• IT-Karriere:
  • Services:

Schlüsselaustausch: Eine Backdoor für Diffie Hellman

Der Diffie-Hellman-Schlüsselaustausch ist sicher - wenn die Parameter korrekt gewählt sind. Doch was passiert, wenn es einem Angreifer gelingt, fehlerhafte Parameter einzuschleusen? David Wong ist es gelungen, damit eine sogenannte Nobus-Hintertür zu erzeugen.

Artikel veröffentlicht am , Hanno Böck
Eine Hintertür im Diffie-Hellman-Schlüsselaustausch ist theoretisch denkbar.
Eine Hintertür im Diffie-Hellman-Schlüsselaustausch ist theoretisch denkbar. (Bild: Mattes/Wikimedia Commons/CC-BY 2.0)

Im Februar 2016 meldete der Entwickler des Tools Socat eine Sicherheitslücke: Die Parameter für den Diffie-Hellman-Schlüsselaustausch seien fehlerhaft. Der sogenannte Modulus, der bei Diffie Hellman eine Primzahl sein muss, war nicht prim.

Woher kamen die Socat-Parameter?

Stellenmarkt
  1. EPLAN Software & Service GmbH & Co. KG, Monheim am Rhein (Düsseldorf/ Köln)
  2. operational services GmbH & Co. KG, Berlin, Frankfurt am Main, Wolfsburg, Braunschweig, München

Die Hintergründe dieses Bugs in Socat blieben unklar. Eingeführt wurden die Parameter durch einen Patch einer Person, die anschließend nicht mehr erreichbar war. Der Maintainer von Socat akzeptierte den Patch offenbar, ohne dessen Herkunft zu prüfen.

David Wong von der Firma NCC fragte sich, ob ein derartig manipulierter Diffie-Hellman-Parameter Teil eines Angriffs sein könnte. Ähnliche Angriffe gab es bereits, am bekanntesten ist wohl der Zufallszahlengenerator Dual EC DRBG, der wahrscheinlich von der NSA mit einer Hintertür ausgestattet wurde. Auf der Def Con präsentierte Wong seine Ergebnisse beim Crypto and Privacy Village.

Wong wollte erreichen, dass seine Diffie-Hellman-Parameter eine sogenannte Nobody-but-us-Backdoor (Nobus) erzeugen. Das bedeutet, dass die Verschlüsselung nicht von jedem gebrochen werden kann. Nur derjenige, der die Parameter erstellt hat, soll mittels eines Geheimnisses in der Lage sein, die Verschlüsselung anzugreifen.

Es gibt fehlerhafte Implementierungen von Diffie Hellman, die generell angreifbar sind. So gab es beispielsweise im Januar ein OpenSSL-Update, das eine mögliche Lücke schloss, wenn Ephemeral-Keys wiederverwendet werden und gleichzeitig keine sogenannten sicheren Primzahlen zum Einsatz kommen. Doch dabei handelte es sich nicht um eine Nobus-Lücke. Jeder, der diesen Angriff kennt, kann ihn durchführen.

Angriff mit kleinen Untergruppen

Eine Angriffsmöglichkeit auf Diffie Hellman sind sogenannte kleine Untergruppen (small subgroups). Um herauszufinden, ob solche Untergruppen existieren und damit ein Diffie-Hellman-Schlüsselaustausch angreifbar ist, benötigt ein Angreifer die Zahl der möglichen Schlüssel in einer Gruppe. Bei Primzahlen als Modulus ist dieser Wert trivial berechenbar. Handelt es sich bei dem Modulus jedoch um eine zusammengesetzte Zahl, muss der Angreifer die Faktorisierung des Modulus kennen, um den Wert zu berechnen.

Dort setzte Wong an: Kommt als Modulus eine Zahl zum Einsatz, die das Produkt von zwei großen Primzahlen ist, kann nur derjenige, der diese Primzahlen kennt, den Angriff durchführen. Die Backdoor hat damit Ähnlichkeit mit dem RSA-Algorithmus, denn sie basiert auf dem Problem, große Zahlen zu faktorisieren.

Ob es sich bei dem Socat-Fehler um eine solche Hintertür handelt, ist unklar. Es könnte schlicht ein Parameter sein, der mit einer fehlerhaften Software erzeugt wurde. Der fehlerhafte Parameter hat einige kleine Primfaktoren, eine vollständige Faktorisierung ist jedoch nicht trivial möglich.

Wichtig zu verstehen ist, dass es sich hierbei um keine Schwäche im Diffie-Hellman-Protokoll selbst handelt. Lediglich in Kombination mit Parametern, die durch einen Angreifer gewählt wurden, ist der Algorithmus angreifbar.

Primzahlen prüfen könnte helfen

Um diesen speziellen Angriff zu verhindern, kann man prüfen, ob es sich bei den Diffie-Hellman-Gruppenparametern um eine Primzahl handelt. Ob das praktikabel ist, hängt von der Situation ab. TLS-Implementierungen prüfen dies üblicherweise nicht, da ein Primzahltest rechenaufwendig ist und einige Zehntelsekunden dauern kann. Die voreingestellten Parameter von bekannten Softwareprodukten zu prüfen, ist jedoch kein Problem.

Wong hat ein Hintergrunddokument zu seinem Angriff im Cryptology ePrint Archive veröffentlicht. Beispielcode, um eine solche Hintertür zu erzeugen, findet man auf Github.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)

crypt0 08. Aug 2016

Für einen voreingestellten DH Modulus werden NUR starke/sichere Primzahlen verwendet (für...


Folgen Sie uns
       


Parksensor von Bosch ausprobiert

Wenn es darum geht, Autofahrer auf freie Parkplätze zu lotsen, lassen sich die Bosch-Sensoren sinnvoll einsetzen.

Parksensor von Bosch ausprobiert Video aufrufen
Echo Dot mit Uhr und Nest Mini im Test: Amazon hängt Google ab
Echo Dot mit Uhr und Nest Mini im Test
Amazon hängt Google ab

Amazon und Google haben ihre kompakten smarten Lautsprecher überarbeitet. Wir haben den Nest Mini mit dem neuen Echo Dot mit Uhr verglichen. Google hat es sichtlich schwer, konkurrenzfähig zu Amazon zu bleiben.
Ein Test von Ingo Pakalski

  1. Digitale Assistenten Amazon verkauft dreimal mehr smarte Lautsprecher als Google
  2. Googles Hardware-Chef Osterloh weist Besuch auf smarte Lautsprecher hin
  3. Telekom Smart Speaker im Test Der smarte Lautsprecher, der mit zwei Zungen spricht

Netzwerke: Warum 5G nicht das bessere Wi-Fi ist
Netzwerke
Warum 5G nicht das bessere Wi-Fi ist

5G ist mit großen Marketing-Versprechungen verbunden. Doch tatsächlich wird hier mit immensem technischem und finanziellem Aufwand überwiegend das umgesetzt, was Wi-Fi bereits kann - ohne dessen Probleme zu lösen.
Eine Analyse von Elektra Wagenrad

  1. Rechenzentren 5G lässt Energiebedarf stark ansteigen
  2. Hamburg Telekom startet 5G in weiterer Großstadt
  3. Campusnetze Bisher nur sechs Anträge auf firmeneigenes 5G-Netz

Arbeitsklima: Schlangengrube Razer
Arbeitsklima
Schlangengrube Razer

Der Gaming-Zubehörspezialist Razer pflegt ein besonders cooles Image - aber Firmengründer und Chef Tan Min-Liang soll ein von Sexismus und Rassismus geprägtes Arbeitsklima geschaffen haben. Nach Informationen von Golem.de werden Frauen auch in Europa systematisch benachteiligt.
Ein Bericht von Peter Steinlechner

  1. Razer Blade Stealth 13 im Test Sieg auf ganzer Linie
  2. Naga Left-Handed Edition Razer will seine Linkshändermaus wieder anbieten
  3. Junglecat Razer-Controller macht das Smartphone zur Switch

    •  /