Abo
  • Services:
Anzeige
Beim Verschlüsselungsverfahren RSA wird mit großen Zahlen gerechnet.
Beim Verschlüsselungsverfahren RSA wird mit großen Zahlen gerechnet. (Bild: Screenshot Golem.de)

Kryptographie: Rechenfehler mit großen Zahlen

Beim Verschlüsselungsverfahren RSA wird mit großen Zahlen gerechnet.
Beim Verschlüsselungsverfahren RSA wird mit großen Zahlen gerechnet. (Bild: Screenshot Golem.de)

Kryptographische Algorithmen benötigen oft Berechnungen mit großen Ganzzahlen. Immer wieder werden Fehler in den entsprechenden Bibliotheken gefunden. Diese können zu Sicherheitslücken werden.

Anzeige

Im Januar veröffentlichte OpenSSL ein Sicherheitsupdate, in dem ein Fehler in einer mathematischen Funktion behoben wurde. In sehr seltenen Fällen verrechnete sich OpenSSL beim Versuch, eine große Zahl zu quadrieren. Dieser Fehler in der Funktion BN_sqr() war Anlass für Ralph-Philipp Weinmann, mögliche Sicherheitslücken durch fehlerhafte Berechnungen in sogenannten Bignum-Funktionen zu untersuchen. Auf der Black-Hat-Konferenz in Las Vegas stellte er seine Ergebnisse vor.

Berechnungen mit großen Zahlen wichtig für Public-Key-Kryptographie

Insbesondere Public-Key-Algorithmen benötigen oft Berechnungen mit großen Ganzzahlen. So müssen etwa bei einer RSA-Verschlüsselung Zahlen mit mehreren Tausend Bit multipliziert und potenziert werden. Verschlüsselungsbibliotheken wie OpenSSL besitzen daher entsprechende Funktionen, um mit großen Zahlen zu rechnen.

Bereits 2008 veröffentlichten die Kryptographen Eli Biham, Yaniv Carmeli und Adi Shamir ein Paper, in dem sie der Frage nachgingen, wie Rechenfehler durch fehlerhafte Hardware zu Sicherheitslücken führen könnten. Das Paper betrachtete überwiegend theoretische Fehler, das einzige praxisrelevante Beispiel war der FDIV-Bug in Intel-Pentium-Prozessoren, der allerdings aus heutiger Sicht nur noch historische Bedeutung hat.

Bitcoin-Entwickler finden OpenSSL-Rechenfehler

Der oben bereits erwähnte Bug in OpenSSL wurde bei Tests der Bibliothek libsecp256k1 entdeckt, die von einigen Bitcoin-Implementierungen genutzt wird. Es handelt sich um einen Fehler beim Übertrag des Carry-Bits, der in einigen Spezialfällen auftritt. Zufällig finden kann man den Bug praktisch nicht, da der Rechenfehler nur in einem von 2^128 Fällen auftritt. Die OpenSSL-Entwickler untersuchten zahlreiche Möglichkeiten, wie der Fehler ausgenutzt werden könnte und schätzten das Risiko letztendlich als gering ein.

Bei der Berechnung von RSA wird die entsprechende Quadrier-Funktion nur unter wenigen Architekturen genutzt. Selbst dort, wo sie zum Einsatz kommt, sorgt das sogenannte RSA-Blinding dafür, dass die Eingabedaten durch einen Zufallswert beeinflusst werden und somit nicht durch einen Angreifer kontrolliert werden können. Beim Schlüsselaustausch mit elliptischen Kurven (ECDH) kann der Fehler zwar auftreten, allerdings nur bei der Verifikation von Kurvenpunkten, und es gibt keine praktikable Möglichkeit, derartige fehlerhafte Kurvenpunkte zu konstruieren. Die OpenSSL-Entwickler haben noch diverse weitere potenzielle Fehlerquellen untersucht, haben aber letztendlich alle als harmlos eingeschätzt.

Weinmann kann zwar den meisten Argumenten der OpenSSL-Entwickler folgen, er weist aber darauf hin, dass einige Szenarien dabei nicht beachtet wurden. Alle Argumente gelten nur dann, wenn die OpenSSL-eigenen Kryptofunktionen genutzt werden. Aber die Bignum-Berechnungsfunktionen können auch von anderen Bibliotheken genutzt werden. So nutzt beispielsweise die Java-Implementierung unter Android zur Verschlüsselung eine Bibliothek namens Spongy Castle, diese wiederum greift auf die Bignum-Funktionen von OpenSSL zurück.

Der Code für elliptische Kurven in OpenSSL wurde vor nicht allzu langer Zeit stark überarbeitet und durch eine optimierte Version ersetzt. Die Betrachtungen der OpenSSL-Entwickler gelten allerdings nur für den neuen Code, ältere Versionen - Weinmann nennt 1.0.1e - sind möglicherweise von ganz anderen Problemen betroffen.

Carry-Übertrag sehr fehleranfällig

Wie sich herausstellte, sind Fehler beim Carry-Übertrag extrem häufig, die überwiegende Zahl der Rechenfehler in Bignum-Bibliotheken tritt beim Carry-Übertrag auf. So behob die 2012 veröffentlichte Version 5.0.4 einen Rechenfehler bei bestimmten Multiplikationen mit dem Carry-Übertrag. Auch in der NaCl-Verschlüsselungsbibliothek wurde ein Fehler in der Implementierung von Ed25519-Signaturen gefunden, der ebenfalls mit dem Carry-Übertrag zusammenhing. Ein Sicherheitsproblem trat dort nicht auf, da der fehlerhafte Code lediglich bei der Schlüsselerzeugung und bei Signaturen genutzt wird und somit keine vom Angreifer kontrollierten Daten betroffen sind. Die Wahrscheinlichkeit für ein zufälliges Auftreten ist vernachlässigbar gering.

Das einzige Beispiel, in dem gezeigt werden konnte, dass ein Software-Rechenfehler auch ganz praktisch ausgenutzt werden kann, ist ein Paper aus dem Jahr 2011. Genutzt wurde dabei ein Fehler in der sehr alten OpenSSL-Version 0.9.8g. Mittels einiger gezielter Anfragen konnte damit der Schlüssel eines Schlüsselaustauschverfahrens mittels ECDH extrahiert werden.

Fehlerhafter Code an riskanter Stelle in GnuPG 

eye home zur Startseite
MartinPaul 09. Aug 2015

Ich meine meine Grammatik ist nicht nur wegen dem Smartphone das ich zum antworten nutze...

DerVorhangZuUnd... 07. Aug 2015

Danke für den Hinweis. Diese Implementierung kannte ich noch nicht. Trotzdem finde ich...



Anzeige

Stellenmarkt
  1. Bertrandt Technikum GmbH, Böblingen
  2. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
  3. ALDI SÜD, Mülheim an der Ruhr
  4. Daimler AG, Berlin


Anzeige
Blu-ray-Angebote
  1. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  2. 74,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. GTA 5

    Goldener Revolver für Red Dead Redemption 2 versteckt

  2. Geldwäsche

    EU will den Bitcoin weniger anonym machen

  3. Soziale Medien

    Facebook-Forscher finden Facebook problematisch

  4. Streit um Stream On

    Die Telekom spielt das Uber-Spiel

  5. US-Verteidigungsministerium

    Pentagon forschte jahrelang heimlich nach Ufos

  6. Age of Empires (1997)

    Mit sanftem "Wololo" durch die Antike

  7. Augmented Reality

    Google stellt Project Tango ein

  8. Uber vs. Waymo

    Uber spionierte Konkurrenten aus

  9. Die Woche im Video

    Amerika, Amerika, BVG, Amerika, Security

  10. HTTPS

    Fritzbox bekommt Let's Encrypt-Support und verrät Hostnamen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
360-Grad-Kameras im Vergleich: Alles so schön rund hier
360-Grad-Kameras im Vergleich
Alles so schön rund hier
  1. USB-C DxO zeigt Ansteckkamera für Android-Smartphones
  2. G1 X Mark III Erste Kompaktkamera mit APS-C-Sensor von Canon
  3. Ozo Nokia hat keine Lust mehr auf VR-Hardware

E-Ticket Deutschland bei der BVG: Bewegungspunkt am Straßenstrich
E-Ticket Deutschland bei der BVG
Bewegungspunkt am Straßenstrich
  1. Handy-Ticket in Berlin BVG will Check-in/Be-out-System in Bussen testen
  2. VBB Schwarzfahrer trotz Handy-Ticket

LG 32UD99-W im Test: Monitor mit beeindruckendem Bild - trotz unausgereiftem HDR
LG 32UD99-W im Test
Monitor mit beeindruckendem Bild - trotz unausgereiftem HDR
  1. Android-Updates Krack-Patches für Android, aber nicht für Pixel-Telefone
  2. Check Point LGs smarter Staubsauger lässt sich heimlich fernsteuern

  1. Re: Alles Geschmackssache

    ChMu | 18:31

  2. Re: Warum kein Alien uns unangekündigt besuchen wird

    SchreibenderLeser | 18:30

  3. Drecksmarketing

    redmord | 18:28

  4. Für wen wirbst du?

    SchreibenderLeser | 18:27

  5. Re: Wo ist da nun das Problem?

    ul mi | 18:20


  1. 14:17

  2. 13:34

  3. 12:33

  4. 11:38

  5. 10:34

  6. 08:00

  7. 12:47

  8. 11:39


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel