Abo
  • Services:

Verschlüsselung: Poodle gefährdet Verbindungen mit altem SSL

Eine Lücke in einem uralten SSL-Protokoll gefährdet die Sicherheit von Netzverbindungen. Poodle ist jedoch auch mit modernen Browsern ausnutzbar. Dafür sorgt ein Workaround, mit dem sich alte Protokollversionen erzwingen lassen.

Artikel veröffentlicht am , Hanno Böck
Poodle wurde die jetzt entdeckte SSL-Sicherheitslücke getauft.
Poodle wurde die jetzt entdeckte SSL-Sicherheitslücke getauft. (Bild: Luly, Wikimedia Commons, CC by 2.0)

Bereits vor einigen Tagen gab es erste Gerüchte, dass eine schwere Lücke im alten SSL-Protokoll Version 3 (SSLv3) verkündet werde. Nun wurden die Details bekannt. Die Lücke, die von ihren Entdeckern Poodle genannt wird, ist die Neuauflage eines eigentlich bekannten Problems, dem sogenannten Padding Oracle. Poodle steht für Padding Oracle On Downgraded Legacy Encryption und wurde von Google-Entwicklern entdeckt. Mit Heartbleed vergleichbar ist Poodle von den Auswirkungen nicht, trotzdem ist es eine ernstzunehmende Sicherheitslücke im SSL-Protokoll.

Probleme im CBC-Modus

Stellenmarkt
  1. Bosch Gruppe, Leonberg
  2. MHP Management- und IT-Beratung GmbH, Ludwigsburg

Das Problem ist wie schon bei vielen früheren Sicherheitslücken im SSL-Protokoll die Verschlüsselung im CBC-Modus und das dazugehörige Padding. Das Padding in der alten SSL-Version hat allerdings eine Besonderheit: Es kann beliebigen Inhalt haben, was sich mit einigen Tricks für den Poodle-Angriff ausnutzen lässt. Mit Hilfe von Javascript-Code, der in eine beliebige HTTP-Verbindung eingefügt wird, kann ein Angreifer eine Man-in-the-Middle-Attacke durchführen. Damit kann der Angreifer an geheime Informationen gelangen, die über mehrere Verbindungen vorhanden sind, beispielsweise HTTP-Session-Cookies, die nur verschlüsselt übertragen werden. Eine Beschreibung der technischen Details hat der Kryptograph Matthew Green in seinem Blog veröffentlicht.

Bereits 2001 wurde eine ähnliche Attacke gegen den CBC-Modus von SSL von Bodo Möller beschrieben. Möller, der inzwischen bei Google arbeitet, war auch diesmal an der Entdeckung der Lücke beteiligt. Die Attacke verwendet dabei weiterhin Methoden, die beim Beast-Angriff bereits vorgestellt wurden.

SSL Version 3 ist eigentlich uralt. Es handelt sich noch um das ursprünglich von Netscape entwickelte SSL-Protokoll. Es wurde bereits 1999 durch TLS 1.0 abgelöst. Verbindungen mit der alten SSL-Version sind selten, aber eine Besonderheit von Webbrowsern macht Poodle dennoch zu einer kritischen Sicherheitslücke: Fast alle aktuellen Browser versuchen bei fehlgeschlagenen TLS-Verbindungen, sich erneut mit einer älteren Protokollversion zu verbinden. Eigentlich sollte das nicht nötig sein, denn korrekt arbeitende TLS-Implementierungen können dem Browser nach dem Verbindungsaufbau signalisieren, dass sie nur eine ältere Protokollversion unterstützen.

Doch manche fehlerhaften Implementierungen sind dazu nicht in der Lage und beantworten Verbindungsversuche mit neueren TLS-Versionen überhaupt nicht. Deswegen gibt es Workarounds in Browsern, die in dem Fall Verbindungen mit älteren Protokollversionen versuchen. Genau dort liegt das Problem: Ein Angreifer kann sämtliche Verbindungen mit TLS verhindern und somit eine Verbindung mit dem alten SSL-Protokoll erzwingen.

Während es bei früheren SSL-Protokoll-Problemen wie Beast oder Lucky Thirteen praktikable Workarounds gab, ist das offenbar bei Poodle nicht der Fall. SSL 3 unterstützt neben den CBC-Verschlüsselungsmodi nur RC4, was aufgrund anderer Sicherheitslücken ebenfalls keine Alternative darstellt.

SSL 3 deaktivieren

Die einfachste und vermutlich in den meisten Fällen empfehlenswerte Lösung ist die Abschaltung von SSL Version 3. Das kann sowohl auf Servern als auch in Clientanwendungen passieren. Wenn entweder der Client oder der Server die Verbindung mit der alten SSL-Version verweigern, ist man vor Poodle geschützt. Kompatibilitätsprobleme gibt es damit kaum. Server, die nur mit der alten SSL-Version erreichbar sind, gibt es nahezu keine.

Wird serverseitig SSL Version 3 deaktiviert, werden Nutzer einiger alter Browser ausgesperrt, beispielsweise des Internet Explorers Version 6 unter Windows XP. Aber selbst Windows XP unterstützt das neuere TLS 1.0, wenn Updates eingespielt werden. In vielen Empfehlungen für sichere TLS-Konfigurationen wird die Abschaltung von SSL Version 3 schon länger empfohlen.

Protokoll-Downgrades mit SCSV verhindern

Eine Möglichkeit, die Protokoll-Downgrades der Browser zu verhindern, ist die bisher nur als Entwurf vorhandene TLS-Erweiterung SCSV. Dabei sendet der Client dem Server in der Liste der Ciphersuiten ein Signal, dass er eine bestimmte TLS-Version unterstütze. Der Server kann anschließend die Verbindung mit niedrigeren Protokollversionen verweigern. Die SCSV-Erweiterung wird bislang allerdings nur von einzelnen Browsern unterstützt, auf Servern ist sie kaum verbreitet. Die Einführung von SCSV wäre auch ohne SSL 3 noch sinnvoll, weil damit auch Downgrades beispielsweise von TLS 1.2 auf TLS 1.0 erzwungen werden können.

Google plant offenbar, in Chrome mittelfristig SSL 3 komplett zu deaktivieren. Vorerst wurde laut Chrome-Entwickler Adam Langley der Workaround für ältere Protokollversionen so geändert, dass ein Downgrade auf SSL 3 nicht mehr möglich ist. Eine Verbindung mittels SSL Version 3 ist somit nicht mehr durch einen Angreifer erzwingbar, sie wird nur noch bei Servern aufgebaut, die ausschließlich diese alte SSL-Version unterstützen. Firefox wird mit der kommenden Version 34 das alte SSL-Protokoll deaktivieren.

Nutzer, die die alte SSL-Version schon jetzt abschalten möchten, können dies manuell tun. In Chrome und Chromium geht dies auf der Kommandozeile mit dem Parameter -ssl-version-min=tls1. In Firefox kann man unter about:config den Wert security.tls.version.min auf 1 setzen.

Gerüchteküche vorab

Bereits am Sonntag hatte es bei Twitter erste Diskussionen über eine mögliche Sicherheitslücke in SSL Version 3 gegeben. Zunächst war davon die Rede, dass Microsoft die Lücke entdeckt habe - offenbar eine Falschinformation. Da sich SSL 3 nur geringfügig von TLS 1.0 unterscheidet, suchten bereits einige Kryptographie-Experten nach dem möglichen Problem. Auf der Webseite Stackexchange gab es Spekulationen, die der eigentlichen Lücke offenbar ziemlich nahe kamen.



Anzeige
Blu-ray-Angebote
  1. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)

v2nc 26. Jun 2015

Wer benutzt Internet Explorer ?

FreiGeistler 15. Okt 2014

Super Danke! :D


Folgen Sie uns
       


Tolino Shine 3 - Hands on

Der Shine 3 ist der neue E-Book-Reader der Tolino-Allianz. Das neue Modell bietet einen kapazitiven Touchscreen und erhält die Möglichkeit, die Farbtemperatur des Displaylichts zu verändern. Der Shine 3 ist für 120 Euro verfügbar.

Tolino Shine 3 - Hands on Video aufrufen
Agilität: Wenn alle bestimmen, wo es langgeht
Agilität
Wenn alle bestimmen, wo es langgeht

Agiles Arbeiten ist, als ob viele Menschen gemeinsam ein Auto fahren. Aber wie soll das gehen und endet das nicht im Riesenchaos?
Von Marvin Engel

  1. Software-Entwickler CDU will Online-Weiterbildung à la Netflix
  2. Bundesagentur für Arbeit Ausbildungsplätze in der Informatik sind knapp
  3. IT-Jobs "Jedes Unternehmen kann es besser machen"

Geforce RTX 2070 im Test: Diese Turing-Karte ist ihr Geld wert
Geforce RTX 2070 im Test
Diese Turing-Karte ist ihr Geld wert

Die Geforce RTX 2070 ist die günstigste oder eher am wenigsten teure Turing-Grafikkarte von Nvidia. Sie ist schneller und sparsamer als eine Geforce GTX 1080 oder Vega 64 und kostet je nach Modell fast genauso viel. Wir haben zwei Geforce-RTX-2070-Varianten von Asus und MSI getestet.
Ein Test von Marc Sauter

  1. Turing-Grafikkarten Geforce RTX werden sparsamer bei multiplen Displays
  2. Turing-Grafikkarten Nvidias Founder's Editions gehen offenbar reihenweise kaputt
  3. Nvidia Turing Geforce RTX sollen Adobe Dimension beschleunigen

Nach Skandal-Rede: Verschwörungstheoretiker Maaßen in den Ruhestand versetzt
Nach Skandal-Rede
"Verschwörungstheoretiker" Maaßen in den Ruhestand versetzt

Aus dem Wechsel ins Innenministerium wird nun doch nichts. Innenminister Seehofer kann an Verfassungsschutzchef Maaßen nach einer umstrittenen Rede nicht mehr festhalten.

  1. Geheimdienstkontrolle Maaßens Rede wurde von Whistleblower geleakt
  2. Koalitionsstreit beendet Maaßen wird Sonderberater Seehofers
  3. Nach Chemnitz-Äußerungen Seehofer holt sich Verfassungsschutzchef Maaßen

    •  /