Facepalm: Tausende Geräte mit identischen TLS-Keys im Einsatz

Einige Sicherheitsforscher von der University of London wollten dieser Tage eigentlich nur mal nachsehen, wie weit verbreitet die kürzlich gefundene FREAK-Sicherheitslücke noch ist. Nebenbei fanden sie aber Probleme, die sie in ungläubiges Staunen versetzten.
Verschlüsselung, Code, Kryptographie
Christian Ditaputratama (CC BY-SA 2.0)
FREAK ist zwar erst kürzlich entdeckt worden, doch der Fehler in der Verschlüsselung von Web-Übertragungen ist im Grunde schon uralt und steckt in Verfahren, die eigentlich in den 1990er Jahren aktuell waren. Ein Problem stellt die Schwachstelle eigentlich ohnehin nur noch dar, weil es immer noch Server gibt, die bei der TLS-Krypto auch 512-Bit-Schlüssel entgegennehmen, die schon seit mehr als 15 Jahren als nicht mehr sicher gelten.

Dass diese Keys überhaupt länger im Einsatz waren, lag schlicht daran, dass in den 1990ern stärkere Verschlüsselungen in den USA noch unter die Export-Restriktionen des Kriegswaffenkontrollgesetzes fielen. Nachdem die Beschränkungen aber aufgehoben wurden und auch die Rechenleistung immer weiter stieg, gibt es schon seit sehr langer Zeit keine Notwendigkeit mehr für solch schwache Schlüssel.

Doch nicht genug, dass überhaupt noch 512-Bit-Schlüssel im Umlauf sind - wie die Forscher bei ihrem Scan über den IPv4-Adressraum erkannten, handelt es sich in vielen Fällen schlicht um identische Keys. In einem Fall fanden sie beispielsweise einen einzigen Schlüssel, der von über 28.000 Routern genutzt wurde, um die Verbindung ihres SSL-VPN-Moduls "abzusichern".

Todsünde aus Faulheit

Eigentlich ist es nicht besonders aufwändig, einen Key dieser Größenordnung zu generieren. Der Produzent der Router hat aber offenbar einfach einen Schlüssel angefertigt und diesen dann auf eine ganze Serie von Geräten kopiert. "Das ist schlicht Faulheit auf Seiten der Hersteller", schimpfte Kenneth Paterson, einer der beteiligten Forscher. "Das ist eine Todsünde. Genau so sollte Kryptographie nicht gemacht werden."

Nicht nur, das 512-Bit-Schlüssel mit den heutigen Möglichkeiten leicht zu knacken sind. Mit einem nachgemachten Key wäre in diesem Fall direkt die Kommunikation aller betroffenen Geräte abhörber. Insgesamt fanden die Forscher bei ihrer Analyse über 660.000 Geräte, die nicht über einen einzigartigen Key verfügten - und dies von lediglich 2,2 Millionen untersuchten, bei denen die FREAK-Schwachstelle noch vorhanden war.

Es durchaus sehr wahrscheinlich, dass auch modernere Verfahren mit identischen Schlüsseln ausgestattet sind. Hier sind die Keys zwar grundsätzlich schwerer zu knacken - doch wenn erst einmal eine größere Zahl von Systemen ausgemacht ist, bei denen die immer gleichen Schlüssel zum Einsatz kommen, ist der Anreiz, diesen nachzumachen natürlich deutlich größer.
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Ab 06:10 Uhr Lisen Legion Go/ROG Ally/Steam Dock, 13-in-1 Dockingstation mit 5 USB 3.0 und 2.0, Zwei Lüftern, HDMI 4K bei 60 Hz, Gigabit Ethernet, 100 W Aufladung für Stream Deck/LenovoLisen Legion Go/ROG Ally/Steam Dock, 13-in-1 Dockingstation mit 5 USB 3.0 und 2.0, Zwei Lüftern, HDMI 4K bei 60 Hz, Gigabit Ethernet, 100 W Aufladung für Stream Deck/Lenovo
Original Amazon-Preis
79,98
Im Preisvergleich ab
?
Blitzangebot-Preis
53,98
Ersparnis zu Amazon 33% oder 26
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!