Spuren einer NSA-Operation auf Canon-Druckern

Der ungewöhnlichste Fund von Google ist eine besondere Eigenheit von Canon-Druckern der Pixma-Serie (MX492, MG3650, MX495). Diese Drucker nutzen die Bibliothek BSAFE der Firma RSA Security.

Stellenmarkt

1. über experteer GmbH, deutschlandweit (Home-Office möglich)
2. Verlag C.H.BECK, München-Schwabing

Diese Bibliothek ist Teil eines größeren Skandals um den Zufallszahlengenerator Dual EC DRBG. Dieser Zufallszahlengenerator ist so gebaut, dass derjenige, der die Parameter dafür festlegt, eine Hintertür besitzt und die Ausgabe der Zufallszahlen berechnen kann. Es bestehen praktisch keine Zweifel daran, dass Dual EC von der NSA entwickelt wurde.

RSA Security nutzte genau diesen Zufallszahlengenerator - und ließ sich dafür von der NSA mit zehn Millionen US-Dollar bezahlen.

Inoffizielle Extended-Random-Erweiterung mit der Nummer 40

2014 untersuchte ein Forscherteam im Detail, wie man diesen Zufallszahlengenerator angreifen kann. Dabei fanden sie heraus, dass eine Erweiterung für TLS, die nie standardisiert wurde, dazu führt, dass ein Angriff auf Dual EC deutlich leichter wird. Mit der sogenannten Extended-Random-Erweiterung können bei TLS zusätzliche Zufallszahlen übertragen werden.

Die Forscher fanden damals auch heraus, dass in der BSAFE-Bibliothek Extended Random implementiert war, es war jedoch standardmäßig nicht aktiviert. Sie gingen davon aus, dass es tatsächlich nie in realen Produkten zum Einsatz kam.

Das war offenbar falsch. Denn das Problem mit den Canon-Druckern ist genau auf diese Extended-Random-Erweiterung zurückzuführen. Da diese nie standardisiert wurde, hat sie auch keine offizielle Nummer erhalten, anhand derer sie identifiziert wird. Die BSAFE-Entwickler nutzten schlicht eine beliebige Nummer - 40 - um diese Erweiterung zu identifizieren.

Das Problem: In TLS 1.3 wird genau diese Erweiterungsnummer genutzt, um sogenannte Keyshares - Teile eines Schlüsselaustausches - zu übertragen. Damit kommt es zu einem Konflikt, da die Systeme versuchen, die TLS-1.3-Erweiterung als Extended-Random-Daten zu interpretieren.

Soll man das Problem vermeiden - oder Nutzer zum Update drängen?

Canon plant ein Firmwareupdate. Man könnte das Problem natürlich vermeiden, indem man dem TLS-1.3-Keyshares eine andere Nummer gibt. Allerdings gibt es dazu schon Gegenstimmen, die argumentieren, dass es in dem Fall besser wäre, die Verbindung abzubrechen - um die Nutzer der Geräte zu einem Update zu bewegen. Schließlich besitzen sie ein Gerät, das unsicheres TLS mit einer NSA-Hintertüre durchführt.