Abo
  • Services:
Anzeige
Eine Hintertür im Diffie-Hellman-Schlüsselaustausch ist theoretisch denkbar.
Eine Hintertür im Diffie-Hellman-Schlüsselaustausch ist theoretisch denkbar. (Bild: Mattes/Wikimedia Commons/CC-BY 2.0)

Schlüsselaustausch: Eine Backdoor für Diffie Hellman

Eine Hintertür im Diffie-Hellman-Schlüsselaustausch ist theoretisch denkbar.
Eine Hintertür im Diffie-Hellman-Schlüsselaustausch ist theoretisch denkbar. (Bild: Mattes/Wikimedia Commons/CC-BY 2.0)

Der Diffie-Hellman-Schlüsselaustausch ist sicher - wenn die Parameter korrekt gewählt sind. Doch was passiert, wenn es einem Angreifer gelingt, fehlerhafte Parameter einzuschleusen? David Wong ist es gelungen, damit eine sogenannte Nobus-Hintertür zu erzeugen.

Im Februar 2016 meldete der Entwickler des Tools Socat eine Sicherheitslücke: Die Parameter für den Diffie-Hellman-Schlüsselaustausch seien fehlerhaft. Der sogenannte Modulus, der bei Diffie Hellman eine Primzahl sein muss, war nicht prim.

Anzeige

Woher kamen die Socat-Parameter?

Die Hintergründe dieses Bugs in Socat blieben unklar. Eingeführt wurden die Parameter durch einen Patch einer Person, die anschließend nicht mehr erreichbar war. Der Maintainer von Socat akzeptierte den Patch offenbar, ohne dessen Herkunft zu prüfen.

David Wong von der Firma NCC fragte sich, ob ein derartig manipulierter Diffie-Hellman-Parameter Teil eines Angriffs sein könnte. Ähnliche Angriffe gab es bereits, am bekanntesten ist wohl der Zufallszahlengenerator Dual EC DRBG, der wahrscheinlich von der NSA mit einer Hintertür ausgestattet wurde. Auf der Def Con präsentierte Wong seine Ergebnisse beim Crypto and Privacy Village.

Wong wollte erreichen, dass seine Diffie-Hellman-Parameter eine sogenannte Nobody-but-us-Backdoor (Nobus) erzeugen. Das bedeutet, dass die Verschlüsselung nicht von jedem gebrochen werden kann. Nur derjenige, der die Parameter erstellt hat, soll mittels eines Geheimnisses in der Lage sein, die Verschlüsselung anzugreifen.

Es gibt fehlerhafte Implementierungen von Diffie Hellman, die generell angreifbar sind. So gab es beispielsweise im Januar ein OpenSSL-Update, das eine mögliche Lücke schloss, wenn Ephemeral-Keys wiederverwendet werden und gleichzeitig keine sogenannten sicheren Primzahlen zum Einsatz kommen. Doch dabei handelte es sich nicht um eine Nobus-Lücke. Jeder, der diesen Angriff kennt, kann ihn durchführen.

Angriff mit kleinen Untergruppen

Eine Angriffsmöglichkeit auf Diffie Hellman sind sogenannte kleine Untergruppen (small subgroups). Um herauszufinden, ob solche Untergruppen existieren und damit ein Diffie-Hellman-Schlüsselaustausch angreifbar ist, benötigt ein Angreifer die Zahl der möglichen Schlüssel in einer Gruppe. Bei Primzahlen als Modulus ist dieser Wert trivial berechenbar. Handelt es sich bei dem Modulus jedoch um eine zusammengesetzte Zahl, muss der Angreifer die Faktorisierung des Modulus kennen, um den Wert zu berechnen.

Dort setzte Wong an: Kommt als Modulus eine Zahl zum Einsatz, die das Produkt von zwei großen Primzahlen ist, kann nur derjenige, der diese Primzahlen kennt, den Angriff durchführen. Die Backdoor hat damit Ähnlichkeit mit dem RSA-Algorithmus, denn sie basiert auf dem Problem, große Zahlen zu faktorisieren.

Ob es sich bei dem Socat-Fehler um eine solche Hintertür handelt, ist unklar. Es könnte schlicht ein Parameter sein, der mit einer fehlerhaften Software erzeugt wurde. Der fehlerhafte Parameter hat einige kleine Primfaktoren, eine vollständige Faktorisierung ist jedoch nicht trivial möglich.

Wichtig zu verstehen ist, dass es sich hierbei um keine Schwäche im Diffie-Hellman-Protokoll selbst handelt. Lediglich in Kombination mit Parametern, die durch einen Angreifer gewählt wurden, ist der Algorithmus angreifbar.

Primzahlen prüfen könnte helfen

Um diesen speziellen Angriff zu verhindern, kann man prüfen, ob es sich bei den Diffie-Hellman-Gruppenparametern um eine Primzahl handelt. Ob das praktikabel ist, hängt von der Situation ab. TLS-Implementierungen prüfen dies üblicherweise nicht, da ein Primzahltest rechenaufwendig ist und einige Zehntelsekunden dauern kann. Die voreingestellten Parameter von bekannten Softwareprodukten zu prüfen, ist jedoch kein Problem.

Wong hat ein Hintergrunddokument zu seinem Angriff im Cryptology ePrint Archive veröffentlicht. Beispielcode, um eine solche Hintertür zu erzeugen, findet man auf Github.


eye home zur Startseite
crypt0 08. Aug 2016

Für einen voreingestellten DH Modulus werden NUR starke/sichere Primzahlen verwendet (für...

Kommentieren



Anzeige

Stellenmarkt
  1. S&L Netzwerktechnik GmbH, Mülheim-Kärlich
  2. TUI InfoTec GmbH, Hannover
  3. NPG Digital, Ulm
  4. Landeshauptstadt München, München


Anzeige
Spiele-Angebote
  1. 399,00€ (Lieferung am 10. November)
  2. 54,85€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Sicherheitskonzeption für das App-getriebene Geschäft


  1. Microsoft

    Besucher können die Hololens im Kennedy Space Center nutzen

  2. MacOS 10.12

    Fujitsu warnt vor der Nutzung von Scansnap unter Sierra

  3. IOS 10.0.2

    Apple beseitigt Ausfälle der Lightning-Audio-Kontrollen

  4. Galaxy Note 7

    Samsung tauscht das Smartphone vor der Haustür aus

  5. Falcon-9-Explosion

    SpaceX grenzt Explosionsursache ein

  6. Die Woche im Video

    Schneewittchen und das iPhone 7

  7. 950 Euro

    Abmahnwelle zu Pornofilm-Filesharing von Betrügern

  8. Jailbreak

    19-Jähriger will iPhone-7-Exploit für sich behalten

  9. Alle drei Netze

    Ericsson und Icomera bauen besseres Bahn-WLAN

  10. Oculus Rift

    Palmer Luckey im Netz als Trump-Unterstützer geoutet



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Interview mit Insider: Facebook hackt Staat und Gemeinschaft
Interview mit Insider
Facebook hackt Staat und Gemeinschaft
  1. Nach Whatsapp-Datentausch Facebook und Oculus werden enger zusammengeführt
  2. Facebook 64 Die iOS-App wird über 150 MByte groß
  3. Datenschutz bei Facebook EuGH soll Recht auf Sammelklage prüfen

AGL-Meeting in München: Einheitliches Linux im Auto hilft den Herstellern
AGL-Meeting in München
Einheitliches Linux im Auto hilft den Herstellern
  1. Nouveau Nvidias Verhalten gefährdet freien Linux-Treiber
  2. 25 Jahre Linux Besichtigungstour zu den skurrilsten Linux-Distributionen
  3. Hans de Goede Red-Hat-Entwickler soll Hybridgrafik unter Linux verbessern

iOS 10 im Test: Klügere Apps, Herzchen und ein sinnvoller Sperrbildschirm
iOS 10 im Test
Klügere Apps, Herzchen und ein sinnvoller Sperrbildschirm
  1. Betaversion iOS 10.1 Beta enthält Porträt-Modus für iPhone 7 Plus
  2. Apple Nutzer berichten über verschiedene Probleme mit dem iPhone 7
  3. Apple Startprobleme beim Update auf iOS 10

  1. Re: 40 Millionen Kunden ohne LTE1800?

    ICH_DU | 22:38

  2. Re: O2 läuft prima

    ICH_DU | 22:37

  3. Re: Mein Sennheiser mit Audio Jack/Klinke

    unbuntu | 22:32

  4. Re: dafür sind Unis auch nicht da

    bstea | 22:29

  5. Re: Ach der qwerty

    ElMario | 22:27


  1. 12:51

  2. 11:50

  3. 11:30

  4. 11:13

  5. 11:03

  6. 09:00

  7. 18:52

  8. 17:54


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel