Konsequenzen der erfolgreichen Angriffe auf MD5
Seite 2: FAQs
FAQs
Wie finde ich heraus, ob ein Zertifikat gefälscht wurde?
Es gibt leider keine allgemein gültige Methode, ein derart gefälschtes Zertifikat von einem echten zu unterscheiden. Sie alle haben gemeinsam, dass sie von einer CA ausgestellt wurden, die MD5 verwendet. Leider haben sie das auch mit etwa 30 Prozent der echten Zertifikate gemein, sodass man daraus allein keinen Angriff ableiten kann.
Kann ich erkennen, ob ein Zertifikat MD5 einsetzt?
Ja, das steht unter "Certificate Signature Algorithm" in den Eigenschaften des Zertifikats. Beachten Sie jedoch, dass das Zertifikat selbst gar kein MD5 einsetzen muss. Es genügt, wenn eine der Zertifizierungsstellen MD5 verwendet hat und damit kompromittierbar wäre. Mit einer gefälschten Zwischen-CA könnte man dann durchaus ein SHA-1-Zertifikat beglaubigen.
Eine Möglichkeit, das automatisch zu erledigen, bietet das Firefox-Plugin SSL Blacklist. Es gibt eine Warnung aus, wann immer ein Zertifikat durch das MD5-Problem gefälscht sein könnte. Dumm dabei ist, dass man eine Menge Warnungen erhält, die in fast allen Fällen nicht auf einen Angriff zurückzuführen sind.
Kann ich mich denn gegen Angriffe mit gefälschten Zertifikaten überhaupt irgendwie schützen?
Gute Chancen dazu bietet derzeit die Firefox-Erweiterung Perspectives. Sie setzt darauf, dass ein Angriff auf eine https-verschlüsselte Übertragung in der Regel lokal begrenzt ist. Das Perspectives-Plugin befragt mehrere sogenannte "Notare", welches Zertifikat sie denn sehen. Wenn die für denselben Server ein anderes Zertifikat sehen, ist die Wahrscheinlichkeit hoch, dass da irgendwas faul ist – also beispielsweise die eigene Verbindung auf einen gefälschten Server umgeleitet wurde. Näheres beschreibt die heise-Security-Meldung "Ehrenamtliche Notare" als Konkurrenz zu VeriSign.
Wer experimentierfreudig ist, kann die Zertifizierungsstellen Browser, denen der Browser vertraut, entfernen und anfangen, jedes wichtige Zertifikat einmal von Hand zu überprüfen und eine passende Ausnahme dazu zu erstellen. Die praktischen Konsequenzen sind jedoch bislang nicht bekannt – da sind Sie auf sich selber gestellt.
Besteht nicht die Gefahr, dass kriminelle Banden oder Geheimdienste sich auf diesem Weg bereits ein gefälschtes CA-Zertifikat besorgt haben?
Das lässt sich leider nicht ausschließen. Allerdings muss man davon ausgehen, dass zumindest Geheimdiensten auch andere Optionen zur Verfügung stehen, um an ein Zertifikat einer Zwischenzertifizierungsstelle heran zu kommen.
Ich habe ein Web-Server-Zertifikat, das MD5 als Hashverfahren verwendet. Sind meine Kunden deshalb gefährdet?
Nicht mehr als bei anderen Zertifikaten auch. Trotzdem sollten Sie bei Ihrer CA nach einem kostenlosen Upgrade auf eine SHA-1-Signatur fragen, um aufmerksame Kunden nicht unnötig zu verunsichern und die Abschaffung von MD5 zu beschleunigen.
Welche CAs auĂźer RapidSSL nutzen noch MD5?
Die Veröffentlichung der Forscher listet folgende CAs auf:
- RapidSSL C=US, O=Equifax Secure Inc., CN=Equifax Secure Global eBusiness CA-1
- FreeSSL C=US, ST=UT, L=Salt Lake City, O=The USERTRUST Network, OU=http://www.usertrust.com, CN=UTN-USERFirst-Network Applications
- TC TrustCenter AG C=DE, ST=Hamburg, L=Hamburg, O=TC TrustCenter for Security in Data Networks GmbH, OU=TC TrustCenter Class 3 CA/emailAddress=certificate@trustcenter.de
- RSA Data Security C=US, O=RSA Data Security, Inc., OU=Secure Server Certification Authority
- Thawte C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification Services Division, CN=Thawte Premium Server CA/emailAddress=premium-server@thawte.com
- verisign.co.jp O=VeriSign Trust Network, OU=VeriSign, Inc., OU=VeriSign International Server CA - Class 3, OU=www.verisign.com/CPS Incorp.by Ref. LIABILITY LTD.(c)97 VeriSign
Es ist uns nicht bekannt, ob diese Liste zutreffend und vollständig ist.
Sind die Extended Validation Zertifikate, die die Browser mit einem grĂĽnen Symbol kennzeichnen, auch betroffen?
Nein. Gemäß der Spezifikation für EV-SSL dürfen die CAs keine Zertifikate mit dem Hashverfahren MD5 ausstellen. Außerdem können nur anerkannte EV-CAs EV-Zertifkate unterschreiben. Allerdings gestattet es ihnen die EV-Spezifikation, noch bis Ende 2010 neue Root-CA-Zertifikate mit MD5 zu erstellen. Angesichts der Tatsache, dass die dann oft 20 Jahre gültig sind, ist das eine sehr optimistische Herangehensweise.
Siehe dazu auch:
- MD5 considered harmful today, Creating a rogue CA certificate, Alexander Sotirov, Marc Stevens, Jacob Appelbaum, Arjen Lenstra, David Molnar, Dag Arne Osvik, Benne de Weger
- Hash mich, Konsequenzen der erfolgreichen Angriffe auf SHA-1, Artikel auf heise Security
(ju)