Abo
  • Services:

Libgcrypt: GnuPG-Zufallszahlen sind nicht ganz zufällig

Eine schwerwiegende Sicherheitslücke befindet sich offenbar seit 1998 im Code von GnuPG und der dazugehörigen Bibliothek Libgcrypt. Unter bestimmten Umständen lassen sich Zufallszahlen voraussagen, die genauen Auswirkungen sind allerdings unklar.

Artikel veröffentlicht am , Hanno Böck
Immer wieder führen Probleme mit Zufallszahlen zu Sicherheitslücken.
Immer wieder führen Probleme mit Zufallszahlen zu Sicherheitslücken. (Bild: Encel Sanchez, Wikimedia Commons/CC-BY-SA 2.0)

Offenbar schon seit 18 Jahren schlummert ein kritischer Fehler im Code von Libgcrypt, der Verschlüsselungsbibliothek von GnuPG. Felix Dörre und Vladimir Klebanov vom Karlsruher Institut für Technologie fanden heraus, dass sich unter bestimmten Umständen Zufallszahlen vorhersagen lassen. Welche Auswirkungen der Fehler genau hat, wird sich wohl erst durch detailliertere Analysen zeigen.

Angreifer können unter Umständen Zufallszahlen vorhersagen

Stellenmarkt
  1. Bosch Gruppe, Stuttgart
  2. BWI GmbH, deutschlandweit

Der Zufallszahlengenerator basiert auf einem Konzept, das der Kryptograph Peter Gutmann 1998 auf der Usenix-Konferenz präsentiert hatte. Erst jetzt stellt sich heraus, dass die Implementierung in Libgcrypt an einigen entscheidenden Stellen von Gutmanns Konzept abweicht. Kennt ein Angreifer 580 Bytes, die der Zufallszahlengenerator erzeugt hat, dann kann er daraus die nächsten 20 Bytes trivial berechnen. Ein Sicherheitsproblem wird das also, wenn ein Angreifer zunächst einige Zufallszahlen beobachten kann und anschließend weitere Zufallszahlen für geheime Werte genutzt werden.

Das klingt extrem schwerwiegend, immerhin wurden fast zwei Jahrzehnte lang Mails auf Basis dieses Codes verschlüsselt. Doch die praktischen Auswirkungen sind möglicherweise relativ gering.

DSA- und Elgamal-Schlüssel möglicherweise bedroht

Nach Einschätzung von GnuPG-Entwickler Werner Koch ist nicht davon auszugehen, dass die Generierung von RSA-Keys durch diesen Fehler geschwächt ist. Bei DSA- und Elgamal-Schlüsseln könnte es allerdings zu Problemen kommen, dafür sind jedoch weitere Untersuchungen nötig. In neueren GnuPG-Versionen werden üblicherweise nur noch RSA-Schlüssel erzeugt, DSA und Elgamal kamen jedoch in älteren Versionen standardmäßig zum Einsatz.

In der Ankündigung steht nichts darüber, ob der Bug Auswirkungen auf die Sicherheit von verschlüsselten oder signierten Nachrichten hat. Zumindest für verschlüsselte Mails werden Zufallszahlen genutzt, allerdings dürfte ein Angreifer normalerweise keine Möglichkeit haben, diese Zahlen zu sehen.

Bei Libgcrypt handelt es sich um eine generische kryptographische Bibliothek, die auch von anderen Programmen genutzt wird. Es könnte also sein, dass noch an anderer Stelle Sicherheitsprobleme durch diese Lücke auftauchen. In früheren Versionen hatte auch GnuTLS Libgcrypt genutzt, jüngere Versionen nutzen jedoch eine andere Bibliothek namens Nettle.

Behoben wurde das Problem in den Libgcrypt-Versionen 1.7.3, 1.6.6 und 1.5.6. Ältere GnuPG-Versionen aus dem Versionszweig 1.4 enthielten den Code für den Zufallszahlengenerator noch direkt, daher wurde auch hierfür eine neue Version - 1.4.21 - veröffentlicht. Der Fehler hat die Id CVE-2016-6313 erhalten.

Entdeckt wurde der Fehler mit einem Tool namens Entroposcope. Dörre und Klebanov wollen das Tool auf der Konferenz CCS 2016 im Oktober präsentieren. Laut einer Notiz auf Klebanovs Webseite fand das Tool auch eine Anomalie im Zufallszahlengenerator von OpenSSL, das Problem dort ist jedoch offenbar nicht ausnutzbar.

Auch kleines Problem in OpenSSL gefunden

Zufallszahlengeneratoren sind immer wieder eine Quelle für Fehler in kryptographischer Software. Katastrophal war ein Bug im Debian-Paket für OpenSSL im Jahr 2008. LibreSSL hatte am Anfang Probleme im Zusammenhang mit dem Forken von Prozessen unter Linux, die Diskussion darum führte anschließend dazu, dass Linux einen neuen Syscall für Zufallszahlen einführte. Viele Fachleute sind nach dieser Erfahrung der Ansicht, dass Zufallszahlengeneratoren in Userspace-Software generell problematisch seien und immer möglichst auf den Zufallszahlengenerator des Betriebssystems zurückgegriffen werden sollte.



Anzeige
Top-Angebote
  1. (u. a. Samsung C27H711Q für 309€, MSI Optix MPG27C für 359€ und PlayStation Plus...
  2. (u. a. Adobe Photoshop Elements & Premiere Elements für 77,90€ und Corsair STRAFE RGB für 109...

hjp 19. Aug 2016

Das ist falsch. Zwar wird viel Aufand hineingesteckt, Computer möglichst deterministisch...

alcedon 19. Aug 2016

Können es beliebige aufeinanderfolgen 580 Bytes sein oder funktioniert das nur an...

Galde 18. Aug 2016

Das Problem was generell bei Software die mit Verschlüsselung und Schlüsselgenerierung zu...


Folgen Sie uns
       


Geforce RTX 2070 - Test

Wir haben uns zwei Geforce RTX 2070, eine von Asus und eine von MSI, angeschaut. Beide basieren auf einem TU106-Chip mit 2.304 Shader-Einheiten und einem 256-Bit-Interface mit GByte GDDR6-Speicher. Das Asus-Modell hat mehr Takt und ein höhere Power-Target sowie eine leicht bessere Ausstattung, die MSI-Karte ist mit 520 Euro statt 700 Euro aber günstiger. Beide Geforce RTX 2070 schlagen die Geforce GTX 1080 und Radeon RX Vega 64.

Geforce RTX 2070 - Test Video aufrufen
Dark Rock Pro TR4 im Test: Be Quiet macht den Threadripper still
Dark Rock Pro TR4 im Test
Be Quiet macht den Threadripper still

Mit dem Dark Rock Pro TR4 hat Be Quiet einen tiefschwarzen CPU-Kühler für AMDs Threadripper im Angebot. Er überzeugt durch Leistung und den leisen Betrieb, bei Montage und Speicherkompatiblität liegt die Konkurrenz vorne. Die ist aber optisch teils deutlich weniger zurückhaltend.
Ein Test von Marc Sauter

  1. Dark Rock Pro TR4 Be Quiets schwarzer Doppelturm kühlt 32 Threadripper-Kerne

Dell Ultrasharp 49 im Test: Pervers und luxuriös
Dell Ultrasharp 49 im Test
Pervers und luxuriös

Dell bringt mit dem Ultrasharp 49 zwei QHD-Monitore in einem, quasi einen Doppelmonitor. Es könnte sein, dass wir uns im Test ein kleines bisschen in ihn verliebt haben.
Ein Test von Michael Wieczorek

  1. Magicscroll Mobiles Gerät hat rollbares Display zum Herausziehen
  2. CJG50 Samsungs 32-Zoll-Gaming-Monitor kostet 430 Euro
  3. Agon AG322QC4 Aggressiv aussehender 31,5-Zoll-Monitor kommt für 600 Euro

Interview Alienware: Keiner baut dir einen besseren Gaming-PC als du selbst!
Interview Alienware
"Keiner baut dir einen besseren Gaming-PC als du selbst!"

Selbst bauen oder Komplettsystem kaufen, die Zukunft von Raytracing und was E-Sport-Profis über Hardware denken: Golem.de hat im Interview mit Frank Azor, dem Chef von Alienware, über PC-Gaming gesprochen.
Von Peter Steinlechner

  1. Dell Alienware M15 wird schlanker und läuft 17 Stunden
  2. Dell Intel Core i9 in neuen Alienware-Laptops ab Werk übertaktet

    •  /