Sind Sie ein Poodle, Freak oder ist das alles Logjam?
10. Juli 2020
TLS (Transport Layer Security) ist das kryptographische Protokoll, auf dem die Grundlage des Vertrauens im Internet besteht. Mit ihm wird die Verbindung zwischen Maschinen abgesichert. Die Stärke des TLS-Schutzes liegt in den Verschlüsselungsalgorithmen und Sicherheitsparametern, mit denen es arbeitet. Diese Algorithmen und Parameter unterscheiden sich von einer SSL/TLS-Version zur anderen. Wenn sich ein Sicherheitselement einer TLS-Version als ernsthaft gefährdet erweist, wird diese Version von SSL/TLS durch eine neuere Version ersetzt. Bis jetzt gab es insgesamt sechs Versionen von SSL und TLS, wobei TLS 1.3 die neueste davon ist. Heute sind TLS 1.2 und TLS 1.3 die einzigen beiden TLS-Versionen, die sicher genug sind, um von den wichtigsten Browsern als vertrauenswürdig eingestuft zu werden.
Das TLS-Protokoll wird hauptsächlich für die Kommunikation zwischen Servern und Clients verwendet. Daher wird das neueste TLS-Protokoll nur verwendet, wenn der Client und der Server es unterstützen. Wenn beide Entitäten eine sichere Version des TLS-Protokolls für ihre Kommunikation unterstützen, dann ist es für einen Angreifer praktisch unmöglich, einen Man-in-the-Middle-Angriff (MiTM-Angriff) durchzuführen.
Ein Downgrade ist eigentlich eine Security-Maßnahme zur Inspektion des Datenverkehrs. Das Problem ist, dass TLS 1.3 dies gar nicht zulässt, aus diesem Grund warten Unternehmen deshalb sogar mit der Einführung von TLS 1.3. Verschlüsselte-Sessions können deshalb wieder in TLS 1.2 zurückgeführt werden und lassen sich dann besser überprüfen. Letztlich sind die Auswirkungen von TLS 1.3 auf die Sicherheit immer noch rätselhaft. Fachleute für Sicherheits- und Risikomanagement müssen ihre Sicherheitseigenschaften bewerten und feststellen, wo und wie sie ihre Überwachung der Netzwerksicherheit anpassen müssen. Aus diesem Grund stellte das Marktforschungsinstitut Gartner fest, dass die Akzeptanz von TLS 1.3 stetig zunimmt, aber TLS 1.2 eben sicher implementiert werden kann und wird weiterhin weit verbreitet bleiben.
Aber ein solcher Downgrade bietet leider auch Angriffsmöglichkeiten. Dann werden Client und Server dazu verleitet, ältere Protokolle oder unsichere Parameter zur Verschlüsselung der Informationen während der Übertragung zu verwenden. Danach versucht der Angreifer, die Informationen abzufangen und/oder zu verändern, indem er Fehler in den älteren Protokollversionen oder schwache kryptographische Algorithmen ausnutzt.
Letztendlich sind Poodle, Freak und Logjam drei der bekanntesten Downgrade-Angriffe, die wir bisher gesehen haben. Sie beruhen auf unterschiedlichen Methoden, um die Sicherheit zu schwächen. Folgend werden diese Attacken beschrieben und Gegenmaßnahmen erläutert:
Poodle
Poodle (padding Oracle on downgraded legacy encryption) ist wohl der berüchtigtste Downgrade-Angriff. Er nutzt die TLS-Verbindung aus, indem er die TLS-Verbindung auf SSL 3.0 herabgestuft hat. Sobald die Verbindung herabgestuft wurde, braucht ein Angreifer nur noch 256 Anfragen über SSL 3.0 zu stellen, um eine verschlüsselte Nachricht von einem Byte zu knacken. Diese Schwachstelle führte dazu, dass danach SSL 3.0 aus dem gesamten Internet verbannt wurde.
Der naheliegendste und einfachste Weg, einen Webserver gegen Poodle-Angriffe zu schützen, ist die einfache Deaktivierung der Unterstützung für die SSL 3.0-Protokollversion. Idealerweise sollten keine TLS-Version vor TLS 1.2 verwendet werden, da sich alle Versionen als anfällig erwiesen haben.
Freak
Der Freak-Angriff (Factoring RSA-Exportschlüssel) nutzt eine Klasse von absichtlich schwachen Export-Chiffrierprogrammen aus, die vor Jahrzehnten von den US-Regierungsbehörden eingeführt wurden, um die gesamte verschlüsselte ausländische Kommunikation zu entschlüsseln. Freak funktioniert, indem der Server dazu gebracht wird, eine Export-Chiffre-Suite zu verwenden, die RSA mit Modulen von weniger als 512 Bit verwendet. Dieser Schlüssel kann mit der heutigen Rechenleistung leicht geknackt werden.
Wenn Web-Admins sich nicht sicher sind, ob ihre Webseite für Freak anfällig ist oder nicht, dann können sie diese Webseite besuchen, um sie zu überprüfen. Wenn die Webseite anfällig ist, muss die Unterstützung für alle exportfähigen Verschlüsselungspakete in Software, die SSL/TLS verwendet, deaktiviert werden.
Logjam
Der Logjam-Angriff ermöglicht es einem Angreifer, eine HTTPS-Verbindung abzufangen, indem er die Verbindung auf exportfähige 512-Bit-Kryptographie herabgestuft. Dies ist dem Freak-Angriff recht ähnlich, allerdings mit dem Unterschied, dass Logjam den Diffie-Hellman-Schlüsselaustausch anstelle des RSA-Schlüsselaustauschs angreift.
Um Server vor Angriffen durch Logjam zu schützen, muss die Unterstützung für alle DHE_EXPORT-Verschlüsselungssuites auf den Servern deaktiviert werden. Dadurch kann ein Angreifer die Verbindung zu dem 512-Bit-DH-Exportschlüssel nicht herabstufen.
Downgrade-Angriffe funktionieren, weil es den Angreifern irgendwie gelingt, Server und Client so auszutricksen, dass sie auf unsichere Protokolle oder geschwächte Parameter zurückgreifen. Sie schaffen das, weil Web-Admins es nicht geschlossen haben, indem sie die Unterstützung für schwache Protokolle und Parameter deaktivierten.
Um sich vor allen bekannten und unbekannten TLS-Downgrade-Angriffen zu schützen, ist es das Beste, wenn alle Systeme immer auf die neuesten Versionen von TLS aktualisiert werden. Auf diese Weise müssen keine Rückwärtskompatibilitäten unterstützt werden. Und dann lässt sich die Server-Unterstützung für alle TLS-Protokolle außer TLS 1.2 und 1.3 als Faustregel sicher deaktivieren. Diese beiden Protokolle weisen keine der gleichen Hauptschwachstellen auf wie ihre Vorgänger, und deshalb sind sie ziemlich sicher zu benutzen.
Kevin Bocek ist Vice President Security Strategy & Threat Intelligence bei Venafi.
