Lucky Thirteen: Sicherheitslücke in TLS, DTLS und SSL

Forscher der Royal Holloway University in London haben eine Möglichkeit gefunden, um die im Web genutzten Verschlüsselungsverfahren SSL, TLS und DTLS auszuhebeln. Betroffen sind praktisch alle Implementierungen.

Artikel veröffentlicht am ,
Vom Angreifer benötigte Hardwarezyklen
Vom Angreifer benötigte Hardwarezyklen (Bild: Nadhem AlFardan/Kenny Paterson)

Nadhem AlFardan und Kenny Paterson warnen vor einer Schwachstelle, die die Sicherheit im Web gefährde: Sie stecke in der Spezifikation und betreffe somit praktisch alle Implementierungen von SSL 3.0, TLS 1.1 und 1.2 sowie DTLS 1.0 und 1.2. Das Problem trete im Zusammenhang mit der CBC-Verschlüsselung auf.

Die Forscher konnten das Problem bei OpenSSL und GnuTLS bestätigen, wobei sich bei GnuTLS nur die jeweils vier letzten Bit des letzten Byte jedes Blocks entschlüsseln lassen. AlFardan und Paterson haben zudem die Quelltexte von NSS, PolarSSL, yaSSL, Bouncycastle und OpenJDK analysiert und kommen zu dem Schluss, dass praktisch alle verwundbar seien.

Angreifer können die von den beiden Forschern gefundene Schwachstelle für Man-in-the-Middle-Angriffe nutzen und erhalten letztendlich den Klartext der über eine TLS- oder DTLS-Verbindung übertragenen Daten, wenn diese per CBC verschlüsselt werden.

Die gute Nachricht: Es gibt wirksame Schutzmechanismen. Die Forscher haben mit den Entwicklern mehrere TLS- und DTLS-Implementierungen erarbeitet, damit diese Patches vorbereiten können.

Um TLS mit der von AlFardan und Paterson entdeckten Methode anzugreifen, muss der gleiche Text mehrfach an der gleichen Position im Klartext gesendet werden. Das ist beispielsweise bei Passwörtern oder Cookies der Fall. In der einfachsten Form werden rund 223 TLS-Sessions benötigt, wobei sich der Angreifer im gleichen LAN befinden muss wie sein Opfer.

Ihren Angriff nennen die Forscher "Lucky Thirteen" in Anspielung auf die Unglückszahl 13, denn die MAC-Berechnung von TLS verwendet 13 Byte an Header-Informationen.

Patches für OpenSSL und NSS sind noch in Arbeit, Bouncycastle will am 5. Februar 2013 eine korrigierte Version veröffentlichen. In den aktuellen Versionen von GnuTLS, PolarSSL, CyaSSL und Opera wurde der Fehler bereits beseitigt.

AlFardan und Paterson gehen davon aus, dass TLS trotz der Schwachstelle von normalen Nutzern weiterhin als sicher betrachtet werden könne. Ihr Angriff setze eine große Nähe des Angreifers zur Maschine des Opfers und ausreichend Zeit voraus, um Sessions zu generieren. Sie warnen aber, dass solche Angriffe erfahrungsgemäß gefährlicher würden und man sich daher nicht darauf verlassen sollte, dass die Schwachstelle nur schwer ausnutzbar sei.

Details zu ihrem Angriff haben Nadhem AlFardan und Kenny Paterson in ihrem Artikel Lucky Thirteen: Breaking the TLS and DTLS Record Protocols veröffentlicht. Eine Zusammenfassung gibt es unter isg.rhul.ac.uk.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Trustico/Digicert
Chaos um 23.000 Zertifikate und private Schlüssel
artikel-bild
Verschlüsselung
TLS 1.3 ist so gut wie fertig
artikel-bild
LLVM 6.0
Clang bekommt Maßnahme gegen Spectre-Angriff
Meistgelesen
artikel-bild
Lego-kompatibel
Klemmbaustein mit Display zeigt künstlichen Horizont
artikel-bild
E-Fuels
Kommt die elektronische Betankungsüberwachung?
artikel-bild
Elektro-SUV Ford Explorer angesehen
Blechkleid aus Köln, Unterwäsche aus Wolfsburg
Kommentarübersicht
Re: tls cbc
dudida 20. Feb 2013

Doch, es liegt voll und ganz an TLS. CBC hat hierbei nur untergeordnet etwas zu tun. Wie...

Re: Malcolm in the Middle ?
Anonymer Nutzer 05. Feb 2013

Wir wollen ja auch die FrauenvergewaltigerInnen nicht vergessen.

Re: 2^23 vs 223
zonk 05. Feb 2013

+1

Das kommt davon, wenn man sich zu genau an den...
bebbo 04. Feb 2013

Timing Attacken sind nichts neues. Und alle basieren darauf, das Timing der Fehlerantwort...

Aktuell auf der Startseite von Golem.de
Acropalypse
Auch Windows' Screenshot-Tool kann Sicherheitsproblem sein

Bearbeitete Pixel-Screenshots können im Nachhinein wiederhergestellt werden - ein vergleichbares Problem wurde jetzt bei Windows' Snipping Tool bekannt.

Acropalypse: Auch Windows' Screenshot-Tool kann Sicherheitsproblem sein
Artikel
  1. Hardware-Hack: Gameboy-Boot-ROM aus Die-Fotos wiederherstellbar
    Hardware-Hack
    Gameboy-Boot-ROM aus Die-Fotos wiederherstellbar

    Chips können ihre Inhalte auch durch eine Beobachtung preisgeben. Hacker Travis Goodspeed zeigt das am Boot-ROM des Gameboy.

  2. GTC 2023: Nvidia bringt Dual-GPUs zurück
    GTC 2023
    Nvidia bringt Dual-GPUs zurück

    Wer aber auf das Comeback von SLI gehofft hat, wird enttäuscht. Stattdessen gibt es wieder High-End Rechenbeschleuniger mit NVLink und PCI-Express.

  3. Lego-kompatibel: Klemmbaustein mit Display zeigt künstlichen Horizont
    Lego-kompatibel
    Klemmbaustein mit Display zeigt künstlichen Horizont

    Der kleine, Lego-kompatible Klemmbaustein hat ein kleines Display eingebaut, auf dem ein funktionierender künstlicher Horizont läuft.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Heute besonders viele MindStar-Tagesdeals • Gigabyte RTX 4070 Ti 880,56€ • Crucial SSD 2TB (PS5) 162,90€ • Nintendo Switch inkl. Spiel & Goodie 288€ • NBB Black Weeks: Rabatte bis 60% • PS5 + Resident Evil 4 Remake 569€ • LG OLED TV -57% • Amazon Coupon-Party [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /