Sicherheitslücke steckt in einer Bibliothek von Rambus

In Datensätzen von internetweiten Scans, die von der Firma Rapid7 bereitgestellt wurden, fanden sich einige selbstsignierte Zertifikate mit solchen schwachen Schlüsseln, die zu Druckern aus der Serie Apeos der Firma Fujifilm gehörten.

Stellenmarkt
  1. Senior Business Analyst*
    IKOR GmbH, deutschlandweit, remote
  2. Microsoft Office 365 & Power Platform Developer (m/w)
    Marc Cain GmbH, Bodelshausen
Detailsuche

Außerdem fanden sich einige von Zertifizierungsstellen ausgestellte Zertifikate mit schwachen Schlüsseln in den Daten der Certificate-Transparency-Logs. Die Schlüssel darin wurden zumindest teilweise von Druckern der Firma Canon erzeugt. In beiden Fällen bedeutet das: Die privaten Schlüssel lassen sich trivial innerhalb von Millisekunden berechnen.

Sowohl die Drucker von Canon als auch die von Fujifilm nutzten eine Bibliothek der Firma Rambus zur Schlüsselerzeugung. Die Sicherheitslücke in der Rambus-Bibliothek hat die Kennung CVE-2022-26320 erhalten.

Wie kommt es zu solchen schwachen Schlüsseln? Der Code der Firmware ist in beiden Fällen proprietär, doch man kann sich einen RSA-Schlüsselerzeugungsalgorithmus vorstellen, der eine Primzahl zufällig erzeugt und anschließend die darauf folgende Primzahl sucht. Man endet dann mit zwei Primzahlen, die sehr nah beieinander liegen. Tatsächlich war es bei allen gefundenen Schlüsseln in TLS-Zertifikaten so, dass die Primzahlen der Schlüssel solche Nachbarprimzahlen waren.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe
Golem Akademie
  1. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    09./10.06.2022, virtuell
  2. Einführung in Unity: virtueller Ein-Tages-Workshop
    21.06.2022, Virtuell
Weitere IT-Trainings

Alle gefundenen TLS-Zertifikate waren relativ jungen Datums, sie wurden alle in den Jahren 2020 und 2021 erzeugt. In anderen Datensätzen mit öffentlichen RSA-Schlüsseln fanden sich keine oder nur wenige verwundbare Schlüssel.

Keine verwundbaren SSH-Schlüssel gefunden

Mehrere Datensätze mit SSH-Schlüsseln enthielten überhaupt keine verwundbaren Schlüssel. Auf den PGP-Keyservern fanden sich insgesamt vier verwundbare Schlüssel, diese enthielten aber alle Nutzerkennungen, die implizierten, dass es sich um Testschlüssel handelt.

Im Vergleich zu anderen kryptographischen Schwachstellen handelt es sich hier um eine vergleichsweise selten auftretende Sicherheitslücke. Nur wenige Geräte, die eine proprietäre kryptographische Bibliothek verwendet haben, sind verwundbar. Trotzdem zeigt es wohl eins: Es lohnt sich, nach alten, bekannten Schwachstellen zu suchen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Sicherheitslücke in Druckern: Über 300 Jahre alter Algorithmus knackt RSA-Keys
  1.  
  2. 1
  3. 2


minnime 05. Apr 2022 / Themenstart

Selbst der Internetexplorer kann das darstellen, nicht das Excapte aber das MathML als...

bigpanda 18. Mär 2022 / Themenstart

Einfach Mal schauen welche Texte Hanno Böck sonst so verfasst hat. Für mich ist der Name...

Kommentieren



Aktuell auf der Startseite von Golem.de
Sicherheitslücke
Die Schadsoftware, die auf ausgeschalteten iPhones aktiv ist

Forschern ist es gelungen, eine Schadsoftware auf ausgeschalteten iPhones mit vermeintlich leerem Akku auszuführen. Denn ganz aus sind diese nicht.

Sicherheitslücke: Die Schadsoftware, die auf ausgeschalteten iPhones aktiv ist
Artikel
  1. Umweltschutz: Leipziger Forscher entdecken Enzym für Plastikrecycling
    Umweltschutz
    Leipziger Forscher entdecken Enzym für Plastikrecycling

    Ein neu entdecktes Enzym soll das biologische Recycling von Kunststoff deutlich beschleunigen.

  2. Bundeswehr: Das Heer will sich nicht abhören lassen
    Bundeswehr
    Das Heer will sich nicht abhören lassen

    Um sicher zu kommunizieren, halten die Landstreitkräfte in NATO-Missionen angeblich ihre Panzer an und verabreden sich "von Turm zu Turm".
    Ein Bericht von Matthias Monroy

  3. Beschäftigte: Microsoft wird Prämien und Aktienoptionen stark erhöhen
    Beschäftigte
    Microsoft wird Prämien und Aktienoptionen stark erhöhen

    Microsoft muss, um seine Experten zu halten, deutlich mehr für Prämien und Aktienoptionen ausgeben. Meta hatte einigen das doppelte Gehalt geboten.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 400€ Rabatt auf Gaming-Stühle • AOC G3 Gaming-Monitor 34" UWQHD 165 Hz günstig wie nie: 404€ • Xbox Series X bestellbar • MindStar (u.a. Gigabyte RTX 3090 24GB 1.699€) • LG OLED TV (2021) 65" 120 Hz 1.499€ statt 2.799€ [Werbung]
    •  /