Abo
  • Services:
Anzeige
Timing-Angriffe sind ein oft unterschätztes Sicherheitsproblem.
Timing-Angriffe sind ein oft unterschätztes Sicherheitsproblem. (Bild: Wilfredor/Wikimedia Commons)

Verschlüsselung: Encrypt-then-MAC für TLS standardisiert

Eine neue TLS-Erweiterung ermöglicht es, die Reihenfolge zwischen Authentifizierung und Verschlüsselung zu ändern. Die bisherige Methode führte zu Sicherheitsproblemen wie der Lucky-Thirteen-Attacke.

Anzeige

Die TLS-Arbeitsgruppe der Internet Engineering Task Force (IETF) hat einen Standard veröffentlicht, der ein seit langem bekanntes Problem von verschlüsselten TLS-Verbindungen beheben soll. Als RFC 7366 wurde ein Mechanismus namens Encrypt-then-MAC nun verabschiedet.

Der Hintergrund ist die Reihenfolge, in der bei einer TLS-Verbindung Verschlüsselung und Authentifizierung stattfinden. Eine mit TLS abgesicherte Verbindung soll für die beteiligten Nutzer zwei Dinge gewährleisten: Die Daten sollen für einen Angreifer nicht lesbar sein und ein Angreifer soll nicht in der Lage sein, die Daten auf dem Transportweg zu manipulieren.

Angriff mittels Padding Oracle

Die meisten Verschlüsselungsalgorithmen von TLS nutzen hierfür eine Kombination aus einer Blockverschlüsselung (heute üblicherweise AES) im CBC-Modus und dem Authentifizierungsverfahren HMAC. Klassischerweise kombiniert TLS diese Verfahren in der Reihenfolge MAC-then-Encrypt: Zuerst wird mittels HMAC ein Authentifizierungstoken gebildet, anschließend werden Nachricht und HMAC-Token mittels eines Paddings aufgefüllt und verschlüsselt.

Das Problem dabei: Beim Empfänger können hier bei fehlerhaften Paketen zwei verschiedene Fehler auftreten. Entweder ist das Padding fehlerhaft oder die HMAC-Prüfung scheitert. Genau diesen Unterschied kann ein Angreifer ausnutzen und damit im schlimmsten Fall den geheimen, temporären Schlüssel einer TLS-Verbindung knacken. Dieser Angriff, der als Padding Oracle bekannt ist, wurde bereits 2002 auf der Eurocrypt-Konferenz vorgestellt. Um ihn zu beheben, wurde eine kleine Änderung eingeführt: Statt zwei unterschiedlichen Fehlermeldungen wird, egal welcher Fehler auftritt, dieselbe Fehlermeldung verschickt.

Unzureichender Workaround

Doch selbst bei identischen Fehlermeldungen gibt es für den Angreifer eine Möglichkeit, die beiden Fehler zu unterscheiden: Der Empfänger benötigt unterschiedlich lange Pakete, um einen Padding-Fehler oder einen HMAC-Fehler zu erkennen. Anhand der Antwortzeit kann ein Angreifer also weiterhin die beiden Fehlertypen unterscheiden und erhält Informationen über den Schlüssel - ein typischer Timing-Angriff. 2008 bei der Verabschiedung des TLS 1.2-Standards war die Problematik des Padding Oracles samt Timing bekannt und es gab bereits Gegenmaßnahmen - allerdings nur unzureichende. Das war den Autoren auch bewusst, sie hielten das Problem aber für nicht ausnutzbar. So schrieben sie: "Dies lässt einen kleinen Timing-Kanal bestehen [...], aber wir glauben nicht dass dieser groß genug ist um angreifbar zu sein [...]" (RFC 5246, Seite 23).

Das erwies sich als fataler Irrtum: Einige Jahre später gelang es Sicherheitsforschern, genau dieses bereits im Standard erwähnte Problem praktisch auszunutzen. Dieser Angriff wurde als Lucky-Thirteen-Attacke bekannt. Gegen die Lucky-Thirteen-Attacke wurden Workarounds in die gängigen Browser und TLS-Bibliotheken eingebaut, aber trotzdem gab es den Wunsch, das Problem generell zu beheben.

Zuerst verschlüsseln

Während es früher noch strittig war, welche Reihenfolge für kombinierte Verschlüsselung und Authentifizierung die korrekte ist, sind sich Kryptographen heute weitgehend einig, dass zuerst verschlüsselt und anschließend authentifiziert werden sollte. Der Grund: Wenn ein Angreifer irgendwelche Fehler in das Datenpaket einschleust, schlägt zuerst die Authentifizierung fehl. Solange ein sicheres Authentifizierungsverfahren verwendet wird, gibt es keine Möglichkeit, dass manipulierte Datenpakete weiterverarbeitet werden. Probleme wie das Padding Oracle oder die Lucky-Thirteen-Attacke sind somit von vornherein ausgeschlossen.

In der entsprechenden IETF-Arbeitsgruppe gab es daher eine längere Debatte darum, Encrypt-then-MAC für TLS einzuführen. Peter Gutmann, ein IT-Sicherheitsforscher von der Universität Auckland, hatte Anfang 2013 einen Entwurf für eine entsprechende Erweiterung vorgelegt. Diese Erweiterung wurde nach mehreren Änderungen jetzt offiziell verabschiedet.

Weitere Lösungen

Neben Encrypt-then-MAC gibt es weitere Möglichkeiten, die Probleme der Kombination aus Authentifizierung und Verschlüsselung zu beheben. So gibt es Verfahren, bei denen Authentifizierung und Verschlüsselung gleichzeitig durchgeführt werden. In TLS ist bislang dafür das Galois-/Counter-Mode-Verfahren (GCM) für AES spezifiziert. Auch der Einsatz von Stromverschlüsselungsverfahren verhindert Angriffe wie Lucky Thirteen. Allerdings hat der einzige bislang in TLS verfügbare Stromverschlüsselungsalgorithmus RC4 andere Sicherheitsprobleme, die noch gravierender sind. Die Standardisierung des als sehr sicher geltenden Stromverschlüsselungsverfahrens ChaCha20 ist in Arbeit und wird von manchen Browsern bereits experimentell unterstützt.


eye home zur Startseite



Anzeige

Stellenmarkt
  1. J. Rettenmaier & Söhne GmbH + Co KG, Rosenberg
  2. Daimler AG, Saarbrücken
  3. operational services GmbH & Co. KG, Frankfurt, Berlin, Dresden
  4. AKDB Anstalt für kommunale Datenverarbeitung in Bayern, München


Anzeige
Top-Angebote
  1. 149,90€
  2. 77,00€ inkl. Versand im Idealo-Preisvergleich
  3. (heute u. a. Logitech Gaming-Produkte, Philips-TVs, Garmin-Produkte, Philips Hue Starter Set, Filme...

Folgen Sie uns
       


  1. Kaufberatung

    Die richtige CPU und Grafikkarte

  2. Bandai Namco

    Black Clover und andere Anime-Neuheiten

  3. Panono

    Crowdfunder können Kamera zu Produktionskosten kaufen

  4. Elon Musk

    The Boring Company baut einen Tunnel in Maryland

  5. Chinesischer Anbieter

    NIO will Elektro-SUV mit Wechsel-Akku anbieten

  6. Chipkarten-Hersteller

    Thales übernimmt Gemalto

  7. Porsche

    Betriebsratschef will E-Mails in der Freizeit löschen lassen

  8. DS218

    Neues Einsteiger-NAS-System mit Btrfs

  9. Testgelände

    BMW will in Tschechien autonome Autos erproben

  10. GTA 5

    Goldener Revolver für Red Dead Redemption 2 versteckt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Amazon Video auf Apple TV im Hands on: Genau das fehlt auf dem Fire TV
Amazon Video auf Apple TV im Hands on
Genau das fehlt auf dem Fire TV
  1. Amazon Verkaufsbann für Apple TV bleibt bestehen
  2. Smartphone-Speicherkapazität Wie groß der Speicher eines iPhones sein sollte
  3. Mate 10 Pro im Test Starkes Smartphone mit noch unauffälliger KI

Umrüstung: Wie der Elektromotor in den Diesel-Lkw kommt
Umrüstung
Wie der Elektromotor in den Diesel-Lkw kommt
  1. Uniti One Schwedisches Unternehmen Uniti stellt erstes Elektroauto vor
  2. LEVC London bekommt Elektrotaxis mit Range Extender
  3. Vehicle-to-Grid Honda macht Elektroautos zu Stromnetz-Puffern

Watch Series 3 im Praxistest: So hätte Apples erste Smartwatch sein müssen
Watch Series 3 im Praxistest
So hätte Apples erste Smartwatch sein müssen
  1. Apple Watch Apple veröffentlicht WatchOS 4.2
  2. Alivecor Kardiaband Uhrenarmband für Apple Watch zeichnet EKG auf
  3. Smartwatch Die Apple Watch lieber nicht nach dem Wetter fragen

  1. Re: Festplatten inbegriffen?

    DetlevCM | 12:04

  2. Das neue Topmodel von nVidia ist nicht die Titan...

    xmaniac | 12:04

  3. Re: EU beschlossenen Regeln zur Netzneutralität

    /mecki78 | 12:03

  4. Re: Warum?

    AllDayPiano | 12:03

  5. Re: Amazon ist nicht gängig?

    MrReset | 12:02


  1. 12:00

  2. 11:57

  3. 11:26

  4. 11:00

  5. 10:45

  6. 10:30

  7. 10:14

  8. 09:59


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel