Abo
  • Services:
Anzeige
Eine Hintertür im Diffie-Hellman-Schlüsselaustausch ist theoretisch denkbar.
Eine Hintertür im Diffie-Hellman-Schlüsselaustausch ist theoretisch denkbar. (Bild: Mattes/Wikimedia Commons/CC-BY 2.0)

Schlüsselaustausch: Eine Backdoor für Diffie Hellman

Eine Hintertür im Diffie-Hellman-Schlüsselaustausch ist theoretisch denkbar.
Eine Hintertür im Diffie-Hellman-Schlüsselaustausch ist theoretisch denkbar. (Bild: Mattes/Wikimedia Commons/CC-BY 2.0)

Der Diffie-Hellman-Schlüsselaustausch ist sicher - wenn die Parameter korrekt gewählt sind. Doch was passiert, wenn es einem Angreifer gelingt, fehlerhafte Parameter einzuschleusen? David Wong ist es gelungen, damit eine sogenannte Nobus-Hintertür zu erzeugen.

Im Februar 2016 meldete der Entwickler des Tools Socat eine Sicherheitslücke: Die Parameter für den Diffie-Hellman-Schlüsselaustausch seien fehlerhaft. Der sogenannte Modulus, der bei Diffie Hellman eine Primzahl sein muss, war nicht prim.

Anzeige

Woher kamen die Socat-Parameter?

Die Hintergründe dieses Bugs in Socat blieben unklar. Eingeführt wurden die Parameter durch einen Patch einer Person, die anschließend nicht mehr erreichbar war. Der Maintainer von Socat akzeptierte den Patch offenbar, ohne dessen Herkunft zu prüfen.

David Wong von der Firma NCC fragte sich, ob ein derartig manipulierter Diffie-Hellman-Parameter Teil eines Angriffs sein könnte. Ähnliche Angriffe gab es bereits, am bekanntesten ist wohl der Zufallszahlengenerator Dual EC DRBG, der wahrscheinlich von der NSA mit einer Hintertür ausgestattet wurde. Auf der Def Con präsentierte Wong seine Ergebnisse beim Crypto and Privacy Village.

Wong wollte erreichen, dass seine Diffie-Hellman-Parameter eine sogenannte Nobody-but-us-Backdoor (Nobus) erzeugen. Das bedeutet, dass die Verschlüsselung nicht von jedem gebrochen werden kann. Nur derjenige, der die Parameter erstellt hat, soll mittels eines Geheimnisses in der Lage sein, die Verschlüsselung anzugreifen.

Es gibt fehlerhafte Implementierungen von Diffie Hellman, die generell angreifbar sind. So gab es beispielsweise im Januar ein OpenSSL-Update, das eine mögliche Lücke schloss, wenn Ephemeral-Keys wiederverwendet werden und gleichzeitig keine sogenannten sicheren Primzahlen zum Einsatz kommen. Doch dabei handelte es sich nicht um eine Nobus-Lücke. Jeder, der diesen Angriff kennt, kann ihn durchführen.

Angriff mit kleinen Untergruppen

Eine Angriffsmöglichkeit auf Diffie Hellman sind sogenannte kleine Untergruppen (small subgroups). Um herauszufinden, ob solche Untergruppen existieren und damit ein Diffie-Hellman-Schlüsselaustausch angreifbar ist, benötigt ein Angreifer die Zahl der möglichen Schlüssel in einer Gruppe. Bei Primzahlen als Modulus ist dieser Wert trivial berechenbar. Handelt es sich bei dem Modulus jedoch um eine zusammengesetzte Zahl, muss der Angreifer die Faktorisierung des Modulus kennen, um den Wert zu berechnen.

Dort setzte Wong an: Kommt als Modulus eine Zahl zum Einsatz, die das Produkt von zwei großen Primzahlen ist, kann nur derjenige, der diese Primzahlen kennt, den Angriff durchführen. Die Backdoor hat damit Ähnlichkeit mit dem RSA-Algorithmus, denn sie basiert auf dem Problem, große Zahlen zu faktorisieren.

Ob es sich bei dem Socat-Fehler um eine solche Hintertür handelt, ist unklar. Es könnte schlicht ein Parameter sein, der mit einer fehlerhaften Software erzeugt wurde. Der fehlerhafte Parameter hat einige kleine Primfaktoren, eine vollständige Faktorisierung ist jedoch nicht trivial möglich.

Wichtig zu verstehen ist, dass es sich hierbei um keine Schwäche im Diffie-Hellman-Protokoll selbst handelt. Lediglich in Kombination mit Parametern, die durch einen Angreifer gewählt wurden, ist der Algorithmus angreifbar.

Primzahlen prüfen könnte helfen

Um diesen speziellen Angriff zu verhindern, kann man prüfen, ob es sich bei den Diffie-Hellman-Gruppenparametern um eine Primzahl handelt. Ob das praktikabel ist, hängt von der Situation ab. TLS-Implementierungen prüfen dies üblicherweise nicht, da ein Primzahltest rechenaufwendig ist und einige Zehntelsekunden dauern kann. Die voreingestellten Parameter von bekannten Softwareprodukten zu prüfen, ist jedoch kein Problem.

Wong hat ein Hintergrunddokument zu seinem Angriff im Cryptology ePrint Archive veröffentlicht. Beispielcode, um eine solche Hintertür zu erzeugen, findet man auf Github.


eye home zur Startseite
crypt0 08. Aug 2016

Für einen voreingestellten DH Modulus werden NUR starke/sichere Primzahlen verwendet (für...



Anzeige

Stellenmarkt
  1. Harvey Nash GmbH, Stuttgart
  2. NÜRNBERGER Versicherungsgruppe, Nürnberg
  3. über Harvey Nash GmbH, Stuttgart
  4. IQ-Agrar Service GmbH, Osnabrück


Anzeige
Blu-ray-Angebote
  1. 29,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. Das Boot, Memento, Ohne Limit und No Escape)
  3. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)

Folgen Sie uns
       


  1. MWC Shanghai

    LTE-Technologie erreicht Latenz von unter zwei Millisekunden

  2. Landkreis Plön

    Tele Columbus bringt Gigabit-Zugänge in 15.000 Haushalte

  3. Innovation Days

    Ericsson liefert Basisstation an 5G Lab Germany

  4. Für Lokalsender

    Kabelnetzbetreiber wollen 250 Millionen Euro Rundfunkgebühr

  5. Linux-Kernel-Security

    Torvalds bezeichnet Grsecurity als "Müll"

  6. Zolo Liberty Plus

    Drahtlose Ohrstöpsel auf Kickstarter für nur 100 US-Dollar

  7. Eckpunkte

    Bundesnetzagentur sieht 5G bei 2 GHz und 3.400 bis 3.700 MHz

  8. Internet sofort

    Das Warten auf den Festnetzanschluss kann teuer werden

  9. Ransomware

    Petya-Kampagne nutzt Lücke in Buchhaltungssoftware

  10. 10 GBit/s

    Erste 5G-Endgeräte sind noch einen Kubikmeter groß



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mieten bei Ottonow und Media Markt: Miet mich!
Mieten bei Ottonow und Media Markt
Miet mich!
  1. Online-Handel Websperren sollen Verbraucherschutz stärken
  2. United-Internet-Übernahme Drillisch will weg von Billigangeboten
  3. Übernahmen Extreme Networks will eine Branchengröße werden

Oneplus Five im Test: Der Oneplus-Nimbus verblasst - ein bisschen
Oneplus Five im Test
Der Oneplus-Nimbus verblasst - ein bisschen
  1. Smartphone Der Verkauf des Oneplus Five beginnt

Monster Hunter World angespielt: Dicke Dinosauriertränen in 4K
Monster Hunter World angespielt
Dicke Dinosauriertränen in 4K
  1. Shawn Layden im Interview Sony setzt auf echte PS 5 statt auf Konsolenevolution
  2. Square Enix Die stürmischen Ereignisse vor Life is Strange
  3. Spider-Man Superheld mit Alltagssorgen

  1. Re: 4G in indonesien zum vergleich

    DerDy | 22:51

  2. Re: Telekom-Grätsche?

    DerDy | 22:46

  3. Re: Kein Wunder, wenn man bedenkt, was letzte...

    Bautz | 22:44

  4. Re: Nonchalant? Echt jetzt?

    superdachs | 22:40

  5. Re: geht ja...

    nille02 | 22:22


  1. 18:23

  2. 17:10

  3. 16:17

  4. 14:54

  5. 14:39

  6. 14:13

  7. 13:22

  8. 12:03


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel