Javascript-Code, angreifen. Sein Fehlen würde beim Seitenaufbau nicht direkt auffallen.

Um den Angriff zu vereiteln, schlagen die Autoren vor, dass Browser künftig den Schlüsselaustausch mit Gruppen kleiner als 1.024 Bit komplett verbieten. Chrome-Entwickler Adam Langley hat bereits angekündigt, dies spätestens in der Version 45 von Chrome umzusetzen. Ohne Probleme wird dies nicht verlaufen: Da nach wie vor einige Seiten ausschließlich sehr kurze Diffie-Hellman-Gruppen einsetzen, werden manche Seiten danach nicht mehr erreichbar sein. Die Webseite zum Logjam-Angriff enthält einen Test, der prüft, ob Browser 512-Bit-Gruppen akzeptieren.

Der Angriff erinnert in vielen Punkten an den Freak-Angriff, der im März veröffentlicht wurde. Auch bei Freak konnte ein Angreifer eine Verbindung in einen alten Export-Modus zwingen. Allerdings basierte Freak auf Softwarefehlern in OpenSSL und in Microsofts TLS-Implementierung. Logjam jedoch ist ein Fehler direkt im TLS-Protokoll.

Unsichere Primzahlen und falsche Parameter 

eye home zur Startseite
executor85 21. Mai 2015

Ja, meine die gleiche Gruppe. Da hast du wirklich recht. Müsste man mal ausrechnen...

JeGr 21. Mai 2015

Da hast du prinzipiell recht, aber: Gerade bei einem Web-Stack aus Webserver...

SelfEsteem 20. Mai 2015

Irgendwas interpretierst du da ein wenig arg falsch. Man kann der NSA jetzt nicht alles...

Tobias Grund 20. Mai 2015

Oder man schaltet diese total unsinnige HTTPS-Scanning einfach ab ^^



Anzeige

Stellenmarkt
  1. operational services GmbH & Co. KG, Frankfurt am Main
  2. Deutsche Telekom AG, München
  3. Rundfunk Berlin Brandenburg RBB, Berlin, Köln
  4. T-Systems International GmbH, München


Anzeige
Spiele-Angebote
  1. 399,00€ (Vorbesteller-Preisgarantie) - Release 02.08.
  2. 149,99€
  3. 69,99€/149,99€/79,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Mehr dazu im aktuellen Whitepaper von Freudenberg IT
  3. Tipps für IT-Engagement in Fernost


  1. Preisverfall

    Umsätze mit Smartphones in Deutschland sinken erstmals

  2. Autonomes Fahren

    Tesla fuhr bei tödlichem Unfall zu schnell

  3. DTEK50

    Blackberrys neues Android-Smartphone kostet 340 Euro

  4. Oculus Rift

    VR-Konkurrenz im Hobbykeller

  5. Motorola

    Moto Z bekommt keine monatlichen Security-Updates

  6. BiCS3

    Flash Forward fertigt 3D-NAND-Speicher mit 64 Zellschichten

  7. Radeon RX 480

    Dank DX12 und Vulkan reicht auch eine Mittelklasse-CPU

  8. Pangu

    Jailbreak für iOS 9.3.3 ist da

  9. Amazon Prime Air

    Lieferdrohnen könnten in Großbritannien bald starten

  10. Bildbearbeitung unmöglich

    Lightroom-App für Apple TV erschienen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Wolkenkratzer: Wer will schon 2.900 Stufen steigen?
Wolkenkratzer
Wer will schon 2.900 Stufen steigen?
  1. Hafen Die Schauerleute von heute sind riesig und automatisch
  2. Bahn Siemens verbessert Internet im Zug mit Funklochfenstern
  3. Fraunhofer-Institut Rekord mit Multi-Gigabit-Funk über 37 Kilometer

Festplatten mit Flash-Cache: Das Konzept der SSHD ist gescheitert
Festplatten mit Flash-Cache
Das Konzept der SSHD ist gescheitert
  1. Ironwolf, Skyhawk und Barracuda Drei neue 10-TByte-Modelle von Seagate
  2. 3PAR-Systeme HPE kündigt 7,68- und 15,36-TByte-SSDs an
  3. Dells XPS 13 mit Ubuntu im Test Endlich ein Top-Notebook mit Linux!

Nuki Smart Lock im Test: Ausgesperrt statt aufgesperrt
Nuki Smart Lock im Test
Ausgesperrt statt aufgesperrt

  1. Re: Nächste generation wirklich mit QLC?

    ms (Golem.de) | 11:31

  2. Fenster dünner machen?

    velo | 11:30

  3. Re: alte Prozessoren?

    Smincke | 11:30

  4. Re: Achtziger an Nintendo: Wir wollen unsere...

    Z101 | 11:29

  5. Re: Warum FX6300?

    ThaKilla | 11:29


  1. 11:41

  2. 11:41

  3. 11:07

  4. 10:32

  5. 09:59

  6. 09:30

  7. 09:00

  8. 07:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel