Abo
  • Services:
Anzeige
Firewalls der Firma Hillstone verraten in bestimmten Fällen den privaten Schlüssel - schuld ist ein Chip der Firma Cavium.
Firewalls der Firma Hillstone verraten in bestimmten Fällen den privaten Schlüssel - schuld ist ein Chip der Firma Cavium. (Bild: Hillstone)

RSA-CRT: RSA-Angriff aus dem Jahr 1996 wiederentdeckt

Firewalls der Firma Hillstone verraten in bestimmten Fällen den privaten Schlüssel - schuld ist ein Chip der Firma Cavium.
Firewalls der Firma Hillstone verraten in bestimmten Fällen den privaten Schlüssel - schuld ist ein Chip der Firma Cavium. (Bild: Hillstone)

Eine Optimierung von RSA-Signaturen kann bei fehlerhaften Berechnungen den privaten Schlüssel verraten. Bekannt ist dieser Angriff schon seit 1996, ein Red-Hat-Entwickler hat jetzt herausgefunden, dass es immer noch verwundbare Hard- und Software gibt.

Anzeige

Im Jahr 1996 hat der Kryptograph Arjen Lenstra einen Angriff auf RSA-Signaturen beschrieben, der bei fehlerhaften Implementierungen den privaten Schlüssel verraten kann. Der Red-Hat-Entwickler Florian Weimer hat sich aktuelle RSA-Implementierungen angesehen und im Netz nach Systemen gesucht, die dieses Problem aufweisen. Dabei hat er zahlreiche Geräte gefunden, die nach wie vor für diese Lücke anfällig sind.

Optimierung mit Chinesischem Restsatz

Die Rechenoperationen beim RSA-Algorithmus werden mit Hilfe eines Modulus durchgeführt, der das Produkt zweier Primzahlen ist. Mittels einer Technik, die auf dem sogenannten Chinesischen Restsatz (Chinese Remainder Theorem, CRT) basiert, ist es für den Inhaber des privaten Schlüssels möglich, diese Berechnungen jeweils mit jeder Primzahl einzeln durchzuführen. Eine derartige Berechnung ist schneller, daher verwenden fast alle RSA-Implementierungen dieses Verfahren.

Wie Lenstra 1996 herausfand, kann diese CRT-Optimierung ein großes Sicherheitsrisiko darstellen. Wenn bei einer der beiden Berechnungen ein Fehler auftritt, kann ein Angreifer anschließend den privaten Schlüssel berechnen. Bei einer immer korrekt arbeitenden Implementierung ist das natürlich erstmal kein Problem, da dort keine Rechenfehler auftreten sollten. Aber Bugs in der Software oder Hardwaredefekte können zu derartigen Fehlern führen.

Ein zusätzlicher Check ist ratsam

Um diese Probleme zu vermeiden, ist es empfehlenswert, bei RSA-Signaturen einen zusätzlichen Check einzubauen. Nach dem Erstellen der Signatur sollte diese schlicht nochmal von der Implementierung selbst geprüft werden. Nur wenn die Signatur korrekt ist, darf sie auch preisgegeben werden.

Weimer versuchte, herauszufinden, ob bei heutigen TLS-Implementierungen entsprechende Lücken ganz praktisch ausnutzbar sind. Damit der Angriff funktioniert, muss die RSA-Signatur mit deterministischen Eingaben arbeiten. Das ist nur beim alten RSA-Signaturverfahren nach dem Standard PKCS #1 1.5 der Fall. Eine nichtdeterministische Variante von RSA, die als deutlich sicherer gilt, ist RSA-PSS. Diese ist in PKCS #1 2.1 standardisiert. Allerdings: TLS unterstützt bis heute RSA-PSS nicht, es wird ausschließlich der ältere, deterministische Standard genutzt.

Damit der Angriff auf TLS-Server funktioniert, müssen mehrere Dinge zusammenkommen. Lange Zeit wurde bei TLS und dessen Vorgänger SSL das RSA-Verfahren ausschließlich als Verschlüsselungsalgorithmus genutzt. Nur neue Verschlüsselungsmodi, die mittels eines Diffie-Hellman-Schlüsselaustauschs Forward Secrecy implementieren, nutzen RSA-Signaturen. Damit der Fehler ausnutzbar ist, muss zudem sporadisch ein Fehler bei der RSA-Berechnung auftauchen. Diese Fehler dürfen aber auch nicht zu häufig auftreten, denn nur eine von zwei Berechnungen darf fehlerhaft sein, damit die Schlüsselextraktion möglich ist. Und wie eben erwähnt, kann ein entsprechender Check der Signatur verhindern, dass ein Angreifer überhaupt Zugriff auf die fehlerhaften Berechnungsresultate erhält.

270 Keys gebrochen

Über einen Zeitraum von neun Monaten wurden zahlreiche Scans von bekannten Domainnamen durchgeführt. Dabei ließen sich 270 verschiedene RSA-Keys extrahieren. Nur drei davon gehörten zum Zeitpunkt des Scans zu gültigen Zertifikaten, die von einer von Browsern anerkannten Zertifizierungsstelle signiert waren. Zwei der gültigen Zertifikate gehörten zu einem Netscaler-Gerät von der Firma Citrix. Die für das Gerät verantwortlichen Administratoren konnten kontaktiert werden. Es handelte sich um ein sehr altes Gerät, dessen Austausch sowieso schon vorgesehen war.

Die meisten der extrahierten Keys stammten von Geräten der chinesischen Firma Hillstone. Ein Firmwareupdate für die entsprechenden Geräte steht inzwischen bereit. Weitere betroffene Geräte stammten von den Firmen Viprinet, QNO, Alteon/Nortel, ZyXEL und Fortinet, außerdem betroffen war eine kommerzielle Java-Verschlüsselungsimplementierung namens BEJY.

Spezialprozessor und eigene OpenSSL-Variante 

eye home zur Startseite
Moe479 04. Sep 2015

das problem ist auch, dass die kunden nicht auf der nachprüfbaren einhaltung von...



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, Berlin, Bonn
  2. T-Systems International GmbH, verschiedene Standorte
  3. Deutsche Telekom AG, Frankfurt am Main, Bonn
  4. T-Systems International GmbH, Leinfelden-Echterdingen


Anzeige
Hardware-Angebote
  1. 680,54€
  2. 89,90€ + 3,99€ Versand

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Digitale Assistenten

    LG hat für das G6 mit Google und Amazon verhandelt

  2. Instant Tethering

    Googles automatischer WLAN-Hotspot

  3. 5G-Mobilfunk

    Netzbetreiber erhalten Hilfe bei Suche nach Funkmastplätzen

  4. Tinker-Board

    Asus bringt Raspberry-Pi-Klon

  5. Privatsphäre

    Verschlüsselter E-Mail-Dienst Lavabit kommt wieder

  6. Potus

    Donald Trump übernimmt präsidiales Twitter-Konto

  7. Funkchips

    Apple klagt gegen Qualcomm

  8. Die Woche im Video

    B/ow the Wh:st/e!

  9. Verbraucherzentrale

    O2-Datenautomatik dürfte vor Bundesgerichtshof gehen

  10. TLS-Zertifikate

    Symantec verpeilt es schon wieder



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nintendo Switch im Hands on: Die Rückkehr der Fuchtel-Ritter
Nintendo Switch im Hands on
Die Rückkehr der Fuchtel-Ritter
  1. Nintendo Vorerst keine Videostreaming-Apps auf Switch
  2. Arms angespielt Besser boxen ohne echte Arme
  3. Nintendo Switch Eltern bekommen totale Kontrolle per App

Autonomes Fahren: Laserscanner für den Massenmarkt kommen
Autonomes Fahren
Laserscanner für den Massenmarkt kommen
  1. BMW Autonome Autos sollen mehr miteinander quatschen
  2. Nissan Leaf Autonome Elektroautos rollen ab Februar auf Londons Straßen
  3. Autonomes Fahren Neodriven fährt autonom wie Geohot

Halo Wars 2 angespielt: Mit dem Warthog an die Strategiespielfront
Halo Wars 2 angespielt
Mit dem Warthog an die Strategiespielfront

  1. Re: Why not both?

    Komischer_Phreak | 19:14

  2. Re: WLAN Sharing währe mal was neues ...

    Sylthos | 19:10

  3. Re: Aprilscherz im Januar?

    torrbox | 19:03

  4. Re: Blöde Verständnisfrage

    kazhar | 18:55

  5. Re: Es wird immer was vergessen

    Topf | 18:54


  1. 11:29

  2. 10:37

  3. 10:04

  4. 16:49

  5. 14:09

  6. 12:44

  7. 11:21

  8. 09:02


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel