Abo
  • IT-Karriere:

SWEET32: Kurze Verschlüsselungsblöcke sorgen für Kollisionen

Ein neuer Angriff auf TLS- und VPN-Verbindungen betrifft alte Verschlüsselungsalgorithmen wie Triple-DES und Blowfish, die Daten in 64-Bit-Blöcken verschlüsseln. Der Angriff erfordert das Belauschen vieler Gigabytes an Daten und dürfte damit nur selten praktikabel sein.

Artikel veröffentlicht am , Hanno Böck
SWEET32 - so heißt ein neuer Angriff, der mittels des Geburtstagsparadoxons Kollisionen in kurzen Verschlüsselungsblöcken ausnutzt.
SWEET32 - so heißt ein neuer Angriff, der mittels des Geburtstagsparadoxons Kollisionen in kurzen Verschlüsselungsblöcken ausnutzt. (Bild: sweet32.info)

Alte Verschlüsselungsalgorithmen wie Triple-DES oder Blowfish sollte man zukünftig besser vermeiden. Wie Forscher der französischen Inria jetzt zeigen konnten, besteht dabei die Gefahr, dass doppelte Blöcke Informationen über Daten preisgeben. Der Grund dafür: Diese Algorithmen setzen auf eine Blockgröße von 64 Bit - aufgrund des sogenannten Geburtstagsparadoxons treten bei größeren Datenmengen hier mit hoher Wahrscheinlichkeit Kollisionen auf. Das ermöglicht einen Angriff, der SWEET32 getauft wurde.

64 Bit sorgen für Kollisionen

Stellenmarkt
  1. Allianz Deutschland AG, München Unterföhring
  2. SCHUFA Holding AG, Wiesbaden

Blockverschlüsselungsmodi bearbeiten Daten immer in Blöcken einer bestimmten Größe. Die Blockgröße ist dabei unabhängig von der Schlüssellänge. Beim üblicherweise verwendeten Algorithmus AES sind die Blöcke 128 Bit groß, das bedeutet, dass immer 128 Bit Klartext zu 128 Bit Ciphertext verschlüsselt werden. Bei 128 Bit sind Kollisionen extrem unwahrscheinlich und in der Praxis nicht relevant. Bei 64 Bit treten Kollisionen jedoch nach etwa 2^32 Verschlüsselungsoperationen mit demselben Schlüssel mit einer hohen Wahrscheinlichkeit auf. Das sind 32 GByte - eine Datenmenge, die in der heutigen Zeit durchaus über eine Verbindung übertragen werden kann.

Im Grunde sind derartige Probleme von Blockverschlüsselungsalgorithmen schon lange bekannt. Neu an SWEET32 ist jedoch, dass zum ersten Mal in einem realistischen Szenario ein Angriff auf weit verbreitete Protokolle gezeigt werden konnte.

Nach einer Datenkollision kann ein Angreifer beim üblicherweise verwendeten CBC-Modus mit einigen simplen XOR-Operationen die Verknüpfung aus den unverschlüsselten Daten der kollidierenden Datenblöcke extrahieren. Für einen praktischen Angriff bedeutet das, dass der Angreifer Teile der verschlüsselten Daten kennen muss und gleichzeitig ein Geheimnis sucht. Beispiele, die von den SWEET32-Entdeckern ausgeführt werden, sind Session-Cookies und Passwörter für die HTTP-Basic-Authentication.

Triple-DES kommt in TLS noch gelegentlich zum Einsatz, vor allem aus Kompatibilitätsgründen. In den meisten Fällen ist das kein Problem - wenn Server und Client auch den moderneren AES-Algorithmus unterstützen und bevorzugen, wird dieser ausgewählt und es besteht keine Gefahr. Doch offenbar gibt es noch eine nicht unerhebliche Zahl von Servern, die auch bei einem modernen Client Triple-DES bevorzugen. Von den Top-10.000-Webseiten sind das immerhin 1,9 Prozent.

Banken, Shoppingseiten und Firewall-Hersteller betroffen

Doch auch von den Servern, die Triple-DES unterstützen, ist nur ein Teil in den beschriebenen Angriffsszenarien praktisch verwundbar. Denn es müssen über eine Verbindung sehr viele Daten übertragen werden. Viele Webserver limitieren die Zahl der erlaubten Requests über sogenannte Keep-Alive-Verbindungen. Apache beispielsweise begrenzt diese auf 100 Requests - der Angriff ist damit nicht durchführbar. Andere Webserver - darunter Microsoft IIS - setzen jedoch kein derartiges Limit und sind verwundbar. Von den Top-10.000-Webseiten unterstützen insgesamt 0,6 Prozent unbegrenzt viele Keep-Alive-Verbindungen und gleichzeitig Triple-DES. Darunter befinden sich unter anderem eine Login-Webseite von Ebay, mehrere US-Banken, ein Login-System des Nasdaq und die Webseite des Enterprise-Firewall-Herstellers Citrix.

Neben TLS sind auch Verbindungen mit OpenVPN betroffen. OpenVPN nutzte bislang standardmäßig den Blowfish-Algorithmus, der 1993 von Bruce Schneier entwickelt wurde. Blowfish hat ebenfalls eine 64-Bit-Blockgröße. Da VPN-Verbindungen über lange Zeiträume bestehen können, ist es hier durchaus plausibel, dass sehr viele Daten über eine Verbindung geschickt werden.

Bei SSH-Verbindungen wurden früher Blowfish und Triple-DES ebenfalls häufiger eingesetzt, aktuelle OpenSSH-Versionen unterstützen standardmäßig jedoch keinen der problematischen Algorithmen mehr.

Die SWEET32-Autoren implementierten einen Angriff sowohl gegen TLS als auch gegen OpenVPN. Die Angriffe dauerten dabei jeweils 18 beziehungsweise 30 Stunden und es mussten mehrere Hundert GByte an Daten abgefangen werden. Extrem praktikabel sind die Angriffe damit nicht, doch sie sollten trotzdem Anlass genug sein, diese alten Verschlüsselungsalgorithmen zu meiden. Auch der RC4-Algorithmus wurde wegen ähnlich unpraktikabler Angriffe ausgemustert.

Alte Cipher wenn möglich meiden

Wo es möglich ist, sollte man am besten ganz auf Triple-DES und Blowfish verzichten. OpenVPN unterstützt auch die Verschlüsselung mittels AES. Bei HTTPS-Servern spielt Triple-DES nach wie vor eine gewisse Rolle, da der Cipher die Kompatibilität zu einigen alten Clients ermöglicht. Insbesondere der Internet Explorer unter Windows XP unterstützt keinerlei AES-basierte Ciphermodi. Sicherstellen sollten Webserver-Admins jedoch zumindest, dass standardmäßig modernere Cipher genutzt werden. Auch die Begrenzung von Keep-Alive-Verbindungen vereitelt denkbare Angriffe.

OpenSSL hat die Triple-DES-Cipher aus der Kategorie der Cipher mit hoher Sicherheit ("HIGH") in die Kategorie mit mittlerer Sicherheit ("MEDIUM") verschoben. Die künftige Version 1.1 wird Triple-DES standardmäßig überhaupt nicht mehr unterstützen; nur wenn der Nutzer mit einem speziellen Befehl alte Cipher wünscht, wird die Unterstützung überhaupt kompiliert. OpenVPN wird künftig eine Warnung anzeigen, wenn ein Algorithmus mit einer 64-Bit-Blockgröße verwendet wird. Mozilla will im Firefox-Browser ein Limit für Keep-Alive-Verbindungen implementieren und damit Angriffe erschweren.



Anzeige
Spiele-Angebote
  1. (-80%) 6,99€
  2. 34,99€
  3. 3,99€

Kleba 25. Aug 2016

Ich vermute die Bezeichnung hat mit dem erwähnten Geburtstagsparadoxon zu tun. In den USA...

My1 25. Aug 2016

zumindest solange er nicht mit Firefox genutzt wird. 3DES war bisher die einzige halbwegs...


Folgen Sie uns
       


Asus Studiobook Pro X (Ifa 2019)

Das Studiobook Pro X ist mit Xeon-Prozessor, Quadro GPU und einem Preis von 4300 Euro eindeutig auf professionelle Anwender ausgerichtet.

Asus Studiobook Pro X (Ifa 2019) Video aufrufen
Mobile-Games-Auslese: Superheld und Schlapphutträger zu Besuch im Smartphone
Mobile-Games-Auslese
Superheld und Schlapphutträger zu Besuch im Smartphone

Markus Fenix aus Gears of War kämpft in Gears Pop gegen fiese (Knuddel-)Aliens und der Typ in Tombshaft erinnert an Indiana Jones: In Mobile Games tummelt sich derzeit echte und falsche Prominenz.
Von Rainer Sigl

  1. Mobile-Games-Auslese Verdrehte Räume und verrückte Zombies für unterwegs
  2. Dr. Mario World im Test Spielspaß für Privatpatienten
  3. Mobile-Games-Auslese Ein Wunderjunge und dreimal kostenloser Mobilspaß

Serielle Hybride: Unterschätzte Zwischenlösung oder längst überholt?
Serielle Hybride
Unterschätzte Zwischenlösung oder längst überholt?

Die reine E-Mobilität kommt nicht so schnell voran, wie es Klimaziele und Luftreinhaltepläne erfordern. Doch viele Fahrzeughersteller stellen derweil eine vergleichsweise simple Technologie auf die Räder, die für eine Zukunft ohne fossile Kraftstoffe Erkenntnisse liefern kann.
Von Mattias Schlenker

  1. ADAC Keyless-Go bietet Autofahrern keine Sicherheit
  2. Gesetzentwurf beschlossen Regierung verlängert Steuervorteile für Elektroautos
  3. Cabrio Renault R4 Plein Air als Elektro-Retroauto

TVs, Konsolen und HDMI 2.1: Wann wir mit 8K rechnen können
TVs, Konsolen und HDMI 2.1
Wann wir mit 8K rechnen können

Ifa 2019 Die Ifa 2019 ist bezüglich 8K nüchtern. Wird die hohe Auflösung wie 4K fast eine Dekade lang eine Nische bleiben? Oder bringen kommende Spielekonsolen und Anschlussstandards die Auflösung schneller als gedacht?
Eine Analyse von Oliver Nickel

  1. Kameras und Fernseher Ein 120-Zoll-TV mit 8K reicht Sharp nicht
  2. Sony ZG9 Erste 8K-Fernseher werden bald verkauft
  3. 8K Sharp schließt sich dem Micro-Four-Thirds-System an

    •  /