Mehr Details zur Hintertür im Zufallszahlengenerator Dual EC DRBG
Die dem trickreichen Design der NSA zugeschriebene Hintertür lässt sich tatsächlich nutzen, um Verschlüsselung zu knacken, hat ein Forscherteam herausgefunden. Eine Erweiterung, die es allerdings nicht zum Standard gebracht hat, erleichtert das sogar.
Der Pseudozufallszahlengenerator Dual EC DRBG enthält mutmaßlich eine Hintertür, über die es möglich ist, darauf aufbauende Verschlüsselung einfach zu knacken. Aktuelle Forschungsergebnisse von unter anderem Matthew Green (Johns Hopkins University), Tanja Lange (TU Eindhoven) und D. J. Bernstein (UIC) belegen jetzt, dass diese Hintertür tatsächlich ausgenutzt werden kann. Es gelang ihnen in einem Laborversuch, verschlüsselte TLS-Verbindungen durch Angriffe auf diese Schwachstelle komplett zu dechiffrieren. Eine zusätzliche Erweiterung namens Extended Random würde diesen Angriff zusätzlich erleichtern.
Dual EC DRBG wurde durch die NIST 2006 zum Standard gekürt (NIST SP 800-90A); kurz darauf wiesen die Microsoft-Forscher Dan Shumow und Niels Ferguson auf eine mögliche Hintertür in diesem Verfahren hin. Wer die darin enthaltenen Parameter P und Q gewählt hat, könnte dies so getan haben, dass er ein zugehöriges Geheimnis kennt und damit die Zufallszahlen recht zuverlässig erraten kann.
Trotz dieser bekannten Probleme implementierten drei weit verbreitete Produkte den Zufallszahlengenerator: RSA BSafe, Microsoft SChannel und die FIPS-Version von OpenSSL. Letztere enthielt einen Fehler, durch den der Aufruf des Generators immer fehlgeschlagen ist; er war also ohne zusätzliche Korrekturen gar nicht lauffähig. Microsofts SChannel enthielt Dual EC DRBG auch nur als optionale Erweiterung.
Der Firma RSA ist anzukreiden, dass sie nicht nur als einzige das anrüchige Verfahren in der Default-Einstellung aktiviert hat, sondern es über Jahre hinweg versäumt hatte, ihre Kunden auf die damit verbundenen Probleme hinzuweisen. Erst als die Snowden-Enthüllungen dokumentierten, dass die NSA hinter dem Verfahren steckt und ziemlich sicher den Schlüssel zu der Hintertür besitzt, ruderte RSA 2013 zurück. Später stellte sich auch noch heraus, dass die NSA wohl 10 Millionen Dollar für den Einbau des Zufallszahlengenerators als Standard in BSafe gezahlt hatte.
Da dieser Schlüssel nicht öffentlich bekannt ist, mussten die Forscher für ihre eigenen Angriffe auf Dual EC DRBG die jeweiligen Implementierungen untersuchen und darin die Parameter P und Q so ersetzen, dass sie die Hintertür nutzen konnten. Anschließend konnten sie tatsächlich komplette TLS-Verbindungen dekodieren, die Dual EC DRBG nutzten. Der Aufwand dafür war zwar überschaubar, hing jedoch stark von der jeweiligen Implementierung ab, die teilweise noch weitere Zufallsquellen in dessen Initialisierung einbrachten. Zwar haben die Forscher auch versucht, herauszufinden, wie viele Server diese Verwundbarkeit aufweisen; dies scheiterte allerdings daran, dass die meisten der Implementierungen keine zuverlässige Erkennung ermöglichen.
Darüber hinaus entdeckten sie zumindest in den RSA-BSafe-Bibliotheken auch den Code für eine Erweiterung namens Extended Random. Wenn sie eingesetzt wird, sieht ein Angreifer mehr der erzeugten Zufallszahlen, was den Angriff nochmals deutlich erleichtert. Extended Random wurde unter anderem von NSA-Mitarbeiterin Margaret Salter ebenfalls als Standard vorgeschlagen, blieb aber letztlich im Draft-Status hängen. Trotzdem baute RSA das Verfahren in seine Bibliothek ein, deaktivierte es jedoch später. Interessant ist der zweite Extended-Random-Autor Eric Rescorla, der heute als Mozilla-Mitarbeiter an der Weiterentwicklung des TLS-Standards arbeitet. (ju)
