Eine Forschergruppe verschiedener Institutionen (unter anderem CNRS, Inria, Microsoft Research) hat einige Schwachstellen im TLS-Verfahren entdeckt, unter anderem Logjam. Durch Logjam ist es möglich, bei angreifbaren Verbindungen das Diffie-Hellman-Schlüsseltausch-Verfahren auf 512-Bit zu reduzieren.
Dadurch kann der eigentlich verschlüsselte Traffic von einem Man-in-the-middle Angreifer gelesen und verändert werden.
Was ist Logjam?
Für eine verschlüsselte Verbindung müssen als erstes Schlüssel über eine nicht gesicherte Leitung ausgetauscht werden.
Hier kommt meist der Diffie-Hellman-Schlüsseltausch ins Spiel: Es werden Algorithmen verwendet, die für die Kommunikationspartner einfach zu berechnen sind, aber für Externe (Man-in-the-middle) normalerweise nur unter hohem Rechenaufwand ausgelesen werden können.
In den 90er Jahren verbot die US-Regierung den Export von amerikanischer Verschlüsselungssoftware – es sei denn der Schlüssel überschritt nicht die Länge von 512-Bit. Damit wollte die USA den Einsatz von starker Kryptographie beschränken.
Dieser Export-Modus wird heutzutage noch aus Kompatibilitätsgründen von manchen Systemen unterstützt.
Wenn Server und Client das DHE_EXPORT Verfahren unterstützen, kann ein Man-in-the-middle Angreifer eine Schwäche im TLS-Handshake ausnutzen, die Antwort des Servers simulieren und somit vortäuschen, dass für die Kommunikation ein unsicherer 512-Bit Schlüssel in Form einer Primzahl genutzt werden soll.
Die Forscher haben herausgefunden, dass die meisten Server dieselbe Primzahl für den Diffie-Hellman-Schlüsseltausch nutzen. Ist die eingesetzte Primzahl bekannt, so kann der Großteil der Berechnungen, um die verschlüsselte Verbindung zu knacken, bereits im Vorfeld ausgeführt werden.
Innerhalb von einer Woche konnten die Forscher die Vorberechnungen für die meist genutzte 512-Bit Primzahl abschließen.
Dadurch war es Ihnen möglich den Schlüsseltausch in Echtzeit anzugreifen: Nach durchschnittlich 90 Sekunden (36 bis 260 Sekunden) war die Verbindung erfolgreich geknackt.
Auch wenn das für einen aktiven Angriff eine lange Zeit ist, kann die Schwachstelle dennoch ausgenutzt werden, wenn nicht die eigentliche Seite angegriffen wird, sondern eingebundener Code wie z.B. JavaScript.
Würden Werbeanzeigen oder Tracking-Code für die Schwachstelle genutzt werden, so würde es dem Benutzer nicht auffallen, dass das angegriffene Element eine höhere Ladezeit als üblich hat.
Die Forscher gehen davon aus, dass Logjam als Basis für das NSA-System namens TURMOIL dient, um VPN-Traffic zu sammeln und zu entschlüsseln.
Ähnlichkeit zu Freak
Die neu entdeckte Schwachstelle erinnert an die kürzlich entdeckte Sicherheitslücke Freak – nicht zuletzt wegen den eingesetzten Export-Keys.
Allerdings entstand Logjam durch eine Schwachstelle im TLS-Protokoll und nicht durch einen Fehler in der Implementierung von TLS. Logjam attackiert den Diffie-Hellman Schlüsseltausch, während Freak den RSA Schlüsseltausch beeinflusst.
Bin ich von dieser Schwachstelle betroffen?
Damit die Logjam Lücke ausgenutzt werden kann, müssen Browser und Server das DHE_EXPORT Verfahren unterstützen.
Ist mein Server anfällig?
Um zu überprüfen, ob der eigene Server gefährdet ist, bieten die Forscher eine Webseite an, auf der man seinen eigenen Server auf Anfälligkeiten testen lassen kann. Auf dieser Seite findet man auch Hinweise darauf, was zu tun ist, um die Lücke zu schließen.
Ist mein Browser betroffen?
Um herauszufinden, ob der verwendete Browser betroffen ist, empfiehlt sich ein Besuch auf der Logjam-Webseite.
Zum heutigen Stand (21.05.2015) ist nur Microsofts Internet Explorer gegen Logjam geschützt.
Andere Browser-Entwickler arbeiten bereits an einer Lösung – in den kommenden Tagen ist mit einem Update zu rechnen.
Weitere Informationen
- https://weakdh.org/
- https://weakdh.org/imperfect-forward-secrecy.pdf
- http://www.golem.de/news/logjam-angriff-schwaeche-im-tls-verfahren-gefaehrdet-zehtausende-webseiten-1505-114161.html
- http://www.heise.de/newsticker/meldung/Logjam-Attacke-Verschluesselung-von-zehntausenden-Servern-gefaehrdet-2657502.html
-xyra
http://miriamxyra.com – Miriam Wiesner