Abo
  • Services:
Anzeige
OpenSSL hat einen Bug, der aber nicht auffällt und unschädlich gemacht wird.
OpenSSL hat einen Bug, der aber nicht auffällt und unschädlich gemacht wird. (Bild: OpenSSL)

OpenSSL Fataler Fehler im kaum verwendeten Krypto-Modul

Das OpenSSL-Team hat einen fatalen Fehler in der Umsetzung eines Verschlüsselungsalgorithmus entdeckt. Er betrifft ausgerechnet das ins Verruf geratene Dual_EC_DRBG. Da der betroffene Standard kaum Verwendung findet, wird er nicht repariert.

Anzeige

Im FIPS Object Module v2.0 enthält Dual_EC_DRBG einen Fehler. Er führt dazu, dass bei der Verwendung des Zufallszahlenstandards OpenSSL abstürzt. Da das Nist (National Institute of Standards and Technology) den Zufallsgenerator bereits zurückgezogen hat, wird der Fehler nicht mehr behoben. Es wäre aber ein enormer Aufwand, Dual_EC_DRBG aus dem Modul zu entfernen. Deshalb wird lediglich die Verwendung aus dem restlichen OpenSSL-Code entfernt.

Dual_EC_DRBG war nach den Enthüllungen von Edward Snowden in Verruf geraten. Es verwendet elliptische Kurven zur Erzeugung von Zufallszahlen. Aus den NSA-Unterlagen geht hervor, dass der US-Geheimdienst nicht nur an dem Standard mitgearbeitet, sondern ihn selbst entwickelt hat. Daher wird eine Hintertür in dem Standard vermutet. Das Nist, das die Verschlüsselungsregeln für US-Behörden und US-Regierungseinrichtungen festlegt, zog daraufhin den Standard zurück.

Unentdeckter Fehler

Es fragt sich, warum der Fehler bislang nicht entdeckt wurde. Zum einen wird klar, dass kaum jemand Dual_EC_DRBG nutzt. Allerdings fiel der Fehler auch nicht bei den zahlreichen Algorithmusprüfungen des Cryptographic Algorithm Validation Program (CAVP) auf, die die Software regelmäßig durchläuft. Hunderte seien es gewesen, schreiben die Entwickler in dem Security Alert.

Das Testverfahren reiche nicht aus, um Fehler zu finden, die bei der Verwendung entstehen, schreibt Steve Marquess von der OpenSSL Software Foundation. Da sich die Ergebnisse zwischen der artifiziellen Umgebung und unter normalen Umständen zwangsweise unterscheiden, haben die Entwickler bis auf einmal darauf verzichtet. Damals führte diese Diskrepanz dazu, dass die Verifizierung zurückgezogen werden musste. Da das ganze Cryptographic Module Validation Program (CMVP) aber Änderungen verabscheue, wollten die Entwickler bislang kein neues Testverfahren entwickeln.


eye home zur Startseite
ursgoem8 22. Dez 2013

Viele sehen halt immer noch OpenSource eher als Freeware.



Anzeige

Stellenmarkt
  1. Hauni Maschinenbau GmbH, Hamburg
  2. Deutsche Bundesbank, Düsseldorf
  3. Ratbacher GmbH, Montabaur
  4. Voith Digital Solutions GmbH, Heidenheim


Anzeige
Spiele-Angebote
  1. 389,99€
  2. (-20%) 31,99€
  3. ab 129,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Komplett-PC

    In Nvidias Battleboxen steckt AMDs Ryzen

  2. Internet

    Cloudflare macht IPv6 parallel zu IPv4 jetzt Pflicht

  3. Square Enix

    Neustart für das Final Fantasy 7 Remake

  4. Agesa 1006

    Ryzen unterstützt DDR4-4000

  5. Telekom Austria

    Nokia erreicht 850 MBit/s im LTE-Netz

  6. Star Trek Bridge Crew im Test

    Festgetackert im Holodeck

  7. Quantenalgorithmen

    "Morgen könnte ein Physiker die Quantenmechanik widerlegen"

  8. Astra

    ZDF bleibt bis zum Jahr 2020 per Satellit in SD verfügbar

  9. Kubic

    Opensuse startet Projekt für Container-Plattform

  10. Frühstart

    Kabelnetzbetreiber findet keine Modems für Docsis 3.1



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Calliope Mini im Test: Neuland lernt programmieren
Calliope Mini im Test
Neuland lernt programmieren
  1. Arduino Cinque RISC-V-Prozessor und ESP32 auf einem Board vereint
  2. MKRFOX1200 Neues Arduino-Board erscheint mit kostenlosem Datentarif
  3. Creoqode 2048 Tragbare Spielekonsole zum Basteln erhältlich

Tado im Langzeittest: Am Ende der Heizperiode
Tado im Langzeittest
Am Ende der Heizperiode
  1. Wemo Belkin erweitert Smart-Home-System um Homekit-Bridge
  2. Speedport Smart Telekom bringt Smart-Home-Funktionen auf den Speedport
  3. Tapdo Das Smart Home mit Fingerabdrücken steuern

Blackberry Keyone im Test: Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
Blackberry Keyone im Test
Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
  1. Blackberry Keyone kommt Mitte Mai
  2. Keyone Blackberrys neues Tastatur-Smartphone kommt später

  1. Re: Widerlegen?

    Yeeeeeeeeha | 01:21

  2. Re: "Hass im Netz" klingt nach Zensur für mich

    bombinho | 01:14

  3. Re: 2020!? Und die Personalien?

    packansack | 00:48

  4. Re: Mobilfunk + Festnetz-Anschluss meiner Eltern

    LordGurke | 00:47

  5. Könnte Akamai auch gerne machen

    LordGurke | 00:44


  1. 18:08

  2. 17:37

  3. 16:55

  4. 16:46

  5. 16:06

  6. 16:00

  7. 14:21

  8. 13:56


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel