Zertifizierungsstellen: Millionen TLS-Zertifikate mit fehlendem Zufallsbit

Viele TLS-Zertifikate wurden nicht nach den geltenden Regeln ausgestellt. Sie müssten eine zufällige 64-Bit-Seriennummer haben, es sind aber real nur 63 Bit. Ein Risiko ist praktisch nicht vorhanden, trotzdem müssen die Zertifikate zurückgezogen werden.

Artikel veröffentlicht am , Hanno Böck
Zu wenig Zufall: Ein fehlendes Zufallsbit sorgt dafür, dass Millionen von Zertifikaten nicht nach den geltenden Baseline Requirements ausgestellt wurden.
Zu wenig Zufall: Ein fehlendes Zufallsbit sorgt dafür, dass Millionen von Zertifikaten nicht nach den geltenden Baseline Requirements ausgestellt wurden. (Bild: Robert Freiberger/Wikimedia Commons/CC-BY 2.0)

Mehrere Betreiber von Zertifizierungsstellen stehen vor einem größeren Problem. Zertifikate wurden aufgrund eines Fehlers nicht nach den geltenden Regeln ausgestellt, ihre Seriennummern sind nicht zufällig genug. Der Hintergrund ist ein subtiler Fehler.

Stellenmarkt
  1. IT-Administrator/IT-Kaufmann (m/w/d)
    Elektrizitätswerk Mittelbaden AG & Co. KG, Lahr
  2. Software Engineer (m/w/d) im Bereich Application Integration / Integrationsarchitektur Dell Boomi/IDS
    Hannover Rück SE, Hannover
Detailsuche

Die sogenannten Baseline Requirements, ein Regelwerk des CA/Browser-Forums, welches festlegt, wie TLS-Zertifizierungsstellen arbeiten sollen, sieht vor, dass die Seriennummern von Zertifikaten zufällig erzeugt werden sollen und dabei mindestens 64 Bit Zufallsdaten einfließen.

63 statt 64 Bit

Das Problem ist nun Folgendes: Offenbar haben viele Zertifizierungsstellen eine 64-Bit-Integer-Zahl als Seriennummer verwendet. Klingt richtig, ist aber falsch: Denn eine Integer-Zahl kann auch negativ sein, eine Zertifikatsseriennummer darf aber keine negative Zahl sein. Damit fällt die Hälfte der Möglichkeiten weg - und übrig bleibt effektiv eine 63-Bit-Zahl.

Aufgefallen ist das zunächst bei der Zertifizierungsstelle Dark Matter, die aufgrund eines Reuters-Berichts über deren Kooperation mit dem Geheimdienst der Vereinigten Arabischen Emirate äußerst umstritten ist. Doch inzwischen stellte sich heraus, dass das Problem mit den Zertifikatsseriennummern eine ganze Reihe von Zertifizierungsstellen betrifft, darunter Google, Apple und Go Daddy.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Das Problem ist demnach ursprünglich auf die Software EJBCA zurückzuführen, die in der Standardeinstellung dieses Verhalten zeigt. EJBCA ist Open Source und wird von mehreren Zertifizierungsstellen verwendet, es ist daher auch gut möglich, dass demnächst bei weiteren Zertifizierungsstellen dasselbe Problem entdeckt wird.

Angriffe auf MD5 mit vorhersehbaren Seriennummern

Die Hintergründe für die zufälligen Seriennummern sind ältere Angriffe auf schwache Hashfunktionen. 2008 gelang es einem Forscherteam, sich mit Hilfe von Schwächen der MD5-Hashfunktion ein nicht legitimes Zertifikat signieren zu lassen. Der Angriff war aber nur möglich, wenn man den kompletten Inhalt eines Zertifikats samt Seriennummer vorab wusste. Die angegriffene Zertifizierungsstelle nutzte aufsteigende Seriennummern, damit war es den Forschern möglich, die Seriennummer vorab zu erraten.

Um solche Angriffe zu vereiteln, hat man daher die Regel mit den zufälligen Seriennummern eingeführt. Doch die praktischen Auswirkungen sind heute gering. Der Angriff war nur möglich, weil Zertifizierungsstellen Jahre, nachdem MD5 gebrochen wurde, diese unsichere Hashfunktion weiter verwendet haben. Theoretisch wäre - mit deutlich höherem Aufwand - ein solcher Angriff auch mit SHA1 denkbar, doch auch SHA1 wird nicht mehr für Zertifikate genutzt.

Bei sicherer Hashfunktion kein Risiko

Heutzutage werden Zertifikate nur noch mit SHA256 ausgestellt. Eine zufällige Seriennummer kann man zwar immer noch für sinnvoll halten - für den Fall, dass sich SHA256 irgendwann ebenfalls als unsicher erweist -, aber ein akutes Risiko gibt es nicht. Zudem führt der Fehler ja nicht dazu, dass vorhersehbare Seriennummern verwendet werden, sie sind lediglich ein Bit weniger zufällig.

Ein praktisches Sicherheitsrisiko besteht also durch die nicht nach den Regeln ausgestellten Zertifikate praktisch nicht. Doch die Baseline Requirements sehen vor, dass Zertifikate, die sich nicht an Regeln halten, zurückgezogen werden sollen - und das im Normalfall sogar innerhalb von 24 Stunden.

Für Google und Apple ist ein Austausch der Zertifikate noch relativ leicht machbar, da sie diese nur für ihre eigenen Services nutzen. Ein größeres Problem hat Go Daddy. Dort wurden nach eigenen Angaben mindestens 1,8 Millionen Zertifikate falsch ausgestellt. Verständlicherweise dürfte es zu größeren Problemen führen, dort alle Kunden innerhalb kurzer Zeit darüber zu informieren, dass sie ihre Zertifikate tauschen müssen. Go Daddy strebt an, die Zertifikate innerhalb von 30 Tagen zurückzuziehen, was schon sehr ambitioniert erscheint.

Soll man die Regeln streng einhalten, auch wenn kein Risiko besteht?

Letztendlich stellt sich bei dem Vorfall die Frage, ob es in solchen Fällen sinnvoll ist, streng auf die Regeln zu pochen. Ein praktisches Risiko besteht nicht. Doch viele mit dem Zertifikatsgeschäft vertraute Personen haben verständliche Vorbehalte gegen einen laxen Umgang mit Regeln.

Wer die entsprechende Mailingliste von Mozilla verfolgt, auf der derartige Vorfälle diskutiert werden, weiß, dass Regelverletzungen immer noch eher die Regel als die Ausnahme sind. Viele davon sind technisch harmlos, aber genau die Zertifizierungsstellen, die sich häufig nicht an scheinbar unwichtige Regeln halten, sind dann auch häufig diejenigen, bei denen eher echte Sicherheitsprobleme auftauchen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Ubisoft
Avatar statt Assassin's Creed

E3 2021 Als wichtigste Neuheit hat Ubisoft ein Spiel auf Basis von Avatar vorgestellt - und Assassin's Creed muss mit Valhalla in die Verlängerung.

Ubisoft: Avatar statt Assassin's Creed
Artikel
  1. Fifa, Battlefield und Co.: Der EA-Hack startete mit Cookies für 10 US-Dollar
    Fifa, Battlefield und Co.
    Der EA-Hack startete mit Cookies für 10 US-Dollar

    Die Hacking-Gruppe erklärt dem Magazin Motherboard Schritt für Schritt, wie der Hack auf EA gelang. Die primäre Fehlerquelle: der Mensch.

  2. Extraction: Rainbow Six und der Kampf gegen Außerirdische
    Extraction
    Rainbow Six und der Kampf gegen Außerirdische

    E3 2021 Es ist ein ungewöhnlicher Ableger für Siege: Ubisoft hat Rainbow Six Extraction vorgestellt, das auf den Kampf gegen KI-Aliens setzt.

  3. Onlinetickets: 17-Jähriger betrügt Bahn um 270.000 Euro
    Onlinetickets
    17-Jähriger betrügt Bahn um 270.000 Euro

    Mit illegal erworbenen Onlinetickets soll ein 17-Jähriger die Bahn um 270.000 Euro geprellt haben. Entdeckt wurde er nur durch Zufall.

RufusJWB 13. Mär 2019

Negative Seriennummern sind nach RFC 5280 nicht erlaubt. Deshalb wurden 50% aller...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Alternate (u. a. MSI Optix 27" WQHD/165 Hz 315,99€ und Fractal Design Vector RS Blackout Dark TG 116,89€) • Corsair Hydro H80i V2 RGB 73,50€ • Apple iPad 10.2 389€ • Razer Book 13 1.158,13€ • Fractal Design Define S2 Black 99,90€ • Intel i9-11900 379€ • EPOS Sennheiser GSP 600 149€ [Werbung]
    •  /