Abo
  • Services:

Schlüsselaustausch: Eine Backdoor für Diffie Hellman

Der Diffie-Hellman-Schlüsselaustausch ist sicher - wenn die Parameter korrekt gewählt sind. Doch was passiert, wenn es einem Angreifer gelingt, fehlerhafte Parameter einzuschleusen? David Wong ist es gelungen, damit eine sogenannte Nobus-Hintertür zu erzeugen.

Artikel veröffentlicht am , Hanno Böck
Eine Hintertür im Diffie-Hellman-Schlüsselaustausch ist theoretisch denkbar.
Eine Hintertür im Diffie-Hellman-Schlüsselaustausch ist theoretisch denkbar. (Bild: Mattes/Wikimedia Commons/CC-BY 2.0)

Im Februar 2016 meldete der Entwickler des Tools Socat eine Sicherheitslücke: Die Parameter für den Diffie-Hellman-Schlüsselaustausch seien fehlerhaft. Der sogenannte Modulus, der bei Diffie Hellman eine Primzahl sein muss, war nicht prim.

Woher kamen die Socat-Parameter?

Stellenmarkt
  1. Bosch Gruppe, Berlin
  2. OKI EUROPE LIMITED, Branch Office Düsseldorf, Düsseldorf

Die Hintergründe dieses Bugs in Socat blieben unklar. Eingeführt wurden die Parameter durch einen Patch einer Person, die anschließend nicht mehr erreichbar war. Der Maintainer von Socat akzeptierte den Patch offenbar, ohne dessen Herkunft zu prüfen.

David Wong von der Firma NCC fragte sich, ob ein derartig manipulierter Diffie-Hellman-Parameter Teil eines Angriffs sein könnte. Ähnliche Angriffe gab es bereits, am bekanntesten ist wohl der Zufallszahlengenerator Dual EC DRBG, der wahrscheinlich von der NSA mit einer Hintertür ausgestattet wurde. Auf der Def Con präsentierte Wong seine Ergebnisse beim Crypto and Privacy Village.

Wong wollte erreichen, dass seine Diffie-Hellman-Parameter eine sogenannte Nobody-but-us-Backdoor (Nobus) erzeugen. Das bedeutet, dass die Verschlüsselung nicht von jedem gebrochen werden kann. Nur derjenige, der die Parameter erstellt hat, soll mittels eines Geheimnisses in der Lage sein, die Verschlüsselung anzugreifen.

Es gibt fehlerhafte Implementierungen von Diffie Hellman, die generell angreifbar sind. So gab es beispielsweise im Januar ein OpenSSL-Update, das eine mögliche Lücke schloss, wenn Ephemeral-Keys wiederverwendet werden und gleichzeitig keine sogenannten sicheren Primzahlen zum Einsatz kommen. Doch dabei handelte es sich nicht um eine Nobus-Lücke. Jeder, der diesen Angriff kennt, kann ihn durchführen.

Angriff mit kleinen Untergruppen

Eine Angriffsmöglichkeit auf Diffie Hellman sind sogenannte kleine Untergruppen (small subgroups). Um herauszufinden, ob solche Untergruppen existieren und damit ein Diffie-Hellman-Schlüsselaustausch angreifbar ist, benötigt ein Angreifer die Zahl der möglichen Schlüssel in einer Gruppe. Bei Primzahlen als Modulus ist dieser Wert trivial berechenbar. Handelt es sich bei dem Modulus jedoch um eine zusammengesetzte Zahl, muss der Angreifer die Faktorisierung des Modulus kennen, um den Wert zu berechnen.

Dort setzte Wong an: Kommt als Modulus eine Zahl zum Einsatz, die das Produkt von zwei großen Primzahlen ist, kann nur derjenige, der diese Primzahlen kennt, den Angriff durchführen. Die Backdoor hat damit Ähnlichkeit mit dem RSA-Algorithmus, denn sie basiert auf dem Problem, große Zahlen zu faktorisieren.

Ob es sich bei dem Socat-Fehler um eine solche Hintertür handelt, ist unklar. Es könnte schlicht ein Parameter sein, der mit einer fehlerhaften Software erzeugt wurde. Der fehlerhafte Parameter hat einige kleine Primfaktoren, eine vollständige Faktorisierung ist jedoch nicht trivial möglich.

Wichtig zu verstehen ist, dass es sich hierbei um keine Schwäche im Diffie-Hellman-Protokoll selbst handelt. Lediglich in Kombination mit Parametern, die durch einen Angreifer gewählt wurden, ist der Algorithmus angreifbar.

Primzahlen prüfen könnte helfen

Um diesen speziellen Angriff zu verhindern, kann man prüfen, ob es sich bei den Diffie-Hellman-Gruppenparametern um eine Primzahl handelt. Ob das praktikabel ist, hängt von der Situation ab. TLS-Implementierungen prüfen dies üblicherweise nicht, da ein Primzahltest rechenaufwendig ist und einige Zehntelsekunden dauern kann. Die voreingestellten Parameter von bekannten Softwareprodukten zu prüfen, ist jedoch kein Problem.

Wong hat ein Hintergrunddokument zu seinem Angriff im Cryptology ePrint Archive veröffentlicht. Beispielcode, um eine solche Hintertür zu erzeugen, findet man auf Github.



Anzeige
Blu-ray-Angebote
  1. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)
  2. (u. a. ES Blu-ray 10,83€, Die nackte Kanone Blu-ray-Box-Set 14,99€)

crypt0 08. Aug 2016

Für einen voreingestellten DH Modulus werden NUR starke/sichere Primzahlen verwendet (für...


Folgen Sie uns
       


Need for Speed 3 Hot Pursuit (1998) - Golem retro_

Diese Episode Golem retro_ beleuchtet Need for Speed 3 Hot Pursuit aus dem Jahre 1998. Der dritte Serienteil gilt bis heute bei den Fans als unerreicht gut.

Need for Speed 3 Hot Pursuit (1998) - Golem retro_ Video aufrufen
Nubia Red Magic Mars im Hands On: Gaming-Smartphone mit Top-Ausstattung für 390 Euro
Nubia Red Magic Mars im Hands On
Gaming-Smartphone mit Top-Ausstattung für 390 Euro

CES 2019 Mit dem Red Magic Mars bringt Nubia ein interessantes und vor allem verhältnismäßig preiswertes Gaming-Smartphone nach Deutschland. Es hat einen Leistungsmodus und Schulter-Sensortasten, die beim Zocken helfen können.
Ein Hands on von Tobias Költzsch

  1. Sonos Keine Parallelnutzung von Alexa und Google Assistant geplant
  2. Hypersense-Prototypen ausprobiert Razers Rumpel-Peripherie sorgt für Immersion
  3. ATH-ANC900BT Audio Technica zeigt neuen ANC-Kopfhörer

Elektroauto: Eine Branche vor der Zerreißprobe
Elektroauto
Eine Branche vor der Zerreißprobe

2019 wird ein spannendes Jahr für die Elektromobilität. Politik und Autoindustrie stehen in diesem Jahr vor Entwicklungen, die über die Zukunft bestimmen. Doch noch ist die Richtung unklar.
Eine Analyse von Dirk Kunde

  1. Monowheel Z-One One Die Elektro-Vespa auf einem Rad
  2. 2nd Life Ausgemusterte Bus-Akkus speichern jetzt Solarenergie
  3. Weniger Aufwand Elektroautos sollen in Deutschland 114.000 Jobs kosten

IT-Sicherheit: 12 Lehren aus dem Politiker-Hack
IT-Sicherheit
12 Lehren aus dem Politiker-Hack

Ein polizeibekanntes Skriptkiddie hat offenbar jahrelang unbemerkt Politiker und Prominente ausspähen können und deren Daten veröffentlicht. Welche Konsequenzen sollten für die Sicherheit von Daten aus dem Datenleak gezogen werden?
Eine Analyse von Friedhelm Greis

  1. Datenleak Ermittler nehmen Verdächtigen fest
  2. Datenleak Politiker fordern Pflicht für Zwei-Faktor-Authentifizierung
  3. Politiker-Hack Wohnung in Heilbronn durchsucht

    •  /