Diffie-Hellman-Seitenkanal: Raccoon-Angriff auf TLS betrifft nur Wenige

Forscher zeigen eine bislang unbekannte Schwäche im TLS-Protokoll, die praktischen Risiken sind aber sehr gering.

Artikel veröffentlicht am ,
Raccoon heißt eine neu entdeckte Sicherheitslücke in TLS. Praktische Relevanz hat sie kaum.
Raccoon heißt eine neu entdeckte Sicherheitslücke in TLS. Praktische Relevanz hat sie kaum. (Bild: tnhs_project)

Ein Team von Kryptographen hat eine Schwachstelle im Verschlüsselungsprotokoll TLS 1.2 und älter im Zusammenhang mit dem Diffie-Hellman-Schlüsselaustausch entdeckt und unter dem Namen Raccoon veröffentlicht. Hierzu wird ein Timing-Angriff genutzt. Damit der Angriff funktioniert, müssen allerdings sehr viele Bedingungen erfüllt sein.

Stellenmarkt
  1. IT-Systemadministrator*in (m/w/d)
    Universität Osnabrück, Osnabrück
  2. IT Support- und Digitalisierungsmanager(in) (w/m/d)
    Krone gebäudemanagment und technologie gmbh, Berlin
Detailsuche

Ein Diffie-Hellman-Schlüsselaustausch wird in TLS genutzt, um zwischen Server und Client einen gemeinsamen Schlüssel für die spätere TLS-Verbindung zu erzeugen, das sogenannte Premaster-Secret. Bei der Erzeugung des Premaster-Secrets werden die Ergebnisse des Schlüsselaustauschs gehasht, hierbei werden aber in TLS 1.2 zunächst die führenden Nullen entfernt.

Zeitunterschied bei Berechnung von Hashfunktion

Genau das ist die Grundlage des Angriffs. Denn wenn führende Nullen entfernt werden, verkürzt sich die Eingabelänge der Hashfunktion - was zu einem messbaren Zeitunterschied führt. Anders ausgedrückt: Wenn das Ergebnis des Diffie-Hellman-Schlüsselaustauschs führende Nullen hat, kann man das messen.

Das alleine hilft noch nicht viel, denn man würde nur wenige Bits von einen viel längeren Schlüssel erhalten. Doch wie die Entdecker des Angriffs feststellten, kann man einen abgefangenen Schlüsselaustausch mehrfach modifiziert an den Server schicken. Dadurch kann man immer mehr Informationen über den abgefangenen Schlüsselaustausch bekommen und zuletzt den Schlüssel berechnen. Die mathematischen Details sind in einem wissenschaftlichen Papier beschrieben.

Golem Akademie
  1. Java EE 8 Komplettkurs: virtueller Fünf-Tage-Workshop
    24.–28. Januar 2022, virtuell
  2. Cloud Computing mit Amazon Web Services (AWS): virtueller Drei-Tage-Workshop
    14.–16. Februar 2022, virtuell
Weitere IT-Trainings

Damit das Ganze funktioniert, müssen mehrere Bedingungen erfüllt sein. Zunächst einmal müssen Client und Server der angegriffenen Verbindung überhaupt einen Diffie-Hellman-Schlüsselaustausch mit einer verwundbaren TLS-Version verwenden. Das ist heutzutage sehr selten, denn moderne Server und Clients nutzen fast immer einen Schlüsselaustausch mit elliptischen Kurven. Damit funktioniert der Angriff nicht, da hier führende Nullen nicht entfernt werden.

In TLS 1.3 gibt es den klassischen Diffie-Hellman-Schlüsselaustauch zwar noch, er wird aber zum einen selten verwendet, zum anderen werden auch hier führende Nullen nicht mehr abgeschnitten. Der Angriff funktioniert in der aktuellen TLS-Version also selbst dann nicht, wenn das klassische Diffie-Hellman-Verfahren verwendet wird.

Angriff funktioniert nur wenn Server Schlüsselteil mehrfach verwendet

Für einen erfolgreichen Angriff muss der Server immer denselben geheimen Wert beim Schlüsselaustausch verwenden. Einige Server tun das aus Performancegründen, allerdings ist das inzwischen vergleichsweise selten, da es in der Vergangenheit schon andere Sicherheitslücken gab, die darauf aufbauten, einen mehrfach genutzten geheimen Schlüsselwert eines Servers anzugreifen. Wenn ein Server für jede Verbindung einen neuen geheimen Wert benutzt funktioniert der Angriff nicht.

Letztendlich handelt es sich also um eine Lücke, die in den allermeisten Fällen irrelevant sein dürfte. Relevant ist die Forschung trotzdem, denn sie zeigt, dass bei der Entwicklung von Protokollen Seitenkanäle wie etwa die Zeit, die ein Algorithmus braucht, bisher nicht ausreichend berücksichtigt wurden.Es ist auch gut möglich, dass Varianten des Raccoon-Angriffs in Zukunft noch relevant werden, etwa durch die Ausnutzung anderer Seitenkanäle oder in anderen Protokollen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Kanadische Polizei
Diebe nutzen Apples Airtags zum Tracking von Luxuswagen

Autodiebe in Kanada nutzen offenbar Apples Airtags, um Fahrzeuge heimlich zu orten.

Kanadische Polizei: Diebe nutzen Apples Airtags zum Tracking von Luxuswagen
Artikel
  1. Blender Foundation: Blender 3.0 ist da
    Blender Foundation
    Blender 3.0 ist da

    Die freie 3D-Software Blender bekommt ein Update - wir haben es uns angesehen.
    Von Martin Wolf

  2. 4 Motoren und 4-Rad-Lenkung: Tesla aktualisiert Cybertruck
    4 Motoren und 4-Rad-Lenkung
    Tesla aktualisiert Cybertruck

    Tesla-Chef Elon Musk hat einige Änderungen am Cybertruck angekündigt. Der elektrische Pick-up-Truck wird mit vier Motoren ausgerüstet.

  3. DSIRF: Hackerbehörde Zitis prüft österreichischen Staatstrojaner
    DSIRF
    Hackerbehörde Zitis prüft österreichischen Staatstrojaner

    Deutsche Behörden sind mit mehreren Staatstrojaner-Herstellern im Gespräch. Nun ist ein weiterer mit Sitz in Wien bekanntgeworden.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Advent: SanDisk Ultra 3D 1 TB 77€ • KFA2 Geforce RTX 3070 OC 8GB 1.019€ • Alternate (u. a. AKRacing Core SX 269,98€) • Sharkoon PureWriter RGB 44,90€ • Corsair K70 RGB MK.2 139,99€ • 2x Canton Plus GX.3 49€ • Gaming-Monitore günstiger (u. a. Samsung G3 27" 144Hz 219€) [Werbung]
    •  /