TLS-Bibliotheken: Fehler finden mit fehlerhaften Zertifikaten
Chromium warnt vor einem abgelaufenen Zertifikat, aber der Nutzer erfährt nicht, dass es selbst signiert und somit sowieso ungültig ist. (Bild: Screenshot Hanno Böck)

TLS-Bibliotheken: Fehler finden mit fehlerhaften Zertifikaten

Mit Hilfe von fehlerhaften X.509-Zertifikaten haben Forscher zahlreiche zum Teil sicherheitskritische Bugs in TLS-Bibliotheken gefunden. Erneut wurde dabei eine gravierende Sicherheitslücke in GnuTLS entdeckt.

Anzeige

Ein Forscherteam hat zahlreiche Fehler in quelloffenen Verschlüsselungsbibliotheken bei der Überprüfung von Zertifikaten entdeckt. In GnuTLS und in MatrixSSL wurden dabei Sicherheitslücken entdeckt, die unter bestimmten Umständen Man-in-the-Middle-Angriffe ermöglichen.

Mit Hilfe eines Scans wurden zunächst etwa 250.000 echte Zertifikate, die auf Internetservern zum Einsatz kommen, gesammelt. Anschließend wurden in diesen Zertifikaten zahlreiche Parameter geändert, sie waren aber weiterhin korrekt lesbar. Die Forscher nennen diese manipulierten Zertifikate passenderweise "Frankencerts". Anschließend wurde geprüft, ob die Prüfroutinen der verschiedenen TLS-Bibliotheken die Zertifikate als gültig betrachten. Die Idee: Wenn ein Zertifikat von einer Bibliothek als gültig und von einer anderen als ungültig betrachtet wird, ist eine der Prüfroutinen fehlerhaft.

In GnuTLS und MatrixSSL wurden alte Zertifikate, die nach der veralteten Version 1 des X.509-Standards erstellt wurden, grundsätzlich als Zertifizierungsstellen akzeptiert. Das bedeutet, dass ein Angreifer, der ein solches altes Zertifikat von einer Zertifizierungsstelle erhält, damit beliebige weitere Zertifikate signieren konnte. Der entsprechende Fehler in GnuTLS, der mit der ID CVE-2014-1959 bezeichnet wird, wurde bereits Anfang März in der Version 3.2.12 behoben, von MatrixSSL gibt es noch kein Update.

Damit hatte GnuTLS in der vergangenen Zeit zwei derartige Sicherheitslücken. Anfang März wurde bereits berichtet, dass die Bibliothek speziell präparierte fehlerhafte Zertifikate als gültig anerkennt und somit Angriffe ermöglicht.

Browserwarnungen verwirrend

Weiterhin fanden die Autoren heraus, dass in manchen Browsern teilweise den Nutzern sehr verwirrende Warnungen gezeigt werden. So wird in Chrome und Chromium unter Linux sowie in Safari ein Zertifikat, welches von keiner vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde und gleichzeitig abgelaufen ist, dem Nutzer nur als abgelaufen angezeigt. Ein Nutzer könnte denken, dass ein abgelaufenes Zertifikat nicht so schlimm ist, da dies häufiger vorkommt, wenn ein Administrator vergisst, das Zertifikat rechtzeitig zu erneuern. Dass das Zertifikat generell nicht als gültig erkannt wurde, erfährt man nicht.

Zahlreiche weitere Fehler wurden ebenfalls aufgedeckt, so prüften etwa verschiedene TLS-Bibliotheken unzureichend, wenn in Zertifikaten Beschränkungen für die Nutzung von kryptographischen Schlüsseln eingetragen wurden. Alle Entwickler der entsprechenden Bibliotheken und Browser wurden von den Autoren informiert.

Die Forscher haben sich auf quelloffene TLS-Bibliotheken konzentriert, weisen aber darauf hin, dass man die gleichen Tests auch mit proprietären Bibliotheken durchführen könnte. Durchgeführt wurden die Tests von einem Team von Wissenschaftlern der University of Texas in Austin und der University of California in Davis.


Kommentieren



Anzeige

  1. IT Specialist (m/w) Regional Support Center
    Siemens AG, Eschborn
  2. SAP Produktmanager (m/w)
    Bosch Thermotechnik GmbH, Wetzlar
  3. SAP Inhouse Consultant (m/w) Finance
    Brüel & Kjaer Vibro GmbH, Darmstadt
  4. IT Risk Officer/IT Risiko Spezialist (m/w) für Operatives Risiko Management
    Vattenfall Europe Business Services GmbH, Hamburg, Berlin, Amsterdam (Niederlande)

 

Detailsuche


Folgen Sie uns
       


  1. Lufthansa Taxibot

    Piloten schleppen ihre Flugzeuge bald selbst zur Startbahn

  2. Geheimdienste

    USA und Deutschland wollen Leitlinien vereinbaren

  3. Geheimdienste

    DE-CIX bei manipulierter Hardware machtlos gegen Spionage

  4. Digitale Agenda

    Bund will finanzielle Breitbandförderung festschreiben

  5. DVB-T2

    HDTV sollte unverschlüsselt über Antenne kommen

  6. Wissenschaft

    Hören wie die Fliegen

  7. iWatch

    Apples Smartwatch könnte aus zwei Teilen bestehen

  8. Phishing-Angriffe

    Nigerianische Scammer rüsten auf

  9. Nvidia Shield Tablet ausprobiert

    Schnelles Spiele-Tablet für Android mit WLAN-Controller

  10. Videostreaming

    Telekom sieht Youtube-Problem erneut bei Google



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sony RX100 Mark III im Test: Klein, super, teuer
Sony RX100 Mark III im Test
Klein, super, teuer
  1. Custom ROM Sonys Bootloader einfacher zu entsperren
  2. Sony Xperia T3 kommt als Xperia Style für 350 Euro
  3. Auge als Vorbild Sony entwickelt gekrümmte Kamerasensoren

Programmcode: Ist das Kunst?
Programmcode
Ist das Kunst?
  1. Suchmaschinen Deutsche IT-Branche hofft auf Ende von Googles Vorherrschaft
  2. Quartalsbericht Google steigert Umsatz um 22 Prozent
  3. Project Zero Google baut Internet-Sicherheitsteam auf

Android L im Test: Google verflacht Android
Android L im Test
Google verflacht Android
  1. Android L Keine Updates für Entwicklervorschau geplant
  2. Inoffizieller Port Android L ist für das Nexus 4 verfügbar
  3. Android L Cyanogenmod entwickelt nicht anhand der Entwicklervorschau

    •  / 
    Zum Artikel