Abo
  • Services:

OpenSSL: Fataler Fehler im kaum verwendeten Krypto-Modul

Das OpenSSL-Team hat einen fatalen Fehler in der Umsetzung eines Verschlüsselungsalgorithmus entdeckt. Er betrifft ausgerechnet das ins Verruf geratene Dual_EC_DRBG. Da der betroffene Standard kaum Verwendung findet, wird er nicht repariert.

Artikel veröffentlicht am ,
OpenSSL hat einen Bug, der aber nicht auffällt und unschädlich gemacht wird.
OpenSSL hat einen Bug, der aber nicht auffällt und unschädlich gemacht wird. (Bild: OpenSSL)

Im FIPS Object Module v2.0 enthält Dual_EC_DRBG einen Fehler. Er führt dazu, dass bei der Verwendung des Zufallszahlenstandards OpenSSL abstürzt. Da das Nist (National Institute of Standards and Technology) den Zufallsgenerator bereits zurückgezogen hat, wird der Fehler nicht mehr behoben. Es wäre aber ein enormer Aufwand, Dual_EC_DRBG aus dem Modul zu entfernen. Deshalb wird lediglich die Verwendung aus dem restlichen OpenSSL-Code entfernt.

Stellenmarkt
  1. Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO, Stuttgart, Esslingen
  2. eco Verband der Internetwirtschaft e.V., Köln

Dual_EC_DRBG war nach den Enthüllungen von Edward Snowden in Verruf geraten. Es verwendet elliptische Kurven zur Erzeugung von Zufallszahlen. Aus den NSA-Unterlagen geht hervor, dass der US-Geheimdienst nicht nur an dem Standard mitgearbeitet, sondern ihn selbst entwickelt hat. Daher wird eine Hintertür in dem Standard vermutet. Das Nist, das die Verschlüsselungsregeln für US-Behörden und US-Regierungseinrichtungen festlegt, zog daraufhin den Standard zurück.

Unentdeckter Fehler

Es fragt sich, warum der Fehler bislang nicht entdeckt wurde. Zum einen wird klar, dass kaum jemand Dual_EC_DRBG nutzt. Allerdings fiel der Fehler auch nicht bei den zahlreichen Algorithmusprüfungen des Cryptographic Algorithm Validation Program (CAVP) auf, die die Software regelmäßig durchläuft. Hunderte seien es gewesen, schreiben die Entwickler in dem Security Alert.

Das Testverfahren reiche nicht aus, um Fehler zu finden, die bei der Verwendung entstehen, schreibt Steve Marquess von der OpenSSL Software Foundation. Da sich die Ergebnisse zwischen der artifiziellen Umgebung und unter normalen Umständen zwangsweise unterscheiden, haben die Entwickler bis auf einmal darauf verzichtet. Damals führte diese Diskrepanz dazu, dass die Verifizierung zurückgezogen werden musste. Da das ganze Cryptographic Module Validation Program (CMVP) aber Änderungen verabscheue, wollten die Entwickler bislang kein neues Testverfahren entwickeln.



Anzeige
Spiele-Angebote
  1. 23,99€
  2. 12,49€
  3. 59,99€ mit Vorbesteller-Preisgarantie (Release 26.02.)
  4. 4,99€

ursgoem8 22. Dez 2013

Viele sehen halt immer noch OpenSource eher als Freeware.


Folgen Sie uns
       


Need for Speed 3 Hot Pursuit (1998) - Golem retro_

Diese Episode Golem retro_ beleuchtet Need for Speed 3 Hot Pursuit aus dem Jahre 1998. Der dritte Serienteil gilt bis heute bei den Fans als unerreicht gut.

Need for Speed 3 Hot Pursuit (1998) - Golem retro_ Video aufrufen
Geforce RTX 2060 im Test: Gute Karte zum gutem Preis mit Speicher-Aber
Geforce RTX 2060 im Test
Gute Karte zum gutem Preis mit Speicher-Aber

Mit der Geforce RTX 2060 hat Nvidia die bisher günstigste Grafikkarte mit Turing-Architektur veröffentlicht. Für 370 Euro erhalten Spieler genug Leistung für 1080p oder 1440p und sogar für Raytracing, bei vollen Schatten- oder Textur-Details wird es aber in seltenen Fällen ruckelig.
Ein Test von Marc Sauter

  1. Geforce RTX 2060 Founder's Edition kostet 370 Euro
  2. Turing-Architektur Nvidia stellt schnelle Geforce RTX für Notebooks vor
  3. Turing-Grafikkarte Nvidia plant Geforce RTX 2060

Elektroauto: Eine Branche vor der Zerreißprobe
Elektroauto
Eine Branche vor der Zerreißprobe

2019 wird ein spannendes Jahr für die Elektromobilität. Politik und Autoindustrie stehen in diesem Jahr vor Entwicklungen, die über die Zukunft bestimmen. Doch noch ist die Richtung unklar.
Eine Analyse von Dirk Kunde

  1. Softwarefehler Lime-Tretroller werfen Fahrer ab
  2. Hyundai Das Elektroauto soll automatisiert parken und laden
  3. Kalifornien Ab 2029 müssen Stadtbusse elektrisch fahren

Nubia Red Magic Mars im Hands On: Gaming-Smartphone mit Top-Ausstattung für 390 Euro
Nubia Red Magic Mars im Hands On
Gaming-Smartphone mit Top-Ausstattung für 390 Euro

CES 2019 Mit dem Red Magic Mars bringt Nubia ein interessantes und vor allem verhältnismäßig preiswertes Gaming-Smartphone nach Deutschland. Es hat einen Leistungsmodus und Schulter-Sensortasten, die beim Zocken helfen können.
Ein Hands on von Tobias Költzsch

  1. Hypersense-Prototypen ausprobiert Razers Rumpel-Peripherie sorgt für Immersion
  2. ATH-ANC900BT Audio Technica zeigt neuen ANC-Kopfhörer
  3. Smart Clock Lenovo setzt bei Echo-Spot-Variante auf Google Assistant

    •  /