Abo
  • IT-Karriere:

Zertifizierungsstellen: Millionen TLS-Zertifikate mit fehlendem Zufallsbit

Viele TLS-Zertifikate wurden nicht nach den geltenden Regeln ausgestellt. Sie müssten eine zufällige 64-Bit-Seriennummer haben, es sind aber real nur 63 Bit. Ein Risiko ist praktisch nicht vorhanden, trotzdem müssen die Zertifikate zurückgezogen werden.

Artikel veröffentlicht am , Hanno Böck
Zu wenig Zufall: Ein fehlendes Zufallsbit sorgt dafür, dass Millionen von Zertifikaten nicht nach den geltenden Baseline Requirements ausgestellt wurden.
Zu wenig Zufall: Ein fehlendes Zufallsbit sorgt dafür, dass Millionen von Zertifikaten nicht nach den geltenden Baseline Requirements ausgestellt wurden. (Bild: Robert Freiberger/Wikimedia Commons/CC-BY 2.0)

Mehrere Betreiber von Zertifizierungsstellen stehen vor einem größeren Problem. Zertifikate wurden aufgrund eines Fehlers nicht nach den geltenden Regeln ausgestellt, ihre Seriennummern sind nicht zufällig genug. Der Hintergrund ist ein subtiler Fehler.

Stellenmarkt
  1. Schwarz Dienstleistung KG, Raum Neckarsulm
  2. dSPACE GmbH, Paderborn

Die sogenannten Baseline Requirements, ein Regelwerk des CA/Browser-Forums, welches festlegt, wie TLS-Zertifizierungsstellen arbeiten sollen, sieht vor, dass die Seriennummern von Zertifikaten zufällig erzeugt werden sollen und dabei mindestens 64 Bit Zufallsdaten einfließen.

63 statt 64 Bit

Das Problem ist nun Folgendes: Offenbar haben viele Zertifizierungsstellen eine 64-Bit-Integer-Zahl als Seriennummer verwendet. Klingt richtig, ist aber falsch: Denn eine Integer-Zahl kann auch negativ sein, eine Zertifikatsseriennummer darf aber keine negative Zahl sein. Damit fällt die Hälfte der Möglichkeiten weg - und übrig bleibt effektiv eine 63-Bit-Zahl.

Aufgefallen ist das zunächst bei der Zertifizierungsstelle Dark Matter, die aufgrund eines Reuters-Berichts über deren Kooperation mit dem Geheimdienst der Vereinigten Arabischen Emirate äußerst umstritten ist. Doch inzwischen stellte sich heraus, dass das Problem mit den Zertifikatsseriennummern eine ganze Reihe von Zertifizierungsstellen betrifft, darunter Google, Apple und Go Daddy.

Das Problem ist demnach ursprünglich auf die Software EJBCA zurückzuführen, die in der Standardeinstellung dieses Verhalten zeigt. EJBCA ist Open Source und wird von mehreren Zertifizierungsstellen verwendet, es ist daher auch gut möglich, dass demnächst bei weiteren Zertifizierungsstellen dasselbe Problem entdeckt wird.

Angriffe auf MD5 mit vorhersehbaren Seriennummern

Die Hintergründe für die zufälligen Seriennummern sind ältere Angriffe auf schwache Hashfunktionen. 2008 gelang es einem Forscherteam, sich mit Hilfe von Schwächen der MD5-Hashfunktion ein nicht legitimes Zertifikat signieren zu lassen. Der Angriff war aber nur möglich, wenn man den kompletten Inhalt eines Zertifikats samt Seriennummer vorab wusste. Die angegriffene Zertifizierungsstelle nutzte aufsteigende Seriennummern, damit war es den Forschern möglich, die Seriennummer vorab zu erraten.

Um solche Angriffe zu vereiteln, hat man daher die Regel mit den zufälligen Seriennummern eingeführt. Doch die praktischen Auswirkungen sind heute gering. Der Angriff war nur möglich, weil Zertifizierungsstellen Jahre, nachdem MD5 gebrochen wurde, diese unsichere Hashfunktion weiter verwendet haben. Theoretisch wäre - mit deutlich höherem Aufwand - ein solcher Angriff auch mit SHA1 denkbar, doch auch SHA1 wird nicht mehr für Zertifikate genutzt.

Bei sicherer Hashfunktion kein Risiko

Heutzutage werden Zertifikate nur noch mit SHA256 ausgestellt. Eine zufällige Seriennummer kann man zwar immer noch für sinnvoll halten - für den Fall, dass sich SHA256 irgendwann ebenfalls als unsicher erweist -, aber ein akutes Risiko gibt es nicht. Zudem führt der Fehler ja nicht dazu, dass vorhersehbare Seriennummern verwendet werden, sie sind lediglich ein Bit weniger zufällig.

Ein praktisches Sicherheitsrisiko besteht also durch die nicht nach den Regeln ausgestellten Zertifikate praktisch nicht. Doch die Baseline Requirements sehen vor, dass Zertifikate, die sich nicht an Regeln halten, zurückgezogen werden sollen - und das im Normalfall sogar innerhalb von 24 Stunden.

Für Google und Apple ist ein Austausch der Zertifikate noch relativ leicht machbar, da sie diese nur für ihre eigenen Services nutzen. Ein größeres Problem hat Go Daddy. Dort wurden nach eigenen Angaben mindestens 1,8 Millionen Zertifikate falsch ausgestellt. Verständlicherweise dürfte es zu größeren Problemen führen, dort alle Kunden innerhalb kurzer Zeit darüber zu informieren, dass sie ihre Zertifikate tauschen müssen. Go Daddy strebt an, die Zertifikate innerhalb von 30 Tagen zurückzuziehen, was schon sehr ambitioniert erscheint.

Soll man die Regeln streng einhalten, auch wenn kein Risiko besteht?

Letztendlich stellt sich bei dem Vorfall die Frage, ob es in solchen Fällen sinnvoll ist, streng auf die Regeln zu pochen. Ein praktisches Risiko besteht nicht. Doch viele mit dem Zertifikatsgeschäft vertraute Personen haben verständliche Vorbehalte gegen einen laxen Umgang mit Regeln.

Wer die entsprechende Mailingliste von Mozilla verfolgt, auf der derartige Vorfälle diskutiert werden, weiß, dass Regelverletzungen immer noch eher die Regel als die Ausnahme sind. Viele davon sind technisch harmlos, aber genau die Zertifizierungsstellen, die sich häufig nicht an scheinbar unwichtige Regeln halten, sind dann auch häufig diejenigen, bei denen eher echte Sicherheitsprobleme auftauchen.



Anzeige
Top-Angebote
  1. 449,00€
  2. (u. a. Wreckfest für 16,99€, Fallout 76 für 16,99€)
  3. (u. a. Kingston A400 1.92 TB für 159,90€ + Versand statt ca. 176€ im Vergleich)
  4. (u. a. Logitech MX Master Gaming-Maus für 47,99€, Gaming-Tastaturen ab 39,00€, Lautsprecher ab...

RufusJWB 13. Mär 2019

Negative Seriennummern sind nach RFC 5280 nicht erlaubt. Deshalb wurden 50% aller...


Folgen Sie uns
       


Hallo Magenta und Alexa auf dem Smart Speaker der Telekom

Wetter, Allgemeinwissen, sächsische Aussprache - wir haben den Magenta-Assistenten gegen Alexa antreten lassen.

Hallo Magenta und Alexa auf dem Smart Speaker der Telekom Video aufrufen
Indiegames-Rundschau: Killer trifft Gans
Indiegames-Rundschau
Killer trifft Gans

John Wick Hex ist ein gelungenes Spiel zum Film, die böse Gans sorgt in Untitled Goose Game für Begeisterung und in Noita wird jeder Pixel simuliert: Die Indiegames des Monats sind abwechslungsreich und hochwertig wie selten zuvor.
Von Rainer Sigl

  1. Indiegames-Rundschau Überleben im Dschungel und tausend Tode im Dunkeln
  2. Indiegames-Rundschau Epische ASCII-Abenteuer und erlebnishungrige Astronauten
  3. Indiegames-Rundschau Von Bananen und Astronauten

Star Wars Jedi Fallen Order: Mächtige und nicht so mächtige Besonderheiten
Star Wars Jedi Fallen Order
Mächtige und nicht so mächtige Besonderheiten

Ein Roboter mit Schublade im Kopf, das Lichtschwert als Multifunktionswerkzeug und ein sehr spezielles System zum Wiederbeleben: Golem.de stellt zehn ungewöhnliche Elemente von Star Wars Jedi Fallen Order vor.


    16K-Videos: 400 MByte für einen Screenshot
    16K-Videos
    400 MByte für einen Screenshot

    Die meisten Spiele können nur 4K, mit Downsampling sind bis zu 16K möglich. Wie das geht, haben wir bereits in einem früheren Artikel erklärt. Jetzt folgt die nächste Stufe: Wie erstellt man Videos in solchen Auflösungen? Hier wird gleich ein ganzer Schwung weiterer Tools und Tricks nötig.
    Eine Anleitung von Joachim Otahal

    1. UL 3DMark Feature Test prüft variable Shading-Rate
    2. Nvidia Turing Neuer 3DMark-Benchmark testet DLSS-Kantenglättung

      •  /