• IT-Karriere:
  • Services:

Spezialprozessor und eigene OpenSSL-Variante

Viele der Fehler haben offenbar eine gemeinsame Ursache: Alle verwendeten Geräte nutzten für die RSA-Operationen einen MIPS-Prozessor der Firma Cavium, der mit einer speziell angepassten OpenSSL-Version zusammen ausgeliefert wird. Laut Cavium wurde ein Update bereitgestellt und die Lücke wird unter der Id CVE-20125-5738 geführt.

Stellenmarkt
  1. Schöck Bauteile GmbH, Baden-Baden
  2. Deutsche Rentenversicherung Bund, Berlin

Weimer weist darauf hin, dass es sich um eine sehr kleine Zahl von TLS-Handshakes handelt, die von dem Problem betroffen sind. Allerdings treten die entsprechenden Fehler in vielen Fällen nur sehr selten auf. Daher sei es möglich, dass weitere Hard- und Software betroffen ist und durch den Scan nicht gefunden wurde. Durchführen kann man den Angriff auch rein passiv. Man könnte einfach massenhaft die Daten von TLS-Handshakes mitlauschen und nach fehlerhaften Handshakes suchen.

NSS-Schutz gut, OpenSSL-Schutz mit Fragezeichen

Neben dem Scan hat Florian Weimer quelloffene RSA-Implementierungen analysiert, viele davon implementieren keinen Schutz vor derartigen CRT-Fehlern. Ausnahmen sind die beiden wichtigsten TLS-Bibliotheken - OpenSSL und NSS. Bei der von Mozilla genutzten NSS-Bibliothek wird im Fall einer fehlerhaften Signatur schlicht ein Fehler ausgegeben. Das ist laut Weimer die beste Methode, um derartige Fehler zu behandeln. In OpenSSL wird im Falle eines Fehlers die Berechnung der RSA-Signatur ohne die CRT-Optimierung wiederholt. Weimer sieht hier zwar keine unmittelbare Gefahr, aber in sehr speziellen Fällen könnten Fehler in der CPU hier auch dazu führen, dass ein Angreifer, der mehrere Tausend fehlerhafte Signaturen mitlesen kann, den privaten Schlüssel extrahiert. Weimer verweist hierzu auf ein Paper von Forschern der Universität Michigan aus dem Jahr 2010.

Zahlreiche andere Implementierungen hatten überhaupt keinen Schutz gegen derartige Fehler implementiert. Die Entwickler der Java-Implementierung OpenJDK haben, nachdem sie von Weimer kontaktiert wurden, im April eine entsprechende Schutzmaßnahme implementiert. Libgcrypt hat vor wenigen Tagen eine entsprechende Änderung vorgenommen. GnuPG wiederum verwendet zwar Libgcrypt, es hatte aber selbst bereits einen entsprechenden Schutz eingebaut und ist somit nicht betroffen.

Weimer hat auch die Entwickler von Nettle und von Go kontaktiert und um die Implementierung entsprechender Schutzmaßnahmen gebeten. In seinem Hintergrundpaper wird weiterhin erwähnt, dass PolarSSL, Openswan und ocaml-nocrypto ebenfalls den entsprechenden Schutz nicht implementieren, bei Cryptib ist er zwar implementiert, jedoch in der Standardeinstellung ausgeschaltet.

Zombie-Sicherheitslücken als Bedrohung

Dass eine Lücke, die bereits 1996 dokumentiert wurde, nach wie vor ein Problem darstellt, ist bemerkenswert. Im vergangenen Jahr gab es jedoch bereits eine ähnliche Entdeckung: Forscher fanden heraus, dass die RSA-Implementierung von Java und mit Einschränkungen auch die von OpenSSL verwundbar für ein fast ebenso altes Problem waren, die sogenannte Million-Message-Attacke, die der Kryptograph Daniel Bleichenbacher 1998 publiziert hatte.

Die Implementierung von kryptographischen Algorithmen ist komplex und muss zahlreiche mögliche Angriffe berücksichtigen. Offenbar geht das Wissen darüber, wie man entsprechende Angriffe verhindert, über die Jahre verloren und uralte Sicherheitslücken tauchen wieder auf. Wieder einmal zeigt sich hier, dass man die Implementierung entsprechender Algorithmen qualifizierten Fachleuten überlassen sollte. Gerade Enterprise-Produkte werden oft mit zweifelhaften, selbst entwickelten TLS-Implementierungen ausgeliefert, die immer wieder zu Problemen führen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 RSA-CRT: RSA-Angriff aus dem Jahr 1996 wiederentdeckt
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. (u. a. MSI Optix G24C für 155,00€, Asus VP278H für 125,00€, LG 27UD59-W für 209,00€ und HP...
  2. täglich neue Deals bei Alternate.de

Moe479 04. Sep 2015

das problem ist auch, dass die kunden nicht auf der nachprüfbaren einhaltung von...


Folgen Sie uns
       


Halo (2001) - Golem retro_

2001 feierte der Master Chief im Klassiker Halo: Kampf um die Zukunft sein Debüt. Wir blicken zurück und merken, wie groß der Einfluss des Spiels wirklich ist.

Halo (2001) - Golem retro_ Video aufrufen
Amazon, Netflix und Sky: Disney bringt 2020 den großen Umbruch beim Videostreaming
Amazon, Netflix und Sky
Disney bringt 2020 den großen Umbruch beim Videostreaming

In diesem Jahr wird sich der Video-Streaming-Markt in Deutschland stark verändern. Der Start von Disney+ setzt Netflix, Amazon und Sky gehörig unter Druck. Die ganz großen Umwälzungen geschehen vorerst aber woanders.
Eine Analyse von Ingo Pakalski

  1. Peacock NBC Universal setzt gegen Netflix auf Gratis-Streaming
  2. Joyn Plus+ Probleme bei der Kündigung
  3. Android TV Magenta-TV-Stick mit USB-Anschluss vergünstigt erhältlich

Lovot im Hands-on: Knuddeliger geht ein Roboter kaum
Lovot im Hands-on
Knuddeliger geht ein Roboter kaum

CES 2020 Lovot ist ein Kofferwort aus Love und Robot: Der knuffige japanische Roboter soll positive Emotionen auslösen - und tut das auch. Selten haben wir so oft "Ohhhhhhh!" gehört.
Ein Hands on von Tobias Költzsch

  1. Orcam Hear Die Audiobrille für Hörgeschädigte
  2. Schräges von der CES 2020 Die Connected-Kartoffel
  3. Viola angeschaut Cherry präsentiert preiswerten mechanischen Switch

Elektroautos in Tiefgaragen: Was tun, wenn's brennt?
Elektroautos in Tiefgaragen
Was tun, wenn's brennt?

Was kann passieren, wenn Elektroautos in einer Tiefgarage brennen? Während Brandschutzexperten dringend mehr Forschung fordern und ein Parkverbot nicht ausschließen, wollen die Bundesländer die Garagenverordnung verschärfen.
Eine Analyse von Friedhelm Greis

  1. Mercedes E-Econic Daimler elektrifiziert den Müllwagen
  2. Umweltprämie für Elektroautos Regierung verzögert Prüfung durch EU-Kommission
  3. Intransparente Preise Verbraucherschützer mahnen Ladenetzbetreiber New Motion ab

    •  /