Zertifizierungsstellen reagieren auf MD5-Hack
Nachdem eine Forschergruppe zum Beweis der Unsicherheit von MD5 ein Zertifikat fälschte, mit dem sie weitere Zertifikate mit beliebiger Identität ausstellen könnten, reagieren die Zertifizierungsstellen.
Nachdem eine Forschergruppe zum Beweis der Unsicherheit von MD5 ein Zertifikat fälschte, mit dem sie weitere Zertifikate mit beliebiger Identität ausstellen könnten, reagieren die Zertifizierungsstellen. Das ist auch höchste Zeit, gilt MD5 doch bereits seit 2004 als theoretisch geknackt. Die für den Kollisionsangriff verwendete Methode ist immerhin schon seit 2007 bekannt.
Die deutsche Zertifizierungsstelle TC Trustcenter beteuert, sie sei quasi zu Unrecht auf die Liste der CAs geraten, die noch MD5 einsetzen. Für Kunden stelle man "seit längerer Zeit [...] nur noch Zertifikate aus, die andere Verfahren verwenden". Lediglich für ein paar eigene Server habe man noch MD5-basierte Zertifikate verwendet. Das macht zwar in der Tat das konkrete Angriffsszenrio unmöglich; das Vertrauen der Anwender fördert es jedoch nicht. Immerhin hat Trustcenter jetzt begonnen, die Zertifikate auszutauschen.
Tim Callan von Verisign versichert in seinem Blog, dass man das Problem bereits "gelöst" habe. So habe man schon seit Längerem geplant, MD5 auszumustern und die meisten Verisign-Zertifikate setzen ohnehin kein MD5 mehr ein. Bei RapidSSL habe man den Ausstieg nun vorgezogen und benutze für die Zertifizierung kein MD5 mehr. Des Weiteren habe man sichergestellt, dass all die anderen Zertifikate, die man verkaufe, für diesen Angriff nicht anfällig seien – was immer das heißen mag.
Einen Anlass, Zertifikate, die das unsichere MD5-Verfahren einsetzen, zu widerrufen oder auszumustern, sieht Callan hingegen nicht; schlieĂźlich richte sich der Angriff nicht gegen bereits ausgestellte Zertifikate. Allerdings biete man Kunden, die das wĂĽnschen, einen kostenlosen Umtausch des Zertifikats an. Fast schon demonstrativ nutzt die RapidSSL-Site jedoch weiterhin ein Zertifikat, das mit MD5 signiert wurde.
Wie auch TC Trustcenter geht es Verisign in erster Linie um die eigenen Kunden – und die sind durch den Angriff nicht direkt bedroht. Die Gefahr durch gefälschte CAs betrifft vor allem Endanwender, die sich nicht mehr sicher sein können, ob ein Zertifikat echt und somit der geplante Online-Kauf wirklich sicher ist. Und dazu, wie die sich vor gefälschten Zertifikaten schützen könnten oder wie man jetzt MD5 möglichst schnell aus der Vertrauenskette herausbekommt, äußern sich weder Verisign noch TC Trustcenter.
Einen Schritt weiter geht da das US-CERT, das in einem Advisory konstatiert:
Verwenden Sie den MD5-Algorithmus nicht mehr
Software-Entwickler, Zertifizierungsstellen, Website-Betreiber und Anwender sollten den Einsatz von MD5 in jeder Hinsicht vermeiden. Wie bereits frĂĽhere Forschung zeigte, sollte man ihn als kryptografisch geknackt und fĂĽr den weiteren Einsatz unbrauchbar betrachten.
Ein Hintergrundartikel auf heise Security zu den Konsequenzen der erfolgreichen Angriffe auf MD5 analysiert die Bedrohung und zeigt auch die noch etwas kargen Möglichkeiten, sich vor gefälschten Zertifikaten zu schützen.
Siehe dazu auch:
- 25C3: Erfolgreicher Angriff auf das SSL-Zertifikatsystem, News-Meldung auf heise Security
- Konsequenzen der erfolgreichen Angriffe auf MD5, Hintergrundartikel auf heise Security
(ju)