Abo
  • Services:
Anzeige
Hardware-Verschlüsselungsmodule von Utimaco verraten ihre geheimen Schlüssel auf elliptischen Kurven.
Hardware-Verschlüsselungsmodule von Utimaco verraten ihre geheimen Schlüssel auf elliptischen Kurven. (Bild: Utimaco)

Verschlüsselung: Punkte auf der falschen elliptischen Kurve

Hardware-Verschlüsselungsmodule von Utimaco verraten ihre geheimen Schlüssel auf elliptischen Kurven.
Hardware-Verschlüsselungsmodule von Utimaco verraten ihre geheimen Schlüssel auf elliptischen Kurven. (Bild: Utimaco)

Forscher der Ruhr-Universität Bochum haben einen schon lange bekannten Angriff auf Verschlüsselungsverfahren mit elliptischen Kurven in der Praxis umsetzen können. Verwundbar ist neben Java-Bibliotheken auch ein Hardware-Verschlüsselungsgerät von Utimaco.

Anzeige

Eine schon lange bekannte Schwäche von Verschlüsselungsverfahren auf Basis elliptischer Kurven haben Forscher der Ruhr-Universität Bochum in verschiedenen Implementierungen ausnutzen können. Auf der Bsides-Konferenz in Wien präsentierte Juraj Somorovsky die Forschungsergebnisse. In zwei Java-Bibliotheken war ein Angriff auf TLS-Verbindungen möglich, allerdings nur bei sehr selten eingesetzten Verschlüsselungsmodi. Weiterhin gelang es den Forschern, den privaten Schlüssel aus einem Hardware Security Module (HSM) der Firma Utimaco zu extrahieren.

Angriff bereits seit 15 Jahren bekannt

Die sogenannten Invalid-Curve-Angriffe wurden bereits im Jahr 2000 in einer Forschungsarbeit von Ingrid Biehl beschrieben. Bei Verschlüsselungsverfahren auf Basis elliptischer Kurven werden Berechnungen mit Punkten auf einer solchen Kurve durchgeführt. Die Idee des Angriffs: Die Algorithmen zur Berechnung der Kurvenpunkte funktionieren auch, wenn der Punkt sich auf einer anderen Kurve befindet.

Bei einem Diffie-Hellman-Schlüsselaustausch mit elliptischen Kurven besitzt jeder Teilnehmer des Schlüsselaustauschs einen geheimen Kurvenpunkt. Sendet nun einer der beiden Teilnehmer einen fehlerhaften Punkt, der sich auf einer deutlich kleineren Kurve befindet, kann er dadurch Informationen über den geheimen Kurvenpunkt des anderen Teilnehmers erhalten. Verhindern lässt sich der Angriff, indem jedes Mal geprüft wird, ob ein gesendeter Punkt wirklich auf der gemeinsam vereinbarten elliptischen Kurve liegt.

Bei einem gewöhnlichen Schlüsselaustausch, der auch als Ephemeral Key Exchange bezeichnet wird, ist der Angriff kein direktes Sicherheitsrisiko, da der geheime Kurvenpunkt nur für eine Verbindung gilt. Somit könnte ein Angreifer lediglich Informationen über den geheimen Schlüssel der aktuellen Verbindung erhalten, an der er selbst beteiligt ist. Allerdings unterstützt TLS auch einen eher selten genutzten statischen Schlüsselaustausch. Hierbei besitzt der Server ein Zertifikat, das den geheimen Schlüssel enthält.

JSSE und Bouncy Castle betroffen

Somorovsky und seine Kollegen Tibor Jager und Jörg Schwenk konnten bereits im September auf der Esorics-Konferenz in Wien zeigen, dass eine ältere Version der Java-Bibliothek Bouncy Castle (1.50) und die Java-eigene JSSE-Bibliothek für den Angriff anfällig sind. Ein entsprechendes Hintergrundpapier ist online verfügbar. Bei Bouncy Castle funktionierte der Angriff direkt, 3.300 Verbindungen mit fehlerhaften Kurvenpunkten waren dafür notwendig.

Bei JSSE gestaltete sich der Angriff etwas schwieriger. Es stellte sich heraus, dass die Java-Bibliothek bestimmte Berechnungen von elliptischen Kurven fehlerhaft durchführt. Im normalen Betrieb war das kein Problem, da dieser Fehler dort nur sehr selten auftritt. Bei elliptischen Kurven mit weniger Kurvenpunkten trat der Fehler jedoch gehäuft auf. Er führte somit dazu, dass der Angriff deutlich erschwert wurde, möglich war er jedoch trotzdem. Nach etwa 17.000 Serververbindungen ließ sich der Serverschlüssel knacken. Somorovsky erklärte, dass er selbst nicht sicher sei, ob es sich dabei um eine bewusste Optimierung der Java-Bibliothek handele, die Fehler produziere, oder einen weiteren Bug.

Fehler in Hardware Security Module von Utimaco bestätigt

Zusammen mit Dennis Felsch führte Somorovsky einen weiteren Test des Angriffs durch, diesmal bei einem Hardware Security Module (HSM). Das Ziel von Hardware Security Modules ist es, den privaten Schlüssel im Gerät verborgen zu halten. Es ist im Normalfall nicht möglich, den Schlüssel mittels Software zu extrahieren. Hardware Security Modules werden häufig von Zertifizierungsstellen genutzt, da diese besonders hohe Sicherheitsanforderungen haben.

Mit knapp 100 Verbindungen gelang es Somorovsky und Felsch, den privaten Schlüssel aus einem Utimaco-Gerät aus der Secure-Server-Reihe zu extrahieren. Die Utimaco-Geräte sind nach dem Standard FIPS 140-2 Level 3 zertifiziert, der eigentlich genau solche Angriffe verhindern soll. Utimaco hat den Fehler bestätigt und ein Update für die Firmware bereitgestellt.

"Diese Analyse war möglich dank einer Kooperation von Utimaco mit unserem Institut", sagte Juraj Somorovsky Golem.de. "Es wäre wünschenswert, dass andere HSM-Hersteller ihre Geräte ähnlichen Tests unterziehen."

Angriffe vermeiden

Das Safecurves-Projekt von Dan Bernstein und Tanja Lange empfiehlt, die Angriffe mit falschen Kurvenpunkten bereits durch das Algorithmendesign zu vermeiden. Manche elliptische Kurven lassen sich als sogenannte Montgomery-Form darstellen, und die Kurvenpunkte können komprimiert versendet werden. Dabei werden dann lediglich die X-Koordinate und das Vorzeichen der Y-Koordinate übermittelt.

In dieser Form hat ein Angreifer nicht mehr die Möglichkeit, Punkte auf beliebigen ungültigen Kurven zu verschicken. Lediglich eine einzige ungültige Kurve bleibt übrig. Wählt man die geeignete elliptische Kurve, kann man sicherstellen, dass die übrige Kurve nicht angreifbar ist. Diese Eigenschaft wird auch als Twist-Security bezeichnet. Die momentanen Entwürfe der Kryptographie-Arbeitsgruppe der IETF zum Einsatz der von Bernstein entwickelten Kurve Curve25519 und von Curve448 sehen diese Vorsichtsmaßnahmen bereits vor.

Die statischen Schlüsselaustauschmodi von TLS werden generell nur sehr selten genutzt und sind auch aus anderen Gründen problematisch. Im August konnten österreischische Forscher einen Angriff zeigen, bei dem ein Angreifer, dem es gelingt, einem Nutzer ein Clientzertifikat unterzuschieben, damit unter bestimmten Umständen einen Man-in-the-Middle-Angriff durchführen kann. Da die statischen Schlüsselaustauschmodi praktisch keine Vorteile haben und auch keine Forward-Secrecy-Sicherheit bieten, ist es als weitere Vorsichtsmaßnahme sinnvoll, generell in Applikationen auf diese Modi zu verzichten.


eye home zur Startseite
hannob (golem.de) 26. Nov 2015

Der konkrete Anlass das jetzt zu bringen war der Vortrag auf der BSides. Neu war da im...

peter.neter1887 26. Nov 2015

Die FIPS-Zertifizierung ist ein Witz. Sie schreibt nur vor welche Algorithmen wie zu...



Anzeige

Stellenmarkt
  1. ESCRYPT GmbH, Bochum
  2. STRABAG Property and Facility Services GmbH, Münster
  3. Lidl Digital, Leingarten
  4. SICK AG, Waldkirch bei Freiburg im Breisgau


Anzeige
Spiele-Angebote
  1. (-50%) 7,50€

Folgen Sie uns
       


  1. LTE

    Taiwan schaltet nach 2G- auch 3G-Netz ab

  2. Two Point Hospital

    Sega stellt Quasi-Nachfolger zu Theme Hospital vor

  3. Callya

    Vodafones Prepaid-Tarife erhalten mehr Datenvolumen

  4. Skygofree

    Kaspersky findet mutmaßlichen Staatstrojaner

  5. World of Warcraft

    Schwierigkeitsgrad skaliert in ganz Azeroth

  6. Open Source

    Microsoft liefert Curl in Windows 10 aus

  7. Boeing und SpaceX

    Experten warnen vor Sicherheitsmängeln bei Raumfähren

  8. Tencent

    Lego will mit Tencent in China digital expandieren

  9. Beta-Update

    Gesichtsentsperrung für Oneplus Three und 3T verfügbar

  10. Matthias Maurer

    Ein Astronaut taucht unter



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Star Citizen Alpha 3.0 angespielt: Es wird immer schwieriger, sich auszuloggen
Star Citizen Alpha 3.0 angespielt
Es wird immer schwieriger, sich auszuloggen
  1. Cloud Imperium Games Star Citizen bekommt erst Polituren und dann Reparaturen
  2. Star Citizen Reaktionen auf Gameplay und Bildraten von Alpha 3.0
  3. Squadron 42 Mark Hamill fliegt mit 16 GByte RAM und SSD

Snet in Kuba: Ein Internet mit Billigroutern und ohne Porno
Snet in Kuba
Ein Internet mit Billigroutern und ohne Porno
  1. FTTC Weitere 358.000 Haushalte bekommen Vectoring der Telekom
  2. Whistleblowerin Chelsea Manning will in den US-Senat
  3. Geldautomaten Mehr Datenklau und trotzdem weniger Schaden durch Skimming

Vorschau Kinofilme 2018: Lara, Han und Player One
Vorschau Kinofilme 2018
Lara, Han und Player One
  1. Kinofilme 2017 Rückkehr der Replikanten und Triumph der Nasa-Frauen
  2. Star Wars - Die letzten Jedi Viel Luke und zu viel Unfug

  1. Re: GSM noch mind. 5 Jahre

    Kondom | 20:27

  2. Ob Vodafone dann LTE für Drittanbieter freischaltet?

    Gaius Baltar | 20:27

  3. Re: Sinnlos

    Der schwarze... | 20:24

  4. Re: Gute Shell

    Hello_World | 20:21

  5. projekt pluto

    LiPo | 20:20


  1. 19:16

  2. 17:48

  3. 17:00

  4. 16:25

  5. 15:34

  6. 15:05

  7. 14:03

  8. 12:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel