Abo
  • IT-Karriere:

Blockverschlüsselung: Verschlüsselungsmodus OCB2 gebrochen

Im Verschlüsselungsmodus OCB2 wurden in kurzer Abfolge zahlreiche Sicherheitsprobleme gefunden. Breite Verwendung findet dieser Modus nicht, obwohl er Teil eines ISO-Standards ist.

Artikel veröffentlicht am , Hanno Böck
War dann wohl doch nicht so sicher: Der Verschlüsselungsmodus OCB2.
War dann wohl doch nicht so sicher: Der Verschlüsselungsmodus OCB2. (Bild: Michal Jarmoluk, Pixnio/CC0 1.0)

Eine Variante des Verschlüsselungsmodus OCB weist zahlreiche kryptographische Schwächen auf. In kurzer Abfolge wurden gleich drei wissenschaftliche Papiere veröffentlicht, die Schwachstellen in OCB2 finden.

Stellenmarkt
  1. Fiducia & GAD IT AG, Münster
  2. Max-Planck-Institut für Bildungsforschung, Berlin

OCB ist ein authentifizierter Verschlüsselungsmodus für Blockverschlüsselungsalgorithmen wie etwa den Advanced Encryption Standard (AES). Er wurde von Philipp Rogaway entwickelt und ursprünglich 2001 veröffentlicht. Im Laufe der Jahre publizierte Rogaway zwei weitere Varianten. Von den jetzt entdeckten Angriffen ist nur OCB2 betroffen, welcher 2004 auf der Asiacrypt-Konferenz vorgestellt wurde. Sowohl der originale als OCB1 bezeichnete Algorithmus als auch die aktuelle Variante OCB3 sind nicht betroffen.

Drei Angriffe innerhalb kurzer Zeit

Da OCB ein authentifiziertes Verschlüsselungsverfahren ist, soll es nicht nur gewährleisten, dass Daten geheim bleiben, sondern auch, dass diese nicht manipuliert werden können. Zwei Mitarbeiter der Firma NEC, Akiko Inoue und Kazuhiko Minematsu, veröffentlichten Ende Oktober ein Paper, in dem beschrieben wird, wie man unter bestimmten Umständen die Authentifizierung von OCB2 umgehen kann.

Doch damit nicht genug: Ein weiteres Paper von Bertram Poettering von der Royal-Holloway-Universität London sowie eines von Tetsu Iwata von der Nagoya-Universität in Japan, die kurz darauf veröffentlicht wurden, erweitern den Angriff, so dass er auch die Geheimhaltung von Nachrichten in bestimmten Situationen beeinträchtigt.

Die Angriffe brechen die Verschlüsselung nicht vollständig, die genauen Auswirkungen hängen von konkreten Umständen ab. Doch einige der Angriffsszenarien haben ganz erhebliche Auswirkungen. So beschreibt Poettering etwa, dass sich der letzte verschlüsselte Nachrichtenblock entschlüsseln lässt oder dass es möglich ist, bei Datenblöcken, bei denen ein Großteil der verschlüsselten Daten bekannt ist, die übrigen Daten zu entschlüsseln.

Bemerkenswert an den Angriffen ist, dass es für OCB2 einen Sicherheitsbeweis gab. Zwar kann man in der Kryptographie in aller Regel die Sicherheit eines Gesamtalgorithmus nicht beweisen, was aber häufig eingesetzt wird, sind sogenannte Reduktionsbeweise. Dabei zeigt man, dass bestimmte Konstruktionen sicher sind, falls die darunterliegenden Basisalgorithmen sicher sind. Einen solchen Beweis gab es für OCB2, er war aber offenbar fehlerhaft.

OCB2: Kaum genutzt, aber von der ISO standardisiert

Der OCB-Algorithmus war unter Kryptographen relativ beliebt, da er im Vergleich zu anderen authentifizierten Verschlüsselungsverfahren wie GCM relativ simpel ist. Trotzdem wird OCB vergleichsweise selten eingesetzt, was vor allem an bestehenden Patenten liegt. Es gibt Entwürfe zur Nutzung von OCB in OpenPGP und in TLS, diese beziehen sich jedoch alle auf die jüngste Variante OCB3, die von den jetzt gefundenen Angriffen nicht betroffen ist.

Die jetzt als unsicher erkannte OCB-Variante ist Teil eines Standards der ISO. Der Standard ISO/IEC 19772:2009 wurde 2009 verabschiedet und spezifizierte verschiedene Verschlüsselungsmodi, darunter auch OCB2. Die ISO hat auf die jetzt veröffentlichten Forschungsergebnisse nicht reagiert, eine Anfrage von Golem.de blieb bislang unbeantwortet.



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 149,90€ + Versand

hG0815 14. Nov 2018

Diesmal! :-D Und selbst wenn mal was schief geht, empfiehlt mein Doktor "OCB zum Drehen...


Folgen Sie uns
       


Mordhau Gameplay

Klirrende Klingen und packende Kämpfe mit bis zu 64 Spielern bietet das in einem mittelalterlichen Szenario angesiedelte Actionspiel Mordhau.

Mordhau Gameplay Video aufrufen
Timex Data Link im Retro-Test: Bill Gates' Astronauten-Smartwatch
Timex Data Link im Retro-Test
Bill Gates' Astronauten-Smartwatch

Mit der Data Link haben Timex und Microsoft bereits vor 25 Jahren die erste richtige Smartwatch vorgestellt. Sie hat es sogar bis in den Weltraum geschafft. Das Highlight ist die drahtlose Datenübertragung per flackerndem Röhrenmonitor - was wir natürlich ausprobieren mussten.
Ein Test von Tobias Költzsch

  1. Smart Watch Swatch fordert wegen kopierter Zifferblätter von Samsung Geld
  2. Wearable EU warnt vor deutscher Kinder-Smartwatch
  3. Sportuhr Fossil stellt Smartwatch mit Snapdragon 3100 vor

Doom Eternal angespielt: Die nächste Ballerorgie von id macht uns fix und fertig
Doom Eternal angespielt
Die nächste Ballerorgie von id macht uns fix und fertig

E3 2019 Extrem schnelle Action plus taktische Entscheidungen, dazu geniale Grafik und eine düstere Atmosphäre: Doom Eternal hat gegenüber dem erstklassigen Vorgänger zumindest beim Anspielen noch deutlich zugelegt.

  1. Sigil John Romero setzt Doom fort

Ada und Spark: Mehr Sicherheit durch bessere Programmiersprachen
Ada und Spark
Mehr Sicherheit durch bessere Programmiersprachen

Viele Sicherheitslücken in Software sind auf Programmierfehler zurückzuführen. Diese Fehler lassen sich aber vermeiden - und zwar unter anderem durch die Wahl einer guten Programmiersprache. Ada und Spark gehören dazu, leider sind sie immer noch wenig bekannt.
Von Johannes Kanig

  1. Das andere How-to Deutsch lernen für Programmierer
  2. Programmiersprachen, Pakete, IDEs So steigen Entwickler in Machine Learning ein

    •  /