Sicherheitsforscher haben erneut von der EMC-Tochter RSA stammenden Code gefunden, der das Entschlüsseln von TLS-verschlüsselter Online-Kommunikation um bis zu 65.000-mal schneller macht. Er steckt in einer Erweiterung namens „Extended Random“, die zu den BSAFE-Bibliotheken gehört, an denen wiederum Mathematiker in Diensten des US-Geheimdiensts National Security Agency (NSA) mitgearbeitet haben.
Diese Erweiterung soll eigentlich für mehr Varianz bei der zufallsgesteuerten Verschlüsselung sorgen, tut aber das genaue Gegenteil. Damit macht sie den 2013 schon beanstandeten Zufallszahlengenerator Dual Elliptic Curve Deterministic Random Bit Generator (Dual EC) noch einmal um Faktor 65.000 schwächer. Im Dezember war durch von Edward Snowden verfügbar gemachte Unterlagen bekannt geworden, dass RSA für die Schwächung von Dual EC einen zweistelligen Millionen-Dollar-Betrag von der NSA erhalten hat.
Einer der Forscher sagte der Agentur Reuters, die als erste über die Schwachstelle berichtet hat: „Wenn der Gebrauch von Dual Elliptic Curve schon dem Spielen mit Streichhölzern entspricht, dann verhält sich jemand, der noch Extended Random hinzufügt, wie einer, der sich vorher mit Benzin übergießt.“ Reuters berichtet außerdem, RSA habe die Befunde nicht bestritten.
Untersucht wurden im Einzelnen RSA BSAFE Share für C/C++, RSA BSAFE Share für Java, Microsoft SChannel und OpenSSL, wobei das Augenmerk jeweils ihrer Implementation von Dual EC galt. Das Ergebnis: Die RSA-Variante von BSAFE ist „besonders einfach auszunutzen“: „Die C-Version von BSAFE beschleunigt mögliche Angriffe erheblich, indem sie lange, zusammenhängende Byte-Strings broadcastet und das Ergebnis jedes Generator-Aufrufs zwischenspeichert. Die Java-Version integriert Fingerprints in Verbindungen, was sie in einem Netzwerk-Traffic-Strom relativ leicht zu identifizieren macht.“
In OpenSSL fanden die Sicherheitsforscher einen neuen Bug, der eine Nutzung unmöglich machte, wenn Dual EC lief. Dies patchten die Informatiker, um anschließend festzustellen, dass diese Version durch größere Ungewissheit nun schwerer anzugreifen war. Mit einem 16-CPU-Cluster konnte ein ambitionierter Angreifer aber jede der Implementierungen knacken, auch wenn er es auf eine größere Anzahl Ziele abgesehen hatte.
Im ausführlichen Forschungsbericht (PDF) heißt es: „Ein Angriff auf BSAFE-C funktioniert quasi sofort, auch auf einem alten Laptop. BSAFE-Java und SChannel erfordern mehr Rechenleistung, um fehlende Teile der Dual-EC-Ausgabe zu ergänzen. Der Angriff auf das gefixte OpenSSL ist stark davon abhängig, wie viele Informationen zur Verfügung stehen.“
Indem sie nach Fingerabdrücken der Implementierungen suchten, konnten die Forscher mit einem ZMap-Scan herausfinden, dass von 21,8 Millionen untersuchten IPv4-Adressen nur 720 Server angreifbares BSAFE-Java einsetzten. SChannel kam auf 2,7 Millionen Servern zu Einsatz, Dual EC ist unter ihm aber nicht standardmäßig aktiv, sodass die Zahl der angreifbaren Systeme unbekannt bleibt. Das besonders angreifbare BSAFE-C weist keinen leicht zu findenden Fingerprint auf, seine Verbreitung ließ sich also nicht ermitteln.
„Unsere Ergebnisse zeigen, dass ansonsten unscheinbare Implementierungsentscheidungen großen Einfluss darauf haben, wie leicht ein Algorithmus geknackt werden kann. RSA BSAFE-C ist etwa am weitaus leichtesten auszubeuten, da ungenutzte Bytes der Dual-EC-Ausgabe im Cache landen. Abhängig von solchen Entscheidungen kann ein Angreifer einen TLS-Session-Key mit einer einzigen CPU innerhalb von Sekunden erlangen oder ein Cluster aus mehr als 100.000 CPUs benötigen, nur weil eine andere Bibliothek zum Einsatz kommt.“
Eindeutig sei: Der Algorithmus Dual EC für Kommunikation mit SSL/TLS müsse so schnell wie möglich aus dem Verkehr genommen werden, heißt es abschließend. Am Projekt waren Forscher der Universitäten Eindhoven, San Diego, Wisconsin und der Johns Hopkins University beteiligt.
[mit Material von Chris Duckett, ZDNet.com]
Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Neueste Kommentare
Noch keine Kommentare zu Sicherheitsforscher finden erneut schwachen Verschlüsselungscode von RSA
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.