Abo
  • Services:
Anzeige
Firewalls der Firma Hillstone verraten in bestimmten Fällen den privaten Schlüssel - schuld ist ein Chip der Firma Cavium.
Firewalls der Firma Hillstone verraten in bestimmten Fällen den privaten Schlüssel - schuld ist ein Chip der Firma Cavium. (Bild: Hillstone)

RSA-CRT: RSA-Angriff aus dem Jahr 1996 wiederentdeckt

Firewalls der Firma Hillstone verraten in bestimmten Fällen den privaten Schlüssel - schuld ist ein Chip der Firma Cavium.
Firewalls der Firma Hillstone verraten in bestimmten Fällen den privaten Schlüssel - schuld ist ein Chip der Firma Cavium. (Bild: Hillstone)

Eine Optimierung von RSA-Signaturen kann bei fehlerhaften Berechnungen den privaten Schlüssel verraten. Bekannt ist dieser Angriff schon seit 1996, ein Red-Hat-Entwickler hat jetzt herausgefunden, dass es immer noch verwundbare Hard- und Software gibt.

Anzeige

Im Jahr 1996 hat der Kryptograph Arjen Lenstra einen Angriff auf RSA-Signaturen beschrieben, der bei fehlerhaften Implementierungen den privaten Schlüssel verraten kann. Der Red-Hat-Entwickler Florian Weimer hat sich aktuelle RSA-Implementierungen angesehen und im Netz nach Systemen gesucht, die dieses Problem aufweisen. Dabei hat er zahlreiche Geräte gefunden, die nach wie vor für diese Lücke anfällig sind.

Optimierung mit Chinesischem Restsatz

Die Rechenoperationen beim RSA-Algorithmus werden mit Hilfe eines Modulus durchgeführt, der das Produkt zweier Primzahlen ist. Mittels einer Technik, die auf dem sogenannten Chinesischen Restsatz (Chinese Remainder Theorem, CRT) basiert, ist es für den Inhaber des privaten Schlüssels möglich, diese Berechnungen jeweils mit jeder Primzahl einzeln durchzuführen. Eine derartige Berechnung ist schneller, daher verwenden fast alle RSA-Implementierungen dieses Verfahren.

Wie Lenstra 1996 herausfand, kann diese CRT-Optimierung ein großes Sicherheitsrisiko darstellen. Wenn bei einer der beiden Berechnungen ein Fehler auftritt, kann ein Angreifer anschließend den privaten Schlüssel berechnen. Bei einer immer korrekt arbeitenden Implementierung ist das natürlich erstmal kein Problem, da dort keine Rechenfehler auftreten sollten. Aber Bugs in der Software oder Hardwaredefekte können zu derartigen Fehlern führen.

Ein zusätzlicher Check ist ratsam

Um diese Probleme zu vermeiden, ist es empfehlenswert, bei RSA-Signaturen einen zusätzlichen Check einzubauen. Nach dem Erstellen der Signatur sollte diese schlicht nochmal von der Implementierung selbst geprüft werden. Nur wenn die Signatur korrekt ist, darf sie auch preisgegeben werden.

Weimer versuchte, herauszufinden, ob bei heutigen TLS-Implementierungen entsprechende Lücken ganz praktisch ausnutzbar sind. Damit der Angriff funktioniert, muss die RSA-Signatur mit deterministischen Eingaben arbeiten. Das ist nur beim alten RSA-Signaturverfahren nach dem Standard PKCS #1 1.5 der Fall. Eine nichtdeterministische Variante von RSA, die als deutlich sicherer gilt, ist RSA-PSS. Diese ist in PKCS #1 2.1 standardisiert. Allerdings: TLS unterstützt bis heute RSA-PSS nicht, es wird ausschließlich der ältere, deterministische Standard genutzt.

Damit der Angriff auf TLS-Server funktioniert, müssen mehrere Dinge zusammenkommen. Lange Zeit wurde bei TLS und dessen Vorgänger SSL das RSA-Verfahren ausschließlich als Verschlüsselungsalgorithmus genutzt. Nur neue Verschlüsselungsmodi, die mittels eines Diffie-Hellman-Schlüsselaustauschs Forward Secrecy implementieren, nutzen RSA-Signaturen. Damit der Fehler ausnutzbar ist, muss zudem sporadisch ein Fehler bei der RSA-Berechnung auftauchen. Diese Fehler dürfen aber auch nicht zu häufig auftreten, denn nur eine von zwei Berechnungen darf fehlerhaft sein, damit die Schlüsselextraktion möglich ist. Und wie eben erwähnt, kann ein entsprechender Check der Signatur verhindern, dass ein Angreifer überhaupt Zugriff auf die fehlerhaften Berechnungsresultate erhält.

270 Keys gebrochen

Über einen Zeitraum von neun Monaten wurden zahlreiche Scans von bekannten Domainnamen durchgeführt. Dabei ließen sich 270 verschiedene RSA-Keys extrahieren. Nur drei davon gehörten zum Zeitpunkt des Scans zu gültigen Zertifikaten, die von einer von Browsern anerkannten Zertifizierungsstelle signiert waren. Zwei der gültigen Zertifikate gehörten zu einem Netscaler-Gerät von der Firma Citrix. Die für das Gerät verantwortlichen Administratoren konnten kontaktiert werden. Es handelte sich um ein sehr altes Gerät, dessen Austausch sowieso schon vorgesehen war.

Die meisten der extrahierten Keys stammten von Geräten der chinesischen Firma Hillstone. Ein Firmwareupdate für die entsprechenden Geräte steht inzwischen bereit. Weitere betroffene Geräte stammten von den Firmen Viprinet, QNO, Alteon/Nortel, ZyXEL und Fortinet, außerdem betroffen war eine kommerzielle Java-Verschlüsselungsimplementierung namens BEJY.

Spezialprozessor und eigene OpenSSL-Variante 

eye home zur Startseite
Moe479 04. Sep 2015

das problem ist auch, dass die kunden nicht auf der nachprüfbaren einhaltung von...



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, Leinfelden-Echterdingen, Bonn, Bremen, Hamburg, München
  2. LEDVANCE GmbH, München
  3. Landesbetrieb IT.Niedersachsen, Hannover
  4. Robert Bosch GmbH, Stuttgart-Feuerbach


Anzeige
Blu-ray-Angebote
  1. 149,99€ (Vorbesteller-Preisgarantie)
  2. 5,49€
  3. 9,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Mehr dazu im aktuellen Whitepaper von Freudenberg IT
  3. Sicherheitskonzeption für das App-getriebene Geschäft


  1. Quadro P6000/P5000

    Nvidia kündigt Profi-Karten mit GP02-Vollausbau an

  2. Jahresgehalt

    Erfahrene Softwareentwickler verdienen 55.500 Euro

  3. Sync 3

    Ford bringt Carplay und Android Auto in alle 2017er-Modelle

  4. Netzwerk

    Mehrere regionale Mobilfunkausfälle bei Vodafone

  5. Hello Games

    No Man's Sky braucht kein Plus und keine Superformel

  6. Master Key

    Hacker gelangen per Reverse Engineering an Gepäckschlüssel

  7. 3D-Druck

    Polizei will Smartphone mit nachgemachtem Finger entsperren

  8. Modesetting

    Debian und Ubuntu verzichten auf Intels X11-Treiber

  9. Elementary OS Loki im Test

    Hübsch und einfach kann auch kompliziert sein

  10. Mobilfunkausrüster

    Ericsson feuert seinen Konzernchef



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Edward Snowden: Spezialhülle fürs iPhone warnt vor ungewollter Funkaktivität
Edward Snowden
Spezialhülle fürs iPhone warnt vor ungewollter Funkaktivität
  1. Qualcomm-Chips Android-Geräteverschlüsselung ist angreifbar
  2. Apple Nächstes iPhone soll keine Klinkenbuchse haben
  3. Smarte Hülle Android unter dem iPhone

Geforce GTX 1060 im Test: Knapper Konter
Geforce GTX 1060 im Test
Knapper Konter
  1. Grafikkarte Nvidia bringt neue Titan X mit GP102-Chip für 1200 US-Dollar
  2. Notebooks Nvidia bringt Pascal-Grafikchips für Mobile im August
  3. Geforce GTX 1060 Schneller und sparsamer als die RX 480 - aber teurer

Schrott im Netz: Wie Social Bots das Internet gefährden
Schrott im Netz
Wie Social Bots das Internet gefährden
  1. Netzwerk Wie Ausrüster Google Fiber und Facebooks Netzwerk sehen
  2. Secret Communications Facebook-Messenger bald mit Ende-zu-Ende-Verschlüsselung
  3. Social Media Ein Netzwerk wie ein Glücksspielautomat

  1. Re: Nur 12 Tflops?

    zomtech | 04:13

  2. Re: Schon wieder das Märchen von den IT-Gehältern

    phex | 03:34

  3. LBRY's Blockchain-Based Netflix-Killer Is Now in Beta

    tobsn | 03:23

  4. Moorhuhn, Pornos, Masturbation, Vergewaltiger

    Braineh | 03:07

  5. Re: Wenn man es drauf hat -> Go Freelance

    Trockenobst | 03:05


  1. 22:45

  2. 18:35

  3. 17:31

  4. 17:19

  5. 15:58

  6. 15:15

  7. 14:56

  8. 12:32


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel