Abo
  • Services:
Anzeige
Firewalls der Firma Hillstone verraten in bestimmten Fällen den privaten Schlüssel - schuld ist ein Chip der Firma Cavium.
Firewalls der Firma Hillstone verraten in bestimmten Fällen den privaten Schlüssel - schuld ist ein Chip der Firma Cavium. (Bild: Hillstone)

Spezialprozessor und eigene OpenSSL-Variante

Anzeige

Viele der Fehler haben offenbar eine gemeinsame Ursache: Alle verwendeten Geräte nutzten für die RSA-Operationen einen MIPS-Prozessor der Firma Cavium, der mit einer speziell angepassten OpenSSL-Version zusammen ausgeliefert wird. Laut Cavium wurde ein Update bereitgestellt und die Lücke wird unter der Id CVE-20125-5738 geführt.

Weimer weist darauf hin, dass es sich um eine sehr kleine Zahl von TLS-Handshakes handelt, die von dem Problem betroffen sind. Allerdings treten die entsprechenden Fehler in vielen Fällen nur sehr selten auf. Daher sei es möglich, dass weitere Hard- und Software betroffen ist und durch den Scan nicht gefunden wurde. Durchführen kann man den Angriff auch rein passiv. Man könnte einfach massenhaft die Daten von TLS-Handshakes mitlauschen und nach fehlerhaften Handshakes suchen.

NSS-Schutz gut, OpenSSL-Schutz mit Fragezeichen

Neben dem Scan hat Florian Weimer quelloffene RSA-Implementierungen analysiert, viele davon implementieren keinen Schutz vor derartigen CRT-Fehlern. Ausnahmen sind die beiden wichtigsten TLS-Bibliotheken - OpenSSL und NSS. Bei der von Mozilla genutzten NSS-Bibliothek wird im Fall einer fehlerhaften Signatur schlicht ein Fehler ausgegeben. Das ist laut Weimer die beste Methode, um derartige Fehler zu behandeln. In OpenSSL wird im Falle eines Fehlers die Berechnung der RSA-Signatur ohne die CRT-Optimierung wiederholt. Weimer sieht hier zwar keine unmittelbare Gefahr, aber in sehr speziellen Fällen könnten Fehler in der CPU hier auch dazu führen, dass ein Angreifer, der mehrere Tausend fehlerhafte Signaturen mitlesen kann, den privaten Schlüssel extrahiert. Weimer verweist hierzu auf ein Paper von Forschern der Universität Michigan aus dem Jahr 2010.

Zahlreiche andere Implementierungen hatten überhaupt keinen Schutz gegen derartige Fehler implementiert. Die Entwickler der Java-Implementierung OpenJDK haben, nachdem sie von Weimer kontaktiert wurden, im April eine entsprechende Schutzmaßnahme implementiert. Libgcrypt hat vor wenigen Tagen eine entsprechende Änderung vorgenommen. GnuPG wiederum verwendet zwar Libgcrypt, es hatte aber selbst bereits einen entsprechenden Schutz eingebaut und ist somit nicht betroffen.

Weimer hat auch die Entwickler von Nettle und von Go kontaktiert und um die Implementierung entsprechender Schutzmaßnahmen gebeten. In seinem Hintergrundpaper wird weiterhin erwähnt, dass PolarSSL, Openswan und ocaml-nocrypto ebenfalls den entsprechenden Schutz nicht implementieren, bei Cryptib ist er zwar implementiert, jedoch in der Standardeinstellung ausgeschaltet.

Zombie-Sicherheitslücken als Bedrohung

Dass eine Lücke, die bereits 1996 dokumentiert wurde, nach wie vor ein Problem darstellt, ist bemerkenswert. Im vergangenen Jahr gab es jedoch bereits eine ähnliche Entdeckung: Forscher fanden heraus, dass die RSA-Implementierung von Java und mit Einschränkungen auch die von OpenSSL verwundbar für ein fast ebenso altes Problem waren, die sogenannte Million-Message-Attacke, die der Kryptograph Daniel Bleichenbacher 1998 publiziert hatte.

Die Implementierung von kryptographischen Algorithmen ist komplex und muss zahlreiche mögliche Angriffe berücksichtigen. Offenbar geht das Wissen darüber, wie man entsprechende Angriffe verhindert, über die Jahre verloren und uralte Sicherheitslücken tauchen wieder auf. Wieder einmal zeigt sich hier, dass man die Implementierung entsprechender Algorithmen qualifizierten Fachleuten überlassen sollte. Gerade Enterprise-Produkte werden oft mit zweifelhaften, selbst entwickelten TLS-Implementierungen ausgeliefert, die immer wieder zu Problemen führen.

 RSA-CRT: RSA-Angriff aus dem Jahr 1996 wiederentdeckt

eye home zur Startseite
Moe479 04. Sep 2015

das problem ist auch, dass die kunden nicht auf der nachprüfbaren einhaltung von...



Anzeige

Stellenmarkt
  1. Trescal GmbH, Neustadt in Sachsen
  2. Robert Bosch GmbH, Stuttgart-Vaihingen
  3. Habermaaß GmbH, Bad Rodach
  4. über Hays AG, Nordrhein-Westfalen


Anzeige
Spiele-Angebote
  1. 29,99€
  2. 12,99€
  3. (-20%) 35,99€

Folgen Sie uns
       


  1. Streaming

    Netflix gewinnt weiter Millionen Neukunden

  2. Zusammenlegung

    So soll das Netz von O2 einmal aussehen

  3. Kohlendioxid

    Island hat ein Kraftwerk mit negativen Emissionen

  4. Definitive Edition

    Veröffentlichung von Age of Empires kurzfristig verschoben

  5. Elex im Test

    Schroffe Schale und postapokalyptischer Kern

  6. Raven Ridge

    HP bringt Convertible mit AMDs Ryzen Mobile

  7. Medion E6436 und P10602

    Preiswertes Notebook und Tablet bei Aldi Süd

  8. Smartphone mit KI

    Huawei stellt neues Mate 10 Pro für 800 Euro vor

  9. KRACK

    WPA2 ist kaputt, aber nicht gebrochen

  10. Medion Akoya E2228T

    280-Euro-Convertible von Aldi hat 1080p



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Science-Fiction wird real: Kampf der Robotergiganten
Science-Fiction wird real
Kampf der Robotergiganten
  1. Roboter Megabots kündigt Video vom Roboterkampf an
  2. IFR Zahl der verkauften Haushaltsroboter steigt stark an
  3. Automatisierung Südkorea erwägt eine Robotersteuer

Core i7-8700K und Core i5-8400 im Test: Ein Sechser von Intel
Core i7-8700K und Core i5-8400 im Test
Ein Sechser von Intel
  1. Core i7-8700K Ultra Edition Overclocking-CPU mit Silber-IHS und Flüssigmetall
  2. Intel Coffee Lake Von Boost-Betteln und Turbo-Tricks
  3. Coffee Lake Intel verkauft sechs Kerne für unter 200 Euro

Mittelerde Schatten des Krieges im Test: Ein Spiel, sie ewig zu binden
Mittelerde Schatten des Krieges im Test
Ein Spiel, sie ewig zu binden
  1. Schatten des Krieges Gold in Mittelerde kostet ab 5 Euro
  2. Schatten des Krieges Mikrotransaktionen in Mittelerde

  1. Re: blödsinn

    Ach | 00:05

  2. Re: Egal

    Gandalf2210 | 16.10. 23:55

  3. leider etliche Funklöcher, wenn man mit RE1 bei...

    devman | 16.10. 23:47

  4. Re: So sieht das Ende aus

    derJimmy | 16.10. 23:44

  5. Re: Geothermie...

    TC | 16.10. 23:43


  1. 23:03

  2. 19:01

  3. 18:35

  4. 18:21

  5. 18:04

  6. 17:27

  7. 17:00

  8. 15:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel