Abo
  • Services:

OpenSSL: Fataler Fehler im kaum verwendeten Krypto-Modul

Das OpenSSL-Team hat einen fatalen Fehler in der Umsetzung eines Verschlüsselungsalgorithmus entdeckt. Er betrifft ausgerechnet das ins Verruf geratene Dual_EC_DRBG. Da der betroffene Standard kaum Verwendung findet, wird er nicht repariert.

Artikel veröffentlicht am ,
OpenSSL hat einen Bug, der aber nicht auffällt und unschädlich gemacht wird.
OpenSSL hat einen Bug, der aber nicht auffällt und unschädlich gemacht wird. (Bild: OpenSSL)

Im FIPS Object Module v2.0 enthält Dual_EC_DRBG einen Fehler. Er führt dazu, dass bei der Verwendung des Zufallszahlenstandards OpenSSL abstürzt. Da das Nist (National Institute of Standards and Technology) den Zufallsgenerator bereits zurückgezogen hat, wird der Fehler nicht mehr behoben. Es wäre aber ein enormer Aufwand, Dual_EC_DRBG aus dem Modul zu entfernen. Deshalb wird lediglich die Verwendung aus dem restlichen OpenSSL-Code entfernt.

Stellenmarkt
  1. Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB, Ilmenau
  2. DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Köln

Dual_EC_DRBG war nach den Enthüllungen von Edward Snowden in Verruf geraten. Es verwendet elliptische Kurven zur Erzeugung von Zufallszahlen. Aus den NSA-Unterlagen geht hervor, dass der US-Geheimdienst nicht nur an dem Standard mitgearbeitet, sondern ihn selbst entwickelt hat. Daher wird eine Hintertür in dem Standard vermutet. Das Nist, das die Verschlüsselungsregeln für US-Behörden und US-Regierungseinrichtungen festlegt, zog daraufhin den Standard zurück.

Unentdeckter Fehler

Es fragt sich, warum der Fehler bislang nicht entdeckt wurde. Zum einen wird klar, dass kaum jemand Dual_EC_DRBG nutzt. Allerdings fiel der Fehler auch nicht bei den zahlreichen Algorithmusprüfungen des Cryptographic Algorithm Validation Program (CAVP) auf, die die Software regelmäßig durchläuft. Hunderte seien es gewesen, schreiben die Entwickler in dem Security Alert.

Das Testverfahren reiche nicht aus, um Fehler zu finden, die bei der Verwendung entstehen, schreibt Steve Marquess von der OpenSSL Software Foundation. Da sich die Ergebnisse zwischen der artifiziellen Umgebung und unter normalen Umständen zwangsweise unterscheiden, haben die Entwickler bis auf einmal darauf verzichtet. Damals führte diese Diskrepanz dazu, dass die Verifizierung zurückgezogen werden musste. Da das ganze Cryptographic Module Validation Program (CMVP) aber Änderungen verabscheue, wollten die Entwickler bislang kein neues Testverfahren entwickeln.



Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

ursgoem8 22. Dez 2013

Viele sehen halt immer noch OpenSource eher als Freeware.


Folgen Sie uns
       


Amazon Basics PC-Peripherie ausprobiert

Amazons Basics-Reihe beinhaltet eine Reihe von PC-Peripheriegeräten. Wir haben uns alles nötige bestellt und überprüft, ob sich ein Kauf der Produkte lohnt.

Amazon Basics PC-Peripherie ausprobiert Video aufrufen
Falcon Heavy: Beim zweiten Mal wird alles besser
Falcon Heavy
Beim zweiten Mal wird alles besser

Die größte Rakete der Welt fliegt wieder. Diesmal mit voller Leistung, einem Satelliten und einer gelungenen Landung im Meer. Die Marktbedingungen sind für die Schwerlastrakete Falcon Heavy in nächster Zeit allerdings eher schlecht.
Von Frank Wunderlich-Pfeiffer und dpa

  1. SpaceX Raketenstufe nach erfolgreicher Landung umgekippt
  2. Raumfahrt SpaceX zündet erstmals das Triebwerk des Starhoppers
  3. Raumfahrt SpaceX - Die Rückkehr des Drachen

TES Blades im Test: Tolles Tamriel trollt
TES Blades im Test
Tolles Tamriel trollt

In jedem The Elder Scrolls verbringe ich viel Zeit in Tamriel, in TES Blades allerdings am Smartphone statt am PC oder an der Konsole. Mich überzeugen Atmosphäre und Kämpfe des Rollenspiels; der Aufbau der Stadt und der Charakter-Fortschritt aber werden geblockt durch kostspielige Trolle.
Ein Test von Marc Sauter

  1. Bethesda TES Blades startet in den Early Access
  2. Bethesda The Elder Scrolls 6 erscheint für nächste Konsolengeneration

Elektromobilität: Was hat ein Kanu mit Autos zu tun?
Elektromobilität
Was hat ein Kanu mit Autos zu tun?

Veteranen der deutschen Autoindustrie wollen mit Canoo den Fahrzeugbau und den Vertrieb revolutionieren. Zunächst scheitern die großen Köpfe aber an den kleinen Hürden der Startupwelt.
Ein Bericht von Dirk Kunde

  1. EU Unfall-Fahrtenschreiber in Autos ab 2022 Pflicht
  2. Verkehrssenatorin Fahrverbot für Autos in Berlin gefordert
  3. Ventomobil Mit dem Windrad auf Rekordjagd

    •  /