Abo
  • Services:

TLS/GCM: Gefahr durch doppelte Nonces

Moderne TLS-Verbindungen nutzen üblicherweise das AES-GCM-Verschlüsselungsverfahren. Das benötigt einen sogenannten Nonce-Wert, der sich nicht wiederholen darf. Ansonsten ist die Sicherheit dahin.

Artikel veröffentlicht am , Hanno Böck
Fremder Javascript-Code auf der dänischen Webseite von Visa - ein Angriff auf die fehlerhafte GCM-Verschlüsselung
Fremder Javascript-Code auf der dänischen Webseite von Visa - ein Angriff auf die fehlerhafte GCM-Verschlüsselung (Bild: Screenshot)

Die AES-Verschlüsselung im sogenannten Galois/Counter-Mode (GCM) hat sich für TLS-Verbindungen weitgehend durchgesetzt. Der Grund dafür ist, dass alle anderen Verschlüsselungsmodi, die von TLS unterstützt werden, in der Vergangenheit zahlreiche Sicherheitslücken hatten. Doch auch GCM ist nicht frei von Problemen. In einem Forschungsprojekt, an dem auch der Autor dieses Artikels beteiligt war, wurden Probleme bei der Generierung des sogenannten Nonce-Wertes untersucht. Eine Reihe von Webservern nutzt sich wiederholende Nonce-Werte, eine gravierende Sicherheitslücke. Betroffen sind unter anderem Webseiten des Kreditkartenkonzerns Visa.

Nonce-Wert muss einmalig sein

Inhalt:
  1. TLS/GCM: Gefahr durch doppelte Nonces
  2. Forbidden Attack

Eine Verschlüsselung mit dem GCM-Verfahren nutzt einen sogenannten Initialisierungsvektor, der zwölf Bytes lang ist. Vier Bytes davon sind durch das Protokoll vorgegeben, die übrigen acht Bytes muss die jeweilige TLS-Implementierung setzen. Wichtig dabei: Es handelt sich um einen sogenannten Nonce-Wert. Das bedeutet, dass dieser Wert für jede Verschlüsselungsoperation einmalig sein muss. Werden zwei Verschlüsselungsoperationen mit demselben Key und demselben Nonce durchgeführt, ist die Sicherheit des GCM-Verfahrens nicht mehr gewährleistet.

Die TLS-Spezifikation gibt leider keinerlei Hinweise, wie ein Nonce sicher generiert werden soll. Auf diesen Mangel der Spezifikation hat 2014 der Google-Entwickler Adam Langley hingewiesen. Langleys Blogpost war der Anlass für dieses Forschungsprojekt.

Im Grunde ist es kein Problem, einen sicheren Nonce zu erstellen: Am einfachsten ist es, einen Zähler zu verwenden. Sprich: Bei jeder weiteren Verschlüsselung wird der vorherige Nonce-Wert um eins erhöht. Ob man dabei mit einem zufälligen Wert oder mit Null anfängt, ist egal - beides ist sicher.

Stellenmarkt
  1. BRZ Deutschland GmbH, Nürnberg
  2. Versicherungskammer Bayern, München

Wie sich allerdings herausstellte, gibt es einige TLS-Implementierungen, bei denen die Nonce-Generierung fehlerhaft implementiert ist. Mittels eines internetweiten Scans fanden sich 184 HTTPS-Server, bei denen der Nonce nach wenigen Verschlüsselungen bereits wiederholt wird. Einige Server nutzten dabei permanent einen Nullwert als Nonce, andere schickten zwei identische Werte und zählten anschließend hoch, wieder andere nutzten zuerst eine Zufallszahl und für alle weiteren Verschlüsselungen einen Nullwert.

Visa-Server verwundbar

Zwar ist die Zahl der betroffenen Server nicht besonders hoch, doch darunter fanden sich einige prominente Namen. Betroffen waren und sind etwa eine Reihe von Webseiten des Kreditkartenkonzerns Visa. Im Januar wurde Visa über diese Sicherheitslücke informiert, es gab jedoch keine Reaktion.

Es gestaltete sich als schwierig, herauszufinden, welche Hersteller für die fehlerhaften TLS-Implementierungen verantwortlich sind. Viele betroffene Serverbetreiber beantworteten Mailanfragen nicht. Über Kontakte, die das österreichische Cert herstellte, konnten wir jedoch herausfinden, dass ein Serverbetreiber Geräte des Herstellers Radware nutzte. Radware hat inzwischen ein Firmwareupdate bereitgestellt.

Forbidden Attack 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. (u. a. The Revenant, Spider-Man Homecoming, Jurassic World)
  2. (aktuell u. a. Intel NUC Kit 299€, ASUS ROG MAXIMUS XI HERO (WiFI) Call of Duty Black Ops 4...
  3. 3,79€
  4. (u. a. Shadow of the Tomb Raider Croft Edition 39,99€)

Moe479 21. Mai 2016

naja, wenn sicherheit allein durch nichtwissen gewährleistet wird, dann ist das securety...

longthinker 20. Mai 2016

Was ist denn das für ein seltsamer Einwand? Sicherheit ist bei VISA ausschließlich direkt...

v2nc 20. Mai 2016

Haha hab mich schäbig gelacht

hannob (golem.de) 20. Mai 2016

Wir haben uns das natürlich auch gefragt. Zumindest für die zwei identischen Werte (die...


Folgen Sie uns
       


Bright Memory Episode 1 - 10 Minuten Gameplay

Wir zeigen die ersten 10 Minuten von Bright Memory, dem actionreichen Indie-Ego-Shooter mit spektakulären Schwertkampf-Einlagen.

Bright Memory Episode 1 - 10 Minuten Gameplay Video aufrufen
Raspberry Pi: Spieglein, Spieglein, werde smart!
Raspberry Pi
Spieglein, Spieglein, werde smart!

Ein Spiegel, ein ausrangierter Monitor und ein Raspberry Pi sind die grundlegenden Bauteile, mit denen man sich selbst einen Smart Mirror basteln kann. Je nach Interesse können dort dann das Wetter, Fahrpläne, Nachrichten oder auch stimmungsvolle Bilder angezeigt werden.
Eine Anleitung von Christopher Bichl

  1. IoT mit LoRa und Raspberry Pi Die DNA des Internet der Dinge
  2. Bewegungssensor auswerten Mit Wackeln programmieren lernen
  3. Raspberry Pi Cam Babycam mit wenig Aufwand selbst bauen

Chromebook Spin 13 im Alltagstest: Tolles Notebook mit Software-Bremse
Chromebook Spin 13 im Alltagstest
Tolles Notebook mit Software-Bremse

Bei Chromebooks denken viele an billige, knarzende Laptops - das Spin 13 von Acer ist anders. Wir haben es einen Monat lang verwendet - und uns am Ende gefragt, ob der veranschlagte Preis für ein Notebook mit Chrome OS wirklich gerechtfertigt ist.
Ein Test von Tobias Költzsch


    Mac Mini mit eGPU im Test: Externe Grafik macht den Mini zum Pro
    Mac Mini mit eGPU im Test
    Externe Grafik macht den Mini zum Pro

    Der Mac Mini mit Hexacore-CPU eignet sich zwar gut für Xcode. Wer eine GPU-Beschleunigung braucht, muss aber zum iMac (Pro) greifen - oder eine externe Grafikkarte anschließen. Per eGPU ausgerüstet wird der Mac Mini viel schneller und auch preislich kann sich das lohnen.
    Ein Test von Marc Sauter

    1. Apple Mac Mini (Late 2018) im Test Tolles teures Teil - aber für wen?
    2. Apple Mac Mini wird grau und schnell
    3. Neue Produkte Apple will Mac Mini und Macbook Air neu auflegen

      •  /