Abo
  • IT-Karriere:

Verschlüsselung: Poodle gefährdet Verbindungen mit altem SSL

Eine Lücke in einem uralten SSL-Protokoll gefährdet die Sicherheit von Netzverbindungen. Poodle ist jedoch auch mit modernen Browsern ausnutzbar. Dafür sorgt ein Workaround, mit dem sich alte Protokollversionen erzwingen lassen.

Artikel veröffentlicht am , Hanno Böck
Poodle wurde die jetzt entdeckte SSL-Sicherheitslücke getauft.
Poodle wurde die jetzt entdeckte SSL-Sicherheitslücke getauft. (Bild: Luly, Wikimedia Commons, CC by 2.0)

Bereits vor einigen Tagen gab es erste Gerüchte, dass eine schwere Lücke im alten SSL-Protokoll Version 3 (SSLv3) verkündet werde. Nun wurden die Details bekannt. Die Lücke, die von ihren Entdeckern Poodle genannt wird, ist die Neuauflage eines eigentlich bekannten Problems, dem sogenannten Padding Oracle. Poodle steht für Padding Oracle On Downgraded Legacy Encryption und wurde von Google-Entwicklern entdeckt. Mit Heartbleed vergleichbar ist Poodle von den Auswirkungen nicht, trotzdem ist es eine ernstzunehmende Sicherheitslücke im SSL-Protokoll.

Probleme im CBC-Modus

Stellenmarkt
  1. VITA Zahnfabrik H. Rauter GmbH & Co. KG, Bad Säckingen
  2. über Becker + Partner Personalberatung für den Mittelstand, Raum Kaiserslautern

Das Problem ist wie schon bei vielen früheren Sicherheitslücken im SSL-Protokoll die Verschlüsselung im CBC-Modus und das dazugehörige Padding. Das Padding in der alten SSL-Version hat allerdings eine Besonderheit: Es kann beliebigen Inhalt haben, was sich mit einigen Tricks für den Poodle-Angriff ausnutzen lässt. Mit Hilfe von Javascript-Code, der in eine beliebige HTTP-Verbindung eingefügt wird, kann ein Angreifer eine Man-in-the-Middle-Attacke durchführen. Damit kann der Angreifer an geheime Informationen gelangen, die über mehrere Verbindungen vorhanden sind, beispielsweise HTTP-Session-Cookies, die nur verschlüsselt übertragen werden. Eine Beschreibung der technischen Details hat der Kryptograph Matthew Green in seinem Blog veröffentlicht.

Bereits 2001 wurde eine ähnliche Attacke gegen den CBC-Modus von SSL von Bodo Möller beschrieben. Möller, der inzwischen bei Google arbeitet, war auch diesmal an der Entdeckung der Lücke beteiligt. Die Attacke verwendet dabei weiterhin Methoden, die beim Beast-Angriff bereits vorgestellt wurden.

SSL Version 3 ist eigentlich uralt. Es handelt sich noch um das ursprünglich von Netscape entwickelte SSL-Protokoll. Es wurde bereits 1999 durch TLS 1.0 abgelöst. Verbindungen mit der alten SSL-Version sind selten, aber eine Besonderheit von Webbrowsern macht Poodle dennoch zu einer kritischen Sicherheitslücke: Fast alle aktuellen Browser versuchen bei fehlgeschlagenen TLS-Verbindungen, sich erneut mit einer älteren Protokollversion zu verbinden. Eigentlich sollte das nicht nötig sein, denn korrekt arbeitende TLS-Implementierungen können dem Browser nach dem Verbindungsaufbau signalisieren, dass sie nur eine ältere Protokollversion unterstützen.

Doch manche fehlerhaften Implementierungen sind dazu nicht in der Lage und beantworten Verbindungsversuche mit neueren TLS-Versionen überhaupt nicht. Deswegen gibt es Workarounds in Browsern, die in dem Fall Verbindungen mit älteren Protokollversionen versuchen. Genau dort liegt das Problem: Ein Angreifer kann sämtliche Verbindungen mit TLS verhindern und somit eine Verbindung mit dem alten SSL-Protokoll erzwingen.

Während es bei früheren SSL-Protokoll-Problemen wie Beast oder Lucky Thirteen praktikable Workarounds gab, ist das offenbar bei Poodle nicht der Fall. SSL 3 unterstützt neben den CBC-Verschlüsselungsmodi nur RC4, was aufgrund anderer Sicherheitslücken ebenfalls keine Alternative darstellt.

SSL 3 deaktivieren

Die einfachste und vermutlich in den meisten Fällen empfehlenswerte Lösung ist die Abschaltung von SSL Version 3. Das kann sowohl auf Servern als auch in Clientanwendungen passieren. Wenn entweder der Client oder der Server die Verbindung mit der alten SSL-Version verweigern, ist man vor Poodle geschützt. Kompatibilitätsprobleme gibt es damit kaum. Server, die nur mit der alten SSL-Version erreichbar sind, gibt es nahezu keine.

Wird serverseitig SSL Version 3 deaktiviert, werden Nutzer einiger alter Browser ausgesperrt, beispielsweise des Internet Explorers Version 6 unter Windows XP. Aber selbst Windows XP unterstützt das neuere TLS 1.0, wenn Updates eingespielt werden. In vielen Empfehlungen für sichere TLS-Konfigurationen wird die Abschaltung von SSL Version 3 schon länger empfohlen.

Protokoll-Downgrades mit SCSV verhindern

Eine Möglichkeit, die Protokoll-Downgrades der Browser zu verhindern, ist die bisher nur als Entwurf vorhandene TLS-Erweiterung SCSV. Dabei sendet der Client dem Server in der Liste der Ciphersuiten ein Signal, dass er eine bestimmte TLS-Version unterstütze. Der Server kann anschließend die Verbindung mit niedrigeren Protokollversionen verweigern. Die SCSV-Erweiterung wird bislang allerdings nur von einzelnen Browsern unterstützt, auf Servern ist sie kaum verbreitet. Die Einführung von SCSV wäre auch ohne SSL 3 noch sinnvoll, weil damit auch Downgrades beispielsweise von TLS 1.2 auf TLS 1.0 erzwungen werden können.

Google plant offenbar, in Chrome mittelfristig SSL 3 komplett zu deaktivieren. Vorerst wurde laut Chrome-Entwickler Adam Langley der Workaround für ältere Protokollversionen so geändert, dass ein Downgrade auf SSL 3 nicht mehr möglich ist. Eine Verbindung mittels SSL Version 3 ist somit nicht mehr durch einen Angreifer erzwingbar, sie wird nur noch bei Servern aufgebaut, die ausschließlich diese alte SSL-Version unterstützen. Firefox wird mit der kommenden Version 34 das alte SSL-Protokoll deaktivieren.

Nutzer, die die alte SSL-Version schon jetzt abschalten möchten, können dies manuell tun. In Chrome und Chromium geht dies auf der Kommandozeile mit dem Parameter -ssl-version-min=tls1. In Firefox kann man unter about:config den Wert security.tls.version.min auf 1 setzen.

Gerüchteküche vorab

Bereits am Sonntag hatte es bei Twitter erste Diskussionen über eine mögliche Sicherheitslücke in SSL Version 3 gegeben. Zunächst war davon die Rede, dass Microsoft die Lücke entdeckt habe - offenbar eine Falschinformation. Da sich SSL 3 nur geringfügig von TLS 1.0 unterscheidet, suchten bereits einige Kryptographie-Experten nach dem möglichen Problem. Auf der Webseite Stackexchange gab es Spekulationen, die der eigentlichen Lücke offenbar ziemlich nahe kamen.



Anzeige
Top-Angebote
  1. 19,99€
  2. 124,99€ (Bestpreis!)
  3. 61,80€
  4. (u. a. Football Manager 2019 für 17,99€, Car Mechanic Simulator 2018 für 7,99€, Forza Horizon...

v2nc 26. Jun 2015

Wer benutzt Internet Explorer ?

FreiGeistler 15. Okt 2014

Super Danke! :D


Folgen Sie uns
       


Asrock DeskMini A300 - Test

Der DeskMini A300 von Asrock ist ein Mini-PC mit weniger als zwei Litern Volumen. Der kleine Rechner basiert auf einer Platine mit Sockel AM4 und eignet sich daher für Raven-Ridge-Chips wie den Athlon 200GE oder den Ryzen 5 2400G.

Asrock DeskMini A300 - Test Video aufrufen
Kontist, N26, Holvi: Neue Banking-Apps machen gute Angebote für Freelancer
Kontist, N26, Holvi
Neue Banking-Apps machen gute Angebote für Freelancer

Ein mobiles und dazu noch kostenloses Geschäftskonto für Freiberufler versprechen Startups wie Kontist, N26 oder Holvi. Doch sind die Newcomer eine Alternative zu den Freelancer-Konten der großen Filialbanken? Ja, sind sie - mit einer kleinen Einschränkung.
Von Björn König


    Mordhau angespielt: Die mit dem Schwertknauf zuschlagen
    Mordhau angespielt
    Die mit dem Schwertknauf zuschlagen

    Ein herausfordernd-komplexes Kampfsystem, trotzdem schnelle Action mit Anleihen bei Chivalry und For Honor: Das vom Entwicklerstudio Triternion produzierte Mordhau schickt Spieler in mittelalterlich anmutende Multiplayergefechte mit klirrenden Schwertern und hohem Spaßfaktor.
    Von Peter Steinlechner

    1. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle
    2. Bright Memory angespielt Brachialer PC-Shooter aus China

    Chromium: Der neue Edge-Browser könnte auch Chrome besser machen
    Chromium
    Der neue Edge-Browser könnte auch Chrome besser machen

    Build 2019 Wie sieht die Zukunft des Edge-Browsers aus und was will Microsoft zum Chromium-Projekt beitragen? Im Gespräch mit Golem.de gibt das Unternehmen die vage Aussicht auf einen Release für Linux und Verbesserungen in Google Chrome. Bis dahin steht viel Arbeit an.
    Von Oliver Nickel

    1. Insiderprogramm Microsoft bietet Vorversionen von Edge für den Mac an
    2. Browser Edge auf Chromium-Basis wird Netflix in 4K unterstützen
    3. Browser Microsoft lässt nur Facebook auf Flash-Whitelist in Edge

      •  /