Abo
  • Services:
Anzeige
Fremder Javascript-Code auf der dänischen Webseite von Visa - ein Angriff auf die fehlerhafte GCM-Verschlüsselung
Fremder Javascript-Code auf der dänischen Webseite von Visa - ein Angriff auf die fehlerhafte GCM-Verschlüsselung (Bild: Screenshot)

Forbidden Attack

Neben den Servern, die den Nonce-Wert direkt wiederholen, fanden sich etwa 70.000 Server, die den Nonce-Wert zufällig setzen. Das ist riskant. Aufgrund des Geburtstagsparadoxons steigt dabei die Wahrscheinlichkeit, einen doppelten Nonce-Wert zu erzeugen, wenn eine große Zahl von Verschlüsselungen mit demselben Schlüssel durchgeführt wird. Allerdings müssen dafür mehrere Giga- oder gar Terabytes an Daten über eine einzige TLS-Verbindung übertragen werden. Betroffen von dieser schwächeren Form der Sicherheitslücke sind unter anderem Geräte von A10 und Sangfor sowie IBM Lotus Domino.

Anzeige

Der verbotene Angriff von Joux

Wenn sich ein Nonce-Wert wiederholt, kann ein Angreifer daraus mit hoher Wahrscheinlichkeit den Authentifizierungsschlüssel des GCM-Verfahrens berechnen. Diesen Angriff hatte der Kryptograph Antoine Joux bereits während des Standardisierungsprozesses von GCM vorgestellt. Joux bezeichnete diesen Angriff damals als "Forbidden Attack", also als verbotenen Angriff. Verboten deshalb, weil korrekte Implementierungen den Nonce niemals wiederholen sollten.

Hat ein Angreifer den Authentifizierungsschlüssel mittels dieses verbotenen Angriffs erfahren, kann er damit Pakete manipulieren. Im Fall von HTTPS etwa könnte der Angreifer Javascript-Code in eine Webseite einfügen. Es gelang uns, den Angriff praktisch umzusetzen und auf verwundbaren Webseiten - beispielsweise der dänischen Webseite von Visa (www.visa.dk) - anzuwenden.

Zukünftige Protokolle robuster

Im Entwurf für das zukünftige Protokoll TLS 1.3 wurde das Problem fehlerhafter Nonces grundlegend behoben. Statt es der Implementierung zu überlassen, wie der Nonce-Wert gewählt wird, gibt der Standard diesen direkt vor. Auch die kurz vor ihrer Verabschiedung stehende Spezifikation für das Verschlüsselungsverfahren ChaCha20/Poly1305 in TLS sieht einen ähnlichen Mechanismus vor. Eine Implementierung, die den Nonce fehlerhaft implementiert, würde damit sofort auffallen, da mit korrekt arbeitenden Implementierungen keine Verbindung zustande käme.

Auch auf der grundlegenden Ebene der Algorithmen gibt es Ansätze, die Wahl der Nonces sicherer zu gestalten. Verschlüsselungsmodi mit sogenannten Synthetic IVs (SIV) generieren den Initialisierungsvektor selbst, er muss nicht durch die Implementierung oder das Protokoll gesetzt werden. Im Rahmen des Caesar-Wettbewerbs sind mehrere Verfahren vorgeschlagen worden, die dies umsetzen, auch wird zur Zeit eine Variante des GCM-Verfahrens namens AES-GCM-SIV in der IETF diskutiert.

Die entdeckten Sicherheitslücken mit fehlerhaften Nonces sind keine Schwäche des TLS-Protokolls selbst, es handelt sich um Fehler in der Implementierung. Doch einmal mehr zeigt sich, welche Tücken es bei der korrekten Implementierung von TLS gibt. Es scheint, dass fast jeder Fehler, den man bei der Implementierung von TLS machen kann, auch von irgendwem gemacht wird.

Der Code, der für den Scan verwendet wurde, sowie der Code für den Angriff wurden auf Github veröffentlicht.

 TLS/GCM: Gefahr durch doppelte Nonces

eye home zur Startseite
Moe479 21. Mai 2016

naja, wenn sicherheit allein durch nichtwissen gewährleistet wird, dann ist das securety...

longthinker 20. Mai 2016

Was ist denn das für ein seltsamer Einwand? Sicherheit ist bei VISA ausschließlich direkt...

v2nc 20. Mai 2016

Haha hab mich schäbig gelacht

hannob (golem.de) 20. Mai 2016

Wir haben uns das natürlich auch gefragt. Zumindest für die zwei identischen Werte (die...



Anzeige

Stellenmarkt
  1. heroal - Johann Henkenjohann GmbH & Co. KG, Verl
  2. L-Bank Staatsbank für Baden-Württemberg, Karlsruhe
  3. HFO Telecom AG, Oberkotzau (Raum Hof)
  4. operational services GmbH & Co. KG, Berlin, Dresden


Anzeige
Spiele-Angebote
  1. 1,49€
  2. 64,97€/69,97€
  3. 3,00€

Folgen Sie uns
       


  1. Skylake-X

    Intel kontert mit Core i9 und 18 Kernen

  2. Mobile-Games-Auslese

    Weltraumkartoffel und Bilderbuchwanderung für mobile Spieler

  3. Experten fordern Grenzen

    Smartphones können Kinder krank machen

  4. Wifi4EU

    EU will kostenlose WLAN-Hotspots fördern

  5. In eigener Sache

    Studentenrabatt für die große Quantenkonferenz von Golem.de

  6. Obsoleszenz

    Apple repariert zahlreiche Macbooks ab Mitte 2017 nicht mehr

  7. Komplett-PC

    In Nvidias Battleboxen steckt AMDs Ryzen

  8. Internet

    Cloudflare macht IPv6 parallel zu IPv4 jetzt zur Pflicht

  9. Square Enix

    Neustart für das Final Fantasy 7 Remake

  10. Agesa 1006

    Ryzen unterstützt DDR4-4000



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Razer Core im Test: Grafikbox + Ultrabook = Gaming-System
Razer Core im Test
Grafikbox + Ultrabook = Gaming-System
  1. Gaming-Notebook Razer will das Blade per GTX 1070 aufrüsten
  2. Razer Lancehead Symmetrische 16.000-dpi-Maus läuft ohne Cloud-Zwang
  3. 17,3-Zoll-Notebook Razer aktualisiert das Blade Pro mit THX-Zertifizierung

Matebook X und E im Hands on: Huawei kann auch Notebooks
Matebook X und E im Hands on
Huawei kann auch Notebooks
  1. Matebook X Huawei stellt erstes Notebook vor
  2. Trotz eigener Geräte Huawei-Chef sieht keinen Sinn in Smartwatches
  3. Huawei Matebook Erste Infos zu kommenden Huawei-Notebooks aufgetaucht

Debatte nach Wanna Cry: Sicherheitslücken veröffentlichen oder zurückhacken?
Debatte nach Wanna Cry
Sicherheitslücken veröffentlichen oder zurückhacken?
  1. Android-Apps Rechtemissbrauch ermöglicht unsichtbare Tastaturmitschnitte
  2. Sicherheitslücke Fehlerhaft konfiguriertes Git-Verzeichnis bei Redcoon
  3. Hotelketten Buchungssystem Sabre kompromittiert Zahlungsdaten

  1. Re: ich dachte Apple Geräte wären so langlebig

    mainframe | 09:39

  2. Re: Brechend: Die Dosis macht das Gift

    kendon | 09:38

  3. Re: Total verständlich.

    PedroKraft | 09:38

  4. Kann ich vollkommen bestätigen!

    AllDayPiano | 09:37

  5. Re: Akkuproblem noch viel schlimmer als bei PKW!

    tomatentee | 09:35


  1. 09:42

  2. 09:25

  3. 09:08

  4. 08:30

  5. 08:21

  6. 07:17

  7. 18:08

  8. 17:37


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel