Abo

Services:

Golem pur

Golem.de ohne Werbung nutzen
Mehrseitige Artikel auf einer Seite lesen
RSS-Volltext-Feed für Artikel
Ab 2,50€ im Monat

Mit großen PC-Clustern lassen sich Angriffe auf Diffie-Hellman mit 512 Bit vorberechnen. (Bild: Megware Computer GmbH/CC BY-SA 3.0)

Unsichere Primzahlen und falsche Parameter

Neben dem Logjam-Angriff fanden die Autoren eine Reihe von weiteren Problemen. Insgesamt gibt es 2.361 Server mit gültigen Zertifikaten, die im normalen Modus eine 512-Bit-Gruppe für Diffie-Hellman nutzen. Hier ist unter Umständen überhaupt kein aktiver Angriff notwendig, ein passives Lauschen reicht bereits, der Datenverkehr kann später entschlüsselt werden. Allerdings ist nicht gewährleistet, dass Verbindungen auch diesen Algorithmus nutzen. Das hängt von den Präferenzen des Clients und von der Reihenfolge ab, in der der Server die Algorithmen anbietet.

Viele Server nutzen keine sicheren Primzahlen

Die Primzahlen, die als Gruppe für den Diffie-Hellman-Austausch zum Einsatz kommen, müssen eine bestimmte Eigenschaft haben, damit der Schlüsselaustausch sicher ist. Diese sicheren Primzahlen kann man leicht prüfen. Bei einer Primzahl p sollte der Wert (p-1)/2 ebenfalls eine Primzahl sein. Die Autoren des Logjam-Papers fanden erstaunlich viele dieser unsicheren Primzahlen. Unter 70.000 unterschiedlichen Primzahl-Gruppen, die bei einem Scan von HTTPS-Servern gefunden wurden, erfüllten 4.800 nicht die erforderlichen Sicherheitseigenschaften. Neun Gruppen waren überhaupt keine Primzahl. In dem Fall ist nicht einmal gewährleistet, dass der Diffie-Hellman-Algorithmus überhaupt funktioniert. Mittels eines Angriffs, der erstmals 1996 von Paul van Orschot und Michael Wiener vorgestellt wurde, lässt sich bei unsicheren Primzahlen der Schlüsselaustausch manchmal angreifen, das hängt aber von weiteren Details ab.

Ein weiterer Fund der Autoren ist eher eine Kuriosität: Der Digital Signature Algorithm (DSA) spezifiziert Parameter, die man ebenfalls für einen Diffie-Hellman-Schlüsselaustausch verwenden kann. Einige Server brachten hier aber die Werte durcheinander und nutzten die sogenannte Gruppenordnung des DSA-Algorithmus als Generator. Dadurch wird die Sicherheit des Schlüsselaustauschs deutlich gesenkt. Den Grund für diesen Fehler vermuten die Autoren in der Codierung der jeweiligen Parameter. Liest man die DSA-Parameter direkt in der Reihenfolge, wie die Speicherung der Diffie-Hellman-Parameter spezifiziert ist, erhält man diesen Fehler.