Abo
  • Services:
Anzeige
Erneut gerät die BSAFE-Bibliothek von RSA Security ins Zwielicht.
Erneut gerät die BSAFE-Bibliothek von RSA Security ins Zwielicht. (Bild: RSA Security)

Dual EC: Angriff auf Zufallsgenerator mit Hintertür

Schwächen im Zufallsgenerator Dual EC DRBG lassen sich praktisch ausnutzen, um TLS-Verbindungen anzugreifen. Eine TLS-Erweiterung, die nie standardisiert wurde, erleichtert die Attacke enorm. Schon länger wird vermutet, dass Dual EC eine Hintertür der NSA enthält.

Anzeige

Ein Forscherteam hat die Auswirkungen einer möglichen Hintertür im Zufallsgenerator Dual EC DRBG auf TLS-Verbindungen untersucht. In verschiedenen Szenarien konnten TLS-Verbindungen praktisch angegriffen werden. Große Auswirkungen dürften die Angriffe dennoch nicht haben: Die Implementierungen von Dual EC werden nur selten genutzt. Ein Schlaglicht wirft die Untersuchung auf einen Vorschlag für eine TLS-Erweiterung namens "Extended Random".

Bereits 2007, kurz nach der Veröffentlichung von Dual EC durch die US-Behörde Nist, zeigten die Kryptographen Dan Shumow und Niels Ferguson auf der Konferenz Crypto 2007, dass der Zufallsgenerator möglicherweise eine Hintertür enthält. Später wurde bekannt, dass bereits vor dieser Konferenz ein Patent angemeldet wurde, welches den Angriff beschreibt. Der Algorithmus nutzt zwei feste Parameter, P und Q, bei denen es sich um Punkte auf einer elliptischen Kurve handelt. Diese Punkte könnte man so wählen, dass man einen geheimen Wert kennt, der einen Angriff auf den Algorithmus ermöglicht. Unklar ist, ob dies absichtlich geschah, doch seit den Snowden-Enthüllungen gehen viele Kryptographen davon aus, dass man hier auf eine Hintertür der NSA gestoßen ist. Das Nist selbst empfiehlt inzwischen, Dual EC nicht mehr zu benutzten.

In der jetzt veröffentlichten Forschungsarbeit untersuchten die Autoren die Verschlüsselungsbibliotheken BSAFE, SChannel und OpenSSL. In allen dreien ist Dual EC implementiert. BSAFE, ein Produkt der Firma RSA, ist dabei die einzige Bibliothek, die Dual EC zeitweise in der Standardeinstellung nutzte. Wie bereits im vergangenen Jahr bekanntwurde, hatte die NSA 10 Millionen Dollar dafür bezahlt, dass RSA den Algorithmus in sein Produkt aufnimmt.

Um den Angriff zu ermöglichen, mussten die Autoren die Parameter P und Q durch ihre eigenen manipulierten Parameter ersetzen, von denen sie den geheimen Wert kannten, der einen Angriff auf den Algorithmus ermöglicht. Dabei stellten sie fest, dass die Implementierung von Dual EC in OpenSSL aufgrund eines Fehlers überhaupt nicht für TLS nutzbar war. Doch der Fehler ließ sich einfach korrigieren und für die weitere Untersuchung nutzten die Autoren eine selbst korrigierte Version von OpenSSL.

Um einen Angriff auf den Zufallsgenerator zu ermöglichen, muss der Angreifer zunächst Kenntnis von einigen Zufallswerten erhalten, die der Algorithmus ausgibt. In den meisten Fällen reicht dabei die Ausgabe von 256 Bit. Die Arbeitsweise von TLS ermöglicht es in vielen Fällen bereits, durch simples Belauschen des Verbindungsaufbaus genügend Zufallswerte zu erfahren. Denn bereits hier wird ein Nonce und eine Session-ID erzeugt. Wenn die TLS-Implementierung hierfür denselben Zufallsgenerator wie für den späteren geheimen Verbindungsschlüssel wählt, lässt sich hiermit eine Verbindung angreifen und entschlüsseln. Falls als Public-Key-Algorithmus DSA oder DSA mit elliptischen Kurven (ECDSA) genutzt wird, ist sogar ein Knacken des privaten Schlüssels eines Servers möglich. Grund hierfür ist eine bekannte Schwäche von DSA und ECDSA bei der Nutzung schlechter Zufallszahlen. Beide Algorithmen kommen jedoch in der Praxis nur sehr selten bei TLS zum Einsatz.

Eine weitere Entdeckung dürfte wohl noch für manche Diskussionen sorgen: Eine Erweiterung des TLS-Protokolls namens Extended Random, die 2008 vorgeschlagen wurde, erleichtert den Angriff enorm. Statt über eine Stunde dauert ein Angriff hier nur noch Sekunden. Hierbei werden beim TLS-Handshake zusätzliche Zufallswerte ausgetauscht. Extended Random schaffte es nie über den Status eines Vorschlages ("Draft") bei der IETF hinaus. Von denselben Autoren gab es bereits einen früheren ähnlichen Entwurf und 2010 wurde erneut ein ähnlicher Vorschlag eingereicht. Keiner dieser Vorschläge wurde je standardisiert.

Das Besondere an Extended Random: Obwohl es nicht zum offiziellen Standard wurde, hatte RSA die Funktion bereits in seine Bibliothek BSAFE aufgenommen. In der untersuchten Version fand sich noch der deaktivierte Code für Extended Random und ließ sich durch die Änderung einer Variablen anschalten. Extended Random wurde von der NSA-Mitarbeiterin Margaret Salter und Eric Rescorla entwickelt. Rescorla arbeitet heute für Mozilla und war laut Aussage der Nachrichtenagentur Reuters nicht zu einer Stellungnahme bereit. Rescorla ist noch heute aktiv in der TLS-Arbeitsgruppe der IETF und hat erst kürzlich Vorschläge für eine Überarbeitung des TLS-Protokolls entwickelt.

Matthew Green, einer der Autoren des Angriffs, sagte laut Reuters, dass die offizielle Erklärung für die Einführung von Extended Random schwer zu glauben sei. Das Protokoll bietet offenbar keinerlei erkennbaren Sicherheitsgewinn gegenüber einer gewöhnlichen TLS-Verbindung.

Große praktische Auswirkungen haben die Entdeckungen vermutlich nicht. Die Autoren versuchten herauszufinden, wie viele Server im Internet eine der problematischen Verschlüsselungsbibliotheken nutzten. Das Problem dabei: Ohne die Kenntnis des geheimen Parameters lässt sich der Angriff nicht durchführen. Leicht erkennen ließ sich die Java-Implementierung von BSAFE. Diese fanden die Autoren jedoch nur auf etwa 700 Servern. Unklar ist, wie viele Server die C++-Version von BSAFE nutzten, denn diese lässt sich nicht durch einen einfachen Verbindungsaufbau erkennen. Deutlich verbreiteter ist Microsofts SChannel-Bibliothek, doch hier wird Dual EC in der Standardeinstellung nicht genutzt. Nur ein Server, bei dem der umstrittene Zufallsgenerator bewusst aktiviert wurde, wäre verwundbar. Da die OpenSSL-Version von Dual EC fehlerhaft war, wird sie vermutlich, wenn überhaupt, nur extrem selten eingesetzt. Die Autoren halten es dennoch in Ausnahmefällen für denkbar, denn die Korrektur des Fehlers sei relativ leicht möglich gewesen.

Nachtrag vom 1. April 2014, 21:30 Uhr

Einige der beteiligten Forscher haben inzwischen eine Webseite online gestellt, in der weitere Hintergründe zu Dual EC DRBG und den darin vorhandenen Problemen erläutert werden.


eye home zur Startseite
M. 02. Apr 2014

Das ist gar nicht mal nötig. Es gibt viele Verfahren, die nach aktuellem Stand der...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Bühl
  2. T-Systems International GmbH, Bonn, Darmstadt, Frankfurt am Main, Göppingen
  3. RZV Rechenzentrum Volmarstein GmbH, Wetter (Ruhr)
  4. T-Systems International GmbH, München, Leinfelden-Echterdingen


Anzeige
Blu-ray-Angebote
  1. 16,99€ (ohne Prime bzw. unter 29€ Einkauf zzgl. 3€ Versand)
  2. (u. a. Hawaii Five-0, Call the Midwife, Blue Bloods)
  3. 65,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Prozessor

    Lightroom CC 6.9 exportiert deutlich schneller

  2. Telia

    Schwedischer ISP muss Nutzerdaten herausgeben

  3. Nokia

    Deutlich höhere Datenraten durch LTE 900 möglich

  4. Messenger

    Facebook sagt "Daumen runter"

  5. Wirtschaftsministerin

    Huawei wird in Bayern Netzwerkausrüstung herstellen

  6. Overwatch

    Blizzard will bessere Beschwerden

  7. Mobilfunk

    Nokia nutzt LTE bei 600 MHz erfolgreich

  8. Ohne Flash und Silverlight

    Netflix schließt HTML5-Umzug ab

  9. Mass Effect Andromeda im Technik-Test

    Frostbite für alle Rollenspieler

  10. Hannover

    Die Sommer-Cebit wird teuer



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nier Automata im Test: Stilvolle Action mit Überraschungen
Nier Automata im Test
Stilvolle Action mit Überraschungen
  1. Nvidia "KI wird die Computergrafik revolutionieren"
  2. The Avengers Project Marvel und Square Enix arbeiten an Superheldenoffensive
  3. Nintendo Switch erscheint am 3. März

NZXT: Lüfter auch unter Linux steuern
NZXT
Lüfter auch unter Linux steuern
  1. Creoqode 2048 Tragbare Spielekonsole zum Basteln erhältlich
  2. FluoWiFi Arduino-kompatibles Board bietet WLAN und Bluetooth
  3. Me Arm Pi Roboterarm zum Selberbauen

Mobile-Games-Auslese: Würfelkrieger und Kartendiebe für mobile Spieler
Mobile-Games-Auslese
Würfelkrieger und Kartendiebe für mobile Spieler

  1. Entsprechende Sicherheit

    Pjörn | 05:06

  2. Re: Wozu Telefonnummer und Email?

    Sharra | 04:53

  3. Schöner Vortrag heute

    George99 | 04:08

  4. Re: Klasse Desktop

    George99 | 03:51

  5. Re: Bin gerade in Norwegen

    Braineh | 03:38


  1. 18:26

  2. 18:18

  3. 18:08

  4. 17:39

  5. 16:50

  6. 16:24

  7. 15:46

  8. 14:39


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel