Abo
  • Services:
Anzeige
Hardware-Verschlüsselungsmodule von Utimaco verraten ihre geheimen Schlüssel auf elliptischen Kurven.
Hardware-Verschlüsselungsmodule von Utimaco verraten ihre geheimen Schlüssel auf elliptischen Kurven. (Bild: Utimaco)

Verschlüsselung: Punkte auf der falschen elliptischen Kurve

Hardware-Verschlüsselungsmodule von Utimaco verraten ihre geheimen Schlüssel auf elliptischen Kurven.
Hardware-Verschlüsselungsmodule von Utimaco verraten ihre geheimen Schlüssel auf elliptischen Kurven. (Bild: Utimaco)

Forscher der Ruhr-Universität Bochum haben einen schon lange bekannten Angriff auf Verschlüsselungsverfahren mit elliptischen Kurven in der Praxis umsetzen können. Verwundbar ist neben Java-Bibliotheken auch ein Hardware-Verschlüsselungsgerät von Utimaco.

Anzeige

Eine schon lange bekannte Schwäche von Verschlüsselungsverfahren auf Basis elliptischer Kurven haben Forscher der Ruhr-Universität Bochum in verschiedenen Implementierungen ausnutzen können. Auf der Bsides-Konferenz in Wien präsentierte Juraj Somorovsky die Forschungsergebnisse. In zwei Java-Bibliotheken war ein Angriff auf TLS-Verbindungen möglich, allerdings nur bei sehr selten eingesetzten Verschlüsselungsmodi. Weiterhin gelang es den Forschern, den privaten Schlüssel aus einem Hardware Security Module (HSM) der Firma Utimaco zu extrahieren.

Angriff bereits seit 15 Jahren bekannt

Die sogenannten Invalid-Curve-Angriffe wurden bereits im Jahr 2000 in einer Forschungsarbeit von Ingrid Biehl beschrieben. Bei Verschlüsselungsverfahren auf Basis elliptischer Kurven werden Berechnungen mit Punkten auf einer solchen Kurve durchgeführt. Die Idee des Angriffs: Die Algorithmen zur Berechnung der Kurvenpunkte funktionieren auch, wenn der Punkt sich auf einer anderen Kurve befindet.

Bei einem Diffie-Hellman-Schlüsselaustausch mit elliptischen Kurven besitzt jeder Teilnehmer des Schlüsselaustauschs einen geheimen Kurvenpunkt. Sendet nun einer der beiden Teilnehmer einen fehlerhaften Punkt, der sich auf einer deutlich kleineren Kurve befindet, kann er dadurch Informationen über den geheimen Kurvenpunkt des anderen Teilnehmers erhalten. Verhindern lässt sich der Angriff, indem jedes Mal geprüft wird, ob ein gesendeter Punkt wirklich auf der gemeinsam vereinbarten elliptischen Kurve liegt.

Bei einem gewöhnlichen Schlüsselaustausch, der auch als Ephemeral Key Exchange bezeichnet wird, ist der Angriff kein direktes Sicherheitsrisiko, da der geheime Kurvenpunkt nur für eine Verbindung gilt. Somit könnte ein Angreifer lediglich Informationen über den geheimen Schlüssel der aktuellen Verbindung erhalten, an der er selbst beteiligt ist. Allerdings unterstützt TLS auch einen eher selten genutzten statischen Schlüsselaustausch. Hierbei besitzt der Server ein Zertifikat, das den geheimen Schlüssel enthält.

JSSE und Bouncy Castle betroffen

Somorovsky und seine Kollegen Tibor Jager und Jörg Schwenk konnten bereits im September auf der Esorics-Konferenz in Wien zeigen, dass eine ältere Version der Java-Bibliothek Bouncy Castle (1.50) und die Java-eigene JSSE-Bibliothek für den Angriff anfällig sind. Ein entsprechendes Hintergrundpapier ist online verfügbar. Bei Bouncy Castle funktionierte der Angriff direkt, 3.300 Verbindungen mit fehlerhaften Kurvenpunkten waren dafür notwendig.

Bei JSSE gestaltete sich der Angriff etwas schwieriger. Es stellte sich heraus, dass die Java-Bibliothek bestimmte Berechnungen von elliptischen Kurven fehlerhaft durchführt. Im normalen Betrieb war das kein Problem, da dieser Fehler dort nur sehr selten auftritt. Bei elliptischen Kurven mit weniger Kurvenpunkten trat der Fehler jedoch gehäuft auf. Er führte somit dazu, dass der Angriff deutlich erschwert wurde, möglich war er jedoch trotzdem. Nach etwa 17.000 Serververbindungen ließ sich der Serverschlüssel knacken. Somorovsky erklärte, dass er selbst nicht sicher sei, ob es sich dabei um eine bewusste Optimierung der Java-Bibliothek handele, die Fehler produziere, oder einen weiteren Bug.

Fehler in Hardware Security Module von Utimaco bestätigt

Zusammen mit Dennis Felsch führte Somorovsky einen weiteren Test des Angriffs durch, diesmal bei einem Hardware Security Module (HSM). Das Ziel von Hardware Security Modules ist es, den privaten Schlüssel im Gerät verborgen zu halten. Es ist im Normalfall nicht möglich, den Schlüssel mittels Software zu extrahieren. Hardware Security Modules werden häufig von Zertifizierungsstellen genutzt, da diese besonders hohe Sicherheitsanforderungen haben.

Mit knapp 100 Verbindungen gelang es Somorovsky und Felsch, den privaten Schlüssel aus einem Utimaco-Gerät aus der Secure-Server-Reihe zu extrahieren. Die Utimaco-Geräte sind nach dem Standard FIPS 140-2 Level 3 zertifiziert, der eigentlich genau solche Angriffe verhindern soll. Utimaco hat den Fehler bestätigt und ein Update für die Firmware bereitgestellt.

"Diese Analyse war möglich dank einer Kooperation von Utimaco mit unserem Institut", sagte Juraj Somorovsky Golem.de. "Es wäre wünschenswert, dass andere HSM-Hersteller ihre Geräte ähnlichen Tests unterziehen."

Angriffe vermeiden

Das Safecurves-Projekt von Dan Bernstein und Tanja Lange empfiehlt, die Angriffe mit falschen Kurvenpunkten bereits durch das Algorithmendesign zu vermeiden. Manche elliptische Kurven lassen sich als sogenannte Montgomery-Form darstellen, und die Kurvenpunkte können komprimiert versendet werden. Dabei werden dann lediglich die X-Koordinate und das Vorzeichen der Y-Koordinate übermittelt.

In dieser Form hat ein Angreifer nicht mehr die Möglichkeit, Punkte auf beliebigen ungültigen Kurven zu verschicken. Lediglich eine einzige ungültige Kurve bleibt übrig. Wählt man die geeignete elliptische Kurve, kann man sicherstellen, dass die übrige Kurve nicht angreifbar ist. Diese Eigenschaft wird auch als Twist-Security bezeichnet. Die momentanen Entwürfe der Kryptographie-Arbeitsgruppe der IETF zum Einsatz der von Bernstein entwickelten Kurve Curve25519 und von Curve448 sehen diese Vorsichtsmaßnahmen bereits vor.

Die statischen Schlüsselaustauschmodi von TLS werden generell nur sehr selten genutzt und sind auch aus anderen Gründen problematisch. Im August konnten österreischische Forscher einen Angriff zeigen, bei dem ein Angreifer, dem es gelingt, einem Nutzer ein Clientzertifikat unterzuschieben, damit unter bestimmten Umständen einen Man-in-the-Middle-Angriff durchführen kann. Da die statischen Schlüsselaustauschmodi praktisch keine Vorteile haben und auch keine Forward-Secrecy-Sicherheit bieten, ist es als weitere Vorsichtsmaßnahme sinnvoll, generell in Applikationen auf diese Modi zu verzichten.


eye home zur Startseite
hannob (golem.de) 26. Nov 2015

Der konkrete Anlass das jetzt zu bringen war der Vortrag auf der BSides. Neu war da im...

peter.neter1887 26. Nov 2015

Die FIPS-Zertifizierung ist ein Witz. Sie schreibt nur vor welche Algorithmen wie zu...



Anzeige

Stellenmarkt
  1. über Ratbacher GmbH, Berlin
  2. Daimler AG, Sindelfingen
  3. cyberTECHNOLOGIES über ACADEMIC WORK, München, Eching
  4. Commerz Finanz GmbH, München


Anzeige
Hardware-Angebote
  1. (Core i7-7700HQ + GeForce GTX 1070)
  2. 699,90€ + 3,99€ Versand
  3. 179,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. WatchOS 3.2 und TVOS 10.2

    Apple Watch mit Kinomodus und Apple TV mit fixem Scrollen

  2. Apple

    MacOS Sierra 10.12.4 mit Nachtschicht-Modus

  3. Apple

    iOS 10.3 in finaler Version erschienen

  4. Videoüberwachung

    Erster Feldversuch mit Gesichtserkennung geplant

  5. Optane Memory

    Intel lässt den Festplatten-Beschleuniger wieder aufleben

  6. Cryptowars

    "Kein geheimer Ort für Terroristen"

  7. Trello

    Atlassian setzt alles auf eine Karte

  8. Endless Runway

    Der Flughafen wird rund

  9. Square Enix

    Gladiolus startet ohne die anderen Jungs in Final Fantasy 15

  10. All Walls Must Fall

    Strategie und Zeitreisen in Berlin



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Forensik Challenge: Lust auf eine Cyber-Stelle beim BND? Golem.de hilft!
Forensik Challenge
Lust auf eine Cyber-Stelle beim BND? Golem.de hilft!
  1. Reporter ohne Grenzen Verfassungsklage gegen BND-Überwachung eingereicht
  2. Selektorenaffäre BND soll ausländische Journalisten ausspioniert haben
  3. Ex-Verfassungsgerichtspräsident Papier Die Politik stellt sich beim BND-Gesetz taub

Airselfie im Hands on: Quadcopter statt Deppenzepter
Airselfie im Hands on
Quadcopter statt Deppenzepter
  1. Fiberglas und Magneten Wabbeliger Quadcopter übersteht Stürze
  2. Senkrechtstarter Solardrohne fliegt wie ein Harrier
  3. Mobiler Startplatz UPS-Lieferwagen liefert mit Drohne Pakete aus

Live-Linux: Knoppix 8.0 bringt moderne Technik für neue Hardware
Live-Linux
Knoppix 8.0 bringt moderne Technik für neue Hardware

  1. Re: Ist schon der 1. April ?

    Lehmroboter | 08:10

  2. Re: Sorry, sowas kann ich nicht auf Kunden loslassen

    whitbread | 08:10

  3. Re: Chemikers Rezept für defekte Platten

    x2k | 08:08

  4. Es geht nur um Investorenfang

    Juge | 08:07

  5. Nur bedingt kostenlos

    taudorinon | 08:06


  1. 07:35

  2. 00:28

  3. 00:05

  4. 18:55

  5. 18:18

  6. 18:08

  7. 17:48

  8. 17:23


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel