Kryptographie: Rechenfehler mit großen Zahlen

Kryptographische Algorithmen benötigen oft Berechnungen mit großen Ganzzahlen. Immer wieder werden Fehler in den entsprechenden Bibliotheken gefunden. Diese können zu Sicherheitslücken werden.

Artikel veröffentlicht am , Hanno Böck
Beim Verschlüsselungsverfahren RSA wird mit großen Zahlen gerechnet.
Beim Verschlüsselungsverfahren RSA wird mit großen Zahlen gerechnet. (Bild: Screenshot Golem.de)

Im Januar veröffentlichte OpenSSL ein Sicherheitsupdate, in dem ein Fehler in einer mathematischen Funktion behoben wurde. In sehr seltenen Fällen verrechnete sich OpenSSL beim Versuch, eine große Zahl zu quadrieren. Dieser Fehler in der Funktion BN_sqr() war Anlass für Ralph-Philipp Weinmann, mögliche Sicherheitslücken durch fehlerhafte Berechnungen in sogenannten Bignum-Funktionen zu untersuchen. Auf der Black-Hat-Konferenz in Las Vegas stellte er seine Ergebnisse vor.

Berechnungen mit großen Zahlen wichtig für Public-Key-Kryptographie

Inhalt:
  1. Kryptographie: Rechenfehler mit großen Zahlen
  2. Fehlerhafter Code an riskanter Stelle in GnuPG

Insbesondere Public-Key-Algorithmen benötigen oft Berechnungen mit großen Ganzzahlen. So müssen etwa bei einer RSA-Verschlüsselung Zahlen mit mehreren Tausend Bit multipliziert und potenziert werden. Verschlüsselungsbibliotheken wie OpenSSL besitzen daher entsprechende Funktionen, um mit großen Zahlen zu rechnen.

Bereits 2008 veröffentlichten die Kryptographen Eli Biham, Yaniv Carmeli und Adi Shamir ein Paper, in dem sie der Frage nachgingen, wie Rechenfehler durch fehlerhafte Hardware zu Sicherheitslücken führen könnten. Das Paper betrachtete überwiegend theoretische Fehler, das einzige praxisrelevante Beispiel war der FDIV-Bug in Intel-Pentium-Prozessoren, der allerdings aus heutiger Sicht nur noch historische Bedeutung hat.

Bitcoin-Entwickler finden OpenSSL-Rechenfehler

Der oben bereits erwähnte Bug in OpenSSL wurde bei Tests der Bibliothek libsecp256k1 entdeckt, die von einigen Bitcoin-Implementierungen genutzt wird. Es handelt sich um einen Fehler beim Übertrag des Carry-Bits, der in einigen Spezialfällen auftritt. Zufällig finden kann man den Bug praktisch nicht, da der Rechenfehler nur in einem von 2^128 Fällen auftritt. Die OpenSSL-Entwickler untersuchten zahlreiche Möglichkeiten, wie der Fehler ausgenutzt werden könnte und schätzten das Risiko letztendlich als gering ein.

Stellenmarkt
  1. SAP Application Engineer (m/w/d)
    VTG Aktiengesellschaft, Hamburg
  2. MTA / MTLA/MFA (m/w/d) Kundensupport
    Limbach Gruppe SE - Niederlassung H&S, Rüsselsheim
Detailsuche

Bei der Berechnung von RSA wird die entsprechende Quadrier-Funktion nur unter wenigen Architekturen genutzt. Selbst dort, wo sie zum Einsatz kommt, sorgt das sogenannte RSA-Blinding dafür, dass die Eingabedaten durch einen Zufallswert beeinflusst werden und somit nicht durch einen Angreifer kontrolliert werden können. Beim Schlüsselaustausch mit elliptischen Kurven (ECDH) kann der Fehler zwar auftreten, allerdings nur bei der Verifikation von Kurvenpunkten, und es gibt keine praktikable Möglichkeit, derartige fehlerhafte Kurvenpunkte zu konstruieren. Die OpenSSL-Entwickler haben noch diverse weitere potenzielle Fehlerquellen untersucht, haben aber letztendlich alle als harmlos eingeschätzt.

Weinmann kann zwar den meisten Argumenten der OpenSSL-Entwickler folgen, er weist aber darauf hin, dass einige Szenarien dabei nicht beachtet wurden. Alle Argumente gelten nur dann, wenn die OpenSSL-eigenen Kryptofunktionen genutzt werden. Aber die Bignum-Berechnungsfunktionen können auch von anderen Bibliotheken genutzt werden. So nutzt beispielsweise die Java-Implementierung unter Android zur Verschlüsselung eine Bibliothek namens Spongy Castle, diese wiederum greift auf die Bignum-Funktionen von OpenSSL zurück.

Der Code für elliptische Kurven in OpenSSL wurde vor nicht allzu langer Zeit stark überarbeitet und durch eine optimierte Version ersetzt. Die Betrachtungen der OpenSSL-Entwickler gelten allerdings nur für den neuen Code, ältere Versionen - Weinmann nennt 1.0.1e - sind möglicherweise von ganz anderen Problemen betroffen.

Carry-Übertrag sehr fehleranfällig

Wie sich herausstellte, sind Fehler beim Carry-Übertrag extrem häufig, die überwiegende Zahl der Rechenfehler in Bignum-Bibliotheken tritt beim Carry-Übertrag auf. So behob die 2012 veröffentlichte Version 5.0.4 einen Rechenfehler bei bestimmten Multiplikationen mit dem Carry-Übertrag. Auch in der NaCl-Verschlüsselungsbibliothek wurde ein Fehler in der Implementierung von Ed25519-Signaturen gefunden, der ebenfalls mit dem Carry-Übertrag zusammenhing. Ein Sicherheitsproblem trat dort nicht auf, da der fehlerhafte Code lediglich bei der Schlüsselerzeugung und bei Signaturen genutzt wird und somit keine vom Angreifer kontrollierten Daten betroffen sind. Die Wahrscheinlichkeit für ein zufälliges Auftreten ist vernachlässigbar gering.

Das einzige Beispiel, in dem gezeigt werden konnte, dass ein Software-Rechenfehler auch ganz praktisch ausgenutzt werden kann, ist ein Paper aus dem Jahr 2011. Genutzt wurde dabei ein Fehler in der sehr alten OpenSSL-Version 0.9.8g. Mittels einiger gezielter Anfragen konnte damit der Schlüssel eines Schlüsselaustauschverfahrens mittels ECDH extrahiert werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Fehlerhafter Code an riskanter Stelle in GnuPG 
  1. 1
  2. 2
  3.  


Aktuell auf der Startseite von Golem.de
Elektromobilität
Im Winter hat der ID.3 fast 30 Prozent weniger Reichweite

Der Verbrauch bei einem Elektroauto von VW schwankt über das Jahr ordentlich. Anders beim Verbrenner. Doch dessen Verbrauch ist ungleich höher.

Elektromobilität: Im Winter hat der ID.3 fast 30 Prozent weniger Reichweite
Artikel
  1. Digitale Dienste und Märkte: Wie DSA und DMA umgesetzt werden
    Digitale Dienste und Märkte
    Wie DSA und DMA umgesetzt werden

    Die Verordnungen über digitale Dienste und Märkte sind inzwischen in Kraft getreten. An ihrer Umsetzung können Interessenvertreter sich noch beteiligen.
    Ein Bericht von Friedhelm Greis

  2. Fit werden für die Cloud - zum halben Preis!
     
    Fit werden für die Cloud - zum halben Preis!

    Ohne Clouddienste geht heute in vielen Unternehmen nicht mehr viel. Die Golem Karrierewelt liefert unverzichtbares Cloud-Know-how mit 50 Prozent Black-Week-Rabatt.
    Sponsored Post von Golem Karrierewelt

  3. Cosmoteer im Test: Factorio im Weltraum
    Cosmoteer im Test
    Factorio im Weltraum

    Eine einzige Person hat über viele Jahre die Sandbox Cosmoteer entwickelt. Dort bauen wir Raumschiffe und kämpfen im All. Achtung, Suchtpotenzial!
    Ein Test von Oliver Nickel

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Black Friday bei Mindfactory, MediaMarkt & Saturn • Prime-Filme leihen für je 0,99€ • WD_BLACK SN850 1TB 129€ • GIGABYTE Z690 AORUS ELITE 179€ • SanDisk SSD Plus 1TB 59€ • Crucial P3 Plus 1TB 81,99 • Mindfactory: XFX Speedster ZERO RX 6900 XT RGB EKWB Waterblock LE 809€ [Werbung]
    •  /