Abo
  • Services:

Dual EC: Angriff auf Zufallsgenerator mit Hintertür

Schwächen im Zufallsgenerator Dual EC DRBG lassen sich praktisch ausnutzen, um TLS-Verbindungen anzugreifen. Eine TLS-Erweiterung, die nie standardisiert wurde, erleichtert die Attacke enorm. Schon länger wird vermutet, dass Dual EC eine Hintertür der NSA enthält.

Artikel veröffentlicht am , Hanno Böck
Erneut gerät die BSAFE-Bibliothek von RSA Security ins Zwielicht.
Erneut gerät die BSAFE-Bibliothek von RSA Security ins Zwielicht. (Bild: RSA Security)

Ein Forscherteam hat die Auswirkungen einer möglichen Hintertür im Zufallsgenerator Dual EC DRBG auf TLS-Verbindungen untersucht. In verschiedenen Szenarien konnten TLS-Verbindungen praktisch angegriffen werden. Große Auswirkungen dürften die Angriffe dennoch nicht haben: Die Implementierungen von Dual EC werden nur selten genutzt. Ein Schlaglicht wirft die Untersuchung auf einen Vorschlag für eine TLS-Erweiterung namens "Extended Random".

Stellenmarkt
  1. Oskar Böttcher GmbH & Co. KG, Berlin
  2. Cassini Consulting, Verschiedene Standorte

Bereits 2007, kurz nach der Veröffentlichung von Dual EC durch die US-Behörde Nist, zeigten die Kryptographen Dan Shumow und Niels Ferguson auf der Konferenz Crypto 2007, dass der Zufallsgenerator möglicherweise eine Hintertür enthält. Später wurde bekannt, dass bereits vor dieser Konferenz ein Patent angemeldet wurde, welches den Angriff beschreibt. Der Algorithmus nutzt zwei feste Parameter, P und Q, bei denen es sich um Punkte auf einer elliptischen Kurve handelt. Diese Punkte könnte man so wählen, dass man einen geheimen Wert kennt, der einen Angriff auf den Algorithmus ermöglicht. Unklar ist, ob dies absichtlich geschah, doch seit den Snowden-Enthüllungen gehen viele Kryptographen davon aus, dass man hier auf eine Hintertür der NSA gestoßen ist. Das Nist selbst empfiehlt inzwischen, Dual EC nicht mehr zu benutzten.

In der jetzt veröffentlichten Forschungsarbeit untersuchten die Autoren die Verschlüsselungsbibliotheken BSAFE, SChannel und OpenSSL. In allen dreien ist Dual EC implementiert. BSAFE, ein Produkt der Firma RSA, ist dabei die einzige Bibliothek, die Dual EC zeitweise in der Standardeinstellung nutzte. Wie bereits im vergangenen Jahr bekanntwurde, hatte die NSA 10 Millionen Dollar dafür bezahlt, dass RSA den Algorithmus in sein Produkt aufnimmt.

Um den Angriff zu ermöglichen, mussten die Autoren die Parameter P und Q durch ihre eigenen manipulierten Parameter ersetzen, von denen sie den geheimen Wert kannten, der einen Angriff auf den Algorithmus ermöglicht. Dabei stellten sie fest, dass die Implementierung von Dual EC in OpenSSL aufgrund eines Fehlers überhaupt nicht für TLS nutzbar war. Doch der Fehler ließ sich einfach korrigieren und für die weitere Untersuchung nutzten die Autoren eine selbst korrigierte Version von OpenSSL.

Um einen Angriff auf den Zufallsgenerator zu ermöglichen, muss der Angreifer zunächst Kenntnis von einigen Zufallswerten erhalten, die der Algorithmus ausgibt. In den meisten Fällen reicht dabei die Ausgabe von 256 Bit. Die Arbeitsweise von TLS ermöglicht es in vielen Fällen bereits, durch simples Belauschen des Verbindungsaufbaus genügend Zufallswerte zu erfahren. Denn bereits hier wird ein Nonce und eine Session-ID erzeugt. Wenn die TLS-Implementierung hierfür denselben Zufallsgenerator wie für den späteren geheimen Verbindungsschlüssel wählt, lässt sich hiermit eine Verbindung angreifen und entschlüsseln. Falls als Public-Key-Algorithmus DSA oder DSA mit elliptischen Kurven (ECDSA) genutzt wird, ist sogar ein Knacken des privaten Schlüssels eines Servers möglich. Grund hierfür ist eine bekannte Schwäche von DSA und ECDSA bei der Nutzung schlechter Zufallszahlen. Beide Algorithmen kommen jedoch in der Praxis nur sehr selten bei TLS zum Einsatz.

Eine weitere Entdeckung dürfte wohl noch für manche Diskussionen sorgen: Eine Erweiterung des TLS-Protokolls namens Extended Random, die 2008 vorgeschlagen wurde, erleichtert den Angriff enorm. Statt über eine Stunde dauert ein Angriff hier nur noch Sekunden. Hierbei werden beim TLS-Handshake zusätzliche Zufallswerte ausgetauscht. Extended Random schaffte es nie über den Status eines Vorschlages ("Draft") bei der IETF hinaus. Von denselben Autoren gab es bereits einen früheren ähnlichen Entwurf und 2010 wurde erneut ein ähnlicher Vorschlag eingereicht. Keiner dieser Vorschläge wurde je standardisiert.

Das Besondere an Extended Random: Obwohl es nicht zum offiziellen Standard wurde, hatte RSA die Funktion bereits in seine Bibliothek BSAFE aufgenommen. In der untersuchten Version fand sich noch der deaktivierte Code für Extended Random und ließ sich durch die Änderung einer Variablen anschalten. Extended Random wurde von der NSA-Mitarbeiterin Margaret Salter und Eric Rescorla entwickelt. Rescorla arbeitet heute für Mozilla und war laut Aussage der Nachrichtenagentur Reuters nicht zu einer Stellungnahme bereit. Rescorla ist noch heute aktiv in der TLS-Arbeitsgruppe der IETF und hat erst kürzlich Vorschläge für eine Überarbeitung des TLS-Protokolls entwickelt.

Matthew Green, einer der Autoren des Angriffs, sagte laut Reuters, dass die offizielle Erklärung für die Einführung von Extended Random schwer zu glauben sei. Das Protokoll bietet offenbar keinerlei erkennbaren Sicherheitsgewinn gegenüber einer gewöhnlichen TLS-Verbindung.

Große praktische Auswirkungen haben die Entdeckungen vermutlich nicht. Die Autoren versuchten herauszufinden, wie viele Server im Internet eine der problematischen Verschlüsselungsbibliotheken nutzten. Das Problem dabei: Ohne die Kenntnis des geheimen Parameters lässt sich der Angriff nicht durchführen. Leicht erkennen ließ sich die Java-Implementierung von BSAFE. Diese fanden die Autoren jedoch nur auf etwa 700 Servern. Unklar ist, wie viele Server die C++-Version von BSAFE nutzten, denn diese lässt sich nicht durch einen einfachen Verbindungsaufbau erkennen. Deutlich verbreiteter ist Microsofts SChannel-Bibliothek, doch hier wird Dual EC in der Standardeinstellung nicht genutzt. Nur ein Server, bei dem der umstrittene Zufallsgenerator bewusst aktiviert wurde, wäre verwundbar. Da die OpenSSL-Version von Dual EC fehlerhaft war, wird sie vermutlich, wenn überhaupt, nur extrem selten eingesetzt. Die Autoren halten es dennoch in Ausnahmefällen für denkbar, denn die Korrektur des Fehlers sei relativ leicht möglich gewesen.

Nachtrag vom 1. April 2014, 21:30 Uhr

Einige der beteiligten Forscher haben inzwischen eine Webseite online gestellt, in der weitere Hintergründe zu Dual EC DRBG und den darin vorhandenen Problemen erläutert werden.



Anzeige
Top-Angebote
  1. ab 519€ bei Alternate lieferbar
  2. (u. a. Pacific Rim Uprising, Game Night, Greatest Showman, Lady Bird, Ghostland, Weltengänger)
  3. WLAN-Repeater 21,60€, 8-Port-Switch 26,60€, Nano WLAN USB-Adapter 5,75€)
  4. (heute u. a. Dockin Bluetooth-Lautsprecher)

M. 02. Apr 2014

Das ist gar nicht mal nötig. Es gibt viele Verfahren, die nach aktuellem Stand der...


Folgen Sie uns
       


Pocophone F1 - Test

Das Pocophone F1 gehört zu den günstigsten Topsmartphones auf dem Markt - nur 330 Euro müssen Käufer für das Gerät bezahlen. Dafür bekommen sie eine Dualkamera und einen Snapdragon 845. Wer mit ein paar Kompromissen leben kann, macht mit dem Smartphone nichts falsch.

Pocophone F1 - Test Video aufrufen
Gigabit: 5G-Planungen gehen völlig an den Nutzern vorbei
Gigabit
5G-Planungen gehen völlig an den Nutzern vorbei

Fast täglich hören wir Erklärungen aus der Telekommunikationsbranche, was 5G erfüllen müsse und warum sonst das Ende der Welt drohe. Wir haben die Konzerngruppen nach Interessenlage kartografiert.
Ein IMHO von Achim Sawall

  1. Fixed Wireless Access Nokia bringt mehrere 100 MBit/s mit LTE ins Festnetz
  2. Funklöcher Telekom bietet freiwillig hohe 5G-Netzabdeckung an
  3. 5G Telekom hat ihr Mobilfunknetz mit Glasfaser versorgt

Apple Watch im Test: Auch ohne EKG die beste Smartwatch
Apple Watch im Test
Auch ohne EKG die beste Smartwatch

Apples vierte Watch verändert das Display-Design leicht - zum Wohle des Nutzers. Die Uhr bietet immer noch mit die beste Smartwatch-Erfahrung, auch wenn eine der neuen Funktionen in Deutschland noch nicht funktioniert.
Ein Test von Tobias Költzsch

  1. Skydio R1 Apple Watch zur Drohnensteuerung verwendet
  2. Smartwatch Apple Watch Series 4 mit EKG und Sturzerkennung
  3. Smartwatch Apple Watch Series 4 nur mit sechs Modellen

Neuer Echo Dot im Test: Amazon kann doch gute Mini-Lautsprecher bauen
Neuer Echo Dot im Test
Amazon kann doch gute Mini-Lautsprecher bauen

Echo Dot steht bisher für muffigen, schlechten Klang. Mit dem neuen Modell zeigt Amazon, dass es doch gute smarte Mini-Lautsprecher mit dem Alexa-Sprachassistenten bauen kann, die sogar gegen die Konkurrenz von Google ankommen.
Ein Test von Ingo Pakalski


      •  /