Dual EC: Angriff auf Zufallsgenerator mit Hintertür

Schwächen im Zufallsgenerator Dual EC DRBG lassen sich praktisch ausnutzen, um TLS-Verbindungen anzugreifen. Eine TLS-Erweiterung, die nie standardisiert wurde, erleichtert die Attacke enorm. Schon länger wird vermutet, dass Dual EC eine Hintertür der NSA enthält.

Artikel veröffentlicht am , Hanno Böck
Erneut gerät die BSAFE-Bibliothek von RSA Security ins Zwielicht.
Erneut gerät die BSAFE-Bibliothek von RSA Security ins Zwielicht. (Bild: RSA Security)

Ein Forscherteam hat die Auswirkungen einer möglichen Hintertür im Zufallsgenerator Dual EC DRBG auf TLS-Verbindungen untersucht. In verschiedenen Szenarien konnten TLS-Verbindungen praktisch angegriffen werden. Große Auswirkungen dürften die Angriffe dennoch nicht haben: Die Implementierungen von Dual EC werden nur selten genutzt. Ein Schlaglicht wirft die Untersuchung auf einen Vorschlag für eine TLS-Erweiterung namens "Extended Random".

Stellenmarkt
  1. Product Owner (w/m/d)
    pro aurum GmbH, München
  2. Software Projektleiter (m/w/d)
    DRÄXLMAIER Group, Vilsbiburg bei Landshut
Detailsuche

Bereits 2007, kurz nach der Veröffentlichung von Dual EC durch die US-Behörde Nist, zeigten die Kryptographen Dan Shumow und Niels Ferguson auf der Konferenz Crypto 2007, dass der Zufallsgenerator möglicherweise eine Hintertür enthält. Später wurde bekannt, dass bereits vor dieser Konferenz ein Patent angemeldet wurde, welches den Angriff beschreibt. Der Algorithmus nutzt zwei feste Parameter, P und Q, bei denen es sich um Punkte auf einer elliptischen Kurve handelt. Diese Punkte könnte man so wählen, dass man einen geheimen Wert kennt, der einen Angriff auf den Algorithmus ermöglicht. Unklar ist, ob dies absichtlich geschah, doch seit den Snowden-Enthüllungen gehen viele Kryptographen davon aus, dass man hier auf eine Hintertür der NSA gestoßen ist. Das Nist selbst empfiehlt inzwischen, Dual EC nicht mehr zu benutzten.

In der jetzt veröffentlichten Forschungsarbeit untersuchten die Autoren die Verschlüsselungsbibliotheken BSAFE, SChannel und OpenSSL. In allen dreien ist Dual EC implementiert. BSAFE, ein Produkt der Firma RSA, ist dabei die einzige Bibliothek, die Dual EC zeitweise in der Standardeinstellung nutzte. Wie bereits im vergangenen Jahr bekanntwurde, hatte die NSA 10 Millionen Dollar dafür bezahlt, dass RSA den Algorithmus in sein Produkt aufnimmt.

Um den Angriff zu ermöglichen, mussten die Autoren die Parameter P und Q durch ihre eigenen manipulierten Parameter ersetzen, von denen sie den geheimen Wert kannten, der einen Angriff auf den Algorithmus ermöglicht. Dabei stellten sie fest, dass die Implementierung von Dual EC in OpenSSL aufgrund eines Fehlers überhaupt nicht für TLS nutzbar war. Doch der Fehler ließ sich einfach korrigieren und für die weitere Untersuchung nutzten die Autoren eine selbst korrigierte Version von OpenSSL.

Golem Karrierewelt
  1. Deep Dive: Data Architecture mit Spark und Cloud Native: virtueller Ein-Tages-Workshop
    01.02.2023, Virtuell
  2. Kubernetes Dive-in-Workshop: virtueller Drei-Tage-Workshop
    17.-19.01.2023, Virtuell
Weitere IT-Trainings

Um einen Angriff auf den Zufallsgenerator zu ermöglichen, muss der Angreifer zunächst Kenntnis von einigen Zufallswerten erhalten, die der Algorithmus ausgibt. In den meisten Fällen reicht dabei die Ausgabe von 256 Bit. Die Arbeitsweise von TLS ermöglicht es in vielen Fällen bereits, durch simples Belauschen des Verbindungsaufbaus genügend Zufallswerte zu erfahren. Denn bereits hier wird ein Nonce und eine Session-ID erzeugt. Wenn die TLS-Implementierung hierfür denselben Zufallsgenerator wie für den späteren geheimen Verbindungsschlüssel wählt, lässt sich hiermit eine Verbindung angreifen und entschlüsseln. Falls als Public-Key-Algorithmus DSA oder DSA mit elliptischen Kurven (ECDSA) genutzt wird, ist sogar ein Knacken des privaten Schlüssels eines Servers möglich. Grund hierfür ist eine bekannte Schwäche von DSA und ECDSA bei der Nutzung schlechter Zufallszahlen. Beide Algorithmen kommen jedoch in der Praxis nur sehr selten bei TLS zum Einsatz.

Eine weitere Entdeckung dürfte wohl noch für manche Diskussionen sorgen: Eine Erweiterung des TLS-Protokolls namens Extended Random, die 2008 vorgeschlagen wurde, erleichtert den Angriff enorm. Statt über eine Stunde dauert ein Angriff hier nur noch Sekunden. Hierbei werden beim TLS-Handshake zusätzliche Zufallswerte ausgetauscht. Extended Random schaffte es nie über den Status eines Vorschlages ("Draft") bei der IETF hinaus. Von denselben Autoren gab es bereits einen früheren ähnlichen Entwurf und 2010 wurde erneut ein ähnlicher Vorschlag eingereicht. Keiner dieser Vorschläge wurde je standardisiert.

Das Besondere an Extended Random: Obwohl es nicht zum offiziellen Standard wurde, hatte RSA die Funktion bereits in seine Bibliothek BSAFE aufgenommen. In der untersuchten Version fand sich noch der deaktivierte Code für Extended Random und ließ sich durch die Änderung einer Variablen anschalten. Extended Random wurde von der NSA-Mitarbeiterin Margaret Salter und Eric Rescorla entwickelt. Rescorla arbeitet heute für Mozilla und war laut Aussage der Nachrichtenagentur Reuters nicht zu einer Stellungnahme bereit. Rescorla ist noch heute aktiv in der TLS-Arbeitsgruppe der IETF und hat erst kürzlich Vorschläge für eine Überarbeitung des TLS-Protokolls entwickelt.

Matthew Green, einer der Autoren des Angriffs, sagte laut Reuters, dass die offizielle Erklärung für die Einführung von Extended Random schwer zu glauben sei. Das Protokoll bietet offenbar keinerlei erkennbaren Sicherheitsgewinn gegenüber einer gewöhnlichen TLS-Verbindung.

Große praktische Auswirkungen haben die Entdeckungen vermutlich nicht. Die Autoren versuchten herauszufinden, wie viele Server im Internet eine der problematischen Verschlüsselungsbibliotheken nutzten. Das Problem dabei: Ohne die Kenntnis des geheimen Parameters lässt sich der Angriff nicht durchführen. Leicht erkennen ließ sich die Java-Implementierung von BSAFE. Diese fanden die Autoren jedoch nur auf etwa 700 Servern. Unklar ist, wie viele Server die C++-Version von BSAFE nutzten, denn diese lässt sich nicht durch einen einfachen Verbindungsaufbau erkennen. Deutlich verbreiteter ist Microsofts SChannel-Bibliothek, doch hier wird Dual EC in der Standardeinstellung nicht genutzt. Nur ein Server, bei dem der umstrittene Zufallsgenerator bewusst aktiviert wurde, wäre verwundbar. Da die OpenSSL-Version von Dual EC fehlerhaft war, wird sie vermutlich, wenn überhaupt, nur extrem selten eingesetzt. Die Autoren halten es dennoch in Ausnahmefällen für denkbar, denn die Korrektur des Fehlers sei relativ leicht möglich gewesen.

Nachtrag vom 1. April 2014, 21:30 Uhr

Einige der beteiligten Forscher haben inzwischen eine Webseite online gestellt, in der weitere Hintergründe zu Dual EC DRBG und den darin vorhandenen Problemen erläutert werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Jahressteuergesetz
Homeoffice-Pauschale wird noch einmal erhöht

Wer im Homeoffice arbeitet, kann mehr von der Steuer absetzen als bislang geplant. Der Maximalbetrag steigt an.

Jahressteuergesetz: Homeoffice-Pauschale wird noch einmal erhöht
Artikel
  1. Smartphone: Android bekommt Lesemodus und Youtube-Widgets
    Smartphone
    Android bekommt Lesemodus und Youtube-Widgets

    Google hat neue Funktionen für Android vorgestellt, die unter anderem Nutzern mit Sehschwäche helfen sollen.

  2. Feuerwehr: Brennende E-Autos kommen in den Sack
    Feuerwehr
    Brennende E-Autos kommen in den Sack

    Brennt der Akku eines E-Autos, ist die Nachbehandlung für die Feuerwehr eine Herausforderung. Ein Löschsack für das gesamte Auto soll helfen.

  3. BMW iX5 Hydrogen: Warum BMW an Brennstoffzellen-Autos festhält
    BMW iX5 Hydrogen
    Warum BMW an Brennstoffzellen-Autos festhält

    Zusammen mit Toyota produziert BMW einen Brennstoffzellen-Antrieb, der nun in eine Demoflotte eingebaut wird. Wir haben uns die Produktion angeschaut.
    Ein Bericht von Friedhelm Greis

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Bundle vorbestellbar • Amazon-Geräte bis 53% günstiger, u. a. Echo Dot 5. Gen. 29,99€ • Mindstar: AMD Ryzen 7 7700X Tray 369€ • Advent-Tagesdeals bei MediaMarkt/Saturn: u. a. E-Auto-Wallbox 399€ • LG OLED TV (2022) 55" 120Hz 949€ • Alternate: Kingston 8GB DDR5-4800 37,99€ [Werbung]
    •  /