Kompressionsangriffe gegen TLS

Eine etwas anders gelagerte Klasse von Sicherheitslücke, bei der sich jedoch ähnliche Phänomene beobachten lassen, finden sich in der Internet-Verschlüsselung TLS im Zusammenhang mit Kompression.

Stellenmarkt
  1. Defence Spezialist (m/w/d) Informationssicherheit
    Landwirtschaftliche Rentenbank, Frankfurt am Main
  2. Software Test Engineer Buchhaltungssoftware (m/w/d)
    Haufe Group, Freiburg im Breisgau
Detailsuche

Aus Performancegründen werden Daten bei der Übertragung sehr häufig komprimiert. Bei verschlüsselten Daten müssen diese vor der Verschlüsselung komprimiert werden, denn andernfalls würde es wenig Sinn machen: Verschlüsselte Daten sind ohne den entsprechenden Schlüssel Pseudo-Zufallswerte und lassen sich nicht komprimieren.

Doch die Kompression kann dazu führen, dass Informationen über die verschlüsselten Daten preisgegeben werden. Die grundlegende Idee dabei ist relativ simpel: Ein Angreifer hat in vielen Fällen die Möglichkeit, Teile einer Datenverbindung zu kontrollieren, während er an einem anderen Teil interessiert ist. Bei HTTPS-Verbindungen treten solche Situationen häufig auf. Somit kann ein Angreifer an einer Stelle Teile des Geheimnisses raten; und wenn die komprimierten Daten kleiner sind, liegt er vermutlich richtig. Somit kann man Schritt für Schritt die geheimen Daten extrahieren.

Die grundlegende Idee von Kompressionsangriffen wurde bereits im Jahr 2000 von John Kelsey erläutert. Adam Langley spekulierte 2011, wie ein solcher Angriff zur Entschlüsselung von HTTPS-Cookies eingesetzt werden könnte. 2012 präsentierten dann Juliano Rizzo und Thai Duong den CRIME-Angriff, in dem sie das praktisch zeigten.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    5.-6. Juli 2021, online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Der Crime-Angriff nutzt die Kompression von TLS, was letztendlich dazu führte, dass diese aus TLS entfernt wurde, da sie sowieso kaum genutzt wurde. Die jüngste TLS-Version 1.3 enthält keine Kompression mehr.

Doch die TLS-Kompression war überhaupt nicht nötig, um diesen Angriff durchzuführen, denn viele Protokolle bringen eigene Kompressionsverfahren mit. 2013 wurde mit dem Breach-Angriff gezeigt, wie sich ein solcher Angriff mittels HTTP-Kompression durchführen lässt. Dieser Angriff wurde immer weiter verbessert, weitere Varianten wurden unter den Namen TIME und Heist veröffentlicht. Diese funktionierten sogar ohne einen Man-in-the-Middle-Angriff, die Datengröße wird mittels Javascript und Timing-Angriffen herausgefunden.

Einen wirklich zufriedenstellenden Fix gibt es für das Problem bisher nicht. Man kann mit einzelnen Maßnahmen, etwa durch die Verwendung von sogenannten Same-Site-Cookies bestimmte Angriffsszenarien verhindern. Ein genereller Schutz ist das aber nicht.

Bei der Kompression von Headern in HTTP2 hat man mit HPACK versucht, eine Kompression zu nutzen, die nicht für derartige Angriffe anfällig ist. Doch HPACK ist nicht perfekt und das Verfahren ist auf andere Daten nicht einfach übertragbar.

Wirklich beheben könnte man das Problem nur, wenn man die Kompression von geheimen und nicht geheimen Daten separiert und beispielsweise geheime Tokens von der Kompression ausschließt. Das ist aber extrem komplex und bisher beispielsweise in HTTP nicht vorgesehen.

Kompression abschalten? Dafür funktioniert sie zu gut!

Natürlich gäbe es auch hier eine Radikallösung: die Kompression komplett abzustellen. Doch das möchte kaum jemand machen. Der HTML-Code von Webseiten lässt sich extrem gut komprimieren und bei Webseitenaufrufen sind selbst kleine Performancegewinne spürbar. Und auch hier gilt: Berichte darüber, dass die Kompressionsangriffe praktisch ausgenutzt wurden, gibt es bisher nicht.

Die Beispiele hier zeigen, dass es Situationen gibt, in denen sich bestimmte Sicherheitslücken nicht zufriedenstellend beheben lassen oder nur zu Kosten, die kaum jemand bereit ist zu zahlen. Das ist einerseits beunruhigend, hat aber andererseits ganz offensichtlich bisher keine größeren Auswirkungen. Zumindest Massenangriffe gibt es bisher weder mittels spekulativer Codeausführung noch mittels Timing-Angriffen auf verschlüsselte Datenströme. Unklar bleibt natürlich, ob es Angriffe gab, die nicht öffentlich bekannt wurden.

Mittelfristig wird sich zeigen, ob es Angreifern gelingt, Angriffe wie Spectre so weit praktikabel zu machen, dass sie im größerem Umfang zum Problem werden - und ob irgendwann Prozessoren ohne spekulative Codeausführung zum Verkaufsschlager werden. Bisher sieht es aber nicht danach aus.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Vermutlich wurde bisher niemand durch Spectre gehackt
  1.  
  2. 1
  3. 2
  4. 3


Aktuell auf der Startseite von Golem.de
Seasonic Syncro Q704 im Test
Die innovative Netzteil-Gehäuse-Einheit

Mit dem Syncro Q704 hat Seasonic ein Gehäuse samt Netzteil entwickelt, das die Verkabelung der Hardware einzigartig clever löst.
Ein Test von Marc Sauter

Seasonic Syncro Q704 im Test: Die innovative Netzteil-Gehäuse-Einheit
Artikel
  1. Werbung: Mozilla testet erneut gesponserte Inhalte in Firefox
    Werbung
    Mozilla testet erneut gesponserte Inhalte in Firefox

    Firefox-Nutzer sehen in der Neue-Tab-Ansicht offenbar gesponserte Inhalte. Ähnliche Pläne dazu verfolgt Mozilla bereits seit Jahren.

  2. Prime Day 2021 bei Amazon - das sind die Highlights
     
    Prime Day 2021 bei Amazon - das sind die Highlights

    Lange haben wir gewartet, jetzt ist es so weit: Der Prime Day 2021 ist gestartet und bietet millionenfache Angebote aus allen Kategorien.
    Ausgewählte Angebote des E-Commerce-Teams

  3. Oliver Zipse: BMW sieht Kohlestrom-E-Auto im Nachteil gegenüber Diesel
    Oliver Zipse
    BMW sieht Kohlestrom-E-Auto im Nachteil gegenüber Diesel

    BMW-Chef Zipse schätzt die Umweltfreundlichkeit des E-Autos nicht unbedingt höher ein als die eines Diesels. Verbrenner wollen BMW und Mercedes verkaufen, solange es Kunden gibt.

JoBaer 11. Mär 2019

Ja, sind Sie. Und Adware nutzt sie aus. Und weknow.ac weiß wie ... https://macsecurity...

sneaker 16. Jan 2019

Wenn ich anfangen soll, alle Daten erst zu kategorisieren, spare ich mir genau welche...

a user 16. Jan 2019

Sie werden so weit bekannt von "normalen Verbrechern" nicht genutzt, da der Aufwand ihre...

Quantium40 15. Jan 2019

Sobald sich ohne entsprechende Rechte mit einer Lücke beliebige Daten im Speicher ändern...

Bandi 15. Jan 2019

Nur mal zur Semantik: "Um ein vielfaches langsamer, und der Prozessor läuft rückwärts...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Amazon Prime Day jetzt gestartet • Switch Lite 174,99€ • SSDs (u. a. Crucial MX500 1TB 75,04€) • Gaming-Monitore • Amazon-Geräte (u. a. Fire TV Stick 4K Ultra HD 28,99€) • Bosch Werkzeug • Apple-Produkte (u. a. iPhone 12 128GB 769€) • Fernseher von Samsung, Sony & LG [Werbung]
    •  /