Abo
  • Services:
Anzeige
Ein harscher Vorwurf: Die Krypto-Community sei zu faul, ihre alten und schlechten Algorithmen zu entsorgen.
Ein harscher Vorwurf: Die Krypto-Community sei zu faul, ihre alten und schlechten Algorithmen zu entsorgen. (Bild: Leo Johannes, Christian Mehlführer, Wikimedia Commons/CC-BY 2.5)

MD5/SHA1: Sloth-Angriffe nutzen alte Hash-Algorithmen aus

Ein harscher Vorwurf: Die Krypto-Community sei zu faul, ihre alten und schlechten Algorithmen zu entsorgen.
Ein harscher Vorwurf: Die Krypto-Community sei zu faul, ihre alten und schlechten Algorithmen zu entsorgen. (Bild: Leo Johannes, Christian Mehlführer, Wikimedia Commons/CC-BY 2.5)

Neue Angriffe gegen TLS: Krypto-Forscher präsentieren mit Sloth mehrere Schwächen in TLS-Implementierungen und im Protokoll selbst. Am kritischsten ist ein Angriff auf Client-Authentifizierungen mit RSA und MD5.

Mehrere Schwächen im TLS-Protokoll, die durch die Nutzung alter Hashfunktionen verursacht werden, haben Karthikeyan Bhargavan und Gaetan Leurent vom Forschungsprojekt Prosecco veröffentlicht. Die Angriffe basieren auf der Nutzung der inzwischen als überholt geltenden Hash-Algorithmen MD5 und SHA1, sowie auf Hashes, die in Protokollen abgeschnitten verwendet werden. Der Angriff trägt den Namen Sloth, die Abkürzung steht für Security Losses from Obsolete and truncated Transcript Hashes. Übersetzt bedeutet Sloth Faulheit oder auch Faultier, ein Verweis darauf, dass die Kryptografie-Community zu langsam dabei sei, veraltete Algorithmen aus ihren Protokollen zu entfernen.

Anzeige

Man-in-the-Middle-Angriff auf Client-Authentifizierung

Der relevanteste Angriff betrifft die Authentifizierung mit Clientzertifikaten in TLS 1.2. Möglich ist dieser Angriff, wenn ein Nutzer sich mit einem Zertifikat beim Server des Angreifers anmeldet. Der Server kann sich dann, genügend Rechenpower vorausgesetzt, gegenüber einem anderen Server mit dem Clientzertifikat des Nutzers anmelden, falls der Client das RSA-Signaturverfahren mit MD5 unterstützt.

Interessant dabei ist, dass die älteren Protokollversionen TLS 1.0 und 1.1 von diesem Problem nicht betroffen sind. Diese alten Protokolle nutzten eine Kombination aus MD5 und SHA1 für die Clientsignaturen. In Version 1.2 wurde dies ersetzt durch einen Mechanismus, bei dem der Algorithmus zwischen Server und Client ausgehandelt wird. Dabei sind auch MD5 und SHA1 zulässig. Bemerkenswert ist, dass TLS 1.2 diese alten Algorithmen überhaupt unterstützt, denn diese Version wurde 2008 veröffentlicht, mehrere Jahre nachdem die Sicherheit von MD5 und SHA1 durch zahlreiche Angriffe untergraben worden war.

Neben diesem Problem mit dem Protokoll selbst ist eine weitere Tatsache bemerkenswert: Die Forscher fanden zahlreiche TLS-Implementierungen, die beim Handshake angaben, Signaturen mit MD5 nicht zu unterstützen, doch wenn ein Server diese trotzdem sendete, wurden sie akzeptiert. Das betraf unter anderem OpenSSL in älteren Versionen (vor 1.0.1f), NSS (vor 3.21) und GnuTLS (vor 3.3.15). Die Java-TLS-Implementierung JSSE unterstützte RSA-MD5 direkt und gab das auch so an. Einen Proof-of-Concept-Angriff haben die Forscher gegen eine Kombination aus einem Java-Client und einem Java-Server durchgeführt. Dafür kam eine optimierte Version des Tools Hashclash zum Einsatz.

Angriff gegen Channel-Binding und serverseitige MD5-Signaturen

Ein weiterer Angriff betrifft sogenannte Channel-Binding-Verfahren. Channel Binding wird genutzt, um bei Authentifizierungsverfahren zu verhindern, dass ein Server die Authentifizierung eines Nutzers verwenden kann, um sich selbst bei einem anderen Server anzumelden. Es kommt in den Protokollen Fido, Token Binding und Scram zum Einsatz. Scram wird unter anderem im XMPP/Jabber-Protokoll genutzt. Diese Protokolle verwenden einen Wert aus dem TLS-Handshake, der als tls-unique bezeichnet wird. Dieser Wert wird mit Hilfe eines HMAC-Verfahrens mit dem SHA256-Hash-Algorithmus generiert, allerdings wird dieser Hash auf 96 Bit gekürzt. Dadurch wird der Angriff möglich.

Aufgrund des Protokolldesigns der bisherigen TLS-Versionen ist ein Angriff auf die Serversignaturen im Handshake nicht so einfach möglich. Allerdings fanden die Forscher auch hier eine Möglichkeit, die zumindest die Robustheit des Protokolls in Zweifel zieht. Dafür müssen sie jedoch zunächst eine sehr große Zahl an Signaturen des Servers aufzeichnen. Um einen Angriff mit der Komplexität von 2^64 durchzuführen, müssten dafür 2^64 Signaturen des Servers aufgezeichnet werden. Werden weniger Signaturen aufgezeichnet, so wird der Angriff entsprechend schwerer. In der Praxis durchführen lässt sich dieser Angriff wohl nicht.

SHA1-Kollisionen beherbergen weitere Angriffe 

eye home zur Startseite
bjs 07. Jan 2016

es geht um die entdeckungen der sicherheitslücken und nicht um entdeckte sicherheitslücken.



Anzeige

Stellenmarkt
  1. Endress+Hauser Systemplan GmbH, Durmersheim
  2. über Hays AG, Hamburg
  3. Tecan Software Competence Center GmbH, Mainz-Kastel
  4. EMIS Electrics GmbH, Waldkirch (Breisgau)


Anzeige
Hardware-Angebote
  1. 59,90€
  2. 129,99€ (219,98€ für zwei)
  3. ASUS-Gaming-Produkt kaufen und bis zu 150€ Cashback erhalten

Folgen Sie uns
       


  1. Fake News

    Murdoch fordert von Facebook Sendegebühr für Medien

  2. Diewithme

    Zusammen im Chat den Akkutod sterben

  3. Soziales Netzwerk

    Facebook sorgt sich um seine Auswirkungen auf die Demokratie

  4. Telefónica

    5G-Test für TV-Übertragung im Bayerischen Oberland

  5. Omega Timing

    Kamera mit 2.000 x 1 Pixeln sucht Sieger

  6. Autonomes Fahren

    Waymo testet in Atlanta

  7. Newsletter-Dienst

    Mailchimp verrät E-Mail-Adressen von Newsletter-Abonnenten

  8. Gegen FCC

    US-Bundesstaat Montana verlangt Netzneutralität für Behörden

  9. Digital Rights Management

    Denuvo von Sicherheitsanbieter Irdeto gekauft

  10. Android 8.1

    Oreo erkennt Qualität von WLAN-Netzwerk vor Verbindung



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Star Citizen Alpha 3.0 angespielt: Es wird immer schwieriger, sich auszuloggen
Star Citizen Alpha 3.0 angespielt
Es wird immer schwieriger, sich auszuloggen
  1. Cloud Imperium Games Star Citizen bekommt erst Polituren und dann Reparaturen
  2. Star Citizen Reaktionen auf Gameplay und Bildraten von Alpha 3.0
  3. Squadron 42 Mark Hamill fliegt mit 16 GByte RAM und SSD

Vorschau Kinofilme 2018: Lara, Han und Player One
Vorschau Kinofilme 2018
Lara, Han und Player One
  1. Kinofilme 2017 Rückkehr der Replikanten und Triumph der Nasa-Frauen
  2. Star Wars - Die letzten Jedi Viel Luke und zu viel Unfug

Preiswertes Grafik-Dock ausprobiert: Ein eGPU-Biest für unter 50 Euro
Preiswertes Grafik-Dock ausprobiert
Ein eGPU-Biest für unter 50 Euro
  1. XG Station Pro Asus' zweite eGPU-Box ist schlicht
  2. Zotac Amp Box (Mini) TB3-Gehäuse eignen sich für eGPUs oder SSDs
  3. Snpr External Graphics Enclosure KFA2s Grafikbox samt Geforce GTX 1060 kostet 500 Euro

  1. Re: Um Demokratie braucht man sich nicht zu sorgen

    teenriot* | 14:56

  2. Re: Toller Artikel!

    piranha771 | 14:56

  3. Re: Das ist doch eh wieder nur ein weitere Far...

    troll3x | 14:56

  4. Re: C2D Spectre verwundbar?

    treysis | 14:56

  5. Re: Spectre und ältere Rechner

    treysis | 14:55


  1. 14:55

  2. 14:13

  3. 13:27

  4. 13:18

  5. 12:07

  6. 12:06

  7. 11:46

  8. 11:31


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel