Abo
  • Services:
Anzeige
SWEET32 - so heißt ein neuer Angriff, der mittels des Geburtstagsparadoxons Kollisionen in kurzen Verschlüsselungsblöcken ausnutzt.
SWEET32 - so heißt ein neuer Angriff, der mittels des Geburtstagsparadoxons Kollisionen in kurzen Verschlüsselungsblöcken ausnutzt. (Bild: sweet32.info)

SWEET32: Kurze Verschlüsselungsblöcke sorgen für Kollisionen

SWEET32 - so heißt ein neuer Angriff, der mittels des Geburtstagsparadoxons Kollisionen in kurzen Verschlüsselungsblöcken ausnutzt.
SWEET32 - so heißt ein neuer Angriff, der mittels des Geburtstagsparadoxons Kollisionen in kurzen Verschlüsselungsblöcken ausnutzt. (Bild: sweet32.info)

Ein neuer Angriff auf TLS- und VPN-Verbindungen betrifft alte Verschlüsselungsalgorithmen wie Triple-DES und Blowfish, die Daten in 64-Bit-Blöcken verschlüsseln. Der Angriff erfordert das Belauschen vieler Gigabytes an Daten und dürfte damit nur selten praktikabel sein.

Alte Verschlüsselungsalgorithmen wie Triple-DES oder Blowfish sollte man zukünftig besser vermeiden. Wie Forscher der französischen Inria jetzt zeigen konnten, besteht dabei die Gefahr, dass doppelte Blöcke Informationen über Daten preisgeben. Der Grund dafür: Diese Algorithmen setzen auf eine Blockgröße von 64 Bit - aufgrund des sogenannten Geburtstagsparadoxons treten bei größeren Datenmengen hier mit hoher Wahrscheinlichkeit Kollisionen auf. Das ermöglicht einen Angriff, der SWEET32 getauft wurde.

Anzeige

64 Bit sorgen für Kollisionen

Blockverschlüsselungsmodi bearbeiten Daten immer in Blöcken einer bestimmten Größe. Die Blockgröße ist dabei unabhängig von der Schlüssellänge. Beim üblicherweise verwendeten Algorithmus AES sind die Blöcke 128 Bit groß, das bedeutet, dass immer 128 Bit Klartext zu 128 Bit Ciphertext verschlüsselt werden. Bei 128 Bit sind Kollisionen extrem unwahrscheinlich und in der Praxis nicht relevant. Bei 64 Bit treten Kollisionen jedoch nach etwa 2^32 Verschlüsselungsoperationen mit demselben Schlüssel mit einer hohen Wahrscheinlichkeit auf. Das sind 32 GByte - eine Datenmenge, die in der heutigen Zeit durchaus über eine Verbindung übertragen werden kann.

Im Grunde sind derartige Probleme von Blockverschlüsselungsalgorithmen schon lange bekannt. Neu an SWEET32 ist jedoch, dass zum ersten Mal in einem realistischen Szenario ein Angriff auf weit verbreitete Protokolle gezeigt werden konnte.

Nach einer Datenkollision kann ein Angreifer beim üblicherweise verwendeten CBC-Modus mit einigen simplen XOR-Operationen die Verknüpfung aus den unverschlüsselten Daten der kollidierenden Datenblöcke extrahieren. Für einen praktischen Angriff bedeutet das, dass der Angreifer Teile der verschlüsselten Daten kennen muss und gleichzeitig ein Geheimnis sucht. Beispiele, die von den SWEET32-Entdeckern ausgeführt werden, sind Session-Cookies und Passwörter für die HTTP-Basic-Authentication.

Triple-DES kommt in TLS noch gelegentlich zum Einsatz, vor allem aus Kompatibilitätsgründen. In den meisten Fällen ist das kein Problem - wenn Server und Client auch den moderneren AES-Algorithmus unterstützen und bevorzugen, wird dieser ausgewählt und es besteht keine Gefahr. Doch offenbar gibt es noch eine nicht unerhebliche Zahl von Servern, die auch bei einem modernen Client Triple-DES bevorzugen. Von den Top-10.000-Webseiten sind das immerhin 1,9 Prozent.

Banken, Shoppingseiten und Firewall-Hersteller betroffen

Doch auch von den Servern, die Triple-DES unterstützen, ist nur ein Teil in den beschriebenen Angriffsszenarien praktisch verwundbar. Denn es müssen über eine Verbindung sehr viele Daten übertragen werden. Viele Webserver limitieren die Zahl der erlaubten Requests über sogenannte Keep-Alive-Verbindungen. Apache beispielsweise begrenzt diese auf 100 Requests - der Angriff ist damit nicht durchführbar. Andere Webserver - darunter Microsoft IIS - setzen jedoch kein derartiges Limit und sind verwundbar. Von den Top-10.000-Webseiten unterstützen insgesamt 0,6 Prozent unbegrenzt viele Keep-Alive-Verbindungen und gleichzeitig Triple-DES. Darunter befinden sich unter anderem eine Login-Webseite von Ebay, mehrere US-Banken, ein Login-System des Nasdaq und die Webseite des Enterprise-Firewall-Herstellers Citrix.

Neben TLS sind auch Verbindungen mit OpenVPN betroffen. OpenVPN nutzte bislang standardmäßig den Blowfish-Algorithmus, der 1993 von Bruce Schneier entwickelt wurde. Blowfish hat ebenfalls eine 64-Bit-Blockgröße. Da VPN-Verbindungen über lange Zeiträume bestehen können, ist es hier durchaus plausibel, dass sehr viele Daten über eine Verbindung geschickt werden.

Bei SSH-Verbindungen wurden früher Blowfish und Triple-DES ebenfalls häufiger eingesetzt, aktuelle OpenSSH-Versionen unterstützen standardmäßig jedoch keinen der problematischen Algorithmen mehr.

Die SWEET32-Autoren implementierten einen Angriff sowohl gegen TLS als auch gegen OpenVPN. Die Angriffe dauerten dabei jeweils 18 beziehungsweise 30 Stunden und es mussten mehrere Hundert GByte an Daten abgefangen werden. Extrem praktikabel sind die Angriffe damit nicht, doch sie sollten trotzdem Anlass genug sein, diese alten Verschlüsselungsalgorithmen zu meiden. Auch der RC4-Algorithmus wurde wegen ähnlich unpraktikabler Angriffe ausgemustert.

Alte Cipher wenn möglich meiden

Wo es möglich ist, sollte man am besten ganz auf Triple-DES und Blowfish verzichten. OpenVPN unterstützt auch die Verschlüsselung mittels AES. Bei HTTPS-Servern spielt Triple-DES nach wie vor eine gewisse Rolle, da der Cipher die Kompatibilität zu einigen alten Clients ermöglicht. Insbesondere der Internet Explorer unter Windows XP unterstützt keinerlei AES-basierte Ciphermodi. Sicherstellen sollten Webserver-Admins jedoch zumindest, dass standardmäßig modernere Cipher genutzt werden. Auch die Begrenzung von Keep-Alive-Verbindungen vereitelt denkbare Angriffe.

OpenSSL hat die Triple-DES-Cipher aus der Kategorie der Cipher mit hoher Sicherheit ("HIGH") in die Kategorie mit mittlerer Sicherheit ("MEDIUM") verschoben. Die künftige Version 1.1 wird Triple-DES standardmäßig überhaupt nicht mehr unterstützen; nur wenn der Nutzer mit einem speziellen Befehl alte Cipher wünscht, wird die Unterstützung überhaupt kompiliert. OpenVPN wird künftig eine Warnung anzeigen, wenn ein Algorithmus mit einer 64-Bit-Blockgröße verwendet wird. Mozilla will im Firefox-Browser ein Limit für Keep-Alive-Verbindungen implementieren und damit Angriffe erschweren.


eye home zur Startseite
Kleba 25. Aug 2016

Ich vermute die Bezeichnung hat mit dem erwähnten Geburtstagsparadoxon zu tun. In den USA...

My1 25. Aug 2016

zumindest solange er nicht mit Firefox genutzt wird. 3DES war bisher die einzige halbwegs...



Anzeige

Stellenmarkt
  1. LivingData GmbH, Landshut, Nürnberg
  2. Fresenius Kabi Deutschland GmbH, Oberursel
  3. LogPay Financial Services GmbH, Eschborn
  4. OPITZ CONSULTING Deutschland GmbH, verschiedene Standorte


Anzeige
Top-Angebote
  1. 139€
  2. 499,99€ - Wieder bestellbar. Ansonsten gelegentlich bezügl. Verfügbarkeit auf der Bestellseite...
  3. 349€ inkl. Abzug (Vergleichspreis 452€)

Folgen Sie uns
       


  1. Bundestagswahl 2017

    Union und SPD verlieren, Jamaika-Koalition rückt näher

  2. IFR

    Zahl der verkauften Haushaltsroboter steigt stark an

  3. FTTH

    CDU für Verkauf der Telekom-Aktien

  4. Konkurrenz

    Unitymedia gegen Bürgerprämie für Glasfaser

  5. Arduino MKR GSM und WAN

    Mikrocontroller-Boards überbrücken weite Funkstrecken

  6. Fahrdienst

    London stoppt Uber, Protest wächst

  7. Facebook

    Mark Zuckerberg lenkt im Streit mit Investoren ein

  8. Merged-Reality-Headset

    Intel stellt Project Alloy ein

  9. Teardown

    Glasrückseite des iPhone 8 kann zum Problem werden

  10. E-Mail

    Adobe veröffentlicht versehentlich privaten PGP-Key im Blog



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Bundestagswahl 2017: Viagra, Datenbankpasswörter und uralte Sicherheitslücken
Bundestagswahl 2017
Viagra, Datenbankpasswörter und uralte Sicherheitslücken
  1. Zitis Wer Sicherheitslücken findet, darf sie behalten
  2. Merkel im Bundestag "Wir wollen nicht im Technikmuseum enden"
  3. TV-Duell Merkel-Schulz Die Digitalisierung schafft es nur ins Schlusswort

Olympus Tough TG5 vs. Nikon Coolpix W300: Die Schlechtwetter-Kameras
Olympus Tough TG5 vs. Nikon Coolpix W300
Die Schlechtwetter-Kameras
  1. Mobilestudio Pro 16 im Test Wacom nennt 2,2-Kilogramm-Grafiktablet "mobil"
  2. HP Z8 Workstation Mit 3 TByte RAM und 56 CPU-Kernen komplexe Bilder rendern
  3. Meeting Owl KI-Eule erkennt Teilnehmer in Meetings

E-Paper-Tablet im Test: Mit Remarkable machen digitale Notizen Spaß
E-Paper-Tablet im Test
Mit Remarkable machen digitale Notizen Spaß
  1. Smartphone Yotaphone 3 kommt mit großem E-Paper-Display
  2. Display E-Ink-Hülle für das iPhone 7

  1. Re: Siemens hat eine gute Lösung in Parkhäusern

    bernstein | 21:04

  2. Re: Und bei DSL?

    bombinho | 21:03

  3. Mehr Kompexität?

    DY | 20:59

  4. Re: Wieso hat die PARTEI keine absolute Mehrheit?

    __destruct() | 20:59

  5. Re: CDU, AfD und FDP - Bahamas Koalition

    Xar | 20:52


  1. 19:04

  2. 15:18

  3. 13:34

  4. 12:03

  5. 10:56

  6. 15:37

  7. 15:08

  8. 14:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel