• IT-Karriere:
  • Services:

Diffie-Hellman: Unsinnige Krypto-Parameter

Ein kurzer Schlüsselaustausch bringt Chrome zum Absturz, andere Browser akzeptieren völlig unsinnige Parameter für einen Diffie-Hellman-Schlüsselaustausch. Im Zusammenhang mit den jüngst gefundenen TLS-Problemen könnte das ein Sicherheitsrisiko sein.

Artikel veröffentlicht am , Hanno Böck
Chrome stürzt beim Schicken kurzer Schlüsselaustausch-Parameter ab.
Chrome stürzt beim Schicken kurzer Schlüsselaustausch-Parameter ab. (Bild: Screenshot Golem.de)

Wer in den vergangenen Tagen versucht hat, die Webseite https://demo.cmrg.net/ mit einer aktuellen Version des Chrome-Browsers oder dessen freiem Pendant Chromium aufzurufen, hat feststellen müssen, dass dies den Browser zum Absturz gebracht hat. Darauf wurde am Dienstag über die Mailingliste oss-security hingewiesen. Die Nachricht verbreitete sich schnell und verschaffte der Testseite große Aufmerksamkeit.

Chrome stürzt ab

Inhalt:
  1. Diffie-Hellman: Unsinnige Krypto-Parameter
  2. Kein Browser prüft Primzahlen

Doch die Seite sollte eigentlich nicht dazu dienen, Abstürze in Browsern zu verursachen. Sie wurde laut einem Thread bei LWN.net bereits im November 2013 aufgesetzt und diente dazu, die Auswirkungen extrem kurzer Parameter bei einem Schlüsselaustausch mit Diffie-Hellman zu testen. Diffie-Hellman kann im TLS-Protokoll dazu genutzt werden, eine Verbindung mit Perfect Forward Secrecy aufzubauen.

Für einen Schlüsselaustausch mit Diffie-Hellman benötigt ein Server zwei Parameter, die er bei einem versuchten Verbindungsaufbau dem Client mitteilt: eine große Primzahl und einen sogenannten Generator. Von der Größe der Primzahl hängt die Sicherheit des Verfahrens ab. Üblich sind heutzutage meistens 1.024 Bit, was jedoch nicht mehr als sicher gilt. Vor allem der Apache-Webserver hat aber dafür gesorgt, dass ein derartig kurzer Schlüsselaustausch nach wie vor weit verbreitet ist. Erst in der jüngsten Version 2.4.7 verfügt Apache über die Möglichkeit, einen Schlüsselaustausch mit größeren Primzahlen durchzuführen.

Die oben erwähnte Testseite versucht, eine Verbindung mit viel zu kurzen 16 Bit aufzubauen und entdeckte dabei offenbar einen gravierenden Bug im Code von Chromium. Wir haben uns daraufhin angesehen, wie andere Browser mit kurzen oder unsinnigen Schlüsselaustausch-Parametern umgehen.

Stellenmarkt
  1. Hays AG, Leipzig
  2. Schaeffler Technologies AG & Co. KG, Herzogenaurach

Mozilla Firefox lehnt einen Verbindungsaufbau mit sehr kurzen Primzahlen von 256 Bit und kleiner ab, Verbindungen mit 512 und 768 Bit waren jedoch möglich. Auch das ist aus heutiger Sicht sehr unsicher. Ähnlich verhält sich auch Chromium, wenn ein inzwischen verfügbarer Patch verwendet wird, der den Absturz verhindert. Beide Browser nutzen die NSS-Bibliothek, die Verbindungen mit sehr kurzen Primzahlen abblockt.

Internet Explorer: mangelhafter Support für Diffie-Hellman

Im Internet Explorer gestaltete sich ein Test etwas schwieriger, denn unter normalen Umständen unterstützt der Microsoft-Browser keinen Diffie-Hellman-Schlüsselaustausch. Er ermöglicht diesen nur, wenn ein Serverzertifikat mit einem DSA-Schlüssel eingesetzt wird, und dieser darf auch lediglich eine Länge von 1.024 Bit haben. DSA-Schlüssel für TLS-Verbindungen sind extrem ungewöhnlich, viele gängige Zertifizierungsstellen stellen nur für RSA-Schlüssel Zertifikate aus, für 1.024 Bit Länge heutzutage eigentlich generell nicht mehr. Wir stießen bei unserem Test aber darauf, dass man bei CAcert, einer freien Zertifizierungsstelle, die jedoch in den gängigen Browsern nicht integriert ist, nach wie vor DSA-Zertifikate mit 1.024 Bit ausstellen kann.

Im Internet Explorer wurden ähnlich wie bei Firefox und Chromium Verbindungen erst ab 512 Bit erlaubt. Interessanterweise verweigerte der Microsoft-Browser jedoch auch Verbindungen mit 2.048 und 4.096 Bit. Zu viel Sicherheit darf es bei Microsoft also auch nicht sein. Allerdings: In der Praxis ist das weitgehend irrelevant, da der Internet Explorer mit gängigen RSA-Zertifikaten nur einen Schlüsselaustausch über elliptische Kurven zulässt.

Opera verbindet erst ab 1.024 Bit

Opera zeigte sich deutlich strenger als die anderen Browser, was kurze Primzahlen angeht. Bei Verbindungen unter 1.024 Bit zeigt Opera eine Warnung und fragt den Nutzer, ob er sich wirklich verbinden möchte. Empfehlenswert wäre es, wenn andere Browser hier nachziehen. Legitime Gründe, einen Schlüsselaustausch mit weniger als 1.024 Bit durchzuführen, gibt es keine.

Interessant war das Verhalten von Safari unter Mac OS und von Konqueror unter Linux. Beide Browser akzeptierten praktisch alles an unsinnigen Parametern. Selbst mit extrem kleinen Primzahlen wie 17 akzeptierten die Browser einen Verbindungsaufbau. Sogar mit 15 als "Primzahl" ließ sich eine Verbindung aufbauen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Kein Browser prüft Primzahlen 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 96,51€

hab (Golem.de) 07. Mär 2014

Das stimmt schon, IPsec benutzt auch Encrypt-then-MAC schon seit Ewigkeiten. Auch SSH ist...

linus9000 07. Mär 2014

Alles klar, Kommando zurück! Geht tatsächlich nicht. Offensichtlich habe ich da mit dem 2...

olqs 07. Mär 2014

Das geht ziemlich einfach: telnet 25 ehlo paypal.de mail from: service@paypal.de rcpt...

HanseDavion 07. Mär 2014

Ja, das ergibt Sinn. Dann doch lieber einen klugen Algorithmus erfinden.

ello 07. Mär 2014

Habe die selbe Version und meine stürzt ab, wo liegt der unterschied? Betriebsystem: Win...


Folgen Sie uns
       


Ghost of Tsushima - Fazit

Mit Ghost of Tsushima macht Sony der Playstation 4 ein besonderes Abschiedsgeschenk. Statt auf massenkompatible Bombastgrafik setzt es auf eine stellenweise fast schon surreal-traumhafte Aufmachung, bei der wir an Indiegames denken. Dazu kommen viele Elemente eines Assassin's Creed in Japan - und wir finden sogar eine Prise Gothic.

Ghost of Tsushima - Fazit Video aufrufen
Arlt-Komplett-PC ausprobiert: Mit Ryzen Pro wird der Büro-PC sparsam und flott
Arlt-Komplett-PC ausprobiert
Mit Ryzen Pro wird der Büro-PC sparsam und flott

Acht Kerne, schnelle integrierte Grafik, NVMe-SSD direkt an der CPU: Ein mit Ryzen Pro 4000G ausgestatteter Rechner ist vielseitig.
Ein Hands-on von Marc Sauter

  1. Udoo Bolt Gear Mini-PC stopft Ryzen-CPU in 13 x 13 Zentimeter
  2. Vermeer AMD soll Ryzen 4000 mit 5 nm statt 7 nm produzieren
  3. Vermeer AMD unterstützt Ryzen 4000 auf X470 und B450

Mars 2020: Was ist neu am Marsrover Perseverance?
Mars 2020
Was ist neu am Marsrover Perseverance?

Er hat 2,5 Milliarden US-Dollar gekostet und sieht genauso aus wie Curiosity. Einiges ist dennoch neu, manches auch nur Spielzeug.
Von Frank Wunderlich-Pfeiffer


    Campus Networks: Wenn das 5G-Netz nicht jeden reinlässt
    Campus Networks
    Wenn das 5G-Netz nicht jeden reinlässt

    Über private 4G- und 5G-Netze gibt es meist nur Buzzwords. Wir wollten von einer Telekom-Expertin wissen, was die Campusnetze wirklich können und was noch nicht.
    Von Achim Sawall

    1. Funkstrahlung Bürgermeister in Oberbayern greifen 5G der Telekom an
    2. IRT Öffentlich-rechtlicher Rundfunk schließt Forschungszentrum
    3. Deutsche Telekom 5G im UMTS-Spektrum für die Hälfte der Bevölkerung

      •  /