Abo
  • IT-Karriere:

Zufallszahlengenerator: Juniper wegen Hintertüren in Erklärungsnot

Nach wie vor verwenden Juniper-Geräte einen Zufallszahlengenerator, der vermutlich eine Hintertür eingebaut hat. Juniper will diesen zwar entfernen, sieht aber keine akute Gefahr. Dabei gibt es sehr klare Hinweise darauf, dass er böswillig eingebaut wurde.

Artikel veröffentlicht am , Hanno Böck
Wer hört alles mit, wenn Juniper-Geräte Datenverkehr verschlüsseln?
Wer hört alles mit, wenn Juniper-Geräte Datenverkehr verschlüsseln? (Bild: Victorgrigas, Wikimedia Commons/CC-BY-SA 3.0)

Juniper hat sich nach längerem Schweigen nun in einem Blogeintrag zu den Entdeckungen rund um die mutmaßlichen Hintertüren in seinen ScreenOS-Produkten geäußert. Demnach will der Konzern den fragwürdigen Zufallszahlengenerator Dual EC DRBG, der sehr wahrscheinlich ein Produkt der NSA ist und eine Hintertür enthält, aus seinen Produkten entfernen. Aktuell nutzen die ScreenOS-Router jedoch noch Dual EC. Juniper bestreitet, dass dies eine Gefahr darstellt. Neuere Untersuchungen der Juniper-Firmware, die auf der Real-World-Crypto-Konferenz vorgestellt wurden, lassen jedoch kaum einen anderen Schluss zu, als dass dieser Zufallszahlengenerator von jemandem eingebaut wurde, der einen Hintertür-Schlüssel dazu besitzt.

Zwei Hintertüren - oder auch drei

Stellenmarkt
  1. KARL MAYER Holding GmbH & Co. KG, Obertshausen
  2. NORDAKADEMIE gemeinnützige AG, Elmshorn

Zur Erinnerung: Kurz vor Weihnachten hatte Juniper öffentlich bekannt gegeben, dass in seinen ScreenOS-Routern zwei Hintertüren gefunden wurden. Bei der einen handelt es sich um ein fest eingestelltes SSH-Passwort - eine relativ triviale, aber doch gravierende Lücke. Weit ausgefeilter ist die zweite Lücke: Ein Angreifer hatte offenbar die Parameter für den Zufallszahlengenerator Dual EC geändert.

Der Zufallszahlengenerator Dual EC erlaubt es demjenigen, der die Parameter für die darin verwendeten elliptischen Kurven erstellt, gleichzeitig, einen geheimen Wert zu speichern, der es ihm anschließend erlaubt, bei Kenntnis eines kleinen Zufallszahlenstroms die zukünftigen Werte von Dual EC zu berechnen. Das Pikante: Der Angreifer, der die Hintertüre in Junipers Produkten platziert hatte, hat die Parameter für Dual EC lediglich ausgetauscht. Dazu kommt: Durch einen Fehler im Code wurde ein zweiter Zufallszahlengenerator namens ANSI X9.31 deaktiviert. Durch die Verkettung von zwei Zufallszahlengeneratoren wäre die Gesamtkonstruktion ohne diesen Fehler wieder sicher gewesen.

Als Juniper die geänderten Parameter entdeckte, wurden zunächst lediglich die alten Parameter wiederhergestellt. Der Bug, der die Verwendung von ANSI X9.31 verhindert, wurde bislang nicht behoben. Doch ob die ursprünglichen Parameter frei von einer Hintertür sind, ist äußerst fragwürdig. Juniper bestreitet jedoch, dass es hier ein Problem gebe. "Wir sind überzeugt davon, dass die gepatchten Releases, die Dual EC verwenden, sowohl den unautorisierten Zugriff als auch die VPN-Entschlüsselung verhindern", heißt es dazu in Junipers Blogpost.

Änderung an IPSEC macht Juniper-Erklärung unglaubwürdig

Hovav Shacham, Professor an der University of California in San Diego, hat auf der Real-World-Crypto-Konferenz in Stanford vor einigen Tagen weitere Details zu Junipers Verwendung von Dual EC präsentiert. Eine Änderung in IPSEC, die gleichzeitig mit der Einführung von Dual EC in ScreenOS vorgenommen wurde, dürfte Juniper in Erklärungsnöte bringen. Das IKE-Protokoll, das Teil von IPSEC ist, verwendet einen Nonce-Wert, der durch den Zufallszahlengenerator erzeugt wird. Die Länge des Nonce-Wertes ist variabel, die Mehrzahl der IPSEC-Implementierungen verwendet hier 20 Bytes. Juniper änderte diesen Wert auf 32 Byte - und zwar exakt zu dem Zeitpunkt, als der Zufallszahlengenerator Dual EC ursprünglich in ScreenOS eingebaut wurde. Beide Änderungen wurden in der Version 6.2.0r1 vorgenommen.

Dazu muss man wissen: Für einen erfolgreichen Angriff auf Dual EC benötigt ein Angreifer, der den geheimen Schlüssel besitzt, einige ungefilterte Zufallsbytes. 20 Bytes reichen hier nicht, 32 Bytes sind jedoch ausreichend. Sprich: Genau zu dem Zeitpunkt, als Juniper Dual EC in ScreenOS eingebaut hat, wurde auch eine Änderung im IPSEC-Protokoll vorgenommen, die die Ausnutzung der Dual-EC-Schwäche erst ermöglicht.

Es deutet viel darauf hin, dass es sich bei den Hintertüren in Junipers Geräten um drei unterschiedliche Akteure handelte. 2008 wurde Dual EC in den ScreenOS-Code eingefügt. Durch eine Änderung am Nonce-Wert von IKE und einen Bug wurde die Ausnutzung überhaupt erst möglich. 2012 wurden die Parameter von Dual EC geändert, nach der Entdeckung vor Weihnachten wurden diese auf den ursprünglichen Wert zurückgestellt. 2014 wurde das davon komplett unabhängige Default-Passwort im SSH-Code eingefügt.

Junipers Erklärung, dass der Zufallszahlengenerator Dual EC keine Gefahr darstelle, erscheint vor diesen Hintergründen kaum glaubwürdig. Von Junipers Pressestelle erhielten wir einen Verweis auf den Blogeintrag, weitere Fragen zu dem Vorfall wollte Juniper nicht beantworten. Juniper plant nun, den Zufallszahlengenerator Dual EC und auch ANSI X9.31 komplett zu entfernen und durch einen völlig anderen Zufallszahlengenerator zu ersetzen. Doch wann diese Änderung vorgenommen wird, dazu gibt es bislang von Juniper keine Angaben. Besitzern von Junipers ScreenOS-Produkten kann man zur Zeit wohl nur empfehlen, diese Geräte nicht mehr zu nutzen.



Anzeige
Hardware-Angebote
  1. 529,00€
  2. 349,00€
  3. 279€ (Bestpreis!)
  4. 107€ (Bestpreis!)

Anonymer Nutzer 12. Jan 2016

Meine ehemalige Uni hatte vorher Exchange - also mindestens etwas Kompetenz in Sachen...

Wurly 12. Jan 2016

Man kann Volkswagen aber mit den Worten "dem Autohersteller" ... einleiten.

spiderbit 11. Jan 2016

ja statt das problem einfach zu fixen wird ein neuer ein gebaut wo noch niemand die...

Wallbreaker 11. Jan 2016

Klingt mir zu sehr verallgemeinert. Wenn die richtigen und vor allem unabhängigen Leute...


Folgen Sie uns
       


Vaio SX 14 - Test

Das Vaio SX14 ist wie schon die Vorgänger ein optisch hochwertiges Notebook mit vielen Anschlüssen und einer sehr guten Tastatur. Im Golem.de-Test zeigen sich allerdings Schwächen beim Display, dem Touchpad und der Akkulaufzeit, was das Comeback der Marke etwas abschwächt.

Vaio SX 14 - Test Video aufrufen
CO2-Emissionen und Lithium: Ist das Elektroauto wirklich ein Irrweg?
CO2-Emissionen und Lithium
Ist das Elektroauto wirklich ein Irrweg?

In den vergangenen Monaten ist die Kritik an batteriebetriebenen Elektroautos stärker geworden. Golem.de hat sich die Argumente der vielen Kritiker zur CO2-Bilanz und zum Rohstoff-Abbau einmal genauer angeschaut.
Eine Analyse von Friedhelm Greis

  1. Reichweitenangst Mit dem E-Auto von China nach Deutschland
  2. Ari 458 Elektro-Lieferwagen aus Leipzig kostet knapp 14.000 Euro
  3. Nobe 100 Dreirädriges Retro-Elektroauto parkt senkrecht an der Wand

Raumfahrt: Galileo-Satellitennavigation ist vollständig ausgefallen
Raumfahrt
Galileo-Satellitennavigation ist vollständig ausgefallen

Seit Donnerstag senden die Satelliten des Galileo-Systems keine Daten mehr an die Navigationssysteme. SAR-Notfallbenachrichtigungen sollen aber noch funktionieren. Offenbar ist ein Systemfehler in einer Bodenstation die Ursache. Nach fünf Tagen wurde die Störung behoben.

  1. Satellitennavigation Galileo ist wieder online

Mobilfunktarife fürs IoT: Die Dinge ins Internet bringen
Mobilfunktarife fürs IoT
Die Dinge ins Internet bringen

Kabellos per Mobilfunk bringt man smarte Geräte am leichtesten ins Internet der Dinge. Dafür haben deutsche Netzanbieter Angebote für Unternehmen wie auch für Privatkunden.
Von Jan Raehm

  1. Smart Lock Forscher hacken Türschlösser mit einfachen Mitteln
  2. Brickerbot 2.0 Neue Schadsoftware möchte IoT-Geräte zerstören
  3. Abus-Alarmanlage RFID-Schlüssel lassen sich klonen

    •  /