• IT-Karriere:
  • Services:

RSA im Standard PKCS #1 v1.5 angreifbar

Dem Angriff von Bleichenbacher liegen zwei Eigenschaften zugrunde: zum einen das sogenannte Padding nach dem Standard PKCS #1 v1.5, mit dem Daten vor einer RSA-Verschlüsselung bearbeitet werden, und zum anderen eine Eigenschaft der RSA-Verschlüsselung, die als Malleability bezeichnet wird.

Stellenmarkt
  1. MVTec Software GmbH, München
  2. finanzen.de, Berlin

Den Daten, die mit RSA verschlüsselt werden, werden bei PKCS #1 v1.5 immer zwei Bytes vorangestellt (00 02). Wenn ein Server diese beiden Bytes prüft und feststellt, dass sie nicht korrekt sind, erscheint es naheliegend, die Verbindung sofort mit einer Fehlermeldung abzubrechen. Doch genau das führt zum Problem: Tut ein Server das, dann verrät er dem Angreifer etwas darüber, in welchem Intervall die entschlüsselten Daten liegen.

Die sogenannte Malleability von RSA ermöglicht es einem Angreifer, RSA-verschlüsselte Daten gezielt so zu manipulieren, dass das Ergebnis der Entschlüsselung ein Vielfaches des ursprünglichen Ergebnisses ist. Hat ein Angreifer etwa einen verschlüsselten Datenblock des Inhaltes M, dann kann er auch die Verschlüsselung von zweimal M oder dreimal M etc. erzeugen.

Beide Eigenschaften zusammen ermöglichten es Bleichenbacher, einen Algorithmus zu entwickeln, mit dem durch viele Anfragen an den Server RSA-Daten entschlüsselt werden können.

Gegenmaßnahmen in TLS 1.2 extrem komplex und fehleranfällig

Der aktuelle TLS-Standard 1.2 verwendet weiterhin PKCS #1 v1.5. Um Bleichenbacher-Angriffe zu verhindern, schlägt TLS folgendes vor: Wenn ein Server einen nicht korrekt formatierten Datenblock entschlüsselt, soll der Server statt der entschlüsselten Daten Zufallsdaten verwenden und damit den Handshake weiter durchführen. Um dabei Timing-Angriffe zu verhindern, müssen diese Zufallsdaten allerdings schon vor der Entschlüsselung erzeugt werden.

Da der Server die Kommunikation nun mit unsinnigen Daten durchführt, schlägt die TLS-Verbindung bei der Prüfung der sogenannten Finished-Nachricht fehl. Wenn der Server diese Gegenmaßnahmen korrekt durchführt, kann ein Angreifer nicht unterscheiden, welche Art von Fehler auftrat, und lernt somit nichts über die entschlüsselten Daten.

Das gesamte Verfahren ist extrem komplex. Es füllt im TLS-Standard mehr als zwei Seiten. Dort werden mehrere verschiedene mögliche Algorithmen vorgeschlagen, die in einen Server implementiert werden können. Es ist daher eigentlich wenig überraschend, dass diese Gegenmaßnahmen in Servern häufig nicht korrekt implementiert werden - vor allem, da dies im Normalbetrieb überhaupt nicht auffällt und derartige Angriffe kaum getestet werden.

Forward Secrecy hilft - ein bisschen

Wie schwerwiegend die Sicherheitslücke ist, hängt von den genauen Umständen ab. In TLS kommt RSA sowohl für Signaturen als auch zur Verschlüsselung zum Einsatz - es hängt von der gewählten Ciphersuite ab.

Bei Servern, die nur die RSA-Verschlüsselung unterstützen, ist der Angriff absolut fatal. Ein Angreifer kann Daten mitlesen und anschließend in Ruhe entschlüsseln. Bei Servern, die neben der RSA-Verschlüsselung auch Verschlüsselungsmethoden mit RSA-Signaturen und Forward Secrecy unterstützen, führt das üblicherweise dazu, dass diese genutzt werden. Angreifen lässt sich das nur, wenn es gelingt, den Angriff während des Handshakes durchzuführen. Der dauert maximal einige Sekunden. Zumindest bei Zielen wie Facebook, die viele schnelle Server betreiben, dürfte das aber durchaus realistisch sein.

Nur kleine Änderungen im Vergleich zum Angriff von 1998

Der ROBOT-Angriff unterscheidet sich in zwei Punkten von Bleichenbachers originalem Angriff von 1998: Zum einen können neben Fehlermeldungen auch andere Signale genutzt werden, um einen verwundbaren Server zu erkennen. Das können TCP-Verbindungsabbrüche, Timeouts oder auch Protokollfehler sein - einige Server schickten etwa doppelte TLS-Fehler.

Zum anderen sind einige Server nur dann verwundbar, wenn man die gewöhnliche Abfolge der Nachrichten im TLS-Handshake ändert. Üblicherweise schickt ein Client die Protokollnachrichten Client Key Exchange, CCS und Finished direkt hintereinander. Es stellte sich aber heraus, dass einige Server eine Verwundbarkeit zeigten, wenn man nur die Client-Key-Exchange-Nachricht schickt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 ROBOT-Angriff: 19 Jahre alter Angriff auf TLS funktioniert immer nochNur Abschalten von RSA-Verschlüsselung hilft wirklich 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Anzeige
Top-Angebote
  1. 285,71€ (Bestpreis!)
  2. (u. a. Surface Go ab 379,00€, Surface Pro 7 ab 764,00€, Surface Laptop 2 ab 999,00€)
  3. 21,00€ (Standard)/35,00€ (Gold)/42,00€ (Ultimate)
  4. 24,00€ (Ultimate)/12,00€ (Standard)/20,00€ (Gold)

pEinz 14. Dez 2017

Linux == Kernel Komm da erstmal ran

Anonymer Nutzer 14. Dez 2017

https://blog.cloudflare.com/do-the-chacha-better-mobile-performance-with-cryptography...

VigarLunaris 14. Dez 2017

An den Erklärungen merkt man schon das Problem mit solcherlei Fehlern. Es wird...

wurstfett 13. Dez 2017

https://www.youtube.com/watch?v=R-nQDA_RnOk "Angst kenn eich ney" Geenau der Angriff ist...


Folgen Sie uns
       


Kuschelroboter Lovot angesehen (CES 2020)

Lovot ist ein kleiner Roboter, der bei seinem Besitzer für gute Stimmung sorgen soll. Er lässt sich streicheln und reagiert mit freudigen Geräuschen.

Kuschelroboter Lovot angesehen (CES 2020) Video aufrufen
Lovot im Hands-on: Knuddeliger geht ein Roboter kaum
Lovot im Hands-on
Knuddeliger geht ein Roboter kaum

CES 2020 Lovot ist ein Kofferwort aus Love und Robot: Der knuffige japanische Roboter soll positive Emotionen auslösen - und tut das auch. Selten haben wir so oft "Ohhhhhhh!" gehört.
Ein Hands on von Tobias Költzsch

  1. Orcam Hear Die Audiobrille für Hörgeschädigte
  2. Schräges von der CES 2020 Die Connected-Kartoffel
  3. Viola angeschaut Cherry präsentiert preiswerten mechanischen Switch

Elektroautos in Tiefgaragen: Was tun, wenn's brennt?
Elektroautos in Tiefgaragen
Was tun, wenn's brennt?

Was kann passieren, wenn Elektroautos in einer Tiefgarage brennen? Während Brandschutzexperten dringend mehr Forschung fordern und ein Parkverbot nicht ausschließen, wollen die Bundesländer die Garagenverordnung verschärfen.
Eine Analyse von Friedhelm Greis

  1. Mercedes E-Econic Daimler elektrifiziert den Müllwagen
  2. Umweltprämie für Elektroautos Regierung verzögert Prüfung durch EU-Kommission
  3. Intransparente Preise Verbraucherschützer mahnen Ladenetzbetreiber New Motion ab

Amazon, Netflix und Sky: Disney bringt 2020 den großen Umbruch beim Videostreaming
Amazon, Netflix und Sky
Disney bringt 2020 den großen Umbruch beim Videostreaming

In diesem Jahr wird sich der Video-Streaming-Markt in Deutschland stark verändern. Der Start von Disney+ setzt Netflix, Amazon und Sky gehörig unter Druck. Die ganz großen Umwälzungen geschehen vorerst aber woanders.
Eine Analyse von Ingo Pakalski

  1. Peacock NBC Universal setzt gegen Netflix auf Gratis-Streaming
  2. Joyn Plus+ Probleme bei der Kündigung
  3. Android TV Magenta-TV-Stick mit USB-Anschluss vergünstigt erhältlich

    •  /