Abo
  • Services:
Anzeige
Symantec fiel auf einen falschen privaten Schlüssel herein.
Symantec fiel auf einen falschen privaten Schlüssel herein. (Bild: Hanno Böck)

TLS-Zertifikate: Symantec fällt auf falschen Key herein

Symantec fiel auf einen falschen privaten Schlüssel herein.
Symantec fiel auf einen falschen privaten Schlüssel herein. (Bild: Hanno Böck)

Wenn ein privater Schlüssel von einem Webseitenzertifikat offen im Netz landet, sollten Zertifizierungsstellen das entsprechende Zertifikat zurückziehen. Symantec tat dies nun auch bei einem privaten Schlüssel, der überhaupt nicht echt war.

Immer wieder passiert es, dass Webmaster versehentlich die privaten Schlüssel ihrer Webseitenzertifikate veröffentlichen, ob auf Github, eingebettet in Applikationen oder, wie wir kürzlich herausfanden, einfach auf dem eigenen Webserver.

Anzeige

Die Sicherheit einer verschlüsselten HTTPS-Verbindung ist natürlich nicht mehr gewährleistet, wenn der dazugehörige Schlüssel öffentlich bekannt ist. Wird ein solcher kompromittierter Schlüssel an eine Zertifizierungsstelle gemeldet, dann muss diese das entsprechende Zertifikat zurückziehen (revoken). Dafür gibt es eine relativ knappe Frist: Laut den Baseline Requirements, einem Regelwerk, auf das sich Browser und Zertifizierungsstellen geeinigt haben, sollte das Zertifikat innerhalb von 24 Stunden zurückgezogen werden.

Wie fälscht man einen privaten Schlüssel?

Dabei stellt sich eine naheliegende Frage: Wie prüfen die Zertifizierungsstellen eigentlich, ob ein privater Schlüssel echt ist und wirklich zu einem Zertifikat gehört? Und würde es auffallen, wenn man mit einem falschen, aber echt aussehenden privaten Schlüssel eine Zertifikats-Revocation beantragt?

Der Autor dieses Texts registrierte sich für ein Experiment zwei Domains und beantragte bei Symantec und Comodo, den beiden größten kommerziellen Zertifizierungsstellen, kostenlose Testzertifikate. Die Domains waren mit anonymen Whois-Informationen registriert, bei der Zertifikatsbestellung wurde kein echter Name angegeben.

TLS-Zertifikate nutzen in aller Regel das RSA-Verfahren. Ein öffentlicher RSA-Schlüssel, der Teil des Zertifiakts ist, besteht aus zwei Zahlenwerten, dem Modulus (üblicherweise mit N bezeichnet) und dem Exponenten (e). Ein privater Schlüssel enthält zunächst ebenfalls die beiden Werte des öffentlichen Schlüssels und einige weitere, geheime Zahlenwerte.

Einen falschen Schlüssel kann man sich erstellen, indem man die beiden Zahlenwerte des öffentlichen Schlüssels nimmt und mit unsinnigen Daten aus einem beliebigen anderen privaten Schlüssel erstellt. Natürlich ist ein solcher Schlüssel fehlerhaft und funktioniert auch nicht korrekt. Doch wenn nur naiv geprüft wird, ob der öffentliche Teil des privaten Schlüssels zum Zertifikat passt, sieht es so aus, als ob beide zusammengehören.

Der Autor legte entsprechend präparierte falsche Schlüssel auf der Plattform Pastebin ab. Dort kann man anonym und ohne viel Aufwand Textdateien hochladen, die dann dort öffentlich einsehbar sind. Um das ganze unauffälliger zu gestalten, suchten wir noch eine Reihe von echten privaten Schlüsseln, die auf Pastebin zu finden waren und zu echten Zertifikaten gehörten. Comodo und Symantec wurden also mehrere tatsächlich kompromittierte Schlüssel zusammen mit dem falschen Schlüssel gemeldet.

Comodo fiel nicht auf den Trick herein - Symantec schon

Comodo durchschaute den Trick und zog nur die tatsächlich kompromittierten Zertifikate zurück. Symantec hingegen zog auch das Zertifikat mit dem gefälschen Schlüssel zurück. Die vermeintliche Besitzerin des Zertifikats informierte Symantec dabei nur mit verwirrenden Mails, aus denen nichts über einen veröffentlichten privaten Schlüssel hervorging.

Vermutlich hätte Symantec auch jedes andere Zertifikat zurückgezogen. Damit hätte man einigen Ärger verursachen können. Seiten, deren Zertifikat zurückgezogen ist, können in Browsern, die das entsprechend prüfen, nicht mehr oder nur nach dem Wegklicken einer Fehlermeldung aufgerufen werden.

Wer im Netz danach sucht, wie man am besten prüft, ob ein privater Schlüssel auch zu einem Zertifikat gehört, findet dazu kaum sinnvolle Informationen. Unzählige Anleitungen empfehlen, lediglich einen Hash des öffentlichen Modulus zu vergleichen - also genau das, was dazu führen würde, dass auch ein wie oben beschrieben gefälschter privater Schlüssel echt aussieht. Auch auf der Webseite von Symantec selbst findet man eine entsprechende Anleitung. Comodo hatte ebenfalls eine solche falsche Anleitung, hat sie jedoch inzwischen angepasst.

OpenSSL-Funktion würde ebenfalls auf den Trick hereinfallen

Auch an anderer Stelle findet man mißverständliche Hilfe. Eine OpenSSL-Funktion namens x509_check_private_key klingt laut ihrer Beschreibung so, als würde sie den privaten Schlüssel tatsächlich prüfen. Allerdings findet sich in der Dokumentation eine Sektion "BUGS", in der beschrieben ist, dass dies nicht wirklich geschieht und diese Funktion ebenfalls nur den öffentlichen Teil des Schlüssels vergleicht.

Diverse Online-Tools - eines davon bei Symantecs Marke RapidSSL - bieten ebenfalls an, zu prüfen, ob ein Zertifikat und ein Schlüssel zusammengehören. Kein einziges der Tools prüft korrekt. Dazu kommt, dass es generell äußerst fragwürdig erscheint, Nutzer darum zu bitten, ihren privaten Schlüssel in ein Webformular zu kopieren.

Es gibt verschiedene Möglichkeiten, tatsächlich die Korrektheit eines privaten Schlüssels zu prüfen. So kann man eine Testnachricht mit dem privaten Schlüssel signieren und anschließend mit den öffentlichen Schlüssel prüfen. Auch kann man die Werte des privaten Schlüssels auf ihre Konsistenz prüfen, OpenSSL hat dazu eine Kommandozeilenoption ("openssl rsa -check -in [key]").

Symantec hat inzwischen mit einem Blogpost auf den Vorfall reagiert. Demnach wurde bislang in solchen Fällen nur der öffentliche Modulus eines Keys verglichen, künftig soll der privaten Schlüssel korrekt geprüft werden. Weiterhin will Symantec seine Prozesse zur Information von Kunden in solchen Fällen überprüfen.

Symantec hatte mehrfach Zertifikate falsch ausgestellt

Für Symantec kommt dieser Vorfall zu einem ungünstigen Zeitpunkt. Die Zertifizierungsstelle steht in der Kritik, weil sie in der Vergangenheit mehrfach unberechtigt Zertifikate ausgestellt hatte.

Google hatte nach wiederholten Vorfällen drastische Maßnahmen angekündigt, die wohl letztendlich dazu führen werden, dass alle momentan gültigen Symantec-Zertifikate irgendwann nicht mehr akzeptiert werden. Wie genau diese Maßnahmen umgesetzt werden und welche Fristen dabei Symantec gewährt werden, wird nach wie vor diskutiert. Zuletzt hatte Reuters gemeldet, dass Symantec plant, sein Zertifikatsgeschäft zu verkaufen.

Eine ausführlichere Beschreibung des Vorfalls findet sich im Blog des Autors.


eye home zur Startseite
maeh86 22. Jul 2017

Neu ausstellen ist tatsächlich schnell gemacht (wobei das auch nur für domainvalidierte...

bjs 22. Jul 2017

vielleicht lag es am testzertifikat, dass es zu diesem fehler gekommen ist. ein...

Gunah 21. Jul 2017

werden laut Hetzner E-Mails nur noch Zertifikate angenommen, welche nach dem 01.06.2016...



Anzeige

Stellenmarkt
  1. convanced GmbH, Hannover, Hamburg oder Berlin
  2. Daimler AG, Berlin
  3. MAC Mode GmbH & Co. KGaA, Regensburg
  4. Rational AG, Landsberg am Lech


Anzeige
Blu-ray-Angebote
  1. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  2. 24,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. GTA 5

    Goldener Revolver für Red Dead Redemption 2 versteckt

  2. Geldwäsche

    EU will den Bitcoin weniger anonym machen

  3. Soziale Medien

    Facebook-Forscher finden Facebook problematisch

  4. Streit um Stream On

    Die Telekom spielt das Uber-Spiel

  5. US-Verteidigungsministerium

    Pentagon forschte jahrelang heimlich nach Ufos

  6. Age of Empires (1997)

    Mit sanftem "Wololo" durch die Antike

  7. Augmented Reality

    Google stellt Project Tango ein

  8. Uber vs. Waymo

    Uber spionierte Konkurrenten aus

  9. Die Woche im Video

    Amerika, Amerika, BVG, Amerika, Security

  10. HTTPS

    Fritzbox bekommt Let's Encrypt-Support und verrät Hostnamen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Vorratsdatenspeicherung: Die Groko funktioniert schon wieder
Vorratsdatenspeicherung
Die Groko funktioniert schon wieder
  1. Dieselgipfel Regierung fördert Elektrobusse mit 80 Prozent
  2. Gutachten Quote für E-Autos und Stop der Diesel-Subventionen gefordert
  3. Sackgasse EU-Industriekommissarin sieht Diesel am Ende

2-Minuten-Counter gegen Schwarzfahrer: Das sekundengenaue Handyticket ist möglich
2-Minuten-Counter gegen Schwarzfahrer
Das sekundengenaue Handyticket ist möglich

Kilopower: Ein Kernreaktor für Raumsonden
Kilopower
Ein Kernreaktor für Raumsonden
  1. Raumfahrt Nasa zündet Voyager-Triebwerke nach 37 Jahren
  2. Bake in Space Bloß keine Krümel auf der ISS
  3. Raumfahrtpionier Der Mann, der lange vor SpaceX günstige Raketen entwickelte

  1. Re: Immer noch kein Tweet von Trump

    cicero | 22:16

  2. Re: Was macht ein Operation System "einfach"?

    Mr Miyagi | 22:14

  3. Re: Und 2m daneben...

    jeckoBecko | 21:43

  4. Re: Austauschbare Staubfilter!!11111

    honna1612 | 21:36

  5. Re: Warum kein Alien uns unangekündigt besuchen wird

    ChMu | 21:29


  1. 14:17

  2. 13:34

  3. 12:33

  4. 11:38

  5. 10:34

  6. 08:00

  7. 12:47

  8. 11:39


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel