Abo
  • Services:
Anzeige
Hardware-Verschlüsselungsmodule von Utimaco verraten ihre geheimen Schlüssel auf elliptischen Kurven.
Hardware-Verschlüsselungsmodule von Utimaco verraten ihre geheimen Schlüssel auf elliptischen Kurven. (Bild: Utimaco)

Verschlüsselung: Punkte auf der falschen elliptischen Kurve

Hardware-Verschlüsselungsmodule von Utimaco verraten ihre geheimen Schlüssel auf elliptischen Kurven.
Hardware-Verschlüsselungsmodule von Utimaco verraten ihre geheimen Schlüssel auf elliptischen Kurven. (Bild: Utimaco)

Forscher der Ruhr-Universität Bochum haben einen schon lange bekannten Angriff auf Verschlüsselungsverfahren mit elliptischen Kurven in der Praxis umsetzen können. Verwundbar ist neben Java-Bibliotheken auch ein Hardware-Verschlüsselungsgerät von Utimaco.

Anzeige

Eine schon lange bekannte Schwäche von Verschlüsselungsverfahren auf Basis elliptischer Kurven haben Forscher der Ruhr-Universität Bochum in verschiedenen Implementierungen ausnutzen können. Auf der Bsides-Konferenz in Wien präsentierte Juraj Somorovsky die Forschungsergebnisse. In zwei Java-Bibliotheken war ein Angriff auf TLS-Verbindungen möglich, allerdings nur bei sehr selten eingesetzten Verschlüsselungsmodi. Weiterhin gelang es den Forschern, den privaten Schlüssel aus einem Hardware Security Module (HSM) der Firma Utimaco zu extrahieren.

Angriff bereits seit 15 Jahren bekannt

Die sogenannten Invalid-Curve-Angriffe wurden bereits im Jahr 2000 in einer Forschungsarbeit von Ingrid Biehl beschrieben. Bei Verschlüsselungsverfahren auf Basis elliptischer Kurven werden Berechnungen mit Punkten auf einer solchen Kurve durchgeführt. Die Idee des Angriffs: Die Algorithmen zur Berechnung der Kurvenpunkte funktionieren auch, wenn der Punkt sich auf einer anderen Kurve befindet.

Bei einem Diffie-Hellman-Schlüsselaustausch mit elliptischen Kurven besitzt jeder Teilnehmer des Schlüsselaustauschs einen geheimen Kurvenpunkt. Sendet nun einer der beiden Teilnehmer einen fehlerhaften Punkt, der sich auf einer deutlich kleineren Kurve befindet, kann er dadurch Informationen über den geheimen Kurvenpunkt des anderen Teilnehmers erhalten. Verhindern lässt sich der Angriff, indem jedes Mal geprüft wird, ob ein gesendeter Punkt wirklich auf der gemeinsam vereinbarten elliptischen Kurve liegt.

Bei einem gewöhnlichen Schlüsselaustausch, der auch als Ephemeral Key Exchange bezeichnet wird, ist der Angriff kein direktes Sicherheitsrisiko, da der geheime Kurvenpunkt nur für eine Verbindung gilt. Somit könnte ein Angreifer lediglich Informationen über den geheimen Schlüssel der aktuellen Verbindung erhalten, an der er selbst beteiligt ist. Allerdings unterstützt TLS auch einen eher selten genutzten statischen Schlüsselaustausch. Hierbei besitzt der Server ein Zertifikat, das den geheimen Schlüssel enthält.

JSSE und Bouncy Castle betroffen

Somorovsky und seine Kollegen Tibor Jager und Jörg Schwenk konnten bereits im September auf der Esorics-Konferenz in Wien zeigen, dass eine ältere Version der Java-Bibliothek Bouncy Castle (1.50) und die Java-eigene JSSE-Bibliothek für den Angriff anfällig sind. Ein entsprechendes Hintergrundpapier ist online verfügbar. Bei Bouncy Castle funktionierte der Angriff direkt, 3.300 Verbindungen mit fehlerhaften Kurvenpunkten waren dafür notwendig.

Bei JSSE gestaltete sich der Angriff etwas schwieriger. Es stellte sich heraus, dass die Java-Bibliothek bestimmte Berechnungen von elliptischen Kurven fehlerhaft durchführt. Im normalen Betrieb war das kein Problem, da dieser Fehler dort nur sehr selten auftritt. Bei elliptischen Kurven mit weniger Kurvenpunkten trat der Fehler jedoch gehäuft auf. Er führte somit dazu, dass der Angriff deutlich erschwert wurde, möglich war er jedoch trotzdem. Nach etwa 17.000 Serververbindungen ließ sich der Serverschlüssel knacken. Somorovsky erklärte, dass er selbst nicht sicher sei, ob es sich dabei um eine bewusste Optimierung der Java-Bibliothek handele, die Fehler produziere, oder einen weiteren Bug.

Fehler in Hardware Security Module von Utimaco bestätigt

Zusammen mit Dennis Felsch führte Somorovsky einen weiteren Test des Angriffs durch, diesmal bei einem Hardware Security Module (HSM). Das Ziel von Hardware Security Modules ist es, den privaten Schlüssel im Gerät verborgen zu halten. Es ist im Normalfall nicht möglich, den Schlüssel mittels Software zu extrahieren. Hardware Security Modules werden häufig von Zertifizierungsstellen genutzt, da diese besonders hohe Sicherheitsanforderungen haben.

Mit knapp 100 Verbindungen gelang es Somorovsky und Felsch, den privaten Schlüssel aus einem Utimaco-Gerät aus der Secure-Server-Reihe zu extrahieren. Die Utimaco-Geräte sind nach dem Standard FIPS 140-2 Level 3 zertifiziert, der eigentlich genau solche Angriffe verhindern soll. Utimaco hat den Fehler bestätigt und ein Update für die Firmware bereitgestellt.

"Diese Analyse war möglich dank einer Kooperation von Utimaco mit unserem Institut", sagte Juraj Somorovsky Golem.de. "Es wäre wünschenswert, dass andere HSM-Hersteller ihre Geräte ähnlichen Tests unterziehen."

Angriffe vermeiden

Das Safecurves-Projekt von Dan Bernstein und Tanja Lange empfiehlt, die Angriffe mit falschen Kurvenpunkten bereits durch das Algorithmendesign zu vermeiden. Manche elliptische Kurven lassen sich als sogenannte Montgomery-Form darstellen, und die Kurvenpunkte können komprimiert versendet werden. Dabei werden dann lediglich die X-Koordinate und das Vorzeichen der Y-Koordinate übermittelt.

In dieser Form hat ein Angreifer nicht mehr die Möglichkeit, Punkte auf beliebigen ungültigen Kurven zu verschicken. Lediglich eine einzige ungültige Kurve bleibt übrig. Wählt man die geeignete elliptische Kurve, kann man sicherstellen, dass die übrige Kurve nicht angreifbar ist. Diese Eigenschaft wird auch als Twist-Security bezeichnet. Die momentanen Entwürfe der Kryptographie-Arbeitsgruppe der IETF zum Einsatz der von Bernstein entwickelten Kurve Curve25519 und von Curve448 sehen diese Vorsichtsmaßnahmen bereits vor.

Die statischen Schlüsselaustauschmodi von TLS werden generell nur sehr selten genutzt und sind auch aus anderen Gründen problematisch. Im August konnten österreischische Forscher einen Angriff zeigen, bei dem ein Angreifer, dem es gelingt, einem Nutzer ein Clientzertifikat unterzuschieben, damit unter bestimmten Umständen einen Man-in-the-Middle-Angriff durchführen kann. Da die statischen Schlüsselaustauschmodi praktisch keine Vorteile haben und auch keine Forward-Secrecy-Sicherheit bieten, ist es als weitere Vorsichtsmaßnahme sinnvoll, generell in Applikationen auf diese Modi zu verzichten.


eye home zur Startseite
hannob (golem.de) 26. Nov 2015

Der konkrete Anlass das jetzt zu bringen war der Vortrag auf der BSides. Neu war da im...

peter.neter1887 26. Nov 2015

Die FIPS-Zertifizierung ist ein Witz. Sie schreibt nur vor welche Algorithmen wie zu...



Anzeige

Stellenmarkt
  1. Haufe Gruppe, Freiburg im Breisgau
  2. Robert Bosch GmbH Geschäftsbereich Power Tools (PT), Leinfelden-Echterdingen
  3. TÜV NORD GROUP, Hannover
  4. Kaufland Dienstleistung GmbH & Co. KG, Heilbronn


Anzeige
Spiele-Angebote
  1. 69,99€ (Release 31.03.)
  2. 17,99€
  3. 5,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. DACBerry One

    Soundkarte für Raspberry Pi liefert Töne digital und analog

  2. Samsungs Bixby

    Galaxy S8 kann sehen und erkennen

  3. Schweizer Polizei

    Drohnenabwehr beim Weltwirtschaftsforum in Davos

  4. Crashuntersuchung

    Teslas Autopilot reduziert Unfallquote um 40 Prozent

  5. Delid Die Mate 2

    Prozessoren köpfen leichter gemacht

  6. Rückzieher

    Assange will nun doch nicht in die USA

  7. Oracle

    Critical-Patch-Update schließt 270 Sicherheitslücken

  8. Android 7.0

    Samsung verteilt Nougat-Update für S7-Modelle

  9. Forcepoint

    Carbanak nutzt Google-Dienste für Malware-Hosting

  10. Fabric

    Google kauft Twitters App-Werkzeuge mit Milliarden Nutzern



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Intel Core i7-7700K im Test: Kaby Lake = Skylake + HEVC + Overclocking
Intel Core i7-7700K im Test
Kaby Lake = Skylake + HEVC + Overclocking
  1. Kaby Lake Intel macht den Pentium dank HT fast zum Core i3
  2. Kaby Lake Refresh Intel plant weitere 14-nm-CPU-Generation
  3. Intel Kaby Lake Vor der Vorstellung schon im Handel

Dienste, Programme und Unternehmen: Was 2016 eingestellt und geschlossen wurde
Dienste, Programme und Unternehmen
Was 2016 eingestellt und geschlossen wurde
  1. Kabel Mietminderung wegen defektem Internetkabel zulässig
  2. Grundversorgung Kanada macht Drosselung illegal
  3. Internetzugänge 50 MBit/s günstiger als 16 MBit/s

GPD Win im Test: Crysis in der Hosentasche
GPD Win im Test
Crysis in der Hosentasche
  1. FTC Qualcomm soll Apple zu Exklusivvertrag gezwungen haben
  2. Steadicam Volt Steadicam-Halterung für die Hosentasche
  3. Tastaturhülle Canopy hält Magic Keyboard und iPad zum Arbeiten zusammen

  1. Re: Und wenn das Ding GPS-gesteuert fliegt?

    Rolf Schreiter | 08:56

  2. Re: 3 Monate - Mein Fazit

    david_rieger | 08:56

  3. Wen kümmert der Assistent?

    Axido | 08:55

  4. Re: 70%

    germanTHXX | 08:53

  5. Re: ist für mich wie beim Fliegen

    gaym0r | 08:51


  1. 08:50

  2. 08:33

  3. 07:34

  4. 07:18

  5. 18:28

  6. 18:07

  7. 17:51

  8. 16:55


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel