Logjam-Angriff: Schwäche im TLS-Verfahren gefährdet Zehntausende Webseiten

Verschlüsselte Verbindungen können durch eine Schwäche im TLS-Verfahren in vielen Fällen auf einen unsicheren Diffie-Hellman-Schlüsselaustausch mit 512 Bit reduziert werden. Forscher vermuten, dass eine Variante dieses Angriffs für das NSA-Programm Turmoil verantwortlich sein könnte.

Artikel veröffentlicht am , Hanno Böck
Mit großen PC-Clustern lassen sich Angriffe auf Diffie-Hellman mit 512 Bit vorberechnen.
Mit großen PC-Clustern lassen sich Angriffe auf Diffie-Hellman mit 512 Bit vorberechnen. (Bild: Megware Computer GmbH/CC BY-SA 3.0)

Ein Team von Kryptographen hat sich in einer ausführlichen Analyse mit dem Diffie-Hellman-Schlüsselaustausch in TLS und anderen Protokollen beschäftigt. Es gelang ihnen dabei, mittels eines Man-in-the-Middle-Angriffs HTTPS-Verbindungen in einen unsicheren Export-Modus zu zwingen, der angreifbar ist. Damit könnte ein Angreifer etwa Javascript-Code in die Verbindung einfügen oder den Datenverkehr mitlesen. Betroffen sind etwa acht Prozent der wichtigsten Webseiten. Diesen Angriff bezeichnen sie als Logjam, benannt nach dem diskreten Logarithmus, der für die Sicherheit des Diffie-Hellman-Verfahrens entscheidend ist. Doch das ist nur eines von einer ganzen Reihe von Problemen. Die Autoren vermuten, dass ein ähnlicher Angriff von der NSA verwendet wird.

Forward Secrecy durch Diffie-Hellman-Schlüsselaustausch

Inhalt:
  1. Logjam-Angriff: Schwäche im TLS-Verfahren gefährdet Zehntausende Webseiten
  2. Unsichere Primzahlen und falsche Parameter
  3. Knackt die NSA 1.024 Bit?

Der klassische Diffie-Hellman-Schlüsselaustausch ist ein relativ altes Verfahren, mit dem man Forward Secrecy bei verschlüsselten Verbindungen gewährleisten kann. Dabei müssen sich die beiden Kommunikationspartner vorher auf eine sogenannte Gruppe und einen Generator einigen - beim klassischen Diffie-Hellman-Verfahren ist die Gruppe schlicht eine große Primzahl. Die Größe dieser Gruppe ist entscheidend für die Sicherheit des Verfahrens. 512 Bit gelten als extrem unsicher, werden aber nach wie vor teilweise genutzt, 1.024 Bit gelten als problematisch und 2.048 Bit sind nach aktuellem Kenntnisstand sicher.

In den 90er Jahren gab es in den USA gesetzliche Beschränkungen für den Export von Kryptographie. Um dem gerecht zu werden, wurde in SSL (dem Vorgänger von TLS) ein Export-Modus für den Diffie-Hellman-Schlüsselaustausch eingeführt, der die Gruppenlänge auf 512 Bit begrenzt. Dieser veraltete Modus fällt nun vielen Implementierungen auf die Füße. Zwar wird er normalerweise nicht genutzt, manche Server unterstützen ihn aber noch aus Kompatibilitätsgründen. Unter den Millionen beliebtesten Seiten laut der Statistik von Alexa unterstützen acht Prozent noch den unsicheren Export-Modus.

An sich wäre das kein Problem, denn kein normaler Browser wählt diesen Modus aus. Doch die Autoren fanden eine Schwäche im TLS-Handshake. Dieser läuft so ab, dass der Client dem Server eine Liste von Algorithmen schickt, aus denen der Server einen auswählen kann. Was nun zum Problem wird: An dieser Stelle ist der Handshake noch nicht signiert. Ein aktiver Angreifer kann also einen Handshake des Nutzers ändern und dem Server statt des gewöhnlichen Diffie-Hellman-Schlüsselaustauschs einen unsicheren Export-Schlüsselaustausch anbieten. Der Server wiederum antwortet mit einer unsicheren 512-Bit-Gruppe.

Die Krux dabei: Die meisten Clients akzeptieren auch im normalen Modus 512-Bit-Gruppen. Insofern kann der Angreifer die Serverantwort ändern und dem Client einen normalen Diffie-Hellman-Schlüsselaustausch mit 512 Bit vorgaukeln. Eine Analyse von Golem.de hat im vergangenen Jahr ergeben, dass einige Browser sogar komplett unsichere Gruppen von wenigen Bits akzeptieren.

Um diesen Angriff durchzuführen, ist es notwendig, dass der Angreifer den Schlüsselaustausch in Echtzeit angreifen kann. Das wäre selbst mit den besten Algorithmen und großen Spezialcomputern eine extreme Herausforderung. Um den Diffie-Hellman-Schlüsselaustausch anzugreifen, muss ein diskreter Logarithmus berechnet werden, das beste hierfür bekannte Verfahren ist das sogenannte Zahlkörpersieb.

Vorberechnungen ermöglichen Angriff in Minuten

Doch das Zahlkörpersieb erlaubt ein sehr gezieltes Tuning des Angriffs. Wenn die verwendete Gruppe vorher bekannt ist, kann ein Großteil der Berechnungen vorab durchgeführt werden. Die verwendete Gruppe ist kein Geheimnis und ein Server setzt üblicherweise für alle Verbindungen die gleichen Gruppen ein. Vielfach sind die Gruppen sogar bereits Teil der Software. Unter den Servern, die den Export-Modus unterstützen, nutzen 93 Prozent die gleiche Gruppe.

Mittels eines Clusters von mehreren Tausend PCs gelang es den Forschern, innerhalb von einer Woche Vorberechnungen für eine bestimmte Gruppe durchzuführen. Anschließend ließ sich der aktive Angriff auf einem System mit vier Intel-Xeon-E7-Prozessoren mit jeweils sechs Cores in durchschnittlich 90 Sekunden durchführen. Dabei variierte die Geschwindigkeit jedoch deutlich, zwischen 36 und 260 Sekunden. Mit Spezialhardware und weiteren Optimierungen ließe sich dieser Angriff, so spekulieren die Forscher, vermutlich auf unter eine Minute reduzieren.

Für einen aktiven Angriff ist das nach wie vor relativ viel. Doch einige Eigenschaften von Browsern erleichtern den Angriff unter Umständen. TLS unterstützt ein Feature namens Warning Alerts. Diese Pakete werden von Browsern zwar ignoriert, jedoch führen sie dazu, dass der Timeout-Counter zurückgesetzt wird. In Firefox lässt sich damit ein Handshake beliebig lange verzögern, in anderen Browsern wird die Verbindung nach einer Minute abgebrochen. Um einen Angriff auf eine HTTPS-Verbindung unbemerkt durchzuführen, könnte der Angreifer nicht die eigentliche Seite, sondern stattdessen eine externe Ressource, etwa einen Tracking- oder Werbe-Javascript-Code, angreifen. Sein Fehlen würde beim Seitenaufbau nicht direkt auffallen.

Um den Angriff zu vereiteln, schlagen die Autoren vor, dass Browser künftig den Schlüsselaustausch mit Gruppen kleiner als 1.024 Bit komplett verbieten. Chrome-Entwickler Adam Langley hat bereits angekündigt, dies spätestens in der Version 45 von Chrome umzusetzen. Ohne Probleme wird dies nicht verlaufen: Da nach wie vor einige Seiten ausschließlich sehr kurze Diffie-Hellman-Gruppen einsetzen, werden manche Seiten danach nicht mehr erreichbar sein. Die Webseite zum Logjam-Angriff enthält einen Test, der prüft, ob Browser 512-Bit-Gruppen akzeptieren.

Der Angriff erinnert in vielen Punkten an den Freak-Angriff, der im März veröffentlicht wurde. Auch bei Freak konnte ein Angreifer eine Verbindung in einen alten Export-Modus zwingen. Allerdings basierte Freak auf Softwarefehlern in OpenSSL und in Microsofts TLS-Implementierung. Logjam jedoch ist ein Fehler direkt im TLS-Protokoll.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Unsichere Primzahlen und falsche Parameter 
  1. 1
  2. 2
  3. 3
  4.  


executor85 21. Mai 2015

Ja, meine die gleiche Gruppe. Da hast du wirklich recht. Müsste man mal ausrechnen...

JeGr 21. Mai 2015

Da hast du prinzipiell recht, aber: Gerade bei einem Web-Stack aus Webserver...

SelfEsteem 20. Mai 2015

Irgendwas interpretierst du da ein wenig arg falsch. Man kann der NSA jetzt nicht alles...

Tobias Grund 20. Mai 2015

Oder man schaltet diese total unsinnige HTTPS-Scanning einfach ab ^^



Aktuell auf der Startseite von Golem.de
Intel Core i9-14900KS
Intel ist wahnsinnig geworden - zum Glück!

Um den Core i9-14900KS zur schnellsten Allround-CPU zu machen, hat Intel den Weg der Vernunft scheinbar vollständig verlassen. Doch dahinter stecken gute Neuigkeiten für Intel-Kunden.
Ein IMHO von Martin Böckmann

Intel Core i9-14900KS: Intel ist wahnsinnig geworden - zum Glück!
Artikel
  1. Streaming: Twitch verbietet Popos als Leinwand
    Streaming
    Twitch verbietet Popos als Leinwand

    Auf Hinterteile projizierte Streams sind auf Twitch künftig verboten: Der zu Amazon gehörende Dienst geht gegen einen absurden Trend vor.

  2. Die ultimative Python-Ressource im E-Learning-Format
     
    Die ultimative Python-Ressource im E-Learning-Format

    Zehn Praxisprojekte, 352 Unterrichtseinheiten und über 33 Stunden Videoinhalte: Dieser umfangreiche Online-Kurs bahnt den Weg zur Python-Expertise. Optimal für Neulinge sowie Fortgeschrittene. 20 Prozent Rabatt nur noch bis Sonntag!
    Sponsored Post von Golem Karrierewelt

  3. Truth Social: Warum Trumps kleines Netzwerk Milliarden wert wurde
    Truth Social
    Warum Trumps kleines Netzwerk Milliarden wert wurde

    Donald Trumps verlustbringender Twitter-X-Klon Truth Social wird nach seinem Börsengang mit 9 Milliarden US-Dollar bewertet. Es ist eine Spekulationsblase - und eine Investition in eine potenzielle Trump-Präsidentschaft.
    Ein Bericht von Achim Sawall

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Palit 4070 Super 579,95€ • Xbox-Controller ab 39,99€ • AVM Fritzbox + Repeater -30% • DVDs & Blu-rays -31% • EA -75% • Ubisoft -50% • MindStar: AMD Ryzen 9 7900 339€, MSI RTX 4080 Super Ventus 3X OC 1.099€ • Gratis-Zugaben PS5 Slim & Nintendo Switch OLED beim TV-Kauf [Werbung]
    •  /