Abo
  • Services:
Anzeige
Mit großen PC-Clustern lassen sich Angriffe auf Diffie-Hellman mit 512 Bit vorberechnen.
Mit großen PC-Clustern lassen sich Angriffe auf Diffie-Hellman mit 512 Bit vorberechnen. (Bild: Megware Computer GmbH/CC BY-SA 3.0)

Logjam-Angriff: Schwäche im TLS-Verfahren gefährdet Zehntausende Webseiten

Mit großen PC-Clustern lassen sich Angriffe auf Diffie-Hellman mit 512 Bit vorberechnen.
Mit großen PC-Clustern lassen sich Angriffe auf Diffie-Hellman mit 512 Bit vorberechnen. (Bild: Megware Computer GmbH/CC BY-SA 3.0)

Verschlüsselte Verbindungen können durch eine Schwäche im TLS-Verfahren in vielen Fällen auf einen unsicheren Diffie-Hellman-Schlüsselaustausch mit 512 Bit reduziert werden. Forscher vermuten, dass eine Variante dieses Angriffs für das NSA-Programm Turmoil verantwortlich sein könnte.

Anzeige

Ein Team von Kryptographen hat sich in einer ausführlichen Analyse mit dem Diffie-Hellman-Schlüsselaustausch in TLS und anderen Protokollen beschäftigt. Es gelang ihnen dabei, mittels eines Man-in-the-Middle-Angriffs HTTPS-Verbindungen in einen unsicheren Export-Modus zu zwingen, der angreifbar ist. Damit könnte ein Angreifer etwa Javascript-Code in die Verbindung einfügen oder den Datenverkehr mitlesen. Betroffen sind etwa acht Prozent der wichtigsten Webseiten. Diesen Angriff bezeichnen sie als Logjam, benannt nach dem diskreten Logarithmus, der für die Sicherheit des Diffie-Hellman-Verfahrens entscheidend ist. Doch das ist nur eines von einer ganzen Reihe von Problemen. Die Autoren vermuten, dass ein ähnlicher Angriff von der NSA verwendet wird.

Forward Secrecy durch Diffie-Hellman-Schlüsselaustausch

Der klassische Diffie-Hellman-Schlüsselaustausch ist ein relativ altes Verfahren, mit dem man Forward Secrecy bei verschlüsselten Verbindungen gewährleisten kann. Dabei müssen sich die beiden Kommunikationspartner vorher auf eine sogenannte Gruppe und einen Generator einigen - beim klassischen Diffie-Hellman-Verfahren ist die Gruppe schlicht eine große Primzahl. Die Größe dieser Gruppe ist entscheidend für die Sicherheit des Verfahrens. 512 Bit gelten als extrem unsicher, werden aber nach wie vor teilweise genutzt, 1.024 Bit gelten als problematisch und 2.048 Bit sind nach aktuellem Kenntnisstand sicher.

In den 90er Jahren gab es in den USA gesetzliche Beschränkungen für den Export von Kryptographie. Um dem gerecht zu werden, wurde in SSL (dem Vorgänger von TLS) ein Export-Modus für den Diffie-Hellman-Schlüsselaustausch eingeführt, der die Gruppenlänge auf 512 Bit begrenzt. Dieser veraltete Modus fällt nun vielen Implementierungen auf die Füße. Zwar wird er normalerweise nicht genutzt, manche Server unterstützen ihn aber noch aus Kompatibilitätsgründen. Unter den Millionen beliebtesten Seiten laut der Statistik von Alexa unterstützen acht Prozent noch den unsicheren Export-Modus.

An sich wäre das kein Problem, denn kein normaler Browser wählt diesen Modus aus. Doch die Autoren fanden eine Schwäche im TLS-Handshake. Dieser läuft so ab, dass der Client dem Server eine Liste von Algorithmen schickt, aus denen der Server einen auswählen kann. Was nun zum Problem wird: An dieser Stelle ist der Handshake noch nicht signiert. Ein aktiver Angreifer kann also einen Handshake des Nutzers ändern und dem Server statt des gewöhnlichen Diffie-Hellman-Schlüsselaustauschs einen unsicheren Export-Schlüsselaustausch anbieten. Der Server wiederum antwortet mit einer unsicheren 512-Bit-Gruppe.

Die Krux dabei: Die meisten Clients akzeptieren auch im normalen Modus 512-Bit-Gruppen. Insofern kann der Angreifer die Serverantwort ändern und dem Client einen normalen Diffie-Hellman-Schlüsselaustausch mit 512 Bit vorgaukeln. Eine Analyse von Golem.de hat im vergangenen Jahr ergeben, dass einige Browser sogar komplett unsichere Gruppen von wenigen Bits akzeptieren.

Um diesen Angriff durchzuführen, ist es notwendig, dass der Angreifer den Schlüsselaustausch in Echtzeit angreifen kann. Das wäre selbst mit den besten Algorithmen und großen Spezialcomputern eine extreme Herausforderung. Um den Diffie-Hellman-Schlüsselaustausch anzugreifen, muss ein diskreter Logarithmus berechnet werden, das beste hierfür bekannte Verfahren ist das sogenannte Zahlkörpersieb.

Vorberechnungen ermöglichen Angriff in Minuten

Doch das Zahlkörpersieb erlaubt ein sehr gezieltes Tuning des Angriffs. Wenn die verwendete Gruppe vorher bekannt ist, kann ein Großteil der Berechnungen vorab durchgeführt werden. Die verwendete Gruppe ist kein Geheimnis und ein Server setzt üblicherweise für alle Verbindungen die gleichen Gruppen ein. Vielfach sind die Gruppen sogar bereits Teil der Software. Unter den Servern, die den Export-Modus unterstützen, nutzen 93 Prozent die gleiche Gruppe.

Mittels eines Clusters von mehreren Tausend PCs gelang es den Forschern, innerhalb von einer Woche Vorberechnungen für eine bestimmte Gruppe durchzuführen. Anschließend ließ sich der aktive Angriff auf einem System mit vier Intel-Xeon-E7-Prozessoren mit jeweils sechs Cores in durchschnittlich 90 Sekunden durchführen. Dabei variierte die Geschwindigkeit jedoch deutlich, zwischen 36 und 260 Sekunden. Mit Spezialhardware und weiteren Optimierungen ließe sich dieser Angriff, so spekulieren die Forscher, vermutlich auf unter eine Minute reduzieren.

Für einen aktiven Angriff ist das nach wie vor relativ viel. Doch einige Eigenschaften von Browsern erleichtern den Angriff unter Umständen. TLS unterstützt ein Feature namens Warning Alerts. Diese Pakete werden von Browsern zwar ignoriert, jedoch führen sie dazu, dass der Timeout-Counter zurückgesetzt wird. In Firefox lässt sich damit ein Handshake beliebig lange verzögern, in anderen Browsern wird die Verbindung nach einer Minute abgebrochen. Um einen Angriff auf eine HTTPS-Verbindung unbemerkt durchzuführen, könnte der Angreifer nicht die eigentliche Seite, sondern stattdessen eine externe Ressource, etwa einen Tracking- oder Werbe-Javascript-Code, angreifen. Sein Fehlen würde beim Seitenaufbau nicht direkt auffallen.

Um den Angriff zu vereiteln, schlagen die Autoren vor, dass Browser künftig den Schlüsselaustausch mit Gruppen kleiner als 1.024 Bit komplett verbieten. Chrome-Entwickler Adam Langley hat bereits angekündigt, dies spätestens in der Version 45 von Chrome umzusetzen. Ohne Probleme wird dies nicht verlaufen: Da nach wie vor einige Seiten ausschließlich sehr kurze Diffie-Hellman-Gruppen einsetzen, werden manche Seiten danach nicht mehr erreichbar sein. Die Webseite zum Logjam-Angriff enthält einen Test, der prüft, ob Browser 512-Bit-Gruppen akzeptieren.

Der Angriff erinnert in vielen Punkten an den Freak-Angriff, der im März veröffentlicht wurde. Auch bei Freak konnte ein Angreifer eine Verbindung in einen alten Export-Modus zwingen. Allerdings basierte Freak auf Softwarefehlern in OpenSSL und in Microsofts TLS-Implementierung. Logjam jedoch ist ein Fehler direkt im TLS-Protokoll.

Unsichere Primzahlen und falsche Parameter 

eye home zur Startseite
executor85 21. Mai 2015

Ja, meine die gleiche Gruppe. Da hast du wirklich recht. Müsste man mal ausrechnen...

JeGr 21. Mai 2015

Da hast du prinzipiell recht, aber: Gerade bei einem Web-Stack aus Webserver...

SelfEsteem 20. Mai 2015

Irgendwas interpretierst du da ein wenig arg falsch. Man kann der NSA jetzt nicht alles...

Tobias Grund 20. Mai 2015

Oder man schaltet diese total unsinnige HTTPS-Scanning einfach ab ^^



Anzeige

Stellenmarkt
  1. PHOENIX CONTACT Software GmbH, Lemgo
  2. über Duerenhoff GmbH, Raum Frankfurt am Main
  3. Host Europe GmbH, Hürth
  4. ETAS GmbH, Stuttgart


Anzeige
Top-Angebote
  1. (u. a. HTC U Ultra für 399€ und Motorola Moto C Plus für 89€)
  2. 42,99€
  3. (heute u. a. Gran Turismo + Controller für 79€, ASUS ZenFone 4 Max für 199€ und Razer...

Folgen Sie uns
       


  1. Staingate

    Austauschprogramm für fleckige Macbooks wird verlängert

  2. Digitale Infrastruktur

    Ralph Dommermuth kritisiert deutsche Netzpolitik

  3. Elektroauto

    VW will weitere Milliarden in Elektromobilität investieren

  4. Elektroauto

    Walmart will den Tesla-Truck

  5. Die Woche im Video

    Ausgefuchst, abgezockt und abgefahren

  6. Siri-Lautsprecher

    Apple versemmelt den Homepod-Start

  7. Open Routing

    Facebook gibt interne Plattform für Backbone-Routing frei

  8. Übernahme

    Vivendi lässt Ubisoft ein halbes Jahr in Ruhe

  9. Boston Dynamics

    Humanoider Roboter Atlas macht Salto rückwärts

  10. Projekthoster

    Github zeigt Sicherheitswarnungen für Projektabhängigkeiten



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Smartphoneversicherungen im Überblick: Teuer und meistens überflüssig
Smartphoneversicherungen im Überblick
Teuer und meistens überflüssig
  1. Winphone 5.0 Trekstor will es nochmal mit Windows 10 Mobile versuchen
  2. Librem 5 Das freie Linux-Smartphone ist finanziert
  3. Aquaris-V- und U2-Reihe BQ stellt neue Smartphones ab 180 Euro vor

Erneuerbare Energien: Siemens leitet die neue Steinzeit ein
Erneuerbare Energien
Siemens leitet die neue Steinzeit ein
  1. Siemens und Schunk Akkufahrzeuge werden mit 600 bis 1.000 Kilowatt aufgeladen
  2. Parkplatz-Erkennung Bosch und Siemens scheitern mit Pilotprojekten

Cubesats: Startup steuert riesigen Satellitenschwarm von Berlin aus
Cubesats
Startup steuert riesigen Satellitenschwarm von Berlin aus
  1. Arkyd-6 Planetary Resources startet bald ein neues Weltraumteleskop
  2. SAEx Internet-Seekabel für Südatlantikinsel St. Helena
  3. Sputnik Piep, piep, kleiner Satellit

  1. 1 Atomkraftwerk = xxx Trucks --- Alle Trucks...

    MüllerWilly | 22:28

  2. Re: Digitalisierung, Bedeutung?

    FalschesEnde | 22:25

  3. Re: Amazone TV mit HDR und wo bleibt der Ton?

    gFACEk | 22:22

  4. Re: Ladeleistung

    Jogibaer | 22:20

  5. Re: Witzig. Wieder ein E-Auto bericht von Leuten...

    Invertiert | 22:18


  1. 17:14

  2. 13:36

  3. 12:22

  4. 10:48

  5. 09:02

  6. 19:05

  7. 17:08

  8. 16:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel