RSA-Sicherheitslücke: Infineon erzeugt Millionen unsicherer Krypto-Schlüssel
Ein Team von tschechischen und slowakischen Forschern hat eine schwere Sicherheitslücke in einer von Infineon entwickelten Verschlüsselungsbibliothek entdeckt. Die damit erzeugten Schlüssel mit dem RSA-Verfahren sind unsicher und lassen sich mit größerem Aufwand knacken. Die Bibliothek kommt in zahlreichen Hardware-Kryptomodulen zum Einsatz.
Genaue Details über die Sicherheitslücke sind bislang nicht bekannt. Die sollen erst in zwei Wochen auf der Konferenz CCS (Computer and Communications Security) veröffentlicht werden(öffnet im neuen Fenster) . Auf einer Webseite haben die Entdecker der Lücke mit dem Namen ROCA jedoch einige Vorabinformationen bereitgestellt(öffnet im neuen Fenster) . Weiterhin gibt es ein frei verfügbares Tool(öffnet im neuen Fenster) , mit dem man prüfen kann, ob RSA-Schlüssel von der Lücke betroffen sind. Die Lücke wird unter der Kennung CVE-2017-15361(öffnet im neuen Fenster) geführt.
Primzahlen nicht zufällig genug
Was bislang klar ist: Es handelt sich nicht um eine Schwäche im RSA-Algorithmus selbst, sondern um gravierende Fehler bei der Implementierung der Schlüsselerzeugung in Infineon-Produkten. Die betroffenen Geräte sind alle Hardware-Kryptomodule, allerdings sind die Fehler nicht in der Hardware direkt implementiert, sondern in der darin vorhandenen Embedded-Software.
Offenbar schlampt die Infineon-Bibliothek bei der Erzeugung von Primzahlen – und das in einer Weise, die später erkennbar ist, wenn man den öffentlichen Schlüssel analysiert. Ein öffentlicher RSA-Schlüssel besteht aus zwei Zahlenwerten. Einer davon ist das Produkt aus zwei großen, zufällig erzeugten Primzahlen. Das entscheidende: Wer die beiden Primzahlen kennt, kann den privaten Schlüssel berechnen. Somit ist es absolut essentiell, dass die Primzahlen geheim bleiben.
Anhand der bisher verfügbaren Informationen ist wohl davon auszugehen, dass die Primzahlen nicht wirklich zufällig erzeugt wurden. Aus dem Titel des angekündigten CCS-Vortrags geht hervor, dass es sich um eine Variante des Coppersmith-Angriffs(öffnet im neuen Fenster) handelt. Der Kryptograph Dan Coppersmith entdeckte 1996 eine effiziente Möglichkeit, RSA-Schlüssel zu knacken, wenn ein Teil des privaten Schlüssels bekannt ist. Auf einer Informationsseite von Infineon wird angedeutet(öffnet im neuen Fenster) , dass man zur Erzeugung der Primzahlen ein schnelleres Verfahren wählte, da die gängigen Verfahren in den entsprechenden Hardwaremodulen zu langsam waren. Detailinfos gibt es allerdings auch hier bisher nicht.
Wie aufwendig der Angriff dann ist, hängt von der Schlüssellänge ab. Die Entdecker geben dafür geschätzte Kosten auf virtualisierten Amazon-Instanzen an. Für Schlüssel mit einer Länge von 1024 Bit sind die Kosten gering – etwa 40 bis 80 Dollar. Solche Schlüssel gelten zwar sowieso aufgrund ihrer geringen Länge als potenziell unsicher, allerdings konnte bislang noch niemand einen praktischen Angriff auf korrekt erzeugte 1024-Bit-Schlüssel zeigen.
Bei Schlüsseln mit 2048 Bit – die kommen in der Praxis am häufigsten zum Einsatz – schätzen die Forscher die Kosten für einen Angriff auf 20.000 bis 40.000 Dollar. Für 4096-Bit-Schlüssel schätzen die Entdecker, dass der Angriff nicht praktikabel durchführbar ist, allerdings könnten Verbesserungen des Angriffsalgorithmus dies in Zukunft ändern.
Estnische ID-Karten und TPM-Chips betroffen
Da die entsprechende Bibliothek in zahlreichen Produkten zum Einsatz kam, findet man betroffene RSA-Schlüssel an diversen unterschiedlichen Stellen. Bereits Anfang September war bekannt geworden, dass etwa 750.000 von Estland ausgegebene elektronische ID-Karten von einer damals unbekannten Sicherheitslücke betroffen sind .
Es handelt sich, wie man jetzt weiß, um diese Infineon-Lücke. Die estnische Regierung hat ein Softwareupdate angekündigt(öffnet im neuen Fenster) , alle Betroffenen müssen anschließend die auf den Chips gespeicherten Zertifikate erneuern.
Dass staatlich ausgegebene Krypto-Chips von einer schweren Sicherheitslücke betroffen sind, gab es schon einmal: Im Jahr 2013 entdeckten Forscher , dass taiwanesische Bürgerzertifikate sich knacken ließen, da die Schlüssel nicht zufällig erzeugt wurden.
TPM-Chips in Laptops gefährden Bitlocker-Verschlüsselung
Zahlreiche TPM-Chips, die in Laptops verbaut sind, nutzen ebenfalls die Infineon-Technologie. Von verschiedenen Laptop-Herstellern gibt es inzwischen Firmware-Updates, etwa von Google für Chromebooks(öffnet im neuen Fenster) , von Lenovo(öffnet im neuen Fenster) , von Fujitsu(öffnet im neuen Fenster) und von HP(öffnet im neuen Fenster) . Vermutlich sind weitere Hersteller betroffen. Die Lücke in TPM-Chips ist vor allem für Windows-Anwender relevant, die die Bitlocker-Verschlüsselung des Microsoft-Systems einsetzen(öffnet im neuen Fenster) .
Yubico: Zertifizierung statt Open Source
Außerdem betroffen sind zahlreiche Yubikeys. Dabei handelt es sich um USB-Kryptomodule, die beispielsweise für 2-Faktor-Authentifizierung und zur Speicherung von PGP-Schlüsseln genutzt werden. Die dürften auch der Grund dafür sein, dass einige Schlüssel von Entwicklern freier Softwareprojekte verwundbar sind. Beispielsweise sind drei Schlüssel von Debian-Entwicklern betroffen(öffnet im neuen Fenster) .
Auch SSH-Keys von einigen Entwicklern waren betroffen, die vermutlich ebenfalls von Yubikeys stammten. Laut einem Bericht von Ars Technica hat Github 447 Nutzer über verwundbare Keys informiert(öffnet im neuen Fenster) .
Geradezu ironisch wirkt angesichts des Vorfalls ein Blogpost des Herstellers Yubico aus dem Jahr 2016(öffnet im neuen Fenster) . Darin argumentiert der Hersteller, dass man künftig nicht mehr auf Open-Source-Firmware setzen will. Stattdessen soll die Sicherheit über Zertifizierungssysteme gewährleistet werden. Verwiesen wird hier auf die Zertifizierung nach Common Criteria EAL 5+. Die Zertifizierung für die Infineon-RSA-Bibliothek(öffnet im neuen Fenster) wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) durchgeführt. Das BSI hat auf eine Reihe von Fragen von uns dazu bisher nicht geantwortet. Wir werden darüber berichten, sobald wir weitere Informationen erhalten haben.
Geradezu verheerend scheint sich die Lücke auf die Branche der Anbieter von zertifizierten Signaturlösungen nach dem deutschen Vertrauensdienstegesetz auszuwirken. Diese Signaturen erfüllen die Anforderungen der eIDAS-Verordnung(öffnet im neuen Fenster) der Europäischen Union.
Rob Stradling von der Firma Comodo hat die Daten der von ihm betriebenen Zertifikatssuchmaschine crt.sh nach verwundbaren Schlüsseln abgesucht(öffnet im neuen Fenster) . Praktisch alle wichtigen Anbieter von Signaturlösungen in Deutschland sind dabei vertreten(öffnet im neuen Fenster) : Die Telekom, die Bundesdruckerei (D-Trust), der deutsche Sparkassenverlag (S-Trust) und die deutsche Rentenversicherung. Auch die Firma Datev ist betroffen, allerdings handelt es sich dabei um nicht mehr genutzte Zertifikate, da Datev keine entsprechenden Signaturdienste mehr anbietet..
Verwundbar sind hier die jeweiligen Ausstellerzertifikate. Bei keinem der Anbieter fanden wir bislang irgendwelche öffentlichen Ankündigungen, was das für die Kunden bedeutet. Einzig die Telekom hat bislang auf unsere Anfrage geantwortet. Demnach sind die betroffenen Telekom-Zertifikate nicht mehr im Einsatz und wurden am 4. Juli von der Bundesnetzagentur gesperrt.
TLS kaum betroffen
Eher selten kamen die entsprechenden Produkte wohl für TLS-Verbindungen zum Einsatz. Beim bereits erwähnten Test von Rob Stradling wurden nur eine handvoll verwundbare Webseitenzertifikate gefunden, die meisten für kaum bekannte Webseiten. Ein einziges davon ist für einen Hostnamen von Yahoo ausgestellt(öffnet im neuen Fenster) .
Bei Zertifizierungsstellen für Webseitenzertifikate scheinen Infineon-Produkte nicht im Einsatz zu sein. Kein einziges der verwundbaren Zertifikate wird von einer entsprechenden Zertifizierungsstelle eingesetzt. Für TLS hat der gesamte Vorfall damit praktisch keine Auswirkungen.
Wer prüfen will, ob eigene Schlüssel betroffen sind, kann dazu die von den Entdeckern der Lücke bereitgestellten Test-Tools nutzen(öffnet im neuen Fenster) . Der Test unterstützt verschiedenste Arten von Schlüsseln, beispielsweise PGP-Schlüssel, SSH-Schlüssel und auch Zertifikatsdateien. Auch größere Mengen an Schlüsseln können damit relativ schnell geprüft werden. Ein Online-Test ist ebenfalls verfügbar(öffnet im neuen Fenster) .
Es ist wohl davon auszugehen, dass in den nächsten Tagen noch weitere von der Lücke betroffene Systeme bekannt werden. Insgesamt wirft die Lücke manche Frage auf. So gelten Hardware-Sicherheitslösungen oft als besonders sicher, sie haben allerdings den offensichtlichen Nachteil, dass es für Forscher viel schwieriger ist, die Sicherheit von Hardwarelösungen zu überprüfen. Auch die Frage, wie sinnvoll Zertifizierungssysteme wie Common Criteria angesichts solch fataler Sicherheitslücken sind, wird wohl noch für Diskussionsstoff sorgen.
Nachtrag vom 20. Oktober 2017, 11:24 Uhr
Wir haben einen Hinweis eingefügt, dass die von Datev verwendeten Zertifikate nicht mehr genutzt werden, da die Firma keine entsprechenden Dienste mehr anbietet.