Drucksache: PHP Magazin 3.16 - SSL - der Stand der Dinge
Im PHP Magazin 3.2016 ist ein Artikel über die 2015 außer Logjam und FREAK durchgeführten Angriffe auf und entdeckten Schwachstellen in SSL erschienen.
2015 war mal wieder ein schlechtes Jahr für SSL/TLS. Nicht nur, dass mit Logjam und FREAK die Folgen der Crypto Wars der 1990er Jahre ihr hässliches Gesicht zeigten, es wurden noch weitere Angriffe vorgestellt. Nur das die keinen Namen hatten und damit weniger Aufmerksamkeit erregten. Aber zum Glück gibt es auch gute Nachrichten:
Es gibt keinen Grund, auf SSL/TLS zu verzichten. Ganz im Gegenteil - ohne Verschlüsselung und Authentifizierung machen Sie es Angreifern aller Art nur leichter, Sie auszuspähen und zu schädigen.
Denn die in 2015 vorgestellten neuen Angriffe sind gar nicht so schlimm, wie es auf den ersten Blick scheint:
- Der
Bar-Mitzva Angriff
auf RC4 und
RC4 NOMORE:
- RC4 gilt schon lange als unsicher und sollte nicht mehr verwendet werden. Webserver können RC4 bald sowieso nicht mehr verwenden, weil die Browser dann gar keine Verbindung mit ihnen mehr aufbauen können. Wobei das "bald" relativ zu sehen ist. Beim Schreiben des Artikels hatte Firefox als erster Browser RC4 gerade verbannt, kurz darauf machte man einen Rückzieher.
- illusoryTLS:
- Der Angreifer muss die Schlüsselerzeugung einer CA kompromittieren, und wer das kann, kann noch viel mehr Schaden anrichten.
- Die
SSL-Fehler der Mobile-Apps:
- Fehler passieren, die müssen die App-Entwickler eben korrigieren und in Zukunft besser aufpassen. Der Angriff über die Installation eines manipulieren Zertifikats, das später wieder gelöscht wird, ist eine theoretische Überlegung. Er wird „in the wild“ sehr wahrscheinlich immer daran scheitern, dass das Installieren und Löschen der Zertifikate ohne Benutzeraktionen nicht möglich ist.
- Angriffe auf die Zeit-Synchronisation
brechen SSL:
- Hier gilt ganz einfach, dass NTP abgesichert werden muss. Denn über die Manipulation der Systemzeit sind noch weitere, von SSL/TLS unabhängige Angriffe möglich.
- Der
Austausch elliptischer Kurven:
- Der Handshake muss abgesichert werden, so dass solche und ähnliche Angriffe wenn schon nicht verhindert, so doch zumindest entdeckt werden.
- SLOTH:
- Hier gilt das gleiche wie bei den Angriffen über RC4: MD5 und SHA-1 sind schon seit längerem als unsicher bekannt. Beide sollten nicht mehr verwendet werden. Auch nicht für Einsatzzwecke, die einen Angriff unwahrscheinlich erscheinen lassen.
Und damit bleibt keine wirkliche Bedrohung mehr übrig. Beim Schreiben des Artikels zumindest. Wie ich im Fazit schon geschrieben hatte: "Die nächste Schwachstelle oder der nächste Angriff werden vielleicht nicht lange auf sich warten lassen, aber das ist kein Grund, auf SSL/TLS zu verzichten. Sondern nur einer, sowohl Software als auch Konfiguration immer aktuell zu halten." Der DROWN-Angriff und CacheBleed wurden kurz vor dem Erscheinen des PHP Magazins bekannt. Ein Artikel dazu ist bereits geschrieben, nur die Veröffentlichung dauert bei gedruckten Artikeln halt naturgemäß etwas.
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] Carsten Eilers: "Kurze Schlüssel, große Gefahr"; PHP Magazin 5.2015
- [2] Carsten Eilers: "Verschlüsselung im NSA-Zeitalter - Kryptografiestandards und Protokolle"; entwickler.press, Juni 2014
- [3] [3] J. Alex Halderman, Nadia Heninger; 32C3: "Logjam: Diffie-Hellman, discrete logs, the NSA, and you" (Präsentation dazu)
- [4] Carsten Eilers: "Die 0-Day-Exploits 2015 im Überblick"
- [5] RFC 7465 - Prohibiting RC4 Cipher Suites
- [6] April King; Mozilla Security Blog: "Deprecating the RC4 Cipher"
- [7] Adam Langley; Security-dev: "Intent to deprecate: RC4"
- [8] Alec Oot; Microsoft Edge Dev Blog: "Ending support for the RC4 cipher in Microsoft Edge and Internet Explorer 11"
- [9] Mozilla: "Firefox 44.0 Release Notes"
- [10] Itsik Mantin; Black Hat Asia 2015: "Bar-Mitzva Attack: Breaking SSL with 13-Year Old RC4 Weakness"
- [11] Scott Fluhrer, Itsik Mantin, Adi Shamir; Selected Areas of Cryptography, SAC 2001: "Weaknesses in the Key Scheduling Algorithm of RC4" (PDF)
- [12] Alfonso De Gregorio; Hack in the Box Amsterdam 2015: "illusoryTLS: Impersonate, Tamper, and Exploit"
- [13] Adam L. Young, Moti M. Yung: "Advances in Cryptovirology, Chapter 10: An Elliptic Curve Asymmetric Backdoor in OpenSSL RSA Key Generation" (PDF)
- [14] Tony Trummer, Tushar Dalvi; Hack in the Box Amsterdam 2015: "The Savage Curtain: Mobile SSL Failures"
- [15] Mathy Vanhoef, Frank Piessens: "RC4 NOMORE - Numerous Occurrence MOnitoring & Recovery Exploit"
- [16] Jose Selvi; DEF CON 23: "Breaking SSL Using Time Synchronisation Attacks" (Material)
- [17] GitHub: PentesterES/Delorean: NTP Main-in-the-Middl...
- [18] Rob Bathurst (evilrob), Jeff Thomas (xaphan); DEF CON 23: "Canary: Keeping Your Dick Pics Safe(r)" (Material)
- [19] GitHub: tls-canary/tls-canary
- [20] Nick Sullivan; 32C3: "goto fail; - exploring two decades of transport layer insecurity" (Präsentation als PDF)
- [21] SLOTH - Security Losses from Obsolete and Truncated Transcript Hashes
- [22] Karthikeyan Bhargavan, Gaetan Leurent; Network and Distributed System Security Symposium (NDSS 2016): "Transcript Collision Attacks: Breaking Authentication in TLS, IKE, and SSH" (PDF)
- [23] Let's Encrypt - Free SSL/TLS Certificates
- [24] Josh Aas; Let’s Encrypt: "Let’s Encrypt: Delivering SSL/TLS Everywhere"
- [25] Josh Aas; Let’s Encrypt: "Let's Encrypt Root and Intermediate Certificates"
- [26] Josh Aas; Let’s Encrypt: "Let's Encrypt is Trusted"
- [27] Josh Aas; Let’s Encrypt: "Entering Public Beta"
- [28] GitHub: letsencrypt/letsencrypt
- [29] Peter Eckersley, James Kasten, Yan Zhu; DEF CON 23: "Let's Encrypt - Minting Free Certificates to Encrypt the Entire Web" (Material)
- [30] Roland Bracewell Shoemaker; 32C3: "Let's Encrypt -- What launching a free CA looks like" (Präsentation als PDF)
Trackbacks