© Liashko/Shutterstock.com
Veraltete Algorithmen gefährden die Sicherheit

Zwei auf einen Streich


Wieder einmal gefährden veraltete Algorithmen die Sicherheit ... und dazu kommt dann noch ein Hardwareproblem. Und beides wurde innerhalb eines Tages gemeldet. Wenn das so weitergeht, stehen SSL/TLS wieder einmal turbulente Zeiten bevor.

Fangen wir aber mit dem zuerst gemeldeten und auch weitaus gefährlicheren Angriff an.

DROWN – Mit dem veralteten SSLv2 gegen das aktuelle TLS 1.2

DROWN [1] ist die Kurzform von „Decrypting RSA with Obsolete and Weakened eNcryption“, CVE-2016-0800 [2]. Dabei wird das veraltete SSLv2-Protokoll verwendet, um mit einem aktuellen Protokoll wie TLS 1.2 verschlüsselte Daten zu entschlüsseln. Und das funktioniert so:

  • Der Angreifer agiert rein passiv und zeichnet den verschlüsselten Traffic zwischen Client und Server auf.

  • Der Angreifer wird aktiv und greift den Server über SSLv2 mit einer Variante des Bleichenbacher-Padding-Oracle-Angriffs [3] an, um das so genannte Pre-Master Secret der Verschlüsselung auszuspähen.

  • Der aufgezeichnete Traffic wird mit dem aus dem ausgespähten Pre-Master Secret berechneten Sitzungsschlüssel entschlüsselt.

Schritt 1 ist relativ einfach, der Angreifer muss „nur“ Zugriff auf den Netzwerkverkehr des Clients oder Servers haben – zum Beispiel als MitM, über eine Schnittstelle beim Zugangsprovider des Clients oder beim Hoster des Servers. Nutzt der Client ein offenes WLAN, kann der Angreifer die Übertragung problemlos während der ungeschützten Übertragung zum Access Point belauschen. Bei Bedarf kann der Angreifer sein Opfer auf eine Webseite locken, die viele Verbindungen zum gewünschten Server aufbaut, um genügend Daten zu sammeln. Welche SSL- oder TLS-Version für die Verbindung verwendet wird, ist egal, solange für den Schlüsselaustausch RSA und nicht der Diffie-Hellman-Schlüsselaustausch verwendet wird. Beim Schlüsselaustausch mit RSA wählt der Client einen zufällig erzeugten Wert – das Pre-Master Secret – und sendet ihn RSA-verschlüsselt mit dem öffentlichen Schlüssel des Servers an diesen. Später berechnen sowohl Client als auch Server aus dem Pre-Master Secret und zwei während des Verbindungsaufbaus als Klartext ausgetauschten Zufallswerten den Sitzungsschlüssel, mit dem danach die Verbindung verschlüsselt wird.

In Schritt 2 sendet der Angreifer über SSLv2 präparierte Handshake-Nachrichten an den Server, die modifizierte Teile des zuvor aufgezeichneten Schlüsseltexts des Clients enthalten. Je nachdem, wie der Server reagiert, kann der Angreifer entscheiden, ob der Schlüsseltext vom Server zu ei...

Neugierig geworden?

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang