Abo
  • Services:

DUHK-Angriff: Vermurkster Zufallszahlengenerator mit Zertifizierung

Ein alter Zufallszahlengenerator ist nur dann sicher, wenn ein dafür verwendeter Schlüssel geheimgehalten wird. Doch eine Reihe von Geräten benutzt einfach immer den selben Schlüssel - darunter zehntausende Appliances von Fortinet.

Artikel veröffentlicht am , Hanno Böck
DUHK - eine Krypto-Sicherheitslücke mit Zertifizierungen von Common Criteria und FIPS
DUHK - eine Krypto-Sicherheitslücke mit Zertifizierungen von Common Criteria und FIPS (Bild: Emoji / CC Logo / FIPS Logo)

Der Zufallszahlengenerator aus dem Standard ANSI X9.31 ist in vielen Fällen unsicher implementiert worden und erlaubt es Angreifern, verschlüsselte Verbindungen mitzulesen. Herausgefunden haben das die Kryptographen Shaanan Coney, Nadia Heninger und Matthew Green anhand der Dokumente für FIPS-Zertifizierungen. Die Sicherheitslücke wurde mit dem Namen DUHK getauft - die Abkürzung steht für "Don't Use Hard-coded Keys" - und hat die Kennung CVE-2016-8492.

Stellenmarkt
  1. IKK classic, Bergisch Gladbach, Bielefeld, Erfurt
  2. Hirschvogel Holding GmbH, Denklingen

Der betroffene Zufallszahlengenerator hat eine besondere Eigenschaft: Er verwendet das Verschlüsselungsverfahren AES und benutzt dafür einen Schlüssel, der für die Sicherheit des Verfahrens entscheidend ist. Bereits 1998 haben einige namhafte Kryptographen darauf hingewiesen. Wer den Schlüssel für die AES-Verschlüsselung kennt, der kann anhand der Kenntnis weniger Zufallszahlen und eines Zeitstempels sowohl vergangene als auch zukünftige Ausgaben des Zufallszahlengenerators berechnen.

Theoretisch kann man den X9.31-Zufallszahlengenerator also sicher benutzen - wenn man sicherstellt, dass der Schlüssel geheim bleibt. Denkbar wäre es etwa, den Schlüssel selbst zufällig zu erstellen, etwa beim Booten eines Gerätes. Doch diese Konstruktion ist völlig unsicher, wenn der Schlüssel in einer Software auf einen festen Wert voreingestellt ist.

Suche nach fehlerhaften Implementierungen in FIPS-Dokumenten

Um herauszufinden, ob problematische Implementierungen existieren, haben die beteiligten Kryptographen nach Hinweisen auf solche unsicheren Implementierungen in den Dokumenten für FIPS-Zertifizierungen gesucht. FIPS ist ein System der US-Regierung, bei dem kryptographische Systeme auf ihre Sicherheit geprüft werden sollen. Bei einer Reihe von Dokumenten fanden sich deutliche Hinweise auf hardcodierte Schlüssel.

Bei Geräten des Herstellers Fortinet probierten die Kryptographen ihren Angriff praktisch aus und waren erfolgreich. Insgesamt fanden sie 25.000 Fortinet-Geräte im Internet, die von dieser Lücke betroffen sind. VPN- und TLS-Verbindungen mit diesen Geräten können von einem Angreifer, der diese passiv mitlauscht, geknackt werden. Die einzige Herausforderung: Der Angreiffer muss den Timestamp erraten. Der ist in Millisekunden angegeben. Da die jeweiligen Protokolle jedoch selbst einen Timestamp - allerdings nur Sekundengenau - enthalten, ist das selbst bei passiv mitgelauschten Daten möglich, man muss lediglich einige Tausend Varianten durchprobieren.

Die betroffenen Geräte nutzen das alte System FortiOS 4. Neuere Fortinet-Geräte verwenden diesen Zufallszahlengenerator nicht mehr. Für die betroffenen Geräte gibt es ein Sicherheitsupdate. Fortinet stand Anfang 2016 in der Kritik, da in der Firmware von älteren Geräten eine SSH-Backdoor gefunden wurde. Dieser Vorfall wurde von Fortinet nie aufgeklärt.

Die DUHK-Lücke hat gewisse Ähnlichkeit mit dem Zufallszahlengenerator Dual EC DRBG. Dieser Zufallszahlengenerator - das ist inzwischen praktisch unstrittig - enthält eine Hintertür der NSA. Auch bei Dual EC kann ein Angreifer mit Kenntnis eines bestimmten Schlüssels die Ausgabe vorhersagen. Doch es gibt einen entscheidenden Unterschied: Bei Dual EC kennt selbst derjenige, der den Zufallszahlengenerator betreibt, den geheimen Schlüssel nicht, da hier ein Public-Key-Verfahren zum Einsatz kommt. Der Gedanke liegt nahe, dass es sich bei ANSI X9.31 um einen primitiven Vorläufer von Dual EC handelt.

"Vordertüre, gesichert mit dem Schlüssel einer Hotel-Minibar"

Die Autoren des Angriffs äußern sich nur Scherzhaft über die Möglichkeit einer Hintertüre. Es handle sich eher um eine Vordertüre, "gesichert mit dem Schlüssel einer Hotel-Minibar", schreiben sie in ihrer FAQ.

Es ist allerdings genauso gut vorstellbar, dass es sich schlicht um einen dummen Fehler beim Design des Zufallszahlengenerators handelt. Die Konstruktion stammt aus den 90ern und damit aus einer Zeit, in der die kryptographische Forschung noch in ihren Anfängen steckte.

Sehr kritisch äußert sich Matthew Green über FIPS-Zertifizierungen. Staatliche Krypto-Zertifizierungen seien "überwiegend wertlos", so das vernichtende Urteil von Green. Neben einer FIPS-Zertifizierung wurden die entsprechende Fortinet-Produkte auch nach dem System Common Criteria in der Klasse EAL 4+ zertifiziert. Erst vor wenigen Tagen hatten wir darüber berichtet, dass Infineon-RSA-Chips mit einer gravierende Sicherheitslücke vom BSI ebenfalls nach Common Criteria zertifiziert wurden.



Anzeige
Top-Angebote
  1. 125,99€
  2. (u. a. Ni No Kuni 2 29,99€, Dark Souls 3 25,49€)
  3. 199,00€
  4. Code 100SGS3

My1 25. Okt 2017

ich glaube das ist dann ein klarer fall von schuld in der implementation, da kann die...

Jürgen Troll 24. Okt 2017

Ist wahrscheinlich synonym zu "Schlüssel um das Tagebuch einer 10-jährigen abzuschließen".


Folgen Sie uns
       


Tiemo Wölken (SPD) zu Artikel 13

Der SPD-Europaabgeordnete Tiemo Wölken hofft darauf, dass das Europaparlament am 26. März 2019 den umstrittenen Artikel 13 noch ablehnt.

Tiemo Wölken (SPD) zu Artikel 13 Video aufrufen
EEG: Windkraft in Gefahr
EEG
Windkraft in Gefahr

Besitzer älterer Windenergieanlagen könnten bald ein Problem bekommen: Sie erhalten keine Förderung mehr. Das könnte sogar die Energiewende ins Wanken bringen.
Ein Bericht von Daniel Hautmann

  1. Windenergie Mister Windkraft will die Welt vor dem Klimakollaps retten
  2. Offshore-Windparks Neue Windräder sollen mehr Strom liefern
  3. Fistuca Der Wasserhammer hämmert leise

Gesetzesinitiative des Bundesrates: Neuer Straftatbestand Handelsplattform-Betreiber im Darknet
Gesetzesinitiative des Bundesrates
Neuer Straftatbestand Handelsplattform-Betreiber im Darknet

Eine Gesetzesinitiative des Bundesrates soll den Betrieb von Handelsplattformen im Darknet unter Strafe stellen, wenn sie Illegales fördern. Das war auch bisher schon strafbar, das Gesetz könnte jedoch vor allem der Überwachung dienen, kritisieren Juristen.
Von Moritz Tremmel

  1. Security Onionshare 2 ermöglicht einfachen Dateiaustausch per Tor
  2. Tor-Netzwerk Britischer Kleinstprovider testet Tor-SIM-Karte
  3. Tor-Netzwerk Sicherheitslücke für Tor Browser 7 veröffentlicht

Tom Clancy's The Division 2 im Test: Richtig guter Loot-Shooter
Tom Clancy's The Division 2 im Test
Richtig guter Loot-Shooter

Ubisofts neuer Online-Shooter beweist, dass komplexe Live-Spiele durchaus von Anfang an überzeugen können. Bis auf die schwache Geschichte und Gegner, denen selbst Dauerbeschuss kaum etwas anhaben kann, ist The Division 2 ein spektakuläres Spiel.
Von Jan Bojaryn

  1. Netztest Connect Netztest urteilt trotz Funklöchern zweimal sehr gut
  2. Netztest Chip verteilt viel Lob trotz Funklöchern

    •  /