Blockverschlüsselung: Verschlüsselungsmodus OCB2 gebrochen

Im Verschlüsselungsmodus OCB2 wurden in kurzer Abfolge zahlreiche Sicherheitsprobleme gefunden. Breite Verwendung findet dieser Modus nicht, obwohl er Teil eines ISO-Standards ist.

Artikel veröffentlicht am , Hanno Böck
War dann wohl doch nicht so sicher: Der Verschlüsselungsmodus OCB2.
War dann wohl doch nicht so sicher: Der Verschlüsselungsmodus OCB2. (Bild: Michal Jarmoluk, Pixnio/CC0 1.0)

Eine Variante des Verschlüsselungsmodus OCB weist zahlreiche kryptographische Schwächen auf. In kurzer Abfolge wurden gleich drei wissenschaftliche Papiere veröffentlicht, die Schwachstellen in OCB2 finden.

OCB ist ein authentifizierter Verschlüsselungsmodus für Blockverschlüsselungsalgorithmen wie etwa den Advanced Encryption Standard (AES). Er wurde von Philipp Rogaway entwickelt und ursprünglich 2001 veröffentlicht. Im Laufe der Jahre publizierte Rogaway zwei weitere Varianten. Von den jetzt entdeckten Angriffen ist nur OCB2 betroffen, welcher 2004 auf der Asiacrypt-Konferenz vorgestellt wurde. Sowohl der originale als OCB1 bezeichnete Algorithmus als auch die aktuelle Variante OCB3 sind nicht betroffen.

Drei Angriffe innerhalb kurzer Zeit

Da OCB ein authentifiziertes Verschlüsselungsverfahren ist, soll es nicht nur gewährleisten, dass Daten geheim bleiben, sondern auch, dass diese nicht manipuliert werden können. Zwei Mitarbeiter der Firma NEC, Akiko Inoue und Kazuhiko Minematsu, veröffentlichten Ende Oktober ein Paper, in dem beschrieben wird, wie man unter bestimmten Umständen die Authentifizierung von OCB2 umgehen kann.

Doch damit nicht genug: Ein weiteres Paper von Bertram Poettering von der Royal-Holloway-Universität London sowie eines von Tetsu Iwata von der Nagoya-Universität in Japan, die kurz darauf veröffentlicht wurden, erweitern den Angriff, so dass er auch die Geheimhaltung von Nachrichten in bestimmten Situationen beeinträchtigt.

Die Angriffe brechen die Verschlüsselung nicht vollständig, die genauen Auswirkungen hängen von konkreten Umständen ab. Doch einige der Angriffsszenarien haben ganz erhebliche Auswirkungen. So beschreibt Poettering etwa, dass sich der letzte verschlüsselte Nachrichtenblock entschlüsseln lässt oder dass es möglich ist, bei Datenblöcken, bei denen ein Großteil der verschlüsselten Daten bekannt ist, die übrigen Daten zu entschlüsseln.

Bemerkenswert an den Angriffen ist, dass es für OCB2 einen Sicherheitsbeweis gab. Zwar kann man in der Kryptographie in aller Regel die Sicherheit eines Gesamtalgorithmus nicht beweisen, was aber häufig eingesetzt wird, sind sogenannte Reduktionsbeweise. Dabei zeigt man, dass bestimmte Konstruktionen sicher sind, falls die darunterliegenden Basisalgorithmen sicher sind. Einen solchen Beweis gab es für OCB2, er war aber offenbar fehlerhaft.

OCB2: Kaum genutzt, aber von der ISO standardisiert

Der OCB-Algorithmus war unter Kryptographen relativ beliebt, da er im Vergleich zu anderen authentifizierten Verschlüsselungsverfahren wie GCM relativ simpel ist. Trotzdem wird OCB vergleichsweise selten eingesetzt, was vor allem an bestehenden Patenten liegt. Es gibt Entwürfe zur Nutzung von OCB in OpenPGP und in TLS, diese beziehen sich jedoch alle auf die jüngste Variante OCB3, die von den jetzt gefundenen Angriffen nicht betroffen ist.

Die jetzt als unsicher erkannte OCB-Variante ist Teil eines Standards der ISO. Der Standard ISO/IEC 19772:2009 wurde 2009 verabschiedet und spezifizierte verschiedene Verschlüsselungsmodi, darunter auch OCB2. Die ISO hat auf die jetzt veröffentlichten Forschungsergebnisse nicht reagiert, eine Anfrage von Golem.de blieb bislang unbeantwortet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Aktuell auf der Startseite von Golem.de
Powerstation vs Balkonkraftwerk
Mit welcher Lösung sich am besten Energie sparen lässt

Mit Sonnenenergie Strom sparen - dafür gibt es viele Lösungen. Doch welche bezahlbaren Systeme für Wohnungen und Häuser sind aktuell am vielversprechendsten? Wir geben eine Übersicht für Einsteiger.
Ein Ratgebertext von Dimitar Mitev

Powerstation vs Balkonkraftwerk: Mit welcher Lösung sich am besten Energie sparen lässt
Artikel
  1. Energiewende in Sachsen-Anhalt: Installation von Balkonkraftwerken steigt deutlich
    Energiewende in Sachsen-Anhalt
    Installation von Balkonkraftwerken steigt deutlich

    Der Zuwachs an Balkonkraftwerken lässt sich nur schwer messen. Die Stadtwerke gehen von vielen Solaranlagen aus, die nicht ordnungsgemäß angemeldet wurden.

  2. Raumfahrt: Globales Satellitennetz für Bluetooth-Geräte geplant
    Raumfahrt
    Globales Satellitennetz für Bluetooth-Geräte geplant

    Ein US-Unternehmen will 300 Satelliten ins Weltall schicken. Das Netzwerk soll Echtzeit-Updates für Geräte mit Bluetooth-Low-Energy-Chips (BLE) bereitstellen.

  3. Raspberry Pi: Schlechtestes Quartal seit Jahren, Besserung in Sicht
    Raspberry Pi
    Schlechtestes Quartal seit Jahren, Besserung in Sicht

    Raspberry-Pi-CEO Eben Upton versichert, dass die Lieferschwierigkeiten bald überwunden sind. Dabei hilft auch Partner Sony.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • PS5 inkl. GoW Ragnarök oder CoD MW2 549€ • MSI RTX 4070 Ti 999€ • Gigabyte 43" 4K UHD 144 Hz 717€ • Amazon FireTV Smart-TVs bis -32% • MindStar: AMD Ryzen 7 5800X3D 285€, PowerColor RX 7900 XTX Hellhound 989€ • SanDisk Ultra NVMe 1TB 39,99€ • Samsung 980 1TB 45€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /