Abo
  • IT-Karriere:

RSA im Standard PKCS #1 v1.5 angreifbar

Dem Angriff von Bleichenbacher liegen zwei Eigenschaften zugrunde: zum einen das sogenannte Padding nach dem Standard PKCS #1 v1.5, mit dem Daten vor einer RSA-Verschlüsselung bearbeitet werden, und zum anderen eine Eigenschaft der RSA-Verschlüsselung, die als Malleability bezeichnet wird.

Stellenmarkt
  1. THD - Technische Hochschule Deggendorf, Deggendorf
  2. Sky Deutschland GmbH, Unterföhring bei München

Den Daten, die mit RSA verschlüsselt werden, werden bei PKCS #1 v1.5 immer zwei Bytes vorangestellt (00 02). Wenn ein Server diese beiden Bytes prüft und feststellt, dass sie nicht korrekt sind, erscheint es naheliegend, die Verbindung sofort mit einer Fehlermeldung abzubrechen. Doch genau das führt zum Problem: Tut ein Server das, dann verrät er dem Angreifer etwas darüber, in welchem Intervall die entschlüsselten Daten liegen.

Die sogenannte Malleability von RSA ermöglicht es einem Angreifer, RSA-verschlüsselte Daten gezielt so zu manipulieren, dass das Ergebnis der Entschlüsselung ein Vielfaches des ursprünglichen Ergebnisses ist. Hat ein Angreifer etwa einen verschlüsselten Datenblock des Inhaltes M, dann kann er auch die Verschlüsselung von zweimal M oder dreimal M etc. erzeugen.

Beide Eigenschaften zusammen ermöglichten es Bleichenbacher, einen Algorithmus zu entwickeln, mit dem durch viele Anfragen an den Server RSA-Daten entschlüsselt werden können.

Gegenmaßnahmen in TLS 1.2 extrem komplex und fehleranfällig

Der aktuelle TLS-Standard 1.2 verwendet weiterhin PKCS #1 v1.5. Um Bleichenbacher-Angriffe zu verhindern, schlägt TLS folgendes vor: Wenn ein Server einen nicht korrekt formatierten Datenblock entschlüsselt, soll der Server statt der entschlüsselten Daten Zufallsdaten verwenden und damit den Handshake weiter durchführen. Um dabei Timing-Angriffe zu verhindern, müssen diese Zufallsdaten allerdings schon vor der Entschlüsselung erzeugt werden.

Da der Server die Kommunikation nun mit unsinnigen Daten durchführt, schlägt die TLS-Verbindung bei der Prüfung der sogenannten Finished-Nachricht fehl. Wenn der Server diese Gegenmaßnahmen korrekt durchführt, kann ein Angreifer nicht unterscheiden, welche Art von Fehler auftrat, und lernt somit nichts über die entschlüsselten Daten.

Das gesamte Verfahren ist extrem komplex. Es füllt im TLS-Standard mehr als zwei Seiten. Dort werden mehrere verschiedene mögliche Algorithmen vorgeschlagen, die in einen Server implementiert werden können. Es ist daher eigentlich wenig überraschend, dass diese Gegenmaßnahmen in Servern häufig nicht korrekt implementiert werden - vor allem, da dies im Normalbetrieb überhaupt nicht auffällt und derartige Angriffe kaum getestet werden.

Forward Secrecy hilft - ein bisschen

Wie schwerwiegend die Sicherheitslücke ist, hängt von den genauen Umständen ab. In TLS kommt RSA sowohl für Signaturen als auch zur Verschlüsselung zum Einsatz - es hängt von der gewählten Ciphersuite ab.

Bei Servern, die nur die RSA-Verschlüsselung unterstützen, ist der Angriff absolut fatal. Ein Angreifer kann Daten mitlesen und anschließend in Ruhe entschlüsseln. Bei Servern, die neben der RSA-Verschlüsselung auch Verschlüsselungsmethoden mit RSA-Signaturen und Forward Secrecy unterstützen, führt das üblicherweise dazu, dass diese genutzt werden. Angreifen lässt sich das nur, wenn es gelingt, den Angriff während des Handshakes durchzuführen. Der dauert maximal einige Sekunden. Zumindest bei Zielen wie Facebook, die viele schnelle Server betreiben, dürfte das aber durchaus realistisch sein.

Nur kleine Änderungen im Vergleich zum Angriff von 1998

Der ROBOT-Angriff unterscheidet sich in zwei Punkten von Bleichenbachers originalem Angriff von 1998: Zum einen können neben Fehlermeldungen auch andere Signale genutzt werden, um einen verwundbaren Server zu erkennen. Das können TCP-Verbindungsabbrüche, Timeouts oder auch Protokollfehler sein - einige Server schickten etwa doppelte TLS-Fehler.

Zum anderen sind einige Server nur dann verwundbar, wenn man die gewöhnliche Abfolge der Nachrichten im TLS-Handshake ändert. Üblicherweise schickt ein Client die Protokollnachrichten Client Key Exchange, CCS und Finished direkt hintereinander. Es stellte sich aber heraus, dass einige Server eine Verwundbarkeit zeigten, wenn man nur die Client-Key-Exchange-Nachricht schickt.

 ROBOT-Angriff: 19 Jahre alter Angriff auf TLS funktioniert immer nochNur Abschalten von RSA-Verschlüsselung hilft wirklich 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Anzeige
Spiele-Angebote
  1. 51,95€
  2. (-79%) 12,50€
  3. 3,99€
  4. 2,80€

pEinz 14. Dez 2017

Linux == Kernel Komm da erstmal ran

Anonymer Nutzer 14. Dez 2017

https://blog.cloudflare.com/do-the-chacha-better-mobile-performance-with-cryptography...

VigarLunaris 14. Dez 2017

An den Erklärungen merkt man schon das Problem mit solcherlei Fehlern. Es wird...

wurstfett 13. Dez 2017

https://www.youtube.com/watch?v=R-nQDA_RnOk "Angst kenn eich ney" Geenau der Angriff ist...


Folgen Sie uns
       


Golem.de probiert 5G in Berlin aus - Bericht

Wir probieren 5G in Berlin-Adlershof aus.

Golem.de probiert 5G in Berlin aus - Bericht Video aufrufen
Geothermie: Wer auf dem Vulkan wohnt, muss nicht so tief bohren
Geothermie
Wer auf dem Vulkan wohnt, muss nicht so tief bohren

Die hohen Erwartungen haben Geothermie-Kraftwerke bisher nicht erfüllt. Weltweit setzen trotzdem immer mehr Länder auf die Wärme aus der Tiefe - nicht alle haben es dabei leicht.
Ein Bericht von Jan Oliver Löfken

  1. Nachhaltigkeit Jute im Plastik
  2. Nachhaltigkeit Bauen fürs Klima
  3. Autos Elektro, Brennstoffzelle oder Diesel?

Verkehrssicherheit: Die Lehren aus dem tödlichen SUV-Unfall
Verkehrssicherheit
Die Lehren aus dem tödlichen SUV-Unfall

Soll man tonnenschwere SUV aus den Innenstädten verbannen? Oder sollten technische Systeme schärfer in die Fahrzeugsteuerung eingreifen? Nach einem Unfall mit vier Toten in Berlin mangelt es nicht an radikalen Vorschlägen.
Eine Analyse von Friedhelm Greis

  1. Torc Robotics Daimler-Tochter testet selbstfahrende Lkw
  2. Edag Citybot Wandelbares Auto mit Rucksackmodulen gegen Verkehrsprobleme
  3. Tusimple UPS testet automatisiert fahrende Lkw

HP Pavilion Gaming 15 im Test: Günstig gut gamen
HP Pavilion Gaming 15 im Test
Günstig gut gamen

Mit dem Pavilion Gaming 15 bietet HP für 1.000 Euro ein Spiele-Notebook an, das für aktuelle Titel genügend 1080p-Leistung hat. Auch Bildschirm und Ports taugen, dafür nervt uns die voreingestellte 30-fps-Akku-Drossel.
Ein Test von Marc Sauter

  1. Gaming-Notebooks Asus ROG mit Core i9 und fixen oder farbstarken Displays

    •  /