Abo
  • Services:
Anzeige
Erneut gerät die BSAFE-Bibliothek von RSA Security ins Zwielicht.
Erneut gerät die BSAFE-Bibliothek von RSA Security ins Zwielicht. (Bild: RSA Security)

Dual EC: Angriff auf Zufallsgenerator mit Hintertür

Schwächen im Zufallsgenerator Dual EC DRBG lassen sich praktisch ausnutzen, um TLS-Verbindungen anzugreifen. Eine TLS-Erweiterung, die nie standardisiert wurde, erleichtert die Attacke enorm. Schon länger wird vermutet, dass Dual EC eine Hintertür der NSA enthält.

Anzeige

Ein Forscherteam hat die Auswirkungen einer möglichen Hintertür im Zufallsgenerator Dual EC DRBG auf TLS-Verbindungen untersucht. In verschiedenen Szenarien konnten TLS-Verbindungen praktisch angegriffen werden. Große Auswirkungen dürften die Angriffe dennoch nicht haben: Die Implementierungen von Dual EC werden nur selten genutzt. Ein Schlaglicht wirft die Untersuchung auf einen Vorschlag für eine TLS-Erweiterung namens "Extended Random".

Bereits 2007, kurz nach der Veröffentlichung von Dual EC durch die US-Behörde Nist, zeigten die Kryptographen Dan Shumow und Niels Ferguson auf der Konferenz Crypto 2007, dass der Zufallsgenerator möglicherweise eine Hintertür enthält. Später wurde bekannt, dass bereits vor dieser Konferenz ein Patent angemeldet wurde, welches den Angriff beschreibt. Der Algorithmus nutzt zwei feste Parameter, P und Q, bei denen es sich um Punkte auf einer elliptischen Kurve handelt. Diese Punkte könnte man so wählen, dass man einen geheimen Wert kennt, der einen Angriff auf den Algorithmus ermöglicht. Unklar ist, ob dies absichtlich geschah, doch seit den Snowden-Enthüllungen gehen viele Kryptographen davon aus, dass man hier auf eine Hintertür der NSA gestoßen ist. Das Nist selbst empfiehlt inzwischen, Dual EC nicht mehr zu benutzten.

In der jetzt veröffentlichten Forschungsarbeit untersuchten die Autoren die Verschlüsselungsbibliotheken BSAFE, SChannel und OpenSSL. In allen dreien ist Dual EC implementiert. BSAFE, ein Produkt der Firma RSA, ist dabei die einzige Bibliothek, die Dual EC zeitweise in der Standardeinstellung nutzte. Wie bereits im vergangenen Jahr bekanntwurde, hatte die NSA 10 Millionen Dollar dafür bezahlt, dass RSA den Algorithmus in sein Produkt aufnimmt.

Um den Angriff zu ermöglichen, mussten die Autoren die Parameter P und Q durch ihre eigenen manipulierten Parameter ersetzen, von denen sie den geheimen Wert kannten, der einen Angriff auf den Algorithmus ermöglicht. Dabei stellten sie fest, dass die Implementierung von Dual EC in OpenSSL aufgrund eines Fehlers überhaupt nicht für TLS nutzbar war. Doch der Fehler ließ sich einfach korrigieren und für die weitere Untersuchung nutzten die Autoren eine selbst korrigierte Version von OpenSSL.

Um einen Angriff auf den Zufallsgenerator zu ermöglichen, muss der Angreifer zunächst Kenntnis von einigen Zufallswerten erhalten, die der Algorithmus ausgibt. In den meisten Fällen reicht dabei die Ausgabe von 256 Bit. Die Arbeitsweise von TLS ermöglicht es in vielen Fällen bereits, durch simples Belauschen des Verbindungsaufbaus genügend Zufallswerte zu erfahren. Denn bereits hier wird ein Nonce und eine Session-ID erzeugt. Wenn die TLS-Implementierung hierfür denselben Zufallsgenerator wie für den späteren geheimen Verbindungsschlüssel wählt, lässt sich hiermit eine Verbindung angreifen und entschlüsseln. Falls als Public-Key-Algorithmus DSA oder DSA mit elliptischen Kurven (ECDSA) genutzt wird, ist sogar ein Knacken des privaten Schlüssels eines Servers möglich. Grund hierfür ist eine bekannte Schwäche von DSA und ECDSA bei der Nutzung schlechter Zufallszahlen. Beide Algorithmen kommen jedoch in der Praxis nur sehr selten bei TLS zum Einsatz.

Eine weitere Entdeckung dürfte wohl noch für manche Diskussionen sorgen: Eine Erweiterung des TLS-Protokolls namens Extended Random, die 2008 vorgeschlagen wurde, erleichtert den Angriff enorm. Statt über eine Stunde dauert ein Angriff hier nur noch Sekunden. Hierbei werden beim TLS-Handshake zusätzliche Zufallswerte ausgetauscht. Extended Random schaffte es nie über den Status eines Vorschlages ("Draft") bei der IETF hinaus. Von denselben Autoren gab es bereits einen früheren ähnlichen Entwurf und 2010 wurde erneut ein ähnlicher Vorschlag eingereicht. Keiner dieser Vorschläge wurde je standardisiert.

Das Besondere an Extended Random: Obwohl es nicht zum offiziellen Standard wurde, hatte RSA die Funktion bereits in seine Bibliothek BSAFE aufgenommen. In der untersuchten Version fand sich noch der deaktivierte Code für Extended Random und ließ sich durch die Änderung einer Variablen anschalten. Extended Random wurde von der NSA-Mitarbeiterin Margaret Salter und Eric Rescorla entwickelt. Rescorla arbeitet heute für Mozilla und war laut Aussage der Nachrichtenagentur Reuters nicht zu einer Stellungnahme bereit. Rescorla ist noch heute aktiv in der TLS-Arbeitsgruppe der IETF und hat erst kürzlich Vorschläge für eine Überarbeitung des TLS-Protokolls entwickelt.

Matthew Green, einer der Autoren des Angriffs, sagte laut Reuters, dass die offizielle Erklärung für die Einführung von Extended Random schwer zu glauben sei. Das Protokoll bietet offenbar keinerlei erkennbaren Sicherheitsgewinn gegenüber einer gewöhnlichen TLS-Verbindung.

Große praktische Auswirkungen haben die Entdeckungen vermutlich nicht. Die Autoren versuchten herauszufinden, wie viele Server im Internet eine der problematischen Verschlüsselungsbibliotheken nutzten. Das Problem dabei: Ohne die Kenntnis des geheimen Parameters lässt sich der Angriff nicht durchführen. Leicht erkennen ließ sich die Java-Implementierung von BSAFE. Diese fanden die Autoren jedoch nur auf etwa 700 Servern. Unklar ist, wie viele Server die C++-Version von BSAFE nutzten, denn diese lässt sich nicht durch einen einfachen Verbindungsaufbau erkennen. Deutlich verbreiteter ist Microsofts SChannel-Bibliothek, doch hier wird Dual EC in der Standardeinstellung nicht genutzt. Nur ein Server, bei dem der umstrittene Zufallsgenerator bewusst aktiviert wurde, wäre verwundbar. Da die OpenSSL-Version von Dual EC fehlerhaft war, wird sie vermutlich, wenn überhaupt, nur extrem selten eingesetzt. Die Autoren halten es dennoch in Ausnahmefällen für denkbar, denn die Korrektur des Fehlers sei relativ leicht möglich gewesen.

Nachtrag vom 1. April 2014, 21:30 Uhr

Einige der beteiligten Forscher haben inzwischen eine Webseite online gestellt, in der weitere Hintergründe zu Dual EC DRBG und den darin vorhandenen Problemen erläutert werden.


eye home zur Startseite
M. 02. Apr 2014

Das ist gar nicht mal nötig. Es gibt viele Verfahren, die nach aktuellem Stand der...



Anzeige

Stellenmarkt
  1. Bosch Energy and Building Solutions GmbH, Stuttgart-Weilimdorf
  2. C3 Creative Code and Content GmbH, Essen
  3. via Nash direct GmbH, Erlangen
  4. Bosch Service Solutions Magdeburg GmbH, Berlin


Anzeige
Spiele-Angebote
  1. 9,99€
  2. 11,49€
  3. 9,99€

Folgen Sie uns
       


  1. Archer CR700v

    Kabelrouter von TP-Link doch nicht komplett abgesagt

  2. QC35 II

    Bose bringt Kopfhörer mit eingebautem Google Assistant

  3. Nach "Judenhasser"-Eklat

    Facebook erlaubt wieder gezielte Werbung an Berufsgruppen

  4. Tuxedo

    Linux-Notebook läuft bis zu 20 Stunden

  5. Umfrage

    88 Prozent wollen bezahlbaren Breitbandanschluss

  6. Optimierungsprogramm

    Ccleaner-Malware sollte wohl Techkonzerne ausspionieren

  7. VPN

    Telekom startet ihr Weltnetz für Unternehmen

  8. Smartphone

    Apple könnte iPhone X verspätet ausliefern

  9. C't-Editorial kopiert

    Bundeswahlleiter stellt Strafanzeige gegen Brieffälscher

  10. Bundestagswahl 2017

    Viagra, Datenbankpasswörter und uralte Sicherheitslücken



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Metroid Samus Returns im Kurztest: Rückkehr der gelenkigen Kopfgeldjägerin
Metroid Samus Returns im Kurztest
Rückkehr der gelenkigen Kopfgeldjägerin
  1. Doom, Wolfenstein, Minecraft Nintendo kriegt große Namen
  2. Nintendo Das NES Classic Mini kommt 2018 noch einmal auf den Markt
  3. Nintendo Mario verlegt keine Rohre mehr

Galaxy Note 8 im Test: Samsungs teure Dual-Kamera-Premiere
Galaxy Note 8 im Test
Samsungs teure Dual-Kamera-Premiere
  1. Galaxy S8 und Note 8 Bixby-Button lässt sich teilweise deaktivieren
  2. Videos Youtube bringt HDR auf Smartphones
  3. Galaxy Note 8 im Hands on Auch das Galaxy Note sieht jetzt doppelt - für 1.000 Euro

Zukunft des Autos: "Unsere Elektrofahrzeuge sollen typische Porsche sein"
Zukunft des Autos
"Unsere Elektrofahrzeuge sollen typische Porsche sein"
  1. Concept EQA Mercedes elektrifiziert die Kompaktklasse
  2. GLC F-Cell Mercedes stellt SUV mit Brennstoffzelle und Akku vor
  3. ID Crozz VW stellt elektrisches Crossover vor

  1. Re: Straftatbestand?

    CHU | 16:10

  2. Re: Vorwärts Bosch! Aber wo bleibt Siemens?

    Dwalinn | 16:10

  3. Re: 53% ? Der Wert ist so ziemlich sinnfrei.

    RipClaw | 16:09

  4. Re: Grober Unfung und Alt

    M.P. | 16:08

  5. Re: Vodafone: Keine Probleme? Warum bekomme ich...

    Hazamel | 16:07


  1. 16:17

  2. 16:01

  3. 15:37

  4. 15:10

  5. 13:58

  6. 13:15

  7. 13:00

  8. 12:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel