Logjam-Attacke? Eine Schw\u00e4che im TLS-Verfahren kann dazu f\u00fchren, dass verschl\u00fcsselte Verbindungen auf den unsicheren 512-Bit-Diffie-Hellman-Schl\u00fcsseltausch reduziert werden. Die Forscher, die dies entdeckt haben, mutma\u00dfen, dass dieses Angriffsszenario auch hinter dem NSA-Programm Turmoil stecken k\u00f6nnte. Betroffen sind nicht nur Web-, sondern auch E-Mail-, SSH- sowie VPN-Server.<\/p>\n
<\/p>\n
Ein Team aus Krypto-Forschern hat ausf\u00fchrliche Analysen zum Diffie-Hellman-Schl\u00fcsselaustausch in vielen Protokollen<\/a>, darunter auch TLS, vorgenommen. Dabei gelang es, HTTPS-Verbindungen mittels Man-in-the-Middle-Angriffen in unsichere Export-Modi zu zwingen, die angreifbar werden. Angreifern wird es so erm\u00f6glicht, beispielsweise Javascript-Codes einzuschleusen oder den Datenverkehr mitzulesen. Die Forscher haben das Angriffsszenario „Logjam“ getauft \u2013 Namenspate ist der diskrete Logarithmus, der \u00fcber die Sicherheit des Diffie-Hellman-Verfahrens entscheidet.<\/p>\n Hinter dem klassischen Diffie-Hellman-Schl\u00fcsselaustausch steckt ein \u00e4lteres Verfahren, mit dem der PFS-Zusatz in verschl\u00fcsselten Verbindungen<\/a> aktiviert werden kann. Die Kommunikationspartner einigen sich dabei auf einen sogenannten Generator oder eine Gruppe; das klassische Diffie-Hellman-Verfahren verwendet als Gruppe eine gro\u00dfe Primzahl. Genau diese Primzahl-Gr\u00f6\u00dfe entscheidet nun \u00fcber die Verfahrenssicherheit. 512 Bit gelten bereits seit langem als extrem unsicher, selbst 1.024 Bit sind problematisch und erst 2.048 Bit gelten heute als sicher.<\/p>\n Die Urspr\u00fcnge dieser Sicherheitsl\u00fccke liegen im \u00dcbrigen, wie schon im FREAK-Angriffsszenario<\/a>, in der US-amerikanischen Gesetzgebung der 80er und 90er Jahre. Aufgrund der damaligen Export-Beschr\u00e4nkungen von Kryptographie f\u00fchrte man in SSL, dem TLS-Vorg\u00e4nger, einen Export-Modus f\u00fcrs Diffie-Hellman-Verfahren ein, der die L\u00e4nge der Primzahl auf 512 Bit begrenzt. Normalerweise wird dieser Modus gar nicht mehr verwendet, jedoch unterst\u00fctzen ihn viele Server aus Kompatibilit\u00e4tsgr\u00fcnden. Das Forschungsteam geht davon aus, dass 8,4 % der Millionen beliebtesten Seiten eben diesen unsicheren Modus unterst\u00fctzen.<\/p>\n Theoretisch greift kein moderner Browser auf diesen Modus zur\u00fcck. Doch f\u00fchrt eine Schw\u00e4che im TLS-Handshake dazu, den Modus doch zu verwenden: der Client schickt dem Server eine Algorithmen-Liste, aus dieser trifft der Server seine Wahl. Zu diesem Zeitpunkt ist der Handshake jedoch noch nicht signiert. Aktive Angreifer k\u00f6nnen nun den Handshake des Nutzers so \u00e4ndern, dass dem Server nicht der gew\u00f6hnliche Diffie-Hellman-Schl\u00fcsselaustausch, sondern der unsichere Export-Schl\u00fcsselaustausch angeboten wird. Der Server reagiert seinerseits mit einer unsicheren Antwort aus der 512-Bit-Gruppe. Dass die meisten Clients auch im normalen Modus derartig kleine Gruppen akzeptieren, ist die eigentliche Krux dabei. Es ist ein Leichtes f\u00fcr Angreifer, die Serverantwort zu manipulieren und dem Client einen normalen Schl\u00fcsselaustausch mit unsicheren 512 Bits vorzugaukeln. Werfen Sie einen Blick auf diese Analyse von Golem<\/a>: einige Browser akzeptieren sogar komplett unsichere Gruppen mit wenigen Bits.<\/p>\n Um den Angriff tats\u00e4chlich durchzuf\u00fchren, ist es unumg\u00e4nglich, den Schl\u00fcsselaustausch in Echtzeit zu erwischen \u2013 eine Herausforderung selbst f\u00fcr Spezialcomputer mit den besten Algorithmen. Damit der Schl\u00fcsselaustausch nach Diffie Hellman wirklich angegriffen werden kann, muss der diskrete Logarithmus kalkuliert werden, und das beste daf\u00fcr existierende Verfahren ist das Zahlk\u00f6rpersieb<\/a>. Damit kann der Angriff sehr zielgerichtet stattfinden: sind die verwendeten Gruppen im Voraus bekannt, k\u00f6nnen auch die meisten Berechnungen vorab durchgef\u00fchrt werden. Welche Gruppe verwendet wird, ist kein Geheimnis und in aller Regel setzen Server f\u00fcr s\u00e4mtliche Verbindungen auf dieselben Gruppen \u2013 oftmals sind diese Gruppen sogar Teil der Software. Immerhin nutzen unter den Servern, die den Export-Modus unterst\u00fctzen, sagenhafte 93 % dieselbe Gruppe!<\/p>\n Die Forscher stellten ein Cluster mit mehreren tausend PCs zusammen und unternahmen eine Woche lang Vorberechnungen f\u00fcr eine bestimmte Gruppe. Im Anschluss konnte ein aktiver Angriff auf ein System (4 Intel-Xeon-E7-CPUs mit jeweils 6 Kernen) binnen durchschnittlich 90 Sekunden durchgef\u00fchrt werden \u2013 die Geschwindigkeiten variierten zwischen 36 bis 260 Sekunden. Die Forscher mutma\u00dfen, dass Spezialhardware und weitere Optimierungen dazu f\u00fchren k\u00f6nnten, Angriffe auf unter eine Minute zu reduzieren und auch gr\u00f6\u00dfere Gruppen zu kompromittieren.<\/p>\n Weniger als eine Minute ist immer noch recht lang f\u00fcr aktive Angriffe. Jedoch erleichtern diverse Browser mit ihren Eigenschaften das Angriffsszenario. Das Protokoll TLS unterst\u00fctzt das Warning Alerts-Feature. In der Folge werden solche Pakete von den Browsern zwar ignoriert, jedoch wird der Timeout-Counter zur\u00fcckgesetzt. In Firefox f\u00fchrt das dazu, dass sich Handshakes beliebig lang verz\u00f6gern lassen, andere Browser brechen die Verbindung nach einer Minute ab. Angreifbar sind laut den Forschern Chrome, Firefox sowie Safari. Um eine HTTPS-Verbindung nun unbemerkt anzugreifen, setzen Angreifer nicht auf die eigentliche Seite, sondern w\u00e4hlen den Umweg \u00fcber externe Ressourcen wie Tracking- oder Werbe-Javascript-Codes. Das f\u00e4llt beim Seitenaufbau nicht weiter auf.<\/p>\n Die Forscher sehen bei Diffie-Hellman ab 1.024 Bit keine Gefahren, jedoch vermuten die Forscher, dass Geheimdienste auch 1.024-Bit-Diffie-Hellman-Verfahren knacken k\u00f6nnen. Unterst\u00fctzen Client und Server das Export-Verfahren („DHE_EXPORT“), kann ein Fallback auf 512 Bit erzwungen werden. Mithilfe der Vorberechnungen sind pl\u00f6tzlich Man-in-the-Middle-Angriffe auf die verschl\u00fcsselte Verbindung m\u00f6glich. Admins haben die M\u00f6glichkeit, ihre Server in dem von den Forschern zur Verf\u00fcgung gestellten Test<\/a> zu pr\u00fcfen. Sind Sie betroffen, deaktivieren Sie die Export-Verschl\u00fcsselung und erzeugen Sie eine spezifische 2.048-Bit-Diffie-Hellman-Gruppe (eine Beschreibung finden Sie auf der Server-Testseite). W\u00e4hrend die Entwickler der verwundbaren Browser an Patches arbeiten, wurde die L\u00fccke im Internet Explorer von Microsoft bereits mit dem letzten Patch-Day geschlossen.<\/p>\n Die Firewall-Distribution IPFire 2.17 bekommt das Core-Update 91 spendiert, das Sicherheitsl\u00fccken in StrongSwan, der VPN-Server-\/-Client-Komponente, sowie in der OpenSSL-Bibliothek schlie\u00dft. Weiter stopft die OpenSSL-Version 1.0.2b sechs weitere L\u00f6cher, unter anderem die kritische Logjam-L\u00fccke. StrongSwan in der Version 5.3.1 schlie\u00dft die L\u00fccke, mit der DoS-Attacken zur Code-Ausf\u00fchrung gestartet werden k\u00f6nnen. Daneben wurde der automatische P2P-Block bei einer Neuinstallation aufgehoben, da der P2P-Verkehr insgesamt r\u00fcckg\u00e4ngig sei und IPFire zu viele Pakete f\u00e4lschlicherweise als P2P erkannt hat. Ein vorhandener P2P-Block bleibt nach dem Upgrade eines laufenden Systems auf die Core-Version 91 erhalten. Alle Update-Details finden Sie auf IPFire.org<\/a>.<\/p>\nLogjam-Attacke: PFS durch Diffie-Hellman-Verfahren<\/h2>\n
Schw\u00e4che im TLS-Handshake<\/h3>\n
Angriffe mit weniger als einer Minute<\/h3>\n
Konkret: wann besteht Gefahr?<\/h3>\n
Update: Core-Update 91 f\u00fcr IPFire 2.17 schlie\u00dft Logjam-L\u00fccke<\/h3>\n