Abo
  • Services:
Anzeige
Immer wieder führen Probleme mit Zufallszahlen zu Sicherheitslücken.
Immer wieder führen Probleme mit Zufallszahlen zu Sicherheitslücken. (Bild: Encel Sanchez, Wikimedia Commons/CC-BY-SA 2.0)

Libgcrypt: GnuPG-Zufallszahlen sind nicht ganz zufällig

Immer wieder führen Probleme mit Zufallszahlen zu Sicherheitslücken.
Immer wieder führen Probleme mit Zufallszahlen zu Sicherheitslücken. (Bild: Encel Sanchez, Wikimedia Commons/CC-BY-SA 2.0)

Eine schwerwiegende Sicherheitslücke befindet sich offenbar seit 1998 im Code von GnuPG und der dazugehörigen Bibliothek Libgcrypt. Unter bestimmten Umständen lassen sich Zufallszahlen voraussagen, die genauen Auswirkungen sind allerdings unklar.

Offenbar schon seit 18 Jahren schlummert ein kritischer Fehler im Code von Libgcrypt, der Verschlüsselungsbibliothek von GnuPG. Felix Dörre und Vladimir Klebanov vom Karlsruher Institut für Technologie fanden heraus, dass sich unter bestimmten Umständen Zufallszahlen vorhersagen lassen. Welche Auswirkungen der Fehler genau hat, wird sich wohl erst durch detailliertere Analysen zeigen.

Anzeige

Angreifer können unter Umständen Zufallszahlen vorhersagen

Der Zufallszahlengenerator basiert auf einem Konzept, das der Kryptograph Peter Gutmann 1998 auf der Usenix-Konferenz präsentiert hatte. Erst jetzt stellt sich heraus, dass die Implementierung in Libgcrypt an einigen entscheidenden Stellen von Gutmanns Konzept abweicht. Kennt ein Angreifer 580 Bytes, die der Zufallszahlengenerator erzeugt hat, dann kann er daraus die nächsten 20 Bytes trivial berechnen. Ein Sicherheitsproblem wird das also, wenn ein Angreifer zunächst einige Zufallszahlen beobachten kann und anschließend weitere Zufallszahlen für geheime Werte genutzt werden.

Das klingt extrem schwerwiegend, immerhin wurden fast zwei Jahrzehnte lang Mails auf Basis dieses Codes verschlüsselt. Doch die praktischen Auswirkungen sind möglicherweise relativ gering.

DSA- und Elgamal-Schlüssel möglicherweise bedroht

Nach Einschätzung von GnuPG-Entwickler Werner Koch ist nicht davon auszugehen, dass die Generierung von RSA-Keys durch diesen Fehler geschwächt ist. Bei DSA- und Elgamal-Schlüsseln könnte es allerdings zu Problemen kommen, dafür sind jedoch weitere Untersuchungen nötig. In neueren GnuPG-Versionen werden üblicherweise nur noch RSA-Schlüssel erzeugt, DSA und Elgamal kamen jedoch in älteren Versionen standardmäßig zum Einsatz.

In der Ankündigung steht nichts darüber, ob der Bug Auswirkungen auf die Sicherheit von verschlüsselten oder signierten Nachrichten hat. Zumindest für verschlüsselte Mails werden Zufallszahlen genutzt, allerdings dürfte ein Angreifer normalerweise keine Möglichkeit haben, diese Zahlen zu sehen.

Bei Libgcrypt handelt es sich um eine generische kryptographische Bibliothek, die auch von anderen Programmen genutzt wird. Es könnte also sein, dass noch an anderer Stelle Sicherheitsprobleme durch diese Lücke auftauchen. In früheren Versionen hatte auch GnuTLS Libgcrypt genutzt, jüngere Versionen nutzen jedoch eine andere Bibliothek namens Nettle.

Behoben wurde das Problem in den Libgcrypt-Versionen 1.7.3, 1.6.6 und 1.5.6. Ältere GnuPG-Versionen aus dem Versionszweig 1.4 enthielten den Code für den Zufallszahlengenerator noch direkt, daher wurde auch hierfür eine neue Version - 1.4.21 - veröffentlicht. Der Fehler hat die Id CVE-2016-6313 erhalten.

Entdeckt wurde der Fehler mit einem Tool namens Entroposcope. Dörre und Klebanov wollen das Tool auf der Konferenz CCS 2016 im Oktober präsentieren. Laut einer Notiz auf Klebanovs Webseite fand das Tool auch eine Anomalie im Zufallszahlengenerator von OpenSSL, das Problem dort ist jedoch offenbar nicht ausnutzbar.

Auch kleines Problem in OpenSSL gefunden

Zufallszahlengeneratoren sind immer wieder eine Quelle für Fehler in kryptographischer Software. Katastrophal war ein Bug im Debian-Paket für OpenSSL im Jahr 2008. LibreSSL hatte am Anfang Probleme im Zusammenhang mit dem Forken von Prozessen unter Linux, die Diskussion darum führte anschließend dazu, dass Linux einen neuen Syscall für Zufallszahlen einführte. Viele Fachleute sind nach dieser Erfahrung der Ansicht, dass Zufallszahlengeneratoren in Userspace-Software generell problematisch seien und immer möglichst auf den Zufallszahlengenerator des Betriebssystems zurückgegriffen werden sollte.


eye home zur Startseite
hjp 19. Aug 2016

Das ist falsch. Zwar wird viel Aufand hineingesteckt, Computer möglichst deterministisch...

alcedon 19. Aug 2016

Können es beliebige aufeinanderfolgen 580 Bytes sein oder funktioniert das nur an...

Galde 18. Aug 2016

Das Problem was generell bei Software die mit Verschlüsselung und Schlüsselgenerierung zu...



Anzeige

Stellenmarkt
  1. über Ratbacher GmbH, Hamburg
  2. ETAS GmbH & Co. KG, Stuttgart
  3. BG-Phoenics GmbH, Hannover
  4. MicroNova AG, München/Vierkirchen


Anzeige
Spiele-Angebote
  1. 5,99€
  2. 4,99€
  3. (-60%) 19,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Ashes of the Singularity

    Patch beschleunigt Ryzen-Chips um 20 Prozent

  2. Thimbleweed Park im Test

    Mord im Pixelparadies

  3. Bundesgerichtshof

    Eltern müssen bei illegalem Filesharing ihre Kinder verraten

  4. Gesetz beschlossen

    Computer dürfen das Lenkrad übernehmen

  5. Neue Bildersuche

    Fotografenvereinigung Freelens klagt gegen Google

  6. FTTB

    Unitymedia baut zwei Gemeinden mit Glasfaser aus

  7. Hashfunktion

    Der schwierige Abschied von SHA-1

  8. Cyberangriff auf Bundestag

    BSI beschwichtigt und warnt vor schädlichen Werbebannern

  9. Equal Rating Innovation Challenge

    Mozilla will indische Dörfer ins Netz holen

  10. Firmenstrategie

    Intel ernennt Strategiechefin und gründet AI-Gruppe



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Synlight: Wie der Wasserstoff aus dem Sonnenlicht kommen soll
Synlight
Wie der Wasserstoff aus dem Sonnenlicht kommen soll
  1. Energieversorgung Tesla nimmt eigenes Solarkraftwerk in Hawaii in Betrieb

Android O im Test: Oreo, Ovomaltine, Orange
Android O im Test
Oreo, Ovomaltine, Orange
  1. Android O Alte Crypto raus und neuer Datenschutz rein
  2. Developer Preview Google veröffentlicht erste Vorschau von Android O
  3. Android O Google will Android intelligenter machen

Buch - Apple intern: "Die behandeln uns wie Sklaven"
Buch - Apple intern
"Die behandeln uns wie Sklaven"
  1. iPhone Apple soll A11-Chip in 10-nm-Verfahren produzieren
  2. WatchOS 3.2 und TVOS 10.2 Apple Watch mit Kinomodus und Apple TV mit fixem Scrollen
  3. Patentantrag Apple will iPhone ins Macbook stecken

  1. Re: Funktionieren Neu (und real) Verfilmungen von...

    HubertHans | 18:30

  2. Re: Hab Netflix gekündigt nach dem sie mir VPN...

    ZuWortMelder | 18:30

  3. Re: Wenn die Musikindustrie

    Jesterfox | 18:29

  4. Re: Bei solchen Gesetzen sind sie immer schnell...

    pampernickel | 18:29

  5. Re: 80er Filme

    mnementh | 18:26


  1. 18:20

  2. 18:00

  3. 17:08

  4. 16:49

  5. 15:55

  6. 15:27

  7. 15:22

  8. 13:59


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel