Abo
  • IT-Karriere:

Kryptographie: Der Debian-Bug im OpenSSL-Zufallszahlengenerator

Einer der schwerwiegendsten Fehler in der Geschichte der Kryptographie beschäftigte vor zehn Jahren Nutzer der Debian-Distribution. Wenn man danach sucht, findet man noch heute vereinzelt verwundbare Schlüssel.

Artikel von Hanno Böck veröffentlicht am
An einigen Stellen findet man immer noch alte kryptographische Schlüssel, die sich dank eines zehn Jahre alten Debian-Bugs knacken lassen.
An einigen Stellen findet man immer noch alte kryptographische Schlüssel, die sich dank eines zehn Jahre alten Debian-Bugs knacken lassen. (Bild: Bubo/Wikimedia Commons/CC-BY-SA 3.0)

Es war ein GAU in Sachen Verschlüsselung: 2008 entdeckte der Debian-Entwickler Luciano Bello einen Bug, der für einen Zeitraum von zwei Jahren dazu führte, dass der Zufallszahlengenerator von OpenSSL praktisch unbrauchbar wurde. Bis heute finden sich vereinzelt verwundbare private Schlüssel im praktischen Einsatz.

Stellenmarkt
  1. via 3C - Career Consulting Company GmbH, Home-Office
  2. Applied Materials WEB COATING GmbH, Alzenau

Grund für den Fehler war ein Patch, mit dem eigentlich ein Problem behoben werden sollte. Der originale OpenSSL-Code nutzte für den Zufallszahlengenerator uninitialisierten Speicher. Die Debian-Entwickler störten sich daran, dass das Debugging-Tool Valgrind hierzu eine Warnung ausgab und wollten dieses Problem ausschalten.

Zufallszahlengenerator hatte nur noch 32.768 Möglichkeiten

An sich sprach auch nichts dagegen, doch der Patch enthielt einen gravierenden Fehler. Dieser führte dazu, dass fortan nur noch wenige Daten in den internen Status des Zufallszahlengenerators gelangten. Die einzige Quelle von zufälligen Daten war fortan die Prozess-ID der jeweils laufenden Softwareinstanz. Unter Linux kann die Prozess-ID Werte zwischen 1 und 32.768 annehmen - es gibt also nur eine relativ begrenzte Zahl an Möglichkeiten.

Die größten Auswirkungen hatte der Fehler auf die Erzeugung von kryptographischen Schlüsseln. Er unterschied sich je nach Architektur, Version und Konfiguration des jeweiligen Systems, doch insgesamt gab es für jede Schlüsselgröße nun nur noch einige Hunderttausend mögliche Varianten. Die Folge: Wer mit OpenSSL einen privaten Schlüssel für ein Serverzertifikat erzeugte, musste damit rechnen, dass ein Angreifer schlicht alle möglichen Schlüsselvarianten erzeugte und somit ebenso in den Besitz des privaten Schlüssels kam.

Nicht nur OpenSSL war davon betroffen, auch andere kryptographische Software, die OpenSSL nutzt, erzeugte knackbare Schlüssel, darunter OpenSSH und OpenVPN.

Die Schlüsselerzeugung war dabei nur das offensichtlichste Problem, auch Software, die kryptographische Verbindungen herstellt - etwa ein Webserver -, konnte durch den Bug angegriffen werden. Allerdings gestalteten sich solche Angriffe etwas komplizierter, da der genaue Status des Zufallszahlengenerators nur schwer vorhersehbar ist, wie eine damals veröffentlichte wissenschaftliche Abhandlung erläutert.

Immer noch verwundbare Keys im Einsatz

Obwohl das Ganze schon zehn Jahre her ist, sind vereinzelt immer noch verwundbare private Schlüssel zu finden. 2015 fand der Softwareentwickler Ben Cox bei Github zahlreiche öffentliche SSH-Schlüssel von Entwicklern mit dem alten Debian-Bug. Damit hätte man einige prominente Code-Repositories manipulieren können, etwa das von Python.

Bei TLS-Zertifikaten für Webseiten sollte es theoretisch unmöglich sein, solche verwundbaren Schlüssel zu verwenden. Alle Zertifikate, die damals gültig waren, sind längst abgelaufen. Die Baseline Requirements, ein Regelwerk, auf das sich Zertifizierungsstellen und Browserhersteller geeinigt haben, sieht vor, dass bei der Zertifikatsausstellung geprüft wird, ob ein bekannter kompromittierter Schlüssel verwendet wird. Der Debian-OpenSSL-Bug wird dabei explizit als Beispiel erwähnt.

Trotzdem tauchen immer noch Zertifikate auf, die von dem Bug betroffen sind. Im vergangenen Jahr gelang es dem Autor dieses Artikels, ein Testzertifikat mit verwundbarem Schlüssel bei Let's Encrypt zu erstellen. Let's Encrypt hat inzwischen einen Check eingebaut, der eine solche Zertifikatsausstellung verhindert.

Auch fanden sich in den Daten der Certificate-Transparency-Logs zwei von der Zertifizierungsstelle Certum ausgestellte Zertifikate, deren Schlüssel mit einem verwundbaren Debian-System erzeugt wurden, ebenso Zertifikate der inzwischen nicht mehr von Browsern akzeptierten Zertifizierungsstellen Startcom und Wosign. Bei der Recherche zu diesem Artikel fand sich zudem ein weiteres Zertifikat, ausgestellt von der Zertifizierungsstelle Quo Vadis.

Der Debian-OpenSSL-Bug ist wohl eine der gravierendsten Sicherheitslücken in der Geschichte der Kryptographie. Entscheidend für die Langlebigkeit ist vor allem, dass nicht nur die Verschlüsselung, sondern die erzeugten privaten Schlüssel von der Lücke betroffen waren. Sucht man nach vergleichbaren Bugs, dann fällt einem am ehesten die ROCA-Sicherheitslücke in Infineon-Chips ein. Die führte im vergangenen Jahr dazu, dass unzählige Personalausweise, Krypto-Chipkarten und Produkte wie Yubikeys knackbare Schlüssel erzeugten.



Anzeige
Spiele-Angebote
  1. 2,99€
  2. 0,49€
  3. 0,49€

/mecki78 28. Mai 2018

Wenn OpenSSL in der Lage ist in kurzer Zeit viele gute Zufallswerte zu erzeugen, warum...

My1 28. Mai 2018

4 millionen is auch nix in dem bereich.


Folgen Sie uns
       


Proglove Scanhandschuh ausprobiert

Der Mark II von Proglove ist ein Barcode-Scanner, den sich Nutzer um die Hand schnallen können. Das Gerät ist klein und sehr leicht - wir haben es nach wenigen Minuten schon nicht mehr bemerkt.

Proglove Scanhandschuh ausprobiert Video aufrufen
IT-Headhunter: ReactJS- und PHP-Experten verzweifelt gesucht
IT-Headhunter
ReactJS- und PHP-Experten verzweifelt gesucht

Marco Nadol vermittelt für Hays selbstständige Informatiker, Programmierer und Ingenieure in Unternehmen. Aus langjähriger Erfahrung als IT-Headhunter weiß er mittlerweile sehr gut, was ihre Chancen auf dem Markt erhöht und was sie verschlechtert.
Von Maja Hoock

  1. Jobporträt Wenn die Software für den Anwalt kurzen Prozess macht
  2. Struktrurwandel IT soll jetzt die Kohle nach Cottbus bringen
  3. IT-Jobporträt Spieleprogrammierer "Ich habe mehr Code gelöscht als geschrieben"

Chromium: Der neue Edge-Browser könnte auch Chrome besser machen
Chromium
Der neue Edge-Browser könnte auch Chrome besser machen

Build 2019 Wie sieht die Zukunft des Edge-Browsers aus und was will Microsoft zum Chromium-Projekt beitragen? Im Gespräch mit Golem.de gibt das Unternehmen die vage Aussicht auf einen Release für Linux und Verbesserungen in Google Chrome. Bis dahin steht viel Arbeit an.
Von Oliver Nickel

  1. Browser Edge auf Chromium-Basis wird Netflix in 4K unterstützen
  2. Browser Microsoft lässt nur Facebook auf Flash-Whitelist in Edge
  3. Microsoft-Browser Edge bekommt Chromium-Herz

Katamaran Energy Observer: Kaffee zu kochen heißt, zwei Minuten später anzukommen
Katamaran Energy Observer
Kaffee zu kochen heißt, zwei Minuten später anzukommen

Schiffe müssen keine Dreckschleudern sein: Victorien Erussard und Jérôme Delafosse haben ein Boot konstruiert, das ohne fossilen Treibstoff auskommt. Es kann sogar auf hoher See selbst Treibstoff aus Meerwasser gewinnen. Auf ihrer Tour um die Welt wirbt die Energy Observer für erneuerbare Energien.
Ein Bericht von Werner Pluta

  1. Umweltschutz Kanäle in NRW bekommen Ladesäulen für Binnenschiffe
  2. Transport DLR plant Testfeld für autonome Schiffe in Brandenburg
  3. C-Enduro Britische Marine testet autonomes Wasserfahrzeug

    •  /