Viele TLS-Implementationen ermöglichen Auslesen des RSA-Schlüssels

Eine Reihe von TLS-Softwareimplementierungen enthalten Sicherheitslücken, die es Hackern ermöglichen mit minimalem Aufwand von Rechenressourcen RSA-Schlüssel auszulesen.

Florian Weimer, Forscher von Red Hat hat in der vergangenen Woche eine Bericht mit dem Titel „Factoring RSA Keys With TLS Perfect Forward Secrecy“ veröffentlicht, der Sicherheitslücken in einer Reihe von Geräten aufzeigt, darunter einpopulärer Citrix Lastverteiler und weitere Geräte von Hillstone Networks, Nortel, Viprinet und andere.

Die TLS-Implementationen in diesen Produkten sind laut Weimer nicht ausreichend vor Lenstra-Attacken gegen das „Chinese Remainder Theorem“ (Chinesischer Restsatz) geschützt, auch bekannt als RSA-CRT.

„Wenn ein Fehler während der Berechnung der Signatur aufgetreten ist (unter Verwendung der RSA-CRT-Optimierung), kann ein Cyberkrimineller den verborgenen Schlüssel aus der Signatur wiederherstellen (ein „RSA-CRT-Schlüssel-Leck“). Zu der Zeit war der Einsatz von Kryptografie im Internet nicht üblich, und selbst zehn Jahre danach waren die meisten TLS- (oder HTTPS-) Verbindungen immun gegen dieses Problem, da sie keine RSA-Signaturen verwendeten“, schreibt Weimer über die Lenstra-Attacke. „Das hat sich schrittweise geändert, als Forward Secrecy für TSL empfohlen und von vielen Websites eingeführt wurde.“

Lenstra wird als Umgehungsangriff beschrieben, und Weimer erklärte, dass der RSA-Algorithmus von selbst dagegen geschützt ist, und die Sicherheitslücke nur in einigen ungeschützten Implementierungen vorkommt.

„Wir haben dort einige RSA-CRT-Schlüssel-Lecks beobachtet, wo sie nicht hätten sein sollen“, schreibt er und fügt hinzu, dass die Implementierungen in OpenSSL und NSS geschützt seien und dass Oracle nach Rücksprache mit Weimer OpenJDK in CVE-2015-0478 gepatcht habe. „Alle PKI-Browserzertifikate, von denen wir beobachtet haben, dass sie leck sind, wurden ausgetauscht und zurückgerufen.“

Diese Offline-Attacke ist im Vergleich zu anderen Angriffen auf Verschlüsselung für Hacker verhältnismäßig kostengünstig einsetzbar. Dabei ist der Diebstahl des geheimen Chiffrierungsschlüssels in jedem Fall gefährlich für die Daten und die Kommunikation, die durch TLS eigentlich geschützt sein sollten. Laut Weimer kann ein Gauner über eine „Man-in-the-Middle“-Attacke oder durch die Kompromittierung des Servers in das Netz eindringen, um eine wiederholte Attacke dieses Typs durchzuführen und sich endgültig als angegriffener Server auszugeben.

„Entweder kann der Client, der den TLS-Handshake durchführt, dieses Leck sehen, oder ein passiver Beobachter, der den Netztraffic abfängt“, schreibt Weimer. „Dieses Durchsickern der Schlüssel ermöglicht auch die Entschlüsselung solches Datenaustauschs, bei dem keine Forward Secrecy angewendet wird, ohne dass die Notwendigkeit besteht, eine „Man-in-the-Middle“-Attacke durchzuführen.“

Hinzu kommt, dass offline ausgeführte Attacken nur schwer auszumachen sind. Ein Intrusion Detection System kann nach Aussage von Weimer das Durchsickern der Schlüssel erkennen, wenn es für die Überprüfung aller TLS-Handshakes konfiguriert wurde.

„Im Falle der von uns beobachteten Schlüssel-Lecks kann unserer Meinung nach ein entfernter Angreifer nicht nach Belieben das Abfließen von Schlüsseln auslösen, da er den Server im Netz nicht dahingehend manipulieren kann, dass die Wahrscheinlichkeit des Durchsickerns der Schlüssel in einem konkreten TLS-Handshake steigt“, meint Weimer. „Das Einzige, was ein Cyberkrimineller tun kann, ist, so viele Handshakes wie möglich abzufangen, möglicherweise indem er selbst eine Vielzahl solcher Handshakes initiiert.“

Forward Secrecy wird in vielen kritisch wichtigen Systemen angewendet. Mit Forward Secrecy wird für jede Sitzung ein neuer Chiffrierungsschlüssel generiert, das bedeutet, dass ein Hacker, wenn es ihm gelingt, die Daten vieler Sitzungen abzufangen, sie nicht alle hacken kann, wenn er einen Schlüssel herausfindet, sondern nur eine Sitzung.

„Die Deaktivierung der Forward Secrecy ermöglicht es passiven Beobachtern, die schon vorher Schlüssel gestohlen haben, künftige TLS-Sitzungen aus dem abgefangenen Netztraffic zu dechiffrieren, ohne dass die Verbindung des Client umgeleitet werden muss“, schreibt Weimer. „Das bedeutet, dass die Deaktivierung von Forward Secrecy alles nur noch schlimmer macht. (Die Deaktivierung von Forward Secrecy und der Austausch des Serverzertifikats funktionieren trotzdem.)“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.