Verschlüsselung: OpenSSL fixt kritische Sicherheitslücke

Admins sollten ihre Server mit den aktualisierten OpenSSL-Versionen 1.0.1r und 1.0.2f absichern. Denn unter Umständen könnten Angreifer sonst den Schlüsselaustausch belauschen und Verbindungen dechiffrieren.

In Pocket speichern vorlesen Druckansicht 22 Kommentare lesen
Computerkriminalität

(Bild: dpa, Oliver Bergs)

Lesezeit: 3 Min.

Die OpenSSL-Version 1.0.2 ist anfällig für eine kritische Sicherheitslücke, die Angreifern das Entschlüsseln von TLS-gesicherten Verbindungen ermöglicht. Darüber hinaus beseitigen soeben veröffentlichte Sicherheits-Updates auch eine minderschwere Lücke, die auch 1.01 betrifft. Die fehlerbereinigten Versionen 1.0.1r und 1.0.2f stehen ab sofort zum Download bereit.

Die kritische Lücke betrifft den Schlüsselaustausch via Diffie Hellman (DH, CVE-2016-0701). Für den setzt OpenSSL traditionell einige wenige, bekanntermaßen sichere Primzahlen ein. Seit Version 1.0.2 kann man eigene DH-Parameter gemäß RFC 5114 im X9.42-Format erzeugen, die auch individuelle Primzahlen enthalten. Dabei erzeugt openssl auch unsichere Primzahlen, die es einem Angreifer erlauben, den privaten DH-Exponenten zu ermitteln. Das geschieht nur, wenn man openssl genpkey mit der Option dh_rfc5114 aufruft.

Das wird dann zum akuten Sicherheitsproblem, wenn die Option SSL_OP_SINGLE_DH_USE nicht gesetzt ist, wie es standardmäßig der Fall ist. Dann nämlich verwendet ein Server-Prozess für seine gesamte Lebenszeit den gleichen DH-Exponenten. Ein Angreifer könnte also mit einem einmal ermittelten DH-Exponenten alle weiteren Verbindungen des Prozesses attackieren. Allerdings glaubt das SSL-Team, dass viele beliebte Applikation den SINGLE_DH_USE aktivieren ("it is believed"), nennen dafür jedoch keine Beispiele.

Dieses Problem ist besonders relevant, weil erst kürzlich Forscher demonstriert haben, dass sich Diffie-Hellman mit zu kurzen Schlüsseln angreifen lässt, wenn man sehr aufwendige Berechnungen im Voraus durchführt; selbst das Knacken von 1024-Bit-DH läge in der Reichweite der NSA, rechneten die Forscher vor. Allerdings bezogen sich die Vorab-Berechnungen immer jeweils nur auf eine bestimmte Primzahl. Man könnte sich also einem Angriff auch durch die Wahl exotischer Primzahlen entziehen. Besser ist es jedoch, Diffie Hellman mit 2048 Bit durchzuführen.

Da bisher nicht klar ist, welche Server-Applikationen von dem Problem betroffen sind, empfiehlt es sich, nach dem Upgrade auf die neue Version auch eventuell vorhandene DH-Parameter-Dateien durch neue zu ersetzen.

Das minderschwere Problem betrifft die Unterstützung von SSLv2 (CVE-2015-3197). Versäumt es ein Server, dieses längst veraltete Protokoll explizit abzuschalten, kann ein bösartiger Client eventuell schwache SSLv2-Verbindungen auszuhandeln. Es ist also keineswegs ausreichend, etwa alle SSLv2-Cipher-Suiten zu verbieten. Heise Security empfiehlt deshalb bereits seit langem eine Konfiguration mit

SSLProtocol All -SSLv2 -SSLv3

etwa für Apache-Server. Zudem soll OpenSSL nun noch besser gegen die Logjam-Attacke abgesichert sein und eine Downgrade auf Diffie-Hellmann-Schlüsselaustausch mit weniger als 1024 Bit verhindern. Interessant ist übrigens auch, dass das OpenSSL-Team gemäß dem Security-Advisory erst am 12. Januar von der kritischen Lücke erfahren hat und somit bereits nach wenig mehr als zwei Wochen Updates bereits stellt.

Update 29.1.2016 10:00: Schwachstellen-Beschreibung im zweiten Absatz präzisiert. (des)