Abo
  • Services:
Anzeige
Ein harscher Vorwurf: Die Krypto-Community sei zu faul, ihre alten und schlechten Algorithmen zu entsorgen.
Ein harscher Vorwurf: Die Krypto-Community sei zu faul, ihre alten und schlechten Algorithmen zu entsorgen. (Bild: Leo Johannes, Christian Mehlführer, Wikimedia Commons/CC-BY 2.5)

MD5/SHA1: Sloth-Angriffe nutzen alte Hash-Algorithmen aus

Ein harscher Vorwurf: Die Krypto-Community sei zu faul, ihre alten und schlechten Algorithmen zu entsorgen.
Ein harscher Vorwurf: Die Krypto-Community sei zu faul, ihre alten und schlechten Algorithmen zu entsorgen. (Bild: Leo Johannes, Christian Mehlführer, Wikimedia Commons/CC-BY 2.5)

Neue Angriffe gegen TLS: Krypto-Forscher präsentieren mit Sloth mehrere Schwächen in TLS-Implementierungen und im Protokoll selbst. Am kritischsten ist ein Angriff auf Client-Authentifizierungen mit RSA und MD5.

Mehrere Schwächen im TLS-Protokoll, die durch die Nutzung alter Hashfunktionen verursacht werden, haben Karthikeyan Bhargavan und Gaetan Leurent vom Forschungsprojekt Prosecco veröffentlicht. Die Angriffe basieren auf der Nutzung der inzwischen als überholt geltenden Hash-Algorithmen MD5 und SHA1, sowie auf Hashes, die in Protokollen abgeschnitten verwendet werden. Der Angriff trägt den Namen Sloth, die Abkürzung steht für Security Losses from Obsolete and truncated Transcript Hashes. Übersetzt bedeutet Sloth Faulheit oder auch Faultier, ein Verweis darauf, dass die Kryptografie-Community zu langsam dabei sei, veraltete Algorithmen aus ihren Protokollen zu entfernen.

Anzeige

Man-in-the-Middle-Angriff auf Client-Authentifizierung

Der relevanteste Angriff betrifft die Authentifizierung mit Clientzertifikaten in TLS 1.2. Möglich ist dieser Angriff, wenn ein Nutzer sich mit einem Zertifikat beim Server des Angreifers anmeldet. Der Server kann sich dann, genügend Rechenpower vorausgesetzt, gegenüber einem anderen Server mit dem Clientzertifikat des Nutzers anmelden, falls der Client das RSA-Signaturverfahren mit MD5 unterstützt.

Interessant dabei ist, dass die älteren Protokollversionen TLS 1.0 und 1.1 von diesem Problem nicht betroffen sind. Diese alten Protokolle nutzten eine Kombination aus MD5 und SHA1 für die Clientsignaturen. In Version 1.2 wurde dies ersetzt durch einen Mechanismus, bei dem der Algorithmus zwischen Server und Client ausgehandelt wird. Dabei sind auch MD5 und SHA1 zulässig. Bemerkenswert ist, dass TLS 1.2 diese alten Algorithmen überhaupt unterstützt, denn diese Version wurde 2008 veröffentlicht, mehrere Jahre nachdem die Sicherheit von MD5 und SHA1 durch zahlreiche Angriffe untergraben worden war.

Neben diesem Problem mit dem Protokoll selbst ist eine weitere Tatsache bemerkenswert: Die Forscher fanden zahlreiche TLS-Implementierungen, die beim Handshake angaben, Signaturen mit MD5 nicht zu unterstützen, doch wenn ein Server diese trotzdem sendete, wurden sie akzeptiert. Das betraf unter anderem OpenSSL in älteren Versionen (vor 1.0.1f), NSS (vor 3.21) und GnuTLS (vor 3.3.15). Die Java-TLS-Implementierung JSSE unterstützte RSA-MD5 direkt und gab das auch so an. Einen Proof-of-Concept-Angriff haben die Forscher gegen eine Kombination aus einem Java-Client und einem Java-Server durchgeführt. Dafür kam eine optimierte Version des Tools Hashclash zum Einsatz.

Angriff gegen Channel-Binding und serverseitige MD5-Signaturen

Ein weiterer Angriff betrifft sogenannte Channel-Binding-Verfahren. Channel Binding wird genutzt, um bei Authentifizierungsverfahren zu verhindern, dass ein Server die Authentifizierung eines Nutzers verwenden kann, um sich selbst bei einem anderen Server anzumelden. Es kommt in den Protokollen Fido, Token Binding und Scram zum Einsatz. Scram wird unter anderem im XMPP/Jabber-Protokoll genutzt. Diese Protokolle verwenden einen Wert aus dem TLS-Handshake, der als tls-unique bezeichnet wird. Dieser Wert wird mit Hilfe eines HMAC-Verfahrens mit dem SHA256-Hash-Algorithmus generiert, allerdings wird dieser Hash auf 96 Bit gekürzt. Dadurch wird der Angriff möglich.

Aufgrund des Protokolldesigns der bisherigen TLS-Versionen ist ein Angriff auf die Serversignaturen im Handshake nicht so einfach möglich. Allerdings fanden die Forscher auch hier eine Möglichkeit, die zumindest die Robustheit des Protokolls in Zweifel zieht. Dafür müssen sie jedoch zunächst eine sehr große Zahl an Signaturen des Servers aufzeichnen. Um einen Angriff mit der Komplexität von 2^64 durchzuführen, müssten dafür 2^64 Signaturen des Servers aufgezeichnet werden. Werden weniger Signaturen aufgezeichnet, so wird der Angriff entsprechend schwerer. In der Praxis durchführen lässt sich dieser Angriff wohl nicht.

SHA1-Kollisionen beherbergen weitere Angriffe 

eye home zur Startseite
bjs 07. Jan 2016

es geht um die entdeckungen der sicherheitslücken und nicht um entdeckte sicherheitslücken.



Anzeige

Stellenmarkt
  1. Continental AG, Hannover
  2. Robert Bosch GmbH, Plochingen
  3. Infokom GmbH, Karlsruhe und Bad Nauheim
  4. imbus AG, Norderstedt, Köln, Hofheim am Taunus, München, Möhrendorf


Anzeige
Spiele-Angebote
  1. 49,99€ (Vorbesteller-Preisgarantie)
  2. 69,99€/149,99€/79,99€ (Vorbesteller-Preisgarantie)
  3. 209,99€/219,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von IBM
  2. Mehr dazu im aktuellen Whitepaper von Freudenberg IT
  3. Tipps für IT-Engagement in Fernost


  1. Kartendienst

    Daimler-Entwickler Herrtwich übernimmt Auto-Bereich von Here

  2. Killerspiel-Debatte

    ProSieben Maxx stoppt Übertragungen von Counter-Strike

  3. Mehr Breitband für mich (MBfm)

    Telekom-FTTH kostet über 250.000 Euro

  4. Zuckerbergs Plan geht auf

    Facebook strotzt vor Kraft und Geld

  5. Headlander im Kurztest

    Galaktisches Abenteuer mit Köpfchen

  6. Industrie- und Handelskammern

    1&1 Versatel bekommt Großauftrag für Glasfaser

  7. Chakracore

    Javascript-Engine von Edge-Browser läuft auf OS X und Linux

  8. Kinderroboter Myon

    Einauge lernt, Einauge hat Körper

  9. Passwort Manager

    Lastpass behebt kritische Lücke

  10. Fest angestellt

    Wie viele Informatiker es in Deutschland gibt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Elementary OS Loki im Test: Hübsch und einfach kann auch kompliziert sein
Elementary OS Loki im Test
Hübsch und einfach kann auch kompliziert sein
  1. Linux-Distribution Ubuntu diskutiert Ende der 32-Bit-Unterstützung
  2. Dells XPS 13 mit Ubuntu im Test Endlich ein Top-Notebook mit Linux!
  3. Aquaris M10 Ubuntu Edition im Test Ubuntu versaut noch jedes Tablet

Wolkenkratzer: Wer will schon 2.900 Stufen steigen?
Wolkenkratzer
Wer will schon 2.900 Stufen steigen?
  1. Hafen Die Schauerleute von heute sind riesig und automatisch
  2. Bahn Siemens verbessert Internet im Zug mit Funklochfenstern
  3. Fraunhofer-Institut Rekord mit Multi-Gigabit-Funk über 37 Kilometer

Festplatten mit Flash-Cache: Das Konzept der SSHD ist gescheitert
Festplatten mit Flash-Cache
Das Konzept der SSHD ist gescheitert
  1. Ironwolf, Skyhawk und Barracuda Drei neue 10-TByte-Modelle von Seagate
  2. 3PAR-Systeme HPE kündigt 7,68- und 15,36-TByte-SSDs an
  3. NVM Express und U.2 Supermicro gibt SATA- und SAS-SSDs bald auf

  1. Re: Der Attentäter aß leidenschaftlich Brot

    Elgareth | 16:29

  2. Re: Komisch

    dl01 | 16:28

  3. Ich bin beeindruckt

    Ovaron | 16:27

  4. Re: Die heftigste Story auf der jacobappelbaum...

    Eheran | 16:26

  5. Re: Typische LKW-Optik

    pierrot | 16:25


  1. 15:58

  2. 15:42

  3. 15:31

  4. 14:42

  5. 14:00

  6. 12:37

  7. 12:29

  8. 12:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel