Ein Team aus sieben Sicherheitsforschern hat eine neue Variante des sogenannten Bleichenbacher-Angriffs entdeckt, der die TLS-Verschlüsselung von Internet-Datenverkehr knacken kann. Hacker können so eigentlich als sicher eingestufte Daten abfangen und stehlen. Die neue Variante soll nun auch die Version 1.3 des Protokolls Transport Layer Security (TLS) schwächen.
Diese Gegenmaßnahmen sind im Abschnitt 7.4.7.1 des TLS-Standards (RFC 5246) definiert. Hardware- und Software-Anbieter haben sie im Lauf der Jahre jedoch immer wieder falsch interpretiert oder nicht Wort für Wort umgesetzt. Als Folge sind viele Server, Router, Firewalls, VPNs und Verschlüsselungsbibliotheken immer noch anfällig für Varianten des Bleichenbacher-Angriffs.
Die neueste Variante beschreibt das internationale Forscherteam in einem Papier (PDF) mit dem Titel „Die neun Leben von Bleichenbachers Katze: Neue Cache-Angriffe auf TLS-Implementierungen“, wobei im englischen in Anspielung auf Schrödingers Katze das Wort „Cat“ von „Cache Attack“ abgeleitet wurde. Ihnen ist es offenbar gelungen, die RSA-Verschlüsselung zusammen mit PKCS#1 Version 1.5 zu knacken, der heute gängigsten Konfiguration für die Verschlüsselung von TLS-Verbindungen. Außerdem soll der neue Angriff auch bei Googles neuem Verschlüsselungsprotokoll QUIC funktionieren.
„Der Angriff nutzt ein Side-Channel-Leck über Cache-Zugriffs-Timings dieser Implementierungen, um den RSA-Schlüsseltausch der TLS-Implementierung zu knacken“, erklärten die Forscher. Das Protokoll TLS 1.3 sei auch anfällig, obwohl die RSA-Nutzung hier auf ein Minimum reduziert worden sei, weil es unter Umständen auf TLS 1.2 herabgestuft werde, bei dem wiederum ein Angriff möglich sei.
„Wir haben neun verschiedene TLS-Implementierungen getestet und festgestellt, dass sieben anfällig sind: OpenSSL, Amazon s2n, MbedTLS, Apple CoreTLS, Mozilla NSS, WolfSSL und GnuTLS“, ergänzten die Forscher. Nicht angreifbar waren indes die Bibliotheken von BearSSL und Googles BoringSSL. Bereits seit November 2018 liegen zudem aktualisierte Versionen der fehlerhaften Bibliotheken vor.
Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.
Zwei Use-after-free-Bugs stecken in Picture In Picture und der WebGPU-Implementierung Dawn. Betroffen sind Chrome für…
Die durchschnittliche Lösegeldzahlung liegt bei 2,5 Millionen Dollar. Acht Prozent der Befragten zählten 2023 mehr…
Eine neue Analyse der EU-Kommission sieht vor allem eine hohe Verbreitung von iPadOS bei Business-Nutzern.…
Das operative Ergebnis wächst um fast 6 Billionen Won auf 6,64 Billionen Won. Die Gewinne…
Ab Werk blockiert Chrome Cookies von Dritten nun frühestens ab Anfang 2025. Unter anderem gibt…
Die Vorfreude steigt, denn BAUMLINK wird als Partner und Aussteller bei der Tech Show 2024…