Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-1732

[Generic/TLS] Schwachstelle im Diffie-Hellman-Schlüsselaustausch von TLS (Logjam)
(2015-05-20 22:19:33.552463+00) Druckversion

Quelle: https://weakdh.org/

Eine Schwachstelle im SSL/TLS-Protokoll erlaubt einem Angreifer, als Dritter in der Mitte (Man-In-The-Middle) die verschlüsselte Kommunikation abzuhören oder zu verändern. Die Schwachstelle emöglicht bei der Aushandlung der Parameter für den TLS-Schlüsselaustausch mittels des Diffie-Hellman-Verfahrens (Diffie-Hellman key Exchange) einen Rückfall auf unsichere Schlüssellängen zu erzwingen und in der Folge die Schlüssel berechnen. Von der Schwachstelle betroffen sind viele Webserver, die HTTPS anbieten sowie SSH- und andere VPN-Produkte, die auf TLS basieren.

Inhalt

Zusammenfassung

Betroffen: TLS/SSL mit dem Diffie-Hellman-Schlüsselaustauschverfahren (DHE)
Plattform: alle Betriebssysteme, auf denen Software läuft, die TLS mit „DHE_EXPORT“-Verschlüsselungsverfahren implementieren. (generic)
Einfallstor: TLS-Handshake
Angriffsvoraussetzung:Zugang zu zum Netzwerk, über das der anzugreifende TLS-Handshake abläuft
Angriffsvektorklasse: remote
Auswirkung: Kompromittierung der TLS-Kommunikation
Typ: Entwurfsfehler (design flaw)
Gefahrenpotential: hoch (Hinweise zur Einstufung des Gefahrenpotentials.)
Workaround: ja
Gegenmaßnahmen: Konfigurationsänderungen und neue Version sobald verfügbar
Vulnerability ID: CVE-2015-4000 (aktive Angriffsvariante)
Version: 1.1 (2015-05-21)

Betroffene Systeme

Betroffen sind alle TLS/SSL-Implementierungen, die den Diffie-Hellman-Schlüsselaustausch (DHE), zu Servern, die Standardparameter für Diffie-Hellman verwenden und (ggf. optional als Rückfallposition) „DHE_EXPORT“-Kryptographie erlauben.

Auswirkung

  • Kompromittierung der TLS-Kommunikation
    Diese ermöglicht u.A.:
    • das Abhören der Kommunikation
    • das Abfangen von per TLS abgesicherten Passwörtern
    • das Einschleusen von Daten in bestehende Kommunikationsverbindungen
    • ...

Beschreibung

Eine Schwachstelle im SSL/TLS-Protokoll ermöglicht einem Angreifer, die verschlüsselte Kommunikation als Dritter in der Mitte abzuhören und/oder zu verändern, etwa Inhalte zu unterdrücken oder Daten einzuschleusen.

Das SSL/TLS-Protokoll benutzt unter anderem das Diffie-Hellman-Schlüsselaustauschverfahren (DHE). In der Funktionsweise von TLS gibt es einen Entwurfsfehler, der einem Angreifer erlaubt, einen Rückfall auf unsichere Schlüssellängen zu erzwingen, falls ein Diffie-Hellman-Schlüsselaustausch erfolgt.

Ein Angreifer, der Zugriff auf ein Netzwerk besitzt, über das zwei Systeme einen TLS-Handshake mit Diffie-Hellman-Schlüsselaustausch ausführen, kann durch die Manipulation dieses Schlüsselaustausches die Systeme dazu veranlassen, die „DHE_EXPORT“-Kryptographieverfahren zu verwenden. Die „DHE_EXPORT“-Verschlüsselungsverfahren stammen aus einer Zeit, als es in den USA strenge Ausfuhrbeschränkungen für Verschlüsselungsverfahren gab, die unter Anderem die maximale Schlüssellänge bei Diffie-Hellman auf 512 Bit begrenzten. „DHE_EXPORT“ wurde entworfen, diesen Regularien zu entsprechen und in Produkte eingebaut zu werden, die exportiert werden durften. „DHE_EXPORT“ verwendet daher aus heutiger Sicht als unsicher einzustufende Schlüssellängen. TLS ist so entworfen, dass es voreingestellt abwärtskompatibel ist, um auch mit sehr alten Implementierungen kommunizieren zu können. Die jeweils zu verwendenden Verfahren werden beim TLS-Handshake zwischen den Kommunikationsparteien ausgehandelt. Auf diese Weise kann die Verwendung „DHE_EXPORT“ erzwungen werden, sofern dies nicht explizit in der Konfiguration verboten ist.

Dennoch ist ein Angriff auf „DHE_EXPORT“ immer noch sehr aufwendig und nicht für den Einsatz in großem Stil geeignet. Hier kommt dem Angreifer jedoch eine zweite Eigenschaft der meisten DH-Implemnierungen zu Hilfe: In sehr vielen Implementierungen werden identische Primzahlen zur Initiierung des DHE-Verfahrens verwendet. Aufgrund dieses Umstandes kann ein Großteil der für einen erfolgreichen Angriff erforderlichen Berechnungen "auf Vorrat" erledigt werden, so dass die für das Knacken von Schlüsseln einer bestimmten Verbindung noch anzustellenden Brechnungen in wenigen Minuten durchgeführt werden können.

Es wird daher empfohlen, Serversoftware, die TLS verwendet, so zu konfigurieren, dass die Verwendung von „DHE_EXPORT“-Verschlüsselungsverfahren ausgeschlossen ist sowie standardmäßig (Ephemeral) Elliptic-Curve Diffie-Hellman (ECDHE) zu verwenden.

Workaround

  • Konfiguration von Serversoftware derart, dass keine „DHE_EXPORT“-Verschlüsselungsverfahren verwendet werden können.
  • Konfiguration von Serversoftware derart, dass beim Schlüsselaustausch nicht der Diffie-Hellman-Schlüsselaustausch, sondern der (Ephemeral) Elliptic-Curve Diffie-Hellman-Schlüsselaustausch verwendet wird.
  • Generierung von eigenen Diffie-Hellman-Parametern mit einer sicheren Schlüssellänge (mindestens 2048) und Konfiguration von Serversoftware derart, dass diese zum Schlüsselaustausch verwendet werden.
  • Abschaltung der Diffie-Hellman-Verfahren im Browser.
    Beispiel Firefox:
    • Geben Sie den URL about:config im Adressfeld ein.
    • suchen Sie nach den Zeilen
        security.ssl3.dhe_rsa_aes_128_sha  default  boolean  true
        security.ssl3.dhe_rsa_aes_256_sha  default  boolean  true
        
    • Öffnen Sie einzeln mit einem Rechtsklick auf den Zeilen das Aktionsmenü und wählen Sie Toggle.
    • Nun sollten die Zeilen wie folgt aussehen:
        security.ssl3.dhe_rsa_aes_128_sha  user set  boolean	false
        security.ssl3.dhe_rsa_aes_256_sha  user set  boolean 	false
        
    • Sofern weitere Zeilen mit der Buchstabenkombination dhe vorhanden sind, verfahren Sie mit diesen entsprechend.
    Bitte beachten Sie, dass diese Maßnahme dazu führen kann, dass Seiten auf Webservern, die ausschließlich DHE zum Schlüsselaustausch verwenden, dann nicht mehr per HTTPS betrachtet werden können.

Gegenmaßnahmen

  • Installation entsprechend angepasster Softwareversionen, sobald diese verfügbar sind

Vulnerability ID

  • CVE-2015-4000 (aktive Angriffsvariante mit initiiertem protocol downgrade)

Weitere Information zu diesem Thema

Revisionen dieser Meldung

  • V 1.0 (2015-05-20)
  • V 1.1 (2015-05-21)
    • CVE-Nummer hinzugefügt
(sg) (og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2016 RUS-CERT, Universität Stuttgart, http://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.