Forscher erzeugen unterschiedliche X.509-Zertifikate mit gleichem MD5-Hash

Durch zwei X.509-Zertifikate mit identischen MD5-Hashes wäre es möglich, Anwendern gefälschte SSL- und E-Mail-Zertifikate unterzujubeln.

In Pocket speichern vorlesen Druckansicht 180 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Knapp sieben Monate nach dem Bekanntwerden einer Methode zum schnelleren Finden von Hash-Kollisionen beim Algorithmus MD5 haben Wissenschaftler einen Beweis für die Durchführbarkeit eines Angriffs erbracht. Hash-Algorithmen erzeugen aus einer längeren Zeichenkette einen kurzen Hash-Wert beziehungsweise Fingerprint und werden beispielsweise bei digitalen Zertifikaten und zur Authentitätssicherung von Quellcode verwendet.

In einem Artikel beschreiben sie, wie sie zwei X.509-Zertifikate erzeugt haben, deren MD5-Hashes identisch sind. Da Certificate Authorities (CA) üblicherweise nur den Hash-Wert eines Zertifikats signieren, lassen sich die Zertifikate anschließend austauschen. Betrüger können Anwendern so gültige Zertifikate vorgaukeln, da sie die digitale Unterschrift der CA unter ihr Falsifikat setzen können -- die Signatur ändert sich nicht.

So können Betrüger beispielsweise durch Probieren ein SSL-Zertifikat für einen vertrauenswürdigen Server A und ein Zertifikat für einen beliebigen anderen Servernamen generieren, die den selben Hash-Wert ergeben. Zum Beglaubigen und Signieren wird nur das Zertifikat für Server A bei der Certificate Authority eingereicht. Statt des beglaubigten Zertifikates können die Betrüger aber ohne Probleme das gefälschte Zertifikat mit dem unterschriebenen Hash auf ihrem Server installieren. Sofern der Servername mit dem Namen im unbeglaubigten Zertifikat übereinstimmt, meldet ein Web-Browser beim Besuch des Servers keinen Fehler. Betrüger könnten Anwendern so echte Webseiten vorgaukeln, beispielsweise bei Phishing-Attacken. Auch Man-in-the-Middle-Attacken auf HTTPS-Verbindungen würden mit diesem Trick in Zukunft keine Warnmeldung bei Nutzern mehr verursachen. Ähnliche Szenarien gelten außer für das Web grundsätzlich für alle mittels SSL/TLS und Zertifikaten gesicherten Verbindungen sowie für E-Mail mit S/MIME.

Der beschriebene Angriff ist derzeit aber nur praktikabel, wenn ein Angreifer in der Lage ist, sowohl Original und Fälschung selbst zu erstellen. Angriffe auf bereits bestehende Zertifikate (Pre-Image Attacks) sind bislang immer noch nicht praktisch durchführbar. Zertifikate, die mit SHA-1 gehashed wurden, sind ebenfalls nicht von diesen Angriffen betroffen. Allerdings brechen auch hier bereits die Dämme, nachdem ein chinesisches Team einen Weg gefunden haben will, Kollisionen unter SHA-1 schneller zu berechnen.

Siehe dazu auch: (dab)