Erneuter Krypto-Angriff auf SSL/TLS-Verschlüsselung
Der vorgestellte Angriff auf das häufig eingesetzte Verschlüsselungsverfahren RC4 ist zwar noch nicht wirklich praktikabel, erschüttert aber das Fundament für sichere Internet-Verbindungen.
SSL/TLS ist die Basis für sichere Internet-Verbindungen; für die Verschlüsselung kommt dabei sehr häufig das bereits 1987 von Ron Rivest erfundene RC4 zum Einsatz. Gegen diesen Algorithmus haben Forscher jetzt einen Angriff vorgestellt, der zumindest den Anfang einer gesicherten Übertragung entschlüsseln kann. Der Angriff ist zwar noch eher theoretischer Natur, zeigt aber deutlich, dass Handlungsbedarf besteht.
Enorm viele Server setzen RC4 ein, darunter die Web-Server von Google, Facebook und Microsoft. Das Verfahren hat den Vorteil, dass es sehr schnell ist und somit wenig Last auf den Servern erzeugt. Außerdem ist das Verfahren nicht anfällig für die in letzten Zeit bekannt gewordenen Angriffe auf SSL/TLS wie BEAST und Lucky13 und wurde somit oft als Alternative empfohlen. Doch RC4 ist alt und bekanntermaßen problematisch.
Der Algorithmus RC4 ist eine sogenannte Streamcipher. Deren Funktionsweise kann man sich grob so vorstellen, dass ein Pseudozufallszahlengenerator quasi zufällige Zahlen ausspuckt, mit denen man den zu ver- oder entschlüsselnden Text via XOR verknüpft. Das Passwort bestimmt dabei den Initialisierungswert des Generators – mit dem gleichen, spuckt der Generator jedes mal die gleiche Zahlenfolge aus. Wären die Zahlen echt zufällig, hätte man sogar eine unknackbare Verschlüsselung, das sogenannte One Time Pad. Doch die Pseudozufallszahlen sind eben nur quasi zufällig; die minimalen Abweichungen von einer rein statistischen Verteilung nutzen Nadhem AlFardan, Dan Bernstein, Kenny Paterson, Bertram Poettering und Jacob Schuldt, um die Verschlüsselung zu knacken und zumindest 220 Byte einer Verbindung zu entschlüsseln.
Dazu benötigen sie – derzeit noch – eine aberwitzige Zahl von Verbindungen, die den gleichen Text verschlüsseln: 230 also rund 1 Milliarde. Das ist allerdings nicht ganz so weit hergeholt, wie es scheint, da sich die benötigten Verbindungen automatisiert, etwa durch in eine reguläre Web-Seite eingeschleustem JavaScript-Code erstellen lassen, der immer wieder die gleiche https-URL abruft. Diese Verbindungen enthielten dann jedes Mal unter anderem das gültige Sitzungs-Cookie, mit dem sich der Anwender oder später dann auch der Angreifer ohne Passwort bei Google-Mail anmelden kann. Weiter in die Details geht Matthew Green in seinem lesenswerten Blog-Beitrag Attack of the week: RC4 is kind of broken in TLS.
Praktisch lässt sich der Angriff derzeit noch nicht umsetzen – aber es ist ein Allgemeinplatz, dass Angriffe immer besser werden. Deshalb sollte man dieses Forschungsergebnis als Warnschuss verstehen und anfangen, von der Verschlüsselung mit RC4 abzurücken. Die Forscher empfehlen unter anderem den Einsatz der CBC-Blockchiffrierverfahren, die gerade gegen BEAST und Lucky 13 abgesichert wurden und verweisen ansonsten auf das noch wenig verbreitete TLS 1.2, das bessere Verschlüsselungsverfahren bereit stellt. (ju)
