Abo
  • Services:

DUHK-Angriff: Vermurkster Zufallszahlengenerator mit Zertifizierung

Ein alter Zufallszahlengenerator ist nur dann sicher, wenn ein dafür verwendeter Schlüssel geheimgehalten wird. Doch eine Reihe von Geräten benutzt einfach immer den selben Schlüssel - darunter zehntausende Appliances von Fortinet.

Artikel veröffentlicht am , Hanno Böck
DUHK - eine Krypto-Sicherheitslücke mit Zertifizierungen von Common Criteria und FIPS
DUHK - eine Krypto-Sicherheitslücke mit Zertifizierungen von Common Criteria und FIPS (Bild: Emoji / CC Logo / FIPS Logo)

Der Zufallszahlengenerator aus dem Standard ANSI X9.31 ist in vielen Fällen unsicher implementiert worden und erlaubt es Angreifern, verschlüsselte Verbindungen mitzulesen. Herausgefunden haben das die Kryptographen Shaanan Coney, Nadia Heninger und Matthew Green anhand der Dokumente für FIPS-Zertifizierungen. Die Sicherheitslücke wurde mit dem Namen DUHK getauft - die Abkürzung steht für "Don't Use Hard-coded Keys" - und hat die Kennung CVE-2016-8492.

Stellenmarkt
  1. ESO Education Group, deutschlandweit (Home-Office möglich)
  2. Wirecard Technologies GmbH, Aschheim bei München

Der betroffene Zufallszahlengenerator hat eine besondere Eigenschaft: Er verwendet das Verschlüsselungsverfahren AES und benutzt dafür einen Schlüssel, der für die Sicherheit des Verfahrens entscheidend ist. Bereits 1998 haben einige namhafte Kryptographen darauf hingewiesen. Wer den Schlüssel für die AES-Verschlüsselung kennt, der kann anhand der Kenntnis weniger Zufallszahlen und eines Zeitstempels sowohl vergangene als auch zukünftige Ausgaben des Zufallszahlengenerators berechnen.

Theoretisch kann man den X9.31-Zufallszahlengenerator also sicher benutzen - wenn man sicherstellt, dass der Schlüssel geheim bleibt. Denkbar wäre es etwa, den Schlüssel selbst zufällig zu erstellen, etwa beim Booten eines Gerätes. Doch diese Konstruktion ist völlig unsicher, wenn der Schlüssel in einer Software auf einen festen Wert voreingestellt ist.

Suche nach fehlerhaften Implementierungen in FIPS-Dokumenten

Um herauszufinden, ob problematische Implementierungen existieren, haben die beteiligten Kryptographen nach Hinweisen auf solche unsicheren Implementierungen in den Dokumenten für FIPS-Zertifizierungen gesucht. FIPS ist ein System der US-Regierung, bei dem kryptographische Systeme auf ihre Sicherheit geprüft werden sollen. Bei einer Reihe von Dokumenten fanden sich deutliche Hinweise auf hardcodierte Schlüssel.

Bei Geräten des Herstellers Fortinet probierten die Kryptographen ihren Angriff praktisch aus und waren erfolgreich. Insgesamt fanden sie 25.000 Fortinet-Geräte im Internet, die von dieser Lücke betroffen sind. VPN- und TLS-Verbindungen mit diesen Geräten können von einem Angreifer, der diese passiv mitlauscht, geknackt werden. Die einzige Herausforderung: Der Angreiffer muss den Timestamp erraten. Der ist in Millisekunden angegeben. Da die jeweiligen Protokolle jedoch selbst einen Timestamp - allerdings nur Sekundengenau - enthalten, ist das selbst bei passiv mitgelauschten Daten möglich, man muss lediglich einige Tausend Varianten durchprobieren.

Die betroffenen Geräte nutzen das alte System FortiOS 4. Neuere Fortinet-Geräte verwenden diesen Zufallszahlengenerator nicht mehr. Für die betroffenen Geräte gibt es ein Sicherheitsupdate. Fortinet stand Anfang 2016 in der Kritik, da in der Firmware von älteren Geräten eine SSH-Backdoor gefunden wurde. Dieser Vorfall wurde von Fortinet nie aufgeklärt.

Die DUHK-Lücke hat gewisse Ähnlichkeit mit dem Zufallszahlengenerator Dual EC DRBG. Dieser Zufallszahlengenerator - das ist inzwischen praktisch unstrittig - enthält eine Hintertür der NSA. Auch bei Dual EC kann ein Angreifer mit Kenntnis eines bestimmten Schlüssels die Ausgabe vorhersagen. Doch es gibt einen entscheidenden Unterschied: Bei Dual EC kennt selbst derjenige, der den Zufallszahlengenerator betreibt, den geheimen Schlüssel nicht, da hier ein Public-Key-Verfahren zum Einsatz kommt. Der Gedanke liegt nahe, dass es sich bei ANSI X9.31 um einen primitiven Vorläufer von Dual EC handelt.

"Vordertüre, gesichert mit dem Schlüssel einer Hotel-Minibar"

Die Autoren des Angriffs äußern sich nur Scherzhaft über die Möglichkeit einer Hintertüre. Es handle sich eher um eine Vordertüre, "gesichert mit dem Schlüssel einer Hotel-Minibar", schreiben sie in ihrer FAQ.

Es ist allerdings genauso gut vorstellbar, dass es sich schlicht um einen dummen Fehler beim Design des Zufallszahlengenerators handelt. Die Konstruktion stammt aus den 90ern und damit aus einer Zeit, in der die kryptographische Forschung noch in ihren Anfängen steckte.

Sehr kritisch äußert sich Matthew Green über FIPS-Zertifizierungen. Staatliche Krypto-Zertifizierungen seien "überwiegend wertlos", so das vernichtende Urteil von Green. Neben einer FIPS-Zertifizierung wurden die entsprechende Fortinet-Produkte auch nach dem System Common Criteria in der Klasse EAL 4+ zertifiziert. Erst vor wenigen Tagen hatten wir darüber berichtet, dass Infineon-RSA-Chips mit einer gravierende Sicherheitslücke vom BSI ebenfalls nach Common Criteria zertifiziert wurden.



Anzeige
Spiele-Angebote
  1. 12,49€
  2. 39,99€ (Release 14.11.)
  3. 49,95€
  4. 46,99€

My1 25. Okt 2017

ich glaube das ist dann ein klarer fall von schuld in der implementation, da kann die...

Jürgen Troll 24. Okt 2017

Ist wahrscheinlich synonym zu "Schlüssel um das Tagebuch einer 10-jährigen abzuschließen".


Folgen Sie uns
       


Google Pixel 3 XL - Test

Das Pixel 3 XL ist eines von zwei neuen Smartphones von Google. Das Gerät soll dank Algorithmen besonders gute Fotos machen - in unserem Test kann Google dieses Versprechen aber nur bedingt halten.

Google Pixel 3 XL - Test Video aufrufen
Interview Alienware: Keiner baut dir einen besseren Gaming-PC als du selbst!
Interview Alienware
"Keiner baut dir einen besseren Gaming-PC als du selbst!"

Selbst bauen oder Komplettsystem kaufen, die Zukunft von Raytracing und was E-Sport-Profis über Hardware denken: Golem.de hat im Interview mit Frank Azor, dem Chef von Alienware, über PC-Gaming gesprochen.
Von Peter Steinlechner

  1. Dell Alienware M15 wird schlanker und läuft 17 Stunden
  2. Dell Intel Core i9 in neuen Alienware-Laptops ab Werk übertaktet

Amazons Echo Show (2018) im Test: Auf keinem anderen Echo-Gerät macht Alexa so viel Freude
Amazons Echo Show (2018) im Test
Auf keinem anderen Echo-Gerät macht Alexa so viel Freude

Die zweite Generation des Echo Show ist da. Amazon hat viele Kritikpunkte am ersten Modell beseitigt. Der Neuling hat ein größeres Display als das Vorgängermodell und das sorgt für mehr Freude bei der Benutzung. Trotz vieler Verbesserungen ist nicht alles daran perfekt.
Ein Test von Ingo Pakalski

  1. Update für Alexa-Display im Hands on Browser macht den Echo Show viel nützlicher
  2. Amazon Echo Show mit Browser, Skype und großem Display

NGT Cargo: Der Güterzug der Zukunft fährt 400 km/h
NGT Cargo
Der Güterzug der Zukunft fährt 400 km/h

Güterzüge sind lange, laute Gebilde, die langsam durch die Lande zuckeln. Das soll sich ändern: Das DLR hat ein Konzept für einen automatisiert fahrenden Hochgeschwindigkeitsgüterzug entwickelt, der schneller ist als der schnellste ICE.
Ein Bericht von Werner Pluta


      •  /