Blockverschlüsselung: Verschlüsselungsmodus OCB2 gebrochen

Im Verschlüsselungsmodus OCB2 wurden in kurzer Abfolge zahlreiche Sicherheitsprobleme gefunden. Breite Verwendung findet dieser Modus nicht, obwohl er Teil eines ISO-Standards ist.

Artikel veröffentlicht am , Hanno Böck
War dann wohl doch nicht so sicher: Der Verschlüsselungsmodus OCB2.
War dann wohl doch nicht so sicher: Der Verschlüsselungsmodus OCB2. (Bild: Michal Jarmoluk, Pixnio/CC0 1.0)

Eine Variante des Verschlüsselungsmodus OCB weist zahlreiche kryptographische Schwächen auf. In kurzer Abfolge wurden gleich drei wissenschaftliche Papiere veröffentlicht, die Schwachstellen in OCB2 finden.

Stellenmarkt
  1. IT Service Manager (m/w/d)
    8com GmbH & Co. KG., Neustadt
  2. Gruppenleiter für Embedded Softwareentwicklung (m/w/d)
    Endress+Hauser Conducta GmbH+Co. KG, Gerlingen (bei Stuttgart)
Detailsuche

OCB ist ein authentifizierter Verschlüsselungsmodus für Blockverschlüsselungsalgorithmen wie etwa den Advanced Encryption Standard (AES). Er wurde von Philipp Rogaway entwickelt und ursprünglich 2001 veröffentlicht. Im Laufe der Jahre publizierte Rogaway zwei weitere Varianten. Von den jetzt entdeckten Angriffen ist nur OCB2 betroffen, welcher 2004 auf der Asiacrypt-Konferenz vorgestellt wurde. Sowohl der originale als OCB1 bezeichnete Algorithmus als auch die aktuelle Variante OCB3 sind nicht betroffen.

Drei Angriffe innerhalb kurzer Zeit

Da OCB ein authentifiziertes Verschlüsselungsverfahren ist, soll es nicht nur gewährleisten, dass Daten geheim bleiben, sondern auch, dass diese nicht manipuliert werden können. Zwei Mitarbeiter der Firma NEC, Akiko Inoue und Kazuhiko Minematsu, veröffentlichten Ende Oktober ein Paper, in dem beschrieben wird, wie man unter bestimmten Umständen die Authentifizierung von OCB2 umgehen kann.

Doch damit nicht genug: Ein weiteres Paper von Bertram Poettering von der Royal-Holloway-Universität London sowie eines von Tetsu Iwata von der Nagoya-Universität in Japan, die kurz darauf veröffentlicht wurden, erweitern den Angriff, so dass er auch die Geheimhaltung von Nachrichten in bestimmten Situationen beeinträchtigt.

Golem Karrierewelt
  1. Advanced Python – Fortgeschrittene Programmierthemen: virtueller Drei-Tage-Workshop
    23.-25.01.2023, Virtuell
  2. Azure und AWS Cloudnutzung absichern: virtueller Zwei-Tage-Workshop
    22./23.09.2022, virtuell
Weitere IT-Trainings

Die Angriffe brechen die Verschlüsselung nicht vollständig, die genauen Auswirkungen hängen von konkreten Umständen ab. Doch einige der Angriffsszenarien haben ganz erhebliche Auswirkungen. So beschreibt Poettering etwa, dass sich der letzte verschlüsselte Nachrichtenblock entschlüsseln lässt oder dass es möglich ist, bei Datenblöcken, bei denen ein Großteil der verschlüsselten Daten bekannt ist, die übrigen Daten zu entschlüsseln.

Bemerkenswert an den Angriffen ist, dass es für OCB2 einen Sicherheitsbeweis gab. Zwar kann man in der Kryptographie in aller Regel die Sicherheit eines Gesamtalgorithmus nicht beweisen, was aber häufig eingesetzt wird, sind sogenannte Reduktionsbeweise. Dabei zeigt man, dass bestimmte Konstruktionen sicher sind, falls die darunterliegenden Basisalgorithmen sicher sind. Einen solchen Beweis gab es für OCB2, er war aber offenbar fehlerhaft.

OCB2: Kaum genutzt, aber von der ISO standardisiert

Der OCB-Algorithmus war unter Kryptographen relativ beliebt, da er im Vergleich zu anderen authentifizierten Verschlüsselungsverfahren wie GCM relativ simpel ist. Trotzdem wird OCB vergleichsweise selten eingesetzt, was vor allem an bestehenden Patenten liegt. Es gibt Entwürfe zur Nutzung von OCB in OpenPGP und in TLS, diese beziehen sich jedoch alle auf die jüngste Variante OCB3, die von den jetzt gefundenen Angriffen nicht betroffen ist.

Die jetzt als unsicher erkannte OCB-Variante ist Teil eines Standards der ISO. Der Standard ISO/IEC 19772:2009 wurde 2009 verabschiedet und spezifizierte verschiedene Verschlüsselungsmodi, darunter auch OCB2. Die ISO hat auf die jetzt veröffentlichten Forschungsergebnisse nicht reagiert, eine Anfrage von Golem.de blieb bislang unbeantwortet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Alterskontrolle und Netzsperren
Es geht um viel mehr als nur die Chatkontrolle

Neben der umstrittenen Chatkontrolle enthält der Gesetzentwurf der EU-Kommission auch Vorgaben zur Altersverifkation, Netzsperren und Appstores.
Eine Analyse von Moritz Tremmel und Friedhelm Greis

Alterskontrolle und Netzsperren: Es geht um viel mehr als nur die Chatkontrolle
Artikel
  1. Liberty Lifter: US-Militär lässt ein eigenes Ekranoplan entwickeln
    Liberty Lifter
    US-Militär lässt ein eigenes Ekranoplan entwickeln

    In den 1960er Jahren schockten die Sowjets den Westen mit dem Kaspischen Seemonster. Die Darpa will ein eigenes, besseres Bodeneffektfahrzeug bauen.

  2. Amazons E-Book-Reader: Alte Kindle-Modelle verlieren Buchkauf und -ausleihe
    Amazons E-Book-Reader
    Alte Kindle-Modelle verlieren Buchkauf und -ausleihe

    Amazon streicht in Kürze auf fünf älteren Kindle-Modellen alle Funktionen, die mit Amazons E-Book-Store zusammenhängen.

  3. Finanzierungsrunde: Faltbares Elektroauto City Transformer kann in Serie gehen
    Finanzierungsrunde
    Faltbares Elektroauto City Transformer kann in Serie gehen

    Der Kleinstwagen City Transformer verkleinert sich zum Parken automatisch. Eine erfolgreiche Finanzierungsrunde macht die Serienproduktion möglich.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Days of Play: (u. a. PS5-Controller (alle Farben) günstig wie nie: 49,99€, PS5-Headset Sony Pulse 3D günstig wie nie: 79,99€) • Viewsonic Gaming-Monitore günstiger • Mindstar (u. a. MSI RTX 3090 24GB 1.599€) • Xbox Series X bestellbar • Samsung SSD 1TB 79€ [Werbung]
    •  /