Abo
  • Services:
Anzeige
Beim Schlüsselaustausch mit dem Diffie-Hellman-Verfahren wurde ein Problem in OpenSSL entdeckt.
Beim Schlüsselaustausch mit dem Diffie-Hellman-Verfahren wurde ein Problem in OpenSSL entdeckt. (Bild: PMRMaeyaert/Wikimedia Commons/CC-BY-SA 3.0)

OpenSSL-Lücke: Die Sache mit den sicheren Primzahlen

Beim Schlüsselaustausch mit dem Diffie-Hellman-Verfahren wurde ein Problem in OpenSSL entdeckt.
Beim Schlüsselaustausch mit dem Diffie-Hellman-Verfahren wurde ein Problem in OpenSSL entdeckt. (Bild: PMRMaeyaert/Wikimedia Commons/CC-BY-SA 3.0)

OpenSSL hat mit einem Sicherheitsupdate eine Sicherheitslücke im Diffie-Hellman-Schlüsselaustausch behoben, deren Risiko als "hoch" eingestuft wird. Allerdings dürfte kaum jemand von der Lücke praktisch betroffen sein.

Auch wenn die Auswirkungen begrenzt sein dürften: Eine neu entdeckte Sicherheitslücke in OpenSSL zeigt erneut, welche Fallstricke es bei der Implementierung des Diffie-Hellman-Schlüsselaustauschverfahrens gibt. Eine Rolle spielen dabei sogenannte "sichere" Primzahlen und die Wiederverwendung von Ephemeral-Diffie-Hellman-Keys über mehrere Verbindungen. Eine weitere Sicherheitslücke erlaubt unter bestimmten Umständen die Nutzung von Uralt-Ciphern aus dem SSL-Protokoll Version 2.

Anzeige

OpenSSL hat die Versionen 1.0.1r und 1.0.2f veröffentlicht. Die älteren Versionszweige 0.9.8 und 1.0.0 werden seit kurzem nicht mehr unterstützt.

Safe Primes und Sophie-Germain-Primzahlen

Der Diffie-Hellman-Schlüsselaustausch benötigt als Parameter für Verbindungen eine Primzahl. Für diese Primzahl wird üblicherweise eine sogenannte "safe Prime" ("sichere Primzahl") eingesetzt. Doch der Name ist missverständlich, denn es gibt auch andere Primzahlen, die in sicherer Art und Weise verwendet werden können. Dabei muss man allerdings einiges beachten.

Diese "safe Primes" zeichnen sich dadurch aus, dass es zu einer Primzahl p eine weitere Primzahl gibt, die man durch die Formel (p-1)/2 berechnen kann. Diese weitere Primzahl nennt sich Sophie-Germain-Primzahl. Ob eine Primzahl eine "safe Prime" ist, lässt sich so relativ einfach testen.

OpenSSL 1.0.2 nutzte standardmäßig jedoch keine Primzahlen dieser Form, es verwendete Primzahlen aus dem RFC 5114, die andere Eigenschaften haben. Diese Primzahlen können eine höhere Performance bieten, allerdings muss man dabei eine Sache beachten: Mit demselben Schlüssel darf jeweils nur ein Schlüsselaustausch durchgeführt werden, andernfalls ist ein Angriff möglich. Auch ältere Versionen von OpenSSL unterstützen bereits die Erzeugung von anfälligen Diffie-Hellman-Primzahlen mit dem Parameter -dsaparam.

Mehrfach verwendete Ephemeral-Keys

Hier wird nun eine andere Eigenschaft von OpenSSL zum Verhängnis: Die Ephemeral-Keys beim Diffie-Hellman-Schlüsselaustausch werden - zumindest standardmäßig - mehrfach verwendet. Doch man kann dieses Wiederverwenden von Ephemeral-Keys abschalten, dafür hat OpenSSL die Option SSL_OP_SINGLE_DH_USE. Diese Option ist auch der Grund, weshalb die Auswirkungen der Lücke begrenzt sein dürften: Alle wichtigen Serveranwendungen, darunter etwa Apache und Nginx, haben diese Option bereits gesetzt.

Entdeckt wurde die Lücke von Antonio Sanso, einem Sicherheitsforscher von Adobe. In seinem Blog hat Sansodie Details und auch den möglichen Angriff erläutert. Die Lücke hat die Id CVE-2015-1788 erhalten.

Neben den wiederverwendeten Ephemeral-Keys gibt es eine weitere Situation, in der die Lücke problematisch sein kann: beim statischen Diffie-Hellman-Verfahren. Das verwendet allerdings sowieso fast niemand und es ist auch eher nicht empfehlenswert, auf dieses ungewöhnliche Verfahren zu setzen. Im vergangenen Jahr sorgte bereits der sogenannte KCI-Angriff für Zweifel an diesen Ciphern.

Das problematische Wiederverwenden von Ephemeral-Keys hat OpenSSL nun deaktiviert. Die Option SSL_OP_SINGLE_DH_USE ist standardmäßig gesetzt und lässt sich auch nicht mehr ausschalten. Das sorgt für geringe Performanceeinbußen, vermeidet jedoch einige Risiken. Beim Diffie-Hellman-Verfahren mit elliptischen Kurven wird der Ephemeral-Key jedoch weiterhin wiederverwendet. Allerdings gilt auch hier: Fast alle wichtigen Serveranwendungen deaktivieren diese Funktion.

Da sich der Einsatz der sogenannten "safe Primes" leicht testen lässt, hat der Autor dieses Textes bereits vor einiger Zeit ein Skript erstellt, mit dem sich Server testen lassen. Dazu sei allerdings nochmal betont: Wenn ein Server keine "safe Prime" einsetzt, heißt das noch nicht, dass eine Sicherheitslücke besteht. Nur die Kombination aus einer anderen Primzahl und dem Cachen von Ephemeral-Keys ist ein Risiko.

SSLv2-Cipher können trotz Abschaltung aktiv bleiben

Die zweite Lücke, die mit diesem Update behoben wird, betrifft das uralte SSL Version 2. Schaltet ein Server alle Cipher-Suites für dieses alte Verfahren aus, vergisst jedoch, auch das zugehörige Protokoll auszuschalten, sind weiterhin Verbindungen mit diesen Cipher-Suites möglich. Diese Lücke hat die Id CVE-2015-3197 erhalten und wurde von Nimrod Aviram und Sebastian Schinzel entdeckt. In fast allen modernen Anwendungen ist SSL Version 2 sowieso ausgeschaltet. Selbst wenn ein Server von dieser Lücke betroffen ist, dürften die Auswirkungen begrenzt sein: Kaum eine Software kann sich damit noch verbinden.


eye home zur Startseite
bstea 29. Jan 2016

Falls die Frage aufkommen sollte, ja Libressl ist auch betroffen. 2.2.6 wird mit dem...

Nibbels 29. Jan 2016

Also... ich persönlich bin froh, dass die Bugs, welche man in den letzten Jahren gefunden...

mnementh 29. Jan 2016

(59-1)/2=29 Der Artikel sagte ziemlich klar, dass p eine safe prime ist, wenn man durch...



Anzeige

Stellenmarkt
  1. Experis GmbH, Kiel
  2. über Hanseatisches Personalkontor Rottweil, Gottmadingen (bei Singen am Htwl.)
  3. über HRM CONSULTING GmbH, Konstanz (Home-Office)
  4. Landeshauptstadt Potsdam, Potsdam


Anzeige
Blu-ray-Angebote
  1. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  2. 16,99€ (ohne Prime bzw. unter 29€ Einkauf + 3€ Versand)
  3. (u. a. Warcraft Blu-ray 9,29€, Jack Reacher Blu-ray 6,29€, Forrest Gump 6,29€, Der Soldat...

Folgen Sie uns
       


  1. ZTE

    Chinas großes 5G-Testprojekt läuft weiter

  2. Ubisoft

    Far Cry 5 bietet Kampf gegen Sekte in und über Montana

  3. Rockstar Games

    Waffenschiebereien in GTA 5

  4. Browser-Games

    Unreal Engine 4.16 unterstützt Wasm und WebGL 2.0

  5. Hasskommentare

    Bundesrat fordert zahlreiche Änderungen an Maas-Gesetz

  6. GVFS

    Windows-Team nutzt fast vollständig Git

  7. Netzneutralität

    Verbraucherschützer wollen Verbot von Stream On der Telekom

  8. Wahlprogramm

    SPD fordert Anzeigepflicht für "relevante Inhalte" im Netz

  9. Funkfrequenzen

    Bundesnetzagentur und Alibaba wollen Produkte sperren

  10. Elektromobilität

    Qualcomm lädt E-Autos während der Fahrt auf



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Quantencomputer: Nano-Kühlung für Qubits
Quantencomputer
Nano-Kühlung für Qubits
  1. IBM Q Mehr Qubits von IBM
  2. Quantencomputer Was sind diese Qubits?
  3. Verschlüsselung Kryptographie im Quantenzeitalter

XPS 13 (9365) im Test: Dells Convertible zeigt alte Stärken und neue Schwächen
XPS 13 (9365) im Test
Dells Convertible zeigt alte Stärken und neue Schwächen
  1. Schnittstelle Intel pflegt endlich Linux-Treiber für Thunderbolt
  2. Atom C2000 & Kaby Lake Updates beheben Defekt respektive fehlendes HDCP 2.2
  3. UP2718Q Dell verkauft HDR10-Monitor ab Mai 2017

Calliope Mini im Test: Neuland lernt programmieren
Calliope Mini im Test
Neuland lernt programmieren
  1. Arduino Cinque RISC-V-Prozessor und ESP32 auf einem Board vereint
  2. MKRFOX1200 Neues Arduino-Board erscheint mit kostenlosem Datentarif
  3. Creoqode 2048 Tragbare Spielekonsole zum Basteln erhältlich

  1. Diese ganzen Online DLCs nerven langsam!

    christi1992 | 18:58

  2. Re: Volumenbegrenzungen abschaffen

    amagol | 18:57

  3. Re: Riesenerfolg von GTA 5 Online

    TC | 18:56

  4. Dann soll man doch bitte o2 free abschaffen

    TodesBrote | 18:56

  5. Re: Noch ein Argument

    forenuser | 18:55


  1. 17:40

  2. 16:40

  3. 16:29

  4. 16:27

  5. 15:15

  6. 13:35

  7. 13:17

  8. 13:05


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel