Abo
  • Services:

Blockverschlüsselung: Verschlüsselungsmodus OCB2 gebrochen

Im Verschlüsselungsmodus OCB2 wurden in kurzer Abfolge zahlreiche Sicherheitsprobleme gefunden. Breite Verwendung findet dieser Modus nicht, obwohl er Teil eines ISO-Standards ist.

Artikel veröffentlicht am , Hanno Böck
War dann wohl doch nicht so sicher: Der Verschlüsselungsmodus OCB2.
War dann wohl doch nicht so sicher: Der Verschlüsselungsmodus OCB2. (Bild: Michal Jarmoluk, Pixnio/CC0 1.0)

Eine Variante des Verschlüsselungsmodus OCB weist zahlreiche kryptographische Schwächen auf. In kurzer Abfolge wurden gleich drei wissenschaftliche Papiere veröffentlicht, die Schwachstellen in OCB2 finden.

Stellenmarkt
  1. Universität Hamburg, Hamburg
  2. Bosch Gruppe, Reutlingen

OCB ist ein authentifizierter Verschlüsselungsmodus für Blockverschlüsselungsalgorithmen wie etwa den Advanced Encryption Standard (AES). Er wurde von Philipp Rogaway entwickelt und ursprünglich 2001 veröffentlicht. Im Laufe der Jahre publizierte Rogaway zwei weitere Varianten. Von den jetzt entdeckten Angriffen ist nur OCB2 betroffen, welcher 2004 auf der Asiacrypt-Konferenz vorgestellt wurde. Sowohl der originale als OCB1 bezeichnete Algorithmus als auch die aktuelle Variante OCB3 sind nicht betroffen.

Drei Angriffe innerhalb kurzer Zeit

Da OCB ein authentifiziertes Verschlüsselungsverfahren ist, soll es nicht nur gewährleisten, dass Daten geheim bleiben, sondern auch, dass diese nicht manipuliert werden können. Zwei Mitarbeiter der Firma NEC, Akiko Inoue und Kazuhiko Minematsu, veröffentlichten Ende Oktober ein Paper, in dem beschrieben wird, wie man unter bestimmten Umständen die Authentifizierung von OCB2 umgehen kann.

Doch damit nicht genug: Ein weiteres Paper von Bertram Poettering von der Royal-Holloway-Universität London sowie eines von Tetsu Iwata von der Nagoya-Universität in Japan, die kurz darauf veröffentlicht wurden, erweitern den Angriff, so dass er auch die Geheimhaltung von Nachrichten in bestimmten Situationen beeinträchtigt.

Die Angriffe brechen die Verschlüsselung nicht vollständig, die genauen Auswirkungen hängen von konkreten Umständen ab. Doch einige der Angriffsszenarien haben ganz erhebliche Auswirkungen. So beschreibt Poettering etwa, dass sich der letzte verschlüsselte Nachrichtenblock entschlüsseln lässt oder dass es möglich ist, bei Datenblöcken, bei denen ein Großteil der verschlüsselten Daten bekannt ist, die übrigen Daten zu entschlüsseln.

Bemerkenswert an den Angriffen ist, dass es für OCB2 einen Sicherheitsbeweis gab. Zwar kann man in der Kryptographie in aller Regel die Sicherheit eines Gesamtalgorithmus nicht beweisen, was aber häufig eingesetzt wird, sind sogenannte Reduktionsbeweise. Dabei zeigt man, dass bestimmte Konstruktionen sicher sind, falls die darunterliegenden Basisalgorithmen sicher sind. Einen solchen Beweis gab es für OCB2, er war aber offenbar fehlerhaft.

OCB2: Kaum genutzt, aber von der ISO standardisiert

Der OCB-Algorithmus war unter Kryptographen relativ beliebt, da er im Vergleich zu anderen authentifizierten Verschlüsselungsverfahren wie GCM relativ simpel ist. Trotzdem wird OCB vergleichsweise selten eingesetzt, was vor allem an bestehenden Patenten liegt. Es gibt Entwürfe zur Nutzung von OCB in OpenPGP und in TLS, diese beziehen sich jedoch alle auf die jüngste Variante OCB3, die von den jetzt gefundenen Angriffen nicht betroffen ist.

Die jetzt als unsicher erkannte OCB-Variante ist Teil eines Standards der ISO. Der Standard ISO/IEC 19772:2009 wurde 2009 verabschiedet und spezifizierte verschiedene Verschlüsselungsmodi, darunter auch OCB2. Die ISO hat auf die jetzt veröffentlichten Forschungsergebnisse nicht reagiert, eine Anfrage von Golem.de blieb bislang unbeantwortet.



Anzeige
Top-Angebote
  1. 13€
  2. 34,99€ statt 59,99€ (neuer Tiefpreis!)
  3. 24,99€ statt 39,99€
  4. 159,00€

hG0815 14. Nov 2018

Diesmal! :-D Und selbst wenn mal was schief geht, empfiehlt mein Doktor "OCB zum Drehen...


Folgen Sie uns
       


LG Watch W7 - Fazit

LG kombiniert bei seiner Watch W7 ein Display mit analogen Zeigern - eigentlich eine gute Idee, Nutzer müssen dafür aber auf zahlreiche Funktionen verzichten.

LG Watch W7 - Fazit Video aufrufen
Alienware m15 vs Asus ROG Zephyrus M: Gut gekühlt ist halb gewonnen
Alienware m15 vs Asus ROG Zephyrus M
Gut gekühlt ist halb gewonnen

Wer auf LAN-Partys geht, möchte nicht immer einen Tower schleppen. Ein Gaming-Notebook wie das Alienware m15 und das Asus ROG Zephyrus M tut es auch, oder? Golem.de hat beide ähnlich ausgestatteten Notebooks gegeneinander antreten lassen und festgestellt: Die Kühlung macht den Unterschied.
Ein Test von Oliver Nickel

  1. Alienware m17 Dell packt RTX-Grafikeinheit in sein 17-Zoll-Gaming-Notebook
  2. Interview Alienware "Keiner baut dir einen besseren Gaming-PC als du selbst!"
  3. Dell Alienware M15 wird schlanker und läuft 17 Stunden

Elektromobilität: Der Umweltbonus ist gescheitert
Elektromobilität
Der Umweltbonus ist gescheitert

Trotz eines spürbaren Anstiegs zum Jahresbeginn kann man den Umweltbonus als gescheitert bezeichnen. Bislang wurden weniger als 100.000 Elektroautos gefördert. Wenn der Bonus Ende Juni ausläuft, sind noch immer einige Millionen Euro vorhanden. Die Fraktion der Grünen will stattdessen Anreize über die Kfz-Steuer schaffen.
Eine Analyse von Dirk Kunde

  1. Nissan x Opus Concept Recycelte Autoakkus versorgen Campinganhänger mit Strom
  2. NXT Rage Elektromotorrad mit Kohlefaser-Monocoque vorgestellt
  3. Elektrokleinstfahrzeuge Verkehrsminister Scheuer will E-Scooter zulassen

Mac Mini mit eGPU im Test: Externe Grafik macht den Mini zum Pro
Mac Mini mit eGPU im Test
Externe Grafik macht den Mini zum Pro

Der Mac Mini mit Hexacore-CPU eignet sich zwar gut für Xcode. Wer eine GPU-Beschleunigung braucht, muss aber zum iMac (Pro) greifen - oder eine externe Grafikkarte anschließen. Per eGPU ausgerüstet wird der Mac Mini viel schneller und auch preislich kann sich das lohnen.
Ein Test von Marc Sauter

  1. Apple Mac Mini (Late 2018) im Test Tolles teures Teil - aber für wen?
  2. Apple Mac Mini wird grau und schnell
  3. Neue Produkte Apple will Mac Mini und Macbook Air neu auflegen

    •  /