Private Keys der Webserver unsicher

Laut einer Studie des Verschlüsselungsspezialisten nCipher ist der Private Key eines Webservers wegen mathematischer Besonderheiten schnell zu finden. Damit tritt die Studie gegen die landläufige Meinung an, dass der wenige hundert Byte große kryptografische Schlüssel schon durch die riesigen Datenmengen eines Servers geschützt sei.

Der Private Key tritt niemals nach außen in Erscheinung. Auch auf der lokalen Festplatte liegt er, als zusätzliche Sicherungsmaßnahme, in einer verschlüsselten Form vor. Doch spätestens beim Verschlüsseln einer Nachricht gelangt der private Schlüssel im Klartext in den Hauptspeicher des Rechners. Ab diesem Zeitpunkt ist der Key verwundbar.

Bislang hielt man die wenigen Byte des Keys im Speicher eines Servers für unauffindbar. Doch die Zertifikate bestehen, bedingt durch die Verschlüsselung, aus ungewöhnlichen Zahlenfolgen mit bestimmten mathematischen Merkmalen. Wer sich durch eine Hack Zugang zu einem Server verschafft hat, braucht nur nach Bytekombinationen mit diesen mathematischen Spezifikationen zu suchen. Ist ein Private Key eines Servers erst einmal geknackt, so die Spezialisten von nCipher, kann sich jeder Server für den gehackten ausgeben.

Als Hersteller von Hardwarelösungen für Verschlüsselungstechnik könnte man nCipher ein Eigeninteresse am vernichtenden Urteil über die Sicherheit von reinen Softwarelösungen unterstellen. Prominente Firmen, unter anderem Microsoft und Sun/Netscape, bestätigen aber die Relevanz der Studie und arbeiten mit nCipher zusammen, um potenzielle Sicherheitslöcher zu stopfen. Ein Sprecher der Sicherheitsberatungsfirma Hyperion sagte, dass manche Anbieter im Allgemeinen E-Commerce-Rausch die grundlegenden Sicherheitstechniken vergessen hätten. (uba)