Abo
  • Services:
Anzeige
DUHK - eine Krypto-Sicherheitslücke mit Zertifizierungen von Common Criteria und FIPS
DUHK - eine Krypto-Sicherheitslücke mit Zertifizierungen von Common Criteria und FIPS (Bild: Emoji / CC Logo / FIPS Logo)

DUHK-Angriff: Vermurkster Zufallszahlengenerator mit Zertifizierung

DUHK - eine Krypto-Sicherheitslücke mit Zertifizierungen von Common Criteria und FIPS
DUHK - eine Krypto-Sicherheitslücke mit Zertifizierungen von Common Criteria und FIPS (Bild: Emoji / CC Logo / FIPS Logo)

Ein alter Zufallszahlengenerator ist nur dann sicher, wenn ein dafür verwendeter Schlüssel geheimgehalten wird. Doch eine Reihe von Geräten benutzt einfach immer den selben Schlüssel - darunter zehntausende Appliances von Fortinet.

Der Zufallszahlengenerator aus dem Standard ANSI X9.31 ist in vielen Fällen unsicher implementiert worden und erlaubt es Angreifern, verschlüsselte Verbindungen mitzulesen. Herausgefunden haben das die Kryptographen Shaanan Coney, Nadia Heninger und Matthew Green anhand der Dokumente für FIPS-Zertifizierungen. Die Sicherheitslücke wurde mit dem Namen DUHK getauft - die Abkürzung steht für "Don't Use Hard-coded Keys" - und hat die Kennung CVE-2016-8492.

Anzeige

Der betroffene Zufallszahlengenerator hat eine besondere Eigenschaft: Er verwendet das Verschlüsselungsverfahren AES und benutzt dafür einen Schlüssel, der für die Sicherheit des Verfahrens entscheidend ist. Bereits 1998 haben einige namhafte Kryptographen darauf hingewiesen. Wer den Schlüssel für die AES-Verschlüsselung kennt, der kann anhand der Kenntnis weniger Zufallszahlen und eines Zeitstempels sowohl vergangene als auch zukünftige Ausgaben des Zufallszahlengenerators berechnen.

Theoretisch kann man den X9.31-Zufallszahlengenerator also sicher benutzen - wenn man sicherstellt, dass der Schlüssel geheim bleibt. Denkbar wäre es etwa, den Schlüssel selbst zufällig zu erstellen, etwa beim Booten eines Gerätes. Doch diese Konstruktion ist völlig unsicher, wenn der Schlüssel in einer Software auf einen festen Wert voreingestellt ist.

Suche nach fehlerhaften Implementierungen in FIPS-Dokumenten

Um herauszufinden, ob problematische Implementierungen existieren, haben die beteiligten Kryptographen nach Hinweisen auf solche unsicheren Implementierungen in den Dokumenten für FIPS-Zertifizierungen gesucht. FIPS ist ein System der US-Regierung, bei dem kryptographische Systeme auf ihre Sicherheit geprüft werden sollen. Bei einer Reihe von Dokumenten fanden sich deutliche Hinweise auf hardcodierte Schlüssel.

Bei Geräten des Herstellers Fortinet probierten die Kryptographen ihren Angriff praktisch aus und waren erfolgreich. Insgesamt fanden sie 25.000 Fortinet-Geräte im Internet, die von dieser Lücke betroffen sind. VPN- und TLS-Verbindungen mit diesen Geräten können von einem Angreifer, der diese passiv mitlauscht, geknackt werden. Die einzige Herausforderung: Der Angreiffer muss den Timestamp erraten. Der ist in Millisekunden angegeben. Da die jeweiligen Protokolle jedoch selbst einen Timestamp - allerdings nur Sekundengenau - enthalten, ist das selbst bei passiv mitgelauschten Daten möglich, man muss lediglich einige Tausend Varianten durchprobieren.

Die betroffenen Geräte nutzen das alte System FortiOS 4. Neuere Fortinet-Geräte verwenden diesen Zufallszahlengenerator nicht mehr. Für die betroffenen Geräte gibt es ein Sicherheitsupdate. Fortinet stand Anfang 2016 in der Kritik, da in der Firmware von älteren Geräten eine SSH-Backdoor gefunden wurde. Dieser Vorfall wurde von Fortinet nie aufgeklärt.

Die DUHK-Lücke hat gewisse Ähnlichkeit mit dem Zufallszahlengenerator Dual EC DRBG. Dieser Zufallszahlengenerator - das ist inzwischen praktisch unstrittig - enthält eine Hintertür der NSA. Auch bei Dual EC kann ein Angreifer mit Kenntnis eines bestimmten Schlüssels die Ausgabe vorhersagen. Doch es gibt einen entscheidenden Unterschied: Bei Dual EC kennt selbst derjenige, der den Zufallszahlengenerator betreibt, den geheimen Schlüssel nicht, da hier ein Public-Key-Verfahren zum Einsatz kommt. Der Gedanke liegt nahe, dass es sich bei ANSI X9.31 um einen primitiven Vorläufer von Dual EC handelt.

"Vordertüre, gesichert mit dem Schlüssel einer Hotel-Minibar"

Die Autoren des Angriffs äußern sich nur Scherzhaft über die Möglichkeit einer Hintertüre. Es handle sich eher um eine Vordertüre, "gesichert mit dem Schlüssel einer Hotel-Minibar", schreiben sie in ihrer FAQ.

Es ist allerdings genauso gut vorstellbar, dass es sich schlicht um einen dummen Fehler beim Design des Zufallszahlengenerators handelt. Die Konstruktion stammt aus den 90ern und damit aus einer Zeit, in der die kryptographische Forschung noch in ihren Anfängen steckte.

Sehr kritisch äußert sich Matthew Green über FIPS-Zertifizierungen. Staatliche Krypto-Zertifizierungen seien "überwiegend wertlos", so das vernichtende Urteil von Green. Neben einer FIPS-Zertifizierung wurden die entsprechende Fortinet-Produkte auch nach dem System Common Criteria in der Klasse EAL 4+ zertifiziert. Erst vor wenigen Tagen hatten wir darüber berichtet, dass Infineon-RSA-Chips mit einer gravierende Sicherheitslücke vom BSI ebenfalls nach Common Criteria zertifiziert wurden.


eye home zur Startseite
My1 25. Okt 2017

ich glaube das ist dann ein klarer fall von schuld in der implementation, da kann die...

Jürgen Troll 24. Okt 2017

Ist wahrscheinlich synonym zu "Schlüssel um das Tagebuch einer 10-jährigen abzuschließen".



Anzeige

Stellenmarkt
  1. EOS GmbH Electro Optical Systems, Krailling
  2. flexis AG, Chemnitz
  3. über Hanseatisches Personalkontor Osnabrück, Westmünsterland
  4. Computacenter AG & Co. oHG, Frankfurt


Anzeige
Hardware-Angebote
  1. und 20€ Steam-Guthaben abstauben

Folgen Sie uns
       


  1. Facebook

    Nutzer sollen Vertrauenswürdigkeit von Newsquellen bewerten

  2. Notebook-Grafik

    Nvidia hat eine Geforce GTX 1050 (Ti) mit Max-Q

  3. Gemini Lake

    Asrock und Gigabyte bringen Atom-Boards

  4. Eni HPC4

    Italienischer Supercomputer weltweit einer der schnellsten

  5. US-Wahl 2016

    Twitter findet weitere russische Manipulationskonten

  6. Die Woche im Video

    Das muss doch einfach schneller gehen!

  7. Breko

    Waipu TV gibt es jetzt für alle Netzbetreiber

  8. Magento

    Kreditkartendaten von bis zu 40.000 Oneplus-Käufern kopiert

  9. Games

    US-Spielemarkt wächst 2017 zweistellig

  10. Boeing und SpaceX

    ISS bald ohne US-Astronauten?



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Indiegames-Rundschau: Krawall mit Knetmännchen und ein Mann im Fass
Indiegames-Rundschau
Krawall mit Knetmännchen und ein Mann im Fass
  1. Games 2017 Die besten Indiespiele des Jahres
  2. Indiegames-Rundschau Von Weltraumpiraten und dem Wunderdoktor

Matthias Maurer: Ein Astronaut taucht unter
Matthias Maurer
Ein Astronaut taucht unter
  1. Planetologie Forscher finden große Eisvorkommen auf dem Mars
  2. SpaceX Geheimer Satellit der US-Regierung ist startklar
  3. Raumfahrt 2017 Wie SpaceX die Branche in Aufruhr versetzt

Nachbarschaftsnetzwerke: Nebenan statt mittendrin
Nachbarschaftsnetzwerke
Nebenan statt mittendrin
  1. Hasskommentare Soziale Netzwerke löschen freiwillig mehr Inhalte
  2. Nextdoor Das soziale Netzwerk für den Blockwart
  3. Hasskommentare Neuer Eco-Chef Süme will nicht mit AfD reden

  1. Re: Nicht so schwer:

    ms (Golem.de) | 04:13

  2. Re: schön die datenblätter zitiert

    ms (Golem.de) | 04:11

  3. Re: Funktioniert nicht

    User_x | 03:12

  4. Re: Wenn eMail so kritisch ist....

    User_x | 02:53

  5. Re: "Das Eigenlob Trumps ließ nicht lange auf...

    FreierLukas | 02:48


  1. 14:35

  2. 14:00

  3. 13:30

  4. 12:57

  5. 12:26

  6. 09:02

  7. 18:53

  8. 17:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel