Black Hat: TLS-Erweiterung schwächt Sicherheit der Verschlüsselung
Sicherheitsforscher Florent Daignière hat sich bei der Black Hat mit TLS-Extensions befasst, die Session Tickets vorsehen. Kann ein Angreifer Daten des Webservers abgreifen, lassen sich mitgeschnittene Verbindungen im Nachhinein entschlüsseln.
- Uli Ries
Ein Sicherheitsforscher hat eine Schwäche in TLS (Transport Layer Security) ausgemacht, die durch die standardisierte TLS-Erweiterung für Session Tickets hervorgerufen wird. Gelangt ein Angreifer an den Speicherinhalt des Webservers, kann er alle mitgeschnittenen Verbindungen auch im Nachhinein entschlüsseln.
Florent Daignière hat sich eingehend mit der in RFC5077 definierten TLS-Extension befasst, die den Einsatz von Session Tickets vorsieht. Diese Tickets werden beim Verbindungsaufbau einmalig vom Server erzeugt und dann vom Client gespeichert. Bei einer folgenden Verbindung entfällt damit der Handshake zwischen Client und Server, da der Client nur noch das gespeicherte Ticket übermitteln muss. Dies senkt die CPU-Last des Webservers, was insbesondere bei stark ausgelasteten Maschinen, die viele Clients gleichzeitig versorgen müssen, ein Vorteil ist.
Das Problem tritt Daignière zu Folge auch auf, wenn Verfahren mit Perfect Foward Secrecy zum Einsatz kommen. Wie er im Rahmen seiner Black-Hat-Präsentation ausführt, bleiben die Tickets vergleichsweise lange gültig. Im Fall einer Standard-Installation von OpenSSL beispielsweise, bis der Prozess auf dem Server neu gestartet wird. Im Fall neuerer Apache-Versionen obliegt es dem Anwender, einen sinnvollen Wert festzulegen.
In der Praxis bedeutet dies, dass ein Angreifer im Fall von OpenSSL sehr lange Zeit hat, um sich den Speicherinhalt anzueignen. Bekommt er diesen in seine Fänge, kann er aus dem im Speicher liegenden Schlüsselmaterial relativ leicht den jeweiligen Master Key erzeugen, mit dem sich die einzelnen, zuvor mitgeschnittenen und per TLS gesicherten Verbindungen nachträglich entschlüsseln lassen. Florent Daignière hat zum Extrahieren des Keys ein kleines Tool programmiert, das den Speicherdump durchsucht und die relevanten Daten automatisch herausfiltert. Er will es in Kürze veröffentlichen.
Wie ein Angreifer an den Speicherinhalt des Servers gelangt, führte Florent Daignière nicht genauer aus. Er verwies lediglich auf Memory-Disclosure-Bugs, die sich regelmäßig in weit verbreiteten Anwendungen und auch OpenSSL fänden. (kbe)
