[Generic/TLS] Schwachstelle im Diffie-Hellman-Schlüsselaustausch von TLS (Logjam)
(2015-05-20 22:19:33.552463+00)
Quelle:
https://weakdh.org/Eine Schwachstelle im SSL/TLS-Protokoll erlaubt einem Angreifer, als Dritter in der Mitte (Man-In-The-Middle) die verschlüsselte Kommunikation abzuhören oder zu verändern. Die Schwachstelle emöglicht bei der Aushandlung der Parameter für den TLS-Schlüsselaustausch mittels des Diffie-Hellman-Verfahrens (Diffie-Hellman key Exchange) einen Rückfall auf unsichere Schlüssellängen zu erzwingen und in der Folge die Schlüssel berechnen. Von der Schwachstelle betroffen sind viele Webserver, die HTTPS anbieten sowie SSH- und andere VPN-Produkte, die auf TLS basieren.
Inhalt
- Zusammenfassung
- Betroffene Systeme
- Auswirkung
- Beschreibung
- Workaround
- Gegenmaßnahmen
- Vulnerability ID
- Weitere Information zu diesem Thema
- Revisionen dieser Meldung
Zusammenfassung
| Betroffen: | TLS/SSL mit dem Diffie-Hellman-Schlüsselaustauschverfahren (DHE) |
| Plattform: | alle Betriebssysteme, auf denen Software läuft, die TLS mit „DHE_EXPORT“-Verschlüsselungsverfahren implementieren. (generic) |
| Einfallstor: | TLS-Handshake |
| Angriffsvoraussetzung: | Zugang zu zum Netzwerk, über das der anzugreifende TLS-Handshake abläuft |
| Angriffsvektorklasse: | remote |
| Auswirkung: | Kompromittierung der TLS-Kommunikation |
| Typ: | Entwurfsfehler (design flaw) |
| Gefahrenpotential: | hoch (Hinweise zur Einstufung des Gefahrenpotentials.) |
| Workaround: | ja |
| Gegenmaßnahmen: | Konfigurationsänderungen und neue Version sobald verfügbar |
| Vulnerability ID: | CVE-2015-4000 (aktive Angriffsvariante) |
| Version: | 1.1 (2015-05-21) |
Betroffene Systeme
Betroffen sind alle TLS/SSL-Implementierungen, die den Diffie-Hellman-Schlüsselaustausch (DHE), zu Servern, die Standardparameter für Diffie-Hellman verwenden und (ggf. optional als Rückfallposition) „DHE_EXPORT“-Kryptographie erlauben.
Auswirkung
- Kompromittierung der TLS-Kommunikation
Diese ermöglicht u.A.:- das Abhören der Kommunikation
- das Abfangen von per TLS abgesicherten Passwörtern
- das Einschleusen von Daten in bestehende Kommunikationsverbindungen
- ...
Beschreibung
Eine Schwachstelle im SSL/TLS-Protokoll ermöglicht einem Angreifer, die verschlüsselte Kommunikation als Dritter in der Mitte abzuhören und/oder zu verändern, etwa Inhalte zu unterdrücken oder Daten einzuschleusen.
Das SSL/TLS-Protokoll benutzt unter anderem das Diffie-Hellman-Schlüsselaustauschverfahren (DHE). In der Funktionsweise von TLS gibt es einen Entwurfsfehler, der einem Angreifer erlaubt, einen Rückfall auf unsichere Schlüssellängen zu erzwingen, falls ein Diffie-Hellman-Schlüsselaustausch erfolgt.
Ein Angreifer, der Zugriff auf ein Netzwerk besitzt, über das zwei Systeme einen TLS-Handshake mit Diffie-Hellman-Schlüsselaustausch ausführen, kann durch die Manipulation dieses Schlüsselaustausches die Systeme dazu veranlassen, die „DHE_EXPORT“-Kryptographieverfahren zu verwenden. Die „DHE_EXPORT“-Verschlüsselungsverfahren stammen aus einer Zeit, als es in den USA strenge Ausfuhrbeschränkungen für Verschlüsselungsverfahren gab, die unter Anderem die maximale Schlüssellänge bei Diffie-Hellman auf 512 Bit begrenzten. „DHE_EXPORT“ wurde entworfen, diesen Regularien zu entsprechen und in Produkte eingebaut zu werden, die exportiert werden durften. „DHE_EXPORT“ verwendet daher aus heutiger Sicht als unsicher einzustufende Schlüssellängen. TLS ist so entworfen, dass es voreingestellt abwärtskompatibel ist, um auch mit sehr alten Implementierungen kommunizieren zu können. Die jeweils zu verwendenden Verfahren werden beim TLS-Handshake zwischen den Kommunikationsparteien ausgehandelt. Auf diese Weise kann die Verwendung „DHE_EXPORT“ erzwungen werden, sofern dies nicht explizit in der Konfiguration verboten ist.
Dennoch ist ein Angriff auf „DHE_EXPORT“ immer noch sehr aufwendig und nicht für den Einsatz in großem Stil geeignet. Hier kommt dem Angreifer jedoch eine zweite Eigenschaft der meisten DH-Implemnierungen zu Hilfe: In sehr vielen Implementierungen werden identische Primzahlen zur Initiierung des DHE-Verfahrens verwendet. Aufgrund dieses Umstandes kann ein Großteil der für einen erfolgreichen Angriff erforderlichen Berechnungen "auf Vorrat" erledigt werden, so dass die für das Knacken von Schlüsseln einer bestimmten Verbindung noch anzustellenden Brechnungen in wenigen Minuten durchgeführt werden können.
Es wird daher empfohlen, Serversoftware, die TLS verwendet, so zu konfigurieren, dass die Verwendung von „DHE_EXPORT“-Verschlüsselungsverfahren ausgeschlossen ist sowie standardmäßig (Ephemeral) Elliptic-Curve Diffie-Hellman (ECDHE) zu verwenden.
Workaround
- Konfiguration von Serversoftware derart, dass keine „DHE_EXPORT“-Verschlüsselungsverfahren verwendet werden können.
- Konfiguration von Serversoftware derart, dass beim Schlüsselaustausch nicht der Diffie-Hellman-Schlüsselaustausch, sondern der (Ephemeral) Elliptic-Curve Diffie-Hellman-Schlüsselaustausch verwendet wird.
- Generierung von eigenen Diffie-Hellman-Parametern mit einer sicheren Schlüssellänge (mindestens 2048) und Konfiguration von Serversoftware derart, dass diese zum Schlüsselaustausch verwendet werden.
- Abschaltung der Diffie-Hellman-Verfahren im Browser.
Beispiel Firefox:- Geben Sie den URL
about:configim Adressfeld ein. - suchen Sie nach den Zeilen
security.ssl3.dhe_rsa_aes_128_sha default boolean true security.ssl3.dhe_rsa_aes_256_sha default boolean true
- Öffnen Sie einzeln mit einem Rechtsklick auf den Zeilen das Aktionsmenü und wählen Sie Toggle.
- Nun sollten die Zeilen wie folgt aussehen:
security.ssl3.dhe_rsa_aes_128_sha user set boolean false security.ssl3.dhe_rsa_aes_256_sha user set boolean false
- Sofern weitere Zeilen mit der Buchstabenkombination
dhevorhanden sind, verfahren Sie mit diesen entsprechend.
- Geben Sie den URL
Gegenmaßnahmen
- Installation entsprechend angepasster Softwareversionen, sobald diese verfügbar sind
Vulnerability ID
- CVE-2015-4000 (aktive Angriffsvariante mit initiiertem protocol downgrade)
Weitere Information zu diesem Thema
- Nachrichteneintrag bei heise.de (dt.)
- Wikipedia-Artikel über den Diffie-Hellman-Schlüsselaustausch (dt.)
- weakdh.org: Beschreibung (en.)
- weakdh.org: Workarounds (en.)
- Whitepaper über die Schwachstelle (en.)
Revisionen dieser Meldung
- V 1.0 (2015-05-20)
- V 1.1 (2015-05-21)
- CVE-Nummer hinzugefügt
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=1732