Abo
  • Services:
Anzeige
Immer wieder führen Probleme mit Zufallszahlen zu Sicherheitslücken.
Immer wieder führen Probleme mit Zufallszahlen zu Sicherheitslücken. (Bild: Encel Sanchez, Wikimedia Commons/CC-BY-SA 2.0)

Libgcrypt: GnuPG-Zufallszahlen sind nicht ganz zufällig

Immer wieder führen Probleme mit Zufallszahlen zu Sicherheitslücken.
Immer wieder führen Probleme mit Zufallszahlen zu Sicherheitslücken. (Bild: Encel Sanchez, Wikimedia Commons/CC-BY-SA 2.0)

Eine schwerwiegende Sicherheitslücke befindet sich offenbar seit 1998 im Code von GnuPG und der dazugehörigen Bibliothek Libgcrypt. Unter bestimmten Umständen lassen sich Zufallszahlen voraussagen, die genauen Auswirkungen sind allerdings unklar.

Offenbar schon seit 18 Jahren schlummert ein kritischer Fehler im Code von Libgcrypt, der Verschlüsselungsbibliothek von GnuPG. Felix Dörre und Vladimir Klebanov vom Karlsruher Institut für Technologie fanden heraus, dass sich unter bestimmten Umständen Zufallszahlen vorhersagen lassen. Welche Auswirkungen der Fehler genau hat, wird sich wohl erst durch detailliertere Analysen zeigen.

Anzeige

Angreifer können unter Umständen Zufallszahlen vorhersagen

Der Zufallszahlengenerator basiert auf einem Konzept, das der Kryptograph Peter Gutmann 1998 auf der Usenix-Konferenz präsentiert hatte. Erst jetzt stellt sich heraus, dass die Implementierung in Libgcrypt an einigen entscheidenden Stellen von Gutmanns Konzept abweicht. Kennt ein Angreifer 580 Bytes, die der Zufallszahlengenerator erzeugt hat, dann kann er daraus die nächsten 20 Bytes trivial berechnen. Ein Sicherheitsproblem wird das also, wenn ein Angreifer zunächst einige Zufallszahlen beobachten kann und anschließend weitere Zufallszahlen für geheime Werte genutzt werden.

Das klingt extrem schwerwiegend, immerhin wurden fast zwei Jahrzehnte lang Mails auf Basis dieses Codes verschlüsselt. Doch die praktischen Auswirkungen sind möglicherweise relativ gering.

DSA- und Elgamal-Schlüssel möglicherweise bedroht

Nach Einschätzung von GnuPG-Entwickler Werner Koch ist nicht davon auszugehen, dass die Generierung von RSA-Keys durch diesen Fehler geschwächt ist. Bei DSA- und Elgamal-Schlüsseln könnte es allerdings zu Problemen kommen, dafür sind jedoch weitere Untersuchungen nötig. In neueren GnuPG-Versionen werden üblicherweise nur noch RSA-Schlüssel erzeugt, DSA und Elgamal kamen jedoch in älteren Versionen standardmäßig zum Einsatz.

In der Ankündigung steht nichts darüber, ob der Bug Auswirkungen auf die Sicherheit von verschlüsselten oder signierten Nachrichten hat. Zumindest für verschlüsselte Mails werden Zufallszahlen genutzt, allerdings dürfte ein Angreifer normalerweise keine Möglichkeit haben, diese Zahlen zu sehen.

Bei Libgcrypt handelt es sich um eine generische kryptographische Bibliothek, die auch von anderen Programmen genutzt wird. Es könnte also sein, dass noch an anderer Stelle Sicherheitsprobleme durch diese Lücke auftauchen. In früheren Versionen hatte auch GnuTLS Libgcrypt genutzt, jüngere Versionen nutzen jedoch eine andere Bibliothek namens Nettle.

Behoben wurde das Problem in den Libgcrypt-Versionen 1.7.3, 1.6.6 und 1.5.6. Ältere GnuPG-Versionen aus dem Versionszweig 1.4 enthielten den Code für den Zufallszahlengenerator noch direkt, daher wurde auch hierfür eine neue Version - 1.4.21 - veröffentlicht. Der Fehler hat die Id CVE-2016-6313 erhalten.

Entdeckt wurde der Fehler mit einem Tool namens Entroposcope. Dörre und Klebanov wollen das Tool auf der Konferenz CCS 2016 im Oktober präsentieren. Laut einer Notiz auf Klebanovs Webseite fand das Tool auch eine Anomalie im Zufallszahlengenerator von OpenSSL, das Problem dort ist jedoch offenbar nicht ausnutzbar.

Auch kleines Problem in OpenSSL gefunden

Zufallszahlengeneratoren sind immer wieder eine Quelle für Fehler in kryptographischer Software. Katastrophal war ein Bug im Debian-Paket für OpenSSL im Jahr 2008. LibreSSL hatte am Anfang Probleme im Zusammenhang mit dem Forken von Prozessen unter Linux, die Diskussion darum führte anschließend dazu, dass Linux einen neuen Syscall für Zufallszahlen einführte. Viele Fachleute sind nach dieser Erfahrung der Ansicht, dass Zufallszahlengeneratoren in Userspace-Software generell problematisch seien und immer möglichst auf den Zufallszahlengenerator des Betriebssystems zurückgegriffen werden sollte.


eye home zur Startseite
hjp 19. Aug 2016

Das ist falsch. Zwar wird viel Aufand hineingesteckt, Computer möglichst deterministisch...

alcedon 19. Aug 2016

Können es beliebige aufeinanderfolgen 580 Bytes sein oder funktioniert das nur an...

Galde 18. Aug 2016

Das Problem was generell bei Software die mit Verschlüsselung und Schlüsselgenerierung zu...



Anzeige

Stellenmarkt
  1. thyssenkrupp AG, Essen
  2. Deutsche Bundesbank, Frankfurt am Main
  3. Ratbacher GmbH, Stuttgart
  4. saracus consulting GmbH, Münster, Baden-Dätwill (Schweiz)


Anzeige
Spiele-Angebote
  1. 47,99€
  2. 17,99€
  3. 49,99€

Folgen Sie uns
       


  1. Amazon Channels

    Prime Video erhält Pay-TV-Plattform mit Live-Fernsehen

  2. Bayerischer Rundfunk

    Fernsehsender wollen über 5G ausstrahlen

  3. Kupfer

    Nokia hält Terabit DSL für überflüssig

  4. Kryptowährung

    Bitcoin notiert auf neuem Rekordhoch

  5. Facebook

    Dokumente zum Umgang mit Sex- und Gewaltinhalten geleakt

  6. Arduino Cinque

    RISC-V-Prozessor und ESP32 auf einem Board vereint

  7. Schatten des Krieges angespielt

    Wir stürmen Festungen! Mit Orks! Und Drachen!

  8. Skills

    Amazon lässt Alexa natürlicher klingen

  9. Cray

    Rechenleistung von Supercomputern in der Cloud mieten

  10. Streaming

    Sky geht gegen Stream4u.tv und Hardwareanbieter vor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
3D-Druck bei der Bahn: Mal eben einen Kleiderhaken für 80 Euro drucken
3D-Druck bei der Bahn
Mal eben einen Kleiderhaken für 80 Euro drucken
  1. Bahnchef Richard Lutz Künftig "kein Ticket mehr für die Bahn" notwendig
  2. Flatrate Öffentliches Fahrradleihen kostet 50 Euro im Jahr
  3. Nextbike Berlins neues Fahrradverleihsystem startet

Google I/O: Google verzückt die Entwickler
Google I/O
Google verzückt die Entwickler
  1. Neue Version im Hands On Android TV bekommt eine vernünftige Kanalübersicht
  2. Play Store Google nimmt sich Apps mit schlechten Bewertungen vor
  3. Daydream Standalone-Headsets auf Preisniveau von Vive und Oculus Rift

Panasonic Lumix GH5 im Test: Die Kamera, auf die wir gewartet haben
Panasonic Lumix GH5 im Test
Die Kamera, auf die wir gewartet haben
  1. Die Woche im Video Scharfes Video, spartanisches Windows, spaßige Switch

  1. Re: Fußball!

    Garius | 01:32

  2. Re: Relevanz

    Spawn182 | 01:31

  3. Hmmm, kommt dann Methadon für alle?

    Braineh | 01:28

  4. Re: Die Bandbreite ist eine Sache, die Latenz...

    GenXRoad | 01:08

  5. Re: Aha..

    Garius | 01:04


  1. 00:01

  2. 18:45

  3. 16:35

  4. 16:20

  5. 16:00

  6. 15:37

  7. 15:01

  8. 13:34


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel