22C3: Trusted Computing auf unsicherer Basis

Die Infrastruktur für das "vertrauenswürdige Rechnen" lässt sich nach Ansicht von Kryptoforschern von halbwegs erfahrenen Angreifern komplett aushebeln. Anwender werden hingegen ihrer "Patch"-Möglichkeiten beraubt. Diese Vorwürfe erhob der Berliner Kryptoforscher Rüdiger Weis am heutigen Mittwoch auf dem 22. Chaos Communication Congress (22C3) in Berlin. Gemeinsam mit Kollegen aus dem Umfeld des Chaos Computer Club (CCC) hatte Weis schon wiederholt öffentlich auf die Schwächen bei der Auswahl zentraler Verschlüsselungsalgorithmen durch die Trusted Computing Group (TCG) hingewiesen. Das Industriekonsortium will Rechnerinfrastrukturen mithilfe eines eingebauten Hardware-Chips "sicherer" machen. Die Kryptoforschung habe in jüngster Zeit aber "hochinteressante neue Ergebnisse" vorgelegt, welche das Design der TCG geradezu als fahrlässig erscheinen lasse.

"Trusted Computing baut auf einer Infrastruktur mit gebrochenem Algorithmus auf", brachte Weis die Schlussfolgerungen eines "ganzen Wust" an wissenschaftlichen Papieren zu dem Thema auf den Punkt. Für die Identitätsprüfung, die Berechnung einer sicheren Bootsequenz und fürs digitale Signieren setze das Konsortium auf den Hash-Algorithmus SHA-1. Dieser gelte seit Anfang des Jahres allerdings als geknackt. Seitdem seien die Angriffsmöglichkeiten immer weiter erleichtert worden. Weis hält daher "jegliche Integritätsmaßnahmen und den Aufbau einer Public-Key-Infrastruktur" auf Basis dieser Verschlüsselungsfunktion für "höchst problematisch". Seine Hauptsorge ist, dass die TCG die wackelnden Kryptomechanismen nicht nur nutzt, sondern auch noch in Hardware gießt. Dies mache sie im Nachhinein nicht mehr auswechselbar. Dieser Ansatz bedrohe ganze "Trust-Infrastrukturen" nach TCG-Vorgaben.

Konkret stellte Weis unter Verweis auf die Forschungen von Experten wie Kaminski [PDF-Link] und Mikle oder Lenstra und de Weger vor, wie sich generische Angriffe gegen so genannte kollidierende Hash-Blöcke gegen SHA-1 und ähnliche vorher entwickelte Algorithmen fahren lassen. Im Prinzip werden dabei öffentliche Schlüssel mit demselben Signaturabdruck kreiert, sodass beide letztlich den gleichen Hashwert aufweisen. Bezogen auf die TCG-Architektur heiße das, dass man zwei Hashblöcke und zwei Boot-Programme erzeuge, auf dessen Basis der Sicherheitschip auf der Basis von SHA-1 für beide Blöcke dieselbe Checksumme erzeuge. Diese ließen sich dann von einem Angreifer austauschen. Bei einer solchen Attacke handle es sich auch nicht um eine Sache, "wo man zwei Forschungsgruppen beschäftigen müsste". Weis skizzierte ein Mini-Programm, das bei einer TCG-Implementierung ohne offen liegenden Quellcode "problemlos durchkomme" und durch die kollidierenden Blöcke zumindest Buffer Overflows erzeugen könne. Damit sei die gesamte Infrastruktur "maßgeblich erschüttert".

Zu bedenken sei ferner, dass kryptographische Angriffe immer einfacher ausgeführt werden könnten, betonte Weis. Hätte der DES-Cracker von 1999 noch 2⁶⁰ Operationen in 56 Stunden mit einer kostengünstigen PC-Architektur durchführen können, seien mit vergleichbarem Aufwand inzwischen 2⁶³ Operationen machbar. Somit könnten "selbst mittelmäßige kriminelle Organisationen" vergleichbare Krypto-Algorithmen brechen. Zudem seien in der Literatur inzwischen auch Angriffe etwa über Multi-Kollisionen vorgestellt worden, was einige "Dogmen" der Verschlüsselungstechnik ins Wanken gebracht habe. Weis kann daher nicht verstehen, warum die TCG nicht zumindest auf den noch sicheren SHA-256-Algorithmus umschwenkt, was "ohne Aufregung" machbar wäre.

Freilich werde mit einer solchen infrastrukturellen Verbesserung das "grundsätzlich problematische Design" der Sicherheits- und Kontrollinfrastruktur nicht beseitigt. "Es geht um eine virtuelle Set-Top-Box, welche die Industrie in unsere Computer und Mobiltelefone einbauen will", erklärte Weis das TCG-Grundanliegen. Die entsprechenden Chips zur Durchsetzung etwa von Kopierregeln und Stärkung von Systemen zur digitalen Rechtekontrolle (DRM) seien in sich keineswegs neutral, da man damit "Sicherheitslücken und auch Vorgaben von Regierungen nicht mehr selbst patchen kann". Angesichts zusätzlicher rechtlicher Absicherungen solcher Schutzmechanismen befinde sich jeder entsprechende Sicherheitsexperte "mit einem Fuß schon im Knast", falls er nicht ein wissenschaftliches Interesse nachweisen könne. Als besonders "schlechte News" sah Weis in diesem Zusammenhang, dass auch Apple durch seine Verträge mit Intel ins TCG-Lager übergeschwenkt sei und seine Nutzer bald in der "DRM-Hölle" willkommen heißen wolle. (Stefan Krempl) (ghi)