• IT-Karriere:
  • Services:

Spezialprozessor und eigene OpenSSL-Variante

Viele der Fehler haben offenbar eine gemeinsame Ursache: Alle verwendeten Geräte nutzten für die RSA-Operationen einen MIPS-Prozessor der Firma Cavium, der mit einer speziell angepassten OpenSSL-Version zusammen ausgeliefert wird. Laut Cavium wurde ein Update bereitgestellt und die Lücke wird unter der Id CVE-20125-5738 geführt.

Stellenmarkt
  1. Deutsches Elektronen-Synchrotron DESY, Hamburg
  2. WITRON Gruppe, Neu-Isenburg bei Frankfurt/Main

Weimer weist darauf hin, dass es sich um eine sehr kleine Zahl von TLS-Handshakes handelt, die von dem Problem betroffen sind. Allerdings treten die entsprechenden Fehler in vielen Fällen nur sehr selten auf. Daher sei es möglich, dass weitere Hard- und Software betroffen ist und durch den Scan nicht gefunden wurde. Durchführen kann man den Angriff auch rein passiv. Man könnte einfach massenhaft die Daten von TLS-Handshakes mitlauschen und nach fehlerhaften Handshakes suchen.

NSS-Schutz gut, OpenSSL-Schutz mit Fragezeichen

Neben dem Scan hat Florian Weimer quelloffene RSA-Implementierungen analysiert, viele davon implementieren keinen Schutz vor derartigen CRT-Fehlern. Ausnahmen sind die beiden wichtigsten TLS-Bibliotheken - OpenSSL und NSS. Bei der von Mozilla genutzten NSS-Bibliothek wird im Fall einer fehlerhaften Signatur schlicht ein Fehler ausgegeben. Das ist laut Weimer die beste Methode, um derartige Fehler zu behandeln. In OpenSSL wird im Falle eines Fehlers die Berechnung der RSA-Signatur ohne die CRT-Optimierung wiederholt. Weimer sieht hier zwar keine unmittelbare Gefahr, aber in sehr speziellen Fällen könnten Fehler in der CPU hier auch dazu führen, dass ein Angreifer, der mehrere Tausend fehlerhafte Signaturen mitlesen kann, den privaten Schlüssel extrahiert. Weimer verweist hierzu auf ein Paper von Forschern der Universität Michigan aus dem Jahr 2010.

Zahlreiche andere Implementierungen hatten überhaupt keinen Schutz gegen derartige Fehler implementiert. Die Entwickler der Java-Implementierung OpenJDK haben, nachdem sie von Weimer kontaktiert wurden, im April eine entsprechende Schutzmaßnahme implementiert. Libgcrypt hat vor wenigen Tagen eine entsprechende Änderung vorgenommen. GnuPG wiederum verwendet zwar Libgcrypt, es hatte aber selbst bereits einen entsprechenden Schutz eingebaut und ist somit nicht betroffen.

Weimer hat auch die Entwickler von Nettle und von Go kontaktiert und um die Implementierung entsprechender Schutzmaßnahmen gebeten. In seinem Hintergrundpaper wird weiterhin erwähnt, dass PolarSSL, Openswan und ocaml-nocrypto ebenfalls den entsprechenden Schutz nicht implementieren, bei Cryptib ist er zwar implementiert, jedoch in der Standardeinstellung ausgeschaltet.

Zombie-Sicherheitslücken als Bedrohung

Dass eine Lücke, die bereits 1996 dokumentiert wurde, nach wie vor ein Problem darstellt, ist bemerkenswert. Im vergangenen Jahr gab es jedoch bereits eine ähnliche Entdeckung: Forscher fanden heraus, dass die RSA-Implementierung von Java und mit Einschränkungen auch die von OpenSSL verwundbar für ein fast ebenso altes Problem waren, die sogenannte Million-Message-Attacke, die der Kryptograph Daniel Bleichenbacher 1998 publiziert hatte.

Die Implementierung von kryptographischen Algorithmen ist komplex und muss zahlreiche mögliche Angriffe berücksichtigen. Offenbar geht das Wissen darüber, wie man entsprechende Angriffe verhindert, über die Jahre verloren und uralte Sicherheitslücken tauchen wieder auf. Wieder einmal zeigt sich hier, dass man die Implementierung entsprechender Algorithmen qualifizierten Fachleuten überlassen sollte. Gerade Enterprise-Produkte werden oft mit zweifelhaften, selbst entwickelten TLS-Implementierungen ausgeliefert, die immer wieder zu Problemen führen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 RSA-CRT: RSA-Angriff aus dem Jahr 1996 wiederentdeckt
  1.  
  2. 1
  3. 2


Anzeige
Mobile-Angebote
  1. 599€ (mit Rabattcode "PRIMA10" - Bestpreis!)
  2. 350,10€ (mit Rabattcode "PERFECTEBAY10" - Bestpreis!)
  3. 749€ (mit Rabattcode "PERFECTEBAY10" - Bestpreis!)
  4. 599€

Moe479 04. Sep 2015

das problem ist auch, dass die kunden nicht auf der nachprüfbaren einhaltung von...


Folgen Sie uns
       


Panasonic LUMIX DC-S5 im Hands on

Klein in der Hand, voll im Format - wir haben uns die neue Kamera von Panasonic angesehen.

Panasonic LUMIX DC-S5 im Hands on Video aufrufen
Vivo X51 im Test: Vivos gelungener Deutschland-Start hat eine Gimbal-Kamera
Vivo X51 im Test
Vivos gelungener Deutschland-Start hat eine Gimbal-Kamera

Das Vivo X51 hat eine gute Kamera mit starker Bildstabilisierung und eine vorbildlich zurückhaltende Android-Oberfläche. Der Startpreis in Deutschland könnte aber eine Herausforderung für den Hersteller sein.
Ein Test von Tobias Költzsch

  1. Software-Entwicklung Google veröffentlicht Android Studio 4.1
  2. Jetpack Compose Android bekommt neues UI-Framework
  3. Google Android bekommt lokale Sharing-Funktion

CalyxOS im Test: Ein komfortables Android mit einer Extraportion Privacy
CalyxOS im Test
Ein komfortables Android mit einer Extraportion Privacy

Ein mobiles System, das sich für Einsteiger und Profis gleichermaßen eignet und zudem Privatsphäre und Komfort verbindet? Ja, das geht - und zwar mit CalyxOS.
Ein Test von Moritz Tremmel

  1. Alternatives Android im Test /e/ will Google ersetzen

Energiewende: Wie die Begrünung der Stahlindustrie scheiterte
Energiewende
Wie die Begrünung der Stahlindustrie scheiterte

Vor einem Jahrzehnt suchte die europäische Stahlindustrie nach Technologien, um ihren hohen Kohlendioxid-Ausstoß zu reduzieren, doch umgesetzt wurde fast nichts.
Eine Recherche von Hanno Böck

  1. Wetter Warum die Klimakrise so deprimierend ist

    •  /