Abo
  • Services:

DUHK-Angriff: Vermurkster Zufallszahlengenerator mit Zertifizierung

Ein alter Zufallszahlengenerator ist nur dann sicher, wenn ein dafür verwendeter Schlüssel geheimgehalten wird. Doch eine Reihe von Geräten benutzt einfach immer den selben Schlüssel - darunter zehntausende Appliances von Fortinet.

Artikel veröffentlicht am , Hanno Böck
DUHK - eine Krypto-Sicherheitslücke mit Zertifizierungen von Common Criteria und FIPS
DUHK - eine Krypto-Sicherheitslücke mit Zertifizierungen von Common Criteria und FIPS (Bild: Emoji / CC Logo / FIPS Logo)

Der Zufallszahlengenerator aus dem Standard ANSI X9.31 ist in vielen Fällen unsicher implementiert worden und erlaubt es Angreifern, verschlüsselte Verbindungen mitzulesen. Herausgefunden haben das die Kryptographen Shaanan Coney, Nadia Heninger und Matthew Green anhand der Dokumente für FIPS-Zertifizierungen. Die Sicherheitslücke wurde mit dem Namen DUHK getauft - die Abkürzung steht für "Don't Use Hard-coded Keys" - und hat die Kennung CVE-2016-8492.

Stellenmarkt
  1. ING-DiBa AG, Frankfurt
  2. OTTO JUNKER GmbH, Simmerath

Der betroffene Zufallszahlengenerator hat eine besondere Eigenschaft: Er verwendet das Verschlüsselungsverfahren AES und benutzt dafür einen Schlüssel, der für die Sicherheit des Verfahrens entscheidend ist. Bereits 1998 haben einige namhafte Kryptographen darauf hingewiesen. Wer den Schlüssel für die AES-Verschlüsselung kennt, der kann anhand der Kenntnis weniger Zufallszahlen und eines Zeitstempels sowohl vergangene als auch zukünftige Ausgaben des Zufallszahlengenerators berechnen.

Theoretisch kann man den X9.31-Zufallszahlengenerator also sicher benutzen - wenn man sicherstellt, dass der Schlüssel geheim bleibt. Denkbar wäre es etwa, den Schlüssel selbst zufällig zu erstellen, etwa beim Booten eines Gerätes. Doch diese Konstruktion ist völlig unsicher, wenn der Schlüssel in einer Software auf einen festen Wert voreingestellt ist.

Suche nach fehlerhaften Implementierungen in FIPS-Dokumenten

Um herauszufinden, ob problematische Implementierungen existieren, haben die beteiligten Kryptographen nach Hinweisen auf solche unsicheren Implementierungen in den Dokumenten für FIPS-Zertifizierungen gesucht. FIPS ist ein System der US-Regierung, bei dem kryptographische Systeme auf ihre Sicherheit geprüft werden sollen. Bei einer Reihe von Dokumenten fanden sich deutliche Hinweise auf hardcodierte Schlüssel.

Bei Geräten des Herstellers Fortinet probierten die Kryptographen ihren Angriff praktisch aus und waren erfolgreich. Insgesamt fanden sie 25.000 Fortinet-Geräte im Internet, die von dieser Lücke betroffen sind. VPN- und TLS-Verbindungen mit diesen Geräten können von einem Angreifer, der diese passiv mitlauscht, geknackt werden. Die einzige Herausforderung: Der Angreiffer muss den Timestamp erraten. Der ist in Millisekunden angegeben. Da die jeweiligen Protokolle jedoch selbst einen Timestamp - allerdings nur Sekundengenau - enthalten, ist das selbst bei passiv mitgelauschten Daten möglich, man muss lediglich einige Tausend Varianten durchprobieren.

Die betroffenen Geräte nutzen das alte System FortiOS 4. Neuere Fortinet-Geräte verwenden diesen Zufallszahlengenerator nicht mehr. Für die betroffenen Geräte gibt es ein Sicherheitsupdate. Fortinet stand Anfang 2016 in der Kritik, da in der Firmware von älteren Geräten eine SSH-Backdoor gefunden wurde. Dieser Vorfall wurde von Fortinet nie aufgeklärt.

Die DUHK-Lücke hat gewisse Ähnlichkeit mit dem Zufallszahlengenerator Dual EC DRBG. Dieser Zufallszahlengenerator - das ist inzwischen praktisch unstrittig - enthält eine Hintertür der NSA. Auch bei Dual EC kann ein Angreifer mit Kenntnis eines bestimmten Schlüssels die Ausgabe vorhersagen. Doch es gibt einen entscheidenden Unterschied: Bei Dual EC kennt selbst derjenige, der den Zufallszahlengenerator betreibt, den geheimen Schlüssel nicht, da hier ein Public-Key-Verfahren zum Einsatz kommt. Der Gedanke liegt nahe, dass es sich bei ANSI X9.31 um einen primitiven Vorläufer von Dual EC handelt.

"Vordertüre, gesichert mit dem Schlüssel einer Hotel-Minibar"

Die Autoren des Angriffs äußern sich nur Scherzhaft über die Möglichkeit einer Hintertüre. Es handle sich eher um eine Vordertüre, "gesichert mit dem Schlüssel einer Hotel-Minibar", schreiben sie in ihrer FAQ.

Es ist allerdings genauso gut vorstellbar, dass es sich schlicht um einen dummen Fehler beim Design des Zufallszahlengenerators handelt. Die Konstruktion stammt aus den 90ern und damit aus einer Zeit, in der die kryptographische Forschung noch in ihren Anfängen steckte.

Sehr kritisch äußert sich Matthew Green über FIPS-Zertifizierungen. Staatliche Krypto-Zertifizierungen seien "überwiegend wertlos", so das vernichtende Urteil von Green. Neben einer FIPS-Zertifizierung wurden die entsprechende Fortinet-Produkte auch nach dem System Common Criteria in der Klasse EAL 4+ zertifiziert. Erst vor wenigen Tagen hatten wir darüber berichtet, dass Infineon-RSA-Chips mit einer gravierende Sicherheitslücke vom BSI ebenfalls nach Common Criteria zertifiziert wurden.



Anzeige
Top-Angebote
  1. 359,99€ (Vergleichspreis ab 437,83€)
  2. (-88%) 2,49€
  3. (-77%) 11,49€
  4. 55,11€ (Bestpreis!)

My1 25. Okt 2017

ich glaube das ist dann ein klarer fall von schuld in der implementation, da kann die...

Jürgen Troll 24. Okt 2017

Ist wahrscheinlich synonym zu "Schlüssel um das Tagebuch einer 10-jährigen abzuschließen".


Folgen Sie uns
       


AMD Ryzen 7 2700X - Test

Wie gut ist der Ryzen-Refresh? In Anwendungen schlägt er sich sehr gut und ist in Spielen oft überraschend flott. Besonders schön: die Abwärtskompatibilität.

AMD Ryzen 7 2700X - Test Video aufrufen
Xperia XZ2 Compact im Test: Sonys kompaktes Top-Smartphone bleibt konkurrenzlos
Xperia XZ2 Compact im Test
Sonys kompaktes Top-Smartphone bleibt konkurrenzlos

Sony konzentriert sich beim Xperia XZ2 Compact erneut auf die alte Stärke der Serie und steckt ein technisch hervorragendes Smartphone in ein kompaktes Gehäuse. Heraus kommt ein kleines Gerät, das kaum Wünsche offenlässt und in dieser Größenordnung im Grunde ohne Konkurrenz ist.
Ein Test von Tobias Költzsch

  1. Xperia XZ2 Premium Sony stellt Smartphone mit lichtempfindlicher Dualkamera vor
  2. Sony Grundrauschen an Gerüchten über die Playstation 5 nimmt zu
  3. Playstation Sony-Chef Kaz Hirai verabschiedet sich mit starken Zahlen

HTC Vive Pro im Test: Das beste VR-Headset ist nicht der beste Kauf
HTC Vive Pro im Test
Das beste VR-Headset ist nicht der beste Kauf

Höhere Auflösung, integrierter Kopfhörer und ein sehr bequemer Kopfbügel: Das HTC Vive Pro macht alles besser und gilt für uns als das beste VR-Headset, das wir bisher ausprobiert haben. Allerdings ist der Preis dafür so hoch, dass kaufen meist keine clevere Entscheidung ist.
Ein Test von Oliver Nickel

  1. SteamVR Tracking 2.0 36 m² Spielfläche kosten 1.400 Euro
  2. VR-Headset HTCs Vive Pro kostet 880 Euro
  3. HTC Vive Pro ausprobiert VR-Headset hat mehr Pixel und Komfort

BeA: Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet
BeA
Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet

Das deutsche Rechtsanwaltsregister hat eine schwere Sicherheitslücke. Schuld daran ist eine veraltete Java-Komponente, die für einen Padding-Oracle-Angriff verwundbar ist. Das Rechtsanwaltsregister ist Teil des besonderen elektronischen Anwaltspostfachs, war aber anders als dieses weiterhin online.
Eine Exklusivmeldung von Hanno Böck

  1. BeA Secunet findet noch mehr Lücken im Anwaltspostfach
  2. EGVP Empfangsbestätigungen einer Klage sind verwertbar
  3. BeA Anwälte wollen Ende-zu-Ende-Verschlüsselung einklagen

    •  /