Abo
  • Services:

OpenSSL-Lücke: Die Sache mit den sicheren Primzahlen

OpenSSL hat mit einem Sicherheitsupdate eine Sicherheitslücke im Diffie-Hellman-Schlüsselaustausch behoben, deren Risiko als "hoch" eingestuft wird. Allerdings dürfte kaum jemand von der Lücke praktisch betroffen sein.

Artikel veröffentlicht am , Hanno Böck
Beim Schlüsselaustausch mit dem Diffie-Hellman-Verfahren wurde ein Problem in OpenSSL entdeckt.
Beim Schlüsselaustausch mit dem Diffie-Hellman-Verfahren wurde ein Problem in OpenSSL entdeckt. (Bild: PMRMaeyaert/Wikimedia Commons/CC-BY-SA 3.0)

Auch wenn die Auswirkungen begrenzt sein dürften: Eine neu entdeckte Sicherheitslücke in OpenSSL zeigt erneut, welche Fallstricke es bei der Implementierung des Diffie-Hellman-Schlüsselaustauschverfahrens gibt. Eine Rolle spielen dabei sogenannte "sichere" Primzahlen und die Wiederverwendung von Ephemeral-Diffie-Hellman-Keys über mehrere Verbindungen. Eine weitere Sicherheitslücke erlaubt unter bestimmten Umständen die Nutzung von Uralt-Ciphern aus dem SSL-Protokoll Version 2.

Stellenmarkt
  1. Lidl Digital, Leingarten, Berlin
  2. Burgmaier Technologies GmbH + Co KG, Allmendingen

OpenSSL hat die Versionen 1.0.1r und 1.0.2f veröffentlicht. Die älteren Versionszweige 0.9.8 und 1.0.0 werden seit kurzem nicht mehr unterstützt.

Safe Primes und Sophie-Germain-Primzahlen

Der Diffie-Hellman-Schlüsselaustausch benötigt als Parameter für Verbindungen eine Primzahl. Für diese Primzahl wird üblicherweise eine sogenannte "safe Prime" ("sichere Primzahl") eingesetzt. Doch der Name ist missverständlich, denn es gibt auch andere Primzahlen, die in sicherer Art und Weise verwendet werden können. Dabei muss man allerdings einiges beachten.

Diese "safe Primes" zeichnen sich dadurch aus, dass es zu einer Primzahl p eine weitere Primzahl gibt, die man durch die Formel (p-1)/2 berechnen kann. Diese weitere Primzahl nennt sich Sophie-Germain-Primzahl. Ob eine Primzahl eine "safe Prime" ist, lässt sich so relativ einfach testen.

OpenSSL 1.0.2 nutzte standardmäßig jedoch keine Primzahlen dieser Form, es verwendete Primzahlen aus dem RFC 5114, die andere Eigenschaften haben. Diese Primzahlen können eine höhere Performance bieten, allerdings muss man dabei eine Sache beachten: Mit demselben Schlüssel darf jeweils nur ein Schlüsselaustausch durchgeführt werden, andernfalls ist ein Angriff möglich. Auch ältere Versionen von OpenSSL unterstützen bereits die Erzeugung von anfälligen Diffie-Hellman-Primzahlen mit dem Parameter -dsaparam.

Mehrfach verwendete Ephemeral-Keys

Hier wird nun eine andere Eigenschaft von OpenSSL zum Verhängnis: Die Ephemeral-Keys beim Diffie-Hellman-Schlüsselaustausch werden - zumindest standardmäßig - mehrfach verwendet. Doch man kann dieses Wiederverwenden von Ephemeral-Keys abschalten, dafür hat OpenSSL die Option SSL_OP_SINGLE_DH_USE. Diese Option ist auch der Grund, weshalb die Auswirkungen der Lücke begrenzt sein dürften: Alle wichtigen Serveranwendungen, darunter etwa Apache und Nginx, haben diese Option bereits gesetzt.

Entdeckt wurde die Lücke von Antonio Sanso, einem Sicherheitsforscher von Adobe. In seinem Blog hat Sansodie Details und auch den möglichen Angriff erläutert. Die Lücke hat die Id CVE-2015-1788 erhalten.

Neben den wiederverwendeten Ephemeral-Keys gibt es eine weitere Situation, in der die Lücke problematisch sein kann: beim statischen Diffie-Hellman-Verfahren. Das verwendet allerdings sowieso fast niemand und es ist auch eher nicht empfehlenswert, auf dieses ungewöhnliche Verfahren zu setzen. Im vergangenen Jahr sorgte bereits der sogenannte KCI-Angriff für Zweifel an diesen Ciphern.

Das problematische Wiederverwenden von Ephemeral-Keys hat OpenSSL nun deaktiviert. Die Option SSL_OP_SINGLE_DH_USE ist standardmäßig gesetzt und lässt sich auch nicht mehr ausschalten. Das sorgt für geringe Performanceeinbußen, vermeidet jedoch einige Risiken. Beim Diffie-Hellman-Verfahren mit elliptischen Kurven wird der Ephemeral-Key jedoch weiterhin wiederverwendet. Allerdings gilt auch hier: Fast alle wichtigen Serveranwendungen deaktivieren diese Funktion.

Da sich der Einsatz der sogenannten "safe Primes" leicht testen lässt, hat der Autor dieses Textes bereits vor einiger Zeit ein Skript erstellt, mit dem sich Server testen lassen. Dazu sei allerdings nochmal betont: Wenn ein Server keine "safe Prime" einsetzt, heißt das noch nicht, dass eine Sicherheitslücke besteht. Nur die Kombination aus einer anderen Primzahl und dem Cachen von Ephemeral-Keys ist ein Risiko.

SSLv2-Cipher können trotz Abschaltung aktiv bleiben

Die zweite Lücke, die mit diesem Update behoben wird, betrifft das uralte SSL Version 2. Schaltet ein Server alle Cipher-Suites für dieses alte Verfahren aus, vergisst jedoch, auch das zugehörige Protokoll auszuschalten, sind weiterhin Verbindungen mit diesen Cipher-Suites möglich. Diese Lücke hat die Id CVE-2015-3197 erhalten und wurde von Nimrod Aviram und Sebastian Schinzel entdeckt. In fast allen modernen Anwendungen ist SSL Version 2 sowieso ausgeschaltet. Selbst wenn ein Server von dieser Lücke betroffen ist, dürften die Auswirkungen begrenzt sein: Kaum eine Software kann sich damit noch verbinden.

Zu den Kommentaren springen
Meistgelesen
  1. Software-Entwickler
    Welche Programmiersprache soll ich lernen?
  2. Deutsche E-Auto-Pläne
    Von null auf überambitioniert
  3. GFX 100
    Fujifilm baut spiegellose Systemkamera mit 100 Megapixeln
  4. Apple
    Käufer beklagen schwachen Empfang beim iPhone Xs und Xs Max
  5. Luftaufnahmen
    Drohnen im Einsatz gegen griechische Steuerhinterzieher
Anzeige
Top-Angebote
  1. 119,99€
  2. 649,00€
Kommentarübersicht
Libressl
bstea 29. Jan 2016

Falls die Frage aufkommen sollte, ja Libressl ist auch betroffen. 2.2.6 wird mit dem...

Re: openssl entwickelt sich zum neuen flashplayer
Nibbels 29. Jan 2016

Also... ich persönlich bin froh, dass die Bugs, welche man in den letzten Jahren gefunden...

Re: "die Formel (p-1)/2 berechnen kann."
mnementh 29. Jan 2016

(59-1)/2=29 Der Artikel sagte ziemlich klar, dass p eine safe prime ist, wenn man durch...

Folgen Sie uns
       
Logitechs MX Vertical und Ankers vertikale Maus im Vergleichstest

Die MX Vertical ist Logitechs erste vertikale Maus. Sie hat sechs Tasten und kann wahlweise über Blueooth, eine Logitech-eigene Drahtlostechnik oder Kabel verwendet werden. Die spezielle Bauform soll Schmerzen in der Hand, dem Handgelenk und den Armen verhindern. Wem es vor allem darum geht, eine vertikale Sechstastenmaus nutzen zu können, kann sich das deutlich günstigere Modell von Anker anschauen, das eine vergleichbare Bauform hat. Logitech verlangt für die MX Vertical 110 Euro, das Anker-Modell gibt es für um die 20 Euro.

Logitechs MX Vertical und Ankers vertikale Maus im Vergleichstest Video aufrufen
iOS 12
iOS 12 im Test: Auch Apple will es Nutzern leichter machen
iOS 12 im Test
Auch Apple will es Nutzern leichter machen

Apple setzt mit iOS 12 weniger auf aufsehenerregende Funktionen als auf viele kleine Verbesserungen für den Alltag. Das erinnert an Google und Android 9, was nicht zwingend schlecht ist.
Ein Test von Tobias Költzsch

  1. Apple iOS 12.1 verrät neues iPad Pro
  2. Apple Siri-Kurzbefehle-App für iOS 12 verfügbar
IMHO
Retrogaming: Maximal unnötige Minis
Retrogaming
Maximal unnötige Minis

Nanu, die haben wir doch schon mal weggeschmissen - und jetzt sollen wir 100 Euro dafür ausgeben? Mit Minikonsolen fahren Anbieter wie Sony und Nintendo vermutlich hohe Gewinne ein, dabei gäbe es eine für alle bessere Alternative: Software statt Hardware.
Ein IMHO von Peter Steinlechner

  1. Streaming Heilloses Durcheinander bei Netflix und Amazon Prime
  2. Sicherheit Ein Lob für Twitter und Github
  3. Linux Mit Ignoranz gegen die GPL
Bosch
Elektroroller-Verleih Coup: Zum Laden in den Keller gehen
Elektroroller-Verleih Coup
Zum Laden in den Keller gehen

Wie hält man eine Flotte mit 1.000 elektrischen Rollern am Laufen? Die Bosch-Tochter Coup hat in Berlin einen Blick hinter die Kulissen der Sharing-Wirtschaft gewährt.
Ein Bericht von Friedhelm Greis

  1. Neue Technik Bosch verkündet Durchbruch für saubereren Diesel
  2. Halbleiterwerk Bosch beginnt Bau neuer 300-mm-Fab in Dresden
  3. Zu hohe Investionen Bosch baut keine eigenen Batteriezellen
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /