Neuer Angriff schwächt Verschlüsselung per TLS 1.3

Ein Team aus sieben Sicherheitsforschern hat eine neue Variante des sogenannten Bleichenbacher-Angriffs entdeckt, der die TLS-Verschlüsselung von Internet-Datenverkehr knacken kann. Hacker können so eigentlich als sicher eingestufte Daten abfangen und stehlen. Die neue Variante soll nun auch die Version 1.3 des Protokolls Transport Layer Security (TLS) schwächen.

Ein Bleichenbacher-Angriff, benannt nach seinem Entdecker Daniel Bleichenbacher, richtet sich gegen Systeme, die RSA-Verschlüsselung zusammen mit der Codierungs-Funktion PKCS#1 Version 1 nutzen. Seit der Entdeckung dieser Methode im Jahr 1998 wurden mehrere Varianten beschrieben. Sie wiederum sollen Gegenmaßnahmen unterlaufen, die das Erraten von RSA-Entschlüsselungsschlüsseln erschweren sollen.

Diese Gegenmaßnahmen sind im Abschnitt 7.4.7.1 des TLS-Standards (RFC 5246) definiert. Hardware- und Software-Anbieter haben sie im Lauf der Jahre jedoch immer wieder falsch interpretiert oder nicht Wort für Wort umgesetzt. Als Folge sind viele Server, Router, Firewalls, VPNs und Verschlüsselungsbibliotheken immer noch anfällig für Varianten des Bleichenbacher-Angriffs.

Die neueste Variante beschreibt das internationale Forscherteam in einem Papier (PDF) mit dem Titel „Die neun Leben von Bleichenbachers Katze: Neue Cache-Angriffe auf TLS-Implementierungen“, wobei im englischen in Anspielung auf Schrödingers Katze das Wort „Cat“ von „Cache Attack“ abgeleitet wurde. Ihnen ist es offenbar gelungen, die RSA-Verschlüsselung zusammen mit PKCS#1 Version 1.5 zu knacken, der heute gängigsten Konfiguration für die Verschlüsselung von TLS-Verbindungen. Außerdem soll der neue Angriff auch bei Googles neuem Verschlüsselungsprotokoll QUIC funktionieren.

„Der Angriff nutzt ein Side-Channel-Leck über Cache-Zugriffs-Timings dieser Implementierungen, um den RSA-Schlüsseltausch der TLS-Implementierung zu knacken“, erklärten die Forscher. Das Protokoll TLS 1.3 sei auch anfällig, obwohl die RSA-Nutzung hier auf ein Minimum reduziert worden sei, weil es unter Umständen auf TLS 1.2 herabgestuft werde, bei dem wiederum ein Angriff möglich sei.

„Wir haben neun verschiedene TLS-Implementierungen getestet und festgestellt, dass sieben anfällig sind: OpenSSL, Amazon s2n, MbedTLS, Apple CoreTLS, Mozilla NSS, WolfSSL und GnuTLS“, ergänzten die Forscher. Nicht angreifbar waren indes die Bibliotheken von BearSSL und Googles BoringSSL. Bereits seit November 2018 liegen zudem aktualisierte Versionen der fehlerhaften Bibliotheken vor.