Abo
  • Services:

RSA im Standard PKCS #1 v1.5 angreifbar

Dem Angriff von Bleichenbacher liegen zwei Eigenschaften zugrunde: zum einen das sogenannte Padding nach dem Standard PKCS #1 v1.5, mit dem Daten vor einer RSA-Verschlüsselung bearbeitet werden, und zum anderen eine Eigenschaft der RSA-Verschlüsselung, die als Malleability bezeichnet wird.

Stellenmarkt
  1. MED-EL Medical Electronics, Innsbruck (Österreich)
  2. Evangelischer Oberkirchenrat Stuttgart, Stuttgart

Den Daten, die mit RSA verschlüsselt werden, werden bei PKCS #1 v1.5 immer zwei Bytes vorangestellt (00 02). Wenn ein Server diese beiden Bytes prüft und feststellt, dass sie nicht korrekt sind, erscheint es naheliegend, die Verbindung sofort mit einer Fehlermeldung abzubrechen. Doch genau das führt zum Problem: Tut ein Server das, dann verrät er dem Angreifer etwas darüber, in welchem Intervall die entschlüsselten Daten liegen.

Die sogenannte Malleability von RSA ermöglicht es einem Angreifer, RSA-verschlüsselte Daten gezielt so zu manipulieren, dass das Ergebnis der Entschlüsselung ein Vielfaches des ursprünglichen Ergebnisses ist. Hat ein Angreifer etwa einen verschlüsselten Datenblock des Inhaltes M, dann kann er auch die Verschlüsselung von zweimal M oder dreimal M etc. erzeugen.

Beide Eigenschaften zusammen ermöglichten es Bleichenbacher, einen Algorithmus zu entwickeln, mit dem durch viele Anfragen an den Server RSA-Daten entschlüsselt werden können.

Gegenmaßnahmen in TLS 1.2 extrem komplex und fehleranfällig

Der aktuelle TLS-Standard 1.2 verwendet weiterhin PKCS #1 v1.5. Um Bleichenbacher-Angriffe zu verhindern, schlägt TLS folgendes vor: Wenn ein Server einen nicht korrekt formatierten Datenblock entschlüsselt, soll der Server statt der entschlüsselten Daten Zufallsdaten verwenden und damit den Handshake weiter durchführen. Um dabei Timing-Angriffe zu verhindern, müssen diese Zufallsdaten allerdings schon vor der Entschlüsselung erzeugt werden.

Da der Server die Kommunikation nun mit unsinnigen Daten durchführt, schlägt die TLS-Verbindung bei der Prüfung der sogenannten Finished-Nachricht fehl. Wenn der Server diese Gegenmaßnahmen korrekt durchführt, kann ein Angreifer nicht unterscheiden, welche Art von Fehler auftrat, und lernt somit nichts über die entschlüsselten Daten.

Das gesamte Verfahren ist extrem komplex. Es füllt im TLS-Standard mehr als zwei Seiten. Dort werden mehrere verschiedene mögliche Algorithmen vorgeschlagen, die in einen Server implementiert werden können. Es ist daher eigentlich wenig überraschend, dass diese Gegenmaßnahmen in Servern häufig nicht korrekt implementiert werden - vor allem, da dies im Normalbetrieb überhaupt nicht auffällt und derartige Angriffe kaum getestet werden.

Forward Secrecy hilft - ein bisschen

Wie schwerwiegend die Sicherheitslücke ist, hängt von den genauen Umständen ab. In TLS kommt RSA sowohl für Signaturen als auch zur Verschlüsselung zum Einsatz - es hängt von der gewählten Ciphersuite ab.

Bei Servern, die nur die RSA-Verschlüsselung unterstützen, ist der Angriff absolut fatal. Ein Angreifer kann Daten mitlesen und anschließend in Ruhe entschlüsseln. Bei Servern, die neben der RSA-Verschlüsselung auch Verschlüsselungsmethoden mit RSA-Signaturen und Forward Secrecy unterstützen, führt das üblicherweise dazu, dass diese genutzt werden. Angreifen lässt sich das nur, wenn es gelingt, den Angriff während des Handshakes durchzuführen. Der dauert maximal einige Sekunden. Zumindest bei Zielen wie Facebook, die viele schnelle Server betreiben, dürfte das aber durchaus realistisch sein.

Nur kleine Änderungen im Vergleich zum Angriff von 1998

Der ROBOT-Angriff unterscheidet sich in zwei Punkten von Bleichenbachers originalem Angriff von 1998: Zum einen können neben Fehlermeldungen auch andere Signale genutzt werden, um einen verwundbaren Server zu erkennen. Das können TCP-Verbindungsabbrüche, Timeouts oder auch Protokollfehler sein - einige Server schickten etwa doppelte TLS-Fehler.

Zum anderen sind einige Server nur dann verwundbar, wenn man die gewöhnliche Abfolge der Nachrichten im TLS-Handshake ändert. Üblicherweise schickt ein Client die Protokollnachrichten Client Key Exchange, CCS und Finished direkt hintereinander. Es stellte sich aber heraus, dass einige Server eine Verwundbarkeit zeigten, wenn man nur die Client-Key-Exchange-Nachricht schickt.

 ROBOT-Angriff: 19 Jahre alter Angriff auf TLS funktioniert immer nochNur Abschalten von RSA-Verschlüsselung hilft wirklich 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Anzeige
Spiele-Angebote
  1. 2,99€
  2. 4,99€
  3. 19,49€
  4. 54,99€ mit Vorbesteller-Preisgarantie (Release 05.10.)

pEinz 14. Dez 2017

Linux == Kernel Komm da erstmal ran

Anonymer Nutzer 14. Dez 2017

https://blog.cloudflare.com/do-the-chacha-better-mobile-performance-with-cryptography...

VigarLunaris 14. Dez 2017

An den Erklärungen merkt man schon das Problem mit solcherlei Fehlern. Es wird...

wurstfett 13. Dez 2017

https://www.youtube.com/watch?v=R-nQDA_RnOk "Angst kenn eich ney" Geenau der Angriff ist...


Folgen Sie uns
       


Tolino Shine 3 - Hands on

Der Shine 3 ist der neue E-Book-Reader der Tolino-Allianz. Das neue Modell bietet einen kapazitiven Touchscreen und erhält die Möglichkeit, die Farbtemperatur des Displaylichts zu verändern. Der Shine 3 ist für 120 Euro verfügbar.

Tolino Shine 3 - Hands on Video aufrufen
Mobile-Games-Auslese: Bezahlbare Drachen und dicke Bären
Mobile-Games-Auslese
Bezahlbare Drachen und dicke Bären

Rundenbasierte Strategie auf dem Smartphone mit Chaos Reborn Adventure Fantasy von Nintendo in Dragalia Lost - und dicke Alpha-Bären: Die Mobile Games des Monats bieten spannende Unterhaltung für jeden Geschmack.
Von Rainer Sigl

  1. Mobile-Games-Auslese Städtebau und Lebenssimulation für unterwegs
  2. Mobile-Games-Auslese Barbaren und andere knuddelige Fantasyhelden
  3. Seismic Games Niantic kauft Entwickler von Marvel Strike Force

HP Elitebook 840 und Toshiba Tecra X40: Es kann nur eines geben
HP Elitebook 840 und Toshiba Tecra X40
Es kann nur eines geben

Nicht nur Lenovo baut gute Business-Notebooks, auch HP und Toshiba haben Produkte, die vergleichbar sind. Wir stellen je ein Modell der beiden Hersteller mit ähnlicher Hardware gegenüber: das eine leichter, das andere mit überlegenem Akku - ein knapper Gewinner nach Punkten.
Ein Test von Oliver Nickel

  1. Portégé X20W-D-145 Toshiba stellt alte Hardware im flexiblen Chassis vor
  2. Tecra X40-E-10W Toshibas 14-Zoll-Thinkpad-Pendant kommt mit LTE
  3. Dell, HP, Lenovo AMDs Ryzen Pro Mobile landet in allen Business-Notebooks

Assassin's Creed Odyssey im Test: Spektakel mit Spartiaten
Assassin's Creed Odyssey im Test
Spektakel mit Spartiaten

Inselwelt statt Sandwüste, Athen statt Alexandria und dazu der Krieg zwischen Hellas und Sparta: Odyssey schickt uns erneut in einen antiken Konflikt - und in das bislang mit Abstand schönste und abwechslungsreichste Assassin's Creed.
Von Peter Steinlechner

  1. Assassin's Creed Odyssey setzt CPU mit AVX-Unterstützung voraus
  2. Project Stream Google testet mit kostenlosem Assassin's Creed Odyssey
  3. Assassin's Creed angespielt Odyssey und der spartanische Supertritt

    •  /