Abo
  • Services:
Anzeige
Das veraltete RSA-Padding-Verfahren führt zu Sicherheitsproblemen.
Das veraltete RSA-Padding-Verfahren führt zu Sicherheitsproblemen. (Bild: Hanno Böck)

RSA-Signaturen: Acht Jahre alte Sicherheitslücke kehrt zurück

In der NSS-Bibliothek ist eine Sicherheitslücke entdeckt worden, mit der sich RSA-Signaturen fälschen lassen. Betroffen sind die Browser Chrome und Firefox, für die bereits Updates erschienen sind. Es handelt sich um eine Variante der Bleichenbacher-Attacke von 2006.

Anzeige

Mozilla Firefox und Chrome haben gestern Updates herausgegeben, die eine Sicherheitslücke in der Verifikation von RSA-Signaturen beheben sollen. Bislang sind die Details noch geheim, doch laut Mozilla handelt es sich um eine Variante der sogenannten Bleichenbacher-Attacke, die bereits 2006 entdeckt wurde.

Offenbar wurde die neue Lücke unabhängig voneinander von Antoine Delignat-Lavaud und von einem Forscherteam bei Intel entdeckt. Delignat-Lavaud arbeitet für das miTLS-Projekt, das sich um eine formale Verifikation der Sicherheit von TLS bemüht, und hat in der Vergangenheit bereits zahlreiche Probleme aufgedeckt, zuletzt in einem Vortrag auf der Blackhat-Konferenz.

Über die Details der Lücke herrscht bislang Unklarheit. Der entsprechende Bugreport bei Mozilla ist im Moment nicht öffentlich einsehbar. Bei McAffee gibt es einen Blogeintrag zu der Lücke, die dort als BERserk bezeichnet wird. Das soll ein Hinweis darauf sein, dass es sich um ein Problem bei der sogenannten BER-Codierung handelt. BER ist Teil des ASN.1-Standards, einer relativ komplizierten Binärdarstellung von Daten, die bei TLS und bei X.509-Zertifikaten zum Einsatz kommt. Allerdings widerspricht der Google-Entwickler Adam Langley auf Twitter der Darstellung von McAffee.

Die Bleichenbacher-Attacke betrifft nur RSA-Schlüssel, die für den sogenannten Exponenten eine sehr kleine Zahl wie 3 oder 4 nutzten. Ein öffentlicher RSA-Schlüssel besteht aus zwei Zahlen, dem (sehr großen) Modulus und dem Exponenten. Früher wurden für den Exponenten aus Performancegründen oft kleine Zahlen genutzt, drei war eine gängige Wahl. Doch inzwischen wird fast überall der Wert 65537 genutzt. Vermutlich sind solche RSA-Schlüssel nicht betroffen.

Eine ähnliche Lücke wurde offenbar auch in anderen TLS-Bibliotheken gefunden. So findet sich in der Ankündigung der CyaSSL-Version 3.2.0, die vor knapp zwei Wochen veröffentlicht wurde, ebenfalls ein Hinweis auf ein Problem mit RSA-Signaturen, das vom selben Forscherteam bei Intel entdeckt wurde. Auch in der Ankündigung der letzten GnuTLS-Version gibt es einen Eintrag, von dem manche spekulieren, dass er im Zusammenhang mit dem Problem steht. Allerdings wurde diese GnuTLS-Version nicht als Sicherheitsupdate angekündigt, somit ist das dortige Problem vermutlich nicht ausnutzbar.

Zur Sicherheit sollten alle Nutzer von Chrome und Firefox ihre Browser aktualisieren. Firefox sollte auf die Version 32.0.3 aktualisiert werden, auch für ältere Firefox-Versionen stehen Updates bereit. In Chrome trägt die korrigierte Version die Versionsnummer 37.0.2062.124. Für NSS steht die Version 3.17.1 bereit. CyaSSL wird nur selten genutzt. Wer diese Bibliothek verwendet, sollte auf Version 3.2.0 aktualisieren. Der Fehler in GnuTLS ist vermutlich kein Sicherheitsproblem, aber um sicherzugehen, sollte hier ebenfalls ein Update auf Version 3.3.8 installiert werden.

Offenbar gab es im Vorfeld einige Konflikte über die Veröffentlichung der Sicherheitslücke. Mozilla-Entwickler Brian Smith schreibt auf Twitter, dass Intel und McAffee diese Angelegenheit in jeder möglichen Art und Weise falsch behandelt hätten.

Der ursprüngliche Angriff auf RSA-Signaturen wurde 2006 vom Schweizer Kryptographen Daniel Bleichenbacher auf der Crypto 2006-Konferenz vorgestellt. Es handelt sich dabei nicht um einen Fehler in RSA selbst, vielmehr geht es um fehlerhafte Implementierungen des Paddings. Bleichenbacher hat davon unabhängig bereits 1998 eine Sicherheitslücke in der Verschlüsselung von RSA entdeckt. Auch diese andere Bleichenbacher-Attacke taucht immer wieder auf. Im April wurde bekannt, dass Java und OpenSSL von einer Variante der 1998er Bleichenbacher-Attacke betroffen waren.

Beide Probleme haben mit dem RSA-Padding im eigentlich veralteten Standard PKCS #1 1.5 zu tun. Bereits 2002 wurde der Standard PKCS #1 2.1 veröffentlicht, der mit PSS und OAEP verbesserte Padding-Verfahren für RSA bereithält. Allerdings werden diese bis heute in vielen Produkten nicht eingesetzt. TLS unterstützt PKCS #1 2.1 überhaupt nicht, bei Zertifikaten nach dem X.509-Standard sind PSS-Signaturen zwar möglich, werden aber von niemandem genutzt.

Nachtrag vom 26. September 2014, 11:39 Uhr

Ursprünglich hatten wir geschrieben, dass die Lücke in NSS wahrscheinlich nur geringe Auswirkungen habe, da nur wenige RSA-Schlüssel einen Exponenten 3 nutzten. Allerdings gibt es im Zertifikatsstore von Firefox und Chrome sechs Zertifizierungsstellen, die einen solchen problematischen RSA-Schlüssel nutzen. Damit ist diese Sicherheitslücke gravierender als es zunächst erschien.

Intel hat inzwischen eine Webseite zu BERserk online gestellt, weiterhin gibt es dort aber keine Detailinformationen.


eye home zur Startseite
elgooG 26. Sep 2014

Das Update auf die neue NSS-Biliothek hat auch einen netten Vorteil: Netflix funktioniert...

JouMxyzptlk 25. Sep 2014

Meil Lieblingsbrowser Seamonkey bekam heute das Update auf 2.29.1. Wer Thunderbird wegen...

hannob (golem.de) 25. Sep 2014

Das ist falsch: http://tools.ietf.org/html/rfc4880#section-13.1



Anzeige

Stellenmarkt
  1. LEDVANCE GmbH, Garching bei München
  2. Ostbayerische Technische Hochschule Amberg-Weiden (OTH), Weiden
  3. itsc GmbH, Hannover
  4. ABB AG, Ladenburg


Anzeige
Top-Angebote
  1. 299,00€
  2. (u. a. bis zu -32% auf Elektronik und Foto)
  3. 109,90€ statt 139,90€

Folgen Sie uns
       


  1. Linux

    Systemd bekommt Werkzeuge zum Bauen und Verteilen von Images

  2. Sheryl Sandberg

    Facebook-Beschäftigte bekommen im Trauerfall Sonderurlaub

  3. Intel

    SSD 545s nutzt 64-Layer-Chips

  4. 10 Jahre iPhone

    Apple hat definiert, wie ein Smartphone sein muss

  5. Petya

    Die Ransomware ist ein Zerstörungstrojaner

  6. Installation 01

    Fans dürfen Halo-Multiplayer-Projekt realisieren

  7. BiCS4

    96 Layer für 4 Bit pro Zelle und 1,5-TByte-Packages

  8. Deutschland 4.0

    Merkel gibt geringe Glasfaserverkabelung zu

  9. Magnetic Scrolls

    Quellcode von Spieleklassikern im Ofen gerettet

  10. DSLR

    Canon EOS 6D Mark II kann nicht mit 4K filmen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Neues iPad Pro im Test: Von der Hardware her ein Laptop
Neues iPad Pro im Test
Von der Hardware her ein Laptop
  1. iFixit iPad Pro 10,5 Zoll intern ein geschrumpftes 12,9 Zoll Modell
  2. Office kostenpflichtig Das iPad Pro 10,5 Zoll ist Microsoft zu groß
  3. Hintergrundbeleuchtung Logitech bringt Hülle mit abnehmbarer Tastatur für iPad Pro

Anki Cozmo ausprobiert: Niedlicher Programmieren lernen und spielen
Anki Cozmo ausprobiert
Niedlicher Programmieren lernen und spielen

Google Wifi im Test: Google mischt mit im Mesh
Google Wifi im Test
Google mischt mit im Mesh
  1. Prozessor Intels Skylake-X kommt zu früh
  2. Skylake-SP Intels Xeon nutzen ein Mesh statt Ringbusse
  3. Headset G433 im Hands on Logitech hat ein Headset genäht

  1. Deutschland 3.0

    XTF | 14:13

  2. Re: "Das würde er, wenn man ihn dafür bezahle"

    onek24 | 14:13

  3. Re: Wie ist das in Deutschland?

    Muhaha | 14:12

  4. Re: Smartphone ganz neu denken

    Trollversteher | 14:07

  5. Re: Technologiefrage

    sp_himmel | 14:05


  1. 14:13

  2. 13:18

  3. 12:48

  4. 12:04

  5. 11:55

  6. 11:40

  7. 11:27

  8. 10:52


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel