Facepalm: Tausende Geräte mit identischen TLS-Keys im Einsatz

Verschlüsselung, Kryptographie, Code Bildquelle: Christian Ditaputratama (CC BY-SA 2.0)
Einige Sicherheitsforscher von der University of London wollten dieser Tage eigentlich nur mal nachsehen, wie weit verbreitet die kürzlich gefundene FREAK-Sicherheitslücke noch ist. Nebenbei fanden sie aber Probleme, die sie in ungläubiges Staunen versetzten.
FREAK ist zwar erst kürzlich entdeckt worden, doch der Fehler in der Verschlüsselung von Web-Übertragungen ist im Grunde schon uralt und steckt in Verfahren, die eigentlich in den 1990er Jahren aktuell waren. Ein Problem stellt die Schwachstelle eigentlich ohnehin nur noch dar, weil es immer noch Server gibt, die bei der TLS-Krypto auch 512-Bit-Schlüssel entgegennehmen, die schon seit mehr als 15 Jahren als nicht mehr sicher gelten.

Dass diese Keys überhaupt länger im Einsatz waren, lag schlicht daran, dass in den 1990ern stärkere Verschlüsselungen in den USA noch unter die Export-Restriktionen des Kriegswaffenkontrollgesetzes fielen. Nachdem die Beschränkungen aber aufgehoben wurden und auch die Rechenleistung immer weiter stieg, gibt es schon seit sehr langer Zeit keine Notwendigkeit mehr für solch schwache Schlüssel.

Doch nicht genug, dass überhaupt noch 512-Bit-Schlüssel im Umlauf sind - wie die Forscher bei ihrem Scan über den IPv4-Adressraum erkannten, handelt es sich in vielen Fällen schlicht um identische Keys. In einem Fall fanden sie beispielsweise einen einzigen Schlüssel, der von über 28.000 Routern genutzt wurde, um die Verbindung ihres SSL-VPN-Moduls "abzusichern".

Todsünde aus Faulheit

Eigentlich ist es nicht besonders aufwändig, einen Key dieser Größenordnung zu generieren. Der Produzent der Router hat aber offenbar einfach einen Schlüssel angefertigt und diesen dann auf eine ganze Serie von Geräten kopiert. "Das ist schlicht Faulheit auf Seiten der Hersteller", schimpfte Kenneth Paterson, einer der beteiligten Forscher. "Das ist eine Todsünde. Genau so sollte Kryptographie nicht gemacht werden."

Nicht nur, das 512-Bit-Schlüssel mit den heutigen Möglichkeiten leicht zu knacken sind. Mit einem nachgemachten Key wäre in diesem Fall direkt die Kommunikation aller betroffenen Geräte abhörber. Insgesamt fanden die Forscher bei ihrer Analyse über 660.000 Geräte, die nicht über einen einzigartigen Key verfügten - und dies von lediglich 2,2 Millionen untersuchten, bei denen die FREAK-Schwachstelle noch vorhanden war.

Es durchaus sehr wahrscheinlich, dass auch modernere Verfahren mit identischen Schlüsseln ausgestattet sind. Hier sind die Keys zwar grundsätzlich schwerer zu knacken - doch wenn erst einmal eine größere Zahl von Systemen ausgemacht ist, bei denen die immer gleichen Schlüssel zum Einsatz kommen, ist der Anreiz, diesen nachzumachen natürlich deutlich größer. Hacker, Kryptographie, Code, Hex-Code Hacker, Kryptographie, Code, Hex-Code Public Domain
Diese Nachricht empfehlen
Kommentieren10
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 00:00 Uhr Epson 3D 3LCD-Projektor (Full HD 1920 x 1080 Pixel, 2.200 Lumen, 35.000:1 Kontrast)
Epson 3D 3LCD-Projektor (Full HD 1920 x 1080 Pixel, 2.200 Lumen, 35.000:1 Kontrast)
Original Amazon-Preis
729,00
Im Preisvergleich ab
716,99
Blitzangebot-Preis
646,00
Ersparnis zu Amazon 11% oder 83

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Tipp einsenden