Abo
  • Services:
Anzeige
SWEET32 - so heißt ein neuer Angriff, der mittels des Geburtstagsparadoxons Kollisionen in kurzen Verschlüsselungsblöcken ausnutzt.
SWEET32 - so heißt ein neuer Angriff, der mittels des Geburtstagsparadoxons Kollisionen in kurzen Verschlüsselungsblöcken ausnutzt. (Bild: sweet32.info)

SWEET32: Kurze Verschlüsselungsblöcke sorgen für Kollisionen

SWEET32 - so heißt ein neuer Angriff, der mittels des Geburtstagsparadoxons Kollisionen in kurzen Verschlüsselungsblöcken ausnutzt.
SWEET32 - so heißt ein neuer Angriff, der mittels des Geburtstagsparadoxons Kollisionen in kurzen Verschlüsselungsblöcken ausnutzt. (Bild: sweet32.info)

Ein neuer Angriff auf TLS- und VPN-Verbindungen betrifft alte Verschlüsselungsalgorithmen wie Triple-DES und Blowfish, die Daten in 64-Bit-Blöcken verschlüsseln. Der Angriff erfordert das Belauschen vieler Gigabytes an Daten und dürfte damit nur selten praktikabel sein.

Alte Verschlüsselungsalgorithmen wie Triple-DES oder Blowfish sollte man zukünftig besser vermeiden. Wie Forscher der französischen Inria jetzt zeigen konnten, besteht dabei die Gefahr, dass doppelte Blöcke Informationen über Daten preisgeben. Der Grund dafür: Diese Algorithmen setzen auf eine Blockgröße von 64 Bit - aufgrund des sogenannten Geburtstagsparadoxons treten bei größeren Datenmengen hier mit hoher Wahrscheinlichkeit Kollisionen auf. Das ermöglicht einen Angriff, der SWEET32 getauft wurde.

Anzeige

64 Bit sorgen für Kollisionen

Blockverschlüsselungsmodi bearbeiten Daten immer in Blöcken einer bestimmten Größe. Die Blockgröße ist dabei unabhängig von der Schlüssellänge. Beim üblicherweise verwendeten Algorithmus AES sind die Blöcke 128 Bit groß, das bedeutet, dass immer 128 Bit Klartext zu 128 Bit Ciphertext verschlüsselt werden. Bei 128 Bit sind Kollisionen extrem unwahrscheinlich und in der Praxis nicht relevant. Bei 64 Bit treten Kollisionen jedoch nach etwa 2^32 Verschlüsselungsoperationen mit demselben Schlüssel mit einer hohen Wahrscheinlichkeit auf. Das sind 32 GByte - eine Datenmenge, die in der heutigen Zeit durchaus über eine Verbindung übertragen werden kann.

Im Grunde sind derartige Probleme von Blockverschlüsselungsalgorithmen schon lange bekannt. Neu an SWEET32 ist jedoch, dass zum ersten Mal in einem realistischen Szenario ein Angriff auf weit verbreitete Protokolle gezeigt werden konnte.

Nach einer Datenkollision kann ein Angreifer beim üblicherweise verwendeten CBC-Modus mit einigen simplen XOR-Operationen die Verknüpfung aus den unverschlüsselten Daten der kollidierenden Datenblöcke extrahieren. Für einen praktischen Angriff bedeutet das, dass der Angreifer Teile der verschlüsselten Daten kennen muss und gleichzeitig ein Geheimnis sucht. Beispiele, die von den SWEET32-Entdeckern ausgeführt werden, sind Session-Cookies und Passwörter für die HTTP-Basic-Authentication.

Triple-DES kommt in TLS noch gelegentlich zum Einsatz, vor allem aus Kompatibilitätsgründen. In den meisten Fällen ist das kein Problem - wenn Server und Client auch den moderneren AES-Algorithmus unterstützen und bevorzugen, wird dieser ausgewählt und es besteht keine Gefahr. Doch offenbar gibt es noch eine nicht unerhebliche Zahl von Servern, die auch bei einem modernen Client Triple-DES bevorzugen. Von den Top-10.000-Webseiten sind das immerhin 1,9 Prozent.

Banken, Shoppingseiten und Firewall-Hersteller betroffen

Doch auch von den Servern, die Triple-DES unterstützen, ist nur ein Teil in den beschriebenen Angriffsszenarien praktisch verwundbar. Denn es müssen über eine Verbindung sehr viele Daten übertragen werden. Viele Webserver limitieren die Zahl der erlaubten Requests über sogenannte Keep-Alive-Verbindungen. Apache beispielsweise begrenzt diese auf 100 Requests - der Angriff ist damit nicht durchführbar. Andere Webserver - darunter Microsoft IIS - setzen jedoch kein derartiges Limit und sind verwundbar. Von den Top-10.000-Webseiten unterstützen insgesamt 0,6 Prozent unbegrenzt viele Keep-Alive-Verbindungen und gleichzeitig Triple-DES. Darunter befinden sich unter anderem eine Login-Webseite von Ebay, mehrere US-Banken, ein Login-System des Nasdaq und die Webseite des Enterprise-Firewall-Herstellers Citrix.

Neben TLS sind auch Verbindungen mit OpenVPN betroffen. OpenVPN nutzte bislang standardmäßig den Blowfish-Algorithmus, der 1993 von Bruce Schneier entwickelt wurde. Blowfish hat ebenfalls eine 64-Bit-Blockgröße. Da VPN-Verbindungen über lange Zeiträume bestehen können, ist es hier durchaus plausibel, dass sehr viele Daten über eine Verbindung geschickt werden.

Bei SSH-Verbindungen wurden früher Blowfish und Triple-DES ebenfalls häufiger eingesetzt, aktuelle OpenSSH-Versionen unterstützen standardmäßig jedoch keinen der problematischen Algorithmen mehr.

Die SWEET32-Autoren implementierten einen Angriff sowohl gegen TLS als auch gegen OpenVPN. Die Angriffe dauerten dabei jeweils 18 beziehungsweise 30 Stunden und es mussten mehrere Hundert GByte an Daten abgefangen werden. Extrem praktikabel sind die Angriffe damit nicht, doch sie sollten trotzdem Anlass genug sein, diese alten Verschlüsselungsalgorithmen zu meiden. Auch der RC4-Algorithmus wurde wegen ähnlich unpraktikabler Angriffe ausgemustert.

Alte Cipher wenn möglich meiden

Wo es möglich ist, sollte man am besten ganz auf Triple-DES und Blowfish verzichten. OpenVPN unterstützt auch die Verschlüsselung mittels AES. Bei HTTPS-Servern spielt Triple-DES nach wie vor eine gewisse Rolle, da der Cipher die Kompatibilität zu einigen alten Clients ermöglicht. Insbesondere der Internet Explorer unter Windows XP unterstützt keinerlei AES-basierte Ciphermodi. Sicherstellen sollten Webserver-Admins jedoch zumindest, dass standardmäßig modernere Cipher genutzt werden. Auch die Begrenzung von Keep-Alive-Verbindungen vereitelt denkbare Angriffe.

OpenSSL hat die Triple-DES-Cipher aus der Kategorie der Cipher mit hoher Sicherheit ("HIGH") in die Kategorie mit mittlerer Sicherheit ("MEDIUM") verschoben. Die künftige Version 1.1 wird Triple-DES standardmäßig überhaupt nicht mehr unterstützen; nur wenn der Nutzer mit einem speziellen Befehl alte Cipher wünscht, wird die Unterstützung überhaupt kompiliert. OpenVPN wird künftig eine Warnung anzeigen, wenn ein Algorithmus mit einer 64-Bit-Blockgröße verwendet wird. Mozilla will im Firefox-Browser ein Limit für Keep-Alive-Verbindungen implementieren und damit Angriffe erschweren.


eye home zur Startseite
Kleba 25. Aug 2016

Ich vermute die Bezeichnung hat mit dem erwähnten Geburtstagsparadoxon zu tun. In den USA...

My1 25. Aug 2016

zumindest solange er nicht mit Firefox genutzt wird. 3DES war bisher die einzige halbwegs...



Anzeige

Stellenmarkt
  1. Daimler AG, Stuttgart
  2. Fresenius Medical Care Deutschland GmbH, Bad Homburg
  3. Comline AG, Dortmund
  4. Arrow Central Europe GmbH, München, Neu-Isenburg, Stuttgart


Anzeige
Hardware-Angebote
  1. ab 17,99€
  2. 18,99€ statt 39,99€
  3. 649,00€

Folgen Sie uns
       


  1. Umweltbundesamt

    Software-Updates für Diesel reichen nicht

  2. Acer Nitro 5 Spin

    Auf dem Gaming-Convertible spielen und zeichnen

  3. Galaxy Note 8 im Hands on

    Auch das Galaxy Note sieht jetzt doppelt - für 1.000 Euro

  4. Microsoft

    Git-Umzug von Windows-Team abgeschlossen

  5. Play Store

    Google entfernt 500 Android-Apps mit 100 Millionen Downloads

  6. DreamHost

    US-Regierung will nun doch keine Daten von Trump-Gegnern

  7. Project Brainwave

    Microsoft beschleunigt KI-Technik mit Cloud-FPGAs

  8. Microsoft

    Im Windows Store gibt es viele illegale Streaming-Apps

  9. Alpha-One

    Lamborghini-Smartphone für über 2.000 Euro vorgestellt

  10. Wireless-AC 9560

    Intel packt WLAN in den Prozessor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
C64-Umbau mit dem Raspberry Pi: Die Wiedergeburt der Heimcomputer-Legende
C64-Umbau mit dem Raspberry Pi
Die Wiedergeburt der Heimcomputer-Legende

Ikea Trådfri im Test: Drahtlos (und sicher) auf Schwedisch
Ikea Trådfri im Test
Drahtlos (und sicher) auf Schwedisch
  1. Smarte Lampen Ikeas Trådfri wird kompatibel mit Echo, Home und Homekit
  2. Die Woche im Video Kündigungen, Kernaussagen und KI-Fahrer
  3. Augmented Reality Ikea will mit iOS 11 Wohnungen virtuell einrichten

  1. Re: Sinn???

    Carl Weathers | 21:23

  2. hm, brauche ich das smartphone, um mein lambo zu...

    itse | 21:22

  3. Re: Sind 1000 Euro nicht zu teuer?

    Phantom | 21:22

  4. Re: Wieso immer Luxus-/Sportwagen?

    plutoniumsulfat | 21:19

  5. Re: Umweltpremie für Touareg - ein Witz

    malmi | 21:15


  1. 17:51

  2. 17:08

  3. 17:00

  4. 16:55

  5. 16:38

  6. 16:08

  7. 15:54

  8. 14:51


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel