Abo
  • Services:
Anzeige
Dan J. Bernstein
Dan J. Bernstein (Bild: Alexander Klink / Wikipedia (CC BY 3.0))

SSL/TLS: Schwächen in RC4 ausnutzbar

Dan J. Bernstein
Dan J. Bernstein (Bild: Alexander Klink / Wikipedia (CC BY 3.0))

Ein Team um den Kryptografen Dan Bernstein präsentiert neue Sicherheitsprobleme in der von TLS genutzten RC4-Stromverschlüsselung. Praktisch umsetzbar ist der Angriff nur in seltenen Fällen, die Autoren rechnen aber damit, dass er künftig noch verbessert wird.

Seit gestern macht eine Präsentation des Kryptografen Dan J. Bernstein Furore. Was Bernstein berichtet, hat Sprengkraft: Auf der aktuell stattfindenden Konferenz Fast Software Encryption in Singapur stellt der Professor der University of Illinois einen Angriff gegen die RC4-Verschlüsselung in TLS vor.

Anzeige

TLS (oft noch unter dem alten Namen SSL bekannt) ist das mit Abstand am häufigsten genutzte Verschlüsselungsprotokoll im Internet. Jedes Mal, wenn eine Webseite über https aufgerufen wird, kommt TLS zum Einsatz. Zuletzt geriet das Protokoll stark unter Beschuss.

RC4: Schnell, aber nicht besonders sicher

Dass RC4 kein besonders sicheres Verschlüsselungsverfahren ist, ist schon länger bekannt. Es handelt sich dabei um eine sogenannte Stromverschlüsselung, die ursprünglich vom Kryptografen Ron Rivest entwickelt wurde. Rivest hatte eigentlich keine Veröffentlichung von RC4 geplant, aber 1994 wurde der Quellcode der RC4-Verschlüsselung auf einer Mailingliste anonym veröffentlicht. RC4 erfreute sich schnell großer Beliebtheit, denn es ist relativ simpel zu implementieren und arbeitet sehr schnell.

Bei einer Stromverschlüsselung wird durch einen Pseudozufallszahlengenerator ein Schlüsselstrom erzeugt, der mit dem zu verschlüsselnden Text per XOR verknüpft wird. Das Problem von RC4: Der Zufallsstrom ist nicht immer zufällig. Schnell fanden Kryptografen heraus, dass an bestimmten Stellen im Schlüsselstrom bestimmte Bits mit einer höheren Wahrscheinlichkeit auftauchen.

Genau diese Schwäche nutzt nun der neue Angriff aus. Notwendig für den Angriff ist eine große Zahl von Datenblöcken, die mit denselben Daten anfangen. Das ist beispielsweise bei HTTPS-Verbindungen oft der Fall. Die Autoren sprechen von 2 hoch 30 Datenverbindungen, was mehrere GByte an Daten bedeuten würde. Aber bereits bei 2 hoch 24 Verbindungen könne man Rückschlüsse auf bestimmte Bytes im Datenstrom ziehen. Für einen Angriff auf Webapplikationen ist das unter Umständen bereits genug. Details des Angriffs wollen die Autoren in Kürze in einem Paper veröffentlichen.

Wie praktikabel ein solcher Angriff in realen Szenarien ist, wird sich also erst noch zeigen, aber die Autoren warnen schon jetzt, dass sie auf jeden Fall damit rechnen, dass weitere Forschung die Angriffe noch deutlich verbessern wird.

Auch CBC hat Schwächen

TLS unterstützte eine ganze Reihe unterschiedlicher Verschlüsselungsalgorithmen. RC4 ist das einzige unterstütze Stromverschlüsselungsverfahren, alle anderen Verfahren wie AES, Triple-DES oder Camellia sind sogenannte Blockverschlüsselungen. In der bis heute meistens eingesetzten TLS-Version 1.0 und auch beim Nachfolger TLS 1.1 nutzen alle Blockchiffreverfahren den sogenannte Cipher Block Chaining-Modus (CBC). Die Angriffe BEAST und Lucky Thirteen nutzten Schwächen in CBC beziehungsweise in der Art, wie CBC innerhalb von TLS genutzt wird, aus.

Besonders problematisch ist die Tatsache, dass in TLS CBC in Kombination mit der sogenannten HMAC-Authentifizierung und die Authentifizierung nach der Verschlüsselung eingesetzt wird. Bei früheren TLS-Implementierungen konnte ein Angreifer aufgrund der Fehlermeldung herausfinden, ob die Dekodierung eines Blocks bei der Überprüfung der HMAC-Authentifizerung oder der Datenentschlüsselung scheiterte. Mit Hilfe gezielt eingestreuter fehlerhafter Datenblöcke konnte so ein Angreifer Rückschlüsse auf den Schlüssel ziehen. Später wurde diese Fehlermeldung vereinheitlicht, doch aufgrund der Antwortzeit des Servers war es immer noch möglich, Rückschlüsse zu ziehen. Das war die Grundlage der Lucky-Thirteen-Attacke.

RC4 und CBC mit Problemen, der Ausweg heißt TLS 1.2 

eye home zur Startseite
SvenMeyer 10. Aug 2013

https://bugzilla.mozilla.org/show_bug.cgi?id=480514 ...auch sich kurz bei bugzilla zu...

bargdenes 14. Mär 2013

Solange sie im Vollbit Modus genutz wird, ist sie unknackbar...



Anzeige

Stellenmarkt
  1. Deutsche Telekom AG, Darmstadt
  2. Landratsamt Calw, Calw
  3. Villeroy & Boch AG, Mettlach bei Saarbrücken / Merzig
  4. MEDIAN Kliniken GmbH, Berlin


Anzeige
Blu-ray-Angebote
  1. 149,99€ (Vorbesteller-Preisgarantie)
  2. 5,49€
  3. 79,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Tipps für IT-Engagement in Fernost
  2. Mehr dazu im aktuellen Whitepaper von IBM
  3. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Künstliche Intelligenz

    Softbank und Honda wollen sprechendes Auto bauen

  2. Alternatives Android

    Cyanogen soll zahlreiche Mitarbeiter entlassen

  3. Update

    Onedrive erstellt automatisierte Alben und erkennt Pokémon

  4. Die Woche im Video

    Ausgesperrt, ausprobiert, ausgetüftelt

  5. 100 MBit/s

    Zusagen der Bundesnetzagentur drücken Preis für Vectoring

  6. Insolvenz

    Unister Holding mit 39 Millionen Euro verschuldet

  7. Radeons RX 480

    Die Designs von AMDs Partnern takten höher - und konstanter

  8. Koelnmesse

    Tagestickets für Gamescom ausverkauft

  9. Kluge Uhren

    Weltweiter Smartwatch-Markt bricht um ein Drittel ein

  10. Linux

    Nvidia ist bereit für einheitliche Wayland-Unterstützung



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Axon 7 vs Oneplus Three im Test: 7 ist besser als 1+3
Axon 7 vs Oneplus Three im Test
7 ist besser als 1+3
  1. Axon 7 im Hands on Oneplus bekommt starke Konkurrenz
  2. Axon 7 ZTEs Topsmartphone kommt für 450 Euro nach Deutschland

Besuch beim HAX Accelerator: Made in Shenzhen
Besuch beim HAX Accelerator
Made in Shenzhen
  1. Superbook Neues Laptop-Dock für Smartphones soll 100 US-Dollar kosten
  2. Kreditkarten Number26 wird Betrug mit Standortdaten verhindern
  3. Bargeld nervt Startups und Kryptowährungen mischen die Finanzbranche auf

Die erste Ransomware: Der Virus des wunderlichen Dr. Popp
Die erste Ransomware
Der Virus des wunderlichen Dr. Popp
  1. Erpressungstrojaner Locky kann jetzt auch offline
  2. Ransomware Ranscam schickt Dateien unwiederbringlich ins Nirwana
  3. Botnet Necurs kommt zurück und bringt Locky millionenfach mit

  1. Re: Weil Datenschutz in Frankreich so gro...

    Ach | 12:39

  2. Re: Mich würde mal Wundern, wann sie Kaffee als...

    it-boy | 12:28

  3. Re: Wäre cool...

    wiesi200 | 12:25

  4. Re: Gut so, hoffentlich bald alle arbeitslos

    Akhelos | 12:24

  5. Strix Takt und Effizienz

    TodesBrote | 12:24


  1. 15:17

  2. 14:19

  3. 13:08

  4. 09:01

  5. 18:26

  6. 18:00

  7. 17:00

  8. 16:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel