25C3: Erfolgreicher Angriff auf das SSL-Zertifikatsystem

[heise.de] Sicherheitsforschern ist es gelungen, das Zertifikatsystem SSL für vertrauenswürdige Internet-Verbindungen zu kompromittieren. Durch eine sogenannte MD5-Kollision konnten sie ein Herausgeberzwischenzertifikat erstellen, das alle wichtigen Internet-Browser als vertrauenswürdig einstufen. Wer über ein solches Herausgeberzertifikat verfügt, kann sich bespielsweise SSL-Zertifikate für jede beliebige Internet-Domain erstellen. Damit können sich Angreifer als "Man in the Middle" in gesicherte Internetverbindungen einklinken und Daten ausspähen (etwa für Phishing) oder manipulieren, ohne dass Anwender eine Warnmeldung zu sehen bekämen.

Die Details des Angriffs präsentierten Marc Stevens, Alexander Sotirov und Jacob Appelbaum in dem Vortrag MD5 considered harmful today: creating a rogue CA certificate am letzten Tag des 25. Chaos Communication Congress in Berlin. Grundlage des Angriffs sind bekannte Schwächen des Hash-Algorithmus MD5. Auch heute noch setzen ihn mehrere anerkannte Zertifizierungsstellen (CAs) für die digitalen Signaturen ihrer Zertifikate ein, obwohl erste Angriffe seit 2004 und in ausgefeilterer Form seit 2007 bekannt sind. Mit diesen Kollisionsangriffen ist es möglich zwei Datenmengen mit identischer digitaler Signatur zu erstellen.

Der nun von den Sicherheitsexperten als Gemeinschaftsprojekt mit der Centrum Wiskunde en Informatica (CWI) in den Niederlanden, der Ecole Polytechnique Federale de Lausanne (EPFL) sowie der Technischen Universität Eindhoven (TU/e) durchgeführte Angriff setzt voraus, dass der Zertifikatsherausgeber einen präparierten Zertifikatsantrag (CSR) unterschreibt, der neben den Nutzdaten wie Domainnamen erweiterte Datenblöcke zur Herbeiführung der Kollision enthält. Die Anfragen schickten die Wissenschaftler an den Herausgeber RapidSSL, der seine Zertifikate bislang ausschließlich mit MD5 unterschreibt und der von den meisten Browser akzeptiert wird. Zur Berechnung der Kollisionsdaten mussten die Experten die Seriennummer des ausgestellten Zertifikats voraussagen. Dies gelang bereits im vierten Versuch, weil RapidSSL die Seriennummern sequenziell vergibt. Laut Stevens waren für den eigentlichen Angriff insgesamt nur knapp mehr als 100 CSRs nötig.

Die Kollisionsberechnung zur Generierung des gefälschten Herausgeberzertifikats dauerte laut den Forschern unter zwei Tage auf einem Cluster aus 200 Playstation-3-Spielkonsolen. Um einen möglichen Missbrauch des Zertifikats zu erschweren, haben es die Experten mit einem Ablaufdatum von 2004 versehen, sodass es sich nur auf Testsystemen mit einem Systemdatum von 2004 fehlerfrei verwenden lässt.

Im Gespräch mit heise Security erklärte Appelbaum, der auch an den Arbeiten zum sogenannten Cold-Boot-Angriff auf Kryptoschlüssel beteiligt war, dass er als Ort der Publikation den Hacker-Kongress des CCC in Deutschland bevorzugte, um eventuellen rechtlichen Querelen mit betroffenen Firmen und möglicherweise Behörden aus dem Weg zu gehen. In dem Zusammenhang erinnerte er an die Zwischenfälle auf der Black-Hat-Konferenz 2005 in den USA. Streitpunkt damals war der Vortrag des Sicherheitsexperten Michael Lynn zu Angriffen auf das weit verbreitete Router-Betriebssystems IOS des Netzwerkherstellers Cisco. Daher habe man großen Wert darauf gelegt, dass die Informationen über den Angriff nicht vorzeitig an die Öffentlichkeit gelangen konnten. Deshalb habe man unter anderem Microsoft und Mozilla vor der Herausgabe der Details Verschwiegenheitserklärungen unterschreiben lassen.

Die Auswirkungen des Angriffs sind beachtlich, wenngleich auch nicht katastrophal. Als wichtigste Einschränkung ist zu vermerken, dass Extended Validation Zertifikate (EV-SSL) nicht betroffen sind, da die EV-Spezifikation die Nutzung von MD5 nicht gestattet. Die Sicherheitsforscher haben betroffene CAs und auch die Browser-Hersteller vorab informiert und vermuten, dass es für gut ausgestattete Sicherheitsexperten wenigstens einen Monat dauern dürfte, den Angriff nachzustellen. Die Herausgeber können somit weitere Angriffe ausschließen, indem sie ihre Infrastruktur möglichst schnell auf sicherere Signaturalgorithmen wie SHA-1 umstellen sowie zufällige Seriennummern für die Zertifikate vergeben.

Ob interessierte Parteien bereits über gefälschte CA-Zertifikate verfügen und damit nach Belieben digitale Unterschriften fälschen, konnten die Forscher nicht beantworten. Da insgesamt rund 30 Prozent der Zertifikate derzeit noch MD5 benutzen, ist es auch nicht praktikabel, zum Schutz einfach alle MD5-CAs zu deaktivieren. Zum Abschluss des Vortrags konstatierte Appelbaum, er hoffe, dass wir hoffentlich nun nach und nach MD5 aus unserem Leben verschwinden lassen würden.

Siehe dazu auch:

* MD5 considered harmful today: creating a rogue CA certificate, Hintergrundinformationen der Forscher zum Angriff

 

Source: http://www.heise.de