SSH: Sechs Jahre alter Bug bedroht Github-Repositories

Ein Debian-Bug aus dem Jahr 2008 hinterlässt immer noch Spuren. Eine Analyse der öffentlichen SSH-Schlüssel bei Github zeigt: Mittels angreifbarer Schlüssel hätten Angreifer die Repositories von Projekten wie Python und Firmen wie Spotify oder Yandex manipulieren können.

Artikel veröffentlicht am , Hanno Böck
SSH-Keys in Github - eigentlich eine sinnvolle Sache, aber die Keys sollten auch sicher sein.
SSH-Keys in Github - eigentlich eine sinnvolle Sache, aber die Keys sollten auch sicher sein. (Bild: Screenshot)

Der Programmierer Ben Cox hat die öffentlich abrufbaren SSH-Schlüssel von Github-Nutzern analysiert und dabei Erschreckendes festgestellt: Eine ganze Reihe von Schlüsseln wurde offenbar mit alten Debian-Systemen erstellt, womit ein Brechen des Schlüssels trivial ist. Auch fanden sich einige Keys mit viel zu kurzen Schlüssellängen, beispielsweise RSA-Keys mit 256 Bit.

SSH-Schlüssel bei Github öffentlich abrufbar

Stellenmarkt
  1. Service Owner Digital Platform (m/w/d)
    itsc GmbH, Hannover
  2. Go-to-Market Experte "New Work Produkte" (m/w/d)
    Haufe Group, Freiburg im Breisgau, Sankt Gallen (Home-Office möglich)
Detailsuche

Github erlaubt es Nutzern, Änderungen in ihren Repositories mittels SSH-Schlüsseln zu autorisieren. Eigentlich ist das eine sinnvolle Sache, die Authentifizierung mittels Public-Key-Kryptographie gilt als deutlich sicherer als Passwörter. Diese Schlüssel lassen sich trivial von Dritten auslesen. Dafür muss man lediglich eine Datei mit dem Benutzernamen und der Endung .keys von Github herunterladen. Der Key des Artikelautors ist beispielsweise unter https://github.com/hannob.keys abrufbar. Auch die Liste der Github-Nutzer ist nicht geheim, sie lässt sich über die Github-API abrufen, ein Rate Limit verhindert allerdings, dass man trivial alle Nutzernamen herunterlädt.

Somit war es Ben Cox möglich, eine Datenbank mit allen öffentlichen SSH-Schlüsseln zu erstellen. Bei einem Blick auf die Schlüssellängen der RSA-Keys fielen neun besonders problematische Keys auf. Zwei davon hatten lediglich eine Schlüssellänge von 256 Bits. Ein solcher Key lässt sich innerhalb von Minuten knacken und derartig kurze Schlüssel galten auch in der Vergangenheit nie als sicher. 512-Bit-Keys lassen sich ebenfalls brechen. Mit modernen PCs lässt sich ein solcher Angriff innerhalb von Tagen oder bei schneller Hardware innerhalb von Stunden durchführen. Sicher gelten aus heutiger Sicht RSA-Keys mit 2048 Bit oder mehr.

Debian-Bug aus dem Jahr 2008

Doch noch kritischer als diese kurzen Schlüssel dürfte sein, dass viele Nutzer offenbar noch Keys nutzen, die von einem katastrophalen Debian-Bug betroffen sind. Im Jahr 2008 wurde der Bug im OpenSSL-Paket von Debian gefunden, der dazu führte, dass der Zufallszahlengenerator von OpenSSL nicht mehr funktionierte. OpenSSH nutzt die Crypto-Bibliothek von OpenSSL zur Schlüsselerstellung, damit waren SSH-Keys ebenfalls betroffen. Das Problem: Diese verwundbaren Debian-Versionen erstellen lediglich einige Tausend verschiedene Keys. Ein Angreifer kann diese Keys somit vorberechnen und öffentliche Schlüssel damit vergleichen.

Golem Akademie
  1. Docker & Containers - From Zero to Hero
    5.-7. Oktober 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Cox fand bei Github verwundbare Debian-Keys, mit denen er sich Zugriff zu einer ganzen Reihe von prominenten Repositories hätte verschaffen können. Darunter waren beispielsweise das Repository von Python, der Python-Webentwicklungsumgebung Django und von einigen großen Firmen wie Spotify, Yandex und Couchbase. Hinweise darauf, dass Angreifer dieses Problem bereits ausgenutzt haben, gibt es bislang nicht.

2009 prüfte Github noch auf verwundbare Debian-Keys

Github wurde vorab über das Problem informiert und Anfang Mai wurden alle problematischen Schlüssel aus den Nutzeraccounts entfernt. In einem Blogeintrag aus dem Jahr 2009 schreibt Github, dass man Keys, die von dem Debian-Bug betroffen sind, blacklistet. Offenbar wurde diese Funktion jedoch mit der Zeit wieder entfernt. Ein Fehler, wie sich nun herausstellte. Auch Debian schien im Lauf der Jahre bereits zu dem Schluss gekommen zu sein, dass diese Keys kein Problem mehr darstellen: Das OpenSSH-Paket älterer Debian-Versionen enthielt ein Tool namens ssh-vulnkey, mit dem man Schlüssel prüfen konnte, in der aktuellen Stable-Version Jessie wird dieses Tool jedoch nicht mehr mitgeliefert.

Nutzer, die ihre eigenen SSH-Schlüssel prüfen möchten, können dafür nach wie vor ein Perl-Skript von Debian nutzen, das damals veröffentlicht wurde. Allerdings prüft dieses Skript nicht alle Schlüssellängen und die Prüfung der Hosts-Dateien funktioniert nicht mehr zuverlässig, da das Skript das Format moderner OpenSSH-Versionen nicht parsen kann. Ausführliche Informationen zum damaligen Bug finden sich auch im Wiki von Debian, eine Sammlung verwundbarer Keys findet man auf Github. Die Keys von HTTPS-Servern lassen sich mit dem SSL-Test der Firma Qualys prüfen.

Analyse mittels Batch-GCD-Algorithmus

Unabhängig von Cox hat die Firma Cryptosense ebenfalls eine Analyse der Github-SSH-Keys durchgeführt und dafür einen sogenannten Batch-GCD-Algorithmus verwendet. Der Hintergrund: Öffentliche SSH-Schlüssel enthalten einen sogenannten Modulus, der das Produkt zweier großer Primzahlen ist. Wer diese beiden Primzahlen kennt, kann daraus den privaten Schlüssel berechnen. In der Vergangenheit wurden bereits häufiger Schlüssel entdeckt, die sich faktorisieren ließen, weil zwei Schlüssel einen gemeinsamen Faktor enthielten. Dann lässt sich mittels des Euklidschen Algorithmus der größte gemeinsame Teiler (auf Englisch Greatest Common Divisor, GCD) trivial und schnell finden.

Cryptosense fand eine Reihe von Schlüsseln, die sehr kleine Primfaktoren hatten. Der Grund dafür ist unklar. Normalerweise dürften solche kleinen Primfaktoren nicht vorkommen, offenbar wurden diese Schlüssel mit fehlerhaften SSH-Implementierungen erstellt. Viele dieser Keys konnte Cryptosense ebenfalls vollständig brechen und hätte damit Zugriff auf die entsprechenden Github-Repositories.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Star Trek
Playmobil bringt 1 Meter langes Enterprise-Spielset

Star Treks klassische Enterprise NCC-1701 kommt mit den Hauptcharakteren, Phasern und Tribbles sowie einem Standfuß und einer Deckenhalterung.

Star Trek: Playmobil bringt 1 Meter langes Enterprise-Spielset
Artikel
  1. Materialforschung: Leichtes Schallschutzmaterial für leisere Luftfahrt
    Materialforschung
    Leichtes Schallschutzmaterial für leisere Luftfahrt

    Das Material wiegt nicht einmal ein Zehntel so viel wie heute eingesetzter Schaum zur Schalldämmung. Einsatzmöglichkeiten sehen die Erfinder vor allem in der Luftfahrt.

  2. Akkutechnik und E-Mobilität: Natrium-Ionen-Akkus werden echte Lithium-Alternative
    Akkutechnik und E-Mobilität
    Natrium-Ionen-Akkus werden echte Lithium-Alternative

    Faradion und der Tesla-Zulieferer CATL produzieren erste Natrium-Ionen-Akkus mit der Energiedichte von LFP. Sie sind kälteresistenter, sicherer und lithiumfrei.
    Von Frank Wunderlich-Pfeiffer

  3. World of Warcraft, Pokémon, Bitcoin: Moba Pokémon Unite startet schon bald
    World of Warcraft, Pokémon, Bitcoin
    Moba Pokémon Unite startet schon bald

    Sonst noch was? Was am 18. Juni 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

der-dicky 03. Jun 2015

Da das war aber 2008 und nicht nach 2011...


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Orange Week bei Cyberport: bis zu 70% Rabatt (u. a. WD Black SN750 1TB 109,90€) • Prime-Filme leihen für je 0,99€ • Weekend Deals (u. a. Seagate Expansion+ 4TB 89,90€) • 10% auf Gaming bei Ebay (u. a. AMD Ryzen 7 5800X 350,91€) • Apple Weekend bei MediaMarkt [Werbung]
    •  /