Abo
  • Services:
Anzeige
Firewalls der Firma Hillstone verraten in bestimmten Fällen den privaten Schlüssel - schuld ist ein Chip der Firma Cavium.
Firewalls der Firma Hillstone verraten in bestimmten Fällen den privaten Schlüssel - schuld ist ein Chip der Firma Cavium. (Bild: Hillstone)

RSA-CRT: RSA-Angriff aus dem Jahr 1996 wiederentdeckt

Firewalls der Firma Hillstone verraten in bestimmten Fällen den privaten Schlüssel - schuld ist ein Chip der Firma Cavium.
Firewalls der Firma Hillstone verraten in bestimmten Fällen den privaten Schlüssel - schuld ist ein Chip der Firma Cavium. (Bild: Hillstone)

Eine Optimierung von RSA-Signaturen kann bei fehlerhaften Berechnungen den privaten Schlüssel verraten. Bekannt ist dieser Angriff schon seit 1996, ein Red-Hat-Entwickler hat jetzt herausgefunden, dass es immer noch verwundbare Hard- und Software gibt.

Anzeige

Im Jahr 1996 hat der Kryptograph Arjen Lenstra einen Angriff auf RSA-Signaturen beschrieben, der bei fehlerhaften Implementierungen den privaten Schlüssel verraten kann. Der Red-Hat-Entwickler Florian Weimer hat sich aktuelle RSA-Implementierungen angesehen und im Netz nach Systemen gesucht, die dieses Problem aufweisen. Dabei hat er zahlreiche Geräte gefunden, die nach wie vor für diese Lücke anfällig sind.

Optimierung mit Chinesischem Restsatz

Die Rechenoperationen beim RSA-Algorithmus werden mit Hilfe eines Modulus durchgeführt, der das Produkt zweier Primzahlen ist. Mittels einer Technik, die auf dem sogenannten Chinesischen Restsatz (Chinese Remainder Theorem, CRT) basiert, ist es für den Inhaber des privaten Schlüssels möglich, diese Berechnungen jeweils mit jeder Primzahl einzeln durchzuführen. Eine derartige Berechnung ist schneller, daher verwenden fast alle RSA-Implementierungen dieses Verfahren.

Wie Lenstra 1996 herausfand, kann diese CRT-Optimierung ein großes Sicherheitsrisiko darstellen. Wenn bei einer der beiden Berechnungen ein Fehler auftritt, kann ein Angreifer anschließend den privaten Schlüssel berechnen. Bei einer immer korrekt arbeitenden Implementierung ist das natürlich erstmal kein Problem, da dort keine Rechenfehler auftreten sollten. Aber Bugs in der Software oder Hardwaredefekte können zu derartigen Fehlern führen.

Ein zusätzlicher Check ist ratsam

Um diese Probleme zu vermeiden, ist es empfehlenswert, bei RSA-Signaturen einen zusätzlichen Check einzubauen. Nach dem Erstellen der Signatur sollte diese schlicht nochmal von der Implementierung selbst geprüft werden. Nur wenn die Signatur korrekt ist, darf sie auch preisgegeben werden.

Weimer versuchte, herauszufinden, ob bei heutigen TLS-Implementierungen entsprechende Lücken ganz praktisch ausnutzbar sind. Damit der Angriff funktioniert, muss die RSA-Signatur mit deterministischen Eingaben arbeiten. Das ist nur beim alten RSA-Signaturverfahren nach dem Standard PKCS #1 1.5 der Fall. Eine nichtdeterministische Variante von RSA, die als deutlich sicherer gilt, ist RSA-PSS. Diese ist in PKCS #1 2.1 standardisiert. Allerdings: TLS unterstützt bis heute RSA-PSS nicht, es wird ausschließlich der ältere, deterministische Standard genutzt.

Damit der Angriff auf TLS-Server funktioniert, müssen mehrere Dinge zusammenkommen. Lange Zeit wurde bei TLS und dessen Vorgänger SSL das RSA-Verfahren ausschließlich als Verschlüsselungsalgorithmus genutzt. Nur neue Verschlüsselungsmodi, die mittels eines Diffie-Hellman-Schlüsselaustauschs Forward Secrecy implementieren, nutzen RSA-Signaturen. Damit der Fehler ausnutzbar ist, muss zudem sporadisch ein Fehler bei der RSA-Berechnung auftauchen. Diese Fehler dürfen aber auch nicht zu häufig auftreten, denn nur eine von zwei Berechnungen darf fehlerhaft sein, damit die Schlüsselextraktion möglich ist. Und wie eben erwähnt, kann ein entsprechender Check der Signatur verhindern, dass ein Angreifer überhaupt Zugriff auf die fehlerhaften Berechnungsresultate erhält.

270 Keys gebrochen

Über einen Zeitraum von neun Monaten wurden zahlreiche Scans von bekannten Domainnamen durchgeführt. Dabei ließen sich 270 verschiedene RSA-Keys extrahieren. Nur drei davon gehörten zum Zeitpunkt des Scans zu gültigen Zertifikaten, die von einer von Browsern anerkannten Zertifizierungsstelle signiert waren. Zwei der gültigen Zertifikate gehörten zu einem Netscaler-Gerät von der Firma Citrix. Die für das Gerät verantwortlichen Administratoren konnten kontaktiert werden. Es handelte sich um ein sehr altes Gerät, dessen Austausch sowieso schon vorgesehen war.

Die meisten der extrahierten Keys stammten von Geräten der chinesischen Firma Hillstone. Ein Firmwareupdate für die entsprechenden Geräte steht inzwischen bereit. Weitere betroffene Geräte stammten von den Firmen Viprinet, QNO, Alteon/Nortel, ZyXEL und Fortinet, außerdem betroffen war eine kommerzielle Java-Verschlüsselungsimplementierung namens BEJY.

Spezialprozessor und eigene OpenSSL-Variante 

eye home zur Startseite
Moe479 04. Sep 2015

das problem ist auch, dass die kunden nicht auf der nachprüfbaren einhaltung von...



Anzeige

Stellenmarkt
  1. inovex, verschiedene Standorte
  2. Geberit Verwaltungs GmbH, Pfullendorf
  3. Daimler AG, Düsseldorf
  4. Daimler AG, Böblingen


Anzeige
Blu-ray-Angebote
  1. (u. a. Space Jam 11,97€, Ex Machina 9,97€, Game of Thrones 3. Staffel 24,97€)
  2. (u. a. 25 % Rabatt beim Kauf von drei Neuheiten, Box-Sets im Angebot)
  3. 5,99€ FSK 18

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Megaupload

    Dotcom droht bei Auslieferung volle Anklage in den USA

  2. PC-Markt

    Unternehmen geben deutschen PC-Käufen einen Schub

  3. Ungepatchte Sicherheitslücke

    Google legt sich erneut mit Microsoft an

  4. Torus

    CoreOS gibt weitere Eigenentwicklung auf

  5. Hololens

    Verbesserte AR-Brille soll nicht vor 2019 kommen

  6. Halo Wars 2 im Test

    Echtzeit-Strategie für Supersoldaten

  7. Autonome Systeme

    Microsoft stellt virtuelle Testplattform für Drohnen vor

  8. Limux

    Die tragische Geschichte eines Leuchtturm-Projekts

  9. Betriebssysteme

    Linux 4.10 beschleunigt und verbessert

  10. Supercomputer

    Der erste Exaflops-Rechner wird in China gebaut



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
München: Wie Limux unter Ausschluss der Öffentlichkeit zerstört wird
München
Wie Limux unter Ausschluss der Öffentlichkeit zerstört wird
  1. Fake News Für Facebook wird es hässlich
  2. Nach Angriff auf Telekom Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  3. Soziales Netzwerk Facebook wird auch Instagram kaputt machen

Pure Audio: Blu-ray-Audioformate kommen nicht aus der Nische
Pure Audio
Blu-ray-Audioformate kommen nicht aus der Nische

Prey angespielt: Das Monster aus der Kaffeetasse
Prey angespielt
Das Monster aus der Kaffeetasse
  1. Bethesda Softworks Prey bedroht die Welt im Mai 2017
  2. Ausblicke Abenteuer in Andromeda und Galaxy

  1. Das was hier voellig irre ist ...

    flauschi123 | 06:12

  2. Re: Verzicht

    ThaKilla | 05:53

  3. Re: Es führt kein Weg an Windows vorbei

    FranzBekker | 05:50

  4. Re: Und was berechnen die wirklich?

    Komischer_Phreak | 05:41

  5. Re: Guter Artikel! Auch für Win-Fans

    narfomat | 04:06


  1. 18:33

  2. 17:38

  3. 16:38

  4. 16:27

  5. 15:23

  6. 14:00

  7. 13:12

  8. 12:07


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel