Abo
  • Services:

RSA-CRT: RSA-Angriff aus dem Jahr 1996 wiederentdeckt

Eine Optimierung von RSA-Signaturen kann bei fehlerhaften Berechnungen den privaten Schlüssel verraten. Bekannt ist dieser Angriff schon seit 1996, ein Red-Hat-Entwickler hat jetzt herausgefunden, dass es immer noch verwundbare Hard- und Software gibt.

Artikel veröffentlicht am , Hanno Böck
Firewalls der Firma Hillstone verraten in bestimmten Fällen den privaten Schlüssel - schuld ist ein Chip der Firma Cavium.
Firewalls der Firma Hillstone verraten in bestimmten Fällen den privaten Schlüssel - schuld ist ein Chip der Firma Cavium. (Bild: Hillstone)

Im Jahr 1996 hat der Kryptograph Arjen Lenstra einen Angriff auf RSA-Signaturen beschrieben, der bei fehlerhaften Implementierungen den privaten Schlüssel verraten kann. Der Red-Hat-Entwickler Florian Weimer hat sich aktuelle RSA-Implementierungen angesehen und im Netz nach Systemen gesucht, die dieses Problem aufweisen. Dabei hat er zahlreiche Geräte gefunden, die nach wie vor für diese Lücke anfällig sind.

Optimierung mit Chinesischem Restsatz

Inhalt:
  1. RSA-CRT: RSA-Angriff aus dem Jahr 1996 wiederentdeckt
  2. Spezialprozessor und eigene OpenSSL-Variante

Die Rechenoperationen beim RSA-Algorithmus werden mit Hilfe eines Modulus durchgeführt, der das Produkt zweier Primzahlen ist. Mittels einer Technik, die auf dem sogenannten Chinesischen Restsatz (Chinese Remainder Theorem, CRT) basiert, ist es für den Inhaber des privaten Schlüssels möglich, diese Berechnungen jeweils mit jeder Primzahl einzeln durchzuführen. Eine derartige Berechnung ist schneller, daher verwenden fast alle RSA-Implementierungen dieses Verfahren.

Wie Lenstra 1996 herausfand, kann diese CRT-Optimierung ein großes Sicherheitsrisiko darstellen. Wenn bei einer der beiden Berechnungen ein Fehler auftritt, kann ein Angreifer anschließend den privaten Schlüssel berechnen. Bei einer immer korrekt arbeitenden Implementierung ist das natürlich erstmal kein Problem, da dort keine Rechenfehler auftreten sollten. Aber Bugs in der Software oder Hardwaredefekte können zu derartigen Fehlern führen.

Ein zusätzlicher Check ist ratsam

Um diese Probleme zu vermeiden, ist es empfehlenswert, bei RSA-Signaturen einen zusätzlichen Check einzubauen. Nach dem Erstellen der Signatur sollte diese schlicht nochmal von der Implementierung selbst geprüft werden. Nur wenn die Signatur korrekt ist, darf sie auch preisgegeben werden.

Stellenmarkt
  1. Smart InsurTech AG, Inning am Ammersee
  2. DESY Deutsches Elektronen Synchrotron, Hamburg

Weimer versuchte, herauszufinden, ob bei heutigen TLS-Implementierungen entsprechende Lücken ganz praktisch ausnutzbar sind. Damit der Angriff funktioniert, muss die RSA-Signatur mit deterministischen Eingaben arbeiten. Das ist nur beim alten RSA-Signaturverfahren nach dem Standard PKCS #1 1.5 der Fall. Eine nichtdeterministische Variante von RSA, die als deutlich sicherer gilt, ist RSA-PSS. Diese ist in PKCS #1 2.1 standardisiert. Allerdings: TLS unterstützt bis heute RSA-PSS nicht, es wird ausschließlich der ältere, deterministische Standard genutzt.

Damit der Angriff auf TLS-Server funktioniert, müssen mehrere Dinge zusammenkommen. Lange Zeit wurde bei TLS und dessen Vorgänger SSL das RSA-Verfahren ausschließlich als Verschlüsselungsalgorithmus genutzt. Nur neue Verschlüsselungsmodi, die mittels eines Diffie-Hellman-Schlüsselaustauschs Forward Secrecy implementieren, nutzen RSA-Signaturen. Damit der Fehler ausnutzbar ist, muss zudem sporadisch ein Fehler bei der RSA-Berechnung auftauchen. Diese Fehler dürfen aber auch nicht zu häufig auftreten, denn nur eine von zwei Berechnungen darf fehlerhaft sein, damit die Schlüsselextraktion möglich ist. Und wie eben erwähnt, kann ein entsprechender Check der Signatur verhindern, dass ein Angreifer überhaupt Zugriff auf die fehlerhaften Berechnungsresultate erhält.

270 Keys gebrochen

Über einen Zeitraum von neun Monaten wurden zahlreiche Scans von bekannten Domainnamen durchgeführt. Dabei ließen sich 270 verschiedene RSA-Keys extrahieren. Nur drei davon gehörten zum Zeitpunkt des Scans zu gültigen Zertifikaten, die von einer von Browsern anerkannten Zertifizierungsstelle signiert waren. Zwei der gültigen Zertifikate gehörten zu einem Netscaler-Gerät von der Firma Citrix. Die für das Gerät verantwortlichen Administratoren konnten kontaktiert werden. Es handelte sich um ein sehr altes Gerät, dessen Austausch sowieso schon vorgesehen war.

Die meisten der extrahierten Keys stammten von Geräten der chinesischen Firma Hillstone. Ein Firmwareupdate für die entsprechenden Geräte steht inzwischen bereit. Weitere betroffene Geräte stammten von den Firmen Viprinet, QNO, Alteon/Nortel, ZyXEL und Fortinet, außerdem betroffen war eine kommerzielle Java-Verschlüsselungsimplementierung namens BEJY.

Spezialprozessor und eigene OpenSSL-Variante 
  1. 1
  2. 2
  3.  


Anzeige
Spiele-Angebote
  1. 59,99€ mit Vorbesteller-Preisgarantie
  2. 12,99€ + 1,99€ Versand oder Abholung im Markt
  3. (-20%) 47,99€

Moe479 04. Sep 2015

das problem ist auch, dass die kunden nicht auf der nachprüfbaren einhaltung von...


Folgen Sie uns
       


Sonnet eGFX Box 650W - Test

Die eGFX Box von Sonnet hat 650 Watt und ist ein externes Grafikkarten-Gehäuse. Sie funktioniert mit AMDs Radeon RX Vega 64 und wird per Thunderbolt 3 an ein Notebook angeschlossen. Der Lüfter und das Netzteil sind vergleichsweise leise, der Preis fällt mit 450 Euro recht hoch aus.

Sonnet eGFX Box 650W - Test Video aufrufen
Windenergie: Wie umweltfreundlich sind Offshore-Windparks?
Windenergie
Wie umweltfreundlich sind Offshore-Windparks?

Windturbinen auf hoher See liefern verlässlich grünen Strom. Frei von Umwelteinflüssen sind sie aber nicht. Während die eine Tierart profitiert, leidet die andere. Doch Abhilfe ist in Sicht.
Ein Bericht von Daniel Hautmann

  1. Hywind Scotland Windkraft Ahoi

Smartphone von Gigaset: Made in Bocholt
Smartphone von Gigaset
Made in Bocholt

Gigaset baut sein Smartphone GS185 in Bocholt - und verpasst dem Gerät trotz kompletter Anlieferung von Teilen aus China das Label "Made in Germany". Der Fokus auf die Region ist aber vorhanden, eine erweiterte Fertigung durchaus eine Option. Wir haben uns das Werk angeschaut.
Ein Bericht von Tobias Költzsch

  1. Bocholt Gigaset baut Smartphone in Deutschland

KI in der Medizin: Keine Angst vor Dr. Future
KI in der Medizin
Keine Angst vor Dr. Future

Mit Hilfe künstlicher Intelligenz können schwer erkennbare Krankheiten früher diagnostiziert und behandelt werden, doch bei Patienten löst die Technik oft Unbehagen aus. Und das ist nicht das einzige Problem.
Ein Bericht von Tim Kröplin

  1. Künstliche Intelligenz Vages wagen
  2. KI Mit Machine Learning neue chemische Reaktionen herausfinden
  3. Elon Musk und Deepmind-Gründer Keine Maschine soll über menschliches Leben entscheiden

    •  /