Abo
  • Services:
Anzeige
Mit großen PC-Clustern lassen sich Angriffe auf Diffie-Hellman mit 512 Bit vorberechnen.
Mit großen PC-Clustern lassen sich Angriffe auf Diffie-Hellman mit 512 Bit vorberechnen. (Bild: Megware Computer GmbH/CC BY-SA 3.0)

Logjam-Angriff: Schwäche im TLS-Verfahren gefährdet Zehntausende Webseiten

Mit großen PC-Clustern lassen sich Angriffe auf Diffie-Hellman mit 512 Bit vorberechnen.
Mit großen PC-Clustern lassen sich Angriffe auf Diffie-Hellman mit 512 Bit vorberechnen. (Bild: Megware Computer GmbH/CC BY-SA 3.0)

Verschlüsselte Verbindungen können durch eine Schwäche im TLS-Verfahren in vielen Fällen auf einen unsicheren Diffie-Hellman-Schlüsselaustausch mit 512 Bit reduziert werden. Forscher vermuten, dass eine Variante dieses Angriffs für das NSA-Programm Turmoil verantwortlich sein könnte.

Anzeige

Ein Team von Kryptographen hat sich in einer ausführlichen Analyse mit dem Diffie-Hellman-Schlüsselaustausch in TLS und anderen Protokollen beschäftigt. Es gelang ihnen dabei, mittels eines Man-in-the-Middle-Angriffs HTTPS-Verbindungen in einen unsicheren Export-Modus zu zwingen, der angreifbar ist. Damit könnte ein Angreifer etwa Javascript-Code in die Verbindung einfügen oder den Datenverkehr mitlesen. Betroffen sind etwa acht Prozent der wichtigsten Webseiten. Diesen Angriff bezeichnen sie als Logjam, benannt nach dem diskreten Logarithmus, der für die Sicherheit des Diffie-Hellman-Verfahrens entscheidend ist. Doch das ist nur eines von einer ganzen Reihe von Problemen. Die Autoren vermuten, dass ein ähnlicher Angriff von der NSA verwendet wird.

Forward Secrecy durch Diffie-Hellman-Schlüsselaustausch

Der klassische Diffie-Hellman-Schlüsselaustausch ist ein relativ altes Verfahren, mit dem man Forward Secrecy bei verschlüsselten Verbindungen gewährleisten kann. Dabei müssen sich die beiden Kommunikationspartner vorher auf eine sogenannte Gruppe und einen Generator einigen - beim klassischen Diffie-Hellman-Verfahren ist die Gruppe schlicht eine große Primzahl. Die Größe dieser Gruppe ist entscheidend für die Sicherheit des Verfahrens. 512 Bit gelten als extrem unsicher, werden aber nach wie vor teilweise genutzt, 1.024 Bit gelten als problematisch und 2.048 Bit sind nach aktuellem Kenntnisstand sicher.

In den 90er Jahren gab es in den USA gesetzliche Beschränkungen für den Export von Kryptographie. Um dem gerecht zu werden, wurde in SSL (dem Vorgänger von TLS) ein Export-Modus für den Diffie-Hellman-Schlüsselaustausch eingeführt, der die Gruppenlänge auf 512 Bit begrenzt. Dieser veraltete Modus fällt nun vielen Implementierungen auf die Füße. Zwar wird er normalerweise nicht genutzt, manche Server unterstützen ihn aber noch aus Kompatibilitätsgründen. Unter den Millionen beliebtesten Seiten laut der Statistik von Alexa unterstützen acht Prozent noch den unsicheren Export-Modus.

An sich wäre das kein Problem, denn kein normaler Browser wählt diesen Modus aus. Doch die Autoren fanden eine Schwäche im TLS-Handshake. Dieser läuft so ab, dass der Client dem Server eine Liste von Algorithmen schickt, aus denen der Server einen auswählen kann. Was nun zum Problem wird: An dieser Stelle ist der Handshake noch nicht signiert. Ein aktiver Angreifer kann also einen Handshake des Nutzers ändern und dem Server statt des gewöhnlichen Diffie-Hellman-Schlüsselaustauschs einen unsicheren Export-Schlüsselaustausch anbieten. Der Server wiederum antwortet mit einer unsicheren 512-Bit-Gruppe.

Die Krux dabei: Die meisten Clients akzeptieren auch im normalen Modus 512-Bit-Gruppen. Insofern kann der Angreifer die Serverantwort ändern und dem Client einen normalen Diffie-Hellman-Schlüsselaustausch mit 512 Bit vorgaukeln. Eine Analyse von Golem.de hat im vergangenen Jahr ergeben, dass einige Browser sogar komplett unsichere Gruppen von wenigen Bits akzeptieren.

Um diesen Angriff durchzuführen, ist es notwendig, dass der Angreifer den Schlüsselaustausch in Echtzeit angreifen kann. Das wäre selbst mit den besten Algorithmen und großen Spezialcomputern eine extreme Herausforderung. Um den Diffie-Hellman-Schlüsselaustausch anzugreifen, muss ein diskreter Logarithmus berechnet werden, das beste hierfür bekannte Verfahren ist das sogenannte Zahlkörpersieb.

Vorberechnungen ermöglichen Angriff in Minuten

Doch das Zahlkörpersieb erlaubt ein sehr gezieltes Tuning des Angriffs. Wenn die verwendete Gruppe vorher bekannt ist, kann ein Großteil der Berechnungen vorab durchgeführt werden. Die verwendete Gruppe ist kein Geheimnis und ein Server setzt üblicherweise für alle Verbindungen die gleichen Gruppen ein. Vielfach sind die Gruppen sogar bereits Teil der Software. Unter den Servern, die den Export-Modus unterstützen, nutzen 93 Prozent die gleiche Gruppe.

Mittels eines Clusters von mehreren Tausend PCs gelang es den Forschern, innerhalb von einer Woche Vorberechnungen für eine bestimmte Gruppe durchzuführen. Anschließend ließ sich der aktive Angriff auf einem System mit vier Intel-Xeon-E7-Prozessoren mit jeweils sechs Cores in durchschnittlich 90 Sekunden durchführen. Dabei variierte die Geschwindigkeit jedoch deutlich, zwischen 36 und 260 Sekunden. Mit Spezialhardware und weiteren Optimierungen ließe sich dieser Angriff, so spekulieren die Forscher, vermutlich auf unter eine Minute reduzieren.

Für einen aktiven Angriff ist das nach wie vor relativ viel. Doch einige Eigenschaften von Browsern erleichtern den Angriff unter Umständen. TLS unterstützt ein Feature namens Warning Alerts. Diese Pakete werden von Browsern zwar ignoriert, jedoch führen sie dazu, dass der Timeout-Counter zurückgesetzt wird. In Firefox lässt sich damit ein Handshake beliebig lange verzögern, in anderen Browsern wird die Verbindung nach einer Minute abgebrochen. Um einen Angriff auf eine HTTPS-Verbindung unbemerkt durchzuführen, könnte der Angreifer nicht die eigentliche Seite, sondern stattdessen eine externe Ressource, etwa einen Tracking- oder Werbe-Javascript-Code, angreifen. Sein Fehlen würde beim Seitenaufbau nicht direkt auffallen.

Um den Angriff zu vereiteln, schlagen die Autoren vor, dass Browser künftig den Schlüsselaustausch mit Gruppen kleiner als 1.024 Bit komplett verbieten. Chrome-Entwickler Adam Langley hat bereits angekündigt, dies spätestens in der Version 45 von Chrome umzusetzen. Ohne Probleme wird dies nicht verlaufen: Da nach wie vor einige Seiten ausschließlich sehr kurze Diffie-Hellman-Gruppen einsetzen, werden manche Seiten danach nicht mehr erreichbar sein. Die Webseite zum Logjam-Angriff enthält einen Test, der prüft, ob Browser 512-Bit-Gruppen akzeptieren.

Der Angriff erinnert in vielen Punkten an den Freak-Angriff, der im März veröffentlicht wurde. Auch bei Freak konnte ein Angreifer eine Verbindung in einen alten Export-Modus zwingen. Allerdings basierte Freak auf Softwarefehlern in OpenSSL und in Microsofts TLS-Implementierung. Logjam jedoch ist ein Fehler direkt im TLS-Protokoll.

Unsichere Primzahlen und falsche Parameter 

eye home zur Startseite
executor85 21. Mai 2015

Ja, meine die gleiche Gruppe. Da hast du wirklich recht. Müsste man mal ausrechnen...

JeGr 21. Mai 2015

Da hast du prinzipiell recht, aber: Gerade bei einem Web-Stack aus Webserver...

SelfEsteem 20. Mai 2015

Irgendwas interpretierst du da ein wenig arg falsch. Man kann der NSA jetzt nicht alles...

Tobias Grund 20. Mai 2015

Oder man schaltet diese total unsinnige HTTPS-Scanning einfach ab ^^



Anzeige

Stellenmarkt
  1. Fidor Solutions AG, München
  2. operational services GmbH & Co. KG, Berlin, Dresden, Frankfurt am Main, München
  3. Robert Bosch GmbH, Abstatt
  4. Schaeffler Technologies AG & Co. KG, Herzogenaurach


Anzeige
Hardware-Angebote
  1. (u. a. DXRacer OH/RE9/NW für 199,90€ statt 226€ im Preisvergleich)
  2. und 19% MwSt zurück bekommen

Folgen Sie uns
       


  1. Apple

    Öffentliche Beta von iOS 11 erschienen

  2. SNES Classic Mini

    Nintendo bringt 20 Klassiker und ein neues Spiel

  3. Wahlprogramm

    SPD will 90 Prozent der Gebäude mit Gigabit-Netzen versorgen

  4. Erziehung

    Erst schriftliche Einwilligung, dann Whatsapp für Kinder

  5. Grafikkarte

    Sapphire bringt Radeon RX 470 für Mining

  6. Betrug

    FTTH-Betreiber wehren sich gegen Glasfaser-Werbelügen

  7. Gamescom

    Mehr Fläche, mehr Merkel und mehr Andrang

  8. Anki Cozmo ausprobiert

    Niedlicher Programmieren lernen und spielen

  9. Hyperkonvergenz

    Red Hat präsentiert freie hyperkonvergente Infrastruktur

  10. Deutsche Telekom

    Narrowband-IoT-Servicepakete ab 200 Euro



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mesh- und Bridge-Systeme in der Praxis: Mehr WLAN-Access-Points, mehr Spaß
Mesh- und Bridge-Systeme in der Praxis
Mehr WLAN-Access-Points, mehr Spaß
  1. Eero 2.0 Neues Mesh-WLAN-System kann sich auch per Kabel vernetzen
  2. BVG Fast alle Berliner U-Bahnhöfe haben offenes WLAN
  3. Broadcom-Sicherheitslücke Vom WLAN-Chip das Smartphone übernehmen

Neues iPad Pro im Test: Von der Hardware her ein Laptop
Neues iPad Pro im Test
Von der Hardware her ein Laptop
  1. iFixit iPad Pro 10,5 Zoll intern ein geschrumpftes 12,9 Zoll Modell
  2. Office kostenpflichtig Das iPad Pro 10,5 Zoll ist Microsoft zu groß
  3. Hintergrundbeleuchtung Logitech bringt Hülle mit abnehmbarer Tastatur für iPad Pro

Oneplus Five im Test: Der Oneplus-Nimbus verblasst - ein bisschen
Oneplus Five im Test
Der Oneplus-Nimbus verblasst - ein bisschen

  1. Re: Ob das Bestand hat?

    Apfelbrot | 04:37

  2. Bla Bla Bla...

    maverick1977 | 04:33

  3. Alternative: Fire TV Stick, RetroArch, 8Bitdo SNES30

    fk4711 | 03:37

  4. Re: Folge fehlender Freizeit

    redwolf | 03:28

  5. Re: Einseitig..

    plutoniumsulfat | 03:21


  1. 00:22

  2. 19:30

  3. 18:32

  4. 18:15

  5. 18:03

  6. 17:47

  7. 17:29

  8. 17:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel