Abo
  • Services:
Anzeige
Hardware-Verschlüsselungsmodule von Utimaco verraten ihre geheimen Schlüssel auf elliptischen Kurven.
Hardware-Verschlüsselungsmodule von Utimaco verraten ihre geheimen Schlüssel auf elliptischen Kurven. (Bild: Utimaco)

Verschlüsselung: Punkte auf der falschen elliptischen Kurve

Hardware-Verschlüsselungsmodule von Utimaco verraten ihre geheimen Schlüssel auf elliptischen Kurven.
Hardware-Verschlüsselungsmodule von Utimaco verraten ihre geheimen Schlüssel auf elliptischen Kurven. (Bild: Utimaco)

Forscher der Ruhr-Universität Bochum haben einen schon lange bekannten Angriff auf Verschlüsselungsverfahren mit elliptischen Kurven in der Praxis umsetzen können. Verwundbar ist neben Java-Bibliotheken auch ein Hardware-Verschlüsselungsgerät von Utimaco.

Anzeige

Eine schon lange bekannte Schwäche von Verschlüsselungsverfahren auf Basis elliptischer Kurven haben Forscher der Ruhr-Universität Bochum in verschiedenen Implementierungen ausnutzen können. Auf der Bsides-Konferenz in Wien präsentierte Juraj Somorovsky die Forschungsergebnisse. In zwei Java-Bibliotheken war ein Angriff auf TLS-Verbindungen möglich, allerdings nur bei sehr selten eingesetzten Verschlüsselungsmodi. Weiterhin gelang es den Forschern, den privaten Schlüssel aus einem Hardware Security Module (HSM) der Firma Utimaco zu extrahieren.

Angriff bereits seit 15 Jahren bekannt

Die sogenannten Invalid-Curve-Angriffe wurden bereits im Jahr 2000 in einer Forschungsarbeit von Ingrid Biehl beschrieben. Bei Verschlüsselungsverfahren auf Basis elliptischer Kurven werden Berechnungen mit Punkten auf einer solchen Kurve durchgeführt. Die Idee des Angriffs: Die Algorithmen zur Berechnung der Kurvenpunkte funktionieren auch, wenn der Punkt sich auf einer anderen Kurve befindet.

Bei einem Diffie-Hellman-Schlüsselaustausch mit elliptischen Kurven besitzt jeder Teilnehmer des Schlüsselaustauschs einen geheimen Kurvenpunkt. Sendet nun einer der beiden Teilnehmer einen fehlerhaften Punkt, der sich auf einer deutlich kleineren Kurve befindet, kann er dadurch Informationen über den geheimen Kurvenpunkt des anderen Teilnehmers erhalten. Verhindern lässt sich der Angriff, indem jedes Mal geprüft wird, ob ein gesendeter Punkt wirklich auf der gemeinsam vereinbarten elliptischen Kurve liegt.

Bei einem gewöhnlichen Schlüsselaustausch, der auch als Ephemeral Key Exchange bezeichnet wird, ist der Angriff kein direktes Sicherheitsrisiko, da der geheime Kurvenpunkt nur für eine Verbindung gilt. Somit könnte ein Angreifer lediglich Informationen über den geheimen Schlüssel der aktuellen Verbindung erhalten, an der er selbst beteiligt ist. Allerdings unterstützt TLS auch einen eher selten genutzten statischen Schlüsselaustausch. Hierbei besitzt der Server ein Zertifikat, das den geheimen Schlüssel enthält.

JSSE und Bouncy Castle betroffen

Somorovsky und seine Kollegen Tibor Jager und Jörg Schwenk konnten bereits im September auf der Esorics-Konferenz in Wien zeigen, dass eine ältere Version der Java-Bibliothek Bouncy Castle (1.50) und die Java-eigene JSSE-Bibliothek für den Angriff anfällig sind. Ein entsprechendes Hintergrundpapier ist online verfügbar. Bei Bouncy Castle funktionierte der Angriff direkt, 3.300 Verbindungen mit fehlerhaften Kurvenpunkten waren dafür notwendig.

Bei JSSE gestaltete sich der Angriff etwas schwieriger. Es stellte sich heraus, dass die Java-Bibliothek bestimmte Berechnungen von elliptischen Kurven fehlerhaft durchführt. Im normalen Betrieb war das kein Problem, da dieser Fehler dort nur sehr selten auftritt. Bei elliptischen Kurven mit weniger Kurvenpunkten trat der Fehler jedoch gehäuft auf. Er führte somit dazu, dass der Angriff deutlich erschwert wurde, möglich war er jedoch trotzdem. Nach etwa 17.000 Serververbindungen ließ sich der Serverschlüssel knacken. Somorovsky erklärte, dass er selbst nicht sicher sei, ob es sich dabei um eine bewusste Optimierung der Java-Bibliothek handele, die Fehler produziere, oder einen weiteren Bug.

Fehler in Hardware Security Module von Utimaco bestätigt

Zusammen mit Dennis Felsch führte Somorovsky einen weiteren Test des Angriffs durch, diesmal bei einem Hardware Security Module (HSM). Das Ziel von Hardware Security Modules ist es, den privaten Schlüssel im Gerät verborgen zu halten. Es ist im Normalfall nicht möglich, den Schlüssel mittels Software zu extrahieren. Hardware Security Modules werden häufig von Zertifizierungsstellen genutzt, da diese besonders hohe Sicherheitsanforderungen haben.

Mit knapp 100 Verbindungen gelang es Somorovsky und Felsch, den privaten Schlüssel aus einem Utimaco-Gerät aus der Secure-Server-Reihe zu extrahieren. Die Utimaco-Geräte sind nach dem Standard FIPS 140-2 Level 3 zertifiziert, der eigentlich genau solche Angriffe verhindern soll. Utimaco hat den Fehler bestätigt und ein Update für die Firmware bereitgestellt.

"Diese Analyse war möglich dank einer Kooperation von Utimaco mit unserem Institut", sagte Juraj Somorovsky Golem.de. "Es wäre wünschenswert, dass andere HSM-Hersteller ihre Geräte ähnlichen Tests unterziehen."

Angriffe vermeiden

Das Safecurves-Projekt von Dan Bernstein und Tanja Lange empfiehlt, die Angriffe mit falschen Kurvenpunkten bereits durch das Algorithmendesign zu vermeiden. Manche elliptische Kurven lassen sich als sogenannte Montgomery-Form darstellen, und die Kurvenpunkte können komprimiert versendet werden. Dabei werden dann lediglich die X-Koordinate und das Vorzeichen der Y-Koordinate übermittelt.

In dieser Form hat ein Angreifer nicht mehr die Möglichkeit, Punkte auf beliebigen ungültigen Kurven zu verschicken. Lediglich eine einzige ungültige Kurve bleibt übrig. Wählt man die geeignete elliptische Kurve, kann man sicherstellen, dass die übrige Kurve nicht angreifbar ist. Diese Eigenschaft wird auch als Twist-Security bezeichnet. Die momentanen Entwürfe der Kryptographie-Arbeitsgruppe der IETF zum Einsatz der von Bernstein entwickelten Kurve Curve25519 und von Curve448 sehen diese Vorsichtsmaßnahmen bereits vor.

Die statischen Schlüsselaustauschmodi von TLS werden generell nur sehr selten genutzt und sind auch aus anderen Gründen problematisch. Im August konnten österreischische Forscher einen Angriff zeigen, bei dem ein Angreifer, dem es gelingt, einem Nutzer ein Clientzertifikat unterzuschieben, damit unter bestimmten Umständen einen Man-in-the-Middle-Angriff durchführen kann. Da die statischen Schlüsselaustauschmodi praktisch keine Vorteile haben und auch keine Forward-Secrecy-Sicherheit bieten, ist es als weitere Vorsichtsmaßnahme sinnvoll, generell in Applikationen auf diese Modi zu verzichten.


eye home zur Startseite
hannob (golem.de) 26. Nov 2015

Der konkrete Anlass das jetzt zu bringen war der Vortrag auf der BSides. Neu war da im...

peter.neter1887 26. Nov 2015

Die FIPS-Zertifizierung ist ein Witz. Sie schreibt nur vor welche Algorithmen wie zu...



Anzeige

Stellenmarkt
  1. mobileX AG, München
  2. SARSTEDT AG & Co., Nümbrecht-Rommelsdorf
  3. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
  4. über Baumann Unternehmensberatung AG, Ingolstadt, München, Stuttgart


Anzeige
Spiele-Angebote
  1. (-50%) 19,99€
  2. 35,00€ (nur für Prime-Mitglieder)
  3. (-78%) 8,99€

Folgen Sie uns
       


  1. BMW Motorrad Concept Link

    Auch BMW plant Elektromotorrad

  2. Solar Roof

    Teslas Sonnendachziegel bis Ende 2018 ausverkauft

  3. Cortex-A75

    ARM bringt CPU-Kern für Windows-10-Geräte

  4. Cortex-A55

    ARMs neuer kleiner Lieblingskern

  5. Mali-G72

    ARMs Grafikeinheit für Deep-Learning-Smartphones

  6. Service

    Telekom verspricht kürzeres Warten auf Techniker

  7. BVG

    Fast alle U-Bahnhöfe mit offenem WLAN

  8. Android-Apps

    Rechtemissbrauch ermöglicht unsichtbare Tastaturmitschnitte

  9. Electro Fluidic Technology

    Schnelles E-Paper-Display für Video-Anwendungen

  10. Heiko Maas

    "Kein Wunder, dass Facebook seine Vorgaben geheim hält"



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
XPS 13 (9365) im Test: Dells Convertible zeigt alte Stärken und neue Schwächen
XPS 13 (9365) im Test
Dells Convertible zeigt alte Stärken und neue Schwächen
  1. Prozessor Intel wird Thunderbolt 3 in CPUs integrieren
  2. Schnittstelle Intel pflegt endlich Linux-Treiber für Thunderbolt
  3. Atom C2000 & Kaby Lake Updates beheben Defekt respektive fehlendes HDCP 2.2

Calliope Mini im Test: Neuland lernt programmieren
Calliope Mini im Test
Neuland lernt programmieren
  1. Arduino Cinque RISC-V-Prozessor und ESP32 auf einem Board vereint
  2. MKRFOX1200 Neues Arduino-Board erscheint mit kostenlosem Datentarif
  3. Creoqode 2048 Tragbare Spielekonsole zum Basteln erhältlich

Tado im Langzeittest: Am Ende der Heizperiode
Tado im Langzeittest
Am Ende der Heizperiode
  1. Speedport Smart Telekom bringt Smart-Home-Funktionen auf den Speedport
  2. Tapdo Das Smart Home mit Fingerabdrücken steuern
  3. Mehr Möbel als Gadget Eine Holzfernbedienung für das Smart Home

  1. Re: Ist das nicht Energieverschwendung?

    NaruHina | 08:00

  2. Re: Liquivista

    kossmoboleat | 07:57

  3. Re: Pay to Win?

    david_rieger | 07:57

  4. Mal wieder ...

    MrReset | 07:47

  5. Re: Schadensersatzpflicht für fahrlässige...

    NaruHina | 07:41


  1. 08:08

  2. 07:46

  3. 06:00

  4. 06:00

  5. 06:00

  6. 12:31

  7. 12:15

  8. 11:33


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel