Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1732

[Generic/TLS] Schwachstelle im Diffie-Hellman-Schlüsselaustausch von TLS (Logjam)
(2015-05-20 22:19:33.552463+00)

Quelle: https://weakdh.org/

Eine Schwachstelle im SSL/TLS-Protokoll erlaubt einem Angreifer, als Dritter in der Mitte (Man-In-The-Middle) die verschlüsselte Kommunikation abzuhören oder zu verändern. Die Schwachstelle emöglicht bei der Aushandlung der Parameter für den TLS-Schlüsselaustausch mittels des Diffie-Hellman-Verfahrens (Diffie-Hellman key Exchange) einen Rückfall auf unsichere Schlüssellängen zu erzwingen und in der Folge die Schlüssel berechnen. Von der Schwachstelle betroffen sind viele Webserver, die HTTPS anbieten sowie SSH- und andere VPN-Produkte, die auf TLS basieren.

Inhalt

Zusammenfassung

Betroffen: TLS/SSL mit dem Diffie-Hellman-Schlüsselaustauschverfahren (DHE)
Plattform: alle Betriebssysteme, auf denen Software läuft, die TLS mit „DHE_EXPORT“-Verschlüsselungsverfahren implementieren. (generic)
Einfallstor: TLS-Handshake
Angriffsvoraussetzung:Zugang zu zum Netzwerk, über das der anzugreifende TLS-Handshake abläuft
Angriffsvektorklasse: remote
Auswirkung: Kompromittierung der TLS-Kommunikation
Typ: Entwurfsfehler (design flaw)
Gefahrenpotential: hoch (Hinweise zur Einstufung des Gefahrenpotentials.)
Workaround: ja
Gegenmaßnahmen: Konfigurationsänderungen und neue Version sobald verfügbar
Vulnerability ID: CVE-2015-4000 (aktive Angriffsvariante)
Version: 1.1 (2015-05-21)

Betroffene Systeme

Betroffen sind alle TLS/SSL-Implementierungen, die den Diffie-Hellman-Schlüsselaustausch (DHE), zu Servern, die Standardparameter für Diffie-Hellman verwenden und (ggf. optional als Rückfallposition) „DHE_EXPORT“-Kryptographie erlauben.

Auswirkung

Beschreibung

Eine Schwachstelle im SSL/TLS-Protokoll ermöglicht einem Angreifer, die verschlüsselte Kommunikation als Dritter in der Mitte abzuhören und/oder zu verändern, etwa Inhalte zu unterdrücken oder Daten einzuschleusen.

Das SSL/TLS-Protokoll benutzt unter anderem das Diffie-Hellman-Schlüsselaustauschverfahren (DHE). In der Funktionsweise von TLS gibt es einen Entwurfsfehler, der einem Angreifer erlaubt, einen Rückfall auf unsichere Schlüssellängen zu erzwingen, falls ein Diffie-Hellman-Schlüsselaustausch erfolgt.

Ein Angreifer, der Zugriff auf ein Netzwerk besitzt, über das zwei Systeme einen TLS-Handshake mit Diffie-Hellman-Schlüsselaustausch ausführen, kann durch die Manipulation dieses Schlüsselaustausches die Systeme dazu veranlassen, die „DHE_EXPORT“-Kryptographieverfahren zu verwenden. Die „DHE_EXPORT“-Verschlüsselungsverfahren stammen aus einer Zeit, als es in den USA strenge Ausfuhrbeschränkungen für Verschlüsselungsverfahren gab, die unter Anderem die maximale Schlüssellänge bei Diffie-Hellman auf 512 Bit begrenzten. „DHE_EXPORT“ wurde entworfen, diesen Regularien zu entsprechen und in Produkte eingebaut zu werden, die exportiert werden durften. „DHE_EXPORT“ verwendet daher aus heutiger Sicht als unsicher einzustufende Schlüssellängen. TLS ist so entworfen, dass es voreingestellt abwärtskompatibel ist, um auch mit sehr alten Implementierungen kommunizieren zu können. Die jeweils zu verwendenden Verfahren werden beim TLS-Handshake zwischen den Kommunikationsparteien ausgehandelt. Auf diese Weise kann die Verwendung „DHE_EXPORT“ erzwungen werden, sofern dies nicht explizit in der Konfiguration verboten ist.

Dennoch ist ein Angriff auf „DHE_EXPORT“ immer noch sehr aufwendig und nicht für den Einsatz in großem Stil geeignet. Hier kommt dem Angreifer jedoch eine zweite Eigenschaft der meisten DH-Implemnierungen zu Hilfe: In sehr vielen Implementierungen werden identische Primzahlen zur Initiierung des DHE-Verfahrens verwendet. Aufgrund dieses Umstandes kann ein Großteil der für einen erfolgreichen Angriff erforderlichen Berechnungen "auf Vorrat" erledigt werden, so dass die für das Knacken von Schlüsseln einer bestimmten Verbindung noch anzustellenden Brechnungen in wenigen Minuten durchgeführt werden können.

Es wird daher empfohlen, Serversoftware, die TLS verwendet, so zu konfigurieren, dass die Verwendung von „DHE_EXPORT“-Verschlüsselungsverfahren ausgeschlossen ist sowie standardmäßig (Ephemeral) Elliptic-Curve Diffie-Hellman (ECDHE) zu verwenden.

Workaround

Gegenmaßnahmen


Vulnerability ID

Weitere Information zu diesem Thema

Revisionen dieser Meldung

(sg) (og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1732