Abo
  • Services:

TLS/GCM: Gefahr durch doppelte Nonces

Moderne TLS-Verbindungen nutzen üblicherweise das AES-GCM-Verschlüsselungsverfahren. Das benötigt einen sogenannten Nonce-Wert, der sich nicht wiederholen darf. Ansonsten ist die Sicherheit dahin.

Artikel veröffentlicht am , Hanno Böck
Fremder Javascript-Code auf der dänischen Webseite von Visa - ein Angriff auf die fehlerhafte GCM-Verschlüsselung
Fremder Javascript-Code auf der dänischen Webseite von Visa - ein Angriff auf die fehlerhafte GCM-Verschlüsselung (Bild: Screenshot)

Die AES-Verschlüsselung im sogenannten Galois/Counter-Mode (GCM) hat sich für TLS-Verbindungen weitgehend durchgesetzt. Der Grund dafür ist, dass alle anderen Verschlüsselungsmodi, die von TLS unterstützt werden, in der Vergangenheit zahlreiche Sicherheitslücken hatten. Doch auch GCM ist nicht frei von Problemen. In einem Forschungsprojekt, an dem auch der Autor dieses Artikels beteiligt war, wurden Probleme bei der Generierung des sogenannten Nonce-Wertes untersucht. Eine Reihe von Webservern nutzt sich wiederholende Nonce-Werte, eine gravierende Sicherheitslücke. Betroffen sind unter anderem Webseiten des Kreditkartenkonzerns Visa.

Nonce-Wert muss einmalig sein

Inhalt:
  1. TLS/GCM: Gefahr durch doppelte Nonces
  2. Forbidden Attack

Eine Verschlüsselung mit dem GCM-Verfahren nutzt einen sogenannten Initialisierungsvektor, der zwölf Bytes lang ist. Vier Bytes davon sind durch das Protokoll vorgegeben, die übrigen acht Bytes muss die jeweilige TLS-Implementierung setzen. Wichtig dabei: Es handelt sich um einen sogenannten Nonce-Wert. Das bedeutet, dass dieser Wert für jede Verschlüsselungsoperation einmalig sein muss. Werden zwei Verschlüsselungsoperationen mit demselben Key und demselben Nonce durchgeführt, ist die Sicherheit des GCM-Verfahrens nicht mehr gewährleistet.

Die TLS-Spezifikation gibt leider keinerlei Hinweise, wie ein Nonce sicher generiert werden soll. Auf diesen Mangel der Spezifikation hat 2014 der Google-Entwickler Adam Langley hingewiesen. Langleys Blogpost war der Anlass für dieses Forschungsprojekt.

Im Grunde ist es kein Problem, einen sicheren Nonce zu erstellen: Am einfachsten ist es, einen Zähler zu verwenden. Sprich: Bei jeder weiteren Verschlüsselung wird der vorherige Nonce-Wert um eins erhöht. Ob man dabei mit einem zufälligen Wert oder mit Null anfängt, ist egal - beides ist sicher.

Stellenmarkt
  1. CSL Behring GmbH, Marburg
  2. Bosch Gruppe, Abstatt

Wie sich allerdings herausstellte, gibt es einige TLS-Implementierungen, bei denen die Nonce-Generierung fehlerhaft implementiert ist. Mittels eines internetweiten Scans fanden sich 184 HTTPS-Server, bei denen der Nonce nach wenigen Verschlüsselungen bereits wiederholt wird. Einige Server nutzten dabei permanent einen Nullwert als Nonce, andere schickten zwei identische Werte und zählten anschließend hoch, wieder andere nutzten zuerst eine Zufallszahl und für alle weiteren Verschlüsselungen einen Nullwert.

Visa-Server verwundbar

Zwar ist die Zahl der betroffenen Server nicht besonders hoch, doch darunter fanden sich einige prominente Namen. Betroffen waren und sind etwa eine Reihe von Webseiten des Kreditkartenkonzerns Visa. Im Januar wurde Visa über diese Sicherheitslücke informiert, es gab jedoch keine Reaktion.

Es gestaltete sich als schwierig, herauszufinden, welche Hersteller für die fehlerhaften TLS-Implementierungen verantwortlich sind. Viele betroffene Serverbetreiber beantworteten Mailanfragen nicht. Über Kontakte, die das österreichische Cert herstellte, konnten wir jedoch herausfinden, dass ein Serverbetreiber Geräte des Herstellers Radware nutzte. Radware hat inzwischen ein Firmwareupdate bereitgestellt.

Forbidden Attack 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

Moe479 21. Mai 2016

naja, wenn sicherheit allein durch nichtwissen gewährleistet wird, dann ist das securety...

longthinker 20. Mai 2016

Was ist denn das für ein seltsamer Einwand? Sicherheit ist bei VISA ausschließlich direkt...

v2nc 20. Mai 2016

Haha hab mich schäbig gelacht

hannob (golem.de) 20. Mai 2016

Wir haben uns das natürlich auch gefragt. Zumindest für die zwei identischen Werte (die...


Folgen Sie uns
       


Golem.de besucht Pininfarina (Reportage)

Golem.de hat bei Pininfarina in Turin hinter die Kulissen geschaut und sich mit den Designern des Elektrosportwagens PF0 unterhalten.

Golem.de besucht Pininfarina (Reportage) Video aufrufen
Resident Evil 2 angespielt: Neuer Horror mit altbekannten Helden
Resident Evil 2 angespielt
Neuer Horror mit altbekannten Helden

Eigentlich ein Remake - tatsächlich aber fühlt sich Resident Evil 2 an wie ein neues Spiel: Golem.de hat mit Leon und Claire gegen Zombies und andere Schrecken von Raccoon City gekämpft.
Von Peter Steinlechner

  1. Resident Evil Monster und Mafia werden neu aufgelegt

Requiem zur Cebit: Es war einmal die beste Messe
Requiem zur Cebit
Es war einmal die beste Messe

Nach 33 Jahren ist Schluss mit der Cebit und das ist mehr als schade. Wir waren dabei, als sie noch nicht nur die größte, sondern auch die beste Messe der Welt war - und haben dann erlebt, wie Trends verschlafen wurden. Ein Nachruf.
Von Nico Ernst

  1. IT-Messe Die Cebit wird eingestellt

Machine Learning: Wie Technik jede Stimme stehlen kann
Machine Learning
Wie Technik jede Stimme stehlen kann

Ein Unternehmen aus Südkorea arbeitet daran, Stimmen reproduzierbar und neu generierbar zu machen. Was für viele Branchen enorme Kosteneinsparungen bedeutet, könnte auch eine neue Dimension von Fake News werden.
Ein Bericht von Felix Lill

  1. AWS Amazon bietet seine Machine-Learning-Tutorials kostenlos an
  2. Random Forest, k-Means, Genetik Machine Learning anhand von drei Algorithmen erklärt
  3. Machine Learning Amazon verwirft sexistisches KI-Tool für Bewerber

    •  /