Verschlüsselte Kommunikation im Internet, z.B. beim Online-Banking oder –shopping, ist für viele mit dem kleinen Schloss verbunden, das der Browser in der Adresszeile einblendet: Die Kommunikation ist sicher und verschlüsselt. Dass das keineswegs der Fall sein muss haben zwei Sicherheitslücken gezeigt, die im März und Mai 2015 bekannt wurden. Getauft wurden sie auf die Namen „FREAK“ und „Logjam“. Beide Lücken erlauben es einem Angreifer per „Man-in-the-Middle“-Angriff eine verschlüsselte Verbindung zwischen Browser und Webserver auf schwächere Verschlüsselungsverfahren abzuwerten, die leichter geknackt werden können.

Schwache Kryptographie für den Export

FREAK und Logjam nutzen eine 20 Jahre alte Schwachstelle des SSL-Protokolls aus, die ihren Weg auch in das moderne TSL-Protokoll gefunden hat. SSL in der Version 3.0 und TLS 1.0 unterstützen die Funktion, bei Bedarf auf sogenannte Export-Cipher-Suites zurückzugreifen. Diese beschränken die mögliche Schlüssellänge von den üblichen 2048 Bits auf lediglich 512 Bits, wodurch sich der Rechenaufwand für das Knacken verschlüsselter Nachrichten drastisch reduziert. Diese Export-Cipher-Suites wurden in das Protokoll übernommen, um in den 90er Jahren der aktuellen Rechtslage in den USA zu entsprechen (siehe hier). Für den Export in das Ausland durften kryptographische Algorithmen nur bestimmte Schlüssellängen verwenden, um amerikanischen Diensten eine eventuelle Entschlüsselung zu ermöglichen.

FREAK – Factoring RSA Export Keys

Die Unterstützung dieser schwachen Export-Einstellung hat bis in heutige Verschlüsselungsbibliotheken wie z.B. OpenSSL überlebt, ist aber standardmäßig meist deaktiviert. Aktuelle Browser geben eine Warnung aus, wenn schwache Export-Algorithmen verwendet werden. Forschungsteams des französischen Forschungsinstituts INRIA und Microsoft France haben allerdings herausgefunden, dass durch einen Eingriff in die Kommunikation zwischen Browser und Webserver, beide Seiten dazu gebracht werden können, die bekannte RSA-Verschlüsselung in der Export-Variante zu akzeptieren und zu verwenden. Dazu wird die anfängliche „Verhandlung“ darüber, welche Verschlüsselungsverfahren zum Einsatz kommen sollen, manipuliert. Statt nach einer Standard-Verschlüsselung zu Fragen, wird dem Webserver vorgegaukelt, der Browser fragt nach Export-Verschlüsselung. Dementsprechend liefert der Server einen schwachen, max. 512-bit langen RSA-Schlüssel zurück. Durch weitere Sicherheitslücken akzeptieren bestimmte Browser dann diesen schwachen Schlüssel. Die weitere Kommunikation kann nun abgehört und geknackt werden, da die eingesetzte RSA-Verschlüsselung mit dieser Schlüssellänge relativ schnell gebrochen werden kann. Die Autoren nutzten dazu einen Cloud-Rechendienst.

Logjam

Wie die FREAK-Lücke erzwingt auch Logjam die Verwendung von Export-Verschlüsselung. Sie greift aber nicht die RSA-Verschlüsselung an, sondern den Schlüsselaustausch zur Beginn der Kommunikation, basierend auf dem sogenannten Diffie-Hellmann-Verfahren. Mit dem Verfahren einigen sich die Kommunikationspartner auf einen geheimen Schlüssel, mit dem die Verschlüsselung stattfinden soll. Dies geschieht durch die Erzeugung und den Austausch großer Primzahlen. Durch bestimmte, rechenaufwändige Operationen berechnen beide Partner aus den Primzahlen den geheimen Schlüssel. Diese Rechenoperationen verhindern, dass ein Angreifer, der den Schlüsselaustausch belauscht hat, ebenfalls auf den geheimen Schlüssel schließen kann. Doch auch bei Implementationen des Diffie-Hellmann-Verfahrens gibt es eine schwache Export-Variante. Dadurch wird die Länge der Primzahlen auf maximal 512 Bit heruntergesetzt, statt der mindestens empfohlenen 1024 Bit. Bei 512 Bit lässt sich laut Autoren bereits heute in relativ kurzer Zeit der geheime Schlüssel errechnen. Des Weiteren äußern sich die Autoren, dass man Längen von 768 Bit mit Rechenclustern im akademischen Bereich knacken könnte. Bei der Kapazität von Nationalstaaten gehen die Autoren bereits von 1024 Bit aus.

Empfehlungen

Die Entdecker der Sicherheitslücken stellen Tests zur Verfügung, mit denen überprüft werden kann, ob Geräte oder Server von FREAK oder Logjam betroffen sind. Die Tests sind auf den Websiten www.freakattack.com und www.weakdh.org zu finden.

Ist ein Gerät (z.B. ein Smartphone) oder der eigene Browser betroffen, sollte man verfügbare Updates einspielen. Da beide Sicherheitslücken noch recht neu sind, kann es sein dass man auf die Sicherheitsupdates etwas warten muss. Auch im Internet-of-Things wird man auf eine Korrektur der Lücken warten müssen, da die Update-Zyklen im Embedded-Systems-Bereich oft langsamer sind als z.B. die von Webbrowsern.

Betreiber von Web- oder Mailservern sollten die Export-Optionen in ihren Ciphersuites ausschalten und sicherstellen, dass ihre Verschlüsselungsbibliotheken (z.B. OpenSSL) auf dem aktuellsten Stand sind. Welche Versionen betroffen sind, ist auf den oben genannten Webseiten zu den Lücken zu erfahren. Vor dem Hintergrund der steigenden Rechenkapazitäten wird auch die Verwendung von Diffie-Hellmann-Gruppen mit einer Länge von 2048 Bit empfohlen. Genaue Anleitungen, was man als Systemadministrator beachten sollte, gibt es unter den oben genannten Webseiten.