Mithilfe eines Cache-Timing-Angriffs gelang es Forschern, die RSA-Verschl\u00fcsselungsoperation von OpenSSL zu belauschen, um den privaten Schl\u00fcssel zu knacken. Das „Cachebleed“ genannte Angriffsszenario nutzt Zugriffskonflikte auf den CPU-Cache-Speicher. OpenSSL hat bereits Gegenma\u00dfnahmen implementiert, jedoch ist es relativ wahrscheinlich, dass auch andere Verschl\u00fcsselungsbibliotheken betroffen sind.<\/p>\n
<\/p>\n
Bei CPUs der Intel Sandy Bridge-Reihe kann es beim Zugreifen auf den CPU-Cache zu Zugriffskonflikten kommen: wollen zwei Prozesse zeitgleich auf eine Cache-Zelle zugreifen, kommt es zu einem Konflikt, der so gel\u00f6st wird, dass nur einem Prozess der Zugriff gew\u00e4hrt wird. Diesen Zugriffskonflikten verdanken die Forscher die M\u00f6glichkeit, von den Multiplikationsoperationen in OpenSSL Zugriffsmuster zu extrahieren. Ein erfolgreicher Angriff ben\u00f6tigte rund 16.000 Verschl\u00fcsselungsoperationen. Im Anschluss daran hatten die Forscher rund 60 Prozent des privaten RSA-Keys, was ausreichend ist, um den Rest des Schl\u00fcssels auch noch zu erhalten. Auf einem gew\u00f6hnlichen PC dauerte das Knacken eines 4.096 Bit-Schl\u00fcssels rund zwei Stunden.<\/p>\n
Dass RSA-Operationen in OpenSSL Zugriffe auf den Speicher nach bestimmten Mustern durchf\u00fchren, die durch den Private Key beeinflusst werden, ist urs\u00e4chlich f\u00fcr das Angriffsszenario Cachebleed. Dass der Angriff jedoch auch funktioniert, obwohl OpenSSL schon Gegenma\u00dfnahmen implementiert hat, \u00fcberrascht jedoch. Das tats\u00e4chliche Risiko eines Angriffs sch\u00e4tzen die Forscher eher gering ein, allerdings w\u00e4ren Szenarien denkbar, in denen Angreifer und Opfer Accounts auf demselben Server haben. Typischen Cloud-Umgebungen sollte der Angriff jedoch nichts anhaben k\u00f6nnen, da Angriffe meist durch zeitgleich laufende Prozesse gest\u00f6rt werden w\u00fcrden.<\/p>\n
Wenngleich das praktische Risiko eher gering eingesch\u00e4tzt wird, k\u00f6nnen Sie den Angriff durch Abschalten der Hyperthreading-Funktion verhindern. CPUs aus der Haswell-Serie sind nicht betroffen, da bei diesen Cache-Zugriffskonflikte nicht in der Art auftauchen k\u00f6nnen. Inwieweit CPUs anderer Hersteller betroffen sein k\u00f6nnten, ist bislang unklar.<\/p>\n
Auch OpenSSL hat bereits reagiert: mit dem Update auf die OpenSSL-Versionen 1.0.2g sowie 1.0.1s<\/a> wurden diverse Sicherheitsl\u00fccken, darunter auch Cachebleed, behoben. Auch ist in diesen und k\u00fcnftigen Versionen das SSLv2-Protokoll standardm\u00e4\u00dfig deaktiviert, um den Drown-Angriff<\/a> verhindern zu k\u00f6nnen. Es ist jedoch anzunehmen, dass viele andere RSA-Implementierungen ebenfalls betroffen sind; die Cachebleed-Autoren vermuten, NSS sei unter anderem betroffen, ein Update fehlt bislang.<\/p>\n