Abo
  • Services:
Anzeige
Dan J. Bernstein
Dan J. Bernstein (Bild: Alexander Klink / Wikipedia (CC BY 3.0))

SSL/TLS: Schwächen in RC4 ausnutzbar

Dan J. Bernstein
Dan J. Bernstein (Bild: Alexander Klink / Wikipedia (CC BY 3.0))

Ein Team um den Kryptografen Dan Bernstein präsentiert neue Sicherheitsprobleme in der von TLS genutzten RC4-Stromverschlüsselung. Praktisch umsetzbar ist der Angriff nur in seltenen Fällen, die Autoren rechnen aber damit, dass er künftig noch verbessert wird.

Seit gestern macht eine Präsentation des Kryptografen Dan J. Bernstein Furore. Was Bernstein berichtet, hat Sprengkraft: Auf der aktuell stattfindenden Konferenz Fast Software Encryption in Singapur stellt der Professor der University of Illinois einen Angriff gegen die RC4-Verschlüsselung in TLS vor.

Anzeige

TLS (oft noch unter dem alten Namen SSL bekannt) ist das mit Abstand am häufigsten genutzte Verschlüsselungsprotokoll im Internet. Jedes Mal, wenn eine Webseite über https aufgerufen wird, kommt TLS zum Einsatz. Zuletzt geriet das Protokoll stark unter Beschuss.

RC4: Schnell, aber nicht besonders sicher

Dass RC4 kein besonders sicheres Verschlüsselungsverfahren ist, ist schon länger bekannt. Es handelt sich dabei um eine sogenannte Stromverschlüsselung, die ursprünglich vom Kryptografen Ron Rivest entwickelt wurde. Rivest hatte eigentlich keine Veröffentlichung von RC4 geplant, aber 1994 wurde der Quellcode der RC4-Verschlüsselung auf einer Mailingliste anonym veröffentlicht. RC4 erfreute sich schnell großer Beliebtheit, denn es ist relativ simpel zu implementieren und arbeitet sehr schnell.

Bei einer Stromverschlüsselung wird durch einen Pseudozufallszahlengenerator ein Schlüsselstrom erzeugt, der mit dem zu verschlüsselnden Text per XOR verknüpft wird. Das Problem von RC4: Der Zufallsstrom ist nicht immer zufällig. Schnell fanden Kryptografen heraus, dass an bestimmten Stellen im Schlüsselstrom bestimmte Bits mit einer höheren Wahrscheinlichkeit auftauchen.

Genau diese Schwäche nutzt nun der neue Angriff aus. Notwendig für den Angriff ist eine große Zahl von Datenblöcken, die mit denselben Daten anfangen. Das ist beispielsweise bei HTTPS-Verbindungen oft der Fall. Die Autoren sprechen von 2 hoch 30 Datenverbindungen, was mehrere GByte an Daten bedeuten würde. Aber bereits bei 2 hoch 24 Verbindungen könne man Rückschlüsse auf bestimmte Bytes im Datenstrom ziehen. Für einen Angriff auf Webapplikationen ist das unter Umständen bereits genug. Details des Angriffs wollen die Autoren in Kürze in einem Paper veröffentlichen.

Wie praktikabel ein solcher Angriff in realen Szenarien ist, wird sich also erst noch zeigen, aber die Autoren warnen schon jetzt, dass sie auf jeden Fall damit rechnen, dass weitere Forschung die Angriffe noch deutlich verbessern wird.

Auch CBC hat Schwächen

TLS unterstützte eine ganze Reihe unterschiedlicher Verschlüsselungsalgorithmen. RC4 ist das einzige unterstütze Stromverschlüsselungsverfahren, alle anderen Verfahren wie AES, Triple-DES oder Camellia sind sogenannte Blockverschlüsselungen. In der bis heute meistens eingesetzten TLS-Version 1.0 und auch beim Nachfolger TLS 1.1 nutzen alle Blockchiffreverfahren den sogenannte Cipher Block Chaining-Modus (CBC). Die Angriffe BEAST und Lucky Thirteen nutzten Schwächen in CBC beziehungsweise in der Art, wie CBC innerhalb von TLS genutzt wird, aus.

Besonders problematisch ist die Tatsache, dass in TLS CBC in Kombination mit der sogenannten HMAC-Authentifizierung und die Authentifizierung nach der Verschlüsselung eingesetzt wird. Bei früheren TLS-Implementierungen konnte ein Angreifer aufgrund der Fehlermeldung herausfinden, ob die Dekodierung eines Blocks bei der Überprüfung der HMAC-Authentifizerung oder der Datenentschlüsselung scheiterte. Mit Hilfe gezielt eingestreuter fehlerhafter Datenblöcke konnte so ein Angreifer Rückschlüsse auf den Schlüssel ziehen. Später wurde diese Fehlermeldung vereinheitlicht, doch aufgrund der Antwortzeit des Servers war es immer noch möglich, Rückschlüsse zu ziehen. Das war die Grundlage der Lucky-Thirteen-Attacke.

RC4 und CBC mit Problemen, der Ausweg heißt TLS 1.2 

eye home zur Startseite
SvenMeyer 10. Aug 2013

https://bugzilla.mozilla.org/show_bug.cgi?id=480514 ...auch sich kurz bei bugzilla zu...

bargdenes 14. Mär 2013

Solange sie im Vollbit Modus genutz wird, ist sie unknackbar...



Anzeige

Stellenmarkt
  1. Dürr Systems AG, Bietigheim-Bissingen
  2. Bundeskriminalamt, Wiesbaden
  3. Worldline GmbH, Aachen
  4. Dataport, Altenholz / Kiel


Anzeige
Hardware-Angebote
  1. auf Kameras und Objektive
  2. (reduzierte Überstände, Restposten & Co.)
  3. täglich neue Deals

Folgen Sie uns
       


  1. Mobile-Games-Auslese

    Weltraumkartoffel und Bilderbuchwanderung für mobile Spieler

  2. Experten fordern Grenzen

    Smartphones können Kinder krank machen

  3. Wifi4EU

    EU will kostenlose WLAN-Hotspots fördern

  4. In eigener Sache

    Studentenrabatt für die große Quantenkonferenz von Golem.de

  5. Obsoleszenz

    Apple repariert zahlreiche Macbooks ab Mitte 2017 nicht mehr

  6. Komplett-PC

    In Nvidias Battleboxen steckt AMDs Ryzen

  7. Internet

    Cloudflare macht IPv6 parallel zu IPv4 jetzt zur Pflicht

  8. Square Enix

    Neustart für das Final Fantasy 7 Remake

  9. Agesa 1006

    Ryzen unterstützt DDR4-4000

  10. Telekom Austria

    Nokia erreicht 850 MBit/s im LTE-Netz



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sphero Lightning McQueen: Erst macht es Brummbrumm, dann verdreht es die Augen
Sphero Lightning McQueen
Erst macht es Brummbrumm, dann verdreht es die Augen

Quantencomputer: Nano-Kühlung für Qubits
Quantencomputer
Nano-Kühlung für Qubits
  1. IBM Q Mehr Qubits von IBM
  2. Quantencomputer Was sind diese Qubits?
  3. Verschlüsselung Kryptographie im Quantenzeitalter

XPS 13 (9365) im Test: Dells Convertible zeigt alte Stärken und neue Schwächen
XPS 13 (9365) im Test
Dells Convertible zeigt alte Stärken und neue Schwächen
  1. Prozessor Intel wird Thunderbolt 3 in CPUs integrieren
  2. Schnittstelle Intel pflegt endlich Linux-Treiber für Thunderbolt
  3. Asus B9440 im Test Leichtes Geschäftsnotebook liefert zu wenig Business

  1. Re: Als Trekkie rollen sich mir da...

    dabbes | 09:18

  2. Re: ich dachte Apple Geräte wären so langlebig

    NIKB | 09:16

  3. Re: Bin für 10 Jahre

    DukeCastino | 09:15

  4. Re: Wir begrüßen die Entscheidung von Microsoft

    Argon Requiem | 09:15

  5. Re: Akkuproblem noch viel schlimmer als bei PKW!

    tomatentee | 09:13


  1. 09:25

  2. 09:08

  3. 08:30

  4. 08:21

  5. 07:17

  6. 18:08

  7. 17:37

  8. 16:55


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel