Abo
  • Services:

SWEET32: Kurze Verschlüsselungsblöcke sorgen für Kollisionen

Ein neuer Angriff auf TLS- und VPN-Verbindungen betrifft alte Verschlüsselungsalgorithmen wie Triple-DES und Blowfish, die Daten in 64-Bit-Blöcken verschlüsseln. Der Angriff erfordert das Belauschen vieler Gigabytes an Daten und dürfte damit nur selten praktikabel sein.

Artikel veröffentlicht am , Hanno Böck
SWEET32 - so heißt ein neuer Angriff, der mittels des Geburtstagsparadoxons Kollisionen in kurzen Verschlüsselungsblöcken ausnutzt.
SWEET32 - so heißt ein neuer Angriff, der mittels des Geburtstagsparadoxons Kollisionen in kurzen Verschlüsselungsblöcken ausnutzt. (Bild: sweet32.info)

Alte Verschlüsselungsalgorithmen wie Triple-DES oder Blowfish sollte man zukünftig besser vermeiden. Wie Forscher der französischen Inria jetzt zeigen konnten, besteht dabei die Gefahr, dass doppelte Blöcke Informationen über Daten preisgeben. Der Grund dafür: Diese Algorithmen setzen auf eine Blockgröße von 64 Bit - aufgrund des sogenannten Geburtstagsparadoxons treten bei größeren Datenmengen hier mit hoher Wahrscheinlichkeit Kollisionen auf. Das ermöglicht einen Angriff, der SWEET32 getauft wurde.

64 Bit sorgen für Kollisionen

Stellenmarkt
  1. Daimler AG, Sindelfingen
  2. Bundeskriminalamt, Wiesbaden

Blockverschlüsselungsmodi bearbeiten Daten immer in Blöcken einer bestimmten Größe. Die Blockgröße ist dabei unabhängig von der Schlüssellänge. Beim üblicherweise verwendeten Algorithmus AES sind die Blöcke 128 Bit groß, das bedeutet, dass immer 128 Bit Klartext zu 128 Bit Ciphertext verschlüsselt werden. Bei 128 Bit sind Kollisionen extrem unwahrscheinlich und in der Praxis nicht relevant. Bei 64 Bit treten Kollisionen jedoch nach etwa 2^32 Verschlüsselungsoperationen mit demselben Schlüssel mit einer hohen Wahrscheinlichkeit auf. Das sind 32 GByte - eine Datenmenge, die in der heutigen Zeit durchaus über eine Verbindung übertragen werden kann.

Im Grunde sind derartige Probleme von Blockverschlüsselungsalgorithmen schon lange bekannt. Neu an SWEET32 ist jedoch, dass zum ersten Mal in einem realistischen Szenario ein Angriff auf weit verbreitete Protokolle gezeigt werden konnte.

Nach einer Datenkollision kann ein Angreifer beim üblicherweise verwendeten CBC-Modus mit einigen simplen XOR-Operationen die Verknüpfung aus den unverschlüsselten Daten der kollidierenden Datenblöcke extrahieren. Für einen praktischen Angriff bedeutet das, dass der Angreifer Teile der verschlüsselten Daten kennen muss und gleichzeitig ein Geheimnis sucht. Beispiele, die von den SWEET32-Entdeckern ausgeführt werden, sind Session-Cookies und Passwörter für die HTTP-Basic-Authentication.

Triple-DES kommt in TLS noch gelegentlich zum Einsatz, vor allem aus Kompatibilitätsgründen. In den meisten Fällen ist das kein Problem - wenn Server und Client auch den moderneren AES-Algorithmus unterstützen und bevorzugen, wird dieser ausgewählt und es besteht keine Gefahr. Doch offenbar gibt es noch eine nicht unerhebliche Zahl von Servern, die auch bei einem modernen Client Triple-DES bevorzugen. Von den Top-10.000-Webseiten sind das immerhin 1,9 Prozent.

Banken, Shoppingseiten und Firewall-Hersteller betroffen

Doch auch von den Servern, die Triple-DES unterstützen, ist nur ein Teil in den beschriebenen Angriffsszenarien praktisch verwundbar. Denn es müssen über eine Verbindung sehr viele Daten übertragen werden. Viele Webserver limitieren die Zahl der erlaubten Requests über sogenannte Keep-Alive-Verbindungen. Apache beispielsweise begrenzt diese auf 100 Requests - der Angriff ist damit nicht durchführbar. Andere Webserver - darunter Microsoft IIS - setzen jedoch kein derartiges Limit und sind verwundbar. Von den Top-10.000-Webseiten unterstützen insgesamt 0,6 Prozent unbegrenzt viele Keep-Alive-Verbindungen und gleichzeitig Triple-DES. Darunter befinden sich unter anderem eine Login-Webseite von Ebay, mehrere US-Banken, ein Login-System des Nasdaq und die Webseite des Enterprise-Firewall-Herstellers Citrix.

Neben TLS sind auch Verbindungen mit OpenVPN betroffen. OpenVPN nutzte bislang standardmäßig den Blowfish-Algorithmus, der 1993 von Bruce Schneier entwickelt wurde. Blowfish hat ebenfalls eine 64-Bit-Blockgröße. Da VPN-Verbindungen über lange Zeiträume bestehen können, ist es hier durchaus plausibel, dass sehr viele Daten über eine Verbindung geschickt werden.

Bei SSH-Verbindungen wurden früher Blowfish und Triple-DES ebenfalls häufiger eingesetzt, aktuelle OpenSSH-Versionen unterstützen standardmäßig jedoch keinen der problematischen Algorithmen mehr.

Die SWEET32-Autoren implementierten einen Angriff sowohl gegen TLS als auch gegen OpenVPN. Die Angriffe dauerten dabei jeweils 18 beziehungsweise 30 Stunden und es mussten mehrere Hundert GByte an Daten abgefangen werden. Extrem praktikabel sind die Angriffe damit nicht, doch sie sollten trotzdem Anlass genug sein, diese alten Verschlüsselungsalgorithmen zu meiden. Auch der RC4-Algorithmus wurde wegen ähnlich unpraktikabler Angriffe ausgemustert.

Alte Cipher wenn möglich meiden

Wo es möglich ist, sollte man am besten ganz auf Triple-DES und Blowfish verzichten. OpenVPN unterstützt auch die Verschlüsselung mittels AES. Bei HTTPS-Servern spielt Triple-DES nach wie vor eine gewisse Rolle, da der Cipher die Kompatibilität zu einigen alten Clients ermöglicht. Insbesondere der Internet Explorer unter Windows XP unterstützt keinerlei AES-basierte Ciphermodi. Sicherstellen sollten Webserver-Admins jedoch zumindest, dass standardmäßig modernere Cipher genutzt werden. Auch die Begrenzung von Keep-Alive-Verbindungen vereitelt denkbare Angriffe.

OpenSSL hat die Triple-DES-Cipher aus der Kategorie der Cipher mit hoher Sicherheit ("HIGH") in die Kategorie mit mittlerer Sicherheit ("MEDIUM") verschoben. Die künftige Version 1.1 wird Triple-DES standardmäßig überhaupt nicht mehr unterstützen; nur wenn der Nutzer mit einem speziellen Befehl alte Cipher wünscht, wird die Unterstützung überhaupt kompiliert. OpenVPN wird künftig eine Warnung anzeigen, wenn ein Algorithmus mit einer 64-Bit-Blockgröße verwendet wird. Mozilla will im Firefox-Browser ein Limit für Keep-Alive-Verbindungen implementieren und damit Angriffe erschweren.



Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

Kleba 25. Aug 2016

Ich vermute die Bezeichnung hat mit dem erwähnten Geburtstagsparadoxon zu tun. In den USA...

My1 25. Aug 2016

zumindest solange er nicht mit Firefox genutzt wird. 3DES war bisher die einzige halbwegs...


Folgen Sie uns
       


Pathfinder Kingmaker - Golem.de live (Teil 1)

Im ersten Teil unseres Livestreams zu Pathfinder Kingmaker ergründen wir das Regelsystem, erschaffen Goleria Golerta und verteidigen unsere Burg.

Pathfinder Kingmaker - Golem.de live (Teil 1) Video aufrufen
Gigabit: 5G-Planungen gehen völlig an den Nutzern vorbei
Gigabit
5G-Planungen gehen völlig an den Nutzern vorbei

Fast täglich hören wir Erklärungen aus der Telekommunikationsbranche, was 5G erfüllen müsse und warum sonst das Ende der Welt drohe. Wir haben die Konzerngruppen nach Interessenlage kartografiert.
Ein IMHO von Achim Sawall

  1. Fixed Wireless Access Nokia bringt mehrere 100 MBit/s mit LTE ins Festnetz
  2. Funklöcher Telekom bietet freiwillig hohe 5G-Netzabdeckung an
  3. 5G Telekom hat ihr Mobilfunknetz mit Glasfaser versorgt

Mate 20 Pro im Hands on: Huawei bringt drei Brennweiten und mehr für 1.000 Euro
Mate 20 Pro im Hands on
Huawei bringt drei Brennweiten und mehr für 1.000 Euro

Huawei hat mit dem Mate 20 Pro seine Dreifachkamera überarbeitet: Der monochrome Sensor ist einer Ultraweitwinkelkamera gewichen. Gleichzeitig bietet das Smartphone zahlreiche technische Extras wie einen Fingerabdrucksensor unter dem Display und einen sehr leistungsfähigen Schnelllader.
Ein Hands on von Tobias Költzsch

  1. Keine Spionagepanik Regierung wird chinesische 5G-Ausrüster nicht ausschließen
  2. Watch GT Huawei bringt Smartwatch ohne Wear OS auf den Markt
  3. Ascend 910/310 Huaweis AI-Chips sollen Google und Nvidia schlagen

Campusnetze: Das teure Versäumnis der Telekom
Campusnetze
Das teure Versäumnis der Telekom

Die Deutsche Telekom muss anderen Konzernen bei 5G-Campusnetzen entgegenkommen. Jahrzehntelang von Funklöchern auf dem Lande geplagt, wollen Siemens und die Automobilindustrie nun selbst Mobilfunknetze aufspannen. Auch der öffentliche Rundfunk will selbst 5G machen.
Eine Analyse von Achim Sawall

  1. Stadtnetzbetreiber 5G-Netz kann auch aus der Box kommen
  2. Achim Berg "In Sachen Gigabit ist Deutschland ein großer weißer Fleck"
  3. Telefónica Bündelung von Bandbreiten aus 4G und 5G ist doch möglich

    •  /