DUHK-Angriff: Vermurkster Zufallszahlengenerator mit Zertifizierung

Ein alter Zufallszahlengenerator ist nur dann sicher, wenn ein dafür verwendeter Schlüssel geheimgehalten wird. Doch eine Reihe von Geräten benutzt einfach immer den selben Schlüssel - darunter zehntausende Appliances von Fortinet.

Artikel veröffentlicht am , Hanno Böck
DUHK - eine Krypto-Sicherheitslücke mit Zertifizierungen von Common Criteria und FIPS
DUHK - eine Krypto-Sicherheitslücke mit Zertifizierungen von Common Criteria und FIPS (Bild: Emoji / CC Logo / FIPS Logo)

Der Zufallszahlengenerator aus dem Standard ANSI X9.31 ist in vielen Fällen unsicher implementiert worden und erlaubt es Angreifern, verschlüsselte Verbindungen mitzulesen. Herausgefunden haben das die Kryptographen Shaanan Coney, Nadia Heninger und Matthew Green anhand der Dokumente für FIPS-Zertifizierungen. Die Sicherheitslücke wurde mit dem Namen DUHK getauft - die Abkürzung steht für "Don't Use Hard-coded Keys" - und hat die Kennung CVE-2016-8492.

Stellenmarkt
  1. SAP Fiori/UI5 Entwickler (m/w/x)
    über duerenhoff GmbH, Hamburg
  2. Fachinformatiker Systemintegration (m/w/d)
    Staatliches Bauamt Kempten, Kempten (Allgäu)
Detailsuche

Der betroffene Zufallszahlengenerator hat eine besondere Eigenschaft: Er verwendet das Verschlüsselungsverfahren AES und benutzt dafür einen Schlüssel, der für die Sicherheit des Verfahrens entscheidend ist. Bereits 1998 haben einige namhafte Kryptographen darauf hingewiesen. Wer den Schlüssel für die AES-Verschlüsselung kennt, der kann anhand der Kenntnis weniger Zufallszahlen und eines Zeitstempels sowohl vergangene als auch zukünftige Ausgaben des Zufallszahlengenerators berechnen.

Theoretisch kann man den X9.31-Zufallszahlengenerator also sicher benutzen - wenn man sicherstellt, dass der Schlüssel geheim bleibt. Denkbar wäre es etwa, den Schlüssel selbst zufällig zu erstellen, etwa beim Booten eines Gerätes. Doch diese Konstruktion ist völlig unsicher, wenn der Schlüssel in einer Software auf einen festen Wert voreingestellt ist.

Suche nach fehlerhaften Implementierungen in FIPS-Dokumenten

Um herauszufinden, ob problematische Implementierungen existieren, haben die beteiligten Kryptographen nach Hinweisen auf solche unsicheren Implementierungen in den Dokumenten für FIPS-Zertifizierungen gesucht. FIPS ist ein System der US-Regierung, bei dem kryptographische Systeme auf ihre Sicherheit geprüft werden sollen. Bei einer Reihe von Dokumenten fanden sich deutliche Hinweise auf hardcodierte Schlüssel.

Golem Akademie
  1. Ansible Fundamentals: Systemdeployment & -management
    27.09.-01.10. 2021, online
Weitere IT-Trainings

Bei Geräten des Herstellers Fortinet probierten die Kryptographen ihren Angriff praktisch aus und waren erfolgreich. Insgesamt fanden sie 25.000 Fortinet-Geräte im Internet, die von dieser Lücke betroffen sind. VPN- und TLS-Verbindungen mit diesen Geräten können von einem Angreifer, der diese passiv mitlauscht, geknackt werden. Die einzige Herausforderung: Der Angreiffer muss den Timestamp erraten. Der ist in Millisekunden angegeben. Da die jeweiligen Protokolle jedoch selbst einen Timestamp - allerdings nur Sekundengenau - enthalten, ist das selbst bei passiv mitgelauschten Daten möglich, man muss lediglich einige Tausend Varianten durchprobieren.

Die betroffenen Geräte nutzen das alte System FortiOS 4. Neuere Fortinet-Geräte verwenden diesen Zufallszahlengenerator nicht mehr. Für die betroffenen Geräte gibt es ein Sicherheitsupdate. Fortinet stand Anfang 2016 in der Kritik, da in der Firmware von älteren Geräten eine SSH-Backdoor gefunden wurde. Dieser Vorfall wurde von Fortinet nie aufgeklärt.

Die DUHK-Lücke hat gewisse Ähnlichkeit mit dem Zufallszahlengenerator Dual EC DRBG. Dieser Zufallszahlengenerator - das ist inzwischen praktisch unstrittig - enthält eine Hintertür der NSA. Auch bei Dual EC kann ein Angreifer mit Kenntnis eines bestimmten Schlüssels die Ausgabe vorhersagen. Doch es gibt einen entscheidenden Unterschied: Bei Dual EC kennt selbst derjenige, der den Zufallszahlengenerator betreibt, den geheimen Schlüssel nicht, da hier ein Public-Key-Verfahren zum Einsatz kommt. Der Gedanke liegt nahe, dass es sich bei ANSI X9.31 um einen primitiven Vorläufer von Dual EC handelt.

"Vordertüre, gesichert mit dem Schlüssel einer Hotel-Minibar"

Die Autoren des Angriffs äußern sich nur Scherzhaft über die Möglichkeit einer Hintertüre. Es handle sich eher um eine Vordertüre, "gesichert mit dem Schlüssel einer Hotel-Minibar", schreiben sie in ihrer FAQ.

Es ist allerdings genauso gut vorstellbar, dass es sich schlicht um einen dummen Fehler beim Design des Zufallszahlengenerators handelt. Die Konstruktion stammt aus den 90ern und damit aus einer Zeit, in der die kryptographische Forschung noch in ihren Anfängen steckte.

Sehr kritisch äußert sich Matthew Green über FIPS-Zertifizierungen. Staatliche Krypto-Zertifizierungen seien "überwiegend wertlos", so das vernichtende Urteil von Green. Neben einer FIPS-Zertifizierung wurden die entsprechende Fortinet-Produkte auch nach dem System Common Criteria in der Klasse EAL 4+ zertifiziert. Erst vor wenigen Tagen hatten wir darüber berichtet, dass Infineon-RSA-Chips mit einer gravierende Sicherheitslücke vom BSI ebenfalls nach Common Criteria zertifiziert wurden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Realme GT im Test
Realmes neues Top-Smartphone startet zum Sonderpreis

Das Realme GT mit Snapdragon 888, schnellem AMOLED-Display und guter Kamera kostet anfangs nur 370 Euro - aber auch zum Normalpreis lohnt es sich.
Ein Test von Tobias Költzsch

Realme GT im Test: Realmes neues Top-Smartphone startet zum Sonderpreis
Artikel
  1. Elon Musk: Tesla-Chef verkauft sein letztes Haus in Kalifornien
    Elon Musk
    Tesla-Chef verkauft sein letztes Haus in Kalifornien

    Seit Mitte 2020 trennt sich Elon Musk nach und nach von seinen Immobilien. Nun verkauft er sein letztes Anwesen - eine Villa in Kalifornien.

  2. Apple: Manche iMacs sind schief
    Apple
    Manche iMacs sind schief

    Immer mehr Kunden erhalten wohl ihre iMacs mit schief installierten Panels. Käufer sind frustriert, die Community sieht Meme-Material.

  3. App Store ausgetrickst: Illegale Streaming-App als Sudoku-Client getarnt
    App Store ausgetrickst
    Illegale Streaming-App als Sudoku-Client getarnt

    In Apples App Store war sie als Sudoku-App gelistet, doch nach der Installation änderte sich die Oberfläche nach wenigen Sekunden.

My1 25. Okt 2017

ich glaube das ist dann ein klarer fall von schuld in der implementation, da kann die...

Jürgen Troll 24. Okt 2017

Ist wahrscheinlich synonym zu "Schlüssel um das Tagebuch einer 10-jährigen abzuschließen".


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Crucial MX500 500GB 48,99€ • Amazon-Geräte günstiger • WD Black SN850 500GB PCIe 4.0 89€ • Apple iPhone 12 mini 64GB Rot 589€ • Far Cry 6 + Steelbook PS5 69,99€ • E3-Aktion: Xbox-Spiele bei MM günstiger • Amazon Music Unlimited 6 Monate gratis bei Kauf eines Echo Dot (4. Gen.) [Werbung]
    •  /