Abo
  • Services:

Schlüsselaustausch: Eine Backdoor für Diffie Hellman

Der Diffie-Hellman-Schlüsselaustausch ist sicher - wenn die Parameter korrekt gewählt sind. Doch was passiert, wenn es einem Angreifer gelingt, fehlerhafte Parameter einzuschleusen? David Wong ist es gelungen, damit eine sogenannte Nobus-Hintertür zu erzeugen.

Artikel veröffentlicht am , Hanno Böck
Eine Hintertür im Diffie-Hellman-Schlüsselaustausch ist theoretisch denkbar.
Eine Hintertür im Diffie-Hellman-Schlüsselaustausch ist theoretisch denkbar. (Bild: Mattes/Wikimedia Commons/CC-BY 2.0)

Im Februar 2016 meldete der Entwickler des Tools Socat eine Sicherheitslücke: Die Parameter für den Diffie-Hellman-Schlüsselaustausch seien fehlerhaft. Der sogenannte Modulus, der bei Diffie Hellman eine Primzahl sein muss, war nicht prim.

Woher kamen die Socat-Parameter?

Stellenmarkt
  1. Bosch Gruppe, Wernau (Neckar)
  2. Bosch Gruppe, Reutlingen

Die Hintergründe dieses Bugs in Socat blieben unklar. Eingeführt wurden die Parameter durch einen Patch einer Person, die anschließend nicht mehr erreichbar war. Der Maintainer von Socat akzeptierte den Patch offenbar, ohne dessen Herkunft zu prüfen.

David Wong von der Firma NCC fragte sich, ob ein derartig manipulierter Diffie-Hellman-Parameter Teil eines Angriffs sein könnte. Ähnliche Angriffe gab es bereits, am bekanntesten ist wohl der Zufallszahlengenerator Dual EC DRBG, der wahrscheinlich von der NSA mit einer Hintertür ausgestattet wurde. Auf der Def Con präsentierte Wong seine Ergebnisse beim Crypto and Privacy Village.

Wong wollte erreichen, dass seine Diffie-Hellman-Parameter eine sogenannte Nobody-but-us-Backdoor (Nobus) erzeugen. Das bedeutet, dass die Verschlüsselung nicht von jedem gebrochen werden kann. Nur derjenige, der die Parameter erstellt hat, soll mittels eines Geheimnisses in der Lage sein, die Verschlüsselung anzugreifen.

Es gibt fehlerhafte Implementierungen von Diffie Hellman, die generell angreifbar sind. So gab es beispielsweise im Januar ein OpenSSL-Update, das eine mögliche Lücke schloss, wenn Ephemeral-Keys wiederverwendet werden und gleichzeitig keine sogenannten sicheren Primzahlen zum Einsatz kommen. Doch dabei handelte es sich nicht um eine Nobus-Lücke. Jeder, der diesen Angriff kennt, kann ihn durchführen.

Angriff mit kleinen Untergruppen

Eine Angriffsmöglichkeit auf Diffie Hellman sind sogenannte kleine Untergruppen (small subgroups). Um herauszufinden, ob solche Untergruppen existieren und damit ein Diffie-Hellman-Schlüsselaustausch angreifbar ist, benötigt ein Angreifer die Zahl der möglichen Schlüssel in einer Gruppe. Bei Primzahlen als Modulus ist dieser Wert trivial berechenbar. Handelt es sich bei dem Modulus jedoch um eine zusammengesetzte Zahl, muss der Angreifer die Faktorisierung des Modulus kennen, um den Wert zu berechnen.

Dort setzte Wong an: Kommt als Modulus eine Zahl zum Einsatz, die das Produkt von zwei großen Primzahlen ist, kann nur derjenige, der diese Primzahlen kennt, den Angriff durchführen. Die Backdoor hat damit Ähnlichkeit mit dem RSA-Algorithmus, denn sie basiert auf dem Problem, große Zahlen zu faktorisieren.

Ob es sich bei dem Socat-Fehler um eine solche Hintertür handelt, ist unklar. Es könnte schlicht ein Parameter sein, der mit einer fehlerhaften Software erzeugt wurde. Der fehlerhafte Parameter hat einige kleine Primfaktoren, eine vollständige Faktorisierung ist jedoch nicht trivial möglich.

Wichtig zu verstehen ist, dass es sich hierbei um keine Schwäche im Diffie-Hellman-Protokoll selbst handelt. Lediglich in Kombination mit Parametern, die durch einen Angreifer gewählt wurden, ist der Algorithmus angreifbar.

Primzahlen prüfen könnte helfen

Um diesen speziellen Angriff zu verhindern, kann man prüfen, ob es sich bei den Diffie-Hellman-Gruppenparametern um eine Primzahl handelt. Ob das praktikabel ist, hängt von der Situation ab. TLS-Implementierungen prüfen dies üblicherweise nicht, da ein Primzahltest rechenaufwendig ist und einige Zehntelsekunden dauern kann. Die voreingestellten Parameter von bekannten Softwareprodukten zu prüfen, ist jedoch kein Problem.

Wong hat ein Hintergrunddokument zu seinem Angriff im Cryptology ePrint Archive veröffentlicht. Beispielcode, um eine solche Hintertür zu erzeugen, findet man auf Github.



Anzeige
Top-Angebote
  1. (u. a. Corsair STRAFE RGB für 109,90€ + Versand statt ca. 160€ im Vergleich und Corsair STRAFE...
  2. (u. a. Steel HR Hybrid Smartwatch mit Herzfrequenz- und Aktivitätsmessung für 124,99€ statt 149...
  3. (u. a. Rise of the Tomb Raider - 20 Year Celebration Edition für 12,49€ und The Elder Scrolls V...
  4. (u. a. The Crew 2 für 29,99€)

crypt0 08. Aug 2016

Für einen voreingestellten DH Modulus werden NUR starke/sichere Primzahlen verwendet (für...


Folgen Sie uns
       


Forza Horizon 4 - Golem.de Live (Teil 1)

Michael zeigt alle Jahreszeiten und Spielmodi in Forza Horizon 4.

Forza Horizon 4 - Golem.de Live (Teil 1) Video aufrufen
NGT Cargo: Der Güterzug der Zukunft fährt 400 km/h
NGT Cargo
Der Güterzug der Zukunft fährt 400 km/h

Güterzüge sind lange, laute Gebilde, die langsam durch die Lande zuckeln. Das soll sich ändern: Das DLR hat ein Konzept für einen automatisiert fahrenden Hochgeschwindigkeitsgüterzug entwickelt, der schneller ist als der schnellste ICE.
Ein Bericht von Werner Pluta


    15 Jahre Extreme Edition: Als Intel noch AMD zuvorkommen musste
    15 Jahre Extreme Edition
    Als Intel noch AMD zuvorkommen musste

    Seit 2003 verkauft Intel seine CPU-Topmodelle für Spieler und Enthusiasten als Extreme Edition. Wir blicken zurück auf 15 Jahre voller zweckentfremdeter Xeon-Chips, Mainboards mit Totenschädeln und extremer Prozessoren, die mit Phasenkühlung demonstriert wurden.
    Von Marc Sauter

    1. Quartalszahlen Intel legt 19-Milliarden-USD-Rekord vor
    2. Ryan Shrout US-Journalist wird Chief Performance Strategist bei Intel
    3. Iris GPU Intel baut neuen und schnelleren Grafiktreiber unter Linux

    Dell Ultrasharp 49 im Test: Pervers und luxuriös
    Dell Ultrasharp 49 im Test
    Pervers und luxuriös

    Dell bringt mit dem Ultrasharp 49 zwei QHD-Monitore in einem, quasi einen Doppelmonitor. Es könnte sein, dass wir uns im Test ein kleines bisschen in ihn verliebt haben.
    Ein Test von Michael Wieczorek

    1. Magicscroll Mobiles Gerät hat rollbares Display zum Herausziehen
    2. CJG50 Samsungs 32-Zoll-Gaming-Monitor kostet 430 Euro
    3. Agon AG322QC4 Aggressiv aussehender 31,5-Zoll-Monitor kommt für 600 Euro

      •  /