Abo
  • Services:

Zertifizierungsstellen: Millionen TLS-Zertifikate mit fehlendem Zufallsbit

Viele TLS-Zertifikate wurden nicht nach den geltenden Regeln ausgestellt. Sie müssten eine zufällige 64-Bit-Seriennummer haben, es sind aber real nur 63 Bit. Ein Risiko ist praktisch nicht vorhanden, trotzdem müssen die Zertifikate zurückgezogen werden.

Artikel veröffentlicht am , Hanno Böck
Zu wenig Zufall: Ein fehlendes Zufallsbit sorgt dafür, dass Millionen von Zertifikaten nicht nach den geltenden Baseline Requirements ausgestellt wurden.
Zu wenig Zufall: Ein fehlendes Zufallsbit sorgt dafür, dass Millionen von Zertifikaten nicht nach den geltenden Baseline Requirements ausgestellt wurden. (Bild: Robert Freiberger/Wikimedia Commons/CC-BY 2.0)

Mehrere Betreiber von Zertifizierungsstellen stehen vor einem größeren Problem. Zertifikate wurden aufgrund eines Fehlers nicht nach den geltenden Regeln ausgestellt, ihre Seriennummern sind nicht zufällig genug. Der Hintergrund ist ein subtiler Fehler.

Stellenmarkt
  1. Schaeffler Technologies AG & Co. KG, Schweinfurt
  2. BüchnerBarella Holding GmbH & Co. KG, Gießen

Die sogenannten Baseline Requirements, ein Regelwerk des CA/Browser-Forums, welches festlegt, wie TLS-Zertifizierungsstellen arbeiten sollen, sieht vor, dass die Seriennummern von Zertifikaten zufällig erzeugt werden sollen und dabei mindestens 64 Bit Zufallsdaten einfließen.

63 statt 64 Bit

Das Problem ist nun Folgendes: Offenbar haben viele Zertifizierungsstellen eine 64-Bit-Integer-Zahl als Seriennummer verwendet. Klingt richtig, ist aber falsch: Denn eine Integer-Zahl kann auch negativ sein, eine Zertifikatsseriennummer darf aber keine negative Zahl sein. Damit fällt die Hälfte der Möglichkeiten weg - und übrig bleibt effektiv eine 63-Bit-Zahl.

Aufgefallen ist das zunächst bei der Zertifizierungsstelle Dark Matter, die aufgrund eines Reuters-Berichts über deren Kooperation mit dem Geheimdienst der Vereinigten Arabischen Emirate äußerst umstritten ist. Doch inzwischen stellte sich heraus, dass das Problem mit den Zertifikatsseriennummern eine ganze Reihe von Zertifizierungsstellen betrifft, darunter Google, Apple und Go Daddy.

Das Problem ist demnach ursprünglich auf die Software EJBCA zurückzuführen, die in der Standardeinstellung dieses Verhalten zeigt. EJBCA ist Open Source und wird von mehreren Zertifizierungsstellen verwendet, es ist daher auch gut möglich, dass demnächst bei weiteren Zertifizierungsstellen dasselbe Problem entdeckt wird.

Angriffe auf MD5 mit vorhersehbaren Seriennummern

Die Hintergründe für die zufälligen Seriennummern sind ältere Angriffe auf schwache Hashfunktionen. 2008 gelang es einem Forscherteam, sich mit Hilfe von Schwächen der MD5-Hashfunktion ein nicht legitimes Zertifikat signieren zu lassen. Der Angriff war aber nur möglich, wenn man den kompletten Inhalt eines Zertifikats samt Seriennummer vorab wusste. Die angegriffene Zertifizierungsstelle nutzte aufsteigende Seriennummern, damit war es den Forschern möglich, die Seriennummer vorab zu erraten.

Um solche Angriffe zu vereiteln, hat man daher die Regel mit den zufälligen Seriennummern eingeführt. Doch die praktischen Auswirkungen sind heute gering. Der Angriff war nur möglich, weil Zertifizierungsstellen Jahre, nachdem MD5 gebrochen wurde, diese unsichere Hashfunktion weiter verwendet haben. Theoretisch wäre - mit deutlich höherem Aufwand - ein solcher Angriff auch mit SHA1 denkbar, doch auch SHA1 wird nicht mehr für Zertifikate genutzt.

Bei sicherer Hashfunktion kein Risiko

Heutzutage werden Zertifikate nur noch mit SHA256 ausgestellt. Eine zufällige Seriennummer kann man zwar immer noch für sinnvoll halten - für den Fall, dass sich SHA256 irgendwann ebenfalls als unsicher erweist -, aber ein akutes Risiko gibt es nicht. Zudem führt der Fehler ja nicht dazu, dass vorhersehbare Seriennummern verwendet werden, sie sind lediglich ein Bit weniger zufällig.

Ein praktisches Sicherheitsrisiko besteht also durch die nicht nach den Regeln ausgestellten Zertifikate praktisch nicht. Doch die Baseline Requirements sehen vor, dass Zertifikate, die sich nicht an Regeln halten, zurückgezogen werden sollen - und das im Normalfall sogar innerhalb von 24 Stunden.

Für Google und Apple ist ein Austausch der Zertifikate noch relativ leicht machbar, da sie diese nur für ihre eigenen Services nutzen. Ein größeres Problem hat Go Daddy. Dort wurden nach eigenen Angaben mindestens 1,8 Millionen Zertifikate falsch ausgestellt. Verständlicherweise dürfte es zu größeren Problemen führen, dort alle Kunden innerhalb kurzer Zeit darüber zu informieren, dass sie ihre Zertifikate tauschen müssen. Go Daddy strebt an, die Zertifikate innerhalb von 30 Tagen zurückzuziehen, was schon sehr ambitioniert erscheint.

Soll man die Regeln streng einhalten, auch wenn kein Risiko besteht?

Letztendlich stellt sich bei dem Vorfall die Frage, ob es in solchen Fällen sinnvoll ist, streng auf die Regeln zu pochen. Ein praktisches Risiko besteht nicht. Doch viele mit dem Zertifikatsgeschäft vertraute Personen haben verständliche Vorbehalte gegen einen laxen Umgang mit Regeln.

Wer die entsprechende Mailingliste von Mozilla verfolgt, auf der derartige Vorfälle diskutiert werden, weiß, dass Regelverletzungen immer noch eher die Regel als die Ausnahme sind. Viele davon sind technisch harmlos, aber genau die Zertifizierungsstellen, die sich häufig nicht an scheinbar unwichtige Regeln halten, sind dann auch häufig diejenigen, bei denen eher echte Sicherheitsprobleme auftauchen.

Zu den Kommentaren springen
Meistgelesen
  1. Faltbares Smartphone
    Samsung sagt Start des Galaxy Fold ab
  2. SpaceX
    Dragon-Raumschiff bei Test explodiert
  3. Wissenschaft
    Kein Foto von einem schwarzen Loch
  4. Joe Armstrong
    Der Erlang-Erfinder ist gestorben
  5. Tchap
    Forscher gelingt Anmeldung im Regierungschat Frankreichs
Anzeige
Hardware-Angebote
  1. 94,90€ + Versand mit Gutschein QVO20
  2. (u. a. Grafikkarten, Monitore, Mainboards)
  4. 199€ + Versand
Kommentarübersicht
Re: Warum keine negativen zahlen?
RufusJWB 13. Mär 2019 / Themenstart

Negative Seriennummern sind nach RFC 5280 nicht erlaubt. Deshalb wurden 50% aller...

Kommentieren

Folgen Sie uns
       
B-all One für Magic Leap - Gameplay

Ein Squash-Spiel zeigt, wie gut bei Magic Leap das Mapping der Umgebung und das Tracking unserer Position klappt.

B-all One für Magic Leap - Gameplay Video aufrufen
Roboter
Technologie: Warum Roboter in Japan so beliebt sind
Technologie
Warum Roboter in Japan so beliebt sind

Japaner produzieren nicht nur mehr Roboter als jede andere Nation, sie gehen auch selbstverständlicher mit ihnen um. Das liegt an der besonderen Geschichte und Religion des Inselstaats - und an Astro Boy.
Von Miroslav Stimac

  1. Kreativität Roboterdame Ai-Da soll zeichnen und malen
  2. Automatisierung Roboterhotel entlässt Roboter
  3. Cimon Die ISS bekommt einen sensiblen Kommunikationsroboter
Elektromobilität
Swobbee: Der Wechselakku kommt wieder
Swobbee
Der Wechselakku kommt wieder

Mieten statt kaufen, wechseln statt laden: Das Berliner Startup Swobbee baut eine Infrastruktur mit Lade- und Tauschstationen für Akkus auf. Ein ähnliches Geschäftsmodell ist schon einmal gescheitert. Dieses kann jedoch aufgehen.
Eine Analyse von Werner Pluta

  1. Elektromobilität Seoul will Zweirad-Kraftfahrzeuge und Minibusse austauschen
  2. Rechtsanspruch auf Wallboxen Wohnungswirtschaft warnt vor "Schnellschuss" bei WEG-Reform
  3. Innolith Energy Battery Schweizer Unternehmen entwickelt sehr leistungsfähigen Akku
Fitbit
Fitbit Versa Lite im Test: Eher smartes als sportliches Wearable
Fitbit Versa Lite im Test
Eher smartes als sportliches Wearable

Sieht fast aus wie eine Apple Watch, ist aber viel günstiger: Golem.de hat die Versa Lite von Fitbit ausprobiert. Neben den Sport- und Fitnessfunktionen haben uns besonders der Appstore und das Angebot an spaßigen und ernsthaften Anwendungen interessiert.
Von Peter Steinlechner

  1. Smartwatch Fitbit stellt Versa Lite für Einsteiger vor
  2. Inspire Fitbits neues Wearable gibt es nicht im Handel
  3. Charge 3 Fitbit stellt neuen Fitness-Tracker für 150 Euro vor
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /